I. Tổng quan về IDSIPS 1. Khái niệm về IDSIPS a. Định nghĩa : Intrusion Detection system ( IDS ) là một hệ thống giám sát hoạt động trên hệ thống mạng và phân tích để tìm ra các dấu hiệu vi phạm đến các quy định bảo mật máy tính, chính sách sử dụng và các tiêu chuẩn an toàn thông tin. Các dấu hiệu này xuất phát từ rất nhiều nguyên nhân khác nhau, như lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào các tài nguyên không được phép truy cập..v.v Intrusion Prevention system ( IPS ) là một hệ thống bao gồm cả chức năng phát hiện xâm nhập ( Intrusion Detection – ID ) và khả năng ngăn chặn các xâm nhập trái phép dựa trên sự kết hợp với các thành phần khác như Antivirus, Firewall hoặc sử dụng các tính năng ngăn chặn tích hợp. 2. Chức năng của IDSIPS a. Các ứng dụng cơ bản của hệ IDSIPS : (1) Nhận diện các nguy cơ có thể xảy ra (2) Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ (3) Nhận diện các hoạt động thăm dò hệ thống (4) Nhận diện các yếu khuyết của chính sách bảo mật (5) Ngăn chặn vi phạm chính sách bảo mật b. Các tính năng chính của hệ IDSIPS (1) Lưu giữ thông tin liên quan đến các đối tượng quan sát (2) Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát (3) Ngăn chặn các tấn công ( IPS ) (4) Xuất báo cáo 3. Kiến trúc của hệ IDSIPS a. Các phương pháp nhận diện Các hệ thống IDSIPS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia làm các phương pháp nhận diện chính sau: (1) Nhận diện dựa vào dấu hiệu ( Signaturebase detection ): sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với các mối nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh ( evasion techniques ), hoặc các biến thể. Signaturebased không thể theo vết và nhận diện trạng thái của các truyền thông phức tạp. (2) Nhận diện bất thường ( Abnormalybase detection ): so sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát nhằm xác định các độ lệch. Một hệ IDSIPS sử dụng phương pháp Anormalybase detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian. Sau khi đã xây dựng được tập các profile này , hệ IDSIPS sử dụng phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường. Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic. Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nên không chính xác, và cần phải được tái tạo định kỳ. Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dung kỹ thuật giấu ( evasion techniques ) Ưu điểm chính của phương pháp này là nó rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa được biết đến. Sự khác biệt giữa phương pháp Abnormalybase và Signaturebase
TRUNG TÂM ĐÀO TẠO AN NINH MẠNG ATHENA oOo HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP INTRUSI O N DETECTION AND PREVENTION SYSTEM Thực hiện : Nguyễn Thành Danh Đinh Công Chinh Lớp Security + I. Tổng quan về IDS/IPS 1. Khái niệm về IDS/IPS a. Định nghĩa : Intrusion Detection system ( IDS ) là một hệ thống giám sát hoạt động trên hệ thống mạng và phân tích để tìm ra các dấu hiệu vi phạm đến các quy định bảo mật máy tính, chính sách sử dụng và các tiêu chuẩn an toàn thông tin. Các dấu hiệu này xuất phát từ rất nhiều nguyên nhân khác nhau, như lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào các tài nguyên không được phép truy cập v.v Intrusion Prevention system ( IPS ) là một hệ thống bao gồm cả chức năng phát hiện xâm nhập ( Intrusion Detection – ID ) và khả năng ngăn chặn các xâm nhập trái phép dựa trên sự kết hợp với các thành phần khác như Antivirus, Firewall hoặc sử dụng các tính năng ngăn chặn tích hợp. 2. Chức năng của IDS/IPS a. Các ứng dụng cơ bản của hệ IDS/IPS : (1) Nhận diện các nguy cơ có thể xảy ra (2) Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ (3) Nhận diện các hoạt động thăm dò hệ thống (4) Nhận diện các yếu khuyết của chính sách bảo mật (5) Ngăn chặn vi phạm chính sách bảo mật b. Các tính năng chính của hệ IDS/IPS (1) Lưu giữ thông tin liên quan đến