本期特邀《Linux企業(yè)應(yīng)用案例精解》一書作者李晨光老師,針對(duì)開源信息安全系統(tǒng)OSSIM在企業(yè)中的應(yīng)用的問題給予解答，歡迎網(wǎng)友積極提問，與專家一起討論! 

查看本期門診精彩實(shí)錄：http://doctor.51cto.com/develop-256.html

精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q:李老師，您好，對(duì) OSSIM不是很了解，能夠麻煩您用簡(jiǎn)潔的語言描述一下什么是 OSSIM，有什么功能，什么特點(diǎn)，正對(duì)其他相關(guān)同性質(zhì)的軟件有何優(yōu)勢(shì)？如何學(xué)習(xí) OSSIM？
A:在以前的討論中我講過ossim是開源安全信息系統(tǒng)，它基于debian linux系統(tǒng)之上集成了眾多開源安全管理監(jiān)控工具(Snort,Nmap,Nessus,Ntop,Nagiso,Openvas,Ocs等開源系統(tǒng)安全軟件,集眾多安全軟件之所長(zhǎng)集成在一個(gè)系統(tǒng)中，他類似BackTrack 繼承了大量網(wǎng)絡(luò)安全檢測(cè)工具，但也有區(qū)別，拿BT4來說，它是一個(gè)LiveCD的系統(tǒng)可以通過光盤&U盤直接引導(dǎo)并使用。這里我們講的ossim系統(tǒng)是必須安裝配置調(diào)試才能使用。從windows系統(tǒng)管理方向轉(zhuǎn)向linux的朋友，普遍會(huì)認(rèn)為linux平臺(tái)下一大堆的shell命令參數(shù)編程腳本，不容易掌握，ossim是在debian linux系統(tǒng)之上的安全系統(tǒng)除了原有特性之外，還要具備網(wǎng)絡(luò)安全（例如入侵檢測(cè),安全審計(jì),安全漏洞,滲透測(cè)試等方面）、加解密等技能。具有上述這些知識(shí)技能在部署ossim會(huì)得心應(yīng)手，稍差一點(diǎn)，也可以邊干邊學(xué)，只要用心去做事就能學(xué)成。 

Q:李老師你好，請(qǐng)問ossim這個(gè)軟件能否部署在大型互聯(lián)網(wǎng)公司中？由于互聯(lián)網(wǎng)行業(yè)的特點(diǎn)，所有的服務(wù)都是對(duì)外網(wǎng)開放的，用戶都是未知用戶，服務(wù)器，數(shù)據(jù)庫等需求也都比較龐大，還有就是要求必須7*24小時(shí)在線，所以和企業(yè)網(wǎng)絡(luò)還是有很大區(qū)別的。在這種環(huán)境中，網(wǎng)絡(luò)安全是非常重要的環(huán)節(jié)，那么，除了產(chǎn)品及網(wǎng)站代碼層面的安全以外，其他方面的安全ossim是否可以扮演一個(gè)重要的角色呢？
A:根據(jù)你介紹的情況，OSSIM完全可以勝任，可以監(jiān)控機(jī)房的Web服務(wù)器，數(shù)據(jù)庫服務(wù)器，能保存檢測(cè)日志以備查詢。匿名訪問站點(diǎn)，但訪問的IP范圍是可以被定為的。你的需求和企業(yè)機(jī)房的管理還是有差別，這種大量的web訪問，對(duì)ossim來說沒有問題，他不但可以對(duì)高層協(xié)議的數(shù)據(jù)流進(jìn)行解碼，還能通過調(diào)整過濾器，查出問題，這對(duì)操作者的經(jīng)驗(yàn)有很大關(guān)系。如果對(duì)ossim感到陌生那么就無法在你們的系統(tǒng)里使用，更不用說是重要角色。

Q:老師您好，想問下OSSIM對(duì)DDOS攻擊防御的效果如何?我想問的主要是 大的流量攻擊（肉雞被黑客利用），還有一種是異常分片的報(bào)文攻擊~~還有他的檢測(cè)是不是攻擊的機(jī)制是什么？例如我們常見的Land，Winnuke，teardrop等，這些是已知的攻擊類型，如果是一些未知的攻擊類型，能防御的住不？
A:前面我為大家介紹過ossim他的組成，其中一個(gè)總要組件就是snort,他能輕松完成例如DDOS攻擊，緩沖區(qū)溢出，端口掃描，CGI攻擊等網(wǎng)絡(luò)異?；顒?dòng)，當(dāng)然他也有不夠完美的地方，那就是snort在應(yīng)對(duì)IP碎片時(shí)有他天生的不足，一些攻擊者會(huì)利用上述特點(diǎn)，將流量進(jìn)行分片后發(fā)往目標(biāo)，那是因?yàn)镾nort與Server本身的Tcp/Ip的堆棧對(duì)數(shù)據(jù)包的處理方式的差異造成，從而導(dǎo)致目標(biāo)主機(jī)因處理過多的Ip碎片而能力耗盡。怎么辦呢？我們可以通過Frage，和防火墻上配置ACL,具體過程請(qǐng)參見《Linux企業(yè)應(yīng)用案例精解》第七章部署IDS案例分析。至于防御未知攻擊的問題，我想是這樣，我們看看當(dāng)前所有殺毒軟件基本上都是依賴于病毒特征碼判斷的技術(shù)，而要知道防御的發(fā)展總是慢于武器的開發(fā)，對(duì)于ossim而言雖然他能調(diào)整規(guī)則，但是有時(shí)候會(huì)出現(xiàn)誤報(bào)，也就是說并不能完全防御。 

