Autor Wątek: Inwentaryzacja i ochrona zasobów  (Przeczytany 8937 razy)

0 użytkowników i 2 Gości przegląda ten wątek.

Offline Grzegorz Gałęzowski

  • archiwista
  • ***
  • Wiadomości: 444
  • Płeć: Mężczyzna
Inwentaryzacja i ochrona zasobów
« dnia: Czerwiec 02, 2009, »
Dzisiaj chciałbym Państwu przedstawić system Open Source Security Information Management, który móżna wykorzystać zarówno do wykrywania ataków na zasoby sieciowe, czy też wykrywania różnego rodzaju anomalii. System też może z powodzeniem posłużyć do prowadzenia inwentaryzacji sprzętu komputerowego w archiwach.
Mam nadzieję że instrukcja instalacji będzie na tyle czytelna że wiele osób zdecyduje się przetestować lub nawet używać ten system w swoich instytucjach.

Motto NSA ? agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo systemów teleinformatycznych, brzmi ?Ufamy Bogu ? wszystko inne sprawdzamy?. Większość administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów. Często jednak takie myślenie jest weryfikowane przez mniej lub bardziej uzdolnionych włamywaczy.
Każdą stosowaną instalację informatyczną, należy testować i monitorować, głównie po to, by uprzedzić potencjalnych intruzów. Lepiej jest wykryć niebezpieczeństwo samemu, niż czekać, aż zrobią to hakerzy.
Co powinno być monitorowane i testowane? Głównie wartości, które powinny podlegać ochronie, które najprościej i najbezpieczniej określić na podstawie Polityki Bezpieczeństwa. Podstawowe założenie to nie wpuścić wroga do naszego systemu teleinformatycznego.

Czym monitorować?
Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym najlepiej się czuje i co w trakcie eksploatacji jest najtańsze.
W miarę czasu używania przeważają koszty (głównie godziny pracy administratora) przeznaczone na pielęgnację systemu, na wprowadzane modyfikacje itp.
Dlatego do monitorowania należy wybrać dostosowany do naszych wymagań system  IDS.

Czym jest IDS.
IDS (ang. Intrusion Detection System ? System Wykrywania Włamań) jest systemem, zdolnym do wykrycia zmiany stanu systemu lub sieci komputerowej. Przy wykryciu zmian IDS, może wysłać wiadomość alarmową lub podjąć zdefiniowane działania, aby odpowiednio ochronić sieć.

Wyróżniamy dwa główne rodzaje systemów IDS:

-   oparte na serwerze (ang. Host-based);
-   oparte na sieci komputerowej (ang. Network-based).

Pierwszy typ charakteryzuje się tym, że skanuje logi systemowe i otwarte połączenia sieciowe. Może także skanować dysk twardy komputera w poszukiwaniu anomalii.
Drugi typ polega głównie na nasłuchiwaniu sieci i wyłapywaniu zdarzeń w niej zachodzących.

Systemy IDS dostarczają szeregu różnych usług:

-   Identyfikują ruch sieciowy;
-   Alarmowanie poprzez wysyłanie komunikatów do administratora;
-   Zmiana konfiguracji systemu, wiele systemów IDS udostępnia zmianę konfiguracji systemu w przypadku przeprowadzonego ataku.

 Systemy IDS umożliwiają określanie następujących zdarzeń:

-Rodzaj protokołu, np. czy pakiet należy do protokołu UPC, TCP itd.;
-Pochodzenie źródłowego adresu IP;
-Przeznaczenie wysyłanych pakietów.
-Porty źródłowe: informuje o portach używanych przez serwer, z których wychodzą dane pakiety;
-Port docelowy: informuje o portach używanych przez serwer, do których wchodzą dane pakiety;
-Sumy kontrolne: które strzegą integralności przesyłanych pakietów;
-Numery sekwencji: informuje o kolejności wytworzonych pakietów;
-Informacje o pakietach: potrafi przeprowadzić analizę przesyłanych pakietów.

