本期特邀《Linux企業應用案例精解》一書作者李晨光老師,針對開源信息安全系統OSSIM在企業中的應用的問題給予解答，歡迎網友積極提問，與專家一起討論! 

查看本期門診精彩實錄：http://doctor.51cto.com/develop-256.html

精選本期網友提問與專家解答，以供網友學習參考。

Q:李老師，您好，對 OSSIM不是很了解，能夠麻煩您用簡潔的語言描述一下什么是 OSSIM，有什么功能，什么特點，正對其他相關同性質的軟件有何優勢？如何學習 OSSIM？
A:在以前的討論中我講過ossim是開源安全信息系統，它基于debian linux系統之上集成了眾多開源安全管理監控工具(Snort,Nmap,Nessus,Ntop,Nagiso,Openvas,Ocs等開源系統安全軟件,集眾多安全軟件之所長集成在一個系統中，他類似BackTrack 繼承了大量網絡安全檢測工具，但也有區別，拿BT4來說，它是一個LiveCD的系統可以通過光盤&U盤直接引導并使用。這里我們講的ossim系統是必須安裝配置調試才能使用。從windows系統管理方向轉向linux的朋友，普遍會認為linux平臺下一大堆的shell命令參數編程腳本，不容易掌握，ossim是在debian linux系統之上的安全系統除了原有特性之外，還要具備網絡安全（例如入侵檢測,安全審計,安全漏洞,滲透測試等方面）、加解密等技能。具有上述這些知識技能在部署ossim會得心應手，稍差一點，也可以邊干邊學，只要用心去做事就能學成。 

Q:李老師你好，請問ossim這個軟件能否部署在大型互聯網公司中？由于互聯網行業的特點，所有的服務都是對外網開放的，用戶都是未知用戶，服務器，數據庫等需求也都比較龐大，還有就是要求必須7*24小時在線，所以和企業網絡還是有很大區別的。在這種環境中，網絡安全是非常重要的環節，那么，除了產品及網站代碼層面的安全以外，其他方面的安全ossim是否可以扮演一個重要的角色呢？
A:根據你介紹的情況，OSSIM完全可以勝任，可以監控機房的Web服務器，數據庫服務器，能保存檢測日志以備查詢。匿名訪問站點，但訪問的IP范圍是可以被定為的。你的需求和企業機房的管理還是有差別，這種大量的web訪問，對ossim來說沒有問題，他不但可以對高層協議的數據流進行解碼，還能通過調整過濾器，查出問題，這對操作者的經驗有很大關系。如果對ossim感到陌生那么就無法在你們的系統里使用，更不用說是重要角色。

Q:老師您好，想問下OSSIM對DDOS攻擊防御的效果如何?我想問的主要是 大的流量攻擊（肉雞被黑客利用），還有一種是異常分片的報文攻擊~~還有他的檢測是不是攻擊的機制是什么？例如我們常見的Land，Winnuke，teardrop等，這些是已知的攻擊類型，如果是一些未知的攻擊類型，能防御的住不？
A:前面我為大家介紹過ossim他的組成，其中一個總要組件就是snort,他能輕松完成例如DDOS攻擊，緩沖區溢出，端口掃描，CGI攻擊等網絡異常活動，當然他也有不夠完美的地方，那就是snort在應對IP碎片時有他天生的不足，一些攻擊者會利用上述特點，將流量進行分片后發往目標，那是因為Snort與Server本身的Tcp/Ip的堆棧對數據包的處理方式的差異造成，從而導致目標主機因處理過多的Ip碎片而能力耗盡。怎么辦呢？我們可以通過Frage，和防火墻上配置ACL,具體過程請參見《Linux企業應用案例精解》第七章部署IDS案例分析。至于防御未知攻擊的問題，我想是這樣，我們看看當前所有殺毒軟件基本上都是依賴于病毒特征碼判斷的技術，而要知道防御的發展總是慢于武器的開發，對于ossim而言雖然他能調整規則，但是有時候會出現誤報，也就是說并不能完全防御。 

Q:如何在Linux系統上部署一個全網絡的網絡設備、服務器的日志集中管理系統，實現日志存儲、日志分類、分主機日志查看、嚴重高危日志提醒等功能？
A:我們總是希望電腦沒有病毒該多好，有沒有殺遍天下所有病毒的軟件，其實這種想法是好的，但實際不存在。linux系統不是萬能的，最為管理員首先要再不依托第三方軟件的情況下知道默認的日志文件在什么地方，例如/var/log/下面存放著那些系統和網絡服務的日志。一些開源工具例如Logcheck,Logwatch用來分析日志文件，過濾出有潛在安全風險的日志項目，然后以email通知指用戶，當然linux平臺下也有你所指集中控制管理存儲，分析的商業軟件例如，ManageEngine EventLog Analyzer，它是一個基于Web技術、實時的事件監控管理解決方案，能夠提高企業網絡安全、減少工作站和服務器的宕機事件。EventLog采用無代理的結構從分布式主機上收集事件日志，也可以從Linux/UNIX 主機、路由器、交換機及其它網絡設備上收集日志，并且生成圖形化報表 ，以便幫助分析提高網絡性能。  

Q:你好，李老師！請問下OSSIM建立起集中的監控、管理平臺，是一站式的服務，那么相對之前的監控應用軟件cacti和nagios它的綜合優勢是怎樣的？又是如何做到把內部信息泄露的風險降到最低？另外在智能化這塊能達到一個怎樣的效果？
A:Ossim之所以能達到一站是服務的效果，就是因為它將一些安全、監控、審計、漏掃軟件有機的整合到一個開放式的體系結構中，使用各種嗅探器和監控器產生的告警信息進行格式化集中存儲處理，這樣提高了告警的準確度。單獨的nagios也好，cacti也好，他們都只能單一的統計流量并告警的功能，在服務器（或網絡設備）再次有問題了還是會周而復始的告警提示，并不具備對結果的智能化的分析過程。而Ossim系統采用了事件序列關聯算法和啟發式算法使得它的事件數據庫（EDB）能夠保存各個探測器才加的每一單獨時間，所以這一數據庫會非常龐大，此外它擁有一個自己不段學習的知識庫和檔案庫存放著系統了解到當前網絡的各項參數和安全策略。如果說Ossim系統是一艘航母，那么單純的nagios功能與其相比只能說是一艘炮艇。目前由于公司內部泄密原因多樣化、泄密手段專業化讓人防不勝防，總體而言大致分為內部主動泄密、無意泄密、惡意竊取三種針對這一情況，它可以采用登錄認證、通信加密、數據庫加密等措施盡量保障信息不被輕易竊取，但無法完全避免。要想實現真正意義的內部信息防泄露還需要其他的第三方軟件的支持，和公司管理制度上的制約。

Q:老師你好！我想問一下現在我們公司用的cacti+nagios的監控系統但是每周出報表的時候都只能截圖。雖然截圖是比較直觀，但是感覺上沒一個實質數據出來的報表沒多大價值！如果用他本身導出來的表格的話數據非常亂，OSSIM有沒有一個監控報表插件，還有就是在跨平臺上的做的怎樣呢。感謝老師回答！
A:OSSIM能生成非常詳細報表，更具SIEM 能生成有關Attack Host,Used Port,Alarm Report的Top 10記錄同時可以選擇時間范圍，最后能以pdf,rtf,email的方式通知你。因為他是基于b/s的架構，對于跨平臺沒有問題。