IDS là gì ?• Intrusion detection system IDS là 1 thiết bị hoặc phần mềm chịu trách nhiệm giám sát mạng và/hoặc hệ thống để kịp thời phát hiện ra những hoạt động bất thường hoặc những vi
Trang 1Network Security
Trang 2Chương 4: IDS
Trang 4Dẫn nhập
hệ thống.
• “Xâm nhập máy tính” là hành động cố tình
cách vượt qua quyền đã có để truy xuất
các tài nguyên không được phép.
Trang 5IDS là gì ?
• Intrusion detection system (IDS) là 1 thiết bị hoặc phần
mềm chịu trách nhiệm giám sát mạng và/hoặc hệ thống
để kịp thời phát hiện ra những hoạt động bất thường
hoặc những vi phạm chính sách gây hại cho hệ thống
nhằm thông báo cho người quản trị.
Trang 6IDS làm được những gì?
• Một số chức năng chính:
– Nhận diện được các nguy cơ có thể xảy ra.
– Nhận diện được các cuộc thăm dò – Nhận diện được các vi phạm chính sách – Ghi log.
– Cảnh báo.
– …
Trang 7Thành phần không phải là IDS
• Hệ thống kiểm tra lưu lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ
Trang 8Phân Loại IDS
Network-based IDS Host-based IDS
Hoạt động như standalone system
Là thiết bị phần mềm hoặc phần cứng
Monitor trên segment mà
nó được kết nối vào
Phân tích các traffic trên segment đó
Hoạt động dựa trên OS
Triển khai trên các host
Phân tích traffic gửi đến máy host
OSSEC, Tripwire, Symantec HIDS,…
Trang 10Hoạt động của IDS
Trang 11Các cơ chế của IDS
• Signature-based:
phát hiện dựa trên dấu hiệu
• Anomaly-based:
phát hiện dựa trên sự bất thường
• Stateful protocol analysis:
Trang 12Anomaly Based ID
• Là kỹ thuật phát hiện ra các mẫu hành vi khác
so với những hành vi thông thường, sau đó gắn
cờ xâm nhập đối với hành vi này.
• Ví dụ:
– Không tuân theo các chuẩn Internet thông thường như gửi một gói tin ICMP có kích thước vượt quá 65.535 bytes.
– Đăng nhập quá số lần quy định, số lượng gói tin gởi
Trang 13– Có thể tạo ra số lượng lớn các cảnh báo sai.
– Cần phải được đào tạo thường xuyên.
Trang 14Signature Base ID
• Là kỹ thuật so sánh dấu hiệu của các đối tượng đang
quan sát với dấu hiệu của các hình thức xâm nhập đã
Trang 15IDS nên đặt ở đâu ?
Trang 16IDS nên đặt ở đâu ?
Trang 17IDS nên đặt ở đâu ?
Trang 18IDS nên đặt ở đâu ?
Trang 21Giới thiệu snort
Trang 22Kiến trúc của snort
Modun giải mã gói tin (Packet Decoder)
Modun tiền xử lý (Preprocessors)
Modun phát hiện (Detection Eng)
Modun log và cảnh báo (Logging and Alerting System)
Modun kết xuất thông tin (Output module)
Trang 23Kiến trúc của snort
Trang 24Cài đặt
– Cài đặt các thư viện cần thiết.
– Cài đặt cơ sở dữ liệu – Snort
– Các công cụ quản lí
Trang 25Cách viết rule trên snort
• In a single line
• Rules are created by known intrusion signatures
• Usually place in snort.conf configuration file.
Trang 26Rule examples
Alert will be generated if criteria met
Apply to all ip packets
Trang 27Rule Header
• Cấu trúc:
– <rule action> <protocol> <src address_range>
<srcport_range> <direction operator> <dest address_range> <destport_range>
Protocol Direction operator Rule action
Trang 29Rule Option
• Content related:
– Uricontent – Content-list
– Offset
Trang 31Rule Option
• IP related:
– ttl
– tos – id
Trang 32Rule Option
• TCP related:
– Flag – Seq – Ack
Trang 33Rule Option
• ICMP related:
– type.
– code – icmp_id
Trang 34Type & Code
17 Address mask request
18 Address mask reply 19-29 Reserved (for robustness experiment)
30 Traceroute
31 Datagram conversion error
32 Mobile host redirect
33 IPv6 where-are-you
34 IPv6 I-am-here
35 Mobile registration request
Trang 35Type & Code
• Destination unreachable 0—Net unreachable
1—Host unreachable 2—Protocol unreachable 3—Port unreachable 4—Fragmentation needed and DF bit set 5—Source route failed
6—Destination network unknown 7—Destination host unknown 8—Source host isolated 9—Communication with destination network is
administratively prohibited 10—Communication with destination host is
administratively prohibited 11—Destination network unreachable for TOS 12—Destination host unreachable for TOS
• Redirect 0—Redirect datagram for the network
1—Redirect datagram for the host 2—Redirect datagram for the TOS and network 3—Redirect datagram for the TOS and host
Trang 36Rule Option
• Snort response:
– msg – logto
– resp – react
– tag
Trang 37Rule Option
• Meta option:
– Reference – sid
– Rev
– Classtype – priority
Trang 38Rule Option
• Các option khác:
– Rpc – rawbyte
Trang 39Một rule đơn giản
• alert tcp any any -> 192.168.1.0/24 80
(msg: “Scan port 80”; sid:4555 ;)
Trang 41Honey pot là gì ?