Warto jeszcze przypomnieć o dwóch podstawowych strategiach na podstawie których działają systemy IDS:

-Aplikacje oparte na regułach. Jest to najbardziej rozpowszechniony typ systemów IDS. Wynika to z tego, że jest on najprostszy do zainstalowania;

-Aplikacje oparte na anomaliach. Tego typu systemy IDS pobierają próbki ruchu sieciowego, który będzie stanowił odniesienie dla przyszłych analiz. Następnie takie informacje składowane są w bazie danych systemu IDS i stanowią wzorzec przy dalszej analizie ruchu sieciowego. Występuje tutaj problem z ustaleniem co można rozumieć przez tzw. ?normalny? ruch sieciowy, który ma być wzorem przy wykrywaniu anomalii. Powoduje to problemy w konfiguracji takiego systemu.

W ostatnich latach pojawiło się szereg nowych narzędzi IDS z otwartym kodem źródłowym (open source). Te narzędzia, chociażby takie jak Groundwork's, jest narzędziem do monitorowania sieci, składa się z szeregu zintegrowanych narzędzi open source, oparte często na interfejsie Web lub kliencie z graficzną konsolą. Narzędzia te są przeznaczone do konsolidacji wielu różnych wyspecjalizowanych narzędzi open source z zakresu bezpieczeństwa, za pośrednictwem jednego silnika lub interfejsu administracyjnego.

OSSIM lub inaczej Open Source Security Information Management, jest jednym z takich narzędzi. Jest on skierowany na potrzeby profesjonalistów w celu zapewnienia bezpieczeństwa sieci teleinformatycznej i wykrywania wszelkich anomalii. OSSIM łączy szeroki wybór sieci, hostów i zarządzania urządzeniem i narzędzi informacyjnych wraz z korelacją silnika. Obejmuje ona możliwości wizualizacji, jak również zgłaszania incydentów i narzędzi zarządzania.


OSSIM ma architekturę trójwarstwową. Pierwsza warstwa to baza danych (mysql), następna warstwa to serwer aplikacji, ostatnią, trzecią warstwą jest tutaj graficzny front-end bazujący na aplikacji Web. Dodatkowo dodano do niego grupę agentów i wtyczek, które zbierają informacje ze zdalnych jednostek znajdujących się w sieci lokalnej.

OSSIM zawiera takie narzędzia jak:

- Arpwatch ? (wykrywania arp-spoofingu) analizuje nowo pojawiające się w sieciadresy MAC. W przypadku odnalezienia nowego adresu wysyła o tym powiadomienie. Przydaje się przy wykrywaniu nieautoryzowanego udostępniania Internetu itd.

- p0f (pasywne wykrywanie systemu operacyjnego i analiza profilu), analizuje pakiety w sieci pod kątem używanych w niej systemów operacyjnych. W odróżnieniu od innych skanerów sam nic nie wysyła i jest całkowicie pasywny. Ze względu na swój pasywny charakter jest często wykorzystywany w systemach IDS.

 Nessus (skaner bezpieczeństwa) (Rys. 1 i 2). Nad tym programem warto się zatrzymać przez chwilę dłużej. Początki projektu Nessus sięgają roku 1998, jest klasycznym przedstawicielem automatycznych skanerów bezpieczeństwa sieci, nie odbiegającym od standardów wyznaczanych przez produkty komercyjne.
Interesującą cechą Nessusa jest uwzględniona od samego początku architektura klient-serwer. System składa się z dwóch komponentów: demona nessusd działającego w tle i pozbawionego interfejsu użytkownika, co umożliwia jego instalację na praktycznie dowolnym serwerze. Ten element jest odpowiedzialny za faktyczne testowanie wskazanych przez klienta serwerów, któremu zwraca nieobrobione wyniki. Klient łączy się z serwerem i stanowi faktyczny interfejs użytkownika, wraz z funkcją prezentacji raportów.
Taki dobór architektury umożliwia wykonywanie wielu skanów równocześnie przez wielu użytkowników z jednej centralnej maszyny.
Skanowanie ma charakter dwuetapowy ? na początku znajdowane są otwarte i prawdopodobnie otwarte porty TCP i UDP. Drugim krokiem jest przeanalizowanie usług, działających na znalezionych portach. Jest to etap najbardziej czasochłonny, ponieważ skaner analizuje każdy z portów z osobna.
Jako interesującą cechę można wymienić umiejętność sprawdzania serwerów ukrytych za protokołem SSL. W raportach przedstawia pełne informacje o znalezionych serwerach, np. HTTP/SSL.
Zidentyfikowane usługi są testowane pod kątem występowania dziur specyficznych dla poszczególnych programów je obsługujących. Nessus nie sugeruje się numerem wersji zwracanym w nagłówku przez serwery, dlatego też taka dezinformacja nie odniesie w jego przypadku zbyt wiele.
Podczas skanowania portów Nessus próbuje także wykryć markę i wersję skanowanego systemu za pomocą techniki stack finterprinting. Pozwala ona identyfikować systemy operacyjne na podstawie drobnych różnic w implementacji ich stosów TCP/IP, możliwych do stwierdzenia za pomocą odpowiednio spreparowanych pakietów IP. Informacja ta jest wykorzystana przez skaner do optymalizacji testów.

