Đang tải... (xem toàn văn)
BỘ GIÁO DỤC VÀ ĐÀO TẠO HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG HỌC PHẦN AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN CHỦ ĐỀ 16 Tìm hiểu về hệ thống phát hiện tấn công, đột nhập OSSEC kiến trúc, cài đặt, cấu hìn[.]
BỘ GIÁO DỤC VÀ ĐÀO TẠO HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG HỌC PHẦN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHỦ ĐỀ 16 : Tìm hiểu hệ thống phát công, đột nhập OSSEC: kiến trúc, cài đặt, cấu hình, tạo luật; xây dựng kịch phát cơng Thành viên nhóm 11 phân cơng: Hồng Trung Trường (NT) - B20DCCN706 - Thuyết trình Đặng Hữu Hiếu - B20DCCN243 - Viết báo cáo Phạm Thanh Tú - B20DCCN610 - Slides Nguyễn Việt Lương - B20DCCN413 – Viết báo cáo Hà Nội, năm 2023 h I Giới thiệu a) Giới thiệu hệ thống phát xâm nhập IDS - Để hiểu hệ thống phát xâm nhập OSSEC trước tiên ta nên hiểu qua hệ thống phát xâm nhập IDS (Intrusion Detection Tools) : +) Hệ thống phát xâm nhập IDS hệ thống phát dấu hiệu cơng xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn công Khác với firewall, IDS không thực thao tác ngăn chặn truy nhập mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng Firewall theo dõi xâm nhập từ bên ngăn chặn chúng xảy ra, giới hạn truy nhập mạng để ngăn chặn xâm nhập không phát công từ bên mạng IDS sẽ đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống Dựa phạm vi giám sát, IDS chia thành loại: o Network-based IDS (NIDS): Là IDS giám sát tồn mạng Nguồn thơng tin chủ yếu NIDS gói liệu lưu thơng mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa o Host-based IDS (HIDS): Là IDS giám sát hoạt động máy tính riêng biệt Do vậy, nguồn thơng tin chủ yếu HIDS ngòai lưu lượng liệu đến từ máy chủ cịn có hệ thống liệu nhật ký hệ thống (system log) kiểm tra hệ thống (system audit) HIDS có số điểm cải tiến so với NIDS: o Phù hợp với môi trường liệu mã hóa ngày phổ biến HIDS có khả đọc liệu (log) mã hóa server nhận o Thích hợp mạng chuyển đổi nơi mà có máy chủ lưu trữ cuối nhìn thấy lưu lượng truy cập o Theo dõi tiến trình sử dụng người dùng máy chủ o Có khả phát phản ứng với thời gian thực o Xác minh khả cơng NIDS thường đưa cảnh báo sớm, cịn HID có khả xác minh xem h cơng hay xâm nhập trái phép có khả thành công hay thất bại o Khắc phục công mà NIDS cảnh báo công phân mảnh hay ghép nối phiên => Vì lý mà OSSEC phát triển theo HIDS NIDS Dựa kỹ thuật phát hiện, IDS chia thành loại: o Signature-based IDS: Signature-based IDS phát xâm nhập dựa dấu hiệu hành vi xâm nhập, thông qua phân tích lưu lượng mạng log hệ thống o Anomaly-based IDS: phát xâm nhập cách so sánh (mang tính thống kê) hành vi với hoạt động bình thường hệ thống để phát bất thường (anomaly) dấu hiệu xâm nhập b) Tổng quan OSSEC - Giới thiệu OSSEC : OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mô tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính tồn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị Ngoài việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows OSSEC cịn tích hợp trong hệ thống bảo mật lớn SIEM (Security information and event management) OSSEC cài đặt Windows với tư cách agent - Các tính bật OSSEC : Theo dõi phân tích log: OSSEC thu thập log theo thời gian thực từ nhiều nguồn khác để phân tích (giải mã, lọc phân loại) đưa cảnh báo dựa luật xây dựng trước OSSEC phát công mạng, hệ thống ứng dụng cụ thể cách sử dụng log làm nguồn thơng tin Log hữu ích để phát h việc khai thác lổ hổng phần mềm, vi phạm sách hình thức hoạt động không phù hợp khác Một số loại log mà OSSEC phân tích log proxy, log web, log ghi lại xác thực, system log Kiểm tra tính tồn vẹn file: Sử dụng hàm băm mật mã, tính tốn giá trị băm file hệ điều hành dựa tên file, nội dung file giá trị băm OSSEC giám sát ổ đĩa để phát thay đổi giá trị băm có đó, điều đó, sửa đổi nội dung file thay phiên file phiên file khác Giám sát Registry: Hệ thống Registry danh sách thư mục tất cài đặt phần cứng phần mềm, cấu hình hệ điều hành, người dùng, nhóm người dùng, preference hệ thống Microsoft Windows Các thay đổi thực người dùng quản trị viên hệ thống ghi lại khóa registry để thay đổi lưu người dùng đăng xuất hệ thống khởi động lại Phát Rootkit: OSSEC phát hiên Rootkit dựa chữ ký, rootkit công cụ cho phép kẻ đột nhập khả xâm nhập trở máy tính bị cài rootkit xóa dấu vết tồn Kẻ xâm nhập sử dụng rootkit để ăn cắp thơng tin tài nguyên từ máy tính nạn nhân OSSEC có khả phát rootkit cách đọc file sở liệu rootkit tiến hành quét hệ thống định kỳ, thực lời gọi hệ thống để phát file khơng bình thường, tiến trình ấn, dấu hiệu vượt quyền, cổng ẩn so sánh chúng với sở liệu để phát rootkit Phản ứng chủ động: Phản ứng chủ động cho phép IDS nói chung OSSEC nói riêng tự động thực thi lệnh phản ứng kiện tập hợp kiện cụ thể kích hoạt Phản ứng chủ động xác định luật Các lợi ích phản ứng chủ động lớn, nguy hiểm, ngăn chặn kết nối hợp pháp lổ hổng để kẻ công khai thác - Ưu điểm OSSEC so với hệ thống khác : Đa tảng (Linux, Mac OS , Window, Solaris) Real-time Alert (Cảnh báo thời gian thực) o Kết hợp với smtp,sms,syslog cho phép người dùng nhận cảnh báo thiết bị có hỗ trợ email o Ngồi tính Active-respone giúp block cơng Có thể tích hợp với hệ thống đại (SIM/SEM) h II Mơ hình Server – Agent/Agentless, cho phép Server dễ dàng quản lý tập trung sách nhiều OS Giám sát agent, agentless (Client khơng cài đặt gói agent) router, firewall Nội dung 1) Kiến trúc - Ossec hoạt động theo mơ hình Server-Agent/Agentless, gồm thành phần OSSEC server OSSEC agent OSSEC SERVER: o Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu Tất luật, giải mã (decoder) lưu trữ server o Server đảm nhận nhiệm vụ quản lý agent Các agent kết nối với máy chủ cổng 1514 514, giao thức UDP Kết nối với cổng phải cho phép để agent kết nối với manager o Nhiệm vụ quan trọng server phân tích log nhận từ agent hay agentless (gọi chung client) xuất cảnh báo Các cảnh báo xuất cho các công cụ xử lý log Logstash, Elastic Search để hiển thị cho người quản trị Kibana, lưu trữ sở liệu OSSEC Agent: o Agent (đầy đủ installable agent) chương trình nhỏ, tập hợp chương trình, cài đặt hệ thống giám sát o Agent thu thập thông tin gửi cho manager để phân tích so sánh Một số thơng tin thu thập thời gian thực, thông tin khác theo định kỳ o Agent có nhớ nhỏ sử dụng CPU, khơng ảnh hưởng đến việc sử dụng hệ thống Server cấu hình cho agent Các agent cài đặt host chúng gửi lại log cho server thơng qua giao thức thơng điệp mã hóa OSSEC o Các modul chức agent là: giám sát host, kiểm tra tính tồn vện file máy host mà cài, phát rootkit máy host, đọc log gửi log cho server o Agentless tính hỗ trợ cho thiết bị khơng cài đặt agent theo cách bình thường router, switch, tường lửa Nó có h chức agent Agentless kết nối để gửi thông điệp, log cho manager phương thức RPC Ngoài OSSEC hỗ trợ thêm số tính năng: Ảo hóa/Vmware ESX: OSSEC cho phép người quản trị cài đặt agent hệ điều hành guest Agent cài đặt bên số phiên VMWare ESX, điều gây h vấn đề kỹ thuật Với agent cài đặt bên VMware ESX, người quản trị nhận thông báo thời điểm máy khách VM cài đặt, gỡ bỏ, khởi động, vv…Agent giám sát đăng nhập, đăng xuất lỗi bên máy chủ ESX Router, tường lửa switch: OSSEC nhận phân tích kiện syslog từ nhiều router, tường lửa switch Đây nguồn thu thập log hiệu để manager phân tích, đưa dấu hiệu, cảnh báo xâm nhâp mạng cho quản trị viên OSSEC khơng phải NIDS 2) Quy trình hoạt động - OSSEC hoạt động theo mơ hình Client – Server: Các agent có trách nhiệm theo dõi thu thập log từ máy host cài đặt, mã hóa chúng gửi cho server theo giao thức UDP, cổng 1514 Server chịu trách nhiệm nhận log từ agent phân tích chúng, so sánh với luật Log xử lý server chuyển hệ thống tích hợp ELK để lưu trữ hiển thị cảnh báo cho admin theo giao diện web 3) Cài đặt cấu hình a) Cài đặt OSSEC Để cài đặt OSSEC hệ thống bạn, bạn làm theo bước sau: - Bước 1: Tải xuống OSSEC Bạn tải xuống OSSEC từ trang chủ ossec.net sử dụng lệnh wget để tải xuống: $ wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz - Bước 2: Giải nén cài đặt OSSEC Giải nén tệp tin: $ tar -zxvf 3.6.0.tar.gz Sau đó, di chuyển đến thư mục ossec-hids-3.6.0 chạy script cài đặt: $ cd ossec-hids-3.6.0 $ sudo /install.sh h Theo mặc định, OSSEC cài đặt vào thư mục /var/ossec hệ thống bạn - Bước 3: Khởi động OSSEC Sau cài đặt, bạn khởi động lại dịch vụ OSSEC cách sử dụng lệnh sau: $ sudo /var/ossec/bin/ossec-control start Bạn kiểm tra trạng thái OSSEC cách sử dụng lệnh sau: $ sudo /var/ossec/bin/ossec-control status Nếu thứ hoạt động đúng, bạn thấy thông báo "ossec-server is running (pid: xxxx)" b) Cấu hình cho OSSEC Để cấu hình OSSEC, bạn làm theo bước sau: Bước 1: Sửa đổi tệp tin cấu hình Tệp tin cấu hình OSSEC /var/ossec/etc/ossec.conf Bạn sử dụng trình chỉnh sửa văn để sửa đổi tệp tin Bước 2: Thêm quy tắc IDS/IPS Bạn thêm, xóa chỉnh sửa quy tắc IDS/IPS cách sử dụng khối tệp tin cấu hình Ví dụ, để thêm quy tắc IDS để phát lỗ hổng bảo mật cổng mạng, bạn sử dụng khối sau: 100 firewall open port: 22 Open port detected h security_event alert_by_email Trong quy tắc này, trường sau sử dụng: id: Mã số quy tắc level: Mức độ nghiêm trọng quy tắc : ID quy tắc cha, trường hợp 100 : Nhóm quy tắc cha : Mô tả quy tắc cha : Mô tả chi tiết quy tắc : Nhóm kiện bảo mật : Tùy chọn xử lý kiện bảo mật, trường hợp gửi cảnh báo qua email Bước 3: Khởi động lại dịch vụ OSSEC Sau sửa đổi tệp tin cấu hình, bạn nên khởi động lại dịch vụ OSSEC cách sử dụng lệnh sau: $ sudo /var/ossec/bin/ossec-control restart Bước 4: Kiểm tra trạng thái OSSEC Bạn kiểm tra trạng thái OSSEC cách sử dụng lệnh sau: $ sudo /var/ossec/bin/ossec-control status Nếu thứ hoạt động đúng, bạn thấy thông báo "ossec-server is running (pid: xxxx)" h 4) Luật tạo luật OSSEC - Luật (rules) phần vô quan trọng hệ thống OSSEC, cốt lõi việc đảm bảo hệ thống OSSEC có hoạt động theo quy trình, xác hiệu hay khơng Rules có định dạng XML, cấu hình ossec server /var/ossec/etc/ossec.config nằm thẻ Rules lưu trong /var/ossec/rules a) Các đặc điểm luật OSSEC OSSEC có 16 cấp độ luật: 00 - Ignored: Không thực hành động Khi gặp luật có cấp độ khơng có thơng báo Các luật qt trước tất luật khác Chúng bao gồm kiện khơng có liên quan bảo mật 01 - None (không) 02 - System low priority notification (hệ thống thông báo ưu tiên thấp): Thông báo hệ thống thông báo trạng thái Khơng có liên quan bảo mật 03 - Successful/Authorized events (sự kiện thành công/được ủy quyền): Bao gồm lần đăng nhập thành công, tường lửa cho phép kiện, v.v 04 - System low priority error (lỗi ưu tiên hệ thống thấp): Các lỗi liên quan đến cấu hình thiết bị/ứng dụng khơng sử dụng Chúng khơng có liên quan bảo mật thường gây cài đặt mặc định kiểm thử phần mềm 05 - User generated error (lỗi người dùng tạo): Chúng bao gồm mật bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng khơng có liên quan bảo mật 06 - Low relevance attack (tấn công mức độ liên quan thấp): Chúng sâu virus không ảnh hưởng đến hệ thống (như mã màu đỏ cho máy chủ apache, vv) Chúng bao gồm kiện IDS thường xuyên lỗi thường xuyên 07 - “Bad word” matching (kết hợp “Từ xấu”): Chúng bao gồm từ "bad", "error", v.v Những kiện khơng phân loại có số mức độ liên quan bảo mật 10 h 08 - First time seen (lần nhìn thấy): Bao gồm kiện lần xem Lần kiện IDS kích hoạt lần người dùng đăng nhập Nếu bạn bắt đầu sử dụng OSSEC HIDS, thông báo thường xuyên Sau thời gian giảm dần, Nó bao gồm hành động bảo mật có liên quan (như bắt đầu sniffer) 09 - Error from invalid source (lỗi từ nguồn không hợp lệ): Bao gồm lần đăng nhập dạng người dùng không xác định từ nguồn không hợp lệ Có thể có liên quan bảo mật (đặc biệt lặp lại) Chúng bao gồm lỗi liên quan đến tài khoản "quản trị" (root) 10 - Multiple user generated errors (tập hợp lỗi người dùng tạo): Chúng bao gồm nhiều mật không hợp lệ, nhiều lần đăng nhập không thành công, v.v Họ cơng người dùng vừa qn thơng tin đăng nhập 11 - Integrity checking warning (cảnh báo kiểm tra tính tồn vẹn): Chúng bao gồm thơng báo liên quan đến việc sửa đổi tệp nhị phân diện rootkit (bằng kiểm tra root) Nếu bạn cần sửa đổi cấu hình hệ thống bạn, bạn báo thông báo "syscheck" Nó công thành công Cũng bao gồm kiện IDS bị bỏ qua (số lần lặp lại cao) 12 - High importancy event (sự kiện quan trọng cao): Chúng bao gồm thông báo lỗi cảnh báo từ hệ thống, hạt nhân, v.v Chúng công chống lại ứng dụng cụ thể 13 - Unusual error (high importance) - Lỗi bất thường (mức độ quan trọng cao): Hầu hết lần khớp với kiểu công chung 14 - High importance security event (sự kiện bảo mật quan trọng cao): Hầu hết thời gian thực với tương quan công 15 - Severe attack (tấn công nghiêm trọng): Cần ý Rules OSSEC hỗ trợ quản lý theo nhóm, luật xây dựng sẵn hệ thống OSSEC thuộc 12 nhóm sau: 11 h invalid_login; authentication_success; authentication_failed; connection_attempt; attacks; adduser; sshd; ids; firewall; squid; apache; syslog => Đặc biệt: admin tự tạo group chứa nhiều luật - Một vài thuộc tính rule OSSEC: Level (bắt buộc phải có): thể mức độ rule, ossec có 16 cấp độ từ 0-15 Id (bắt buộc phải có): id rule, rule có id riêng biệt không trùng lặp số từ 100-99999 (Khi tạo luật nên đặt ip từ khoảng 100.000) Maxsize: định kích thước tối đa kiện tiến hành, số từ 1-99999 Frequency: định số lần rules kiểm tra trước thực Số lần kích hoạt phải gấp đơi số lần cài đặt Ví dụ: tần sô = => rule phải so sánh lần Timeframe: khung thời gian tính giây, sử dụng để kết hợp với frequency Ignore: thời gian (s) bỏ qua rule Overwrite: Cho phép chỉnh sửa rule b) Phân loại luật - Trong OSSEC, luật chia thành loại: Luật nguyên tố luật kết hợp: Luật nguyên tố - luật xử lý kiện: cảnh báo, thông báo hay hành động ứng phó xuất có kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại xuất nhiêu lần thông báo path/to/list/file Checking srcip against cdb list file Luật kết hợp – xử lý nhiều kiện lúc luật: 12 h o o Có thể sử dụng với thẻ Frequency và Timeframe để xử lý xự kiện diễn nhiều lần Các luật kết hợp với thông qua id, sử dụng thẻ hoặc ( hoặc hoặc - thẻ kết hợp với Frequency và Timeframe) 100102 ^Failed Fakeinc Custom: Failed password c) Quy trình xử lý luật (rule) OSSEC Sơ đồ trình xử lý rule OSSEC - Chi tiết trình xử lý sau: + Event: Khi có kiện đến hệ thống bắt đầu trình tiền xử lý giải mã trích xuất bất kỳ thơng tin liên quan từ Sau liệu chiết 13 h xuất, công cụ phù hợp với quy tắc gọi để kiểm tra cảnh báo hệ thống cần cảnh báo + Pre-decoding : Quá trình tiền giải mã đơn giản trích xuất thơng tin tĩnh từ cột thơng tin Nó thường sử dụng với thông điệp đăng nhập theo giao thức phổ dụng lịch sử truy nhập hệ thống Các thơng tin trích giai đoạn thường thông tin thời gian, ngày tháng, chương trình, tên máy tên, thơng điệp đăng nhập + Decoding : Mục tiêu giải mã để trích xuất thơng tin khơng tĩnh từ kiện mà sử dụng rule q trình sau Nói chung, trích xuất thông tin địa chỉ, tên người dùng, liệu tương tự + Rule matching : Giai đoạn kiểm tra xem có khớp với rule định nghĩa hay không để đưa định xử lý + Alerting : Tùy vào kết sau xem xét, lưu vào sở liệu cảnh báo qua thư điện tử phản ứng lại 5) Giải thuật OSSEC - Kiểm tra mật độ liệu (Density Check): Giải thuật kiểm tra mật độ liệu file log để phát kiện bất thường, công Brute Force lạm dụng dịch vụ hệ thống - Kiểm tra tính tồn vẹn (Integrity Check): Giải thuật giám sát file hệ thống để phát thay đổi không mong muốn, thay đổi tập tin hệ thống, file cấu hình thay đổi registry - Kiểm tra định dạng (Format Check): Giải thuật kiểm tra định dạng file log để phát công SQL injection lỗ hổng CrossSite Scripting (XSS) - Kiểm tra thời gian (Time Check): Giải thuật phát kiện xảy ngồi làm việc thơng thường, hoạt động bất thường vào ban đêm vào ngày nghỉ - Kiểm tra tần số (Frequency Check): Giải thuật giám sát kiện để phát hoạt động khơng bình thường, u cầu tới máy chủ tải công phá hoại 14 h - Kiểm tra thông tin (Information Check): Giải thuật phân tích file log để phát kiện bất thường, hoạt động người dùng công từ địa IP lạ 6) Các dạng công ứng dụng a) Các dạng công - Tấn công từ chối dịch vụ (DoS): Tấn công DoS nhằm mục đích làm gián đoạn hoạt động hệ thống cách gửi lượng lớn yêu cầu đến máy chủ OSSEC phát báo cáo công DoS - Tấn công tràn đệm (Buffer Overflow): Tấn công thường sử dụng để chiếm quyền điều khiển hệ thống cách ghi đè vào vùng nhớ đệm chương trình OSSEC giám sát hoạt động chương trình phát lỗ hổng bảo mật công - Tấn công từ chối dịch vụ phân tán (DDoS): Tấn công DDoS dạng cơng mạng mà số máy tính kiểm sốt kẻ công sử dụng để công lúc vào mục tiêu OSSEC phát báo cáo công DDoS - Tấn công truy cập trái phép (Unauthorized Access): Tấn cơng thực cách sử dụng công cụ công từ xa để tìm kiếm cơng vào lỗ hổng bảo mật hệ thống OSSEC phát hoạt động trái phép đăng nhập không hợp lệ yêu cầu truy cập từ xa không xác thực - Tấn công mã độc (Malware): Tấn công thường bao gồm sử dụng phần mềm độc hại để cơng vào hệ thống OSSEC phát tập tin độc hại tải xuống chương trình độc hại thực thi hệ thống - Tấn công phá hoại (Sabotage): Tấn công phá hoại thực cách xóa sửa đổi liệu quan trọng hệ thống OSSEC phát hoạt động phá hoại cách giám sát thay đổi liệu hệ thống b) Ứng dụng OSSEC - Phát báo cáo công mạng: OSSEC giúp phát công vào hệ thống cung cấp thông tin chi tiết hoạt động bảo mật hệ thống 15 h - Theo dõi giám sát hệ thống bảo mật: OSSEC giám sát theo dõi hoạt động bảo mật hệ thống, đảm bảo sách bảo mật tuân thủ hệ thống hoạt động cách an tồn - Tối ưu hóa hiệu suất hệ thống: OSSEC giúp tối ưu hóa hiệu suất hệ thống cách giảm thiểu lỗi bảo mật tăng cường khả phát xử lý cố bảo mật - Quản lý kiện bảo mật: OSSEC giúp quản lý kiện bảo mật hệ thống cách lưu trữ, phân tích đánh giá kiện bảo mật, cung cấp thông tin quan trọng cho việc phát phịng ngừa cơng 7) Xây dựng kịch phát công a) Kịch phát công từ chối dịch vụ (DoS) - Mô tả: Tấn công từ chối dịch vụ (DoS) hình thức cơng phổ biến nay, kẻ cơng sử dụng lượng lớn yêu cầu để làm tải hệ thống mạng, dịch vụ máy chủ, khiến cho khơng thể phục vụ yêu cầu người dùng - Cấu hình rule: + Rule 5710: giám sát tần suất truy cập đến cổng máy chủ, bao gồm cổng phổ biến cổng HTTP, FTP, SSH Telnet + Rule 5715: giám sát tình trạng kết nối đến máy chủ, bao gồm số kết nối mở đến cổng số lượng yêu cầu đến kết nối - Cách hoạt động: Khi kẻ công cố gắng truy cập nhiều lần vào cổng tạo nhiều kết nối đến máy chủ, OSSEC bắt đầu gửi cảnh báo đến quản trị viên hệ thống Cảnh báo gửi qua email hiển thị giao diện đồ họa OSSEC b) Kịch phát công sử dụng malware - Mơ tả: Tấn cơng sử dụng malware hình thức cơng phổ biến nay, kẻ công sử dụng phần mềm độc hại để xâm nhập kiểm soát hệ thống mạng bạn - Cấu hình rule: 16 h + Rule 550: giám sát tạo ra, sửa đổi xóa bỏ tệp tin hệ thống + Rule 551: giám sát tạo sửa đổi quyền truy cập tệp tin hệ thống - Cách hoạt động: Khi kẻ công cố gắng tạo sửa đổi tệp tin hệ thống bạn, OSSEC bắt đầu giám sát gửi cảnh báo đến quản trị viên hệ thống có thay đổi tệp tin Quản trị viên giám sát quyền truy cập tệp tin, quyền truy cập tạo hay sửa đổi gửi cảnh báo đến quản trị viên hệ thống c) Kịch phát công brute-force - Mô tả: Tấn công brute-force hình thức cơng phổ biến, kẻ công sử dụng phương pháp thử mật liên tục để tìm mật xâm nhập vào hệ thống bạn - Cấu hình rule: + Rule 5712: giám sát tần suất truy cập đến dịch vụ đăng nhập, bao gồm SSH, Telnet FTP + Rule 5716: giám sát yêu cầu đăng nhập đăng nhập thất bại đến dịch vụ đăng nhập hệ thống - Cách hoạt động: Khi kẻ công thử đăng nhập vào hệ thống bạn với nhiều mật khác nhau, OSSEC bắt đầu giám sát gửi cảnh báo đến quản trị viên hệ thống có nhiều yêu cầu đăng nhập thất bại khoảng thời gian ngắn Quản trị viên sử dụng thơng tin để đưa biện pháp phịng ngừa cơng brute-force giới hạn số lần đăng nhập thất bại sử dụng mật mạnh III Kết luận Giới thiệu + Giới thiệu hệ thống phát xâm nhập IDS phân loại IDS + Tổng quan hệ thống phát xâm nhập OSSEC Nội dung + Kiến trúc OSSEC 17 h + Quy trình hoạt động OSSEC + Cài đặt Cấu hình OSSEC + Luật tạo luật OSSEC + Giải thuật OSSEC + Các dạng công ứng dụng + Xây dựng kịch phát công IV Các tài liệu tham khảo sử dụng - Tài liệu trang chủ OSSEC : https://www.ossec.net/docs/ - Bài viết tảng viblo.asia : + https://viblo.asia/p/tim-hieu-ve-he-thong-phat-hien-xam-nhap-ossec-phan-im68Z03JzKkG + https://viblo.asia/p/tim-hieu-ve-he-thong-phat-hien-xam-nhap-ossec-phanii-ByEZkwd2ZQ0#_iii-luat-va-cach-tao-luat-trong-ossec-0 - Bài viết news.cloud365.vn : + https://news.cloud365.vn/ossec-part-1-tim-hieu-ve-he-thong-phat-hien-xamnhap-ossec/ - Chat GPT 18 h 19 h