TRUNG TÂM ĐÀO TẠO AN NINH MẠNG ATHENA oOo - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP INTRUSION DETECTION AND PREVENTION SYSTEM Thực : Nguyễn Thành Danh Đinh Công Chinh Lớp Security + I Tổng quan IDS/IPS Khái niệm IDS/IPS a Định nghĩa : Intrusion Detection system ( IDS ) hệ thống giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu vi phạm đến quy định bảo mật máy tính, sách sử dụng tiêu chuẩn an tồn thơng tin Các dấu hiệu xuất phát từ nhiều nguyên nhân khác nhau, lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào tài nguyên không phép truy cập v.v Intrusion Prevention system ( IPS ) hệ thống bao gồm chức phát xâm nhập ( Intrusion Detection – ID ) khả ngăn chặn xâm nhập trái phép dựa kết hợp với thành phần khác Antivirus, Firewall sử dụng tính ngăn chặn tích hợp Chức IDS/IPS a Các ứng dụng hệ IDS/IPS : (1) Nhận diện nguy xảy (2) Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy (3) Nhận diện hoạt động thăm dò hệ thống (4) Nhận diện yếu khuyết sách bảo mật (5) Ngăn chặn vi phạm sách bảo mật b Các tính hệ IDS/IPS (1) Lưu giữ thông tin liên quan đến đối tượng quan sát (2) Cảnh báo kiện quan trọng liên quan đến đối tượng quan sát (3) Ngăn chặn công ( IPS ) (4) Xuất báo cáo Kiến trúc hệ IDS/IPS a Các phương pháp nhận diện Các hệ thống IDS/IPS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ tích hợp nhằm mở rộng tăng cường độ xác nhận diện Có thể chia làm phương pháp nhận diện sau: (1) Nhận diện dựa vào dấu hiệu ( Signature-base detection ): sử dụng phương pháp so sánh dấu hiệu đối tượng quan sát với dấu hiệu mối nguy hại biết Phương pháp có hiệu với mối nguy hại biết khơng có hiệu hiệu mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh ( evasion techniques ), biến thể Signature-based theo vết nhận diện trạng thái truyền thông phức tạp (2) Nhận diện bất thường ( Abnormaly-base detection ): so sánh định nghĩa hoạt động bình thường đối tượng quan sát nhằm xác định độ lệch Một hệ IDS/IPS sử dụng phương pháp Anormaly-base detection có profiles đặc trưng cho hành vi coi bình thường, phát triển cách giám sát đặc điểm hoạt động tiêu biểu khoảng thời gian Sau xây dựng tập profile , hệ IDS/IPS sử dụng phương pháp thống kê để so sánh đặc điểm hoạt động với ngưỡng định profile tương ứng để phát bất thường Profile sử dụng phương pháp có loại static dynamic Static profile không thay đổi tái tạo, trở nên khơng xác, cần phải tái tạo định kỳ Dynamic profile tự động điều chỉnh có kiện bổ sung quan sát, điều làm cho trở nên dễ bị ảnh hưởng phép thử dung kỹ thuật giấu ( evasion techniques ) Ưu điểm phương pháp có hiệu việc phát mối nguy hại chưa biết đến Sự khác biệt phương pháp Abnormaly-base Signature-base (3) Phân tích trạng thái giao thức ( Stateful protocol analysis ) : Phân tích trạng thái protocol trình so sánh profile định trước hoạt động giao thức coi bình thường với đối tượng quan sát từ xác định độ lệch Khác với phương pháp Anomaly-base detection, phân tích trạng thái protocol dựa tập profile tổng quát cung cấp nhà sản xuất theo quy định protocol nên làm khơng nên làm "Stateful" phân tích trạng thái protocol có nghĩa IDS/IPS có khả hiểu theo dõi tình trạng mạng, vận chuyển, giao thức ứng dụng có trạng thái Nhược điểm phương pháp chiếm nhiều tài nguyên phức tạp việc phân tích theo dõi nhiều phiên đồng