Tìm hiểu ids và triển khai hệ thống phát hiện xâm nhập trên mạng cục bộ

nh 1 trong phần 6 Hình 10 : Quản lý BASE : Hình 2 trong phần 6 Hình 11 : Sản phẩm demo - Hình 1 trong phần 5 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 6 - CÁC THUẬT NGỮ VIẾT TẮT  IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập  NIDS: Network Intrusion Detection System.  HIDS: Host Intrusion Detection System.  DIDS: Distributed Intrusion Detection System.  ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên cùng khái niệm với ActiveX Data Objects của Microsoft.  DdoS – Distribute Denial of Service. Từ chối dịch vụ phân tán.  LAN – Local Area Network: mạng máy tính cục bộ.  Sensor: Bộ phần cảm biến của IDS.  Alert: Cảnh báo trong IDS.  TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận.  Slow Scan: là tiến trình “quét chậm”.  SSL – Secure Sockets Layer.  SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật.  IPSec: IP Security.  DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngoài của một tổ chức.  CPU : Central Processing Unit- Đơn vị xử lý trung tâm.  UNIX: Unix hay UNIX là một hệ điều hành máy tính.  Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy cập từ xa.  Protocol: Giao thức  Payload: Độ tải của một gói tin trên mạng.  Attacker: Kẻ tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 7 -  ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối xứng.  WLAN: Wireless Local Area – mạng cục bộ không dây.  Iptables : Hệ thống tường lửa trong linux.  ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích dữ liệu cho hệ thống phát hiện xâm nhập  BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin  Software: Phần mềm  OS : Operating System : hệ điều hành  OSI : Open Systems Interconnection : mô hình 7 tầng OSI Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 8 - LỜI GIỚI THIỆU  Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều thiếu sót. Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô. Chúng em xin chân thành cảm ơn. Các sinh viên thực hiện : 1. Huỳnh Tiến Phát : Số điện thoại : 0986.440.748 Email: phathuynh@daihoc.com.vn 2. Trần Quang Lâm : Số điện thoại : 0984.055.050 Email: lamtran@daihoc.com.vn Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 9 - PHẦN 1 : TỔNG QUAN Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 10 - 1.1 Lý do chọn đề tài Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến nhà quản trị mà nó còn cung cấp những thông tin sau:  Các sự kiện tấn công.  Phương pháp tấn công.  Nguồn gốc tấn công.  Dấu hiệu tấn công. Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt. Một số lý do để thêm IDS cho hệ thống tường lửa là:  Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.  Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.  Làm cho nỗ lực tấn công bị thất bại.  Nhận biết các cuộc tấn công từ bên trong. 1.2 Phân tích hiện trạng - Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. - 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. - Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 11 - - Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. - Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp. - Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm ngưng lại mọi hoạt động. - Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. 1.3 Xác định yêu cầu  Yêu cầu bắt buộc: 1. IDS là gì? 2. Các thành phần của IDS. 3. Các mô hình IDS. 4. Các ứng dụng IDS phổ biến hiện nay. 5. Triển khai mô hình IDS demo trong mạng LAN.  Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của một IDS. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 12 - 1.4 Giới hạn và phạm vi nghiên cứu - Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có tham gia kết nối internet. - Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập. - Tìm hiểu Snort IDS Software. 1.5 Ý nghĩa thực tiễn của đề tài - Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập. - Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 13 - PHẦN 2 : TÌM HIỂU IDS Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 14 - 2.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. 2.2 Các thành phần và chức năng của IDS IDS bao gồm các thành phần chính :  Thành phần thu thập thông tin gói tin.  Thành phần phát hiện gói tin.  Thành phần xử lý(phản hồi). Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) 2.2.1 Thành phần thu thập gói tin Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 15 - 2.2.2 Thành phần phát hiện gói tin Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. 2.2.3 Thành phần phản hồi Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn chặn:  Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.  Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.  Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường. 2.3 Phân loại IDS 2.3.1 Network Base IDS (NIDS) Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 16 - Hình 2: Network IDS 2.3.1.1 Lợi thế của Network-Based IDS  Quản lý được cả một network segment (gồm nhiều host).  Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.  Tránh DOS ảnh hưởng tới một host nào đó.  Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).  Độc lập với OS. 2.3.1.2 Hạn chế của Network-Based IDS  Có thể xảy ra trường hợp báo động giả.  Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)  NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 17 -  Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.  Không cho biết việc tấn công có thành công hay không. 2.3.2 Host Base IDS (HIDS) HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Hình 3: Host base IDS 2.3.2.1 Lợi thế của Host IDS  Có khả năng xác định người dùng liên quan tới một sự kiện.  HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.  Có thể phân tích các dữ liệu mã hoá.  Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 18 - 2.3.2.2 Hạn chế của Host IDS  Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.  Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".  HIDS phải được thiết lập trên từng host cần giám sát .  HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)  HIDS cần tài nguyên trên host để hoạt động.  HIDS có thể không hiệu quả khi bị DOS.  Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. 2.4 Cơ chế hoạt động của IDS IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai. 2.4.1 Phát hiện dựa trên sự bất thường Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập. Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một điều bất thường. 2.4.2 Phát hiện thông qua Protocol Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 19 - Sau đây là cấu trúc của một gói tin: IP Header Hình 4: Cấu trúc IP Header Thuộc tính Source Address và Destination Address giúp cho IDS biết được nguồn gốc của cuộc tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 20 - TCP Header Hình 5: Cấu trúc TCP Header. Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:  Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.  Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công.  Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 21 - 2.4.3 Phát hiện nhờ quá trình tự học Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. 2.5 Các ứng dụng IDS phổ biến hiện nay Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cường sức mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua mạng. Cụ thể, IDS có thể cảnh báo những hành động sau:  Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ.  Hành động chat với các máy ip lạ.  Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty vẫn cố tình truy xuất.  Hành động truy xuất các website vào giờ cấm.  Hành động chống sniff sử dụng phương pháp ARP Spoofing.  Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 22 - PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 23 - 3.1 Các phương thức tấn công 3.1.1 ARP Spoofing Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công. 3.1.2 Syn Flood Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK. 3.1.3 Zero Day Attacks Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa. "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và Windows Server 2008. Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26). Cuộc tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN) của Windows. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 24 - 3.1.4 DOS - Ping Of Death Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo. VD : ping 192.168.1.20 –l 65000 3.2 Các phương thức phòng chống 3.2.1 ARP Spoofing : mã hóa ARP Cache Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở nhắc lệnh và đánh vào đó lệnh arp –a. Hình 7: Xem ARP Cache Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP ADDRESS> . Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 25 - 3.2.2 Syn Flood Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn lệnh iptables sau: iptables -A INPUT –p tcp --syn –m limit --limit 1/s --limit -burst 3 -j RETURN Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:  --limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)  --limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3 Dùng iptables, thêm rule sau vào: # Limit the number of incoming tcp connections # Interface 0 incoming syn-flood protection iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A syn_flood -j DROP 3.2.3 Zero Day Attacks + Cập nhật bản vá lỗi. + Lọc dữ liệu từ cổng TCP 445 bằng tường lửa (iptables) + Khóa cổng SMB trong registry. 3.2.4 DOS – Ping Of Death - Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống. - Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ. Ví dụ : alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho Ping. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 26 - PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 27 - 4.1 Các bước thực hiện 4.1.1 Mô hình mạng tổng quan Hình 8: Mô hình mạng tổng quan. 4.1.2 Máy Client  Cài đặt XP  Cài đặt hệ điều hành Linux(Backtrack 4.0)  Chỉ default gateway và DNS về ip mặt ngoài (192.168.1.20) của máy IDS.  Vai trò: là một máy ở ngoài mạng LAN. Thực hiện các cuộc tấn công vào máy chủ Web Server và máy DC. 4.1.3 Máy IDS  Cài đặt hệ điều hành Linux, Snort, tường lửa iptables, MySQL, Apache, Basic Analysis and Security Engine (BASE), squid proxy, join Domain vsic.com. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 28 -  Vai trò: là một hệ thống phát hiện và chống xâm nhập mạng, kiểm soát các gói tin trong mạng nội bộ và các gói tin từ bên ngoài. 4.1.4 Máy Webserver  Cài đặt Window server 2003, cài đặt IIS, ASP.NET, Join Domain vsic.com.  Thư mục chứa source website: C:\Inetpub\wwwroot  Vai trò: là một máy chủ Web Server cung cấp các dịch vụ cần thiết cho client. 4.1.5 Máy Windows Server 2008 + Cài đặt hệ điều hành Windows Server 2008 SP1, nâng cấp lên Domain với tên vsic.com. + Vai trò : dùng để thực hiện Demo bằng phương thức Zero day attack. 4.2 Cấu hình IDS 4.2.1 Mô hình mạng chi tiết Hình 9: Mô hình mạng chi tiết. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 29 - 4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort kết hợp Iptables 4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Sơ lược về lỗi SMB.  Bước 3 : Dùng phần mềm WireShark để bắt gói tin.  Bước 4 : Tiến hành tấn công máy Server.  Bước 5 : Xem kết quả tấn công.  Bước 6 : Kích hoạt Snort và iptable (rule SMB.rules) – Phụ lục phần 7.3.1.6 và 7.3.2.5  Bước 7 : Thực hiện lại cuộc tấn công.  Bước 8 : Xem kết quả tấn công. 4.2.2.2 Truy cập Web trái phép theo IP và tên miền  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Client duyệt Website vsic.com : bình thường .  Bước 3 : Kích hoạt Snort và iptable (rule nganchanwebsite.rules) – Phụ lục phần 7.3.1.2 và 7.3.2.3  Bước 4 : Client duyệt Website vsic.com lại : không kết nối được.  Bước 5 : Client duyệt Website Microsoft.com : bình thường .  Bước 6 : Mở rule cấm Micrsoft .  Bước 7 : Client duyệt website microsoft.com : không kết nối được. 4.2.2.3 Truy cập Website vào giờ cấm.  Bước 1 : Kiểm tra cấu hình va kết nối giữa các máy  Bước 2 : Client duyệt Web vsic.com vào giờ cấm : bình thường  Bước 3 : Kích hoạt Snort và iptable (rule giocam.rules)  Bước 4 : Client duyệt Website vsic.com lại: không kết nối được Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 30 - 4.2.2.4 Truy cập theo phương thức FTP  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy  Bước 2 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : truy cập được bình thường.  