Page 1

Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów

Open Source Security Information Management – system wykrywania intruzów Grzegorz Gałęzowski

linux@softwarae.com.pl

Motto NSA – agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo systemów teleinformatycznych, brzmi „Ufamy Bogu – wszystko inne sprawdzamy”. Większość administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów. Często jednak takie myślenie jest weryfikowane przez mniej lub bardziej uzdolnionych włamywaczy.

K

ażdą stosowaną instalację informatyczną, należy testować i monitorować, głównie po to, by uprzedzić potencjalnych intruzów. Lepiej jest wykryć niebezpieczeństwo samemu, niż czekać, aż zrobią to hakerzy. Co powinno być monitorowane i testowane? Głównie wartości, które powinny podlegać ochronie, które najprościej i najbezpieczniej określić na podstawie Polityki Bezpieczeństwa. Podstawowe założenie to nie wpuścić wroga do naszego systemu teleinformatycznego.

cia zmiany stanu systemu lub sieci komputerowej. Przy wykryciu zmian IDS, może wysłać wiadomość alarmową lub podjąć zdefiniowane działania, aby odpowiednio ochronić sieć. Wyróżniamy dwa główne rodzaje systemów IDS: • •

oparte na serwerze (ang. Host-based); oparte na sieci komputerowej (ang. Network-based).

Pierwszy typ charakteryzuje się tym, że skanuje logi systemowe i otwarte połączenia sieciowe. Może także skanować Czym monitorować? dysk twardy komputera w poszukiwaniu anomalii. Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym Drugi typ polega głównie na nasłuchiwaniu sieci i wyłanajlepiej się czuje i co w trakcie eksploatacji jest najtańsze. pywaniu zdarzeń w niej zachodzących. W miarę czasu używania przeważają koszty (głównie godziSystemy IDS dostarczają szeregu różnych usług: ny pracy administratora) przeznaczone na pielęgnację systemu, na wprowadzane modyfikacje itp. Dlatego do monitorowania na- • Identyfikują ruch sieciowy; leży wybrać dostosowany do naszych wymagań system IDS. • Alarmowanie poprzez wysyłanie komunikatów do administratora; Czym jest IDS • Zmiana konfiguracji systemu, wiele systemów IDS udoIDS (ang. Intrusion Detection System – System Występnia zmianę konfiguracji systemu w przypadku przekrywania Włamań) jest systemem, zdolnym do wykryprowadzonego ataku.

2

styczeń 2009


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów Systemy IDS umożliwiają określanie następujących zdarzeń: • • • •

• • •

Rodzaj protokołu, np. czy pakiet należy do protokołu UPC, TCP itd.; Pochodzenie źródłowego adresu IP; Przeznaczenie wysyłanych pakietów. Porty źródłowe: informuje o portach używanych przez serwer, z których wychodzą dane pakiety; Port docelowy: informuje o portach używanych przez serwer, do których wchodzą dane pakiety; Sumy kontrolne: które strzegą integralności przesyłanych pakietów; Numery sekwencji: informuje o kolejności wytworzonych pakietów; Informacje o pakietach: potrafi przeprowadzić analizę przesyłanych pakietów.

Warto jeszcze przypomnieć o dwóch podstawo- Rysunek 1. Nessus – aplikacja kliencka połączona z serwerem nessusd wych strategiach na podstawie których działają systemy IDS: •

Aplikacje oparte na regułach. Jest to najbardziej rozpowszechniony typ systemów IDS. Wynika to z tego, że jest on najprostszy do zainstalowania; Aplikacje oparte na anomaliach. Tego typu systemy IDS pobierają próbki ruchu sieciowego, który będzie stanowił odniesienie dla przyszłych analiz. Następnie takie informacje składowane są w bazie danych systemu IDS i stanowią wzorzec przy dalszej analizie ruchu sieciowego. Występuje tutaj problem z ustaleniem co można rozumieć przez tzw. normalny ruch sieciowy, który ma być wzorem przy wykrywaniu anomalii. Powoduje to problemy w konfiguracji takiego systemu. Rysunek 2. Nessus w systemie OSSIM

