Đề tài Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống

18M - Bộ nhớ vật lý được sử dụng. SHR - Shared Mem size (kb): 2264 - Số lượng bộ nhớ chia sẻ được sử dụng bởi một nhiệm vụ. Mỗi process trên CentOS có số lượng memory được sử dụng và biến thiên tuỳ hoàn cảnh. Hơn nữa, memory được một process sử dụng có thể là tổng hợp của shared memory, physical memory, virtual memory. Khi Snort làm việc, cần chú ý những dòng luật, luật càng nhiều thì đương nhiên chiếm ram khá nhiều và những luật mặc định không cần thiết thì nên tắt để giảm tải cho hệ thống . Biểu đồ hiệu suất làm việc CPU trong vòng hơn 8 phút Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 78 Hình 72. Hiệu suất CPU khi Snort hoạt động 10.7 Mô hình triển khai Snort Hình 73. Triển khai IDS Mô hình có switch hỗ trợ port "giám sát" ("Span Port", "Port Monitoring", "Management Port"). Với tính năng này, toàn bộ traffic của các máy tính nối vào switch đều được giám sát. Các IDS cần 1 card mạng nối vào Port Monitor của switch. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 79 Khi dữ liệu được truyền qua switch, đồng thời switch sẽ gửi 1 bản sảo đến Port Monitor . Hình 74. Port Monitor 10.8 Tấn công trong mạng nội bộ Hình 75. Tấn công nội bộ. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 80 10.8.1 Tấn công ARP Cache Máy Hacker sẽ giả MAC địa chỉ của Victim 1, khi Victim 2 truy cập remote desktop vào Victim 1, Hacker sẽ thu được những gói tin từ Victim 2 gửi cho Victim 1. Khi đó IDS sẽ báo hiệu và người quản trị có nhiệm vụ đi tìm máy Hacker. ARP spoof preprocessor giải mã những gói tin và phát hiện những cuộc tấn công ARP. Khi được cấu hình thông số, preprocessor sẽ kiểm tra địa chỉ Ethernet và các địa chỉ trong gói tin ARP. Khi xảy ra hiện tượng, một cảnh báo GID 112 và SID 4 được tạo ra. Khi “unicast” được chỉ định, preprocessor sẽ kiểm tra những yêu cầu Unicast ARP. Một cảnh báo GID 112 và SID 1 sẽ sinh ra nếu một Unicast ARP bị phát hiện. preprocessor arpspoof[: -unicast] preprocessor arpspoof_detect_host: ip mac Cấu hình trong file snort.conf preprocessor arpspoof preprocessor arpspoof_detect_host: 192.168.100.2 00:0C:29:2E:2A:47 preprocessor arpspoof_detect_host: 192.168.100.3 00:0C:29:14:7B:2F preprocessor arpspoof_detect_host: 192.168.100.21 00:0C:29:D1:BE:1E preprocessor arpspoof_detect_host: 192.168.100.66 00:0C:29:48:20:C9 Cấu hình file log output alert_csv: /var/log/snort/alert.csv Chú ý: Dấu hiện nhận biết cuộc tấn công này là 1 IP phải khớp với 1 MAC, nhiệm vụ của người quản trị là phải thu nhập IP và MAC trong hệ thống. Máy Hacker dùng chương Cain & Abel để giả MAC của 2 máy Victim để sniffer các thông tin từ 2 máy Hình 76. Máy Victim 1 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 81 Hình 77. Máy Victim 2 Đồng thời lúc đó IDS sẽ cánh báo có tấn công ARP Hình 78. Cảnh báo Để thấy được địa chỉ MAC của Hacker ta vào file alert.csv 10.8.2 Tấn công SMB - Dấu hiệu Đây là dạng tấn công qua port 445 và đặt giá tri Process ID High là "\x00\x26" , giá trị bình thường là "\x00\x00". - Luật alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg : "Tan cong SMB"; content: "|00 26|"; flow:to_server,established; content:"|53 4d 42 20 32 2e 30 30 32 00|" ; sid: 1000003;) Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 82 10.8.3 Tấn công Smurf attack - Dấu hiệu Đây là dạng tấn công làm ngập gói tin ICMP ECHO REPLY. Sự khác biệt lớn giữa nó với gói tin ICMP ping “thật” là ở 2 trường: icmp_id = 0x00 và sequence number = 0x00 (gói ping thật có id và sequence number khác 0). Ngoài ra Hacker thường tăng kích thước payload mặc định của gói tin ping (32 byte) để nhanh chóng làm ngập mạng victim. - Luật alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: “Tan cong Smurf Attack”; dsize: >32; icmp_seq:0; icmp_id:0 ; sid: 1000004; ) 10.8.4 Tấn công Land attack - Dấu hiệu Land attack tấn công bằng cách gửi các gói tin có địa chỉ nguồn và đích giống nhau.Bằng cách dùng từ khóa sameip trong Rule option là có thể phát hiện ra. - Luật alert udp any any $HOME_NET any (msg : “Land Attack”; sameip;) 10.8.5 Tấn công Dos với HTTP Post - Dấu hiệu Dạng tấn công này sẽ gứi hàng loạt dữ các liệu hợp lệ đến Server sẽ xử lý làm tràn database và nghẽn hệ thống. Dùng wireshark bắt gói tin để tìm ra dầu hiệu nhận biết cuộc tấn công này, trong đó có đoạn “48 54 54 50 2f 31 2e 31” là thường xuyên xuất hiện. - Luật alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Tan cong DOS"; content:"|48 54 54 50 2f 31 2e 31 |"; flow:to_server; sid: 1000005;) 10.8.6 Một số rule cảnh báo alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Ping cao hon 100”; dsize : > 100; sid: 1000006;)  Phát hiện gói tin ping lớn hơn 100 byte Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 83 alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Tan cong ping”; content: "|40 00|" ; sid: 1000009;)  Phát hiện tấn công ping –f 10.9 Nhận xét Snort là một IDS dùng để theo dõi những biến cố xảy ra trên tcp/ip stack do mình định ra. Với Snort hoặc bất cứ ứng dụng IDS nào cũng cần phải có một bộ luật, còn gọi là các "signature". Snort có thể áp dụng ở các mô hình mạng, với chi phí thấp Snort là lựa chọn cho nhiều công ty có quy mô vừa và nhỏ cũng như những công ty có quy mô lớn. Ưu Điểm Nhược Điểm - Snort ghi nhận các luồng dữ liệu từ trong ra ngoài hay ngược lại vào file log do mình định ra giúp người quản trị dễ giám sát dữ liệu. - Do phát triển dựa vào mã nguồn mở nên Snort hoàn toàn miễn phí. - Người quản trị có thể tự viết luật và kết hợp với các phần mềm và phần cứng khác như: Cisco, Snortsam, Swatch,.v.v.. - Tối ưu hóa tập luật, phát triển luật tương tác với tường lửa, nâng cao Snort hoạt động như một hê thống phát hiện ngăn chặn IPS. - Snort không có khả năng chống lại các cuộc tấn công. - Do tập luật của snort được công khai trên mạng nên các hacker có thể tập hợp các luật để thay đổi dấu hiệu tấn công, từ đó có thể vượt qua giám sát của Snort. - Tập luật còn có nhiều khuyết điểm nên không thể sử dụng ngay mà còn phải chỉnh sửa. - Không thể cập nhập tập luật theo thời gian thực. - IDS thường xuyên đưa ra báo động giả ( False Positives) là gánh nặng cho quản trị hệ thống bởi nó cần được theo dõi liên tục. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 84 11. Xây dựng hệ thống giám sát với Forefront TMG 11.1 Tìm hiểu tổng quan Forefront TMG Forefront TMG được ra đời dựa trên nền tảng của các tính năng nổi bật về tường lửa của ISA 2006 và bổ sung thêm vào đó các cơ chế bảo vệ an toàn tối ưu làm tăng thêm tính mạnh mẽ trong việc bảo đảm an ninh cho một hệ thống mạng. 11.1.1 Một số tính năng mới trong Forefront TMG: - Web anti-malware: là một phần của dịch vụ bảo vệ Web cho Forefront TMG, có thể quét virus, phần mềm độc hại và các mối đe dọa khác trên các trang web. - URL filtering: Cho phép hoặc từ chối truy cập đến các trang web dựa trên danh mục URL chẳng hạn như những trang web đen, những trang có nội dung không lành mạnh, đồng thời cũng bảo vệ năng suất kinh doanh bằng cách hạn chế hoặc chặn truy cập vào các trang web được coi là phiền nhiễu năng suất. - E-mail protection: dựa trên công nghệ tích hợp từ Forefront Bảo vệ cho Exchange Server 2010. Forefront TMG phục vụ như là tiếp sức cho SMTP giao thông, và quét virus, malware, spam cho e-mail . - HTTPS: cho phép kiểm tra phiên mã hoá HTTPS để kiểm tra các phần mềm độc hại. Nhóm cụ thể các trang web như các trang web ngân hàng, có thể được loại trừ khỏi kiểm tra vì lý do riêng tư. - Network Inspection System (NIS): Kiểm tra hệ thống mạng (NIS) cho phép giao thông cần kiểm tra để khai thác lỗ hổng Microsoft. Dựa trên giao thức phân tích, NIS có thể chặn các lớp học của các cuộc tấn công trong khi giảm thiểu sai tích cực. Bảo vệ có thể được cập nhật khi cần thiết. - Network Address Translation: cho phép bạn xác định cá nhân máy chủ e- mail có thể được công bố trên cơ sở NAT “1-tới-1”. - Voice over IP: Tăng cường hỗ trợ Voice IP trên bao gồm SIP traversal, cho phép triển khai đơn giản của Voice over IP trong hệ thống. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 85 11.1.2 Đặc điểm của Forefront TMG: - Bảo vệ hệ thống toàn diện - Quản lý dễ dàng - Giám sát hệ thống hiệu quả Chúng ta sẽ tìm hiểu các tính năng này để chứng minh xem rằng các đặc điểm của Forefront TMG có thật sự đúng hay không. Để thuận tiện việc phân tích chúng ta sẽ nhóm các tính năng này thành 3 nhóm chính đại điện cho 3 đặc điểm của Forefront: - Bảo vệ hệ thống toàn diện o Anti-virus, anti-malware Loại bỏ các trang web một linh hoạt dựa trên địa chỉ IP, tê n Domain, các URL. TMG sẽ kiểm soát nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại, vì những sự lây nhiễm malware, virus đều có thể là nguyên nhân gây ra sự chậm trễ trong việc truyền tải nội dung từ server đến client. o Firewall & Web Access Policy Cho phép kết nối từ mạng nguồn tới mạng đích trong khi đó vẫn bảo vệ khỏi những truy cập độc hại bằng cách thiết lập những chính sách cụ thể cho phép hoặc cấm truy cập tới mạng đích áp dụng lên từng user, từng group hoặc user. o Server publishing Bảo mật truy cập đến các server trong hệ thống nội bộ, tăng cường an ninh cho việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa nhưng user không được phép chứng thực liên lac đến máy chủ Outlook Web Access. Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs. Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server. o Virtual Private Networking Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng. Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client. Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 86 - Quản lý dễ dàng Bao gồm các tính năng quản l ý nhằm nâng cao mức độ an ninh mạng. Export và import dữ liệu đã được cấu hình, lưu dữ liệu đã được cấu hình thành file .xml và sau đó bạn có thể import file này vào 1 server khác. Cung cấp các sản phẩm, chẳng hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng và hội nhập với TMG. - Giám sát hệ thống hiệu quả Giám sát việc đăng nhập xem firewall, Web Proxy, và SMTP Message Screener logs. Giám sát và lọc session dựa trên firewall sessions, xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL. Cấu hình TMG báo cáo một cách tự động, có thể lưu file báo cáo này vào folder được chỉ định, hoặc xuất báo cáo dưới dạng html xem bằng trình duyệt web. 11.2 Mô hình triển khai Hình 79. Mô hình triển khai Forefront TMG Server Mô hình xây dựng hệ thống tường lửa gồm 2 lớp: - Lớp thứ nhất ngoài cùng sử dụng một tường lửa cứng là router Cisco được cấu hình để tính tuyến vừa có tính năng ACL để lọc gói tin, thiết lập các luật hạn chế việc truy xuất ra vào cơ bản, đồng thời cho phép mở port telnet cho người quản trị truy xuất cũng như kết nối remote desktop từ ngoài vào trong, để tiện cho việc quản trị hệ thống. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 87 - Lớp thứ hai sử dụng Forefront TMG làm tường lửa mềm, thiết lập các chính sách lọc, giám sát luồng giao thông và xuất các báo cáo thường nhật để luôn có những thông tin mới nhất về hệ thống. Với đề tài “Tìm hiểu và xây dựng phương thức giám sát, ghi nhận sự kiện” chúng ta sẽ nghiên cứu tập trung vào các phần sau đây của trong hệ thống Forefront TMG: 11.2.1 Thiết lập chính sách tường lửa Cơ chế hoạt động của các bộ luật truy cập (access rule) trong chính sách tường lửa (firewall policy) dựa trên nền tảng tương tự với Access control list trong router. Chúng ta cần lập kế hoạch thiết lập các chính sách cấm/cho phép phù hợp với từng đối tượng. Để xây dựng một hệ thống phòng vệ hữu hiệu nhất chúng cần phải có sự phân tích và chiến lược cho từng bộ luật, xác định các vấn đề sau đây trước khi tạo một bộ luật: Who? Xác định đối tượng là ai (là gì) để áp đặt luật Action? Với hành động thực thi là cấm hay cho phép What? Cấm/Cho phép sử dụng ứng dụng hay giao thức nào? From-To Xác định hướng truy cập của đối tượng từ đâu đến đâu (vd: internal  external, hay ngược lai) Mặc định sau khi cài đặt xong forefront sẽ có 1 luật mặc định (default rule) sẽ cấm tất cả các truy xuất ra vào, đồng trình tạo chính sách truy xuất web (Web Access Policy) sẽ tạo cho chúng ta thêm 2 luật nữa để truy xuất ra internet và chặn các ứng dụng độc hại. chúng ta có thể bổ sung thêm các luật như cho phép phân giải giao thứ DNS, cho phép gửi mail bằng POP3, SMTP, hoặc chỉ định cấm một trang web nào đó. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 88 Ví dụ về một tình huống tạo một luật cho phép máy client chỉ được truy xuất trang facebook.com vào giờ nghỉ trưa (11h – 13h), ngoài giờ này sẽ bị cấm. Hình 80. Thiết lập các luật cơ bản cho hệ thống. Dựa vào các câu hỏi, ta triển khai như sau: - Xác định đối tượng (who): group KeToan - Xác định hành động (Action): Cho phép (Allow) - Xác định giao thức (What): HTTP, HTTPS - Xác định hướng truy cập (From –To): từ trong ra facebook Ngoài ra chúng ta lập thời gian biểu là “giai lao” từ 11h – 13h cho phép truy xuất facebook. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 89 Hình 81. Máy client bị cấm truy cập facebook. Máy client truy cập vào Facebook nhưng bị cấm đó là do thời gian truy cập đã quá 13h (1:20 PM), hiển thị tên máy Forefront TMG (fw.test.local). Bằng việc đặt ra những câu hỏi để xác định rõ vấn đề cho từng tình huống khác nhau, chúng ta đã có thể thiết lập một bộ luật hoàn chỉnh cho hệ thống. 11.2.2 Phát hiện và ngăn chặn tấn công - Hệ thống thanh tra mạng (Network Inspection System) NIS kiểm tra lưu lượng truy cập web người dùng nội bộ và phát hiện và khoá giao thông độc hại. NIS có thể được cập nhật các signature với MMPC (Microsoft Malware Protection Center) ngay khi chúng được tạo ra, để bảo vệ chống lại các cuộc tấn công và rủi ro. NIS bảo vệ chống lại các lỗ hổng mạng, nó không bảo vệ chống lại các lỗ hổng bảo mật tập tin, chẳng hạn như virus, phần mềm độc hại. NIS có thể cập nhật và cài đặt tự động của tập chữ ký mới nhất được kích hoạt. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 90 - Hệ thống phát hiện xâm nhập Trong TMG ,hệ thống phát hiện xâm nhập (Behavioral Instruction Detection) vẫn hoạt động dựa trên ba cơ chế: o Những tấn công thường gặp Những tấn công thường gặp là Ping of Death, bomb UDP hay quét IP một nửa. Những cơ cấu bảo vệ này không mới, nhưng đây là những cài đặt nên có cơ bản cho phần lớn các server TMG. Hình 82. Các chức năng bảo vệ trong IDS. Mặc định, Forefront TMG log tất cả các gói đã rớt để được thông báo khi có một xâm phạm cố gắng kết nối đến tường lửa.Forefront TMG cho phép cấu hình tường lửa để lọc các traffic DNS với DNS-Filter tích hợp. Đồng thời TMG bảo vệ khỏi overflow host name DNS, overflow length DNS và nếu cần nó lọc khu vực truyền dữ liệu DNS. Nếu bạn kích hoạt mục khu vực truyền dữ liệu DNS, TMG sẽ từ chối khu vực DNS có thể thông qua tường lửa. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 91 Hình 83. Lọc tấn công DNS Trong Common Attacks, bật thêm tính năng port scan, sau đó dủng máy bên ngoài internet sử dụng công cụ SupeerScan 4 quét cổng bên máy TMG để kiểm chúng hoạt động của IDS. Khi máy tấn công đang quét cổng, trong mode Monitoring, tab Alert ghi nhận cảnh báo một cuộc tấn công quét cổng từ địa chỉ IP 192.168.1.4 Hình 84. Xuất hiện cảnh báo quét cổng. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 92 o IP Options Giao thức TCP/IP xác định một vài mục IP có thể dùng cho những mục đích khác nhau trong IP network. Forefront TMG có khả năng khoá một số mục IP bởi ngày nay không phải tất cả các mục IP đều được sử dụng trong mạng IP và một số mục IP có thể dùng để xâm nhập network. Mặc định, TMG từ chối một số mục IP (như hình dưới) và có thể từ chối các mục IP mà ta không muốn dùng. Hình 85. Bật tính năng IP Option. o IP Fragments Phân mảnh IP được dùng để chia rời các gói nếu chúng lớn hơn kích thước tối đa mặc định. Cài đặt này được tắt mặc định và phải cẩn thận khi bật nó lên vì nó có thể phá vỡ kết nối và một số kết nối chẳng hạn như khi các kết nối VPN dựa trên IPsec, L2TP sử dụng những gói tin kết nối có dung lượng lớn hơn mặc định sẽ bị khoá ngay. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 93 11.2.3 Giám sát luồng giao thông - Phân tích, ghi nhận sự kiện các luồng giao thông (loggings) Để theo dõi được những ghi nhận trong quá trình truy xuất từ trong ra ngoài hay từ ngoài vào trong một cách cụ thể bằng cách khởi động truy vấn (Start Query) trong tab Loggings. Ví dụ: chúng ta dùng máy DC (172.16.15.2) truy cập trang facebook.com để xem hoạt động của loggings. Hình 86. Ghi nhận chi tiết về việc truy cập facebook. Loggings ghi nhận cụ thể và chi tiết thông tin của các đối tượng cụ thể là: o Thời gian: được hiển thị chi thiết ngày/tháng năm và từng giờ, phút, giây. o Địa chỉ nguồn / đích: 172.16.15.2 đang truy vấn đến địa chỉ 172.16.15.1 (card mạng lan) để biết đường ra internet (facebook.com). Sau đó, địa chỉ 172.16.15.1 sẽ dùng địa chỉ 192.168.1.3(card mạng ngoài) truy vấn ra ngoài bằng default gateway 192.168.1.1. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 94 o Port / Protocol: Để ra được facebook, tất yếu là phải bằng port 80, giao thức HTTP và port 53, giao thức DNS để phân giải tên miền. o Hành động: Kết nối được cho phép. o Luật thực thi: luật đã tạo “allow all” cho phép kết nối nào rat rang facebook. o Mạng nguồn/đích: truy xuất này đi từ trong nội bô (internal) ra bên ngoài internet (External) o URL: tên miền truy xuất là Hình 87. Ghi nhận chi tiết về việc truy cập facebook. o Tên máy trạm: là FW chịu trách nhiệm giám sát luồng truy cập. o Loại tên miền: Forefront tự động dò tìm thể loại của tên miền truy vấn của facebook là thuộc loại Blog/Wiki. o Địa chỉ NAT: ghi nhận địa chỉ 192.168.1.3. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 95 Một ví dụ tiếp theo, chung ta sử dụng SuperScan 4 và Zenmap để scan port. Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công. Điều đầu tiên, sự khác biệt chính đó là các thông tin ghi nhận hiển thị bằng màu đỏ, có nghĩa là các kết nối này đã bị cấm. Máy bên ngoài Internet 192.168.1.6 sử dụng SuperScan 4 để quét cổng đã bị Forefront cấm bằng luật “Default rule”. Nhưng có vẻ như SuperScan 4 dùng để quét cổng vẫn còn khá “hiền”. Vì vậy tiếp theo, chúng ta sử dụng Zenmap để quét trên tất cả các cổng. Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh. Dường như, Forefront đã gặp một chút khó khăn trong việc lọc các gói tin vì Zenmap đạ quét trên tất cả các cổng TCP, tốc độ các gói tin đi vào quá nhanh để có thể xử lý, nhưng nhìn chung vẫn khó lọt qua tầm kiểm soát của Forefront. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 96 11.2.4 Theo dõi tổng quan và hiệu suất hệ thống Hình 90.Bảng Dashboard Đây cũng chính là một trong những tính năng mới, khá hữu dụng trong Forefront. Với Dashboard, cung cấp cho chúng ta tổng hợp những mục như: - Alerts: Ghi nhận những cảnh báo tấn công, hay gặp sự cố. - Session: Ghi nhận phiên làm việc của firewall. - Protection Technology: Hiển thị những tính năng bảo vệ cho hệ thống. - Services: Hiển thị những dịch vụ dang sử dụng trong hệ thống. - System Performance: Cập nhật hiệu năng của CPU và RAM. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 97 11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống Với báo cáo Forefront TMG, có thể tạo một hồ sơ thường nhật của các mô hình sử dụng thông thường, và có thể tóm tắt, phân tích thông tin đăng nhập. Ví dụ, ta có thể xác định: o Ai là người truy cập vào các trang web, và các trang web được truy cập. Mà các giao thức và các ứng dụng đang được sử dụng thường xuyên nhất. o Tổng lưu lượng truy cập các mẫu. o Hoạt động của Malware. o Lọc URL. o Mạng lưới hoạt động thanh tra. Có hai loại báo cáo: - Báo cáo theo một khoàng thời gian xác định . Những báo cáo cung cấp một cái nhìn cụ thể, chi tiết của các hoạt động được ghi lại bởi Forefront TMG qua bất kỳ khoảng thời gian chỉ định. - Báo cáo công việc định kỳ. Ta có thể lập lịch trình các báo cáo tự động trên một cơ sở hàng ngày, hàng tuần, hoặc hàng tháng. Các khoảng thời gian có sẵn cho các báo cáo này có nhiều cấu trúc hơn so với báo cáo theokhoảng thời gian. Chúng ta tạo báo cáo theo một khoảng thời gian từ 1/6 tới 6/6 để có thể nắm bắt thông tin toàn diện về hệ thống. Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 98 Chọn mục “Generate View Selected Report” để xuất báo cáo theo dạng HTML. Hình 92. Xuất báo cáo dưới dạng HTML. Tiến hành duyệt mục tổng hợp để theo dõi các báo cáo trọng tâm, vì trong mục tổng hợp hiển thị những hạng mục báo cáo tiêu biểu của các phần báo cáo, gồm: Hình 93. Thống kê các giao thức sử dụng Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 99 Hình 94. Thống kê người dùng truy cập. Hình 95. Thống kê các trang web truy xuất. Hình 96. Thống kê luồng giao thông ra vào hệ thống. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 100 Hình 97. Thống kê tổng quát. 11.3 Nhận xét Với một giao diện dễ nhìn, thân thiện với người dùng, cùng các công cụ thiết lập và quản lý đơn giản mà hiệu quả, không yêu cầu một trình độ chuyên môn quá cao để cấu hình. Forefront TMG đã đáp ứng được các điều kiện cần và đủ cho một công cụ tường lửa thực thụ. Ngoài các tính năng của một tường lửa mềm, điểm nổi bật của Forefront TMG là xuất những báo cáo thật chi tiết và cụ thể, phân tích các luồng giao thông, ghi nhận các giao thông ra vào mạng, hiển thị trạng thái, hiệu suất làm việc của hệ thống phần cứng là CPU và bộ nhớ RAM. Tuy nhiên nhược điểm lớn nhất của Forefront TMG là ngoài chi phí chi trả bản quyền, yêu cầu hệ thống phần cứng cao chẳng hạn như yêu cầu phải được cài đặt trên Window Server 2008 R2 x64 và RAM tối thiểu phải trên 1GB. hệ thống tường lửa mềm này bó buộc người dùng trong các bộ tính năng riêng của chúng, đồng thời khó tích hợp với các hệ thống tường lửa khác. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 101 KẾT LUẬN Audit (Event viewer), Snort, Forefront TMG, cả ba cùng là những chương trình lập luật và theo dõi, giám sát hệ thống. Nếu hệ thống thiết lập chính sách Audit và giám sát bằng Event viewer hoạt động hiệu quả trên domain và giám sát những hành vi cả các máy tính, các user được quản lý tập trung trong một domain; Cũng giống như audit là lập luật cho hệ thống nhưng Snort và Forefront TMG hoạt động hiệu quả trong việc giám sát và phân tích luồng thông tin chi tiết, nhưng luôn có những sự khác biệt giữa chúng. FOREFRONT TMG SNORT Ưu Điểm - Cung cấp một giao diện thân thiện với người dùng. - Trình quản lý các bộ luật rất gọn gàng, linh hoạt. - Xuất các báo cáo đa dạng, chi tiết. - Tăng cường những tính năng cải tiến từ ISA và các tính năng hoàn toàn mới như NIS. - Sự đơn giản trong giao diện. - Không yêu cầu phần cứng cao. - Sử dụng trên nền mã nguồn mở (Unix) nên sẽ không phải trả tiền bản quyền. - Có khả năng mở rộng trong việc tuỳ biến thiết lập luật quản trị và tích hợp với những hệ thống khác Nhược Điểm - Yêu cầu phần cứng cao. - Phải chi trả phí bản quyền. - Giới hạn những người quản trị trong việc xây dựng các bộ luật. - Không thế tích hợp với các hệ thống khác. - Trình quản lý các luật đã thiết lập rất khó khăn. - Yêu cầu người quản trị phải có tầm kiến thức cao - Đòi hỏi phải có chiến lược kỹ lưỡng trước khi lập luật. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 102 PHỤ LỤC SNORT Hình 98. Mô hình thử nghiệm Snort 1. Cài đặt Snort trên nền CentOS 5.4 a. Các gói cài đặt Để Snort hoạt động tốt, ta cài các gói hỗ trợ Web server cần các gói: php, php-gd, php-mysql, httpd, php-pear, mod_ssl (cung cấp cho HTTP và HTTPS và mật mã cho Apache) , gd (thư viện gd hỗ trợ php) . MySQL Database cần các gói: mysql, mysql-server, mysql-devel, php-mysql, mysql-bench. Mở rộng chức năng yum: yum-utils. Hỗ trợ trình biên dịch C và C++ : gcc, gcc-c++. Và các gói: pcre-devel, distcache-devel, glib2-devel, libpcap-devel. Cài đặt có 2 cách: 1. Cài từng gói #yum install mysql 2. Cài tất cả các gói một lần (mỗi gói cách nhau một khoảng trắng) #yum install mysql mysql-devel mysql-bench mysql-server Cài thêm các gói phát triển: #yum groupinstall “Development Tools” #yum groupinstall “Development Libraries” #yum groupinstall “MySQL Database” b. Cài đặt Snort Tải các gói Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 103 Gói cài đặt Địa chỉ down Mô tả snort-2.8.6.tar.gz ds Phần mềm cài snort snortrules-snapshot- 2.8.tar.gz ds Các rules của snort Đưa cái gói vào thư mục soft trên Desktop của CentOS. Ta có đường dẫn root/Desktop/soft. Dùng lệnh giải nén: tar –zxvf đối với file tar.gz [root@localhost ~]# cd Desktop/soft/ [root@localhost soft]# tar -zxvf snort-2.8.6.tar.gz Sau khi giải nén sau ta vào thư mục snort-2.8.6, chạy lệnh # ./configure --with-mysql --enable-dynamicplugin Lệnh ./configure --with-mysql --enable-dynamicplugin dùng để kiểm tra các gói phụ thuộc có cài đủ chưa, nếu sau cùng mà ko còn lỗi thì mới chạy được lệnh make. # make && make install Lệnh “make” đề tiến hành biên dịch Snort sang dạng thực thi nhưng các file thực thi vẫn còn nằm trên thư mục hiện hành. Lệnh “make install” để chép các file thực thi đó sang đúng vị trí của nó trên hệ thống. Nếu như không có thông báo lỗi gì xảy ra thì đã hòan tất việc cài đặt gói lên hệ thống. Cài đặt thành công, dùng lệnh snort –V sẽ thấy phiên bản snort được cài. Hình 99. Cài đặt thành công c. Cấu hình thư mục cho Snort Tạo thư mục lưu trữ file cấu hình và các rules # mkdir /etc/snort # mkdir /etc/snort/rules Tạo thư mục lưu trư các file log # mkdir /var/log/snort Vào thư mục /etc bên trong source của snort-2.8.6 [root@localhost snort-2.8.6]# cd /etc/ [root@localhost etc]# Chép các file cấu hình vào thư mục /etc/snort Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 104 # cp * /etc/snort Tạo group snort và user snort # groupadd snort # useradd -g snort snort -s /sbin/nologin Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứ file log # chown snort:snort /var/log/snort/ d. Cấu hình các thông số của Snort File cấu hình /etc/snort/snort.conf # gedit /etc/snort/snort.conf Sửa các dòng và save lại 25, khai báo lớp mạng bên trong var HOME_NET 192.168.1.0/24 28, khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào var EXTERNAL_NET any 60, khai báo vị trí các rules, do rules đặt ở /etc/snort/rules var RULE_PATH /etc/snort/rules 270, cho phép ghi những thông điệp log vào CSDL của MySQL output database: log, mysql, user=snort password=123 test dbname=snort host=localhost Ý nghĩa của dòng trên là: tên CSDL là snort và MySQL server đang chạy ở localhost. Tài khoản sử dụng CSDL là snort, mật khẩu là 123. e. Cài đặt rule cho Snort Giải nén snortrules-snapshot-2.8.tar.gz [root@localhost soft]# tar -zxvf snortrules-snapshot-2.8.tar.gz [root@localhost soft]# cd rules Copy tất cả rules vào thư mục /etc/snort/rules [root@localhost rules]# cp * /etc/snort/rules f. Cấu hình khởi động snort như 1 dịch vụ hệ thống Tạo một liên kết mềm (symbolic link) của file snort binary đến /usr/sbin/snort, tập tin snort binary nằm ở đường dẫn /usr/local/bin/snort # ln -s /usr/local/bin/snort /usr/sbin/snort Snort cung cấp các scrip để khởi động trong thư mục rpm/ trong thư mục giải nén snort-2.8.6 [root@localhost soft]# cd snort-2.8.6 [root@localhost snort-2.8.6]# cd rpm [root@localhost rpm]# cp snortd /etc/init.d [root@localhost rpm]# cp snort.sysconfig /etc/sysconfig/snort Set quyền lại cho file snortd # chmod 755 /etc/init.d/snortd Cấu hình Snort auto start # chkconfig snortd on Khởi động Snort Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 105 # service snortd start Hình 100. service snortd start Để khởi động snort ở chế độ debug nếu muốn kiểm tra lỗi dùng lệnh # snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0 Nếu có lỗi xảy ra thì Snort sẽ tự động thoát và thông báo lỗi. Nếu vận hành tốt sẽ có dòng “Not Using PCAP_FRAMES”, đây chỉ là một thông điệp báo rằng Snort không đọc từ một file PCAP chứ không phải lỗi. Để thoát ấn CTRL + C. Hình 101. Not Using PCAP_FRAMES g. Tạo CSDL Snort với MySQL Khởi động dịch vụ MySQL # service mysqld start Set password cho root trong MySQL # mysqladmin -u root password p@ss Để đổi mật khẩu ta có thể dùng # mysqladmin -u root –p password Kết nối đến MySQL server và nhập pass # mysql –p Tạo password cho tài khỏan snort Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 106 Chú ý phải đặt pass trùng với tài khoản snort đã khai báo tại /etc/snort/snort.conf Tạo CSDL cho snort Tạo các bảng: vào thư mục schames mà bạn giải nén snort snort-2.8.6 [root@localhost ~]# cd Desktop/soft/snort-2.8.6/schemas/ [root@localhost schemas]# mysql -u root -p < create_mysql snort Kiểm tra tạo bảng thành công hay không mysql –p mysql> show databases; mysql> use snort; mysql> show tables; Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 107 h. Cài đặt và cấu hình BASE (Basic Analysis and Security Engine) Cần cài thêm vài gói pear cho PHP # pear install PEAR # pear install --force PEAR # pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman Dùng lệnh để xem các gói đã cài # pear list Tải các gói Gói cài đặt Địa chỉ down Mô tả adodb508a.tgz files/ Phần mềm cài ADOBE base-1.4.4.tar.gz deas/files/ Phần mềm cài BASE Cài đặt ADODB # cp adodb508a.tgz /var/www/html/ # cd /var/www/html/ # tar -zxvf adodb508a.tgz Cài đặt BASE # cp base-1.4.4.tar.gz /var/www/html/ # cd /var/www/html/ # tar -zxvf base-1.4.4.tar.gz # mv base-1.4.4/ base/ # cd base # cp base_conf.php.dist base_conf.php # gedit base_conf.php Sửa các dòng và save lại Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 108 57, đường dẫn vào mục BASE $BASE_urlpath = '/base'; 79, đường dẫn vào mục adodb $DBlib_path = '/var/www/html/adodb5'; 101, khai báo tên CSDL của Snort $alert_dbname = 'snort'; 105, khao báo password $alert_password = '123'; 108, sửa lại thành 1 (có lưu trữ DB) $archive_exists = 1; 109, khai báo tên lưu trữ $archive_dbname = 'snort'; 113, khai báo password $archive_password = '123'; i. Kiểm tra Cần phải bảo đảm các dịch vụ snortd, httpd và mysqld đều ở trạng thái start OK Gõ lệnh: snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0 Tại máy snort server mở firefox truy cập Snort: , chọn Setup page Hình 102. Setup page Chọn Create BASE AG Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 109 Hình 103. Create BASE Tạo BASE thành công Hình 104. BASE thành công Giao diện quản lí BASE Hình 105. Giao diện BASE Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 110 BASE có hỗ trợ các trang tìm kiếm ip như: Hình 106. Trang web tìm kiếm Ví dụ với trang ta có thể biết chính xác ip này ở đâu Hình 107. Thông tin IP Để theo dõi thời gian thực file log ta gõ lệnh : tail –f /var/log/snort/alert , lệnh tail dùng để xem liên tục alert, có cái gì phát sinh là hiện ra. Hình 108. lệnh tail –f Đọc file log –r Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 111 #snort -dv -r /var/log/snort/snort.log.1077725466 Đọc file log và chỉ show các traffic có dạng TCP #snort -dv -r /var/log/snort/snort.log.107657944 tcp Quay lại với terminal: snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0, ta ấn thoát sẽ được như bảng ở dưới. Khi dừng chế độ sniffer, Snort sẽ tạo ra một bảng tóm tắt các gói tin được bắt giữ, bao gồm các giao thức, thống kê phân mảnh và tái hợp gói tin. Hình 109. Bảng tóm tắt các gói tin được bắt giữ 2. Cài đặt Snort trên nền Window Với mô hình Lab trên tiến hành cài snort trên Window Server 2008 a. Các gói cài đặt Gói cài đặt Địa chỉ down Mô tả Snort_2_8_6_Installer.e xe loads Phần mềm cài snort snortrules-snapshot- 2.8.tar.gz loads Các rules của snort WinPcap_4_1_1.exe stall/default.htm Phần mềm cài WinPcap Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 112 Cài WinPcap trước rồi mới cài snort_2_8_6 Tiến hành cài Snort_2_8_6_Installer.exe Installation Options có các cơ chế lưu trữ file log theo cơ sở dữ liệu Microsoft SQL server hay Oracle. Do chỉ lưu trữ log trong Event Log nên sẽ chọn đầu tiên. Hình 110. Installation Options Các bước tiếp theo cài như mặc định b. Cấu hình các thông số của Snort File cấu hình C:/Snort/etc/snort.conf Sửa các dòng và save lại Khai báo lớp mạng bên trong var HOME_NET 192.168.1.0/24 Khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào var EXTERNAL_NET any Khai báo vị trí các rules, var RULE_PATH c:\snort\rules Khai báo các biến include classification.config và reference.config include C:Snort\etc\classification.config include C:Snort\etc\reference.config Khai báo đường dẫn đến thư viện dynamic preprocessor C:\Snort\lib\snort_dynamicpreprocessor Khai báo đường dẫn đến base preprocessor engine C:\Snort\lib\snort_dynamicengine\sf_engine.dll Xuất ra file log # output log_tcpdump: tcpdump.log output alert_fast: alerts.ids c. Cài đặt rules cho Snort Giải nén snortrules-snapshot-2.8.tar.gz, copy rules vào thư mục C:\Snort d. Chạy thử Snort Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 113 cd C:\Snort\bin c:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log Nếu gặp lỗi như ở dưới thì xóa file sf_sdf.dll từ C:\Snort\lib\snort_dynamicpreprocessor ERROR: Failed to initialize dynamic preprocessor: SF_SDF (IPV6) version 1.1.1 Fatal Error, Quitting.. Cài đặt thành công Snort Hình 111. Not Using PCAP_FRAMES trên Win 3. Từ khóa i. Từ khóa thông dụng  Từ khóa msg msg: “noi dung” Hiển thị thông báo trong alert và file log.  