La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

OSSEC HIDS, Host Based Intrusion Detection System

Presentazioni simili


Presentazione sul tema: "OSSEC HIDS, Host Based Intrusion Detection System"— Transcript della presentazione:

1 OSSEC HIDS, Host Based Intrusion Detection System
Aurora Mazzone, INFN Sezione di Torino Parte Prima

2 Il progetto Open source, GPLv3
Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade

3 Host based intrusion detection system
analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via active-response altamente personalizzabile

4 Sistemi operativi supportati
GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)‏

5 Tipi di installazione server local agent

6 Tipi di installazione Server: logging remoto syscheck e rootcheck
parsing dei log in tempo reale fino a 256 agent di notifica

7 Tipi di installazione Local:
Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent

8 Tipi di installazione Agent: syscheck e rootcheck lato client
invio dei log al server (cifrati)‏ active-response

9 Installazione e configurazione
script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata

10 pre-decoding decoding rules
Analisi dei log pre-decoding decoding rules

11 Informazioni statiche: hostname nome del programma data/timestamp log
Pre-decoding Informazioni statiche: hostname nome del programma data/timestamp log

12 Informazioni dinamiche: user ip porta azione protocollo url
Decoding Informazioni dinamiche: user ip porta azione protocollo url

13 Decoding decoder.xml/local_decoder.xml: file di configurazione
decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active-response, fts ottimizzazione

14 Rules scritte in xml struttura ad albero
match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili

15 Rules Regole semplici: match all'interno di un messaggio di log
generazione dell'alert

16 Rules Regole composite:
correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.

17 Formati di log supportati
syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog

18 Formati di log NON supportati
Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.

19 Alert via configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle

20 Alert via e-mail Configurazione granulare: importanza dell'evento
gruppo di regole host di origine / sottorete di origine

21 controllo dei file ricerca di rootkit policy
Syscheck e Rootcheck controllo dei file ricerca di rootkit policy

22 Syscheck checksum MD5 di tutti i file specificati
controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo

23 Syscheck frequenza o scan_time/scan_day
sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso)‏ notifica alla creazione di nuovi file

24 Rootkit detection: application level rootkit kernel level rootkit
Rootcheck Rootkit detection: application level rootkit kernel level rootkit

25 Application level rootkit: signature
Rootcheck Application level rootkit: signature

26 Rootcheck Kernel level rootkit:
confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua

27 Rootcheck Policy: applicazioni consentite configurazioni appropriate
personalizzabile

28 Active-response Script: reazione in base ad un evento.
Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.

29 WebUI php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale

30 Perchè usare OSSEC ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale

31 Svantaggi: documentazione frammentaria, non omogenea
ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione

32


Scaricare ppt "OSSEC HIDS, Host Based Intrusion Detection System"

Presentazioni simili


Annunci Google