TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***** ĐỒ ÁN MÔN HỌC PHÂN TÍCH VÀ ĐÁNH GIÁ AN TOÀN THÔNG TIN TIM HIỂU VÀ PHÁT TRIỂN HỆ THỐNG (IDS/IPS) ZEEK GVHD Ths TỐNG THANH VĂN GROUP 15 ĐỀ T[.]
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***** ĐỒ ÁN MƠN HỌC PHÂN TÍCH VÀ ĐÁNH GIÁ AN TỒN THƠNG TIN TIM HIỂU VÀ PHÁT TRIỂN HỆ THỐNG (IDS/IPS) ZEEK GVHD: Ths TỐNG THANH VĂN GROUP: 15 ĐỀ TÀI: SVTH: Phạm Văn Lộc Hoa 1711061243 Nguyễn Viết Đăng Long 1711061106 Cao Đăng Quang 1711061151 Tháng 04 – Năm 2021 MỤC LỤC Giới thiệu lịch sử đời IDS/IPS .3 1.1 Giới thiệu: 1.1.1 IDS: 1.1.2 IPS: 1.2 Lịch sử đời: 1.2.1 IDS: 1.2.2 IPS: Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: .5 2.2 Chinh sách IDS: .6 2.3 Kiến trúc hệ thống phát xâm nhập: 2.4 Phân loại hệ thống phát xâm nhập: 2.4.1 Network-based IDS (NIDS): b Hạn chế NIDS: 10 2.4.2 Host-based IDS (HIDS): .11 2.4.3 So sánh NIDS HIDS: 13 Hệ thống ngăn xâm nhập: 15 3.1 Kiến trúc hệ thống ngăn chặn xâm nhập: 15 3.1.1 Module phân tích gói tin: 15 3.1.2 Module phát công: 16 3.1.3 Module phản ứng: 17 3.2 Các kiểu IPS triển khai thực tế: 19 3.2.1 Promiscuous mode IPS: 19 3.2.2 In-line mode IPS: 19 3.3 Công nghệ ngăn chặn xâm nhập IPS: 21 3.3.1 Signature-based IPS: .21 3.3.2 Anomaly-based IPS: 23 3.3.3 Policy-Based IPS: 26 3.3.4 Protocol Analysis-Based IPS: .26 3.4 Lợi IPS: 27 3.5 Bảo vệ hai lần: 28 Kết thực nghiệm: 28 4.1 Chuẩn bị: 29 4.2 : Khái niệm sơ đồ vè Zeek: 29 4.2.1 Cài đặt cấu hình Zeek: 29 4.2.2 Thực vào công cụ: 30 Tổng kết: .33 5.1 Tóm tắt nội dung: 33 5.2 Phần làm thiếu sót: 34 5.2.1 Làm được: .34 5.2.2 Thiếu sót: .34 Trang Giới thiệu lịch sử đời IDS/IPS 1.1 Giới thiệu: 1.1.1 IDS: IDS (Hệ thống phát xâm phạm) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình cơng sưu tập, quét cổng tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thông báo cho quản trị viên mạng khóa kết nối cơng thêm vào cơng cụ IDS phân biệt Trang công bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) 1.1.2 IPS: IPS hệ thống chống xâm nhập (Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP - Intrusion Detection and Prevention 1.2 Lịch sử đời: 1.2.1 IDS: Cách khoảng 25 năm, khái niệm phát xâm nhập xuất qua báo James Anderson người ta cần IDS với mục đích dị tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS/IPS công nghệ an ninh sử dụng nhiều phát triển 1.2.2 IPS: Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu Trang công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ hệ thống phát xâm nhập phân thành hai loại bản: • Hệ thống phát dựa dấu hiệu xâm nhập • Hệ thống phát dấu hiệu bất thường Kẻ cơng có dấu hiệu, giống virus, phát cách sử dụng phần mềm cách tìm liệu gói tin mà có chứa dấu hiệu xâm nhập dị thường biết đến dựa tập hợp dấu hiệu (signatures) qui tắc (rules) Hệ thống phát dị tìm, ghi lại hoạt động đáng ngờ đưa cảnh báo Anomaly-based IDS thường dựa vào phần header giao thức gói tin cho bất thường Trang Trong số trường hợp phương pháp có kết tốt với Signature-based IDS thơng thường IDS bắt lấy gói tin mạng đối chiếu với rule để tìm dấu hiệu bất thường gói tin 2.2 Chinh sách IDS: Trước cài đặt hệ thống IDS lên hệ thống cần phải có sách để phát kẻ cơng cách xử lý phát hoạt động cơng cách chúng phải áp dụng sách cần chứa phần sau (có thể thêm tùy theo yêu cầu hệ thống): • Ai giám sát hệ thống IDS? Tùy thuộc vào IDS, có chế cảnh báo để cung cấp thông tin hành động công Các cảnh báo hình thức văn đơn giản (simple text) chúng dạng phức tạp tích hợp vào hệ thống quản lý mạng tập trung HP Open View My SQL database cần phải có người quản trị để giám sát hoạt động xâm nhập sách cần có người chịu trách nhiệm hoạt động xâm nhập theo dõi thông báo theo thời gian thực cách sử dụng cửa sổ pop-up giao diện web nhà quản trị phải có kiến thức cảnh báo mức độ an tồn hệ thống • Ai điều hành IDS? Như với tất hệ thống IDS cần được bảo trì thường xun • Ai xử lý cố nào? Nếu cố khơng xử lý IDS xem vơ tác dụng • Các báo cáo tạo hiển thị vào cuối ngày cuối tuần cuối tháng • Cập nhật dấu hiệu Các hacker ln tạo kỹ thuật để công hệ thống Các công phát hệ thống IDS dựa dấu hiệu cơng • Các tài liệu cần thiết cho dự án Các sách IDS nên mô tả dạng tài liệu công phát Các tài liệu bao gồm log đơn giản văn Cần phải xây dựng số hình thức để ghi lưu trữ tài liệu Các báo cáo tài liệu Trang 2.3 Kiến trúc hệ thống phát xâm nhập: Kiến trúc hệ thống IDS bao gồm thành phần sau: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection) thành phần phản hồi (response) Trong ba thành phần này, thành phần phân tích gói tin quan trọng cảm biến (sensor) đóng vai trị quan định nên cần phân tích để hiểu rõ kiến trúc hệ thống phát xâm nhập Hình 1-1 Kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu tạo kiện cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng số sách với thơng tin sách lưu hệ thống bảo vệ bên Vai trò cảm biến dùng để lọc thơng tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền Trang thơng với module đáp trả cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa tạo phân tích bước đầu chí đảm trách hành động đáp trả mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS DIDS sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt trang bị phát công phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vị trí vật lý thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu cơng biết hệ số định nói đến nghĩa vụ bảo vệ liên quan đến kiểu công Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số khơng bình thường telnet session bên hệ thống kiểm tra tác nhân có khả đưa cảnh báo phát kiện khả nghi tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể thu nhận ln ln gửi kết hoạt động chúng đến kiểm tra kiểm tra nhận thông tin từ mạng (khơng chủ từ host), điều có nghĩa chúng tương quan với thơng tin phân tán Thêm vào số lọc đưa để chọn lọc thu thập liệu Trang Hình 1-2 Giải pháp kiến trúc đa tác nhân 2.4 Phân loại hệ thống phát xâm nhập: • Có hai loại là: Network-based IDS Host-based IDS 2.4.1 Network-based IDS (NIDS): NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lưu thơng phương tiện truyền dẫn (cables, wireless) cách sử dụng card giao tiếp Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu a Lợi NIDS: • Quản lý phân đoạn mạng (network segment) • Trong suốt với người sử dụng kẻ cơng • Cài đặt bảo trì đơn giản, khơng làm ảnh hưởng đến mạng • Tránh việc bị cơng dịch vụ đến host cụ thể • Có khả xác định lỗi tầng network Trang • Độc lập với hệ điều hành b Hạn chế NIDS: • Có thể xảy trường hợp báo động giả, tức khơng có dấu hiệu bất thường mà IDS báo • Khơng thể phân tích lưu lượng mã hóa SSH, IPSEC, SSL… • NIDS địi hỏi phải ln cập nhật dấu hiệu công để thực hoạt động hiệu • Khơng thể cho biết việc mạng bị cơng có thành cơng hay khơng, để người quản trị tiến hành bảo trì hệ thống • Một hạn chế giới hạn băng thông Những thu thập liệu phải thu thập tất lưu lượng mạng, xếp lại phân tích chúng Khi tốc độ mạng tăng lên khả thu thập thông tin Một giải pháp phải đảm bảo cho mạng thiết kế xác Một cách mà hacker cố gắng che đậy cho hoạt động họ gặp hệ thống IDS phân mảnh liệu gói tin giao thức có kích cỡ gói liệu có hạn, liệu truyền qua mạng truyền qua mạng lớn kích cỡ liệu bị phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu thứ tự xếp không thành vấn đề miễn không bị chồng chéo liệu, cảm biến phải tái hợp lại chúng Hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo cảm biến không phát hoạt động xâm nhập không xếp gói tin lại cách xác Trang 10 Hình 1-3 Network-based IDS 2.4.2 Host-based IDS (HIDS): HIDS hệ thống phát xâm nhập cài đặt máy tính (host) HIDS cài đặt nhiều kiểu máy chủ khác nhau, máy trạm làm việc máy notebook HIDS cho phép thực cách linh hoạt phân đoạn mạng mà NIDS không thực Lưu lượng gửi đến host phân tích chuyển qua host chúng không tiềm ẩn mã nguy hiểm HIDS cụ thể với ứng dụng phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ HIDS giám sát thay đổi hệ thống HIDS bao gồm thành phần chính: • Các tiến trình • Các entry registry • Mức độ sử dụng CPU • Kiểm tra tính tồn vẹn truy cập file hệ thống • Một vài thông số khác Trang 11 • Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống gây cảnh báo a Ưu điểm HIDS • Có khả xác định user hệ thống liên quan đến kiện • HIDS có khả phát công diễn máy, NIDS khơng có khả • Có khả phân tích liệu mã hóa • Cung cấp thông tin host lúc công diễn host b Hạn chế HIDS • Thơng tin từ HIDS khơng cịn đáng tin cậy sau công vào host thành cơng • Khi hệ điều hành bị thỏa hiệp tức HIDS tác dụng • HIDS phải thiết lập host cần giám sát • HIDS khơng có khả phát việc thăm dị mạng (Nmap, Netcat…) • HIDS cần tài ngun host để hoạt động • HIDS khơng phát huy hiệu bị công từ chối dịch vụ DoS • Đa số phát triển hệ điều hành Window Tuy nhiên có số chạy Linux Unix Vì HIDS cần cài đặt máy chủ nên gây khó khăn cho nhà quản trị phải nâng cấp phiên bản, bảo trì phần mềm cấu hình gây nhiều thời gian tạp Thường hệ thống phân tích lưu lượng máy chủ nhận được, cịn lưu lượng chống lại nhóm máy chủ, hành động thăm dị qt cổng chúng không phát huy tác dụng máy chủ bị thỏa hiệp hacker tắt HIDS máy HIDS bị vơ hiệu hóa Do HIDS phải cung cấp đầy đủ khả cảnh báo mơi trường hỗn tạp điều trở thành vấn đề HIDS phải tương thích với nhiều hệ điều hành Do đó, lựa chọn HIDS vấn đề quan trọng Trang 12 Hình 1-4 Host-based IDS 2.4.3 So sánh NIDS HIDS: Bảng 1-1 So sánh, đánh giá NIDS HIDS Chức HIDS Các đánh giá NIDS Cả hai bảo vệ user hoạt động Bảo vệ mạng LAN **** **** mạng LAN Bảo vệ mạng LAN **** - Chỉ có HIDS Tương đương xét bối cảnh quản trị Dễ dàng cho việc quản trị **** **** chung Tính linh hoạt **** ** HIDS hệ thống linh hoạt HIDS hệ thống ưu tiết kiệm Giá thành *** * chọn sản phẩm Trang 13 Dễ dàng việc bổ sung **** **** Cả hai tương đương HIDS yêu cầu việc đào tạo Đào tạo ngắn hạn cần thiết **** ** NIDS Tổng giá thành *** ** HIDS tiêu tốn NIDS sử dụng băng tần LAN rộng, cịn HIDS Băng tần cần u cầu LAN không NIDS cần yêu cầu băng tần mạng Network overhead Băng tần cần yêu Cả hai cần băng tần Internet để cầu (Internet) mạng LAN ** ** cập nhật kịp thời file mẫu NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN bạn quét Các yêu cầu cổng mở rộng Chu kỳ nâng cấp cho client - **** HIDS nâng cấp tất client với file mẫu trung **** - tâm NIDS có khả thích nghi Khả thích nghi ứng dụng ** **** ứng dụng Chỉ HIDS thực kiểu quét Chế độ quét ghi cục **** Cả hai hệ thống đề có chức ghi Bản ghi *** *** Cả hai hệ thống có chức cảnh báo cho cá nhân quản trị viên Chức cảnh báo Quét PAN *** *** **** - Chỉ có HIDS quét vùng mạng cá nhân bạn Trang 14 Loại bỏ gói tin - **** Chỉ tính NIDS có phương thức Cần nhiều kiến thức chuyên môn cài đặt sử dụng NIDS toàn vấn đề bảo mật mạng Kiến thức chuyên môn Quản lý tập trung *** ** **** *** NIDS có hệ số rủi ro nhiều so với HIDS Khả vô hiệu hóa hệ số rủi ro bạn NIDS có chiếm ưu * **** Rõ ràng khả nâng cấp phần mềm dễ phần cứng HIDS nâng cấp thơng qua script tập trung HIDS có khả phát theo nhiều đoạn mạng Các nút phát nhiều đoạn mạng LAN **** ** toàn diện Hệ thống ngăn xâm nhập: 3.1 Kiến trúc hệ thống ngăn chặn xâm nhập: Một hệ thống IPS gồm có module chính: • Module phân tích gói tin • Module phát cơng Tải FULL (34 trang): https://bit.ly/3fQM1u2 