các đối tượng quan sát (2) Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát (3) Ngăn chặn các tấn công ( IPS ) (4) Xuất báo cáo 3. Kiến trúc của hệ IDS/IPS a. Các phương pháp nhận diện Các hệ thống IDS/IPS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia làm các phương pháp nhận diện chính sau: (1) Nhận diện dựa vào dấu hiệu ( Signature-base detection ): sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với các mối nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh ( evasion techniques ), hoặc các biến thể. Signature-based không thể theo vết và nhận diện trạng thái của các truyền thông phức tạp. (2) Nhận diện bất thường ( Abnormaly-base detection ): so sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát nhằm xác định các độ lệch. Một hệ IDS/IPS sử dụng phương pháp Anormaly-base detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian. Sau khi đã xây dựng được tập các profile này , hệ IDS/IPS sử dụng phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường. Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic. Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nên không chính xác, và cần phải được tái tạo định kỳ. Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dung kỹ thuật giấu ( evasion techniques ) Ưu điểm chính của phương pháp này là nó rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa được biết đến. Sự khác biệt giữa phương pháp Abnormaly-base và Signature-base (3) Phân tích trạng thái giao thức ( Stateful protocol analysis ) : Phân tích trạng thái protocol là quá trình so sánh các profile định trước của hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ lệch. Khác với phương pháp Anomaly-base detection, phân tích trạng thái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó quy định 1 protocol nên làm và không nên làm gì. "Stateful" trong phân tích trạng thái protocol có nghĩa là IDS/IPS có khả năng hiểu và theo dõi tình trạng của mạng, vận chuyển, và các giao thức ứng dụng có trạng thái. Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công khi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức. b. Cơ sở hạ tầng của IDS/IPS Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp. Intrusion detection system activities Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt ( Honeypot IDS ),cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS ) để phát hiện các cuộc tấn công có thể (xâm nhập). Một khi xâm nhập một đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS/IPS , bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức Intrusion detection system infrastructure H ệ thống IDS / IPS là mộ t thành ph ầ n c ủ a chính sách b ả o m ật. Trong số các nhi ệ m vụ IDS khác nhau, nh ậ n d ạ ng k ẻ xâm nh ậ p là mộ t trong nh ữ ng nhi ệ m vụ cơ b ả n. Nó có th ể h ữ u ích trong các nghiên cứ u giám định s ự c ố và tiế n hành cài đặ t các b ả n patches thích h ợ p để cho phép phát hi ệ n các cuộ c tấ n công trong tươ ng lai nh ắ m vào mụ c tiêu c ụ th ể c. Cấu trúc & kiến trúc của hệ IDS/IPS (1) Các thành phần cơ bản (a) Sensor / Agent : giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS (b) Manage m ent Server : là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng. 1 số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện. (c) Database server : dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server (d) Console : là 1 chương trình cung cấp giao diện cho IDS/IPS users / Admins. Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích. (2) Kiến trúc của hệ IDS/IPS Sensor là yếu tố cốt lõi trong một hệ thống IDS/IPS , nó mà có trách nhiệm phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối với sự xâm nhập. Sensor nhận dữ liệu thô từ ba nguồn thông tin chính : kiến thức cơ bản ( knowledge base ) của IDS, syslog và audit trail .Các thông tin này tạo cơ sở cho quá trình ra quyết định sau này Một ví dụ về hệ IDS. Chiều rộng mũi tên là tỷ lệ thuận với số lượng thông tin di chuyển giữa các thành phần của hệ thống Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu - một event generator. Dựa vào các chính sách tạo sự kiện nó xác định chế độ lọc thông tin thông báo sự kiện. Các event generator (hệ điều hành, mạng, ứng dụng) tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự kiện của hệ thống, hoặc các gói tin. Điều này, thiết lập cùng với các thông tin chính sách có thể được lưu trữ hoặc là trong hệ thống bảo vệ hoặc bên ngoài. Trong những trường hợp nhất định, dữ liệu không được lưu trữ mà được chuyển trực tiếp đến các phân tích ( thông thường áp dụng với các gói packet ). Các thành phần chính của 1 hệ IDS/IPS Các hệ thống IDS/IPS có thể được triển khai theo 2 hướng là tập trung và phân tán. Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS/IPS cùng với các thành phần an ninh khác như firewall. Triển khai phân tán ( distributed IDS ) bao gồm nhiều hệ IDS/IPS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp II. Phân loại IDS/IPS Phân loại các hệ IDS/IPS 1. Host-based IDS/IPS Mô hình vị trí của HIDS/IPS trong 1 hệ thống mạng Được triển khai trên từng host,thông thường là 1 software hoặc 1 agent, mục tiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện các hoạt động khả nghi. Host-based IDS/IPS thường được triển khai trên các host có tính chất quan trọng ( public servers, sensitive data servers ), hoặc 1 dịch vụ quan trọng ( trường hợp đặc biệt này được gọi là application-based IDS/IPS ). Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển khai thẳng hàng ngay phía trước host mà chúng bảo vệ. Mô hình triển khai Host-based IDS/IPS agent Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances. Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn. Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường hợp này người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host. Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau: (1) Khả năng ghi log. (2) Khả năng phát hiện (a) Phân tích mã ( phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện ) (b) Phân tích và lọc lưu lượng mạng (c) Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file ) (d) Phân tích log (e) Giám sát cấu hình mạng (3) Khả năng ngăn chặn (a) Phân tích mã: ngăn chặn thực thi mã độc (b) Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặn các dịch vụ hoặc giao thức không được phép (c) Giám sát filesystem: ngăn chặn việc truy cập, thay đổi filesystem (4) Các khả năng bảo vệ khác: ngăn chặn truy cập đến các removeable-media, củng cố bảo mật cho host, giám sát trạng thái các tiến trình… Các sản phẩm đại diện : Tripware, OSSEC, BroIDS, ISS, Samhain, Prelude-LML,Snort 2. Network-bases IDS/IPS Mô hình vị trí của NIDS/IPS trong 1 hệ thống mạng Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1 segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khả nghi. Thường được triển khai ở các biên mạng ( network border ). Hệ thống NIDS/IPS thường được triển khai trong 1 đoạn / mạng con riêng phục vụ cho mục đích quản trị hệ thống ( management network ), trong trường hợp không có mạng quản trị riêng thì 1 mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nối giữa các hệ NIDS/IPS. Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS, lựa chọn vị trí phù hợp cho các Sensor cũng là 1 vấn đề quan trọng ảnh hưởng đến khả năng detection của hệ NIDS/IPS. Trong hệ NIDS/IPS, các Sensor thường gặp ở 2 dạng là tích hợp phần cứng ( appliance-based ) và phần mềm ( software-only ). Người ta thường sử dụng 2 kiểu triển khai sau: Thẳng hàng ( Inline ): 1 Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó giống như trong trường hợp cùa firewall. Thực tế là 1 số Sensor thẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng. Mô hình triển khai Sensor kiểu thẳng hàng Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này. Thụ động ( Passive ): Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bản sao của các lưu lượng trên mạng. Thường được triển khai giám sát các vị trí quan trọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ như Server farm hoặc DMZ. Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning port ( hoặc Mirror port ), Network tap hoặc IDS loadbalancer. Mô hình triển khai Sensor kiểu thụ động Hệ thống NIDS/IPS cung cấp các khả năng về bảo mật sau: (1) Khả năng thu thập thông tin (a) Nhận dạng host (b) Nhận dạng hệ điều hành (c) Nhận dạng ứng dụng (d) Nhận dạng đặc điểm mạng (2) Khả năng ghi log (3) Khả năng nhận diện (a) Hoạt động thăm dò và tấn công trên các lớp ứng dụng,vận chuyển và mạng (b) Các dịch vụ ứng dụng không mong đợi ( unexpected application services ) (c) Vi phạm chính sách ( policy violations ) (4) Khả năng ngăn chặn (a) Kiểu thụ động: ngắt phiên TCP hiện tại (b) Kiểu thẳng hàng: thực hiện tác vụ firewall thẳng hàng, điều tiết băng thông sử dụng, loại bỏ các nội dung gây hại (c) Ngoài ra chức năng ngăn chặn còn có thể thay đổi cấu hình của 1 số thiết bị bảo mật cũng như thực thi các ứng dụng thứ 3 hoặc các script. Lưu ý khi triển khai NIDS/IPS: khi triển khai các hệ NIDS/IPS, 1 trong những điểm cần lưu ý là phải triển khai các Sensor ở dạng ẩn ( Stealth mode ). Trong dạng này, các interface của Sensor không được gán địa chỉ IP ( trừ interface quản lý ) để tránh việc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của kẻ tấn công. Điểm yếu của hệ thống NIDS/IPS chính là việc nó rất dễ bị ảnh hưởng bởi nhiều loại tấn công liên quan đến khối lượng lưu lượng mạng lớn ( large volume of network traffic ) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳng hàng. So sánh giữa HIDS va NIDS Chức năng HIDS NIDS Ghi chú Bảo vệ với mạng **** **** Cả hai loại đều có khả năng bảo vệ trong mạng Bảo vệ không mạng **** NIDS chỉ hoạt động trong môi trường mạng Dễ quản trị **** **** Độ linh hoạt **** ** NIDS kém linh hoạt vì liên quan đến hạ tầng mạng Giá *** * Chọn HIDS có lợi hơn nếu đúng yêu cầu bảo vệ Triển khai **** **** Cả HIDS và NIDS đều dễ triển khai Đào tạo sử dụng **** ** NIDS cần đào tạo nhiều hơn để có thể sử dụng Cost of Ownership *** ** Chi phí cho HIDS rẻ hơn với thời gian sử dụng dài Băng thông mạng 0 2 NIDS chiếm băng thông mạng , HIDS thì không Tổng chi phí mạng 1 2 NIDS chiếm gấp đôi chi phí mạng Spanning port **** NIDS cần có spanning port để quét network traffic Database update **** ** HIDS luôn tự động cập nhật cho clients Tương thích ** **** NIDS có sự tương thích với các nền tảng khác nhau Registry scan **** HIDS có khả năng quét registry Logging *** *** Cảnh báo *** *** Packet rejection **** Chỉ NIDS mới có chức năng loại bỏ packet Yêu cầu kiến thức riêng *** **** NIDS yêu cầu nhiều kiến thức để cài đặt và vận hành tốt Quản lý tập trung *** **** NIDS có tính quản lý tập trung cao hơn Nguy cơ bị vô hiệu hóa * **** NIDS có nguy cơ cao vì là Singe-point-of-Failure Multiple LAN detection **** ** HIDS có khả năng detect trên nhiều đoạn mạng hơn NIDS [...]... phí mã nguồn mở có khả năng phát hiện và phòng chống xâm nhập trái phép vào hệ thống mạng có khả năng phân tích thời gian thực lưu lượng mạng, và ghi log gói tin trên nền mạng IP Ban đầu được gọi công nghệ phát hiện và phòng chống xâm nhập hạng nhẹ, Snort đã dần phát triển và trở thành tiêu chuẩn trong việc phát hiện và phòng chống xâm nhập Với hơn 3,7 triệu lượt tải về và hơn 250 ngàn người dùng đăng... phòng chống xâm nhập Với hơn 3,7 triệu lượt tải về và hơn 250 ngàn người dùng đăng ký, Snort trở thành công nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất hiện nay Snort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó có thể phát hiện rất nhiều kiểu thăm dò và tấn công như buffer-overflow, stealth ports scanning, tấn công CGI, OS