Rysunek 1. Nessus ? aplikacja kliencka połączona z serwerem nessusd



Rysunek 2. Nessus w systemie OSSIM
 

- NMAP (skaner portów) jest zaawansowanym skanerem serwerów sieciowych. Posiada on wiele funkcji, co sprawia, że jest to najpopularniejszy skaner dla systemów UNIX/Linux. Zaletą tego programu jest bogata baza sygnatur stosów TCP/IP poszczególnych systemów operacyjnych, pozwalająca na ustalanie nazwy i wersji systemu działającego na maszynie będącej celem skanowania. Dzięki temu, że rozpoznawanie oparte zostało o charakterystykę stosu TCP/IP, nie można zafałszować tych danych poprzez zmianę tekstu, jakim zgłasza się dana usługa systemowa (Rys. 3a).

Rysunek 3a. NMAP ? skaner portów zaimplementowany w Nmap
 


- Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System, NIDS), który daje różne mechanizmy detekcji, mogących w czasie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych.

 - Ntop pozwala na posortowanie ruchu sieciowego wg protokołów czy wyświetlenie statystyk ruchu. Dzięki niemu można również podejrzeć rozkład ruchu IP w różnych protokołach oraz zidentyfikować adresy mailowe użytkowników komputerów. To tylko przykłady. Możliwości NTOP-a są znacznie większe. NTOP pozwala na sortowanie ruchu sieciowego w oparciu o wiele kryteriów, analizę ruchu na podstawie jego źródła i celu. NTOP może również działać jako kolektor NetFlow/sFlow oraz generować RMON-o podobne statystyki ruchu (Rys. 3b).

Rysunek 3b. Ntop w systemie OSSIM


- Pads, program wykorzystywany do wykrywania wszelakich anomalii zachodzących w sieci;

- Spade, statystycznie analizuje pakiety w sieci, określając, czy są one "normalne" lub "nienormalne" w oparciu o historyczną analizę ruchu sieciowego. Jest preprocesorem dla systemu SNORT IDS;

- Tcptrack, ptrack to sniffer, który wyświetla informacje na temat połączeń TCP. Widzi go na interfejs sieciowy. Go biernie zegarki dla połączeń w sieci interfejs, śledzi ich stan i wyświetla listę połączeń w sposób podobny do UNIX 'top' command. Wyświetla źródłowych i docelowych adresów i portów, stan połączenia, czas bezczynności, a wykorzystanie pasma;

- Nagios. Nagios to aplikacja do monitorowania komputerów oraz usług. Monitoruje usługi takie jak SMTP, POP3, HTTP, NNTP i wiele innych. Oprogramowanie czuwa także nad wykorzystaniem zasobów na hostach. Pilnuje np. obciążenia procesora, wykorzystania dysku i pamięci, uruchomionych procesów oraz logów. Potrafi również odczytywać temperaturę procesora czy dysku. Dzięki rozbudowanemu systemowi dodatków Nagios można modyfikować według własnych potrzeb (Rys. 4).

Rysunek 4. Nagios
 


- OCS-NG, to aplikacja zaprojektowana, aby pomóc administratorom w inwentaryzacji sprzętu komputerowego, a także sprawdzaniu poprzez sieć konfiguracji komputerów i oprogramowania, które jest na nich instalowane.

Rysunek 5. OCS-NG ? inwentaryzacja zasobów systemu teleinformatycznego
 

Rysunek 6. Informacje o aktualizacjach aplikacji na stacjach roboczych
 

OCS-NG gromadzi następujące informacje z inwentaryzowanych urządzeń:

  BIOS - numer seryjny, producent, model, wersja BIOS?u;
  Procesor - typ procesora, prędkość procesora, liczba procesorów;
  Gniazda pamięci ? typ pamięci i pojemność, rodzaj pamięci, szybkość w MHz, numer slotu;
  Pamięć RAM - pojemność dostępnej pamięci RAM;
   Pojemność pliku stronicowania lub rozmiar partycji swap  w MB;
  Urządzenia wejściowe - typ, producent, opis, używany interfejs (PS / 2, USB, itp.);
  Porty - typ (szeregowe lub równoległe), opis;
  Sloty systemowe - nazwa, opis, oznaczenie (AGP, PCI, ISA itd.);
        Dostępne kontrolery - producent, nazwa, rodzaj (np. IDE, SCSI, USB, PCMCIA, IRDA);
      Dostępne dodatkowe nośniki danych - producent, model, opis, typ (dyskietka, dysk twardy, CD-Rom, itd.), i dostępna pojemność wyrażona w MB;
  Dyski logiczne i partycje - literę dysku logicznego, typ ( dysk twardy, CD-ROM, sieć, pamięć RAM, itd.), system plików (EXT2 i inne), całkowita pojemność wyrażona w MB, a także wolne miejsce także w MB;.
  Karta dźwiękowa - producent, nazwa i opis;
  Karty graficzne - nazwa, chipset, pamięć w MB, rozdzielczość ekranu;
  Monitory -  producent, opis, typ i numer seryjny;
  Modemy - nazwa, model, opis, typ (wewnętrzne czy zewnętrzny);
  Karty sieciowe ? opis, typ, prędkość, adres MAC, adres IP, maska sieci IP, bramka IP, serwery DHCP jeżeli są w użyciu;
  Drukarki - nazwa, sterowniki, port przez który są podłączone;
   System operacyjny - nazwa systemu operacyjnego, wersja, komentarze, na kogo jest zarejestrowany system;
  Zainstalowane oprogramowanie ? w przypadku systemów Windows informacje te pochodzą z rejestru systemu;
  Rejestr systemu ? systemy Windows;

Opis komputera ? zarejestrowany przez użytkownika opis danego komputera.

OCS Inventory jest również w stanie wykryć wszystkie dostępne urządzenia, które są aktywne w sieci lokalnej, takie jak przełączniki, routery, drukarki sieciowe. Dla każdego z  urządzeń przechowuje adresy MAC i IP co pozwala na ich sklasyfikowanie.

 
- OSSEC jest systemem HIDS (wykrywania włamań na monitorowanym systemie), umożliwia również zaawansowany system scentralizowanej analizy i korelacji logów bezpieczeństwa.

Instalacja.

Kiedyś instalacja systemu OSSIM była skomplikowanym procesem, który składał się z wielu zależnych od siebie kroków.
W chwili obecnej OSSIM dostarczany jest w dwóch wersjach. Jako obraz VMware, gotowy do odpalenia w architekturze wirtalizowanej lub jako gotowy pakiet instalacyjny dostępny w postaci obrazu  ISO, który jest gotowy do wypalenia na płycie CD.

Poniżej przedstawię instalację krok po kroku OSSIM z płyty CD w systemie VMware. Instalację można także przeprowadzić na prawdziwej maszynie i nie będzie się zasadniczo różniła od tego co zostanie przedstawione w tym opisie.

Po odpaleniu bootowalnej płyty z systemem OSSIM, zobaczymy ekran powitalny instalatora (Rys. 7). Po wciśnięciu klawisza Enter przechodzimy do dalszego etapu instalacji.

Rysunek 7. Ekran powitalny instalatora
 

Pierwszy krok instalacji wymaga od nas wybrania języka, w którym nastąpi dalszy etap instalacji (Rys. 8). W tym przypadku został wybrany język Polski.

Rysunek 8. Wybór języka który będzie używany w dalszym etapie instalacji
 

Kolejny krok to wybór układu klawiatury. Wybieramy tutaj polski (pl) (Rys. 9) i przechodzimy dalej.

Rysunek 9. Wybór układu klawiatury
 

Teraz system dokona załadowania wszystkich niezbędnych składników potrzebnych w dalszym etapie instalacji systemu (Rys. 10).

