1. Trang chủ
  2. » Công Nghệ Thông Tin

Hệ thống phòng chống xâm nhập IDS Snort

62 295 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 62
Dung lượng 1,43 MB

Nội dung

IDS là gì ?• Intrusion detection system IDS là 1 thiết bị hoặc phần mềm chịu trách nhiệm giám sát mạng và/hoặc hệ thống để kịp thời phát hiện ra những hoạt động bất thường hoặc những vi

Trang 1

Network Security

Trang 2

Chương 4: IDS

Trang 4

Dẫn nhập

hệ thống.

• “Xâm nhập máy tính” là hành động cố tình

cách vượt qua quyền đã có để truy xuất

các tài nguyên không được phép.

Trang 5

IDS là gì ?

• Intrusion detection system (IDS) là 1 thiết bị hoặc phần

mềm chịu trách nhiệm giám sát mạng và/hoặc hệ thống

để kịp thời phát hiện ra những hoạt động bất thường

hoặc những vi phạm chính sách gây hại cho hệ thống

nhằm thông báo cho người quản trị.

Trang 6

IDS làm được những gì?

• Một số chức năng chính:

– Nhận diện được các nguy cơ có thể xảy ra.

– Nhận diện được các cuộc thăm dò – Nhận diện được các vi phạm chính sách – Ghi log.

– Cảnh báo.

– …

Trang 7

Thành phần không phải là IDS

• Hệ thống kiểm tra lưu lượng mạng.

• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ

Trang 8

Phân Loại IDS

Network-based IDS Host-based IDS

 Hoạt động như standalone system

 Là thiết bị phần mềm hoặc phần cứng

 Monitor trên segment mà

nó được kết nối vào

 Phân tích các traffic trên segment đó

 Hoạt động dựa trên OS

 Triển khai trên các host

 Phân tích traffic gửi đến máy host

OSSEC, Tripwire, Symantec HIDS,…

Trang 10

Hoạt động của IDS

Trang 11

Các cơ chế của IDS

• Signature-based:

phát hiện dựa trên dấu hiệu

• Anomaly-based:

phát hiện dựa trên sự bất thường

• Stateful protocol analysis:

Trang 12

Anomaly Based ID

• Là kỹ thuật phát hiện ra các mẫu hành vi khác

so với những hành vi thông thường, sau đó gắn

cờ xâm nhập đối với hành vi này.

• Ví dụ:

– Không tuân theo các chuẩn Internet thông thường như gửi một gói tin ICMP có kích thước vượt quá 65.535 bytes.

– Đăng nhập quá số lần quy định, số lượng gói tin gởi

Trang 13

– Có thể tạo ra số lượng lớn các cảnh báo sai.

– Cần phải được đào tạo thường xuyên.

Trang 14

Signature Base ID

• Là kỹ thuật so sánh dấu hiệu của các đối tượng đang

quan sát với dấu hiệu của các hình thức xâm nhập đã

Trang 15

IDS nên đặt ở đâu ?

Trang 16

IDS nên đặt ở đâu ?

Trang 17

IDS nên đặt ở đâu ?

Trang 18

IDS nên đặt ở đâu ?

Trang 21

Giới thiệu snort

Trang 22

Kiến trúc của snort

 Modun giải mã gói tin (Packet Decoder)

 Modun tiền xử lý (Preprocessors)

 Modun phát hiện (Detection Eng)

 Modun log và cảnh báo (Logging and Alerting System)

 Modun kết xuất thông tin (Output module)

Trang 23

Kiến trúc của snort

Trang 24

Cài đặt

– Cài đặt các thư viện cần thiết.

– Cài đặt cơ sở dữ liệu – Snort

– Các công cụ quản lí

Trang 25

Cách viết rule trên snort

• In a single line

• Rules are created by known intrusion signatures

• Usually place in snort.conf configuration file.

Trang 26

Rule examples

Alert will be generated if criteria met

Apply to all ip packets

Trang 27

Rule Header

• Cấu trúc:

– <rule action> <protocol> <src address_range>

<srcport_range> <direction operator> <dest address_range> <destport_range>

Protocol Direction operator Rule action

Trang 29

Rule Option

• Content related:

– Uricontent – Content-list

– Offset

Trang 31

Rule Option

• IP related:

– ttl

– tos – id

Trang 32

Rule Option

• TCP related:

– Flag – Seq – Ack

Trang 33

Rule Option

• ICMP related:

– type.

