Đang tải... (xem toàn văn)
TRIỂN KHAI HỆ THỐNG SNORT IDSIPS KẾT HỢP VỚI FIREWALL PFSENSE ĐỂ BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP. PHÂN TÍNH GIẢI PHÁP ỨNG PHÓ KỸ THUẬT TRÁNH NÉ MÃ HÓA VÀ TẠO ĐƯỜNG HẦM (ENCRYPTION AND TUNNELING) BẰNG TOOL DNSCAT2
Trường Đại học Công nghiệp Thực phẩm TP.HCM Khoa Công nghệ thơng tin TIỂU LUẬN GIỮA KÌ HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP “ĐỀ TÀI 14” ” Giảng viên hướng dẫn Nhóm thực ThS Bùi Duy Cương 07 HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CƠNG NGHỆ THƠNG TIN ĐỀ TÀI 14: PHÂN TÍNH GIẢI PHÁP ỨNG ĐỀ PHÓ TÀI KỸ 14: THUẬT TRÁNH NÉ MÃ HÓA VÀ TẠO ĐƯỜNG HẦM (ENCRYPTION AND TUNNELING) TRIỂN KHAI HỆ THỐNG SNORT IDS/IPS KẾT HỢP VỚI FIREWALL PFSENSE ĐỂ BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP DANH SÁCH THÀNH VIÊN NHÓM Họ Tên MSSV Quách Vũ Thường 2033207469 Nguyễn Anh Tuấn 2033207472 Nguyễn Văn Linh 2033204745 Đoàn Đặng Anh Khoa 2033207506 GVHD: Ths Bùi Duy Cương Thành phố Hồ Chí Minh, tháng 04 năm 2023 HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 Mục lục PHẦN 1: PHÂN TÍNH GIẢI PHÁP ỨNG PHÓ KỸ THUẬT TRÁNH NÉ MÃ HÓA VÀ TẠO ĐƯỜNG HẦM (ENCRYPTION AND TUNNELING) 1.1 Kỹ thuật tránh né (Evasion techniques) 1.1.1 Khái quát: 1.1.2 Các kỹ thuật tránh né: 1.2 Kỹ thuật mã hóa (encryption) 1.3 Kỹ thuật tạo đường hầm (tunneling) 1.3.1 Remote Access VPN: 1.3.2 Site – to – Site VPN 1.3.3 Sử dụng công cụ khác: 1.4 Giải pháp ứng phó PHẦN 2: THỰC NGHIỆM KỸ THUẬT TRÁNH NÉ MÃ HÓA VÀ TẠO ĐƯỜNG HẦM (ENCRYPTION AND TUNNELING) BẰNG CÔNG CỤ DNSCAT2 2.1 Cơ sở lí thuyết 2.1.1 Giới thiệu dnscat2: 2.1.2 Cách hoạt động: 2.1.3 Cách phòng chống: 10 2.2 Thực nghiệm dnscat2 11 PHẦN 3: TRIỂN KHAI HỆ THỐNG SNORT IDS/IPS KẾT HỢP VỚI FIREWALL PFSENSE ĐỂ BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP 17 3.1 Cơ sở lí thuyết: 17 NHÓM 07 i HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 3.1.1 Firewall Pfsense: 17 3.1.2 Snort: 18 3.2 Thực nghiệm triển khai hệ thống snort ids/ips kết hợp với firewall pfsense20 3.2.1 Cài firewall pfsense vmware: 20 3.2.2 Cài snort pfsense 25 3.2.3 Tấn công đơn giản: 29 PHẦN 4: VIDEO DEMO 33 TÀI LIỆU THAM KHẢO 34 NHÓM 07 ii HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 Mục Lục Hình Ảnh Hình 1: Remote Access VPN Hình 2: Site – to – Site VPN Hình 3: Mô hình sử dụng dnscat2 bypass firewall 11 Hình 4: Cài đặt dnscat2 server máy attacker (kali linux) .12 Hình 5: di chuyển đến folder vừa cài, chạy lệnh ruby /dnscat2.rd Server lắng nghe port 53, lắng nghe phản hồi từ dnscat2 client từ nạn nhân New window: (chưa có nạn nhân kết nối) 12 Hình 6: Trên máy nạn nhân tải dnscat2 client, sau chạy file exe, kết nối với dnscat2 server địa ip máy server 13 Hình 7: Lúc dnscat2 server (máy attacker) nhận kết nối từ nạn nhân hiển thị thông báo .13 Hình 8: Dnscat2 hỗ trợ số lệnh để thực thi đến máy nạn nhân 14 Hình 9: Attacker tiến hành ping đến máy nạn nhân 14 Hình 10: Trên máy nạn nhân, mở wireshark bắt gói tin, khơng phát gói ICMP có gói DNS Tuy nhiên, gói DNS có lưu lượng khơng bình thường 15 Hình 11: Mở firewall pfsense có snort ta thấy khơng có cảnh báo từ rule ping máy attacker (IP: 192.168.105.137) 15 Hình 12: Ngồi ra, mở notepad từ attacker .16 Hình 13: Cửa sổ notepad máy nạn nhận bị điều khiển attacker 16 