• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

teckV

Log analysis for intrusion detection

2 mensagens neste tópico

A análise de Logs é dos processos mais importantes na segurança infromática... nada vos vale os muitos produtos de segurança se não for feita uma correcta análise de logs

Existe na comunidade Open Source uma plataforma muito boa que ajuda nesta tarefa

OSSEC HIDS - Open Source HIDS

OSSEC HIDS is an Open Source Host-based Intrusion Detection System. It performs log analysisintegrity checkingrootkit detectiontime-based alerting and active response.

http://www.ossec.net/en/home.html

um artigo sobre a análise e correlação de Logs

vejam o completo aqui

Tradução do artigo "Log analysis for intrusion detection" de Daniel B. Cid

1 Introdução

2 Análize de logs do proxy

2.1 Usuários internos fazendo varredura ou atacando sistemas externos

2.2 Usuários internos com wormstrojans ou vírus

2.3 Usuários inválidos na rede

2.4 Emprego de proxy errado ou violações de acesso

2.5 Violação de policiamento

3 Análise de log de Web

3.1 Scaneamento web ou colhendo informações

3.2 Ataques com sucesso e falhos em aplicações web

3.3 Problemas em servidores web

4 Análise de log de autenticação

4.1 Usuários acessando o que não deve

4.2 Logins de usuários do sistema

4.3 Vários logins falhos

4.4 Vários logins falhos seguidos de um login com sucesso

5 Conclusão

6 Link do artigo original

7 Autor

8 Tradução

Introdução

A análise de logs é um dos aspectos mais negligenciados da questão de detecção de invasão. Hoje em dia todo desktop tem um anti-vírusempresas com multiplos firewalls e até mesmo os mais simples usuários compram os ultimas ferramentas de segurança.

Agoraquem fica prestando atenção em toda informação que estas ferramentas geram? Ou piorquem está prestando atenção nos registros do seus servidores de web e mail ou os logs de autenticação? Eu não estou falando sobre estatísticas bonitinhas dos seus logs de web (como o webalizer). Eu estou falando de informações de segurança cruciais que muitos desses eventos tem mas ninguem observa. Muitos dos ataques não aconteceriam (ou terminariam mais cedo) se os administradores se preocupassem em monitorar seus logs.

Nós não estamos falando que a análize de log é fácil ou que vc deve fazer manualmente olhando seus logs que entram todo dia. Por causa da complexidade e alto volumea análize automática é essencial. Estas são apenas algumas coisas que uma ferramenta de análize de logs deve fazer:

Entender seus logs. Saber se são bons ou mals.

Correlacionar os eventos maus observando com testes padrões indicativos de ataques ou intrusão.

Correlacionar os eventos bons com os mals (por exemplo vários logins falhos seguidos de um com sucesso).

Correlacionar os bons eventos (por exemplo vários logins com sucesso para o mesmo usuário através de vários hots em um curto expaço de tempo).

Procurar por testes incomuns que não estão na sua bad list.

Natualmente executar tudo isso não é fácil. O objetivo principal deste documento é mostrar a você como uma ameaça pode ser detectada correlacionando testes padrões com seus logs de webproxy e autenticação. Nos estamos usando o OSSEC HIDS como examplo porque não só faz estas análizes mas também possúi regras para multiplos formatos de logstornando esse correlacionamento mais simples.

Análize de logs do proxyQuando nos referimos a análize de logs de proxynós geralmente usamos o squid como exemplo pois ele é o web proxy mais usado até agora. Quando o squid é implementado corretamentetodo o trafego passará pelo proxy sem nenhuma configuração extra no lado do usuário. Por causa dissonós temos todo acesso a toda página que os usuários estão acessando. Observer o que nós detectamos com a análize dos logs do proxy é geramlmente de grande importânciaporque vem de dentro da sua rede. Em seguida é mostrado algumas das formas como nós podemos monitorar os logs de nosso proxy:

Usuários internos fazendo varredura ou atacando sistemas externosBasicamentetoda vez que um usuário acessa a uma página não existenteo squid grava o log do código de erro de HTTP (geralemente 404 ou 403). Se você ver vários códigos de erro 400 vindos de um mesmo IP em um curto tempoum aviso deve ser enviado. Se o usuário estiver acessando uma página com links quebradosisso pode significar um falso positivoassim nós devemos ignorar as extenções .gif.jpg e .png (entre outras). Usando esta aproximaçãonós podemos detectar usuários internos tentando scanear ou recolhendo informações de sistemas ou sites externos. UM NIDS (Sistema de detecção de untrusão baseado em rede - Network-based Intrusion Detection System) ou uma análize baseada em assinatura seria necessário.

Usuários internos com wormstrojans ou vírus

Uma gama de worms são expecíficos para ficar acessando um site web ou uma página externa. Detectar estes acessos pode indicar um usuário interno infectado. Por exemplono caso do worm W32.Beagle infectar uma máquinaele tentará acessar páginas com extenções "xxx3.php" ou "blst.php" para notificar o criador do worm. Se nós olharmos as entradas dos logsnós sabemos que há algo errado. Abaixo você pode ver o exemplo de um alerta do OSSEC de um usuário infectado:

teckV

on the Run

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O registo de actividades para ficheiro é sem dúvida uma boa forma de controlar quem acede a um determinado site. Permite, por exemplo, descubrir um intruso que acedeu a uma conta que não a sua através do registo do seu IP.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora