четверг, 21 июня 2012 г.

Сбор логов по сети

Давно хотел сделать сбор логов по сети. И вот решил поставить OSSIM. Пакет умеет собирать логи с разных систем и устройств. В частности и из Windows. Для этого есть два варианта. Пакет Snare 


 или OSSEC.


Оба пакета представляют собой программы устанавливаемые на систему и пересылающие логи на сервер. В моем случае сервер OSSIM. Установка простая. В системе появляется новый сервис.

В случае со Snare есть два варианта работы. Первый вариант с агентом, второй без агента. Пробовал оба. Без агента интересней, но у меня он пока не заработал. Думаю из за того, что нужен отдельный логин с правами. 

С агентом проще, но тоже есть свои тонкости. В частности, возникла проблема с русским языком. У меня установлены в основном Windows  с русским языком. И логи там  тоже на русском. Правда проблема не в агенте. Он честно шлет русские логи. Проблема в сервере. Т.е. он не понимает русский язык. Смена локали не особо помогла. Хотя думаю, что проблема в моей кривизне рук.

С OSSEC вариант только с агентом. Агент устанавливается просто. После этого необходимо запустить графический интерфейс (не обязательно) и прописать адрес сервера и ключ. Адрес нам известен, а ключ создается не сервере. Его необходимо скопировать и вставить в соответствующее поле агента. После этого OSSEC шлет логи на сервер. Кроме этого, он умеет отслеживать изменения файлов, реестра, искать руткиты. 

 В целом OSSEC понравился больше. Основная проблема с этими пакетами в сервере. Т.к. именно он обрабатывает логи и именно у него возникают трудности с русским языком. Но это решаемая проблема.

четверг, 29 марта 2012 г.

Устранение уязвимостей

В ходе тестирования Lumension Path and Remediation столкнулся с интересной особенностью Nessus. 

В частности, сканирование Nessus показывает наличие уязвимостей связанных с браузером Opera. Хотя на компьютере такого браузера нет. 

Поиск по компьютеру показал наличие папки Opera, которая осталась после удаления ПО. Удалив на всякий случай папку и повторив сканирование с удивлением обнаружил в отчете уязвимости связанные с Opera. Почему это происходит пока не понял. Возможно нужно почистить еще и реестр. 

Еще одна особенность уже Lumension P&R. 
Nessus нашел уязвимости связанные с Adobe Reader. Большая часть индексов уязвимостей в Nessus совпали с индексами уязвимостей в Lumension P&R. Часть уязвимостей удалось устранить с помощью Lumension P&R. Однако часть устранить не получается по причине того, что Nessus предлагает установить одну из последних версий Adobe Reader. А в Lumension P&R такого пакета еще нет. Хотя с сайта можно скачать версию еще новее. 

Буду искать, почему такая рассинхронизация.

вторник, 27 марта 2012 г.

Устранение уязвимостей

Продолжаю изучать систему Lumension Patch & Remediation.

Вот как выглядит главное окно (кликабельно).


Здесь показывается основная информация по состоянию агентов, новые патчи, системы где не установлены все обновления и т.д. Внешний вид можно изменять. Добавлять или убавлять виджеты. Менять местами и т.д.

Первое, что необходимо сделать это найти компьютеры в нашей сети. Для этого выбираем пункт Discover-Assets. Открывается мастер.


В мастере можно выбрать вариант выполнения задания - Немедленно, однократно, ежедневно  и т.д.


Далее выбираем вариант выбора целей. Это может быть один IP адрес, диапазон, AD и т.д. 


Потом нужно выбрать тип сканирования.


И желательно задать учетные данные. Это позволит точнее определить ОС и параметры системы.

После этого произойдет поиск и в результате у нас появиться список наших компьютеров. Следующим шагом будет установка агентов. Однако предварительно нужно дождаться репликации системы. Это можно увидеть на главном экране в левом верхнем квадрате. 

После того, как будет закончена репликация, можно скачать установочные пакеты для различных ОС. 

Процесс установки агентов практически не отличается от поиска. Единственно добавляется несколько шагов мастера, где вы указываете какого агента ставить и другие параметры.

Пока все. Продолжение будет позже.

четверг, 22 марта 2012 г.

Устранение уязвимостей

Вчера получил свой тестовый сервер для развертывания Lumension Patch & Remediation. Запустил установку. 

В ходе установки потребовал добавить MS SQL и Silverlight. Сам скачал нужные пакеты и установил. 

Далее по ходу установки потребовалось скачать некие дополнительные пакеты. Но процесс скачивания не удался. Вывели сообщение, что можно пакеты скачать позже. Установка продолжилась. 

После установки пакета запустилась консоль управления в браузере. Все управление через веб-интерфейс. Понажимал всякие кнопочки. Интерфейс довольно красивый. Скриншоты сделаю чуть позже. 

При попытке установить агента на клиентский компьютер, оказалось, что нет установочных пакетов. Нужно было их скачать с сайта. В консоли есть специальный раздел для скачивания. Но в разделе скачивания установочных пакетов ничего не было. Связавшись с техподдержкой выяснил, что система должна сначала провести репликацию. И пока она не закончится ничего скачать нельзя. Пришлось оставить на ночь. А с утра виртуальный сервер благополучно умер. Так что пока жду его восстановления. Поэтому и скриншоты не могу сделать :-). Как оживет буду пробовать дальше.

вторник, 20 марта 2012 г.

Устранение уязвимостей

Занялся поиском решения по устранению уязвимостей. В прошлом году внедрили в качестве сканера уязвимостей Nessus. 


Однако получается ситуация, когда мы знаем о том, что уязвимость есть, а устранить ее вовремя не можем. Связано это с тем, что автоматически заплатки ставятся только у Microsoft при помощи WSUS. Остальной софт заплатки качает, но при установке спрашивает пользователя. А пользователь, зачастую, просто закрывает окно. И таким образом заплатка не устанавливается. Уязвимость остается.

Нужен софт, который будет работать аналогично WSUS, но ставить заплатки на все продукты. Ну или на большинство.

Первым на глаза попался Lumension® Patch and Remediation
Вроде бы умеют устанавливать заплатки не только на продукты MS, но и на Adobe, Citrix и т.д.

Скачал демо версию. Буду пробовать. По результатам буду писать.

понедельник, 19 марта 2012 г.

Смарт-карты от Аладдина

Ранее я тестировал смарт-карты от компании Аладдин и считыватели Athena (которые предлагает Аладдин).



Все работает вполне неплохо. Но в процессе эксплуатации выявился один интересный момент.

Карта стоит порядка 600 рублей (с чипом EM-Marine и сертифицированная ФСТЭК). Соответственно портить ее путем печатания на ней фотографии и ФИО сотрудника весьма накладно. Если сотрудник уволился, то карту можно просто выкинуть. Т.к. новые фото и ФИО не напечатаешь. 

Выходит достаточно накладно. Соответственно, чтобы сэкономить, логично использовать тонкие пластиковые наклейки. На них можно печатать необходимую информацию и при необходимости наклейку можно снять и выбросить, а карту использовать повторно. 

Однако при наклеивании на карту этой тонкой пластиковой наклейки толщина карты увеличивается буквально на полмиллиметра. И карта уже не входит в считыватель Athena. Причем втиснуть ее все таки можно, но данные с чипа не читаются. 

Разобрав считыватель я обнаружил внутри пластиковую конструкцию, в которую входит смарт-карта. 


Щель в данной конструкции точно соответствует толщине карты. И при использовании наклейки карта уже не может пройти в тонкую щель. Если применить силу, то в конструкции открываются защелки и карта входит. 

Но дойти до конца ей не позволяют небольшие выступы.



Пришлось на наклейке вырезать небольшие углубления напротив соответствующих выступов в считывателе. 


После такой доработки карта заработала. Только теперь в считыватель она входит с небольшим усилием.

Столкнувшись с такой проблемой, решил поискать альтернативные считыватели. В результате протестировал считыватель ACR38U-A1.

В нем использована другая система удержания карты и проблем с наклейкой не возникло. 

Таким образом, для себя определил следующий комплект:
- сертифицированная смарт-карта от Aladdin
- считыватель ACR38U-A1.