MỤC LỤC
DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO . 5
CÁC THUẬT NGỮ VIẾT TẮT . . 6
LỜI GIỚI THIỆU . . 8
PHẦN 1 : TỔNG QUAN . 9
1.1 Lý do chọn đề tài . 10
1.2 Phân tích hiện trạng . . 10
1.3 Xác định yêu cầu . . 11
1.4 Giới hạn và phạm vi nghiên cứu . 12
1.5 Ý nghĩa thực tiễn của đề tài . . 12
PHẦN 2 : TÌM HIỂU IDS . . 13
2.1 Khái niệm . . 14
2.2 Các thành phần và chức năng của IDS . . 14
2.2.1 Thành phần thu thập gói tin . . 14
2.2.2 Thành phần phát hiện gói tin . . 15
2.2.3 Thành phần phản hồi . 15
2.3 Phân loại IDS . 15
2.3.1 Network Base IDS (NIDS) . 15
2.3.1.1 Lợi thế của Network-Based IDS . . 16
2.3.1.2 Hạn chế của Network-Based IDS . . 16
2.3.2 Host Base IDS (HIDS) . . 17
2.3.2.1 Lợi thế của Host IDS . . 17
2.3.2.2 Hạn chế của Host IDS . . 18
2.4 Cơ chế hoạt động của IDS . . 18
2.4.1 Phát hiện dựa trên sự bất thường . . 18
2.4.2 Phát hiện thông qua Protocol . 18
2.4.3 Phát hiện nhờ quá trình tự học . . 21
2.5 Các ứng dụng IDS phổ biến hiện nay . 21
PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG . . 22
3.1 Các phương thức tấn công . . 23
3.1.1 ARP Spoofing . . 23
3.1.2 Syn Flood . . 23
3.1.3 Zero Day Attacks . 23
3.1.4 DOS - Ping Of Death . 24
3.2 Các phương thức phòng chống . . 24
3.2.1 ARP Spoofing : mã hóa ARP Cache . . 24
3.2.2 Syn Flood . . 25
3.2.3 Zero Day Attacks . 25
3.2.4 DOS - Ping Of Death . . 25
PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP . . 26
4.1 Các bước thực hiện . 27
4.1.1 Mô hình mạng tổng quan . 27
4.1.2 Máy Client . . 27
4.1.3 Máy IDS . . 27
4.1.4 Máy Webserver . . 28
4.1.5 Máy Windows Server 2008 . . 28
4.2 Cấu hình IDS . . 28
4.2.1 Mô hình mạng chi tiết . . 28
4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort
kết hợp Iptables . . 29
4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 . . 29
4.2.2.2 Truy cập Web trái phép theo IP và tên miền . . 29
4.2.2.3 Truy cập Website vào giờ cấm. 29
4.2.2.4 Truy cập theo phương thức FTP . . 30
4.2.2.5 Tấn công theo phương thức Ping Of Death . 30
4.2.2.6 Hành động chat với các máy ip lạ. . 30
4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. . 30
4.2.3 Cài đặt webmin quản lý Snort . . 31
4.2.4 Tạo CSDL Snort với MySQL . . 31
4.2.5 Cài đặt BASE . . 31
PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT
CỦA MỘT IDS . . 32
5.1 Inotify . . 33
5.2 Lập trình API kết hợp với Inotify . . 33
5.3 Sản phẩm . 34
PHẦN 6 : TỔNG KẾT . . 35
6.1 Những vấn đề đạt được . 36
6.2 Những vấn đề chưa đạt được . . 36
6.3 Hướng mở rộng đề tài . . 37
PHẦN 7 : PHỤ LỤC . 38
7.1 Tài liệu tham khảo . 39
7.2 Phần mềm IDS-Snort . 40
7.2.1 Giới thiệu Snort . 40
7.2.2 Snort là một NIDS . 41
7.3 Cấu hình các Rules cơ bản của Snort và Iptables . 41
7.3.1 Rules Snort . 41
7.3.1.1 Cảnh báo ping. 41
7.3.1.2 Cảnh báo truy cập website. 41
7.3.1.3 Cảnh báo truy cập FTP. 41
7.3.1.4 Cảnh báo truy cập Telnet. 41
7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. 42
7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 . 42
7.3.1.7 Cảnh báo chat với các máy có IP lạ . 42
7.3.1.8 Ngăn chặn các trang Web có nội dung xấu . 42
7.3.2 Rules Iptables . 42
7.3.2.1 Ngăn chặn ping. 42
7.3.2.2 NAT inbound và NAT outbound . 43
7.3.2.3 Ngăn chặn truy cập website . . 43
7.3.2.4 Ngăn chặn truy cập FTP . . 44
7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 . 44
7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. 44
7.3.2.7 Ngăn chặn chat với các máy có IP lạ . 44
7.4 Hướng dẫn chi tiết cấu hình Snort . . 44
7.5 Thiết lập mạng và cấu hình các biến . 46
7.6 Cấu hình option của file Snort.conf . 47
7.7 Cấu hình tiền xử lý (preprocessor) . . 48
7.8 Thiết Lập Snort khởi động cùng hệ thống . . 50
7.9 Quản lý snort bằng webmin . . 51
7.10 Tạo CSDL snort với MySQL . . 51
7.11 Cài đặt BASE và ADODB . . 52
- Trang 4 -
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
LỜI GIỚI THIỆU
Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày
càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã
buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo
mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong
việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền
thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và
mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion
Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn
công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các
phương pháp bảo mật truyền thống.
Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp
chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài
nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều
thiếu sót.
Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Chúng em xin chân thành cảm ơn.
PHẦN 1 : TỔNG QUAN
- Trang 9 -
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
1.1 Lý do chọn đề tài
Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc
trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo
mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được
một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực
tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến
nhà quản trị mà nó còn cung cấp những thông tin sau:
Các sự kiện tấn công.
Phương pháp tấn công.
Nguồn gốc tấn công.
Dấu hiệu tấn công.
Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết
kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt.
Một số lý do để thêm IDS cho hệ thống tường lửa là:
Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.
Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.
Làm cho nỗ lực tấn công bị thất bại.
Nhận biết các cuộc tấn công từ bên trong.
1.2 Phân tích hiện trạng
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua
455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.
- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm
một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống
virus không sử dụng IDS.
- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin
trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo
động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được
phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of
death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ
thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm
ngưng lại mọi hoạt động.
- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật.
1.3 Xác định yêu cầu
Yêu cầu bắt buộc:
1. IDS là gì?
2. Các thành phần của IDS.
3. Các mô hình IDS.
4. Các ứng dụng IDS phổ biến hiện nay.
5. Triển khai mô hình IDS demo trong mạng LAN.
Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của
một IDS.
1.4 Giới hạn và phạm vi nghiên cứu
- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có
tham gia kết nối internet.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.
- Tìm hiểu Snort IDS Software.
1.5 Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
55 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 4757 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Tìm hiểu ids và triển khai hệ thống phát hiện xâm nhập trên mạng cục bộ, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
nh 1 trong phần 6
Hình 10 : Quản lý BASE : Hình 2 trong phần 6
Hình 11 : Sản phẩm demo - Hình 1 trong phần 5
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 6 -
CÁC THUẬT NGỮ VIẾT TẮT
IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập
NIDS: Network Intrusion Detection System.
HIDS: Host Intrusion Detection System.
DIDS: Distributed Intrusion Detection System.
ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên
cùng khái niệm với ActiveX Data Objects của Microsoft.
DdoS – Distribute Denial of Service. Từ chối dịch vụ phân tán.
LAN – Local Area Network: mạng máy tính cục bộ.
Sensor: Bộ phần cảm biến của IDS.
Alert: Cảnh báo trong IDS.
TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận.
Slow Scan: là tiến trình “quét chậm”.
SSL – Secure Sockets Layer.
SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật.
IPSec: IP Security.
DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngoài của
một tổ chức.
CPU : Central Processing Unit- Đơn vị xử lý trung tâm.
UNIX: Unix hay UNIX là một hệ điều hành máy tính.
Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy
cập từ xa.
Protocol: Giao thức
Payload: Độ tải của một gói tin trên mạng.
Attacker: Kẻ tấn công.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 7 -
ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối
xứng.
WLAN: Wireless Local Area – mạng cục bộ không dây.
Iptables : Hệ thống tường lửa trong linux.
ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích
dữ liệu cho hệ thống phát hiện xâm nhập
BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin
Software: Phần mềm
OS : Operating System : hệ điều hành
OSI : Open Systems Interconnection : mô hình 7 tầng OSI
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 8 -
LỜI GIỚI THIỆU
Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày
càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã
buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo
mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong
việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền
thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và
mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion
Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn
công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các
phương pháp bảo mật truyền thống.
Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp
chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài
nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều
thiếu sót.
Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Chúng em xin chân thành cảm ơn.
Các sinh viên thực hiện :
1. Huỳnh Tiến Phát : Số điện thoại : 0986.440.748
Email: phathuynh@daihoc.com.vn
2. Trần Quang Lâm : Số điện thoại : 0984.055.050
Email: lamtran@daihoc.com.vn
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 9 -
PHẦN 1 : TỔNG QUAN
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 10 -
1.1 Lý do chọn đề tài
Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc
trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo
mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được
một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực
tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến
nhà quản trị mà nó còn cung cấp những thông tin sau:
Các sự kiện tấn công.
Phương pháp tấn công.
Nguồn gốc tấn công.
Dấu hiệu tấn công.
Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết
kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt.
Một số lý do để thêm IDS cho hệ thống tường lửa là:
Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.
Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.
Làm cho nỗ lực tấn công bị thất bại.
Nhận biết các cuộc tấn công từ bên trong.
1.2 Phân tích hiện trạng
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua
455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 11 -
- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm
một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống
virus không sử dụng IDS.
- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin
trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo
động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được
phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of
death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ
thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm
ngưng lại mọi hoạt động.
- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật.
1.3 Xác định yêu cầu
Yêu cầu bắt buộc:
1. IDS là gì?
2. Các thành phần của IDS.
3. Các mô hình IDS.
4. Các ứng dụng IDS phổ biến hiện nay.
5. Triển khai mô hình IDS demo trong mạng LAN.
Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của
một IDS.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 12 -
1.4 Giới hạn và phạm vi nghiên cứu
- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có
tham gia kết nối internet.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.
- Tìm hiểu Snort IDS Software.
1.5 Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 13 -
PHẦN 2 : TÌM HIỂU IDS
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 14 -
2.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự
kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an
ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị.
2.2 Các thành phần và chức năng của IDS
IDS bao gồm các thành phần chính :
Thành phần thu thập thông tin gói tin.
