i Tp. Hồ Chí Minh, ngày … tháng … năm 2013 NHIỆM VỤ ỐT NGHIỆP Họ và tên sinh viên: MSSV: Chuyên ngành: Lớp: Giáo viên hướng dẫn: Ngày giao đề tài: Ngày nộp đề tài: 1. Tên đề tài: 2. Các số liệu, tài liệu ban đầu 3. Nội dung thuyết minh và tính toán 4. Sản phẩm Trường Đại Học Sư Phạm Kỹ Thuật Tp.HCM Khoa Đào Tạo Chất Lượng Cao *** Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự do – Hạnh phúc *** Trưởng ngành Giáo viên hướng dẫn ii NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Giáo viên hướng dẫn iii NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Giáo viên phản biện 1 LỜI CẢM ƠN Sau nhiều tháng tìm hiểu, nghiên cứu và cài đặt, đề tài “Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng Snort/Snortsam” về cơ bản đã hoàn thành. Trong thời gian thực hiện đề tài em đã nhận được nhiều sự giúp đỡ từ bạn bè, các anh chị và thầy cô. Em xin chân thành gửi lời cảm ơn đến sự giúp đỡ, sự động viên và ủng hộ tinh thần của gia đình và bè bạn để hoàn thành đề tài này. Em cũng xin chân thành cảm ơn quý thầy cô tại trường Đại học Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh, và Khoa Đào tạo Chất lượng cao đã tạo điều kiện cho em được nghiên cứu và học tập. Đặc biệt em xin chân thành cảm ơn thầy Nguyễn Đăng Quang đã luôn nhiệt tình nhắc nhở, đốc thúc em làm việc chăm chỉ, thầy chỉ bảo và gửi em nhiều bài báo cáo để em có thể tham khảo và hoàn thành đề tài. Thầy đã có những góp ý về cả nội dung và trình bày để em có thể hoàn thành bài báo cáo một cách tốt nhất Mặc dù đã rất cố gắng để hoàn thành đề tài một cách tốt nhất, nhưng chắc chắn đề tài sẽ vẫn còn tồn tại những thiếu sót. Em luôn mong mỏi nhận được các góp ý, các thảo luận về các vấn đề này. Sinh viên thực hiện Nguyễn Văn Quang 2 TÓM TẮT Xây dựng hệ thống phòng chống và phát hiện xâm nhập là một giải pháp nhằm nâng cao tính bảo mật của hệ thống. Xây dựng hệ thống phát hiện xâm nhập không nhằm mục đích thay thế hệ thống tường lửa mà chỉ giúp bổ sung, thu thập thật nhiều thông tin cho quá trình ngăn chặn các cuộc tấn công. Ngoài các khái niệm, kỹ thuật phát hiện hiện xâm nhập của một hệ thống phát hiện xâm nhập. Khóa luận còn tìm hiểu về một hệ thống phát hiện xâm nhập dựa trên mạng là Snort và một mô-đun SnortSam kết hợp với iptables nhằm mục đích ngăn chặn tấn công. Mục tiêu chính của khóa luận là hiểu rõ nhất về cấu trúc của tập luật Snort. Hình thành tư duy phân tích hệ thống thay vì triển khai hệ thống. Từ đó xây dựng ra các tập luật cho những tình huống cụ thể của từng hệ thống. Nội dung chính của khóa luận có thể chia thành 3 phần chính: Phần 1: Bao gồm các nội dung chính về hệ thống phát hiện xâm nhập, mô hình, kỹ thuật phát hiện… Phần 2: Chi tiết kỹ thuật về hệ thống phát hiện xâm nhập mạng Snort/SnortSam. Kiến trúc của hệ thống Snort, cấu trúc luật của Snort. Phần 3: Phân tích một vài dạng tấn công, phân tích các luật