OSSEC là hệ thống phát hiện xâm nhập dựa trên host (HIDS) dựa trên log mã nguồn mở, miễn phí, đa nền tảng có thể mở rộng và có nhiều cơ chế bảo mật khác nhau. OSSEC có thể phát hiện xâm nhập bằng cả chữ ký hoặc dấu hiệu bất thường. Các dấu hiệu bình thường và bất thường được mô tả trong bộ luật của OSSEC.
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG ****** BÁO CÁO BÀI TẬP LỚN “Tổng quan hệ thống phát xâm nhập OSSEC” Giảng Viên TS.Hoàng Xuân Dậu Học Viên Nguyễn Ngọc Quý Lớp Đặng Anh Tuấn Hệ Thống Thông Tin Hà Nội năm 2023 Mục Lục Phân công công việc Giới thiệu Kiến trúc quy trình hoạt động OSSEC 2.1 Kiến trúc 2.2 Quy trình hoạt động 2.3 Tính OSSEC .9 2.4 Luật cách tạo luật OSSEC 2.5 Các đặc điểm luật OSSEC .10 2.6 Phân loại luật 14 Cài đặt, thử nghiệm số kịch OSSEC 16 3.1 Phát người dùng đặng nhập mật sai máy client cài OSSEC Agent 16 3.2 Phát hành vi đổi mật người dùng máy client cài OSSEC Agent 20 Kết Luận .24 Tài liệu tham khảo .25 Phân công công việc Nguyễn Ngọc Quý Tìm hiểu hệ thống OSSEC (kiến trúc, tính năng, thành phần, luật OSSEC) Đặng Anh Tuấn Hồn thiện tài liệu báo cáo, làm slide, thuyết trình Tìm hiểu cài đặt OSSEC, demo số kịch OSSEC Giới thiệu OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mô tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính tồn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị Ngồi việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows OSSEC cịn tích hợp trong hệ thống bảo mật lớn SIEM (Security information and event management) OSSEC cài đặt Windows với tư cách agent - Ưu điểm HIDS HIDS có số điểm cải tiến so với NIDS: o Phù hợp với mơi trường liệu mã hố ngày phổ biến HIDS có khả đọc liệu (log) mã hố server nhận o Thích hợp mạng chuyển đổi nơi mà có máy chủ lưu trữ cuối nhìn thấy lưu lượng truy cập o Theo dõi tiến trình sử dụng người dung máy chủ o Có khả phát phản ứng với thời gian thực o Xác minh khả công NIDS thường đưa cảnh báo sớm, cịn HID có khả xem cơng hay xâm nhập trái phép có khả thành cơng hay thất bại o Khắc phục công NIDS cảnh báo công phân mảnh hay ghép nối phiên - Các tính bật OSSEC là: o Theo dõi phân tích log: OSSEC thu thập log theo thời gian thực từ nhiều nguồn khác để phân tích (giải mã, lọc phân loại) đưa cảnh báo dựa luật xây dựng trước OSSEC phát công mạng, hệ thống ứng dụng cụ thể cách sử dụng log làm nguồn thơng tin Log hữu ích để phát việc khai thác lỗ hổng phần mềm, vi phạm sách hình thức hoạt động khơng phù hợp khác Một số loại log mà OSSEC phân tích log proxy, log web, log ghi lại xác thực, system log o Kiểm tra tính tồn vẹn file: Sử dụng hàm băm mật mã, tính tốn giá trị băm file hệ điều hành dựa tên file, nội dung file giá trị băm OSSEC giám sát ổ đĩa để phát thay đổi giá trị băm có đó, điều đó, sửa đổi nội dung file thay phiên file phiên file khác o Giám sát Registry: Hệ thống Registry danh sách thư mục tất cài đặt phần cứng phần mềm, cấu hình hệ điều hành, người dung, nhóm người dùng, preference hệ thống Microsoft Windows Các thay đổi thực người dùng quản trị viên hệ thống ghi lại khoá registry để thay đổi lưu người dung đăng xuất hệ thống khởi động lại Registry cho thấy