Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạ
Trang 1LỜI CẢM ƠN
————————
Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn,
giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp
Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS Đàm Quang Hồng
Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này
Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn,
anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều
kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu quý báu đóng góp
vào quá trình phân tích hình thành nghiên cứu của tôi
Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ
Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm
học vừa qua
Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia
đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên
cứu của mình
Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn
chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được
những đóng góp quý báu của thầy cô và các bạn
TP Hồ Chí Minh, tháng 6 năm 2015
Người thực hiện
Đinh Như Khoa
MỤC LỤC
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv
DANH MỤC CÁC BẢNG v
DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ vi
MỞ ĐẦU 1
Chương 1 3
TỔNG QUAN 3
1.1 Lịch sử hệ thống phát hiện xâm nhập 3
1.2 Các vấn đề cần giải quyết luận văn 6
1.3 Các phương pháp nghiên cứu của luận văn 7
1.4 Những đóng góp chính của luận văn 8
1.5 Bố cục của luận văn 8
1.6 Kết luận chương 10
Chương 2 11
NGHIÊN CỨU CÔNG CỤ PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ OSSEC 11
2.1 Hệ thống phát hiện xâm nhập 11
2.1.1 Phân loại hệ thống phát hiện xâm nhập 11
2.1.1.1 Một số định nghĩa 11
2.1.1.2 Phân loại IDS 14
2.1.1.2 So sánh HIDS và NIDS 16
2.1.2 Mô hình và các kỹ thuật triển khai IDS 20
2.1.2.1 Triển khai Host-based IDS 21
2.1.2.2 Triển khai Netwo rk-based IDS 22
2.1.3 Chính sách IDS 23
2.2 Công cụ phát hiện xâm nhập mã nguồn mở ossec 24
Trang 22.2.1 Giới thiệu về OSSEC 24
2.2.2 Các thành phần của OSSEC 24
2.2.3 Các luật trong OSSEC 26
2.2.4 Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit 32
2.2.5 Phản ứng chủ động trong OSSEC 32
2.2.5.1 Cấu hình các dòng lệnh 33
2.2.5.2 Cấu hình phản ứng 34
Chương 3 36
PHẦN MỀM QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC 36
3.1 Phần mềm quản lý luật dựa trên ossec 36
3.1.1 Cơ sở lý luận và thực tiễn 36
3.1.2 Cách tiếp cận vấn đề 38
3.1.3 Thiết kế cơ sở dữ liệu 38
3.1.4 Mô hình chức năng hoạt động 40
3.1.5 Giao diện của chương trình quản lý 41
3.2 Chức năng phát hiện tấn công ddos 44
3.2.1 Cơ sở lý luận và thực tiễn 44
3.2.1.1 Các yêu cầu đối với môt hệ thống phát hiện DDos 44
3.2.1.2 Phân tích phát hiện các cuộc tấn công DDos 45
3.2.1.3 Một số thuật toán phát hiện DDos 45
3.2.2 Các thuật toán áp dụng cho chức năng phát hiện tấn công DDOS 50
3.2.2.1 Cơ chế kiểm tra địa chỉ nguồn 50
3.2.2.2 Kỹ thuật phát hiện tấn công DDOS theo thuật toán CUSUM 52
3.2.3 Hiện thực cá chức năng của chương trình 53
3.2.3.1 Quản lý các địa chỉ đã truy cập 53
3.2.3.2 Phân tích tấn công, cảnh báo và ngăn chặn các địa chỉ tấn công 57
Chương 4 59
THỰC NGHIỆM Error! Bookmark not defined 4.1 Giao diện chức năng quản lý địa chỉ truy cập 59
4.1.1 Quản lý cấu hình thông số IAD 59
4.1.2 Bảng danh sách địa chỉ truy cập mới nhất 60
4.2 Biểu đồ kết quả phân tích phát hiện tấn công DDOS 61
TÀI LIỆU THAM KHẢO 62
Trang 3DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
DANH MỤC CÁC BẢNG
Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS 17
Trang 4DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ
Hình 1.1: Các dòng sản phẩm IDS của Cisco 9
Hình 1.2: Các dòng sản phẩm IDS của ISS 9
Hình 1.3: Các dòng sản phẩm IDS của Symatec 9
Hình 1.4: Các dòng sản phẩm IDS của Enterasys 10
Hình 2.2: Một số vị trí đặt IDS trong hệ thống mạng 17
MỞ ĐẦU
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới - thời đại công nghệ số Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch
vụ web Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức
mã hóa, và các mạng riêng ảo,…
Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra Những thông tin thu thập được sẽ
Trang 5giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống
nhằm giảm thiểu những tấn công bất hợp pháp
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử dụng
