ossec hids, host based intrusion detection system aurora mazzone, infn sezione di torino parte prima
TRANSCRIPT
![Page 1: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/1.jpg)
OSSEC HIDS, Host Based Intrusion Detection System
Aurora Mazzone, INFN Sezione di Torino
Parte Prima
![Page 2: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/2.jpg)
Il progetto
Open source, GPLv3 Principale sviluppatore: Daniel D. Cid, Third
Brigade La versione attuale è la 1.6.1 WebUI versione 0.3 Supporto dalla mailing list Supporto commerciale dalla Third Brigade
![Page 3: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/3.jpg)
Host based intrusion detection system
analisi dei log in tempo reale analisi periodica dei file vitali del sistema ricerca di rootkit monitoraggio e applicazione delle policy segnalazione situazioni critiche o anomale via
e-mail active-response altamente personalizzabile
![Page 4: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/4.jpg)
Sistemi operativi supportati
GNU/Linux OpenBSD/NetBSD/FreeBSD Solaris Mac OS X 10.x Windows 2000/XP/2003/Vista/2008 (solo agent)
![Page 5: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/5.jpg)
Tipi di installazione
server local agent
![Page 6: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/6.jpg)
Tipi di installazione
Server:
logging remotosyscheck e rootcheckparsing dei log in tempo realefino a 256 agente-mail di notifica
![Page 7: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/7.jpg)
Tipi di installazione
Local:
Standalone. Tutte le funzioni del server ma
no logging remotono gestione agent
![Page 8: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/8.jpg)
Tipi di installazione
Agent:
syscheck e rootcheck lato clientinvio dei log al server (cifrati)active-response
![Page 9: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/9.jpg)
Installazione e configurazione
script di installazione/aggiornamento interattivoconfigurazione quasi completacompilazione automatizzata
![Page 10: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/10.jpg)
Analisi dei log
pre-decodingdecodingrules
![Page 11: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/11.jpg)
Pre-decoding
Informazioni statiche:
hostnamenome del programmadata/timestamplog
![Page 12: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/12.jpg)
Decoding
Informazioni dinamiche:
useripportaazioneprotocollourl
![Page 13: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/13.jpg)
Decoding
decoder.xml/local_decoder.xml: file di configurazione
decoder scritti in xmlstruttura ad alberoestrazione di informazioni utili per regole, active-
response, ftsottimizzazione
![Page 14: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/14.jpg)
Rules
scritte in xmlstruttura ad alberomatch in base a decoder, nome del programma,
stringhe, espressioni regolarisuddivise in gruppiid univocolivello di gravitàpersonalizzabili
![Page 15: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/15.jpg)
Rules
Regole semplici:
match all'interno di un messaggio di loggenerazione dell'alert
![Page 16: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/16.jpg)
Rules
Regole composite:
correlazione di più eventi in base al tipo di regola, gruppo di cui fa parte, importanza, frequenza, host, user, giorno, ora, etc.
![Page 17: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/17.jpg)
Formati di log supportati
syslogsnort-full, snort-fastapacheiissquidnampgmysql_log, postgresql_logeventlogdjb_multilog
![Page 18: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/18.jpg)
Formati di log NON supportati
Per tutti gli altri tipi di log è possibile scrivere decoder e regole personalizzati.
![Page 19: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/19.jpg)
Alert via e-mail
configurazione del livello di importanza di un evento in grado di generare l'invio di una mail
configurazione granulare dell'invio delle e-mail
![Page 20: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/20.jpg)
Alert via e-mail
Configurazione granulare:
importanza dell'eventogruppo di regolehost di origine / sottorete di origine
![Page 21: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/21.jpg)
Syscheck e Rootcheck
controllo dei filericerca di rootkitpolicy
![Page 22: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/22.jpg)
Syscheck
checksum MD5 di tutti i file specificaticontrollo periodico e confronto con i valori
calcolatialert in seguito ad un cambiamento rispetto al
valore inizialeopzioni per non sovraccaricare il sistema durante
il controllo
![Page 23: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/23.jpg)
Syscheck
frequenza o scan_time/scan_daysospensione per n secondi ogni n file ricalcolatirenice del processodisabilitazione dell'auto_ignore (ignorati i file che
cambiano spesso)notifica alla creazione di nuovi file
![Page 24: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/24.jpg)
Rootcheck
Rootkit detection:
application level rootkitkernel level rootkit
![Page 25: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/25.jpg)
Rootcheck
Application level rootkit:
signature
![Page 26: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/26.jpg)
Rootcheck
Kernel level rootkit:
confronto dei risultati di differenti system call alla ricerca di discrepanze
/devricerca di file inusuali con permessi inusualicontrollo incrociato dei pid in uso vs. output di psporte nascosteinterfacce in modalità promiscua
![Page 27: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/27.jpg)
Rootcheck
Policy:
applicazioni consentiteconfigurazioni appropriatepersonalizzabile
![Page 28: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/28.jpg)
Active-response
Script: reazione in base ad un evento.
Blocco temporaneo di un ip, disabilitazione utenti, etc. in base ai valori isolati dai decoder.
![Page 29: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/29.jpg)
WebUI
phppossibilità di consultare via web l'archivio degli
alert selezionandoli per id, tipo, gruppo, importanza
statistichesituazione in tempo reale
![Page 30: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/30.jpg)
Perchè usare OSSEC
ottimo strumento per l'analisi dei log in tempo reale
alert immediati in situazioni critichepersonalizzabile, può leggere ogni tipo di loggestione centralizzatacostanti aggiornamenticommunity e supporto commerciale
![Page 31: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/31.jpg)
Svantaggi:
documentazione frammentaria, non omogeneaottimizzazione necessaria: falsi positivi, errori
generici, formati di log non supportati nativamente
fase di apprendimento e personalizzazione
![Page 32: OSSEC HIDS, Host Based Intrusion Detection System Aurora Mazzone, INFN Sezione di Torino Parte Prima](https://reader030.vdocuments.mx/reader030/viewer/2022012916/5542eb77497959361e8e20e4/html5/thumbnails/32.jpg)