• Nhiệm vụ chính của các hệ thống IDS/IPS bao gồm: o Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng các dấu hiệu của tấn công, xâm nhập; o Khi phát hiện các hành
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN HỌC PHẦN: THỰC TẬP CƠ SỞ BÀI THỰC HÀNH 6: Cài đặt cấu hình HIDS/NIDS Giảng viên hướng dẫn: Nguyễn Ngọc Điệp Tên sinh viên: Lưu Văn Hưng Mã sinh viên: B20DCAT088 Hà Nội, 2023 MỤC ĐÍCH - Luyện tập việc cài đặt vận hành hệ thống phát xâm nhập cho host (HIDS) - Luyện tập việc tạo chỉnh sửa luật phát công, xâm nhập cho hệ thống cho mạng (NIDS) phát xâm nhập thông dụng NỘI DUNG LÝ THUYẾT a) Tìm hiểu khái quát hệ thống phát công, xâm nhập, phân loại hệ thống phát xâm nhập, kỹ thuật phát xâm nhập - Khái quát: Các hệ thống phát hiện, ngăn chặn công, xâm nhập (IDS/IPS) lớp phòng vệ quan trọng lớp giải pháp đảm bảo an toàn cho hệ thống thơng tin mạng theo mơ hình phịng thủ có chiều sâu (defence in depth) IDS (Intrusion Detection System) hệ thống phát công, xâm nhập IPS (Intrusion Prevention System) hệ thống ngăn chặn công, xâm nhập Các hệ thống IDS/IPS đặt trước sau tường lửa mơ hình mạng, tùy theo mục đích sử dụng Hình 5.18 cung cấp vị trí hệ thống IDS IPS sơ đồ mạng, IDS thường kết nối vào switch phía sau tường lửa, cịn IPS ghép vào đường truyền từ cổng mạng, phía sau tường lửa • Nhiệm vụ hệ thống IDS/IPS bao gồm: o Giám sát lưu lượng mạng hành vi hệ thống để nhận dạng dấu hiệu công, xâm nhập; o Khi phát hành vi cơng, xâm nhập, ghi logs hành vi cho phân tích bổ sung sau này; o Ngăn chặn dừng hành vi công, xâm nhập; o Gửi thông báo cho người quản trị các hành vi công, xâm nhập phát • Về IPS IDS giống chức giám sát lưu lượng mạng kiện hệ thống Tuy nhiên, IPS thường đặt đường truyền thơng chủ động ngăn chặn công, xâm nhập bị phát Trong đó, IDS thường kết nối vào định tuyến, switch, card mạng chủ yếu làm nhiệm vụ giám sát cảnh bảo, khơng có khả chủ động ngăn chặn cơng, xâm nhập - Phân loại: Có phương pháp phân loại hệ thống IDS IPS, gồm (1) phân loại theo nguồn liệu (2) phân loại theo phương pháp phân tích liệu Theo nguồn liệu, có loại hệ thống phát xâm nhập: • Hệ thống phát xâm nhập mạng (NIDS – Network-based IDS): NIDS phân tích lưu lượng mạng để phát công, xâm nhập cho mạng phần mạng • Hệ thống phát xâm nhập cho host (HIDS – Host-based IDS): HIDS phân tích kiện xảy hệ thống/dịch vụ để phát cơng, xâm nhập cho hệ thống Hình 5.20 minh họa sơ đồ mạng, sử dụng NIDS để giám sát lưu lượng cổng mạng HIDS để giám sát host thông qua IDS agent Một trạm quản lý (Management station) thiết lập để thu nhập thông tin từ NIDS HIDS để xử lý đưa định cuối Theo phương pháp phân tích liệu, có kỹ thuật phân tích chính, gồm (1) phát xâm nhập dựa chữ ký, phát lạm dụng (Signature-based / misuse intrusion detection) (2) phát xâm nhập dựa bất thường (Anomaly intrusion detection) b) Tìm hiểu kiến trúc tính số hệ thống phát công, xâm nhập, Snort, Suricata, Zeek, OSSEC, Wazuh - Phát xâm nhập dựa chữ ký: • Phát xâm nhập dựa chữ ký trước hết cần xây dựng sở liệu chữ ký, dấu hiệu loại công, xâm nhập biết Hầu hết chữ ký, dấu hiệu nhận dạng mã hóa thủ cơng dạng biểu diễn thường gặp luật phát (Detection rule) • Bước sử dụng sở liệu chữ ký để giám sát hành vi hệ thống, mạng, cảnh báo phát chữ ký công, xâm nhập Ưu điểm lớn phát xâm nhập dựa chữ ký có khả phát cơng, xâm nhập biết cách hiệu Ngoài ra, phương pháp