[Type text] Page MỞ ĐẦU Trong hoạt động xã hội lồi người, thơng tin nhu cầu thiếu, ngày thông tin trở thành tài nguyên vô giá Xã hội phát triển ngày cao nhu cầu trao đổi thơng tin thành phần xã hội ngày lớn Mạng máy tính đời mang lại cho người nhiều lợi ích việc trao đổi thơng tin xử lý thơng tin cách xác, nhanh chóng Sự phát triển mạnh mẽ mạng máy tính đặc biệt đời mạng toàn cầu Internet giúp cho người khắp giới liên lạc trao đổi thơng tin xác cho cách dễ dàng thời gian ngắn Đối với doanh nghiệp nói riêng mạng máy tính mang lại nhiều tiện ích như: thu thập nhiều thơng tin; giảm chi phí sản xuất, bán hàng, tiếp thị giao dịch; tăng chất lượng dịch vụ khách hàng, tăng doanh thu, tạo lợi cạnh tranh doanh nghiệp… Tuy nhiên, tâm lý e ngại khơng an tồn giao dịch mạng thực tế doanh nghiệp người tiêu dùng Hiện tượng trở thành vấn đề lớn mà vấn đề hacker mạng ngày phát triển cách tinh vi Đối với Việt Nam điều bắt nguồn từ đầu tư chưa đầy đủ cho việc bảo mật thông tin mạng quan, tổ chức người tiêu dùng Bên cạnh việc thiếu kiến thức hiểu biết cần thiết nguyên nhân dẫn đến tâm lý e ngại người sử dụng Nhận thức vấn đề doanh nghiệp Việt Nam có đầu tư cần thiết nhằm đảm bảo an toàn cho hệ thống thơng tin mình, qua khắc phục cố nhằm tạo lòng tin cho người sử dụng Các giải pháp phát xâm nhập hệ thống mạng doanh nghiệp vấn đề ngành công nghệ thông tin người nghiên cứu an tồn bảo mật thơng tin cho hệ thống mạng quan quan tâm mạng Có nhiều cơng cụ mã nguồn mở để phát xâm nhập sử dụng ngày Tuy nhiên phần mềm OSSIM tích hợp nhiều công cụ mã nguồn mở khác giúp cho việc quản trị đảm bảo an toàn an ninh mạng quản trị viên hiệu [Type text] Page MỤC LỤC DANH MỤC TỪ VIẾT TẮT Từ viết tắt Từ gốc Nghĩa Tiếng Việt Dos Denial of Service IDS Intrucsion Tấn công từ chối dịch vụ Detection Hệ thống phát xâm nhập System NIDS Network Intrucsion Hệ thống phát xâm nhập có khả Detection System phát mối đe dọa công vào mạng HIDS Host Intrucsion Hệ thống phát xâm nhập cài đặt Detection System máy tính (Host) UDP User Datagram Protocol Giao thức truyền tin không tin cậy TCP Tranmission Control Giao thức truyền tin đáng tin cậy Protocol Signature Dấu hiệu Trigger Thủ tục nội để bẫy lỗi khơng tồn vẹn liệu Sensor LAN [Type text] Cảm biến Local Area Network Mạng máy tính cục Page VLAN Vitual Local Area Mạng LAN ảo Network HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1Các hệ thống phát xâm nhập (IDS) IDS (Intrusion Detection System - Hệ thống phát xâm nhập) hệ thống phần cứng phần mềm có chức giám sát, phân tích lưu thơng mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS phân biệt công vào hệ thống từ bên (từ người cơng ty) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.1.1 Network IDS NIDS thường bao gồm hai thành phần logic: - Bộ cảm biến - Sensor: đặt đoạn mạng, kiểm sốt lưu thơng nghi ngờ đoạn mạng - Trạm quản lý: nhận tín hiệu cảnh báo từ cảm biến thông báo cho điều hành viên [Type text] Page Hình 1: Mơ hình NIDS Một NIDS truyền thống với hai cảm biến đoạn mạng khác giao tiếp với trạm kiểm soát Ưu điểm: - Chi phí thấp: Do cần cài đặt NIDS vị trí trọng yếu giám sát lưu lượng tồn mạng nên hệ thống khơng cần phải nạp phần mềm quản lý máy toàn mạng - Phát công mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra header tất gói tin khơng bỏ sót dấu hiệu xuất phát từ - Khó xố bỏ dấu vết (evidence): Các thơng tin lưu log file bị kẻ đột nhập sửa đổi để che dấu hoạt động xâm nhập, tình HIDS khó có đủ thơng tin để hoạt động NIDS sử dụng lưu thông hành mạng để phát xâm nhập Vì thế, kẻ đột nhập khơng thể xố bỏ dấu vết công Các thông tin bắt không chứa cách thức công mà thông tin hỗ trợ cho việc xác minh buộc tội kẻ đột nhập - Phát đối phó kịp thời: NIDS phát cơng xảy ra, việc cảnh báo đối phó thực nhanh Ví dụ: Một hacker thực cơng DoS dựa TCP bị NIDS phát ngăn chặn việc gửi yêu cầu TCP reset nhằm chấm dứt công trước xâm nhập phá vỡ máy bị hại - Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể công việc máy mạng Chúng chạy hệ thống chuyên dụng dễ dàng cài đặt; đơn mở thiết bị ra, thực vài thay đổi cấu hình cắm chúng vào mạng vị trí cho phép kiểm sốt lưu thơng nhạy cảm Nhược điểm: - Hạn chế hiệu năng: NIDS gặp khó khăn phải xử lý tất gói tin mạng rộng có mật độ lưu thông cao, dẫn đến phát công thực vào lúc "cao điểm" Một số nhà sản xuất khắc phục cách cứng [Type text] Page hố hồn tồn IDS nhằm tăng cường tốc độ cho Tuy nhiên, phải đảm bảo mặt tốc độ nên số gói tin bỏ qua gây lỗ hổng cho công xâm nhập - Tăng thông lượng mạng: Một hệ thống phát xâm nhập cần truyền dung lượng liệu lớn trở hệ thống phân tích trung tâm, có nghĩa gói tin kiểm soát sinh lượng lớn tải phân tích Để khắc phục người ta thường sử dụng tiến trình giảm liệu linh hoạt để giảm bớt số lượng lưu thông truyền tải Họ thường thêm chu trình tự định vào cảm biến sử dụng trạm trung tâm thiết bị hiển thị trạng thái trung tâm truyền thông thực phân tích thực tế Điểm bất lợi cung cấp thơng tin liên quan cho cảm biến; cảm biến việc cảm biến khác dị cơng Một hệ thống khơng thể dị cơng hiệp đồng phức tạp - Một hệ thống NIDS thường gặp khó khăn việc xử lý cơng phiên mã hố Lỗi trở nên trầm trọng nhiều công ty tổ chức áp dụng mạng riêng ảo VPN - Một số hệ thống NIDS gặp khó khăn phát cơng mạng từ gói tin phân mảnh Các gói tin định dạng sai làm cho NIDS hoạt động sai đổ vỡ 1.1.2 Host IDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin đăng nhập hệ thống Nó tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, cố tình sử dụng phân quyền khơng quản trị chấp nhận Kiến trúc IDS thường dựa luật (rule-based) để phân tích hoạt động Ví dụ đặc quyền người sử dụng cấp cao đạt thơng qua lệnh su-select user, cố gắng liên tục để login vào account root coi cơng [Type text] Page Hình 2: Mơ hình HIDS Ưu điểm: - Xác định kết công: Do HIDS sử dụng liệu nhật ký (log) lưu kiện xảy ra, biết công thành công hay thất bại với độ xác cao NIDS Vì thế, HIDS bổ sung thơng tin công sớm phát với NIDS - Giám sát hoạt động cụ thể hệ thống: HIDS giám sát hoạt động mà NIDS như: truy nhập file, thay đổi quyền, hành động thực thi, truy nhập dịch vụ phân quyền Đồng thời giám sát hoạt động thực người quản trị Vì thế, hệ thống host-based IDS cơng cụ cực mạnh để phân tích cơng xảy thường cung cấp nhiều thơng tin chi tiết xác hệ network-based IDS - Phát xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào server khơng bị NIDS phát - Thích nghi tốt với mơi trường chuyển mạch, mã hoá: Việc chuyển mạch mã hoá thực mạng HIDS cài đặt máy nên khơng bị ảnh hưởng hai kỹ thuật - Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn (FTP Server, WebServer) nên HIDS không yêu cầu phải cài đặt thêm phần cứng khác [Type text] Page Nhược điểm: - Khó quản trị: hệ thống host-based IDS yêu cầu phải cài đặt tất thiết bị đặc biệt mà bạn