Tìm hiểu về IDS, IPS và thực nghiệm trên mã nguồn mở SNORT, SNORTSAM
Nhận Xét Của Giáo Viên Hướng Dẫn Thành phố Hồ Chí Minh, tháng… năm 201… Giáo viên hướng dẫn Cô Nguyễn Thị Thanh Vân Nhận Xét Của Giáo Viên Phản Biện Thành phố Hồ Chí Minh, tháng… năm 201… Giáo viên phản biện LỜI CẢM ƠN Trước tiên, chúng em xin chân thành cảm ơn cô Nguyễn Thị Thanh Vân, cô người trực tiếp hướng dẫn, giúp đỡ chúng em trình nghiên cứu hoàn thành đề tài Chúng em xin cảm ơn tất thầy cô khoa Công nghệ thông tin, người dạy dỗ, truyền đạt kiến thức cho chúng em năm qua Do thời gian kiến thức có hạn, làm chắn nhiều sai sót, chúng em kính mong quý thầy cô bạn đóng góp ý kiến để chúng em hoàn thiện đề tài Thành phố Hồ Chí Minh, tháng … năm 20… Nhóm SVTH: Mục lục: PHẦN 1: MỞ ĐẦU 1.1 Tính cấp thiết đề tài: - Hiện nay, giới giai đoạn phát triển công nghệ thông tin, giao dịch chuyển dần từ trạng thái giao dịch offline sang online Ví - dụ như: giao dịch ATM, mua hàng trực tuyến, giao dịch thẻ VISA, … Cùng với phát triển đó, công mạng diễn ngày nhiều với nhiều hình thức ngày phức tạp hơn, công nhằm - mục đích đánh cắp thông tin người dùng, liệu quan trọng, … Để phòng chống công mạng đó, ta phải sử dụng đến hệ thống IDS (Instrusion Detection System, có nghĩa hệ thống phát xâm nhập) IPS (Intrusion Prevention System, nghĩa hệ thống ngăn chặn xâm nhập) 1.2 Mục tiêu nghiên cứu đề tài: - Các nội dung đề tài: Tìm hiểu IDS, IPS Triển khai thành công mô hình bảo mật hệ thống dùng Snort làm IDS - Snortsam làm IPS Giả lập công, kiểm tra khả phản ứng Snort Snortsam 1.3 Phạm vi nghiên cứu: - Triển khai mã nguồn mở Linux Thực nghiệm mô hình mạng nhỏ, có mô sau: PHẦN 2: NỘI DUNG ĐỀ TÀI Chương 3: Thực nghiệm Trang 57 Hình 3.15: Máy Attacker truy cập trang web 10.10.10.2:8080/DemoAttack máy Server, điền nội dung thông thường vào textbox bấm submit, trang web hiển thị lại nội dung vừa Chương 3: Thực nghiệm Trang 58 nhập Hình 3.16: Nếu nội dung điền vào textbox đoạn mã độc hình, trang web thực thi đoạn mã script 3.2.3.3 Phát ngăn chặn Snort, SnortSam: Chương 3: Thực nghiệm Trang 59 Hình 3.17: Viết luật cho Snort, Snortsam phát ngăn chặn công XSS - Trên máy IDS_IPS ta thêm luật vào local.rules tập luật snort - vùng khoanh đỏ hình 3.19 Giải thích luật: + Snort phát cảnh báo với thông điệp “Attack XSS” phát gói tin có chứa kí tự “” gửi từ mạng đến lớp mạng 10.10.10.0/24 + Sau Snort phát cảnh báo Snortsam tiến hành khóa IP gửi gói tin vòng phút Chương 3: Thực nghiệm Trang 60 Hình 3.18: Thực lại công XSS máy Attacker đến máy Server Chương 3: Thực nghiệm Trang 61 Hình 3.19: Snortsam máy IDS_IPS block IP máy Attacker phút Chương 3: Thực nghiệm Trang 62 Hình 3.20: Snort máy IDS_IPS phát cảnh báo có công XSS 3.2.4 Tấn công SQL Injection, phát ngăn chặn Snort, Snortsam: 3.2.4.1 Giới thiệu công SQL Injection: SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ Chương 3: Thực nghiệm Trang 63 công thực thao tác, delete, insert, update,… sở liệu ứng dụng, chí server mà ứng dụng chạy, lỗi thường xảy ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase Các dạng công SQL injection thường gặp: Dạng công vượt qua kiểm tra lúc đăng nhập: Kẻ công lợi dụng lỗ hổng truy vấn SQL để vượt qua kiểm tra đăng nhập Cụ thể ví dụ demo dưới, server xử lí thông tin người dùng nhập vào, kiểm tra đăng nhập với đoạn code sau: SessionFactory fr = new Configuration().configure().buildSessionFactory(); Session ss = fr.openSession(); ss.beginTransaction(); Query query = ss.createSQLQuery("select * from User where UserName='" + userName + "' AND PassWord='" + passWord + "'").addEntity(User.class); List list = query.list(); ss.close(); fr.close(); if (list.size()>0) return true; else return false; với userName passWord thông tin người dùng nhập vào Nếu kẻ công điền vào passWord “ something ‘or’ 1” truy vấn trở thành “select * from User where UserName=’user2’ AND PassWord = - ‘something ‘or’ 1’ ” truy vấn hợp lệ, kết trả true Dạng công sử dụng câu lệnh SELECT: Với đoạn code ví dụ trên, ké công điền vào trường userName passWord với liệu “union select all select * from User” câu truy vấn trở thành “select * from User where UserName=’union select all select * from User’ AND PassWord = ‘’” server thực câu - truy vấn Dạng công sử dụng câu lệnh INSERT: Chương 3: Thực nghiệm Trang 64 Ví dụ câu truy vấn “insert into User values (userName, passWord);” với userName passWord người dùng nhập vào, kẻ công nhập userName với giá trị “ ‘+ (select top UserName from User) + ’ ” server thực câu truy vấn 3.2.4.2 Tấn công: Hình 3.21: Máy Attacker truy cập trang web 10.10.10.2:8080/DemoAttackSQL máy Server, đăng nhập tài khoản user2 với password user2 (password CSDL) đăng nhập thành công Chương 3: Thực nghiệm Trang 65 Hình 3.22: Máy Attacker truy cập trang web 10.10.10.2:8080/DemoAttackSQL máy Server, đăng nhập tài khoản user2 với password password đăng nhập thất bại Hình 3.23: Chương 3: Thực nghiệm Trang 66 Nhưng kẻ công mật khẩu, họ sử điền vào text box PassWord chuỗi “something ‘or’ 1”, câu truy vấn SQL trở thành: “select * from User where UserName=’user2’ AND PassWord = ‘something ‘or’ 1’”, truy vấn hợp lệ nên đăng nhập 3.2.4.3 Phát ngăn chặn Snort, SnortSam: Hình 3.24: Viết luật cho Snort, Snortsam phát ngăn chặn công SQL Injection - Trên máy IDS_IPS ta thêm luật vào local.rules tập luật snort - vùng khoanh đỏ hình 3.26 Giải thích luật: + Snort phát cảnh báo với thông điệp “Attack SQLInjection” phát gói tin có chứa chuỗi ký tự “ ‘or’ ”, không phân biệt viết hoa hay viết thường gửi từ IP đến lớp mạng 10.10.10.0/24 + Sau Snort phát cảnh báo Snortsam tiến hành khóa IP gửi gói tin vòng phút Chương 3: Thực nghiệm Trang 67 Hình 3.25: Thực lại công SQL Injection máy Attacker đến máy Server Hình 3.26: Snortsam máy IDS_IPS block IP máy Attacker phút, override lại thời gian khóa máy Attacker cố gắng truy cập Chương 3: Thực nghiệm Trang 68 Hình 3.27: Snort máy IDS_IPS phát cảnh báo có công SQL Injection PHẦN 3: TỔNG KẾT 3.1 Những vấn đề đạt được: - Nắm bắt IDS, IPS chế hoạt động chúng Cài đặt sử dụng Snort, Snortsam làm hệ thống IDS, IPS Vận dụng kiến thức nghiên cứu để phòng chống công - mạng bản: DDos, Brute Force, XSS, SQL Injection, … Làm chủ Snort, Snortsam 3.2 Những hạn chế: - Snort có hạn chế: Chỉ phát xâm nhập biết dấu hiệu xâm nhập Các kẻ công dựa vào điểm yếu này, thay đổi cách thức công, dấu hiệu công, dẫn đến Snort không phát người quản trị không kịp thời cập nhật luật cho Snort Người quản trị phải luôn đề cao cảnh giác, cập nhật thông tin, hình thức công kẻ công, tìm dấu hiệu để viết luật cho - Snort Các sản phẩm plugin Snort không phát huy hết tác dụng như: Barnyard, Snort Center, Snort_Inline, Snort_Snaft,… 3.3 Hướng phát triển tương lai: - Hoàn thiện hệ thống IDS, IPS sử dụng Snort, Snortsam Tìm hiểu thêm phần mềm, hệ thống IDS, IPS khác, so sánh chúng với để tìm phần mềm, hệ thống phù hợp tối ưu để sử dụng cho sau TÀI LIỆU THAM KHẢO [1] Snort User Manual Copyright ©1998-2003 Martin Roesch Copyright ©2001-2003 Chris Green Copyright ©2003-2013 Sourcefire, Inc Copyright ©2014 Cisco and/or its affiliates All rights reserved [2] http://snort.org [3] http://snortsam.net [4] http://ha.ckers.org [5] Kĩ thuật công CROSS-SITE SCRIPTING Lê Hữu Tùng [6] http://vi.wikipedia.org/wiki/SQL_injection [...]... nhập, HIPS còn có khả năng phát hiện các thay đổi tập tin cấu hình Chương 1: Tổng quan về IDS, IPS Hình 1.9 Trang 27 Chương 2: Giới thiệu về Snort, Snortsam Trang 28 Chương 2: Giới thiệu về Snort, Snortsam Trang 29 CHƯƠNG 2: GIỚI THIỆU VỀ SNORT, SNORTSAM 2.1 Cài đặt và cấu hình hệ thống IDS bằng Snort: 2.1.1 Giới thiệu Snort và các thành phần: Snort là một phần mềm IDS mã nguồn mở mạnh mẽ và được... thống IPS: Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng 1.2.3.1 IPS ngoài luồng (Out-of-band IPS) : Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thể kiểm soát luồng dữ liệu vào phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Vói vị trí này, IPS có thể quản lý tường lửa,... lưu thông mạng 1.2.3.2 IPS trong luồng (In-line IPS) : Vị trí IPS nằm trước tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới tường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông nguy hiểm nhanh hơn so với IPS ngoài luồng Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn 1.2.4 Phân loại: Chương 1: Tổng quan về IDS, IPS 1.2.4.1 Trang 25 Hệ... điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong Chương 1: Tổng quan về IDS, IPS Trang 26 Hình 1.8 1.2.4.2 Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based IPS) : Hệ thống HIPS thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động xâm nhập trên các host Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus... dụ: trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao thức SQL để ngăn chặn các truy cập vào ứng dụng khi trao đổi với cơ sở dữ liệu 1.2 Tổng quan về IPS: 1.2.1 Các khái niệm về IPS: IPS là viết tắt của Intrusion Prevention System hay còn được gọi là hệ thống ngăn chặn truy cập trái phép IPS là hệ thống kết hợp giữa các ưu điểm giữa IDS và firewall 1.2.2 Kiến trúc chung của hệ thống IPS: ... được giải mã • Depth: dùng để xác định khoảng cách bao xa mà luật đó sẽ tìm tới tối thiểu là 1 và tối đa là 65535 Được dùng với từ khóa content để giới hạn nội dung tìm kiếm Chương 2: Giới thiệu về Snort, Snortsam Trang 32 • Offset: dùng để xác định điểm bắt đầu tìm kiếm.Cho phép giá trị từ • -65535 đến 65535 Distance: được sử dụng trong trường hợp muốn bỏ qua bao nhiêu byte từ nội dung tìm kiếm trước... thời gian thực: gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và • thông tin về chúng Ghi lại vào tập tin: các dữ liệu cửa cá gói tin sẽ được lưu trữ trong hệ thống các tệp tin log Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động 1.2.3 Các kiểu hệ thống IPS: Có... vụ giám sát các sự kiện, các cảnh báo được phát hiện và sinh ra từ Sensor và điều khiển hoạt động của các bộ Sensor Chương 1: Tổng quan về IDS, IPS Trang 13 Hình 1.2 1.1.2.3 Engine: Engine có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được phát hiện bởi các Sensor trang một cơ sở dữ liệu và sử dụng hệ thống các luật để đưa ra các cảnh báo trên các sự kiện nhận được cho hệ thống hoặc cho người... kết và tập hợp thành một bộ gọi là mẫu hay signatures Thông thường các mẫu này được hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn công, các mẫu này được các trung tâm chuyên nghiên cứu về IDS đưa ra để cung cấp cho hệ thống IDS trên toàn cầu • Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai và giúp người quản trị tìm. .. Chương 1: Tổng quan về IDS, IPS Trang 16 tấn công có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới • Để minh họa cho ưu nhược điểm của phương pháp này ta xét ví dụ sau: Một gói tin có chứa mã độc có chuỗi ký tự là “GET”, và IDS cũng có mẫu của loại mã độc này vì thế IDS sẽ nhận dạng được loại mã độc này Nhưng nếu cùng gói tin đó với cùng mã độc đó nhưng chuỗi