tương ứng. Demo hệ thống. Từ khóa: phát hiện xâm nhập, hệ thống phát hiện xâm nhập, phát hiện dựa trên sự bất thường, phát hiện dựa trên mẫu, Snort, SnortSam, SYN Flood, Apache Killer… 3 ABSTRACT For enchanced security of system, we implement a intrusion detection system and intrusion prevention system for our system. Deploy IDS/IPS don’t replace firewall system so supplenment and collected many infomations for prevention attacks. Graduation thesis is researched about define, intrusion detection technology of intrusion detection system (IDS). It still is researched about Snort, SnortSam with iptables for prevention attacks. Main objectives of graduation thesis is system administrator have knowledge about rule syntax, analytics system. Build own Snort rule for him system. Content of graduation thesis include three main part: Part 1: Intrusion detection, network diagram, intrusion detection technology. Part 2: Snort/SnortSam, Snort architecture, Snort rule syntax. Part3: Analytics a few attacks, analytics a few rules for attack and demo. Keywords: intrusion detection, intrusion detection system, anomaly based intrusion detection, misuse/signature based intrusion detection, Snort, SnortSam, SYN Flood, Apache Killer. 4 MỤC LỤC DANH MỤC HÌNH VẼ 7 DANH MỤC TỪ VIẾT TẮT 9 PHẦN I: ĐẶT VẤN ĐỀ 10 PHẦN II: GIẢI QUYẾT VẤN ĐỀ 3 CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 5 1.1. Giới thiệu 5 1.2. Hệ thống phát hiện xâm nhập là gì? 5 1.2.1. Network-based IDS 7 1.2.2. Host-based IDS 8 1.3. Các kỹ thuật phát hiện xâm nhập 10 1.3.1. Anomaly Based Intrusion Detection 10 1.3.2. Misuse/Signature Based Intrusion Detection 12 1.4. Đặt IDS trong hệ thống mạng 13 CHƯƠNG 2: GIỚI THIỆU VỀ SNORT/SNORTSAM 15 2.1. Snort là gì? 15 2.2. Triển khai hệ thống Snort 15 2.2.1. Yêu cầu phần cứng 16 2.2.2. Hệ điều hành và các gói phần mềm khác 17 2.3. Đặc điểm của Snort 17 2.3.1. Packet Sniffer (Decoder) 19 2.3.2. Preprocessors 20 2.3.3. Detection Engine 21 5 2.3.4. Thành phần cảnh báo/logging 23 2.4. Các chế độ hoạt động của Snort 24 2.4.1 Chế độ sniffer và chế độ log 24 2.4.2 Chế độ NIDS 25 2.5. Giới thiệu về SnortSam 26 2.5.1. Snort Output Plug-in 27 2.5.2. Blocking Agent 28 CHƯƠNG 3: PREPROCESSORS VÀ OUTPUT PLUG-INS 30 3.1. Preprocessors 30 3.1.1. Frag3 31 3.1.2. Stream5 35 3.1.4. HTTP Inspect 39 3.2. Output 40 CHƯƠNG 4: LUẬT TRONG SNORT 42 4.1. Rule Header 43 4.1.1. Rule Action 43 4.1.2. Protocol 44 4.1.3. IP Address 44 4.1.4. Port 44 4.1.5. Điều hướng 45 4.1.6. Activate/Dynamic rule 45 4.2. Rule Options 46 4.2.1. General 46 4.2.2. Payload 48 6 4.2.3. Non-Payload 51 4.2.3. Post-detection 57 CHƯƠNG 5: PHÂN TÍCH MỘT SỐ LUẬT TRONG SNORT 61 5.1. Khảo sát luật scan 61 5.2 Win.Trojan.Ibabyfa.dldr 64 5.3. TCP-SYN Flood 65 5.4 Apache Killer (CVE-2011-3192) 67 CHƯƠNG 6: CÀI ĐẶT VÀ CẤU HÌNH SNORT 71 6.1 Sơ đồ hệ thống 71 6.2. Cài đặt Snort và SnortSam 72 6.3. Thử nghiệm các kiểu tấn công 83 KẾT QUẢ ĐẠT ĐƯỢC 86 PHẦN KẾT LUẬN 88 TÀI LIỆU THAM KHẢO 91 7 DANH MỤC HÌNH VẼ Hình 1.1: OSSEC được triển khai trên các Server. 