Thành phần phát hiện gói tin.
Thành phần xử lý(phản hồi).
Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)
2.2.1 Thành phần thu thập gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng
đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói
tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào,
dịch vụ gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 15 -
2.2.2 Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.
2.2.3 Thành phần phản hồi
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ
gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng.
Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn
cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn
chặn:
Cảnh báo thời gian thực
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các
cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục
đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn công hoạt động.
Ngăn chặn, thay đổi gói tin
Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa
bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình
thường.
2.3 Phân loại IDS
2.3.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 16 -
Hình 2: Network IDS
2.3.1.1 Lợi thế của Network-Based IDS
Quản lý được cả một network segment (gồm nhiều host).
Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
Tránh DOS ảnh hưởng tới một host nào đó.
Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
Độc lập với OS.
2.3.1.2 Hạn chế của Network-Based IDS
Có thể xảy ra trường hợp báo động giả.
Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)
NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 17 -
Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động được phát ra, hệ thống có thể đã bị tổn hại.
Không cho biết việc tấn công có thành công hay không.
2.3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt
động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
Hình 3: Host base IDS
2.3.2.1 Lợi thế của Host IDS
Có khả năng xác định người dùng liên quan tới một sự kiện.
HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
Có thể phân tích các dữ liệu mã hoá.
Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 18 -
2.3.2.2 Hạn chế của Host IDS
Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
HIDS phải được thiết lập trên từng host cần giám sát .
HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…)
HIDS cần tài nguyên trên host để hoạt động.
HIDS có thể không hiệu quả khi bị DOS.
Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
được trên UNIX và những hệ điều hành khác.
2.4 Cơ chế hoạt động của IDS
IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn
công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các
vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm
IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
2.4.1 Phát hiện dựa trên sự bất thường
Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì
một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt,
nghĩa là đã có sự xâm nhập.
Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công
ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một
điều bất thường.
2.4.2 Phát hiện thông qua Protocol
Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân
tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 19 -
Sau đây là cấu trúc của một gói tin:
IP Header
Hình 4: Cấu trúc IP Header
Thuộc tính Source Address và Destination Address giúp cho IDS biết được nguồn
gốc của cuộc tấn công.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 20 -
TCP Header
Hình 5: Cấu trúc TCP Header.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ
bản nền tảng sau:
Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.
Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động
nào là tấn công.
Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 21 -
2.4.3 Phát hiện nhờ quá trình tự học
Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công
sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động
bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã
thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.
2.5 Các ứng dụng IDS phổ biến hiện nay
Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì
khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn
công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong
công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cường sức
mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua
mạng. Cụ thể, IDS có thể cảnh báo những hành động sau:
Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ.
Hành động chat với các máy ip lạ.
Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty
vẫn cố tình truy xuất.
Hành động truy xuất các website vào giờ cấm.
Hành động chống sniff sử dụng phương pháp ARP Spoofing.
Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 22 -
PHẦN 3 : CÁC PHƯƠNG THỨC TẤN
CÔNG VÀ CÁCH PHÒNG CHỐNG
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 23 -
3.1 Các phương thức tấn công
3.1.1 ARP Spoofing
Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu
đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này
cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe
trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn
giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn
công.
3.1.2 Syn Flood
Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối
SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy
hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công
và trước khi nhận gói ACK.
3.1.3 Zero Day Attacks
Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của
ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa.
"Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote
B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa
lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System
Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và
Windows Server 2008. Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát
từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề
(header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26). Cuộc
tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối
lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ
(LAN) của Windows.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 24 -
3.1.4 DOS - Ping Of Death
Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn
kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ
hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với
buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này
và sẽ reboot hoặc bị treo.
VD : ping 192.168.1.20 –l 65000
3.2 Các phương thức phòng chống
3.2.1 ARP Spoofing : mã hóa ARP Cache
Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP
request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy
chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào
ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở
nhắc lệnh và đánh vào đó lệnh arp –a.
Hình 7: Xem ARP Cache
Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP
ADDRESS> .
Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn
hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các
client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ
luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 25 -
3.2.2 Syn Flood
Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn
lệnh iptables sau:
iptables -A INPUT –p tcp --syn –m limit --limit 1/s --limit -burst 3 -j RETURN
Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:
--limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)
--limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3
Dùng iptables, thêm rule sau vào:
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
3.2.3 Zero Day Attacks
+ Cập nhật bản vá lỗi.
+ Lọc dữ liệu từ cổng TCP 445 bằng tường lửa (iptables)
+ Khóa cổng SMB trong registry.
3.2.4 DOS – Ping Of Death
- Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số
lượng packet vào hệ thống.
- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong
muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
Ví dụ : alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping >
1000";dsize:>1000 ; sid:2;)
Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho
Ping.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 26 -
PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT
HIỆN XÂM NHẬP
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 27 -
4.1 Các bước thực hiện
4.1.1 Mô hình mạng tổng quan
Hình 8: Mô hình mạng tổng quan.
4.1.2 Máy Client
Cài đặt XP
Cài đặt hệ điều hành Linux(Backtrack 4.0)
Chỉ default gateway và DNS về ip mặt ngoài (192.168.1.20) của máy IDS.
Vai trò: là một máy ở ngoài mạng LAN. Thực hiện các cuộc tấn công vào máy chủ
Web Server và máy DC.
