Đang tải... (xem toàn văn)
oViệc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơnoNghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDSIPSoTriển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều. oViệc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang MỤC LỤC A. MỤC TIÊU CỦA VIỆC NGHIÊN CỨU VỀ IDS/IPS o Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn o Nghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS o Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều. o Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống. B. CẤU TRÚC CỦA ĐỒ ÁN: Đồ án này được chia làm 4 phần: I. Chương 1: Giới thiệu tổng quan về đồ án. II. Chương 2: Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS. III. Chương 3: Nghiên cứu ứng dụng của snort trong IDS và mô hình mô phỏng SNORT trên CentOS 5.8 final. SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang IV. Chương 4: Tổng kết những kết quả đạt được trong đồ án. SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang TỪ NGỮ CHUYÊN NGÀNH: IDS: Intrusion Detection System. IPS: Intrusion Prevention System Protocol : giao thức. NIDS:Network-Based Intrusion Detection Systems. HIDS:Host Based Intrusion Detection Systems Network Sensors: Switch Sensors Router Sensors Firewall Sensors Host Agents Trang 1 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang PHỤ LỤC BẢNG: Bảng so sánh IDS Cisco với Snort IDS: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 18 Bảng Các cờ sử dụng với từ khoá flags : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 38 Bảng các gói phụ thuộc khi cài snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 47 Trang 2 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang PHỤ LỤC HÌNH ẢNH: Hình 1: mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS):. . . . . . . . . . . . . . trang 9 Hình 2: Network IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 11 Hình 3: Host base IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 12 Hình 4: Cấu trúc IP header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 14 Hình 5: Cấu trúc TCP header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 15 Hình 6: Mô hình kiến trúc hệ thống Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 22 Hình 7: Xử lý một gói tin Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 23 Hình 8: Cấu trúc của Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 27 Hình 9: Header luật của Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 28 Mô hình snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 43 Base thể hiện % phần ICMP:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 44 Base thể hiện Portcan Traffic tăng từ 0% lên 1%:. . . . . . . . . . . . . . . . . . . . . . . .trang 45 Log webmin : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 54 Tích hợp snort vào webmin: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 55 Cài đặt snort vào webmin: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 56 Client Win XP Ping -t tới snort : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 60 Truy cập http://localhost/base: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 60 Thông tin (snort) base bắt được : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 61 ICMP Base phát hiện địa chỉ tấn công: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 61 15 cảnh báo gần đây nhất của snort base: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 62 Trang 3 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang Dùng wirshark bắt gió tin snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 62 Base ghi nhận được máy dùng Nmap scan port tới máy Snort: . . . . . . . . . . . . . . trang 63 Dùng Nmap từ win XP scan port snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 63 5 cảnh báo thường xuyên nhất của base snort: . . . . . . . . . . . . . . . . . . . . . . . . . . trang 64 Base hiển thị phần trăm ICMP: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 64 Nmap quét port tới snort, base hiển thị từ 0 1% : . . . . . . . . . . . . . . . . . . . . . . . trang 65 Trang 4 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang CHƯƠNG 1 : TỔNG QUAN I. Lý do chọn đề tài Em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến nhà quản trị mà nó còn cung cấp những thông tin sau: Các sự kiện tấn công. - Phương pháp tấn công. - Nguồn gốc tấn công. - Dấu hiệu tấn công. Một số lý do để thêm IDS cho hệ thống tường lửa là: - Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai. - Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa. - Làm cho nỗ lực tấn công bị thất bại. - Nhận biết các cuộc tấn công từ bên trong. II. Phân tích hiện trạng: Trang 5 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang - Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. - 4/7/2002, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. - Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. - Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. - Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp. - Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. III. Xác định yêu cầu: Yêu cầu bắt buộc: 1. IDS là gì. 2. Các thành phần của IDS. 3. Các mô hình IDS. 4. Các ứng dụng IDS phổ biến hiện nay. Trang 6 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang 5. Triển khai mô hình IDS demo trong mạng LAN. Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của một IDS. IV. Giới hạn và phạm vi nghiên cứu: - Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có tham gia kết nối internet. - Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập. - Tìm hiểu Snort IDS Software. V. Ý nghĩa thực tiễn của đề tài: - Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập. - Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. Trang 7 [...]... 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho Ping CHƯƠNG 3 : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS VÀ MÔ HÌNH THỰC NGHIỆM I Giới thiệu về snort Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm... các hoạt động tấn công hay xâm nhập đều có các dấu hiệu riêng Các thông tin về các dấu hiệu này sẽ được sử dụng để tạo nên các luật cho Snort Thông thường, các bẫy (honey pots) được tạo ra để tìm hiểu xem các kẻ tấn công làm gì cũng như các thông tin về công cụ và công nghệ chúng sử dụng Và ngược lại, cũng có các cơ sở dữ liệu về các lỗ hổng bảo mật mà những kẻ tấn công muốn khai thác Các dạng tấn công... trúc luật của Snort Diễn giải: Tất cả các Luật của Snort về logic đều gồm 2 phần: Phần header và phần Option • Phần Header chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát hiện ra có xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó • Phần Option chứa một thông điệp cảnh báo và các thông tin về các phần của gói tin dùng để tạo nên cảnh báo Phần Option... tính toàn ổn định,tòan vẹn và sẵn sàng của hệ thống IDS có thể phân biệt được những cuộc tấn công xuất phát từ bên ngoài hay từ chính bên trong hệ thống bằng cách dựa vào một database dấu hiệu đặc biệt về những cuộc tấn công (smurf attack, buffer overflow, packet sniffers….), cung cấp các thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị Khác nhau: IDS Cisco (còn có tên là NetRanger)... phần cứng và phần mềm trong một thiết bị chuyên dụng Giải pháp kỹ thuật của Cisco IDS là một dạng lai giữa giải mã (decode) và đối sánh (grep) Cisco IDS hoạt động trên một hệ thống Unix được tối ưu hóa về cấu hình và có giao diện tương tác CLI (Cisco Command Line Interface) quen thuộc của Cisco.Các hệ thống giải pháp IDS của Cisco • Network Sensors: cung cấp một thiết bị chuyên dụng với khả năng theo... Bro, OSSEC, là một giải pháp IDS dùng phần mềm mã nguồn mở Trong đó snort được đánh giá là IDS mã nguồn mở miễn phí đáng chú ý nhất với những tính năng rất mạnh với 400.000 người sử dụng đăng ký Chi tiết về Snort sẽ được trình bày trong phần chương III của đồ án tích hợp chức năng của IDS) • Host Agents- Bảo vệ server và desktop Bảng so sánh IDS Cisco với IDS Linux 7 Các phương thức tấn công 7.1 ARP Spoofing... người quản trị Dưới đây là một số kỹ thuật ngǎn chặn: Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp... được đưa vào môđun Log và cảnh báo để xử lý Khi các cảnh báo được xác định môđun Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần 1.1 Mođun giải mã gói tin Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống Hình sau mô tả việc một gói tin Ethernet sẽ... Host IDS Có khả năng xác định người dùng liên quan tới một sự kiện HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy Có thể phân tích các dữ liệu mã hoá Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra Trang 12 SVTH: Lê Sơn 3.2.2 GVHD: Ths.Nguyễn Đức Quang Hạn chế của Host IDS Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công... báo cho sự tấn công được phân tích ở trên 4.3 Phát hiện nhờ quá trình tự học Kỹ thuật này bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ . trang 64 Nmap quét port tới snort, base hiển thị từ 0 1% : . . . . . . . . . . . . . . . . . . . . . . . trang 65 Trang 4 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang CHƯƠNG 1 : TỔNG QUAN I. Lý do. đối với hệ thống mạng. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. Trang 7 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang CHƯƠNG 2 : TÌM HIỂU IDS I. Khái niệm: Hệ. . . . . . trang 61 15 cảnh báo gần đây nhất của snort base: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 62 Trang 3 SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang Dùng wirshark