人人网安全交流 Cnbird@wanmei qQ:2010289 信息安全监控 人人网安全交流 Cnbird@wanmei qQ:2010289

交流内容 安全监控简介 文件系统监控 网络监控 BASH监控 Nagios实现高级安全监控 OSSIM高级监控平台

安全监控内容 安全监控通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统。

文件系统监控原理 当文件系统监控程序运行在数据库生成模式时，会根据管理员设置的一个配置文件对指定要监控的文件进行读取，对每个文件生成相应数字签名，并将这些结果保存在自己的数据库中。除此以外，管理员还可使用MD5, MD4，CRC32，SHA等哈希函数。当怀疑系统被入侵时，可由根据先前生成的，数据库文件来做一次数字签名的对照，如果文件被替换，则与数据库内相应数字签名不匹配， 这时会报告相应文件被更动，管理员会收到报警证明系统文件遭到篡改。

文件系统监控软件 Tripwire Download:http://sourceforge.net/projects/tripwire Aide Download:http://aide.sourceforge.net/ Ossec Download:http://www.ossec.net/

文件系统监控软件实例 Tripwire 1.源代码安装 2.rpm安装 rpm -ivh ftp://rpmfind.net/linux/epel/5/i386/tripwire-2.4.1.1-1.el5.i386.rpm 3.配置 3.1 编辑twcfg.txt修改配置 LOOSEDIRECTORYCHECKING=ture关闭监控所有的目录减少不必要的报警 3.2 生成key twadmin --generate-keys --site-keyfile /etc/tripwire/site.key twadmin --generate-keys --local-keyfile ./$HOSTNAME-local.key

文件系统监控软件实例 3.3 加密配置文件: 加密配置文件 twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key twcfg.txt twadmin --create-polfile --cfgfile tw.cfg --site-keyfile site.key twpol.txt 3.4 修改权限 chmod 0600 tw.cfg tw.pol 3.5 创建基线 tripwire --init --cfgfile ./tw.cfg --polfile ./tw.pol --site-keyfile ./site.key --local-keyfile ./nagios.oa.wanmei.com-local.key 3.6 检查(由于是默认的所以会遗漏重要的目录,例如我们的web目录,我们可以添加上,添加的操作是在twpol.txt中,修改完毕以后在进行加密) tripwire --check tripwire --check -r "/var/lib/tripwire/report/nagios.oa.wanmei.com-20120229-113844.twr" | logger -t tripwire

文件系统监控软件实例 3.7 检测 添加一个账号来监控passwd的变化 3.8 加入crontab 00 03 * * * /usr/sbin/tripwire --check 3.9 更新数据库 tripwire --update --twrfile /var/lib/tripwire/report/nagios.oa.wanmei.com-20120229-113844.twr 3.10 更新策略 tripwire --update-policy --cfgfile /etc/tripwire/tw.cfg --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --local-keyfile /etc/tripwire/nagios.oa.wanmei.com-local.key 3.10 加入nagios监控

网络入侵检测监控 Snort Download:http://www.snort.org/ Samhain

网络入侵检测实例(Snort构建属于自己的WAF) 1. Snort规则简介: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS /bin/ps command attempt"; flow:to_server,established; uricontent:"/bin/ps"; nocase; classtype:web-application-attack; sid:1328; rev:6;) 2. 添加mod_security规则到snort(mod_security局限于apache,而snort可以全面检测各种web server) (msg:"SQL Injection test"; flow:to_server,established;uricontent:“?";pcre:"/(\%27)|(\’)|(\-\-)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;)3. 我们可以自定义的WAF种类 XSS,SQL INJECTION,暴力破解,请求协议检测,webshell,自动化扫描器,HPP(http参数污染攻击)等等你所有可以想到的

Bash安全监控 修改bash源代码进行bash记录

Nagios高级安全监控 Nagios+aide 实现原理:使用aide来进行文件监控同时生成日志监控文件,我们可以使用nagios的脚本来读取aide的日志文件,提取出来感兴趣的字段然后通过nagios监控发送到报警平台。 Nagios+snort Download:https://www.monitoringexchange.org/inventory/Check-Plugins/Network/check_snort- Nagios+ossec Download:http://kintoandar.blogspot.com/2011/01/nagios-nrpe-ossec-check.html

OSSIM高级安全监控平台 OSSIM OSSIM集成nagios,cacti,snort,nessus,ossim-agent,ossim-server Download:http://communities.alienvault.com/community

OSSIM高级安全实践 1. 安装ossim-agent 2. 配置 vim /etc/ossim/agent/config.cfg 修改 wget http://downloads.sourceforge.net/project/os-sim/os-sim/os-sim-2.1/ossim-2.1.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fos-sim%2F&ts=1330507868&use_mirror=cdnetworks-kr-1 tar xvzf ossim-2.1.tar.gz cd ossim-2.1/agent && python setup.py install 2. 配置 vim /etc/ossim/agent/config.cfg 修改

OSSIM高级安全实践 3. 启动ossim-agent ossim-agent启动 4. 查看OSSIM主控台显示OSSIM-agent

OSSIM高级安全实践 5.查看接收到的日志

OSSIM高级安全实践 5. 资产管理

OSSIM高级安全实践 6. 漏洞管理

OSSIM高级安全实践 7. 监控管理

交流与讨论 2012-03-03