9 Hình 1.2: Các mẫu khác thường. 10 Hình 1.3: Phân tích chuyển trạng thái 12 Hình 1.4: Các vị trí đặt IDS trong hệ thống mạng. 14 Hình 2.1: Kiến trúc của Snort. 18 Hình 2.2: Các gói tin đi vào Sniffer. 19 Hình 2.3: Giải mã gói tin. 20 Hình 2.4: Quá trình xử lí ở Preprocessors. 21 Hình 2.5: Gói tin được xử lý ở Detection Engine bằng các luật. 22 Hình 2.6: Thành phần cảnh báo và logging. 24 Hình 3.1: Quá trình tiền xử lý. 31 Hình 3.2: Phân loại các hệ điều hành 34 Hình 3.3: Ý nghĩa các tham số cấu hình toàn cục. 36 Hình 3.4: Ý nghĩa các tham số cấu hình TCP. 38 Hình 3.5: Ý nghĩa các tham số cấu hình UDP. 38 Hình 3.6: Ý nghĩa các tham số cấu hình ICMP. 38 Hình 3.7: Ý nghĩa các tham số cấu hình IP. 38 Hình 4.1: Cấu trúc luật trong Snort. 43 Hình 4.2: Bảng reference 47 Hình 4.3: Bảng ipopts. 52 Hình 4.4: Bảng flag 53 Hình 4.5: Bảng Type của ICMP Header 55 [...]... “Giới thiệu về Snort/ S nortSam” Chương 3, “Preprocessors và Output Plug-ins”, tiền xử lý trong Snort và phần output Chương 4, “Luật trong Snort , cấu trúc của một luật trong Snort Chương 5, “Phân tích một số luật trong Snort , trình bày một số dạng tấn công và tập luật kèm theo Chương 5, “Cài đặt và cấu hình Snort/ SnortSam Chương 6, “Demo phát hiện xâm nhập và phòng chống dựa trên Snort/ SnortSam 4 CHƯƠNG... SnortSam thông qua tài liệu và hướng dẫn sử dụng từ trang chủ của SnortSam Triển khai hệ thống trên máy ảo Virtualbox, xây dựng hệ thống mạng đơn giản mô tả một hệ thống mạng nhỏ trong thực tế Triển khai các dịch vụ như trong mô hình mạng cỡ nhỏ Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công cụ và cách thức thực hiện Triển khai tấn công, xâm nhập, khai thác lỗ hổng Sau đó đọc... phát triển bởi Sourcefire Kết hợp việc kiểm tra dấu hiệu, giao thức và dấu hiệu bất thường, Snort đã được triển khai rộng khắp trên toàn thế giới Với hàng triệu lượt download và hơn 400.000 lượt người dùng đăng ký, Snort đã trở thành tiêu chuẩn của hệ thống phòng chống và phát hiện xâm nhập Chức năng chính của Snort đó là packet sniffing, packet logging và network-based intrusion detection Tại sao Snort. .. xâm nhập Snort, add-ons của Snort là SnortSam Nghiên cứu và hình thành các tập luật đối với các dạng tấn công, xâm nhập cụ thể Phương pháp nghiên cứu Nghiên cứu về lý thuyết phát hiện xâm nhập thông qua các tài liệu các bài báo cáo Nghiên cứu lý thuyết về Snort thông qua tài liệu từ trang chủ của Snort, tài liệu hướng dẫn cho người sử dụng từ Sourcefire và các nguồn tài liệu khác Nghiên cứu về SnortSam. .. đọc log, phân tích gói tin bắt được, chuyển hóa thành các luật nhằm phát hiện và ngăn chặn 2 PHẦN II GIẢI QUYẾT VẤN ĐỀ 3 Nội dung Các nội dung chính trong