BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM KHOA ĐÀO TẠO CHẤT LƯỢNG CAO BÁO CÁO CUỐI KỲ ĐỀ TÀI SỐ : Tìm hiểu Network -Based IDS thực nghiệm Giảng viên hướng dẫn : Nguyễn Thị Thanh Vân Môn học : Hệ Điều Hành Unix Sinh viên thực hiện: Trần Trung Tín - 14110204 Mục Lục Contents I Tổng quan IDS  Hiện mạng Internet trở thành phần thiếu người Internet ngày phổ biến rộng rải cho người để trao đổi thông tin mạng Khả kết nối toàn giới mang lại thuận tiện cho tất người, tiềm ẩn nguy khó lường đe dọa tới mặt đời sống xã hội Việc trộm thông tin mạng gây ảnh hưởng đến tính riêng tư cho cá nhân, vụ lừa đảo, công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho cơng ty gây phiền tối cho người sử dụng Internet… làm cho vấn đề bảo mật mạng ln vấn đề nóng hổi quan tâm đến thời điểm  Cho đến nay, giải pháp bảo mật trọng có đóng góp lớn việc hạn chế ngăn chặn vấn đề bảo mật, ví dụ Firewall ngăn chặn kết nối khơng đáng tin cậy, mã hóa làm tăng độ an tồn cho việc truyền liệu, chương trình diệt virus với sở liệu liên tục cập nhật loại virus Tuy nhiên vụ vi phạm bảo mật xảy ngày tinh vi với gia tăng vụ lạm dụng, dùng sai xuất phát từ hệ thống mà phương pháp bảo mật truyền thống không chống Những điều dẫn đến yêu cầu phải có phương pháp bảo mật bổ trợ cho phương pháp bảo mật truyền thống  Hệ thống phát xâm nhập trái phép IDS phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật Tuy nhiên Việt Nam hệ thống phát xâm nhập trái phép nghiên cứu, chưa ứng dụng vào thực tế Nguyên nhân việc hệ thống IDS phức tạp, tốn thời gian đào tạo để sử dụng, hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện hệ thống Việt Nam Khái niệm IDS  Là hệ thống nhằm phát hành động xâm nhập công vào mạng IDS phát dựa dấu hiệu đặc biệt nguy biết hay dựa so sánh lưu thông mạng với basedline để tìm dấu hiệu khác thường  Phát xâm nhập trái phép công việc đầy khó khăn ảnh hưởng tăng trưởng nhanh chóng kết nối mạng, mơi trường máy tính không đồng nhất, nhiều giao thức truyền thông phân loại đáng kể ứng dụng thông dụng độc quyền Hầu hết kỹ thuật IDS xây dựng dựa khác biệt ứng xử kẻ xâm nhập so với người dùng hợp lệ  Một IDS có nhiệm vụ phân tích gói tin mà Firewall cho phép qua, tìm kiếm dấu hiệu biết mà kiểm tra ngăn chặn Firewall Sau cung cấp thơng tin đưa cảnh báo cho quản trị viên  IDS cung cấp thêm cho việc bảo vệ an tồn thơng tin mạng mức độ cao Nó đánh giá giá trị giống Firewall VPN ngăn ngừa công mà IDS cung cấp bảo vệ cách trang bị cho bạn thơng tin cơng Bởi vậy, IDS thỏa mãn nhu cầu an toàn hệ thống bạn cách cảnh báo cho bạn khả cơng ngồi thơng báo xác chúng đưa số cảnh báo chưa  Phân biệt hệ thống IDS: Theo cách riêng biệt đó, thiết bị bảo mật IDS:  Hệ thống đăng nhập mạng sử dụng để phát lỗ hổng vấn đề công từ chối dịch vụ mạng Ở có hệ thống kiểm tra lưu lượng mạng  Các công cụ đánh giá lỗ hổng kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng  Các sản phẩm chống virus thiết kế để phát phần mềm mã nguy hiểm virus, Trojan horse, worm Mặc dù tính mặc định giống hệ thống phát xâm nhập thường cung cấp công cụ phát lỗ hổng bảo mật hiệu  Tường lửa hệ thống bảo mật, mật mã VPN, SSL,S/MINE, Kerberos, Radius Giới thiệu hệ thống IDS  Hệ thống phát xâm nhập IDS hệ thống giám sát lưu lượng mạng nhằm phát tượng bất thường, hoạt động trái phép xâm nhập vào hệ thống IDS phân biệt công từ nội hay cơng từ bên ngồi   IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số chuẩn hệ thống chấp nhận được) để tìm dấu hiệu bất thường Một hệ thống IDS cần phải thỏa mãn u cầu: • Tính xác (Accuracy): IDS khơng coi hành động thông thường môi trường hệ thống hành động bất thường hay lạm dụng • Hiệu (Performance): Hiệu IDS phải đủ để phát xâm nhập