4.1.3 Máy IDS
Cài đặt hệ điều hành Linux, Snort, tường lửa iptables, MySQL, Apache, Basic
Analysis and Security Engine (BASE), squid proxy, join Domain vsic.com.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 28 -
Vai trò: là một hệ thống phát hiện và chống xâm nhập mạng, kiểm soát các gói tin
trong mạng nội bộ và các gói tin từ bên ngoài.
4.1.4 Máy Webserver
Cài đặt Window server 2003, cài đặt IIS, ASP.NET, Join Domain vsic.com.
Thư mục chứa source website: C:\Inetpub\wwwroot
Vai trò: là một máy chủ Web Server cung cấp các dịch vụ cần thiết cho client.
4.1.5 Máy Windows Server 2008
+ Cài đặt hệ điều hành Windows Server 2008 SP1, nâng cấp lên Domain với tên
vsic.com.
+ Vai trò : dùng để thực hiện Demo bằng phương thức Zero day attack.
4.2 Cấu hình IDS
4.2.1 Mô hình mạng chi tiết
Hình 9: Mô hình mạng chi tiết.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 29 -
4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên
Snort kết hợp Iptables
4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0
Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.
Bước 2 : Sơ lược về lỗi SMB.
Bước 3 : Dùng phần mềm WireShark để bắt gói tin.
Bước 4 : Tiến hành tấn công máy Server.
Bước 5 : Xem kết quả tấn công.
Bước 6 : Kích hoạt Snort và iptable (rule SMB.rules) – Phụ lục phần 7.3.1.6
và 7.3.2.5
Bước 7 : Thực hiện lại cuộc tấn công.
Bước 8 : Xem kết quả tấn công.
4.2.2.2 Truy cập Web trái phép theo IP và tên miền
Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.
Bước 2 : Client duyệt Website vsic.com : bình thường .
Bước 3 : Kích hoạt Snort và iptable (rule nganchanwebsite.rules) – Phụ lục
phần 7.3.1.2 và 7.3.2.3
Bước 4 : Client duyệt Website vsic.com lại : không kết nối được.
Bước 5 : Client duyệt Website Microsoft.com : bình thường .
Bước 6 : Mở rule cấm Micrsoft .
Bước 7 : Client duyệt website microsoft.com : không kết nối được.
4.2.2.3 Truy cập Website vào giờ cấm.
Bước 1 : Kiểm tra cấu hình va kết nối giữa các máy
Bước 2 : Client duyệt Web vsic.com vào giờ cấm : bình thường
Bước 3 : Kích hoạt Snort và iptable (rule giocam.rules)
Bước 4 : Client duyệt Website vsic.com lại: không kết nối được
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 30 -
4.2.2.4 Truy cập theo phương thức FTP
Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy
Bước 2 : Client truy cập bằng phương thức FTP vào máy chủ Webserver :
truy cập được bình thường.
Bước 3 : Kích hoạt Snort và iptable (rule ftp.rules) – Phụ lục phần 7.3.1.3
và 7.3.2.4
Bước 4 : Client truy cập bằng phương thức FTP vào máy chủ Webserver :
không truy cập được
4.2.2.5 Tấn công theo phương thức Ping Of Death
Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.
Bước 2 : Client thực hiện Ping qua máy chủ Webserver với gói tin 32 byte.
Bước 3 : Kích hoạt Snort và iptable (rule ping.rules) – Phụ lục phần 7.3.1.5
và 7.3.2.6
Bước 4 : Client tiến hành Ping lại máy chủ Webserver với gói tin 2000 byte.
Bước 5 : Xem kết quả.
4.2.2.6 Hành động chat với các máy ip lạ.
Bước 1 : Máy Client chat với máy Web server (yahoo message)
Bước 2 : Kích hoạt Snort và iptable (rule chat.rules) – Phụ lục phần 7.3.1.7
và 7.3.2.7
Bước 3 : Máy Client chat với máy Web server-> đã bị ngăn cản (xem hình)-
>Login lại thì không được nưã
4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing.
Bước 1: Kiểm tra cấu hình và địa chỉ MAC của máy Web Server và
modem.
Bước 2 : Kích hoạt Snort (Bộ tiền xử lý - Preprocessor) – Phụ lục phần 7.7
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 31 -
Bước 3 : Tại máy attacker, thực hiện giải mạo địa chỉ card MAC của máy
web server và modem.
Bước 4: Mở Base xem kết quả.
Bước 5 : Kiểm tra địa chỉ card MAC của máy Webserver và modem.
4.2.3 Cài đặt webmin quản lý Snort
Quản lý Snort trên giao diện web. Truy cập địa chỉ:
https://localhost.localdomain:10000
4.2.4 Tạo CSDL Snort với MySQL
Cơ sở dữ liệu dùng để chứa các cảnh báo(log) của hệ thống. Trong đó bảng
acid_event chứa đựng các cảnh báo. Bảng sensor chứa địa chỉ của máy cài đặt
IDS.
4.2.5 Cài đặt BASE
Base dùng để xem các cảnh báo trên giao diện web. Truy cập tại
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 32 -
PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO
THÀNH PHẦN SENSOR VÀ ALERT CỦA
MỘT IDS
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 33 -
5.1 Inotify
Inotify là một Linux kernel subsystem (nhân của hệ thống Linux) được phát triển bởi
John McCutchan, Robert Love và Amy Griffis. Inotify có chức năng giám sát sự thay đổi
của dữ liệu: tăng giảm dung lượng, sửa, xóa, tạo mới một thư mục, tập tin,và thậm chí cả
một hoạt động unmount, từ đó Inotify có thể thông báo những sự thay đổi đó đến một
ứng dụng được lập trình sẵn(API). Ta cũng có thể theo dõi nguồn gốc và điểm đến của di
chuyển của thư mục tập tin. Để sử dụng Inotify, ta cần cài đặt Linux với kernel 2.6.13
hoặc phiên bản mới hơn.