W ostatnich latach pojawiło się szereg nowych narzędzi IDS z otwartym kodem źródłowym (open source). Te narzędzia, chociażby takie jak Groundwork's, jest narzędziem do monitorowania sieci, składa się z szeregu zintegrowanych narzędzi open source, oparte często na interfejsie Web lub kliencie z graficzną konsolą. Narzędzia te są przeznaczone do konsolidacji wielu różnych wyspecjalizowanych narzędzi open source z zakresu bezpieczeństwa, za pośrednictwem jednego silnika lub interfejsu administracyjnego. OSSIM lub inaczej Open Source Security Information Management, jest jednym z takich narzędzi. Jest on skierowany na potrzeby profesjonalistów w celu zapewnienia bezpieczeństwa sieci teleinformatycznej i wykrywa- Rysunek 3a. NMAP – skaner portów zaimplementowany w Nmap

www.lpmagazine.org

3


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów nia wszelkich anomalii. OSSIM łączy szeroki wybór sieci, hostów i zarządzania urządzeniem i narzędzi informacyjnych wraz z korelacją silnika. Obejmuje ona możliwości wizualizacji, jak również zgłaszania incydentów i narzędzi zarządzania. OSSIM ma architekturę trójwarstwową. Pierwsza warstwa to baza danych (mysql), następna warstwa to serwer aplikacji, ostatnią, trzecią warstwą jest tutaj graficzny front-end bazujący na aplikacji Web. Dodatkowo dodano do niego grupę agentów i wtyczek, które zbierają informacje ze zdalnych jednostek znajdujących się w sieci lokalnej. OSSIM zawiera takie narzędzia jak: •

Rysunek 3b. Ntop w systemie OSSIM

Rysunek 4. Nagios

Rysunek 5. OCS-NG – inwentaryzacja zasobów systemu teleinformatycznego

4

styczeń 2009

Arpwatch – (wykrywania arp-spoofingu) analizuje nowo pojawiające się w sieciadresy MAC. W przypadku odnalezienia nowego adresu wysyła o tym powiadomienie. Przydaje się przy wykrywaniu nieautoryzowanego udostępniania Internetu itd. p0f (pasywne wykrywanie systemu operacyjnego i analiza profilu), analizuje pakiety w sieci pod kątem używanych w niej systemów operacyjnych. W odróżnieniu od innych skanerów sam nic nie wysyła i jest całkowicie pasywny. Ze względu na swój pasywny charakter jest często wykorzystywany w systemach IDS. Nessus (skaner bezpieczeństwa) (Rysunek 1 i 2). Nad tym programem warto się zatrzymać przez chwilę dłużej. Początki projektu Nessus sięgają roku 1998, jest klasycznym przedstawicielem automatycznych skanerów bezpieczeństwa sieci, nie odbiegającym od standardów wyznaczanych przez produkty komercyjne.

Interesującą cechą Nessusa jest uwzględniona od samego początku architektura klient-serwer. System składa się z dwóch komponentów: demona nessusd działającego w tle i pozbawionego interfejsu użytkownika, co umożliwia jego instalację na praktycznie dowolnym serwerze. Ten element jest odpowiedzialny za faktyczne testowanie wskazanych przez klienta serwerów, któremu zwraca nieobrobione wyniki. Klient łączy się z serwerem i stanowi faktyczny interfejs użytkownika, wraz z funkcją prezentacji raportów. Taki dobór architektury umożliwia wykonywanie wielu skanów równocześnie przez wielu użytkowników z jednej centralnej maszyny. Skanowanie ma charakter dwuetapowy – na początku znajdowane są otwarte i prawdopodobnie otwarte porty TCP i UDP. Drugim krokiem jest przeanalizowanie usług, działają-


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów cych na znalezionych portach. Jest to etap najbardziej czasochłonny, ponieważ skaner analizuje każdy z portów z osobna. Jako interesującą cechę można wymienić umiejętność sprawdzania serwerów ukrytych za protokołem SSL. W raportach przedstawia pełne informacje o znalezionych serwerach, np. HTTP/SSL. Zidentyfikowane usługi są testowane pod kątem występowania dziur specyficznych dla

poszczególnych programów je obsługujących. Nessus nie sugeruje się numerem wersji zwracanym w nagłówku przez serwery, dlatego też taka dezinformacja nie odniesie w jego przypadku zbyt wiele. Podczas skanowania portów Nessus próbuje także wykryć markę i wersję skanowanego systemu za pomocą techniki stack finterprinting. Pozwala ona identyfikować systemy operacyjne na podstawie drobnych różnic w implementacji ich stosów TCP/IP, możliwych do Rysunek 8. Wybór języka który będzie używany w dalszym etapie instalacji

Rysunek 9. Wybór układu klawiatury

Rysunek 6. Informacje o aktualizacjach aplikacji na stacjach roboczych

Rysunek 10. System ładuje niezbędne składniki do przeprowadzenia dalszej instalacji

Rysunek 11. Konfiguracja sieci – ustalenie adresu IP dla hosta

Rysunek 12. Konfiguracja sieci – wprowadzenie adresu maski podsieci

Rysunek 7. Ekran powitalny instalatora

www.lpmagazine.org

5


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów stwierdzenia za pomocą odpowiednio spreparowanych pakietów IP. Informacja ta jest wykorzystana przez skaner do optymalizacji testów. •

NMAP (skaner portów) jest zaawansowanym skanerem serwerów sieciowych. Posiada on wiele funkcji, co sprawia, że jest to najpopularniejszy skaner dla systemów UNIX/Linux. Zaletą tego programu jest • bogata baza sygnatur stosów TCP/IP poszczególnych systemów operacyjnych, pozwalająca na ustalanie nazwy i wersji systemu działającego na maszynie będącej celem skanowania. Dzięki temu, że rozpoznawanie oparte zostało o charakterystykę stosu TCP/IP, nie można zafałszować tych danych poprzez zmianę tekstu, jakim zgłasza się dana usługa systemowa (Rysunek 3a). Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System, NIDS), który daje różne mechanizmy detekcji, mogących w cza- • sie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opar-

tych na protokołach IP/TCP/UDP/ICMP. • Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki • na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych. Ntop pozwala na posortowanie ruchu sieciowego wg protokołów czy wyświetlenie statystyk ruchu. Dzięki niemu można również podejrzeć rozkład ruchu IP w różnych protokołach oraz zidentyfikować adresy mailowe użytkowników komputerów. To tylko przykłady. Możliwości NTOP-a są znacznie • większe. NTOP pozwala na sortowanie ruchu sieciowego w oparciu o wiele kryteriów, analizę ruchu na podstawie jego źródła i celu. NTOP może również działać jako kolektor NetFlow/sFlow oraz generować RMONo podobne statystyki ruchu (Rysunek 3b). Pads, program wykorzystywany do wykrywania wszelakich anomalii zachodzących w sieci;

Spade, statystycznie analizuje pakiety w sieci, określając, czy są one "normalne" lub nienormalne w oparciu o historyczną analizę ruchu sieciowego. Jest preprocesorem dla systemu SNORT IDS; Tcptrack, ptrack to sniffer, który wyświetla informacje na temat połączeń TCP. Widzi go na interfejs sieciowy. Go biernie zegarki dla połączeń w sieci interfejs, śledzi ich stan i wyświetla listę połączeń w sposób podobny do UNIX 'top' command. Wyświetla źródłowych i docelowych adresów i portów, stan połączenia, czas bezczynności, a wykorzystanie pasma; Nagios. Nagios to aplikacja do monitorowania komputerów oraz usług. Monitoruje usługi takie jak SMTP, POP3, HTTP, NNTP i wiele innych. Oprogramowanie czuwa także nad wykorzystaniem zasobów na hostach. Pilnuje np. obciążenia procesora, wykorzystania dysku i pamięci,

Rysunek 16. Konfiguracja sieci – wybór używanej domeny Rysunek 13. Konfiguracja sieci – wprowadzenie adresu bramy sieciowej

Rysunek 15. Konfiguracja sieci – wprowadzenie nazwy hosta

Rysunek 17. System przeprowadza skanowanie dostępnych urządzeń

Rysunek 18. Wybór sposobu partycjonowania

Rysunek 14. Konfiguracja sieci – wprowadzenie adresu serwera DNS

6

styczeń 2009


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów

uruchomionych procesów oraz logów. Potrafi również odczytywać temperaturę procesora czy dysku. Dzięki rozbudowanemu systemowi dodatków Nagios można modyfikować według własnych potrzeb (Rysunek 4). OCS-NG, to aplikacja zaprojektowana, aby pomóc administratorom w inwentaryzacji sprzętu komputerowego, a także sprawdzaniu poprzez sieć konfiguracji komputerów i oprogramowania, które jest na nich instalowane.

