OSSEC HIDS, Host Based Intrusion Detection System

Slides:



Advertisements
Presentazioni simili
Guida IIS 6 A cura di Nicola Del Re.
Advertisements

ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
OSSEC HIDS, Host Based Intrusion Detection System
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Eprogram SIA V anno.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
Virtualizzazione nell’INFN Andrea Chierici 11 Dicembre 2008.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day LUG Mantova.
Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.
Corso gratuito di Linux. Linux User Group Mantova
POLITECNICO DI MILANO FACOLTA’ DI INGEGNERIA SEDE DI CREMONA TESI DI DIPLOMA IN INGEGNERIA INFORMATICA RELATOREAUTORI Prof. Vittorio TrecordiDemicheli.
1 Università della Tuscia - Facoltà di Scienze Politiche. Informatica 2 - a.a Prof. Francesco Donini Active Server Pages.
Associazione Culturale “VERDEBINARIO”. Ing. Villella Giovanni aka vilgio[BIGHAT] Mail : Cell :
Orientamento. Il Kernel Il Kernel è un programma scritto in linguaggio vicino all'hardware che ha il compito di fornire ai processi in esecuzione sul.
Presentazione della piattaforma e - learning MOODLE a cura di Davide Afretti Bologna, 24 aprile 2013.
Gestione dei Software in GNU/Linux HackLab Catanzaro Installazione software da sorgente 8° Lezione GNU/Linux Base
AFS NELLA SEZIONE DI PADOVA aree_utenti: attualmente nessuno ha la proria home in AFS e quasi nessuno utilizza l'area utenti di AFS. /usr/local: si preferisce.
PGDay 2009 FSGateway Ing. Torello Querci Resp. Architetture SW - Negens S.r.l. 4 Dicembre 2009, Pisa.
Amministrazione di reti di calcolatori - Massimo Bertozzi Log.
Corso di Elementi di Informatica
Progetto RETE SME ALESSANDRO PASSONI
Synapse Gestione e Flussi documentali
Corso per Webmaster base
Vulnerability Assessment
Comunicazione e Community Kion service Alessandro Furlati
Web server.
Office WPC049 Strumenti di supporto e analisi per Office 365
Crea il tuo sistema aziendale sul web a partire dei fogli Excel che usi. ShareXLS
WPC069 Il deployment automatizzato di Windows 10
Servizi per Science Gateways e comunità virtuali attraverso l'esperienza del porting del sito di GILDA su Liferay M. Pappalardo.
Gestione delle fasi del tirocinio attraverso un’ App Android e interfaccia Web e relativa gestione documentale della tesi Università degli Studi di Napoli.
Gruppo Mailing Aggiornamento al 15/3/2007.
Reti di computer.
SAL WP11 Bologna – CNAF – 5 Giugno 2015.
Applicazione web basata su web service e web socket
Breve report su corso RedHat Enterprise Virtualization (RH318)
Terza Lezione → Navigare nel file System → parte 2
Metriche SE monitoring G.Donvito G.Cuscela INFN Bari
Attività sistemistiche:
Portal Architecture Data Management
Ambienti di Programmazione per il Software di Base
OSSEC HIDS, Host Based Intrusion Detection System
Condivisione Documentazione Tecnica
Sistema Operativo - DietPI
Corso di Ingegneria del Web e Applicazioni A A
Sviluppo di server web e sistema di caching per contenuti dinamici
Switch 10/100/1000 Base-T 8 porte Gigabit
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Risultati del questionario sui servizi middleware aggiuntivi
WebServer 12 luglio
INFN Sezione di Torino Servizi online.
Organizzare, gestire e proteggere i laboratori informatici
analizzatore di protocollo
Sviluppo di un'applicazione web per l'utilizzo del framework SparkER
Recupero polizze assicurative
Ardis e il sistema qualità
Organizzazione di una rete Windows 2000
Progetto di Tecnologie Web 2014/2015 THERMOWEB
Predisposizione e presentazione della domanda di nullaosta
Dedicato alla corretta gestione della Posta Elettonica Certificata
Concetti introduttivi
Mille modi per immettere i periodici elettronici in ACNP
ADO Per gestire i database con tecnologia ASP si utilizzano strumenti ADO (ActiveX Data Objects): un'architettura che fornisce oggetti.
Ambienti di Programmazione per il Software di Base
QUESTIONARIO PER LA RILEVAZIONE DELLE COMPETENZE DIGITALI E LINGUISTICHE DEI DOCENTI SINTESI Anno scolastico 2016/2017.
Piccolo non significa privo di organizzazione…
Predisposizione e presentazione della domanda di nullaosta
Idea radio Radio Villaggio Life stile di vita!
Transcript della presentazione:

OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima

Il progetto Open source, GPLv3 Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade

Host based intrusion detection system analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via e-mail active-response altamente personalizzabile

Sistemi operativi supportati GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)‏

Tipi di installazione server local agent

Tipi di installazione Server: logging remoto syscheck e rootcheck parsing dei log in tempo reale fino a 256 agent e-mail di notifica

Tipi di installazione Local: Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent

Tipi di installazione Agent: syscheck e rootcheck lato client invio dei log al server (cifrati)‏ active-response

Installazione e configurazione script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata

pre-decoding decoding rules Analisi dei log pre-decoding decoding rules

Informazioni statiche: hostname nome del programma data/timestamp log Pre-decoding Informazioni statiche: hostname nome del programma data/timestamp log

Informazioni dinamiche: user ip porta azione protocollo url Decoding Informazioni dinamiche: user ip porta azione protocollo url

Decoding decoder.xml/local_decoder.xml: file di configurazione decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active-response, fts ottimizzazione

Rules scritte in xml struttura ad albero match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili

Rules Regole semplici: match all'interno di un messaggio di log generazione dell'alert

Rules Regole composite: correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.

Formati di log supportati syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog

Formati di log NON supportati Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.

Alert via e-mail configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle e-mail

Alert via e-mail Configurazione granulare: importanza dell'evento gruppo di regole host di origine / sottorete di origine

controllo dei file ricerca di rootkit policy Syscheck e Rootcheck controllo dei file ricerca di rootkit policy

Syscheck checksum MD5 di tutti i file specificati controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo

Syscheck frequenza o scan_time/scan_day sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso)‏ notifica alla creazione di nuovi file

Rootkit detection: application level rootkit kernel level rootkit Rootcheck Rootkit detection: application level rootkit kernel level rootkit

Application level rootkit: signature Rootcheck Application level rootkit: signature

Rootcheck Kernel level rootkit: confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua

Rootcheck Policy: applicazioni consentite configurazioni appropriate personalizzabile

Active-response Script: reazione in base ad un evento. Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.

WebUI php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale

Perchè usare OSSEC ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale

Svantaggi: documentazione frammentaria, non omogenea ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.