入侵检测实验

实验背景

计算机网络安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元以上,这个数字还在不断增加。政府、银行、大企业等机构都有自己的内网资源。从网络安全的角度看,当公司的内部系统被入侵、破坏与泄密是一个严重的问题。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。因此,如何有效抵御网络入侵和攻击,已成为世界各国国家安全的重要组成部分,也是国家网络经济健康有序发展的关键。

入侵检测被认为是防火墙之后的第二道安全闸门,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

入侵检测实验通过企业复杂网络环境的入侵检测操作实战,要求学生深刻理解入侵检测和的概念、原理,进而熟悉入侵检测系统的功能,掌握常用的入侵检测技术和方法,最终具备娴熟的入侵检测能力和信息安全管理职业能力,能够胜任政府、金融、电商等企事业单位的信息安全系统设计、研究、管理等工作,并为国家网络空间安全事业做出应有的贡献。

实验任务

任务一 在不同的操作系统环境下安装和配置OSSEC代理,构建入侵检测环境;
任务二 监视OSSIM服务器本地root用户的登录情况;
任务三 基于SSH的远程非法入侵检测;
任务四 监视CentOS7 root用户情况;
任务五 监控Web服务器的访问日志。

实验目的

1.掌握在不同的操作系统环境下安装和配置OSSEC代理。
2.了解工具PuTTY的基本功能,掌握使用该工具远程连接机器的方法。
3.通过安装OSSEC代理,掌握PuTTY工具的实验,掌握配置OSSEC代理的方法,了解OSSEC入侵检测系统的架构、功能以及实现方式,具备构建入侵检测环境的能力。
4.掌握OSSIM系统的入侵检测规则设置方法,并能够根据报警信息做入侵行为分析,具备信息系统入侵检测和防范、维护系统安全的职业能力。

实验原理

  1. 入侵检测与入侵检测系统的概念

入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,以便决策者有效采取措施,以保证网络系统资源的机密性、完整性和可用性。

入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。

  1. OSSIM与OSSEC简介

OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。

OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、是可靠的工具。
OSSEC是一个运行在OSSIM系统中的开源的入侵检测系统,从架构上看它属于C/S架构,从功能上看它可以执行日志收集与分析、完整性检测、rootkit检测、蠕虫检测、Windows注册表和实时报警等任务。它不仅支持OSSIM本身,还可以在UNIX、Linux、Mac、Windows系统中运行。由于OSSEC Server端就安装在OSSIM系统中,并和iptables实现了联动功能,因此只需在客户端安装代理即可,也就是通过OSSEC Server+Agent方式,以实现HIDS系统功能。

OSSIM系统中的HIDS(Host-based Intrusion Detection System,简称HIDS,即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。)通过安装在其他操作系统上的Agent程序来审计操作系统以及用户的活动,比如用户的登录、命令操作、软件升级、系统文件的完整性、应用程序使用资源情况等,根据主机行为特征确定是否发生入侵行为,并把警报信息发送给OSSIM上的OSSEC Server。这种HIDS可以精确地分析入侵活动,能确定是哪一个用户或者进程对系统进行过攻击。

OSSIM系统的工作流程为:

1
2
3
4
5
6
7
8
9
(1)作为整个系统的安全插件的探测器(Sensor)执行各自的任务,当发现问题时给予报警。
(2)各探测器的报警信息将被集中采集。
(3)将各个报警记录解析并存入事件数据库(EDB)。
(4)根据设置的策略(Policy)给每个事件赋予一个优先级(Priority)。
(5)对事件进行风险评估,给每个警报计算出一个风险系数。
(6)将设置了优先级的各事件发送至关联引擎,关联引擎将对事件进行关联。注意:关联引擎就是指在各入侵检测传感器(入侵检测系统、防火墙等)上报的告警事件基础上,经过关联分析形成入侵行为判定,并将关联分析结果报送控制台。
(7)对一个或多个事件进行关联分析后,关联引擎生成新的报警记录,将其也赋予优先级,并进行风险评估,存入数据库。
(8)用户监控监视器将根据每个事件产生实时的风险图。
(9)在控制面板中给出最近的关联报警记录,在底层控制台中提供全部的事件记录。

实验工具

  • OSSIM
  • OSSEC
  • Putty
  • Firefox

实验环境

操作系统 IP地址 服务器角色 登录账户密码
OSSIM 192.168.1.200 OSSEC Server 用户名:root;密码:Simplexue123
CentOS7 192.168.1.6 OSSEC Agent 用户名:root;密码:Simplexue123
Windows 2012 192.168.1.5 OSSEC Agent 用户名:administrator;密码:Simplexue123