để tạo sự bảo mật đối với các gói vào và ra trong mạng IDS thường được sử dụng
để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết về
những gì đang thực sự xảy ra trong mạng Các hệ thống IDS được chia thành các
loại sau:
Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để
phát hiện xâm nhập
Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,
cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập
Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn
chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2
(VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ
phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của
đi vào chi tiết
1.1 Lịch sử hệ thống phát hiện xâm nhập
Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công của hacker-những kẻ xâm nhập
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất thường và không hợp pháp Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là
sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong
hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát
Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên vào năm 1980 Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Vài năm sau đó,
Trang 6Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp
IDS là Wheel Group Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp
tục phát triển đến ngày nay
Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản
IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000 HID (Host Intrusion
Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition
Hình 1.1 Các dòng sản phẩm IDS của Cisco
Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID
với công nghệ Gigabit
Hình 1.2 Các dòng sản phẩm IDS của ISS
Symantec bao gồm các sản phẩm ITA và NetPower
Hình 1.3 Các dòng sản phẩm IDS của Symantec
Enterasys với Dragon NID và Squire HID system
Hình 1.4 Các dòng sản phẩm IDS của Enterasys Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu hết các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần cứng đã được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO Đối với các hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, đây
là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần cứng Tuy nhiên đối với các tổ chức có mô hình mạng nhỏ thì đây không phải là một giải pháp thực sự kinh tế, vì chi phí cho các sản phẩm này khá cao
Bên cạnh những dòng IDS dùng phần cứng, cũng có rất nhiều IDS dùng phần mềm Theo Insecure.org ( http://sectools.org/tag/ids/) OSSEC là một số hệ thống phát hiện xâm nhập bằng phần mềm có khả năng rất mạnh và được các nhà cung cấp dịch vụ Internet hay các trung tâm dữ liệu sử dụng OSSEC là một sản phẩm IDS mã nguồn mở đã được hãng bảo mật TREND Micro mua lại, nó hoạt động dựa trên các tập luật được định nghĩa với 15 mức độ ưu tiên khác nhau, phân tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) và Bản đăng ký hệ thống (registry) để theo dõi, thực thi các chính sách, phát hiện rootkit nhằm cảnh báo và phản ứng tích cực
Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm IDS phần mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn
mở OSSEC Bởi vì, có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và OSSEC có thể đáp ứng rất tốt cả hai yêu cầu này Ngòai ra OSSEC còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật các luật một cách
Trang 7nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu
cầu của mình Vì vậy OSSEC là phần mềm IDS mạnh mẽ và được dùng nhiều hiện
nay trên thế giới trong vấn đề phát hiện xâm nhập
Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS
thành một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp
các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng
phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công
đó
Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng
ngăn chặn hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực
hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở
vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng
Công cụ mã nguồn mở OSSEC đã được xây dựng và phất triển rất lâu, mục
đích là gọn nhẹ và hiệu quả, bên cạnh đó chủ yếu phục vụ cho người quản trị có am
hiểu về hệ thống rất cao Các giao diện cho người dùng rất khó dùng và chỉ thể hiện
những lịch sử truy nhập dạng thô, và để cấu hình những luật mới hay chỉnh sửa phải
