Monday, September 5, 2011

OSSIM

פתרון לאיסוף וניהול אירועי אבטחת מידע
מערכת ה- SIEM – Security Information Management נועדה לעזור בהתמודדות עם איומי אבטחת המידע. בעזרת מערכות אלו ניתן לזהות בכל רגע נתון את מצב אבטחת המידע בארגון, האיומים עמם הארגון מתמודד ודירוג חומרת הבעיות. ה SIEM אף עוזר בניהול ומעקב אחר מהלך הטיפול בתקריות אבטחת מידע (Incident Management).

  אחת היכולות התשתיתיות המרכזיות המסייעת לניהול מושכל של סיכונים עסקיים, הינה היכולת לעקוב אחר כל האירועים בכלל מערכות הארגון, לאסוף אותם לנקודה אחת מרכזית, לנתח אותם בצורה מהירה.  מערכת SIEM הינה מערכת לאיסוף וניתוח אירועי אבטחת מידע מרכזית בארגון ,תפקידה לנטר ולהתריע על חשד לאירוע החורג ממדיניות אבטחת המידע בארגון .
ישנם מספר פתרונות מדף בשוק אשר עלותם הכספית הגבוהה מרתיעה מנהלי אבטחה ומנמרי"ם מלהכניס מוצרים חיוניים אלה לארגונם , דבר הפוגע ברמת אבטחת המידע בארגונם .
מערכת ה- OSSIM היא מערכת קוד פתוח אשר מטרתה לאסוף מידע ממערכות שונות ברשת ולהיות מסוגלת לשלב, לוודא, ולשייך את המידע לאירועים, המדורגים לפי רמת חומרתם (נמוכה, בינונית, גבוהה) כמו כן לתת תמונה מלאה על מצב אבטחת המידע בארגון בכל זמן נתון .
מערכת ה- OSSIMהינה מערכת SIEM  אוספת מידע מכלל מערכות המידע ברשת כגון :
*     ציודי תקשורת.
*     מערכות הפעלה.
*       ציודי אבטחת מידע.
*      בסיסי נתונים .
*.      שירותי WEB.
בנוסף מערכת זו מורכבת ממספר מערכות קוד חופשי אשר מספקות פתרון ניטור ,מיפוי וניהול סיכונים בארגון :
  • מערכת SNORT לטובת מימוש מערכת IPS לזיהוי ומניעת התקפות רשת.
  • מערכת OPENVAS לביצוע סריקות אבטחה ולזהות חולשות אבטחה.
  • Nagios– לניטורשרתים ושירותי רשת.
  • ARPWATCH– לזיהוי מתקפות מבוססות על LAYER 2.
  • מגוון רחב של מערכות נוספות.(
  • P0F,PADS,TCPTRACK,NTOP,OSIRIS,OCS-NG,OSSEC
כיום המוצר תומך בלמעלה מ - 2,390 ציודי תקשורת , שרתים ,אפליקציות וכו'
את הרשימה המלאה והמעודכנת ניתן לראות לדף הבא :
http://www.alienvault.com/community.php?section=Plugins


 
מערכת הניהול והבקרה של ה- OSSIM בנויה בתצורה של Web Services כלומר הניהול מתבצע באמצעות הדפדפן ואין צורך בהתקנה של רכיב נוסף בצד המשתמש ומנהל המערכת 



בנוסף ליכולות איסוף אירועי אבטחת המידע וניתוחם למערכת ה- OSSIM יכולות נוספות כגון 
:
·         מערכת IDS – התראות על התקפות וחריגות ברשת
·         מערכת Vulnerability Assessment – ניהול סיכוני אבטחת מידע ברשת
·         מערכת פתיחה וסגירת משימות (Ticketing ) בנושא אירועי אבטחת מידע
·         מערכת שו"ב ( Nagios ) לבקרת שרתים וציודי תקשורת
·         מערכת Netflow לבחינת תעבורת רשת



