Testreihe Security-Tools, Teil 3: Ossec
Türsteher am Endpunkt
Mit der Open-Source-EDR-Lösung Ossec lässt sich ein Sicherheitssystem aufbauen, das Endpunkte wie Windows- oder Linux-Server fortlaufend überwacht. Es wertet die Systemlogs zur Erkennung von Angriffen aus, meldet Änderungen an kritischen Systemdateien und kann Malware und Rootkits erkennen. Auf Ossec beruhen auch kommerzielle Lösungen etwa von Wazuh und Atomicorp.
Um Unternehmensnetzwerke möglichst umfassend vor Angriffen zu schützen, sind Erkennungs- und Abwehrmechanismen auf mehreren Ebenen notwendig. In Teil 2 der Security-Testreihe hatten wir die auf den Open-Source-Tools Zeek und Suricata basierende NDR-Lösung (Network Detection and Response) von Corelight getestet, die den Datenverkehr im Netzwerk überwacht und auswertet, um Gefahren zu erkennen und automatisch Gegenmaßnahmen zu ergreifen (siehe LANline Spezial August 2022). Zusätzlich sollten IT-Teams aber auch die Endpunkte wie etwa Anwendungs- oder Datenbank-Server mit einer EDR-Lösung (Endpoint Detection and Response) überwachen. Für diese Testkategorie wählten wir die Open-Source-Software Ossec, die in der Variante Ossec+ mit erweitertem Funktionsumfang erhältlich ist. Zusätzlich installierten wir für den Test die auf Ossec basierende Open-Source-Lösung Wazuh, die als kostenlose oder kostenpflichtige Variante einsetzbar ist. Kommerzielle Ossec-Versionen sind auch von anderen Anbietern wie zum Beispiel Atomicorp erhältlich.
Funktionsumfang von EDR-Tools
Wie der Name bereits vermuten lässt, überwachen EDR-Tools die Systemkonfiguration, die Logdateien sowie das Verhalten von Endgeräten und alarmieren den Administrator, wenn sie verdächtige Dateioperationen oder ungewöhnliche Aktivitäten feststellen. Je nach Konfiguration des Tools können automatische Aktionen folgen. Den größten Funktionsumfang bieten EDR-Lösungen, wenn auf den Endgeräten ein Agent vorhanden ist, der die Systeme fortlaufend aktiv analysiert. Die meisten EDR-Anbieter sind zudem in der Lage, Netzkomponenten wie LAN-Switches oder Firewalls agentenlos zu überwachen. Zu den Basisfunktionen von Ossec zählt ein File Integrity Monitoring (FIM), um Dateimanipulationen zu erkennen, sowie ein Log Monitoring, das Logdateien aus verschiedenen Quellen erfasst, analysiert und korreliert, um verdächtige Vorgänge zu entdecken. Auf Alarme kann Ossec automatisch reagieren, beispielsweise indem es Dateien in Quarantäne nimmt oder suspekte IP-Adressen blockt. Den Systemverwalter benachrichtigt das Tool per E-Mail oder Syslog-Automatismus. Vor Schadsoftware schützen integrierte Malware- und Rootkit-Erkennungsfunktionen. Eine Systeminventarisierung und ein Compliance Auditing runden den Funktionsumfang ab.
Die ebenfalls kostenfreie Version Ossec+ bietet zusätzlich Machine-Learning-Funktionen und eine PKI-Verschlüsselung. Sie integriert zudem den ELK-Stack (Elasticsearch, Logstash, Kibana) mit seinen leistungsfähigen Such- und Analysefunktionen. Atomic Ossec ist eine kommerzielle Version von Atomicorp, die weitere Features bietet. Hierzu zählen unter anderem mehr als 5.000 IDS- und FIM-Regeln, rollenbasierte Zugangskontrolle, eine gruppenbasierte Agentenverwaltung, eine native Cloud-Provider-Integration für AWS, Azure und GCP, eine native SIEM-Integration mit Splunk und ArcSight sowie ein Host-based Zero-Load Vulnerability Scanning. Die vom Hersteller Wazuh erhältliche gleichnamige Security-Plattform basiert ebenfalls auf Ossec und bietet einen ähnlichen Funktionsumfang. Die kommerzielle Version nutzt anstelle des Wazuh-Indexers eine lizenzierte Elasticstack-Instanz und lässt sich mit Splunk Enterprise und der Wazuh Splunk App betreiben. Mit Wazuh Cloud steht zudem eine SaaS-Variante bereit.
Für den LANline-Test luden wir von der Ossec-Website die virtuelle Ossec-Appliance im OVA-Format herunter, die auf Cent OS7 läuft, und importierten sie auf einen Testrechner mit VMware Workstation. Die Ossec-VM erhielt eine IP-Adresse aus demselben Testnetz, in dem wir auch die Wazuh-VM installierten. Um die Ossec+-Version zu erhalten, ist nach der Basisinstallation ein weiterer Setup-Befehl auszuführen Wir folgten der auf der Ossec-Site erhältlichen Anleitung. Nachdem Ossec+ erfolgreich eingerichtet war, ging es daran, den Agenten auf den Test-Servern zu installieren. Dafür kamen zwei VMs mit Windows 2019 und Ubuntu Linux zum Einsatz. Die Kommandozeile des Ossec-Servers enthält eine textbasierte Konsole, um für neue Agenten einen individuellen Schlüssel zu erstellen. Diesen Key muss der Administrator nach der Installation des Agenten in der Client-Konsole eingeben und den Agent-Dienst neu starten. Auf diesem Weg konnten wir die Windows- und die Linux-VM zur Ossec-Konsole hinzufügen, in der nach kurzer Zeit bereits zahlreiche Meldungen dieser zwei Testsysteme zu sehen waren.
- Türsteher am Endpunkt
- Installation der Wazuh-Software
Lesen Sie mehr zum Thema