dùng lệnh rất dài để cấu hình trong hệ điều hành Linux hoặc chỉnh sửa các tập tin
XML được định nghĩa sẵn Những khó khăn này làm cho hệ thống bớt hiệu quả bởi
người quản trị phải luôn xem lịch sử truy cập và phải tự phân tích rất nhiều, ngoài ra
việc chỉnh sửa hay thêm bớt các luật không được thuận tiện làm cho người quản trị
cảm thấy không thoải mái Chính vì vậy, vấn đề cần thiết của việc xây dựng ứng
dụng quản lý các luật của OSSEC một cách trực quan sẽ giúp cho người quản trị rất
nhiều trong quá trình khai thác các điểm mạnh của OSSEC
1.2 Các vấn đề cần giải quyết trong luận văn
Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách
xây dựng một chương trình có giao diện thân thiện, dễ sử dụng với những chức
năng cho phép cập nhật tương tác tích hợp với hệ thống OSSEC Hệ thống cho phép
Phải hiển thị được các cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ
thống
Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công DDOS một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các giải thuật phát hiện tấn công DDOS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ phát hiện tấn công và giảm tỉ lệ cảnh báo giả
Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống ứng dụng quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo dõi hệ thống nhanh và chính xác hơn Bên cạnh đó luận văn cũng tìm hiểu một số phương pháp để phát hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng
để người quản trị sớm có những quyết định chống lại các tấn công nguy hiểm này
1.3 Các phương pháp nghiên cứu của luận văn
Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân tán của các tác giả trước đó Ứng dụng những phương pháp phù hợp nhất cho hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu Một số phương pháp được luận văn sử dụng bao gồm:
Phương pháp theo dõi địa chỉ nguồn : Lữu trữ những địa chỉ đã truy cập để phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ hợp lệ hay không
Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới hạn để xác định tấn công
Trang 81.4 Những đóng góp chính của luận văn
Luận văn đã tìm hiểu và xây dựng một hệ thống quản trị các luật và tích hợp
với hệ thống OSSEC ứng dụng giúp người dùng tương tác với hệ thống OSSEC dễ
dàng hơn, cho phép cập nhật, chỉnh sửa các luật, theo dõi lịch sử truy cập hệ thống
trực quan dạng biểu đồ
Luận văn đã tìm hiểu các phương pháp của các nghiên cứu trước đó Chọn lọc
và ứng dụng các giải thuật phù hợp cho nghiên cứu của mình Đồng thời luận văn
đề xuất một số phương pháp sau đây:
Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ các địa chỉ
truy cập hệ thống Nhưng không cần phải lưu các thông số như số lần truy cập của
địa chỉ cũng như số gói tin của địa chỉ truy cập
Dựa vào lý thuyết thuật toán CUSUM để xây dựng các thông số cần tính
toán nhằm đưa ra quyết định cảnh báo hoặc ngăn chặn khi có tấn công DDOS thông
qua các cấu hình của người quản trị
1.5 Bố cục của luận văn
Luận văn gồm các phần sau
Mở đầu
Chương 1: Tổng quan
Chương này luận văn giới thiệu tổng quan về hệ thống phát hiện
xâm nhập và ứng dụng mã nguồn mở OSSEC Đồng thời luận văn cũng
trình bày các phương pháp nghiên cứu và những đóng góp chính của
luận văn Bố cục của luận văn cũng được giới thiệu cho người đọc cái
nhìn khái quát trước khi đi vào chi tiết
Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở
OSSEC
Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm
nhập Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập
bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập
Chương 3: Hệ thống Phần mềm quản lý luật và chức năng phát hiện tấn công DDOS dựa trên tích hợp với mã nguồn mở OSSEC và chức năng phát hiện tấn công DDOS (sửa lại tên chương 3)
Đây là chương quan trọng nhất của luận văn Trong chương này luận văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát triển Hệ thống ứng dụng quản lý luật nhằm mang lại công cụ quản trị
thuận tiện cho người dùng Bên cạnh đó luận văn cũng phát triển một chức năng nhằm phát hiện sớm tấn công DDOS để cảnh báo đến người quản trị và đưa ra hướng giải quyết nhằm ngăn chặn tấn công DDOS
Chương 4: Đánh giá kết quả đạt được Thực nghiệm (sửa lại tên chương 3)
Trong chương này luận văn trình bày những kết quả thực nghiệm
