HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO HỆ ĐIỀU HÀNH WINDOWS & LINUX HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG SỬ DỤNG SNORT & ELK STACK GIẢNG VIÊN : TS Ngô Quốc Dũng Thành viên nhóm : Bùi Thái Dương - B17DCAT055 Nguyễn Thanh Tùng - B18DCAT224 Ngơ Đức Bình - B18DCAT018 Nguyễn Minh Hải - B18DCAT071 Nguyễn Đình Cường - B18DCAT024 MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG CHÚ THÍCH TỪ KHĨA Chương 1: Tổng Quan Đề Tài A Bối cảnh đề tài Mục tiêu nhiệm vụ cần đạt Nội dung nghiên cứu Ý nghĩa đề tài Chương 2: Tìm hiểu tổng quan IDS B Giới thiệu IDS Định nghĩa Chức Mơ hình chung IDS Nguyên lý hoạt động Snort CHƯƠNG 3: Tìm hiểu sơ lược Snort C Tổng quan Snort Các chế độ hoạt động Các thành phần Snort Cấu trúc luật Snort Chương 4: Tìm hiểu cài đặt ELK stack D Tổng quan ELK Cài đặt dịch vụ cần thiết Thêm Elastic repository Cài đặt, cấu hình chạy kibana Cài đặt, cấu hình chạy logstash Fix, config run Filebeat server chứa Snort (windows 7) Chương 5: Triển khai hệ thống IDS sử dụng Snort ELK stack Mơ hình thử nghiệm Tạo local rule Snort Chạy Snort Demo hoạt động Snort Xử lý log TÀI LIỆU THAM KHẢO DANH MỤC HÌNH ẢNH Hình 3: Mơ hình hệ thống IDS Hình 4: Nguyên lí hoạt động hệ thống IDS Hình 5: Kiến trúc Snort Hình 6: Sơ đồ giải mã gói tin Hình 7: Module phát xâm nhập Snort Hình 8: Sơ đồ hoạt động ELK Stack DANH MỤC BẢNG Bảng 2: Tùy chọn xuất chế độ NIDS Bảng 3: General rule option keywords Bảng Payload detection rule option keywords Bảng 5: Non-payload detection rule option keywords Bảng 6: Post-detection rule option keywords CHÚ THÍCH TỪ KHĨA IDS – Intrustion Detection System: hệ thống phát xâm nhập False positive rate: tỉ lệ cảnh báo sai False negative rate: tỉ lệ bỏ sót Heuristic: kỹ thuật dựa kinh nghiệm để giải vấn đề SSH – Secure Shell HTTPs – Hyper Text Tranfer Protocol secure SNMPv3 – Simple Network Management Protocol version POP – Post Office Protocol Telnet – Terminal Network RPC – Remote Procedure Call SMB – Server Message Block ICMP – Internet Control Message Protocol TCP – Transmission Control Protocol UDP – User Datagram Protocol IP – Internet Protocol MAC – Media Access Control SNMP – Simple Network Management Protocol CPU – Central Processing Unit RAM – Random Access Memory DoS – Denial of Service Chương 1: Tổng Quan Đề Tài A Bối cảnh đề tài Mạng Internet ngày đóng vai trị quan trọng hoạt động người Với lượng thông tin ngày phong phú đa dạng Không có ý nghĩa nơi tra cứu tin tức kiện diễn đời sống hàng ngày, Internet cịn đóng vai trị cầu nối liên kết người với vùng địa lý Ði đôi với phát triển bảo mật mạng nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại công xâm nhập thực trao đổi thông tin, giao dịch qua mạng an tồn An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phịng chống cơng xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, tập lớn mơn Hệ điều hành Windows & Linux nhóm chúng em mong muốn tìm hiểu, nghiên cứu mức log phân tích log cơng cụ Snort ELK Mục tiêu nhiệm vụ cần đạt - Mục tiêu: Nghiên cứu hệ thống phát xâm nhập (IDS), ứng dụng demo thử nghiệm Snort IDS Windows phân tích log thu - Nhiệm vụ: ■ Nêu mơ hình IDS ■ Cách thức hoạt động ■ Demo thử nghiệm cho phần lý thuyết Nội dung nghiên cứu - Tổng quan đề tài - Tìm hiểu IDS - Tìm hiểu sơ lược Snort - Triển khai hệ thống, chạy thử nghiệm Snort mơi trường Windows - Phân tích log thu - Kết luận hướng phát triển Ý nghĩa đề tài - Nghiên cứu nắm bắt kiến thức kỹ thuật hệ thống phát xâm nhập - Hiểu log dạng log thực tế, nắm rõ cách phân tích log - Thực nghiệm lý thuyết nghiên cứu cơng cụ có sẵn ( Snort) Chương 2: Tìm hiểu tổng quan IDS B Giới thiệu IDS Định nghĩa - Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống - Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép đưa cảnh báo phù hợp Chức - Một hệ thống phát xâm nhập gồm chức chủ yếu như: Giám sát, phân tích, cảnh báo 2.1 Giám sát - Giám sát liệu mạng hoạt động khả nghi mạng, giám sát thiết bị dịch vụ mạng, giám sát tài nguyên hệ thống - Một hệ thống IDS phát phịng chống cơng xâm nhập mạng dựa vào dấu hiệu công lưu trữ cập nhập thường xuyên Tuy nhiên không tránh khỏi trường hợp có dạng cơng mà dấu hiệu chưa biết tới - Hệ thống giám sát lưu lượng hỗ trợ cho người quản trị mạng giám sát lưu lượng trao đổi thiết bị mạng Nó hoạt động thời gian thực thể lưu lượng giao tiếp mạng (các giao tiếp Router, Switch, Server, ), hoạt động CPU, RAM cách trực quan thông qua đồ thị,… Ðiều giúp người quản trị mạng có phân tích tình trạng hoạt động thiết bị mạng hệ thống cách trực quan 2.2 Phân tích - Phân tích gói tin mà firewall cho phép qua, tìm kiếm dấu hiệu công từ dấu hiệu biết thơng qua phân tích kiện bất thường, từ ngăn chặn cơng trước gây hậu xấu với hệ thống mạng 2.3 Cảnh báo - Báo cáo tình trạng mạng cho nhà quản trị Hệ thống báo động thành phần quan trọng hệ thống giám sát mạng Hệ thống báo động giúp người quản trị mạng nắm bắt trạng thái hoạt động hệ thống mạng - Cảnh báo lưu vào file(log file) vào sở liệu để nhà quản trị mạng xem lại Cảnh báo có thể, hình, đăng nhập email, tin nhắn điện thoại nhiều cách khác Mơ hình chung IDS Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác sử dụng IDS Mơ hình cấu trúc chung cho hệ IDS: Hình 1: Mơ hình hệ thống IDS - Các cảm biến (sensor): làm nhiệm vụ phát kiện có khả đe dọa an ninh hệ thống mạng, có chức tiếp nhận rà quét nội dung gói tin mạng, so sánh nội dung với mẫu có sẵn phát dấu hiệu công - Giao diệm (console): phận làm nhiệm vụ tương tác với người quản trị, nhận lệnh điều khiển hoạt động Sensor, Engine đưa thông báo công - Khối xử lý (engine): có nhiệm vụ ghi lại tất báo cáo kiện phát Sensor vào sở liệu sử dụng hệ thống luật định nghĩa để phân tích, sau đưa cảnh báo kiện an ninh nhận cho hệ thống người quản trị Có hai phương pháp dùng việc phân tích kiện để phát vụ công: Phát dựa dấu hiệu (nhận dạng kiện tập hợp kiện phù hợp với mẫu kiện định nghĩa công) phát bất thường ( thiết lập trạng hoạt động bình thường sau trì trạng hành cho hệ thống, hai yếu tố xuất khác biệt,nghĩa có xâm nhập) Một số kĩ thuật phát bất thường: - Threshold Detection: kĩ thuật đếm Các mức ngưỡng hoạt động bình thường đặt ra, có bất thường vượt ngưỡng quy định bị coi xâm nhập( login nhiều, số lượng process chạy CPU,…) - Seft-learning Detection: hệ thống IDS chạy chế độ tự học thiết lập profile mạng với hoạt động bình thường Sau thời gian khởi tạo, hệ thống chạy chế độ Sensor theo dõi hoạt động bất thường mạng so với profile thiết lập Chế độ chạy song song với chế độ Sensor để cập nhật profile, lúc Sensor dị tín hiệu cơng chế độ tự học dừng lại tới công kết thúc - Anomaly protocol Detection: Kĩ thuật dò vào hoạt động giao thức, dịch vụ hệ thống để tìm gói tin khơng hợp lệ, hoạt động bất thường dấu hiệu xâm nhập, công Hiệu việc ngăn chặn hình thức qt mạng, qt cổng để thu thập thơng tin đối tượng công vào hệ thống hacker Một số ưu nhược điểm phát bất thường: ● Có khả phát công ● False positive rate thường cao phát dựa dấu hiệu ● False negative rate thấp phát dựa dấu hiệu ● Tiên tiến phát dựa dấu hiệu, không cần dùng tập mẫu ● Không bị overload liệu nhờ phương pháp mơ hình hóa liệu thuật toán heuristic Các phương pháp phát