ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH MỤC LỤC GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH LỜI CẢM ƠN Tôi xin gửi lời cảm ơn tới thầy Nguyễn Hịa khoa Cơng Nghệ Thông Tin trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn giúp đỡ tận tình để tơi thực hồn thành đồ án chun ngành Và chân thành cảm ơn thầy cô khoa Công Nghệ Thông Tin tạo điều kiện cho thực đồ án Mặc dù có nhiều cố gắng thời gian trình độ có hạn nên đồ án cịn nhiều thiếu sót Tơi mong nhận ý kiến đóng góp quý báo từ thầy cố bạn.I Giới hạn đề tài mục tiêu 1.1 Giới hạn đề tài IDS khơng cơng cụ phân tích gói tin mạng, từ đưa cảnh báo đến nhà quản trị mạng Tôi thực đề tài với mong muốn tìm hiểu, nghiên cứu đặc trưng hệ thống phát ngăn chặn xâm nhập IDS Với vai trị cơng cụ bảo mật bổ sung cho công cụ hay phần mềm phổ biển để tang mức độ an toàn hệ thống hành IDS có hai phần NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System) tơi nghiên cứu phần HIDS HIDS tơi giới hạn nghiên cứu phần Install phần mềm bên máy client cài đặt cấu hình Server quản trị server phát 1.2 Mục tiêu đề tài - Nắm hệ thống phát xâm nhập : khái niệm IDS, thành phần IDS, mô hình, ứng dụng IDS phổ biến - Tìm hiểu nguy xâm nhập trái phép hệ thống mạng - Tìm hiểu kỹ thuật việc phát ngăn chặn xâm nhập GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUN NGÀNH - Đưa giải pháp an ninh hữu ích cho hệ thống mạng tổ chức, doanh nghiệp - Xây dựng demo để mô tả việc Install software client dấu hiệu nhận biết từ server phát sinh từ file logs II Phương pháp môi trường thực 2.1 Phương pháp - Sử dụng phần mềm mã nguồn mở Ossec để xây dựng hệ thống ngăn chặn xâm - nhập Xây dựng Ossec server hệ điều hành Ubuntu xây dựng Ossec agen hệ điều hành window xp Từ ta xây dựng hệ thống phát xâm nhập từ kẻ xâm nhập gửi cảnh báo tới Server nhà quản trị giám sát 2.2 Môi trường thực Đề tài thực môi trường Linux, nghĩa máy server cài Ubuntu máy client cài Window Xp Thực hai máy laptop, mơ hình đại diện cho nhà quản trị mạng quản trị đứng máy server cài Unbuntu nhân viên dùng máy Xp đại diện Khi máy client (xp) cài phần mềm mà khơng có cho phép quản trị thị họ biết III Nội dung đề tài 3.1 Hệ thống phát xâm nhập IDS (Intrusion Detection System) 3.1.1 Khái niệm Hệ thống phát xâm nhập (Intrusion Detection System – IDS) hệ thống phần cứng phần mềm có chức giám sát lưu thông mạng, tự động theo dõi kiện xảy hệ thống máy tính, phân tích để phát vấn đề liên quan đến an ninh, bảo mật đưa cảnh báo cho nhà quản trị Ngoài IDS đảm nhận việc GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUN NGÀNH phản ứng lại với lưu thông bất thường hay có hại hành động thiết lặp trước khóa người dùng hay địa ip nguồn truy cập hệ thống mạng IDS phân biệt công từ bên (từ người công ty), hay công bên (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống ) để tìm dấu hiệu khác thường 3.1.2 Các thành phần, cấu trúc chức IDS 3.1.2.1 IDS bao gồm thành phần chính: Thành phần thu thập gói tin, thành phần có nhiệm vụ lấy gói tin đến mạng Thơng thường gói tin có địa khơng phải cart mạng bị cart mạng hủy bỏ cart mạng IDS đặt chế độ thu nhận tất Bộ phận thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì… Các thông tin chuyển đến thành phần phát cơng Thành phần phát gói tin, thành phần này, cảm biến đóng vai trị định Vai trò cảm biến dung để lọc thông tin loại bỏ thong tin liệu khơng tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ Thành phần phản hồi, có dấu hiệu công thâm nhập, thành phần phát cơng gửi tín hiệu báo hiệu (alert) có công thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức ngăn chặn công hay cảnh báo tới người quản trị 3.1.2.2 Chức Cảnh báo thời gian thực gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng Ghi lại vào tập tin, liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho module phát công hoạt động GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUN NGÀNH Ngăn chặn thai đổi gói tin, gói tin khớp với dấu hiệu cơng IDS phản hồi cách xóa bỏ, từ chối hay thay đổi nội dung gói tin, làm cho gói tin trở nên khơng bình thường 3.1.2.3 Cấu trúc IDS 3.1.2.3.1 Các thành phần Sensor/ Agent giám sát phân tích hoạt động “Sensor” thường dùng cho dạng Network-base IDS/IPS “Agent” thường dùng cho dạng Host-base IDS/IPS Management Server thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng Một số Management Server thực việc phân tích thơng tin việc cung cấp Sensor / Agent nhận dạng kiện dù Sensor / Agent đơn lẻ nhận diện Database Server dùng lưu trữ thông tin từ Sensor / Agent hay Management Server Console Là chương trình cung cấp giao diện cho IDS/IPS users / Admins Có thể cài đăt máy tính bình thường dùng để phục vụ cho tác vụ quản trị, để giám sát, phân tích 3.1.3 Phân loại 3.1.3.1 Network Base IDS (NIDS) Hệ thống IDS dựa mạng sử dụng dò cảm biến cài đặt tồn mạng Những dị theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mơ tả sơ lược định nghĩa dấu hiệu Thường dùng để giám sát, phân tích hoạt động hệ thống mạng segment, phân tích mạng, giao thức ứng dụng từ nhận diện hoạt động khả nghi Thường triển khai biên mạng ( network border ) Hệ thống NIDS/IPS thường triển khai đoạn / mạng riêng phục vụ cho mục đích quản trị hệ thống ( management network ), trường hợp khơng có mạng GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUN NGÀNH quản trị riêng mạng riêng ảo ( VLAN ) cần thiết để bảo vệ kết nối hệ NIDS/IPS Bên cạnh việc lựa chọn vị trí mạng phù hợp cho thành phần hệ NIDS/IPS, lựa chọn vị trí phù hợp cho Sensor vấn đề quan trọng ảnh hưởng đến khả detection hệ NIDS/IPS Trong hệ NIDS/IPS, Sensor thường gặp hai dạng tích hợp phần cứng (appliance-based) phần mềm ( software-only ) Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) Sensor thẳng hàng đặt cho lưu lượng mạng mà giám sát xuyên qua giống trường hợp cùa firewall Thực tế số Sensor thẳng hàng sử dụng loại lai firewall NIDS/IPS, số khác NIDS túy Động việc triển khai Sensor kiểu thẳng hàng dừng cơng việc chặn lưu lượng mạng ( blocking network traffic ) Sensor thẳng hàng thường triển khai vị trí tương tự với firewall thiết bị bảo mật khác: ranh giới mạng Sensor thẳng hàng cịn triển khai vùng mạng bảo mật phía trước thiết bị bảo mật firewall để bảo vệ giảm tải cho thiết bị Thụ động (Passive), Sensor kiểu thụ động triển khai cho giám sát lưu lượng mạng, thường triển khai giám sát vị trí quan trọng mạng hư ranh giới mạng 3.1.3.2 Host Base IDS (HIDS) HIDS thường cài đặt máy tính định Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính Được triển khai host,thơng thường software agent, mục tiêu giám sát tính chất bản, kiện liên quan đến thành phần nhằm nhận diện hoạt động khả nghi Host-based IDS/IPS thường triển khai host có tính chất quan trọng ( public servers, sensitive data servers ), dịch vụ quan trọng ( trường hợp đặc biệt gọi application-based IDS/IPS ) Quá trình triển khai agent HIDS/IPS thường đơn giản chúng phần mềm cài đặt trực tiếp lên host Application-based agent thường triển khai GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH thẳng hàng phía trước host mà chúng bảo vệ Một lưu ý quan trọng việc triển khai hệ thống Host-based IDS/IPS cân nhắc việc cài đặt agent lên host hay sử dụng agent-based appliances Trên phương diện phát ngăn chặn xâm nhập, việc cài đặt agent lên host khuyến khích agent tương tác trực tiếp với đặc tính host qua phát ngăn chặn cách hiệu Tuy nhiên, agent thường tương thích với số hệ điều hành định nên trường hợp người ta sử dụng thiết bị Một lý khác để sử dụng thiết bị việc cài đặt agent lên host ảnh hưởng đến performance host Hệ thống HIDS/IPS cung cấp khả bảo mật sau: - Khả ghi log - Khả phát + Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh sách ứng dụng hàm thư viện) + Phân tích lọc lưu lượng mạng + Giám sát filesystem ( kiểm tra tính tồn vẹn,thuộc tính,truy cập file ) + Phân tích log + Giám sát cấu hình mạng - Khả ngăn chặn 3.1.3.2.1 Ưu nhược điểm HIDS Ưu điểm - Có khả xác định người dung liên quan tới kiện - Hids có khả phát cơng diễn máy - Có thể phân tích liệu mã hóa - Cung cấp thông tin host lúc công diễn Nhược điểm - Thông tin từ HIDS không đáng tin cậy công vào host thành công - Khi hệ điều hành bị hạ công, đồng thời HIDS bị hạ - Hids phải thiết lập host giám sat GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUN NGÀNH - Hids khơng có khả phát dò mạng - Hids cần tài nguyên Host để hoạt động - Đa số chạy hệ điều hành window Tuy nhiên có số chạy linux chặng hạng Ubuntu 3.1.3.2.2 Các hoạt động Hids Khi lưu lượng truyền tải đến host chúng phân tích đưa qua host hệ thống khơng phát thấy gói tin mang mã nguy hiểm bên HIDS thường sử dụng cho máy tính nội NIDS dùng cho mạng HIDS thường sử dụng cho Windows giới máy tính, nhiên có nhiều sản phẩm hoạt động môi trường UNIX hệ điều hành khác 3.2 Ứng dụng OSSEC giám sát cài đặt software Workstation 3.2.1 Tổng quan OSSEC Ossec hệ thống phát xâm nhập mã nguồn mở, xác HIDS (Host IDS) thực phân tích đăng nhập, kiểm tra tính tồn vẹn file, giám sát sách, phát rootkit, thời gian thực cảnh báo phản ứng tích cực Nó chạy hầu hết hệ điều hành , bao gồm Linux, hệ điều hành MacOS, Solaris, HP-UX, AIX Windows Kiểm tra tính OSSEC cách thức hoạt động để biết thêm thơng tin cách OSSEC giúp bạn giải vấn đề an ninh dựa máy chủ bạn OSSEC tảng đầy đủ để theo dõi kiểm soát hệ thống bạn Nó trộn lẫn với tất khía cạnh HIDS (dựa máy chủ phát xâm nhập), giám sát đăng nhập SIM / SIEM với giải pháp mã nguồn đơn giản, mạnh mẽ cởi mở Nó hỗ trợ hỗ trợ đầy đủ Trend Micro OSSEC cho phép khách hàng cấu hình cố họ muốn cảnh báo cho phép họ tập trung vào nâng cao ưu tiên cố quan trọng tiếng ồn thường xuyên hệ thống Tích hợp với SMTP, tin nhắn nhật ký hệ thống cho phép khách hàng đầu trang cảnh báo cách gửi e-mail thiết GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH bị cầm tay điện thoại di động máy nhắn tin Tùy chọn hoạt động phản ứng để ngăn chặn công có sẵn 3.2.2 Cài đặt OSSEC 3.2.2.1 Yêu cầu hệ thống Phần cứng: Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp Tuy nhiên muốn OSSEC hoạt động cách hiệu ta cần CPU có tốc độ xử lý nhanh , nhớ lớn , bus cao