1. Trang chủ
  2. Luận Văn - Báo Cáo

Tìm hiểu hệ thống phát hiện xâm nhập snort và giải pháp kết hợp snort với iptable

19 4 0
Tìm hiểu hệ thống phát hiện xâm nhập snort và giải pháp kết hợp snort với iptable

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Firewalls Tìm hiểu hệ thống phát xâm nhập Snort giải pháp kết hợp Snort với Iptable Giáo viên hướng dẫn: Đinh Tiến Thành Sinh viên thực hiện: Trần Xuân Cương Nguyễn Hiển Hải Lê Khắc Giang Ngô Văn Hùng Nguyễn Ngọc Ánh Bùi Văn Tươi Trương Văn Trường Dương Trung Kiên Company LOGO Jul 22, 2022 Néi Dung 1.Tổng quan IDS/IPS 2.Nghiên cứu ứng dụng SNORT IDS/IPS 3.Cài đặt cấu hình Snort CentOS Kết hợp SNORT với IPTABLES Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 1.Tổng quan IDS/IPS 1.1 Định nghĩa • Là hệ thống có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi trái phép • Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống tiến hành phân tích 1.2 Các thành phần chức IDS/IPS Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tổng quan IDS/IPS 1.3 Phân loại IDS/IPS 1.3.1 Network Based IDS (NIDS) Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 1.3.2 Host Based IDS (HIDS) Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tổng quan IDS/IPS 1.4 Cơ chế hoạt động hệ thống IDS / IPS 1.4.1 Phát lạm dụng Hệ thống phát cách tìm kiếm hành động tương ứng với kỹ thuật biết đến điểm dễ bị công hệ thống 1.4.2 Phát bất thường: dựa việc định nghĩa mơ tả đặc điểm hành vi chấp nhận hệ thống • Phát tĩnh • Phát động Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 1.4.3 So sánh mơ hình Phát lạm dụng phát Sự bất thường Phát lạm dụng Bao gồm: •Cơ sở liệu dấu hiệu cơng •Tìm kiếm so khớp mẫu Phát bất thường Bao gồm: •Cơ sở liệu hành động thơng thường •Tìm kiếm độ lệch hành động thực tế so với hành động thông thường Hiệu việc phát dạng Hiệu việc phát dạng công biết, hay biến thể (thay đổi nhỏ) công mà hệ thống phát lạm dạng công biết Không phát dụng bỏ qua dạng công Dễ cấu hình địi hỏi thu thập liệu, phân tích cập nhật Khó cấu hình đưa nhiều liệu hơn, phải có khái niệm toàn diện hành vi biết hay hành vi mong đợi hệ thống Đưa kết luận dựa vào phép so khớp mẫu (pattern matching) Đưa kết dựa vào tương quan thống kê hành vi thực tế hành vi mong đợi hệ thống (hay dựa vào độ lệch thông tin thực tế ngưỡng cho phép) Có thể kích hoạt thơng điệp cảnh báo nhờ dấu hiệu chắn, cung cấp liệu hỗ trợ cho dấu hiệu khác Có thể hỗ trợ việc tự sinh thơng tin hệ thống cách tự động cần có thời gian liệu thu thập phải rõ ràng Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 1.5 Một số sản phẩm IDS/IPS • Cisco IDS-4235: hệ thống NIDS có khả theo dõi tồn lưu thơng mạng đối sánh gói tin để phát dấu hiệu xâm nhập • ISS Proventia A201: sản phẩm Internet Security Systems Nó khơng phần cứng hay phần mềm mà hệ thống thiết bị triển khai phân tán mạng • Intrusion Protection Appliance: lưu trữ cấu hình mạng, liệu đối sánh Nó phiên Linux với driver thiết bị mạng xây dựng tối ưu • Proventia Network Agent: đóng vai trị cảm biến Sensor Bố trí vị trí nhạy cảm • SiteProtector: trung tâm điều khiển hệ thống proventia • NFR NID-310: NFR sản phẩm NFR Security Gồm nhiều cảm biến thích ứng với nhiều mạng khác • SNORT: 1.6 So sánh IDS IPS Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.1 Giới thiệu Snort 2.2 Kiến trúc Snort 2.3 Bộ luật Snort 2.4 Chế độ ngăn chặn Snort: Snort - Inline Jul 22, 2022 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.1 Giới thiệu Snort • Snort NIDS Martin Roesh phát triển mô hình mã nguồn mở • Nhiều tính tuyệt vời phát triển theo kiểu module • Cơ sở liệu luật lên đến 2930 luật • Snort hỗ trợ hoạt động giao thức: Ethernet, Token Ring, FDDI, Cisco HDLC SLIP, PPP, PE Open BDS 2.2 Kiến trúc Snort • Modun giải mã gói tin (Packet Decoder) • Modun tiền xử lý (Preprocessors) • Modun phát (Detection Eng) • Modun log cảnh báo (Logging and Alerting System) • Modun kết xuất thơng tin (Output module) Jul 22, 2022 10 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.2.1 Modun giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống gói ti sau giải mã đưa tiếp vào modun tiền xử lý 2.2.2 Modun tiền xử lý • Là modun quan trọng để chuẩn bị gói liệu đưa vào cho modun phát phân tích • nhiệm vụ chính: • Kết hợp gói tin lại: thơng tin truyền khơng đóng gói tồn vào gói tin Snor sau nhận phải thực ghép nối để có liệu ngun dạng • Giải mã chuẩn hóa giao thức: công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức có liệu thể nhiều dạng khác • Phát xâm nhập bất thường: đối phó với xâm nhập khơng thể khó Phát luật thơng thường 2.2.3 Modun phát hiện: • phát dấu hiệu xâm nhập Nó sử dụng luật định nghĩa trước để so sánh vớ liệu thu thập • Có khả tách thành gói tin áp dụng lên phần Jul 22, 2022 11 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.2.4: Modun log cảnh báo: • Tùy thuộc vào modun phát có nhận dạng hay khơng mà gói tin bị ghi vào log đưa cảnh báo 2.2.5: Modun kết xuất thơng tin • Thực thao tác khác tùy thuộc vào việc bạn muốn lưu kết kết xuất Nó thực nhiều cơng việc: •Ghi log file •Ghi syslog: chuẩn lưu trữ file log •Ghi cảnh báo vào sở liệu •Tạo file log dạng xml •Cấu hình lại Router, Firewall •Gửi cảnh báo gói gói tin sử dụng giao thức SNMP •Gửi thông điệp SMB Jul 22, 2022 12 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.3 Bộ luật Snort 2.3.1 Giới thiệu • Thông thường công hay xâm nhập để lại dấu hiệu riêng Các thông tin sử dụng để tạo nên luật Snort • Các luật áp dụng cho tất phần khác gói tin • Một luật sử dụng để tạo nên thông điệp cảnh báo, log thơng điệp hay bỏ qua gói tin 2.3.2 Cấu trúc luật Snort Jul 22, 2022 13 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.3.2.1 Phần tiêu đề: • Chứa thơng tin hành động mà luật thực • Cấu trúc chung phần header luật Snort • Header luật bao gồm phần: • Hành động luật (Rule Action): hành động mà điều kiện luật thỏa mãn Một hành động thực tất điều kiện phù hợp • Pass: hành động hướng dẫn snort bỏ qua gói tin • Log: log gói tin vào file hay sở liệu • Alert: gửi thơng điệp cảnh báo có dấu hiệu xâm nhập • Activate: tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện • Dynamic: luật gọi luật khác có hành động Activate • Pro tocols: Chỉ loại gói tin mà luật áp dụng • IP • ICMP • TCP/UDP Jul 22, 2022 14 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.1 Phần tiêu đề • Address: có địa nguồn địa đích Địa địa IP đơn địa mạng Ta dùng từ any để áp luật cho tất địa alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) • Ngăn chặn địa hay loại trừ địa chỉ: sử dụng dấu (!) trước cho Snort khơng kiểm tra gói tin đến từ địa alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100; • Danh sách địa alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) • Cổng (Port number): áp dụng luật cho gói tin đến từ cổng hay phạm vi cổng alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”; • Dãy cổng hay phạm vi cổng alert udp any 1024:2048 -> any any (msg: “UDP ports”;) • Hướng – direction: đâu nguồn đâu đích Jul 22, 2022 15 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn: nằm sau phần Rule Header bao bọc dấu ngoặc đơn Nếu có nhiều option phân cách dấu “,” tùy chọn phải đồng thời thỏa mãn • Từ khóa ack: TCP header trường ack dài 32bit số thứ tự gói tin alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) • Từ khóa classtype: file classification.conf bao gồmtrong file snort.conf Mỗi dịng có cú pháp: config classification: name, description, priority • name: dùng để phân loại, dùng với từ khóa classtype luật • description: mơ tả loại lớp • priority: độ ưu tiên mặc định lớp config classification: DoS , Denial of Service Attack, • Từ khóa contents: khả đặc tả snort tìm mẫu liệu bên Mẫu Dưới dạng chuỗi ASCII, chuỗi nhị phân alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “GET match”;) • Từ khóa dsize: dùng để đối sánh chiều dài phần liệu alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;) Jul 22, 2022 16 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn •Từ khóa flags: phát bit cờ flag bật alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) • Từ khóa fragbits: phần IP header gói tin chứa 3bit dùng để chống phân mảnh • Reserved Bit (RB): dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết lập gói tin khơng bị phân mảnh • More Fragments Bit (MF): bit thiết lập phần khác gói tin đường mà chưa tới đích Nếu bit khơng thiết lập có nghĩa phần cuối gói tin(gói tin nhất) alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) Jul 22, 2022 17 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable 2.4 Chế độ ngăn chặn Snort: Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort: ý tưởng kết hợp khả ngăn chặn Iptables vào Snort Điều thực cách thay đổi modun phát xử lý cho phép Snort tương tác với Iptable Việc chặn bắt gói tin thực thơng qua Netfilter 2.4.2 Những bổ xung cho cấu trúc luật Snort hỗ trợ Inline mode • DROP: yêu cầu Iptables loại bỏ gói tin ghi lại thơng tin hành động Log • SDROP: tương tự DROP khơng ghi lại Log • REJECT: u cầu Iptable từ chối gói tin Iptables loại bỏ gói tin gửi lại thơng báo cho nguồn gửi gó tin Trình tự ưu tiên luật: • Trong phiên gốc: activation->dynamic-> alert->pass->log • Trong inline – mode trình ưu tiên: activation->dynamic->pass->drop->sdrop->reject->alert->log Jul 22, 2022 18 Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable Tim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptableTim.hieu.he.thong.phat.hien.xam.nhap.snort.va.giai.phap.ket.hop.snort.voi.iptable

Ngày đăng: 20/12/2023, 22:30

Xem thêm: Tìm hiểu hệ thống phát hiện xâm nhập snort và giải pháp kết hợp snort với iptable

Tài liệu cùng người dùng

Tài liệu liên quan