thời Một vấn đề nghiêm trọng phương pháp phân tích trạng thái protocol phát công chúng khơng vi phạm đặc tính tập hành vi chấp nhận giao thức b Cơ sở hạ tầng IDS/IPS Nhiệm vụ hệ thống IDS/IPS phịng thủ máy tính cách phát cơng đẩy lùi Phát vụ công thù địch phụ thuộc vào số lượng loại hành động thích hợp Intrusion detection system activities Cơng tác phịng chống xâm nhập địi hỏi kết hợp tốt lựa chọn "mồi bẫy" nhằm điều tra mối đe dọa, nhiệm vụ chuyển hướng ý kẻ xâm nhập từ hệ thống cần bảo vệ sang hệ thống giả lập nhiệm vụ dạng IDS riêng biệt ( Honeypot IDS ),cả hai hệ thống thực giả lập liên tục giám sát liệu thu được kiểm tra cẩn thận (đây cơng việc hệ IDS/IPS ) để phát cơng (xâm nhập) Một xâm nhập phát hiện, hệ thống IDS/IPS phát cảnh báo đến người quản trị kiện Bước thực hiện, quản trị viên hệ thống IDS/IPS , cách áp dụng biện pháp đối phó (chấm dứt phiên làm việc, lưu hệ thống, định tuyến kết nối đến Honeypot IDS sử dụng sở hạ tầng pháp lý v.v) – tùy thuộc vào sách an ninh tổ chức Intrusion detection system infrastructure Hệ thống IDS/IPS thành phần sách bảo mật Trong số nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập nhiệm vụ Nó hữu ích nghiên cứu giám định cố tiến hành cài đặt patches thích hợp phép phát công tương lai nhắm vào mục tiêu cụ thể c Cấu trúc & kiến trúc hệ IDS/IPS (1) Các thành phần (a) Sensor / Agent : giám sát phân tích hoạt động “Sensor” thường dùng cho dạng Network-base IDS/IPS “Agent” thường dùng cho dạng Host-base IDS/IPS (b) Management Server : thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng số Management Server thực việc phân tích thông tin việc cung cấp Sensor / Agent nhận dạng kiện dù Sensor / Agent đơn lẻ nhận diện (c) Database server : dùng lưu trữ thông tin từ Sensor / Agent hay Management Server (d) Console : chương trình cung cấp giao diện cho IDS/IPS users / Admins Có thể cài đăt máy tính bình thường dùng để phục vụ cho tác vụ quản trị, để giám sát, phân tích (2) Kiến trúc hệ IDS/IPS Sensor yếu tố cốt lõi hệ thống IDS/IPS , mà có trách nhiệm phát xâm nhập nhờ chứa cấu định xâm nhập Sensor nhận liệu thô từ ba nguồn thơng tin : kiến thức ( knowledge base ) IDS, syslog audit trail Các thơng tin tạo sở cho q trình định sau Một ví dụ hệ IDS Chiều rộng mũi tên tỷ lệ thuận với số lượng thông tin di chuyển thành phần hệ thống Sensor tích hợp với thành phần chịu trách nhiệm thu thập liệu - event generator Dựa vào sách tạo kiện xác định chế độ lọc thông tin thông báo kiện Các event generator (hệ điều hành, mạng, ứng dụng) tạo sách quán tập kiện log audit kiện hệ thống, gói tin Điều này, thiết lập với thơng tin sách lưu trữ hệ thống bảo vệ bên Trong trường hợp định, liệu không lưu trữ mà chuyển trực tiếp đến phân tích ( thơng thường áp dụng với gói packet ) Các thành phần hệ IDS/IPS (2) Một ví dụ việc viết chỉnh sửa Snort rule Để viết sửa Snort rule có hiệu kích hoạt với lưu thơng mạng mà ta muốn, việc nghiên cứu phát thuộc tính riêng lưu thơng quan trọng Một thuộc tính chưa đặc tả lưu thơng tập thuộc tính phải đặc tả đầy đủ để phân biệt Ta lấy ví dụ với lưu thơng mạng công Cross-site scripting ( XSS ) Cross-site Scripting kiểu công đến Website cho phép mã độc nhúng vào trang Web tạo động Nếu Website không kiểm tra tác vụ nhập từ người dùng, kẻ cơng chèn đoạn mã làm cho ứng dụng Web hoạt động bất thường XSS thường dùng để đánh cắp cookies ( dùng để xác thực ), truy cập phần không phép truy cập, hay công ứng dụng Web Điểm cơng XSS scripting tag chèn vào trang cụ thể Đây điểm mấu chốt mà ta dùng để viết rule Các tag thường chèn vào , , , Giả sử ta chọn lọc tag Trước tiên ta tạo rule kích hoạt lưu thơng mạng có chứa nội dung : alert tcp any any -> any any (content:””; msg:”WEB-MISC XSS attempt”;) Khi xảy công XSS, rule kích hoạt Tuy nhiên kích hoạt với lưu thơng mạng bình thường người dùng gửi email với JavaScript tạo sai tích cực ( false positive ) Để tránh việc này, ta phải sửa rule kích hoạt với lưu thông Web alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (content:””; msg:”WEB-MISC XSS attempt”;) Thay đổi phát lưu thơng có chứa nội dung liên quan đến phiên HTTP Nó kích hoạt lưu thơng từ mạng ngồi ( $EXTERNAL_NET ) gửi tới máy chủ Web ( $HTTP_SERVERS ) port mà dịch vụ HTTP chạy ( $HTTP_PORTS ) Tuy nhiên, nạp rule này, ta thấy cảnh báo sai tích cực tạo trang yêu cầu có chứa JavaScript Như ta phải tinh chỉnh lại rule tìm kiếm thuộc tính riêng biệt lưu thơng XSS Tấn công XSS xảy người dùng chèn tag yêu cầu gửi đến Server, Server gửi tag phản hồi thường lưu thơng bình thường Như ta tinh chỉnh rule sau : alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”WEBMISC XSS attempt”; flow:to_server,established; content:””;) 31 Ở ta sử dụng từ khóa lựa chọn flow mục TCP-related, dùng khả tái tạo luồng TCP Snort để nhận diện hướng luồng lưu thông option to_server established định rule áp dụng cho phiên kết nối từ người dùng tới Server Đây đặc trưng cơng XSS Như ta có rule nhận diện đặc trưng luồng lưu thông công XSS, để tránh việc kẻ cơng tránh kỹ thuật lẩn tránh ( Evasion techniques ) thay kiểu case-sensitive , , v.v ta dùng thêm từ khóa lựa chọn nocase ( not case-sensitive ) mục Content-related, quy định mức độ ưu tiên : alert $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”WEBMISC XSS attempt”; flow:to_server,established; content:””; nocase; ) Đến việc tạo rule phát cơng XSS hồn tất o00 - V References: Intrusion Detection Systems (IDS) – WindowsSecurity.com Guide to Intrusion Detection and Prevention Systems (IDPS) – US National Institute of Standard and Technology Intrusion Detection with Snort - Jack Koziol Sams Publishing 2003 Managing Security with Snort and IDS Tools – Kerry J Cox & Christopher Gerg O’Reilly 2004 Snort, Snort Inline, SnortSam, SnortCenter, Cerebus, B.A.S.E, Oinkmaster official documents Snort 2.8.4.1 Ubuntu Installation guide – Nick Moore , Jun 2009 , nmoore@sourcefire.com Snort GUIs: A.C.I.D, Snort Center,and Beyond - Mike Poor, mike@digitalguardian.net Various sources over Internet 32 ... References: Intrusion Detection Systems (IDS) – WindowsSecurity.com Guide to Intrusion Detection and Prevention Systems (IDPS) – US National Institute of Standard and Technology Intrusion Detection with... Honeypot IDS sử dụng sở hạ tầng pháp lý v.v) – tùy thuộc vào sách an ninh tổ chức Intrusion detection system infrastructure Hệ thống IDS/ IPS thành phần sách bảo mật Trong số nhiệm vụ IDS khác... Network-base IDS/ IPS “Agent” thường dùng cho dạng Host-base IDS/ IPS (b) Management Server : thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng số Management Server thực việc