לייעוץ ופתרונות נוספים בתחום אבטחת המידע ו - Linux  פנה ל Zeroday security
 info@zeroday.co.il
www.zeroday.co.il
Posted by at No comments:
Labels:
Location: Israel

Sunday, September 4, 2011

IIS Web application security



פתרון אבטחה לשרתיIIS   מבוסס על ISAPI Filter ומספק הגנה אפליקטיבית בפני התקפות  Web שונות . בין היתר התקפות כגון :

  • Cross-site-scripting
  • Cross Site Tracing
  • Cache Poisoning
  • Full Path Disclosure
  • LDAP injection
  • Network Eavesdropping
  • Phishing
  • Relative Path Traversal
  • SQL Injection
  • Server-Side Includes (SSI) Injection
  • Session hijacking attack
  • Web Parameter Tampering


פתרון ה- WebKnight הינו פתרון בתצורת ISAPI Filter המותקן על שרת ה- IIS ומספק הגנה בפני התקפות ונסיונות פריצה לאתרים.
הפתרון מומלץ בין היתר ע"י ארגון ה- OWASP, ארגון המוביל את נושא אבטחת המידע האפליקטיבית בעולם.
http://www.owasp.org/index.php/Web_Application_Firewall
פתרון זה ניתן כתוכנת קוד חופשי אשר לא דורש רישון ,הטמעת הפתרון דורשת ידע מקצועי בסיסי בנושא אבטחת מידע אפליקטיבית ומתאימה לשרתי IIS 5 /6 /7
פתרון זה נותן מענה למספר הנחיות ורגולציות בתחום אבטחת המידע ,כגון PCI .
ניתן להוריד את הכלי והוראות התקנה באתר  http://www.aqtronix.com


 
לייעוץ ופתרונות נוספים בתחום אבטחת מידע פנה ל Zeroday security
 info@zeroday.co.il
www.zeroday.co.il


Posted by at No comments:
Labels:

Unix and Linux AD Authentication

קישור שרתי Unix / Linux ל Active Directory לטובת ביצוע הזדהות

באמצעות המדריך הבא תוכל לשלב את שרתי ה- Linux/Unix בארגון במערך הניהול המרכזי Active Directory ובכך להעלות את רמת אבטחת המידע והבקרה של מערכות ה –IT בארגון .
בין היתר באמצעות הפתרון נוכל :

·        לפשט את תצורת הרשת
·        להגביר את היעילות התפעולית
·       לשפר את האבטחה ברשת עם גישה וניהול מרכזי
·         לשפר את תצורת המערכת ולהפחית את עלויות הניהול
·        לאפשר התאמה לרגולציות ( PCI / SOX )
·         לבצע אכיפת מדיניות אבטחה עקבית ברחבי הארגון

הפתרון מתבסס על מוצר קוד חופשי של חברת Likewise
שלב ראשון – הורדת ה –Source  וההתקנה :
הרשם והורד את המקור מהאתר http://www.likewise.com/download/
לאחר ההורדה יש להעתיק את ה Source לשרת  ולהתקין :
chmod a+x LikewiseIdentityServiceOpen-XXX-linux-i386-rpm.sh
LikewiseIdentityServiceOpen-XXX-linux-i386-rpm.sh/.
שלב שני – רישום השרת ב- Active Directory
יש לבדוק כי אכן יש תקשורת מהשרת לעבר שרת ה- DC  בארגון וכמו כן DNS Resolving
יש להריץ את הפקודה הנ"ל (יש לבצע את הרישום באזרת משתמש בעל הרשאות Domain admin )
/opt/likewise/bin/domainjoin-cli  join  XXX.com   Administrator
/etc/init.d/lsassd restart
/etc/init.d/sshd restart

לייעוץ ופתרונות נוספים בתחום אבטחת המידע ו - Linux  פנה ל Zeroday security
 info@zeroday.co.il
www.zeroday.co.il



Posted by at No comments:
Labels:
Subscribe to: Posts (Atom)