Đang tải... (xem toàn văn)
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí.NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để quét dữ liệu di chuyển trên mạng. Cũng có các hệ thống phát hiện xâm nhập hostbased, được cài đặt trên một host cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó.
MỤC LỤ LỜI NÓI ĐẦU Chương TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Tổng quan nguy an ninh 1.1.1 Những kiểu công nhằm vào điểm yếu hệ thống 1.1.2 Vấn đề bảo mật hệ thống mạng 1.2 Tổng quan hệ thống phát phòng chống xâm nhập .11 1.2.1 Định nghĩa .11 1.2.2 Vai trò hệ thống phát xâm nhập IDPS .12 1.2.3 Những ưu điểm hạn chế hệ thống 12 1.2.4 Kiếm trúc chung hệ thống phát xâm nhập 13 Chương CẤU TRÚC, CHỨC NĂNG VÀ TẬP LUẬT CỦA SNORT 2.1 Tổng quan Snort .21 2.2.1 Khái niệm 21 2.2.2 Các đặc tính 21 2.2 Các thành phần Snort 22 2.2.1 Bộ phận giải mã gói 23 2.2.2 Bộ phận tiền xử lý 24 2.2.3 Bộ phận phát .25 2.2.4 Hệ thống ghi cảnh báo 31 2.2.5 Bộ phận đầu 31 2.3 Các chế độ làm việc Snort .32 2.3.1 Chế độ “lắng nghe” mạng 32 2.3.2 Chế độ phát xâm nhập mạng 34 2.4 Làm việc với tập luật Snort 34 2.4.1 Luật dở đầu tiên: 35 2.4.2 Cấu trúc chung luật Snort 35 Chương TRIỂN KHAI SNORT BẢO VỆ HỆ THỐNG MẠNG 3.1 Tiêu chí triển khai 43 3.2 Xây dựng snort bảo vệ hệ thống mạng 43 3.2.1 Tham khảo số mơ hình thực tế 43 3.2.2 Xây dựng mơ hình 47 3.3 Triển khai sở hạ tầng .48 3.3.1 Cấu hình 48 3.3.2 Cài đặt snort hệ thống ubuntu 48 3.3.3 Cấu hình với file Snort.conf 48 3.4 Phân tích snort bảo vệ hệ thống trước công 53 3.4.1 Mơ hình cơng .53 3.4.2 Tấn công SQL injection 53 KẾT LUẬN Những vấn đề gặp phải sử dụng IDS 56 IPS giải pháp: 56 Đánh giá xu hướng phát triển IDS 57 TÀI LIỆU THAM KHẢO 59 DANH MỤC CÁC KÝ HIỆU IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System IPS Hệ thống phòng chống xâm HIDS Host-based Instrusion Detection System Hệ thống phát phát phòng chống xâm nhập máy trạm NIDS Network–based Instrusion Detection System Hệ thống phát xâm nhập mạng VPN Virtual Private Network Mạng riêng ảo SSL Secure Sockets Layer SQL Structure query language Ngơn ngữ truy vấn có cấu trúc DNS Domain Name System Hệ thống tên miền CGI Common Gateway Interface Giao diện cổng thông thường TCP Transfer Control Protocol Giao thức điều khiển truyền thông CSS Cross Site Scripting URL Uniform Resource location Định vị tài nguyên web HTTP Hyper Text Transfer protocol thức truyền siêu văn Dos Denial of service Từ chối dịch vụ DDos Distributed Denial of service Từ chối dịch vụ phân tán IIS Internet Infomation Server Dịch vụ thông tin mạng LAN Local Area Network Mạng máy tính cục nhập DANH MỤC CÁC BẢNG Bảng 1.1: So sánh HIDS NIDS .14 Bảng 2.1: Rule header 35 Bảng 3.1: Cơ sở hạ tầng .48 DANH MỤC CÁC HÌNH Hình 1.1 Tấn cơng thăm dò Hình 1.2 Tấn cơng DDoS Hình 1.3 Số liệu cơng ứng dụng web Hình 1.4 Tấn công XSS Hình 1.5 Tấn cơng SQL Injection .7 Hình 1.6 Tổng quan sơ đồ hình cơng DDoS .10 Hình 1.7 Hệ thống phát xâm nhập dựa máy trạm 13 Hình 1.8 Hệ thống phát xâm nhập mạng 14 Hình 1.9 Mơ hình IDPS mức vật lý 15 Hình 1.10 Hệ thống phát xâm nhập IDS 16 Hình 1.11 Mơ hình thu thập liệu ngồi luồng 16 Hình 1.12 Mơ hình thu thập liệu luồng .17 Hình 1.13 Các phương thức cảnh báo .19 Hình 2.1 Sơ đồ khối hệ thống cài đặt Snort 22 Hình 2.2 Sơ đồ khối hệ thống cài đặt Snort 23 Hình 2.3 Mơ hình xử lý gói tin Ethernet 23 Hình 2.4 Bộ phận tiền xử lý 25 Hình 