Rysunek 10. System ładuje niezbędne składniki do przeprowadzenia dalszej instalacji
 

W tym etapie konfiguracji zaczniemy od konfiguracji sieci. Na początek musimy podać unikalny adres  IP, który składa się z czterech części rozdzielonych kropkami i który będzie identyfikował nasz host z systemem OSSIM w sieci lokalnej (Rys. 11).

Rysunek 11. Konfiguracja sieci ? ustalenie adresu IP dla hosta
 

Następnie musimy podać maskę sieci, która służy do identyfikacji sieci, w której będzie się znajdował instalowany przez nas system (Rys. 12).

Rysunek 12. Konfiguracja sieci ? wprowadzenie adresu maski podsieci
 

Wprowadzenie adresu bramy sieciowej. W tym punkcie ustalamy adres routera dostępowego, dzięki któremu instalowany system będzie miał dostęp do Internetu (Rys. 13).

Rysunek 13. Konfiguracja sieci ? wprowadzenie adresu bramy sieciowej


Ostatnim adresem, który możemy wprowadzić to adresy serwerów DNS (Rys. 14). Dzięki nim adresy IP tłumaczone są na zrozumiałe dla ludzi nazwy mnemoniczne.

Rysunek 14. Konfiguracja sieci ? wprowadzenie adresu serwera DNS
 

Przedostatni etap konfiguracji sieci wymaga ustalenia nazwy hosta. Jest to słowo dzięki któremu będziemy mogli później identyfikować nasz system (Rys. 15).

Rysunek 15. Konfiguracja sieci ? wprowadzenie nazwy hosta
 

Wreszcie ostatni etap dotyczący konfiguracji sieci to wprowadzenie nazwy domeny, która jest używana w naszej sieci lokalnej (Rys. 16).

Rysunek 16. Konfiguracja sieci ? wybór używanej domeny
 

Po skonfigurowaniu sieci przejdziemy do następnej części instalacji. System dokona skanowania dysków twardych i dostępnego sprzętu (Rys. 17).

Rysunek 17. System przeprowadza skanowanie dostępnych urządzeń
 

Kolejny etap instalacji to partycjonowanie dysku twardego (Rys. 18). Najpierw musimy wybrać sposób partycjonowania.
Mamy do wyboru sposób partycjonowania na:

-   całym dysku;
-   cały dysk i ustawienia LVM;
-   cały dysk i ustawienia szyfrowanego LVM ręcznie.

Rysunek 18. Wybór sposobu partycjonowania
 

Następnie wybieramy dysk na którym zostaną utworzone partycje (Rys. 19).


Rysunek 19. Wybór dysku do partycjonowania
 

Przedostatni etap to wybór metody partycjonowania (Rys. 20).
Mamy do wyboru:

-   umieścić wszystko na jednej partycji, jak instalator podpowiada jest to metoda zalecana dla nowych użytkowników nie mających większego doświadczenia;
-   wyodrębnić oddzielną partycję /home;
-   lub wyodrębnić oddzielną partycję /home, /usr, /var i /tmp.


Rysunek 20. Wybór metody partycjonowania
 

Instalator dokona przez chwilę przeliczenia nowych partycji (Rys. 21).

Rysunek 21. System przygotowuje się do partycjonowania systemu
 

Na koniec mamy podgląd ustalonych we wcześniejszych krokach partycji i punktów montowania  (Rys. 22).  Możemy cofnąć zmiany w partycjach i rozpocząć wszystko od początku. Możemy także zakończyć partycjonowanie i zapisać wszystkie zmiany.

Rysunek 22. Konfiguracja partycji
 

Instalator jeszcze raz poinformuje nas o zmianach jakie zostaną dokonane na dysku twardym (Rys. 23) i poprosi o potwierdzenie zapisania zmian na dyskach.

Rysunek 23. Potwierdzenie zapisu partycji na dysku
 

Po zatwierdzeniu zapisania wszystkich zmian na dysku instalator rozpocznie formatowanie partycji (Rys. 24).

Rysunek 24. Formatowanie partycji
 

Ostatni etap w instalatorze systemu OSSIM to ustalenie hasła dla konta root (Rys. 25), czyli najważniejszego administratora systemu. Instalator podpowiada, że hasło które zostanie wprowadzone powinno zawierać litery, cyfry i znaki specjalne. Hasło powinno być także zmieniane w regularnych odstępach czasu.