• • • • • •

OCS-NG gromadzi następujące informacje z • inwentaryzowanych urządzeń: • • •

BIOS – numer seryjny, producent, model, wersja BIOS’u; • Procesor – typ procesora, prędkość procesora, liczba procesorów; Gniazda pamięci – typ pamięci i pojemność, rodzaj pamięci, szybkość w MHz, numer slotu; • •

Pamięć RAM – pojemność dostępnej pamięci RAM; Pojemność pliku stronicowania lub rozmiar partycji swap w MB; Urządzenia wejściowe – typ, producent, opis, używany interfejs (PS / 2, USB, itp.); Porty – typ (szeregowe lub równoległe), opis; Sloty systemowe – nazwa, opis, oznaczenie (AGP, PCI, ISA itd.); Dostępne kontrolery – producent, nazwa, rodzaj (np. IDE, SCSI, USB, PCMCIA, IRDA); Dostępne dodatkowe nośniki danych – producent, model, opis, typ (dyskietka, dysk twardy, CD-Rom, itd.), i dostępna pojemność wyrażona w MB; Dyski logiczne i partycje – literę dysku logicznego, typ ( dysk twardy, CD-ROM, sieć, pamięć RAM, itd.), system plików (EXT2 i inne), całkowita pojemność wyrażona w MB, a także wolne miejsce także w MB;. Karta dźwiękowa – producent, nazwa i opis; Karty graficzne – nazwa, chipset, pamięć w MB, rozdzielczość ekranu;

• • •

• •

• •

Monitory – producent, opis, typ i numer seryjny; Modemy – nazwa, model, opis, typ (wewnętrzne czy zewnętrzny); Karty sieciowe – opis, typ, prędkość, adres MAC, adres IP, maska sieci IP, bramka IP, serwery DHCP jeżeli są w użyciu; Drukarki – nazwa, sterowniki, port przez który są podłączone; System operacyjny – nazwa systemu operacyjnego, wersja, komentarze, na kogo jest zarejestrowany system; Zainstalowane oprogramowanie – w przypadku systemów Windows informacje te pochodzą z rejestru systemu; Rejestr systemu – systemy Windows; Opis komputera – zarejestrowany przez użytkownika opis danego komputera.

OCS Inventory jest również w stanie wykryć wszystkie dostępne urządzenia, które są aktywne w sieci lokalnej, takie jak przełączniki, routery, drukarki sieciowe. Dla każdego z urządzeń przechowuje adresy MAC i IP co pozwala na ich sklasyfikowanie.

Rysunek 19. Wybór dysku do partycjonowania

Rysunek 22. Konfiguracja partycji

Rysunek 24. Formatowanie partycji

Rysunek 20. Wybór metody partycjonowania

Rysunek 21. System przygotowuje się do partycjonowania systemu

Rysunek 23. Potwierdzenie zapisu partycji na dysku

www.lpmagazine.org

7


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów OSSEC jest systemem HIDS (wykrywania tora (Rysunek 7). Po wciśnięciu klawisza [En- nia języka, w którym nastąpi dalszy etap instalawłamań na monitorowanym systemie), umożli- ter] przechodzimy do dalszego etapu instalacji. cji (Rysunek 8). W tym przypadku został wybrawia również zaawansowany system scentralizo- Pierwszy krok instalacji wymaga od nas wybra- ny język Polski. Kolejny krok to wybór układu wanej analizy i korelacji logów bezpieczeństwa.