2.5 Bộ phận phát 25 Hình 2.6 Logging Alerting System Snort .31 Hình 2.7 Tính sniffer 32 Hình 2.8 Sơ đồ luật hình snort .34 Hình 3.1 Hoạt động hệ thống .44 Hình 3.2 Hệ thống Snort solaris 45 Hình 3.3 Mơ hình dự kiến 47 Hình 3.4 Mơ hình thực tế 47 Hình 3.5 Mơ hình cơng .53 Hình 3.6 Giao diện trang web 54 Hình 3.8 Thơng báo snort 55 LỜI NĨI ĐẦU Trong phát triển thơng tin mạnh mẽ nay, đặt yêu cầu tất yếu bắt buộc quan, tổ chức phải hòa vào mạng toàn cầu Internet Khi thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet việc bảo vệ an tồn bảo mật thông tin vấn đề quan trọng đặt lên hàng đầu Hàng giờ, hàng ngày có hàng trăm chí hàng nghìn liệu bị đánh cắp, gây hư hại, thiệt hại lớn Nhiều dự án, chương trình nghiên cứu biện pháp an tồn thơng tin triển khai nhằm ngăn chặn, giảm bớt công, nhằm tạo hệ thống bảo vệ tối ưu Đa số công nhằm vào tất máy tính có mặt Internet, máy tính công ty lớn như: Microsoft, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng….một sô vụ án công với quy mơ khổng lồ ( có tới 100.000 máy tính bị công) đánh cắp liệu Hơn số nhỏ mà ta thống kê Một phần lớn vụ cơng khơng thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị dự án không hay biết vụ công nhằm vào hệ thống họ Không vụ cơng tăng lên nhanh chóng mà phương pháp cơng liên tục hồn thiện, cơng nghệ cao, đại, tinh vi Đặt yêu cầu việc quản trị hệ thống thông ti, liệu ngày phải đề cao cảnh giác, nâng cao trình độ, khả chuyên môn Xuất phát từ đáp ứng nhu cầu hòa nhập vào mạng tồn cầu, mạng Internet song đảm bảo an tồn thơng tin q trình kết nối Bởi vậy, chúng em định chọn đề tài: “ Nghiên cứu phương pháp ngăn chặn công SQLI Snort”, nhằm giám sát luồng thông tin vào bảo vệ hệ thống mạng thoát khỏi công từ Internet Nội dung đề tài trình bày cách khái quát hệ thống phát phòng chống xâm nhập ( IDS & IPS), cách bảo vệ mạng Snort, cách xây dựng Snort hệ thống mã nguồn mở cho hệ thống vừa an toàn, vừa tiết kiệm cách tối đa Qua phân tích cơng trình đề tài thấy việc ngăn chặn cơng, xâm nhập đạt nhiều hiệu thực tiễn Các đề tài đưa phương pháp chống công nhằm bảo mật liệu, bảo vệ thông tin Chương TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Tổng quan nguy an ninh Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm soát luồng thông tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống 1.1.1 Những kiểu công nhằm vào điểm yếu hệ thống Có bốn kiểu cơng đặc biệt là: + Thăm dò + Truy cập + Từ chối dịch vụ (DoS) + Ứng dụng web 1.1.1.1 Kiểu cơng thăm dò Thăm dò việc thu thập liệu trái phép tài nguyên, lỗ hổng dịch vụ hệ thống Các cách công truy cập hay DoS thường tiến hành kiểu cơng thăm dò Hiển nhiên, hacker phải biết cơng trước xâm nhập Thăm dò giống kẻ trộm nhà băng muốn biết có bảo vệ làm nhiệm vụ, camera, vị trí chúng đường hiểm Thăm dò kiểu cơng, giai đoạn công Chương Tấn công thăm dò 1.1.1.2 Kiểu cơng truy cập Truy cập thuật ngữ rộng miêu tả kiểu cơng đòi hỏi người xâm nhập lấy quyền truy cập trái phép hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền, hay đơn giản truy cập vào hệ thống [3]: a Tấn công truy cập hệ thống Truy cập hệ thống hành động nhằm đạt quyền truy cập bất hợp pháp đến hệ thống mà hacker khơng có tài khoản sử dụng Hacker thường tìm kiếm quyền truy cập đến thiết bị cách chạy đoạn mã hay công cụ hack (hacking tool), khai thác yếu điểm ứng dụng dịch vụ chạy máy chủ b Tấn công truy cập thao túng liệu Thao túng liệu xuất kẻ xâm nhập đọc, viết, xóa, chép hay thay đổi liệu Nó đơn giản việc tìm phần mềm chia sẻ (share) máy tính Window 9x hay NT, hay khó việc cố gắng xâm nhập hệ thống tín dụng cục thông tin (credit bureau’s information) c Tấn công truy cập nâng cao đặc quyền Nâng cao đặc quyền dạng công phổ biến Bằng cách nâng cao đặc quyền, kẻ xâm nhập truy cập vào files hay folder liệu mà tài khoản người sử dụng ban đầu không cho phép truy cập Khi hacker đạt mức độ quyền truy cập đủ cao, họ cài đặt phần mềm backdoors Trojan horses, cho phép truy cập sâu thăm dò Mục đích chung hacker chiếm quyền truy cập mức độ quản trị Khi đạt mục đích đó, họ có tồn quyền điều khiển hệ thống mạng 1.1.1.3 Kiểu công từ chối dịch vụ Kiểu công DoS thực nhằm làm vơ hiệu hóa, làm hư hỏng , hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng hệ thống người dùng Dạng phạm tội điện tử dạng công tồi tệ mà công ty thương mại điện tử phải đối mặt mục đích hacker ngăn chặn người dùng sử dụng dịch vụ điện tử công ty Ý định dạng công đơn giản nhằm gây tổn hại chống lại công ty việc buôn bán Chương Tấn công DDoS Một hacker với PC nhà phải lượng lớn thời gian tạo đủ lưu lượng mạng để làm tải nhóm máy chủ Internet Để công DoS hiệu quả, hacker sử dụng nhiều hệ thống máy tính khác nhằm lấn át máy chủ (đích Sử dụng nhiều hệ thống máy tính để công máy chủ hay mạng gọi công từ chối dịch vụ phân phối (DdoS) Dạng công thành công công web site Yahoo!, ebay CNN.com Một hacker liên quan sau bị bắt bị truy tố Tấn công DDoS gồm giai đoạn sau: a Giai đoạn – Mục tiêu: Là giai đoạn định nghĩa đối tượng Điều cần làm rõ hoạt động việc hacking xác định mục tiêu Kết việc xác lập mục tiêu kiểu cơng dẫn đến việc hình thành, chọn lựa những công cụ phương pháp phù hợp Mục tiêu đơn giản tồn mục đích người xâm nhập Nếu kẻ xâm nhập có động trả thù kiểu cơng DoS phù hợp với nhu cầu Nếu kẻ cơng đối thủ thì, xâm nhập hệ thống thao túng liệu mục tiêu Khi kẻ xâm nhập tiến hành bước kiểu cơng, mục tiêu thường thay đổi Một yếu tố quan trọng khác việc xác định mục tiêu động đằng sau xâm nhập Hầu hết script kiddies (hacker vào nghề) bị thúc đẩy hồi hộp, gay cấn hacker cao cấp bị thúc đẩy động thử thách trí tuệ, trả thù, kiếm tiền bất hợp pháp b Giai đoạn hai thăm dò: Giai đoạn thăm dò, tựa đề nó, giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin hệ thống đối tượng Thơng thường hacker có kinh nghiệm thường thu thập thông tin công ty đối tượng, vị trí cơng ty, số điện thoại, tên nhân viên, địa email, tất hữu dụng với người xâm nhập có kinh nghiệm c Giai đoạn thứ ba giai đoạn công: Giai đoạn cuối giai đoạn công Trong giai đoạn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng tài nguyên hệ thống mạng Bằng cách sử dụng thông tin thu thập được, vài hacker thực việc cơng nhiều lần phát lỗi bảo mật để khai thác 1.1.1.4 Kiểu cơng qua ứng dụng web Theo số liệu thống kê từ công ty bảo mật hàng đầu nay, thời gian gần số lượng công vào ứng dụng web tăng lên nhanh chóng (75% công thực lớp ứng dụng web Trong hai kĩ thuật cơng hacker sử dụng phổ biến cross-site scripting sql injection hình sau đây: Chương Số liệu công ứng dụng web a Kiểu công cross-site scripting (hay gọi xss): XSS kĩ thuật công phổ biến nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web Bất kì website cho phép người sử dụng đăng thông tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS Tin tặc công cách chèn