I. TỔNG QUAN HỆ THỐNG IDS 1. Khái niệm về hệ thống phát hiện xâm nhập IDS Hệ thống phát hiện xâm nhập – IDS (Intrusion Detection System) là một hệ thống có nhiệm vụ giám sát các luồng dữ liệu (lưu lượng) đang lưu thông trên mạng, có khả năng phát hiện những hành động khả nghi, những xâm nhập trái phép cũng như khai thác bất hợp pháp nguồn tài nguyên của hệ thống mà từ đó có thể dẫn đến xâm hại tính toàn ổn định,tòan vẹn và sẵn sàng của hệ thống. IDS có thể phân biệt được những cuộc tấn công xuất phát từ bên ngoài hay từ chính bên trong hệ thống bằng cách dựa vào một database dấu hiệu đặc biệt về những cuộc tấn công (smurf attack, buffer overflow, packet sniffers….). Khi một hệ thống IDS có khả năng ngăn chặn các cuộc tấn thì nó được gọi là hệ thống ngăn chặn xâm nhập – IPS (Intrusion Prevention System). Có rất nhiều công cụ IDS, trong đó Snort được sử dụng rất nhiều vì khả năng tương thích có thể hỗ trợ cài đặt trên cả hai môi trường Window và Linux. Khi Snort phát hiện những dấu hiệu của một cuộc tấn công, tùy thuộc vào cấu hình và những qui tắc do người quản trị qui định (Snort Rule) mà Snort có thể đưa ra những hành động khác nhau, như gửi cảnh báo đến người quản trị hay ghi log file,loại bỏ các gói tin xâm nhập hệ thống…. 2. Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: • Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. • Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. • Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp. • Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa… Nói tóm lại ta có thể tóm tắt IDS như sau: Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi. Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Viện Công nghệ thông tin truyền thông An Ninh Mạng ĐỀ TÀI : Các hệ thống phát xâm nhập dựa dấu hiệu Nhóm sinh viên thực : Nguyễn Đức Hậu MSSV: 20124977 Hà Văn Cầu MSSV: 20124970 Trần Quang Đạt MSSV: 20124974 Nguyễn Trọng Anh MSSV: 20121220 Giảng viên hướng dẫn : PGS.Nguyễn Linh Giang Hà Nội, 11-2015 Mục Lục I TỔNG QUAN HỆ THỐNG IDS Khái niệm hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập – IDS (Intrusion Detection System) hệ thống có nhiệm vụ giám sát luồng liệu (lưu lượng) lưu thông mạng, có khả phát hành động khả nghi, xâm nhập trái phép khai thác bất hợp pháp nguồn tài nguyên hệ thống mà từ dẫn đến xâm hại tính toàn ổn định,tòan vẹn sẵn sàng hệ thống IDS phân biệt công xuất phát từ bên hay từ bên hệ thống cách dựa vào database dấu hiệu đặc biệt công (smurf attack, buffer overflow, packet sniffers….) Khi hệ thống IDS có khả ngăn chặn gọi hệ thống ngăn chặn xâm nhập – IPS (Intrusion Prevention System) Có nhiều công cụ IDS, Snort sử dụng nhiều khả tương thích hỗ trợ cài đặt hai môi trường Window Linux Khi Snort phát dấu hiệu công, tùy thuộc vào cấu hình qui tắc người quản trị qui định (Snort Rule) mà Snort đưa hành động khác nhau, gửi cảnh báo đến người quản trị hay ghi log file,loại bỏ gói tin xâm nhập hệ thống… Chức IDS Hệ thống phát xâm nhập cho phép tổ chức bảo vệ hệ thống họ khỏi đe dọa với việc gia tăng kết nối mạng tin cậy hệ thống thông tin Những đe dọa an ninh mạng ngày trở nên cấp thiết đặt câu hỏi cho nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát xâm nhập trừ đặc tính hệ thống phát xâm nhập hữu ích cho họ, bổ sung điểm yếu hệ thống khác… IDS có chấp nhận thành phần thêm vào cho hệ thống an toàn hay không câu hỏi nhiều nhà quản trị hệ thống Có nhiều tài liệu giới thiệu chức mà IDS làm đưa vài lý nên sử dụng hệ thống IDS: • Bảo vệ tính toàn vẹn (integrity) liệu, bảo đảm quán liệu hệ thống Các biện pháp đưa ngăn chặn việc thay đổi bất hợp pháp phá hoại liệu • Bảo vệ tính bí mật, giữ cho thông tin không bị lộ Bảo vệ tính khả dụng, tức hệ thống sẵn sàng thực yêu cầu truy nhập thông tin người dùng hợp pháp • Bảo vệ tính riêng tư, tức đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo chức năng, nhiệm vụ phân cấp, ngăn chặn truy nhập thông tin bất hợp pháp • Cung cấp thông tin xâm nhập, đưa sách đối phó, khôi phục, sửa chữa… Nói tóm lại ta tóm tắt IDS sau: - Chức quan trọng là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại 3 Kiến trúc hệ thống phát xâm nhập Kiến trúc hệ thống IDS bao gồm thành phần sau: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection) thành phần phản hồi (respotion) Trong ba thành phần này, thành phần phân tích gói tin quan trọng cảm biến (sensor) đóng vai trò quan định nên cần phân tích để hiểu rõ kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu Bộ tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thông tin sách lưu hệ thống bảo vệ bên Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngoài có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Phân loại hệ thống phát xâm nhập Có hai loại là: Network-based IDS Host-based IDS 4.1 Network-based IDS (NIDS) NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lưu thông phương tiện truyền dẫn (cables, wireless) cách sử dụng card giao tiếp.Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu a Lợi NIDS - Quản lý phân đoạn mạng (network segment) - Trong suốt với người sử dụng kẻ công - Cài đặt bảo trì đơn giản, không làm ảnh hưởng đến mạng - Tránh việc bị công dịch vụ đến host cụ thể - Có khả xác định lỗi tầng network - Độc lập với hệ điều hành b Hạn chế NIDS - Có thể xảy trường hợp báo động giả, tức dấu hiệu bất thường mà IDS báo - Không thể phân tích lưu lượng mã hóa SSH, IPSec, SSL… - NIDS đòi hỏi phải cập nhật dấu hiệu công để thực hoạt động hiệu - Không thể cho biết việc mạng bị công có thành công hay không, để người quản trị tiến hành bảo trì hệ thống - Một hạn chế giới hạn băng thông Những thu thập liệu phải thu thập tất lưu lượng mạng, xếp lại phân tích chúng Khi tốc độ mạng tăng lên khả thu thập thông tin Một giải pháp phải đảm bảo cho mạng thiết kế xác Một cách mà hacker cố gắng che đậy cho hoạt động họ gặp hệ thống IDS phân mảnh liệu gói tin Mỗi giao thức có kích cỡ gói liệu có hạn, liệu truyền qua mạng truyền qua mạng lớn kích cỡ liệu bị phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu Thứ tự xếp không thành vấn đề miễn không bị chồng chéo liệu, cảm biến phải tái hợp lại chúng Hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo Một cảm biến không phát hoạt động xâm nhập không xếp gói tin lại cách xác 4.2 Host-based IDS (HIDS) HIDS hệ thống phát xâm nhập cài đặt máy tính (host) HIDS cài đặt nhiều kiểu máy chủ khác nhau, máy trạm làm việc máy notebook HIDS cho phép thực cách linh hoạt phân đoạn mạng mà NIDS không thực Lưu lượng gửi đến host phân tích chuyển qua host chúng không tiềm ẩn mã nguy hiểm HIDS cụ thể với ứng dụng phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ HIDS giám sát thay đổi hệ thống HIDS bao gồm thàng phần - Các tiến trình - Các entry register - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn truy cập file hệ thống - Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống gây cảnh báo a Ưu điểm HIDS - Có khả xác định user hệ thống liên quan đến kiện - HIDS có khả phát công diễn máy, NIDS khả Có khả phân tích liệu mã hóa Cung cấp thông tin host lúc công diễn host b Hạn chế HIDS - Thông tin từ HIDS không đáng tin cậy sau công vào host thành công - Khi hệ điều hành bị thỏa hiệp tức HIDS tác dụng - HIDS phải thiết lập host cần giám sát - HIDS khả phát việc thăm dò mạng (Nmap, Netcat…) · HIDS cần tài nguyên host để hoạt động - HIDS không phát huy hiệu bị công từ chối dịch vụ DoS - Đa số phát triển hệ điều hành Window Tuy nhiên có số chạy Linux Unix - Vì HIDS cần cài đặt máy chủ nên gây khó khăn cho nhà quản trị phải nâng cấp phiên bản, bảo trì phần mềm cấu hình Gây nhiều thời gian tạp Thường hệ thống phân tích lưu lượng máy chủ nhận được, lưu lượng chống lại nhóm máy chủ, hành động thăm dò quét cổng chúng không phát huy tác dụng Nếu máy chủ bị thỏa hiệp hacker tắt HIDS máy Khi HIDS bị vô hiệu hóa Do HIDS phải cung cấp đầy đủ khả cảnh báo Trong môi trường hỗn tạp điều trở thành vấn đề HIDS phải tương thích với nhiều hệ điều hành Do đó, lựa chọn HIDS vấn đề quan trọng II.Tổng quan Snort Giới thiệu snort Snort NIDS Martin Roesh phát triển mô hình mã nguồn mở Tuy Snort miễn phí lại có nhiều tính tuyệt vời mà sản phẩm thương mại có Với kiến trúc thiết kế theo kiểu module, người dùng tự tăng cường tính cho hệ thống Snort việc cài đặt hay viết thêm module Cơ sở liệu luật Snort lên tới 2930 luật cập nhật thường xuyên cộng đồng người sử dụng Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS Bên cạnh việc hoạt động ứng dụng thu bắt gói tin thông thường, Snort cấu hình để chạy NIDS Snort hỗ trợ khả hoạt động giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, PF OpenBSD - Kiến trúc Snort Snort có thành phần sau: Bộ giải mã gói tin - Packet Decoder Các tiền xử lý - PreProcessers Máy phát - Detection Engine Hệ thống cảnh báo ghi dấu - Logging and Alerting System Môđun xuất - Output Modules Sơ đồ sau biểu diễn quan hệ thành phần Snort Tại gói liệu giao tiếp từ mạng Internet vào hệ thống qua Packet decoder Tại thành phần gói tin xử lý truyền kết cho thành phần hệ thống Output modul loại bỏ gói tin, ghi log hay sinh cảnh báo Snort có chế độ hoạt động sau: - Sniffer mode: chế độ snort lắng nghe đọc gói tin mạng sau - trình bày kết giao diện hiển thị Packet Logger mode: lưu trữ gói tin tập tin log Network instruction detect system (NIDS) : chế dộ họat động mạnh mẽ áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin luân chuyển mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo - virus Inline mode: triển khai snort linux cấu hình snort để phân tích gói tin từ iptables thay libpcap iptable drop pass gói tin theo snort rule 2.1Module giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thông qua hệ thống Một gói tin sau giải mã đưa tiếp vào module tiền xử lý 2.2 Module tiền xử lý Module quan trọng hệ thống để chuẩn bị gói liệu đưa vào cho Module phát phân tích nhiệm vụ chính: • Kết hợp lại gói tin: Khi liệu lớn gửi đi, thông tin không đóng gói toàn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort hiểu phiên làm việc khác • Giải mã chuẩn hóa giao thức (decode/normalize): công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Ví dụ: Web server nhận nhiều dạng URL: URL viết dạng hexa/unicode hay URL chấp nhận dấu / hay Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số Module