TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT/SNORTSAM  SV: Nguyễn Văn Quang GVHD: Th.S Nguyễn Đăng Quang Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh Khoa Đào tạo Chất lượng cao Nội dung 2 Giới thiệu về IDS Snort/SnortSam Luật của Snort Demo Kết quả Mục tiêu đề tài 3 Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm, kiến trúc, kỹ thuật phát hiện xâm nhập. Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển khai trong hệ thống mạng. Phân tích các dấu hiệu tấn công, hình thành các luật tương ứng. Demo trên mô hình ảo. Giới thiệu về IDS 4 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. 5 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. “Xâm nhập máy tính” là hành động cố tình truy cập mặc dù không được phép hoặc tìm cách vượt qua quyền đã có để truy xuất các tài nguyên không được phép. 6 Giới thiệu về IDS 7 IDS Giám sát/theo dõi Xác định Báo cáo 8 Giới thiệu về IDS 9 Giới thiệu về IDS Phân loại IDS 10 Network-based IDS  Snort  Suricata  Cisco, Juniper, Lactien JSC Host-based IDS  Tripwire  Symantec HIDS  OSSEC [...]... quan thông qua web interface × BASE × Snorby × SGUIL 26 Output 27 SnortSam Là một plugin giúp chủ động ngăn chặn các cuộc tấn công Hỗ trợ nhiều loại firewall khác nhau: × iptables × pfsense × Microsoft ISA Server × Cisco, Juniper firewall 28 SnortSam Snort Output Plugin (alert_fwsam): Module này sẽ được kích hoạt sau khi một luật trong Snort được kích hoạt Làm nhiệm vụ giao tiếp và gửi thông tin đến... điểm: × Thường xuyên cập nhật các dấu hiệu nhận biết các cuộc tấn công × Các dấu hiệu cần phải được thiết kế một cách chặt chẽ nếu không thể phát hiện được các cuộc tấn công biến thể 19 Snort/ SnortSam 20 Kiến trúc của Snort Snort Packet Stream Packet Decoder Preprocessors Packet Capture Detection Engine Output 21 Packet Decoder Một gói tin đi vào Packet Giải mã cấu trúc của gói tin Ethernet Header IP Header... Cung cấp các thông tin để xây dựng các dấu hiệu Nhược điểm:  Có thể tạo ra số lượng lớn các cảnh báo sai  Cần phải được đào tạo thường xuyên 17 Misuse/Signature Base ID Là kỹ thuật so sánh dấu hiệu của các đối tượng đang quan sát với dấu hiệu của các hình thức xâm nhập đã biết trước Ưu điểm: × Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết trước × Nhanh chóng và đáng tin cậy trong... tin sẽ bị bỏ đi, nếu phù hợp sẽ được xử lý tiếp Detection Engine Rule Phù hợp ? Không Có Gửi tới phần cảnh báo và logging 24 Output (alert/logging) Thành phần này giúp định dạng và trình bày đầu ra cho người quản trị hệ thống Phần logging có nhiệm vụ lưu trữ các gói tin đã được kích hoạt Các cảnh báo và log có thể được gửi thông qua SMB popup, UNIX socket, SNMP hoặc lưu trữ xuống MySQL, PostgerSQL 25...Network-based IDS 11 Host-based IDS 12 Kỹ thuật phát hiện xâm nhập Phát hiện dựa trên sự bất thường Phát hiện dựa trên dấu hiệu 13 Anomaly Based ID Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường,... này sẽ được kích hoạt sau khi một luật trong Snort được kích hoạt Làm nhiệm vụ giao tiếp và gửi thông tin đến Agent Blocking Agent: Giao tiếp trực tiếp với firewall, nhận một thông điệp từ phần alert_fwsam và yêu cầu firewall chặn các địa chỉ theo yêu cầu 29 Luật (rule) Ví dụ: Nếu có người cố gắng mở cửa ô tô, thì còi xe sẽ hú Cấu trúc: Rule Header Rule Option 30 Rule Header Rule Action x Alert x Log... hiện, chứa các dấu hiệu để phát hiện xâm nhập Gồm 4 loại: × General × Payload × Non-Payload × Post-detection 33 Rule Options rev classtype msg sid priority General nocase distance depth content within sameip offset pcre Payload 34 Rule Options tos itype id dsize icode ttl fragbits flag flow sed ack Non-payload session logto tag resp detection_filter react Post-detection 35 Ví dụ alert tcp $EXTERNAL_NET