Nhóm HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH  BÁO CÁO ĐỀ TÀI MƠN HỌC: AN TỒN MẠNG GIẢNG VIÊN HƯỚNG DẪN: ThS TRẦN THỊ DUNG ĐỀ TÀI: SNORT TIEU LUAN MOI download : skknchat123@gmail.com Snort NHÓM THỰC HIỆN : NHÓM THÔNG TIN THÀNH VIÊN VÀ BẢNG PHÂN CHIA CÔNG VIỆC THÀNH VIÊN Mai Xuân Ý Nguyễn Mạnh Thìn Nguyễn Đức Quỳnh Trương Văn Nam Nguyễn Minh Hậu Snort LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghê Bưu Viễn thơng Cơ sở thành phố Hồ Chí Minh đưa học phần An Tồn Mạng vào trương trình giảng dạy Đặc biệt, chúng em xin chân thành cảm ơn Giảng viên Trần Thị Dung giảng viên học phần An Toàn Mạng dạy, truyền đạt kiến thức quý báu cho em suốt thời gian học tập học phần vừa qua, giúp đỡ chúng em trình học tập trình thực đồ án Trong trình thực đồ án, chúng em cịn nhiều sót kết chưa đạt kỳ vọng, mong bạn góp ý để đồ án bổ sung, hoàn thiện cách đầy đủ tốt Chúng em xin chân thành cảm ơn ! Snort MỤC LỤC LỜI CẢM ƠN BẢNG THUẬT NGỮ I KIẾN THỨC TỔNG QUAN Giới thiệu IDS/IPS a Tổng quan b Phân loại IDS Giới thiệu Snort a Giới thiệu chung b Kiến trúc Snort 10 Cấu hình snort – snort configuration: 25 II CẤU HÌNH THỰC NGHIỆM 26 Mơ hình Snort cài đặt chung với Web Server DVWA 26 a Mơ hình mạng 26 b Các bước cấu hình demo 26 Mơ hình Snort cài đặt riêng với Web Server DVWA 33 a Mơ hình mạng 33 b Các bước cấu hình demo 34 So sánh rule tự tạo rule Snort 49 Snort BẢNG THUẬT NGỮ Thuật Ngữ IDS SIEM IPS HIDS NIDS URL TCP UDP HTTP FTP PCAP DAQ PCRE DMZ CVE Snort I KIẾN THỨC TỔNG QUAN Giới thiệu IDS/IPS a Tổng quan IDS thiết bị ứng dụng phần mềm giám sát mạng, hệ thống máy tính có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Bất kỳ hoạt động vi phạm phát thường báo cáo cho quản trị viên thu thập tập trung hệ thống SIEM Một hệ thống SIEM kết hợp kết đầu từ nhiều nguồn sử dụng kỹ thuật lọc báo động để phân biệt hoạt động ác ý từ báo động sai lầm IPS có chức IDS, bổ sung thêm khả ngăn ngừa hoạt động xâm nhập khơng mong muốn Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi IPS Tùy thuộc vào quy mơ, tính chất mạng máy tính cụ thể sách an ninh người quản trị mạng Trong trường hợp mạng có quy mơ nhỏ, với máy chủ an ninh, giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn Tuy nhiên với mạng lớn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng Khi đó, hệ thống cảnh báo cần theo dõi, phát gửi cảnh báo đến hệ thống ngăn chặn khác Sự phân chia trách nhiệm làm cho việc đảm bảo an ninh cho mạng trở nên linh động hiệu Snort Hình Mô tả chức IDS IPS hệ thống b Phân loại IDS Thông thường phân loại hệ thống IDS dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau:  Host-based IDS (HIDS): Giám sát hoạt động máy tính riêng biệt cài đặt máy tính(host) HIDS cài đặt nhiều kiểu máy chủ khác nhau, máy trạm làm việc máy notebook HIDS cho phép thực cách linh hoạt đoạn mạng mà NIDS không thực Nguồn thông tin chủ yếu HIDS lưu lượng đến máy chủ cịn có hệ thống liệu system log system audit Lưu lượng gửi đến host phân tích chuyển qua host chúng khơng tiềm ẩn mã nguy hiểm HIDS cụ thể với ứng dụng phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ HIDS giám sát thay đổi hệ thống:  Các tiến trình – process  Các entry registry  Mức độ sử dụng CPU  Các thông số vượt ngưỡng cho phép hệ thơng file Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ, thường sử dụng chế kiểm tra phân tích thơng tin đến đi, Snort thơng tin logging, lịch sử audit log Tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, bước