Đang tải... (xem toàn văn)
hóm chúng em xin gửi lời cảm ơn tới thầy Nguyễn Duy đã tận tình hướng dẫn và giúp đỡ để nhóm thực hiện và hoàn thành đồ án môn An toàn mạng máy tính. Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án này còn nhiều thiếu sót. Nhóm rất mong nhận được những ý kiến đóng góp quý báo từ các thầy cô và các bạn
ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG ĐỒ ÁN MƠN AN TỒN MẠNG MÁY TÍNH ĐỀ TÀI 7: TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP - OSSEC Giảng viên hướng dẫn : Nguyễn Duy Sinh viên thực : Nguyễn Thanh Tâm MSSV: 12520909 Đặng Thái Hồ MSSV: 12520596 N Lời nói đầu hóm chúng em xin gửi lời cảm ơn tới thầy Nguyễn Duy tận tình hướng dẫn giúp đỡ để nhóm thực hồn thành đồ án mơn An tồn mạng máy tính Mặc dù có nhiều cố gắng thời gian trình độ có hạn nên đồ án nhiều thiếu sót Nhóm mong nhận ý kiến đóng góp quý báo từ thầy cô bạn Mục lục I Hệ thống phát xâm nhập IDS (Intrusion Detection System) Khái niệm Các thành phần chức IDS a IDS bao gồm thành phần b Chức c Phân loại d Hệ thống luật e Thiết kế Giới thiệu OSSEC II Tiến hành demo I Hệ thống phát xâm nhập IDS (Intrusion Detection System) Khái niệm IDS: hệ thống phần cứng phần mềm có chức năng: - Giám sát lưu thông mạng Tự động theo dõi kiện xảy hệ thống máy tính, phân tích để phát vấn đề liên quan đến an ninh, bảo mật đưa cảnh báo cho nhà quản trị Phản ứng lại với lưu thông bất thường hay có hại hành động thiết lập trước khóa người dùng hay địa ip nguồn truy cập hệ thống mạng IDS phân biệt giữa: + Những cơng từ bên (từ người công ty) + Tấn cơng bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống ) để tìm dấu hiệu khác thường Các thành phần chức IDS a IDS bao gồm thành phần chính: - Thành phần thu thập gói tin: thành phần có nhiệm vụ lấy gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng hủy bỏ card mạng IDS đặt chế độ thu nhận tất Bộ phận thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì… Các thơng tin chuyển đến thành phần phát công - Thành phần phát cơng: cảm biến đóng vai trò định Vai trò cảm biến dung để lọc thông tin loại bỏ thong tin liệu khơng tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ - Thành phần phản hồi: có dấu hiệu công thâm nhập, thành phần phát công gửi tín hiệu báo hiệu (alert) có công thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức ngăn chặn công hay cảnh báo tới người quản trị b Chức - Cảnh báo thời gian thực : gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng - Ghi lại vào tập tin: liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho - module phát hoạt động cơng Ngăn chặn thay đổi gói tin: gói tin khớp với dấu hiệu cơng IDS phản hồi cách xóa bỏ, hay từ chối thay đổi nội dung gói tin, làm cho gói tin trở nên khơng bình thường c Phân loại: Network Base IDS (NIDS): hệ thống phát hện xâm nhập mạng Hệ thống tập hợp gói tin để phân tích sâu bên mà khơng làm thay đổi cấu trúc gói tin NIDS phần mềm triển khai server dạng thiết bị tích hợp appliance Host Base IDS (HIDS) hệ thống phát xâm nhập host Theo dõi hoạt động bất thường host riêng biệt HIDS cài đặt trực tiếp máy (host) cần theo dõi Ưu nhược điểm HIDS Ưu điểm - Có khả xác định người dung liên quan tới kiện - Hids có khả phát công diễn máy - Có thể phân tích liệu mã hóa - Cung cấp thơng tin host lúc công diễn Nhược điểm - Thông tin từ HIDS không đáng tin cậy công vào host thành công - Khi hệ điều hành bị hạ công, đồng thời HIDS bị hạ - Hids phải thiết lập host giám sat - Hids khơng có khả phát dò mạng - Hids cần tài nguyên Host để hoạt động - Đa số chạy hệ điều hành window Tuy nhiên có số chạy linux chặng hạng Ubuntu Các hoạt động HIDS Khi lưu lượng truyền tải đến host chúng phân tích đưa qua host hệ thống khơng phát thấy gói tin mang mã nguy hiểm bên HIDS thường sử dụng cho máy tính nội NIDS dùng cho mạng HIDS thường sử dụng cho Windows giới máy tính, nhiên có nhiều sản phẩm hoạt động môi trường UNIX hệ điều hành khác d Hệ thống luật Tập luật thành phần quan trọng hệ thống phát xâm nhập Đây tập định dấu hiệu (mẫu) để so sánh, đói chiếu với liệu đầu vào Thông thường, tập luật bao gồm nhiều luật, luật gồm thành phần bản: Rule Header Rule Options Rule header bao gồm thông tin sau: • Rule Action: Cho biết hoạt động thực thi “khớp” luật (alert, log, pass, active, dynamic, drop…) • Protocol: Cho biết giao thức kiểm tra (TCP, UDP, ICMP, IP…) • IP address: Cho biết thơng tin địa ip • Port number: Cho biết thơng tin cổng • Direction: Cho biết hướng liệu mà so khớp Rule options chia làm danh mục: • General: cung cấp thơng tin chung luật (msg, reference, rev, classtype…) • Payload: Tìm kiếm nội dung payload gói tin (content, offset, depth, distance, within…) • Non-payload: Tìm kiếm nội dung non-payload gói tin (ttl, ack, tos, id, dsize…) • Post-detection: cung cấp phương pháp thực thi kế tiếp(logto, session, tag…) e Thiết kế Đặt router firewall Đặt miền DMZ Đặt sau firewall f Giới thiệu OSSEC Ossec hệ thống phát xâm nhập mã nguồn mở, xác HIDS (Host IDS): thực phân tích đăng nhập, kiểm tra tính tồn vẹn file, giám sát sách, phát rootkit, cảnh báo thời gian thực tích cực phản ứng Nó chạy hầu hết hệ điều hành , bao gồm Linux, hệ điều hành MacOS, Solaris, HP-UX, AIX Windows Các thành phần OSSEC Các luật OSSEC II Tiến hành demo ... Duy tận tình hướng dẫn giúp đỡ để nhóm thực hồn thành đồ án mơn An tồn mạng máy tính Mặc dù có nhiều cố gắng thời gian trình độ có hạn nên đồ án nhiều thiếu sót Nhóm mong nhận ý kiến đóng góp q