vào website động (ASP, PHP, CGI, JSP …) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đó, đoạn mã nguy hiểm đựơc chèn vào hầu hết viết Client-Site Script JavaScript, JScript, DHTML thẻ HTML, hacker lợi dụng tin cậy người dùng server với việc không kiểm tra kĩ lưỡng liệu vào Ví dụ: Sử dụng XSS chèn mã java script trực tiếp URL http://www.demo.com/search.cgi?query=alert(‘XSS was found !’); Khi wesite http://www.demo.com bị lỗi XSS trình duyệt lên thông báo “XSS was found !” Nếu kĩ thuật cơng khác làm thay đổi liệu nguồn web server (mã nguồn, cấu trúc, sở liệu) XSS gây tổn hại website phía client mà nạn nhân trực tiếp người khách duyệt site Chương Tấn cơng XSS 3.2.2 Xây dựng mơ hình 3.2.2.1 Mơ hình dự kiến a) Mơ hình dự kiến Hình 22.4 Mơ hình dự kiến Ở vị trí snort thu thập gói tin phân tích chúng áp dụng luật đồng thời gói tin khơng hợp lệ cảnh báo chặn chúng b) Mơ hình thực tế Hình 22.5 Mơ hình thực tế 3.3 Triển khai sở hạ tầng 3.3.1 Cấu hình Bảng 3.1: Cơ sở hạ tầng Hệ điều hành Địa IP RAM Snort Client CentOS Windows Eth0: 10.0.0.100 Eth2: 20.0.0.2 1024Mb 10.0.0.101 512 Mb 3.3.2 Cài đặt snort hệ thống ubuntu 3.3.2.1 Cài đặt Snort: #yum install https://www.snort.org/downloads/snort/daq-2.0.61.centos7.x86_64.rpm #yum install https://www.snort.org/downloads/snort/snort2.9.8.0-1.centos7.x86_64.rpm 3.3.2.2 Copy rules: # tar -xzvf snortrules-snapshot-2.8.tar.gz # cd rules # cp * /etc/snort/rules 3.3.2.3 Cấu hình Snort: var HOME_NET 20.0.0.2 # service snortd start # snort -D -d -v -i eth0 -c /etc/snort/snort.conf 3.3.3 Cấu hình với file Snort.conf File Snort.conf khơng phải file nhỏ Nó chứa nhiều cài đặt phiên thay đổi gây nhầm lẫn File snort.conf điều khiển thứ việc Snort giám sát gì, chúng tự bảo vệ nào, luật chúng sử dụng để tìm thấy lưu lượng nguy hiểm, chí cách chúng giám sát lưu lượng nguy hiểm tiềm tàng mà không định nghĩa dấu hiệu Việc hiểu thấu đáo file cách cấu hình chúng quan trọng để triển khai thành công Snort IDS mạng bạn Ở chế độ báo động (alert), Snort yêu cầu phải có file cấu hình, files cấu hình mặc định lưu thư mục /etc/Snort.conf, file nằm chỗ khác ta phải dùng cờ -c để tới files Các báo động lưu thư mục /var/log/snort Snort thoát file conf thư mục log khơng có Ta định loại báo động ví dụ full, fast,none Unix sockets cách thêm cờ -A vào dòng lệnh Lần đầu nhìn vào file Snort.conf ta nhìn thấy nhiều dòng thích dễ hiểu với màu sắc dễ phân biệt, ví dụ tạo biến, set đường dẫn RULE_PATH để Snort files rules ví dụ: var RULE_PATH /rules Thay đổi đường dẫn đầy đủ nơi chứa rules var RULE_PATH /etc/snort/rules Để cho Snort khởi động, sử dụng dòng lệnh: Snort -c /etc/snort/Snort.conf File Snort.conf điều khiển thứ mà Snort thấy được, làm cách chống lại công, rules sử dụng thấy nghi ngờ, làm cách phát dấu hiệu nguy hiểm tìm tàng khơng có tín hiệu nhận dạng cụ thể để so sánh Sử dụng để xác định địa IP hệ thống bạn bảo vệ HOME_NET Ta nên sử dụng kí tự “!” để xác định thứ không nằm mạng bên bạn Ví dụ, xem luật sau đây: alert tcp !