Rysunek 25. Konfiguracja hasła dla administratora
 

Instalator dla pewności poprosi o ponowne wprowadzenie hasła dla użytkownika root (Rys. 26). Dzięki temu możemy się zorientować czy nie popełniliśmy jakiegoś błędu przy wprowadzaniu hasła.

Rysunek 26. Potwierdzenie hasła administratora
 

Na sam koniec nastąpi już właściwa instalacja systemu operacyjnego ze wszystkimi niezbędnymi aplikacjami (Rys. 27).

Rysunek 27. Instalacja właściwa systemu operacyjnego
 

Po zainstalowaniu systemu i restarcie komputera, komputer wyświetli nam ekran logowania do konsoli systemu operacyjnego na którym znajduje się cały OSSIM (Rys. 28).

Rysunek 28. Logowanie do systemu operacyjnego poprzez konsolę shell
 

Po poprawnym załadowaniu się systemu możemy zalogować się także do właściwego systemu IDS OSSIM za pomocą przeglądarki Internetowej (Rys. 29). Do logowania użyjemy adresu IP, który ustaliliśmy podczas konfiguracji w instalatorze. Aby wejść do systemu musimy jeszcze podać login i hasło, domyślnie jest to admin/admin. Warto pamiętać, by zaraz po zalogowaniu zmienić hasło na inne.

Rysunek 29. Ekran logowania przez przeglądarkę WWW
 

Po zalogowaniu zobaczymy główny panel administracyjny naszego systemu IDS (Rys. 30).

Rysunek 30. Główny panel administracyjny
 

Podsumowanie.

Open Source Security Information Management jest przykładem bardzo udanego połączenia dużej kolekcji narzędzi. Lista wszystkich użytych w tym systemie aplikacji jest bardzo imponująca. Mimo tego, że architektura systemu wydaje się być bardzo skomplikowana, jest bardzo intuicyjna.

Programiści opracowali dla OSSIM szereg narzędzi integrujących wszystkie dotychczas wymienione narzędzia. Nastąpiła tutaj fantastyczna integracja  wszystkich pakietów narzędzi. Natomiast wszystkie dane z tych aplikacji zostały połączone we wspólny frot-end i wyświetlane za pośrednictwem przeglądarki Web, która pełni tutaj funkcje klienta administracyjnego.

OSSIM może być również dostosowany przy użyciu różnych wtyczek do pobierania  danych z różnych innych źródeł, w tym urządzeń, takich jak np. zapory ogniowe, inne systemy operacyjne lub z innych wyspecjalizowanych aplikacji.

OSSIM jest idealnym rozwiązaniem dla oficerów bezpieczeństwa i administratorów sieci. Może być używany do wszelakiego monitorowania zdarzeń i działań jakie zachodzą w środowiskach sieciowych. OSSIM może pełnić funkcję centralnego punktu zbierania i zestawiania informacji dla wydarzeń w danym środowisku, może generować alerty i raporty, zarówno w formie informacji wyświetlanych z poziomu przeglądarki Internetowej, jak i poprzez generowanie raportów w postaci plików pdf.

Konsola Web jest tutaj centralnym miejscem. Koncentrują się w nim wszystkie elementy.   Zapewniono w niej bardzo prosty i czytelny system wyświetlania informacji, panel sterowania umożliwia, wybieranie różnych poziomów szczegółowości wyświetlanych danych. Na najniższym poziomie szczegółowości, konsola może wyświetlać dane na temat sieci i zdarzeń na poziomie pojedynczych pakietów. Podobnie jak w wielu innych nowoczesnych systemach IDS, OSSIM przewiduje również ryzyko oparte na zdefiniowanych wskaźnikach.

OSSIM jest w pełni funkcjonalnym, szybkim i potężnym systemem IDS. Na rynku tego typu produktów jest jedną z najciekawszych pozycji. Nie sposób wymienić wszystkie jego zalety. Trudno przejść obojętnie obok takiego projektu

Strona domowa projektu OSSIM:
www.ossim.net


Poniżej ten sam tekst złożony do postaci pliku pdf:
http://rapidshare.com/files/270443797/ossim.pdf.html
« Ostatnia zmiana: Sierpień 23, 2009, wysłana przez Grzegorz Gałęzowski »