muốn bảo vệ Đây khối lượng cơng việc lớn để cấu hình, quản lí, cập nhật - Thơng tin nguồn khơng an toàn: vấn đề khác kết hợp với hệ thống host-based hướng đến việc tin vào nhật ký mặc định lực kiểm soát server Các thơng tin bị cơng đột nhập dẫn đến hệ thống hoạt động sai, không phát xâm nhập - Hệ thống host-based tương đối đắt: nhiều tổ chức khơng có đủ nguồn tài để bảo vệ tồn đoạn mạng sử dụng hệ thống host-based Những tổ chức phải thận trọng việc chọn hệ thống để bảo vệ Nó để lại lỗ hổng lớn mức độ bao phủ phát xâm nhập Ví dụ kẻ cơng hệ thống láng giềng khơng bảo vệ đánh thấy thông tin xác thực tài liệu dễ bị xâm phạm khác mạng - Chiếm tài nguyên hệ thống: Do cài đặt máy cần bảo vệ nên HIDS phải sử dụng tài nguyên hệ thống để hoạt động như: vi xử lí, RAM, nhớ ngồi 1.2Phương thức hoạt động hệ thống phát xâm nhập (IDS) Hệ thống phát xâm nhập (IDS) cho phép tổ chức bảo vệ hệ thống họ khỏi đe dọa với việc gia tăng kết nối mạng tin cậy hệ thống thông tin Một số chức IDS sau: • Bảo vệ tính tồn vẹn (integrity) liệu, bảo đảm quán liệu hệ thống Các biện pháp đưa ngăn chặn việc thay đổi bất hợp • pháp phá hoại liệu Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ngồi Bảo vệ tính khả dụng, tức hệ thống ln sẵn sàng thực yêu cầu truy nhập thông tin • người dùng hợp pháp Bảo vệ tính riêng tư, tức đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo chức năng, nhiệm vụ phân cấp, ngăn chặn truy nhập thông tin bất hợp pháp [Type text] Page • Cung cấp thơng tin xâm nhập, đưa sách đối phó, khơi phục, sửa chữa… Chức quan trọng là: giám sát - cảnh báo - bảo vệ • Giám sát: lưu lượng mạng hoạt động khả nghi • Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị • Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị - • • mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Chức mở rộng: Phân biệt: công bên cơng bên ngồi Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline (thông số đo đạc chuẩn hệ thống) Ngoài hệ thống phát xâm nhập IDS cịn có chức năng: • Ngăn chặn gia tăng công • Bổ sung điểm yếu mà hệ thống khác chưa làm • Đánh giá chất lượng việc thiết kế hệ thống Khi IDS chạy thời gian đưa điểm yếu, việc đưa điểm yếu nhằm đánh giá chất lượng việc thiết kế mạng cách bố trí bảo vệ phòng thủ nhà quản trị mạng 1.2.1 Kiến trúc hệ thống IDS Các nhiệm vụ thực Hình : Quá trình IDS [Type text] Page Nhiệm vụ hệ thống phát xâm phạm bảo vệ cho hệ thống máy tính cách phát dấu hiệu cơng Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt “bả bẫy” trang bị cho việc nghiên cứu mối đe dọa Việc làm lệch hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng khác Toàn hệ thống cần phải kiểm tra cách liên tục Dữ liệu tạo từ hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu cơng (sự xâm phạm) Hình : Cơ hở hạ tầng IDS Khi hành động xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) - theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đơi đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua mail [Type text] Page 10 1.2.2 Kiến trúc hệ thống phát xâm nhập IDS Hình 5: Một IDS mẫu Thu hẹp bề rộng tương ứng với số lượng luồng thông tin thành phần hệ thồng Kiến trúc hệ thống IDS bao gồm thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (dectection), thành phần phản hồi (respontion) gói tin phát công tin tặc Trong ba thành phần thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trị định nên vào phân tích