leo thang đặc quyền khơng chấp nhận HIDS thường cài đặt máy tính định Thay giám sát hoạt động Network segment, HIDS giám sát hoạt động máy tính Nó thường đặt Host xung yếu tổ chứcvà server vùng DMZ Hình Mơ hình hệ thống HIDS mạng  Network-based IDS (NIDS): Giám sát toàn mạng Nguồn thông tin chủ yếu NIDS gói liệu lưu thơng mạng (cables, wireless) cách sử dụng card giao tiếp NIDS xác định truy cập trái phép việc giám sát hoạt động mạng tiến hành toàn phân mạng hệ thống, NIDS sử dụng dị cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mơ tả sơ lược định nghĩa dấu hiệu Khi gói liệu phù hợp với qui tắc phát xâm nhập hệ thống Bộ cảm biến gửi tín hiệu cảnh báo đến trung tâm điều khiển cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa hay đơn Snort giản phát cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu NIDS thường lắp đặt ngõ vào mạng (Inline), đứng trước sau firewall Hình Mơ hình NIDS mạng Giới thiệu Snort a Giới thiệu chung Được viết Martin Roesch vào năm 1998 Hiện tại, Snort phát triển Sourcefire, nơi mà Roesch người sáng lập CTO, sở hữu Cisco từ năm 2013 Snort kiểu IDS/IPS, thực giám sát gói tin vào hệ thống Là mã nguồn mở miễn phí với nhiều tính việc bảo vệ hệ thống bên trong, phát công từ bên ngồi vào hệ thống Snort Tấn cơng ddos tcp : sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 flood rand-source faster c 2000 Hình 56 Bật cơng máy attacker  Bật wireshark webserver xem gói tin đến: Hình 57 Các gói tin gửi đến webserver liên tục  Bật snort hiển thị thông báo : snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38 Hình 58 Thơng tin công ddos hiển thị 37 Snort  Bật snort lưu log: snort -l /var/log/snort/archived_logs -K ascii -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38 Hình 59 Các thơng báo hình snort Hình 60 Tiến hành truy cập vào web, web chưa sập đợi kết nối lâu 38 Snort  Xem gói tin bắt được: root@ubuntu:/var/log/snort# wireshark snort.log.1635053320 Hình 61 Xem gói tin snort bắt Hình 62 Thơng tin gói tin cơng tcp 39 Snort  Thực vào thư mục /var/log/snort/archieved_logs xem log Hình 63 log lưu tên IP công vào webserver 40 Snort  Tiến hành xem file log để xem thơng tin: Hình 64 Thực xem file log có ip 0.14.200.246 File log hiển thị đầy đủ thông tin : địa gửi gói tin(source ip address, port), địa nhận gói tin(destination ip, port), thời gian gói tin gửi tới, giao thức, id, tcp length, flags type,… 41 Snort - Thực demo ngăn chặn gói tin ddos:  Tạo rule cho phép ngăn chặn gói tin với câu lệnh sau:  Ở để lệnh alert trước để kiểm tra xem có chạy theo thứ tự ưu tiên header action khơng Hình 65 Rules ngăn chặn gói tin 42 Snort Thơng tin rules: alert tcp any any -> $HOME_NET any (flags: S; msg:"phat hien SYN DDoS"; flow:stateless;detection_filter:track by_dst, count 100, seconds 10;classtype:attempted-dos; sid:10000008;rev:1;) reject tcp any any -> $HOME_NET 80 (flags: S; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000001; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: A; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos;sid:10000002; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: R; msg:"phat hien tan cong ddostcp";flow:stateless;classtype:attempted-dos;sid:10000003; detection_filter:track by_dst, count 100, seconds 3;) reject tcp any any -> $HOME_NET 80 (flags: F; msg:"phat hien tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000004; detection_filter:track by_dst, count 