1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Thực tập cơ sở báo cáo bài thực hành số 6 cài đặt, cấu hình hids nids

19 26 0
Thực tập cơ sở báo cáo bài thực hành số 6 cài đặt, cấu hình hids nids

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN HỌC PHẦN: THỰC TẬP CƠ SỞ  BÁO CÁO BÀI THỰC HÀNH SỐ 6: Cài đặt, cấu hình HIDS/NIDS Họ tên sinh viên: Chu Văn Phúc Mã số sinh viên: B20DCAT140 Lớp: D20CQAT04-B Họ tên giảng viên: Nguyễn Ngọc Điệp Hà Nội: 03/2023 Mục lục Mục đích: 2 Nội dung thực hành: 2.1 Tìm hiểu lý thuyết: a) Tìm hiểu khái quát hệ thống phát công, xâm nhập, phân loại hệ thống phát xâm nhập, kỹ thuật phát xâm nhập: b) Tìm hiểu kiến trúc tính số hệ thống phát công, xâm nhập, như: Snort, Suricata, Zeek, OSSEC, Wazuh 2.2 Một số tài liệu tham khảo: 2.3 Chuẩn bị môi trường công cụ: 2.4 Các bước thực hiện: Bước 1: Chuẩn bị máy tính mơ tả mục 2.2 Máy Kali Linux đổi tên thành -Kali máy cài Snort thành -Snort Các máy có địa IP kết nối mạng LAN.8  Bước 2: Tải, cài đặt Snort chạy thử Snort Kiểm tra log Snort để đảm bảo Snort hoạt động bình thường 11  Bước 3: Tạo luật Snort để phát dạng rà quét, công hệ thống file /etc/snort/rules/local.rules: 12   Bước 4: thực thi công phát sử dụng Snort: .14 2.5 Kết cần đạt: 18 1 Mục đích: Luyện tập việc cài đặt vận hành hệ thống phát xâm nhập cho host (HIDS) cho mạng (NIDS) Luyện tập việc tạo chỉnh sửa luật phát công, xâm nhập cho hệ thống phát xâm nhập thơng dụng Nội dung thực hành: 2.1 Tìm hiểu lý thuyết: a) Tìm hiểu khái quát hệ thống phát công, xâm nhập, phân loại hệ thống phát xâm nhập, kỹ thuật phát xâm nhập:    Khái quát: Các hệ thống phát hiện, ngăn chặn công, xâm nhập (IDS/IPS) lớp phòng vệ quan trọng lớp giải pháp đảm bảo an toàn cho hệ thống thơng tin mạng theo mơ hình phịng thủ có chiều sâu (defence in depth) IDS (Intrusion Detection System) hệ thống phát công, xâm nhập IPS (Intrusion Prevention System) hệ thống ngăn chặn công, xâm nhập Các hệ thống IDS/IPS đặt trước sau tường lửa mơ hình mạng, tùy theo mục đích sử dụng Hình 5.18 cung cấp vị trí hệ thống IDS IPS sơ đồ mạng, IDS thường kết nối vào switch phía sau tường lửa, cịn IPS ghép vào đường truyền từ cổng mạng, phía sau tường lửa o  Nhiệm vụ hệ thống IDS/IPS bao gồm: Giám sát lưu lượng mạng hành vi hệ thống để nhận dạng dấu hiệu công, xâm nhập  Khi phát hành vi cơng, xâm nhập, ghi logs hành vi cho phân tích bổ sung sau  Ngăn chặn dừng hành vi công, xâm nhập Gửi thông báo cho người quản trị các hành vi công, xâm nhập phát o Về IPS IDS giống chức giám sát lưu lượng mạng kiện hệ thống Tuy nhiên, IPS thường đặt đường truyền thơng chủ động ngăn chặn công, xâm nhập bị phát Trong đó, IDS thường kết nối vào  bộ định tuyến, switch, card mạng chủ yếu làm nhiệm vụ giám sát cảnh bảo, khơng có khả chủ động ngăn chặn công, xâm nhập Phân loại:     Có phương pháp phân loại hệ thống IDS IPS, gồm (1)  phân loại theo nguồn liệu (2) phân loại theo phương pháp phân tích liệu Theo nguồn liệu, có loại hệ thống phát xâm nhập: Hệ thống phát xâm nhập mạng (NIDS – Network-based IDS):  NIDS phân tích lưu lượng mạng để phát công, xâm nhập cho mạng phần mạng Hệ thống phát xâm nhập cho host (HIDS – Host-based IDS): HIDS phân tích kiện xảy hệ thống/dịch vụ để phát cơng, xâm nhập cho hệ thống Hình 5.20 minh họa sơ đồ mạng, sử dụng NIDS để giám sát lưu lượng cổng mạng HIDS để giám sát host thông qua IDS agent Một trạm quản lý (Management station) thiết lập để thu nhập thông tin từ NIDS HIDS để xử lý đưa định cuối o Theo phương pháp phân tích liệu, có kỹ thuật phân tích chính, gồm (1) phát xâm nhập dựa chữ ký, phát lạm dụng (Signature-based / misuse intrusion detection) (2) phát xâm nhập dựa bất thường (Anomaly intrusion detection) b) Tìm hiểu kiến trúc tính số hệ thống phát công, xâm nhập, như: Snort, Suricata, Zeek, OSSEC, Wazuh Phát xâm nhập dựa chữ ký: o Phát xâm nhập dựa chữ ký trước hết cần xây dựng sở liệu chữ ký, dấu hiệu loại công, xâm nhập o     biết Hầu hết chữ ký, dấu hiệu nhận dạng mã hóa thủ cơng dạng biểu diễn thường gặp luật phát (Detection rule) o Bước sử dụng sở liệu chữ ký để giám sát hành vi hệ thống, mạng, cảnh báo phát chữ ký công, xâm nhập Ưu điểm lớn phát xâm nhập dựa chữ ký có khả phát công, xâm nhập biết cách hiệu Ngoài ra, phương pháp cho tốc độ xử lý cao, đồng thời u cầu tài ngun tính tốn tương đối thấp Nhờ vậy, hệ thống phát xâm nhập dựa chữ ký ứng dụng rộng rãi thực tế Tuy nhiên, nhược điểm phương pháp khơng có khả phát công, xâm nhập mới, chữ ký chúng chưa tồn sở liệu chữ ký Hơn nữa, địi hỏi nhiều cơng sức xây dựng cập nhật sở liệu chữ ký, dấu hiệu công, xâm nhập o Phát xâm nhập dựa bất thường dựa giả thiết: hành vi công, xâm nhập thường có quan hệ chặt chẽ với hành vi bất thường Quá trình xây dựng triển khai hệ thống phát xâm nhập dựa bất thường gồm giai đoạn: (1) huấn luyện (2) phát Trong giai đoạn huấn luyện, hồ sơ (profile) đối tượng chế độ làm việc bình thường xây dựng Để thực giai đoạn huấn luyện này, cần giám sát đối tượng khoảng thời gian đủ dài để thu thập đầy đủ liệu mô tả hành vi đối tượng điều kiện bình thường làm liệu huấn luyện Tiếp theo, thực huấn luyện liệu để xây dựng mô hình phát hiện, hay hồ sơ đối tượng Trong giai đoạn phát hiện, thực giám sát hành vi hệ thống cảnh báo có khác biệt rõ nét hành vi hành vi lưu hồ sơ đối tượng o Ưu điểm phát xâm nhập dựa bất thường có tiềm  phát loại công, xâm nhập mà không yêu cầu biết trước thông tin chúng Tuy nhiên, phương pháp có tỷ lệ cảnh báo sai tương đối cao so với phương pháp phát dựa chữ ký Điều làm giảm khả ứng dụng thực tế phát xâm nhập dựa  bất thường Ngoài ra, tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng phân tích hành vi Snort: Snort phần mềm IDS phát triển Martin Roesh dạng mã nguồn mở Snort ban đầu xây dựng Unix sau  phát triển sang tảng khác Snort đánh giá cao khả  phát xâm nhập Tuy snort miễn phí lại có nhiều tính tuyệt vời Với kiến trúc kiểu module, người dùng tự tăng cường tính cho hệ thống Snort Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, Solaris … Bên cạnh việc hoạt động ứng dụng bắt gói tin thơng thường, Snort cịn cấu hình để chạy NIDS o Kiến trúc Snort: Snort bao gồm modul Module giải mã gói tin Module tiền xử lý Module phát Module log cảnh báo Module kết xuất thông tin      o Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn Module giải mã gói tin: Module giải mã gói tin bắt gói tin mạng lưu thơng qua hệ thống Bắt gói liệu tầng network (Ethernet, SLIP, PPP….) Một gói tin sau giải mã đưa tiếp vào module tiền xử lý Module tiền xử lý: Thực nhiệm vụ Kết hợp lại gói tin: Khi liệu lớn gửi đi, thông tin khơng đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Agent hiểu phiên làm việc khác Giải mã chuẩn hóa giao thức (decode/normalize): cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra   o giao thức có liệu biểu diễn nhiều dạng khác Phát xâm nhập bất thường (nonrule/anormal): xử lý xâm nhập khơng thể khó phát luật thông thường o Module phát hiện: Đây module quan trọng nhất, chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay không Một vấn đề quan trọng module phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Khi lưu lượng mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý module phát phụ thuộc vào nhiều yếu tố: số lượng luật, tốc độ hệ thống, băng thông mạng Một module phát có khả tách phần gói tin áp dụng luật lên phần gói tin: + IP header + Header tầng transport: TCP, UDP + Header tầng application: DNS, HTTP, FTP … + Phần tải gói tin o Module log cảnh báo: Tùy thuộc vào module phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log hay đưa cảnh  báo Các file log file liệu ghi nhiều định dạng khác Suricata:  Suricata giải pháp IDS/IPS mã nguồn mở hiệu cho hệ thống mạng chưa đầu tư giải pháp IDS/IPS thương mại Nó xây dựng từ thành phần khác khả hoạt động tùy thuộc vào cách thức cấu hình, cài đặt cho hệ thống Ở chế độ mặc định xem chế hoạt động tương đối tối ưu cho việc phát dạng công mạng Zeek:  Zeek trình bày cơng cụ để hỗ trợ quản lý ứng phó cố an ninh Nó hoạt động cách bổ sung dựa chữ ký cơng cụ để tìm theo dõi kiện mạng phức tạp Nó đặc trưng cách cung cấp phản hồi nhanh, việc sử dụng nhiều luồng giao thức Nó khơng giúp xác định kiện bảo mật, mà cịn nhằm mục đích tạo điều kiện khắc phục cố OSSEC: OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều cơ  chế bảo mật khác OSSEC phát xâm nhập chữ ký    dấu hiệu bất thường Các dấu hiệu bình thường bất thường mô tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính tồn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị Ngoài việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows OSSEC cịn tích hợp trong hệ thống bảo mật lớn SIEM (Security information and event management) OSSEC cài đặt Windows với tư cách agent 2.2 Một số tài liệu tham khảo: Chương 5, Giáo trình Cơ sở an tồn thơng tin, Học viện Cơng nghệ BVCT, 2020 Suricata: https://suricata.io/documentation/ Snort: https://www.snort.org/#documents OSSEC: https://www.ossec.net/docs/ Wazuh: https://documentation.wazuh.com/current/index.html 2.3 Chuẩn bị mơi trường cơng cụ: 01 máy tính (máy thật máy ảo) chạy Linux với RAM tối thiểu 2GB, 10GB đĩa cứng có kết nối mạng (LAN Internet) 01 máy tính (máy thật máy ảo) chạy Kali Linux (bản 2021 trở lên) Bộ phần mềm Snort tải https://www.snort.org/downloads 2.4 Các bước thực hiện: Bước 1: Chuẩn bị máy tính mơ tả mục 2.2 Máy Kali Linux đổi tên thành -Kali máy cài Snort thành -Snort Các máy có địa IP kết nối mạng LAN          10  Bước 2: Tải, cài đặt Snort chạy thử Snort Kiểm tra log Snort để đảm  bảo Snort hoạt động bình thường o Dùng lệnh sudo apt install snort để cài đặt snort o Kiểm tra snort cài đặt thành công chưa 11 o  Kiểm tra snort hoạt động hay không Bước 3: Tạo luật Snort để phát dạng rà quét, công hệ thống file /etc/snort/rules/local.rules: o Phát gói tin ping từ máy gửi đến máy chạy Snort Hiển thị thông điệp phát hiện: -Snort  phát có gói Ping gửi đến.” 12 o o Phát gói tin rà quét từ máy gửi đến máy chạy Snort cổng 80 Hiển thị thông điệp phát hiện: -Snort phát có gói tin rà quét cổng 80.” Phát công TCP SYN Flood từ máy gửi đến máy chạy Snort Hiển thị thông điệp phát hiện: “-Snort phát bị công TCP SYN Flood.” 13  Bước 4: thực thi công phát sử dụng Snort: o Từ máy Kali, sử dụng lệnh ping để ping máy Snort Trên máy Snort kiểm tra kết phát giao diện terminal log Snort 14 o Từ máy Kali, sử dụng công cụ nmap để rà quét máy Snort (dùng lệnh: nmap -sV -p80 - A ) Trên máy Snort kiểm tra kết phát giao diện terminal log Snort 15 o Từ máy Kali, sử dụng công cụ hping3 để công TCP SYN Flood máy Snort (dùng lệnh: hping3 -c 15000 -d 120 -S -w 64 -p 80 flood randsource ) Trên máy Snort kiểm tra kết phát giao diện terminal log Snort 16 17 2.5 Kết cần đạt: Hệ thống phát xâm nhập Snort hoạt động ổn định Các luật tạo lưu vào file luật Snort Snort phát thành công rà quét công kể (hiển thị giao diện terminal log Snort)    18

Ngày đăng: 12/12/2023, 15:12

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan