Bài giảng đồ án điện tử cơ bản

Bài giảng đồ án điện tử cơ bản

Thông tin:
30 trang 11 tháng trước

Bình luận

Vui lòng đăng nhập hoặc đăng ký để gửi bình luận.

Bài giảng đồ án điện tử cơ bản

Bài giảng đồ án điện tử cơ bản

81 41 lượt tải Tải xuống
lOMoARcPSD|208990 13
lOMoARcPSD|208990 13
MỤC LỤC
MỞ ĐẦU
Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS
1.1. Giới thiệu hệ thống IDS
1.2. Kiến trúc, chức năng quy trình hoạt động của IDS
1.2.1. c thành phần của IDS
1.2.2. Chức năng
1.2.3. Quy trình hoạt động của IDS
1.3. Phân loại IDS
1.3.1. Network based IDS - NIDS
1.3.2. Host based IDS - HIDS
1.4. Những loại tấn công thường gặp IDS tương ứng
1.4.1. Tấnng từ chối dịch vụ Denial of Services
1.4.2. Quét thăm dò (Scanning Probe)
1.4.3. Tấn công vào mật khẩu (Password attack)
1.4.4. Chiếm đặc quyền (Privilege-grabbing)
1.4.5. i đặt nguy hiểm (Hostile code insertion)
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)
1.4.7. Tấnng hạ tầng bảo mật (Security infrastructure attack)
Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT
2.1. Giới thiệu về Snort
2.2. Vị trí của Snort trong hệ thống mng
2.3.Kiến trúc của Snort
2.3.1.Module giải mã gói tin
2.3.2.Module tiền xử lý
2.3.3.Module phát hiện
2.3.4.Module log và cảnh báo
2.3.5.Module kết xuất thông tin
2.4.Bộ luật của Snort
2.4.1.Giới thiệu
2.4.2.Cấu trúc luật của Snort
2.4.3.Phần tiêu đề
2.4.4.Phần tùy chọn
Chương 3: i đặt cấu hình triển khai hệ thống pt hiện xâm nhập IDS Snort
3.1 Cài đặt cấu hình Snort
3.2 Triển khai hệ thống phát hiệnm nhập IDS Snort
lOMoARcPSD|208990 13
MỞ ĐẦU
Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS
1.1. Giới thiệu hệ thống IDS
Hệ thống phát hiện xâm nhập IDS một hệ thống giám sát lưu lượng mạng
nhằm phát hiện ra hin tượng bất tng, các hoạt động trái phép xâm nhập vào hệ
thống. IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên
ngoài.
IDS phát hiện dựa trên các dấu hiu đặc biệt về nguy cơ đã biết (giống như
cách phần mềm diệt virus phát hiện và diệt virus) hay dựa trên so sánh lưu thông
mng hiện tại với baseline (thông số chuẩn của hệ thống thể chấp nhận được) để
tìm ra các dấu hiệu bất thường.
Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống những hành động bất thường hay lạm
dụng
Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập
trái phép trong thời gian thực
Tính trọn vẹn (Completeness): IDS không được bỏ qua mộtm nhập trái
phép nào. Đây là một điều kiện khó thỏa mãn được .
Chịu lỗi (Fault Tolerance): bản thân IDS cũng phải khả năng chống lại tấn
công
Khả ng mở rộng (Scalability): IDS phải kh ng xử trong trạng thái
xấu nhất là không bỏ sót thông tin nào. Yên cầu này liên quan tới hệ thống
mà các sự kiện trong tương lai đến từ nhiều nguồni nguyên với số lượng
host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có
th bị q tải bởi sự tăng trưởng của số lượng sự kiện.
1.2. Kiến trúc, chức ng và quy trình hoạt động của IDS
1.2.1. Các thành phần của IDS
IDS bao gồm các thành phần chính: thành phần thu thậpi tin (information
collection), thành phần phân tích gói tin (Detection), thành phần phản hồi
(response) nếui tin đó được phát hin một cuộc tấnng.
Thành phần phân tích gói tin quan trọng nhất và thành phầny bộ cảm
biến đóng vai trò quyết định. Bộ cảm biến tích hợp với thành phần là sưu tập dữ
liu một bộ tạo sự kiến. Cách sưu tập này được xác định bởi chính sách tạo s
lOMoARcPSD|208990 13
kin để định nghĩa chế độ lọc thông tin sự kiện. Vai trò của bộ cảm biến là dùng để
lọc thông tin và loại bỏ dliệu không tương tch đạt được từ các sự kiện liên quan
với hệ thng bảo vệ, vậy thể phát hiện được các nh động nghi ngờ. Bộ
phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có
các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần
thiết. Thêm vào đó, sở dữ liu giữa các tham số cấu hình, gồm c chế độ truyền
thông với module đáp trả. Bộ cảm biến cũng có sơ s dữ liu của riêng nó.
1.2.2. Chức năng
Chức năng quan trọng nhất của IDS là:
Giám sát: giám sát u lượng mạng các hoạt động bất thường các hoạt
động khả nghi
Cảnh báo: Khi đã biết được các hoạt động bất thường của một truy cập nào
đó, IDS sẽ đưa ra cảnh báo về hệ thống cho người qun trị
Bảo vệ: Dùng những thiết lập mặc định những cấu hình tnhà quản tr
những hành động chống lại kẻ xâm nhập
Chức năng mở rộng của IDS:
- Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể
phân biệt được đâu những truy cập hợp lệ (hoặc không hợp lệ) từ
bên trong và đâu cuộc tấn ng từn ngoài
- Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS
có thể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo
bảo vệ ban đầu cho hệ thống
1.2.3. Quy trình hoạt động của IDS
- Một host tạo ra một gói tin mạng:
- Các cảm biến trong mng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho
thể đọc tất c các gói tin).
- Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xemgói tin nào
dấu hiệu vi phạm hay không. Khi có dấu hiệu vi phạm tmột cảnh báo
sẽ được tạo ra gửi đến giao diện điều khiển.
- Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho
mt người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa
lOMoARcPSD|208990 13
sổ popup, trang web v.v…).
- Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
- Các cảnh báo được lưu lại để tham khảo trong tương lai (trên đa chỉ cục bộ
hoặc trên cơ sở dữ liệu).
- Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
- Cảnh báo được so sánh vớic dữ liệu khác để xác định xem đây có phải là
cuộc tấn công hay không.
Ưu điểm
- Thích hợp sử dụng để thu thập số liệu, bằng chứng phục vụng tác điều tra
ng cứu sự cố
- Đem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mng
- công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng.
Nhược điểm
- Cần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầm
- Khả ng phân tích traffic hóa tương đối thấp
- Chi phí phát triển vận hành hệ thống tương đối cao.
1.3. Phân loại IDS
Hệ thống IDS được chia làm 2 loại bản:
Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông
mng cùng dữ liệu kiểm tra từ mt hoặc một vài máy trạm để phát hiện xâm nhập
Host-based IDS (HIDS): sử dụng dữ liu kiểm tra từ một máy trạm đơn
để phát hiện m nhập
Ngoài ran có:
Signature-Based: Đây là các IDS hoạt động dựa trên chữ ký, giámt các
gói tin trên mạng tương tự như cách phần mềm diệt virus hoạt động. Tuy nhiên
Signature-Based thể không phát hin được những mối đe dọa mi, khi chữ
để nhận biết nó chưa được IDS cập nhật.
Anomaly-Based: IDS y được sử dụng để phát hiện mối đe dọa dựa trên
sự bất thường. Anomaly-Based sẽ giám sát traffic mạng và so sánh với baseline đã
được thiết lập từ trước. Baseline sẽ xác định đâu là mức bình thường của mng
cảnh báo cho quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất
thường hoặc khác biệt so với baseline.
Passive: Đây IDS thụ động chỉ phát hiện cảnh báo. Khi phát hiện
lOMoARcPSD|208990 13
traffic đáng ngờ hoặc độc hại, nó sẽ tạo gửi cảnh báo đến các nhà quản tr hoặc
người dùng. Những hành động sau đó sẽ phụ thuộc vào người quản trị.
Reactive: Loại IDS này ngoài nhiệm vụ như IDS Passive, nó còn thực
hin những hành động đã được thiết lập sẵn để phản ứng lại các mối đe dọa một
cách nhanh chóng, ví như: chặn nguồn truy cập, khóa IP.
1.3.1. Network based IDS - NIDS
Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời
gian thực (real-time). kiểm tra các giao tiếp, quét header của các gói tin,
thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay
các dạng tấnng khác nhau. Một Network-Based IDS hoạt động tin cậy trong
việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng
thông (bandwidth-based) của tấnng Denied of Service (DoS).
*Ưu điểm:
- Quản được cả một network segment (gồm nhiu host)
- Trong suốt vi người sử dụng ln kẻ tấn công
- Cài đặt bảo trì đơn gin, không ảnh hưởng tới mạng
- Tránh DOS ảnh ng tới một host nào đó
- Có khả năng xác định lỗi tầng Network
- Độc lập với OS
*Nhược điểm:
- Có thể xảy ra trường hợp báo động giả
- Không thể phân tích các dữ liệu đã được hóa (VD: SSL, SSH, IPSec...)
lOMoARcPSD|208990 13
- NIDS đòi hỏi phải được cập nhật các signature mi nhất để thực sự an toàn
- Có độ trễ giữa thi điểm bị tấn công với thời điểm phát báo động. Khi báo
động được phát hiện, hệ thống có thể đã bị tổn hại.
- Không cho biết việc tấn công thành công hay không
- Hạn chế lớn nhất là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả
các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng. Khi
tốc độ mng ng lên thì khả năng của đầu dò cũng phải tăng theo.
1.3.2. Host based IDS - HIDS
Bằng cách cài đặt một phần mềm tn máy chủ, IDS dựa trên máy chủ quan
sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mng thu thập. Hệ
thống dựa trên máy chủ cũng theo dói OS, những cuộc gọi hệ thống, lịch sử và
những thông điệp báo lỗi tn hệ thống máy chủ. HIDS thường được cài đặt trên
mt máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ
giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host
quan trọng các server trong vùng DMS. Nhiệm vụ của HIDS theo dõi các
thay đổi trên hệ thống gồm:
- Các tiến trình
- Các entry
- Mức độ sử dụng CPU
- Tình trạng RAM
- Tính toàn vẹn của hệ thống
Các thông số này khi vượt qua một ngưỡng nhất định hoặc có những thay đổi
khả nghi sẽ gây ra báo động
*Ưu điểm:
- khả năng xác định user liên quan tới event
- HIDS khả năng phát hiện tấnng diễn ra trên một y, NIDS thì không
- Có thể phân tích các dữ liệu hóa
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này
*Nhược điểm:
- Thông tin từ HIDS không đáng tin cậy ngay khi sự tấn công vào host này
thành công
- Khi OS bị sập do tấn công, đồng thời HIDS cũng sập
- HIDS phải được thiết lập trên từng host cần giám sát
lOMoARcPSD|208990 13
- HIDS không khả năng phát hiện các cuộc dò quét mng (Nmap,
Netcat ...)
- HIDS cần tài nguyên trên host để hoạt động
- HIDS thể không hiệu quả khi bị DOS.
1.4. Những loại tấn công thường gặp và IDS tương ứng
1.4.1. Tấn công từ chối dịch vụ (Denial of Services):
Denial of Service (DoS) có mục đích đóng băng hay chặn đứng tài nguyên
hệ thống đích. Cuối cùng mục tiêu không thể tiếp cận trả lời các gói tin gửi đến.
DoS tấn công vào các mục tiêu bao gồm 3 dạng: mng, hệ thống và ng dụng.
- Phá hoại mạng: kiểu tấn công SYN flood. Kẻ tấn công sgửi các i tin kết
nối SYN tới hệ thống cho tới khi công suất của máy chủ quá tải và sẽ không
th nhận được bất kgói tin nào nữa.
- Phá hoại hệ thống: bao gồm các dạng như Ping of Death (gửi 1 gói dữ liệu
ch thước lớn thông qua lệnh ping tới máy chủ), Teardrop (gửi tới máy
chủ một loại gói tin có giá trị offset chồng chéo khiến máy chủ không sắp
xếp được à crash hoặc reboot) … Các kiểu tấn công này nhằm lợi dụng lỗ
hổng trên h điều hành nhằm phá hoại, gây quá tải hệ thống.
- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, sở dữ
liu hay trang web…
- Giải pháp: Network IDS thể phát hiện được các cuộc tấn ng dạng gói
tin
1.4.2. Quét thăm dò (Scanning Probe)
Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định
đim yếu. Việc thăm dò có thể thực hiện bằngch ping tới hệ thống cũng như
kim tra các cổng TCP hoặc UDP để phát hiện ra ng dụng những lỗi đã được
biết tới.
Giải pháp: Network IDS thể phát hiện các hành động nguy hiểm trước khi
chúng xảy ra. Host IDS cũng tác dụng đối với kiểu tấn công này
1.4.3. Tấn công vào mật khẩu (Password attack)
Có các phương thức để tiếp cận:
- Kiểu dễ nhận thấy nhất ăn trộm mật khẩu, mang li quyền quản trị cho kẻ
lOMoARcPSD|208990 13
tấn công có thể truy cập mọi thông tin trong mạng.
- Đoán hay bẻ khóa mật khẩu phương thức tiếp cận bằng cách thử nhiều lần
mật khẩu để tìm được đáp án đúng. Với kiểu bẻ khóa, kẻ tấn công cần truy
cập tới mật khẩu đã được mã hóa hay file chứa mt khẩu đã mã hóa. Và sử
dụng chương trình đoán mật khẩu với thuật toán mã hóa để xác định mật
khẩu đúng.
- Giải pháp: Một Network IDS có thể phát hiện và ngăn chặn cố gắng đoán
mật khẩu, nhưng nó không hiệu quả trong việc phát hiện truy cập trái phép
tới file bị mã hóa. Trong khi đó, Host IDS lại thể hiện hiệu quả trong việc
phát hiện đoán mật khẩu cũng như truy cập trái phép.
1.4.4. Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập được hệ thng, chúng sẽ cố chiếm quyền truy
cập. Khi thành công, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin
quan trọng. Một số kỹ thuật tng dùng cho việc chiếm đặc quyền:
- Đoán hay đánh cắp mật khẩu root, admin
- Gây tràn bộ đệm
- Khai thác registry
- Sử dụng file, script hay lỗi của hệ điều hành, ứng dụng.
- Giải pháp: Cả NIDS HIDS đều thc định được việc thay đổi đặc
quyền trái phép
1.4.5. Cài đặt nguy hiểm (Hostile code insertion)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập tiếp
theo.
- Virus: khi được thực thi sẽ dẫn tới hành động tự động, hoặc không hại,
luôn tạo ra bản sao của file hệ thống, file ứng dụng hay dữ liệu.
- Trojan Horse: được đặtn như một chương trình người ta muốn sử dụng
nhưng thực tế chúng kích hoạt các hành động dẫn tới hỏng hệ thống
- Giải pháp: không loại IDS nào chống việc phá hoại từ virus hay Trojan.
Cách tốt nhất cài đặt phần mềm diệt virus
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)
Hành động phoại bao gồm: thay đổi trang web, xóa file, phá block khởi
lOMoARcPSD|208990 13
động chương trình hệ điều hành, format đĩa
Giải pháp: sử dụng HIDS trong trường hợp này là hoàn toàn phợp. Với
NIDS có thể sử dụng dấu hiệu tấn ng được định nghĩa trước để phát hiện chính
xác việc truy cập trái phép vào hệ điều hành
1.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack)
Có nhiều loại tấn công can thiệp vào việc điu khiển cơ bản của cơ sở hạ
tầng bảo mt như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dung hay
thay đổi các quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có
thêm quyền truy cập hay tạo thêm nhiều đường xâm nhập vào hệ thống
Giải pháp: HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những
hành động như trên
Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT
2.1. Giới thiệu về Snort
Snort là một hệ thống IDS/IPS thuộc dạng NIDS. Snort được Martin Roesch
nghiên cứu và phát triển từ năm 1998. Từ m 2013 cho đến nay, công ty nổi tiếng
về mạng là Cisco đã mua lại Snort và tiếp tục phát triển nghiên cứu. Snort là một
công cụ có nguồn mở, hoàn toàn miễn phí thể tải và cài đặt trên hầu hết
các hệ điều hành phổ biến hin nay: Linux/Unix, Ubuntu, MacOS, Window,
Kiến trúc thiết kế của Snort được xây dựng theo kiu module, tức người
dùng
hoàn toàn có thể thêm cho hệ thống Snort của mình bằng việc cài đặt hoặc viết
thêm mi các module. Số lượng rule của Snort hin tại đã lên tới hàng nghìn rule
luôn luôn được thêm hay cập nhật hằng tháng bởi Snort sở hữu cộng đồng user
đông đảo.