5.2 Lập trình API kết hợp với Inotify
API là viết tắt của Application Programming Interface (giao diện lập trình ứng dụng).
API cung cấp hầu hết các tính năng thông dụng cho tất cả các chương trình chạy trên
nền Window và Linux. Hầu hết các hàm API thường được chứa trong file /sys/inotify.h
trong thư mục hệ thống. Kết hợp lập trình API với Inotify ta có thể nắm bắt được các biến
cố xảy ra trên file system.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 34 -
5.3 Sản phẩm
Hình 11 : Sản phẩm demo
Đã thực hiện được:
+ Sử dụng ngôn ngữ C kết hợp với các hàm trong inotify để nắm bắt sự thay đổi của
file system.
+ Tìm hiểu về các lời gọi hàm và bộ tạo sự kiện trong inotify.
Chưa thực hiện được:
+ Tạo một giao diện cho Inotify để nắm bắt các biến cố xảy ra trên file system.
+ Sản phẩm chỉ chạy được trên phía Server (IDS-Linux)
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 35 -
PHẦN 6 : TỔNG KẾT
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 36 -
Thông qua quá trình tìm hiểu và nghiên cứu, chúng em đã rút ra một số nhận xét
sau:
Hệ thống phát hiện xâm nhập (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện
đóng vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích
một nguy cơ tấn công mới. Từ nó người ta vạch ra phương án phòng chống. Ở một
góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công. Một tổ chức
lớn không thể nào thiếu IDS.
6.1 Những vấn đề đạt được
Nắm bắt được cơ chế hoạt động của hệ thống phát hiện xâm nhập IDS.
Cài đặt và cấu hình một hệ thống phát hiện xâm nhập trên mạng cục bộ dựa trên
mã nguồn mở Snort, iptables, squid proxy.
Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để viết luật cho Snort,
iptables.
Sử dụng được các sản phẩm phân tích cảnh báo trong Snort như: MySQL, ACID,
BASE.
6.2 Những vấn đề chưa đạt được
Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn công mới ngày càng
trở nên tinh vi và phức tạp hơn.
Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như:
Snort_inline, Fsnort(Firewall Snort),… chưa được áp dụng triệt để.
Tập luật của Snort ngày càng được phát triển nên cần phải cập nhật.
Chưa kết hợp phần mềm Mod Security để bảo vệ Web server.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 37 -
6.3 Hướng mở rộng đề tài
- Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin
không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải
chứng thực giữa các người dùng trong mạng.
- Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường
mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối
với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường
truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có
thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng
WLAN.
- Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và
cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN
vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được
coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN
đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe
dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể
ta đang dùng mạng không dây hay mạng LAN truyền thống.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 38 -
PHẦN 7 : PHỤ LỤC
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 39 -
7.1 Tài liệu tham khảo
- [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using
Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 –
0-13-140733-3.
- [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale
and Snort Development Team Andrew R. Baker, Brian Caswell, Mike Poor –
Copyright 2004 by Syngress Publishing – ISBN: 1-931836-04-3.
- [3] Snort User Manual 2.8.5 Martin Roesch Chris Green, October 22, 2009
Sourcefire, Inc.
- [4] Syngress – Intrusion.Prevention.and.Active.Response.(2005)
- [5] Guide to Intrusion Detection and Prevention Systems Recommendations of
the National Institute of Standards and Technology – Karen Scarfone Peter Mell
- [6] Managing Security with Snort and IDS Tools – O’Reilly-By Kerry J. Cox,
Christopher Gerg
- [7] Snort cookbook – O’Reilly By Kerry J. Cox, Christopher Gerg
- [8] Snort IDS and IPS Toolkit-Featuring Jay Beale and Members of the Snort
Team-Andrew R. Baker –Joel Esler
- [9] ModSecurity Handbookby Ivan Ristiæ Copyright © 2009, 2010 Ivan Ristiæ
- [10] Cài đặt và cấu hình Iptables - Nguyễn Hồng Thái
- [11] Firewalls, Nat & Accounting Linux iptables Pocket Reference- O'REILLY
GREGOR N. PURDY.
- [12] Linux Firewalls - Attack Detection and Response with iptables, psad, and
fwsnort-MICHAEL RASH.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 40 -
Các trang web:
Tiếng Việt: Nước ngoài:
7.2 Phần mềm IDS-Snort
7.2.1 Giới thiệu Snort
Snort được cài đặt trên mạng làm nhiệm vụ giám sát những packet vào ra hệ
thống mạng. Khi Snort phát hiện một cuộc tấn công thì nó có thể phản ứng bằng nhiều
cách khác nhau tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn
như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát
hiện có sự bất thường trong các gói tin đó. Snort sử dụng các luật được lưu trữ trong
các file text, có thể được chỉnh sửa bởi người quản trị. Mỗi luật đại diện cho một cuộc
tấn công. File cấu hình chính của Snort là snort.conf. Khi có một packet đến hệ thống
nó sẽ được áp vào tập luật, nếu có sự so trùng snort sẽ phản ứng.
Snort bao gồm một hoặc nhiều cảm biến và một server cơ sở dữ liệu chính.Các
cảm biến có thể được đặt trước hoặc sau firewall:
Giám sát các cuộc tấn công vào firewall và hệ thống mạng.
Có khả năng ghi nhớ các cuộc vượt firewall thành công.
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 41 -
7.2.2 Snort là một NIDS
Khi được sử dụng như là một NIDS, Snort cung cấp khả năng phát hiện xâm nhập
gần như là thời gian thực. Chúng ta sẽ xem rất nhiều cách mà Snort có thể được sử
dụng như là một NIDS và tất cả các tùy chọn cấu hình có thể.
7.3 Cấu hình các Rules cơ bản của Snort và Iptables
7.3.1 Rules Snort
7.3.1.1 Cảnh báo ping.
Alert icmp $EXTERNAL_NET any -> $HOME_NET 7 (msg:"ICMP Pinger";
classtype:attempted-recon; sid:465;)
- Trong đó:
Alert: là hành động cảnh báo.
Icmp: là giao thức để bật cảnh báo.
$EXTERNAL_NET: là địa chỉ đích của cuộc tấn công. Người dùng có thể
định nghĩa (var $EXTERNAL_NET 192.168.1.0/24 )
Any: là port mà gói tin đi qua (bất cứ port nào).
$HOME_NET: là địa chỉ gói tin đi đến của cuộc tấn công. Ta có thể định
nghĩa địa chỉ này cho phù hợp với mạng nội bộ mà ta đang quản lý.
7: là port mà lệnh ping gửi gói tin echo qua.
Msg: xuất câu thông báo trong log hoặc trên giao diện quản lý cảnh báo.
Classtype: dùng để phân loại cảnh báo.
Sid: số id của câu rule cảnh báo, mỗi rule có một sid khác nhau.
7.3.1.2 Cảnh báo truy cập website.
alert tcp $HOME_NET any -> 192.168.1.10 80(msg:"Vsic access"
;content:"vsic.com"; nocase; sid:5531;)
7.3.1.3 Cảnh báo truy cập FTP.
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP login";
flow:from_server,established; sid:491;)
7.3.1.4 Cảnh báo truy cập Telnet.
alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23
(msg:"TELNET login"; flow:to_server,established; sid:500;)
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 42 -
7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn.
alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping >
1000";dsize:>1000 ; sid:2;)
7.3.1.6 Cảnh báo Dos lỗi SMB 2.0
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS
Windows SMB process ID high"; flow:to_server, established; content:"|00 26|";
offset:5; depth:96; classtype:attempted-dos; sid:15930;)
7.3.1.7 Cảnh báo chat với các máy có IP lạ
alert tcp any any any 5101 (msg:"CHAT Yahoo IM message";
flow:established; content:"YMSG"; nocase; metadata:policy ; classtype:policy-
violation; sid:2457)
7.3.1.8 Ngăn chặn các trang Web có nội dung xấu
alert tcp any any 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for
children!"; react: block, msg, proxy 8000;)
7.3.2 Rules Iptables
7.3.2.1 Ngăn chặn ping.
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j DROP
- Trong đó:
RH-Firewall-1-INPUT: Người dùng định nghĩa.
ACCEPT: iptables chấp nhận chuyển data đến đích.
DROP: iptables khóa những packet.
-A RH-Firewall-1-INPUT: những gói tin đi vào từ firewall
-p: protocol là icmp
-m icmp --icmp-type: mô tả dạng của icmp như echo, request
Any: port của icmp
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 43 -
-j : jump – lệnh chuyển tới cấu lệnh tiếp theo
DROP : và cuối cùng là chặn gói tin.
-s: địa chỉ nguồn.
--dport: cổng đích của gói tin.
state --state NEW: Kiểm tra trạng thái:
ESTABLISHED: đã thiết lập connection
NEW: bắt đầu thiết lập connection
7.3.2.2 NAT inbound và NAT outbound
- Nat in
iptables -t nat -A PREROUTING -d 192.168.1.20 -i eth0 -p tcp -m tcp --dport
80 -j DNAT --to-destination 172.16.1.40:80
- Nat out
echo '1' > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.1.40 -d 192.168.1.10 -o eth0 -j
MASQUERADE
7.3.2.3 Ngăn chặn truy cập website
- Theo port, host và giao thức : dùng Iptables
-A RH-Firewall-1-INPUT -s 192.168.1.10 -p tcp -m tcp --dport 80 -j DROP
- Chặn theo host : dùng Squid Proxy
acl hostdeny src 192.168.1.10/24
http_access deny hostdeny
- Chặn theo tên miền web : dùng Squid
acl webdeny dstdomain vsic.com
hay acl webdeny dstdomain "/etc/squid/webdeny"
http_access deny webdeny
- Theo giờ : dùng Squid Proxy
acl time_acl1 time MTWHF 8:00-10:00
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 44 -
http_access deny webdeny time_acl1
7.3.2.4 Ngăn chặn truy cập FTP
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j
DROP
7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0
A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --
hex-string "|00 26|" --algo bm -m tcp --dport 445 -j DROP
7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn.
A RH-Firewall-1-INPUT -p icmp --icmp-type any -m length --length 1000: -j
DROP
7.3.2.7 Ngăn chặn chat với các máy có IP lạ
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --
string "YMSG" --algo bm -m tcp --dport 5101 -j DROP
7.4 Hướng dẫn chi tiết cấu hình Snort
File cấu hình /etc/snort/snort.conf
var HOME_NET 172.16.1.0/24
var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
output database: log, mysql, user=snort password=123456 dbname=snort
host=localhost.
