OSSEC HIDS, Host Based Intrusion Detection System

Slides:



Advertisements
Presentazioni simili
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Advertisements

(Appunti da Scott Mitchell, James Atkinsons - Active Server Pages 3.0 – ed. Apogeo) Le pagine ASP.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Web Services.
Sicurezza e Policy in Active Directory
Organizzazione di una rete Windows 2003
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
1 Università della Tuscia - Facoltà di Scienze Politiche.Informatica 2 - a.a Prof. Francesco Donini Active Server Pages.
NetSaint: una soluzione OpenSource per il network monitoring
JavaScript Laboratorio di Applicazioni Informatiche II mod. A.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Cos’è un CMS? Content Management System
APPLICAZIONI WEB In questo corso impareremo a scrivere un'applicazione web (WA) Marco Barbato - Corso di Applicazioni Web – A.A
Corso di PHP.
Ing. Enrico Lecchini BetaTre S.r.l.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.
Guida dInstallazione Décembre 2011 The Best E-Commerce Experience.
Chinosi Michele – matr.: La seconda release di Virtuose basata su database XML La seconda release di Virtuose basata su.
Guida IIS 6 A cura di Nicola Del Re.
Kerio Workspace Un unico spazio per condividere files e collaborare a grandi idee Marino Vigliotti Sales Engineer Kerio Technologies.
Infracom for you il portale a servizio dei partner
L’applicazione integrata per la gestione proattiva delle reti IT
Non solo Gestione Documentale Day "Apparecchiature di elaborazione testi prossima uscita vedrà 'l'inizio del ufficio senza carta …" 1975.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.
TechNet Security Workshop IV PierGiorgio Malusardi.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
GESTIONE MARKETING 1.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
INTRODUZIONE A JAVASCRIPT
PHP - PHP: Hypertext Preprocessor. Introduzione PHP (acronimo ricorsivo per "PHP: Hypertext Preprocessor") è un linguaggio di scripting general-purpose.
Lezione 8.
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Programmazione Web PHP e MySQL 1. 2Programmazione Web - PHP e MySQL Esempio: un blog.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
Dael Maselli – INFN LNF CCR – 5 Ottobre Dael Maselli slide 2 CCR Google Apps Premier Edition  Nelle ultime settimane si è concretizzata.
SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 1 – Assegnazione.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 2 – DHCP.
Progetto di Ingegneria del Web Anno Accademico 2007/2008 Stefano Pigiani Bruno Ricci Marco Ruzzon.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Sistema di replicazione master-multislave con server di backup per un servizio di chat di Marco Andolfo matr
Servizi Internet Claudia Raibulet
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.
Eprogram SIA V anno.
Eprogram informatica V anno.
Flipped classroom e nuove metodologie didattiche Modulo 2 – Terza lezione Antonio Todaro “ Il Sito Web del docente ” prima parte.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
0 Laboratorio Informatica - SAS – Anno Accademico LIUC Alcune indicazioni Dettaglio lezioni: Prima : Michele Gnecchi – Introduzione a SAS Guide.
Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa.
Dispositivi Mobili per Sentiment Analysis
NEWS 2015 MyCompany Presentazione. MyCompany Supervisione di tutti gli Impianti registarti nel Cloud Creazione di Offerte personalizzate con il proprio.
ACNP e NILDE: Insieme per un sistema integrato dei periodici Mille modi per immettere i periodici elettronici in ACNP Vincenzo Verniti Bologna, 30 settembre.
Monitoring applicativo SaaS Tutorial 30/09/2015. Finalità Il monitoraggio applicativo per verificare, quantificare e controllare l’automazione introdotta.
Il sistema operativo È il software di base cioè quel software che permette di utilizzare il computer.
Il sito WEB CMS Italia oggi: domani: ? NOhttp://cms.infn.it M. Biasini, M. Diemoz, P.
Presentazione Ebirds 1 e birds Direct Marketing Tool
PHP HyperText Prepocessor.  Linguaggio di scripting lato server sviluppato per generare pagine web.  Permette ad un sito web di diventare dinamico 
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
OSSEC HIDS, Host Based Intrusion Detection System
OSSEC HIDS, Host Based Intrusion Detection System
Transcript della presentazione:

OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima

Il progetto Open source, GPLv3 Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade

Host based intrusion detection system analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via e-mail active-response altamente personalizzabile

Sistemi operativi supportati GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)‏

Tipi di installazione server local agent

Tipi di installazione Server: logging remoto syscheck e rootcheck parsing dei log in tempo reale fino a 256 agent e-mail di notifica

Tipi di installazione Local: Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent

Tipi di installazione Agent: syscheck e rootcheck lato client invio dei log al server (cifrati)‏ active-response

Installazione e configurazione script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata

pre-decoding decoding rules Analisi dei log pre-decoding decoding rules

Informazioni statiche: hostname nome del programma data/timestamp log Pre-decoding Informazioni statiche: hostname nome del programma data/timestamp log

Informazioni dinamiche: user ip porta azione protocollo url Decoding Informazioni dinamiche: user ip porta azione protocollo url

Decoding decoder.xml/local_decoder.xml: file di configurazione decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active-response, fts ottimizzazione

Rules scritte in xml struttura ad albero match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili

Rules Regole semplici: match all'interno di un messaggio di log generazione dell'alert

Rules Regole composite: correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.

Formati di log supportati syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog

Formati di log NON supportati Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.

Alert via e-mail configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle e-mail

Alert via e-mail Configurazione granulare: importanza dell'evento gruppo di regole host di origine / sottorete di origine

controllo dei file ricerca di rootkit policy Syscheck e Rootcheck controllo dei file ricerca di rootkit policy

Syscheck checksum MD5 di tutti i file specificati controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo

Syscheck frequenza o scan_time/scan_day sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso)‏ notifica alla creazione di nuovi file

Rootkit detection: application level rootkit kernel level rootkit Rootcheck Rootkit detection: application level rootkit kernel level rootkit

Application level rootkit: signature Rootcheck Application level rootkit: signature

Rootcheck Kernel level rootkit: confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua

Rootcheck Policy: applicazioni consentite configurazioni appropriate personalizzabile

Active-response Script: reazione in base ad un evento. Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.

WebUI php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale

Perchè usare OSSEC ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale

Svantaggi: documentazione frammentaria, non omogenea ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione