Đang tải... (xem toàn văn)
Sử dụng polar proxy để giải mã gói tin https và xây dựng rule cho suricata Hiện nay, Internet và các dịch vụ số đang ngày càng bùng nổ và có những bước phát triển vượt bậc. Tính đến tháng 1 năm 2021, có khoảng 4,66 tỷ người trên thế giới đang sử dụng Internet cũng như các dịch vụ được cung cấp trực tuyến thông qua Internet nhờ vào sự thân thiện khi sử dụng và khả năng tiếp cận dễ dàng mọi lúc, mọi nơi. Vì vậy, hầu hết các tổ chức hay các đơn vị cung cấp dịch vụ như các công ty, doanh nghiệp, ngân hàng, chính phủ, giáo dục, y tế, … đều muốn cung cấp dịch vụ của mình cho các bên liên quan thông qua các hệ thống trực tuyến. Tuy nhiên, bên cạnh sự tiện lợi, các hệ thống trực tuyến cũng phải đối mặt với mối nguy rất lớn từ các cuộc tấn công mạng. Trong thế giới hiện đại ngày nay, việc bảo vệ thông tin là vô cùng quan trọng. HTTPS (Hypertext Transfer Protocol Secure) là một giao thức mạng an toàn được sử dụng để bảo vệ thông tin giữa trình duyệt web của người dùng và máy chủ web. Trong những năm gần đây, HTTPS đã trở thành tiêu chuẩn bảo mật trên web, đặc biệt là trong thời đại của các cuộc tấn công mạng ngày càng phổ biến. Với sự gia tăng của các cuộc tấn công mạng và việc tấn công các trang web, việc sử dụng HTTPS là một yêu cầu tối thiểu để đảm bảo an toàn thông tin của người dùng trên mạng. Tuy nhiên, việc triển khai HTTPS có thể đôi khi gây ra một số bất tiện, như tốc độ tải trang chậm hơn hoặc chi phí phát sinh cho việc mua chứng chỉ SSL. Trong báo cáo này sẽ trình bày kết quả tìm hiểu về Sử dụng Polar Proxy để giải mã gói tin HTTPS và xây dựng rule cho Suricata. Báo cáo chia làm 3 phần. Trong đó: Phần 1: Tổng quan về Suricata. Phần 2: Giới thiệu về HTTPS. Phần 3: Tổng quan về công cụ Polar Proxy. Phần 4: Xây dựng rule cho Suricata để phân tích gói tin pcap.
TÊN ĐỀ TÀI: Sử dụng Polar Proxy để giải mã gói tin HTTPS xây dựng rule cho Suricata MỤC LỤC LỜI NÓI ĐẦU A Cơ sở lý thuyết Tổng quan Suricata Giới thiệu HTTPS 2.1 Tổng quan 2.2 SSL / TLS Tổng quan công cụ Polar Proxy .9 3.1 Giới thiệu 3.2 Khả PolarProxy .9 3.3 Các cách hoạt động PolarProxy Sử dụng Suricata để phân tích gói tin pcap .17 B Thực Demo 20 Mục đích thực .20 Sơ đồ mạng 20 Các bước thực .21 3.1 Xây dựng máy ảo 21 3.2 Cấu hình Gateway 22 3.3 Thiết lập rule để phát mã độc .23 3.4 Phân tích file PCAP 24 3.5 Sử dụng công cụ ELK để hiển thị cảnh báo .26 KẾT LUẬN 28 DANH MỤC HÌNH ẢNH 29 TÀI LIỆU THAM KHẢO 30 NHÓM LỜI NÓI ĐẦU Hiện nay, Internet dịch vụ số ngày bùng nổ có bước phát triển vượt bậc Tính đến tháng năm 2021, có khoảng 4,66 tỷ người giới sử dụng Internet dịch vụ cung cấp trực tuyến thông qua Internet nhờ vào thân thiện sử dụng khả tiếp cận dễ dàng lúc, nơi Vì vậy, hầu hết tổ chức hay đơn vị cung cấp dịch vụ cơng ty, doanh nghiệp, ngân hàng, phủ, giáo dục, y tế, … muốn cung cấp dịch vụ cho bên liên quan thơng qua hệ thống trực tuyến Tuy nhiên, bên cạnh tiện lợi, hệ thống trực tuyến phải đối mặt với mối nguy lớn từ công mạng Trong giới đại ngày nay, việc bảo vệ thông tin vô quan trọng HTTPS (Hypertext Transfer Protocol Secure) giao thức mạng an toàn sử dụng để bảo vệ thơng tin trình duyệt web người dùng máy chủ web Trong năm gần đây, HTTPS trở thành tiêu chuẩn bảo mật web, đặc biệt thời đại công mạng ngày phổ biến Với gia tăng công mạng việc công trang web, việc sử dụng HTTPS yêu cầu tối thiểu để đảm bảo an tồn thơng tin người dùng mạng Tuy nhiên, việc triển khai HTTPS đơi gây số bất tiện, tốc độ tải trang chậm chi phí phát sinh cho việc mua chứng SSL Trong báo cáo này, em trình bày kết tìm hiểu Sử dụng Polar Proxy để giải mã gói tin HTTPS xây dựng rule cho Suricata Báo cáo em chia làm phần Trong đó: - Phần 1: Tổng quan Suricata Phần 2: Giới thiệu HTTPS Phần 3: Tổng quan công cụ Polar Proxy Phần 4: Xây dựng rule cho Suricata để phân tích gói tin pcap Trong q trình tìm hiểu khơng thể tránh khỏi thiếu sót Mong thầy góp ý để em hồn thiện báo cáo cách tốt Em xin chân thành cảm ơn thầy! NHÓM A CƠ SỞ LÝ THUYẾT TỔNG QUAN VỀ SURICATA Suricata công cụ phát ngăn chặn xâm nhập (Intrusion Detection and Prevention System - IDS/IPS) mã nguồn mở sử dụng rộng rãi lĩnh vực bảo mật mạng Suricata có khả phát cơng mạng chặn chúng trước chúng gây hậu nghiêm trọng cho hệ thống Suricata phát triển nhóm chuyên gia bảo mật mạng (Open Information Security Foundation), đặc biệt phát ngăn chặn công mạng Công cụ viết ngơn ngữ lập trình C hỗ trợ nhiều tảng, bao gồm Linux, FreeBSD, MacOS, Windows Dựa tính phát ngăn chặn xâm nhập mạnh mẽ, Suricata sử dụng rộng rãi nhiều lĩnh vực khác nhau, bao gồm bảo mật mạng, giám sát mạng, nghiên cứu an ninh nhiều lĩnh vực khác Một đặc tính quan trọng Suricata khả xử lý lưu lượng mạng lớn tăng tốc phân tích với việc sử dụng nhiều luồng Với khả này, Suricata xử lý lưu lượng mạng đa dạng phát công mạng chúng bắt đầu xảy Suricata có nhiều tính tiên tiến để phát công mạng phát công mạng zero-day, phát chặn công từ mạng lưới botnet, phát công từ máy chủ Command and Control, hỗ trợ nhiều chuẩn giao thức HTTP, SMTP, DNS, FTP Công cụ có khả tích hợp với phần mềm hệ thống khác snort, ossec syslog, để thu thập liệu phân tích kiện an ninh hệ thống Ngoài ra, Suricata hỗ trợ chức tiên tiến chế độ thích ứng, giúp tự động thích nghi với môi trường mạng phức tạp cơng NHĨM mạng Điều giúp người dùng tăng cường khả phát ngăn chặn cơng mạng độc hại Suricata cịn cho phép tùy chỉnh luật để phát ngăn chặn công mạng theo nhu cầu người sử dụng GIỚI THIỆU VỀ HTTPS 2.1 Tổng quan HTTPS (Hypertext Transfer Protocol Security) phần mở rộng Hypertext Transfer Protocol (HTTP), sử dụng để giao tiếp qua mạng máy tính sử dụng rộng rãi internet Trong HTTPS, giao thức truyền thơng mã hóa Transport Layer Security (TLS) hay trước Secure Sockets Layer (SSL) HTTPS sử dụng để xác thực trang web truy cập bảo vệ quyền riêng tư tính tồn vẹn liệu trao đổi truyền HTTPS sử dụng cổng 443 theo mặc định, HTTP sử dụng cổng 80 theo mặc định HTTPS khác với HTTP HTTP khơng mã hóa dễ bị công Man in the middle để nghe trộm, truy cập trái phép tài nguyên nhạy cảm, đồng thời sửa đổi gói tin để đưa phần mềm mã độc quảng cáo, HTTPS thiết kế để chống lại công coi an toàn trước chúng Bảo mật HTTPS TLS, thường sử dụng