trái phpes thời gian thực • Tính trọn vẹn (Completeness): IDS không bỏ qua xâm nhập trái phép Đây điều kiện khó thỏa mãn • Chịu lỗi (Fault Tolerance): thân IDS phải có khả chống lại cơng • Khả mở rộng (Scalability): IDS phải có khả xử lý trạng thái xấu không bỏ sót thơng tin n cầu liên quan tới hệ thống mà kiện tương lai đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với phát triển nhanh mạnh mạng máy tính, hệ thống bị q tải tăng trưởng số lượng kiện Kiến trúc, chức quy trình hoạt động IDS Các thành phần IDS 3.1  IDS bao gồm thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response) gói tin phát công  3.2 Thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trị định Bộ cảm biến tích hợp với thành phần sưu tập liệu tạo kiến Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thơng tin kiện Vai trị cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết Thêm vào đó, sở liệu tham số cấu hình, gồm chế độ truyền thông với module đáp trả Bộ cảm biến có sơ sở liệu riêng Chức   3.3         Chức quan trọng IDS là: • Giám sát: giám sát lưu lượng mạng hoạt động bất thường hoạt động khả nghi • Cảnh báo: Khi biết hoạt động bất thường truy cập đó, IDS đưa cảnh báo hệ thống cho người quản trị • Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động chống lại kẻ xâm nhập Chức mở rộng IDS: • Phân biệt cơng từ từ bên ngồi: phân biệt đâu truy cập hợp lệ (hoặc không hợp lệ) từ bên đâu cơng từ bên ngồi • Phát hiện: dựa vào so sánh lưu lượng mạng với baseline, IDS phát dấu hiệu bất thường đưa cảnh báo bảo vệ ban đầu cho hệ thống Quy trình hoạt động IDS Một host tạo gói tin mạng Các cảm biến mạng đọc gói tin khoảng thời gian trước gửi khỏi mạng cục (cảm biến cần phải đặt cho đọc tất gói tin) Chương trình phát nằm cảm biến kiểm tra xem có gói tin có dấu hiệu vi phạm hay khơng Khi có dấu hiệu vi phạm cảnh báo tạo gửi đến giao diện điều khiển Khi giao diện điều khiển lệnh nhận cảnh báo gửi thơng báo cho người nhóm định từ trước (thông qua email, cửa sổ popup, trang web v.v…) Phản hồi khởi tạo theo quy định ứng với dấu hiệu xâm nhập Các cảnh báo lưu lại để tham khảo tương lai (trên địa cục sở liệu) Một báo cáo tóm tắt chi tiết cố tạo Cảnh báo so sánh với liệu khác để xác định xem có phải công hay không Phân Loại IDS  Hệ thống IDS chia làm loại bản: • Network-based IDS (NIDS): sử dụng liệu tồn lưu thơng mạng liệu kiểm tra từ một vài máy trạm để phát xâm nhập • Host-based IDS (HIDS): sử dụng liệu kiểm tra tự máy trạm đơn để phát xâm nhập Network based IDS – NIDS 4.1  Hệ thống IDS dựa mạng kiểm tra giao tiếp mạng với thời gian thực (real-time) Nó kiểm tra giao tiếp, quét header gói tin, kiểm tra nội dung gói để phát đoạn mã nguy hiểm hay dạng công khác Một Network-Based IDS hoạt động tin cậy việc kiểm tra, phát dạng cơng mạng, ví dụ dựa vào băng thông (bandwidth-based) công Denied of Service (DoS)  Ưu điểm:  Quản lý network segment (gồm nhiều host)  Trong suốt với người sử dụng lẫn kẻ công  Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng  Tránh DOS ảnh hưởng tới host  Có khả xác định lỗi tầng Network  Độc lập với OS  Nhược điểm:  Có thể xảy trường hợp báo động giả  Khơng thể phân tích liệu mã hóa (VD: SSL, SSH, IPSec ) NIDS địi hỏi phải cập nhật signature để thực an tồn  Có độ trễ thời điểm bị công với thời điểm phát báo động Khi báo động phát hiện, hệ thống bị tổn hại  Không cho biết việc công có thành cơng hay khơng  Hạn chế lớn giới hạn băng thơng Những dị mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên khả đầu dị phải tăng theo Host based IDS - HIDS 4.2  Bằng cách cài đặt phần mềm máy chủ, IDS dựa máy chủ quan sát tất hoạt động hệ thống file log, lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dói