Đang tải... (xem toàn văn)
Hệ thống phát hiện xâm nhập IDS (intrusion detection system)
MỤC LỤC Bảo mật vấn đề lớn tất mạng môi trường doanh nghiệp ngày Hacker Intruder (kẻ xâm nhập) nhiều lần thành công việc xâm nhập vào mạng công ty đem ngồi nhiều thơng tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng giao tiếp Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… có hệ thống phát xâm nhập Phát xâm nhập tập công nghệ phương thức dùng để phát hành động khả nghi host mạng Các phương pháp phát xâm nhập bắt đầu xuất năm gần Sử dụng phương thức phát xâm nhập, bạn thu thập, sử dụng thơng tin từ loại cơng biết để tìm cố gắng cơng vào mạng hayvào mạng hay máy cá nhân Thông tin thu thập theo cách sử dụng làm cho mạng an tồn hơn, hồn tồn hợp pháp Sản phẩm thương mại mã nguồn mở sẵn có cho mục đích Hệ thống phát xâm nhập IDS (Intrusion Detection System) phương pháp bảo mật có khả phát chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển, ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật Mặc dù phương pháp phát xâm nhập mới, IDS giữ vị trí hệ thống chất lượng thuộc loại top (hàng đầu) ngày Từ vấn đề nêu trên, thực đồ án với mong muốn không giúp bạn hiểu kiến thức chung hệ thống IDS, mà cịn giúp bạn tự xây dựng hệ thống IDS phù hợp với yêu cầu sử dụng ứng dụng rộng rải thực tiển CHƯƠNG II: TỔNG QUAN VỀ IDS/IPS I GIỚI THIỆU CƠ BẢN VỀ IDS/IPS Định nghĩa - Intrusion Detection system ( IDS ): Là hệ thống giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu cơng, đột nhập Hình sau minh họa vị trí thường cài đặt IDS mạng : - Intrusion Prevention system ( IPS ): Là hệ thống bao gồm chức phát xâm nhập (Intrusion Detection–ID) khả ngăn chặn xâm nhập trái phép Chức Các ứng dụng hệ IDS: - Nhận diện nguy xảy - Ghi nhận thơng tin, log để phục vụ cho việc kiểm soát nguy - Nhận diện hoạt động thăm dò hệ thống - Nhận diện yếu khuyết sách bảo mật - Ngăn chặn vi phạm sách bảo mật Các tính hệ IDS: - Lưu giữ thông tin liên quan đến đối tượng quan sát - Cảnh báo kiện quan trọng liên quan đến đối tượng quan sát - Xuất báo cáo Sự khác IDS IPS Name : IDS(Hệ thống phát xâm nhập) IPS(Hệ thống phát & ngăn chặn xâm nhập) Chức năng: - IDS( phát báo cáo xâm nhập) - IPS(Phát ,báo cáo & ngăn chặn) Thuộc vào quy mơ, tính chất mạng máy tính Trong trường hợp mạng có quy mơ nhỏ, với máy chủ an ninh, giải pháp IPS hợp lý Với mạng lớn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng(firewall ) Cơ chế hoạt động hệ thống IDS /IPS Có hai cách tiếp cận đói với việc phát triển phòng chống xâm nhập : Phát lạm dụng (Misuse Detection Model) : Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kỷ thuật xâm nhập biết đến điểm dễ bị công hệ thống Phát bất thường (Anomaly Detection Model ): Hệ thống phát xâm nhập cách tìm kiểm hành động khác với hành vi thông thường người dùng hay hệ thống CHƯƠNG III SNORT TRONG HỆ THỐNG IDS/IPS Giới thiệu • SNORT phần mềm IDS mã nguồn mở kiểu signature-based Kết hợp lợi ích dấu hiệu, giao thức dấu hiệu bất thường, Snort cơng nghệ IDS/IPS triển khai rộng rãi tồn giới • Snort ứng dụng bảo mật đại có ba chức chính: phục vụ phận lắng nghe gói tin, lưu lại thơng tin gói tin hệ thống phát xâm nhập mạng (NIDS) • Snort chủ yếu phân tích cảnh báo giao thức TCP/IP Đặc điểm • Snort chủ yếu IDS dựa luật, nhiên input plug-in tồn để phát bất thường header giao thức • Dữ liệu thu thập phân tích Snort, sau Snort lưu trữ liệu database để phân tích sau • Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác Kiến trúc Snort • Snort bao gồm nhiều thành phần, với phần có chức riêng Cách thành phần là: Module giải mã gói tin (Packet Decoder) Module tiền xử lý (Preprocessors) Module phát (Detection Engine) Module log cảnh báo (Logging and Alerting System) Module kết xuất thơng tin (Output Module) 3.1 Modun giải mã gói tin Packet decoder (Bộ phận giải mã gói) lấy gói từ loại khác giao diện mạng chuẩn bị đưa chúng vào preprocessor gửi qua detection engine 3.2 Modun tiền xử lý Preprocessors (Bộ phận xử lí trước) thành phần hay plug-in sử dụng với Snort để xếp thay đổi gói liệu trước detection engine thực cơng việc tìm kiếm gói liệu nguy hiểm Một vài preprocessor cịn thực tìm dấu hiệu bất thường tiêu đề gói sinh cảnh báo Preprocessor quan trọng IDS nhằm chuẩn bị gói liệu để phân tích cho việc thiết lập rule detection engine 3.3 Modun phát Detection engine thành phần quan trọng Snort Nó chịu trách nhiệm phát có hành vi xâm nhập gói Detection engine tận dụng rule Snort để làm việc Những rule đọc cấu trúc liệu bên hay buộc chặt chúng vào nơi mà chúng so khớp với tất gói Nếu gói khớp với rule, hành động thích hợp sinh ra, chẳng hạn gói bị hủy Những hành động ghi gói hay sinh cảnh báo * Sự vận hành Detection engine phụ thuộc vào yếu tố sau: • Số rule • Sức mạnh hệ thống có Snort chạy • Thơng lượng bên • Lưu lượng mạng 3.4 Modun log cảnh báo Phụ thuộc vào detection engine tìm gói, gói dùng để ghi hành động hay sinh cảnh báo Việc ghi lưu text file đơn giản, loại file tcpdump hay hình thức ghi khác Mặc định tất log file lưu /snort/log/ Bạn sử dụng dịng lệnh “–l” để thay đổi vị trí sinh log file hay cảnh báo Có nhiều lựa chọn dịng lệnh thảo luận phần sau chi tiết thông tin cách ghi log file hay cảnh báo 3.5 Modun kết xuất thơng tin Output modules làm việc sau: • Đơn giản ghi vào snort/log/ hay thư mục khác • Gửi SNMP traps • Gửi thông điệp đến syslog • Ghi vào sở liệu MySQL hay Oracle • Sinh dẫn xuất eXtensible Markup Language (XML) • Bổ sung cấu hình router firewall • Gửi thơng điệp Server Message Block (SMB) đến hệ thống Microsoft Window Những cơng cụ khác gửi cảnh báo định dạng khác e-mail hay qua giao diện web Tập luật (rulesets) Snort Giống virus, hầu hết hành động xâm nhập có vài loại signature Thông tin signature dùng để tạo Snort rules 4.1 Cấu trúc rule * Tất rule có phần logic: rule header rule options Cấu trúc Rule * Rule header :chứa thông tin hoạt động mà rule để lấy Nó chứa tiêu chuẩn cho việc so sánh luật dựa vào gói liệu Rule option thường chứa thơng điệp cảnh báo thông tin thông điệp sử dụng để phát sinh cảnh báo * Rule option :cũng chứa tiêu chuẩn cho việc so sánh luật dựa vào gói liệu Một rule phát loại hay nhiều loại hành vi xâm nhập Rule “thơng minh” rule áp dụng lên nhiều dấu hiệu xâm nhập Cấu trúc chung rule header sau: * Action dùng để xác định loại hành động mà lấy tiêu chuẩn gặp rule so sánh xác gói