cảm biến để hiểu rõ kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu - tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thơng tin sách lưu hệ thống bảo vệ bên Trong trường hợp đó, ví dụ luồng liệu kiện truyền tải trực tiếp đến phân tích mà khơng có lưu liệu thực Điều liên quan chút đến gói mạng [Type text] Page 11 Hình 6: Mơ hình hoạt động hệ thống IDS Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu cơng, profile hành vi thơng thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu tham số cấu hình, gồm có chế độ truyền thông với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa - tạo phân tích bước đầu chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS IDS sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt trang bị phát cơng phân tán Các vai trị khác tác nhân liên quan đến khả lưu động tính chuyển vùng vị trí vật lý Thêm vào đó, tác nhân đặc biệt [Type text] Page 12 dành cho việc phát dấu hiệu cơng biết Đây hệ số định nói đến nghĩa vụ bảo vệ liên quan đến kiểu công Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số khơng bình thường telnet session (giao thức/dịch vụ) bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể Các thu nhận ln gửi kết hoạt động chúng đến kiểm tra Các kiểm tra nhận thông tin từ mạng (không từ host), điều có nghĩa chúng tương quan với thơng tin phân tán Thêm vào số lọc đưa để chọn lọc thu thập liệu Hình 7: Các tác nhân tự trị cho việc phát xâm phạm Ngoài cịn có số điểm ý sau: - Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức doanh nghiệp mục đích sử dụng hệ thống IDS doanh nghiệp [Type text] Page 13 - Chiến lược điều khiển: mô tả rõ ràng cho hệ thống IDS việc kiểm sốt, kiểm tra thơng tin đầu vào đầu ra: + Chiến lược tập trung: Là việc điều khiển trực tiếp thao tác kiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm + Phân thành nhiều thành phần: Phát hiện, kiểm tra từ vị trí thành phần, sau báo cáo vị trí trung tâm + Phân phối: Mỗi vùng có trung tâm đại diện cho trung tâm trực tiếp điều khiển thao tác giám sát, kiểm tra báo cáo 1.2.3 Cách tạo signature, engine phát công Signature phần mà ta thấy gói liệu Nó sử dụng để phát nhiều kiểu cơng Signature có mặt phần khác gói liệu Ví dụ ta tìm thấy tín hiệu hearder IP, hearder tầng giao vận (TCP, UDP hearder) header tầng ứng dụng Thông thường, IDS định dựa tín hiệu tìm thấy hành động xâm nhập Các nhà cung cấp IDS thường xuyên cập nhật tín hiệu cơng chúng bị phát Hình 8: Minh họa hệ thống phát xâm nhập điển hình phân tích“signature”xâm nhập mạng [Type text] Page 14 Một mạng máy tính điển hình, với “mạng nội bộ” bảo vệ hệ thống phát xâm nhập (IDS) cảm biến 11 phù hợp với phát kiến Mạng nội 10 mạng bảo vệ, với phần lại mạng gọi “mạng ngoại vi” Người ta cho mạng nội 10 tiếp nhận gửi liệu “gói”, chuyển phân đoạn mạng thơng qua định tuyến 12 Hình 9: Minh họa “signature” đại diện cho hành vi thường xuyên biểu dạng định Một biểu thường xuyên cho thẻ SYN ACK “signature” biểu diễn 60 định Nếu hành vi đầu tiên, thẻ SYN, phát hiện, trình định liệu kiện ACK xảy nối tiếp Nếu tiến trình vậy, q trình tiến hành tính tốn bắt đầu Tại nút nào, kiện không xảy ra, trình hoạt dẫn Nếu tất kiện xảy ra, “signature” cho thấy lạm dụng bất thường Một Cisco IDS signature tập hợp quy tắc mà cảm biến sử dụng để - phát hành động xâm phạm đặc trưng Cảm biến hỗ trợ loại • signature đây: Built-in signatures: Các signature với công biết (một vài cung cấp thông tin cảm biến - ví dụ: signature 993 (Missed Packet Count - cảnh báo cảm biến drop packet, đồng thời cung cấp cho ta số phần trăm packet bị drop cảm biến) nằm Sensor software Không thể thêm, xoá, đổi tên signature từ danh sách built-in signature, chỉnh sửa signature loại cách chỉnh sửa vài tham số => Tuned • signature Tuned signatures: Các Built-in signature chỉnh sửa [Type text] Page 15 • - Custom signatures: Những signature tạo Khi cảm biến quét packet, chúng sử dụng signature để phát công biết phản ứng lại hành động mà ta định nghĩa signature Signature-based intrusion detection sinh “trạng thái nhầm” - hoạt động bình thường mạng bị hiểu sai thành hoạt động có hại Ví dụ, vài ứng dụng mạng hay OS (Operating System) gửi ngồi lượng lớn ICMP (Internet Control Message Protocol) message, signature-based detection system tưởng nhầm thành cố gắng thăm dò mạng attacker Ta hạn chế “trạng thái nhầm” cách điều chỉnh signature Phải enable signature để theo dõi lưu thông mạng Các signature quan trọng - enable mặc định Khi công xác định phù hợp với signature enable, cảm biến phát kịch cảnh báo lưu vào kho lưu trữ kịch xảy Các kịch cảnh báo, kịch khác lấy từ kho lưu trữ kịch web-based client Nhật ký cảm biến tất cảnh báo từ mức informational => higher mặc định Một vài signature có subsignature (Các signature con) Điều có nghĩa - signature phân chia thành loại nhỏ Khi ta cấu hình subsignature, thay đổi với tham số subsignature áp dụng • cho subsignature Các Cisco IDS signature có đặc điểm khả đây: Regular expression string pattern matching: Khả tạo mẫu xâu • hay mảng cấu trúc liệu sử dụng regular expression (biểu thức quy) Giúp cấu hình cảm biến xác định xác xâu theo mẫu q trình lưu - • • - thơng mà phân tích Cho phép diễn tả đơn giản mẫu (pattern) phức tạp Bao gồm ký tự đặc biệt như: (); | ; [abc] Response actions: Cảm biến có hành động (phản ứng) signature trigger: Kết thúc phiên TCP nguồn công host làm mục - tiêu Log IP packet từ nguồn công Khởi tạo blocking IP traffic từ nguồn công [Type text] Page 16 - Alarm summarization: Đặc điểm giúp cảm biến tập hợp cảnh báo để - hạn chế số lần cảnh báo gửi signature trigger Threshold configuration: Khả điều chỉnh signature để tối ưu hoá - mạng Anti-evasive techniques: signature có khả làm thất bại kỹ thuật lẩn - tránh sử dụng attacker Cisco IDS Alarm: Cảm biến Cisco IDS phát cảnh báo signature trigger Alarm event lưu cảm biến “kéo” host chạy IEV (IPS Event Viewer - đọc kiện xảy ra) hay CiscoWorks Monitoring Center for Security Alarm severity level (Mức độ nghiêm trọng) xác định mức độ gán cho Cisco IDS signature Các severity level: InFomational (mang tính cung cấp thơng tin); Low (thấp); Medium • • (trung bình); High (Cao) Cisco IDS Signature Engines: Signature engine thành phần cảm biến hỗ trợ loại signature Cisco IDS Signature Engine làm cho ta “tune” - điều chỉnh tạo • signature mơi trường mạng Mỗi signature tạo sử dụng signature engine đặc trưng thiết kế cho lưu thông thoại giám sát Một engine bao gồm phân tích kiểm tra Mỗi engine có tập hợp tham số hợp lệ mà có dãy tập hợp giá trị cho phép [Type text] Page 17 1.3 Các mơ hình triển khai IDS 1.3.1 Mơ hình tập trung cảm biến Hình 10: Mơ hình tập trung cảm biến 1.3.2 Mơ hình phân tán cảm biến Hình 11: Mơ hình phân tán cảm biến [Type text] Page 18 PHẦN MỀM PHÁT HIỆN XÂM NHẬP IDS - OSSIM 1.4 Một