TÌM HIỂU TỔNG QUAN VỀ IDS/IPS
Giới thiệu về IDS/IPS
Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và
Ngăn chặn sự xâm nhập và các hành vi khai thác trái phép tài nguyên là cần thiết để bảo vệ hệ thống, nhằm duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của nó.
Hệ thống IDS thu thập và phân tích thông tin từ nhiều nguồn trong hệ thống để phát hiện xâm nhập trái phép Khi IDS có khả năng ngăn chặn các mối nguy hiểm, nó được gọi là hệ thống phòng chống xâm nhập (IPS) Chức năng chính của IPS là xác định các hoạt động nguy hại và lưu giữ thông tin này, sau đó kết hợp với firewall để ngăn chặn ngay lập tức các hoạt động xâm nhập, đồng thời cung cấp báo cáo chi tiết về các sự kiện xâm nhập trái phép.
2.1.2 Vị trí đặt IDS/IPS trong mô hình mạng
Hình 1 Đặt trước Firewall Hình 2 Đặt giữa Firewall và DMZ
Bài viết này tập trung vào việc tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập trái phép trên SNORT SNORT là một công cụ mã nguồn mở mạnh mẽ, được sử dụng rộng rãi để phát hiện và ngăn chặn các cuộc tấn công mạng Hệ thống này hoạt động bằng cách phân tích lưu lượng mạng và phát hiện các mẫu đáng ngờ, từ đó cảnh báo người quản trị về các mối đe dọa tiềm ẩn Việc triển khai hiệu quả SNORT có thể giúp bảo vệ hệ thống khỏi các nguy cơ an ninh mạng, đồng thời nâng cao khả năng phản ứng trước các sự cố an toàn thông tin.
Hình 3 Là một module trong giải pháp UTM
2.1.3 Sự khác nhau giữa IDS và IPS
Hệ thống IPS là một phiên bản nâng cao của hệ thống IDS, với cơ chế hoạt động và các đặc điểm tương tự Điểm khác biệt chính là IPS không chỉ theo dõi và giám sát mà còn có khả năng ngăn chặn kịp thời các hoạt động nguy hiểm cho hệ thống Hệ thống IPS cũng áp dụng các quy tắc tương tự như IDS.
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và
Hệ thống IDS (Intrusion Detection System) chủ yếu được thiết kế để phát hiện và cảnh báo các mối nguy xâm nhập vào mạng máy tính Ngược lại, hệ thống IPS (Intrusion Prevention System) không chỉ phát hiện mà còn có khả năng tự động phản ứng với các mối đe dọa theo các quy định mà người quản trị đã thiết lập.
Mặc dù có sự khác biệt giữa hệ thống IDS và IPS, nhưng thực tế sự phân biệt này không rõ ràng Một số hệ thống IDS được trang bị tính năng ngăn chặn như một tùy chọn, trong khi một số hệ thống IPS lại không hoàn toàn đáp ứng đầy đủ các chức năng phòng chống mà người dùng mong đợi.
Khi lựa chọn giữa IDS và IPS, quyết định phụ thuộc vào quy mô và tính chất của mạng cũng như chính sách an ninh của quản trị viên Đối với mạng nhỏ với một máy chủ an ninh, IPS thường được ưu tiên hơn nhờ khả năng phát hiện, cảnh báo và ngăn chặn Trong khi đó, các mạng lớn thường sử dụng sản phẩm chuyên dụng để thực hiện chức năng ngăn chặn.
Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) đóng vai trò quan trọng trong việc bảo vệ an ninh mạng Nó không chỉ phát hiện các mối đe dọa mà còn gửi cảnh báo đến các hệ thống ngăn chặn khác, giúp nâng cao khả năng phản ứng Sự phân chia trách nhiệm giữa các hệ thống này làm cho việc đảm bảo an ninh mạng trở nên linh hoạt và hiệu quả hơn.
Phân loại IDS/IPS
Cách phân loại phổ biến nhất cho các hệ thống IDS (và IPS) là dựa vào đặc điểm của nguồn dữ liệu thu thập Theo đó, các hệ thống IDS được chia thành nhiều loại khác nhau.
• Host-based (HIDS/HIPS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập.
Hệ thống phát hiện xâm nhập dựa trên mạng (NIDS/NIPS) sử dụng dữ liệu từ toàn bộ lưu thông mạng và thông tin kiểm tra từ một hoặc một vài máy trạm để phát hiện các hành vi xâm nhập.
NIDS/NIPS thường bao gồm có hai thành phần logic:
• Bộ cảm biến – Sensor: đặt tại một đoạn mạng, kiểm soát các cuộc lưu thông nghi ngờ trên đoạn mạng đó.
• Trạm quản lý: nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo cho một điều hành viên.
Hình 2.2.1 Mô hình NIDS/NIPS
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập, cần tìm hiểu các phương pháp và công nghệ hiện có Hệ thống này đóng vai trò quan trọng trong việc bảo vệ mạng lưới khỏi các mối đe dọa tiềm ẩn Việc áp dụng các giải pháp an ninh mạng tiên tiến giúp nâng cao khả năng phát hiện các hoạt động bất thường Ngoài ra, việc ngăn chặn tham nhập hiệu quả không chỉ bảo vệ dữ liệu mà còn duy trì sự ổn định của hệ thống Các ưu điểm của hệ thống phát hiện và ngăn chặn tham nhập bao gồm khả năng phản ứng nhanh chóng với các sự cố, giảm thiểu thiệt hại và tăng cường sự tin cậy cho người dùng.
Hệ thống NIDS/NIPS giúp giảm chi phí đáng kể bằng cách chỉ cần cài đặt ở những vị trí trọng yếu để giám sát lưu lượng toàn mạng, từ đó không cần phải cài đặt và quản lý phần mềm trên tất cả các máy trong mạng.
• Phát hiện được các cuộc tấn công mà HIDS/HIPS bỏ qua: Khác với
HIDS/HIPS và NIDS/NIPS đều kiểm tra header của tất cả các gói tin, giúp phát hiện các dấu hiệu tấn công mà không bị bỏ sót Chẳng hạn, nhiều cuộc tấn công DoS và TearDrop chỉ được phát hiện thông qua việc phân tích header của các gói tin lưu thông trên mạng.