áp dụng vào thực tế để phân tích dữ liệu và kết quả đạt được của ứng dụng quản lý luật và đặc biệt là kết quả thực tế trong quá trình phân tích tấn công DDOS dựa trên cải tiến giải thuật CUSUM Luận văn cũng trình bày kết quả những cải tiến so với giải thuật CUSUM
Kết luận
Phần này tổng quát lại những đóng góp của luận văn, những kết quả đạt được trong quá trình nghiên cứu của tác giả
Kiến nghị các hướng nghiên cứu tiếp theo
Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán
Trang 91.6 Kết luận chương
Chương này Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các
vấn đề luận văn cần quan tâm Trong đó quan trọng nhất là cải tiến tỉ lệ phát hiện
tấn công DDOS Điều này đòi hỏi cần giảm bớt độ phức tạp của thuật giải nhưng
vẫn đảm bảo độ chính xác của hệ thống Ngoài ra Chương này cũng trình bày các
phương pháp thực hiện của luận văn Bố cục luận văn cũng được giới thiệu cho
người đọc cái nhìn tổng quát trước khi đi sâu vào chi tiết
2.1 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng một cách hiệu quả [1]
Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty Vấn
đề là chọn lựa mô hình nào để triển khai cho phù hợp với nhu cầu thực tế
2.1.1 Phân loại hệ thống phát hiện xâm nhập
2.1.1.1 Một số định nghĩa
Trước khi đi vào chi tiết của phát hiện xâm nhập, chúng ta cần có một số định nghĩa liên quan đến bảo mật Đây là các khái niệm thường được sử dụng nhất trong lĩnh vực IDS
Trang 10IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần
mềm hoặc phần cứng hoặc kết hợp của cả hai được dùng để phát hiện các hành vi
xâm nhập vào mạng Mục đích của nó là phát hiện và ngăn ngừa các hành động phá
hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn
công như sưu tập, quét các cổng Tính năng chính của hệ thống này là cung cấp
thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo
cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó công cụ
IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân
viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) OSSEC là một
IDS mã nguồn mở phổ biến và được giới thiệu trong khóa luận này Một IDS có
nhiều chức năng hay không là phụ thuộc vào sự phức tạp và tinh vi trong các thành
phần của nó IDS appliances là sản phẩm kết hợp cả phần cứng và phần mềm, hầu
hết đều là các sản phẩm thương mại Như đã đề cập ở trên, một IDS có thể sử dụng
kỹ thuật signature, anomaly-based hoặc cả hai
Network-based IDS (NIDS)
NIDS dùng để bắt các gói tin từ môi trường mạng (cables hoặc wireless) để
so sánh dữ liệu thu thập được với cơ sở dữ liệu đã biết của các dấu hiệu tấn công
vào hệ điều hành và ứng dụng Khi phát hiện được nguy cơ bị tấn công, NIDS có
thể phản ứng lại bằng cách log gói tin vào cơ sở dữ liệu, cảnh báo cho nhà quản trị
hoặc đưa vào firewall
Host-based IDS (HIDS)
HIDS được cài đặt như một agent trên một host cụ thể HIDS phân tích log
của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các
vi phạm bảo mật và các chính sách đã được đặt ra Nếu thấy có vi phạm HIDS có
thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và
có thể ngừng hành động lại trước khi nó xảy ra
Thường thì IDS dựa vào signature để tìm ra hoạt động của người tấn công Một vài nhà cung cấp IDS yêu cầu phải cập nhật các signature mới trực tiếp từ nhà cung cấp khi có một kiểu tấn công mới được tìm ra Trong một số IDS khác, chẳng hạn như Snort, ta có thể tự cập nhật các signature do mình tự định nghĩa, như vậy người dùng có thể linh động hơn khi sử dụng
Alerts
Alerts là bất kỳ các hình thức thông báo cho người dùng về một hoạt động tấn công Khi IDS phát hiện ra một kẻ tấn công, nó dùng các hình thức alert để thông báo cho người quản trị bảo mật Alerts có thể là cửa sổ pop-up, màn hình console, gởi email … Alerts có thể được chứa trong file log hoặc database để được
sử dụng trong công tác phân tích của các chuyên gia bảo mật
Logs
Các thông báo log thường được lưu vào file Mặc định OSSEC lưu trữ ở /var/ossec/log OSSEC có nhiều loại log khác nhau bao gồm log ossec, log alert, log firewall, log active response OSSEC có công cụ ossec-webui dùng để phân tích log
False Alarm
False Alarm là những cảnh báo về một cuộc tấn công nhưng thực tế đó không phải là hành động tấn công Ví dụ như IDS phát hiện ra một cuộc tấn công vào IIS server nhưng thực tế bên trong hệ thống mạng của bạn không hề có IIS
Trang 11server Để tránh cảnh báo sai cần phải thay đổi và điều chỉnh các luật mặc định
