TÌM HIỂU hệ THỐNG PHÁT HIỆN và NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Cán hướng dẫn: Lê Đức Thuận Sinh viên thực hiện: Trịnh Văn Dũng Đào Thu Hường Lớp: L02 HÀ NỘI 2016 BÁO CÁO THỰC TẬP CƠ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THƠNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Nhận xét can hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bộ hướng dẫn BÁO CÁO THỰC TẬP CƠ MỤC LỤC BẢNG KÝ HIỆU DANH MỤC BẢNG BIỂU DANH MỤC HINH VE LỜI NÓI ĐẦU PHẦN : TỔNG QUAN ĐỀ TÀI 1.1 Lý chọn đề tài 1.2 Phân tích trạng 1.3 Nội dung nghiên cứu 1.4 Ý nghĩa thực tiễn của đề tài PHẦN : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS 10 2.1 Giới thiệu IDS/IPS 10 2.1.1 Định nghĩa 10 2.1.3 Sự khác IDS IPS 11 2.2 Phân loại IDS/IPS 12 2.2.1 Network based – NIDS/NIPS/NIPS 12 2.2.2 Host based - HIDS/HIPS 14 2.3 Cơ chế hoạt động của hệ thống IDS/IPS 15 2.3.1 Phát lạm dụng 15 2.3.2 Phát bất thường 16 2.3.3 So sánh hai mơ hình 18 2.3.4 Phat thông qua Protocol 20 2.4 Một số sản phẩm của IDS/IPS 21 PHẦN : TỔNG QUAN VỀ SNORT - IDS/IPS 23 3.1 Giới thiệu snort 23 3.2 Kiến trúc của Snort 23 3.2.1 Modun giải mã gói tin 24 3.2.2 Mô đun tiền xử lý 24 3.2.3 Module phát 25 3.2.4 Module log cảnh báo 26 3.2.5 Mô đun kết xuất thông tin 26 3.3 Bộ luật của snort 27 3.3.1 Giới thiệu 27 BÁO CÁO THỰC TẬP CƠ 3.3.2 Cấu trúc luật Snort 27 3.4 Tổng quan Iptables 37 3.4.1 Iptables ? 37 3.4.2 Cơ chế xử lý gói tin iptables 37 3.4.3 Các target 39 3.4.4 Các tham số chuyển mạch quan trọng Iptables 40 3.5 Chế độ ngăn chặn của Snort : Snort – Inline mode kết hợp iptables 40 3.5.1 Tích hợp khả ngăn chặn vào Snort 40 3.5.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode 41 3.5.3 Chế độ Inline mode (Snort IPS) 41 PHẦN 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT 43 4.1 Mơ hình thử nghiệm 43 4.2 Thử nghiệm pháá́t ngăn chặn của snort 43 4.2.1 Ping Of Death attack prevent 43 4.2.2 Port scan Nmap Attack Prevent 45 PHẦN 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 47 PHẦN 6: PHỤ LỤC 48 6.1 Tài liệu thao khảo 48 6.2 Cài đặt cấu hình chi tiết Snort IDS/IPS 48 6.2.1 Cài đặt snort IDS 48 6.2.2 Cài đặt snort IPS: snort inline mode 53 6.3 Cài đặt BASE quản lý phân tích Snort Log web 55 6.4 Một số phương thức công cáá́ch phòng chống 60 6.4.1 ARP Spoofing Attack 60 6.4.2 SYN Flood Attack 61 6.4.3 Zero Day Attack 62 6.4.4 DOS - Ping Of Death Attack 62 BÁO CÁO THỰC TẬP CƠ BẢNG KÝ HIỆU IDS - Intrusion Detection System: Hệ thống phát xâm nhập IPS - Intrusion Prevention Systems: Hệ thống ngăn chặn xâm nhập VPN - Virtual Private Network: Mạng riêng ảo DMZ - Demilitarized Zone: Vùng mạng vật lý chứa dịch vụ bên tổ chức UTM - Unified Threat Management: Giải pháp bảo mật toàn diện HIDS - Host Intrusion Detection System: Hệ thống phát xâm nhập host NIDS - Network Intrusion Detection System: Hệ thống phát xâm nhập mạng HIPS - Host-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập host NIPS - Network-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập mạng DDOS - Distributed Denial of Service: Từ chối dịch vụ phân tán FTP - File Transfer Protocol: Giao thức truyền tập tin FDDI - Fiber Distributed Data Interface: Công nghệ mạng cao tốc SLIP - Serial Line Internet Protocol: Giao thức truyền thông internet BP - Point-to-Point Protocol: Giao thức liên kết liệu TCP - Transmission Control Protocol: Giao thức điều khiển truyền vận UDP - User Datagram Protocol: Giao thức truyền vận không tin cậy DNS - Domain Name System: Hệ thống phân giải tên miền SNMP - Simple Network Management Protocol: Giao thức quản lý mạng đơn giản IP - Internet Protocol: Giao thức kết nối internet ICMP - Internet Control Message Protocol: Giao thức điều khiển gói tin mạng SSH - Secure Shell: Giao thức kết nối bảo mật BÁO CÁO THỰC TẬP CƠ DANH MỤC BẢNG BIỂU Bảng So sanh hai mơ hình phat Bảng Các cờ sử dụng với từ khoá flags Bảng Các loại queues chain chức Bảng Miêu tả cac target mà iptables thường dùng Bảng Các tham số chuyển mạch (switching) quan trọng Iptables DANH MỤC HINH VE Hình Đặt trước Firewall Hình Đặt Firewall DMZ Hình Là module giải phap UTM Hình Hệ thống kết hợp hai mơ hình phát Hình 5: Cấu trúc IP Header Hình 6: Cấu trúc TCP Header Hình Mơ hình kiến trúc hệ thống Snort Hình Xử lý gói tin Ethernet Hình Cấu trúc luật Snort Hình 10 Header luật Snort Hình 11 Mơ hình cơng thử nghiệm Snort IDS/IPS Hình 12 Snort IDS phat Ping Of Dead từ Attacker Hình 13 Snort IPS phat chặn thành cơng Ping Of Dead từ Attacker Hình 14 Snort IDS phat thành cơng gói tin có giao thức TCP SYN FIN scan từ Attacker Hình 15 Snort IDS hoạt động thành cơng Hình 16 Snort IDS phat Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13 Hình 17 Snort IPS phat chặn (DROP) gói PING icmp từ Attacker Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker Hình 19 Giao diện BASE web Hình 20 Xem ARP Cache BÁO CÁO THỰC TẬP CƠ LỜI NĨI ĐẦU Năm 2015 q 1/2016, tình hình an ninh mạng giới tiếp tục diễn biến phức tạp, liên tục phát vụ cơng, xâm nhập vào hệ thống máy tính quan phủ, tổ chức trị, ngành công nghiệp, kinh tế mũi nhọn, hãng hàng không lớn, quan truyền thông, tổ chức y tế, giáo dục nhiều quốc gia nhằm phá hoại, đánh cắp liệu, thu thập thơng tin tình báo liên quan đến sách kinh tế, trị, an ninh, quốc phòng đối ngoại Nổi lên vụ công vào hệ thống thư điện tử Bộ Ngoại giao, hệ thống máy tính Nhà Trắng, Cơ quan quản lý nhân Chính phủ Mỹ… Trong đó, tình hình an ninh mạng Việt Nam diễn biến phức tạp không Nổi bật lên thời gian gần cơng vào hệ thống Vietnam Airlines hôm 29/07 vừa qua Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành công việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống pháá́t ngăn chặn thâm nhập tráá́i phép (IDS/IPS) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Chúng em chân thành cảm ơn thầy Lê Đức Thuận tận tình hướng dẫn giúp chúng em hoàn thành thực tập sở chuyên ngành Mặc dù cố gắng hoàn thành đề tài lĩnh vực lạ phát triển mạnh nên cịn nhiều thiếu sót Chúng em mong tiếp nhận ý kiến, nhận xét từ quý thầy cô Chúng em xin chân thành cảm ơn Sinh viên thực : Trịnh Văn Dũng: SĐT : 01646568864 Email: dungtv94@gmail.com Đào Thu Hường: SĐT : 0972773240 Email: thuhuong160994@gmail.com BÁO CÁO THỰC TẬP CƠ PHẦN : TỔNG QUAN ĐỀ TÀI 1.1 Lý chọn đề tài Chúng em thực báo cáo với mong muốn nghiên cứu đặc trưng hệ thống phát ngăn chặn thâm nhập trái phép với vai trò phương pháp bảo mật bổ sung cho phương pháp bảo mật tại, ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống chất lượng dịch vụ cho người dùng IDS/IPS không cơng cụ phân tích gói tin