Việc xoá bỏ dấu vết xâm nhập là rất khó khăn, vì thông tin trong log file có thể bị kẻ đột nhập sửa đổi, làm hạn chế khả năng hoạt động của HIDS/HIPS Trong khi đó, NIDS/NIPS dựa vào lưu lượng mạng hiện tại để phát hiện các hoạt động xâm nhập, giúp kẻ đột nhập không thể xóa bỏ các dấu vết tấn công Thông tin được thu thập không chỉ cung cấp phương thức tấn công mà còn hỗ trợ trong việc xác minh và buộc tội kẻ xâm nhập.
NIDS/NIPS có khả năng phát hiện và ngăn chặn các cuộc tấn công ngay khi chúng xảy ra, giúp cảnh báo và ứng phó kịp thời, từ đó nâng cao hiệu quả bảo mật hệ thống.
Một hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS/NIPS phát hiện và ngăn chặn kịp thời Bằng cách gửi yêu cầu TCP reset, hệ thống có thể chấm dứt cuộc tấn công trước khi nó xâm nhập và gây hại cho máy chủ.
Hệ thống có tính độc lập cao, giúp các máy trên mạng hoạt động mà không bị ảnh hưởng bởi lỗi hệ thống Chúng được thiết kế để dễ dàng cài đặt; chỉ cần mở thiết bị, thực hiện vài thay đổi cấu hình và kết nối vào mạng tại vị trí cho phép kiểm soát các lưu thông nhạy cảm.
NIDS/NIPS gặp khó khăn trong việc hoạt động hiệu quả trong các mạng chuyển mạch hiện đại do thiết bị switch phân chia mạng thành nhiều phần độc lập Điều này dẫn đến việc NIDS/NIPS không thể thu thập thông tin toàn diện từ toàn bộ mạng, hạn chế khả năng phát huy lợi điểm của chúng.
Việc kiểm tra mạng chỉ giới hạn ở đoạn kết nối trực tiếp khiến hệ thống không phát hiện được các cuộc tấn công trên các đoạn mạng khác Điều này dẫn đến nhu cầu tổ chức phải đầu tư vào nhiều bộ cảm biến để bảo vệ toàn bộ mạng, gây tốn kém cho chi phí cài đặt.
Hạn chế về hiệu năng của NIDS/NIPS khiến chúng gặp khó khăn trong việc xử lý tất cả các gói tin trên mạng có mật độ lưu thông cao, dẫn đến việc không phát hiện được các cuộc tấn công trong thời điểm "cao điểm" Để khắc phục vấn đề này, một số nhà sản xuất đã cứng hoá hoàn toàn IDS nhằm tăng cường tốc độ, nhưng điều này cũng đồng nghĩa với việc một số gói tin có thể bị bỏ qua.
Hệ thống phát hiện và ngăn chặn xâm nhập (SNORT) là một công cụ quan trọng trong việc kiểm soát lưu lượng mạng, nhưng nó cũng tạo ra một lượng lớn dữ liệu phân tích Để giảm bớt tải lượng này, các tiến trình giảm dữ liệu linh hoạt thường được áp dụng Ngoài ra, việc thêm các chu trình tự ra quyết định vào bộ cảm biến và sử dụng các trạm trung tâm như thiết bị hiển thị trạng thái giúp tối ưu hóa quá trình truyền thông Tuy nhiên, nhược điểm của hệ thống là nó cung cấp rất ít thông tin liên quan cho các bộ cảm biến, dẫn đến việc chúng không thể phát hiện được các cuộc tấn công phối hợp hoặc phức tạp.
Hệ thống NIDS/NIPS thường gặp khó khăn trong việc xử lý các cuộc tấn công diễn ra trong các phiên mã hóa, và vấn đề này càng trở nên nghiêm trọng khi ngày càng nhiều công ty và tổ chức áp dụng mạng riêng ảo VPN.
Một số hệ thống NIDS/NIPS gặp khó khăn trong việc phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh, vì các gói tin định dạng sai có thể gây ra sự cố và làm cho NIDS/NIPS hoạt động không chính xác.
Cơ chế hoạt động của hệ thống IDS/IPS
Có ba cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:
Mô hình phát hiện sự lạm dụng (Misuse Detection Model) giúp hệ thống nhận diện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với những kỹ thuật xâm nhập đã được xác định trước (dựa trên các dấu hiệu - signatures) hoặc các điểm yếu của hệ thống.
Mô hình phát hiện sự bất thường (Anomaly Detection Model) giúp hệ thống nhận diện các xâm nhập bằng cách phân tích và tìm kiếm những hành động khác biệt so với hành vi thông thường của người dùng hoặc hệ thống.
Phát hiện thông qua Protocol là phương pháp phân tích sâu các giao thức cụ thể trong gói tin, tương tự như phát hiện dựa trên dấu hiệu, nhưng với độ chi tiết cao hơn.
2.3.1 Phát hiện sự lạm dụng
Phát hiện sự lạm dụng liên quan đến việc nhận diện những kẻ xâm nhập cố gắng xâm nhập vào hệ thống bằng các kỹ thuật đã được biết đến Quá trình này bao gồm việc mô tả các đặc điểm của hành vi xâm nhập nhằm bảo vệ an ninh mạng hiệu quả.
Hệ thống phát hiện sự lạm dụng (IDS) đóng vai trò quan trọng trong việc nhận diện và ngăn chặn các cuộc tấn công mạng Nó hoạt động bằng cách so sánh hành động hiện tại của hệ thống với một tập hợp các kịch bản xâm nhập, nhằm phát hiện những hành động đáng ngờ Các kịch bản xâm nhập này có thể được mô tả bằng các mẫu dữ liệu cố định, chẳng hạn như virus, để nhận diện các hành động bất thường Hệ thống này có khả năng giám sát hành động trong thời gian thực hoặc phân tích các bản ghi kiểm tra từ hệ điều hành để phát hiện và ngăn chặn các mối đe dọa tiềm ẩn.
Các kỹ thuật phát hiện sự lạm dụng có sự khác biệt trong cách mô hình hóa hành vi xâm nhập Hệ thống phát hiện lạm dụng thế hệ đầu tiên dựa vào các luật mô tả hành vi mà các nhà quản trị an ninh tìm kiếm, nhưng sự tích lũy lớn các luật này gây khó khăn trong việc hiểu và sửa đổi Để khắc phục vấn đề này, các hệ thống thế hệ thứ hai sử dụng các biểu diễn kịch bản xen kẽ, kết hợp tổ chức luật dựa trên mô hình và biểu diễn phép biến đổi trạng thái, giúp người dùng dễ dàng hiểu rõ các kịch bản Hệ thống cần được duy trì và cập nhật thường xuyên để đối phó với các kịch bản xâm nhập mới.
