06 Februari 2013

OSSIM: Scanner dan Inventory

Berikut ini gambaran umum mengenai scanner dan inventory yang dipergunakan dalam fungsionalitas OSSIM. Jika dilihat di dokumentasi resmi OSSIM, dua materi ini dipisah menjadi 2 web page. Namun karena isinya cukup singkat, akan saya jadikan satu posting.

Vulnerability Scanner

Dengan Vulnerability Scanner kita bisa mengaudit network dari sudut pandang tertentu, dimana scanner dilakukan. Scanner akan mencari kelemahan di dalam jaringan yang menjadi target, melancarkan simulasi serangan untuk memeriksa apakah network, service, atau aplikasi rentan terhadap serangan, bila dilihat dari sudut pandang scanner.

OSSIM memiliki aplikasi Nessus 2.X sebagai security scanner. Scanner ini bisa diinstall di setiap sensor yang dipasang, atau dalam sebuah server pusat, bergantung kepada kebutuhan auditing. Scan bisa dijalankan secara otomatis melalui schedule. Report individual dikumpulkan dari server pusat dan OSSIM mengelola daftar vulnerability dari setiap host agar korelasi silang bisa dilakukan oleh Corelation Engine dan history dari data vulnerability dari setiap host/network juga disimpan.

Automatic Inventory

Automatic Inventory (inventory secara otomatis) dilakukan di level sensor dengan detektor yang memantau seluruh trafic secara pasif. Mekanisme inventory ini juga diimplementasikan pada server oleh Network Scanner yang secara aktif mencari host dan service dari sebuah titik pusat. Kedua metode tersebut secara otomatis memberikan data ke database inventory yang berisi:

  • Tipe OS dan versi OS
  • Tipe service dan versi service
  • Mac Address dan IP address

Sistem Automatic Inventory pada OSSIM menggunakan program-program open source sebagai berikut:

  • Nmap, sebagai network scanner tanpa agent
  • P0f, sebagai detektor OS secara pasif
  • Pads, sebagai detektor service secara pasif
  • Arpwatch, sebagai detektor ARP secara pasif
  • OCS, sebagai agent
Perlu diperhatikan bahwa dengan menggunakan teknik tanpa agent, informasi mengenai type sistem operasi dan versinya hanyalah perkiraan. Namun, di sisi server informasi-informasi tersebut bisa dimasukan secara manual.



Tidak ada komentar:

Posting Komentar