Instalacja

Kiedyś instalacja systemu OSSIM była skomplikowanym procesem, który składał się z wielu zależnych od siebie kroków. W chwili obecnej OSSIM dostarczany jest w dwóch wersjach. Jako obraz VMware, gotowy do odpalenia w architekturze wirtalizowanej lub jako gotowy pakiet instalacyjny dostępny w postaci obrazu ISO, który jest gotowy do wypalenia na płycie CD. Poniżej przedstawię instalację krok po kroku OSSIM z płyty CD w systemie VMware. Instalację można także przeprowadzić na prawdziwej maszynie i nie będzie się zasadniczo różniła od tego co zostanie przedstawione w tym opisie. Po odpaleniu bootowalnej płyty z systemem OSSIM, zobaczymy ekran powitalny instala- Rysunek 28. Logowanie do systemu operacyjnego poprzez konsolę shell

Rysunek 25. Konfiguracja hasła dla administratora

Rysunek 29. Ekran logowania przez przeglądarkę WWW

Rysunek 26. Potwierdzenie hasła administratora

Rysunek 27. Instalacja właściwa systemu operacyjnego

8

Rysunek 30. Główny panel administracyjny

styczeń 2009


Bezpieczeństwo Open Source Security Information Management – system wykrywania intruzów klawiatury. Wybieramy tutaj polski (pl) (Rysunek 9) i przechodzimy dalej. Teraz system dokona załadowania wszystkich niezbędnych składników potrzebnych w dalszym etapie instalacji systemu (Rysunek 10). W tym etapie konfiguracji zaczniemy od konfiguracji sieci. Na początek musimy podać unikalny adres IP, który składa się z czterech części rozdzielonych kropkami i który będzie identyfikował nasz host z systemem OSSIM w sieci lokalnej (Rysunek 11). Następnie musimy podać maskę sieci, która służy do identyfikacji sieci, w której będzie się znajdował instalowany przez nas system (Rysunek 12). Wprowadzenie adresu bramy sieciowej. W tym punkcie ustalamy adres routera dostępowego, dzięki któremu instalowany system będzie miał dostęp do Internetu (Rysunek 13). Ostatnim adresem, który możemy wprowadzić to adresy serwerów DNS (Rysunek 14). Dzięki nim adresy IP tłumaczone są na zrozumiałe dla ludzi nazwy mnemoniczne. Przedostatni etap konfiguracji sieci wymaga ustalenia nazwy hosta. Jest to słowo dzięki któremu będziemy mogli później identyfikować nasz system (Rysunek 15). Wreszcie ostatni etap dotyczący konfiguracji sieci to wprowadzenie nazwy domeny, która jest używana w naszej sieci lokalnej (Rysunek 16). Po skonfigurowaniu sieci przejdziemy do następnej części instalacji. System dokona skanowania dysków twardych i dostępnego sprzętu (Rysunek 17). Kolejny etap instalacji to partycjonowanie dysku twardego (Rysunek 18). Najpierw musimy wybrać sposób partycjonowania. Mamy do wyboru sposób partycjonowania na: • • •

całym dysku; cały dysk i ustawienia LVM; cały dysk i ustawienia szyfrowanego LVM ręcznie.

Następnie wybieramy dysk na którym zostaną utworzone partycje (Rysunek 19). Przedostatni etap to wybór metody partycjonowania (Rysunek 20). Mamy do wyboru: •

