22 Januari 2013

Arsitektur OSSIM

Secara umum, pemasangan OSSIM terdiri dari empat element:

  • Sensor
  • Management Server
  • Database
  • Frontend (Tampilan Depan)

Berikut ini adalah gambar sederhana instalasi sistem OSSIM:

Hal terpenting yang harus diperhatikan adalah OSSIM juga bisa menerima event dari perangkat komersial (Windows, CIsco, dll) atau aplikasi yang sudah dimodifikasi. Hal ini karena banyaknya plugins dalam sistem OSSIM. Konfigurasi yang lebih lanjut dan lebih kompleks dapat dilihat pada gambar berikut ini:
Kita dapat menginstall correlation engines dalam sensor, sehingga didapat korelasi dan filtering (penyaringan) tingkat rendah. Selain itu juga agar dapat menerapkan kebijakan konsolidasi, untuk mengurangi penggunaan bandwith.

Sensor

Sensor dipasang dalam jaringan untuk memonitor aktivitas dalam jaringan tersebut. Di dalam sensor biasanya terinstall:

  • Aplikasi Detector dan monitoring tingkat rendah, yang secara pasif mengumpulkan data dengan pola tertentu. Secara pasif maksudnya tidak berdampak terhadap traffic jaringan.
  • Aplikasi scanner, yang secara aktif mencari vulnerabilities (kelemahan) dalam jaringan.
  • Biasanya dalam sensor terdapat agent OSSIM yang menerima data dari host dalam jaringan seperti firewall, router, dan mengirimkan event ke Management Server di atasnya.

Konfigurasi sensor OSSIM umumnya dapat melakukan fungsi sebagai berikut:

  • IDS (Snort)
  • Vulnerability Scanner (Nessus)
  • Deteksi anomali (Spade, p0f, pads, arpwatch, RRD ab behaviour)
  • Membuat profile dan monitoring jaringan (Ntop)
  • Mengumpulkan data dari router, firewall, IDS, dan komponen jaringan lokal lainnya
  • Sensor juga bisa berfungsi sebagai firewall

Management Server

Komponen-komponen dalam Management Server biasanya termasuk:

  • Frameworkd. Adalah kontrol daemon yang mengikat beberapa bagian bersama-sama.
  • Server OSSIM. Di sinilai pusat penerimaan informasi dari sensor.

Komponen-komponen di atas minimal melakukan hal-hal berikut:

  • Tugas-tugas server utama seperti normalisasi, menentukan prioritas, collecting, risk assesment dan corelation engine.
  • Maintenance dan tugas-tugas eksternal, misalnya backup, penjadwalan backup, online inventory atau memulai scanning.

Database

Database OSSIM menyimpan event-event dan informasi yang bermanfaat bagi management dari sistem OSSIM yang bersangkutan. OSSIM menggunakan database SQL.

Frontend

Frontend atau Console adalah visualisasi dari aplikasi OSSIM, dalam hal ini OSSIM menggunakan frontend web.

Komponen-komponen OSSIM adalah modul standallone dan bisa dikonfigurasikan sesuai kebutuhan administrator. Semua komponen bisa diletakkan pada hardware berbeda dan terpisah, atau meletakkan semua komponen dalam satu "mesin".

Kedua gambar di atas dan bahan artikel direferensi dari: http://www.alienvault.com/wiki/doku.php?id=documentation:architecture



Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)