Download presentation
Presentation is loading. Please wait.
1
人人网安全交流 Cnbird@wanmei qQ:2010289
信息安全监控 人人网安全交流 qQ:
2
交流内容 安全监控简介 文件系统监控 网络监控 BASH监控 Nagios实现高级安全监控 OSSIM高级监控平台
3
安全监控内容 安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使管理员有效地监视、控制和评估网络或主机系统。
4
文件系统监控原理 当文件系统监控程序运行在数据库生成模式时,会根据管理员设置的一个配置文件对指定要监控的文件进行读取,对每个文件生成相应数字签名,并将这些结果保存在自己的数据库中。除此以外,管理员还可使用MD5, MD4,CRC32,SHA等哈希函数。当怀疑系统被入侵时,可由根据先前生成的,数据库文件来做一次数字签名的对照,如果文件被替换,则与数据库内相应数字签名不匹配, 这时会报告相应文件被更动,管理员会收到报警证明系统文件遭到篡改。
5
文件系统监控软件 Tripwire Download:http://sourceforge.net/projects/tripwire
Aide Download: Ossec Download:
6
文件系统监控软件实例 Tripwire 1.源代码安装 2.rpm安装
rpm -ivh ftp://rpmfind.net/linux/epel/5/i386/tripwire el5.i386.rpm 3.配置 3.1 编辑twcfg.txt修改配置 LOOSEDIRECTORYCHECKING=ture关闭监控所有的目录减少不必要的报警 3.2 生成key twadmin --generate-keys --site-keyfile /etc/tripwire/site.key twadmin --generate-keys --local-keyfile ./$HOSTNAME-local.key
7
文件系统监控软件实例 3.3 加密配置文件: 加密配置文件 twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key twcfg.txt twadmin --create-polfile --cfgfile tw.cfg --site-keyfile site.key twpol.txt 3.4 修改权限 chmod 0600 tw.cfg tw.pol 3.5 创建基线 tripwire --init --cfgfile ./tw.cfg --polfile ./tw.pol --site-keyfile ./site.key --local-keyfile ./nagios.oa.wanmei.com-local.key 3.6 检查(由于是默认的所以会遗漏重要的目录,例如我们的web目录,我们可以添加上,添加的操作是在twpol.txt中,修改完毕以后在进行加密) tripwire --check tripwire --check -r "/var/lib/tripwire/report/nagios.oa.wanmei.com twr" | logger -t tripwire
8
文件系统监控软件实例 3.7 检测 添加一个账号来监控passwd的变化 3.8 加入crontab
00 03 * * * /usr/sbin/tripwire --check 3.9 更新数据库 tripwire --update --twrfile /var/lib/tripwire/report/nagios.oa.wanmei.com twr 3.10 更新策略 tripwire --update-policy --cfgfile /etc/tripwire/tw.cfg --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --local-keyfile /etc/tripwire/nagios.oa.wanmei.com-local.key 3.10 加入nagios监控
9
网络入侵检测监控 Snort Download:http://www.snort.org/ Samhain
10
网络入侵检测实例(Snort构建属于自己的WAF)
1. Snort规则简介: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS /bin/ps command attempt"; flow:to_server,established; uricontent:"/bin/ps"; nocase; classtype:web-application-attack; sid:1328; rev:6;) 2. 添加mod_security规则到snort(mod_security局限于apache,而snort可以全面检测各种web server) (msg:"SQL Injection test"; flow:to_server,established;uricontent:“?";pcre:"/(\%27)|(\’)|(\-\-)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;)3. 我们可以自定义的WAF种类 XSS,SQL INJECTION,暴力破解,请求协议检测,webshell,自动化扫描器,HPP(http参数污染攻击)等等你所有可以想到的
11
Bash安全监控 修改bash源代码进行bash记录
12
Nagios高级安全监控 Nagios+aide
实现原理:使用aide来进行文件监控同时生成日志监控文件,我们可以使用nagios的脚本来读取aide的日志文件,提取出来感兴趣的字段然后通过nagios监控发送到报警平台。 Nagios+snort Download: Nagios+ossec Download:
13
OSSIM高级安全监控平台 OSSIM OSSIM集成nagios,cacti,snort,nessus,ossim-agent,ossim-server Download:
14
OSSIM高级安全实践 1. 安装ossim-agent 2. 配置 vim /etc/ossim/agent/config.cfg 修改
wget tar xvzf ossim-2.1.tar.gz cd ossim-2.1/agent && python setup.py install 2. 配置 vim /etc/ossim/agent/config.cfg 修改
15
OSSIM高级安全实践 3. 启动ossim-agent ossim-agent启动 4. 查看OSSIM主控台显示OSSIM-agent
16
OSSIM高级安全实践 5.查看接收到的日志
17
OSSIM高级安全实践 5. 资产管理
18
OSSIM高级安全实践 6. 漏洞管理
19
OSSIM高级安全实践 7. 监控管理
20
交流与讨论
Similar presentations