kernel hệ điều hành tương tác với phần cứng phần mềm máy tính HIDS giám sát thay đổi khoá registry quan trọng để đảm bảo người dung ứng dụng khơng cài đặt chương trình sửa đổi chương trình có với mục đích xấu o Phát Rootkit: OSSEC phát Rootkit dựa chữ ký, rootkit công cụ cho phép kẻ đột nhập khả xâm nhập máy tính bị cài rơtkit xố dấu vết tồn Kẻ xâm nhập sử dụng rootkit để ăn cắp thông tin tài nguyên từ máy tính nạn nhân OSSEC có khả phát rootkit cách đọc file sở liệu rootkit tiến hành quét hệ thống định kỳ, thực lời gọi hệ thống để phát file khơng bình thường, tiến trình ẩn, dấu hiệu vượt quyền, cổng ẩn so sánh chúng với sở liệu để phát rootkit o Phản ứng chủ đông: Phản ứng chủ động cho phép IDS nói chung OSSEC nói riêng tự động thực thi lệnh phản ứng kiện tập hợp kiện cụ thể kích hoạt Phản ứng chủ động xác định luật Các lợi ích phản ứng chủ động lớn, nguy hiểm, ngăn chặn kết nối hợp pháp lỗ hổng để kẻ cơng khai thác Ví dụ: quản trị viên hợp pháp tạo báo động sai chặn người dừng/máy chủ hợp pháp truy cập luật thiết kế Kiến trúc quy trình hoạt động OSSEC 2.1 Kiến trúc OSSEC thiết kế theo mơ hình client - server, gồm thành phần OSSEC server OSSEC agent - OSSEC server: o Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu Tất các luật, giải mã (decoder) lưu trữ server o Server đảm nhận nhiệm vụ quản lý agent Các agent kết nối với máy chủ cổng 1514 514, giao thức UDP Kết nối với cổng phải cho phép để agent kết nối với managet o Nhiệm vụ quan trọng server phân thích log nhận từ agent hay agentless (gọi chung client) xuất cảnh báo Các cảnh báo xuất cho cơng cụ xử lý log Logstach, Elastic Search để hiển thị cho người quản trị Kibana, lưu trữ sở liệu - OSSEC Agent: o Agent (đầy đủ installable agent) chương trình nhỏ, tập hợp chương trình, cài đặt hệ thống giám sát o Agent thu thập thông tin gửi cho manager để phân tích so sánh Một số thông tin thu tập thời gian thực, thơng tin khách theo định kỳ o Agent có nhớ nhỏ sử dụng CPU, không ảnh hưởng đến việc sử dụng hệ thống Server cấu hình cho agent Các agent cài đặt host gửi chúng lại log cho server thông qua giao thức thông điệp mã hoá OSSEC o Các module chức agent là: giám sát host, kiểm tra tính tồn vẹn file máy host mà cài, phát rootkit máy host, đọc log gửi log cho server o Agentless tính hỗ trợ cho thiết bị không cài đặt agent theo cách bình thường router, switch, tường lửa Nó có chức agent Agentless kết nối để gửi thông điệp, log cho manager phương thức RPC 2.2 Quy trình hoạt động OSSEC hoạt động theo mơ hình Client - Server: o Các agent có trách nhiệm theo dõi thu thập log từ máy host cài đặt, mã hoá chúng gửi cho server theo giao thức UDP, cổng 1514 o Server chịu trách nhiệm nhận log từ agent phần tích chúng, so sánh với luật o Log xử lý server chuyển hệ thống tích hợp ELK để lưu trữ hiển thị cảnh báo cho admin theo giao diện web 2.3 Tính OSSEC - Ảo hoá/Vmware ESX: OSSEC cho phép người quản trị cài đặt agent hệ điều hành guest Agent cài đặt bên số phiên VMWare ESX, điều gây vấn đề kỹ thuật Với agent cài đặt bên trọng VMware ESX, người quản trị nhận thông báo thời điểm máy khách VM cài đặt, gỡ bỏ, khởi động, vv…Agent