$HOME_NET any -> $HOME_NET any (msg:"ATTACK-RESPONSES directory listing"; content: "Volume Serial Number"; flow:from_server,established; classtype:bad-unknown; Có nhiều luật thiết kế để giám sát dịch vụ cụ thể Việc đặt địa cho server làm giảm số lượng cảnh báo nhầm mà Snort tạo Thình thoảng, server bạn liệt kê khơng có mạng Ví dụ, bạn khơng có server DNS bên mạng Các biến sử dụng để định nghĩa server chạy dịch vụ mà có luật xác định là: HOME_NET RULE_PATH Biến cần thiết lập đúng, không, Snort không hoạt động.Nó đến vị trí luật file hệ thống Nếu luật đặt File conf chia thành nhiều đoạn, nội dung gồm: Thiết lập mạng cấu hình biến Cấu hình phần giải mã phát Cấu hình tiền xử lý Cấu hình phần ngõ File trỏ tới 3.3.3.1 Thiết lập mạng cấu hình biến Các biến file conf tạo thường để dễ dàng việc theo dõi địa IP, port TCP, UDP định mà lắng nghe Mặc định biến thường để giá trị any tất địa IP mà nhận được, nguyên nhân gây nhiều báo động sai Để chị định địa ip, đơn giản làm theo cách sau: Var HOME_NET 10.0.0.101 Hoặc muốn định nhiều địa lúc, phải có dấu ngoặc vng để định cho nhóm: Var HOME_NET [192.168.1.1,192.168.14.1,10.0.0.2] Ta có cách khác để định ln mạng: Var HOME_NET 10.10.10.0/24 Hoặc gộp cách vào chung nhóm: Var HOME_NET [192.168.1.1,10.10.10.0/24,172.168.1.5/16,187.1.1.1/19] Nếu muốn định không dùng ip dùng thêm dấu “than”! nghĩa “khơng” Var EXTERNAL_NET !$HOME_NET Để định cho port làm tương tự ví dụng Var ORACLE_PORTS 1521 Hoặc port port 80 Var SHELLCODE_PORTS !80 Các biến mặc định Snort.conf HOME_NET: Chỉ định địa mạng bảo vệ EXTERNAL_NET: Các mạng bên Các biến để định server chạy service phục vụ cho hệ thống DNS_SERVERS SMTP_SERVERS HTTP_SERVERS SQL_SERVERS TELNET_SERVERS SNMP_SERVERS …… Các port mặc định biến khác: HTTP_PORTS SHELLCODE_PORTS RACLE_PORTS AIM_SERVERS RULES_PATH 3.3.3.2 Cấu hình phần giải mã phát Snort giải mã cấu trúc packet so sánh cấu trúc theo dấu hiệu trang bị Nếu packet có kích thước lạ, nhiều cấu hình lạ khơng bình thường, Snort báo động Ta tắt chức Mặc định tất báo động bật Để tắt loại báo động cụ thể đó, ta nên để dấu thăng # vào trước dòng lệnh thành dòng comment ghi Các tùy chọn cấu hình giải mã là: # config disable_decode_alerts # config disable_tcpopt_experimental_alerts # config disable_tcpopt_obsolete_alerts # config disable_tcpopt_ttcp_alerts # config disable_tcpopt_alerts # config disable_ipopt_alerts 3.3.3.3.Cấu hình tiền xử lý Tiền xử lý phục vụ cho nhiều mục đích Nó bảo đảm liệu packet Snort theo dõi có hội tốt để so sánh với tín hiệu nhận dạng mà Snort trang bị Chức khác q trình tiền xử lý tự phòng thủ Các công phát triển để lẩn tránh, người cơng lợi dụng làm cơng việc cần Chức frag2 stream4 tiền xử lý có chức để chống lại phương pháp Và chức cuối chức quan trọng làm cho Snort có thêm chút thơng minh để phát cơng mang phong cách khơng bình thường mà Snort không trang bị luật - Frag2: Khi packet từ mạng qua mạng khác, thường cần phân mảnh thành packet nhỏ hơn, mạng thứ giới hạn kích thước packet tất nhiên nhỏ mạng Và tất packet nhỏ xếp lại đến nơi Một phương pháp attacker dùng packet nhỏ để lừa firewall IDS Ví dụ: rules Snort dò tìm chuỗi /users.pwd section packet, attacker tạo dãy packet nhỏ chứa vài byte data packet, mảnh chứa /user , packet phân mảnh thứ chứa s.pwd, packet khơng kích hoạt báo động khơng giống rules cả, frag2 preprocessor xếp phân mảnh vào chung dễ dàng phát ẩn dấu Hoặc ví dụ khác attacker đưa dung lượng lớn packet phân mảnh chiếm dung lượng hệ thống làm overload Snort từ chối tất ảnh hưởng tới packet không liên quan, tools mà attacker thường dùng Fragroute, frag2 có options để chống lại dạng công [3] - Stream4:Stream4 thiết kế để bảo vệ Snort từ dạng công người công cách gửi tràn ngập gói tin chứa chuỗi liệu giống luật để kích báo động, có