khóa cơng khai khóa riêng dài hạn để tạo khóa phiên ngắn hạn, khóa sau sử dụng để mã hóa luồng liệu máy khách mà máy chủ Để chuẩn bị máy chủ web chấp nhận kết nối HTTPS, quản trị viên phải tạo chứng khóa cơng khai cho máy chủ web Chứng phải ký tổ chức phát hành chứng đáng tin cậy để trình duyệt web chấp nhận mà khơng cần cảnh báo - Root Certificates chứng gốc (cao nhất) tạo quan chứng nhận Certificate Authority (CA) nhúng vào ứng dụng phần mềm NHÓM - Chứng SSL (SSL Certificate) loại Chứng số phổ biến Chúng liên kết chi tiết quyền sở hữu máy chủ web (và web) với khóa mật mã (cryto key) Các khóa sử dụng giao thức SSL/TLS Chúng có tác dụng kích hoạt phiên bảo mật trình duyệt máy chủ web SSL Để trình duyệt tin cậy SSL thiết lập SSL/TLS session mà không bị cảnh báo bảo mật, SSL phải chứa domain name trang web sử dụng (được cấp CA hạn) 2.2 SSL / TLS SSL viết tắt từ Secure Sockets Layer SSL tiêu chuẩn cơng nghệ bảo mật, truyền thơng mã hóa máy chủ Web server trình duyệt Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư toàn vẹn TLS (Bảo vệ tầng vận chuyển) giao thức mật mã cung cấp bảo mật đầu cuối cho liệu gửi ứng dụng qua internet TLS biết chủ yếu thông qua việc sử dụng duyệt web an toàn với chuẩn HTTPS đặc biệt biểu tượng ổ khóa xuất trình duyệt web phiên truy cập bảo mật thiết lập TLS bảo mật thông tin liên lạc cách sử dụng sở hạ tầng khóa cơng khai bất đối xứng để khởi tạo kết nối client – server sau sử dụng khóa đối xứng để mã hóa phần lại phiên truyền liệu Cơ chế hoạt động TLS: Khởi tạo kết nối: Trong trình khởi tạo kết nối, hai bên kết nối trao đổi thông tin phiên TLS, thuật tốn mã hóa chứng bảo mật NHÓM Xác thực chứng chỉ: Sau hai bên trao đổi thông tin bản, máy chủ gửi chứng bảo mật đến máy tính người dùng Máy tính người dùng kiểm tra chứng cách sử dụng chứng tổ chức xác thực lưu trữ hệ thống Nếu chứng xác thực, kết nối tiếp tục Nếu không, kết nối bị ngắt Mã hóa liệu: Sau chứng xác thực, hai bên sử dụng private key để mã hóa liệu trước gửi Những khóa tạo từ q trình trao đổi thông tin ban đầu khác hai bên Khi liệu gửi đi, mã hóa khóa người nhận liệu giải mã khóa bí mật họ Nhờ việc mã hóa liệu, người dùng yên tâm liệu họ không bị truy cập khác người nhận liệu Gửi liệu: Sau liệu mã hóa, gửi an tồn qua mạng Nếu có khác cố gắng truy cập liệu này, họ đọc nội dung mã hóa khóa bí mật khác Giải mã liệu: Khi liệu đến người nhận, giải mã khóa bí mật người nhận để trở thành liệu đọc Sau đó, người nhận sử dụng liệu để thực thao tác cần thiết NHÓM TỔNG QUAN VỀ CÔNG CỤ POLAR PROXY 3.1 Giới thiệu PolarProxy proxy SSL/TLS suốt tạo cho người ứng phó cố, nhà phân tích phần mềm độc hại nhà nghiên cứu bảo mật PolarProxy giải mã mã hóa lại lưu lượng TLS, đồng thời lưu lưu lượng giải mã tệp PCAP tải vào Wireshark hệ thống phát xâm nhập (IDS) 3.2 Khả PolarProxy Tạo quản lý proxy server SOCKS5: PolarProxy cho phép người dùng tạo quản lý proxy server vị trí địa lý khác tồn cầu để truy cập trang web dịch vụ trực tuyến mà không bị giới hạn địa lý kiểm duyệt nội dung Proxy SSL/TLS suốt: PolarProxy giải mã mã hóa lại lưu lượng TLS, cho phép người