lub wyodrębnić oddzielną partycję /home, mienione narzędzia. Nastąpiła tutaj fantastyczna /usr, /var i /tmp. integracja wszystkich pakietów narzędzi. Natomiast wszystkie dane z tych aplikacji zostały poInstalator dokona przez chwilę przeliczenia no- łączone we wspólny frot-end i wyświetlane za powych partycji (Rysunek 21). średnictwem przeglądarki Web, która pełni tutaj Na koniec mamy podgląd ustalonych we funkcje klienta administracyjnego. wcześniejszych krokach partycji i punktów OSSIM może być również dostosowany montowania (Rysunek 22). Możemy cofnąć przy użyciu różnych wtyczek do pobierania zmiany w partycjach i rozpocząć wszystko od danych z różnych innych źródeł, w tym urząpoczątku. Możemy także zakończyć partycjo- dzeń, takich jak np. zapory ogniowe, inne sysnowanie i zapisać wszystkie zmiany. temy operacyjne lub z innych wyspecjalizowaInstalator jeszcze raz poinformuje nas o nych aplikacji. zmianach jakie zostaną dokonane na dysku OSSIM jest idealnym rozwiązaniem dla ofitwardym (Rysunek 23) i poprosi o potwierdze- cerów bezpieczeństwa i administratorów sieci. nie zapisania zmian na dyskach. Może być używany do wszelakiego monitoroPo zatwierdzeniu zapisania wszystkich wania zdarzeń i działań jakie zachodzą w środozmian na dysku instalator rozpocznie formato- wiskach sieciowych. OSSIM może pełnić funkwanie partycji (Rysunek 24). cję centralnego punktu zbierania i zestawiania Ostatni etap w instalatorze systemu informacji dla wydarzeń w danym środowisku, OSSIM to ustalenie hasła dla konta root (Ry- może generować alerty i raporty, zarówno w forsunek 25), czyli najważniejszego administra- mie informacji wyświetlanych z poziomu przetora systemu. Instalator podpowiada, że ha- glądarki Internetowej, jak i poprzez generowasło które zostanie wprowadzone powinno za- nie raportów w postaci plików pdf. wierać litery, cyfry i znaki specjalne. Hasło Konsola Web jest tutaj centralnym miejpowinno być także zmieniane w regularnych scem. Koncentrują się w nim wszystkie elemenodstępach czasu. ty. Zapewniono w niej bardzo prosty i czytelny Instalator dla pewności poprosi o ponowne system wyświetlania informacji, panel sterowawprowadzenie hasła dla użytkownika root (Ry- nia umożliwia, wybieranie różnych poziomów sunek 26). Dzięki temu możemy się zoriento- szczegółowości wyświetlanych danych. Na najwać czy nie popełniliśmy jakiegoś błędu przy niższym poziomie szczegółowości, konsola mowprowadzaniu hasła. że wyświetlać dane na temat sieci i zdarzeń na Na sam koniec nastąpi już właściwa insta- poziomie pojedynczych pakietów. Podobnie jak lacja systemu operacyjnego ze wszystkimi nie- w wielu innych nowoczesnych systemach IDS, zbędnymi aplikacjami (Rysunek 27). OSSIM przewiduje również ryzyko oparte na Po zainstalowaniu systemu i restarcie kom- zdefiniowanych wskaźnikach. putera, komputer wyświetli nam ekran logowaOSSIM jest w pełni funkcjonalnym, szybnia do konsoli systemu operacyjnego na którym kim i potężnym systemem IDS. Na rynku teznajduje się cały OSSIM (Rysunek 28). go typu produktów jest jedną z najciekawszych Po poprawnym załadowaniu się systemu pozycji. Nie sposób wymienić wszystkie jego możemy zalogować się także do właściwego zalety. Trudno przejść obojętnie obok takiego systemu IDS OSSIM za pomocą przeglądarki In- projektu ternetowej (Rysunek 29). Do logowania użyjemy adresu IP, który ustaliliśmy podczas konfiguracji w instalatorze. Aby wejść do systemu musiO autorze my jeszcze podać login i hasło, domyślnie jest to admin/admin. Warto pamiętać, by zaraz po zalo- Autor jest informatykiem, członkiem zespogowaniu zmienić hasło na inne. Po zalogowaniu łu naukowego do opracowania, przygotozobaczymy główny panel administracyjny nasze- wania i wdrożenia w archiwach państwogo systemu IDS (Rysunek 30). wych Zintegrowanego Systemu Informa•

umieścić wszystko na jednej partycji, jak instalator podpowiada jest to metoda zalecana dla nowych użytkowników nie mają- Podsumowanie cych większego doświadczenia; Open Source Security Information Management • wyodrębnić oddzielną partycję /home; jest przykładem bardzo udanego połączenia dużej kolekcji narzędzi. Lista wszystkich użytych w tym systemie aplikacji jest bardzo imponująca. Mimo tego, że architektura systemu wydaje się być barW Sieci dzo skomplikowana, jest bardzo intuicyjna. Strona domowa projektu OSSIM: Programiści opracowali dla OSSIM szereg www.ossim.net narzędzi integrujących wszystkie dotychczas wy-

www.lpmagazine.org

cji Archiwalnej, który jest pierwszym systemem informatycznym, tworzonym przez administrację rządową w Polsce, opartym w całości na tzw. „otwartym oprogramowaniu”. Autor zajmuje się Linuksem od ponad 12 lat. Hobby informatyczne to systemy IBM z/OS, OS/400, AIX i SAP R/3. Kontakt z autorem: gsgalezowski@gmail.com

9

Open Source Security Information Management – system wykrywania intruzów  

Motto NSA – agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo systemów teleinformatycznych, brzmi „Ufamy Bogu...