mạng, từ đưa cảnh báo đến người quản trị mà cịn cung cấp thơng tin sau: Các kiện công Phương thức công Nguồn gốc công Dấu hiệu công Loại thông tin ngày trở nên quan trọng nhà quản trị mạng muốn thiết kế thực chương trình bảo mật thích hợp cho cho tổ chức riêng biệt Một số lý để thêm IDS/IPS cho hệ thống tường lửa là: Kiểm tra hai lần hệ thống tường lửa cấu hình sai Ngăn chặn công cho phép thông qua tường lửa Làm cho nỗ lực công bị thất bại Nhận biết cơng từ bên 1.2 Phân tích trạng - Trên 90% mạng kết nối sử dụng IDS/IPS để phát lỗ hổng bảo mật hệ thống - Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng cơng mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng xâm nhập… - Nếu sử dụng phần mềm chống virus cần phải xem xét đến việc bổ sung thêm IDS/IPS cho chiến lược bảo mật Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS/IPS - Ngày công nghệ ngày phát triển nên khơng có giải pháp bảo mật tồn lâu dài Theo đánh giá tổ chức hàng đầu công nghệ thông tin giới, tình hình an ninh mạng đà bất ổn tiếp tục coi năm “báo động đỏ” an ninh mạng toàn cầu có nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức cơng thay đổi có nhiều công giới tội phạm công nghệ cao vào hệ thống công nghệ thông tin doanh nghiệp - Lấy ví dụ công mạng chiều 29/07/2016 vào công tác phục vụ bay sân bay lớn Nội Bài, Tân Sơn Nhất… cơng mạng có chuẩn bị cơng phu (sử dụng mã độc không bị nhận diện các phần mềm chống virus); xâm nhập chiều sâu (kiểm soát số máy chủ quan trọng cổng thông tin, sở liệu BÁO CÁO THỰC TẬP CƠ khách hàng) chiều rộng (nhiều máy tính phận chức khác nhau, vùng miền khác bị nhiễm); phát động công đồng loạt có liên quan tới kiện kinh tế, trị - Hệ thống phát xâm nhập ngăn chặn trái phép IDS/IPS phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật, an tồn thông tin 1.3 Nội dung nghiên cứu  Tổng quan đề tài  Tìm hiểu tổng quan IDS/IPS  Tổng quan Snort  Triển khai hệ thống phát ngăn chặn, thử nghiệm Snort  Kết luận hướng phát triển 1.4 Ý nghĩa thực tiễn của đề tài - Nghiên cứu vấn đề kỹ thuật hệ thống phát ngăn chặn xâm nhập - Phân tích, đánh giá nguy xâm nhập công trái phép hệ thống mạng - Đưa giải pháp an ninh hữu ích cho hệ thống mạng tổ chức, doanh nghiệp… BÁO CÁO THỰC TẬP CƠ PHẦN : TIM HIỂU TỔNG QUAN VỀ IDS/IPS 2.1 Giới thiệu IDS/IPS 2.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phịng chống xâm nhập hay IPS Chức IPS xác định hoạt động nguy hại, lưu giữ thơng tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép 2.1.2 Vị trí đặt IDS/IPS mơ hình mạng Hình Đặt trước Firewall Hình Đặt Firewall DMZ BÁO CÁO THỰC TẬP CƠ PHẦN 6: PHỤ LỤC 6.1 Tài liệu thao khảo - [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 – 0-13-140733-3 - [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale and Snort Development Team Andrew R Baker, Brian Caswell, Mike Poor – Copyright 2004 by Syngress Publishing – ISBN: 1-931836-04-3 - [3] SNORT R Users Manual 2.9.8.3 - The Snort Project - March 18, 2016 - [4] Snort IPS Tutorial - Vladimir Koychev 2015 - [5] Guide to Intrusion Detection and Prevention Systems Recommendations of the National Institute of Standards and Technology – Karen Scarfone Peter Mell - [6] Snort cookbook – O’Reilly By Kerry J Cox, Christopher Gerg - [7] Snort IDS and IPS Toolkit-Featuring