dùng xem nội dung gói liệu giải mã để phát phân tích hoạt động độc hại mạng Hỗ trợ tệp PCAP: PolarProxy cho phép lưu lượng giải mã lưu trữ tệp PCAP, tải vào cơng cụ phân tích mạng phổ biến Wireshark hệ thống phát xâm nhập (IDS) để phân tích phát hoạt động độc hại Bảo mật: PolarProxy cung cấp tính bảo mật mã hóa liệu chặn kết nối khơng an tồn, giúp người dùng truy cập tài nguyên mạng cách an toàn riêng tư Hỗ trợ nhiều tảng: PolarProxy chạy nhiều tảng, bao gồm Windows, macOS Linux, cung cấp cho người dùng linh hoạt việc triển khai sử dụng công cụ hệ thống khác 3.3 Các cách hoạt động PolarProxy 3.3.1 Transparent Forward Proxy NHÓM PolarProxy kết nối với máy chủ TLS bên thay mặt cho máy khách mạng Chế độ thường sử dụng để chặn giám sát lưu lượng HTTPS mã hóa khác từ máy khách Hình Chế độ Transparent Forward Proxy Khi client gửi yêu cầu truy cập trang web bảo mật (HTTPS), yêu cầu chuyển đến PolarProxy thay trực tiếp đến máy chủ Sau đó, PolarProxy thực bước sau: PolarProxy tiếp nhận yêu cầu từ client thực kết nối đến máy chủ TLS bên PolarProxy giả vờ client yêu cầu kết nối đến máy chủ bảo mật Sau kết nối thành cơng, thơng tin mã hóa giải mã PolarProxy PolarProxy thực việc giải mã, phân tích theo dõi lưu lượng liệu client máy chủ bảo mật mạng Nếu có yêu cầu từ client, PolarProxy mã hóa thông tin chuyển tiếp yêu cầu đến máy chủ bảo mật Máy chủ bảo mật trả lại thông tin cho PolarProxy, PolarProxy tiếp tục mã hóa liệu chuyển tiếp kết đến client NHĨM Hình Sơ đồ mạng mơ hình Transparent Forward Proxy Quá trình tiếp diễn client nhận tất liệu yêu cầu, PolarProxy ngừng giám sát chuyển tiếp liệu đến client PolarProxy proxy TLS chuyển tiếp giải mã lưu lượng truy cập TLS đến từ máy khách, mã hóa lại chuyển tiếp đến máy chủ Một tính PolarProxy khả xuất lưu lượng ủy quyền dạng giải mã định dạng PCAP (còn gọi định dạng libpcap/tcpdump) Điều cho phép đọc lưu lượng giải mã cơng cụ bên ngồi mà khơng cần phải thực lại q trình giải mã Nó cho phép phân tích gói cơng cụ khơng hỗ trợ giải mã TLS tích hợp 3.3.2 Reverse Proxy PolarProxy thiết kế để hoạt động Reverse TLS Proxy, điều có nghĩa hoạt động máy chủ trung gian client máy chủ bên trong, sử dụng kết nối TLS để giữ liên lạc an toàn bên Trong chế độ này, PolarProxy chuyển tiếp yêu cầu TLS từ client đến máy chủ bên giải mã gói tin TLS gửi nhận hai bên 10 NHÓM thiếu hỗ trợ xác thực lẫn giao tiếp với ứng dụng web dịch vụ siêu nhỏ mà không cần phải tự xác thực 3.3.6 SOCKS Proxy PolarProxy chạy máy chủ proxy SOCKS cục bộ, mà máy khách sử dụng để truy cập Internet Tất lưu lượng TLS qua máy chủ SOCKS PolarProxy giải mã mã hóa lại cổng Hình Chế độ SOCKS Proxy 3.3.7 HAProxy PolarProxy chạy dạng máy chủ HAProxy cục bộ, sử dụng giao thức PROXY v1 (send-proxy) Hình Chế độ HAProxy 15 NHÓM 3.3.8 HTTP CONNECT Proxy PolarProxy chạy dạng máy chủ proxy HTTP cục bộ, hỗ trợ phương thức yêu cầu CONNECT Lưu lượng TLS qua proxy HTTP CONNECT PolarProxy giải mã mã hóa lại cổng Hình 10 Chế độ HTTP CONNECT Proxy SỬ DỤNG SURICATA ĐỂ PHÂN TÍCH GĨI TIN PCAP Phân tích pcap (Packet Capture) q trình phân tích gói tin mạng lưu trữ tệp pcap