số IDS dùng phổ biến 1.4.1 IDS mã nguồn mở Hiện giới có nhiều phần mềm mã nguồn mở phát triển phục vụ cho việc dị tìm bất thường, dấu hiệu công mạng Nhiều công cụ phát triển độc lập nhiều công cụ lại phát triển lẫn (xuất phát từ công cụ có trước, tích hợp thêm chức để tạo công cụ khác) Tham khảo số trang bảo mật nước quốc tế danh sách số công cụ bật: • Snort: - Là hệ thống phát hiện/ ngăn chặn công mạng - Khả năng: Phát kiểu công DoS, DDoS, Worm, SNMP, SMB, … - Là phần mềm IDS cộng đồng mạng đánh giá cao sử dụng nhiều giới - http://www.snort.org • OSSEC: - Là hệ thống phát công máy - Khả năng: phân tích log, kiểm tra tính tồn vẹn file, giám sát sách, dị tìm rootkit Đặc biệt phân tích log firewall, IDS, máy chủ web - http://www.ossec.net/ • SamHain: - Là hệ thống phát công máy - Khả năng: kiểm tra tính tồn vẹn file, giám sát phân tích file, dị rootkit, giám sát port, dị tìm mã độc GUID, dị tìm tiến trình ẩn - http://www.darknet.org.uk/2009/10/samhain-v-2-5-9c-open-source-hostbased-intrusion-detection-system-hids/ • [Type text] Port Scan Attack Detector (PSAD) Page 19 - Là tập daemon chạy Linux phân tích thơng tin log iptable để dị tìm cổng (port) lưu lượng nghi ngờ khác - PSAD kết hợp với fwsnort Netfilter để tạo nhiều đặc tính - Khả năng: kết hợp với dấu hiệu từ Snort để dị tìm vài chương trình backdoor (EvilFTP, GirlFriend, SubSeven), DDoS tools (mstream, shaft) quét cổng (FIN, NULL, XMAS) - http://www.cipherdyne.org/psad/ • ModSecurity: - Là cơng cụ phát ngăn chặn công cho ứng dụng web - Khả năng: giám sát phân tích lưu lượng HTTP - http://www.modsecurity.org/projects/modsecurity/apache/ • - QuIDScor: Là dự án mã nguồn mở đánh giá tương quan hệ thống phát xâm nhập công cụ đánh giá điểm yếu - Khả năng: Từ cảnh báo IDS phát (như Snort) QualysGuard rà quét điểm yếu QuIDScor đánh giá tương quan đưa cảnh báo - http://quidscor.sourceforge.net/ • - OSSIM: Là phần mềm tích hợp từ nhiều cơng cụ mã nguồn mở Snort, OSSEC, Pads, P0f, nessus, ntop, arpwatch, OpenVAS, IPtable - Khả năng: Đánh giá tương quan kết từ công cụ để đưa cảnh báo - Là sản phẩm miễn phí - Hỗ trợ giao diện đồ họa trực quan, nhiều tính thống kê báo cáo - Các phiên phần mềm OSSIM luật Snort cập nhật thường xuyên - http://www.alienvault.com/community.php?section=Home [Type text] Page 20 1.4.1 Mức độ sử dụng thành phần IDS - OSSIM ST T Plugin Chức Mức độ khai thác Snort Phát công Chủ yếu sử dụng plugin để phân tích đánh giá kiện xảy với hệ thống mạng arpwatch Phát địa MAC bất Mức độ khai thác trung bình- thường giám sát vùng mạng DMZ Nessus Rà xoát lỗ hổng hệ Mức độ khai thác = Với lý do: thống mạng tạo mối tương cấu hình máy IDS thấp nên chạy quan chéo lỗ hổng, kiện công cụ bị treo máy cảnh báo đưa OpenVAS Tương tự nessus Ntop Xây dựng thông tin mạng, Mức độ khai thác mức trung giao thức, lưu lượng bình gói tin Sử dụng thơng tin kết hợp với tool khác để đưa phân tích Pof Sử dụng để phát thay đổi Mức độ khai thác trung bình hệ điều hành hệ thống mạng Lý do: vùng mạng giám sát tĩnh, khả biến động nhỏ Pads Sử dụng để phát bất Down thường hệ thống mạng IPtable Sử dụng để lọc gói tin qua Khai thác mức thấp Lý IDS IDS không hoạt động chế độ inline mode lọc gói tới IDS 10 Ossec Là hệ thống dị tìm cơng host Nó phân tích log, kiểm tra tính tồn vẹn file, theo dõi sách, phát rootkit… Tương tự với Nessus Yêu cầu phải cài đặt công cụ đối tượng cần giám sát Hiện