tiền xử lý Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thông tin đầu vào • Phát xâm nhập bất thường (nonrule/anormal): plugin dạng thường để xử lý với xâm nhập khó phát luật thông thường Phiển Snort có kèm plugin giúp phát xâm nhập bất thường portscan bo (backoffice) Portscan dùng để đưa cảnh báo kẻ công thực quét cổng để tìm lỗ hổng Bo dùng để đưa cảnh báo hệ thống nhiễm trojan backoffice 2.3 Module phát Đây module quan trọng Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay không Một vấn đề quan trọng module phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Khi lưu lượng mạng lớn xảy việc bỏ sót không phản hồi lúc Khả xử lý module phát phụ thuộc vào nhiều yếu tố: số lượng luật, tốc độ hệ thống, băng thông mạng.Một module phát có khả tách phần gói tin áp dụng luật lên phần gói tin: • IP header • Header tầng transport: TCP, UDP • Header tầng application: DNS, HTTP, FTP … • Phần tải gói tin Do luật Snort đánh số thứ tự ưu tiên nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa theo luật có mức ưu tiên cao 2.4 Môđun log cảnh báo Tùy thuộc vào việc môđun Phát có nhận dạng đuợc xâm nhập hay không mà gói tin bị ghi log đưa cảnh báo Các file log file text liệu ghi nhiều định dạng khác chẳng hạn tcpdump 2.5 Môđun kết xuất thông tin Môđun thực thao tác khác tùy theo việc bạn muốn lưu kết xuất Tùy theo việc cấu hình hệ thống mà thực công việc là: • Ghi log file • Ghi syslog: syslog chuẩn lưu trữ file log sử dụng nhiều hệ thống Unix, Linux • Ghi cảnh báo vào sở liệu Tạo file log dạng xml: việc ghi log file dạng xml thuận tiện cho việc trao đổi chia sẻ liệu • Cấu hình lại Router, firewall • Gửi cảnh báo gói gói tin sử dụng giao thức SNMP Các gói tin dạng SNMP gửi tới SNMP server từ giúp cho việc quản lý cảnh báo hệ thống IDS cách tập trung thuận tiện • Gửi thông điệp SMB (Server Message Block) tới máy tính Windows Nếu không hài lòng với cách xuất thông tin trên, ta viết môđun kết xuất thông tin riêng tuỳ theo mục đích sử dụng • 3.Bộ luật Snort 3.1 Cấu trúc luật Snort Tìm hiểu ví dụ: alert tcp 192.168.0.0/22 23 -> any any (content:”confidential”; msg: “Detected confidential”) Ta thấy cấu trúc có dạng sau: Phần Header: chứa thông tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiểu chuẩn để áp dụng luật với gói tin Phần Option: chứa thông điệp cảnh báo thông tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh với gói tin 3.2 Cấu trúc phần Header: • Action: phần quy định loại hành động thực thi Thông thường hành động rạo cảnh báo log thông điệp hay kích hoạt luật khác • Protocol: giao thức cụ thể • Address: địa nguồn địa đích • Port: xác định cổng nguồn, cổng đích gói tin • Direction: phần địa nguồn địa đích 3.2.1 Action Có luật định nghĩa: • Pass: cho phép Snort bỏ qua gói tin • Log: dùng để log gói tin Có thể log vào file hay vào CSDL • Alert: gửi thông điệp cảnh báo dấu hiệu xâm nhập phát • Activate: tạo cảnh báo kích hoạt thêm luật khác để kiểm tra thêm điều kiện gói tin • Dynamic: luật gọi luật khác có hành động Activate 3.2.2 Protocol Chỉ loại gói tin mà luật áp dụng: • IP • ICMP • TCP • UDP Nếu IP Snort kiểm tra header lớp liên kết để xác định loại gói tin Nếu giao thức khác, Snort sử dụng header IP để xác định loại giao thức 3.2.3 Address Có phần địa đích địa nguồn Nó IP đơn dải mạng Nếu “any” áp dụng cho tất địa mạng Chú ý: host có dạng: IPaddress/32 VD: 192.168.0.1/32 Snort cung cấp phương pháp để loại trừ địa IP cách sử dụng dấu “!” VD: alert icmp ![192.168.0.0/22] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) Lưu ý: dấu “[]” cần dùng đằng trước có “!” 