liệu Những hoạt động điển hình sinh cảnh báo ghi thông điệp diện chứng cho rule khác * Protocol dùng để áp dụng rule lên gói với giao thức riêng * Trong giao thức TCP/UDP, port xác định cổng nguồn đích gói rule áp dụng lên Trong trường hợp giao thức lớp network IP ICMP, port numbers khơng có ý nghĩa Rule Option: * Rule option theo sau rule header đặt cặp dấu ngoặc đơn Có thể lựa chọn hay nhiều lựa chọn truyền vào dấu Nếu bạn sử dụng nhiều lựa chọn, dạng lựa chọn AND Hành động rule header gọi tất tiêu chuẩn lựa chọn Bạn sử dụng option msg ttl ví dụ trước Tất lựa chọn định nghĩa từ khóa Những Rule option chứa đối số Thường lựa chọn có phần: từ khóa đối số Những đối số truyền vào từ lựa chọn từ khóa dấu “:” Chẳng hạn như:msg: "Detected confidential“ Lựa chọn msg từ khóa “Detected confidential” đối số cho từ khóa này.Sau từ khóa thơng dụng Nó hoạt động giao thức riêng, có ý nghĩa khác theo giao thức CHƯƠNG IV HONYPORT TRONG HỆ THỐNG IDS/IPS Giới thiệu - Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật - Hệ thống tài ngun thơng tin có nghĩa Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server… Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ cơng hay cách thức tiến hành thay bị cơng Các loại hình Honeypot Gồm hai loại chính: Tương tác thấp tương tác cao + Tương tác thấp: Mô giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ + Tương tác cao: Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng - BackOfficer Friendly (BOF): Một loại hình Honeypot dễ vận hành cấu hình hoạt động phiên Windows Unix tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… - Specter: Cũng loại hình Honeypot tương tác thấp khả tương tác tốt BOF, giả lập 14 cổng, cảnh báo quản lý từ xa Tuy nhiên giống BOF specter bị giới hạn số dịch vụ không linh hoạt -Honeyd: + Honeyd lắng nghe tất cổng TCP UDP, dịch vụ mô thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ cơng với vai trị hệ thống nạn nhân + Honeyd mơ lúc nhiều hệ điều hành khác + Hiện nay, Honeyd có nhiều phiên mơ khoảng 473 hệ điều hành + Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm khơng thể cung cấp hệ điều hành thật để tương tác với tin tặc khơng có chế cảnh báo phát hệ thống bị xâm nhập hay gặp nguy hiểm Cơ chế hoạt động 3.1.Cơ chế kiểm sốt liệu • Việc kiếm soát liệu thực Gateway(Honeywall), dựa chế là: - Một giới hạn số lượng kế nối bên - Hai lọc gói tinđộc hại – Packer Scrubbed A GIỚI HẠN SỐ LƯỢNG KẾ NỐI RA BÊN NGỒI • Cơ chế cho phép kết nối vào lại giới hạn kiểm soát số lượng kết nối bên đặt tới giới hạn tất kết nối bên ngồi sau bị chặn lại Việc giới hạn thiết lập người quản trị Nếu tăng số lượng kết nối bên cho phép hoạt động cơng hacker diễn nhiều từ thu thập nhiều thông tin song gây nhiều nguy hiểm Còn cho phép khơng cho phép kết nối bên ngồi giảm nguy gây nghi ngờ cho kẻ cơng phát chúng tương tác với hệ thống Honeynet B LỌC GĨI TIN ĐỘC HẠI(PACKER SCRUBBED) • Cơ chế có nhiệm vụ phát luồng liệu gây nguy hiểm cho hệ thống Cơ chế lọc gói tin độc hại thường thực hệ thống ngăn chặn xâmnhập mức mạng NIPS (Network Intrustion Prevention Systems), cụ thể hệ thốngIDS-Snort • Mục đích NIPS để phát ngăn chặn công biết đinh nghĩa tập luật (Rule) NIPS