Tiêu đề IP header chứa 3 cờ bit, dùng để phân mảnh và tái hợp IP. Từ khóa
fragbits dùng đ ể kiểm tra những bit phân mảnh và tái hợp được bật lên
trong IP header. Có các chức năng sau:
M - More Fragments – Bit có nhiều phân mảnh
D - Don’t Fragments – Bit không phân mảnh
R - Reserved Bit – Bit dành riêng cho tương lai
140 trang |
Chia sẻ: lylyngoc | Lượt xem: 2888 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Đề tài Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
18M - Bộ nhớ vật lý được sử dụng.
SHR - Shared Mem size (kb): 2264 - Số lượng bộ nhớ chia sẻ được sử
dụng bởi một nhiệm vụ.
Mỗi process trên CentOS có số lượng memory được sử dụng và biến thiên tuỳ
hoàn cảnh. Hơn nữa, memory được một process sử dụng có thể là tổng hợp của shared
memory, physical memory, virtual memory. Khi Snort làm việc, cần chú ý những
dòng luật, luật càng nhiều thì đương nhiên chiếm ram khá nhiều và những luật mặc
định không cần thiết thì nên tắt để giảm tải cho hệ thống .
Biểu đồ hiệu suất làm việc CPU trong vòng hơn 8 phút
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 78
Hình 72. Hiệu suất CPU khi Snort hoạt động
10.7 Mô hình triển khai Snort
Hình 73. Triển khai IDS
Mô hình có switch hỗ trợ port "giám sát" ("Span Port", "Port Monitoring",
"Management Port"). Với tính năng này, toàn bộ traffic của các máy tính nối vào
switch đều được giám sát. Các IDS cần 1 card mạng nối vào Port Monitor của switch.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 79
Khi dữ liệu được truyền qua switch, đồng thời switch sẽ gửi 1 bản sảo đến Port
Monitor .
Hình 74. Port Monitor
10.8 Tấn công trong mạng nội bộ
Hình 75. Tấn công nội bộ.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 80
10.8.1 Tấn công ARP Cache
Máy Hacker sẽ giả MAC địa chỉ của Victim 1, khi Victim 2 truy cập remote
desktop vào Victim 1, Hacker sẽ thu được những gói tin từ Victim 2 gửi cho Victim 1.
Khi đó IDS sẽ báo hiệu và người quản trị có nhiệm vụ đi tìm máy Hacker.
ARP spoof preprocessor giải mã những gói tin và phát hiện những cuộc tấn
công ARP. Khi được cấu hình thông số, preprocessor sẽ kiểm tra địa chỉ Ethernet và
các địa chỉ trong gói tin ARP. Khi xảy ra hiện tượng, một cảnh báo GID 112 và SID 4
được tạo ra.
Khi “unicast” được chỉ định, preprocessor sẽ kiểm tra những yêu cầu Unicast
ARP. Một cảnh báo GID 112 và SID 1 sẽ sinh ra nếu một Unicast ARP bị phát hiện.
preprocessor arpspoof[: -unicast]
preprocessor arpspoof_detect_host: ip mac
Cấu hình trong file snort.conf
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.100.2 00:0C:29:2E:2A:47
preprocessor arpspoof_detect_host: 192.168.100.3 00:0C:29:14:7B:2F
preprocessor arpspoof_detect_host: 192.168.100.21 00:0C:29:D1:BE:1E
preprocessor arpspoof_detect_host: 192.168.100.66 00:0C:29:48:20:C9
Cấu hình file log
output alert_csv: /var/log/snort/alert.csv
Chú ý: Dấu hiện nhận biết cuộc tấn công này là 1 IP phải khớp với 1 MAC,
nhiệm vụ của người quản trị là phải thu nhập IP và MAC trong hệ thống.
Máy Hacker dùng chương Cain & Abel để giả MAC của 2 máy Victim để
sniffer các thông tin từ 2 máy
Hình 76. Máy Victim 1
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 81
Hình 77. Máy Victim 2
Đồng thời lúc đó IDS sẽ cánh báo có tấn công ARP
Hình 78. Cảnh báo
Để thấy được địa chỉ MAC của Hacker ta vào file alert.csv
10.8.2 Tấn công SMB
- Dấu hiệu
Đây là dạng tấn công qua port 445 và đặt giá tri Process ID High là
"\x00\x26" , giá trị bình thường là "\x00\x00".
- Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg : "Tan cong
SMB"; content: "|00 26|"; flow:to_server,established; content:"|53 4d 42
20 32 2e 30 30 32 00|" ; sid: 1000003;)
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 82
10.8.3 Tấn công Smurf attack
- Dấu hiệu
Đây là dạng tấn công làm ngập gói tin ICMP ECHO REPLY. Sự khác biệt lớn
giữa nó với gói tin ICMP ping “thật” là ở 2 trường: icmp_id = 0x00 và sequence
number = 0x00 (gói ping thật có id và sequence number khác 0). Ngoài ra Hacker
thường tăng kích thước payload mặc định của gói tin ping (32 byte) để nhanh
chóng làm ngập mạng victim.
- Luật
alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: “Tan cong
Smurf Attack”; dsize: >32; icmp_seq:0; icmp_id:0 ; sid: 1000004; )
10.8.4 Tấn công Land attack
- Dấu hiệu
Land attack tấn công bằng cách gửi các gói tin có địa chỉ nguồn và đích giống
nhau.Bằng cách dùng từ khóa sameip trong Rule option là có thể phát hiện ra.
- Luật
alert udp any any $HOME_NET any (msg : “Land Attack”; sameip;)
10.8.5 Tấn công Dos với HTTP Post
- Dấu hiệu
Dạng tấn công này sẽ gứi hàng loạt dữ các liệu hợp lệ đến Server sẽ xử lý làm
tràn database và nghẽn hệ thống. Dùng wireshark bắt gói tin để tìm ra dầu hiệu nhận
biết cuộc tấn công này, trong đó có đoạn “48 54 54 50 2f 31 2e 31” là thường xuyên
xuất hiện.
- Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Tan cong DOS";
content:"|48 54 54 50 2f 31 2e 31 |"; flow:to_server; sid: 1000005;)
10.8.6 Một số rule cảnh báo
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Ping
cao hon 100”; dsize : > 100; sid: 1000006;)
Phát hiện gói tin ping lớn hơn 100 byte
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 83
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Tan
cong ping”; content: "|40 00|" ; sid: 1000009;)
Phát hiện tấn công ping –f
10.9 Nhận xét
Snort là một IDS dùng để theo dõi những biến cố xảy ra trên tcp/ip stack do
mình định ra. Với Snort hoặc bất cứ ứng dụng IDS nào cũng cần phải có một bộ luật,
còn gọi là các "signature". Snort có thể áp dụng ở các mô hình mạng, với chi phí thấp
Snort là lựa chọn cho nhiều công ty có quy mô vừa và nhỏ cũng như những công ty có
quy mô lớn.