Hình 14: Mô hình 20 Hình 15: Cài đặt đường mạng (VMnet0: bridged, VMnet1: Host-only) 20 Hình 16: Trên máy pfsnese cài card mạng 21 Hình 17: Máy nạn nhân kết nối VMnet1 có địa ip 192.168.10.1 .21 Hình 18: Máy attacker với card mạng vnet0 với ip 192.168.105.117 22 Hình 19: Chèn file iso chạy pfsense 22 Hình 20: Cài đặt ip cho card mạng 23 NHĨM 07 iii HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 Hình 21: Đây ipv4 card Lan địa để máy client truy cập pfsense web .23 Hình 22: Trên máy client truy cập vào địa ip trên, tiến hành đăng nhập pfsense (mk ban đầu admin) 24 Hình 23: Cài đặt số thông tin cho pfsense 24 Hình 24: Cài đặt thành công 25 Hình 25: Chọn gói snort install 25 Hình 26: Cài thành công 26 Hình 27: Update rule cho snort .26 Hình 28: Trên firewall pfsense ta add Rules cho card wan 27 Hình 29: Attacker ping tới firewall 27 Hình 30: Trên snort tự viết số rule 28 Hình 31: Thử truy cập trang web 28 Hình 32: Hệ thống phát đưa cảnh báo rule web 29 Hình 33: Trên snort viết rule dos 29 Hình 34: Attacker máy kali dùng hping3 công 30 Hình 35: Tài nguyên nạn nhân tăng vượt ngưỡng 30 Hình 36: Snort phát đưa cảnh báo 31 Hình 37: Attacker dừng lại 31 Hình 38: Hệ thống ngừng cảnh báo dos 32 NHĨM 07 iv HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 PHẦN 1: PHÂN TÍNH GIẢI PHÁP ỨNG PHĨ KỸ THUẬT TRÁNH NÉ MÃ HÓA VÀ TẠO ĐƯỜNG HẦM (ENCRYPTION AND TUNNELING) 1.1 Kỹ thuật tránh né (Evasion techniques) 1.1.1 Khái quát: "Evasion techniques" phương pháp kỹ thuật sử dụng để tránh đối phó với biện pháp bảo mật kiểm soát hệ thống, chẳng hạn phần mềm chống virus, tường lửa, hay biện pháp an ninh mạng khác Các kỹ thuật thường sử dụng kẻ công hacker để phá vỡ tránh qua mặt biện pháp bảo mật nhằm mục đích truy cập trái phép vào hệ thống thực hoạt động độc hại 1.1.2 Các kỹ thuật tránh né: Mã hóa tạo đường hầm (encryption and tunneling): Các gói liệu mã hóa đưa vào đường hầm bảo mật (secure tunnel) NIPS bắt gói tin mã hóa, khơng có khả giải mã phân tích chúng Ví dụ: Kết nối SSH đến SSH server Đường hầm VPN chế độ remote access Đường hầm VPN chế độ site-to-site Kết nối SSL (Secure Socket Layer) tới website Có loại đóng gói khác mà cảm biến khơng thể phân tích giải nén mà kẻ công thường sử dụng cơng trốn tránh Ví dụ, đường hầm GRE (Generic Route Encapsulation) thường sử dụng có khơng có mã hóa Tấn cơng định (timing attacks): Kẻ cơng né tránh phát NIPS cách thực hành động chúng chậm bình thường, không vượt NHĨM 07 HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 mức ngưỡng bên cửa sổ thời gian (time windows) mà dấu hiệu (signature) dùng để tương quan gói tin khác lại với Ví dụ: Trong cơng thám mạng, kẻ công làm chậm lại việc gởi gói tin thám Trong trường hợp này, kẻ cơng né tránh phát đơn giản cách quét lâu Làm cạn kiệt tài nguyên (resource exhaustion): Phương pháp làm cạn kiệt nguồn tài nguyên cảm biến IPS Một số cơng cụ tạo làm cho IPS tạo số lượng lớn cảnh báo, từ làm IPS tiêu tốn nguồn tài nguyên khơng có có khả ngăn chặn cơng từ việc ghi log Phân mảnh lưu lượng (traffice framentation): Với phương pháp này, kẻ công cố gắng chia nhỏ lưu lượng xấu để tránh bị phát Ví dụ: kẻ công phân mảnh lưu lượng IP theo cách thức mà diễn giải nhiều cách Điều làm cho cảm biến IPS “hiểu” khác với máy tính đích Thay chèn lưu lượng (Traffic substitution and insertion): Việc thay thể lưu lượng (traffice substitution) kẻ công cố gắng thay liệu tải (payload data) liệu khác định dạng khác Việc chèn lưu lượng kẻ công chèn thêm thông tin mà không làm thay đổi ý nghĩa phần tải (payload) phần tải dùng để cơng Ví dụ: Thay “space” “tab” bên yêu cầu HTTP Dùng unicode thay cho chuỗi ký tự ASCII bên HTTP request 1.2 Kỹ thuật mã hóa (encryption) Trong thời đại, việc gửi liệu đơn giản qua mạng hiển thị nội dung cho trung gian Vì vậy, gửi qua cách mật mã Cypher khơng gì ngồi thủ tục tập hợp thuật tốn để thực mã hóa giải mã liệu để gửi qua mạng để trì tính tồn vẹn bảo mật Khi cypher thuật toán áp dụng cho văn túy, văn mã hóa kết gọi văn cypher Trong giới thực, có nhiều loại mã hóa cung cấp nhiều loại NHĨM 07 HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 mức độ bảo mật Các tính bảo mật phụ thuộc vào nguồn đích khả tương thích tài nguyên hệ thống, kết nối mạng, phân bổ nhớ, v.v Tùy thuộc vào kích thước liệu mã hóa, mã hóa phân loại theo hai cách Mật mã theo dòng: Trong phương pháp này, liệu đầu vào mã hóa theo dòng liên tục niềm đam mê Mật mã khối: Trong phương pháp này, liệu đầu vào lấy dạng khối mã hóa Dựa loại khóa sử dụng để mã hóa mơ tả, mã hóa lại chia làm hai loại Mã hóa đối xứng: Trong phương pháp này, khóa sử dụng để mã hóa giải mã liệu hai phía nguồn đích In mật mã đối xứng, phải chia sẻ khóa trước nguồn đích Nếu có bên thứ ba biết khóa, họ chặn liệu Mã hóa bất đối xứng: Trong phương pháp này, chúng tơi sử dụng khóa khác để mã hóa giải mã liệu Đối với liệu bất đối xứng, không cần thiết phải chia sẻ khóa thứ mười hai sớm Vì vậy, chúng cung cấp tính bảo mật cao so sánh với đối xứng mật mã Chúng ta sử dụng mật mã bất đối xứng để chia sẻ khóa mật mã đối xứng trì tính bảo mật internet Mặc dù cyphers phân loại theo cách trên, dựa tiêu chuẩn cách thức hoạt động, chúng phân loại bên loại trừ lẫn Chuẩn thuật tốn mã hóa Thuật toán băm Chuẩn chữ ký số Tiêu chuẩn sở hạ tầng khóa cơng khai (PKI) Tiêu chuẩn khơng dây Các thuật tốn xác định cách mã hóa băm văn túy sử dụng phím đối xứng khơng đối xứng Độ mạnh mã hóa phụ thuộc vào kích thước khóa sử dụng NHĨM 07 HỆ THỐNG TÌM KIẾM, NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP ĐỀ TÀI 14 1.3 Kỹ thuật tạo đường hầm (tunneling) VPN viết tắt Virtual Private Network cho phép người dùng khách hàng truy cập vào liệu mã hóa thơng qua internet mạng nội VPN sử dụng khái niệm gọi đường hầm thường gọi đường hầm VPN Bất người dùng muốn sử dụng VPN, họ phải tạo đường hầm đến máy chủ VPN Đường hầm mã hóa theo nhiều tiêu chuẩn khác cyphers liệu bảo mật VPN phân loại thành hai loại dựa cách người dùng truy cập vào: 1.3.1 Remote Access VPN: Hình 1: Remote Access VPN Trong loại VPN này, có người dùng cuối kết nối với máy chủ VPN truy cập dịch vụ cách an toàn Các dịch vụ giống liệu web, tệp, API, v.v Ví dụ VPN truy cập từ xa HTTPS, SSH, SFTP, OPENVPN chế độ đường hầm Remote Access VPN hữu ích cho người dùng doanh nghiệp người dùng gia đình Tốt ví dụ cho việc sử dụng VPN khách hàng doanh nghiệp Khi khách hàng doanh nghiệp du lịch làm việc nhà, để truy cập tài nguyên công ty cách an tồn với tính truy cập từ xa VPN Phần mềm doanh nghiệp tốt sử dụng Cisco Any connect VPN, IPSec, PPTP, SSTP,… NHÓM 07