nhiều cơng cụ dùng cho việc Snort có cách chống lại Stream4 có nhiệm vụ chính: sateful inspection (kiểm tra tính nguyên ven), awareness and session reassembly (nhận biết xếp session) 3.3.3.4 Cấu hình OUTPUT Một sức mạnh thật Snort tùy chọn để xuất cảnh báo thông tin phát xâm nhập Nhiều nhà quản trị Snort sử dụng ứng dụng công ty thứ ba để giám sát nghiên cứu thông tin tạo Snort Để làm việc đó, Snort phải xuất liệu theo định dạng cụ thể Output plug-ins thực nhiệm vụ Lưu ý việc sử dụng vài plugin đòi hỏi nhà quản trị phải thực vài bước Snort biên dịch Ví dụ, phép Snort xuất liệu sở liệu MySQL, MySQL client cần cài đặt hệ thống Snort tùy chọn with-mysql phải xác định với câu lệnh /configure Một vài tùy chọn sử dụng platform cụ thể Ví dụ, hệ thống Window log trực tiếp vào Microsoft SQL Server với plug-in mysql (hệ thống Unix phải dùng ODBC với plug-in odbc) Nhiều plug-in output bật, cho phép nhiều công cụ triển khai nhà quản trị Snort output vào file log output console, nhiều administrator thích dùng phần mềm hãng thứ (third party) để tăng thêm chức giám sát Snort, phần mềm data database dùng được, lưu ý trước cài đặt Snort muốn dùng database cần rõ cài đặt ví dụ dùng MySQL, biên dịch source thêm vào mysql 3.3.3.5 File trỏ tới Thành phần cuối file snort.conf mục đính kèm Câu lệnh include nói cho Snort đính kèm thơng tin file đặt file hệ thống Snort Những file bao gồm thơng tin cấu hình file chứa luật mà Snort sử dụng để phát xâm nhập Đường dẫn mặc định nên xác định sớm cấu hình Sử dụng biến $RULE_PATH để vị trí chúng, sử dụng tên đầy đủ để file luật bạn muốn sử dụng Các rules ta download internet, down ta muốn phân nhóm chỉnh sửa, độ ưu tiên rules ta cấu hình file classification.config, file reference.config gồm links tới web site với thông tin cho tất alerts, include hữu tích, nhanh gọn 3.4 Phân tích snort bảo vệ hệ thống trước cơng 3.4.1 Mơ hình cơng Hình 22.6 Mơ hình cơng 3.4.2 Tấn công SQL injection Định nghĩa công sql injection: SQL injection kĩ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (inject) thi hành câu lệnh SQL bất hợp pháp (không người phát triển ứng dụng lường trước) Hậu tai hại cho phép kẻ cơng thực thao tác xóa, hiệu chỉnh, … có tồn quyền sở liệu ứng dụng, chí server mà ứng dụng chạy Lỗi thường xảy ứng dụng web có liệu quản lí hệ quản trị sở liệu SQL Server, MySQL, Oracle, MS Access hay IBM DB2, Sysbase, MariaDB Khi hacker gửi liệu (thông qua form), ứng dụng Web thực trả cho trình duyệt kết câu truy vấn hay thông báo lỗi có liên quan đến sở liệu Và nhờ thông tin mà hacker biết nội dung sở liệu từ điều khiển toàn hệ thống ứng dụng 3.4.3.1 Kịch công Môi trường thử nghiệm máy cục Máy công Máy webserver(Victim) Sqlmap Cài httpd, mariadb OS:Window 10 OS:CentOS Ram: 4GB Ram: 1.5GB IP: 10.0.0.1 IP: 20.0.0.2 Hacker tìm website bị dính lỗi SQL injection Ở webserver bị dính lỗi SQL injection 20.0.0.2 3.4.3.2 Phân tích cơng Giao diện website demo Hình 22.7 Giao diện trang web Bây thử dùng câu lệnh union select để công sql injection Chương 23 Tấn công union select Thông báo Snort: Hình 23.1 Thơng báo snort 3.4.3.3 Kết luận Trong phần phân tích trên, chúng em thấy snort phân tích gói tin mạng hệ thống phát cống nhằm vào hệ thống lỗi sql injection Đưa cảnh báo kịp thời tới người dùng người quản trị hệ thống chữa lỗi lỗi phổ biến với nhiều trang web thường mắc phải KẾT LUẬN Những vấn đề gặp phải sử dụng