Mục lục Giới thiệu hệ thống IDS Giới thiệu về OSSEC và tính năng OSSEC Kiến trúc hệ thống OSSEC Luật và tạo luật trong OSSEC ++ Giới thiệu hệ thống phát hiện xâm nhập IDS IDS là hệ thống phát hiện các.
Mục lục : Giới thiệu hệ thống IDS Giới thiệu OSSEC tính OSSEC Kiến trúc hệ thống OSSEC Luật tạo luật OSSEC ++ Giới thiệu hệ thống phát xâm nhập IDS IDS hệ thống phát dấu hiệu công xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn công Khác với tường lửa , IDS không thực thao tác ngăn chặn mà theo dõi hoạt động mạng IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo , theo dõi công từ bên hệ thống Chức ban đầu IDS phát dấu hiệu xâm nhập tạo cảnh báo công công diễn chí sau cơng hồn tất Sau đại IDS có khả dự đốn cơng (prediction) chí phản ứng chủ động cơng diễn (active response ) I Giới thiệu OSSEC OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mơ tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính toàn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị OSSEC cài đặt Windows với tư cách agent Các tính bật OSSEC : + Theo dõi phân tích log : OSSEC thu nhập log theo thời gian thực từ nhiều nguồn khác để phân tích đưa cảnh báo OSSEC phát công mạng ,hệ thống ứng dụng cụ thể cách sử dụng log hàm nguồn thơng tin Log hữu ích để phát khai thác lỗ hổng phần mềm , vi phạm sách hoạt động khơng phù hợp khác + Kiểm tra tính tồn vẹn file : Sử dụng hàm mật mã tính tốn giá trị băm file hệ điều hành dựa tên file , nội dung file giá trị băm OSSEC giám sát ổ đĩa để phát thay đổi giá trị băm có điều , sửa đổi nội dung file hoặ thay phiên file phiên file khác + Giám sát Registry : Hệ thống Rgistry danh sách thư mục tất cài đặt phần cứng phần mềm , cầu hình hệ điều hành , người dùng , nhóm người dùng preference hệ thống Microsoft Windows Các thay đổi thực người dùng quản trị viên hệ thống ghi lại khóa registry để hoạt động thay đổi lưu người dùng đăng xuất hệ thống khởi động lại Registry cho thấy Kernel hệ điều hành tương tác phần cứng phần mềm máy tính HIDS giám sát thay đổi khóa registry quan trọng để đảm bảo người dùng ứng dụng không cài đặt chương trình sửa đổi chương trình có với mục đích xấu + Phát Rootkit : OSSEC phát rootkit dựa chữ kí rootkit công cụ cho phép kẻ đột nhập khả xâm nhập vào máy tính bị cài rootkit xóa dấu vết tồn OSSEC có khả phát root cách đọc file sở lệu root tiến hành quét hệ thống định kì , thực lời gọi hệ thống để phát file khơng bình thường , tiến trình ấn so sánh chúng với sở liệu để phát root + Phản ứng chủ động : chúng cho phép IDS nói chung OSSEC nói riêng tự động thực thi lệnh phản ứng kiện tập hợp kiện cụ thể kích hoạt Phản ứng chủ động xác định luật Các lợi ích phản ứng chủ động lớn nguy hiểm ngăn chặn kết nối hợp pháp lỗ hổng để kẻ công khai thác Kiến trúc hệ thống ossec II OSSEC thiết ké theo mơ hình client – server, gồm thành phần OSSEC server OSSEC agent • OSSEC SEVER Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu Tất luật, giải mã (decoder) lưu trữ server Server đảm nhận nhiệm vụ quản lý agent Các agent kết nối với máy chủ cổng 1514 514, giao thức UDP Kết nối với cổng phải cho phép để agent kết nối với manager Nhiệm vụ quan trọng server phân tích log nhận từ agent hay agentless (gọi chung client) xuất cảnh báo Các cảnh báo xuất cho các công cụ xử lý log Logstash, Elastic Search để hiển thị cho người quản trị Kibana, lưu trữ sở liệu • OSSEC AGENT Agent (đầy đủ installable agent) chương trình nhỏ, tập hợp chương trình, cài đặt hệ thống giám sát Agent thu thập thơng tin gửi cho manager để phân tích so sánh Một số thông tin thu thập thời gian thực, thông tin khác theo định kỳ Agent có nhớ nhỏ sử dụng CPU, khơng ảnh hưởng đến việc sử dụng hệ thống Server cấu hình cho agent Các agent cài đặt host chúng gửi lại log cho server thông qua giao thức thông điệp mã hóa OSSEC Các modul chức agent là: giám sát host, kiểm tra tính tồn vện file máy host mà cài, phát rootkit máy host, đọc log gửi log cho server Agentless tính hỗ trợ cho thiết bị không cài đặt agent theo cách bình thường router, switch, tường lửa Nó có chức agent Agentless kết nối để gửi thông điệp, log cho manager phương thức RPC Tính bổ sung : Ảo hóa/Vmware ESX: OSSEC cho phép người quản trị cài đặt agent hệ điều hành guest Agent cài đặt bên số phiên VMWare ESX, điều gây vấn đề kỹ thuật Với agent cài đặt bên VMware ESX, người quản trị nhận thơng báo thời điểm máy khách VM cài đặt, gỡ bỏ, khởi động, vv…Agent giám sát đăng nhập, đăng xuất lỗi bên máy chủ ESX.Thêm nữa, OSSEC cịn thực kiểm tra an ninh (CIS) cho VMware, cảnh báo có tùy chọn cấu hình khơng an tồn bật vấn đề khác Router, tường lửa switch: OSSEC nhận phân tích kiện syslog từ nhiều router, tường lửa switch Đây nguồn thu thập log hiệu để manager phân tích, đưa dấu hiệu, cảnh báo xâm nhâp mạng cho quản trị viên OSSEC khơng phải NIDS III Luật tạo luật OSSEC Luật (rules) phần vơ quan trọng hệ thống OSSEC, cốt lõi việc đảm bảo hệ thống OSSEC có hoạt động theo quy trình, xác hiệu hay khơng Rules có định dạng XML, cấu hình ossec server /var/ossec/etc/ossec.config nằm thẻ Rules lưu /var/ossec/rules • OSSEC có 16 cấp độ luật: 00 - Ignored: Không thực hành động Khi gặp luật có cấp độ khơng có thơng báo Các luật qt trước tất luật khác Chúng bao gồm kiện khơng có liên quan bảo mật 01 - None (không) 02 - System low priority notification (hệ thống thông báo ưu tiên thấp): Thông báo hệ thống thơng báo trạng thái Khơng có liên quan bảo mật 03 - Successful/Authorized events (sự kiện thành công/được ủy quyền): Bao gồm lần đăng nhập thành công, tường lửa cho phép kiện, v.v 04 - System low priority error(lỗi ưu tiên hệ thống thấp): Các lỗi liên quan đến cấu hình thiết bị/ứng dụng khơng sử dụng Chúng khơng có liên quan bảo mật thường gây cài đặt mặc định kiểm thử phần mềm 05 - User generated error(lỗi người dùng tạo): Chúng bao gồm mật bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng khơng có liên quan bảo mật 06 - Low relevance attack (tấn công mức độ liên quan thấp): Chúng sâu virus không ảnh hưởng đến hệ thống (như mã màu đỏ cho máy chủ apache, vv) Chúng bao gồm kiện IDS thường xuyên lỗi thường xuyên 07 - “Bad word” matching (kết hợp “Từ xấu”): Chúng bao gồm từ "bad", "error", v.v Những kiện không phân loại có số mức độ liên quan bảo mật 08 - First time seen (lần nhìn thấy): Bao gồm kiện lần xem Lần kiện IDS kích hoạt lần người dùng đăng nhập Nếu bạn bắt đầu sử dụng OSSEC HIDS, thơng báo thường xun Sau thời gian giảm dần, Nó bao gồm hành động bảo mật có liên quan (như bắt đầu sniffer) 09 - Error from invalid source(lỗi từ nguồn không hợp lệ): Bao gồm lần đăng nhập dạng người dùng không xác định từ nguồn khơng hợp lệ Có thể có liên quan bảo mật (đặc biệt lặp lại) Chúng bao gồm lỗi liên quan