Jay Beale and Members of the Snort - [8] Linux Firewalls - Attack Detection and Response with iptables, psad, and fwsnort-MICHAEL RASH https://www.snort.org http://manual-snort-org.s3-website-us-east-1.amazonaws.com/snort_manual.html http://securitydaily.net/network-security-he-thong-ngan-ngua-xam-nhap-ips https://dungkma.blogspot.com/2016/02/tong-quan-ve-firewall-phan-2-end.html 6.2 Cài đặt cấu hình chi tiết Snort IDS/IPS 6.2.1 Cài đặt snort IDS  Cài đặt Package yêu cầu: # yum install -y gcc flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl daq # yum groupinstall - y "Development Tools"  Tải cài đặt file cài đặt riêng sau: libdnet-1.12.tgz libdnet-1.12-6.el6.x86_64.rpm libdnet-devel-1.12-6.el6.x86_64.rpm  Tải file snort https://snort.org daq-2.0.6.tar snort-2.9.8.3.tar BÁO CÁO THỰC TẬP CƠ  Bắt đầu cài đặt snort # cd /usr/local/src # tar -zxvf /root/ips/daq-2.0.6.tar.gz # tar -zxvf /root/ips/snort-2.9.8.3.tar.gz # cd daq-2.0.6 # /configure # make && make install # cd /usr/local/src/snort-2.9.8.3 # /configure # make && make install # cd /etc # mkdir snort # cd snort # cp /usr/local/src/snort-2.9.8.3/etc/* # tar -zvxf /root/ips/snortrules-snapshot-2983.tar.gz # touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules  Tạo user, group, cấp quyền: # groupadd -g 40000 snort # useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort # cd /etc/snort # chown -R snort:snort * # chown -R snort:snort /var/log/snort  Cấu hình snort: # vim /etc/snort/snort.conf output alert_unified2: filename snort.alert, limit 128, nostamp output log_unified2: filename snort.log, limit 128, nostamp ipvar HOME_NET any ipvar EXTERNAL_NET any var RULE_PATH /rules var SO_RULE_PATH /so_rules > var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /preproc_rules > var PREPROC_RULE_PATH /etc/snort/preproc_rules var WHITE_LIST_PATH /rules > var WHITE_LIST_PATH /etc/snort/rules var BLACK_LIST_PATH /rules > var BLACK_LIST_PATH /etc/snort/rules “Esc : wq!” lưu cấu hình vào file # cd /usr/local/src # chown -R snort:snort daq-2.0.6 # chown -R 777 daq-2.0.6 # chown -R snort:snort snort-2.9.8.3 # chown -R 777 snort-2.9.8.3 # chown -R snort:snort snort_dynamicsrc # chown -R 777 snort_dynamicsrc  Khởi động snort # cd /usr/local/src/snort-2.9.8.3/rpm # cp snortd /etc/init.d/snortd # cp /usr/local/src/snort-2.9.8.3/rpm/snort.sysconfig /etc/sysconfig/snort # chkconfig add /etc/init.d/snortd # chkconfig snortd on # cd /usr/sbin # ln -s /usr/local/bin/snort snort Nếu chưa có directory /var/log/snort tạo: # mkdir -p /var/log/snort BÁO CÁO THỰC TẬP CƠ Cấp quyền: # chmod 777 snort # chown -R snort:snort snort # cd /usr/local/lib # chown -R snort:snort snort* # chown -R snort:snort snort_dynamic* # chown -R snort:snort pkgconfig # chown -R 777 snort* # chown -R 777 pkgconfig # cd /usr/local/bin # chown -R snort:snort daq-modules-config # chown -R snort:snort u2* # chown -R 777 daq-modules-config # chown 777 u2* # cd /etc # chown -R snort:snort snort # chown -R 777 snort Tạo thư mực dynamicrules: # mkdir -p /usr/local/lib/snort_dynamicrules # chown -R snort:snort /usr/local/lib/snort_dynamicrules # chown -R 777 /usr/local/lib/snort_dynamicrules BÁO CÁO THỰC TẬP CƠ  Kiểm tra hoạt động Snort IDS: # snort -T -i eth1 -u snort -g snort -c /etc/snort/snort.conf Hình 15 Snort IDS hoạt động thành cơng Bật snort ids chạy nền: # snort -A fast -b -D -d -i eth1 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort  Thêm rule phát ping để kiểm tra hoạt động snort ids: # vim /etc/snort/rules/local.rules alert icmp any any -> $HOME_NET any (msg:" >Phat hien Ping";gid:1000001 sid:1000001;rev:1;) BÁO CÁO THỰC TẬP CƠ  Xem cảnh báo phát # snort -c /etc/snort/snort.conf -i eth1 -A console Hình 16 Snort IDS phát Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13  Một số Rules khác: alert icmp any any -> $HOME_NET 81 (msg:"Scanning Port 81"; sid:1000005;rev:1;) alert tcp any any -> $HOME_NET 22 (msg:"Scanning Port 22"; sid:1000002;rev:1;) alert icmp any any -> any any (msg:"UDP Tesing Rule"; sid:1000006;rev:1;) alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test!!!"; classtype:not-suspicious; sid:1000005; rev:1;)  Xem File Log cảnh báo snort: # snort -A fast -b -D -d -i eth1 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort # tail -f /var/log/snort/alert 6.2.2 Cài đặt snort IPS: snort inline mode Mở cấu hình snort inline mode snort.conf: # vim /etc/snort/snort.conf “## Under Step #2:” Thêm dòng sau: BÁO CÁO THỰC TẬP CƠ config policy_mode:inline Cấu hình giá trị biến DAQ để chạy AFPacket inline (IPS) mode: “## Configure DAQ variables for AFPacket” config daq: afpacket config daq_mode: inline config daq_dir: /usr/local/lib/daq config daq_var: buffer_size_mb=128 Lưu cấu hình Thêm rule chặn ping kiểm tra: drop icmp any any -> any any (itype:0;msg:" >Da chan Ping !";gid:1000002;sid:1000002;rev:1;) # snort -i eth1:eth2 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q Hình 17 Snort IPS phát chặn (DROP) gói PING icmp từ Attacker BÁO CÁO THỰC TẬP CƠ Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker 6.3 Cài đặt BASE quản lý phân tích Snort Log web BASE (Basic Analysis and Security Engine) cung cấp trang web front-end để truy vấn phân tích cảnh báo từ Snort Các cảnh báo gửi đến sở liệu MySQL, tính cung cấp barnyard2 Barnyard2 hệ thống đầu cho Snort, đọc ghi nhị phân từ snort sử dụng định dạng unified2 sau gửi lại thông tin ghi tới sở liệu user thiết lập mysql →Yêu cầu: cài sẵn PHP, Mysql, httpd  Cài đặt gói yêu cầu cho BASE: # pear channel-update pear.php.net # pear install Mail Mail_mime # pear install Numbers_Roman # pear install Image_Color-1.0.4 # pear install Image_Canvas-0.3.5 # pear install Image_Graph-0.8.0 BÁO CÁO THỰC TẬP CƠ  Tạo sở database cho snort: # mysql -u root -p mysql> create database snort; mysql> grant select,insert,update,delete,create on snort.* to snort@localhost; mysql> set password for snort@localhost=PASSWORD('123456'); mysql> flush privileges; mysql> exit  Cấu hình định dạng đầu snort log theo dạng unified2: # vim /etc/snort/snort.conf output unified2: filename snort.u2, limit 128  Cài đặt barnyard2: # cd /root/ips # wget https://github.com/firnsy/barnyard2/archive/v2-1.13.tar.gz # tar -xzvf v2-1.13.tar.gz # cd barnyard2-2-1.13 # autoreconf -fvi -I /m4 # /configure with-mysql with-mysql-libraries=/usr/lib64/mysql # make && make install Tạo script cho barnyard2 chạy startup: # cp rpm/barnyard2 /etc/init.d/ # chmod +x /etc/init.d/barnyard2 # cp rpm/barnyard2.config /etc/sysconfig/barnyard2 Create links