Các hệ thống phát hiện sự lạm dụng dựa vào việc mô tả chính xác các kịch bản xâm nhập để theo dõi hành động xâm nhập Chúng có khả năng dự đoán bước tiếp theo trong chuỗi hành động xâm nhập, nhờ vào việc phân tích thông tin hệ thống Khi cần thiết, bộ dò tìm sẽ can thiệp để giảm thiểu tác hại có thể xảy ra.
2.3.2 Phát hiện sự bất thường
Bộ phát hiện sự không bình thường cần phải xác định và mô tả các hành vi chấp nhận được trong hệ thống, từ đó phân biệt chúng với các hành vi không mong muốn hoặc bất thường Điều này giúp phát hiện những thay đổi và hành vi bất hợp pháp, đảm bảo khả năng phân biệt rõ ràng giữa hiện tượng thông thường và hiện tượng bất thường.
Ranh giới giữa dạng thức chấp nhận được và bất thường của mã và dữ liệu được xác định rõ ràng, chỉ cần một bit khác biệt Tuy nhiên, việc phân biệt giữa hành vi hợp lệ và bất thường lại phức tạp hơn Phát hiện sự không bình thường được chia thành hai loại: tĩnh và động.
2.3.2.1 Phát hiện tĩnh Dựa trên giả thiết ban đầu là phần hệ thống được kiểm soát phải luôn luôn không đổi Ở đây, ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả sử là phần cứng không cần phải kiểm tra) Phần tĩnh của một hệ thống bao gồm 2 phần con: mã hệ thống và dữ liệu của phần hệ thống đó Hai thông tin này đều được biểu diễn dưới
Bài viết này tập trung vào việc hiểu hệ thống phát hiện và ngăn chặn xâm nhập trên SNORT Khi có sự cố xảy ra, như lỗi hệ thống hoặc thay đổi không mong muốn từ kẻ xâm nhập, bộ phát hiện tĩnh sẽ được kích hoạt để kiểm tra tính toàn vẹn của dữ liệu Việc nắm bắt và phân tích các thông tin này là rất quan trọng để đảm bảo an ninh mạng hiệu quả.
Bộ phát hiện tĩnh sử dụng một hoặc vài xâu bit cố định để định nghĩa trạng thái mong muốn của hệ thống, giúp tạo ra biểu diễn trạng thái có thể ở dạng nén Sau đó, nó so sánh biểu diễn này với biểu diễn tính toán từ trạng thái hiện tại của xâu bit cố định Mọi sự khác biệt đều chỉ ra lỗi, như hỏng phần cứng hoặc xâm nhập Mặc dù biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế, nhưng điều này tốn kém về lưu trữ và phép toán so sánh Vì mục tiêu là phát hiện sự sai khác để cảnh báo xâm nhập, việc sử dụng biểu diễn nén sẽ giảm chi phí Giá trị tóm tắt từ xâu bit cơ sở phải đảm bảo tính duy nhất giữa các xâu khác nhau, có thể áp dụng các thuật toán như checksums, message-digest và hàm băm.
Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với meta-data, tức là dữ liệu mô tả các đối tượng dữ liệu hoặc thông tin về cấu trúc của đối tượng được kiểm tra Chẳng hạn, meta-data của một log file bao gồm kích cỡ của nó; nếu kích cỡ này tăng lên, đây có thể là dấu hiệu của một cuộc xâm nhập.
2.3.2.2 Phát hiện động Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior) Hành vi của hệ thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ những hành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mới được xem xét Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc không và thông tin phải được tích luỹ Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử dụng tài nguyên hợp lý hay bất thường.
Nếu không chắc chắn về tính bất thường của hành vi, hệ thống có thể dựa vào các tham số được thiết lập trong quá trình khởi tạo Ranh giới trong trường hợp này không rõ ràng, dẫn đến khả năng xảy ra cảnh báo sai Để xác định ranh giới, phương pháp thông thường là sử dụng các phân loại thống kê và độ lệch chuẩn Khi phân loại được thiết lập, ranh giới có thể được xác định bằng cách sử dụng một số độ lệch chuẩn; nếu hành vi nằm ngoài ranh giới này, hệ thống sẽ cảnh báo có xâm nhập.
Một số sản phẩm của IDS/IPS
Trong bài viết này, chúng tôi sẽ giới thiệu một số sản phẩm IDS và IPS nổi bật, bao gồm cả các giải pháp thương mại và miễn phí phổ biến, nhằm cung cấp cái nhìn tổng quan về các công nghệ phát hiện và phòng chống xâm nhập hiệu quả.
Bài viết này tập trung vào việc tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập trái phép trên SNORT SNORT là một công cụ mạnh mẽ trong việc bảo vệ mạng, giúp phát hiện các mối đe dọa và ngăn chặn các cuộc tấn công Hệ thống này hoạt động bằng cách phân tích lưu lượng mạng và phát hiện các hành vi bất thường, từ đó đưa ra các biện pháp bảo vệ phù hợp Việc hiểu rõ cách thức hoạt động của SNORT sẽ giúp các chuyên gia an ninh mạng nâng cao hiệu quả trong việc bảo vệ hệ thống thông tin.
Cisco IDS, hay còn gọi là NetRanger, là hệ thống NIDS/NIPS mạnh mẽ, có khả năng giám sát toàn bộ lưu lượng mạng và phân tích từng gói tin để phát hiện các dấu hiệu xâm nhập.
Cisco IDS là một giải pháp riêng biệt, được Cisco cung cấp đồng bộ phần cứng và phần mềm trong một thiết bị chuyên dụng.
Giải pháp kỹ thuật của Cisco IDS kết hợp giữa giải mã và đối sánh, hoạt động trên hệ thống Unix được tối ưu hóa Cisco IDS sử dụng giao diện tương tác CLI quen thuộc, mang lại trải nghiệm dễ sử dụng cho người dùng.
Proventia A201 là sản phẩm của hãng Internet Security Systems, không chỉ đơn thuần là phần mềm hay phần cứng, mà là một hệ thống thiết bị phân tán trong mạng được bảo vệ Hệ thống Proventia bao gồm nhiều thiết bị khác nhau.
- Intrusion Protection Appliance: Là trung tâm của toàn bộ hệ thống Proventia.
Nó lưu trữ cấu hình mạng, dữ liệu đối sánh và quy định chính sách hệ thống Thực chất, đây là phiên bản Linux tối ưu với driver thiết bị mạng và các gói dịch vụ được tinh giản.
Proventia Network Agent hoạt động như các bộ cảm biến trong mạng, được lắp đặt tại các vị trí nhạy cảm để theo dõi lưu lượng truy cập và phát hiện các nguy cơ xâm nhập tiềm ẩn.
SiteProtector là trung tâm điều khiển của hệ thống Proventia, nơi người quản trị mạng quản lý toàn bộ cấu hình và hoạt động của hệ thống Giải pháp Proventia cho phép triển khai các thiết bị phù hợp với cấu hình của từng mạng cụ thể, nhằm đạt được hiệu quả tối ưu.
NFR, sản phẩm của NFR Security Inc., là một hệ thống NID hướng thiết bị (appliance-based) tương tự như Proventia Điểm nổi bật của kiến trúc NFR NID là khả năng thích ứng của các bộ cảm biến với nhiều loại mạng khác nhau, từ mạng 10Mbps đến các mạng gigabits với thông lượng cao.
NFR NID nổi bật với mô hình điều khiển ba lớp, cho phép quản lý tập trung thay vì sử dụng giao diện quản trị riêng biệt Hệ thống này sử dụng các middle-ware để điều khiển trực tiếp các thiết bị, mang lại hiệu quả và sự linh hoạt trong quản lý.
Snort là phần mềm IDS mã nguồn mở nổi bật, được phát triển bởi Martin Roesh và ban đầu được xây dựng trên nền tảng Unix trước khi mở rộng sang các hệ điều hành khác Với nhiều tính năng mạnh mẽ, Snort được đánh giá là một trong những giải pháp IDS mã nguồn mở hàng đầu (Thông tin chi tiết về Snort sẽ được đề cập trong Phần III của đề tài).
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập thu nghiệm trên SNORT, trước tiên cần nắm rõ cách thức hoạt động của nó SNORT là một công cụ mã nguồn mở, được sử dụng rộng rãi trong việc phát hiện và ngăn chặn các cuộc tấn công mạng Hệ thống này hoạt động bằng cách phân tích lưu lượng mạng và so sánh với các quy tắc đã được lập trình sẵn để phát hiện các hành vi đáng ngờ Việc hiểu rõ các chức năng của SNORT không chỉ giúp cải thiện khả năng bảo mật mà còn hỗ trợ trong việc xử lý các sự cố mạng một cách hiệu quả.
TỔNG QUAN VỀ SNORT - IDS/IPS
Giới thiệu về snort
Snort là một hệ thống phát hiện xâm nhập (NIDS) và ngăn chặn xâm nhập (NIPS) mã nguồn mở do Martin Roesh phát triển Mặc dù miễn phí, Snort sở hữu nhiều tính năng vượt trội mà không phải sản phẩm thương mại nào cũng có Với kiến trúc module, người dùng có khả năng mở rộng tính năng cho Snort bằng cách cài đặt hoặc viết thêm module mới Cơ sở dữ liệu luật của Snort đã phát triển đến một quy mô lớn.
Snort là một công cụ phát hiện xâm nhập mã nguồn mở, với 2930 luật được cập nhật thường xuyên bởi cộng đồng người dùng Nó có khả năng hoạt động trên nhiều hệ điều hành khác nhau, bao gồm Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX và IRIX, cũng như MacOS.
Snort không chỉ hoạt động như một ứng dụng thu thập gói tin thông thường mà còn có thể được cấu hình để vận hành như một Hệ thống phát hiện xâm nhập mạng (NIDS) hoặc Hệ thống ngăn chặn xâm nhập mạng (NIPS) Phần mềm này hỗ trợ nhiều giao thức mạng, bao gồm Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
Kiến trúc của Snort
Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Các phần chính đó là:
• Module giải mã gói tin (Packet Decoder)
• Module tiền xử lý (Preprocessors)
• Module phát hiện (Detection Engine)
• Module log và cảnh báo (Logging and Alerting System)
• Module kết xuất thông tin (Output Module)
Kiến trúc của Snort được mô tả trong hình sau:
Hình 7 Mô hình kiến trúc hệ thống Snort
Khi Snort hoạt động, nó lắng nghe và thu thập tất cả các gói tin di chuyển qua hệ thống Sau khi bị bắt, các gói tin sẽ được chuyển đến module giải mã để xử lý Tiếp theo, chúng sẽ được đưa vào module tiền xử lý và sau đó là module phát hiện, nơi diễn ra quá trình phân tích và phát hiện các mối đe dọa.
Tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập thủ nghiệm trên SNORT là rất quan trọng Bài viết này sẽ đi sâu vào cơ chế hoạt động và chức năng của từng thành phần trong hệ thống này SNORT không chỉ là một công cụ phát hiện xâm nhập, mà còn cung cấp khả năng ngăn chặn các mối đe dọa an ninh mạng hiệu quả Việc hiểu rõ cách thức hoạt động của SNORT sẽ giúp nâng cao khả năng bảo vệ hệ thống trước các cuộc tấn công.
3.2.1 Modun giải mã gói tin
Snort sử dụng thư viện pcap để ghi lại tất cả các gói tin lưu thông trên mạng của hệ thống Hình ảnh dưới đây minh họa quá trình giải mã một gói tin Ethernet.
Hình 8 Xử lý một gói tin Ethernet
Một gói tin sau khi được giải mã sẽ được đưa tiếp vào module tiền xử lý.
3.2.2 Mô đun tiền xử lý
Module tiền xử lý là một phần thiết yếu trong hệ thống IDS, giúp chuẩn bị gói dữ liệu cho module Phát hiện phân tích Ba nhiệm vụ chính của module này bao gồm: lọc và làm sạch dữ liệu, chuyển đổi định dạng dữ liệu và giảm thiểu dữ liệu dư thừa.
Khi gửi một lượng dữ liệu lớn, thông tin sẽ được phân mảnh thành nhiều gói tin nhỏ thay vì đóng gói toàn bộ vào một gói duy nhất Snort sẽ nhận các gói tin này để xử lý và phân tích.
Để hiểu và ngăn chặn các cuộc tấn công xâm nhập qua Snort, việc phát hiện dựa trên các gói tin riêng lẻ là không đủ hiệu quả Gói tin không có trạng thái sẽ không thể cung cấp thông tin đầy đủ về các phiên làm việc Module tiền xử lý stream giúp Snort nhận diện các phiên làm việc khác nhau, từ đó mang lại tính có trạng thái cho các gói tin, nâng cao khả năng phát hiện xâm nhập một cách hiệu quả hơn.
Việc giải mã và chuẩn hóa giao thức (decode/normalize) là rất quan trọng trong công tác phát hiện xâm nhập, vì nhiều khi các dấu hiệu nhận dạng có thể bị bỏ sót khi kiểm tra các giao thức với dữ liệu được thể hiện dưới nhiều dạng khác nhau Chẳng hạn, một web server có thể chấp nhận nhiều định dạng URL, bao gồm cả mã hexa/Unicode, và cho phép sử dụng dấu \ hoặc /, thậm chí là nhiều ký tự này liên tiếp Điều này tạo cơ hội cho kẻ tấn công vượt qua các biện pháp bảo mật bằng cách tùy biến các yêu cầu gửi đến web server, ví dụ như sử dụng dấu hiệu nhận dạng “scripts/iisadmin”.
Snort cần thực hiện mã hóa và giải mã các chuỗi dữ liệu để tránh bỏ sót các hành vi xâm nhập Các module tiền xử lý của Snort có nhiệm vụ chỉnh sửa và sắp xếp lại thông tin đầu vào, đảm bảo rằng module phát hiện có thể nhận diện chính xác mà không bỏ sót Hiện tại, Snort hỗ trợ giải mã và chuẩn hóa cho các giao thức như telnet, http, rpc, và arp.
Các plugin tiền xử lý để phát hiện xâm nhập bất thường giúp nhận diện các mối đe dọa mà các luật thông thường không thể phát hiện Những module này tăng cường tính năng cho Snort bằng cách thực hiện phát hiện xâm nhập qua nhiều phương pháp khác nhau, chẳng hạn như thống kê thông lượng mạng trong điều kiện bình thường để phát hiện sự bất thường Hiện tại, Snort có hai plugin hỗ trợ phát hiện xâm nhập bất thường: portscan, cảnh báo khi kẻ tấn công quét cổng để tìm lỗ hổng, và bo (backoffice), cảnh báo khi hệ thống bị nhiễm trojan backoffice và kẻ tấn công thực hiện lệnh từ xa.
Để hiểu hệ thống phát hiện và ngăn chặn xâm nhập trên SNORT, cần phân tích dữ liệu thu thập được nhằm xác định xem có xâm nhập xảy ra hay không Sau khi xác định được tình trạng xâm nhập, các công việc tiếp theo có thể được thực hiện như ghi log, tạo thông báo và xuất thông tin liên quan.
Một vấn đề quan trọng trong module phát hiện là thời gian xử lý các gói tin, khi mà IDS/IPS thường tiếp nhận số lượng lớn gói tin và có nhiều luật xử lý Thời gian xử lý gói tin có thể khác nhau, và khi lưu lượng mạng quá lớn, có thể xảy ra tình trạng bỏ sót hoặc phản hồi không kịp thời Khả năng xử lý của module phụ thuộc vào số lượng luật, tốc độ hệ thống chạy Snort, và tải trên mạng Các thử nghiệm cho thấy phiên bản tối ưu hóa của Snort có thể hoạt động hiệu quả trên các mạng cỡ Giga khi chạy trên hệ thống với nhiều bộ vi xử lý và cấu hình mạnh.
Một module phát hiện có khả năng tách các phần của gói tin và áp dụng các luật cho từng phần đó Các phần của gói tin có thể bao gồm:
• Header ở tầng giao vận: TCP, UDP
• Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, …
Phần tải của gói tin có thể áp dụng các luật để xử lý dữ liệu truyền đi Một thách thức trong Module phát hiện là cách xử lý khi một gói tin bị phát hiện bởi nhiều luật khác nhau Vì các luật trong Snort được đánh thứ tự ưu tiên, nên khi một gói tin bị phát hiện bởi nhiều luật, cảnh báo sẽ được đưa ra dựa trên luật có mức ưu tiên cao nhất.
3.2.4 Module log và cảnh báo
Tùy thuộc vào khả năng nhận diện xâm nhập của module Phát hiện, gói tin sẽ được ghi log hoặc cảnh báo Các file log là file văn bản chứa dữ liệu, có thể được lưu trữ dưới nhiều định dạng khác nhau, ví dụ như tcpdump.
3.2.5 Mô đun kết xuất thông tin
Module này có khả năng thực hiện nhiều thao tác khác nhau tùy thuộc vào cách bạn muốn lưu kết quả Nó có thể thực hiện các công việc khác nhau dựa trên cấu hình hệ thống.
• Ghi syslog: syslog và một chuẩn lưu trữ các file log được sử dụng rất nhiều trên các hệ thống Unix, Linux.
• Ghi cảnh báo vào cơ sở dữ liệu
• Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việc trao đổi và chia sẻ dữ liệu.
Bộ luật của snort
Giống như virus, các hoạt động tấn công thường có những dấu hiệu riêng biệt, và thông tin về những dấu hiệu này được sử dụng để xây dựng các luật cho Snort Các bẫy (honey pots) được thiết lập nhằm tìm hiểu hành vi của kẻ tấn công và công nghệ mà chúng sử dụng Đồng thời, có cơ sở dữ liệu về các lỗ hổng bảo mật mà kẻ tấn công có thể khai thác Những dạng tấn công đã biết này cung cấp dấu hiệu để phát hiện xâm nhập, với các dấu hiệu có thể nằm trong header hoặc nội dung của gói tin Hệ thống phát hiện của Snort hoạt động dựa trên các luật, mà các luật này được xây dựng từ những dấu hiệu nhận diện tấn công, có thể áp dụng cho mọi phần của một gói tin dữ liệu.
Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, chặn, log một thông điệp hay có thể bỏ qua một gói tin.
3.3.2 Cấu trúc luật của Snort
Hãy xem xét một ví dụ đơn giản: alert tcp 192.168.2.0/24 23 -> any any (content:”confidential”; msg: “Detected confidential”)
Ta thấy cấu trúc của một luật có dạng như sau:
Hình 9 Cấu trúc luật của Snort Diễn giải:
Tất cả các Luật của Snort về logic đều gồm 2 phần: Phần header và phần Option.