giám sát đăng nhập, đăng xuất lỗi bên máy chủ ESX Thêm nữa, OSSEC cịn thực kiểm tra an ninh (CIS) cho VMware, cảnh báo có tuỳ chọn cấu hình khơng an tồn bật vấn đề khác - Router, tường lửa switch: OSSEC nhận phân tích kiện syslog từ nhiều router, tường lửa switch Đây nguồn thu thập log hiệu để managet phân tích, đưa dấu hiệu, cảnh báo xâm nhập mạng cho quản trị viên OSSEC NIDS 2.4 Luật cách tạo luật OSSEC Luật (rules) phần vô quan trọng hệ thống OSSEC, cốt lõi việc đảm bảo hệ thống OSSEC có hoạt động theo quy trình, xác hiệu hay khơng Rules có định dạng XML, cấu hình ossec server /var/ossec/etc/ossec.config nằm thẻ Rules lưu /var/ossec/rules 2.5 Các đặc điểm luật OSSEC - OSSEC có 16 cấp độ luật: o 00 - Ignored: Không thực hành động Khi gặp luật có cấp độ khơng có thơng báo Các luật quét trước tất luật khác Chúng bao gồm kiện khơng có liên quan bảo mật o 01 - None (không) o 02 - System low priority notification (hệ thống thông báo ưu tiên thấp): Thông báo hệ thống thơng báo trạng thái Khơng có liên quan bảo mật o 03 - Successful/Authorized events (sự kiện thành công/được ủy quyền): Bao gồm lần đăng nhập thành công, tường lửa cho phép kiện, v.v o 04 - System low priority error(lỗi ưu tiên hệ thống thấp): Các lỗi liên quan đến cấu hình thiết bị/ứng dụng khơng sử dụng Chúng khơng có liên quan bảo mật thường gây cài đặt mặc định kiểm thử phần mềm o 05 - User generated error(lỗi người dùng tạo): Chúng bao gồm mật bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng khơng có liên quan bảo mật o 06 - Low relevance attack (tấn công mức độ liên quan thấp): Chúng sâu virus không ảnh hưởng đến hệ thống (như mã màu đỏ cho máy chủ apache, vv) Chúng bao gồm kiện IDS thường xuyên lỗi thường xuyên o 07 - “Bad word” matching (kết hợp “Từ xấu”): Chúng bao gồm từ "bad", "error", v.v Những kiện khơng phân loại có số mức độ liên quan bảo mật o 08 - First time seen (lần nhìn thấy): Bao gồm kiện lần xem Lần kiện IDS kích hoạt lần người dùng đăng nhập Nếu bạn bắt đầu sử dụng OSSEC HIDS, thơng báo thường xuyên Sau thời gian giảm dần, Nó bao gồm hành động bảo mật có liên quan (như bắt đầu sniffer) o 09 - Error from invalid source(lỗi từ nguồn không hợp lệ): Bao gồm lần đăng nhập dạng người dùng không xác định từ nguồn không hợp lệ Có thể có liên quan bảo mật (đặc biệt lặp lại) Chúng bao gồm lỗi liên quan đến tài khoản "quản trị" (root) o 10 - Multiple user generated errors (tập hợp lỗi người dùng tạo): Chúng bao gồm nhiều mật không hợp lệ, nhiều lần đăng nhập không thành công, v.v Họ cơng người dùng vừa qn thơng tin đăng nhập o 11 - Integrity checking warning (cảnh báo kiểm tra tính tồn vẹn): Chúng bao gồm thông báo liên quan đến việc sửa đổi tệp nhị phân diện rootkit (bằng kiểm tra root) Nếu bạn cần sửa đổi cấu hình hệ thống bạn, bạn báo thơng báo "syscheck" Nó công thành công Cũng bao gồm kiện IDS bị bỏ qua (số lần lặp lại cao) o 12 - High importancy event (sự kiện quan trọng cao): Chúng bao gồm thông báo lỗi cảnh báo từ hệ thống, hạt nhân, v.v Chúng công chống lại ứng dụng cụ thể o 13 - Unusual error (high importance) - Lỗi bất thường (mức độ quan trọng cao): Hầu hết lần khớp với kiểu