OS, gọi hệ thống, lịch sử thông điệp báo lỗi hệ thống máy chủ HIDS thường cài đặt máy tính định thay giám sát hoạt động network, HIDS giám sát hoạt động máy tính HIDS thường đặt host quan trọng server vùng DMS Nhiệm vụ HIDS theo dõi thay đổi hệ thống gồm: • Các tiến trình • Các entry • Mức độ sử dụng CPU • Tình trạng RAM • Tính tồn vẹn hệ thống • Các thông số vượt qua ngưỡng định có thay đổi khả nghi gây báo động 10  Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn Module giải mã gói tin 2.1  Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thông qua hệ thống 17  Một gói tin sau giải mã đưa tiếp vào module tiền xử lý Module tiền xử lý 2.2  Module quan trọng hệ thống để chuẩn bị gói liệu đưa vào cho Module phát phân tích nhiệm vụ chính: • Kết hợp lại gói tin: Khi liệu lớn gửi đi, thông tin khơng đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort hiểu phiên làm việc khác • Giải mã chuẩn hóa giao thức (decode/normalize): công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Ví dụ: Web server nhận nhiều dạng URL: URL viết dạng hexa/unicode hay URL chấp nhận dấu / hay \ Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số Module tiền xử lý Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thơng tin đầu vào • Phát xâm nhập bất thường (nonrule/anormal): plugin dạng thường để xử lý với xâm nhập khơng thể khó phát luật thông thường Phiển Snort có kèm plugin giúp phát xâm nhập bất thường portscan bo (backoffice) Portscan dùng để đưa cảnh báo kẻ cơng thực qt cổng để tìm lỗ hổng Bo dùng để đưa cảnh báo hệ thống nhiễm trojan backoffice Module phát 2.3  Đây module quan trọng Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay khơng 18  Một vấn đề quan trọng module phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Khi lưu lượng mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý module phát phụ thuộc vào nhiều yếu tố: số lượng luật, tốc độ hệ thống, băng thơng mạng  Một module phát có khả tách phần gói tin áp dụng luật lên phần gói tin: • IP header • Header tầng transport: TCP, UDP • Header tầng application: DNS, HTTP, FTP … • Phần tải gói tin  Do luật Snort đánh số thứ tự ưu tiên nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa theo luật có mức ưu tiên cao Module log cảnh báo 2.4  Tùy thuộc vào module phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log hay đưa cảnh báo Các file log file liệu ghi nhiều định dạng khác tcpdump Module kết xuất thông tin 2.5  Module thực thao tác khác tùy thuộc vào việc cấu hình lưu kết xuất • Ghi log file • Ghi syslog • Ghi cảnh báo vào sở liệu 19 • Tạo file log XML • Cấu hình lại Router, firewall • Gửi cảnh báo gói gói tin sử dụng giao thức SNMP III Thực nghiệm Thực nghiêm tạo mơ hình cài đặt snort      Chúng ta có mơ sau, gồm máy: • Client: Windows –Vmnet 11: 192.168.11.12 • Attacker: Kali Linux 2016.2 –Vmnet 12 : 192.168.11.10 • Snort IDS: Centos 6.9 –Vmnet 11 : 192.168.11.11 –Vmnet 12 : 192.168.10.12 • WEB Server: Centos 6.9 –Vmnet 12 : 192.168.10.13 Cấu hình bạn tự làm, phần học mơn Hệ điều hành Unix Coi lại phần cấu hình ip routing để ping thơng qua máy Lưu ý số điều: • Tắt Firewall ping • Trong file /etc/sysctl.conf -> Chỉnh dịng net.ipv4.ip_forward = • Coi lại cấu hình routing Sau ping thông máy, bạn bắt đầu vào việc cài đặt Snort Cài đặt Package 20 yum install -y gcc flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make daq yum groupinstall - y "Development Tools" Chuẩn bị file cài đặt riêng sau, cần có card mạng NAT ngồi internet bạn dễ dàng cài đặt file libdnet-1.12.tgz libdnet-1.12-6.el6.x86_64.rpm libdnet-devel-1.12-6.el6.x86_64.rpm snortrules-snapshot-2983tar.gz  Tải file snort Snort.org daq-2.0.4.tar.gz snort-2.9.8.3.tar.gz   