2.2. Vị trí ca Snort trong hệ thống mạng
- Giữa Router Firewall
lOMoARcPSD|208990 13
Hình 2.1: Snort - sensor đặt giữa Router Firewall
- Trong vùng DMZ
lOMoARcPSD|208990 13
Hình 2.2: Snort - sensor đặt trong vùng DMZ
- Sau Firewall
lOMoARcPSD|208990 13
Hình 2.3: Snort - sensor đặt sau Firewall
2.3. Kiến trúc của Snort
Snort bao gồm nhiu thành phần,với mi phn một chức năng riêng.Các
phần chính đó là:
- Module giải
- Module tiền xử lý
- Module phát hiện
- Module log cảnh báo
- Module kết xuất thông tin
lOMoARcPSD|208990 13
Hình 2.4 : Mô hình kiến trúc hệ thống Snort
Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin
nào di chuyển qua nó.Các gói tin sau khi bị bắt được đưa vào Module Giải mã gói
tin. Tiếp theo gói tin sẽ được đưa vào Module Tiền xử lí,rồi Module Phát hiện.Tại
đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được bỏ
qua để lưu thông tiếp hoặc đưa vào Module Log và cảnho để xử lý. Khi các
cảnh báo được xác định Module Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo
ra theo đúng định dạng mong muốn. Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế
hoạt động chức năng của từng thành phần.
2.3.1. Module giải gói tin
Snort sử dụng t vin pcap để bắt mi gói tin trên mng u thông qua hệ
thống.
lOMoARcPSD|208990 13
Hình 2.5 : Xử một gói tin Ethernet
Một gói tin sau khi được gii mã sẽ được đưa tiếp vào Module Tiền xử
.Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên
mng và phục hồi thành gói dữ liệu hoàn chỉnh lớp application,làm input cho hệ
thống detection engine.
Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp
Application theo thứ tự của Protocol Stack.
2.3.2. Module tiền xử lý
Module tiền xử rất quan trọng đối vi bất hệ thống IDS nào để có thể
lOMoARcPSD|208990 13
chuẩn bị gói dữ liệu đưa vào cho Module Phát hin phân tích.Ba nhiệm vụ chính
của Module loại này là:
Kết hợp lại các gói tin: Khi một lượng lớn dữ liu được gửi đi,thông tin sẽ
không đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh,chia gói
tin ban đầu thành nhiều gói tin rồi mới gửi đi. Khi Snort nhận được các gói tin này
nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu,từ đó
mi thực hiện được các công việc xử lý tiếp. Như ta đã biết khi một phiên làm việc
của hệ thống diễn ra, sẽ có rất nhiu gói tin được trao đổi trong phiên đó. Một gói
tin riêng lẻ sẽ không có trạng thái và nếu việc phát hin xâm nhập chỉ dựa vào gói
tin đó sẽ không đem lại hiệu quả cao. Module tiền xử lý giúp Snort có thể hiểu
được các phiên làm việc khác nhau ( nói cách khác đem li tính có trạng thái cho
các gói tin ) từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiệnm nhập.
Giải mã và chuẩn hóa giao thức ( decode/normalize ): công việc phát hiện
xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao
thức có dữ liệu có thể được thể hiện dưới nhiu dạng khác nhau. Ví dụ: một web
server có thể chấp nhận nhiều dạng URL như URL được viết dưới dạng
hexa/Unicode,URL chấp nhận cả dấu / hay \ hoặc nhiều ký tự này liên tiếp cùng
c. Chẳng hạn ta có dấu hiu nhận dạng “scripts/iisadmin”, kẻ tấn côngthể
vượt qua được bằng cách tùy biến các yêu cầu gửi đến web server như sau:
“scripts/./iisadmin
“scripts/.\iisadmin
scripts\iisadmin”
Hoặc thực hiện việc mã hóa chuỗi này dưới dạng khác.Nếu Snort chỉ thực
hin đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ
sót các hành vi xâm nhập.Do vậy, một số Module tiền xử lý của Snort phải có
nhim vụ giải mã và chỉnh sửa, sắp xếp lạic thông tin đầu vào này để thông tin
khi đưa đến Module phát hiện có thể phát hiện được mà không bỏ sót. Hiện nay
Snort đã hỗ trợ việc giải chuẩn hóa các giao thức: telnet, http, rpc, arp.
Phát hiện các xâm nhập bất thường ( nonrule / anormal ): các plugin tiền xử
dạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khó phát
hin được bằng các luật thông thường hoặc các dấu hiu bất thường trong giao
thức.Các Module tiền xử dạng y thể thực hiện việc phát hiệnm nhập
theo bất cứ cách nào ta nghĩ ra từ đó tăng cường thêm tính năng cho Snort.
lOMoARcPSD|208990 13
Ví dụ, một plugin tiền xử lý có nhim vụ thống kê thông lượng mạng tại thời
đim bình thường để rồi khi có thông lượng mng bất thường xảy ra nó có thể tính
toán,phát hiện và đưa ra cảnh báo ( phát hiện xâm nhập theo mô hình thống).
Phiên bản hin tại của Snort có đim hai plugin giúp phát hiện các m nhp bất
thường đó portscan bo (backoffice).
2.3.3. Module phát hiện
Đây là module quan trọng nhất, nó chịu trách nhiệm phát hiện các dấu hiệu
xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với
dữ liu thu thập được, từ đó xác định xem có xâm nhập xảy ra hay không.
Một vấn đề quan trọng đối với module phát hiện và vấn đề thời gian xử lý gói
tin: một IDS thường nhận rất nhiều gói tin bản thân cũng rất nhiều luật xử
. Khi lưu lượng mạng quá lớn có thxảy ra việc bỏ sót hoặc không phản hồi
đúng lúc. Khả năng xử lý của module phát hiện phụ thuộc vào nhiu yếu tố: số
lượng các luật, tốc độ hệ thống, băng thông mng. Một số thử nghiệm cho
biết,phiên bản hiện tại của Snort khi được tối ưu hóa chạy trên hệ thống có nhiều
bộ vi xử lý và cấu hình máy tính tương đối mạnh thì có thể hoạt động tốt trên cả
các mng cỡ Giga.
Một module phát hiện có khả năng tách các phần của gói tin ra và áp dụng luật
lên từng phần của gói tin:
- IP header
- Header tầng giao vận: TCP , UDP
- Header tầng ứng dụng: DNS header, HTTP header, FTP header,
- Phần tải của gói tin
Một vấn đề nữa trong Module phát hiện đó là việc xử lý thế nào khi một
gói tin bị phát hiện bởi nhiều lut. Do các lut trong Snort được đánh thứ tự ưu
tiên, nên một gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa
ra sẽ cảnh báo ứng với luật có mức ưu tiên lớn nhất.
2.3.4. Module log và cảnh báo
Tùy thuộc vào module phát hiện có nhn dạng được xâm nhập hay không
gói tin có thể bị ghi log hay đưa ra cảnh báo.c file log là các file dữ liệu có thể
ghi dưới nhiều định dạng khác nhau.
lOMoARcPSD|208990 13
Hình 2.6: Module log và cảnh báo
2.3.5. Module kết xuất thông tin
Module này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn
lưu kết quả xuất ra như thế nào. Tùy theo việc cấu hình hệ thống mà nó có thể thực
hin được các công việc như là:
- Ghi log file.
- Ghi syslog: syslog một chun lưu trữ các file log được sử dụng nhiều trên
các hệ thống Unix, Linux.
lOMoARcPSD|208990 13
- Ghi cảnh báo vào sở dữ liệu.
- Tạo file log dạng xml
- Cấu hình li Router, Firewall.
- Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP. Các gói
tin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc
quản các cảnh báo và hệ thống IDS một cách tập trung thuận tiện hơn.
- Gửi các thông điệp SMB (Server Message Block) tới các máy tính Windows
2.4. Bộ luật của Snort
2.4.1. Giới thiệu
Cũng giống như virus, hầu hết các hoạt động tấn công hay xâm nhập đều có
các dấu hiu rng. Các thông tin về các dấu hiệu này sẽ được sử dụng để tạo nên
các luật cho Snort. Thông thường, các bẫy ( honey pots ) được tạo ra đểm hiểu
xem các kẻ tấn công làm gì cũng như các thông tin về công cụ và công nghệ chúng
sử dụng. ngược lại, cũng có các sở dữ liệu về các lỗ hổng bảo mật những
kẻ tấn công muốn khai thác.Các dạng tấn công đã biết này được dùng như các dấu
hiu để phát hiện tấn công xâm nhập.Các dấu hiệu đó có thể xuất hiện trong phần
header của các gói tin hoặc nằm trong phần nội dung của chúng.
Hệ thống phát hiện của Snort hoạt động dựa trênc luật (rules) và các luật
này lại được dựa trên các dấu hiệu nhn dạng tấn công. Các luật có thể được áp
dụng cho tất cả các phần khác nhau của mt gói tin dữ liệu.
Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một
thông điệp hay có thể bỏ qua mt gói tin.
2.4.2. Cấu trúc luật của Snort
Tìm hiểu một ví dụ:
alert tcp 192.168.0.0/22 23 -> any any (content:”confidential”; msg: Detected
confidential”)
Ta thấy cấu trúc dạng sau:
lOMoARcPSD|208990 13
Hình 2.7: Cấu trúc luật của Snort
- Phần Header: chứa thông tin về hành động luật đó sẽ thực hiện khi phát
hin ra có xâm nhập nằm trong gói tin và nó cũng chứa tiêu chuẩn để áp
dụng luật với gói tin đó.
- Phần Option: chứa thông điệp cảnh báo và các thông tin về các phần của gói
tin dùng để tạo nên cảnh báo. Phần Option chứa c tiêu chuẩn phụ thêm để
đối sánh với gói tin.
Dưới đây cấu trúc chung của phần Header :
Action
Protocol
Address
Port
Direction
Address
Port
Hình 2.8 : Header của một luật Snort
- Action: là phần quy định loại nh động o được thực thi khi các dấu hiệu
của gói tin được nhận dạng chính xác bằng lut đó. Thông thường, các hành
động tạo ra một cảnh báo hoặc log thông điệp hoặc kích hoạt một luật khác.
- Protocol: là phần quy định việc áp dụng luật cho packet chỉ thuộc một giao
thức cụ thể nào đó.
- Address: là phần địa chỉ nguồn và địa chỉ đích. Các địa chỉ có thể là một
máy đơn, nhiều máy hoặc của một mạng nào đó. Trong hai phần địa chỉ trên
thì một sẽ là địa chỉ nguồn, mt sẽ là địa chỉ đích và địa chỉ nào thuộc loại
nào sẽ do phần Direction “->” quy định.
- Port: xác định các cổng nguồn và đích của một gói tin trên đó luật được
áp dụng.
- Direction: phần này chỉ ra đâu địa chỉ nguồn, địa chỉ đích.
Phần option
Phần header
lOMoARcPSD|208990 13
2.4.3. Phần tiêu đề
Như phần trên đã trình bày, Header của luật bao gồm nhiều phần. Sau đây,
chi tiết cụ thể của từng phần một.
Hành động của luật (Rule Active)
Là phần đầu tiên của luật, chỉ ra hành động nào được thực hiện khi mà các
điu kiện của luật được thỏa mãn. Một hành động được thực hiện khi tất cả các
điu kiện phù hợp. Có năm hành động đã được định nghĩa nhưng ta có thể tạo ra
các hành động riêng tùy thuộc vào yêu cầu của mình. Đối với các phiên bản trước
của Snort thì khi nhiều luật phợp với một gói tin nào đó tchỉ một luật được
áp dụng.
- Pass: Hành động này hướng dẫn Snort bỏ qua gói tin này. Hành động này
đóng vai trò quan trọng trong việc ng cường tốc độ hoạt động của Snort
khi mà ta không muốn áp dụng các kiểm tra trên các gói tin nhất định. Ví d
ta sử dụng các bẫy để nhử hacker tấn công vào thì ta phải cho phép tất cả các
gói tin đi đến được máy đó.
- Log: Hành động này dùng để log gói tin. Có thể log vào file hay vào sở
dữ liu tùy thuộc vào nhu cầu của mình.
- Alert: Gửi một thông điệp cảnh o khi dấu hiệum nhập được phát hin.
- Activate: sử dụng để tạo ra một cảnh báo và kích hoạt một luật khác kiểm tra
thêm các điều kiện của gói tin.
- Dynamic: chỉ ra đây luật được gọi bởi các luật khác hành động
Activate
Các hành đng do người dùng định nghĩa: một hành động mới được định nghĩa
theo cấu trúc sau:
ruletype action_name
{
Action definition
}
ruletype từ khóa.
Protocols
lOMoARcPSD|208990 13
phần thứ hai của một luật có chức năng chỉ ra loại gói tin luật sẽ được
áp dụng. Hiện tại Snort hiểu được các protocols sau:
- IP
- ICMP
- TCP
- UDP
Nếu IP thì Snort sẽ kiểm tra header của lớp liên kết để xác định loại gói tin.
Nếu bất kì giao thức nào khác được sử dụng thì Snort sử dụng IP header để xác
định loại protocol. Protocol chỉ đóng vai trò trong việc chỉ tiêu chuẩn trong phần
header của luật. Phần option của luật có thể các điều kiện không liên quan gì
đến protocol.
Address
Có hai phần địa chỉ trong một luật của Snort. Các địa chỉ này được dùng để
kiểm tra nguồn sinh ra đích đến của gói tin. Địa chỉ có thể địa chỉ của một IP
đơn hoặc địa chỉ của một mạng. Ta có thể dùng từ any để áp dụng luật cho tất c
các địa chỉ.
Cổng (Port)
Số hiệu cổng dùng để áp dụng luật cho các gói tin đến từ hoặc đi đến một cổng
hay một phạm vi cổng cụ thể nào đó. Ví dụ ta có thể sử dụng số cổng nguồn là 23
để áp dụng luật cho tất cả các gói tin đến tmột server Telnet.Từ any cũng được
dùng để đại diện cho tất cả các cổng.
Hướng (Direction)
Chỉ ra đâu nguồn đâu đích, thể -> hay <- hoặc <>. Trường hợp <>
khi ta muốn kiểm tra cả Client và Server.
2.4.4. Phần tùy chọn
Phần Rule Option nằm ngay sau phần Rule Header và được bao bọc trong dấu
ngoặc đơn. Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng
dấu chấm phẩy “ ; “ . Nếu nhiều option được sử dụng thì các option này phải đồng
thi được thỏa mãn.
Mọi option được định nghĩa bằng các từ khóa.Một số option còn chứa các tham số.
lOMoARcPSD|208990 13
Chương 3: Cài đặt cấu hình và triển khai hệ thống phát hiện xâm nhập IDS
Snort
3.1 Cài đặt cấu hình Snort
Bước 1: cài đặt Snort
Mở cmd trên ubuntu
Nhập lệnh sau:
sudo apt-get install snort
Bước 2: kiểm tra version của Snort
Nhập câu lệnh sau:
snort - -version
lOMoARcPSD|208990 13
3.2 Triển khai hệ thống pt hiện xâm nhập IDS Snort
Bước 1:
Nhập lệnh sau:
ifconfig
lOMoARcPSD|208990 13
Bước 2:
Nhập lệnh sau:
cd /etc/snort
Bước 3:
lOMoARcPSD|208990 13
Nhập lệnh sau:
sudo gedit snort.conf
Bước 4:
Thêm ip vào Ipvar HOME_NET
192.168.234.0/24
lOMoARcPSD|208990 13
Bước 5:
Nhập lệnh sau:
sudo snort -T -i ens33 -c /etc/snort/snort.conf
Bước 6:
Nhập lệnh sau:
cd rules
lOMoARcPSD|208990 13
Bước 7;
Nhập lệnh sau:
nano local.rules
Bước 8:
Nhập lệnh sau:
lOMoARcPSD|208990 13
alert icmp any any -> $HOME_NET any (msg:"Ping detected"; sid:10000001;
rev:001;)
Bước 9:
Nhập lệnh sau:
cd ..
lOMoARcPSD|208990 13
Bước 10:
Nhập lệnh sau:
sudo snort -A console -q -i ens33 -c /etc/snort/snort.conf
Bước 11:
Mở cmd của máy thật windows 10
Nhập lệnh sau:
ping 192.168.234.133
lOMoARcPSD|208990 13
Bước 12:
Quay trở lại cmd của ubuntu
Thấy màn hình hiển thị ip y thật đang ping đến ip máy ảo, vậy ta đã thành công
| 1/30

Preview text:

lOMoARcPSD|208 990 13 lOMoARcPSD|208 990 13 MỤC LỤC MỞ ĐẦU
Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS

1.1. Giới thiệu hệ thống IDS
1.2. Kiến trúc, chức năng và quy trình hoạt động của IDS
1.2.1. Các thành phần của IDS 1.2.2. Chức năng
1.2.3. Quy trình hoạt động của IDS 1.3. Phân loại IDS
1.3.1. Network based IDS - NIDS 1.3.2. Host based IDS - HIDS
1.4. Những loại tấn công thường gặp và IDS tương ứng
1.4.1. Tấn công từ chối dịch vụ Denial of Services
1.4.2. Quét và thăm dò (Scanning và Probe)
1.4.3. Tấn công vào mật khẩu (Password attack)
1.4.4. Chiếm đặc quyền (Privilege-grabbing)
1.4.5. Cài đặt mã nguy hiểm (Hostile code insertion)
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)
1.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack)
Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT
2.1. Giới thiệu về Snort
2.2. Vị trí của Snort trong hệ thống mạng 2.3.Kiến trúc của Snort
2.3.1.Module giải mã gói tin 2.3.2.Module tiền xử lý 2.3.3.Module phát hiện
2.3.4.Module log và cảnh báo
2.3.5.Module kết xuất thông tin 2.4.Bộ luật của Snort 2.4.1.Giới thiệu
2.4.2.Cấu trúc luật của Snort 2.4.3.Phần tiêu đề 2.4.4.Phần tùy chọn
Chương 3: Cài đặt cấu hình và triển khai hệ thống phát hiện xâm nhập IDS Snort
3.1 Cài đặt cấu hình Snort
3.2 Triển khai hệ thống phát hiện xâm nhập IDS Snort lOMoARcPSD|208 990 13 MỞ ĐẦU
Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS
1.1. Giới thiệu hệ thống IDS
Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng
nhằm phát hiện ra hiện tượng bất thường, các hoạt động trái phép xâm nhập vào hệ
thống. IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên ngoài.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như
cách phần mềm diệt virus phát hiện và diệt virus) hay dựa trên so sánh lưu thông
mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể chấp nhận được) để
tìm ra các dấu hiệu bất thường.
Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
● Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng
● Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập
trái phép trong thời gian thực
● Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái
phép nào. Đây là một điều kiện khó thỏa mãn được .
● Chịu lỗi (Fault Tolerance): bản thân IDS cũng phải có khả năng chống lại tấn công
● Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái
xấu nhất là không bỏ sót thông tin nào. Yên cầu này liên quan tới hệ thống
mà các sự kiện trong tương lai đến từ nhiều nguồn tài nguyên với số lượng
host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có
thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.
1.2. Kiến trúc, chức năng và quy trình hoạt động của IDS
1.2.1. Các thành phần của IDS
IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information
collection), thành phần phân tích gói tin (Detection), thành phần phản hồi
(response) nếu gói tin đó được phát hiện là một cuộc tấn công.
Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm
biến đóng vai trò quyết định. Bộ cảm biến tích hợp với thành phần là sưu tập dữ
liệu và một bộ tạo sự kiến. Cách sưu tập này được xác định bởi chính sách tạo sự lOMoARcPSD|208 990 13
kiện để định nghĩa chế độ lọc thông tin sự kiện. Vai trò của bộ cảm biến là dùng để
lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan
với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ
phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có
các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần
thiết. Thêm vào đó, cơ sở dữ liệu giữa các tham số cấu hình, gồm các chế độ truyền
thông với module đáp trả. Bộ cảm biến cũng có sơ sở dữ liệu của riêng nó. 1.2.2. Chức năng
Chức năng quan trọng nhất của IDS là:
● Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt động khả nghi
● Cảnh báo: Khi đã biết được các hoạt động bất thường của một truy cập nào
đó, IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị
● Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị
mà có những hành động chống lại kẻ xâm nhập
Chức năng mở rộng của IDS:
- Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể
phân biệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ
bên trong và đâu là cuộc tấn công từ bên ngoài
- Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS
có thể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo
và bảo vệ ban đầu cho hệ thống
1.2.3. Quy trình hoạt động của IDS
- Một host tạo ra một gói tin mạng:
- Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho
nó có thể đọc tất cả các gói tin).
- Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào
có dấu hiệu vi phạm hay không. Khi có dấu hiệu vi phạm thì một cảnh báo
sẽ được tạo ra và gửi đến giao diện điều khiển.
- Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho
một người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa lOMoARcPSD|208 990 13
sổ popup, trang web v.v…).
- Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
- Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ
hoặc trên cơ sở dữ liệu).
- Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
- Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là
cuộc tấn công hay không. ● Ưu điểm
- Thích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều tra và ứng cứu sự cố
- Đem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mạng
- Là công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng. ● Nhược điểm
- Cần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầm
- Khả năng phân tích traffic mã hóa tương đối thấp
- Chi phí phát triển và vận hành hệ thống tương đối cao. 1.3. Phân loại IDS
Hệ thống IDS được chia làm 2 loại cơ bản:
Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông
mạng cùng dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập
Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra từ một máy trạm đơn
để phát hiện xâm nhập Ngoài ra còn có:
Signature-Based: Đây là các IDS hoạt động dựa trên chữ ký, giám sát các
gói tin trên mạng tương tự như cách phần mềm diệt virus hoạt động. Tuy nhiên
Signature-Based có thể không phát hiện được những mối đe dọa mới, khi chữ ký
để nhận biết nó chưa được IDS cập nhật.
Anomaly-Based: IDS này được sử dụng để phát hiện mối đe dọa dựa trên
sự bất thường. Anomaly-Based sẽ giám sát traffic mạng và so sánh với baseline đã
được thiết lập từ trước. Baseline sẽ xác định đâu là mức bình thường của mạng và
cảnh báo cho quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất
thường hoặc khác biệt so với baseline.
Passive: Đây là IDS thụ động chỉ phát hiện và cảnh báo. Khi phát hiện lOMoARcPSD|208 990 13
traffic đáng ngờ hoặc độc hại, nó sẽ tạo và gửi cảnh báo đến các nhà quản trị hoặc
người dùng. Những hành động sau đó sẽ phụ thuộc vào người quản trị.
Reactive: Loại IDS này ngoài nhiệm vụ như IDS Passive, nó còn thực
hiện những hành động đã được thiết lập sẵn để phản ứng lại các mối đe dọa một
cách nhanh chóng, ví như: chặn nguồn truy cập, khóa IP.
1.3.1. Network based IDS - NIDS
Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời
gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có
thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay
các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong
việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng
thông (bandwidth-based) của tấn công Denied of Service (DoS). *Ưu điểm:
- Quản lý được cả một network segment (gồm nhiều host)
- Trong suốt với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó
- Có khả năng xác định lỗi ở tầng Network - Độc lập với OS *Nhược điểm:
- Có thể xảy ra trường hợp báo động giả
- Không thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH, IPSec...) lOMoARcPSD|208 990 13
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động được phát hiện, hệ thống có thể đã bị tổn hại.
- Không cho biết việc tấn công có thành công hay không
- Hạn chế lớn nhất là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả
các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng. Khi
tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng theo.