Trong một số trường hợp phải gở bỏ đi một số luật để tránh cảnh báo sai
Sensor/Agent
Là một máy tính hoặc thiết bị mà trên đó đang chạy một hệ thống phát hiện
xâm nhập (IDS), nó được gọi là sensor vì nó được dùng để giám sát và phân tích các
hoạt động network “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong
khi “Agent” thường được dùng cho dạng Host-base IDS/IPS
2.1.1.2 Phân loại IDS
Nhìn chung có nhiều cách để phân loại IDS, tuy nhiên cách phân loại tổng
quát nhất vẫn là phân loại thành Host-based và Network-based
Host-based IDS
HIDS là dạng IDS lấy thông tin cục bộ từ một host, nơi nó được cài đặt
HIDS có thể được sử dụng trong một số dạng như dùng để theo dõi log (logfile
monitors), giám sát tính toàn vẹn (integrity monitors), phát hiện hiện xâm nhập ở
mức kernel (kernel module)
Logfile monitors - Đây là dạng IDS đơn giản nhất, thiết bị này sẽ cố gắng phát
hiện những sự xâm nhập bằng cách phân tích log các sự kiện của hệ thống Công
nghệ HIDS bị giới hạn bởi hệ thống ghi log Nếu ứng dụng không hỗ trợ hoặc hỗ trợ
giới hạn việc ghi log thì sẽ hạn chế khả năng hoạt động của HIDS rất nhiều Ngoài
ra đối với hacker có kinh nghiệm thì có khả năng qua mặt hệ thống HIDS bằng cách
tạo nhiều sự kiện ghi log giả mạo (false positive) khiến quản trị viên tắt bỏ alert
hoặc thậm chí tắt bỏ cả HIDS trên một agent Đối với hacker có kinh nghiệm thì còn
có một số lỗ hổng trong ứng dụng không ghi log và hacker có thể khai thác HIDS
mà không có log thì sẽ không hoạt động đúng chức năng như đã được thiết kế
Công cụ giám sát log file nổi tiếng nhất là Simple Watcher (Swatch) Công
cụ này cho phép phát hiện những xâm nhập được phân tích từ log file dựa trên cấu
hình trong file script
Integrity monitors - Công cụ giám sát tính toàn vẹn sẽ nhìn vào cấu trúc chủ
yếu để phát hiện sự thay đổi Ví dụ như, một hệ thống giám sát tính toàn vẹn cơ bản
sử dụng một file hệ thống hoặc một khóa trong registry để ghi lại các thay đổi bởi
một kẻ xâm nhập
Công cụ dùng để giám sát tính toàn vẹn phổ biến nhất là Tripwire
(http://www.tripwire.com) (có cả phiên bản cho Linux và Windows), và AIDE là một phiên bản phát triển trên nền của Tripwire Các công cụ này đều hoạt động chủ yếu dựa trên sự theo dõi bảng băm (hash) để kiểm tra tính toàn vẹn của tập tin Ngoài ra các công cụ này còn theo dõi một số thuộc tính như :
Việc thêm, xóa và sửa đổi file
Cờ trạng thái của file (hidden, read-only, archive, …)
Thời gian truy cập cuối cùng
Thời gian ghi cuối cùng
Kích thước file
Lưu ý : Điểm mấu chốt khi triển khai các hệ thống này là phải thiết lập trước
một hệ thống thực sự an toàn (“known safe”) trước khi hệ thống kiểm tra sự toàn vẹn hoạt động và được kết nối vào hệ thống mạng
Kernel-based IDS - Các hệ thống kiểm tra ở mức kernel chủ yếu được phát
triển chủ yếu cho hệ điều hành Linux Một số công cụ phổ biến như LIDS, Open Wall Đặc điểm của hệ thống dạng này là tăng cường bảo mật cho một số điểm yếu còn thiếu sót của hệ thống hiện tại, khóa các truyền thông bất thường Điểm đặc biệt
là nó có thể khóa một số quyền hạn của tài khoản root
Network-based IDS
Network IDS có thể được phân chia thành 2 loại : signatured-based (dựa vào các dấu hiệu nhận dạng được định nghĩa trước) và anomaly-based (dựa vào các dấu hiệu bất thường) Ngoài ra còn có các hệ thống phát hiện xâm nhập “lai” (Hybrid IDS) là sự kết hợp ưu điểm của mỗi loại IDS Trong thực tế, các sản phẩm NIDS thương mại hiện đại đều sử dụng một số kỹ thuật của anomaly-based để tăng cường
Trang 12cho cấu trúc chính của nó là signature-based engine Một số dòng sản phẩm tiêu
biểu như ISS RealSecure, Cisco IDS, và Enterasys Dragon
Signature matchers - Giống như các phầm mềm quét virus truyền thống, phần
lớn các IDS đều cố gắng phát hiện tấn công dựa trên cơ sở dữ liệu về các dấu hiện
của các tấn công Ví dụ như Ossec là một signature-based IDS miễn phí, chạy được
trên rất nhiều hệ điều hành
Bởi vì Ossec là một phần mềm mã nguồn mở nên nó có một tiềm năng phát
triển cơ sở dữ liệu signature rất nhanh từ cộng đồng bảo mật rất lớn trên thế giới
Anomaly detectors - Phát hiện dấu hiệu bất thường (anomaly detection) liên
quan đến việc thiết lập một nền móng cơ bản của một hệ thống bình thường (normal
system) hoặc là các hoạt động trên mạng (network activity) và sau đó cảnh báo cho