Phần Header của gói tin chứa thông tin quan trọng về hành động mà luật sẽ thực hiện khi phát hiện xâm nhập Nó cũng định rõ các tiêu chuẩn áp dụng luật đối với gói tin đó.
Phần Option bao gồm một thông điệp cảnh báo cùng với các thông tin liên quan đến các thành phần trong gói tin, được sử dụng để tạo ra cảnh báo Ngoài ra, phần này còn chứa các tiêu chuẩn phụ để bổ sung thông tin cần thiết.
Bài viết này tập trung vào việc tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhập trên SNORT Nó nêu rõ các phương pháp để phát hiện các hoạt động thăm dò hay tấn công, đồng thời nhấn mạnh tầm quan trọng của việc áp dụng các luật thông minh cho nhiều dấu hiệu xâm nhập khác nhau Việc sử dụng SNORT giúp tăng cường an ninh mạng bằng cách phát hiện và ngăn chặn các mối đe dọa tiềm tàng một cách hiệu quả.
Dưới đây là cấu trúc chung của phần Header của một luật Snort:
Hình 10 Header luật của Snort
Hành động trong quy định xác định loại hành động được thực hiện khi các dấu hiệu của gói tin được nhận diện chính xác theo luật đã định Thông thường, các hành động này có thể tạo ra cảnh báo, ghi lại thông điệp, hoặc kích hoạt một luật khác.
• Protocol: là phần qui định việc áp dụng luật cho các packet chỉ thuộc một giao thức cụ thể nào đó Ví dụ như IP, TCP, UDP …
Địa chỉ là thành phần quan trọng trong việc xác định nguồn và đích của dữ liệu, có thể là từ một máy đơn, nhiều máy hoặc một mạng Trong hai địa chỉ này, một sẽ là địa chỉ nguồn và một sẽ là địa chỉ đích, được phân định rõ ràng thông qua ký hiệu Direction “->”.
• Port: xác định các cổng nguồn và đích của một gói tin mà trên đó luật được áp dụng.
• Direction: phần này sẽ chỉ ra đâu là địa chỉ nguồn, đâu là địa chỉ đích Ví dụ: alert icmp any any -> any any (msg: “Ping with TTL0”;ttl: 100;)
Diễn giải: Phần đứng trước dấu mở ngoặc là phần Header của luật còn phần còn lại là phần Option Chi tiết của phần Header như sau:
Hành động của luật trong trường hợp này là "alert", tức là sẽ tạo ra một cảnh báo khi các điều kiện của gói tin phù hợp với luật Mỗi khi cảnh báo được kích hoạt, gói tin sẽ được ghi lại để theo dõi.
Luật áp dụng trong trường hợp này là ICMP, nghĩa là chỉ các gói tin thuộc loại ICMP mới bị chi phối bởi quy định này Do đó, nếu một gói tin không thuộc loại ICMP, phần còn lại của luật sẽ không cần phải xem xét.
Luật áp dụng cho tất cả các gói tin từ mọi nguồn với địa chỉ nguồn là “any”, trong khi cổng cũng được chỉ định là “any” Đối với gói tin ICMP, cổng không có ý nghĩa, và số hiệu cổng chỉ quan trọng đối với các gói tin TCP hoặc UDP.
Phần Option trong dấu ngoặc cung cấp cảnh báo "Ping with TTL0" khi phát hiện điều kiện TTL0 TTL, hay Time To Live, là một thông số quan trọng trong mạng, giúp xác định thời gian sống của gói tin trong hệ thống mạng.
Live là một trường trong Header IP.
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập thu nghiệm trên SNORT, cần nắm rõ cách thức hoạt động của nó SNORT là một công cụ mã nguồn mở, giúp phát hiện và ngăn chặn các mối đe dọa mạng thông qua việc phân tích lưu lượng Hệ thống này sử dụng các quy tắc để xác định các hành vi đáng ngờ và cảnh báo người quản trị Việc triển khai SNORT hiệu quả đòi hỏi kiến thức vững về mạng và các phương pháp bảo mật Bằng cách tối ưu hóa cấu hình và cập nhật thường xuyên, SNORT có thể bảo vệ hệ thống khỏi các cuộc tấn công mạng ngày càng tinh vi.
Như phần trên đã trình bày, Header của luật bao gồm nhiều phần Sau đây, là chi tiết cụ thể của từng phần một.
Hành động của luật (Rule Action) là phần đầu tiên của luật, xác định hành động nào sẽ được thực hiện khi các điều kiện của luật được thoả mãn Hành động chỉ được thực hiện khi tất cả các điều kiện đều phù hợp Trong các phiên bản trước của Snort, nếu nhiều luật phù hợp với một gói tin, chỉ một luật được áp dụng, và các luật tiếp theo sẽ không được xem xét Tuy nhiên, ở các phiên bản sau, tất cả các luật sẽ được áp dụng cho gói tin đó Snort đã định nghĩa sẵn 5 hành động: Pass, Log, Alert, Activate và Dynamic Khi chạy ở chế độ Inline mode, còn có thêm ba tùy chọn: Drop, Reject và Sdrop.
Hành động "Pass" trong Snort cho phép bỏ qua các gói tin không cần thiết, giúp tăng tốc độ hoạt động của hệ thống Điều này đặc biệt quan trọng khi không muốn áp dụng các kiểm tra cho một số gói tin nhất định Chẳng hạn, khi sử dụng bẫy để thu hút hacker, cần cho phép tất cả gói tin đến máy đó Tương tự, khi sử dụng máy quét để kiểm tra an toàn mạng, việc bỏ qua các gói tin từ máy quét là cần thiết.
• Log: Hành động này dùng để log gói tin Có thể log vào file hay vào cơ sở dữ liệu tuỳ thuộc vào nhu cầu của mình.
Khi phát hiện dấu hiệu xâm nhập, hệ thống sẽ gửi một thông điệp cảnh báo Có nhiều phương thức để truyền tải thông điệp này, bao gồm việc ghi ra file hoặc hiển thị trên Console Sau khi gửi thông điệp cảnh báo, gói tin sẽ được ghi lại để đảm bảo tính minh bạch và theo dõi.
• Activate: sử dụng để tạo ra một cảnh báo và kích hoạt một luật khác kiểm tra thêm các điều kiện của gói tin.
• Dynamic: Chỉ ra đây là luật được gọi bởi các luật khác có hành động là
• Drop: Chặn các gói tin và ghi vào Log.