3.2.4 Port Số port để áp dụng cho luật VD: telnet 23, DNS 53 … Port áp dụng cho giao thức TCP UDP Để sử dụng dãy port ta phân biệt dấu “:” VD: alert udp any 1024:8080 -> any any (msg: “UDP port”;) 3.2.5 Direction Chỉ đâu nguồn, đâu đích Có thể -> hay 192.168.0.0/22 any (flags: A; ack: 0; msg: “TCP ping detected”) 3.3.2 Từ khóa classtype Các luật phân loại gán cho số độ ưu tiên để nhóm phân biệt chúng với Để hiểu rõ classtype ta cần hiểu file classification.config Mỗi dòng file có cấu trúc sau: Config classification: name, description, priority Trong đó: • Name: tên dùng để phân loại, tên dùng với từ khóa classtype luật Snort • Description: mô tả • Priority: số độ ưu tiên mặc định lớp Độ ưu tiên điều chỉnh từ khóa priority phần Option Snort VD: Config classification: DoS, Denied of Service Attack, Và luật Alert udp any any -> 192.168.0.0/22 6838 (msg:”DoS”; content: “server”; classtype: DoS; priority: 1;) ghi đè lên giá trị priority mặc định lớp định nghĩa 3.3.3 Từ khóa content Một đặc tính quan trọng Snort có khả tìm mẫu liệu bên gói tin VD: alert tcp 192.168.0.0/22 any -> ![192.168.0.0/22] any (content: “GET”; msg :”GET match”;) Luật tìm mãu “GET” phần liệu tất gói tin TCP có nguồn mạng 192.168.0.0/22 đến địa đích không nằm dải mạng Tuy nhiên sử dụng từ khóa content cần nhớ rằng: Đối chiếu nội dung cần phải xử lý lớn nên ta phải cân nhắc kỹ sử dụng nhiều luật đối chiếu nội dung Các từ khóa sử dụng với content để bổ sung thêm điều kiện là: • Offset: dùng để xác định vị trí bắt đầu tìm kiếm offset tính từ đầu phần liệu gói tin VD: alert tcp 192.168.0.0/22 any -> any any (content: “HTTP”; offset: 4; msg: “HTTP matched”;) • Dept: dùng để xác định vị trí mà từ Snort dừng việc tìm kiếm VD: alert tcp 192.168.0.0/22 any -> any any (content: “HTTP”; dept: 10; msg: “HTTP matched”;) 3.3.4 Từ khóa dsize Dùng để đối sánh theo chiều dài phần liệu Rất nhiều công sử dụng lỗi tràn đệm cách gửi gói tin có kích thước lớn VD: alert ip any any -> 192.168.0.0/22 any (dsize > 5000; msg: “Goi tin co kich thuoc lon”;) 3.3.5 Từ khóa Flags Từ khóa dùng để phát xem bit cờ flag bật phần TCP header gói tin Mỗi cờ sử dụng tham số từ khóa flags Flag Kí hiệu tham số dùng luật Snort FIN – Finish Flag F SYN – Sync Flag S RST – Reset Flag R Flag Kí hiệu tham số dùng luật Snort PSH – Push Flag P ACK – Acknowledge Flag A URG – Urgent Flag U Reversed Bit 1 Reversed Bit 2 No Flag set VD: luật sau phát hành động quét dùng gói tin SYN-FIN: Alert tcp any any -> 192.168.0.0/22 any (flags: SF; msg: “SYNC-FIN flag detected”;) 3.3.6 Từ khóa fragbits Phần IP header gói tin chứa bit dùng để chống phân mảnh tổng hợp gói tin IP Các bit là: • Reversed bit (RB) dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết gói tin không bị phân mảnh • More Fragments Bit (MF): thiết lập phần khác gói tin đường mà chưa tới đích Nếu bit không thiết lập phần cuối gói tin VD: luật sau phát xem bit DF gói tin ICMP có bật hay không: alert icmp any any -> 192.168.0.0/22 any (fragbits: D; msg: “Don’t Fragment bit set”;) [...]... bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bất thường đó là portscan và bo (backoffice) Portscan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện quét cổng để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống nhiễm trojan backoffice 2.3 Module phát hiện Đây là module quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập Module phát hiện sử dụng các. .. nhận dấu / hay Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót hành vi xâm nhập Do vậy, 1 số Module tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào • Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này thường để xử lý với các xâm nhập không thể hoặc rất khó phát hiện bằng các. .. chia thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort có thể hiểu được các phiên làm việc khác nhau • Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dữ liệu có thể được biểu diễn dưới nhiều... môđun Phát hiện có nhận dạng đuợc xâm nhập hay không mà gói tin có thể bị ghi log hoặc đưa ra cảnh báo Các file log là các file text dữ liệu trong đó có thể được ghi dưới nhiều định dạng khác nhau chẳng hạn tcpdump 2.5 Môđun kết xuất thông tin Môđun này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn lưu kết quả xuất ra như thế nào Tùy theo việc cấu hình hệ thống mà nó có thể thực hiện các. .. có xâm nhập xảy ra hay không Một vấn đề quan trọng đối với module phát hiện và vấn đề thời gian xử lý gói tin: một IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật xử lý Khi lưu lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặc không phản hồi đúng lúc Khả năng xử lý của module phát hiện phụ thuộc vào nhiều yếu tố: số lượng các luật, tốc độ hệ thống, băng thông mạng.Một module phát. .. gói tin trên mạng lưu thông qua hệ thống Một gói tin sau khi được giải mã sẽ đưa tiếp vào module tiền xử lý 2.2 Module tiền xử lý Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói dữ liệu đưa vào cho Module phát hiện phân tích 3 nhiệm vụ chính: • Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói toàn bộ vào một gói tin mà thực hiện phân... SNMP Các gói tin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc quản lý các cảnh báo và hệ thống IDS một cách tập trung và thuận tiện hơn • Gửi các thông điệp SMB (Server Message Block) tới các máy tính Windows Nếu không hài lòng với các cách xuất thông tin như trên, ta có thể viết các môđun kết xuất thông tin riêng tuỳ theo mục đích sử dụng • 3.Bộ luật của Snort 3.1 Cấu trúc luật của... đó sẽ thực hiện khi phát hiện ra có xâm nhập nằm trong gói tin và nó cũng chứa tiểu chuẩn để áp dụng luật với gói tin đó Phần Option: chứa thông điệp cảnh báo và các thông tin về các phần của gói tin dùng để tạo nên cảnh báo Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh với gói tin 3.2 Cấu trúc của phần Header: • Action: là phần quy định loại hành động nào được thực thi Thông thường các hành động... lưu trữ các file log được sử dụng rất nhiều trên các hệ thống Unix, Linux • Ghi cảnh báo vào cơ sở dữ liệu Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việc trao đổi và chia sẻ dữ liệu • Cấu hình lại Router, firewall • Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP Các gói tin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc quản lý các cảnh... đích • Port: xác định các cổng nguồn, cổng đích của một gói tin • Direction: phần này sẽ chỉ ra địa chỉ nguồn và địa chỉ đích 3.2.1 Action Có 5 luật được định nghĩa: • Pass: cho phép Snort bỏ qua gói tin này • Log: dùng để log gói tin Có thể log vào file hay vào CSDL • Alert: gửi thông điệp cảnh báo khi dấu hiệu xâm nhập được phát hiện • Activate: tạo ra cảnh báo và kích hoạt thêm các luật khác để kiểm