cho tốc độ xử lý cao, đồng thời yêu cầu tài ngun tính tốn tương đối thấp Nhờ vậy, hệ thống phát xâm nhập dựa chữ ký ứng dụng rộng rãi thực tế Tuy nhiên, nhược điểm phương pháp khơng có khả phát cơng, xâm nhập mới, chữ ký chúng chưa tồn sở liệu chữ ký Hơn nữa, địi hỏi nhiều cơng sức xây dựng cập nhật sở liệu chữ ký, dấu hiệu cơng, xâm nhập • Phát xâm nhập dựa bất thường dựa giả thiết: hành vi cơng, xâm nhập thường có quan hệ chặt chẽ với hành vi bất thường Quá trình xây dựng triển khai hệ thống phát xâm nhập dựa bất thường gồm giai đoạn: (1) huấn luyện (2) phát Trong giai đoạn huấn luyện, hồ sơ (profile) đối tượng chế độ làm việc bình thường xây dựng Để thực giai đoạn huấn luyện này, cần giám sát đối tượng khoảng thời gian đủ dài để thu thập đầy đủ liệu mô tả hành vi đối tượng điều kiện bình thường làm liệu huấn luyện Tiếp theo, thực huấn luyện liệu để xây dựng mơ hình phát hiện, hay hồ sơ đối tượng Trong giai đoạn phát hiện, thực giám sát hành vi hệ thống cảnh báo có khác biệt rõ nét hành vi hành vi lưu hồ sơ đối tượng • Ưu điểm phát xâm nhập dựa bất thường có tiềm phát loại công, xâm nhập mà không yêu cầu biết trước thông tin chúng Tuy nhiên, phương pháp có tỷ lệ cảnh báo sai tương đối cao so với phương pháp phát dựa chữ ký Điều làm giảm khả ứng dụng thực tế phát xâm nhập dựa bất thường Ngồi ra, tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng phân tích hành vi - Snort: Snort phần mềm IDS phát triển Martin Roesh dạng mã nguồn mở Snort ban đầu xây dựng Unix sau phát triển sang tảng khác Snort đánh giá cao khả phát xâm nhập Tuy snort miễn phí lại có nhiều tính tuyệt vời Với kiến trúc kiểu module, người dùng tự tăng cường tính cho hệ thống Snort Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, Solaris … Bên cạnh việc hoạt động ứng dụng bắt gói tin thơng thường, Snort cịn cấu hình để chạy NIDS • Kiến trúc Snort: Snort bao gồm modul + Module giải mã gói tin + Module tiền xử lý + Module phát + Module log cảnh báo + Module kết xuất thông tin Document continues below Discover more from: tập sở Thực LVK1911 Học viện Công ng… 148 documents Go to course Bài thực hành - Lê 23 Văn Kiên -… Thực tập sở 100% (3) De giua ki toan 10 nam 2022 2023… Thực tập sở 100% (3) bao cao bai tap lon 19 windows va linux Thực tập sở 100% (2) Bài thực hành - Lê 12 16 Văn Kiên -… Thực tập sở 100% (1) Bài thực hành - Lê Văn Kiên -… Thực tập sở 100% (1) B18DCQT017 Báo46 cáo-thực-tập-tốt-… Thực tập sở Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn • Module giải mã gói tin: Module giải mã gói tin bắt gói tin mạng lưu thơng qua hệ thống Bắt gói liệu tầng network (Ethernet, SLIP, PPP….); Một gói tin sau giải mã đưa tiếp vào module tiền xử lý Module tiền xử lý: Thực nhiệm vụ chính: Kết hợp lại gói tin: Khi liệu lớn gửi đi, thông tin khơng đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Agent hiểu phiên làm việc khác nhau; • Giải mã chuẩn hóa giao thức (decode/normalize): công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Phát xâm nhập bất thường (nonrule/anormal): xử lý xâm nhập khó phát luật thơng thường • Module phát hiện: Đây module quan trọng nhất, chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay không 100% (1) Một vấn đề quan trọng module phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Khi lưu lượng mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý module phát phụ thuộc vào nhiều yếu tố: số lượng luật, tốc độ hệ thống, băng thông mạng Một module phát có khả tách phần gói tin áp dụng luật lên phần gói tin: + IP header + Header tầng transport: TCP, UDP + Header tầng application: DNS, HTTP, FTP … + Phần tải gói tin • Module log cảnh báo: Tùy thuộc vào module phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log hay đưa cảnh báo Các file log file liệu ghi nhiều định dạng khác - Suricata: Suricata giải pháp IDS/IPS mã nguồn mở hiệu cho hệ thống mạng chưa đầu tư giải pháp IDS/IPS thương mại Nó xây dựng từ thành phần khác khả hoạt động tùy thuộc vào cách thức cấu hình, cài đặt cho hệ thống Ở chế độ mặc định xem chế hoạt động tương đối tối ưu cho việc phát dạng công mạng - Zeek: Zeek trình bày cơng cụ để hỗ trợ quản lý ứng phó cố an ninh Nó hoạt động cách bổ sung dựa chữ ký cơng cụ để tìm theo dõi kiện mạng phức tạp Nó đặc trưng cách cung cấp phản hồi nhanh, việc sử dụng nhiều luồng giao thức Nó khơng giúp xác định kiện bảo mật, mà nhằm mục đích tạo điều kiện khắc phục cố - OSSEC: OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mơ tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính tồn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị Ngoài việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows OSSEC cịn tích hợp trong hệ thống bảo mật lớn SIEM (Security information and event management) OSSEC cài đặt Windows với tư cách agent THỰC HÀNH Thực hành cài đặt snort - Đổi tên máy thành -Snort Thực hành cài đặt snort - Đổi tên máy thành -Snort Thực hành cài đặt snort -Đổi tên máy thành -Snort - Dùng câu lệnh: sudo apt install snort ( để cài đặt snort ) - Kiểm tra snort cài đặt thành công chưa -Dùng câu lệnh: sudo apt install snort ( để cài đặt snort ) -Kiểm tra snort cài đặt thành công chưa -Kiểm tra snort hoạt động không Bước 3: Tạo luật Snort để phát dạng rà qt, cơng hệ thống: + Phát gói tin ping từ máy gửi đến máy chạy Snort Hiển thị thông điệp phát hiện: “Mã SV-Tên SV-Snort phát có gói Ping gửi đến.” + Phát gói tin rà quét từ máy gửi đến máy chạy Snort cổng 80 Hiển thị thông điệp phát hiện: “Mã SV-Tên SV-Snort phát có gói tin rà quét cổng 80.” + Phát công TCP SYN Flood từ máy gửi đến máy chạy Snort Hiển thị thông điệp phát hiện: “Mã SV-Tên SV-Snort phát bị công TCP SYN Flood.” - Mở file config: sudo nano /etc/snort/rules/local.rules - Thêm config: #Rule1 alert icmp any any -> $HOME_NET any (msg:"B20DCAT088-LuuVanHung -Snort phat hien cac goi ping gui den";sid:10000002; rev:001;) #Rule2 alert tcp any any -> $HOME_NET 80 (msg:" B20DCAT088-LuuVanHung -Snort phat hien cac goi tin quet port 80" ;sid:10000003; rev:001;) #Rule3 alert tcp any any -> $HOME_NET any (msg:" B20DCAT088-LuuVanHung -Snort phat hien dang bi tan cong TCP SYN Flood" ;flags:S ; sid:10000004;rev:001;) Bước 4: Thực thi công phát sử dụng Snort sudo snort -A console -c /etc/snort/snort.conf Từ máy Kali, sử dụng lệnh ping để ping máy Snort Trên máy Snort kiểm tra kết phát giao diện terminal log Snort Từ máy Kali, sử dụng công cụ nmap để rà quét máy Snort (dùng lệnh: nmap -Pn -p80 -A 192.168.1.59) Trên máy Snort kiểm tra kết phát giao diện terminal log Snort + Từ máy Kali, sử dụng công cụ hping3 để công TCP SYN Flood máy Snort (dung lệnh: hping3 -c 15000 -d 120 -S -w 64 -p 80 flood rand-source địa IP máy Snort) Trên máy Snort kiểm tra kết phát giao diện terminal log Snort