La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima.

Presentazioni simili


Presentazione sul tema: "OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima."— Transcript della presentazione:

1 OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima

2 Il progetto Open source, GPLv3 Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade

3 Host based intrusion detection system analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via active-response altamente personalizzabile

4 Sistemi operativi supportati GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)‏

5 Tipi di installazione server local agent

6 Tipi di installazione Server: logging remoto syscheck e rootcheck parsing dei log in tempo reale fino a 256 agent di notifica

7 Tipi di installazione Local: Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent

8 Tipi di installazione Agent: syscheck e rootcheck lato client invio dei log al server (cifrati)‏ active-response

9 Installazione e configurazione script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata

10 Analisi dei log pre-decoding decoding rules

11 Pre-decoding Informazioni statiche: hostname nome del programma data/timestamp log

12 Decoding Informazioni dinamiche: user ip porta azione protocollo url

13 Decoding decoder.xml/local_decoder.xml: file di configurazione decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active- response, fts ottimizzazione

14 Rules scritte in xml struttura ad albero match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili

15 Rules Regole semplici: match all'interno di un messaggio di log generazione dell'alert

16 Rules Regole composite: correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.

17 Formati di log supportati syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog

18 Formati di log NON supportati Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.

19 Alert via configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle

20 Alert via Configurazione granulare: importanza dell'evento gruppo di regole host di origine / sottorete di origine

21 Syscheck e Rootcheck controllo dei file ricerca di rootkit policy

22 Syscheck checksum MD5 di tutti i file specificati controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo

23 Syscheck frequenza o scan_time/scan_day sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso)‏ notifica alla creazione di nuovi file

24 Rootcheck Rootkit detection: application level rootkit kernel level rootkit

25 Rootcheck Application level rootkit: signature

26 Rootcheck Kernel level rootkit: confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua

27 Rootcheck Policy: applicazioni consentite configurazioni appropriate personalizzabile

28 Active-response Script: reazione in base ad un evento. Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.

29 WebUI php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale

30 Perchè usare OSSEC ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale

31 Svantaggi: documentazione frammentaria, non omogenea ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione

32


Scaricare ppt "OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima."

Presentazioni simili


Annunci Google