Từ khóa gid gid: ; Tạo gid cho rule. Từ khóa gid được dùng để xác định những gì của Snort tạo ra những sự kiện khi có báo động. Ví dụ gid 1 là liên kết với các hệ thống phụ gids và hơn 100 được thiết kế cho preprocessors cụ thể và bộ giải mã. Tùy chọn này nên được sử dụng cùng với sid, để tránh việc đụng độ giá trị với những thành phần khác, ta nên đặt gid lớn hơn 1.000.000.Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; gid:1000001; sid:1; rev:1;)  Từ khóa sid sid: ; Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 114 Tạo sid cho rule. Từ khóa sid được sử dụng để nhận diện ra quy tắc Snort. thông tin này cho phép output plugin xác định quy tắc dễ dàng. Tùy chọn này nên được sử dụng với từ khoá rev. Chú ý: • <100 Dành cho các sử dụng trong tương lai • 100-1.000.000 Những rule có trong bản phân phối Snort •> 1.000.000 Được sử dụng cho các rule cục bộ Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)  Từ khóa rev rev: ; Từ khóa rev được sử dụng để nhận diện phiên bản sửa đổi các quy tắc của Snort. Nếu cập nhật rule, từ khóa rev có thể sử dụng để phân biệt các phiên bản. Tùy chọn này nên được sử dụng với từ khoá sid. Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)  Từ khóa priority priority: ; Từ khóa này chỉ định một mức độ nghiêm trọng của rule.Ví dụ: alert TCP any any -> any 80 (content:"php.image"; msg:"phat hien web- virus"; priority:10;) ii. Từ khóa tác động đến payload  Từ khóa content content: [!] ""; Từ khóa này tìm mẫu dữ liệu bên trong gói. Mãu này có thể hiện thị ở dạng chuỗi ASCII hay nhị phân trong hình thức mã hexa. Ví dụ luật sau đây phát hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát từ địa chỉ 192.168.1.0. từ khóa GET thường được sử dụng cho nhiều loại tấn công HTTP: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “phat hien GET”;) Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 115 Rule dưới đây cũng tương tự nhưng nó liệt kê ở dạng hexa: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “|47 45 54|”; msg: “phat hien GET”;) Mã hexa của 47= G, 45 = E, 54 = T. Ký tự hexa nằm trong cặp dấu “||”. Ký hiệu “!” nghĩa là loại trừ, như ví dụ dưới thì phần nội dụng sẽ không chứa “GET”. alert tcp any any -> any 80 (content:!"GET";) Từ khóa content có thể dùng chug với các từ khóa: depth, nocase, offset,.v.v..  Từ khóa offset offset: ; Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu của phần dữ liệu của gói. Dùng một con số làm đối số cho từ khóa này. Ví dụ sau sẽ bắt đầu tìm từ “HTTP” bắt đầu từ byte thứ 5 trong gói. alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset: 5; msg: "phat hien HTTP ";)  Từ khóa depth depth: ; Từ khóa depth chỉ định một giới hạn dưới cho việc lấy mẫu. Từ khóa cho phép chỉ định một khoẳng bắt đầu từ byte đầu tiên của gói. Dữ liệu sau khoảng này không lấy mẫu nữa. Nếu kết hợp offset và depth cùng với content, có thể chỉ ra vùng dữ liệu mà ta muốn lấy mẫu. Ví dụ muốn tìm từ “HTTP”, bắt đầu từ byte thứ 5 và tìm kiếm tối đa đến byte thứ 20: alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset: 5; depth: 20; msg: "phat hien HTTP";)  Từ khóa nocase nocase; Từ khóa nocase không có đối số. Nocase giúp tìm mẫu trong dữ liệu không phân biệt chữ hoa và chữ thường. Ví dụ: Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 116 alert tcp any any -> any 21 (content:"USER root"; msg:"FTP ROOT"; nocase;)  Từ khóa within within: ; Từ khóa within để chắc rằng N bytes thì nằm giữa sự so sánh mẫu. Ví dụ dưới đây khi truy cập vào trang web có 14 byte thì sẽ báo alert , còn vượt quá 14 byte thì không báo: alert tcp any any -> any 80 (content:"www"; content: "com"; msg: "test within "; within:14; sid: 10000003;) iii. Từ khóa tác động đến phần không payload  Từ khóa flow flow:[(established|stateless)] [,(to_client|to_server|from_client|from_server)] [,(no_stream|only_stream)]; Từ khóa flow dùng để áp dụng một rule trên những TCP đến những gói trong phương hướng riêng. Từ khóa này dùng để xác định phương hướng. Từ khóa chỉ cho phép rule áp dụng đến client hoặc server. Ý nghĩa các từ khóa Lựa chọn Mô tả to_client Đáp ứng đến client to_server Đáp ứng đến server from_client Yêu cầu từ client from_server Yếu cầu từ server established Áp dụng rule để xác lập những phiên TCP stateless Áp dụng rule không cần xem trạng thái của phiên TCP no_stream Bật những rule để áp dụng vào gói tin mà không cần xây dựng từ một luồng Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 117 only_stream Áp dụng rule chỉ trên những gói đã xây dựng từ một luồng Ví dụ: alert tcp !$HOME_NET any -> $HOME_NET 21 (content:"CWD incoming"; msg:"phat hien cd "; flow:from_client; nocase;)  Từ khóa ttl ttl:[[-]>; Từ khóa ttl được dùng để phát hiện giá trị Time To Live của IP header. Từ khóa có thể sử dụng với tất cả loại giao thức xây dựng trên giao thức IP, bao gồm ICMP,UDP và TCP. Ví dụ: ttl: <7;  Từ khóa fragbits fragbits:[+*!]; Tiêu đề IP header chứa 3 cờ bit, dùng để phân mảnh và tái hợp IP. Từ khóa fragbits dùng để kiểm tra những bit phân mảnh và tái hợp được bật lên trong IP header. Có các chức năng sau: M - More Fragments – Bit có nhiều phân mảnh D - Don’t Fragments – Bit không phân mảnh R - Reserved Bit – Bit dành riêng cho tương lai Những hiệu chỉnh sau có thể bật để thay đổi điều kiện so trùng: “+” so trùng những bit cụ thể, gắn thêm bit cờ với những bit khác “*” so trùng nếu những bit cụ thể được bật lên “!” so trùng nếu những bit cụ thể không được bật lên Ví dụ cảnh báo khi cả hai bit More Fragments và Reserved Bit được bật lên: fragbits:MR+ ;  Từ khóa dsize dsize: [][]; Từ khóa dsize dùng để kiểm tra những gói tin có kích thước bất thường. Ví dụ tìm kiếm những gói tin có kích thước giữa 100 và 200 bytes: dsize: 100 400;  Từ khóa id Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 118 id:; Từ khóa id dùng để so sánh trường ID phân mảnh. Mục đích là phát hiện ra tấn công mà cò dùng ID cố định trong IP header.  Từ khóa flags flags:[!|*|+][,]; Từ khóa flags dùng đề tìm ra cờ bit được bật trong TCP. Cờ bit này được sử dụng cho nhiều công cụ bảo mật. Những cờ bit: F - FIN (LSB in TCP Flags byte) S - SYN R - RST P - PSH A - ACK U - URG 1 - Reserved bit 1 (MSB in TCP Flags byte) 2 - Reserved bit 2 0 - No TCP Flags Set Ví dụ: alert tcp any any -> $HOME_NET any (flags:RP; msg: “phat hien RST-PSH”;)  Từ khóa ack ack: ; Từ khóa ack kiểm tra một TCP acknowledge number.  Từ khóa seq seq:; Tứ khóa seq kiểm tra sequence number của TCP.  Tứ khóa icmp_id icmp_id:; Từ khóa dùng để kiểm tra một giá trị ICMP ID cụ thể.  Từ khóa icmp_seq icmp_seq:; Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 119 Từ khòa dùng để kiểm tra một giá trị ICMP sequence cụ thể. 4. Các thông số hiệu năng được đưa ra: Packets received Gói nhận được Packets dropped Gói bị bỏ Percentage of packets dropped Phần trăm các gói bỏ Kpackets per second Kpackets / giây Average bytes per packets Byte trung bình / gói Mbits per second (wire) Mbits / giây Mbits per second (rebuilt) Mbits trung bình Snort nhúng vào sau khi rebuilt các packet / giây Mbits per second (total) Mbit / giây ( tổng cộng) Pattern-matching percent Phần trăm dữ liệu trung bình của nhận quá trình Snort trong mô hình kết hợp CPU usage Sử dụng CPU: user time, system time, idle time Alerts per second Cảnh báo / giây SYN packets per second Gói SYN / giây SYN/ACK packet per second Gói (SYN/ACK) / giây New sessions per second Phiên mới / giây Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 120 Deleted sessions per second Xóa phiên / giây Total sessions Tổng cộng phiên Max sessions during time interval Phiên cực đại trong thời gian Stream flushes per second Stream tràn / giây Stream faults per second Stream lỗi / giây Stream timeouts Stream thời gian chờ Frag completes per second Frag hoàn thành / giây Frag inserts per second Frag thêm / giây Frag deletes per second Frag xóa / giây Frag flushes per second Frag tràn / giây Frag timeouts Frag thời gian chờ Frag faults Frag lỗi Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 121 PHỤ LỤC FOREFRONT Cài đặt ForeFront TMG 2010 Các yêu cầu trước khi cài đặt Forefront: - Máy Forefront TGM chỉ là domain member, phải join domain trước khi cài đặt - Cài đặt trên nền Window Server Ent 2008 Service Pack 2 Start \ Run \ winver để kiểm tra, nếu là SP1 thì download bản hotfix SP2 cài vào: 4972-a0d7-b1a6fedf51a7&displaylang=en - Lưu ý: Đối với việc cài đặt trên máy ảo Để cài được Window Server Ent 2008 x64 thì phải bật chức năng Virtualization trong Bios \ Advances, vì chức năng này mặc định luôn ở trạng thái tắt, nếu chưa bật sẽ báo lỗi CPU không tương thích với 64 bit Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 122 - Cài đặt các Roles và Features: - Tải Forefront TGM 2010 : us/evalcenter/ee423778.aspx - Chạy file vừa tải về, đến giao diện cài đặt forefront, chọn Run Prepairation Tool để kiểm tra .Net Framework 3.5, Installer 4.5, Windows Update và Window Web Services API, nếu còn thiếu cái nào nó sẽ tự động tải về và cài đặt . - Một số trường hợp chạy Prepairation Tool sẽ bị báo lỗi là do phiên bản hệ điều hành không phải là SP2, vì vậy việc cài đặt SP2 cho Winserver 2008 là rất quan trọng. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 123 Hình 113. Báo lỗi cài Prepairation tool Sau khi giai đoạn chạy Prepairation Tool hoàn thành, chúng ta có thể cài đặt Forefront TMG bình thường. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 124 TÀI LIỆU THAM KHẢO [1] Marianne Swanson & Barbara Guttman, “Generally Accepted Principles and Practices for Securing Information Technology Systems”, 1996. [2] Jack J. Champlain & John Wiley & Sons, “Auditing Information Systems, Second Edition”, 2003. [3] ITSEAG, “Secure Your Information: Information Security Principles for Enterprise Architecture”, Jun 2007. [4] HANNERÍ BOTHA AND J.A. BOON, “The Information Audit: Principles and Guidelines”, 2003. [5] Brian Morgan & Neil Lovering, “CCNP Implementing Secure Converged Wide Area Networks”, 2008. [6] Jie Wang, “Computer Network Security”, June 2008. [7] “SnortTM Users Manual 2.8.4”, April 21, 2009. [8] Andrew R. Baker, Brian Caswell, Mike Poor, “Syngress - Snort 2.1 Intrusion Detection_ Second Edition”, May 2004. [9] Jesse Varsalone, “Microsoft Forefront Security Administration Guide”, 2009. [10] “Securing Networks with Cisco Routers and Switches” – 2007. [11] Các diễn dàn Tin học.