实验过程

任务一

1.安装OSSEC HIDS

image-20210407201621741

2.配置

image-20210407201746103

3.在windows2012操作系统(服务器IP地址:192.168.1.5)中,使用putty远程登录OSSIM服务器

image-20210407202036641

4.使用putty终端启动OSSEC代理管理程序,创建新OSSEC代理

image-20210407202602565

image-20210407203548341

5.通过CentOS7终端SSH远程登录OSSIM服务器

image-20210407204054614

image-20210407204312076

image-20210407204635717

image-20210407205224315

任务二

2.1在windows2012上使用火狐浏览器访问OSSIM集成监测平台Web GUI界面,输入用户名admin和密码Simplexue123进行登录。

img

img

2.2 OSSIM系统已经默认设置了很多常规适用的入侵检测规则,我们不需要另行配置就可以直接使用。除此之外,我们还需要在OSSIM集成检测平台上通过修改ossec.conf规则配置文件来设置OSSEC系统的入侵检测规则。在OSSIM web页面中,单击Analysis—>Detection—>HIDS—>Config—>Ossec.conf,可以看到OSSIM集成检测平台已经默认监视了日志文件/var/log/auth.log。如果在Ossec.conf文件中没有找到关于auth.log的监控信息,请自行添加该部分内容的规则配置信息。

img

2.3重启OSSIM服务器,重启登录成功后进入图形操作界面,按Ctrl+Alt+F1切换到命令行界面,输入用户名root和密码Simplexue123进行登录,再输入命令exit退出登录,之后按Ctrl+Alt+F7回到图形界面。图形界面和命令行界面的切换登录是为了给OSSEC入侵检测系统提供OSSIM服务器的root用户本地登录检测信息源,以便OSSEC系统获取root用户本地登录的相关日志信息。

2.4在windows2012上远程连接到服务器192.168.1.200。

img

2.5在windows2012的OSSIM Web页面上,单击Analysis—> Security Events (SIEM),可以看到,Security Events页面中列出了OSSIM系统预设检测规则适用范围内的所有安全事件日志信息,可以找到通过putty远程登录时相关的SSH登录记录报警信息。该日志信息可作为系统管理员判断本次远程登录是否为非法入侵的重要报警信息。如果OSSIM服务器不允许root用户的远程登录操作,那么root用户的本次远程登录操作将被视为黑客入侵行为。

img

2.6在OSSIM web页面搜索框输入ossec,回车进行ossec报警数据过滤。

img

2.7因为OSSEC入侵检测系统监控了/var/log/auth.log文件,所以在OSSIM集成检测平台的OSSIM Web页面,除了记录SSH远程登录的相关安全日志信息,还会记录OSSEC报警信息,该报警信息可作为判断本次远程登录是否为非法入侵的重要依据。

任务三

3.1使用putty工具远程登录OSSIM服务器,在打开的终端中,使用CD命令进入“/var/ossec/rules”目录(该目录为OSSEC服务器的检测规则文件存储目录),并使用ls命令查看所有的OSSEC服务器端检测规则文件。可以修改这些文件的预设规则配置,来实现用户需要的自定义系统安全检测规则。其中,sshd_rules.xml为我们本实验任务需要自定义检测规则的文件,通过自定义规则,以实现收集root用户远程非法登录OSSIM服务器的报警信息的目的,为判定、分析入侵行为和动机提供重要依据。

img

3.2修改sshd_rules.xml规则文件中的其中一条(rule id号为5719),将level级别设置为2(level级别越高,优先级就越高,与该规则对应的报警信息将更优先被OSSIM服务器响应和处理),告警阈值设置为2次。该规则表示:当非法用户存在2次以上远程登录尝试操作,且操作时间超过30秒,那么将触发非法远程登录尝试报警。修改完sshd_rules.xml文件后保存并退出编辑状态。

任务四

4.1在OSSIM集成检测平台上设置规则,监测CentOS7用户情况。在CentOS7终端查看代理的配置文件,可以看到OSSIM集成检测平台默认监控/var/log/secure文件,如果没有该文件监控内容,请自行添加。

img

4.2重启OSSIM服务器(192.168.1.200)。

img

4.3使用工具模拟攻击者远程登录服务器(用户名root和密码Simplexue123)。

4.4在服务器终端输入命令“adduser simpleware”、“passwd simpleware”,添加新用户simpleware,并将其密码设为Simplexue123。

img

img

4.5回到OSSIM Web页面上,进行OSSEC警报数据的过滤,可以看到与CentOS7添加新用户相关的OSSEC报警信息。

img

4.6查看入侵检测系统检测到的报警信息,获得报警信息的字段特征。

img

因此OSSIM集成监测平台web页面中监测到的OSSEC代理新建用户的报警信息的signature:ossec:New user added to the system

任务五

5.1在CentOS7的终端修改ossec.conf文件,向该文件中添加如下内容,实现监控Web服务器的访问日志的功能。编辑完后按esc键退出文件编辑状态,并输入:wq命令保存文件。

img

5.2在终端输入命令“/var/ossec/bin/ossec-control restart”,重新启动OSSEC服务。

img

5.3在windows2012上访问被禁止访问的目录。在windows2012(IP为192.168.1.5)的火狐浏览器上新打开一个页面,访问http://192.168.1.6/dvwa/config,提示信息为Not Found。

img

5.4回到OSSIM Web页面上,进行OSSEC警报数据的过滤,可以看到访问禁止目录时的报警信息。

实验感想

通过此次实验:

1.掌握在不同的操作系统环境下安装和配置OSSEC代理。
2.了解工具PuTTY的基本功能,掌握使用该工具远程连接机器的方法。
3.通过安装OSSEC代理,掌握PuTTY工具的实验,掌握配置OSSEC代理的方法,了解OSSEC入侵检测系统的架构、功能以及实现方式,具备构建入侵检测环境的能力。
4.掌握OSSIM系统的入侵检测规则设置方法,并能够根据报警信息做入侵行为分析,具备信息系统入侵检测和防范、维护系统安全的职业能力。