Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Snort Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Snort Snort: - Được phát triển bởi Sourcefire. - Được triển khai rộng rãi trên thế giới. - Mã nguồn mở - Hỗ trợ nhiều OS Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Các cơ chế hoạt động của Snort Sniffer mode: snort bắt lấy các gói tin và hiển thị nội dung của chúng. Network Intrusion Detection System mode: làm việc như là hệ thống NIDS Inline mode: kết hợp với iptables Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Các cơ chế hoạt động của Snort Network Intrusion Detection System mode: Ở chế độ IDS, snort không ghi lại từng gói tin bắt được như trong chế độ sniffer mode. Thay vào đó, nó so sánh các rules vào tất cả các gói tin bắt được. Nếu 1 gói tin phù hợp với rules, thì nó sẽ được ghi lại và một cảnh báo sẽ được phát ra. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Thành phần của snort 4 thành phần chính: Packet sniffer Preprocessor Detection engine Thành phần Alerting/logging Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Packet sniffer Packet sniffer: thành phần dùng để lắng nghe các gói tin trên mạng Có thể sử dụng Packet sniffer để: - Phân tích và sử lý sự cố mạng. - Phân tích hiệu suất mạng. - Lắng nghe dữ liệu trên mạng (password, các dữ liệu nhạy cảm ) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Packet sniffer (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Bộ tiền xử lý (Preprocessor) Preprocessor là những thành phần hay những plug-in được sử dụng cùng với Snort để xem xét, sắp xếp và thay đổi những gói dữ liệu trước khi giao các gói này cho detection engine Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Bộ tiền xử lý (Preprocessor) (tt) 2 chức năng chính của Bộ tiền xử lý: - Xem xét (kiểm tra) các gói tin đáng ngờ - Chuẩn bị các gói tin để giao cho Detection engine: các gói tin cụ thể và các thành phần của gói tin được chuẩn hóa (nomalized) để cho Detection engine có thể so sánh các dấu hiệu tấn công một cách chính xác. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Bộ tiền xử lý (Preprocessor) (tt) Các preprocessor chính: Frag2  Stream4  HTTP Inspect  RPC_Decode  Telnet_Decode  ARPSpoof  ASN1_Decode  Flow  SfPortscan  Performance Monitor [...]... thuật toán AND - Rule Option bao gồm 2 phần: từ khóa (keyword) và tham số (argument) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 23 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Rule đầu tiên Ví dụ 1: tất cả gói IP bị phát hiện và phát cảnh báo alert icmp any any -> any any (msg: "ICMP Packet found";) Ví dụ 2: phát cảnh báo khi gặp gói ICMP alert icmp any any -> 192.168.1.113/32... alert ip any any -> any any (ipopts: lsrr; \ msg: "Loose source routing attempt"; priority: 10;) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 34 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: session Từ khóa session được sử dụng để kết xuất tất cả dữ liệu từ 1 session của TCP hoặc chỉ những ký tự có thể in được (printable characters) Ví dụ: log tcp any any ->... Hồ Hải 29 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: logto Từ khóa logto được sử dụng để ghi log các gói dữ liệu vào trong 1 file đặc biệt Cú pháp: logto:logto_log Ví dụ: alert icmp any any -> any any (logto:logto_log; ttl: 100;) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 30 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: logto... Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: flags Từ khóa flags được sử dụng để xem xét các bit flag được thiết lập bên trong TCP header của gói dữ liệu alert tcp any any -> 192.168.1.0/24 any (flags: SF; \ msg: “SYNC-FIN packet detected”;) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 28 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa:... nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: content-list Từ khóa content-list được sử dụng với 1 tên tập tin làm tham số Tập tin này sẽ chứa danh sách các chuỗi được tìm bên trong gói dữ liệu Mỗi chuỗi sẽ nằm trên các dòng riêng biệt trong nội dung tập tin Ví dụ: tập tin có tên là porn với nội dung sau: “porn” “hardcore” “under 18” alert ip any any -> 192.168.1.0/24 any (content-list:... logto Từ khóa logto được sử dụng để ghi log các gói dữ liệu vào trong 1 file đặc biệt Cú pháp: logto:logto_log Ví dụ: alert icmp any any -> any any (logto:logto_log; ttl: 100;) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 31 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Từ khóa: msg Từ khóa msg được sử dụng để để thêm 1 chuỗi văn bản vào trong log và cảnh báo Ví dụ:... Mạng máy tính và truyền thông Từ khóa: content 1 đặt tính quan trọng của snort là có khả năng tìm ra dạng thức (pattern) dữ liệu bên trong 1 gói Dạng thức này có thể ở dạng ASCII hoặc binary Ví dụ: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \ (content: "GET"; msg: "GET matched";) alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \ (content: "|47 45 54|"; msg: "GET matched";) Hệ thống... tin Khoa Mạng máy tính và truyền thông Các thành phần Alerting/Logging (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Kiến trúc Snort Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Rules Snort rules hoạt động trên lớp mang (network...Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ tiền xử lý (Preprocessor) (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ máy phát hiện (Detection Engines) Detection engine là thành phần quan trọng nhất trong snort Nó chịu trách nhiệm phát hiện các hành vi bất... kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các platform hỗ trợ: Linux OpenBSD FreeBSD NetBSD Solaris (both Sparc and i386) HP-UX AIX IRIX MacOS Windows Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Rules (tt) Rule Header: chứa thông tin về hành . tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Packet sniffer Packet sniffer: thành phần dùng để lắng nghe các gói tin trên mạng Có thể sử dụng Packet sniffer để: - Phân tích và sử lý sự cố mạng. -. Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Thành phần của snort 4 thành phần chính: Packet sniffer Preprocessor Detection engine Thành phần Alerting/logging Đại học Công nghệ thông tin Khoa. Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Packet sniffer (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống