1 / 32

OSSEC HIDS, Host Based Intrusion Detection System

Aurora Mazzone, INFN Sezione di Torino Parte Prima. OSSEC HIDS, Host Based Intrusion Detection System. Il progetto. Open source, GPLv3 Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list

dara
Télécharger la présentation

OSSEC HIDS, Host Based Intrusion Detection System

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aurora Mazzone, INFN Sezione di Torino Parte Prima OSSEC HIDS, Host Based Intrusion Detection System

  2. Il progetto • Open source, GPLv3 • Principale sviluppatore: Daniel D. Cid, Third Brigade • La versione attuale è la 1.6.1 • WebUI versione 0.3 • Supporto dalla mailing list • Supporto commerciale dalla Third Brigade

  3. Host based intrusion detection system • analisi dei log in tempo reale • analisi periodica dei file vitali del sistema • ricerca di rootkit • monitoraggio e applicazione delle policy • segnalazione situazioni critiche o anomale via e-mail • active-response • altamente personalizzabile

  4. Sistemi operativi supportati • GNU/Linux • OpenBSD/NetBSD/FreeBSD • Solaris • Mac OS X 10.x • Windows 2000/XP/2003/Vista/2008 (solo agent)‏

  5. Tipi di installazione • server • local • agent

  6. Server: logging remoto syscheck e rootcheck parsing dei log in tempo reale fino a 256 agent e-mail di notifica Tipi di installazione

  7. Local: Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent Tipi di installazione

  8. Agent: syscheck e rootcheck lato client invio dei log al server (cifrati)‏ active-response Tipi di installazione

  9. script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata Installazione e configurazione

  10. pre-decoding decoding rules Analisi dei log

  11. Informazioni statiche: hostname nome del programma data/timestamp log Pre-decoding

  12. Informazioni dinamiche: user ip porta azione protocollo url Decoding

  13. decoder.xml/local_decoder.xml: file di configurazione decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active-response, fts ottimizzazione Decoding

  14. scritte in xml struttura ad albero match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili Rules

  15. Regole semplici: match all'interno di un messaggio di log generazione dell'alert Rules

  16. Regole composite: correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc. Rules

  17. syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog Formati di log supportati

  18. Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati. Formati di log NON supportati

  19. configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle e-mail Alert via e-mail

  20. Configurazione granulare: importanza dell'evento gruppo di regole host di origine / sottorete di origine Alert via e-mail

  21. controllo dei file ricerca di rootkit policy Syscheck e Rootcheck

  22. checksum MD5 di tutti i file specificati controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo Syscheck

  23. frequenza o scan_time/scan_day sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso)‏ notifica alla creazione di nuovi file Syscheck

  24. Rootkit detection: application level rootkit kernel level rootkit Rootcheck

  25. Application level rootkit: signature Rootcheck

  26. Kernel level rootkit: confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua Rootcheck

  27. Policy: applicazioni consentite configurazioni appropriate personalizzabile Rootcheck

  28. Script: reazione in base ad un evento. Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder. Active-response

  29. php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale WebUI

  30. ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale Perchè usare OSSEC

  31. documentazione frammentaria, non omogenea ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione Svantaggi:

More Related