• Reject: Chặn các gói tin, ghi vào Log và gửi lại một thông điệp có giao thức
• Sdrop: Chặn các gói tin giống Drop nhưng không ghi vào Log.
Các hành động do người dùng định nghĩa: một hành động mới được định nghĩa theo cấu trúc sau: ruletype action_name
{ action definition } ruletype là từ khoá.
Hành động được định nghĩa chính xác trong dấu ngoặc nhọn: có thể là một hàm viết
Tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập thử nghiệm trên SNORT là một chủ đề quan trọng trong lĩnh vực an ninh mạng SNORT, một công cụ mã nguồn mở, được sử dụng rộng rãi để phát hiện và ngăn chặn các mối đe dọa từ mạng Việc nắm vững cách thức hoạt động của hệ thống này giúp các chuyên gia bảo mật cải thiện khả năng bảo vệ hệ thống của họ Các phương pháp phát hiện và ngăn chặn tham nhập hiệu quả không chỉ giúp bảo vệ dữ liệu mà còn nâng cao sự tin cậy của hạ tầng công nghệ thông tin.
Ví dụ như: ruletype smb_db_alert
{ type alert output alert_smb: workstation.list output database: log, mysql, user=test password=test dbname=snort host
Chế độ ngăn chặn của Snort : Snort – Inline mode kết hợp iptables
3.5.1 Tích hợp khả năng ngăn chặn vào Snort Snort-inline là một nhánh phát triển của Snort do William Metcalf khởi xướng và lãnh đạo Đến phiên bản 2.3.0 RC1 của Snort, inline-mode đã được tích hợp vào bản chính thức do snort.org phát hành Sự kiện này đã biến Snort từ một IDS thuần túy trở thành một hệ thống có các khả năng của một IPS, mặc dù chế độ này vẫn chỉ là tùy chọn chứ không phải mặc định.
Snort 2.9.x đi kèm với DAQ (Data Acquisition) – bộ module và thư viện tiếp nhận và xử lý các gói tin I/O DAQ thay thế phương thức gọi trực tiếp đến thư viện libpcap bằng một lớp trừu tượng mà có thể hoạt động trên một loạt các phần cứng và phần mềm mà không cần phải thay đổi Snort Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trong snort Điều này được thực hiện bằng cách thay đổi module phát hiện và module xử lý cho phép snort tương tác với iptables Cụ thể, việc chặn bắt các gói tin trong Snort được thực hiện thông qua Netfilter và thư viện libpcap sẽ được thay thế bằng việc sử dụng ipqueue và thư viện libipq Hành
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập thu nghiêm trên SNORT, cần phân tích cách thức hoạt động của nó SNORT là một công cụ mã nguồn mở mạnh mẽ, được sử dụng để phát hiện và ngăn chặn các mối đe dọa mạng Nó hoạt động bằng cách theo dõi lưu lượng mạng và so sánh với các quy tắc đã được định nghĩa sẵn để phát hiện các hành vi bất thường Việc cấu hình đúng SNORT giúp tăng cường an ninh mạng và bảo vệ hệ thống khỏi các tấn công tiềm ẩn Các kỹ thuật tối ưu hóa và cập nhật thường xuyên là cần thiết để duy trì hiệu quả của hệ thống này.
3.5.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode Để hỗ trợ tính năng ngăn chặn của Snort-inline, một số thay đổi và bổ sung đã được đưa vào bộ luật Snort Đó là đưa thêm 3 hành động DROP, SDROP, INJECT và thay đổi trình tự ưu tiên của các luật trong Snort.
Hành động DROP yêu cầu iptables loại bỏ gói tin và ghi lại thông tin như hành động LOG.
Hành động SDROP cũng tương tự như hành động DROP, điều khác biệt là ở chỗ Snort sẽ không ghi lại thông tin như hành động LOG.
Hành động REJECT trong iptables là quá trình từ chối gói tin, trong đó iptables sẽ loại bỏ gói tin và gửi một thông báo về việc từ chối cho nguồn gửi Đáng lưu ý, hành động này không ghi lại bất kỳ thông tin nào liên quan.
Trình tự ưu tiên của các luật: Trong các phiên bản gốc, trình tự ưu tiên của các hành động trong Snort là : activation->dynamic-> alert->pass->log
Trong inline-mode, trình tự ưu tiên này được thay đổi như sau : activation->dynamic->pass->drop->sdrop->reject->alert->log
3.5.3 Chế độ Inline mode (Snort IPS)
Sau khi cài đặt Snort và DAQ, Snort sẽ hoạt động ở chế độ IDS, sử dụng các thư viện và module để phát hiện và cảnh báo các hành vi thâm nhập DAQ hỗ trợ Snort với ba chế độ: read-file, passive và inline, cùng với ba loại DAQ chính là pcap, afpacket và nfq.
Pcap (Packet Capture) là một tính năng mặc định trong DAQ hoạt động ở chế độ thụ động, cho phép chụp lại các gói tin trong mạng thông qua các thư viện Cách sử dụng Pcap giúp người dùng dễ dàng thu thập và phân tích dữ liệu mạng.
# snort daq pcap daq-mode passive
Afpacket là một công cụ chặn lọc gói tin trong DAQ hoạt động ở chế độ inline, sử dụng bộ đệm (buffer_size_mb) để tiếp nhận và xử lý các gói tin Khi Snort hoạt động ở chế độ inline mode với afpacket, thư viện af_packet.c được tải vào kernel để kích hoạt module apf (Advanced Policy Firewall), cho phép nó tương tác với iptables nhằm chặn lọc gói tin hiệu quả Afpacket nổi bật với hiệu suất xử lý chặn lọc cao.
Tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập thủ nghiệm trên SNORT là một chủ đề quan trọng trong lĩnh vực an ninh mạng Hệ thống này giúp phát hiện các mối đe dọa và ngăn chặn các cuộc tấn công vào mạng Việc áp dụng SNORT mang lại lợi ích lớn cho việc bảo vệ dữ liệu và hệ thống thông tin Thông qua việc phân tích lưu lượng mạng, SNORT có khả năng phát hiện các hành vi bất thường và phản ứng kịp thời để bảo vệ an toàn cho hệ thống.