dung lượng ổ cứng lớn log file OSSEC sinh nhiều lớn theo thời gian Hệ điều hành: OSSEC hỗ trợ nhiều hệ điều hành khác Windows, Ubuntu, CentOs,… Các yêu cầu khác: Có hỗ trợ C, C++ để biên dịch OSSEC từ Sources code 3.2.2.2 Cài đặt ossec server Ta cài đặt OSSEC từ Souce code gói RPM Theo kinh nghiệm nên download source code sau biên dịch để cài đặt dùng gói binary có sẵn Vì cài đặt từ source code cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan trọng OSSEC kết hợp với nhiều database để lưu trữ Download OSSEC từ địa : http://www.ossec.net Sau download file cài đặt ta giải nén tiến hành cài đặt chọn ngôn ngữ, ta chọn en GVHD: THẦY NGUYỄN HỊA ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH Tiếp theo, ta chọn cài đặt OSSEC server Và ta chọn nơi lưu: Bước ta thực cấu hình.Ở bước tơi khơng cần Mail nên chọn No Tất bước ta chọn yes hết trình cài đặt ta chờ kết thúc GVHD: THẦY NGUYỄN HỊA 10 ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH Và trình cài đặt kết thúc 3.2.2.3 Cài đặt ossec agent Phần cài đặt ossec agent tiến hành cài đặt mày window xp.Ta tải chương trình cài đặt tiến hành cài đặt bình thường chương trình khác Và giao diện cuối GVHD: THẦY NGUYỄN HÒA 11 ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH Bước ta qua Ossec server để lấy địa key đế connec đến ossec server có giao diện sao: Và ta tiến hành tạo client agent đế ossec agent kết nối tới server, sau có key tiến hành nhập vào hộp thoại osses agnent GVHD: THẦY NGUYỄN HÒA 12 ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH Và trình kết nối tới server thành cơng 3.3 Nguy từ việc cài đặt soft Workstation Một phần mềm cài đặt vào máy tính cốt yếu hai điều sau, thứ nhân viên máy Client tự ý cài đặt phần mềm, thứ hai máy Client lướt web có trang quảng cáo, hay trang web độc hại có chức tự cài đặt phần mềm vào máy tính truy cập vào trang web Nguy đặt soft máy client bị nhiễm mã độc có phần mềm cài Và nguy lớn cài đặt phần mềm malware, chúng chí GVHD: THẦY NGUYỄN HỊA 13 ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH giả mạo dịch vụ phần mềm máy cập nhật, thay vá phần mềm bảo mật malware lại tải cài đặt lên hệ thống • • • • • • • • • • • • Và vấn đề tất yếu gặp phải mã độc : Làm chậm máy, gây lỗi máy mã độc Gây hiển thị thơng báo lỗi liên tục Khơng thể tắt máy tính hay khởi động lại malware trì cho process định hoạt động Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân liệu từ máy tính “Cướp” trình duyệt, làm chuyển hướng người dùng đến site có chủ đích Lây nhiễm vào máy sử dụng máy làm vật chủ quảng bá nhiều file khác hay thực công khác Gửi spam đến hộp thư người dùng Gửi email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty Cấp quyền kiểm soát hệ thống tài nguyên cho kẻ công Làm xuất công cụ Tạo biểu tượng hình desktop Chạy ngầm khó bị phát lập trình tốt 3.4 Dấu hiệu nhận biết trình thực 3.4.1 Dấu hiệu nhận biết Khi cài đặt phần mềm vào máy tính nhận biết thông qua file registry, vào đường dẫn để phát HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVes\Uninstall GVHD: THẦY NGUYỄN HÒA 14 ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH 3.4.2 Thực cài đặt cấu hình để Admin phát client cài đặt phần mềm Ta sử dụng Ossec để theo dõi tình hình cài đặt phần mềm máy client Vì qua việc quản lý chặt chẽ ta khơng có nhiều thời gian để kiểm tra máy client nhân viên công ty chẳng hạn Mặc định admin đả cài đầy đủ ứng dụng để nhân viên hồn thành tốt phần việc mình, nhu cầu cá nhân nên họ cài đặt vào máy phần mếm khơng khả dụng Admin dung ossec để theo dõi trình cài đặt nhân viên thơng qua file cấu hình file win_audit ossec agent Ta vào đường dẫn để đến file win_audit : Ta tiến hành cấu hình file win_audit_rcl sau: Vì ossec có hỗ trợ sẵn cho ta rule có rule phát cài đặt phần mềm, ta việc cấu hình file win_audit sử dụng thơi GVHD: THẦY NGUYỄN HỊA 15 ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH Đầu tiên ta phải cài đặt phần mềm có msi, tơi cài đặt chương trình yahoo có chương trình Microsoft visual C ++ 2005 có msi Và admin cần máy ossec server mở file logs kiểm tra Ta vào ossec server vào câu lệnh sau để xem kết từ file logs: cat /var/ossec/logs/alerts/2013/Jul/ossecalerts-02.log Sau xem ta biết rule dùng để phát hiền phần mềm cài chình rule 18147 (level 5) 3.3.2 Rule giám sát việc cài đặt software Ossec xây dựng rule sẵn với số id 1847 cần dùng thơi.Khi cài gói ứng dụng msi ghi vào log event viewer Ossec xây dựng decoder event Windows sau tạo alert GVHD: THẦY NGUYỄN HÒA 16 ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH 18101 ^11707 alert_by_email Application Installed. IV Nhận xét Hệ thống phát xâm nhâp (IDS) xuất sau đóng vai trị khơng phần quan trọng IDS giúp người khám phá, phân tích nguy cơng từ ta vạch phương án phịng chống Ở góc độ đó, lần tìm thủ phạm gây công.Một tổ chức lớn thiếu IDS Sau thực đề tài tơi biết rõ chế hoạt động hệ thống phát xâm nhập IDS Cài đặt cấu hình hệ thơng phát xâm nhập mạng cục dựa vào phần mềm OSSEC Và cụ thể biết hệ thống phát xâm nhập dùng HIDS, hệ thống giúp giám sát tình trạng install software từ máy client, việc cài đặt không phân biệt nhân viên cài hay tự cài từ việc nhân viên truy cập trang web nhà quản trị giám sát từ cảnh báo mà ossec agent gửi cảnh báo tới ossec server cụ thệ dấu hiệu nhận biết file logs phát sinh từ ossec server Vì đề tài nghiên cứu khía cạnh IDS nên nội dung đề tài không phản ánh đầy đủ vấn đề chi tiết IDS Nhưng sau thực xong đề tài hướng tơi nghiên cứu sâu IDS nhằm đáp ứng nhu cầu kiến thức công việc liên quan sau TÀI LIỆU THAM KHẢO http://hocit.com/forum/ids-trong-bao-mat-he-thong-mang- 10717.html]http://www.quantrimang.com.vn/kienthuc/kien-thuc-coban/37334_He_thong_phat_hien_xam_pham_IDS_Phan_1_.aspx GVHD: THẦY NGUYỄN HỊA 17 ĐH CƠNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH http://www.quantrimang.com.vn/hethong/lan- wan/38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspxhttp://vnpro.org/fo rum/showthread.php?t=12607 http://ddcntt.vn/forum/archive/index.php/t-244.html http://www.hvaonline.net/ http://ossec.net https://groups.google.com/forum/#!forum/ossec-list GVHD: THẦY NGUYỄN HÒA 18 ... biết rõ chế hoạt động hệ thống phát xâm nhập IDS Cài đặt cấu hình hệ thơng phát xâm nhập mạng cục dựa vào phần mềm OSSEC Và cụ thể biết hệ thống phát xâm nhập dùng HIDS, hệ thống giúp giám sát... biết III Nội dung đề tài 3.1 Hệ thống phát xâm nhập IDS (Intrusion Detection System) 3.1.1 Khái niệm Hệ thống phát xâm nhập (Intrusion Detection System – IDS) hệ thống phần cứng phần mềm có chức... Server quản trị server phát 1.2 Mục tiêu đề tài - Nắm hệ thống phát xâm nhập : khái niệm IDS, thành phần IDS, mơ hình, ứng dụng IDS phổ biến - Tìm hiểu nguy xâm nhập trái phép hệ thống mạng - Tìm hiểu