Nhóm HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH  BÁO CÁO ĐỀ TÀI MƠN HỌC: AN TỒN MẠNG GIẢNG VIÊN HƯỚNG DẪN: ThS TRẦN THỊ DUNG ĐỀ TÀI: SNORT Snort NHĨM THỰC HIỆN : NHĨM THƠNG TIN THÀNH VIÊN VÀ BẢNG PHÂN CHIA CÔNG VIỆC THÀNH VIÊN MSSV TỈ LỆ Mai Xuân Ý N18DCAT105 20% Nguyễn Mạnh Thìn N18DCAT085 20% Nguyễn Đức Quỳnh N18DCAT065 20% Trương Văn Nam N18DCAT051 20% Nguyễn Minh Hậu N18DCAT019 20% Snort LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghê Bưu Viễn thơng Cơ sở thành phố Hồ Chí Minh đưa học phần An Tồn Mạng vào trương trình giảng dạy Đặc biệt, chúng em xin chân thành cảm ơn Giảng viên Trần Thị Dung - giảng viên học phần An Toàn Mạng dạy, truyền đạt kiến thức quý báu cho em suốt thời gian học tập học phần vừa qua, giúp đỡ chúng em trình học tập trình thực đồ án Trong q trình thực đồ án, chúng em cịn nhiều sót kết chưa đạt kỳ vọng, mong bạn góp ý để đồ án bổ sung, hoàn thiện cách đầy đủ tốt Chúng em xin chân thành cảm ơn ! Snort MỤC LỤC LỜI CẢM ƠN BẢNG THUẬT NGỮ I KIẾN THỨC TỔNG QUAN Giới thiệu IDS/IPS a Tổng quan b Phân loại IDS Giới thiệu Snort a Giới thiệu chung b Kiến trúc Snort 10 Cấu hình snort – snort configuration: 25 II CẤU HÌNH THỰC NGHIỆM 26 Mơ hình Snort cài đặt chung với Web Server DVWA 26 a Mơ hình mạng 26 b Các bước cấu hình demo 26 Mô hình Snort cài đặt riêng với Web Server DVWA 33 a Mô hình mạng 33 b Các bước cấu hình demo 34 So sánh rule tự tạo rule Snort 49 Snort BẢNG THUẬT NGỮ Thuật Ngữ Tên Chi Tiết IDS Intrusion Tên Tiếng Việt Detection Hệ thống phát xâm nhập System SIEM Security information and Hệ thống bảo mật quản lý event management IPS Intrusion kiện Prevention Hệ thống ngăn chặn xâm nhập System HIDS Host-based IDS Hệ thống ngăn chặn xâm nhập host NIDS Network-based IDS Hệ thống ngăn chặn xâm nhập toàn mạng URL Uniform Resource Locator TCP Transmission Định vị tài nguyên thống Control Giao thức điều khiển truyền vận Protocol UDP User Datagram Protocol HTTP Hyper Text Giao thức liệu người dùng Transfer Giao thức Truyền tải Siêu Văn Bản Protocol FTP File Transfer Protocol PCAP Data Files - Giao thức truyền tải tập tin Packet Thu thập liệu gói Capture Data DAQ Data Acquisition library PCRE Perl DMZ compatible Thư viện thu thập liệu regular Thư viện cho phép rule expressions viết giống Perl Demilitarized Zone Vùng biên – vùng ranh giới mạng nội vùng Internet CVE Common Vulnerabilities danh sách lỗi bảo mật máy tính and Exposures cơng khai Snort I KIẾN THỨC TỔNG QUAN Giới thiệu IDS/IPS a Tổng quan - IDS thiết bị ứng dụng phần mềm giám sát mạng, hệ thống máy tính có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Bất kỳ hoạt động vi phạm phát thường báo cáo cho quản trị viên thu thập tập trung hệ thống SIEM Một hệ thống SIEM kết hợp kết đầu từ nhiều nguồn sử dụng kỹ thuật lọc báo động để phân biệt hoạt động ác ý từ báo động sai lầm - IPS có chức IDS, bổ sung thêm khả ngăn ngừa hoạt động xâm nhập không mong muốn Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi IPS - Tùy thuộc vào quy mơ, tính chất mạng máy tính cụ thể sách an ninh người quản trị mạng - Trong trường hợp mạng có quy mơ nhỏ, với máy chủ an ninh, giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn - Tuy nhiên với mạng lớn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng Khi đó, hệ thống cảnh báo cần theo dõi, phát gửi cảnh báo đến hệ thống ngăn chặn khác Sự phân chia trách nhiệm làm cho việc đảm bảo an ninh cho mạng trở nên linh động hiệu Snort Hình Mơ tả chức IDS IPS hệ thống b Phân loại IDS - Thông thường phân loại hệ thống IDS dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau:  Host-based IDS (HIDS): Giám sát hoạt động máy tính riêng biệt cài đặt máy tính(host) HIDS cài đặt nhiều kiểu máy chủ khác nhau, máy trạm làm việc máy notebook HIDS cho phép thực cách linh hoạt đoạn mạng mà NIDS không thực Nguồn thông tin chủ yếu HIDS lưu lượng đến máy chủ cịn có hệ thống liệu system log system audit Lưu lượng gửi đến host phân tích chuyển qua host chúng không tiềm ẩn mã nguy hiểm HIDS cụ thể với ứng dụng phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ HIDS giám sát thay đổi hệ thống:  Các tiến trình – process  Các entry registry  Mức độ sử dụng CPU  Các thông số vượt ngưỡng cho phép hệ thơng file Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ, thường sử dụng chế kiểm tra phân tích thông tin đến đi, Snort thông tin logging, lịch sử audit log Tìm kiếm hoạt động bất thường login, truy nhập file không thích hợp, bước leo thang đặc quyền khơng chấp nhận HIDS thường cài đặt máy tính định Thay giám sát hoạt động Network segment, HIDS giám sát hoạt động máy tính Nó thường đặt Host xung yếu tổ chứcvà server vùng DMZ Hình Mơ hình hệ thống HIDS mạng  Network-based IDS (NIDS): Giám sát toàn mạng Nguồn thơng tin chủ yếu NIDS gói liệu lưu thông mạng (cables, wireless) cách sử dụng card giao tiếp NIDS xác định truy cập trái phép việc giám sát hoạt động mạng tiến hành toàn phân mạng hệ thống, NIDS sử dụng dị cảm biến cài đặt tồn mạng Những dị theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Khi gói liệu phù hợp với qui tắc phát xâm nhập hệ thống Bộ cảm biến gửi tín hiệu cảnh báo đến trung tâm điều khiển cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa hay đơn Snort giản phát cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu NIDS thường lắp đặt ngõ vào mạng (Inline), đứng trước sau firewall Hình Mơ hình NIDS mạng Giới thiệu Snort a Giới thiệu chung - Được viết Martin Roesch vào năm 1998 Hiện tại, Snort phát triển Sourcefire, nơi mà Roesch người sáng lập CTO, sở hữu Cisco từ năm 2013 - Snort kiểu IDS/IPS, thực giám sát gói tin vào hệ thống - Là mã nguồn mở miễn phí với nhiều tính việc bảo vệ hệ thống bên trong, phát công từ bên vào hệ thống Snort b Kiến trúc Snort Hình Mơ hình kiến trúc NIDS Snort Theo mơ hình kiến trúc trên, Snort chia làm phần:  Module Packet Decoder: Xử lý giải mã gói tin  Module Preprocessors: Tiền xử lý  Module Detection Engine: Phát xâm nhập ngăn chặn  Module Logging and Alerting System: Cảnh báo xâm nhập  Output Alert or Log to a File: Kết xuất thông tin Với kiến trúc thiết kế theo kiểu module, người dùng tự tăng cường tính cho hệ thống Snort việc cài đặt hay viết thêm module Cơ sở liệu luật Snort lên tới hàng ngàn luật cập nhật thường xuyên cộng đồng người sử dụng Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HPUX, AIX, IRIX, MacOS - Module Decoder – Giải mã: Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống Gói tin sau giải mã đưa vào Module tiền xử lý 10 Snort Hình 53 Kiểm tra gói tin bắt Xem gói tin ddos icmp wireshark: root@ubuntu:/var/log/snort# wireshark snort.log.1634916448 Hình 54 Thơng tin gói tin thu nhận Hình 55 Kiểm tra thư mục ghi log, ta có thơng tin cơng ip 192.168.231.3 36 Snort Tấn công ddos tcp : sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 flood rand-source faster c 2000 Hình 56 Bật công máy attacker  Bật wireshark webserver xem gói tin đến: Hình 57 Các gói tin gửi đến webserver liên tục  Bật snort hiển thị thông báo : snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38 Hình 58 Thơng tin cơng ddos hiển thị 37 Snort  Bật snort lưu log: snort -l /var/log/snort/archived_logs -K ascii -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38 Hình 59 Các thơng báo hình snort Hình 60 Tiến hành truy cập vào web, web chưa sập đợi kết nối lâu 38 Snort  Xem gói tin bắt được: root@ubuntu:/var/log/snort# wireshark snort.log.1635053320 Hình 61 Xem gói tin snort bắt Hình 62 Thơng tin gói tin cơng tcp 39 Snort  Thực vào thư mục /var/log/snort/archieved_logs xem log Hình 63 log lưu tên IP công vào webserver 40 Snort  Tiến hành xem file log để xem thơng tin: Hình 64 Thực xem file log có ip 0.14.200.246 File log hiển thị đầy đủ thông tin : địa gửi gói tin(source ip address, port), địa nhận gói tin(destination ip, port), thời gian gói tin gửi tới, giao thức, id, tcp length, flags type,… 41 Snort - Thực demo ngăn chặn gói tin ddos:  Tạo rule cho phép ngăn chặn gói tin với câu lệnh sau:  Ở để lệnh alert trước để kiểm tra xem có chạy theo thứ tự ưu tiên header action khơng Hình 65 Rules ngăn chặn gói tin 42 Snort Thơng tin rules: alert tcp any any -> $HOME_NET any (flags: S; msg:"phat hien SYN DDoS"; flow:stateless;detection_filter:track by_dst, count 100, seconds 10;classtype:attempted-dos; sid:10000008;rev:1;) reject tcp any any -> $HOME_NET 80 (flags: S; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000001; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: A; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos;sid:10000002; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: R; msg:"phat hien tan cong ddostcp";flow:stateless;classtype:attempted-dos;sid:10000003; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: F; msg:"phat hien tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000004; detection_filter:track by_dst, count 100, seconds 3;) reject icmp any any $HOME_NET any (msg:" phat hien tan cong ICMP DDos";sid:10000006; rev:1; detection_filter:track by_dst, count 100, seconds 3;) reject udp any any -> $HOME_NET 80 (msg:"phat hien tan cong ICMP DDos";sid:10000007;classtype:attempted-dos;rev:1; detection_filter:track by_dst, count 100, seconds 3;) 43 Snort  Thêm đường dẫn vào file config sau cập nhật config lệnh ldconfig Hình 66 Thêm đường dẫn file rule vào file config  Thực cơng: Tấn cơng gói ICMP Hình 67 Tấn cơng gói ICMP 44 Snort Thực bật snort với câu lệnh sau: sudo snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q Hình 68 Các thơng báo lên hình Bật wireshark xem phân tích gói tin: Hình 69 Ban đầu gói tin gửi đến thuận lợi 45 Snort Hình 70 Sau gói tin gửi bị từ chối gián đoạn Các gói tin cơng khơng bị từ chối hết mà bị từ chối phần 46 Snort Tấn cơng gói TCP sử dụng random source sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 flood rand-source faster c 2000 Hình 71 Câu lệnh cơng  Sử dụng snort với câu lệnh để phát ddos: snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q Hình 72 Các thông báo công hiển thị 47 Snort Tiến hành phân tích gói tin wireshark Hình 73 Các gói tin gửi đến với nhiều ip khác Kết :Snort chưa ngăn chặn với ip sources khác 48 Snort So sánh rule tự tạo rule Snort Rules tự viết: - Rules tự viết thường có phần Header Options - Rules tự tạo thay đổi SID tùy ý, SID thường số lớn để tránh trường hợp SID trùng vs SID rules có sẵn - Rules tự tạo thường phần Options viết chung cho tất trường hợp (VD: DDOS có nhiều loại DDOS khác rules tự tạo viết option áp dụng chung cho trường hợp DDOS đó) - Ta thay đổi dễ dàng với nhiều option khác nhau, giá trị tham số khác Rules community - Bộ rules Talos có cấu trúc GID:SID Default rule state message, khơng có phần header cụ thể không hiển thị options - Talos rule biên dịch sẵn(pre-compiled rules) viết ngơn ngữ C, chúng mã hóa để đảm bảo ổn định, không bị xáo trộn với - Bộ rules emerging có cấu trúc tương tự rules tự tạo header options - Rules talos rules emerging thường có SID thường gán cố định - Rules emerging phân tích chi tiết rules tự tạo (1 header có nhiều options cho nhiều trường hợp) - Các rule community viết để thực phát với CVE cụ thể 49 Snort TÀI LIỆU THAM KHẢO: [1] The Snort Team (2012), Snort® User Manual 2.9.3, The Snort Project [2] https://www.snort.org/ [3] https://github.com/hocchudong/ghichep-IDS-IPS-SIEM [4] https://www.rokasecurity.com/ids-vs-ips/ [5] Snort as IPS with afpacket (Snort inline mode) on Ubuntu 16.04 LTS Ashok Dewan [6] https://forum.netgate.com/ [7] http://baomatmang.net/snort-la-gi-cau-truc-cua-snort/ [8] https://www.thomaslaurenson.com/blog/2018-07-12/installing-and-configuringDVWA/ Hết 50