Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAnacleto De martino Modificato 9 anni fa
1
OSSEC HIDS, Host Based Intrusion Detection System
Aurora Mazzone, INFN Sezione di Torino Parte Prima
2
Il progetto Open source, GPLv3
Principale sviluppatore: Daniel D. Cid, Third Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade
3
Host based intrusion detection system
analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via active-response altamente personalizzabile
4
Sistemi operativi supportati
GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)
5
Tipi di installazione server local agent
6
Tipi di installazione Server: logging remoto syscheck e rootcheck
parsing dei log in tempo reale fino a 256 agent di notifica
7
Tipi di installazione Local:
Standalone. Tutte le funzioni del server ma no logging remoto no gestione agent
8
Tipi di installazione Agent: syscheck e rootcheck lato client
invio dei log al server (cifrati) active-response
9
Installazione e configurazione
script di installazione/aggiornamento interattivo configurazione quasi completa compilazione automatizzata
10
pre-decoding decoding rules
Analisi dei log pre-decoding decoding rules
11
Informazioni statiche: hostname nome del programma data/timestamp log
Pre-decoding Informazioni statiche: hostname nome del programma data/timestamp log
12
Informazioni dinamiche: user ip porta azione protocollo url
Decoding Informazioni dinamiche: user ip porta azione protocollo url
13
Decoding decoder.xml/local_decoder.xml: file di configurazione
decoder scritti in xml struttura ad albero estrazione di informazioni utili per regole, active-response, fts ottimizzazione
14
Rules scritte in xml struttura ad albero
match in base a decoder, nome del programma, stringhe, espressioni regolari suddivise in gruppi id univoco livello di gravità personalizzabili
15
Rules Regole semplici: match all'interno di un messaggio di log
generazione dell'alert
16
Rules Regole composite:
correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.
17
Formati di log supportati
syslog snort-full, snort-fast apache iis squid nampg mysql_log, postgresql_log eventlog djb_multilog
18
Formati di log NON supportati
Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.
19
Alert via configurazione del livello di importanza di un evento in grado di generare l'invio di una mail configurazione granulare dell'invio delle
20
Alert via e-mail Configurazione granulare: importanza dell'evento
gruppo di regole host di origine / sottorete di origine
21
controllo dei file ricerca di rootkit policy
Syscheck e Rootcheck controllo dei file ricerca di rootkit policy
22
Syscheck checksum MD5 di tutti i file specificati
controllo periodico e confronto con i valori calcolati alert in seguito ad un cambiamento rispetto al valore iniziale opzioni per non sovraccaricare il sistema durante il controllo
23
Syscheck frequenza o scan_time/scan_day
sospensione per n secondi ogni n file ricalcolati renice del processo disabilitazione dell'auto_ignore (ignorati i file che cambiano spesso) notifica alla creazione di nuovi file
24
Rootkit detection: application level rootkit kernel level rootkit
Rootcheck Rootkit detection: application level rootkit kernel level rootkit
25
Application level rootkit: signature
Rootcheck Application level rootkit: signature
26
Rootcheck Kernel level rootkit:
confronto dei risultati di differenti system call alla ricerca di discrepanze /dev ricerca di file inusuali con permessi inusuali controllo incrociato dei pid in uso vs. output di ps porte nascoste interfacce in modalità promiscua
27
Rootcheck Policy: applicazioni consentite configurazioni appropriate
personalizzabile
28
Active-response Script: reazione in base ad un evento.
Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.
29
WebUI php possibilità di consultare via web l'archivio degli alert selezionandoli per id, tipo, gruppo, importanza statistiche situazione in tempo reale
30
Perchè usare OSSEC ottimo strumento per l'analisi dei log in tempo reale alert immediati in situazioni critiche personalizzabile, può leggere ogni tipo di log gestione centralizzata costanti aggiornamenti community e supporto commerciale
31
Svantaggi: documentazione frammentaria, non omogenea
ottimizzazione necessaria: falsi positivi, errori generici, formati di log non supportati nativamente fase di apprendimento e personalizzazione
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.