Dự phịng: fb.com/KhoTaiLieuAZ • Module phản ứng 3.1.1 Module phân tích gói tin: Module có nhiệm vụ phân tích cấu trúc thơng tin gói tin NIC Card máy tính giám sát đặt chế độ promiscuous mode, tất gói tin qua chúng chép lại chuyển lên lớp Bộ phân tích gói tin đọc thơng tin trường gói tin, xác Trang 15 định chúng thuộc kiểu gói tin gì, dịch vụ gì, sử dụng loại giao thức nào…Các thơng tin chuyển lên module phát công 3.1.2 Module phát công: Đây module quan trọng hệ thống phát xâm nhập, có khả phát cơng Có số phương pháp để phát dấu hiệu xâm nhập kiểu công (signature-based IPS, anomally-based IPS,…) a Phương pháp dò lạm dụng: Tải FULL (34 trang): https://bit.ly/3fQM1u2 Dự phòng: fb.com/KhoTaiLieuAZ Phương pháp phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu công biết trước mẫu công gọi dấu hiệu cơng Do phương pháp cịn gọi phương pháp dò dấu hiệu Phương pháp có ưu điểm phát cơng nhanh xác khơng đưa cảnh báo sai dẫn đến làm giảm khả hoạt động mạng giúp cho người quản trị xác định lỗ hổng bảo mật hệ thống minh nhiên, phương pháp có nhược điểm khơng phát cơng khơng có sở liệu, kiểu công mới, hệ thống phải luôn cập nhật kiểu cơng b Phương pháp dị khơng bình thường: Đây kỹ thuật dị thơng minh, nhận dạng hành động khơng bình thường mạng quan niệm phương pháp công khác với hoạt động bình thường Ban đầu chúng lưu trữ mô tả sơ lược hoạt động bình thường hệ thống cơng có hành động khác so với bình thường phương pháp nhận dạng Có số kỹ thuật dị khơng bình thường công c Phát mức ngưỡng: Kỹ thuật nhấn mạnh việc đo đếm hoạt động bình thường mạng mức ngưỡng hoạt động bình thường đặt Nếu có bất thường đó, ví dụ đăng nhập vào hệ thống số lần qui định, số lượng tiến trình hoạt động CPU, số lượng loại gói tin gửi q mức…Thì hệ thống cho có dấu hiệu cơng d Phát nhờ trình tự học: Trang 16 Kỹ thuật bao gồm bước bắt đầu thiết lập hệ thống phát công chạy chế độ tự họ tạo hồ sơ cách cư xử mạng với hoạt động bình thường sau thời gian khởi tạo, hệ thống chạy chế độ làm việc, tiến hành theo dõi, phát hoạt động bất thường mạng cách so sánh với hồ sơ tạo Chế độ tự học chạy song song với chế độ làm việc để cập nhật hồ sơ dị dấu hiệu cơng chế độ tự học phải ngừng lại công kết thúc e Phát khơng bình thường giao thức: Kỹ thuật vào hoạt động giao thức, dịch vụ hệ thống để tìm gói tin khơng hợp lệ, hoạt động bất thường vốn dấu hiệu xâm nhập Kỹ thuật hiệu việc ngăn chặn hình thức quét mạng, quét cổng để thu thập thơng tin hệ thống hacker Phương pháp dị khơng bình thường hệ thống hữu hiệu việc phát kiểu công từ chối dịch vụ DoS Ưu điểm phương pháp phát kiểu cơng mới, cung cấp thơng tin hữu ích bổ sung cho phương pháp dị lạm dụng Tuy nhiên, chúng có nhược điểm thường gây cảnh báo sai làm giảm hiệu suất hoạt động mạng 3.1.3 Module phản ứng: Khi có dấu hiệu cơng xâm nhập, module phát cơng gửi tín hiệu báo hiệu có cơng xâm nhập đến module phản ứng lúc module phản ứng kích hoạt firewall thực chức ngăn chặn công module này, đưa cảnh báo tới người quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Module phản ứng tùy theo hệ thống mà có chức khác Dưới số kỹ thuật ngăn chặn: • Terminate session: Cơ chế kỹ thuật hệ thống IPS gửi gói tin reset, thiết lập lại giao tiếp tới client server Kết giao tiếp bắt đầu lại, mục đích hacker không đạt được, công bị ngừng lại Tuy nhiên phương pháp có số nhược điểm Trang 17 7972673 ... cũ Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ hệ thống phát xâm nhập phân thành hai loại bản: • Hệ. .. Giới thiệu: 1.1.1 IDS: IDS (Hệ thống phát xâm phạm) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình... Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: .5 2.2 Chinh sách IDS: .6 2.3 Kiến trúc hệ thống phát xâm nhập: 2.4 Phân loại hệ thống phát