for Barnyard files and create archive directory: # ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf # ln -s /usr/local/bin/barnyard2 /usr/bin/ # mkdir /var/log/barnyard2 BÁO CÁO THỰC TẬP CƠ # chkconfig add barnyard2 # cp etc/barnyard2.conf /etc/snort/ # mysql -u snort -p snort < schemas/create_mysql # chown snort:snort /var/log/barnyard2 # touch /var/log/barnyard2/barnyard2.waldo # chown snort:snort /var/log/barnyard2/barnyard2.waldo # touch /etc/snort/rules/sid-msg.map # touch /etc/snort/rules/gen-msg.map # vim /etc/snort/barnyard2.conf config reference_file: /etc/snort/reference.config config classification_file: /etc/snort/classification.config config gen_file: /etc/snort/rules/gen-msg.map config sid_file: /etc/snort/rules/sid-msg.map input unified2 config hostname: localhost config interface: eth0 config alert_with_interface_name output database: log, mysql, user=snort password=123456 dbname=snort host=localhost # vim /etc/init.d/barnyard2 # chkconfig: 2345 70 60 BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w $WALDO_FILE -l $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS" Edit LOG_FILE variable in Barnyard sysconfig file: # vim /etc/sysconfig/barnyard2 LOG_FILE="snort.log" BÁO CÁO THỰC TẬP CƠ # service barnyard2 restart Xem kiểm tra: # /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth1:eth0 -D -A console  Khởi động lại snort: # /etc/init.d/snortd restart  Cài đặt Adodb: # cd /root/ips # wget http://jaist.dl.sourceforge.net/project/adodb/adodb-php5-only/adodb-520- for-php5/adodb-5.20.6.zip # unzip adodb-5.20.6.zip # mv adodb5 /var/www/adodb  Cài đặt BASE: # cd /root/ips wget http://nchc.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base1.4.5.tar.gz # # mkdir /var/www/html/base # tar -xzvf /root/ips/base-1.4.5.tar.gz # cp -r base-1.4.5/* /var/www/html/base # chown -R snort:snort /var/www/html/base # cd /var/www/html/base # cp base_conf.php.dist base_conf.php # chmod 755 /var/www/html/base/base_conf.php # vim /var/www/html/base/base_conf.php $BASE_urlpath = '/base'; $DBlib_path = '/var/adodb'; $alert_dbname = 'snort'; BÁO CÁO THỰC TẬP CƠ $alert_host = 'localhost'; $alert_port = '3306'; $alert_user = 'snort'; $alert_password = '123456'; # chmod 777 /var/www/html/base  Cấu hình Apache: # vim /etc/httpd/conf/httpd.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all Alias /adodb/ "/var/adodb/" AllowOverride None Order allow,deny Allow from all # vim /etc/httpd/conf.d/base.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all AuthName "Snort IDS" AuthType Basic AuthUserFile /etc/snort/base.passwd Require valid-user BÁO CÁO THỰC TẬP CƠ  Tạo file để truy cập web cho database: # htpasswd -c /etc/snort/base.passwd snortadmin # service httpd restart # chcon -R -t httpd_sys_content_t /var/www/html/base/ # chcon -R -h -t httpd_sys_content_t /var/www/adodb # vim /var/www/html/base/base_main.php date_default_timezone_set('Asia/Ho_Chi_Minh'); →Truy cập giao diện web để cài đặt base quản lý: http://192.168.0.100/base/base_db_setup.php Hình 19 Giao diện BASE web 6.4 Một số phương thức cơng cáá́ch phịng chống 6.4.1 ARP Spoofing Attack Đây hình thức cơng Man in the middle (MITM) đại có xuất sứ lâu đời (đơi biết đến với tên ARP Poison Routing), công cho phép kẻ công nằm subnet