IDS IDS thường xuyên đưa nhiều báo động giả (False Positives) Là gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục Kèm theo cảnh báo công quy trình xử lý an ninh vất vả Khơng có khả theo dõi luồng liệu truyền với tốc độ lớn 600 Megabit giây Theo khách hàng sử dụng IDS quản trị vận hành hệ thống IDS khó khăn, tốn không đem lại hiệu tương xứng so với đầu tư Sau phát biểu đưa ra, số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu mong muốn vấn đề tồn việc quản lý vận hành chất cơng nghệ kiểm sốt phân tích gói tin IDS Cụ thể, hệ thống IDS hoạt động hiệu quả, vai trò công cụ, người quản trị quan trọng, cần phải đáp ứng tiêu chí sau: Thu thập đánh giá tương quan tất kiện an ninh phát IDS, tường lửa để tránh báo động giả Các thành phần quản trị phải tự động hoạt động phân tích Kết hợp với biện pháp ngăn chặn tự động Kết tới năm 2005, hệ sau IDS-hệ thống tự động phát ngăn chặn xâm nhập IPS- dần khắc phục mặt hạn chế IDS hoạt động hiệu nhiều so với hệ trước IPS giải pháp: Một hệ thống chống xâm nhập(Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDPIntrusion Detection and Prevention Hai kiểu IPS biết thị trường “dựa vào máy chủ” “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” phần mềm ngăn ngừa xâm nhập viết để “móc” trực tiếp vào ứng dụng hay cài đặt trực tiếp máy chủ ứng dụng Bài viết tập trung vào bảo mật “nội tuyến” Bảo mật “nội tuyến” tương tự kiến trúc tường lửa di trú kép hay cổng chống vi rút đặt ngược chiều từ ứng dụng bảo vệ áp dụng dịch vụ ngăn ngừa xâm nhập cho nhiều ứng dụng xuôi chiều IPS Theo nghĩa khái niệm này, ta định nghĩa sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) thiết bị phần cứng hay phần mềm có khả phát ngăn ngừa cơng quen biết” Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” đề cập đến việc phát sau ngăn chặn công chuyên biệt ứng dụng biết Thuật ngữ “Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) thân sử dụng để hợp hai khái niệm “Hệ thống Phát hiện” (detection system) “Hệ thống Ngăn ngừa” (prevention system) cấu trúc Chú ý định nghĩa nhằm vào cơng quen biết Nhìn bề ngồi, giải pháp phát xâm nhập ngăn ngừa xâm nhập xuất theo kiểu cạnh tranh Rốt cuộc, chúng chia sẻ danh sách chức giống kiểm tra gói tin, phân tích có trạng thái, ráp lại đoạn, ráp lại TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức thích ứng chữ ký Một IPS hoạt động giống người bảo vệ gác cổng cho khu dân cư, cho phép từ chối truy nhập dựa sở uỷ nhiệm tập quy tắc nội quy Một IDS (hệ thống phát xâm nhập) làm việc giống xe tuần tra bên khu dân cư, giám sát hoạt động tìm tình bất bình thường Dù mức độ an ninh cổng vào khu dân cư mạnh đến mức nào, xe tuần tra tiếp tục hoạt động hệ thống giám sát cân Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Đánh giá xu hướng phát triển IDS IDS ví chuông cảnh báo trộm để cảnh báo chủ nhà cơng khả nghi Vì giám sát thụ động khơng thể ngăn chặn cơng để ngăn ngừa tổn hại hệ thống người công gây Nhà quản trị mạng không đơn muốn có thơng tin cơng mạng họ mà muốn có khả ngăn chặn cơng Cách bảo đảm an ninh cho mạng ngăn chặn công, không cho chúng phá hoại đích cơng cách loại bỏ tất lưu lượng khả nghi chúng bị phát trước chúng ảnh hưởng đến đích Bản chất bị động IDS nằm chỗ cung cấp sức mạnh để đạo phân tích thơng minh lưu lượng gói tin Những vị trí IDS nhận : - Các công quen biết theo đường chữ ký (signature) quy tắc - Những biến thiên lưu lượng