OSSEC HIDS, Host Based Intrusion Detection System - PowerPoint PPT Presentation

1 / 32
About This Presentation
Title:

OSSEC HIDS, Host Based Intrusion Detection System

Description:

OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima Il progetto Open source, GPLv3 Principale sviluppatore: Daniel D ... – PowerPoint PPT presentation

Number of Views:264
Avg rating:5.0/5.0
Slides: 33
Provided by: mazz3
Category:

less

Transcript and Presenter's Notes

Title: OSSEC HIDS, Host Based Intrusion Detection System


1
OSSEC HIDS, Host Based Intrusion Detection System
  • Aurora Mazzone, INFN Sezione di Torino
  • Parte Prima

2
Il progetto
  • Open source, GPLv3
  • Principale sviluppatore Daniel D. Cid, Third
    Brigade
  • La versione attuale è la 1.6.1
  • WebUI versione 0.3
  • Supporto dalla mailing list
  • Supporto commerciale dalla Third Brigade

3
Host based intrusion detection system
  • analisi dei log in tempo reale
  • analisi periodica dei file vitali del sistema
  • ricerca di rootkit
  • monitoraggio e applicazione delle policy
  • segnalazione situazioni critiche o anomale via
    e-mail
  • active-response
  • altamente personalizzabile

4
Sistemi operativi supportati
  • GNU/Linux
  • OpenBSD/NetBSD/FreeBSD
  • Solaris
  • Mac OS X 10.x
  • Windows 2000/XP/2003/Vista/2008 (solo agent)?

5
Tipi di installazione
  • server
  • local
  • agent

6
Tipi di installazione
  • Server
  • logging remoto
  • syscheck e rootcheck
  • parsing dei log in tempo reale
  • fino a 256 agent
  • e-mail di notifica

7
Tipi di installazione
  • Local
  • Standalone. Tutte le funzioni del server ma
  • no logging remoto
  • no gestione agent

8
Tipi di installazione
  • Agent
  • syscheck e rootcheck lato client
  • invio dei log al server (cifrati)?
  • active-response

9
Installazione e configurazione
  • script di installazione/aggiornamento interattivo
  • configurazione quasi completa
  • compilazione automatizzata

10
Analisi dei log
  • pre-decoding
  • decoding
  • rules

11
Pre-decoding
  • Informazioni statiche
  • hostname
  • nome del programma
  • data/timestamp
  • log

12
Decoding
  • Informazioni dinamiche
  • user
  • ip
  • porta
  • azione
  • protocollo
  • url

13
Decoding
  • decoder.xml/local_decoder.xml file di
    configurazione
  • decoder scritti in xml
  • struttura ad albero
  • estrazione di informazioni utili per regole,
    active-response, fts
  • ottimizzazione

14
Rules
  • scritte in xml
  • struttura ad albero
  • match in base a decoder, nome del programma,
    stringhe, espressioni regolari
  • suddivise in gruppi
  • id univoco
  • livello di gravità
  • personalizzabili

15
Rules
  • Regole semplici
  • match all'interno di un messaggio di log
  • generazione dell'alert

16
Rules
  • Regole composite
  • correlazione di più eventi in base al tipo di
    regola, gruppo di cui fa parte, importanza,
    frequenza, host, user, giorno, ora, etc.

17
Formati di log supportati
  • syslog
  • snort-full, snort-fast
  • apache
  • iis
  • squid
  • nampg
  • mysql_log, postgresql_log
  • eventlog
  • djb_multilog

18
Formati di log NON supportati
  • Per tutti gli altri tipi di log è possibile
    scrivere decoder e regole personalizzati.

19
Alert via e-mail
  • configurazione del livello di importanza di un
    evento in grado di generare l'invio di una mail
  • configurazione granulare dell'invio delle e-mail

20
Alert via e-mail
  • Configurazione granulare
  • importanza dell'evento
  • gruppo di regole
  • host di origine / sottorete di origine

21
Syscheck e Rootcheck
  • controllo dei file
  • ricerca di rootkit
  • policy

22
Syscheck
  • checksum MD5 di tutti i file specificati
  • controllo periodico e confronto con i valori
    calcolati
  • alert in seguito ad un cambiamento rispetto al
    valore iniziale
  • opzioni per non sovraccaricare il sistema durante
    il controllo

23
Syscheck
  • frequenza o scan_time/scan_day
  • sospensione per n secondi ogni n file ricalcolati
  • renice del processo
  • disabilitazione dell'auto_ignore (ignorati i file
    che cambiano spesso)?
  • notifica alla creazione di nuovi file

24
Rootcheck
  • Rootkit detection
  • application level rootkit
  • kernel level rootkit

25
Rootcheck
  • Application level rootkit
  • signature

26
Rootcheck
  • Kernel level rootkit
  • confronto dei risultati di differenti system call
    alla ricerca di discrepanze
  • /dev
  • ricerca di file inusuali con permessi inusuali
  • controllo incrociato dei pid in uso vs. output di
    ps
  • porte nascoste
  • interfacce in modalità promiscua

27
Rootcheck
  • Policy
  • applicazioni consentite
  • configurazioni appropriate
  • personalizzabile

28
Active-response
  • Script reazione in base ad un evento.
  • Blocco temporaneo di un ip, disabilitazione
    utenti, etc. in base ai valori isolati dai
    decoder.

29
WebUI
  • php
  • possibilità di consultare via web l'archivio
    degli alert selezionandoli per id, tipo, gruppo,
    importanza
  • statistiche
  • situazione in tempo reale

30
Perchè usare OSSEC
  • ottimo strumento per l'analisi dei log in tempo
    reale
  • alert immediati in situazioni critiche
  • personalizzabile, può leggere ogni tipo di log
  • gestione centralizzata
  • costanti aggiornamenti
  • community e supporto commerciale

31
Svantaggi
  • documentazione frammentaria, non omogenea
  • ottimizzazione necessaria falsi positivi, errori
    generici, formati di log non supportati
    nativamente
  • fase di apprendimento e personalizzazione

32
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com