Firewalls Tìm hiểu hệ thống phát xâm nhập Snort giải pháp kết hợp Snort với Iptable Giáo viên hướng dẫn: Đinh Tiến Thành Sinh viên thực hiện: Trần Xuân Cương Nguyễn Hiển Hải Lê Khắc Giang Ngô Văn Hùng Company LOGO Jul 22, 2022 Néi Dung 1.Tổng quan IDS/IPS 2.Nghiên cứu ứng dụng SNORT IDS/IPS 3.Cài đặt cấu hình Snort CentOS Kết hợp SNORT với IPTABLES Jul 22, 2022 1.Tổng quan IDS/IPS 1.1 Định nghĩa • Là hệ thống có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi trái phép • Hệ thống IDS thu thập thơng tin từ nhiều nguồn hệ thống tiến hành phân tích 1.2 Các thành phần chức IDS/IPS Jul 22, 2022 Tổng quan IDS/IPS 1.3 Phân loại IDS/IPS 1.3.1 Jul 22, 2022 Network Based IDS (NIDS) 1.3.2 Jul 22, 2022 Host Based IDS (HIDS) Tổng quan IDS/IPS 1.4 Cơ chế hoạt động hệ thống IDS / IPS 1.4.1 Phát lạm dụng Hệ thống phát cách tìm kiếm hành động tương ứng với kỹ thuật biết đến điểm dễ bị công hệ thống 1.4.2 Phát bất thường: dựa việc định nghĩa mơ tả đặc điểm hành vi chấp nhận hệ thống • Phát tĩnh • Phát động Jul 22, 2022 1.4.3 So sánh mơ hình Phát lạm dụng phát Phát lạm dụng Bao gồm: •Cơ sở liệu dấu hiệu cơng •Tìm kiếm so khớp mẫu Sự bất thường Hiệu việc phát dạng công biết, hay biến thể (thay đổi nhỏ) dạng công biết Không phát dạng cơng Dễ cấu hình địi hỏi thu thập liệu, phân tích cập nhật Đưa kết luận dựa vào phép so khớp mẫu (pattern matching) Có thể kích hoạt thông điệp cảnh báo nhờ dấu hiệu chắn, cung cấp liệu hỗ trợ cho dấu hiệu khác Jul 22, 2022 1.5 • • • • • • • Một số sản phẩm IDS/IPS Cisco IDS-4235: hệ thống NIDS có khả theo dõi tồn lưu thơng mạng đối sánh gói tin để phát dấu hiệu xâm nhập ISS Proventia A201: sản phẩm Internet Security Systems Nó không phần cứng hay phần mềm mà hệ thống thiết bị triển khai phân tán mạng Intrusion Protection Appliance: lưu trữ cấu hình mạng, liệu đối sánh Nó phiên Linux với driver thiết bị mạng xây dựng tối ưu Proventia Network Agent: đóng vai trị cảm biến Sensor Bố trí vị trí nhạy SiteProtector: trung tâm điều khiển hệ thống proventia NFR NID-310: NFR sản phẩm NFR Security Gồm nhiều cảm biến thích ứng với nhiều mạng khác SNORT: 1.6So sánh IDS IPS Jul 22, 2022 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.1 Giới thiệu Snort 2.2 Kiến trúc Snort 2.3 Bộ luật Snort 2.4 Chế độ ngăn chặn Snort: Snort - Inline Jul 22, 2022 2.1 Giới thiệu Snort Snort NIDS Martin Roesh phát triển mơ hình mã nguồn mở • Nhiều tính tuyệt vời phát triển theo kiểu module • Cơ sở liệu luật lên đến 2930 luật • Snort hỗ trợ hoạt động giao thức: Ethernet, Token Ring, FDDI, Cisco HDLC SLIP, PPP, PE Open BDS 2.2 Kiến trúc Snort • Modun giải mã gói tin (Packet Decoder) • Modun tiền xử lý (Preprocessors) • Modun phát (Detection Eng) • Modun log cảnh báo (Logging and Alerting System) • Modun kết xuất thơng tin (Output module) • Jul 22, 2022 10 2.2.1 Modun giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống gói ti sau giải mã đưa tiếp vào modun tiền xử lý 2.2.2 Modun tiền xử lý Là modun quan trọng để chuẩn bị gói liệu đưa vào cho modun phát phân tích • nhiệm vụ chính: • Kết hợp gói tin lại: thơng tin truyền khơng đóng gói tồn vào gói tin Snor sau nhận phải thực ghép nối để có liệu ngun dạng • Giải mã chuẩn hóa giao thức: cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức có liệu thể nhiều dạng khác • Phát xâm nhập bất thường: đối phó với xâm nhập khơng thể khó Phát luật thơng thường 2.2.3 Modun phát hiện: • phát dấu hiệu xâm nhập Nó sử dụng luật định nghĩa trước để so sánh vớ liệu thu thập • Có khả tách thành gói tin áp dụng lên phần • Jul 22, 2022 11 2.2.4: Modun log cảnh báo: • Tùy thuộc vào modun phát có nhận dạng hay khơng mà gói tin bị ghi vào log đưa cảnh báo 2.2.5: Modun kết xuất thơng tin • Thực thao tác khác tùy thuộc vào việc bạn muốn lưu kết kết xuất Nó thực nhiều cơng việc: •Ghi log file •Ghi syslog: chuẩn lưu trữ file log •Ghi cảnh báo vào sở liệu •Tạo file log dạng xml •Cấu hình lại Router, Firewall •Gửi cảnh báo gói gói tin sử dụng giao thức SNMP •Gửi thơng điệp SMB Jul 22, 2022 12 2.3 Bộ luật Snort 2.3.1 Giới thiệu • Thông thường công hay xâm nhập để lại dấu hiệu riêng Các thông tin sử dụng để tạo nên luật Snort • Các luật áp dụng cho tất phần khác gói tin • Một luật sử dụng để tạo nên thông điệp cảnh báo, log thơng điệp hay bỏ qua gói tin 2.3.2Cấu trúc luật Snort Jul 22, 2022 13 2.3.2.1 Phần tiêu đề: • Chứa thơng tin hành động mà luật thực • Cấu trúc chung phần header luật Snort Header luật bao gồm phần: • Hành động luật (Rule Action): hành động mà điều kiện luật thỏa mãn Một hành động thực tất điều kiện phù hợp • Pass: hành động hướng dẫn snort bỏ qua gói tin • Log: log gói tin vào file hay sở liệu • Alert: gửi thơng điệp cảnh báo có dấu hiệu xâm nhập • Activate: tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện • • Pro • • • Jul 22, 2022 • Dynamic: luật gọi luật khác có hành động Activate tocols: Chỉ loại gói tin mà luật áp dụng IP ICMP TCP/UDP 14 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.1 Phần tiêu đề • Address: có địa nguồn địa đích Địa địa IP đơn địa mạng Ta dùng từ any để áp luật cho tất địa alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) • Ngăn chặn địa hay loại trừ địa chỉ: sử dụng dấu (!) trước cho Snort khơng kiểm tra gói tin đến từ địa alert icmp • Danh sách địa alert icmp Cổng (Port number): áp dụng luật cho gói tin đến từ cổng hay phạm vi cổng alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”; • Dãy cổng hay phạm vi cổng alert udp any 1024:2048 -> any any (msg: “UDP ports”;) • Hướng – direction: đâu nguồn đâu đích • Jul 22, 2022 15 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn: nằm sau phần Rule Header bao bọc dấu ngoặc đơn Nếu có nhiều option phân cách dấu “,” tùy chọn phải đồng thời thỏa mãn • Từ khóa ack: TCP header trường ack dài 32bit số thứ tự gói tin alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) • Từ khóa classtype: file classification.conf bao gồmtrong file snort.conf Mỗi dịng có cú pháp: config classification: name, description, priority • name: dùng để phân loại, dùng với từ khóa classtype luật • description: mơ tả loại lớp • priority: độ ưu tiên mặc định lớp config classification: DoS , Denial of Service Attack, • Từ khóa contents: khả đặc tả snort tìm mẫu liệu bên Mẫu Dưới dạng chuỗi ASCII, chuỗi nhị phân alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “GET match”;) • Từ khóa dsize: dùng để đối sánh chiều dài phần liệu alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;) Jul 22, 2022 16 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn •Từ khóa flags: phát bit cờ flag bật alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) • Từ khóa fragbits: phần IP header gói tin chứa 3bit dùng để chống phân mảnh • Reserved Bit (RB): dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết lập gói tin khơng bị phân mảnh • More Fragments Bit (MF): bit thiết lập phần khác gói tin đường mà chưa tới đích Nếu bit khơng thiết lập có nghĩa phần cuối gói tin(gói tin nhất) alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) Jul 22, 2022 17 2.4 Chế độ ngăn chặn Snort: Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort: ý tưởng kết hợp khả ngăn chặn Iptables vào Snort Điều thực cách thay đổi modun phát xử lý cho phép Snort tương tác với Iptable Việc chặn bắt gói tin thực thơng qua Netfilter 2.4.2 Những bổ xung cho cấu trúc luật Snort hỗ trợ Inline mode • DROP: u cầu Iptables loại bỏ gói tin ghi lại thông tin hành động Log • SDROP: tương tự DROP không ghi lại Log • REJECT: yêu cầu Iptable từ chối gói tin Iptables loại bỏ gói tin gửi lại thơng báo cho nguồn gửi gó tin Trình tự ưu tiên luật: • Trong phiên gốc: activation->dynamic-> alert->pass->log • Trong inline – mode trình ưu tiên: activation->dynamic->pass->drop->sdrop->reject->alert->log Jul 22, 2022 18 3.CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN NỀN CENTOS.KẾT HỢP SNORT VỚI IPTABLES Mời thầy giáo bạn theo dõi phần demo Jul 22, 2022 19 ... chặn Snort: Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort: ý tưởng kết hợp khả ngăn chặn Iptables vào Snort Điều thực cách thay đổi modun phát xử lý cho phép Snort tương tác với Iptable. .. ứng dụng SNORT IDS/IPS 3.Cài đặt cấu hình Snort CentOS Kết hợp SNORT với IPTABLES Jul 22, 2022 1.Tổng quan IDS/IPS 1.1 Định nghĩa • Là hệ thống có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành... IDS/IPS 1.4 Cơ chế hoạt động hệ thống IDS / IPS 1.4.1 Phát lạm dụng Hệ thống phát cách tìm kiếm hành động tương ứng với kỹ thuật biết đến điểm dễ bị công hệ thống 1.4.2 Phát bất thường: dựa việc