– code – icmp_id

Trang 34

Type & Code

17 Address mask request

18 Address mask reply 19-29 Reserved (for robustness experiment)

30 Traceroute

31 Datagram conversion error

32 Mobile host redirect

33 IPv6 where-are-you

34 IPv6 I-am-here

35 Mobile registration request

Trang 35

Type & Code

• Destination unreachable 0—Net unreachable

1—Host unreachable 2—Protocol unreachable 3—Port unreachable 4—Fragmentation needed and DF bit set 5—Source route failed

6—Destination network unknown 7—Destination host unknown 8—Source host isolated 9—Communication with destination network is

administratively prohibited 10—Communication with destination host is

administratively prohibited 11—Destination network unreachable for TOS 12—Destination host unreachable for TOS

• Redirect 0—Redirect datagram for the network

1—Redirect datagram for the host 2—Redirect datagram for the TOS and network 3—Redirect datagram for the TOS and host

Trang 36

Rule Option

• Snort response:

– msg – logto

– resp – react

– tag

Trang 37

Rule Option

• Meta option:

– Reference – sid

– Rev

– Classtype – priority

Trang 38

Rule Option

• Các option khác:

– Rpc – rawbyte

Trang 39

Một rule đơn giản

• alert tcp any any -> 192.168.1.0/24 80

(msg: “Scan port 80”; sid:4555 ;)

Trang 41

Honey pot là gì ?

• Honeypot là một cái bẫy được thiết lập để phát hiện,

đánh lạc hướng , hoặc trong một số cách chống lại nỗ lực

sử dụng các hệ thống thông tin một cách trái phép

Thông thường nó bao gồm một máy tính, dữ liệu, hoặc

trang web xuất hiện là một phần của một mạng thật,

nhưng thực sự cô lập và theo dõi , và dường như nó có

mang những thông tin hay tài nguyên có giá trị đối với

những kẻ tấn công.

Trang 42

Lợi ích của Honeypot

• Giảm thiểu các rủi ro (Risk mitigation)

• Chức năng như IDS

• Các chiến lược tấn công của attacker

• Biết được thông tin về kẻ tấn công

Trang 43

Hạn chế của Honeypot

• Giới hạn tầm nhìn (limited view)

• Các nguy cơ khác (additional risk)

• Vẫn còn tiềm ẩn các lỗi

Trang 44

Phân loại

• Low interaction

• Medium interaction

• High interaction

Trang 45

Low interaction honeypot

• Thuận lợi

– Dễ cài đặt, cấu hình, triển khai thực tế – Hỗ trợ ghi log, phân tích traffic ở mức đơn giản – Có rất nhiều sản phẩm có sẳn

• Hạn chế

– Không có sự tương tác thật – Khả năng ghi log hạn chế

Trang 46

Medium interaction honeypot

• Thuận lợi

– Có thể lấy được nhiều thông tin hơn – Có thể lấy được payload của worm hoặc những hành

vi của attacker – Vẫn kiểm soát ngay cả khi bị rootkit, chiếm quyền

• Hạn chế

– Việc cấu hình và bảo trì khá phức tạp

Trang 47

High interaction honeypot

• Thuận lợi

– Những thông tin rất có giá trị, rất thực về attacker – Học được các phương pháp tấn công một cách chi tiết

 Ngăn chặn các nguy cơ trong tương lai

• Hạn chế

– Chi phí triển khai thực tế cao

Trang 48

Một số giải pháp về honeypot

• Miễn phí

– BackOfficer Friendly – Deception toolkit (DTK) – HOACD

– Honeyweb – Specter

• Commercial

Trang 50

Bài tập tại lớp

• Viết rule Cảnh báo các attacker scan port

80.

• Tất cả các hoạt động connect tới FTP

bằng tài khoản anonymous đều phải được

phát hiện Viết 1 rule cho phép ghi log tất

cả các traffic như trên tới server

Trang 51

Bài tập về nhà

• Cài đặt thử nghiệm Snort IDS trên hệ

thống Linux (Centos, Ubuntu, …)

– Hình thức: Bài tập nhóm

Trang 52

Tổng kết

• IDS là gì?

• Tại sao lại cần IDS trong khi đã có

firewall? Một hệ thống IDS có thay thế

một firewall hay không?

Trang 53

THE END

Trang 54

Backup Slides

Trang 55

Problems with Current IDSs

• Inaccuracy for exploit based signatures

• Cannot recognize unknown anomalies/intrusions

• Cannot provide quality info for forensics or

Trang 56

Limitations of Exploit Based Signature

Internet

Signature: 10.*01

X X

Polymorphic worm might not have

Polymorphism!

Trang 57

Vulnerability Signature

Vulnerability signature traffic filtering

Internet

X X

Our network

Vulnerability

X X

Trang 58

Example of Vulnerability Signatures

• At least 75% vulnerabilities

are due to buffer overflow

Sample vulnerability signature

• Field length corresponding to

vulnerable buffer > certain

threshold

• Intrinsic to buffer overflow

vulnerability and hard to

Vulnerable buffer Protocol message

Overflow!

Trang 59

Next Generation

Trang 60

Counting Zero-Day Attacks

Trang 61

Security Information Fusion

• Internet Storm Center (aka, DShield) has the largest IDS log repository

• Sensors covering over 500,000 IP addresses

in over 50 countries

• More w/ DShield slides

Trang 62

Requirements of Network IDS

• High-speed, large volume monitoring

– No packet filter drops

• Real-time notification

• Mechanism separate from policy

• Extensible

• Broad detection coverage

• Economy in resource usage

Ngày đăng: 14/03/2015, 11:40

TỪ KHÓA LIÊN QUAN

w