với nạn nhân nghe trộm BÁO CÁO THỰC TẬP CƠ tất lưu lượng mạng máy tính nạn nhân Đây loại công đơn giản lại hình thức hiệu thực kẻ cơng Cach phịng chống: Mã hóa ARP cache Một cách bảo vệ chống lại vấn đề khơng an tồn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép bạn bổ sung entry tĩnh vào ARP cache Bạn xem ARP cache máy tính Windows cách mở Commad Prompt gõ lệnh arp –a Hình 20: Xem ARP Cache Có thể thêm entry vào danh sách cách sử dụng lệnh: arp –s Trong trường hợp, nơi cấu hình mạng bạn khơng thay đổi, bạn hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply 6.4.2 SYN Flood Attack Syn flood dạng công từ chối dịch vụ, kẻ công gửi gói tin kết nối SYN đến hệ thống Đây loại công phổ biến Loại công nguy hiểm hệ thống cấp phát tài nguyên sau nhận gói tin SYN từ kẻ cơng trước nhận gói ACK Cach phòng chống: Sử dụng Iptables Snort IPS  Sử dụng Iptables: # iptables -A INPUT –p tcp syn –m limit limit 1/s limit -burst -j RETURN Tất kết nối đến hệ thống phép theo thông số giới hạn sau: • • limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây) limit-burst 3: Số lương gói tin khởi tạo tối đa phép BÁO CÁO THỰC TẬP CƠ  Sử dụng Snort IPS thêm rule sau: dropt tcp any any -> $HOME_NET any (msg:" >Da chan SYN FIN Attack ! "; flags: S;gid: 2000001;sid:2000001;) 6.4.3 Zero Day Attack Zero-day thuật ngữ công hay mối đe dọa khai thác lỗ hổng ứng dụng máy tính mà chưa công bố chưa sửa chữa "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." nguyên văn tiêu đề mô tả mã công viết Python mà Gaffie đưa lên blog bảo mật Seclists.org Cuộc công nhằm vào lỗi xuất phát từ System Message Block phiên 2.0 (SMB2) vốn có Windows Vista, Windows Windows Server 2008 Đi sâu vào lỗi Gaffie cơng bố, ngun nhân xuất phát từ cách thức driver srv2.sys xử lý yêu cầu từ máy khách phần tiêu đề (header) ô "Process Id High" chứa đựng ký tự "&"(mã hexa 00 26) Cuộc công không cần đến chứng thực nhận dạng, cần cổng 445 truy xuất Mối lo ngại cổng 445 thường mở mặc định phần cấu hình mạng nội (LAN) Windows Cách phòng chống: + Cập nhật vá lỗi + Lọc liệu từ cổng TCP 445 tường lửa (iptables) + Khóa cổng SMB registry 6.4.4 DOS - Ping Of Death Attack Khi cơng Ping of Death, gói tin echo đựoc gửi có kích thước lớn kích thước cho phép 65,536 bytes Gói tin bị chia nhỏ thành segment nhỏ hơn, máy đích ráp lại, host đích nhận thấy gói tin q lớn buffer bên nhận Kết là, hệ thống khơng thể quản lý tình trạng bất thường reboot bị treo VD : ping 192.168.10.13 –l 65000 Cách phòng chống: - Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống - Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ - Sử dụng Snort IPS thêm rule: drop icmp any any -> $HOME_NET any (msg:" >Da chan Ping Of Dead !"; dsize:>20000; gid:1000002; sid:1000002;rev:1;) KẾT THÚC ... (Snort IPS) 41 PHẦN 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT 43 4.1 Mơ hình thử nghiệm 43 4.2 Thử nghiệm pháá́t ngăn chặn. .. -Q -l /var/log /snort -c /usr/local /snort/ etc /snort. conf # BÁO CÁO THỰC TẬP CƠ PHẦN 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT 4.1 Mô hình thử nghiệm Hình 11... quan Snort  Triển khai hệ thống phát ngăn chặn, thử nghiệm Snort  Kết luận hướng phát triển 1.4 Ý nghĩa thực tiễn của đề tài - Nghiên cứu vấn đề kỹ thuật hệ thống phát ngăn chặn xâm nhập