cho chúng ta khi có những hoạt động bất thường xảy ra Tuy nhiên kỹ thuật này chỉ
hoạt động tốt trên môi trường mạng ít thay đổi, còn trong một số mạng có cấu trúc
đặc biệt như mạng quân đội hoặc mạng giao tiếp tình báo thì kỹ thuật này sẽ cho
những cảnh báo sai Trong lĩnh vực anomaly-based, người ta áp dụng một số kỹ
thuật của trí tuệ nhân tạo (Artificial Intelligence - AI), độ chính xác của nó đang
được nghiên cứu
2.1.1.2 So sánh HIDS và NIDS
Trong phần trước đã nói sơ lược về khái niệm Host-based IDS (HIDS) và
Network-based IDS (NIDS) Trong phần này sẽ cho chúng ta cái nhìn cụ thể về
những điểm mạnh, yếu của chúng Như đã nói ở trên, NIDS đôi khi được coi như
một sniffer trong mạng, còn HIDS thường làm những công việc như phân tích log
(log analyzer), kiểm tra tính toàn vẹn của hệ thống, … Tuy nhiên có một điểm
chung của các IDS là bản thân nó không tự chống các cuộc tấn công hoặc ngăn chặn
những khai thác lỗi thành công Hiện nay sự phát triển mới của IDS là hệ thống
ngăn chặn xâm nhập (Intrusion Prevention System - IPS) đã có thể thực hiện nhiều
vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra, thậm chí có thể tấn
công ngược lại đối phương Thực tế thì IDS chỉ cho chúng ta biết mạng đang bị
nguy hiểm và giá trị chính của nó là cho biết điều gì sắp xảy ra, giúp cho người quản trị có những chính sách hợp lý cho mạng và cho host
Sự khác nhau chủ yếu giữa HIDS và NIDS là nơi mà nó sẽ tìm kiếm dữ liệu
để phát hiện xâm nhập NIDS nhìn vào toàn cảnh luồng dữ liệu trên mạng, trong khi
đó HIDS quan sát các host, hệ điều hành và các hoạt động của ứng dụng Như vậy NIDS phát hiện ra những cuộc tấn công tiềm năng, trong khi đó HIDS chỉ phát hiện những cuộc tấn công đã thành công Bởi vậy có thể nói rằng NIDS mang tính tiên phong (proactive) hơn so với HIDS Tuy nhiên HIDS lại hoạt động hiệu quả hơn trong môi trường chuyển mạch, mã hóa và tốc độ cao (high-traffic environment), trong khi đó NIDS rất khó hoạt động trong môi trường này
Tóm lại, để lựa chọn công nghệ IDS thích hợp cần phải dựa vài chính sách
IDS đã đề cập ở trên và có thể dựa vào một phương pháp thống kê gọi là Bayesian
analysis
Bảng 2.1 Bảng phân tích so sánh giữa HIDS và NIDS[1]
Chức năng HIDS NIDS Các đánh giá
Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn
nếu chọn đúng sản phẩm
Trang 131 2 NIDS cần 2 yêu cầu băng tần mạng
đối với bất kỳ mạng LAN nào Băng tần cần
(Internet)
** ** Cả hai đều cần băng tần Internet để
cập nhật kịp thời các file mẫu
Các yêu cầu
NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN của bạn được quét
Chu kỳ nâng
cấp cho các
client
**** - HIDS nâng cấp tất cả các client với
một file mẫu trung tâm
Chỉ HIDS mới có thể thực hiện các kiểu quét này
Bản ghi *** *** Cả hai hệ thống đề có chức năng
cá nhân của bạn Loại bỏ gói
Chỉ các tính năng NIDS mới có phương thức này
Kiến thức chuyên môn
Cần nhiều kiến thức chuyên môn khi cài đặt và sử dụng NIDS đối với toàn bộ vấn đề bảo mật mạng của bạn Quản lý tập
Khả năng vô hiệu hóa các hệ
Các nút phát hiện nhiều đoạn **** **
HIDS có khả năng phát hiện theo nhiều đoạn mạng toàn diện hơn
Trang 14mạng LAN
Theo bảng phân tích so sánh giữa 2 mô hình, mỗi mô hình triển khai đều có
ưu và nhược điểm, vì vậy tùy thuộc vào mục đích và quy mô mà chúng ta chọn mô
hình triển khai cho phù hợp
2.1.2 Mô hình và các kỹ thuật triển khai IDS
Phụ thuộc vào mô hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí Tùy
thuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngoài, hoặc cả
hai Ví dụ, nếu cần phát hiện một tấn công từ bên ngoài, có một router kết nối ra
Internet, thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa Nếu bạn có
nhiều đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kết nối đó Tuy nhiên
nếu cần phát hiện các nguy cơ từ bên trong, tốt nhất cần đặt IDS tại mỗi phân đoạn
Local Network
Local Network
Hình 2.1 Một số vị trí đặt IDS trong hệ thống mạng
2.1.2.1 Triển khai Host-based IDS
HIDS có hai điểm khác biệt khi triển khai so với NIDS HIDS chỉ theo dõi được host mà nó đang được cài đặt và card mạng hoạt động ở trạng thái bình
thường là non-promiscuous (hay còn gọi là trạng thái active)
Hình 2.2 Mô hình triển khai Host-based IDS Khi triển khai theo mô hình HIDS có một số điểm thuận lợi như sau:
Card mạng chỉ cần hoạt động ở chế độ bình thường nên không cần phải trang bị thêm card mạng mới, bởi vì không phải tất cả các card mạng đều có khả năng chuyển sang trạng thái promiscuos Khi hoạt động ở chế độ bình thường
sẽ không yêu cầu nhiều xử lý của CPU so với trạng thái promiscuous
Do chỉ theo dõi cho một host cụ thể nên HIDS có thể theo dõi sâu hơn
về những thông tin của hệ thống như system calls, những thay đổi trong file hệ thống, system logs
Người quản trị có thể linh động cấu hình tập hợp các rule cho từng host cụ thể Ví dụ như không cần phải sử dụng rule để phát hiện tấn công DNS(Domain Name System) trong khi một máy tính không chạy dịch vụ DNS Do
Trang 15đó có thể giảm bớt những rule không cần thiết, giúp tăng cường hiệu suất và giảm
thiểu những xử lý quá tải
2.1.2.2 Triển khai Network-based IDS
Hình 2.3 Mô hình triển khai Network-based IDS Không giống với HIDS, trong mô hình triển khai NIDS ở hình 4.2, mỗi
NIDS theo dõi toàn bộ dữ liệu trên từng đoạn mạng mà nó được cài đặt Trong mô
hình trên sử dụng 3 NIDS để theo dõi luồng dữ liệu trên 3 đoạn mạng khác nhau là
các public server và hệ thống mạng bên trong
Như đã nói trong các phần trước, đặc trưng của NIDS là làm sao để từng
NIDS có thể theo dõi được tất cả các dữ liệu được trao đổi trên từng đoạn mạng Do
đó cần phải có một số yêu cầu đặc biệt về mặt kỹ thuật để triển khai NIDS:
Card mạng của NIDS cần phải hỗ trợ chế độ promiscuous để NIDS có
thể nhận được các gói tin có destination MAC không gửi cho nó Tuy nhiên đây chỉ
là điều kiện cần để NIDS nhận được dữ liệu trên mạng, vấn đề chính là làm sao để
toàn bộ dữ liệu trên đoạn mạng có thể đổ dồn vào NIDS
Có một số giải pháp để giải quyết vấn đề giúp NIDS có thể bắt được toàn bộ dữ liệu trên đoạn mạng như: sử dụng Hub, Network Tap và công nghệ Switch Port Analyzer (SPAN) của Cisco
2.1.3 Chính sách IDS
Trước khi cài đặt IDS, phải có một một chính sách dò tìm kẻ xâm nhập và các hành động phản ứng lại khi tìm thấy một hành động xâm nhập Một chính sách
phải đề ra các luật và làm thế nào để áp dụng chúng
Phụ thuộc vào IDS, bạn có cơ chế cảnh báo để cung cấp thông tin về hành động của kẻ xâm nhập Hệ thống cảnh báo có thể được xuất ra dưới dạng file text, hoặc phức tạp hơn, có thể hợp nhất thành một hệ thống quản lý trung tâm như HP OpenView hoặc MySQL Database Một vài người cần hiển thị các hành động của
kẻ xâm nhập, do đó cần phải có chính sách cho những người chịu trách nhiệm Các hành động xâm nhập có thể được theo dõi trong thời gian thực và được hiển thị ở dạng cửa sổ pop-up hoặc giao diện web
Và như tất cả các hệ thống khác, bạn cần có cơ chế bảo trì IDS nhằm bảo đảm hệ thống được vận hành tốt
Nếu không có biến cố, không cần có điểm thiết lập IDS Tùy thuộc vào biến
cố, bạn cần liên hệ với những cơ quan chính quyền liên quan
Các báo cáo : những báo cáo được phát sinh cho biết điều gì xảy ra trong tuần, trong ngày, hoặc trong tháng
Cập nhật các signature : các hacker tiếp tục tạo ra các kiểu tấn công mới IDS chỉ có thể phát hiện ra những kiểu tấn công nếu nó đã biết trước dựa trên các dấu hiệu nhận dạng Bởi vì các tấn công liên tục thay đổi, do đó phải thường xuyên cập nhật các signature mới
Lập tài liệu cho mỗi dự án IDS : chính sách IDS mô tả kiểu tấn công được phát hiện và ghi vào tài liệu như thế nào Tài liệu có thể đơn giản chỉ là một file log hoặc là một bản khi hoạt động của kẻ tấn công đã kết thúc
Trang 16Như vậy, dựa trên chính sách về IDS sẽ cho ta ý tưởng cần bao nhiêu sensor
và những tài nguyên nào cho hệ thống mạng Với những thông tin này, ta có thể
tính chi phí cho một IDS chính xác hơn
2.2 Công cụ phát hiện xâm nhập mã nguồn mở ossec
2.2.1 Giới thiệu về OSSEC
OSSEC là ứng dụng Host-based IDS mã nguồn mở miễn phí và cho phép
phát triển các tính năng Là công cụ với nhiều khả năng mạnh như : phân tích log,
kiểm tra tính toàn vẹn của tập tin, giám sát registry của Windows, phát hiện rootkit,
cảnh báo thời gian thực, và phản ứng tích cực OSSEC chạy trên hầu hết các hệ điều
hành, bao gồm cả Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris và Microsoft
Windows [2]
2.2.2 Các thành phần của OSSEC
OSSEC có 2 thành phần chính: Server và Agent Chúng ta có thể cài ở hầu
hết trên các hệ điều hành, tuy nhiên, ở hệ điều hành Windows chỉ có thể cài đặt
Agent, có nghĩa là để bảo vệ máy chủ chạy hệ điều hành Windows với OSSEC