phần này bao gồm: hệ thống phát hiện xâm nhập, Snort, SnortSam, cấu trúc và cách viết các luật trong Snort Cài đặt triển khai Snort trong hệ thống mạng, demo tấn công và phát hiện Chương 1, “Hệ thống phát hiện xâm nhập (IDS)”, tổng quan về hệ thống... IP đích và port  Phần Options: là phần nội dung của gói tin được tạo ra để phù hợp với luật Luật là phần quan trọng mà bất cứ ai tìm hiểu về Snort cần phải nắm rõ Các luật trong Snort có một cú pháp cụ thể Cú pháp này có thể liên quan đến giao thức, nội dung, chiều dài, hearder và một vài thông số khác Một khi hiểu được cấu trúc các luật trong Snort, người quản trị có thể dễ dàng tinh chỉnh và tối... dễ dàng tải về từ http://www .snort. org 2.2 Triển khai hệ thống Snort 15 2.2.1 Yêu cầu phần cứng Rất khó để đưa ra một yêu cầu chung nhất cho phần cứng đề cài đặt Snort vì điều này còn phụ thuộc vào nhiều yếu tố khác nhau Hai yếu tố cần quan tâm đến việc lựa chọn phần cứng cho hệ thống Snort đó là lưu lượng traffic trên hệ thống và yêu cầu xử lí, lưu trữ đối với hệ thống Snort Yêu cầu phần cứng của hệ... phát hiện xâm nhập đang được áp dụng Nghiên cứu về hệ thống phát hiện xâm nhập Snort, cách cài đặt, cấu hình, triển khai trong hệ thống mạng Phân tích các dấu hiệu của các hình thức tấn công, hình thành nên các luật tương ứng với đặc điểm của các dạng tấn công và xâm nhập đó Nghiên cứu, triển khai SnortSam như một add-on của Snort nhằm chặn các cuộc xâm nhập được chỉ định 1 Đối tượng nghiên cứu Đối tượng... mật), PHP và cơ sở dữ liệu để lưu trữ các cảnh báo thì cần cài MySQL hoặc PostgreSQL Một vài add-on phổ biến:  ACID  Oinkmaster  SnortSnarf  SnortReport  Snorby Nếu quản trị từ xa thông qua giao thức SSH thì cần cấu hình SSH 2.3 Đặc điểm của Snort 17 Ở chế độ NIDS, sau khi các gói tin đi vào và vượt qua packet sniffer, dữ liệu sẽ được gửi thông qua bất kỳ preprocessor nào được cấu hình trong snort. conf... tin Dựa vào các thông tin đã giải mã được, nó sẽ gọi các lớp cao hơn và giải mã cho đến khi không còn bộ giải mã nào nữa Hầu hết các mạng hiện nay triển khai Snort là mạng Ethernet nên sẽ xét thử một ví dụ giải mã một gói tin trong mạng này Đầu tiên khi gói tin đi vào nó sẽ phải đi qua chức năng DecodeEthPkt Sau đó, overlaying cấu trúc Ethernet lên đầu của phần dữ liệu, địa chỉ MAC nguồn và đích và loại . 1 LỜI CẢM ƠN Sau nhiều tháng tìm hiểu, nghiên cứu và cài đặt, đề tài Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng Snort/ Snortsam về cơ bản đã hoàn thành luật trong Snort , trình bày một số dạng tấn công và tập luật kèm theo. Chương 5, “Cài đặt và cấu hình Snort/ SnortSam . Chương 6, “Demo phát hiện xâm nhập và phòng chống dựa trên Snort/ SnortSam THIỆU VỀ SNORT/ SNORTSAM 15 2.1. Snort là gì? 15 2.2. Triển khai hệ thống Snort 15 2.2.1. Yêu cầu phần cứng 16 2.2.2. Hệ điều hành và các gói phần mềm khác 17 2.3. Đặc điểm của Snort 17 2.3.1.