[Ossec – Part 1] Tìm hiểu về hệ thống phát hiện xâm nhập Ossec

Nghe tiêu đề thôi thì tôi đoán bạn cũng mường tượng ra chức năng của Ossec rồi đúng không? Hãy để tôi giới thiệu chi tiết hơn về nó – một công cụ vô cùng hữu ích và mạnh mẽ

Mục lục

1. Tổng quan IDS
   • Hệ thống phát hiện xâm nhập IDS
   • HIDS và NIDS
2. Giới thiệu về Ossec
   • Ossec là gì?
   • Các tính năng của Ossec
   • Điểm nội trội
   • Kiến trúc và mô hình hoạt động

Nhưng trước hết hãy nói qua một chút khái niệm về IDS nhé

I. Tổng quan về IDS

1. Hệ thống phát hiện xâm nhập IDS

IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công.

Khác với firewall, IDS không thực hiện các thao tác ngăn chặn truy nhập mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng.

Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến bảo mật mạng

• Firewall theo dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xảy ra, nó giới hạn truy nhập giữa các mạng để ngăn chặn sự xâm nhập nhưng không phát hiện được cuộc tấn công từ bên trong mạng.
• IDS sẽ đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi được cả các cuộc tấn công có nguồn gốc từ bên trong một hệ thống.

Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đoán được tấn công (prediction) và thậm chí phản ứng chủ động khi cuộc tấn công diễn ra (Active response).

2. HIDS và NIDS

Trước khi nói về Ossec, tôi muốn bạn biết thêm về 2 khái niệm này:

• Network-based IDS (NIDS): Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau firewall.
• Host-based IDS (HIDS): Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngoài lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit).

II. Giới thiệu về Ossec – một trong các HIDS tools tốt nhất trên nhất trên thế giới

Không ngoa đâu khi tôi nói Ossec như vậy.

Bạn hãy thử bật 1 Tab mới trên Web Browser của mình và search “The best hids tools“. Bạn sẽ thấy rằng không một kết quả tìm kiếm nào thiếu đi cái tên Ossec và thứ hạng của nó thì luôn nằm ở top trên.

Vậy thì tại sao ? Chúng ta hãy cùng nhau đi tìm hiểu nó.

1. Ossec là gì?

• OSSEC là phần mềm mã nguồn mở giúp phát hiện xâm nhập dựa trên host (HIDS)
• Nó đa nền tảng, có thể mở rộng và có nhiều cơ chế bảo mật khác nhau.

2. Các tính năng của Ossec

• Log based Intrusion Detection (LIDs) and Log Monitoring:
  • Chủ động theo dõi và phân tích dữ liệu real-time từ nhiều nguồn sinh log.
  • Ngoài ra, Ossec sẽ thu thập,phân tích và kiểm tra mối tương quan các log và cho ta biết những điều đáng ngờ đang xảy ra trong hệ thống (bị tấn công, lỗi, sử dụng sai,..),các phần mềm được cài đặt thêm, các rule firewall bị đổi.
• Compliance Auditing:
  • Kiểm soát các ứng dụng và hệ thống nhằm tuân thủ các yêu cầu, tiêu chuẩn về bảo mật như PCI-DSS và CIS.
• Rootkit and Malware Detection:
  • Tin tặc thường muốn che dấu hành động và quay lại hệ thống đã xâm nhập được
  • Ossec phân tích ở cấp độ file và tiến trình nhằm phát hiện các ứng dụng độc hại, các rootkit hay các file hệ thống bị sửa đổi theo cách phổ biến với rootkit
• File Integrity Monitoring (FIM):
  • Phát hiện các thay đổi đối với hệ thống.
• Active Response:
  • Các hành vi ứng phó lại các cuộc tấn công vào hệ thống trong thời gian thực.
  • Giúp ngăn sự cố lan rộng trước khi admin có thể hành động
• System Inventory:
  • Thu thập các thông tin hệ thống như phần mềm được cài đặt, harware,…