100, seconds 3;) reject icmp any any $HOME_NET any (msg:" phat hien tan cong ICMP DDos";sid:10000006; rev:1; detection_filter:track by_dst, count 100, seconds 3;) reject udp any any -> $HOME_NET 80 (msg:"phat hien tan cong ICMP DDos";sid:10000007;classtype:attempted-dos;rev:1; detection_filter:track by_dst, count 100, seconds 3;) TIEU LUAN MOI download : skknchat123@gmail.com 43 Snort  Thêm đường dẫn vào file config sau cập nhật config lệnh ldconfig Hình 66 Thêm đường dẫn file rule vào file config  Thực cơng: Tấn cơng gói ICMP Hình 67 Tấn cơng gói ICMP 44 Snort Thực bật snort với câu lệnh sau: sudo snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q Hình 68 Các thơng báo lên hình Bật wireshark xem phân tích gói tin: Hình 69 Ban đầu gói tin gửi đến thuận lợi 45 Snort Hình 70 Sau gói tin gửi bị từ chối gián đoạn Các gói tin cơng khơng bị từ chối hết mà bị từ chối phần 46 Snort Tấn cơng gói TCP sử dụng random source sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 flood rand-source faster c 2000  Hình 71 Câu lệnh cơng Sử dụng snort với câu lệnh để phát ddos: snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q Hình 72 Các thơng báo công hiển thị 47 Snort Tiến hành phân tích gói tin wireshark Hình 73 Các gói tin gửi đến với nhiều ip khác Kết :Snort chưa ngăn chặn với ip sources khác 48 Snort So sánh rule tự tạo rule Snort Rules tự viết: Rules tự viết thường có phần Header Options Rules tự tạo thay đổi SID tùy ý, SID thường số lớn để tránh trường hợp SID trùng vs SID rules có sẵn Rules tự tạo thường phần Options viết chung cho tất trường hợp (VD: DDOS có nhiều loại DDOS khác rules tự tạo viết option áp dụng chung cho trường hợp DDOS đó) Ta thay đổi dễ dàng với nhiều option khác nhau, giá trị tham số khác Rules community Bộ rules Talos có cấu trúc GID:SID Default rule state message, khơng có phần header cụ thể khơng hiển thị options Talos rule biên dịch sẵn(pre-compiled rules) viết ngôn ngữ C, chúng mã hóa để đảm bảo ổn định, khơng bị xáo trộn với Bộ rules emerging có cấu trúc tương tự rules tự tạo header options Rules talos rules emerging thường có SID thường gán cố định Rules emerging phân tích chi tiết rules tự tạo (1 header có nhiều options cho nhiều trường hợp) Các rule community viết để thực phát với CVE cụ thể 49 Snort TÀI LIỆU THAM KHẢO: [1] The Snort Team (2012), Snort® User Manual 2.9.3, The Snort Project [2] https://www.snort.org/ [3] https://github.com/hocchudong/ghichep-IDS-IPS-SIEM [4] https://www.rokasecurity.com/ids-vs-ips/ [5] Snort as IPS with afpacket (Snort inline mode) on Ubuntu 16.04 LTS - Ashok Dewan [6] https://forum.netgate.com/ [7] http://baomatmang.net/snort-la-gi-cau-truc-cua-snort/ [8] https://www.thomaslaurenson.com/blog/2018-07-12/installing-and- configuring-DVWA/ Hết 50 ... /etc /snort/ so_rules chmod -R 5775 /usr/local/lib /snort_ dynamicrules  Chuyển quyền chown -R snort: snort /etc /snort chown -R snort: snort /var/log /snort chown -R snort: snort /usr/local/lib /snort_ dynamicrules... Bật snort hiển thị thông báo : snort -A console -q -u snort -g snort -c /etc /snort/ snort.conf -i ens38 Hình 58 Thơng tin cơng ddos hiển thị 37 Snort  Bật snort lưu log: snort -l /var/log /snort/ archived_logs... mục /etc /snort cd ~ /snort_ src /snort- 2.9.18.1/etc/ cp *.conf* /etc /snort cp *.map /etc /snort cp *.dtd /etc /snort cd~ /snort_ src /snort- 2.9.18.1/src/dynamicpreprocessors/build/usr/local/lib /snort_ dynamicpreprocessor/