Sau cài đặt file chúng tình trang chưa giải nén máy Lưu ý: • Sau cài đặt Snort thất bại nhiều lần rút kinh nghiêm Các bạn lưu ý snort-2.9.8.3.tar.gz snortrulessnapshot-2983tar.gz phải phiên với nhau, 2983 Các bạn phiên file phài phiên khơng cài bạn gặp lỗi phải bắt đầu lại từ đầu mình, lúc sau cho bạn xem lỗi 21    Tiếp theo bắt đầu công việc Tùy bạn để file đâu để giải nén nó, để desktop muốn giải nén vào file /usr/local/src Tiếp tục bước hướng dẫn 22 23  Tạo user, group, cấp quyền  Cấu hình snort vi /etc/snort/snort.conf ipvar HOME_NET any > ipvar HOME_NET 192.168.10.0/24 24 ipvar EXTERNAL_NET any var RULE_PATH /rules > var SO_RULE_PATH /etc/snort/so_rules > ipvar EXTERNAL_NET !$HOME_NET 104 var RULE_PATH /etc/snort/rules /so_rules > var PREPROC_RULE_PATH /preproc_rules PREPROC_RULE_PATH /etc/snort/preproc_rules 105 var SO_RULE_PATH > 106 var var WHITE_LIST_PATH /rules /etc/snort/rules > 109 var WHITE_LIST_PATH var BLACK_LIST_PATH /rules /etc/snort/rules > 110 var BLACK_LIST_PATH  Cấp quyền start snort  Check  Lỗi 25  Cách khắc phục  Thành công cài đặt snort Thực nghiệm attacker thâm nhập snort phát   Attacker ping snort phát xâm nhập: Add rules  Attacker ping đến Web Server 26  Snort check phát ping  Attacker gửi gói ICMP Ping of Dead snort phát xâm nhập:  Add rules 27  Attacker viết script ping of dead để test kết  Snort check phát gói Ping Of Dead 28   Attacker Port Nmap Scan snort phát xâm nhập: Add rules  Attacker Nmap đến địa ip Web Server 29  Snort check phát xâm nhập 30 IV Kết luận     Trước hết hệ thống phát xâm nhập IDS liên quan đến việc phát hoạt động cơng Do cơng cụ bảo mật mạng sử dụng hai kỹ thuật Kỹ thuật thứ phát dị thường nhằm tìm vấn đề phát xâm nhập liên quan đến sai lệnh so với hệ thống thông thường hành vi người dùng Kỹ thuật thứ hai sử dụng phát dấu hiệu để phân biệt mẫu cơng khơng bình thường dấu hiệu phát xâm phạm biết Cả hai phương pháp có ưu điểm nhược điểm ứng dụng hợp lý Khi xem xét đến vùng chứa liệu sử dụng cho việc phát xâm nhập, có phân loại khác sử dụng dạng kiểu hệ thống bảo vệ Nhóm công cụ IDS sử dụng thông tin lấy từ host (hệ thống) – IDS host (HIDS) IDS sử dụng thông tin thu từ đoạn mạng cục (IDS mạng) Hệ thống phát xâm nhập – IDS hệ thống giám sát lưu lượng mạng nhằm phát hiện tượng bất thường, hoạt động trái xâm nhập phép hệ thống IDS phân biệt công từ bên (nội bộ) hay cơng từ bên ngồi (từ tin tặc) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thơng số đo đạt chuẩn hệ thống chấp nhận thời điểm tại) để tìm dấu hiệu khác thường Nhìn chung, IDS không tự động cấm công ngăn chặn kẻ khai thác cách thành công, nhiên , phát IDS hệ thống ngăn chặn xâm phập thực nhiều vai trị ngăn chặn cơng xảy Định nghĩa IDS khó tưởng Đầu tiên, IDS nhìn nhận chng báo trộm mà thơng báo cho bạn biết bạn bị cơng, Tuy nhiên hệ thống IDS đại phức tạp nhiều người đồng ý có mức độ giống chng báo trộm truyền thống đáng tin cậy.Nếu giống sử dụng hệ thống IDS trơng giống camera chống trộm chng, người có trách nhiệm quan sát chúng đáp trả cho đe dọa xâm nhập 31 ... –Vmnet 11 : 19 2 .16 8 .11 .12 • Attacker: Kali Linux 2 016 .2 –Vmnet 12 : 19 2 .16 8 .11 .10 • Snort IDS: Centos 6.9 –Vmnet 11 : 19 2 .16 8 .11 .11 –Vmnet 12 : 19 2 .16 8 .10 .12 • WEB Server: Centos 6.9 –Vmnet 12 : 19 2 .16 8 .10 .13 ... cần có card mạng NAT ngồi internet bạn dễ dàng cài đặt file libdnet -1. 12.tgz libdnet -1. 12-6.el6.x86_64.rpm libdnet-devel -1. 12-6.el6.x86_64.rpm snortrules-snapshot-2983tar.gz  Tải file snort... /etc/snort/preproc_rules 10 5 var SO_RULE_PATH > 10 6 var var WHITE_LIST_PATH /rules /etc/snort/rules > 10 9 var WHITE_LIST_PATH var BLACK_LIST_PATH /rules /etc/snort/rules > 11 0 var BLACK_LIST_PATH