1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC

35 768 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 35
Dung lượng 1,74 MB

Nội dung

Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạ

Trang 1

LỜI CẢM ƠN

————————

Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn,

giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp

Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS Đàm Quang Hồng

Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này

Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn,

anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều

kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu quý báu đóng góp

vào quá trình phân tích hình thành nghiên cứu của tôi

Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ

Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm

học vừa qua

Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia

đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên

cứu của mình

Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn

chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được

những đóng góp quý báu của thầy cô và các bạn

TP Hồ Chí Minh, tháng 6 năm 2015

Người thực hiện

Đinh Như Khoa

MỤC LỤC

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv

DANH MỤC CÁC BẢNG v

DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ vi

MỞ ĐẦU 1

Chương 1 3

TỔNG QUAN 3

1.1 Lịch sử hệ thống phát hiện xâm nhập 3

1.2 Các vấn đề cần giải quyết luận văn 6

1.3 Các phương pháp nghiên cứu của luận văn 7

1.4 Những đóng góp chính của luận văn 8

1.5 Bố cục của luận văn 8

1.6 Kết luận chương 10

Chương 2 11

NGHIÊN CỨU CÔNG CỤ PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ OSSEC 11

2.1 Hệ thống phát hiện xâm nhập 11

2.1.1 Phân loại hệ thống phát hiện xâm nhập 11

2.1.1.1 Một số định nghĩa 11

2.1.1.2 Phân loại IDS 14

2.1.1.2 So sánh HIDS và NIDS 16

2.1.2 Mô hình và các kỹ thuật triển khai IDS 20

2.1.2.1 Triển khai Host-based IDS 21

2.1.2.2 Triển khai Netwo rk-based IDS 22

2.1.3 Chính sách IDS 23

2.2 Công cụ phát hiện xâm nhập mã nguồn mở ossec 24

Trang 2

2.2.1 Giới thiệu về OSSEC 24

2.2.2 Các thành phần của OSSEC 24

2.2.3 Các luật trong OSSEC 26

2.2.4 Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit 32

2.2.5 Phản ứng chủ động trong OSSEC 32

2.2.5.1 Cấu hình các dòng lệnh 33

2.2.5.2 Cấu hình phản ứng 34

Chương 3 36

PHẦN MỀM QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC 36

3.1 Phần mềm quản lý luật dựa trên ossec 36

3.1.1 Cơ sở lý luận và thực tiễn 36

3.1.2 Cách tiếp cận vấn đề 38

3.1.3 Thiết kế cơ sở dữ liệu 38

3.1.4 Mô hình chức năng hoạt động 40

3.1.5 Giao diện của chương trình quản lý 41

3.2 Chức năng phát hiện tấn công ddos 44

3.2.1 Cơ sở lý luận và thực tiễn 44

3.2.1.1 Các yêu cầu đối với môt hệ thống phát hiện DDos 44

3.2.1.2 Phân tích phát hiện các cuộc tấn công DDos 45

3.2.1.3 Một số thuật toán phát hiện DDos 45

3.2.2 Các thuật toán áp dụng cho chức năng phát hiện tấn công DDOS 50

3.2.2.1 Cơ chế kiểm tra địa chỉ nguồn 50

3.2.2.2 Kỹ thuật phát hiện tấn công DDOS theo thuật toán CUSUM 52

3.2.3 Hiện thực cá chức năng của chương trình 53

3.2.3.1 Quản lý các địa chỉ đã truy cập 53

3.2.3.2 Phân tích tấn công, cảnh báo và ngăn chặn các địa chỉ tấn công 57

Chương 4 59

THỰC NGHIỆM Error! Bookmark not defined 4.1 Giao diện chức năng quản lý địa chỉ truy cập 59

4.1.1 Quản lý cấu hình thông số IAD 59

4.1.2 Bảng danh sách địa chỉ truy cập mới nhất 60

4.2 Biểu đồ kết quả phân tích phát hiện tấn công DDOS 61

TÀI LIỆU THAM KHẢO 62

Trang 3

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG

Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS 17

Trang 4

DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ

Hình 1.1: Các dòng sản phẩm IDS của Cisco 9

Hình 1.2: Các dòng sản phẩm IDS của ISS 9

Hình 1.3: Các dòng sản phẩm IDS của Symatec 9

Hình 1.4: Các dòng sản phẩm IDS của Enterasys 10

Hình 2.2: Một số vị trí đặt IDS trong hệ thống mạng 17

MỞ ĐẦU

Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới - thời đại công nghệ số Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu

Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch

vụ web Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức

mã hóa, và các mạng riêng ảo,…

Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra Những thông tin thu thập được sẽ

Trang 5

giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống

nhằm giảm thiểu những tấn công bất hợp pháp

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử dụng

để tạo sự bảo mật đối với các gói vào và ra trong mạng IDS thường được sử dụng

để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết về

những gì đang thực sự xảy ra trong mạng Các hệ thống IDS được chia thành các

loại sau:

Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để

phát hiện xâm nhập

Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,

cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn

chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2

(VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ

phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của

đi vào chi tiết

1.1 Lịch sử hệ thống phát hiện xâm nhập

Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công của hacker-những kẻ xâm nhập

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất thường và không hợp pháp Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là

sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong

hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát

Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên vào năm 1980 Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Vài năm sau đó,

Trang 6

Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp

IDS là Wheel Group Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp

tục phát triển đến ngày nay

Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản

IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000 HID (Host Intrusion

Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition

Hình 1.1 Các dòng sản phẩm IDS của Cisco

Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID

với công nghệ Gigabit

Hình 1.2 Các dòng sản phẩm IDS của ISS

Symantec bao gồm các sản phẩm ITA và NetPower

Hình 1.3 Các dòng sản phẩm IDS của Symantec

Enterasys với Dragon NID và Squire HID system

Hình 1.4 Các dòng sản phẩm IDS của Enterasys Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu hết các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần cứng đã được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO Đối với các hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, đây

là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần cứng Tuy nhiên đối với các tổ chức có mô hình mạng nhỏ thì đây không phải là một giải pháp thực sự kinh tế, vì chi phí cho các sản phẩm này khá cao

Bên cạnh những dòng IDS dùng phần cứng, cũng có rất nhiều IDS dùng phần mềm Theo Insecure.org ( http://sectools.org/tag/ids/) OSSEC là một số hệ thống phát hiện xâm nhập bằng phần mềm có khả năng rất mạnh và được các nhà cung cấp dịch vụ Internet hay các trung tâm dữ liệu sử dụng OSSEC là một sản phẩm IDS mã nguồn mở đã được hãng bảo mật TREND Micro mua lại, nó hoạt động dựa trên các tập luật được định nghĩa với 15 mức độ ưu tiên khác nhau, phân tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) và Bản đăng ký hệ thống (registry) để theo dõi, thực thi các chính sách, phát hiện rootkit nhằm cảnh báo và phản ứng tích cực

Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm IDS phần mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn

mở OSSEC Bởi vì, có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và OSSEC có thể đáp ứng rất tốt cả hai yêu cầu này Ngòai ra OSSEC còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật các luật một cách

Trang 7

nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu

cầu của mình Vì vậy OSSEC là phần mềm IDS mạnh mẽ và được dùng nhiều hiện

nay trên thế giới trong vấn đề phát hiện xâm nhập

Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS

thành một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp

các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng

phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công

đó

Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng

ngăn chặn hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực

hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở

vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng

Công cụ mã nguồn mở OSSEC đã được xây dựng và phất triển rất lâu, mục

đích là gọn nhẹ và hiệu quả, bên cạnh đó chủ yếu phục vụ cho người quản trị có am

hiểu về hệ thống rất cao Các giao diện cho người dùng rất khó dùng và chỉ thể hiện

những lịch sử truy nhập dạng thô, và để cấu hình những luật mới hay chỉnh sửa phải

dùng lệnh rất dài để cấu hình trong hệ điều hành Linux hoặc chỉnh sửa các tập tin

XML được định nghĩa sẵn Những khó khăn này làm cho hệ thống bớt hiệu quả bởi

người quản trị phải luôn xem lịch sử truy cập và phải tự phân tích rất nhiều, ngoài ra

việc chỉnh sửa hay thêm bớt các luật không được thuận tiện làm cho người quản trị

cảm thấy không thoải mái Chính vì vậy, vấn đề cần thiết của việc xây dựng ứng

dụng quản lý các luật của OSSEC một cách trực quan sẽ giúp cho người quản trị rất

nhiều trong quá trình khai thác các điểm mạnh của OSSEC

1.2 Các vấn đề cần giải quyết trong luận văn

Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách

xây dựng một chương trình có giao diện thân thiện, dễ sử dụng với những chức

năng cho phép cập nhật tương tác tích hợp với hệ thống OSSEC Hệ thống cho phép

Phải hiển thị được các cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ

thống

Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công DDOS một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các giải thuật phát hiện tấn công DDOS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ phát hiện tấn công và giảm tỉ lệ cảnh báo giả

Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống ứng dụng quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo dõi hệ thống nhanh và chính xác hơn Bên cạnh đó luận văn cũng tìm hiểu một số phương pháp để phát hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng

để người quản trị sớm có những quyết định chống lại các tấn công nguy hiểm này

1.3 Các phương pháp nghiên cứu của luận văn

Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân tán của các tác giả trước đó Ứng dụng những phương pháp phù hợp nhất cho hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu Một số phương pháp được luận văn sử dụng bao gồm:

 Phương pháp theo dõi địa chỉ nguồn : Lữu trữ những địa chỉ đã truy cập để phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ hợp lệ hay không

 Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới hạn để xác định tấn công

Trang 8

1.4 Những đóng góp chính của luận văn

Luận văn đã tìm hiểu và xây dựng một hệ thống quản trị các luật và tích hợp

với hệ thống OSSEC ứng dụng giúp người dùng tương tác với hệ thống OSSEC dễ

dàng hơn, cho phép cập nhật, chỉnh sửa các luật, theo dõi lịch sử truy cập hệ thống

trực quan dạng biểu đồ

Luận văn đã tìm hiểu các phương pháp của các nghiên cứu trước đó Chọn lọc

và ứng dụng các giải thuật phù hợp cho nghiên cứu của mình Đồng thời luận văn

đề xuất một số phương pháp sau đây:

 Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ các địa chỉ

truy cập hệ thống Nhưng không cần phải lưu các thông số như số lần truy cập của

địa chỉ cũng như số gói tin của địa chỉ truy cập

 Dựa vào lý thuyết thuật toán CUSUM để xây dựng các thông số cần tính

toán nhằm đưa ra quyết định cảnh báo hoặc ngăn chặn khi có tấn công DDOS thông

qua các cấu hình của người quản trị

1.5 Bố cục của luận văn

Luận văn gồm các phần sau

Mở đầu

Chương 1: Tổng quan

Chương này luận văn giới thiệu tổng quan về hệ thống phát hiện

xâm nhập và ứng dụng mã nguồn mở OSSEC Đồng thời luận văn cũng

trình bày các phương pháp nghiên cứu và những đóng góp chính của

luận văn Bố cục của luận văn cũng được giới thiệu cho người đọc cái

nhìn khái quát trước khi đi vào chi tiết

Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở

OSSEC

Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm

nhập Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập

bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập

Chương 3: Hệ thống Phần mềm quản lý luật và chức năng phát hiện tấn công DDOS dựa trên tích hợp với mã nguồn mở OSSEC và chức năng phát hiện tấn công DDOS (sửa lại tên chương 3)

Đây là chương quan trọng nhất của luận văn Trong chương này luận văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát triển Hệ thống ứng dụng quản lý luật nhằm mang lại công cụ quản trị

thuận tiện cho người dùng Bên cạnh đó luận văn cũng phát triển một chức năng nhằm phát hiện sớm tấn công DDOS để cảnh báo đến người quản trị và đưa ra hướng giải quyết nhằm ngăn chặn tấn công DDOS

Chương 4: Đánh giá kết quả đạt được Thực nghiệm (sửa lại tên chương 3)

Trong chương này luận văn trình bày những kết quả thực nghiệm

áp dụng vào thực tế để phân tích dữ liệu và kết quả đạt được của ứng dụng quản lý luật và đặc biệt là kết quả thực tế trong quá trình phân tích tấn công DDOS dựa trên cải tiến giải thuật CUSUM Luận văn cũng trình bày kết quả những cải tiến so với giải thuật CUSUM

Kết luận

Phần này tổng quát lại những đóng góp của luận văn, những kết quả đạt được trong quá trình nghiên cứu của tác giả

Kiến nghị các hướng nghiên cứu tiếp theo

Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán

Trang 9

1.6 Kết luận chương

Chương này Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các

vấn đề luận văn cần quan tâm Trong đó quan trọng nhất là cải tiến tỉ lệ phát hiện

tấn công DDOS Điều này đòi hỏi cần giảm bớt độ phức tạp của thuật giải nhưng

vẫn đảm bảo độ chính xác của hệ thống Ngoài ra Chương này cũng trình bày các

phương pháp thực hiện của luận văn Bố cục luận văn cũng được giới thiệu cho

người đọc cái nhìn tổng quát trước khi đi sâu vào chi tiết

2.1 Hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng một cách hiệu quả [1]

Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty Vấn

đề là chọn lựa mô hình nào để triển khai cho phù hợp với nhu cầu thực tế

2.1.1 Phân loại hệ thống phát hiện xâm nhập

2.1.1.1 Một số định nghĩa

Trước khi đi vào chi tiết của phát hiện xâm nhập, chúng ta cần có một số định nghĩa liên quan đến bảo mật Đây là các khái niệm thường được sử dụng nhất trong lĩnh vực IDS

Trang 10

IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần

mềm hoặc phần cứng hoặc kết hợp của cả hai được dùng để phát hiện các hành vi

xâm nhập vào mạng Mục đích của nó là phát hiện và ngăn ngừa các hành động phá

hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn

công như sưu tập, quét các cổng Tính năng chính của hệ thống này là cung cấp

thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo

cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó công cụ

IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân

viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) OSSEC là một

IDS mã nguồn mở phổ biến và được giới thiệu trong khóa luận này Một IDS có

nhiều chức năng hay không là phụ thuộc vào sự phức tạp và tinh vi trong các thành

phần của nó IDS appliances là sản phẩm kết hợp cả phần cứng và phần mềm, hầu

hết đều là các sản phẩm thương mại Như đã đề cập ở trên, một IDS có thể sử dụng

kỹ thuật signature, anomaly-based hoặc cả hai

Network-based IDS (NIDS)

NIDS dùng để bắt các gói tin từ môi trường mạng (cables hoặc wireless) để

so sánh dữ liệu thu thập được với cơ sở dữ liệu đã biết của các dấu hiệu tấn công

vào hệ điều hành và ứng dụng Khi phát hiện được nguy cơ bị tấn công, NIDS có

thể phản ứng lại bằng cách log gói tin vào cơ sở dữ liệu, cảnh báo cho nhà quản trị

hoặc đưa vào firewall

Host-based IDS (HIDS)

HIDS được cài đặt như một agent trên một host cụ thể HIDS phân tích log

của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các

vi phạm bảo mật và các chính sách đã được đặt ra Nếu thấy có vi phạm HIDS có

thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và

có thể ngừng hành động lại trước khi nó xảy ra

Thường thì IDS dựa vào signature để tìm ra hoạt động của người tấn công Một vài nhà cung cấp IDS yêu cầu phải cập nhật các signature mới trực tiếp từ nhà cung cấp khi có một kiểu tấn công mới được tìm ra Trong một số IDS khác, chẳng hạn như Snort, ta có thể tự cập nhật các signature do mình tự định nghĩa, như vậy người dùng có thể linh động hơn khi sử dụng

Alerts

Alerts là bất kỳ các hình thức thông báo cho người dùng về một hoạt động tấn công Khi IDS phát hiện ra một kẻ tấn công, nó dùng các hình thức alert để thông báo cho người quản trị bảo mật Alerts có thể là cửa sổ pop-up, màn hình console, gởi email … Alerts có thể được chứa trong file log hoặc database để được

sử dụng trong công tác phân tích của các chuyên gia bảo mật

Logs

Các thông báo log thường được lưu vào file Mặc định OSSEC lưu trữ ở /var/ossec/log OSSEC có nhiều loại log khác nhau bao gồm log ossec, log alert, log firewall, log active response OSSEC có công cụ ossec-webui dùng để phân tích log

False Alarm

False Alarm là những cảnh báo về một cuộc tấn công nhưng thực tế đó không phải là hành động tấn công Ví dụ như IDS phát hiện ra một cuộc tấn công vào IIS server nhưng thực tế bên trong hệ thống mạng của bạn không hề có IIS

Trang 11

server Để tránh cảnh báo sai cần phải thay đổi và điều chỉnh các luật mặc định

Trong một số trường hợp phải gở bỏ đi một số luật để tránh cảnh báo sai

Sensor/Agent

Là một máy tính hoặc thiết bị mà trên đó đang chạy một hệ thống phát hiện

xâm nhập (IDS), nó được gọi là sensor vì nó được dùng để giám sát và phân tích các

hoạt động network “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong

khi “Agent” thường được dùng cho dạng Host-base IDS/IPS

2.1.1.2 Phân loại IDS

Nhìn chung có nhiều cách để phân loại IDS, tuy nhiên cách phân loại tổng

quát nhất vẫn là phân loại thành Host-based và Network-based

Host-based IDS

HIDS là dạng IDS lấy thông tin cục bộ từ một host, nơi nó được cài đặt

HIDS có thể được sử dụng trong một số dạng như dùng để theo dõi log (logfile

monitors), giám sát tính toàn vẹn (integrity monitors), phát hiện hiện xâm nhập ở

mức kernel (kernel module)

Logfile monitors - Đây là dạng IDS đơn giản nhất, thiết bị này sẽ cố gắng phát

hiện những sự xâm nhập bằng cách phân tích log các sự kiện của hệ thống Công

nghệ HIDS bị giới hạn bởi hệ thống ghi log Nếu ứng dụng không hỗ trợ hoặc hỗ trợ

giới hạn việc ghi log thì sẽ hạn chế khả năng hoạt động của HIDS rất nhiều Ngoài

ra đối với hacker có kinh nghiệm thì có khả năng qua mặt hệ thống HIDS bằng cách

tạo nhiều sự kiện ghi log giả mạo (false positive) khiến quản trị viên tắt bỏ alert

hoặc thậm chí tắt bỏ cả HIDS trên một agent Đối với hacker có kinh nghiệm thì còn

có một số lỗ hổng trong ứng dụng không ghi log và hacker có thể khai thác HIDS

mà không có log thì sẽ không hoạt động đúng chức năng như đã được thiết kế

Công cụ giám sát log file nổi tiếng nhất là Simple Watcher (Swatch) Công

cụ này cho phép phát hiện những xâm nhập được phân tích từ log file dựa trên cấu

hình trong file script

Integrity monitors - Công cụ giám sát tính toàn vẹn sẽ nhìn vào cấu trúc chủ

yếu để phát hiện sự thay đổi Ví dụ như, một hệ thống giám sát tính toàn vẹn cơ bản

sử dụng một file hệ thống hoặc một khóa trong registry để ghi lại các thay đổi bởi

một kẻ xâm nhập

Công cụ dùng để giám sát tính toàn vẹn phổ biến nhất là Tripwire

(http://www.tripwire.com) (có cả phiên bản cho Linux và Windows), và AIDE là một phiên bản phát triển trên nền của Tripwire Các công cụ này đều hoạt động chủ yếu dựa trên sự theo dõi bảng băm (hash) để kiểm tra tính toàn vẹn của tập tin Ngoài ra các công cụ này còn theo dõi một số thuộc tính như :

 Việc thêm, xóa và sửa đổi file

 Cờ trạng thái của file (hidden, read-only, archive, …)

 Thời gian truy cập cuối cùng

 Thời gian ghi cuối cùng

 Kích thước file

Lưu ý : Điểm mấu chốt khi triển khai các hệ thống này là phải thiết lập trước

một hệ thống thực sự an toàn (“known safe”) trước khi hệ thống kiểm tra sự toàn vẹn hoạt động và được kết nối vào hệ thống mạng

Kernel-based IDS - Các hệ thống kiểm tra ở mức kernel chủ yếu được phát

triển chủ yếu cho hệ điều hành Linux Một số công cụ phổ biến như LIDS, Open Wall Đặc điểm của hệ thống dạng này là tăng cường bảo mật cho một số điểm yếu còn thiếu sót của hệ thống hiện tại, khóa các truyền thông bất thường Điểm đặc biệt

là nó có thể khóa một số quyền hạn của tài khoản root

Network-based IDS

Network IDS có thể được phân chia thành 2 loại : signatured-based (dựa vào các dấu hiệu nhận dạng được định nghĩa trước) và anomaly-based (dựa vào các dấu hiệu bất thường) Ngoài ra còn có các hệ thống phát hiện xâm nhập “lai” (Hybrid IDS) là sự kết hợp ưu điểm của mỗi loại IDS Trong thực tế, các sản phẩm NIDS thương mại hiện đại đều sử dụng một số kỹ thuật của anomaly-based để tăng cường