NIPS thực công việc phương pháp tra gói tin qua gateway, thực so sánh nội dunggói tin với sở liệu mẫu cơng có sẵn (Các Rule) nhằm phát dấu hiệu công NIPS thực ngăn chặn việc thực hai biện pháp sau : 10 c Phân tích liệu: Mục đích honey net thu thập thơng tin Khi có thơng tin người dùng cần phải có khả để phân tích thông tin d Thu thập liệu: Thu thập liệu từ honeynets nguồn tập trung Chỉ áp dụng cho tổ chức có nhiều honeynets Đa số tổ chức có honeynet CHƯƠNG V DEMO SNORT GIÁM SÁT THEO DÕI HỆ THỐNG MẠNG 1.Mơ Hình Các bước thực kết đạt Cài đặt gói cầnthiết 13 #yum install -y mysql-bench mysql-server mysql-devel yum-utils php-mysql httpdgcc pcre-devel php-gd gd distcache-devel mod_ssl glib2-devel gcc-c++ php php-pear #yum disablerepo=\* enablerepo=c5-media groupinstall "Development Tools" #yum disablerepo=\* enablerepo=c5-media groupinstall "Development Libraries" #yum disablerepo=\* enablerepo=c5-media groupinstall "MySQL Database" Cài đặt gói Pear #pear install Numbers_Roman-1.0.2 Numbers_Words-0.16.1 Image_Color-1.3 Image_Canvas-0.3.2 Image_GraphViz-1.3.0RC3 Image_Graph-0.7.2 Log-1.12.0 Tắt dịch vụ không cần thiết bật dịch vụ httpd mysql #service iptables stop Sau khởi động lại dịch vụ httpd mysql #chkconfig httpd on (để khởi động khởi động máy) #chkconfig mysqld on (để khởi động khởi động máy) #service httpd start 14 #service mysqld start Download cácgóikháctrênmạngchovào /root/snort/ • adodb480.gz • base-1.4.4.tar.gz • daq-1.1.1.tar.gz • libdnet-1.12.tgz • libpcap-1.0.0.tar.gz • snort-1.1.wbm • snort-2.8.4.1.tar.gz • snortrules-snapshot-2.8.tar.gz • webmin-1.400-1.noarch.rpm -Càiđăt daq-1.1.1.tar.gz , libdnet-1.12.tgz , libpcap-1.0.0.tar.gz , snort-2.8.4.1.tar.gz Giảinéncác filedaq-1.1.1.tar.gz , libdnet-1.12.tgz , libpcap-1.0.0.tar.gz , snort2.8.4.1.tar.gz -Vàothưmục libdnet-1.12 #cd snort/libdnet-1.12 #./configure && make && make install 15 Tươngtựvới libpcap-1.0.0 , daq-1.1.1 Càiđặt Snort Vàothưmụcsnort-2.8.4.1 #cd snort/snort-2.8.4.1 # /configure with-mysql-libraries=/usr/lib64/mysql enable-dynamicplugin 16 #make && make install 17 -Tạo thư mục làm việc snort,rules, so_rules, log #mkdir /etc/snort #mkdir /etc/snort/rules #mkdir /var/log/snort #mkdir /etc/snort/so_rules -Coppy tất file cấu hình /root/snort/snort-2.8.4.1/etc tới /etc/snort #cp /root/snort/snort-2.8.4.1/etc/* /etc/snort/ -Giảinén snortrules-snapshot-2.8.tar.gz copy filetrongso_rulesđến /etc/snort/so_rules #cp /root/snort/snortrules-snapshot-2.8.tar.gz_FILES/so_rules/precompiled/CentOS5.0/x86-64/2.8.5.1/* /etc/snort/so_rules/ -Copy file rules đến /etc/snort/rules #cp /root/snort/snortrules-snapshot-2.8.tar.gz_FILES/rules/* /etc/snort/rules - Sửa file snort.conftrong /etc/snort/snort.conf 110 varRULE_PATH /etc/snort/rules 688 Output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost ThiếtLập Snort khởiđộngcùnghệthống: Tạomộtliênkếtmềm (symbolic link) file snort binary đến /usr/sbin/snort #ln -s /usr/local/bin/snort /usr/sbin/snort Snort cungcấpcác scrip đểkhởiđộngtrongthưmục rpm/ ; (thưmụcgiảinén snort) #cp snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ #cp snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort Tạonhóm&ngườidùngcho snort #groupadd snort #useradd -g snort snort -s /sbin/nologin Set quyềnsởhữuvàchophép Snort ghi log vàothưmụcchứa log #chownsnort:snort /var/log/snort/ -Đặtquyềnlạichofile snortd : #chmod 755 /etc/init.d/snortd #chkconfig snortd on #service snortd start Đểkhởiđộng snort chếđộ debug nếubạnmuốnkiểmtralỗi: #snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf 18 -Quảnlý snort bằngwebmin: Cài webmin - Vào localhost:10000 đăng nhập với tài khoản root để vàoweb - Tích hợp snort vàoweb min:chọnWebmin Config> Webmin modules > 19 From uploaded file đường dẫn đến snort-1.1.wbm > Install Module Tạo CSDL snort với MySQL: #chkconfigmysqld on #service mysqld start Trướctiên ta cần set password cho root MySQL #mysqladmin -u root password 123456 20 #mysql -p Tạo password cho tài khoản snort mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; Tạo CSDL cho snort mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit Tạocác table từsnort/snort-2.8.4.1/schemas/create_mysqlcho database snort (thưmụcgảinén snort) #mysql -u root -p show databases; 21 mysql>use snort; mysql>show tables 22 ; Cài Đặt BASE ADODB -Chép base-1.4.4.gz adodb.gz vào /var/www/html -Giảinén file -Đổithửmục base-1.4.4 thành base #cd /var/www/html #mv base-1.4.4 /base -Coppy gói base_conf.php.disttrongthưmục basevàđổitênthành base_conf.php #cd /var/www/html/base #cp base_conf.php.dist base_conf.php -Cấu hình base sửa file base_conf.php Sửa thơng tin file base sau: 57 $BASE_urlpath =’/base’; 79 $DBlib_path = ‘/var/www/html/adodb’; 101 $alert_dbname=’snort’; 23 104 $alert_user =’snort’; 105 $alert_passwords=’123456’; 108 $archive_exists =1; #set this to if you have an archive DB 109 $archive_dbname =’snort’; 112 $archive_user=’snort’; 113 $archive_password=’123456’; -Set quyềncho base #chownapache:apache /var/www/html/base -Tạo rules Tạoping.rulestrong /etc/snort/rules vớinội dung Alert icmp any any any any (msg:”Co nguoi Ping may minh”; sid:1000000001 ;) Sau save lại vi đến file snort_conf #vi /etc/snort/snort.conf Trỏ xuống mục #site specific rules 809 include $RULE_PATH/ping.rules Khởiđộnglại Http snort #service snortd restart #service httpd restart Đểkhởiđộng snort chếđộ debug #snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf Kiểmtra: Tại máy Client chạy Nmap, nhập địa máy Linux để tiến hành thám 24 Dùng trình duyệt web centos vàolocalhost/base chọn Setup page Create BASE AG Vào lại localhost/base xem lưu lượng chạy qua( ý cần phải chạy snort chế độ debug) 25 Chọn Most recent 15 unique alerts đểxem 15 cảnh báo gầnnhất 26 ... quan sát - Xuất báo cáo Sự khác IDS IPS Name : IDS (Hệ thống phát xâm nhập) IPS (Hệ thống phát & ngăn chặn xâm nhập) Chức năng: - IDS( phát báo cáo xâm nhập) - IPS (Phát ,báo cáo & ngăn chặn) Thuộc... dụng(firewall ) Cơ chế hoạt động hệ thống IDS /IPS Có hai cách tiếp cận đói với việc phát triển phịng chống xâm nhập : Phát lạm dụng (Misuse Detection Model) : Hệ thống phát xâm nhập cách tìm kiếm hành... thuật xâm nhập biết đến điểm dễ bị công hệ thống Phát bất thường (Anomaly Detection Model ): Hệ thống phát xâm nhập cách tìm kiểm hành động khác với hành vi thông thường người dùng hay hệ thống