bất thường: ● Xác suất thống kê ● Máy trạng thái hữu hạn (Finite state machine) ● Mạng nơron (neural network) ● Kỹ thuật khai phá liệu (data mining) ● Hệ chuyên gia Nguyên lý hoạt động Hình 2: Nguyên lí hoạt động hệ thống IDS ● Giám sát mạng(monitoring): q trình thu thập thơng tin lưu thông mạng, thông thường sensor đảm nhiệm ● Phân tích lưu thơng(analyzing): thu thập thông tin cần thiết từ nhiểm điểm mạng, IDS tiến hành phân tích liệu 10 Cài đặt, cấu hình chạy kibana # Cai dat kibana sudo apt-get install kibana # Cau hinh kibana Sudo nano /etc/kibana/kibana.yml - Trong file kibana.yml thực thêm vào dòng sau: Server.port: 5601 Server.host: “localhost” Elasticsearch.hosts: [“http://localhost:9200”] -Sau cấu hình xong, khởi động Kibana đưa vào chế độ khởi động boot: 27 sudo systemctl start kibana.service sudo systemctl enable kibana.service - Nếu Firewall bật hệ thống phải cho phép cổng 5601 hoạt động - Kiểm tra hoạt động kibana cách truy cập vào url http://localhost:5601 Nếu browser hiển thị hình kibana hoạt động thành cơng 28 Cài đặt, cấu hình chạy logstash # Cai dat logstash Sudo apt-get install logstash - Truy cập vào đường dẫn /etc/logstash/conf.d tạo thư mục có tên logstash-filter.conf thêm vào file nội dung: sudo nano /etc/logstash/conf.d/logstash-filter.conf # Noi dung Input{ Beats{ Port => 5044 } } Output{ Elasticsearch{ Host => [“http://localhost:9200”] 29 Index => “%{[@metadata][beat]}-%{[@metadata][version]” } Stdout {codec => rubydebug} } # Khoi chay logstash Sudo /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/logstash-filter.conf Fix, config run Filebeat server chứa Snort (windows 7) - Tải filebeat từ trang chủ www.elastic.co giải nén - Truy cập vào file filebeat.yml thực thêm vào dòng sau: Output.logstash Hosts: [“ipserverubuntu:5044”] - Sau cấu hình xong, để chạy filebeat cần mở cửa sổ cmd nhập vào dòng lệnh sau: Chương 5: Triển khai hệ thống IDS sử dụng Snort ELK stack Mơ hình thử nghiệm Gồm phía: phía cơng phía bị cơng Phía bị cơng hệ thống Windows 10 có cài Snort IDS for Windows Webserver XAMPP, địa IP 192.168.0.110, subnet mask: 255.255.255.0, địa broadcast: 192.168.0.1 Phía công hệ thống Kali linux cài máy ảo Virtualbox địa IP 192.168.0.111, subnet mask: 255.255.255.0 5.2 Cấu hình Snort - Để Snort chạy chế độ IDS ta cần cấu hình file snort.conf sau: 30 - Thay đổi đường dẫn tới thư mục chứa file rules Snort - Chọn đường dẫn lưu log file - Thay đổi hướng dẫn tới thư mục “snort_dynamicengine” “snort_dynamicpreprocessor” - Thay đổi đường dẫn cho file “classification.config” “reference.config” - Comment dòng sau: 31 - - Chỉnh lại đường dẫn whitelist blacklist Tạo local rule Snort Chạy Snort Đầu tiên xác định interface number sử dụng lệnh snort -W 32 - Sau xác định Interface number (là interface enable) Chúng ta sử dụng lệnh sau để chạy Snort: snort -i -c c:\snort\etc\snort.conf -A console -T Demo hoạt động Snort ● Phát có máy ping tới: - Rule: alert icmp any any -> $HOME_NET any (msg:”Ai dang ping den !!!”; sid:1000006;rev:1;) - Từ máy công kali thực câu lệnh Ping 192.168.0.110 - Khi cửa sổ console Snort hiển thị thông báo sinh log sau 33 - Có vài kiểu cơng Dos thực cách gửi nhiều gói tin icmp đến máy nạn nhân nên dựa vào log trên, dễ dàng nhận biết máy nạn nhân bị công Dos ● Phát Scan port attack - Rule: alert tcp any any -> $HOME_NET any (msg:”Phat hien SYN Scan”; flag: S; gid:2000001; sid: 2000001;) - Từ máy công sử dụng nmap để thực Scan port: nmap -sS 192.168.0.110 - Khi cửa sổ console Snort hiển thị thông báo sinh log sau ● Phát truy cập SSH - Rule: alert tcp any any -> $HOME_NET 