phân tích log theo dõi máy IDS Hiện cấu hình phần cứng máy cài đặt thấp so với yêu cầu đáp ứng tồn cơng cụ OSSIM, hệ thống dừng việc khai thác [Type text] Page 21 công cụ Snort Chức đánh giá tương quan (Correlation) công cụ chưa thực hiện, kết mục Alarm chưa có nhiều mức độ tin cậy chưa cao 1.4.2 Cơ chế làm việc SNORT Snort hoạt động dựa việc so sánh gói tin capture với dấu hiệu biết Mỗi dấu hiệu công lưu luật (Rule) Snort Các Rule nhóm thành nhóm khác DOS, DDOS, Virus, Worm, SNMP,SMB… Ví dụ Rule Snort: Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-PHP modules.php access"; flow:to_server,established; uricontent:"/modules.php"; nocase; reference:bugtraq,9879; classtype:webapplication-activity; sid:2565; rev:1;) Một Rule Snort chia làm phần: Header Option Phần Header bao gồm thông tin kiểu cảnh báo, giao thức phân tích, địa IP: Port nguồn/đích, hướng lưu lượng áp dụng luật Phần Option nói trái tim động dị tìm cơng (Intrusion Detection Engine) Snort Các đặc tính tùy chọn phần ngăn cách dấu chấm phẩy ; thể đặc tính thơng qua từ khóa Trong phần Option phân thành loại chính: - General: cung cấp thông tin luật khong có ảnh hưởng suốt q trình dị tìm - Payload: tìm kiếm liệu bên gói tin payload liên quan bên - Non-Payload: tìm kiếm liệu non-payload - Post-Detection: tác động riêng luật xảy sau luật khớp với mẫu gói tin so sánh Nhận xét: Do luật viết dựa dấu hiệu hành vi xảy nghi ngờ xảy nên tùy thuộc vào độ xác đặc tính nhận biết cho kết xác hay khơng [Type text] Page 22 1.4.3 Quy trình quản trị IDS – OSSIM - Theo dõi cảnh báo bảng Event, Alarm - Phân tích dấu hiệu nghi ngờ: dựa vào yếu tố IP lạ, khối lượng tin cảnh báo tăng đột biến, đọc nội dung mô tả dấu hiệu bất thường (Signature)… để đưa kết luận - Sử dụng công cụ quản trị mạng khác Nessus, nmap, ntop, metasploit,… rà quét lỗ hổng đối tượng có nghi ngờ dấu hiệu bất thường - Đánh giá tương quan đối tượng có tồn lỗ hổng đồng thời xuất dấu hiệu bất thường hay không để kết luận mức độ nguy hại có biện pháp xử lý trường hợp - Theo dõi cập nhật thường xuyên luật (Rule) Snort, phiên OSSIM 1.4.4 Những yếu điểm tồn sử dụng IDS – OSSIM - Không sử dụng hết công cụ chức mạnh ( chức tương quan) OSSIM - Ưu điểm Snort cho phép người dùng can thiệp việc chỉnh sửa, thêm, bớt luật (Rule) lại chưa phát huy trình độ đội ngũ quản trị IDS cịn hạn chế - Việc phân tích, nhận định dấu hiệu tùy thuộc vào kinh nghiệm nhà quản trị Đây công việc khó 1.4.5 Yêu cầu phần cứng cài IDS-OSSIM Với cấu (RAM 2G, CPU 1.8 GHZ, HDD 80G), chạy đồng thời công cụ rà quét Nessus, Ntop máy tính bị treo khai thác chức phát cơng Snort cịn chức đánh giá tương quan cơng cụ (snort, nessus, ntop,…) chưa phát huy Dựa vào số khuyến nghị phần cứng Alienvault dựa vào lưu lượng phân vùng logic hệ thống mạng, nhóm thực đưa số yêu cầu phần cứng máy tính cài IDS-OSSIM để sử dụng tối đa cơng cụ có OSSIM: Phần cứng HDD RAM CPU Card Mạng [Type text] 250 Gb – 7500rpm- 2.4 ghz 4G Core Quad Ethernet 100 MB Page 23 Thông lượng tối đa Khả lưu trữ Khả xử lý Max 50MB triệu sự kiện 500 ̣ kiện /giây Tài liệu tham khảo: http://tailieu.vn/xem-tai-lieu/he-thong-phat-hien-xam-nhap.13410.html A Design for Building an IPS Using Open Source Products http://www.itnews.com.vn/2011/03/c%E1%BA%A5u-hinh-span-va-rspan-ph %E1%BA%A7n-i.html/ Snort Cookbook Signature engines Implementing Cisco Intrusion Prevention Systems [Type text] Page 24