1.3.2. Host based IDS - HIDS
Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy chủ quan
sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập. Hệ
thống dựa trên máy chủ cũng theo dói OS, những cuộc gọi hệ thống, lịch sử và
những thông điệp báo lỗi trên hệ thống máy chủ. HIDS thường được cài đặt trên
một máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ
giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host
quan trọng và các server trong vùng DMS. Nhiệm vụ của HIDS là theo dõi các
thay đổi trên hệ thống gồm: - Các tiến trình - Các entry - Mức độ sử dụng CPU - Tình trạng RAM
- Tính toàn vẹn của hệ thống
Các thông số này khi vượt qua một ngưỡng nhất định hoặc có những thay đổi
khả nghi sẽ gây ra báo động *Ưu điểm:
- Có khả năng xác định user liên quan tới event
- HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thì không
- Có thể phân tích các dữ liệu mã hóa
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này *Nhược điểm:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công
- Khi OS bị sập do tấn công, đồng thời HIDS cũng sập
- HIDS phải được thiết lập trên từng host cần giám sát lOMoARcPSD|208 990 13
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat ...)
- HIDS cần tài nguyên trên host để hoạt động
- HIDS có thể không hiệu quả khi bị DOS.
1.4. Những loại tấn công thường gặp và IDS tương ứng
1.4.1. Tấn công từ chối dịch vụ (Denial of Services):
Denial of Service (DoS) có mục đích đóng băng hay chặn đứng tài nguyên
hệ thống đích. Cuối cùng mục tiêu không thể tiếp cận và trả lời các gói tin gửi đến.
DoS tấn công vào các mục tiêu bao gồm 3 dạng: mạng, hệ thống và ứng dụng.
- Phá hoại mạng: kiểu tấn công SYN flood. Kẻ tấn công sẽ gửi các gói tin kết
nối SYN tới hệ thống cho tới khi công suất của máy chủ quá tải và sẽ không
thể nhận được bất kỳ gói tin nào nữa.
- Phá hoại hệ thống: bao gồm các dạng như Ping of Death (gửi 1 gói dữ liệu
có kích thước lớn thông qua lệnh ping tới máy chủ), Teardrop (gửi tới máy
chủ một loại gói tin có giá trị offset chồng chéo khiến máy chủ không sắp
xếp được à crash hoặc reboot) … Các kiểu tấn công này nhằm lợi dụng lỗ
hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống.
- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ liệu hay trang web…
- Giải pháp: Network IDS có thể phát hiện được các cuộc tấn công dạng gói tin
1.4.2. Quét và thăm dò (Scanning và Probe)
Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định
điểm yếu. Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như
kiểm tra các cổng TCP hoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới.
Giải pháp: Network IDS có thể phát hiện các hành động nguy hiểm trước khi
chúng xảy ra. Host IDS cũng có tác dụng đối với kiểu tấn công này
1.4.3. Tấn công vào mật khẩu (Password attack)
Có các phương thức để tiếp cận:
- Kiểu dễ nhận thấy nhất là ăn trộm mật khẩu, mang lại quyền quản trị cho kẻ lOMoARcPSD|208 990 13
tấn công có thể truy cập mọi thông tin trong mạng.
- Đoán hay bẻ khóa mật khẩu là phương thức tiếp cận bằng cách thử nhiều lần
mật khẩu để tìm được đáp án đúng. Với kiểu bẻ khóa, kẻ tấn công cần truy
cập tới mật khẩu đã được mã hóa hay file chứa mật khẩu đã mã hóa. Và sử
dụng chương trình đoán mật khẩu với thuật toán mã hóa để xác định mật khẩu đúng.
- Giải pháp: Một Network IDS có thể phát hiện và ngăn chặn cố gắng đoán
mật khẩu, nhưng nó không hiệu quả trong việc phát hiện truy cập trái phép
tới file bị mã hóa. Trong khi đó, Host IDS lại thể hiện hiệu quả trong việc
phát hiện đoán mật khẩu cũng như truy cập trái phép.
1.4.4. Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truy
cập. Khi thành công, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin
quan trọng. Một số kỹ thuật thường dùng cho việc chiếm đặc quyền:
- Đoán hay đánh cắp mật khẩu root, admin - Gây tràn bộ đệm - Khai thác registry
- Sử dụng file, script hay lỗi của hệ điều hành, ứng dụng.
- Giải pháp: Cả NIDS và HIDS đều có thể xác định được việc thay đổi đặc quyền trái phép
1.4.5. Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập tiếp theo.
- Virus: khi được thực thi sẽ dẫn tới hành động tự động, có hoặc không có hại,
luôn tạo ra bản sao của file hệ thống, file ứng dụng hay dữ liệu.
- Trojan Horse: được đặt tên như một chương trình người ta muốn sử dụng
nhưng thực tế chúng kích hoạt các hành động dẫn tới hỏng hệ thống
- Giải pháp: không có loại IDS nào chống việc phá hoại từ virus hay Trojan.
Cách tốt nhất là cài đặt phần mềm diệt virus
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)
Hành động phá hoại bao gồm: thay đổi trang web, xóa file, phá block khởi lOMoARcPSD|208 990 13
động và chương trình hệ điều hành, format ổ đĩa
Giải pháp: sử dụng HIDS trong trường hợp này là hoàn toàn phù hợp. Với
NIDS có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính
xác việc truy cập trái phép vào hệ điều hành
1.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack)
Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ
tầng bảo mật như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dung hay
thay đổi các quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có
thêm quyền truy cập hay tạo thêm nhiều đường xâm nhập vào hệ thống
Giải pháp: HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như trên
Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT
2.1. Giới thiệu về Snort
Snort là một hệ thống IDS/IPS thuộc dạng NIDS. Snort được Martin Roesch
nghiên cứu và phát triển từ năm 1998. Từ năm 2013 cho đến nay, công ty nổi tiếng
về mạng là Cisco đã mua lại Snort và tiếp tục phát triển nghiên cứu. Snort là một
công cụ có mã nguồn mở, hoàn toàn miễn phí và có thể tải và cài đặt ở trên hầu hết
các hệ điều hành phổ biến hiện nay: Linux/Unix, Ubuntu, MacOS, Window, …
Kiến trúc thiết kế của Snort được xây dựng theo kiểu module, tức là người dùng
hoàn toàn có thể thêm cho hệ thống Snort của mình bằng việc cài đặt hoặc viết
thêm mới các module. Số lượng rule của Snort hiện tại đã lên tới hàng nghìn rule
và luôn luôn được thêm hay cập nhật hằng tháng bởi Snort sở hữu cộng đồng user đông đảo.
2.2. Vị trí của Snort trong hệ thống mạng - Giữa Router và Firewall lOMoARcPSD|208 990 13
Hình 2.1: Snort - sensor đặt giữa Router và Firewall - Trong vùng DMZ lOMoARcPSD|208 990 13
Hình 2.2: Snort - sensor đặt trong vùng DMZ - Sau Firewall lOMoARcPSD|208 990 13
Hình 2.3: Snort - sensor đặt sau Firewall
2.3. Kiến trúc của Snort
Snort bao gồm nhiều thành phần,với mỗi phần có một chức năng riêng.Các phần chính đó là: - Module giải mã - Module tiền xử lý - Module phát hiện - Module log và cảnh báo
- Module kết xuất thông tin lOMoARcPSD|208 990 13
Hình 2.4 : Mô hình kiến trúc hệ thống Snort
Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin
nào di chuyển qua nó.Các gói tin sau khi bị bắt được đưa vào Module Giải mã gói
tin. Tiếp theo gói tin sẽ được đưa vào Module Tiền xử lí,rồi Module Phát hiện.Tại
đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được bỏ
qua để lưu thông tiếp hoặc đưa vào Module Log và cảnh báo để xử lý. Khi các
cảnh báo được xác định Module Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo
ra theo đúng định dạng mong muốn. Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế
hoạt động và chức năng của từng thành phần.
2.3.1. Module giải mã gói tin
Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống. lOMoARcPSD|208 990 13
Hình 2.5 : Xử lý một gói tin Ethernet
Một gói tin sau khi được giải mã sẽ được đưa tiếp vào Module Tiền xử
lý.Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên
mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớp application,làm input cho hệ thống detection engine.
Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp
Application theo thứ tự của Protocol Stack.
2.3.2. Module tiền xử lý
Module tiền xử lý rất quan trọng đối với bất kì hệ thống IDS nào để có thể lOMoARcPSD|208 990 13
chuẩn bị gói dữ liệu đưa vào cho Module Phát hiện phân tích.Ba nhiệm vụ chính của Module loại này là:
Kết hợp lại các gói tin: Khi một lượng lớn dữ liệu được gửi đi,thông tin sẽ
không đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh,chia gói
tin ban đầu thành nhiều gói tin rồi mới gửi đi. Khi Snort nhận được các gói tin này
nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu,từ đó
mới thực hiện được các công việc xử lý tiếp. Như ta đã biết khi một phiên làm việc
của hệ thống diễn ra, sẽ có rất nhiều gói tin được trao đổi trong phiên đó. Một gói
tin riêng lẻ sẽ không có trạng thái và nếu việc phát hiện xâm nhập chỉ dựa vào gói
tin đó sẽ không đem lại hiệu quả cao. Module tiền xử lý giúp Snort có thể hiểu
được các phiên làm việc khác nhau ( nói cách khác đem lại tính có trạng thái cho
các gói tin ) từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiện xâm nhập.
Giải mã và chuẩn hóa giao thức ( decode/normalize ): công việc phát hiện
xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao
thức có dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau. Ví dụ: một web
server có thể chấp nhận nhiều dạng URL như URL được viết dưới dạng mã
hexa/Unicode,URL chấp nhận cả dấu / hay \ hoặc nhiều ký tự này liên tiếp cùng
lúc. Chẳng hạn ta có dấu hiệu nhận dạng “scripts/iisadmin”, kẻ tấn công có thể
vượt qua được bằng cách tùy biến các yêu cầu gửi đến web server như sau: “scripts/./iisadmin” “scripts/.\iisadmin” “scripts\iisadmin”
Hoặc thực hiện việc mã hóa chuỗi này dưới dạng khác.Nếu Snort chỉ thực
hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ
sót các hành vi xâm nhập.Do vậy, một số Module tiền xử lý của Snort phải có
nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào này để thông tin
khi đưa đến Module phát hiện có thể phát hiện được mà không bỏ sót. Hiện nay
Snort đã hỗ trợ việc giải mã và chuẩn hóa các giao thức: telnet, http, rpc, arp.
Phát hiện các xâm nhập bất thường ( nonrule / anormal ): các plugin tiền xử lý
dạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khó phát
hiện được bằng các luật thông thường hoặc các dấu hiệu bất thường trong giao
thức.Các Module tiền xử lý dạng này có thể thực hiện việc phát hiện xâm nhập
theo bất cứ cách nào mà ta nghĩ ra từ đó tăng cường thêm tính năng cho Snort. lOMoARcPSD|208 990 13
Ví dụ, một plugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời
điểm bình thường để rồi khi có thông lượng mạng bất thường xảy ra nó có thể tính
toán,phát hiện và đưa ra cảnh báo ( phát hiện xâm nhập theo mô hình thống kê ).
Phiên bản hiện tại của Snort có đi kèm hai plugin giúp phát hiện các xâm nhập bất
thường đó là portscan và bo (backoffice).
2.3.3. Module phát hiện
Đây là module quan trọng nhất, nó chịu trách nhiệm phát hiện các dấu hiệu
xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với
dữ liệu thu thập được, từ đó xác định xem có xâm nhập xảy ra hay không.
Một vấn đề quan trọng đối với module phát hiện và vấn đề thời gian xử lý gói
tin: một IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật xử
lý. Khi lưu lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặc không phản hồi
đúng lúc. Khả năng xử lý của module phát hiện phụ thuộc vào nhiều yếu tố: số
lượng các luật, tốc độ hệ thống, băng thông mạng. Một số thử nghiệm cho
biết,phiên bản hiện tại của Snort khi được tối ưu hóa chạy trên hệ thống có nhiều
bộ vi xử lý và cấu hình máy tính tương đối mạnh thì có thể hoạt động tốt trên cả các mạng cỡ Giga.
Một module phát hiện có khả năng tách các phần của gói tin ra và áp dụng luật
lên từng phần của gói tin: - IP header
- Header ở tầng giao vận: TCP , UDP
- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, … - Phần tải của gói tin
Một vấn đề nữa trong Module phát hiện đó là việc xử lý thế nào khi một
gói tin bị phát hiện bởi nhiều luật. Do các luật trong Snort được đánh thứ tự ưu
tiên, nên một gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa
ra sẽ là cảnh báo ứng với luật có mức ưu tiên lớn nhất.
2.3.4. Module log và cảnh báo
Tùy thuộc vào module phát hiện có nhận dạng được xâm nhập hay không mà
gói tin có thể bị ghi log hay đưa ra cảnh báo. Các file log là các file dữ liệu có thể
ghi dưới nhiều định dạng khác nhau. lOMoARcPSD|208 990 13
Hình 2.6: Module log và cảnh báo
2.3.5. Module kết xuất thông tin
Module này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn
lưu kết quả xuất ra như thế nào. Tùy theo việc cấu hình hệ thống mà nó có thể thực
hiện được các công việc như là: - Ghi log file.
- Ghi syslog: syslog là một chuẩn lưu trữ các file log được sử dụng nhiều trên
các hệ thống Unix, Linux. lOMoARcPSD|208 990 13
- Ghi cảnh báo vào cơ sở dữ liệu. - Tạo file log dạng xml
- Cấu hình lại Router, Firewall.
- Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP. Các gói
tin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc
quản lý các cảnh báo và hệ thống IDS một cách tập trung và thuận tiện hơn.
- Gửi các thông điệp SMB (Server Message Block) tới các máy tính Windows
2.4. Bộ luật của Snort
2.4.1. Giới thiệu
Cũng giống như virus, hầu hết các hoạt động tấn công hay xâm nhập đều có
các dấu hiệu riêng. Các thông tin về các dấu hiệu này sẽ được sử dụng để tạo nên
các luật cho Snort. Thông thường, các bẫy ( honey pots ) được tạo ra để tìm hiểu
xem các kẻ tấn công làm gì cũng như các thông tin về công cụ và công nghệ chúng
sử dụng. Và ngược lại, cũng có các cơ sở dữ liệu về các lỗ hổng bảo mật mà những
kẻ tấn công muốn khai thác.Các dạng tấn công đã biết này được dùng như các dấu
hiệu để phát hiện tấn công xâm nhập.Các dấu hiệu đó có thể xuất hiện trong phần
header của các gói tin hoặc nằm trong phần nội dung của chúng.
Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rules) và các luật
này lại được dựa trên các dấu hiệu nhận dạng tấn công. Các luật có thể được áp
dụng cho tất cả các phần khác nhau của một gói tin dữ liệu.
Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một
thông điệp hay có thể bỏ qua một gói tin.
2.4.2. Cấu trúc luật của Snort Tìm hiểu một ví dụ:
alert tcp 192.168.0.0/22 23 -> any any (content:”confidential”; msg: “Detected confidential”)
Ta thấy cấu trúc có dạng sau: lOMoARcPSD|208 990 13 Phần header Phần option
Hình 2.7: Cấu trúc luật của Snort
- Phần Header: chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát
hiện ra có xâm nhập nằm trong gói tin và nó cũng chứa tiêu chuẩn để áp
dụng luật với gói tin đó.
- Phần Option: chứa thông điệp cảnh báo và các thông tin về các phần của gói
tin dùng để tạo nên cảnh báo. Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh với gói tin.
Dưới đây là cấu trúc chung của phần Header : Action Protocol Address Port Direction Address Port
Hình 2.8 : Header của một luật Snort
- Action: là phần quy định loại hành động nào được thực thi khi các dấu hiệu
của gói tin được nhận dạng chính xác bằng luật đó. Thông thường, các hành
động tạo ra một cảnh báo hoặc log thông điệp hoặc kích hoạt một luật khác.
- Protocol: là phần quy định việc áp dụng luật cho packet chỉ thuộc một giao thức cụ thể nào đó.
- Address: là phần địa chỉ nguồn và địa chỉ đích. Các địa chỉ có thể là một
máy đơn, nhiều máy hoặc của một mạng nào đó. Trong hai phần địa chỉ trên
thì một sẽ là địa chỉ nguồn, một sẽ là địa chỉ đích và địa chỉ nào thuộc loại
nào sẽ do phần Direction “->” quy định.
- Port: xác định các cổng nguồn và đích của một gói tin mà trên đó luật được áp dụng.
- Direction: phần này chỉ ra đâu là địa chỉ nguồn, địa chỉ đích. lOMoARcPSD|208 990 13
2.4.3. Phần tiêu đề
Như phần trên đã trình bày, Header của luật bao gồm nhiều phần. Sau đây, là
chi tiết cụ thể của từng phần một.
Hành động của luật (Rule Active)
Là phần đầu tiên của luật, chỉ ra hành động nào được thực hiện khi mà các
điều kiện của luật được thỏa mãn. Một hành động được thực hiện khi tất cả các
điều kiện phù hợp. Có năm hành động đã được định nghĩa nhưng ta có thể tạo ra
các hành động riêng tùy thuộc vào yêu cầu của mình. Đối với các phiên bản trước
của Snort thì khi nhiều luật là phù hợp với một gói tin nào đó thì chỉ một luật được áp dụng.
- Pass: Hành động này hướng dẫn Snort bỏ qua gói tin này. Hành động này
đóng vai trò quan trọng trong việc tăng cường tốc độ hoạt động của Snort
khi mà ta không muốn áp dụng các kiểm tra trên các gói tin nhất định. Ví dụ
ta sử dụng các bẫy để nhử hacker tấn công vào thì ta phải cho phép tất cả các
gói tin đi đến được máy đó.
- Log: Hành động này dùng để log gói tin. Có thể log vào file hay vào cơ sở
dữ liệu tùy thuộc vào nhu cầu của mình.
- Alert: Gửi một thông điệp cảnh báo khi dấu hiệu xâm nhập được phát hiện.
- Activate: sử dụng để tạo ra một cảnh báo và kích hoạt một luật khác kiểm tra
thêm các điều kiện của gói tin.
- Dynamic: chỉ ra đây là luật được gọi bởi các luật khác có hành động là Activate
Các hành động do người dùng định nghĩa: một hành động mới được định nghĩa theo cấu trúc sau: ruletype action_name { Action definition } ruletype là từ khóa. Protocols lOMoARcPSD|208 990 13
Là phần thứ hai của một luật có chức năng chỉ ra loại gói tin mà luật sẽ được
áp dụng. Hiện tại Snort hiểu được các protocols sau: - IP - ICMP - TCP - UDP
Nếu là IP thì Snort sẽ kiểm tra header của lớp liên kết để xác định loại gói tin.
Nếu bất kì giao thức nào khác được sử dụng thì Snort sử dụng IP header để xác
định loại protocol. Protocol chỉ đóng vai trò trong việc chỉ rõ tiêu chuẩn trong phần
header của luật. Phần option của luật có thể có các điều kiện không liên quan gì đến protocol. Address
Có hai phần địa chỉ trong một luật của Snort. Các địa chỉ này được dùng để
kiểm tra nguồn sinh ra và đích đến của gói tin. Địa chỉ có thể là địa chỉ của một IP
đơn hoặc địa chỉ của một mạng. Ta có thể dùng từ any để áp dụng luật cho tất cả các địa chỉ. Cổng (Port)
Số hiệu cổng dùng để áp dụng luật cho các gói tin đến từ hoặc đi đến một cổng
hay một phạm vi cổng cụ thể nào đó. Ví dụ ta có thể sử dụng số cổng nguồn là 23
để áp dụng luật cho tất cả các gói tin đến từ một server Telnet.Từ any cũng được
dùng để đại diện cho tất cả các cổng. Hướng (Direction)
Chỉ ra đâu là nguồn đâu là đích, có thể là -> hay <- hoặc <>. Trường hợp <> là
khi ta muốn kiểm tra cả Client và Server.
2.4.4. Phần tùy chọn
Phần Rule Option nằm ngay sau phần Rule Header và được bao bọc trong dấu
ngoặc đơn. Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng
dấu chấm phẩy “ ; “ . Nếu nhiều option được sử dụng thì các option này phải đồng thời được thỏa mãn.
Mọi option được định nghĩa bằng các từ khóa.Một số option còn chứa các tham số. lOMoARcPSD|208 990 13
Chương 3: Cài đặt cấu hình và triển khai hệ thống phát hiện xâm nhập IDS Snort
3.1 Cài đặt cấu hình Snort Bước 1: cài đặt Snort Mở cmd trên ubuntu Nhập lệnh sau:
sudo apt-get install snort
Bước 2: kiểm tra version của Snort Nhập câu lệnh sau:
snort - -version lOMoARcPSD|208 990 13
3.2 Triển khai hệ thống phát hiện xâm nhập IDS Snort Bước 1: Nhập lệnh sau: ifconfig lOMoARcPSD|208 990 13 Bước 2: Nhập lệnh sau: cd /etc/snort Bước 3: lOMoARcPSD|208 990 13 Nhập lệnh sau: sudo gedit snort.conf Bước 4: Thêm ip vào Ipvar HOME_NET 192.168.234.0/24 lOMoARcPSD|208 990 13 Bước 5: Nhập lệnh sau:
sudo snort -T -i ens33 -c /etc/snort/snort.conf Bước 6: Nhập lệnh sau: cd rules lOMoARcPSD|208 990 13 Bước 7; Nhập lệnh sau: nano local.rules Bước 8: Nhập lệnh sau: lOMoARcPSD|208 990 13
alert icmp any any -> $HOME_NET any (msg:"Ping detected"; sid:10000001; rev:001;) Bước 9: Nhập lệnh sau: cd .. lOMoARcPSD|208 990 13 Bước 10: Nhập lệnh sau:
sudo snort -A console -q -i ens33 -c /etc/snort/snort.conf Bước 11:
Mở cmd của máy thật windows 10 Nhập lệnh sau: ping 192.168.234.133 lOMoARcPSD|208 990 13 Bước 12:
Quay trở lại cmd của ubuntu
Thấy màn hình hiển thị ip máy thật đang ping đến ip máy ảo, vậy ta đã thành công
Document Outline

  • MỞ ĐẦU
  • 1.1. Giới thiệu hệ thống IDS
  • 1.2. Kiến trúc, chức năng và quy trình hoạt động của IDS
    • 1.2.1. Các thành phần của IDS
    • 1.2.2. Chức năng
    • 1.2.3. Quy trình hoạt động của IDS
  • 1.3. Phân loại IDS
    • 1.3.1. Network based IDS - NIDS
    • 1.3.2. Host based IDS - HIDS
  • 1.4. Những loại tấn công thường gặp và IDS tương ứng
    • 1.4.1. Tấn công từ chối dịch vụ (Denial of Services):
    • 1.4.2. Quét và thăm dò (Scanning và Probe)
    • 1.4.3. Tấn công vào mật khẩu (Password attack)
    • 1.4.4. Chiếm đặc quyền (Privilege-grabbing)
    • 1.4.5. Cài đặt mã nguy hiểm (Hostile code insertion)
    • 1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)
    • 1.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack)
  • Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT
  • 2.2. Vị trí của Snort trong hệ thống mạng
  • 2.3. Kiến trúc của Snort
  • 2.4. Bộ luật của Snort
    • 2.4.1. Giới thiệu
    • 2.4.2. Cấu trúc luật của Snort
    • 2.4.3. Phần tiêu đề
    • 2.4.4. Phần tùy chọn
  • Chương 3: Cài đặt cấu hình và triển khai hệ thống phát hiện xâm nhập IDS Snort
  • sudo apt-get install snort
  • snort - -version
  • ifconfig
  • cd /etc/snort
  • sudo gedit snort.conf
  • 192.168.234.0/24
  • sudo snort -T -i ens33 -c /etc/snort/snort.conf
  • cd rules
  • nano local.rules
  • alert icmp any any -> $HOME_NET any (msg:"Ping detected"; sid:10000001; rev:001;)
  • cd ..
  • sudo snort -A console -q -i ens33 -c /etc/snort/snort.conf
  • ping 192.168.234.133