đến tài khoản "quản trị" (root) 10 - Multiple user generated errors (tập hợp lỗi người dùng tạo): Chúng bao gồm nhiều mật không hợp lệ, nhiều lần đăng nhập khơng thành cơng, v.v Họ cơng người dùng vừa qn thơng tin đăng nhập 11 - Integrity checking warning (cảnh báo kiểm tra tính tồn vẹn): Chúng bao gồm thông báo liên quan đến việc sửa đổi tệp nhị phân diện rootkit (bằng kiểm tra root) Nếu bạn cần sửa đổi cấu hình hệ thống bạn, bạn báo thơng báo "syscheck" Nó công thành công Cũng bao gồm kiện IDS bị bỏ qua (số lần lặp lại cao) 12 - High importancy event (sự kiện quan trọng cao): Chúng bao gồm thông báo lỗi cảnh báo từ hệ thống, hạt nhân, v.v Chúng cơng chống lại ứng dụng cụ thể 13 - Unusual error (high importance) - Lỗi bất thường (mức độ quan trọng cao): Hầu hết lần khớp với kiểu công chung 14 - High importance security event (sự kiện bảo mật quan trọng cao): Hầu hết thời gian thực với tương quan công 15 - Severe attack (tấn công nghiêm trọng): Cần ý • Rules OSSEC hỗ trợ quản lý theo nhóm, luật xây dựng sẵn hệ thống OSSEC thuộc 12 nhóm sau: Invalid_login Authentication_success Authentication_failed Connection_attempt attacks adduser sshd ids firewall squid apache syslog Đặc biệt: admin tự tạo group chứa nhiều luật • Một vài thuộc tính rule OSSEC: Level (bắt buộc phải có): thể mức độ rule, ossec có 16 cấp độ từ 0-15 Id (bắt buộc phải có): id rule, rule có id riêng biệt khơng trùng lặp số từ 100-99999 (Khi tạo luật nên đặt ip từ khoảng 100.000) Maxsize: định kích thước tối đa kiện tiến hành, số từ 1-99999 Frequency: định số lần rules kiểm tra trước thực Số lần kích hoạt phải gấp đơi số lần cài đặt Ví dụ: tần sơ = => rule phải so sánh lần Timeframe: khung thời gian tính giây, sử dụng để kết hợp với frequency Ignore: thời gian (s) bỏ qua rule Overwrite: Cho phép chỉnh sửa rule Trong OSSEC, luật chia thành loại: Luật nguyên tố luật kết hợp: • Luật nguyên tố - luật xử lý kiện: cảnh báo, thông báo hay hành động ứng phó xuất có kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại xuất nhiêu lần thông báo path/to/list/file Checking srcip against cdb list file • Luật kết hợp – xử lý nhiều kiện lúc luật: o Có thể sử dụng với thẻ Frequency Timeframe để xử lý xự kiện diễn nhiều lần o Các luật kết hợp với thông qua id, sử dụng thẻ ( - thẻ kết hợp với Frequency Timeframe) 100102 ^Failed Fakeinc Custom: Failed password Tạo luật OSSEC: Trước bắt đầu viết quy tắc nên biết số quy tắc cần tuân thủ : 1: viết quy tắc tùy chỉnh không sửa đổi tệp quy tắc có thư mục /var/ossec/rules ngoại trừ local_rules.xml Những thay đổi quy tắc sửa đổi hành vi tồn chuỗi quy tắc làm phức tạp thêm việc khắc phục cố 2: viết quy tắc tùy chỉnh sử dụng ID 100000 làm ID bên dung riêng Việc can thiệp vào ID giống việc can thiệp vào tệp quy tắc phân phối Bạn có nguy cập nhật OSSEC làm tắc nghẽn cơng việc khó khăn bạn 3: trì trật tự quy tắc bạn Khi trìn phân tích cú pháp quy tắc tải quy tắc khởi động , xác nhận tồn quy tắc nhóm tham chiếu Nếu bạn tham chiếu đến quy tắc chưa tải , trình phân tích cú pháp thành công Lưu ý ba nguyên tắc giúp đảm bảo cài đặt không bị hư hỏng nâng cấp chúng tơi ln quay lai OSSEC cách xóa local_rules.xml Chúng ta thành thạo với giao thức quy tắc , xử lí số liệu từ việc ghi application logging tùy chỉnh thông qua syslog sau : May 19:12:03 server custom - app : Startup initiated May 