1. OSSEC – HOST-BASED INTRUSION DETECTION SYSTEM
Internship Report – Hai Dinh Tuan
2. Types of Rootkit
Rootkit là những công cụ bằng phần mềm do kẻ xâm nhập cài
đặt vào máy tính của nạn nhân nhằm mục đích:
Ẩn giấu một số file và tiến trình chạy ngầm trong hệ thống
Cho phép quay lại xâm nhập máy tính đó để thực hiện các
mục đích sau.
3. Types of Rootkit
Kernel-level Rootkit
Application-level Rootkit
4. Kernel-level Rootkits
Thay đổi cấu trúc từ kernel để che đậy dấu vết của rootkit
Các rootkit loại này rất khó bị phát hiện, bởi tất cả các process
tra cứu thông tin của rootkit trên kernel đếu bị đánh lừa
Cần kiểm tra phần ổ cứng đã bị cài rootkit bằng một hệ điều
hành khác và tiến hành kiểm tra hệ thống
5. Application-level Rootkits
Thay thế môt số các file hệ thống bằng các file giả mạo
Dễ dàng cài đặt hơn, và cũng dễ dàng bị phát hiện hơn so với các
rootkit ở mức kernel
6. Detection technique
Application-level Rootkits
Dựa vào signature của rootkit
Kernel-level Rootkits
Dựa vào cách kiểm tra và so sánh với trạng thái hoạt động bình
thường của hệ thống để phát hiện rootkit
7. OSSEC Rootkit Detection
Process và Port không hợp lệ
Scan port và so sánh với các lệnh kiểm tra hệ thống để phát hiện
các port được mở trái phép
Theo dõi những file có permission bất thường
Tìm kiếm những file có dấu vết của rootkit
8. OSSEC Rootkit Detection
Phát hiện sự thay đổi trên các file quan trọng
Tương tự như tính năng syscheck
Theo dõi card mạng
Theo dõi các card mạng có mode hoạt động là promiscuous
Users có uid = 0
Phát hiện những hành vi bất thường trong hệ thống
10. Configuration Example
<rule id=“100703” level=“0”>
<if_group>rootcheck</if_group>
<hostname>web1</hostname>
<description>Ignoring rootcheck alerts from agent “web1”</description>
</rule>
11. Policy Monitoring
Nhờ vào tính năng này, OSSEC HIDS có thể từ 1 server và quản lý từ
xa toàn bộ các Agent, quản lý các cấu hình cụ thể trên từng Agent,
những ứng dụng và dịch vụ nào có thể được cài đặt trên các Agent đó.
Linux: system_audit
Windows: windows_audit, windows_apps, windows_malware
18. OSSEC – Pros and Cons / Pros
Có thể phát hiện và ngăn chặn các cuộc xâm nhập từ sớm
Kiểm soát sâu được cả các hệ thống đầu cuối
Quản lý các thiết bị của người dùng cuối dễ dàng hơn, đặc biệt là
các thiết bị truy cập vào hệ thống mạng từ xa
Theo dõi và quy định các chính sách của doanh nghiệp đối với
từng thiết bị
Tính năng theo dõi các lưu lượng mạng ra vào trên các network
interface trên hệ thống nhằm phát hiện các hành vi tấn công thông
qua các kết nối mạng
Quản lý tập trung
19. OSSEC – Pros and Cons / Cons
Khi triển khai các giải pháp IDS quản lý tập trung, cần phải lưu ý
đến vấn đề lưu trữ và xử lý một khối lượng rất lớn các loại log hệ
thống từ các Agent gửi lên OSSEC server.
Trong quá trình vận hành, việc xây dựng thêm các cấu hình, rules,
active response configurations đều rất tiềm tang nguy cơ ảnh hưởng
đến hệ thống
Tiêu tốn tài nguyên hệ thống
20. OSSEC – Summary
Host-based Intrusion Detection
Đa nền tảng, mã nguồn mở, khả năng tùy biến cao
Log Analysis, Rootkit Detection, Active Response, Integrity
checking
Mô hình hoạt động.
Quá trình phân tích Log (Pre-decoding, Decoding Rule Matching)
21. OSSEC – Summary
Các tính năng chính:
Kiểm tra tính toàn vẹn tập tin
Atomic Rules & Composite Rules
Rootkit Detection
Active Response