Ossec – host based intrusion detection system
2 likes2,592 views
Tài liệu đề cập đến hệ thống phát hiện xâm nhập dựa trên máy chủ (OSSEC) và phân tích về các loại rootkit, bao gồm rootkit mức kernel và ứng dụng. Nó cũng mô tả các kỹ thuật phát hiện rootkit, quy trình giám sát chính sách, và phản ứng tự động của hệ thống. OSSEC cung cấp các tính năng như phân tích log, phát hiện rootkit và kiểm tra tính toàn vẹn, nhưng cũng gặp khó khăn trong việc quản lý lượng lớn log và ảnh hưởng đến hiệu suất hệ thống.
Ossec – host based intrusion detection system
- 1. OSSEC – HOST-BASED INTRUSION DETECTION SYSTEM Internship Report – Hai Dinh Tuan
- 2. Types of Rootkit Rootkit là những công cụ bằng phần mềm do kẻ xâm nhập cài đặt vào máy tính của nạn nhân nhằm mục đích: Ẩn giấu một số file và tiến trình chạy ngầm trong hệ thống Cho phép quay lại xâm nhập máy tính đó để thực hiện các mục đích sau.
- 3. Types of Rootkit Kernel-level Rootkit Application-level Rootkit
- 4. Kernel-level Rootkits Thay đổi cấu trúc từ kernel để che đậy dấu vết của rootkit Các rootkit loại này rất khó bị phát hiện, bởi tất cả các process tra cứu thông tin của rootkit trên kernel đếu bị đánh lừa Cần kiểm tra phần ổ cứng đã bị cài rootkit bằng một hệ điều hành khác và tiến hành kiểm tra hệ thống
- 5. Application-level Rootkits Thay thế môt số các file hệ thống bằng các file giả mạo Dễ dàng cài đặt hơn, và cũng dễ dàng bị phát hiện hơn so với các rootkit ở mức kernel
- 6. Detection technique Application-level Rootkits Dựa vào signature của rootkit Kernel-level Rootkits Dựa vào cách kiểm tra và so sánh với trạng thái hoạt động bình thường của hệ thống để phát hiện rootkit
- 7. OSSEC Rootkit Detection Process và Port không hợp lệ Scan port và so sánh với các lệnh kiểm tra hệ thống để phát hiện các port được mở trái phép Theo dõi những file có permission bất thường Tìm kiếm những file có dấu vết của rootkit
- 8. OSSEC Rootkit Detection Phát hiện sự thay đổi trên các file quan trọng Tương tự như tính năng syscheck Theo dõi card mạng Theo dõi các card mạng có mode hoạt động là promiscuous Users có uid = 0 Phát hiện những hành vi bất thường trong hệ thống
- 9. Configuration Frequency Disabled Rootkit_files Rootkit_Trojans system_audit Windows_audit windows_apps windows_malware
- 10. Configuration Example <rule id=“100703” level=“0”> <if_group>rootcheck</if_group> <hostname>web1</hostname> <description>Ignoring rootcheck alerts from agent “web1”</description> </rule>
- 11. Policy Monitoring Nhờ vào tính năng này, OSSEC HIDS có thể từ 1 server và quản lý từ xa toàn bộ các Agent, quản lý các cấu hình cụ thể trên từng Agent, những ứng dụng và dịch vụ nào có thể được cài đặt trên các Agent đó. Linux: system_audit Windows: windows_audit, windows_apps, windows_malware
- 12. Policy Monitoring Rules Hệ thống Rules mặc định: 512—Windows Audit 513—Windows Malware 514—Windows Application 516—Unix Audit
- 13. Configuration Example <rule id=“100712” level=“2”> <if_sid>514</if_sid> <options>alert_by_email</options> <description>Windows application monitor event.</description> <group>rootcheck,</group> </rule>
- 14. Active Response Hệ thông sẽ tự động đưa ra các phản ứng đối với những hành vi có nguy cơ gây hại nhằm tăng hiệu quả bảo mật cho hệ thống
- 15. Automated Actions Block/Drop Firewall Cách ly Hạ bandwidth Khóa account
- 16. Demo – Normal Active Response <command> <name>mail-notify</name> <executable>mail-notify.sh</executable> <expect>user,srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <active-response> <disabled>no</disabled> <command>mail-notify</command> <location>server</location> <rules_group>sshd</rules_group> <level>6</level> </active-response>
- 17. Demo – Timeout Active Respone <active-response> <disabled>no</disabled> <command>host-deny</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response> <active-response> <disabled>no</disabled> <command>firewall-drop</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response>
- 18. OSSEC – Pros and Cons / Pros Có thể phát hiện và ngăn chặn các cuộc xâm nhập từ sớm Kiểm soát sâu được cả các hệ thống đầu cuối Quản lý các thiết bị của người dùng cuối dễ dàng hơn, đặc biệt là các thiết bị truy cập vào hệ thống mạng từ xa Theo dõi và quy định các chính sách của doanh nghiệp đối với từng thiết bị Tính năng theo dõi các lưu lượng mạng ra vào trên các network interface trên hệ thống nhằm phát hiện các hành vi tấn công thông qua các kết nối mạng Quản lý tập trung
- 19. OSSEC – Pros and Cons / Cons Khi triển khai các giải pháp IDS quản lý tập trung, cần phải lưu ý đến vấn đề lưu trữ và xử lý một khối lượng rất lớn các loại log hệ thống từ các Agent gửi lên OSSEC server. Trong quá trình vận hành, việc xây dựng thêm các cấu hình, rules, active response configurations đều rất tiềm tang nguy cơ ảnh hưởng đến hệ thống Tiêu tốn tài nguyên hệ thống
- 20. OSSEC – Summary Host-based Intrusion Detection Đa nền tảng, mã nguồn mở, khả năng tùy biến cao Log Analysis, Rootkit Detection, Active Response, Integrity checking Mô hình hoạt động. Quá trình phân tích Log (Pre-decoding, Decoding Rule Matching)
- 21. OSSEC – Summary Các tính năng chính: Kiểm tra tính toàn vẹn tập tin Atomic Rules & Composite Rules Rootkit Detection Active Response