Việc phân tích pcap có nhiều ưu điểm so với cách capture đường truyền, bao gồm: - Không ảnh hưởng đến đường truyền: Khi thực phân tích pcap, khơng có gói tin bị ảnh hưởng đến đường truyền, khơng ảnh hưởng đến hoạt động mạng Điều quan trọng môi trường sản xuất, nơi cố q trình capture dẫn đến tình trạng gián đoạn kết nối Khi sử dụng phân tích pcap, nhà quản trị mạng thu thập liệu mạng cách an tồn khơng ảnh hưởng đến hoạt động mạng - Có thể xử lý tệp pcap lớn: Với công cụ phân tích pcap đại, xử lý tệp pcap lớn, chứa hàng triệu gói tin mạng, để phân tích dấu vết, hành vi cơng mạng Điều hữu ích phải phân tích liệu mạng môi trường lớn 16 NHĨM trường hợp cần phân tích chi tiết tình xảy mạng Các cơng cụ phân tích pcap cung cấp tính lọc liệu, giúp nhà phân tích mạng tìm kiếm phân tích liệu quan trọng cách nhanh chóng hiệu - Khả lưu trữ chia sẻ: Các tệp pcap lưu trữ chia sẻ nhà phân tích mạng, giúp họ nghiên cứu, so sánh tìm kiếm dấu vết mạng Các tệp pcap sử dụng chứng trường hợp pháp lý, giúp nhà điều tra chuyên gia pháp y chứng minh hành vi mạng công - Chính xác chi tiết: Với cơng cụ phân tích pcap, nhà phân tích xem chi tiết gói tin mạng, bao gồm trường liệu, giao thức, địa nguồn đích, phân tích xác dấu vết mạng Điều giúp nhà phân tích mạng hiểu rõ cách mạng hoạt động, phát hành vi lạ công mạng - Dễ dàng lưu trữ quản lý: Các tệp pcap lưu trữ quản lý nhiều tảng dễ dàng tìm kiếm cần thiết Điều giúp nhà phân tích mạng dễ dàng truy cập tìm kiếm tệp pcap để phân tích làm việc với liệu mạng 17 NHÓM Hình 11 Đọc gói tin pcap cơng cụ Wireshark Tóm lại, phân tích pcap có nhiều ưu điểm so với cách capture đường truyền, khơng ảnh hưởng đến hoạt động mạng, xử lý tệp pcap lớn, lưu trữ chia sẻ liệu dễ dàng, cung cấp tính lọc liệu phân tích xác dấu vết mạng Các nhà phân tích mạng sử dụng phân tích pcap để giám sát, phát ngăn chặn công mạng, tăng cường bảo mật tăng hiệu hoạt động mạng B THỰC HIỆN DEMO MỤC ĐÍCH THỰC HIỆN Sử dụng cơng cụ Polar Proxy để giải mã gói tin HTTPS, xuất gói tin PCAP để chuyển tiếp cho cơng cụ Suricata phân tích Nếu phát thấy file độc hại truyền đường truyền, Suricata đưa cảnh báo hiển thị cảnh báo Kibana công cụ ELK 18 NHĨM SƠ ĐỒ MẠNG Hình 12 Sơ đồ mạng lab - Máy client (192.168.0.2): dùng để truy cập Internet, tải file độc hại từ Internet - Gateway (192.168.0.1, 10.0.0.1): Gateway dùng để NAT từ mạng nội mạng ngồi, với cơng cụ PolarProxy cài đặt lên Gateway để capture gói tin HTTPS qua Sau xuất kết file PCAP gửi tới Suricata - Suricata (10.0.0.2): Công cụ IDS, dùng để phát gói tin chứa payload độc hại mà máy Client tải từ Internet - ELK (10.0.0.3): Bộ công cụ SIEM gồm thành phần: ElasticSearch, Logstash Kibana Dùng để lưu trữ cảnh báo Suricata, hiển thị giao diện, đồ thị để dễ dàng cho việc quản lý 19 NHÓM CÁC BƯỚC THỰC HIỆN 3.1 Xây dựng máy ảo Máy Client: - Sử dụng Ubuntu 20.04 - NIC enp0s3, dải mạng 192.168.0.0, IP 192.168.0.2 Hình 13 Địa máy Client Máy Gateway: - Sử dụng Ubuntu 20.04 - Mạng nội Client: NIC enp0s3, dải mạng 192.168.0.0, IP 192.168.0.1 - Mạng nội Suricata: NIC enp0s8, dải mạng 10.0.0.0, IP 10.0.0.1 20 NHÓM