HIDS luôn phải cài một Server trên một trong những hệ điều hành khác [2]
Server
Vai trò của máy chủ làm server là sẽ nhận tất cả các thông tin log, thông tin
hệ thống từ các agent gửi về, sau đó phân tích và triển khai các chính sách
Thư mục mặc định cài đặt ở chế đệ máy chủ được đặt ở thư mục /var/ossec
và chúng ta hoàn toàn có thể thay đổi mặc định này
Cấu trúc thư mục khi cài đặt xong Ossec với vai trò làm máy chủ:
/ var/ossec/active-response : Chứa các kịch bản để phản ứng động
/ var/ossec/agentless : Chứa các kịch bản điều khiển của các thiết bị
không thể cài làm máy theo dõi như Router,Switch…
/ var/ossec/bin: Lưu trữ các file thực thi của OSSEC
/ var/ossec/etc: Lưu trữ các file cấu hình
/ var/ossec/logs: Lưu trữ log của toàn bộ hệ thống ossec
/ var/ossec/queue: Lưu trữ hàng đợi cho phân tích và xử lý của ossec
/ var/ossec/rules: Lưu trữ các rule của ossec / var/ossec/stats: Lưu trữ các lịch sử trạng thái của OSSEC / var/ossec/tmp: Lưu trữ xử lý tạm thời của hệ thống
Để xây dựng hệ thống OSSEC, trên máy chủ ossec chúng ta cần khai báo tường minh các agent (các host được ossec bảo vệ) Mỗi host được khai báo sẽ được cấp một khóa (key) Khóa này được agent sử dụng để trao đổi thông tin được mã hóa trên đường truyền với máy chủ ossec Giao thức mạng dùng để liên lạc giữa agent và server là UDP cổng 1514 và thuật toán mã hóa được dùng là blowfish
/ var/ossec/etc: Lưu trữ các file cấu hình / var/ossec/logs: Lưu trữ lịch sử truy nhập / var/ossec/queue: Lưu trữ hàng đợi cho xử lý lịch sử truy nhập
Windows:
Các thư mục được cài đặt trọng thư mục C:/Program Files/ossec-agent
Trang 17Hình 2.5 : Các thành phần hoạt động của OSSEC [2]
2.2.3 Các luật trong OSSEC
OSSEC làm việc dựa trên các luật được định nghĩa sẵn trong các file Các
file được đặt trong thư mục /var/ossec/rules/ Mỗi rule được định nghĩa trong các
file XML đã được phân loại Ví dụ, tất cả các rule liên quan đến Apache HTTP
Server được lưu trong file có tên là apache_rules.xml, hay tất cả các luật dành cho
Cisco PIX firewall được lưu trong file pix_rules.xml Khi cài đặt mặc định OSSEC
chứa 43 file rule được mô tả như bên dưới:
Bảng 2.2 : Các tập tin định nghĩa luật trong OSSEC
1 apache_rules.xml Apache HTTP server rules
4 cisco-ios_rules.xml Cisco IOS fi rmware rules
5 courier_rules.xml Courier mail server rules
6 fi rewall_rules.xml Common fi rewall rules
8 hordeimp_rules.xml Horde Internet Messaging Program rules
10 imapd_rules.xml Rules for the imapd daemon
11 local_rules.xml OSSEC HIDS local, user-defi ned rules
12 mailscanner_rules.xml Common mail scanner rules
13 msauth_rules.xml Microsoft Authentication rules
14 ms-exchange_rules.xml Microsoft Exchange server rules
15 netscreenfw_rules.xml Juniper Netscreen fi rewall rules
16 ms_ftpd_rules.xml Microsoft FTP server rules
17 mysql_rules.xml MySQL database rules
18 named_rules.xml Rules for the named daemon
20 pam_rules.xml Pluggable Authentication Module (PAM)
rules
21 pix_rules.xml Cisco PIX fi rewall rules
22 policy_rules.xml Policy specifi c event rules
23 postfi x_rules.xml Postfi x mail transfer agent rules
24 postgresql_rules.xml PostgerSQL database rules
25 proftpd_rules.xml ProFTPd FTP server rules
26 pure-ftpd_rules.xml Pure-FTPd FTP server rules
27 racoon_rules.xml Racoon VPN device rules
28 rules_confi g.xml OSSEC HIDS Rules confi guration rules
29 sendmail_rules.xml Sendmail mail transfer agent rules
30 squid_rules.xml Squid proxy server rules
31 smbd_rules.xml Rules for the smbd daemon
32 sonicwall_rules.xml SonicWall fi rewall rules
33 spamd_rules.xml Rules for the spamd spam-deferral daemon
34 sshd_rules.xml Secure Shell (SSH) network protocol rules
35 symantec-av_rules.xml Symantec Antivirus rules
36 symantec-ws_rules.xml Symantec Web Security rules
38 telnetd_rules.xml Rules for the telnetd daemon
39 vpn_concentrator_rules.x
ml
Cisco VPN Concentrator rules
40 vpopmail_rules.xml Rules for the vpopmail virtual mail domain
application
41 vsftpd_rules.xml Rules for the vsftpd FTP server
43 zeus_rules.xml Zeus web server rules
Mỗi file chứa nhiều luật được định nghĩa cho ứng dụng hoặc cho thiết bị Cung cấp trên 600 rule cho các loại từ ProFTPD log cho tới Snort NIDS, Cisco VPN, kiểm tra tính toàn vẹn OSSEC HIDS và dò tìm rootkit