i Tp. Hồ Chí Minh, ngày … tháng … năm 2013 NHIỆM VỤ ỐT NGHIỆP Họ và tên sinh viên: MSSV: Chuyên ngành: Lớp: Giáo viên hướng dẫn: Ngày giao đề tài: Ngày nộp đề tài: 1. Tên đề tài: 2. Các số liệu, tài liệu ban đầu 3. Nội dung thuyết minh và tính toán 4. Sản phẩm Trường Đại Học Sư Phạm Kỹ Thuật Tp.HCM Khoa Đào Tạo Chất Lượng Cao *** Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự do – Hạnh phúc *** Trưởng ngành Giáo viên hướng dẫn ii NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Giáo viên hướng dẫn iii NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Giáo viên phản biện 1 LỜI CẢM ƠN Sau nhiều tháng tìm hiểu, nghiên cứu và cài đặt, đề tài “Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng Snort/Snortsam” về cơ bản đã hoàn thành. Trong thời gian thực hiện đề tài em đã nhận được nhiều sự giúp đỡ từ bạn bè, các anh chị và thầy cô. Em xin chân thành gửi lời cảm ơn đến sự giúp đỡ, sự động viên và ủng hộ tinh thần của gia đình và bè bạn để hoàn thành đề tài này. Em cũng xin chân thành cảm ơn quý thầy cô tại trường Đại học Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh, và Khoa Đào tạo Chất lượng cao đã tạo điều kiện cho em được nghiên cứu và học tập. Đặc biệt em xin chân thành cảm ơn thầy Nguyễn Đăng Quang đã luôn nhiệt tình nhắc nhở, đốc thúc em làm việc chăm chỉ, thầy chỉ bảo và gửi em nhiều bài báo cáo để em có thể tham khảo và hoàn thành đề tài. Thầy đã có những góp ý về cả nội dung và trình bày để em có thể hoàn thành bài báo cáo một cách tốt nhất Mặc dù đã rất cố gắng để hoàn thành đề tài một cách tốt nhất, nhưng chắc chắn đề tài sẽ vẫn còn tồn tại những thiếu sót. Em luôn mong mỏi nhận được các góp ý, các thảo luận về các vấn đề này. Sinh viên thực hiện Nguyễn Văn Quang 2 TÓM TẮT Xây dựng hệ thống phòng chống và phát hiện xâm nhập là một giải pháp nhằm nâng cao tính bảo mật của hệ thống. Xây dựng hệ thống phát hiện xâm nhập không nhằm mục đích thay thế hệ thống tường lửa mà chỉ giúp bổ sung, thu thập thật nhiều thông tin cho quá trình ngăn chặn các cuộc tấn công. Ngoài các khái niệm, kỹ thuật phát hiện hiện xâm nhập của một hệ thống phát hiện xâm nhập. Khóa luận còn tìm hiểu về một hệ thống phát hiện xâm nhập dựa trên mạng là Snort và một mô-đun SnortSam kết hợp với iptables nhằm mục đích ngăn chặn tấn công. Mục tiêu chính của khóa luận là hiểu rõ nhất về cấu trúc của tập luật Snort. Hình thành tư duy phân tích hệ thống thay vì triển khai hệ thống. Từ đó xây dựng ra các tập luật cho những tình huống cụ thể của từng hệ thống. Nội dung chính của khóa luận có thể chia thành 3 phần chính: Phần 1: Bao gồm các nội dung chính về hệ thống phát hiện xâm nhập, mô hình, kỹ thuật phát hiện… Phần 2: Chi tiết kỹ thuật về hệ thống phát hiện xâm nhập mạng Snort/SnortSam. Kiến trúc của hệ thống Snort, cấu trúc luật của Snort. Phần 3: Phân tích một vài dạng tấn công, phân tích các luật tương ứng. Demo hệ thống. Từ khóa: phát hiện xâm nhập, hệ thống phát hiện xâm nhập, phát hiện dựa trên sự bất thường, phát hiện dựa trên mẫu, Snort, SnortSam, SYN Flood, Apache Killer… 3 ABSTRACT For enchanced security of system, we implement a intrusion detection system and intrusion prevention system for our system. Deploy IDS/IPS don’t replace firewall system so supplenment and collected many infomations for prevention attacks. Graduation thesis is researched about define, intrusion detection technology of intrusion detection system (IDS). It still is researched about Snort, SnortSam with iptables for prevention attacks. Main objectives of graduation thesis is system administrator have knowledge about rule syntax, analytics system. Build own Snort rule for him system. Content of graduation thesis include three main part: Part 1: Intrusion detection, network diagram, intrusion detection technology. Part 2: Snort/SnortSam, Snort architecture, Snort rule syntax. Part3: Analytics a few attacks, analytics a few rules for attack and demo. Keywords: intrusion detection, intrusion detection system, anomaly based intrusion detection, misuse/signature based intrusion detection, Snort, SnortSam, SYN Flood, Apache Killer. 