công chung o 14 - High importance security event (sự kiện bảo mật quan trọng cao): Hầu hết thời gian thực với tương quan công o 15 - Severe attack (tấn công nghiêm trọng): Cần ý - Rules OSSEC hỗ trợ quản lý theo nhóm, luật xây dụng sẵn hệ thống OSSEC thuộc 12 nhóm sau: o invalid_login o authentication_success o authentication_failed o connection_attempt o attacks o adduser o sshd o ids o firewall o squid o apache o syslog => Đặc biệt: admin tự tạo group chứa nhiều luật Một vài thuộc tính rule OSSEC: - Level (bắt buộc phải có): thể mức độ rule, ossec có 16 cấp độ từ 0-15 - Id (bắt buộc phải có): id rule, rule có id riêng biệt không trùng lặp số từ 100-99999 (Khi tạo luật nên đặt ip từ khoảng 100.000) - Maxsize: định kích thước tối đa kiện tiến hành, số từ 1-99999 - Frequency: định số lần rules kiểm tra trước thực Số lần kích hoạt phải gấp đơi số lần cài đặt Ví dụ: tần sô = => rule phải so sánh lần - Timeframe: khung thời gian tính giây, sử dụng để kết hợp với frequency - Ignore: thời gian (s) bỏ qua rule - Overwrite: Cho phép chỉnh sửa rule 2.6 Phân loại luật Trong OSSEC, luật chia thành loại: Luật nguyên tố luật kết hợp: - Luật nguyên tố - luật xử lý kiện: cảnh báo, thông báo hay hành động ứng phó xuất có kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại xuất nhiêu lần thông báo - Luật kết hợp – xử lý nhiều kiện lúc luật: o Có thể sử dụng với thẻ Frequency Timeframe để xử lý xự kiện diễn nhiều lần o Các luật kết hợp với thông qua id, sử dụng thẻ ( - thẻ kết hợp với Frequency Timeframe) Cài đặt, thử nghiệm số kịch OSSEC 3.1 Phát người dùng đặng nhập mật sai máy client cài OSSEC Agent Các bước thực hiện: Bước 1: Cài đặt đảm bảo OSSEC kết nối hoạt động thông suốt Bước 2: Thiết lập luật cảnh báo hành vi đăng nhập mật không xác Bước 3: Thực đăng nhập với mật khơng xác máy Client Bước 4: Kiểm tra kết giám sát hệ thống Thực thử nghiệm Bước 1: Cài đặt đảm bảo OSSEC kết nối hoạt động thơng suốt Nhóm học viện cài đặt OSSEC Server OSSEC Agent hay máy để thực giám sát Thiết bị có ID 002 giám sát Trên OSSEC Agent hiển thị kết nối thành công đến OSSEC Server Bước 2: Thiết lập luật cảnh báo hành vi đăng nhập mật khơng xác Nhóm học viên truy cập vào đường dẫn /var/ossec/rules để thiết lập luật phát đăng nhập không thành công với luật sau authentication_failed Multiple authentication failures. authentication_failures, Bước 3: Thực đăng nhập với mật khơng xác máy Client Nhóm học viện đăng nhập thiết bị Client với mật sau để quan sát Bước 4: Kiểm tra kết giám sát hệ thống Khi kiểm tra logs hệ thống thấy OSSEC Server ghi nhận kiện đăng nhập không thành công Client Log cảnh báo hệ thống lưu trữ /var/ossec/logs/alerts/alerts.log 3.2 Phát hành vi đổi mật người dùng máy client cài OSSEC Agent Các bước thực hiện: Bước 1: Cài đặt đảm bảo OSSEC kết nối hoạt động thông suốt Bước 2: Thiết lập luật cảnh báo hành vi đổi mật người dùng Bước 3: Thực đổi mật người dùng máy Client Bước 4: Kiểm tra kết giám sát hệ thống Thực thử nghiệm: Bước 1: Cài đặt đảm bảo OSSEC kết nối hoạt động thông suốt Nhóm học viện cài đặt OSSEC Server OSSEC Agent hay máy để thực giám sát Thiết bị có ID 002 giám sát