Bước 3 : Kích hoạt Snort và iptable (rule ftp.rules) – Phụ lục phần 7.3.1.3 và 7.3.2.4  Bước 4 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : không truy cập được 4.2.2.5 Tấn công theo phương thức Ping Of Death  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Client thực hiện Ping qua máy chủ Webserver với gói tin 32 byte.  Bước 3 : Kích hoạt Snort và iptable (rule ping.rules) – Phụ lục phần 7.3.1.5 và 7.3.2.6  Bước 4 : Client tiến hành Ping lại máy chủ Webserver với gói tin 2000 byte.  Bước 5 : Xem kết quả. 4.2.2.6 Hành động chat với các máy ip lạ.  Bước 1 : Máy Client chat với máy Web server (yahoo message)  Bước 2 : Kích hoạt Snort và iptable (rule chat.rules) – Phụ lục phần 7.3.1.7 và 7.3.2.7  Bước 3 : Máy Client chat với máy Web server-> đã bị ngăn cản (xem hình)- >Login lại thì không được nưã 4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing.  Bước 1: Kiểm tra cấu hình và địa chỉ MAC của máy Web Server và modem.  Bước 2 : Kích hoạt Snort (Bộ tiền xử lý - Preprocessor) – Phụ lục phần 7.7 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 31 -  Bước 3 : Tại máy attacker, thực hiện giải mạo địa chỉ card MAC của máy web server và modem.  Bước 4: Mở Base xem kết quả.  Bước 5 : Kiểm tra địa chỉ card MAC của máy Webserver và modem. 4.2.3 Cài đặt webmin quản lý Snort Quản lý Snort trên giao diện web. Truy cập địa chỉ: https://localhost.localdomain:10000 4.2.4 Tạo CSDL Snort với MySQL Cơ sở dữ liệu dùng để chứa các cảnh báo(log) của hệ thống. Trong đó bảng acid_event chứa đựng các cảnh báo. Bảng sensor chứa địa chỉ của máy cài đặt IDS. 4.2.5 Cài đặt BASE Base dùng để xem các cảnh báo trên giao diện web. Truy cập tại Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 32 - PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT CỦA MỘT IDS Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 33 - 5.1 Inotify Inotify là một Linux kernel subsystem (nhân của hệ thống Linux) được phát triển bởi John McCutchan, Robert Love và Amy Griffis. Inotify có chức năng giám sát sự thay đổi của dữ liệu: tăng giảm dung lượng, sửa, xóa, tạo mới một thư mục, tập tin,và thậm chí cả một hoạt động unmount, từ đó Inotify có thể thông báo những sự thay đổi đó đến một ứng dụng được lập trình sẵn(API). Ta cũng có thể theo dõi nguồn gốc và điểm đến của di chuyển của thư mục tập tin. Để sử dụng Inotify, ta cần cài đặt Linux với kernel 2.6.13 hoặc phiên bản mới hơn. 5.2 Lập trình API kết hợp với Inotify API là viết tắt của Application Programming Interface (giao diện lập trình ứng dụng). API cung cấp hầu hết các tính năng thông dụng cho tất cả các chương trình chạy trên nền Window và Linux. Hầu hết các hàm API thường được chứa trong file /sys/inotify.h trong thư mục hệ thống. Kết hợp lập trình API với Inotify ta có thể nắm bắt được các biến cố xảy ra trên file system. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 34 - 5.3 Sản phẩm Hình 11 : Sản phẩm demo Đã thực hiện được: + Sử dụng ngôn ngữ C kết hợp với các hàm trong inotify để nắm bắt sự thay đổi của file system. + Tìm hiểu về các lời gọi hàm và bộ tạo sự kiện trong inotify. Chưa thực hiện được: + Tạo một giao diện cho Inotify để nắm bắt các biến cố xảy ra trên file system. + Sản phẩm chỉ chạy được trên phía Server (IDS-Linux) Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 35 - PHẦN 6 : TỔNG KẾT Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 36 - Thông qua quá trình tìm hiểu và nghiên cứu, chúng em đã rút ra một số nhận xét sau: Hệ thống phát hiện xâm nhập (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy cơ tấn công mới. Từ nó người ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công. Một tổ chức lớn không thể nào thiếu IDS. 6.1 Những vấn đề đạt được  Nắm bắt được cơ chế hoạt động của hệ thống phát hiện xâm nhập IDS.  Cài đặt và cấu hình một hệ thống phát hiện xâm nhập trên mạng cục bộ dựa trên mã nguồn mở Snort, iptables, squid proxy.  Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để viết luật cho Snort, iptables.  Sử dụng được các sản phẩm phân tích cảnh báo trong Snort như: MySQL, ACID, BASE. 6.2 Những vấn đề chưa đạt được  Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn công mới ngày càng trở nên tinh vi và phức tạp hơn.  Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như: Snort_inline, Fsnort(Firewall Snort),… chưa được áp dụng triệt để.  Tập luật của Snort ngày càng được phát triển nên cần phải cập nhật.  Chưa kết hợp phần mềm Mod Security để bảo vệ Web server. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 37 - 6.3 Hướng mở rộng đề tài - Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các người dùng trong mạng. - Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng WLAN. - Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể ta đang dùng mạng không dây hay mạng LAN truyền thống. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 38 - PHẦN 7 : PHỤ LỤC Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 39 - 7.1 Tài liệu tham khảo - [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 – 0-13-140733-3. - [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale and Snort Development Team Andrew R. Baker, Brian Caswell, Mike Poor – Copyright 2004 by Syngress Publishing – ISBN: 1-931836-04-3. - [3] Snort User Manual 2.8.5 Martin Roesch Chris Green, October 22, 2009 Sourcefire, Inc. - [4] Syngress – Intrusion.Prevention.and.Active.Response.(2005) - [5] Guide to Intrusion Detection and Prevention Systems Recommendations of the National Institute of Standards and Technology – Karen Scarfone Peter Mell - [6] Managing Security with Snort and IDS Tools – O’Reilly-By Kerry J. Cox, Christopher Gerg - [7] Snort cookbook – O’Reilly By Kerry J. Cox, Christopher Gerg - [8] Snort IDS and IPS Toolkit-Featuring Jay Beale and Members of the Snort Team-Andrew R. Baker –Joel Esler - [9] ModSecurity Handbookby Ivan Ristiæ Copyright © 2009, 2010 Ivan Ristiæ - [10] Cài đặt và cấu hình Iptables - Nguyễn Hồng Thái - [11] Firewalls, Nat & Accounting Linux iptables Pocket Reference- O'REILLY GREGOR N. PURDY. - [12] Linux Firewalls - Attack Detection and Response with iptables, psad, and fwsnort-MICHAEL RASH. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 40 - Các trang web: Tiếng Việt: Nước ngoài: 7.2 Phần mềm IDS-Snort 7.2.1 Giới thiệu Snort Snort được cài đặt trên mạng làm nhiệm vụ giám sát những packet vào ra hệ thống mạng. Khi Snort phát hiện một cuộc tấn công thì nó có thể phản ứng bằng nhiều cách khác nhau tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó. Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị. Mỗi luật đại diện cho một cuộc tấn công. File cấu hình chính của Snort là snort.conf. Khi có một packet đến hệ thống nó sẽ được áp vào tập luật, nếu có sự so trùng snort sẽ phản ứng. Snort bao gồm một hoặc nhiều cảm biến và một server cơ sở dữ liệu chính.Các cảm biến có thể được đặt trước hoặc sau firewall:  Giám sát các cuộc tấn công vào firewall và hệ thống mạng.  Có khả năng ghi nhớ các cuộc vượt firewall thành công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 41 - 7.2.2 Snort là một NIDS Khi được sử dụng như là một NIDS, Snort cung cấp khả năng phát hiện xâm nhập gần như là thời gian thực. Chúng ta sẽ xem rất nhiều cách mà Snort có thể được sử dụng như là một NIDS và tất cả các tùy chọn cấu hình có thể. 7.3 Cấu hình các Rules cơ bản của Snort và Iptables 7.3.1 Rules Snort 7.3.1.1 Cảnh báo ping. Alert icmp $EXTERNAL_NET any -> $HOME_NET 7 (msg:"ICMP Pinger"; classtype:attempted-recon; sid:465;) - Trong đó: Alert: là hành động cảnh báo. Icmp: là giao thức để bật cảnh báo. $EXTERNAL_NET: là địa chỉ đích của cuộc tấn công. Người dùng có thể định nghĩa (var $EXTERNAL_NET 192.168.1.0/24 ) Any: là port mà gói tin đi qua (bất cứ port nào). $HOME_NET: là địa chỉ gói tin đi đến của cuộc tấn công. Ta có thể định nghĩa địa chỉ này cho phù hợp với mạng nội bộ mà ta đang quản lý. 7: là port mà lệnh ping gửi gói tin echo qua. Msg: xuất câu thông báo trong log hoặc trên giao diện quản lý cảnh báo. Classtype: dùng để