Cài đặt server

Một phần của tài liệu Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép (Trang 36)

Kiểu cài đặt trên server được đề cập đến khi chúng ta có sẵn nhiều cài đặt agent được triển khai khắp tổ chức của chúng ta và phải lựa chọn những cảnh bào host tạo ra. Vai trò của server OSSEC là để chọn ra tất cả các cảnh báo từ cài đặt agent và cung cấp một tầm nhìn khái quát về những gì đang được thông báo bởi các cài đặt agent đã triển khai.

Hình 2.3. Cài đặt agent/server

Chúng ta cần kiểm tra những vấn đề đã được xác định trong hệ thống ghi đặc điểm và chú ý rằng 3 người dùng được log mà những trạm làm việc của họ lại đang chạy chậm đi so với bình thường. Họ cũng thấy rằng ổ đĩa máy tính của họ bị chiếm khá

nhiều, khi họ không làm gì trên hệ thống cả. Bạn quyết định kiểm tra lại và xem xét máy tính của người dùng đầu tiên đã báo cáo về vấn đề này. Sau khi xem xét lại các log của OSSEC trên hệ thống thì bạn thấy phát hiện ra một rootkit lúc 3h sáng hôm đó:

Received From: rootcheck

Rule: 14 fired (level 8) -> “Rootkit detection engine message’ ” Portion of the log(s):

Rootkit ‘t0rn’ detected by the presence of file ‘/lib/libproc.a’.

Sau khi đọc thông tin này thì những câu hỏi sẽ đặt ra như sau:

- Có phải chính rootkit này bị nhiễm trên hai máy trạm đã báo cáo sự cố vào sáng nay hay không?

- Có bao nhiêu hệ thống khác đã bị nhiễm rootkit này?

- Các rootkit bị nhiễm tối qua hay bị nhiễm từ lâu trên các hệ thống khác nhau?

- Rootkit này chỉ bị nhiễm trên những máy trạm hay cũng bị nhiễm vào các hệ thống quan trọng khác hay không?

- Bạn nên bắt đầu xử lý sự cố trên máy trạm này hay nên kiểm tra những trạm khác? Nếu các agent của OSSEC được cài đặt trên tất cả các hệ thống , và thay thể sự cài đặt cục bộ thì bạn cũng có thể kiểm tra những server OSSEC trước khi rời bàn làm việc của mình. Sự khởi tạo này sẽ kiểm tra khả năng bạn nhận ra nếu như có bất kỳ cảnh báo nào, giống như chúng được tạo ra bằng cách nhiễm một rootkit, thì sẽ vượt qua tất cả các hệ thống với các agent đã được triển khai. Nhận thức thấu đáo về điều này sẽ giúp bạn có một phương thức quyết định mục đích của kẻ tấn công, nhằm vào nhiều máy tính hay chỉ duy nhất 1 host.

Một phần của tài liệu Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép (Trang 36)

(94 trang)