Bước 1 : Cài đặt Snort
#./configure --with-mysql --enable-dynamicplugin
#make & make install
Bước 2 : Cấu hình snort
- Tạo các thư mục hoạt động cho snort
mkdir /etc/snort
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 45 -
mkdir /etc/snort/rules
mkdir /var/log/snort
- Chép các file cấu hình
cd etc/
cp * /etc/snort
- Tạo nhóm & người dùng cho snort
groupadd snort
useradd -g snort snort -s /sbin/nologin
- Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log
chown snort:snort /var/log/snort/
Bước 3 : Cấu hình và phát hiện xâm nhập
3.1 File báo động trong thư mục /var/log/Snort
Ví dụ phân tích một báo động của Snort
Đây là tên của báo động:
[**] [1:1418:3] SNMP request tcp [**]
Đây là phần header và thông tin của packet là nguyên nhân gây ra báo động:
03/24-15:07:35.827022 192.168.1.2:49641 -> 192.168.1.105:161 TCP TTL:44
TOS:0x0 ID:37753 IpLen:20 DgmLen:40 Seq: 0x4EB5A7C6 Ack: 0x0 Win:
0x400 TcpLen: 20
3.2 File Snort.conf
File Snort.conf điều khiển mọi thứ mà Snort thấy được, làm cách nào nó có thể
chống lại các cuộc tấn công, những rules nào được sử dụng khi thấy nghi ngờ, và
làm cách nào nó có thể phát hiện ra được những dấu hiệu nguy hiểm tìm tàng mặc
dù nó không có các tín hiệu nhận dạng cụ thể để so sánh.
Ví dụ file Snort.conf
• Thiết lập mạng và cấu hình các biến
• Cấu hình phần giải mã (decoder) và phát hiện
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 46 -
• Cấu hình tiền xử lý (preprocessor)
• Cấu hình phần output
• File được trỏ tới
7.5 Thiết lập mạng và cấu hình các biến
Để chị định 1 địa chỉ ip, đơn gian chỉ làm theo cách sau:
Var HOME_NET 192.168.1.1
Var HOME_NET [192.168.1.1,192.168.14.1,10.0.0.2]
Ta cũng có cách khác để chỉ định luôn cả mạng:
Var HOME_NET 10.10.10.0/24
Hoặc cũng có thể gộp cả 2 cách trên vào chung 1 nhóm:
Var HOME_NET [192.168.1.1,10.10.10.0/24,172.168.1.5/16,187.1.1.1/19]
Nếu muốn chỉ định không dùng các ip này ngoại trừ … thì dùng thêm dấu “!”
Var EXTERNAL_NET !$HOME_NET
Để chỉ định cho các port cũng làm tương tự ví dụng
Var ORACLE_PORTS 1521
Hoặc các port không phải là port 80
Var SHELLcode_PORTS !80
Các biến mặc định trong Snort.conf
HOME_NET : chỉ định địa chỉ mạng của mình đang bảo vệ
EXTERNAL_NET: các mạng bên ngoài.
Các biến để chỉ định các server đang chạy các service phục vụ cho hệ thống
DNS_SERVERS : địa chỉ của máy DNS.
SMTP_SERVERS : địa chỉ của máy Mail Server.
HTTP_SERVERS : địa chỉ của máy Web server
SQL_SERVERS : địa chỉ của máy chứa cơ sở dữ liệu.
TELNET_SERVERS : địa chỉ của máy làm telnet
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 47 -
Các port mặc định các biến khác:
HTTP_PORTS : Port 80
7.6 Cấu hình option của file Snort.conf
Option Mô tả
config order: pass, alert, log, activation, or
dynamic
Thay đổi các giá trị điều khỉên của rules
config alertfile: alerts Thiết lập output của file báo động
config decode_arp Bật chức năng arp decoding (Snort -a)
config dump_chars_only Bật chức năng character dumps (Snort -
C)
config dump_payload Hiện thông tin lớp application(Snort -d).
config decode_data_link giải mã Layer2 headers (Snort -e).
config bpf_file: filters.bpf Chỉ định dùng bộ lọc BPF (Snort -F).
config set_gid: 30 Thay đổi GID đến GID khác (Snort -g)
config daemon Chạy Snort ở chế độ daemon (Snort -D)
config interface: Thiết lập interface (Snort -i).
config alert_with_interface_name Chỉ định interface cần báo động(Snort -I)
config logdir: /var/log/Snort Thiết lập lại thư mục log (Snort -l).
config umask: Thiết lập umask khi chạy (Snort -m).
config pkt_count: N Thoát ra sau N packets (Snort -n).
config nolog Tắt chế độ log (Snort -N).
config verbose Sử dụng chế độ xem chi tiết (Snort -v)
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 48 -
7.7 Cấu hình tiền xử lý (preprocessor)
Tiền xử lý phục vụ cho nhiều mục đích. Nó “bình thường hoá” traffic cho các
services, để chắc chắn rằng dữ liệu trong các packet Snort đang theo dõi sẽ có cơ hội tốt
nhất để so sánh với các tín hiệu nhận dạng (signatures ) mà Snort đuợc trang bị.