phân loại cảnh báo. Sid: số id của câu rule cảnh báo, mỗi rule có một sid khác nhau. 7.3.1.2 Cảnh báo truy cập website. alert tcp $HOME_NET any -> 192.168.1.10 80(msg:"Vsic access" ;content:"vsic.com"; nocase; sid:5531;) 7.3.1.3 Cảnh báo truy cập FTP. alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP login"; flow:from_server,established; sid:491;) 7.3.1.4 Cảnh báo truy cập Telnet. alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"TELNET login"; flow:to_server,established; sid:500;) Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 42 - 7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) 7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS Windows SMB process ID high"; flow:to_server, established; content:"|00 26|"; offset:5; depth:96; classtype:attempted-dos; sid:15930;) 7.3.1.7 Cảnh báo chat với các máy có IP lạ alert tcp any any any 5101 (msg:"CHAT Yahoo IM message"; flow:established; content:"YMSG"; nocase; metadata:policy ; classtype:policy- violation; sid:2457) 7.3.1.8 Ngăn chặn các trang Web có nội dung xấu alert tcp any any 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for children!"; react: block, msg, proxy 8000;) 7.3.2 Rules Iptables 7.3.2.1 Ngăn chặn ping. -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j DROP - Trong đó: RH-Firewall-1-INPUT: Người dùng định nghĩa. ACCEPT: iptables chấp nhận chuyển data đến đích. DROP: iptables khóa những packet. -A RH-Firewall-1-INPUT: những gói tin đi vào từ firewall -p: protocol là icmp -m icmp --icmp-type: mô tả dạng của icmp như echo, request Any: port của icmp Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 43 - -j : jump – lệnh chuyển tới cấu lệnh tiếp theo DROP : và cuối cùng là chặn gói tin. -s: địa chỉ nguồn. --dport: cổng đích của gói tin. state --state NEW: Kiểm tra trạng thái: ESTABLISHED: đã thiết lập connection NEW: bắt đầu thiết lập connection 7.3.2.2 NAT inbound và NAT outbound - Nat in iptables -t nat -A PREROUTING -d 192.168.1.20 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.1.40:80 - Nat out echo '1' > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 172.16.1.40 -d 192.168.1.10 -o eth0 -j MASQUERADE 7.3.2.3 Ngăn chặn truy cập website - Theo port, host và giao thức : dùng Iptables -A RH-Firewall-1-INPUT -s 192.168.1.10 -p tcp -m tcp --dport 80 -j DROP - Chặn theo host : dùng Squid Proxy acl hostdeny src 192.168.1.10/24 http_access deny hostdeny - Chặn theo tên miền web : dùng Squid acl webdeny dstdomain vsic.com hay acl webdeny dstdomain "/etc/squid/webdeny" http_access deny webdeny - Theo giờ : dùng Squid Proxy acl time_acl1 time MTWHF 8:00-10:00 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 44 - http_access deny webdeny time_acl1 7.3.2.4 Ngăn chặn truy cập FTP -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j DROP 7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string -- hex-string "|00 26|" --algo bm -m tcp --dport 445 -j DROP 7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. A RH-Firewall-1-INPUT -p icmp --icmp-type any -m length --length 1000: -j DROP 7.3.2.7 Ngăn chặn chat với các máy có IP lạ -A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string -- string "YMSG" --algo bm -m tcp --dport 5101 -j DROP 7.4 Hướng dẫn chi tiết cấu hình Snort File cấu hình /etc/snort/snort.conf var HOME_NET 172.16.1.0/24 var EXTERNAL_NET !$HOME_NET var RULE_PATH /etc/snort/rules output database: log, mysql, user=snort password=123456 dbname=snort host=localhost. Bước 1 : Cài đặt Snort #./configure --with-mysql --enable-dynamicplugin #make & make install Bước 2 : Cấu hình snort - Tạo các thư mục hoạt động cho snort mkdir /etc/snort Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 45 - mkdir /etc/snort/rules mkdir /var/log/snort - Chép các file cấu hình cd etc/ cp * /etc/snort - Tạo nhóm & người dùng cho snort groupadd snort useradd -g snort snort -s /sbin/nologin - Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log chown snort:snort /var/log/snort/ Bước 3 : Cấu hình và phát hiện xâm nhập 3.1 File báo động trong thư mục /var/log/Snort Ví dụ phân tích một báo động của Snort Đây là tên của báo động: [**] [1:1418:3] SNMP request tcp [**] Đây là phần header và thông tin của packet là nguyên nhân gây ra báo động: 03/24-15:07:35.827022 192.168.1.2:49641 -> 192.168.1.105:161 TCP TTL:44 TOS:0x0 ID:37753 IpLen:20 DgmLen:40 Seq: 0x4EB5A7C6 Ack: 0x0 Win: 0x400 TcpLen: 20 3.2 File Snort.conf File Snort.conf điều khiển mọi thứ mà Snort thấy được, làm cách nào nó có thể chống lại các cuộc tấn công, những rules nào được sử dụng khi thấy nghi ngờ, và làm cách nào nó có thể phát hiện ra được những dấu hiệu nguy hiểm tìm tàng mặc dù nó không có các tín hiệu nhận dạng cụ thể để so sánh. Ví dụ file Snort.conf • Thiết lập mạng và cấu hình các biến • Cấu hình phần giải mã (decoder) và phát hiện Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 46 - • Cấu hình tiền xử lý (preprocessor) • Cấu hình phần output • File được trỏ tới 7.5 Thiết lập mạng và cấu hình các biến Để chị định 1 địa chỉ ip, đơn gian chỉ làm theo cách sau: Var HOME_NET 192.168.1.1 Var HOME_NET [192.168.1.1,192.168.14.1,10.0.0.2] Ta cũng có cách khác để chỉ định luôn cả mạng: Var HOME_NET 10.10.10.0/24 Hoặc cũng có thể gộp cả 2 cách trên vào chung 1 nhóm: Var HOME_NET [192.168.1.1,10.10.10.0/24,172.168.1.5/16,187.1.1.1/19] Nếu muốn chỉ định không dùng các ip này ngoại trừ … thì dùng thêm dấu “!” Var EXTERNAL_NET !$HOME_NET Để chỉ định cho các port cũng làm tương tự ví dụng Var ORACLE_PORTS 1521 Hoặc các port không phải là port 80 Var SHELLcode_PORTS !80 Các biến mặc định trong Snort.conf HOME_NET : chỉ định địa chỉ mạng của mình đang bảo vệ EXTERNAL_NET: các mạng bên ngoài. Các biến để chỉ định các server đang chạy các service phục vụ cho hệ thống DNS_SERVERS : địa chỉ của máy DNS. SMTP_SERVERS : địa chỉ của máy Mail Server. HTTP_SERVERS : địa chỉ của máy Web server SQL_SERVERS : địa chỉ của máy chứa cơ sở dữ liệu. TELNET_SERVERS : địa chỉ của máy làm telnet Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 47 - Các port mặc định các biến khác: HTTP_PORTS : Port 80 7.6 Cấu hình option của file Snort.conf Option Mô tả config order: pass, alert, log, activation, or dynamic Thay đổi các giá trị điều khỉên của rules config alertfile: alerts Thiết lập output của file báo động config decode_arp Bật chức năng arp decoding (Snort -a) config dump_chars_only Bật chức năng character dumps (Snort - C) config dump_payload Hiện thông tin lớp application(Snort -d). config decode_data_link giải mã Layer2 headers (Snort -e). config bpf_file: filters.bpf Chỉ định dùng bộ lọc BPF (Snort -F). config set_gid: 30 Thay đổi GID đến GID khác (Snort -g) config daemon Chạy Snort ở chế độ daemon (Snort -D) config interface: Thiết lập interface (Snort -i). config alert_with_interface_name Chỉ định interface cần báo động(Snort -I) config logdir: /var/log/Snort Thiết lập lại thư mục log (Snort -l). config umask: Thiết lập umask khi chạy (Snort -m). config pkt_count: N Thoát ra sau N packets (Snort -n). config nolog Tắt chế độ log (Snort -N). config verbose Sử dụng chế độ xem chi tiết (Snort -v) Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 48 - 7.7 Cấu hình tiền xử lý (preprocessor) Tiền xử lý phục vụ cho nhiều mục đích. Nó “bình thường hoá” traffic cho các services, để chắc chắn rằng dữ liệu trong các packet Snort đang theo dõi sẽ có cơ hội tốt nhất để so sánh với các tín hiệu nhận dạng (signatures ) mà Snort đuợc trang bị. Ví dụ : - preprocessor arpspoof - preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b - preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b - Ta cho Snort biết địa chỉ MAC của máy trong LAN, khi bị tấn công giả mạo địa chỉ MAC, Snort sẽ so sánh giá trị này và cảnh báo cho người quản trị.  Flow Flow preprocessor có một module là flow-portscan. Flow theo dõi tất cả traffic và giữ các track kết nối giữa hệ thống và port lạ, khi có 1 flow lạ mới thông tin sẽ chuyển qua hash (làm cho các track nhỏ hơn , nhanh hơn trong tracking các địa chỉ IP và PORTS) được lưu trữ trong bảng bộ nhớ dành sẵn. Các option cho flow preprocessor  Frag Khi một packet đi từ mạng này qua mạng khác, nó thường cần phân mảnh thành các packet nhỏ hơn, bởi vì mạng thứ 2 sẽ giới hạn kích thuớc của packet và tất nhiên nhỏ hơn mạng đầu tiên. Và tất cả các packet nhỏ sẽ đuợc sắp xếp lại khi đến nơi. Một trong những phương pháp của attacker là dùng các packet nhỏ để lừa firewall hoặc IDS.  