4 MỤC LỤC DANH MỤC HÌNH VẼ 7 DANH MỤC TỪ VIẾT TẮT 9 PHẦN I: ĐẶT VẤN ĐỀ 10 PHẦN II: GIẢI QUYẾT VẤN ĐỀ 3 CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 5 1.1. Giới thiệu 5 1.2. Hệ thống phát hiện xâm nhập là gì? 5 1.2.1. Network-based IDS 7 1.2.2. Host-based IDS 8 1.3. Các kỹ thuật phát hiện xâm nhập 10 1.3.1. Anomaly Based Intrusion Detection 10 1.3.2. Misuse/Signature Based Intrusion Detection 12 1.4. Đặt IDS trong hệ thống mạng 13 CHƯƠNG 2: GIỚI THIỆU VỀ SNORT/SNORTSAM 15 2.1. Snort là gì? 15 2.2. Triển khai hệ thống Snort 15 2.2.1. Yêu cầu phần cứng 16 2.2.2. Hệ điều hành và các gói phần mềm khác 17 2.3. Đặc điểm của Snort 17 2.3.1. Packet Sniffer (Decoder) 19 2.3.2. Preprocessors 20 2.3.3. Detection Engine 21 5 2.3.4. Thành phần cảnh báo/logging 23 2.4. Các chế độ hoạt động của Snort 24 2.4.1 Chế độ sniffer và chế độ log 24 2.4.2 Chế độ NIDS 25 2.5. Giới thiệu về SnortSam 26 2.5.1. Snort Output Plug-in 27 2.5.2. Blocking Agent 28 CHƯƠNG 3: PREPROCESSORS VÀ OUTPUT PLUG-INS 30 3.1. Preprocessors 30 3.1.1. Frag3 31 3.1.2. Stream5 35 3.1.4. HTTP Inspect 39 3.2. Output 40 CHƯƠNG 4: LUẬT TRONG SNORT 42 4.1. Rule Header 43 4.1.1. Rule Action 43 4.1.2. Protocol 44 4.1.3. IP Address 44 4.1.4. Port 44 4.1.5. Điều hướng 45 4.1.6. Activate/Dynamic rule 45 4.2. Rule Options 46 4.2.1. General 46 4.2.2. Payload 48 6 4.2.3. Non-Payload 51 4.2.3. Post-detection 57 CHƯƠNG 5: PHÂN TÍCH MỘT SỐ LUẬT TRONG SNORT 61 5.1. Khảo sát luật scan 61 5.2 Win.Trojan.Ibabyfa.dldr 64 5.3. TCP-SYN Flood 65 5.4 Apache Killer (CVE-2011-3192) 67 CHƯƠNG 6: CÀI ĐẶT VÀ CẤU HÌNH SNORT 71 6.1 Sơ đồ hệ thống 71 6.2. Cài đặt Snort và SnortSam 72 6.3. Thử nghiệm các kiểu tấn công 83 KẾT QUẢ ĐẠT ĐƯỢC 86 PHẦN KẾT LUẬN 88 TÀI LIỆU THAM KHẢO 91 7 DANH MỤC HÌNH VẼ Hình 1.1: OSSEC được triển khai trên các Server. 9 Hình 1.2: Các mẫu khác thường. 10 Hình 1.3: Phân tích chuyển trạng thái 12 Hình 1.4: Các vị trí đặt IDS trong hệ thống mạng. 14 Hình 2.1: Kiến trúc của Snort. 18 Hình 2.2: Các gói tin đi vào Sniffer. 19 Hình 2.3: Giải mã gói tin. 20 Hình 2.4: Quá trình xử lí ở Preprocessors. 21 Hình 2.5: Gói tin được xử lý ở Detection Engine bằng các luật. 22 Hình 2.6: Thành phần cảnh báo và logging. 24 Hình 3.1: Quá trình tiền xử lý. 31 Hình 3.2: Phân loại các hệ điều hành 34 Hình 3.3: Ý nghĩa các tham số cấu hình toàn cục. 36 Hình 3.4: Ý nghĩa các tham số cấu hình TCP. 38 Hình 3.5: Ý nghĩa các tham số cấu hình UDP. 38 Hình 3.6: Ý nghĩa các tham số cấu hình ICMP. 38 Hình 3.7: Ý nghĩa các tham số cấu hình IP. 38 Hình 4.1: Cấu trúc luật trong Snort. 43 Hình 4.2: Bảng reference 47 Hình 4.3: Bảng ipopts. 52 Hình 4.4: Bảng flag 53 Hình 4.5: Bảng Type của ICMP Header 55 [...]... Sourcefire và các nguồn tài liệu khác Nghiên cứu về SnortSam thông qua tài liệu và hướng dẫn sử dụng từ trang chủ của SnortSam Triển khai hệ thống trên máy ảo Virtualbox, xây dựng hệ thống mạng đơn giản mô tả một hệ thống mạng nhỏ trong thực tế Triển khai các dịch vụ như trong mô hình mạng cỡ nhỏ Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công cụ và cách thức thực hiện Triển khai. .. con người có thể đọc và hiểu được Packet Sniffer có thể được sử dụng với các mục đích như:  Phân tích mạng và troubleshooting  Performance network and bechmarking  Nghe lén mật khẩu clear-text và những dữ liệu khác Mã hóa lưu lượng mạng có thể tránh được việc sniffer các gói tin Tùy vào mục đích mà packet sniffer có thể sử dụng cho mục đích tốt hoặc xấu Hình 2.2: Các gói tin đi vào Sniffer Khi Snort... thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong muốn Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Như trong đề tài Tìm hiểu về Firewall và triển khai trên ClearOS”... quản 6 trị), “bảo vệ” (dùng các thiết lập mặc định và cấu hình từ người quản trị mà có những hành động chống lại sự xâm nhập) IDS có thể được phân loại theo chức năng thành 2 loại là Network-based IDS và Host-based IDS Mỗi loại có một cách tiếp cận riêng biệt để theo dõi và bảo vệ dữ liệu và mỗi loại cũng có những ưu nhược điểm riêng 1.2.1 Network-based IDS Hệ thống phát hiện xâm nhập dựa trên mạng... gì? Snort là một hệ thống phòng chống và phát hiện xâm nhập dựa trên mạng (IPS/IDS) nguồn mở được phát triển bởi Sourcefire Kết hợp việc kiểm tra dấu hiệu, giao thức và dấu hiệu bất thường, Snort đã được triển khai rộng khắp trên toàn thế giới Với hàng triệu lượt download và hơn 400.000 lượt người dùng đăng ký, Snort đã trở thành tiêu chuẩn của hệ thống phòng chống và phát hiện xâm nhập Chức năng chính... Internet du nhập vào Việt Nam được hơn 15 năm, đã trở thành công cụ, phương thức giúp cho các doanh nghiệp tiếp cận với khách hàng, cung cấp dịch vụ, quản lý dữ liệu của tổ chức một cách hiệu quả và nhanh chóng Cùng với sự phát triển theo chiều hướng tốt, các cuộc tấn công và xâm nhập mạng của những kẻ xấu cũng phát triển theo Không chỉ trên thế giới mà ở Việt Nam vấn đề “an toàn thông tin” đã và đang trở... tin Dựa vào các thông tin đã giải mã được, nó sẽ gọi các lớp cao hơn và giải mã cho đến khi không còn bộ giải mã nào nữa Hầu hết các mạng hiện nay triển khai Snort là mạng Ethernet nên sẽ xét thử một ví dụ giải mã một gói tin trong mạng này Đầu tiên khi gói tin đi vào nó sẽ phải đi qua chức năng DecodeEthPkt Sau đó, overlaying cấu trúc Ethernet lên đầu của phần dữ liệu, địa chỉ MAC nguồn và đích và loại... IP đích và port  Phần Options: là phần nội dung của gói tin được tạo ra để phù hợp với luật Luật là phần quan trọng mà bất cứ ai tìm hiểu về Snort cần phải nắm rõ Các luật trong Snort có một cú pháp cụ thể Cú pháp này có thể liên quan đến giao thức, nội dung, chiều dài, hearder và một vài thông số khác Một khi hiểu được cấu trúc các luật trong Snort, người quản trị có thể dễ dàng tinh chỉnh và tối... đảm bảo các phần mềm sau đã được cài đặt trên hệ thống  autoconf và automake  gcc  lex và yacc hoặc GNU flex và bison  libpcap Hầu hết các phần mềm này đều có thể download tại http://www.gnu.org/ và libpcap có thể download tại http://www.tcpdump.org Ngoài ra nếu có ý định cài các Snort add-on hoặc các công cụ quản lý ví dụ như một add-on phổ biến đó Analysis Console for Intrusion Detection (ACID)... nên các luật tương ứng với đặc điểm của các dạng tấn công và xâm nhập đó Nghiên cứu, triển khai SnortSam như một add-on của Snort nhằm chặn các cuộc xâm nhập được chỉ định 1 Đối tượng nghiên cứu Đối tượng nghiên cứu của đề tài là hệ thống phát hiện xâm nhập nói chung Hệ thống phát hiện xâm nhập Snort, add-ons của Snort là SnortSam Nghiên cứu và hình thành các tập luật đối với các dạng tấn công, xâm . Triển khai các dịch vụ như trong mô hình mạng cỡ nhỏ. Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công cụ và cách thức thực hiện. Triển khai tấn công, xâm nhập, khai. Khóa luận còn tìm hiểu về một hệ thống phát hiện xâm nhập dựa trên mạng là Snort và một m - un SnortSam kết hợp với iptables nhằm mục đích ngăn chặn tấn công. Mục tiêu chính của khóa luận là hiểu. viên phản biện 1 LỜI CẢM ƠN Sau nhiều tháng tìm hiểu, nghiên cứu và cài đặt, đề tài Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng Snort/Snortsam” về cơ bản