fingerprint, thăm dò SMB v.v Để có... dụng cơ chế phát hiện xâm nhập theo kiến trúc modular plug-ins Nó cũng có khả năng cảnh báo tức thời, kết hợp với các cơ chế cảnh báo syslog, tập tin người dùng chỉ định, Unix socket hoặc Winpopup message Snort có thể sử dụng với 3 kiểu chính : - Packet sniffer như tcpdump - Packet logger - Hệ thống phát hiện và phòng chống xâm nhập hoàn chỉnh 2 Chuẩn bị môi trường ( system prerequisites ) Hệ điều hành... của Honeypot IDS trong 1 hệ thống mạng Là 1 dạng IDS dựa trên phương pháp “mồi” & “bẫy”, tạo ra các hệ thống giả lập tương tự các hệ thống chính nhằm chuyển hướng tấn công của attacker vào hệ thống giả lập này từ đó quan sát dấu vết và truy vết tấn công III Cài đặt và cấu hình thử nghiệm IDS/IPS với Snort 1 Giới thiệu chung về Snort Snort được phát triển năm 1998 bởi Sourcefire và CTO Martin Roesch, là... được triển khai trong hệ thống mạng nhằm nhận diện các threats tạo ra các luồng traffic bất thường trong hệ thống ( DDoS, malwares… ) Thường được dùng để giám sát luồng traffic trong hệ thống nội bộ cũng như có thể giám sát luồng traffic giữa hệ thống trong và các hệ thống ngoài Mô hình triển khai NBAS Khác biệt giữa NBAS và NIDS/IPS ở chỗ NBAS phân tích lưu lượng mạng hoặc các thống kê trên lưu lượng... (ii) Rawbytes b Viết mới và thay đổi Snort rule (1) Các phương pháp chính - Chỉnh sửa rule có sẵn - Tạo 1 rule từ các kiến thức hệ thống mạng - Tạo 1 rule bằng việc phân tích lưu thông mạng (2) Một ví dụ cơ bản trong việc viết và chỉnh sửa Snort rule Để có thể viết hoặc sửa 1 Snort rule có hiệu quả và chỉ kích hoạt đúng với lưu thông mạng mà ta muốn, việc nghiên cứu và phát hiện ra các thuộc tính riêng... hoàn toàn so với các loại Sensor trong các hệ thống NIDS/IPS hay HIDS/IPS do đặc thù của mạng Wireless Thông thường các Wireless IDS/IPS thường được triển khai ở các khu vực mở của hệ thống mạng ( khu vực khách, công cộng … ), ở các vị trí có thể giám sát toàn bộ vùng sóng của mạng Wireless, hay được triển khai để giám sát trên 1 số băng tần và kênh xác định Hệ thống NIDS/IPS cung cấp các khả năng về... như hệ thống triển khai đã sử dụng 1 loại firewall khác (2) SnortSam SnortSam là 1 agent có tính năng tương tự Snort Inline, khi Snort phát hiện ra 1 vi phạm, nó cung cấp cảnh báo tương ứng với các điều kiện block cho trước đến 1 hoặc nhiều SnortSam agent được cài đặt tích hợp trên firewall hoặc có kết nối đến firewall, Agent này sẽ yêu cầu firewall block kết nối SnortSam đang được phát triển và ngày...Trong thực tế, NIDS/IPS thường được sử dụng tại biên mạng nhằm phát hiện các dấu hiệu tấn công và hạn chế các tấn công này ở mức network Đối với những máy chủ hoặc máy client quan trọng, việc bổ sung HIDS cho các máy này là cần thiết để tăng cường khả năng bảo mật khi kết hợp với các hệ NIDS trong cùng hệ thống Các sản phẩm đại diện : Snort, ISS, Juniper IDS, Tipping Point IDS, Trustware... BASE 1.4.4 Barnyard2 Apache 3 Cài đặt Snort ( Installing Snort ) Sau khi cài đặt xong hệ điều hành,giả sử ta tạo 1 user tên là ids_usr và login Mở CLI, login as root user Sudo bash Việc đăng nhập root user nhằm mục đích thuận lợi cho quá trình cài đặt, không phải dùng lệnh sudo, cũng như dễ dàng truy cập các thư mục hệ thống Cài đặt các gói phần mềm hỗ trợ : • • • • • • • • • • • • • • mysql-client-5.0 . năng phát hiện và phòng chống xâm nhập trái phép vào hệ thống mạng có khả năng phân tích thời gian thực lưu lượng mạng, và ghi log gói tin trên nền mạng IP. Ban đầu được gọi công nghệ phát hiện và. nghệ phát hiện và phòng chống xâm nhập hạng nhẹ, Snort đã dần phát triển và trở thành tiêu chuẩn trong việc phát hiện và phòng chống xâm nhập. Với hơn 3,7 triệu lượt tải về và hơn 250 ngàn người. nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất hiện nay. Snort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó có thể phát hiện rất nhiều kiểu thăm dò và