Stream4 Stream4 được thiết kế để bảo vệ Snort từ 1 dạng tấn công mới của attacker tới các NIDS sensor bằng cách gửi tràn ngập các packet chứa các chuỗi dữ liệu giống Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 49 - như trong rules để kích các báo động, cũng có khá nhiều tools dùng cho việc này nhưng Snort của có cách chống lại. Stream4 có 2 nhiệm vụ chính: sateful inspection ( kiểm tra tính nguyên vẹn ), awareness and session reassembly ( nhận biết và sắp xếp các session )  Tiền xử lý các http inspect Có nhiều cách thông tin có thể định dạng sang các http session và cũng có nhiều loại khác nhau biểu diễn các thông tin như là các http session như multimedia, .xml, .HTML, .asp, .php, .java,….và kết quả Snort phải gửi lại nội dung của các HTTP conversation để định dạng lại data phục vụ cho quá trình phát hiện tốt nhất.  Arpspoof Arpspoof được thiết kế cho preprocessor dể detech các hoạt động spoof arp bất hợp pháp trên local network. Các hacker dùng các tools man-in-the-middle attacks như ettercap hoặc arpspoof để nghe trộm giữa các máy trong mạng nội bộ. để cấu hình administrator phải biết địa chỉ MAC của card mạng, điều này thì quá dễ dàng: Ví dụ: preprocessor arpspoof preprocessor arpspoof_detect_host: 192.168.1.1 F0:AB:GH:10:12:53  File Inclusion Trong file Snort.conf, câu lệnh include chỉ cho Snort đọc các file sau từ include được lưu trong filesystem của Snort sensor, giống như trong lập trình vậy Ví dụ : include $RULE_PATH/bad-traffic.rules Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 50 - include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules Các rules trên ta có thể download trên internet, khi down về ta muốn phân nhóm hoặc chỉnh sửa,độ ưu tiên các rules ta có thể cấu hình trong file classification.config, file reference.config gồm các links tới web site với các thông tin cho tất cả các alerts, include nó rất hữu tích , nhanh gọn Ví dụ: # include classification & priority settings # include classification.config # include reference systems include reference.config  Cài đặt tập rule cho SNORT tar -xzvf snortrules-snapshot-2.8.tar.gz cd rules cp * /etc/snort/rules 7.8 Thiết Lập Snort khởi động cùng hệ thống Tạo một liên kết mềm (symbolic link) của file snort binary đến /usr/sbin/snort ln -s /usr/local/bin/snort /usr/sbin/snort cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort Đặt quyền lại cho file snort : chmod 755 /etc/init.d/snortd chkconfig snortd on service snortd start Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 51 - 7.9 Quản lý snort bằng webmin - Cài webmin : rpm –ivh webmin-1.400.noarch.rpm Log vào Webmin, chọn chức năng Webmin Modules, import thêm Snort module vào Webmin: 7.10 Tạo CSDL snort với MySQL #service mysqld start Trước tiên ta cần set password cho root trong MySQL. #mysqladmin -u root password 123456 #mysql –p Tạo password cho tài khoản snort mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 52 - Tạo CSDL cho snort. mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit Tạo các table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql -p show databases; use snort; show tables; Quan sát các tables 7.11 Cài đặt BASE và ADODB Web server và PHP đã cài đặt sẵn ta cần cài thêm vài gói pear cho PHP. cd snort/snort-2.8.4.1 pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Cài đặt ADODB cp adodb480.tgz /var/www/html/ cd /var/www/html/ tar -xzvf adodb480.tgz Cài BASE #cp /snort/base-1.4.4.tar.gz /var/www/html/ #tar -zxvf base-1.4.4.tar.gz #mv base-1.4.4/ base/ Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 53 - #cd base #cp base_conf.php.dist base_conf.php #vi base_conf.php Restart Snort #service snortd restart #service httpd restart Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 54 - THE END Sưu tầm bởi www.diendandaihoc.com