• Honeypot là một cái bẫy được thiết lập để phát hiện,
đánh lạc hướng , hoặc trong một số cách chống lại nỗ lực
sử dụng các hệ thống thông tin một cách trái phép
Thông thường nó bao gồm một máy tính, dữ liệu, hoặc
trang web xuất hiện là một phần của một mạng thật,
nhưng thực sự cô lập và theo dõi , và dường như nó có
mang những thông tin hay tài nguyên có giá trị đối với
những kẻ tấn công.
Trang 42Lợi ích của Honeypot
• Giảm thiểu các rủi ro (Risk mitigation)
• Chức năng như IDS
• Các chiến lược tấn công của attacker
• Biết được thông tin về kẻ tấn công
Trang 43Hạn chế của Honeypot
• Giới hạn tầm nhìn (limited view)
• Các nguy cơ khác (additional risk)
• Vẫn còn tiềm ẩn các lỗi
Trang 44Phân loại
• Low interaction
• Medium interaction
• High interaction
Trang 45Low interaction honeypot
• Thuận lợi
– Dễ cài đặt, cấu hình, triển khai thực tế – Hỗ trợ ghi log, phân tích traffic ở mức đơn giản – Có rất nhiều sản phẩm có sẳn
• Hạn chế
– Không có sự tương tác thật – Khả năng ghi log hạn chế
Trang 46Medium interaction honeypot
• Thuận lợi
– Có thể lấy được nhiều thông tin hơn – Có thể lấy được payload của worm hoặc những hành
vi của attacker – Vẫn kiểm soát ngay cả khi bị rootkit, chiếm quyền
• Hạn chế
– Việc cấu hình và bảo trì khá phức tạp
Trang 47High interaction honeypot
• Thuận lợi
– Những thông tin rất có giá trị, rất thực về attacker – Học được các phương pháp tấn công một cách chi tiết
Ngăn chặn các nguy cơ trong tương lai
• Hạn chế
– Chi phí triển khai thực tế cao
Trang 48Một số giải pháp về honeypot
• Miễn phí
– BackOfficer Friendly – Deception toolkit (DTK) – HOACD
– Honeyweb – Specter
• Commercial
Trang 50Bài tập tại lớp
• Viết rule Cảnh báo các attacker scan port
80.
• Tất cả các hoạt động connect tới FTP
bằng tài khoản anonymous đều phải được
phát hiện Viết 1 rule cho phép ghi log tất
cả các traffic như trên tới server
Trang 51Bài tập về nhà
• Cài đặt thử nghiệm Snort IDS trên hệ
thống Linux (Centos, Ubuntu, …)
– Hình thức: Bài tập nhóm
Trang 52Tổng kết
• IDS là gì?
• Tại sao lại cần IDS trong khi đã có
firewall? Một hệ thống IDS có thay thế
một firewall hay không?
Trang 53THE END
Trang 54Backup Slides
Trang 55Problems with Current IDSs
• Inaccuracy for exploit based signatures
• Cannot recognize unknown anomalies/intrusions
• Cannot provide quality info for forensics or
Trang 56Limitations of Exploit Based Signature
Internet
Signature: 10.*01
X X
Polymorphic worm might not have
Polymorphism!
Trang 57Vulnerability Signature
Vulnerability signature traffic filtering
Internet
X X
Our network
Vulnerability
X X
Trang 58Example of Vulnerability Signatures
• At least 75% vulnerabilities
are due to buffer overflow
Sample vulnerability signature
• Field length corresponding to
vulnerable buffer > certain
threshold
• Intrinsic to buffer overflow
vulnerability and hard to
Vulnerable buffer Protocol message
Overflow!
Trang 59Next Generation
Trang 60Counting Zero-Day Attacks
Trang 61Security Information Fusion
• Internet Storm Center (aka, DShield) has the largest IDS log repository
• Sensors covering over 500,000 IP addresses
in over 50 countries
• More w/ DShield slides
Trang 62Requirements of Network IDS
• High-speed, large volume monitoring
– No packet filter drops
• Real-time notification
• Mechanism separate from policy
• Extensible
• Broad detection coverage
• Economy in resource usage