Ưu Điểm Nhược Điểm
- Snort ghi nhận các luồng dữ liệu từ
trong ra ngoài hay ngược lại vào file
log do mình định ra giúp người quản
trị dễ giám sát dữ liệu.
- Do phát triển dựa vào mã nguồn mở
nên Snort hoàn toàn miễn phí.
- Người quản trị có thể tự viết luật và
kết hợp với các phần mềm và phần
cứng khác như: Cisco, Snortsam,
Swatch,.v.v..
- Tối ưu hóa tập luật, phát triển luật
tương tác với tường lửa, nâng cao
Snort hoạt động như một hê thống
phát hiện ngăn chặn IPS.
- Snort không có khả năng chống lại
các cuộc tấn công.
- Do tập luật của snort được công khai
trên mạng nên các hacker có thể tập
hợp các luật để thay đổi dấu hiệu tấn
công, từ đó có thể vượt qua giám sát
của Snort.
- Tập luật còn có nhiều khuyết điểm
nên không thể sử dụng ngay mà còn
phải chỉnh sửa.
- Không thể cập nhập tập luật theo thời
gian thực.
- IDS thường xuyên đưa ra báo động
giả ( False Positives) là gánh nặng
cho quản trị hệ thống bởi nó cần được
theo dõi liên tục.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 84
11. Xây dựng hệ thống giám sát với Forefront TMG
11.1 Tìm hiểu tổng quan Forefront TMG
Forefront TMG được ra đời dựa trên nền tảng của các tính năng nổi bật về
tường lửa của ISA 2006 và bổ sung thêm vào đó các cơ chế bảo vệ an toàn tối ưu làm
tăng thêm tính mạnh mẽ trong việc bảo đảm an ninh cho một hệ thống mạng.
11.1.1 Một số tính năng mới trong Forefront TMG:
- Web anti-malware: là một phần của dịch vụ bảo vệ Web cho Forefront TMG,
có thể quét virus, phần mềm độc hại và các mối đe dọa khác trên các trang
web.
- URL filtering: Cho phép hoặc từ chối truy cập đến các trang web dựa trên
danh mục URL chẳng hạn như những trang web đen, những trang có nội dung
không lành mạnh, đồng thời cũng bảo vệ năng suất kinh doanh bằng cách hạn
chế hoặc chặn truy cập vào các trang web được coi là phiền nhiễu năng suất.
- E-mail protection: dựa trên công nghệ tích hợp từ Forefront Bảo vệ cho
Exchange Server 2010. Forefront TMG phục vụ như là tiếp sức cho SMTP giao
thông, và quét virus, malware, spam cho e-mail .
- HTTPS: cho phép kiểm tra phiên mã hoá HTTPS để kiểm tra các phần mềm
độc hại. Nhóm cụ thể các trang web như các trang web ngân hàng, có thể được
loại trừ khỏi kiểm tra vì lý do riêng tư.
- Network Inspection System (NIS): Kiểm tra hệ thống mạng (NIS) cho phép
giao thông cần kiểm tra để khai thác lỗ hổng Microsoft. Dựa trên giao thức
phân tích, NIS có thể chặn các lớp học của các cuộc tấn công trong khi giảm
thiểu sai tích cực. Bảo vệ có thể được cập nhật khi cần thiết.
- Network Address Translation: cho phép bạn xác định cá nhân máy chủ e-
mail có thể được công bố trên cơ sở NAT “1-tới-1”.
- Voice over IP: Tăng cường hỗ trợ Voice IP trên bao gồm SIP traversal, cho
phép triển khai đơn giản của Voice over IP trong hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 85
11.1.2 Đặc điểm của Forefront TMG:
- Bảo vệ hệ thống toàn diện
- Quản lý dễ dàng
- Giám sát hệ thống hiệu quả
Chúng ta sẽ tìm hiểu các tính năng này để chứng minh xem rằng các đặc điểm
của Forefront TMG có thật sự đúng hay không. Để thuận tiện việc phân tích chúng ta
sẽ nhóm các tính năng này thành 3 nhóm chính đại điện cho 3 đặc điểm của Forefront:
- Bảo vệ hệ thống toàn diện
o Anti-virus, anti-malware
Loại bỏ các trang web một linh hoạt dựa trên địa chỉ IP, tê n Domain, các URL.
TMG sẽ kiểm soát nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc
hại, vì những sự lây nhiễm malware, virus đều có thể là nguyên nhân gây ra sự chậm
trễ trong việc truyền tải nội dung từ server đến client.
o Firewall & Web Access Policy
Cho phép kết nối từ mạng nguồn tới mạng đích trong khi đó vẫn bảo vệ khỏi
những truy cập độc hại bằng cách thiết lập những chính sách cụ thể cho phép hoặc
cấm truy cập tới mạng đích áp dụng lên từng user, từng group hoặc user.
o Server publishing
Bảo mật truy cập đến các server trong hệ thống nội bộ, tăng cường an ninh cho
việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa nhưng user không
được phép chứng thực liên lac đến máy chủ Outlook Web Access.
Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs. Tạo một
bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để
Exchange Server.
o Virtual Private Networking
Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng. Mở rộng hỗ trợ
VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu
Firewall Client cài đặt trên máy Client. Tăng cường an ninh mạng cho công ty, buộc
người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT
client.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 86
- Quản lý dễ dàng
Bao gồm các tính năng quản l ý nhằm nâng cao mức độ an ninh mạng. Export
và import dữ liệu đã được cấu hình, lưu dữ liệu đã được cấu hình thành file .xml và
sau đó bạn có thể import file này vào 1 server khác. Cung cấp các sản phẩm, chẳng
hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng
và hội nhập với TMG.
- Giám sát hệ thống hiệu quả
Giám sát việc đăng nhập xem firewall, Web Proxy, và SMTP Message
Screener logs. Giám sát và lọc session dựa trên firewall sessions, xác minh kết nối
bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL. Cấu hình
TMG báo cáo một cách tự động, có thể lưu file báo cáo này vào folder được chỉ định,
hoặc xuất báo cáo dưới dạng html xem bằng trình duyệt web.
11.2 Mô hình triển khai
Hình 79. Mô hình triển khai Forefront TMG Server
Mô hình xây dựng hệ thống tường lửa gồm 2 lớp:
- Lớp thứ nhất ngoài cùng sử dụng một tường lửa cứng là router Cisco được cấu
hình để tính tuyến vừa có tính năng ACL để lọc gói tin, thiết lập các luật hạn
chế việc truy xuất ra vào cơ bản, đồng thời cho phép mở port telnet cho người
quản trị truy xuất cũng như kết nối remote desktop từ ngoài vào trong, để tiện
cho việc quản trị hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 87
- Lớp thứ hai sử dụng Forefront TMG làm tường lửa mềm, thiết lập các chính
sách lọc, giám sát luồng giao thông và xuất các báo cáo thường nhật để luôn có
những thông tin mới nhất về hệ thống.
Với đề tài “Tìm hiểu và xây dựng phương thức giám sát, ghi nhận sự kiện”
chúng ta sẽ nghiên cứu tập trung vào các phần sau đây của trong hệ thống Forefront
TMG:
11.2.1 Thiết lập chính sách tường lửa
Cơ chế hoạt động của các bộ luật truy cập (access rule) trong chính sách tường
lửa (firewall policy) dựa trên nền tảng tương tự với Access control list trong router.
Chúng ta cần lập kế hoạch thiết lập các chính sách cấm/cho phép phù hợp với từng đối
tượng. Để xây dựng một hệ thống phòng vệ hữu hiệu nhất chúng cần phải có sự phân
tích và chiến lược cho từng bộ luật, xác định các vấn đề sau đây trước khi tạo một bộ
luật:
Who? Xác định đối tượng là ai (là gì) để áp đặt luật
Action? Với hành động thực thi là cấm hay cho phép
What?
Cấm/Cho phép sử dụng ứng dụng hay giao thức
nào?
From-To
Xác định hướng truy cập của đối tượng từ đâu đến
đâu (vd: internal external, hay ngược lai)
Mặc định sau khi cài đặt xong forefront sẽ có 1 luật mặc định (default rule) sẽ
cấm tất cả các truy xuất ra vào, đồng trình tạo chính sách truy xuất web (Web
Access Policy) sẽ tạo cho chúng ta thêm 2 luật nữa để truy xuất ra internet và chặn các
ứng dụng độc hại. chúng ta có thể bổ sung thêm các luật như cho phép phân giải giao
thứ DNS, cho phép gửi mail bằng POP3, SMTP, hoặc chỉ định cấm một trang web nào
đó.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 88
Ví dụ về một tình huống tạo một luật cho phép máy client chỉ được truy xuất
trang facebook.com vào giờ nghỉ trưa (11h – 13h), ngoài giờ này sẽ bị cấm.
Hình 80. Thiết lập các luật cơ bản cho hệ thống.
Dựa vào các câu hỏi, ta triển khai như sau:
- Xác định đối tượng (who): group KeToan
- Xác định hành động (Action): Cho phép (Allow)
- Xác định giao thức (What): HTTP, HTTPS
- Xác định hướng truy cập (From –To): từ trong ra facebook
Ngoài ra chúng ta lập thời gian biểu là “giai lao” từ 11h – 13h cho phép truy xuất
facebook.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 89
Hình 81. Máy client bị cấm truy cập facebook.
Máy client truy cập vào Facebook nhưng bị cấm đó là do thời gian truy cập đã
quá 13h (1:20 PM), hiển thị tên máy Forefront TMG (fw.test.local).
Bằng việc đặt ra những câu hỏi để xác định rõ vấn đề cho từng tình huống khác
nhau, chúng ta đã có thể thiết lập một bộ luật hoàn chỉnh cho hệ thống.
11.2.2 Phát hiện và ngăn chặn tấn công
- Hệ thống thanh tra mạng (Network Inspection System)
NIS kiểm tra lưu lượng truy cập web người dùng nội bộ và phát hiện và khoá
giao thông độc hại. NIS có thể được cập nhật các signature với MMPC (Microsoft
Malware Protection Center) ngay khi chúng được tạo ra, để bảo vệ chống lại các cuộc
tấn công và rủi ro.
NIS bảo vệ chống lại các lỗ hổng mạng, nó không bảo vệ chống lại các lỗ hổng
bảo mật tập tin, chẳng hạn như virus, phần mềm độc hại. NIS có thể cập nhật và cài
đặt tự động của tập chữ ký mới nhất được kích hoạt.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 90
- Hệ thống phát hiện xâm nhập
Trong TMG ,hệ thống phát hiện xâm nhập (Behavioral Instruction Detection)
vẫn hoạt động dựa trên ba cơ chế:
o Những tấn công thường gặp
Những tấn công thường gặp là Ping of Death, bomb UDP hay quét IP một nửa.
Những cơ cấu bảo vệ này không mới, nhưng đây là những cài đặt nên có cơ bản cho
phần lớn các server TMG.
Hình 82. Các chức năng bảo vệ trong IDS.
Mặc định, Forefront TMG log tất cả các gói đã rớt để được thông báo khi có
một xâm phạm cố gắng kết nối đến tường lửa.Forefront TMG cho phép cấu hình
tường lửa để lọc các traffic DNS với DNS-Filter tích hợp.
Đồng thời TMG bảo vệ khỏi overflow host name DNS, overflow length DNS
và nếu cần nó lọc khu vực truyền dữ liệu DNS. Nếu bạn kích hoạt mục khu vực truyền
dữ liệu DNS, TMG sẽ từ chối khu vực DNS có thể thông qua tường lửa.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 91
Hình 83. Lọc tấn công DNS
Trong Common Attacks, bật thêm tính năng port scan, sau đó dủng máy bên
ngoài internet sử dụng công cụ SupeerScan 4 quét cổng bên máy TMG để kiểm chúng
hoạt động của IDS. Khi máy tấn công đang quét cổng, trong mode Monitoring, tab
Alert ghi nhận cảnh báo một cuộc tấn công quét cổng từ địa chỉ IP 192.168.1.4
Hình 84. Xuất hiện cảnh báo quét cổng.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 92
o IP Options
Giao thức TCP/IP xác định một vài mục IP có thể dùng cho những mục đích
khác nhau trong IP network. Forefront TMG có khả năng khoá một số mục IP bởi
ngày nay không phải tất cả các mục IP đều được sử dụng trong mạng IP và một số
mục IP có thể dùng để xâm nhập network. Mặc định, TMG từ chối một số mục IP
(như hình dưới) và có thể từ chối các mục IP mà ta không muốn dùng.
Hình 85. Bật tính năng IP Option.
o IP Fragments
Phân mảnh IP được dùng để chia rời các gói nếu chúng lớn hơn kích thước tối
đa mặc định. Cài đặt này được tắt mặc định và phải cẩn thận khi bật nó lên vì nó có
thể phá vỡ kết nối và một số kết nối chẳng hạn như khi các kết nối VPN dựa trên
IPsec, L2TP sử dụng những gói tin kết nối có dung lượng lớn hơn mặc định sẽ bị khoá
ngay.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 93
11.2.3 Giám sát luồng giao thông
- Phân tích, ghi nhận sự kiện các luồng giao thông (loggings)
Để theo dõi được những ghi nhận trong quá trình truy xuất từ trong ra ngoài
hay từ ngoài vào trong một cách cụ thể bằng cách khởi động truy vấn (Start Query)
trong tab Loggings.
Ví dụ: chúng ta dùng máy DC (172.16.15.2) truy cập trang facebook.com để
xem hoạt động của loggings.
Hình 86. Ghi nhận chi tiết về việc truy cập facebook.
Loggings ghi nhận cụ thể và chi tiết thông tin của các đối tượng cụ thể là:
o Thời gian: được hiển thị chi thiết ngày/tháng năm và từng giờ, phút,
giây.
o Địa chỉ nguồn / đích: 172.16.15.2 đang truy vấn đến địa chỉ 172.16.15.1
(card mạng lan) để biết đường ra internet (facebook.com). Sau đó, địa
chỉ 172.16.15.1 sẽ dùng địa chỉ 192.168.1.3(card mạng ngoài) truy vấn
ra ngoài bằng default gateway 192.168.1.1.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 94
o Port / Protocol: Để ra được facebook, tất yếu là phải bằng port 80, giao
thức HTTP và port 53, giao thức DNS để phân giải tên miền.
o Hành động: Kết nối được cho phép.
o Luật thực thi: luật đã tạo “allow all” cho phép kết nối nào rat rang
facebook.
o Mạng nguồn/đích: truy xuất này đi từ trong nội bô (internal) ra bên
ngoài internet (External)
o URL: tên miền truy xuất là
Hình 87. Ghi nhận chi tiết về việc truy cập facebook.
o Tên máy trạm: là FW chịu trách nhiệm giám sát luồng truy cập.
o Loại tên miền: Forefront tự động dò tìm thể loại của tên miền truy vấn
của facebook là thuộc loại Blog/Wiki.
o Địa chỉ NAT: ghi nhận địa chỉ 192.168.1.3.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 95
Một ví dụ tiếp theo, chung ta sử dụng SuperScan 4 và Zenmap để scan port.
Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công.
Điều đầu tiên, sự khác biệt chính đó là các thông tin ghi nhận hiển thị bằng
màu đỏ, có nghĩa là các kết nối này đã bị cấm. Máy bên ngoài Internet 192.168.1.6 sử
dụng SuperScan 4 để quét cổng đã bị Forefront cấm bằng luật “Default rule”.
Nhưng có vẻ như SuperScan 4 dùng để quét cổng vẫn còn khá “hiền”. Vì vậy
tiếp theo, chúng ta sử dụng Zenmap để quét trên tất cả các cổng.
Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh.
Dường như, Forefront đã gặp một chút khó khăn trong việc lọc các gói tin vì
Zenmap đạ quét trên tất cả các cổng TCP, tốc độ các gói tin đi vào quá nhanh để có
thể xử lý, nhưng nhìn chung vẫn khó lọt qua tầm kiểm soát của Forefront.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 96
11.2.4 Theo dõi tổng quan và hiệu suất hệ thống
Hình 90.Bảng Dashboard
Đây cũng chính là một trong những tính năng mới, khá hữu dụng trong Forefront. Với
Dashboard, cung cấp cho chúng ta tổng hợp những mục như:
- Alerts: Ghi nhận những cảnh báo tấn công, hay gặp sự cố.
- Session: Ghi nhận phiên làm việc của firewall.
- Protection Technology: Hiển thị những tính năng bảo vệ cho hệ thống.
- Services: Hiển thị những dịch vụ dang sử dụng trong hệ thống.
- System Performance: Cập nhật hiệu năng của CPU và RAM.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 97
11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống
Với báo cáo Forefront TMG, có thể tạo một hồ sơ thường nhật của các mô hình
sử dụng thông thường, và có thể tóm tắt, phân tích thông tin đăng nhập. Ví dụ, ta có
thể xác định:
o Ai là người truy cập vào các trang web, và các trang web được truy cập.
Mà các giao thức và các ứng dụng đang được sử dụng thường xuyên
nhất.
o Tổng lưu lượng truy cập các mẫu.
o Hoạt động của Malware.
o Lọc URL.
o Mạng lưới hoạt động thanh tra.
Có hai loại báo cáo:
- Báo cáo theo một khoàng thời gian xác định . Những báo cáo cung cấp một cái
nhìn cụ thể, chi tiết của các hoạt động được ghi lại bởi Forefront TMG qua bất
kỳ khoảng thời gian chỉ định.
- Báo cáo công việc định kỳ. Ta có thể lập lịch trình các báo cáo tự động trên
một cơ sở hàng ngày, hàng tuần, hoặc hàng tháng. Các khoảng thời gian có sẵn
cho các báo cáo này có nhiều cấu trúc hơn so với báo cáo theokhoảng thời gian.
Chúng ta tạo báo cáo theo một khoảng thời gian từ 1/6 tới 6/6 để có thể nắm
bắt thông tin toàn diện về hệ thống.
Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 98
Chọn mục “Generate View Selected Report” để xuất báo cáo theo dạng HTML.
Hình 92. Xuất báo cáo dưới dạng HTML.
Tiến hành duyệt mục tổng hợp để theo dõi các báo cáo trọng tâm, vì trong mục
tổng hợp hiển thị những hạng mục báo cáo tiêu biểu của các phần báo cáo, gồm:
Hình 93. Thống kê các giao thức sử dụng
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 99
Hình 94. Thống kê người dùng truy cập.
Hình 95. Thống kê các trang web truy xuất.
Hình 96. Thống kê luồng giao thông ra vào hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 100
Hình 97. Thống kê tổng quát.
11.3 Nhận xét
Với một giao diện dễ nhìn, thân thiện với người dùng, cùng các công cụ thiết lập và
quản lý đơn giản mà hiệu quả, không yêu cầu một trình độ chuyên môn quá cao để cấu
hình. Forefront TMG đã đáp ứng được các điều kiện cần và đủ cho một công cụ tường
lửa thực thụ.
Ngoài các tính năng của một tường lửa mềm, điểm nổi bật của Forefront TMG là xuất
những báo cáo thật chi tiết và cụ thể, phân tích các luồng giao thông, ghi nhận các
giao thông ra vào mạng, hiển thị trạng thái, hiệu suất làm việc của hệ thống phần cứng
là CPU và bộ nhớ RAM.
Tuy nhiên nhược điểm lớn nhất của Forefront TMG là ngoài chi phí chi trả bản quyền,
yêu cầu hệ thống phần cứng cao chẳng hạn như yêu cầu phải được cài đặt trên
Window Server 2008 R2 x64 và RAM tối thiểu phải trên 1GB. hệ thống tường lửa
mềm này bó buộc người dùng trong các bộ tính năng riêng của chúng, đồng thời khó
tích hợp với các hệ thống tường lửa khác.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 101
KẾT LUẬN
Audit (Event viewer), Snort, Forefront TMG, cả ba cùng là những chương trình lập
luật và theo dõi, giám sát hệ thống. Nếu hệ thống thiết lập chính sách Audit và giám
sát bằng Event viewer hoạt động hiệu quả trên domain và giám sát những hành vi cả
các máy tính, các user được quản lý tập trung trong một domain; Cũng giống như
audit là lập luật cho hệ thống nhưng Snort và Forefront TMG hoạt động hiệu quả
trong việc giám sát và phân tích luồng thông tin chi tiết, nhưng luôn có những sự khác
biệt giữa chúng.
FOREFRONT TMG SNORT
Ưu Điểm
- Cung cấp một giao diện
thân thiện với người dùng.
- Trình quản lý các bộ luật rất
gọn gàng, linh hoạt.
- Xuất các báo cáo đa dạng,
chi tiết.
- Tăng cường những tính
năng cải tiến từ ISA và các
tính năng hoàn toàn mới
như NIS.
- Sự đơn giản trong giao diện.
- Không yêu cầu phần cứng
cao.
- Sử dụng trên nền mã nguồn
mở (Unix) nên sẽ không phải
trả tiền bản quyền.
- Có khả năng mở rộng trong
việc tuỳ biến thiết lập luật
quản trị và tích hợp với
những hệ thống khác
Nhược
Điểm
- Yêu cầu phần cứng cao.
- Phải chi trả phí bản quyền.
- Giới hạn những người quản
trị trong việc xây dựng các
bộ luật.
- Không thế tích hợp với các
hệ thống khác.
- Trình quản lý các luật đã
thiết lập rất khó khăn.
- Yêu cầu người quản trị phải
có tầm kiến thức cao
- Đòi hỏi phải có chiến lược
kỹ lưỡng trước khi lập luật.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 102
PHỤ LỤC SNORT
Hình 98. Mô hình thử nghiệm Snort
1. Cài đặt Snort trên nền CentOS 5.4
a. Các gói cài đặt
Để Snort hoạt động tốt, ta cài các gói hỗ trợ
Web server cần các gói: php, php-gd, php-mysql, httpd, php-pear,
mod_ssl (cung cấp cho HTTP và HTTPS và mật mã cho Apache) , gd
(thư viện gd hỗ trợ php) .
MySQL Database cần các gói: mysql, mysql-server, mysql-devel,
php-mysql, mysql-bench.
Mở rộng chức năng yum: yum-utils.
Hỗ trợ trình biên dịch C và C++ : gcc, gcc-c++.
Và các gói: pcre-devel, distcache-devel, glib2-devel, libpcap-devel.
Cài đặt có 2 cách:
1. Cài từng gói
#yum install mysql
2. Cài tất cả các gói một lần (mỗi gói cách nhau một khoảng trắng)
#yum install mysql mysql-devel mysql-bench mysql-server
Cài thêm các gói phát triển:
#yum groupinstall “Development Tools”
#yum groupinstall “Development Libraries”
#yum groupinstall “MySQL Database”
b. Cài đặt Snort
Tải các gói
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 103
Gói cài đặt Địa chỉ down Mô tả
snort-2.8.6.tar.gz
ds
Phần mềm cài
snort
snortrules-snapshot-
2.8.tar.gz
ds
Các rules của
snort
Đưa cái gói vào thư mục soft trên Desktop của CentOS. Ta có đường
dẫn root/Desktop/soft. Dùng lệnh giải nén: tar –zxvf đối với file tar.gz
[root@localhost ~]# cd Desktop/soft/
[root@localhost soft]# tar -zxvf snort-2.8.6.tar.gz
Sau khi giải nén sau ta vào thư mục snort-2.8.6, chạy lệnh
# ./configure --with-mysql --enable-dynamicplugin
Lệnh ./configure --with-mysql --enable-dynamicplugin dùng để kiểm tra
các gói phụ thuộc có cài đủ chưa, nếu sau cùng mà ko còn lỗi thì mới
chạy được lệnh make.
# make && make install
Lệnh “make” đề tiến hành biên dịch Snort sang dạng thực thi nhưng các
file thực thi vẫn còn nằm trên thư mục hiện hành.
Lệnh “make install” để chép các file thực thi đó sang đúng vị trí của nó
trên hệ thống. Nếu như không có thông báo lỗi gì xảy ra thì đã hòan tất
việc cài đặt gói lên hệ thống.
Cài đặt thành công, dùng lệnh snort –V sẽ thấy phiên bản snort được cài.
Hình 99. Cài đặt thành công
c. Cấu hình thư mục cho Snort
Tạo thư mục lưu trữ file cấu hình và các rules
# mkdir /etc/snort
# mkdir /etc/snort/rules
Tạo thư mục lưu trư các file log
# mkdir /var/log/snort
Vào thư mục /etc bên trong source của snort-2.8.6
[root@localhost snort-2.8.6]# cd /etc/
[root@localhost etc]#
Chép các file cấu hình vào thư mục /etc/snort
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 104
# cp * /etc/snort
Tạo group snort và user snort
# groupadd snort
# useradd -g snort snort -s /sbin/nologin
Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứ file log
# chown snort:snort /var/log/snort/
d. Cấu hình các thông số của Snort
File cấu hình /etc/snort/snort.conf
# gedit /etc/snort/snort.conf
Sửa các dòng và save lại
25, khai báo lớp mạng bên trong
var HOME_NET 192.168.1.0/24
28, khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào
var EXTERNAL_NET any
60, khai báo vị trí các rules, do rules đặt ở /etc/snort/rules
var RULE_PATH /etc/snort/rules
270, cho phép ghi những thông điệp log vào CSDL của MySQL
output database: log, mysql, user=snort password=123 test
dbname=snort host=localhost
Ý nghĩa của dòng trên là: tên CSDL là snort và MySQL server đang
chạy ở localhost. Tài khoản sử dụng CSDL là snort, mật khẩu là
123.
e. Cài đặt rule cho Snort
Giải nén snortrules-snapshot-2.8.tar.gz
[root@localhost soft]# tar -zxvf snortrules-snapshot-2.8.tar.gz
[root@localhost soft]# cd rules
Copy tất cả rules vào thư mục /etc/snort/rules
[root@localhost rules]# cp * /etc/snort/rules
f. Cấu hình khởi động snort như 1 dịch vụ hệ thống
Tạo một liên kết mềm (symbolic link) của file snort binary đến
/usr/sbin/snort, tập tin snort binary nằm ở đường dẫn /usr/local/bin/snort
# ln -s /usr/local/bin/snort /usr/sbin/snort
Snort cung cấp các scrip để khởi động trong thư mục rpm/ trong thư
mục giải nén snort-2.8.6
[root@localhost soft]# cd snort-2.8.6
[root@localhost snort-2.8.6]# cd rpm
[root@localhost rpm]# cp snortd /etc/init.d
[root@localhost rpm]# cp snort.sysconfig /etc/sysconfig/snort
Set quyền lại cho file snortd
# chmod 755 /etc/init.d/snortd
Cấu hình Snort auto start
# chkconfig snortd on
Khởi động Snort
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 105
# service snortd start
Hình 100. service snortd start
Để khởi động snort ở chế độ debug nếu muốn kiểm tra lỗi dùng lệnh
# snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0
Nếu có lỗi xảy ra thì Snort sẽ tự động thoát và thông báo lỗi. Nếu vận
hành tốt sẽ có dòng “Not Using PCAP_FRAMES”, đây chỉ là một thông
điệp báo rằng Snort không đọc từ một file PCAP chứ không phải lỗi. Để
thoát ấn CTRL + C.
Hình 101. Not Using PCAP_FRAMES
g. Tạo CSDL Snort với MySQL
Khởi động dịch vụ MySQL
# service mysqld start
Set password cho root trong MySQL
# mysqladmin -u root password p@ss
Để đổi mật khẩu ta có thể dùng
# mysqladmin -u root –p password
Kết nối đến MySQL server và nhập pass
# mysql –p
Tạo password cho tài khỏan snort
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 106
Chú ý phải đặt pass trùng với tài khoản snort đã khai báo tại
/etc/snort/snort.conf
Tạo CSDL cho snort
Tạo các bảng: vào thư mục schames mà bạn giải nén snort snort-2.8.6
[root@localhost ~]# cd Desktop/soft/snort-2.8.6/schemas/
[root@localhost schemas]# mysql -u root -p < create_mysql snort
Kiểm tra tạo bảng thành công hay không
mysql –p
mysql> show databases;
mysql> use snort;
mysql> show tables;
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 107
h. Cài đặt và cấu hình BASE (Basic Analysis and Security Engine)
Cần cài thêm vài gói pear cho PHP
# pear install PEAR
# pear install --force PEAR
# pear install Image_Graph-alpha Image_Canvas-alpha Image_Color
Numbers_Roman
Dùng lệnh để xem các gói đã cài
# pear list
Tải các gói
Gói cài đặt Địa chỉ down Mô tả
adodb508a.tgz
files/
Phần
mềm cài
ADOBE
base-1.4.4.tar.gz
deas/files/
Phần
mềm cài
BASE
Cài đặt ADODB
# cp adodb508a.tgz /var/www/html/
# cd /var/www/html/
# tar -zxvf adodb508a.tgz
Cài đặt BASE
# cp base-1.4.4.tar.gz /var/www/html/
# cd /var/www/html/
# tar -zxvf base-1.4.4.tar.gz
# mv base-1.4.4/ base/
# cd base
# cp base_conf.php.dist base_conf.php
# gedit base_conf.php
Sửa các dòng và save lại
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 108
57, đường dẫn vào mục BASE
$BASE_urlpath = '/base';
79, đường dẫn vào mục adodb
$DBlib_path = '/var/www/html/adodb5';
101, khai báo tên CSDL của Snort
$alert_dbname = 'snort';
105, khao báo password
$alert_password = '123';
108, sửa lại thành 1 (có lưu trữ DB)
$archive_exists = 1;
109, khai báo tên lưu trữ
$archive_dbname = 'snort';
113, khai báo password
$archive_password = '123';
i. Kiểm tra
Cần phải bảo đảm các dịch vụ snortd, httpd và mysqld đều ở trạng thái
start OK
Gõ lệnh: snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0
Tại máy snort server mở firefox truy cập Snort: ,
chọn Setup page
Hình 102. Setup page
Chọn Create BASE AG
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 109
Hình 103. Create BASE
Tạo BASE thành công
Hình 104. BASE thành công
Giao diện quản lí BASE
Hình 105. Giao diện BASE
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 110
BASE có hỗ trợ các trang tìm kiếm ip như:
Hình 106. Trang web tìm kiếm
Ví dụ với trang ta có thể biết chính xác ip
này ở đâu
Hình 107. Thông tin IP
Để theo dõi thời gian thực file log ta gõ lệnh : tail –f /var/log/snort/alert
, lệnh tail dùng để xem liên tục alert, có cái gì phát sinh là hiện ra.
Hình 108. lệnh tail –f
Đọc file log –r
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 111
#snort -dv -r /var/log/snort/snort.log.1077725466
Đọc file log và chỉ show các traffic có dạng TCP
#snort -dv -r /var/log/snort/snort.log.107657944 tcp
Quay lại với terminal: snort –c /etc/snort/snort.conf –l /var/log/snort –i
eth0, ta ấn thoát sẽ được như bảng ở dưới. Khi dừng chế độ sniffer,
Snort sẽ tạo ra một bảng tóm tắt các gói tin được bắt giữ, bao gồm các
giao thức, thống kê phân mảnh và tái hợp gói tin.
Hình 109. Bảng tóm tắt các gói tin được bắt giữ
2. Cài đặt Snort trên nền Window
Với mô hình Lab trên tiến hành cài snort trên Window Server 2008
a. Các gói cài đặt
Gói cài đặt Địa chỉ down Mô tả
Snort_2_8_6_Installer.e
xe
loads
Phần mềm
cài snort
snortrules-snapshot-
2.8.tar.gz
loads
Các rules
của snort
WinPcap_4_1_1.exe
stall/default.htm
Phần mềm
cài WinPcap
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 112
Cài WinPcap trước rồi mới cài snort_2_8_6
Tiến hành cài Snort_2_8_6_Installer.exe
Installation Options có các cơ chế lưu trữ file log theo cơ sở dữ liệu
Microsoft SQL server hay Oracle. Do chỉ lưu trữ log trong Event Log
nên sẽ chọn đầu tiên.
Hình 110. Installation Options
Các bước tiếp theo cài như mặc định
b. Cấu hình các thông số của Snort
File cấu hình C:/Snort/etc/snort.conf
Sửa các dòng và save lại
Khai báo lớp mạng bên trong
var HOME_NET 192.168.1.0/24
Khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào
var EXTERNAL_NET any
Khai báo vị trí các rules,
var RULE_PATH c:\snort\rules
Khai báo các biến include classification.config và reference.config
include C:Snort\etc\classification.config
include C:Snort\etc\reference.config
Khai báo đường dẫn đến thư viện dynamic preprocessor
C:\Snort\lib\snort_dynamicpreprocessor
Khai báo đường dẫn đến base preprocessor engine
C:\Snort\lib\snort_dynamicengine\sf_engine.dll
Xuất ra file log
# output log_tcpdump: tcpdump.log
output alert_fast: alerts.ids
c. Cài đặt rules cho Snort
Giải nén snortrules-snapshot-2.8.tar.gz, copy rules vào thư mục C:\Snort
d. Chạy thử Snort
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 113
cd C:\Snort\bin
c:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log
Nếu gặp lỗi như ở dưới thì xóa file sf_sdf.dll từ
C:\Snort\lib\snort_dynamicpreprocessor
ERROR: Failed to initialize dynamic preprocessor: SF_SDF (IPV6)
version 1.1.1
Fatal Error, Quitting..
Cài đặt thành công Snort
Hình 111. Not Using PCAP_FRAMES trên Win
3. Từ khóa
i. Từ khóa thông dụng
Từ khóa msg
msg: “noi dung”
Hiển thị thông báo trong alert và file log.
Từ khóa gid
gid: ;
Tạo gid cho rule. Từ khóa gid được dùng để xác định những gì của Snort
tạo ra những sự kiện khi có báo động. Ví dụ gid 1 là liên kết với các hệ
thống phụ gids và hơn 100 được thiết kế cho preprocessors cụ thể và bộ giải
mã. Tùy chọn này nên được sử dụng cùng với sid, để tránh việc đụng độ giá
trị với những thành phần khác, ta nên đặt gid lớn hơn 1.000.000.Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; gid:1000001; sid:1;
rev:1;)
Từ khóa sid
sid: ;
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 114
Tạo sid cho rule. Từ khóa sid được sử dụng để nhận diện ra quy tắc Snort.
thông tin này cho phép output plugin xác định quy tắc dễ dàng. Tùy chọn
này nên được sử dụng với từ khoá rev.
Chú ý:
• <100 Dành cho các sử dụng trong tương lai
• 100-1.000.000 Những rule có trong bản phân phối Snort
•> 1.000.000 Được sử dụng cho các rule cục bộ
Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)
Từ khóa rev
rev: ;
Từ khóa rev được sử dụng để nhận diện phiên bản sửa đổi các quy tắc của
Snort. Nếu cập nhật rule, từ khóa rev có thể sử dụng để phân biệt các phiên
bản. Tùy chọn này nên được sử dụng với từ khoá sid. Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)
Từ khóa priority
priority: ;
Từ khóa này chỉ định một mức độ nghiêm trọng của rule.Ví dụ:
alert TCP any any -> any 80 (content:"php.image"; msg:"phat hien web-
virus"; priority:10;)
ii. Từ khóa tác động đến payload
Từ khóa content
content: [!] "";
Từ khóa này tìm mẫu dữ liệu bên trong gói. Mãu này có thể hiện thị ở dạng
chuỗi ASCII hay nhị phân trong hình thức mã hexa. Ví dụ luật sau đây phát
hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát từ địa chỉ
192.168.1.0. từ khóa GET thường được sử dụng cho nhiều loại tấn công
HTTP:
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any
(content: “GET”; msg: “phat hien GET”;)
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 115
Rule dưới đây cũng tương tự nhưng nó liệt kê ở dạng hexa:
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any
(content: “|47 45 54|”; msg: “phat hien GET”;)
Mã hexa của 47= G, 45 = E, 54 = T. Ký tự hexa nằm trong cặp dấu “||”.
Ký hiệu “!” nghĩa là loại trừ, như ví dụ dưới thì phần nội dụng sẽ không
chứa “GET”.
alert tcp any any -> any 80 (content:!"GET";)
Từ khóa content có thể dùng chug với các từ khóa: depth, nocase,
offset,.v.v..
Từ khóa offset
offset: ;
Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu
của phần dữ liệu của gói. Dùng một con số làm đối số cho từ khóa này. Ví
dụ sau sẽ bắt đầu tìm từ “HTTP” bắt đầu từ byte thứ 5 trong gói.
alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset:
5; msg: "phat hien HTTP ";)
Từ khóa depth
depth: ;
Từ khóa depth chỉ định một giới hạn dưới cho việc lấy mẫu. Từ khóa cho
phép chỉ định một khoẳng bắt đầu từ byte đầu tiên của gói. Dữ liệu sau
khoảng này không lấy mẫu nữa. Nếu kết hợp offset và depth cùng với
content, có thể chỉ ra vùng dữ liệu mà ta muốn lấy mẫu. Ví dụ muốn tìm từ
“HTTP”, bắt đầu từ byte thứ 5 và tìm kiếm tối đa đến byte thứ 20:
alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset:
5; depth: 20; msg: "phat hien HTTP";)
Từ khóa nocase
nocase;
Từ khóa nocase không có đối số. Nocase giúp tìm mẫu trong dữ liệu không
phân biệt chữ hoa và chữ thường. Ví dụ:
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 116
alert tcp any any -> any 21 (content:"USER root"; msg:"FTP
ROOT"; nocase;)
Từ khóa within
within: ;
Từ khóa within để chắc rằng N bytes thì nằm giữa sự so sánh mẫu.
Ví dụ dưới đây khi truy cập vào trang web có 14 byte thì sẽ báo alert , còn
vượt quá 14 byte thì không báo:
alert tcp any any -> any 80 (content:"www"; content: "com";
msg: "test within "; within:14; sid: 10000003;)
iii. Từ khóa tác động đến phần không payload
Từ khóa flow
flow:[(established|stateless)]
[,(to_client|to_server|from_client|from_server)]
[,(no_stream|only_stream)];
Từ khóa flow dùng để áp dụng một rule trên những TCP đến những gói
trong phương hướng riêng. Từ khóa này dùng để xác định phương hướng.
Từ khóa chỉ cho phép rule áp dụng đến client hoặc server. Ý nghĩa các từ
khóa
Lựa chọn Mô tả
to_client Đáp ứng đến client
to_server Đáp ứng đến server
from_client Yêu cầu từ client
from_server Yếu cầu từ server
established Áp dụng rule để xác lập những phiên TCP
stateless Áp dụng rule không cần xem trạng thái của phiên TCP
no_stream Bật những rule để áp dụng vào gói tin mà không cần xây dựng
từ một luồng
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 117
only_stream Áp dụng rule chỉ trên những gói đã xây dựng từ một luồng
Ví dụ:
alert tcp !$HOME_NET any -> $HOME_NET 21 (content:"CWD
incoming"; msg:"phat hien cd "; flow:from_client; nocase;)
Từ khóa ttl
ttl:[[-]>;
Từ khóa ttl được dùng để phát hiện giá trị Time To Live của IP header. Từ
khóa có thể sử dụng với tất cả loại giao thức xây dựng trên giao thức IP,
bao gồm ICMP,UDP và TCP. Ví dụ:
ttl: <7;
Từ khóa fragbits
fragbits:[+*!];
Tiêu đề IP header chứa 3 cờ bit, dùng để phân mảnh và tái hợp IP. Từ khóa
fragbits dùng để kiểm tra những bit phân mảnh và tái hợp được bật lên
trong IP header. Có các chức năng sau:
M - More Fragments – Bit có nhiều phân mảnh
D - Don’t Fragments – Bit không phân mảnh
R - Reserved Bit – Bit dành riêng cho tương lai
Những hiệu chỉnh sau có thể bật để thay đổi điều kiện so trùng:
“+” so trùng những bit cụ thể, gắn thêm bit cờ với những bit khác
“*” so trùng nếu những bit cụ thể được bật lên
“!” so trùng nếu những bit cụ thể không được bật lên
Ví dụ cảnh báo khi cả hai bit More Fragments và Reserved Bit được bật lên:
fragbits:MR+ ;
Từ khóa dsize
dsize: [][];
Từ khóa dsize dùng để kiểm tra những gói tin có kích thước bất thường.
