Đang tải... (xem toàn văn)
Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng snortsnortsam
TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT/SNORTSAM SV: Nguyễn Văn Quang GVHD: Th.S Nguyễn Đăng Quang Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh Khoa Đào tạo Chất lượng cao Nội dung 2 Giới thiệu về IDS Snort/SnortSam Luật của Snort Demo Kết quả Mục tiêu đề tài 3 Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm, kiến trúc, kỹ thuật phát hiện xâm nhập. Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển khai trong hệ thống mạng. Phân tích các dấu hiệu tấn công, hình thành các luật tương ứng. Demo trên mô hình ảo. Giới thiệu về IDS 4 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. 5 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. “Xâm nhập máy tính” là hành động cố tình truy cập mặc dù không được phép hoặc tìm cách vượt qua quyền đã có để truy xuất các tài nguyên không được phép. 6 Giới thiệu về IDS 7 IDS Giám sát/theo dõi Xác định Báo cáo 8 Giới thiệu về IDS 9 Giới thiệu về IDS Phân loại IDS 10 Network-based IDS Snort Suricata Cisco, Juniper, Lactien JSC Host-based IDS Tripwire Symantec HIDS OSSEC [...]... IDS 11 Host-based IDS 12 Kỹ thuật phát hiện xâm nhập Phát hiện dựa trên sự bất thường Phát hiện dựa trên dấu hiệu 13 Anomaly Based ID Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này 14 Anomaly Based ID Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này Ví dụ:... của các hình thức xâm nhập đã biết trước Ưu điểm: × Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết trước × Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật xâm nhập 18 Misuse/Signature Base ID Nhược điểm: × Thường xuyên cập nhật các dấu hiệu nhận biết các cuộc tấn công × Các dấu hiệu cần phải được thiết kế một cách chặt chẽ nếu không thể phát hiện được các cuộc... vượt quá 65.535 bytes × Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy định trong một khoảng thời gian 15 Anomaly Based ID Ưu điểm: Phát hiện được các cuộc tấn công chưa được biết đến Cung cấp các thông tin để xây dựng các dấu hiệu 16 Anomaly Based ID Ưu điểm: Phát hiện được các cuộc tấn công chưa được biết đến Cung cấp các thông tin để xây dựng các dấu hiệu Nhược điểm:... Gửi tới phần cảnh báo và logging 24 Output (alert/logging) Thành phần này giúp định dạng và trình bày đầu ra cho người quản trị hệ thống Phần logging có nhiệm vụ lưu trữ các gói tin đã được kích hoạt Các cảnh báo và log có thể được gửi thông qua SMB popup, UNIX socket, SNMP hoặc lưu trữ xuống MySQL, PostgerSQL 25 Output Ngoài ra còn có rất nhiều các add-on khác cung cấp việc nhận và phân tích các dữ... hướng 31 Rule Header Rule Action x Alert x Log x Pass x Drop x sdrop Protocol (IP, ICMP, UDP, TCP) Source/Destination IP Port Điều hướng 32 Rule Options Là trung tâm của việc phát hiện, chứa các dấu hiệu để phát hiện xâm nhập Gồm 4 loại: × General × Payload × Non-Payload × Post-detection 33 Rule Options rev classtype msg sid priority General nocase distance depth content within sameip offset pcre... 28 SnortSam Snort Output Plugin (alert_fwsam): Module này sẽ được kích hoạt sau khi một luật trong Snort được kích hoạt Làm nhiệm vụ giao tiếp và gửi thông tin đến Agent Blocking Agent: Giao tiếp trực tiếp với firewall, nhận một thông điệp từ phần alert_fwsam và yêu cầu firewall chặn các địa chỉ theo yêu cầu 29 Luật (rule) Ví dụ: Nếu có người cố gắng mở cửa ô tô, thì còi xe sẽ hú Cấu trúc: Rule Header... phát hiện được các cuộc tấn công biến thể 19 Snort/SnortSam 20 Kiến trúc của Snort Snort Packet Stream Packet Decoder Preprocessors Packet Capture Detection Engine Output 21 Packet Decoder Một gói tin đi vào Packet Giải mã cấu trúc của gói tin Ethernet Header IP Header TCP Header Payload 22 Preprocessors Cung cấp 2 chức năng chính là: × Bình thường hóa các giao thức giúp trình bày dữ liệu theo các định . TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT/SNORTSAM SV: Nguyễn Văn Quang GVHD: Th.S. tài 3 Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm, kiến trúc, kỹ thuật phát hiện xâm nhập. Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển khai trong hệ thống mạng. Phân tích. Host-based IDS 12 Kỹ thuật phát hiện xâm nhập 13 Phát hiện dựa trên sự bất thường. Phát hiện dựa trên dấu hiệu. Anomaly Based ID 14 Là kỹ thuật phát hiện ra các mẫu hành vì khác xa