22 (msg:”Co truy cap SSH”; flag: S; sid:600001;) - Từ máy công sử dụng nmap để thực Scan port: nmap -sS 192.168.0.110 - Khi cửa sổ console Snort hiển thị thông báo sinh log sau 34 ● Phát truy cập FTP - Rule: alert tcp any any -> $HOME_NET 21 (msg:”Co truy cap FTP”; flag: S; sid:600002;) - Từ máy công sử dụng nmap để thực Scan port: nmap -sS 192.168.0.110 - Khi cửa sổ console Snort hiển thị thông báo sinh log sau 35 ● Phát công SQL injection - Rule: alert tcp any any -> $HOME_NET any (msg:"Phat hien SQL Injection "; pcre:"/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\ %52))/ix"; sid:1000017; rev:1;) “Trong đó: “/\w*((\%27)|(\’))((\%6F)|o|(\%6F))((\%72)|r|(\%52))/ix” chuỗi regex dùng để nhận dạng sql injection; %27, %6F, %6F, %72, %52 url encode W*: phát kí tự (chữ, số, dấu gạch dưới) (\%27)|(\’): phát có dấu nháy đơn (\%6F)|o|(\%4F))((\%72)|r|(\%52): phát có ‘or’ (Or, OR, or, oR) Ix: bỏ qua chữ hoa khoảng trắng.” - Việc thực công SQL injection thực DVWA - ứng dụng hỗ trợ cho việc khai thác lỗ hổng ứng dụng web - Thử ví dụ sau DVWA với câu truy vấn sql server sau: $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';" - Nếu ta nhập User ID = %’ or ‘1’=‘1, lúc câu query thành: $query = "SELECT first_name, last_name FROM users WHERE user_id = %’ OR ‘1’=‘1’"; Nghĩa điều kiện where đúng, truy xuất hết tất hàng table user, bất hợp pháp - Tại máy công thử truy cập vào web server với url sau: http://192.168.0.110/DVWA/?id=1’or’1’=’1 36 - Khi trang web DVWA lên sau - Khi cửa sổ console Snort hiển thị thông báo sinh log sau  Phát công XSS Reflected - Rule: 37  alert tcp any any -> any any (msg:”XSS Attack”; content:”script”; sid:100007;rev:2;)  alert tcp any any -> $HOME_NET any (msg:”XSS Attack”; content:”img”; sid:100002;rev:2;)  alert tcp any any -> $HOME_NET any (msg:”XSS Attack”; content:”%3c”; sid:100003;rev:2;)  alert tcp any any -> $HOME_NET any (msg:”XSS Attack”; content:”%3e”; sid:100004;rev:2;)  alert tcp any any -> $HOME_NET any (msg:”XSS Attack”; content:”%22”; sid:100005;rev:2;)  alert tcp any any -> $HOME_NET any (msg:”XSS Attack”; content:”%27”; sid:100006;rev:2;) - Từ máy công vào url 192.168.0.110/DVWA chọn XSS Reflected sau nhập vào trống sau ấn submit: ?name=alert("XSS"); - Khi cửa sổ console Snort hiển thị thông báo sinh log sau 38 - Xử lý log Sau có log từ demo lưu trữ đường dẫn c:\Snort\log Log tự động đẩy lên từ Filebeat lưu máy đến cổng 5044 logstash Logstash tiếp tục đưa liệu theo cổng 9200 vào Elasticsearch theo cấu trúc lưu trữ đó, sau Kibana thơng qua cổng 5601 lấy liệu từ index Elasticsearch tạo hiển thị lên webserver localhost:5601/app/discover#/ 39 - Log đẩy lên có cấu trúc dạng (key,value) lưu dạng file JSON sau - Ngoài liệu đẩy lên khơng thể đọc liệu di chuyển đưa sang dạng mã hóa khác làm cho liệu bảo mật 40 TÀI LIỆU THAM KHẢO [1] Elasticsearch B.V., "https://www.elastic.co/what-is/elkstack," 2021 [Online] [Accessed 15 04 2021] [2] Cisco., "https://www.snort.org/," 2021 [Online] [Accessed 15 04 2021] [3] M Ortega, Director, Install snort on windows 10 [Film] 2020 41 ... hậu xấu với hệ thống mạng 2.3 Cảnh báo - Báo cáo tình trạng mạng cho nhà quản trị Hệ thống báo động thành phần quan trọng hệ thống giám sát mạng Hệ thống báo động giúp người quản trị mạng nắm bắt... sàng hệ thống - Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép đưa cảnh báo phù hợp Chức - Một hệ thống. .. phát dựa số yếu tố như: số lượng luật, tốc độ hệ thống chạy Snort, tải mạng 17 Hình 5: Module phát xâm nhập Snort 2.4 Module log cảnh báo Tùy thuộc vào việc mơđun Phát có nhận dạng đuợc xâm nhập