19:12:07 server custom - app : No error detected during startup! May 19:12:08 server custom - app : Startup completed, processing data May 19:12:08 server custom - app : Failed login from ‘4.5.6.7’ as testuser Chúng nhận thông báo lỗi không xác định lỗi xác thực từ ứng dụng tùy chỉnh Chúng muốn tắt thông báo không xác định đảm bảo không cung cấp cảnh báo cho lần đăng nhập không thành công từ 4.5.6.7 máy quét lỗ hổng bảo mật chúng tơi Để tìm bước , cần tìm hiểu điều xảy để tạo cảnh báo: 1: sử dụng ossec – logtest công cụ ossec cung cấp Nó hoạt động cách chấp nhận thơng báo nhật kí STDIN ( đầu vào thiết bị đầu cuối bạn) giải thích đường dẫn thơng qua quy tắc Đây cách chạy : $ sudo /var/ossec/bin/ossec-logtest : sau dán vào dịng nhật ký dể xem dòng tạo cảnh báo: Ossec – testrule : Type one log per line May 19:12:03 server custom-app : Startup initiated ** Phase 1: Completed pre-decoding Full event : ‘May 19:12:03 server custom-app: Startup initiated ’ Hostname : ‘ server’ Program_name : ‘ custom-app’ Log : ‘ Startup initiated’ ** Phase 2: Completed decoding No decoder matched thơng báo log hồn thành việc phân tích cú pháp dịng khơng có cảnh báo tạo , VÌ thử thông báo log : ** Phase 1: Completed pre-decoding Full event : ‘ May 19:12:07 server custom-app : No error detected during startup!’ Hostname : ‘ server’ Program_name : ‘ custom-app’ Log : ‘ No error detected during startup!’ ** Phase : Completed decoding No decoder matched ** Phase : Completed filtering (rules) Rule id : ‘1002’ Lever : ‘ 2’ Description : ‘Unknown problem somewhere in the system.’ ** Alert to be generated chúng tơi thấy từ kết vấn đề chưa biết tạo dòng log Chúng toi nhận ID quy tắc cấp độ tạo sử dụng thơng tin , chúng tơi viết quy tắc để bỏ qua no cách sử dụng OSSEC level =’0’ 1002< /if_sid> custom-app< /program_name> Ignore errors for custom- app chúng tơi lưu local_rules.xml tệp chúng tơi khỏi động lại ossec- logtest thử lại **Phase : Completed filtering(rules) Rule id : ‘ 100000’ Level : ‘0’ Description : ‘ Ignore unknown errors for custom-app’ chuyển kiện lên cấp độ , chúng tơi xem xet kiện đăng nhập không thành công : May 19:12:08 server custom-app : Failed login from ‘ 4,5,6,7’ as testuser’ ** Phase : Completed filtering (rules) Rule id: ‘ 2501’ Level : ‘5’ Description : ‘ User authentication failure.’ ** Alert to be generated sử dụng đối sánh đơn giản với liệu để tắt thông báo khỏi 4.5.6.7 < if_sid> 2501 < program_name>custom-app 4.5.6.7 Ignore failed logins from scanner chạy lại ossec-logtest thấy : May 19:12:08 server custom-app : Failed login from ‘4.5.6.7’ as testuser’ ** Phase : Completed filtering (rules) Rule id : ‘100001’ Level : ‘1’ Description : ‘ Ignore failed logins from our security scanner’ ** Alert to be generated ... khai thác Kiến trúc hệ thống ossec II OSSEC thiết ké theo mơ hình client – server, gồm thành phần OSSEC server OSSEC agent • OSSEC SEVER Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu... xác hiệu hay khơng Rules có định dạng XML, cấu hình ossec server /var /ossec/ etc /ossec. config nằm thẻ Rules lưu /var /ossec/ rules • OSSEC có 16 cấp độ luật: 00 - Ignored: Không thực... cảnh báo xâm nhâp mạng cho quản trị viên OSSEC NIDS III Luật tạo luật OSSEC Luật (rules) phần vô quan trọng hệ thống OSSEC, cốt lõi việc đảm bảo hệ thống OSSEC có hoạt động theo quy trình, xác