Q:如何在Linux系統(tǒng)上部署一個(gè)全網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、服務(wù)器的日志集中管理系統(tǒng)，實(shí)現(xiàn)日志存儲(chǔ)、日志分類、分主機(jī)日志查看、嚴(yán)重高危日志提醒等功能？
A:我們總是希望電腦沒有病毒該多好，有沒有殺遍天下所有病毒的軟件，其實(shí)這種想法是好的，但實(shí)際不存在。linux系統(tǒng)不是萬能的，最為管理員首先要再不依托第三方軟件的情況下知道默認(rèn)的日志文件在什么地方，例如/var/log/下面存放著那些系統(tǒng)和網(wǎng)絡(luò)服務(wù)的日志。一些開源工具例如Logcheck,Logwatch用來分析日志文件，過濾出有潛在安全風(fēng)險(xiǎn)的日志項(xiàng)目，然后以email通知指用戶，當(dāng)然linux平臺(tái)下也有你所指集中控制管理存儲(chǔ)，分析的商業(yè)軟件例如，ManageEngine EventLog Analyzer，它是一個(gè)基于Web技術(shù)、實(shí)時(shí)的事件監(jiān)控管理解決方案，能夠提高企業(yè)網(wǎng)絡(luò)安全、減少工作站和服務(wù)器的宕機(jī)事件。EventLog采用無代理的結(jié)構(gòu)從分布式主機(jī)上收集事件日志，也可以從Linux/UNIX 主機(jī)、路由器、交換機(jī)及其它網(wǎng)絡(luò)設(shè)備上收集日志，并且生成圖形化報(bào)表 ，以便幫助分析提高網(wǎng)絡(luò)性能。  

Q:你好，李老師！請(qǐng)問下OSSIM建立起集中的監(jiān)控、管理平臺(tái)，是一站式的服務(wù)，那么相對(duì)之前的監(jiān)控應(yīng)用軟件cacti和nagios它的綜合優(yōu)勢(shì)是怎樣的？又是如何做到把內(nèi)部信息泄露的風(fēng)險(xiǎn)降到最低？另外在智能化這塊能達(dá)到一個(gè)怎樣的效果？
A:Ossim之所以能達(dá)到一站是服務(wù)的效果，就是因?yàn)樗鼘⒁恍┌踩?、監(jiān)控、審計(jì)、漏掃軟件有機(jī)的整合到一個(gè)開放式的體系結(jié)構(gòu)中，使用各種嗅探器和監(jiān)控器產(chǎn)生的告警信息進(jìn)行格式化集中存儲(chǔ)處理，這樣提高了告警的準(zhǔn)確度。單獨(dú)的nagios也好，cacti也好，他們都只能單一的統(tǒng)計(jì)流量并告警的功能，在服務(wù)器（或網(wǎng)絡(luò)設(shè)備）再次有問題了還是會(huì)周而復(fù)始的告警提示，并不具備對(duì)結(jié)果的智能化的分析過程。而Ossim系統(tǒng)采用了事件序列關(guān)聯(lián)算法和啟發(fā)式算法使得它的事件數(shù)據(jù)庫（EDB）能夠保存各個(gè)探測(cè)器才加的每一單獨(dú)時(shí)間，所以這一數(shù)據(jù)庫會(huì)非常龐大，此外它擁有一個(gè)自己不段學(xué)習(xí)的知識(shí)庫和檔案庫存放著系統(tǒng)了解到當(dāng)前網(wǎng)絡(luò)的各項(xiàng)參數(shù)和安全策略。如果說Ossim系統(tǒng)是一艘航母，那么單純的nagios功能與其相比只能說是一艘炮艇。目前由于公司內(nèi)部泄密原因多樣化、泄密手段專業(yè)化讓人防不勝防，總體而言大致分為內(nèi)部主動(dòng)泄密、無意泄密、惡意竊取三種針對(duì)這一情況，它可以采用登錄認(rèn)證、通信加密、數(shù)據(jù)庫加密等措施盡量保障信息不被輕易竊取，但無法完全避免。要想實(shí)現(xiàn)真正意義的內(nèi)部信息防泄露還需要其他的第三方軟件的支持，和公司管理制度上的制約。

Q:老師你好！我想問一下現(xiàn)在我們公司用的cacti+nagios的監(jiān)控系統(tǒng)但是每周出報(bào)表的時(shí)候都只能截圖。雖然截圖是比較直觀，但是感覺上沒一個(gè)實(shí)質(zhì)數(shù)據(jù)出來的報(bào)表沒多大價(jià)值！如果用他本身導(dǎo)出來的表格的話數(shù)據(jù)非常亂，OSSIM有沒有一個(gè)監(jiān)控報(bào)表插件，還有就是在跨平臺(tái)上的做的怎樣呢。感謝老師回答！
A:OSSIM能生成非常詳細(xì)報(bào)表，更具SIEM 能生成有關(guān)Attack Host,Used Port,Alarm Report的Top 10記錄同時(shí)可以選擇時(shí)間范圍，最后能以pdf,rtf,email的方式通知你。因?yàn)樗腔赽/s的架構(gòu)，對(duì)于跨平臺(tái)沒有問題。