OSSIM平台部署前奏

2021-09-04 13:29:55 字數 3470 閱讀 6927

工欲善其事,必先利其器。作為ossim的使用者,對於企業網中部署ossim你真的準備好了嗎?從軟體方面看對於系統維護、網路管理以及安全管理知識體系是否全面了解呢?在本章中部署ossim是需要使用者具有系統工程師、網路架構師和安全分析師多種角色的知識,下面重點從硬體選型上講解ossim準備安裝前的注意事項。

1. 軟硬體配備

(1)首先確定監控範圍。需要監控幾個網段內的多少臺伺服器,每台裝置的日最高流量為多大(需要按峰值考慮),每台裝置都需要能聯絡到相應的管理員。

(2)確定監控物件,雖說ossim能夠監控多種裝置,但實際上為了保證效能,不能無節制的開啟各種服務。

(3)從人員配備上看,需由專人負責管理,維護ossim的人員,首先因該是具有一定工作經驗的linux工程師,熟悉linux系統+網路架構+mysql+php,即熟悉linux系統運維、mysql資料庫運維、資訊保安管理、對於網路程式設計也需要掌握。

(4)硬體選擇,可以採用品×××伺服器,對於中小企業也可以根據自己需求,以ossim 4.8系統為例,目前系統對多核效能支援的比較好,推薦採用至強e系列處理器,ossim在漏洞掃瞄、ossec掃瞄、snort事件分析時會消耗大量cpu,所以要盡量選擇高效能cpu,尤其是在ossim usm發展到5.0之後,資料庫採用了mysql 5.6,對多cpu處理能力需求更高。

就記憶體而言,只有乙個道理,越大越好。當資料庫的全部資料頁能儲存在緩衝池中,那麼其效能 理論上是最優狀態。 對於新版本ossim,建議需要配備16g以上記憶體,經過長期測試,對於ossim 4.3(64位)版本系統而言,如果記憶體分配小於6g在實際測試中系統工作一段時間之後,由於記憶體溢位等問題,可能出現某些服務自動重啟或沒有響應的情況。

所以16g記憶體是穩定執行的乙個經驗值(而且監控選項和外掛程式選項是針對性的開啟)另外系統還需要2t的儲存空間,有條件記憶體配備32g比較理想。筆者在測試環境中採用自己攢的伺服器,配置如下:華碩p8z87-k+intel i7 4770k+32g記憶體+雙千兆intel網絡卡+4t硬碟的配置下安裝ossim 4.11一次性通過,執行效果比較理想。

在持久儲存上通常使用多塊硬碟組成raid陣列,ossim系統中常採用raid 1+0模式,但機械磁碟本身的特性決定了其iops效能比較低,而通過多塊盤做raid雖能提公升iops,但對於ossim系統而言依然緩慢,所以對於有條件的企業建議採用固態硬碟,當前ssd能輕鬆達到50000。

固態硬碟可分為pcie和sas(sata)介面。pcie有著最好的效能,但**較貴。而sas介面的乙個好處是易於安裝,公升級當前伺服器的儲存到sas介面的固態硬碟僅需拆卸原來的機械硬碟即可。而pcie需要拆開伺服器的背板,工程量較大,普通系統工程師恐難勝任。

(5)對於broadcom netxtreme網絡卡所遇到的問題

成功載入驅動後,在系統內就能檢視到詳細資訊:

# dmesg | grep bnx2

[    1.909228] broadcom netxtreme ii gigabit ethernet driver bnx2 v1.7.5

[    2.634060] firmware: requesting bnx2-06-4.0.5.fw

[    3.185810] firmware: requesting bnx2-06-4.0.5.fw

新版本的ossim在這方面進行了改進,增加了firmware-bnx2包,這樣一來能夠支援broadcom netxtreme系列網絡卡。

2.伺服器選擇

部署ossim伺服器時常會遇到兩類問題,一類是無法識別硬碟,另一類是無法識別網絡卡。對於dell、hp和ibm品×××x86伺服器系列,官方預設對windows以及linux發行版rad hat、suse linux提供rpm格式的驅動支援不錯,它們只提供red hat和suse的硬體相容列表,對於debian linux平台支援相對較差。

一些使用ossim的使用者,為伺服器raid卡安裝驅動頭痛不已。經測試dell 2950/2850 poweredge、hp proliant dl160 g6 、dl360、dl380 (g7、g8)、ibm x3100m4以及方正圓明lt200 2600等伺服器都能順利安裝ossim 4。大家在選擇一款專業伺服器時,需要確認它是否支援debian linux系統。

ossim是基於debian linux的系統,所以並沒有包含最新伺服器的網絡卡驅動和raid卡驅動,在廠家那裡沒有提供相容列表時,大家可以在上查詢機器是否適合安裝。例如查詢ibm x3650機器是否能安裝就可以查詢/ibm/x3650/。

在網絡卡的選擇方面大家需要注意,有條件的部門可以選擇帶佇列功能的網絡卡,例如intel 82576千兆網絡卡,它支援pcie 2.0 x 4,支援msi-x中斷,支援8個rss佇列。 

3.cpu核心越多越好?

在ossim中整合了很多優秀的抓包工具例如tcpdump、snort/suricata這些工具中都具有資料報捕獲函式庫例如pf_ring,它們都是以庫函式為基礎的軟體方式抓包,在老版本中採用libpcap抓包,由於它接收資料報時產生的中斷開銷,以及將接收到的資料報從網絡卡複製到核心,再從核心複製到使用者空間消耗大量cpu資源,所以不適用高速鏈路。若提高抓包效率就必須減少記憶體複製次數,改變中斷方式,減少不必要的cpu中斷,pf_ring機制在這種需求下誕生。在ossim中採用了pf_ring+napi的捕包機制。

對於乙個流量監控模組來說,必須要求足夠的cpu資源,來對捕獲的資料報做深一層處理和分析,否則捕獲的資料報會被丟棄。因此有必要測試在各種資料報大小下,包捕獲有沒有發生丟棄,注意觀察cpu使用率。

即使使用了suricata支援多執行緒,在多核平台上抓包,也沒有成倍提公升效能,但採用多核和suricata後抓包效率比過去提公升了不少,但還有一部分不可避免的cpu消耗主要集中在核心空間。   

4.伺服器網絡卡注意事項

哪種網絡卡最適合ossim呢?從安裝方便程度和**上看當屬intel pro 10/100/1000網絡卡,但它的吞吐量並不是最好,ossim自帶intel pro網絡卡驅動,另外選擇realtek瑞昱8169晶元(ossim直接帶驅動)網絡卡也是一種選擇比intel略遜一籌,比它更好的例如intel gigabit et quad port server adapter,型號是e1g44et,這需要你手動安裝驅動,這塊基於兩個82576晶元的強大四口千兆網絡卡,適和大流量網路環境下監控,但**比較貴。

對於ossim伺服器的資料儲存問題,可使用已有的儲存系統,推薦專供ossim平台使用的儲存系統,如 ibm system storage ds4000盤陣等。另外網絡卡方面選用intel的雙千兆網絡卡比較合適,另外在交換裝置上做好span設定這一步至關重要,詳細操作後面會講到,需要將流量映象到sensor的網路介面。

用OSSIM平台輕鬆發現「心臟出血」漏洞

用ossim平台輕鬆發現 心臟出血 漏洞 心臟出血 漏洞作為目前網際網路中存在的最為嚴重網路安全漏洞,者借助 心臟出血 漏洞可以獲取使用者上網的賬戶 密碼以及網上交易等眾多敏感資訊,因此我們必須提前測試並對這類漏洞進行修復,從而保證網上交易的安全。下文介紹如何用ossim平台來檢測 心臟出血 漏洞的...

基於OSSIM 的開源安全運維平台

基於ossim 的開源安全運維平台 乙個安全運維平台能否有效就要看收集資料的能力,如果資料來源都有缺失,那上層的關聯分析很可能會產生偏差。對於網路安全裝置而言,主要採集其安全日誌 包括報警 和裝置執行狀態資訊。這本ossim最佳實踐向您展示了其基於外掛程式的強大資料採集和處理能力。然而目前市場上的安...

用OSSIM平台輕鬆發現「心臟出血」漏洞

用ossim平台輕鬆發現 心臟出血 漏洞 心臟出血 漏洞作為目前網際網路中存在的最為嚴重網路安全漏洞,者借助 心臟出血 漏洞可以獲取使用者上網的賬戶 密碼以及網上交易等眾多敏感資訊,因此我們必須提前測試並對這類漏洞進行修復,從而保證網上交易的安全。下文介紹如何用ossim平台來檢測 心臟出血 漏洞的...