phương hướng sử dụng quy tắc phân tích thống kê phức tạp - Những biến đổi mẫu lưu lượng truyền thơng có sử dụng phân tích luồng - Phát hoạt động bất bình thường có sử dụng phân tích độ lệch đường sở (baseline deviation analysis) - Phát hoạt động đáng nghi nhờ phân tích luồng, kỹ thuật thống kê phát bất bình thường [1] Ngăn ngừa xâm nhập Như đề cập trước đây, giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hồn hảo – khơng có báo động giả làm giảm suất người dùng cuối khơng có từ chối sai tạo rủi ro mức bên môi trường Có lẽ vai trò cốt yếu cần thiết để tin tưởng, để thực theo cách mong muốn điều kiện [1] Hiện nay, có nhiều cơng ty, hãng lớn cung cấp thiết bị phần cứng, phần mềm an ninh chuyên dụng bao gồm tính tích hợp như: IDS, IPS, tường lửa, vv…có khả phòng chống bảo vệ hệ thống mạng cách có hiệu trước nguy đe dọa tiềm tàng Internet Với tính nǎng ưu việt mình, IDS dần chiếm lĩnh quan tâm hàng đầu công ty, nhà cung cấp dịch vô lĩnh vực an ninh mạng Các sản phẩm IDS nghiên cứu, phát triển phần cứng lẫn phần mềm IDS dần hoàn thiện triển khai phổ biến nhằm hỗ trợ hệ thống bảo mật tường lửa tuý hay hệ thống ngăn chặn công IPS Ngày nay, hệ thống phát xâm nhập IDS phát triển tích hợp với hệ thống tường lửa, hệ thống ngăn chặn xâm nhập IPS thành thiết bị chuyên dụng có khả phát ngăn chặn nguy đe dọa từ bên ngồi áp dụng cho quy mơ mạng từ nhỏ đến lớn Các thiết bị chuyên dụng phát triển mạnh hãng lớn Juniper, Checkpoint, Cisco, Proventia vv…đã góp phần đảm bảo an ninh cho hệ thống mạng TÀI LIỆU THAM KHẢO Website: [1] http://quantrimang.com/ips-he-thong-ngan-ngua-xam-nhap-tuonglua-the-he-ke-tiep-6377 [2] https://l.facebook.com/l.php?u=http%3A%2F%2Fdoc.edu.vn%2Ftailieu%2Fdo-an-tim-hieu-va-nghien-cuu-he-thong-phan-mem-phathien-va-phong-chong-xam-nhap7601%2F&h=rAQEKi3qQ&s=1& mref=message_bubble Đề tài: [3] “Tìm hiểu xây dựng hệ thống phòng chống phát xâm nhập sử dụng Snort/Snortsam” – Nguyễn Văn Quang [4] “Hệ thống phát ngăn chặn xâm nhập với Snort iptables” – Văn Đình Quân LÝ LỊCH TRÍCH NGANG Chủ nhiệm nhiệm vụ Họ tên: Đỗ Thành Luân Lớp: D3B Ngày tháng năm sinh: 04/07/1995 Nơi sinh:Lộc Hòa – Long Hồ - Vĩnh Long Địa liên lạc: T36 Số điện thoại: 0969 669 058 Thành viên Họ tên: Vũ Thị Thắng Lớp: D3B Ngày tháng năm sinh: 28/05/1994 Nơi sinh: Bình Thuận Địa liên lạc: T36 Số điện thoại: 098 312 6534 Họ tên: Nguyễn Văn Trường Lớp:D3A Ngày tháng năm sinh: 19/09/1994 Địa liên lạc: T36 Số điện thoại: 01666 765 031 Nơi sinh: Hậu Lộc – Thanh Hóa XÁC NHẬN HỒN THÀNH CƠNG TRÌNH BIÊN BẢN Xác nhận nộp sản phẩm cơng trình SVNCKH Căn vào Quyết định số Căn vào Kế hoạch số Căn vào Kết luận đ/c Chủ tịch hội đồng đề tài… Nhóm nghiên cứu hoàn thiện sản phẩm, chỉnh sửa theo yêu cầu Hội đồng nộp sản phẩm theo quy định vào hồi …h ngày tháng năm 2016 Biên viết thành có giá trị nhau, bên giữ NGƯỜI GIAO SẢN PHẨM NGƯỜI NHẬN SẢN PHẨM CHỦ NHIỆM ỦY VIÊN THƯ KÝ Ký ghi rõ họ tên Ký ghi rõ họ tên 61 ... nhằm phát xâm nhập Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort Snort.conf Snort đọc luật vào... liệu Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập Các luật Snort thay đổi (xóa, tạo, sửa Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt 2.2.2 Các đặc tính Snort. .. phương pháp ngăn chặn công Chương 15 CẤU TRÚC, CHỨC NĂNG VÀ TẬP LUẬT CỦA SNORT 2.1 Tổng quan Snort 2.2.1 Khái niệm Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