# snort daq afpacket -i eth0:eth1
Nfq (NetFilter Queue) là một phương thức cũ hơn afpacket, cho phép chặn lọc gói tin trong DAQ ở chế độ inline Nó sử dụng module ipqueue và thư viện libipq để tải queue traffic từ iptables nhằm quyết định việc chặn lọc gói tin Ưu điểm của Nfq là không yêu cầu phần cứng cao, tuy nhiên, nhược điểm là hiệu suất xử lý chặn lọc gói tin không cao.
# iptables -A INPUT -p tcp dport 80 -j NFQUEUE queue-num 2
# snort daq nfq daq-var queue=2 -Q -l /var/log/snort -c /usr/local/snort/etc/snort.conf
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập thuốc nghiêm trọng trên SNORT, chúng ta cần xem xét cách thức hoạt động của nó SNORT là một công cụ mạnh mẽ giúp phát hiện và ngăn chặn các mối đe dọa an ninh mạng Việc triển khai hệ thống này không chỉ giúp bảo vệ dữ liệu mà còn tăng cường khả năng phòng thủ cho mạng lưới Nghiên cứu về các phương pháp phát hiện và ngăn chặn này là rất cần thiết để đảm bảo an toàn cho hệ thống thông tin.
TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT
Mô hình thử nghiệm
Môi trường giả lập: VMware Workstation Pro 12
Snort IDS/IPS: CentOS 6.8 – Vmnet 11: 192.168.11.11/24
Thử nghiệm phát hiện và ngăn chặn của snort
4.2.1 Ping Of Death attack prevent
To enhance network security, add the Ping Of Death detection rule to the file located at /etc/snort/rules/local.rules The rule is defined as follows: alert icmp any any -> $HOME_NET any (msg:" >Detected Ping Of Death!"; dsize:>20000; gid:1000001; sid:1000001; rev:1;) This configuration will help identify and alert on potential Ping Of Death attacks, which can disrupt network services.
Phía Attacker sẽ gửi gói tin icmp có kích thước lớn hơn 20000 (Ping Of Dead Attack Prevent):
Chạy snort IDS để kiểm tra Ping Of Dead Attack:
Tìm hiểu hệ thống phát hiện và ngăn chặn tham nhập thử nghiệm trên SNORT là một nhiệm vụ quan trọng trong việc bảo vệ an ninh mạng SNORT là một công cụ mã nguồn mở mạnh mẽ, được sử dụng để phát hiện và ngăn chặn các mối đe dọa từ bên ngoài Việc nghiên cứu cách thức hoạt động của hệ thống này giúp cải thiện khả năng phát hiện các cuộc tấn công và nâng cao hiệu quả bảo mật cho các tổ chức Thông qua việc triển khai SNORT, các chuyên gia an ninh có thể tối ưu hóa quy trình giám sát và phản ứng kịp thời trước các nguy cơ tiềm ẩn.
# snort -c /etc/snort/snort.conf -i eth1:eth2 -A console
Hình 12 Snort IDS đã phát hiện Ping Of Dead từ Attacker
Thêm rule ngăn chặn tấn công Ping Of Dead: drop icmp any any -> $HOME_NET any (msg:" >Da chan Ping Of Dead !"; dsize:>20000; gid:1000002; sid:1000002;rev:1;)
Chạy snort IPS để kiểm tra chặn Ping Of Dead:
# snort -i eth1:eth2 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập thu nghiệm trên SNORT, cần phân tích cách thức hoạt động của nó SNORT là một công cụ mã nguồn mở, chuyên dùng để phát hiện và ngăn chặn các cuộc tấn công mạng Hệ thống này hoạt động dựa trên việc phân tích lưu lượng mạng để phát hiện các hành vi bất thường Việc sử dụng SNORT giúp bảo vệ hệ thống khỏi các mối đe dọa tiềm tàng, đồng thời cung cấp thông tin chi tiết về các sự cố an ninh Để tối ưu hóa hiệu quả của SNORT, người dùng cần cấu hình đúng các quy tắc và cập nhật thường xuyên để đối phó với các phương thức tấn công mới.
Hình 13 Snort IPS đã phát hiện và chặn thành công Ping Of Dead từ Attacker
4.2.2 Port scan Nmap Attack Prevent
Implement a rule to detect Nmap scan attacks by using the following alert configurations: `alert tcp any any -> $HOME_NET any (msg:" >Detected SYN FIN Scan!"; flags: S; gid: 2000001; sid: 2000001;)` and `alert tcp any any -> $HOME_NET any (msg:" >Detected FIN Scan!"; flags: F; gid: 2000002; sid: 2000002;)` These rules help enhance network security by identifying potential scanning activities targeting your network.
The article discusses various network security alerts related to TCP scanning techniques It highlights the detection of a NULL scan, an XMAS scan, a full XMAS scan, and an URG scan, each triggering specific alerts within the system These alerts are essential for identifying potential malicious activities targeting the home network, with unique identifiers (gid and sid) assigned to each detection method for better tracking and management.
The article discusses the detection of specific TCP scan types within a network It highlights alerts for URG FIN scans and PUSH FIN scans aimed at the home network, indicating potential security threats Each alert is associated with unique identifiers (gid and sid) to facilitate tracking and response to these scanning activities.
The article discusses the detection and prevention of unauthorized intrusion attempts using SNORT, a network intrusion detection system It highlights the importance of understanding how to identify potential threats, particularly through the analysis of TCP ping scans conducted by tools like NMAP By implementing specific SNORT rules, such as the one that alerts on TCP packets with acknowledgment flags, network administrators can enhance their security measures and effectively monitor for suspicious activities within their networks.
Từ phía Attacker sử dụng nmap scan:
Kiểm tra phát hiện nmap scan attack:
# snort -c /etc/snort/snort.conf -i eth1:eth2 -A console
Hình 14 Snort IDS đã phát hiện thành công các gói tin có giao thức TCP SYN FIN scan từ
AttackerNếu muốn snort chặn scan nmap thì viết rule tương tự như chặn ping of dead.
Để hiểu hệ thống phát hiện và ngăn chặn tham nhập, cần phân tích các yếu tố chính của nó Hệ thống này đóng vai trò quan trọng trong việc bảo vệ dữ liệu và ngăn chặn các cuộc tấn công mạng Việc triển khai hiệu quả hệ thống phát hiện và ngăn chặn tham nhập giúp nâng cao an ninh thông tin, giảm thiểu rủi ro và bảo vệ tài sản số Các phương pháp và công nghệ hiện đại được sử dụng trong hệ thống này nhằm phát hiện sớm các mối đe dọa và phản ứng kịp thời.