3. Điểm nổi trội của Ossec

• Đa nền tảng (Linux, Mac OS , Window,Solaris)
• Real-time Alert (Cảnh báo thời gian thực)
  • Kết hợp với smtp,sms,syslog sẽ cho phép người dùng nhận cảnh báo trên các thiết bị có hỗ trợ email
  • Ngoài ra tính năng Active-respone có thể giúp block 1 cuộc tấn công ngay lập tức.
• Có thể tích hợp với các hệ thống hiện đại (SIM/SEM)
• Mô hình Server – Agent/Agentless, cho phép Server dễ dàng quản lý tập trung các chính sách trên nhiều OS.
• Giám sát trên agent, agentless (Client không cài đặt được gói agent) như router, firewall

4. Kiến trúc và mô hình hoạt động của Ossec

Ossec hoạt động theo mô hình Server-Agent/Agentless

4.1. Manager (Server)

Lưu trữ cơ sở dữ liệu của việc kiểm tra tính toàn vẹn file

Kiểm tra các log, event.

Quản lý, lưu tất cả các rule, decoder (bộ giải mã), cấu hình chính. Điều này giúp dễ dàng quản lý, dù cho có lượng lớn Agent

Server không chạy trên Windows OS.

4.2. Agent

Bản chất thì là 1 phần mềm được cài đặt trên máy client giúp thu thập các thông tin và gửi cho Server để phân tích, thống kê.

• Chiếm lượng memory và CPU nhỏ,không đáng kể
• 1 số thông tin được thu thập theo thời gian thực
• 1 số thông tin thì lại được thu thập định kỳ

Nhưng khi nói Agent thì là để chỉ máy Client được cài gói Ossec-agent.

Chú ý:

• Windows OS chỉ có thể làm Agent chứ không làm Server được.

4.3 Agentless

Là các hệ thống không cài được gói agent

Trên các Agentless này có thể thực hiện việc kiểm tra tính toàn vẹn

Giúp monitor firewall, router hay thậm chí cả hệ thống Unix

4.4 Ảo hóa/ VMware

Cho phép cài đặt agent trên các guest OS (Máy ảo)

Ngoài ra cũng được cài đặt trong VMware ESX nhưng có thể dẫn đến sự cố không hỗ trợ.

Khi cài đặt trong VMware ESX giúp nhận được thời điểm các VM guest được khởi tạo, xóa đi, khởi động,.. Ossec cũng giám sát việc login,logouts và các lỗi bên trong ESX server

Ngoài ra nó cũng cảnh báo nếu bất kỳ tùy chọn cấu hình không an toàn nào được bật.

4.5 Firewalls, switches and routers

Chính là các Agentless

Ossec có thể nhận và phân tích nhật ký hệ thống từ nhiều firewall, switch, router.

Nó support tất cả Cisco routers, Cisco PIX, Cisco FWSM, Cisco ASA, Juniper Routers, Netscreen firewall, Checkpoint và nhiều thiết bị khác.

Bạn có thể tham khảo danh sách các hệ điều hành/ thiết bị được hỗ trợ tại đây:

https://www.ossec.net/docs/docs/manual/supported-systems.html

III. Tổng kết

Qua bài này, tôi hy vọng mình đã đưa được đến các bạn thêm những thông tin về một công cụ vô cùng hữu ích đối với những nhà quản trị hệ thống trong việc quản lý, giám sát, phát hiện những xâm nhập, thay đổi bất thường trên hệ thống.

“Hệ thống phát hiện xâm nhập” nghe khoai vậy thôi chứ Ossec không hề khó để tiếp cân.

Ở các bài tiếp theo, tôi sẽ cùng bạn triển khai, khám phá các thành phần, tính năng của Ossec.

Cảm ơn các bạn đã đọc hết bài viết !!!

ONET IDC

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.