Ví dụ :
- preprocessor arpspoof
- preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b
- preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b
- Ta cho Snort biết địa chỉ MAC của máy trong LAN, khi bị tấn công giả mạo
địa chỉ MAC, Snort sẽ so sánh giá trị này và cảnh báo cho người quản trị.
Flow
Flow preprocessor có một module là flow-portscan. Flow theo dõi tất cả traffic
và giữ các track kết nối giữa hệ thống và port lạ, khi có 1 flow lạ mới thông tin sẽ
chuyển qua hash (làm cho các track nhỏ hơn , nhanh hơn trong tracking các địa chỉ
IP và PORTS) được lưu trữ trong bảng bộ nhớ dành sẵn. Các option cho flow
preprocessor
Frag
Khi một packet đi từ mạng này qua mạng khác, nó thường cần phân mảnh
thành các packet nhỏ hơn, bởi vì mạng thứ 2 sẽ giới hạn kích thuớc của packet và
tất nhiên nhỏ hơn mạng đầu tiên. Và tất cả các packet nhỏ sẽ đuợc sắp xếp lại khi
đến nơi. Một trong những phương pháp của attacker là dùng các packet nhỏ để lừa
firewall hoặc IDS.
Stream4
Stream4 được thiết kế để bảo vệ Snort từ 1 dạng tấn công mới của attacker tới
các NIDS sensor bằng cách gửi tràn ngập các packet chứa các chuỗi dữ liệu giống
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 49 -
như trong rules để kích các báo động, cũng có khá nhiều tools dùng cho việc này
nhưng Snort của có cách chống lại. Stream4 có 2 nhiệm vụ chính: sateful
inspection ( kiểm tra tính nguyên vẹn ), awareness and session reassembly ( nhận
biết và sắp xếp các session )
Tiền xử lý các http inspect
Có nhiều cách thông tin có thể định dạng sang các http session và cũng có
nhiều loại khác nhau biểu diễn các thông tin như là các http session như
multimedia, .xml, .HTML, .asp, .php, .java,….và kết quả Snort phải gửi lại nội
dung của các HTTP conversation để định dạng lại data phục vụ cho quá trình phát
hiện tốt nhất.
Arpspoof
Arpspoof được thiết kế cho preprocessor dể detech các hoạt động spoof arp bất
hợp pháp trên local network. Các hacker dùng các tools man-in-the-middle attacks
như ettercap hoặc arpspoof để nghe trộm giữa các máy trong mạng nội bộ. để cấu
hình administrator phải biết địa chỉ MAC của card mạng, điều này thì quá dễ dàng:
Ví dụ:
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 F0:AB:GH:10:12:53
File Inclusion
Trong file Snort.conf, câu lệnh include chỉ cho Snort đọc các file sau từ include
được lưu trong filesystem của Snort sensor, giống như trong lập trình vậy
Ví dụ :
include $RULE_PATH/bad-traffic.rules
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 50 -
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
Các rules trên ta có thể download trên internet, khi down về ta muốn phân
nhóm hoặc chỉnh sửa,độ ưu tiên các rules ta có thể cấu hình trong file
classification.config, file reference.config gồm các links tới web site với các thông
tin cho tất cả các alerts, include nó rất hữu tích , nhanh gọn
Ví dụ:
# include classification & priority settings
# include classification.config
# include reference systems
include reference.config
Cài đặt tập rule cho SNORT
tar -xzvf snortrules-snapshot-2.8.tar.gz
cd rules
cp * /etc/snort/rules
7.8 Thiết Lập Snort khởi động cùng hệ thống
Tạo một liên kết mềm (symbolic link) của file snort binary đến /usr/sbin/snort
ln -s /usr/local/bin/snort /usr/sbin/snort
cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/
cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort
Đặt quyền lại cho file snort :
chmod 755 /etc/init.d/snortd
chkconfig snortd on
service snortd start
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 51 -
7.9 Quản lý snort bằng webmin
- Cài webmin :
rpm –ivh webmin-1.400.noarch.rpm
Log vào Webmin, chọn chức năng Webmin Modules, import thêm Snort module
vào Webmin:
7.10 Tạo CSDL snort với MySQL
#service mysqld start
Trước tiên ta cần set password cho root trong MySQL.
#mysqladmin -u root password 123456
#mysql –p
Tạo password cho tài khoản snort
mysql> use mysql;
mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 52 -
Tạo CSDL cho snort.
mysql> create database snort;
mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.*
to snort@localhost;
mysql> flush privileges;
mysql> exit
Tạo các table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư
mục gải nén snort)
mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort
mysql -p
show databases;
use snort;
show tables;
Quan sát các tables
7.11 Cài đặt BASE và ADODB
Web server và PHP đã cài đặt sẵn ta cần cài thêm vài gói pear cho PHP.
cd snort/snort-2.8.4.1
pear install Image_Graph-alpha Image_Canvas-alpha Image_Color
Cài đặt ADODB
cp adodb480.tgz /var/www/html/
cd /var/www/html/
tar -xzvf adodb480.tgz
Cài BASE
#cp /snort/base-1.4.4.tar.gz /var/www/html/
#tar -zxvf base-1.4.4.tar.gz
#mv base-1.4.4/ base/
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 53 -
#cd base
#cp base_conf.php.dist base_conf.php
#vi base_conf.php
Restart Snort
#service snortd restart
#service httpd restart
Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
- Trang 54 -
THE END
Sưu tầm bởi www.diendandaihoc.com
Các file đính kèm theo tài liệu này:
- Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ.pdf