Ví dụ tìm kiếm những gói tin có kích thước giữa 100 và 200 bytes:
dsize: 100 400;
Từ khóa id
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 118
id:;
Từ khóa id dùng để so sánh trường ID phân mảnh. Mục đích là phát hiện ra
tấn công mà cò dùng ID cố định trong IP header.
Từ khóa flags
flags:[!|*|+][,];
Từ khóa flags dùng đề tìm ra cờ bit được bật trong TCP. Cờ bit này được sử
dụng cho nhiều công cụ bảo mật. Những cờ bit:
F - FIN (LSB in TCP Flags byte)
S - SYN
R - RST
P - PSH
A - ACK
U - URG
1 - Reserved bit 1 (MSB in TCP Flags byte)
2 - Reserved bit 2
0 - No TCP Flags Set
Ví dụ:
alert tcp any any -> $HOME_NET any (flags:RP; msg: “phat
hien RST-PSH”;)
Từ khóa ack
ack: ;
Từ khóa ack kiểm tra một TCP acknowledge number.
Từ khóa seq
seq:;
Tứ khóa seq kiểm tra sequence number của TCP.
Tứ khóa icmp_id
icmp_id:;
Từ khóa dùng để kiểm tra một giá trị ICMP ID cụ thể.
Từ khóa icmp_seq
icmp_seq:;
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 119
Từ khòa dùng để kiểm tra một giá trị ICMP sequence cụ thể.
4. Các thông số hiệu năng được đưa ra:
Packets received Gói nhận được
Packets dropped Gói bị bỏ
Percentage of packets
dropped
Phần trăm các gói bỏ
Kpackets per second Kpackets / giây
Average bytes per packets Byte trung bình / gói
Mbits per second (wire) Mbits / giây
Mbits per second (rebuilt) Mbits trung bình Snort nhúng vào sau khi rebuilt các
packet / giây
Mbits per second (total) Mbit / giây ( tổng cộng)
Pattern-matching percent Phần trăm dữ liệu trung bình của nhận quá trình Snort
trong mô hình kết hợp
CPU usage Sử dụng CPU: user time, system time, idle time
Alerts per second Cảnh báo / giây
SYN packets per second Gói SYN / giây
SYN/ACK packet per second Gói (SYN/ACK) / giây
New sessions per second Phiên mới / giây
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 120
Deleted sessions per second Xóa phiên / giây
Total sessions Tổng cộng phiên
Max sessions during time
interval
Phiên cực đại trong thời gian
Stream flushes per second Stream tràn / giây
Stream faults per second Stream lỗi / giây
Stream timeouts Stream thời gian chờ
Frag completes per second Frag hoàn thành / giây
Frag inserts per second Frag thêm / giây
Frag deletes per second Frag xóa / giây
Frag flushes per second Frag tràn / giây
Frag timeouts Frag thời gian chờ
Frag faults Frag lỗi
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 121
PHỤ LỤC FOREFRONT
Cài đặt ForeFront TMG 2010
Các yêu cầu trước khi cài đặt Forefront:
- Máy Forefront TGM chỉ là domain member, phải join domain trước khi cài đặt
- Cài đặt trên nền Window Server Ent 2008 Service Pack 2
Start \ Run \ winver để kiểm tra, nếu là SP1 thì download bản hotfix SP2 cài
vào:
4972-a0d7-b1a6fedf51a7&displaylang=en
- Lưu ý: Đối với việc cài đặt trên máy ảo
Để cài được Window Server Ent 2008 x64 thì phải bật chức năng
Virtualization trong Bios \ Advances, vì chức năng này mặc định luôn ở trạng
thái tắt, nếu chưa bật sẽ báo lỗi CPU không tương thích với 64 bit
Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 122
- Cài đặt các Roles và Features:
- Tải Forefront TGM 2010 :
us/evalcenter/ee423778.aspx
- Chạy file vừa tải về, đến giao diện cài đặt forefront, chọn Run Prepairation
Tool để kiểm tra .Net Framework 3.5, Installer 4.5, Windows Update và
Window Web Services API, nếu còn thiếu cái nào nó sẽ tự động tải về và cài
đặt .
- Một số trường hợp chạy Prepairation Tool sẽ bị báo lỗi là do phiên bản hệ điều
hành không phải là SP2, vì vậy việc cài đặt SP2 cho Winserver 2008 là rất
quan trọng.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 123
Hình 113. Báo lỗi cài Prepairation tool
Sau khi giai đoạn chạy Prepairation Tool hoàn thành, chúng ta có thể cài đặt Forefront
TMG bình thường.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 124
TÀI LIỆU THAM KHẢO
[1] Marianne Swanson & Barbara Guttman, “Generally Accepted Principles and
Practices for Securing Information Technology Systems”, 1996.
[2] Jack J. Champlain & John Wiley & Sons, “Auditing Information Systems, Second
Edition”, 2003.
[3] ITSEAG, “Secure Your Information: Information Security Principles for
Enterprise Architecture”, Jun 2007.
[4] HANNERÍ BOTHA AND J.A. BOON, “The Information Audit: Principles and
Guidelines”, 2003.
[5] Brian Morgan & Neil Lovering, “CCNP Implementing Secure Converged Wide
Area Networks”, 2008.
[6] Jie Wang, “Computer Network Security”, June 2008.
[7] “SnortTM Users Manual 2.8.4”, April 21, 2009.
[8] Andrew R. Baker, Brian Caswell, Mike Poor, “Syngress - Snort 2.1 Intrusion
Detection_ Second Edition”, May 2004.
[9] Jesse Varsalone, “Microsoft Forefront Security Administration Guide”, 2009.
[10] “Securing Networks with Cisco Routers and Switches” – 2007.
[11] Các diễn dàn Tin học.
Các file đính kèm theo tài liệu này:
- 07_xdptgxhethong_4287.pdf