Trang 12

cho cấu trúc chính của nó là signature-based engine Một số dòng sản phẩm tiêu

biểu như ISS RealSecure, Cisco IDS, và Enterasys Dragon

Signature matchers - Giống như các phầm mềm quét virus truyền thống, phần

lớn các IDS đều cố gắng phát hiện tấn công dựa trên cơ sở dữ liệu về các dấu hiện

của các tấn công Ví dụ như Ossec là một signature-based IDS miễn phí, chạy được

trên rất nhiều hệ điều hành

Bởi vì Ossec là một phần mềm mã nguồn mở nên nó có một tiềm năng phát

triển cơ sở dữ liệu signature rất nhanh từ cộng đồng bảo mật rất lớn trên thế giới

Anomaly detectors - Phát hiện dấu hiệu bất thường (anomaly detection) liên

quan đến việc thiết lập một nền móng cơ bản của một hệ thống bình thường (normal

system) hoặc là các hoạt động trên mạng (network activity) và sau đó cảnh báo cho

cho chúng ta khi có những hoạt động bất thường xảy ra Tuy nhiên kỹ thuật này chỉ

hoạt động tốt trên môi trường mạng ít thay đổi, còn trong một số mạng có cấu trúc

đặc biệt như mạng quân đội hoặc mạng giao tiếp tình báo thì kỹ thuật này sẽ cho

những cảnh báo sai Trong lĩnh vực anomaly-based, người ta áp dụng một số kỹ

thuật của trí tuệ nhân tạo (Artificial Intelligence - AI), độ chính xác của nó đang

được nghiên cứu

2.1.1.2 So sánh HIDS và NIDS

Trong phần trước đã nói sơ lược về khái niệm Host-based IDS (HIDS) và

Network-based IDS (NIDS) Trong phần này sẽ cho chúng ta cái nhìn cụ thể về

những điểm mạnh, yếu của chúng Như đã nói ở trên, NIDS đôi khi được coi như

một sniffer trong mạng, còn HIDS thường làm những công việc như phân tích log

(log analyzer), kiểm tra tính toàn vẹn của hệ thống, … Tuy nhiên có một điểm

chung của các IDS là bản thân nó không tự chống các cuộc tấn công hoặc ngăn chặn

những khai thác lỗi thành công Hiện nay sự phát triển mới của IDS là hệ thống

ngăn chặn xâm nhập (Intrusion Prevention System - IPS) đã có thể thực hiện nhiều

vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra, thậm chí có thể tấn

công ngược lại đối phương Thực tế thì IDS chỉ cho chúng ta biết mạng đang bị

nguy hiểm và giá trị chính của nó là cho biết điều gì sắp xảy ra, giúp cho người quản trị có những chính sách hợp lý cho mạng và cho host

Sự khác nhau chủ yếu giữa HIDS và NIDS là nơi mà nó sẽ tìm kiếm dữ liệu

để phát hiện xâm nhập NIDS nhìn vào toàn cảnh luồng dữ liệu trên mạng, trong khi

đó HIDS quan sát các host, hệ điều hành và các hoạt động của ứng dụng Như vậy NIDS phát hiện ra những cuộc tấn công tiềm năng, trong khi đó HIDS chỉ phát hiện những cuộc tấn công đã thành công Bởi vậy có thể nói rằng NIDS mang tính tiên phong (proactive) hơn so với HIDS Tuy nhiên HIDS lại hoạt động hiệu quả hơn trong môi trường chuyển mạch, mã hóa và tốc độ cao (high-traffic environment), trong khi đó NIDS rất khó hoạt động trong môi trường này

Tóm lại, để lựa chọn công nghệ IDS thích hợp cần phải dựa vài chính sách

IDS đã đề cập ở trên và có thể dựa vào một phương pháp thống kê gọi là Bayesian

analysis

Bảng 2.1 Bảng phân tích so sánh giữa HIDS và NIDS[1]

Chức năng HIDS NIDS Các đánh giá

Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn

nếu chọn đúng sản phẩm

Trang 13

1 2 NIDS cần 2 yêu cầu băng tần mạng

đối với bất kỳ mạng LAN nào Băng tần cần

(Internet)

** ** Cả hai đều cần băng tần Internet để

cập nhật kịp thời các file mẫu

Các yêu cầu

NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN của bạn được quét

Chu kỳ nâng

cấp cho các

client

**** - HIDS nâng cấp tất cả các client với

một file mẫu trung tâm

Chỉ HIDS mới có thể thực hiện các kiểu quét này

Bản ghi *** *** Cả hai hệ thống đề có chức năng

cá nhân của bạn Loại bỏ gói

Chỉ các tính năng NIDS mới có phương thức này

Kiến thức chuyên môn

Cần nhiều kiến thức chuyên môn khi cài đặt và sử dụng NIDS đối với toàn bộ vấn đề bảo mật mạng của bạn Quản lý tập

Khả năng vô hiệu hóa các hệ

Các nút phát hiện nhiều đoạn **** **

HIDS có khả năng phát hiện theo nhiều đoạn mạng toàn diện hơn

Trang 14

mạng LAN

Theo bảng phân tích so sánh giữa 2 mô hình, mỗi mô hình triển khai đều có

ưu và nhược điểm, vì vậy tùy thuộc vào mục đích và quy mô mà chúng ta chọn mô

hình triển khai cho phù hợp

2.1.2 Mô hình và các kỹ thuật triển khai IDS

Phụ thuộc vào mô hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí Tùy

thuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngoài, hoặc cả

hai Ví dụ, nếu cần phát hiện một tấn công từ bên ngoài, có một router kết nối ra

Internet, thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa Nếu bạn có

nhiều đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kết nối đó Tuy nhiên

nếu cần phát hiện các nguy cơ từ bên trong, tốt nhất cần đặt IDS tại mỗi phân đoạn

Local Network

Local Network

Hình 2.1 Một số vị trí đặt IDS trong hệ thống mạng

2.1.2.1 Triển khai Host-based IDS

HIDS có hai điểm khác biệt khi triển khai so với NIDS HIDS chỉ theo dõi được host mà nó đang được cài đặt và card mạng hoạt động ở trạng thái bình

thường là non-promiscuous (hay còn gọi là trạng thái active)

Hình 2.2 Mô hình triển khai Host-based IDS Khi triển khai theo mô hình HIDS có một số điểm thuận lợi như sau:

 Card mạng chỉ cần hoạt động ở chế độ bình thường nên không cần phải trang bị thêm card mạng mới, bởi vì không phải tất cả các card mạng đều có khả năng chuyển sang trạng thái promiscuos Khi hoạt động ở chế độ bình thường

sẽ không yêu cầu nhiều xử lý của CPU so với trạng thái promiscuous

 Do chỉ theo dõi cho một host cụ thể nên HIDS có thể theo dõi sâu hơn

về những thông tin của hệ thống như system calls, những thay đổi trong file hệ thống, system logs

 Người quản trị có thể linh động cấu hình tập hợp các rule cho từng host cụ thể Ví dụ như không cần phải sử dụng rule để phát hiện tấn công DNS(Domain Name System) trong khi một máy tính không chạy dịch vụ DNS Do

Trang 15

đó có thể giảm bớt những rule không cần thiết, giúp tăng cường hiệu suất và giảm

thiểu những xử lý quá tải

2.1.2.2 Triển khai Network-based IDS

Hình 2.3 Mô hình triển khai Network-based IDS Không giống với HIDS, trong mô hình triển khai NIDS ở hình 4.2, mỗi

NIDS theo dõi toàn bộ dữ liệu trên từng đoạn mạng mà nó được cài đặt Trong mô

hình trên sử dụng 3 NIDS để theo dõi luồng dữ liệu trên 3 đoạn mạng khác nhau là

các public server và hệ thống mạng bên trong

Như đã nói trong các phần trước, đặc trưng của NIDS là làm sao để từng

NIDS có thể theo dõi được tất cả các dữ liệu được trao đổi trên từng đoạn mạng Do

đó cần phải có một số yêu cầu đặc biệt về mặt kỹ thuật để triển khai NIDS:

 Card mạng của NIDS cần phải hỗ trợ chế độ promiscuous để NIDS có

thể nhận được các gói tin có destination MAC không gửi cho nó Tuy nhiên đây chỉ

là điều kiện cần để NIDS nhận được dữ liệu trên mạng, vấn đề chính là làm sao để

toàn bộ dữ liệu trên đoạn mạng có thể đổ dồn vào NIDS

 Có một số giải pháp để giải quyết vấn đề giúp NIDS có thể bắt được toàn bộ dữ liệu trên đoạn mạng như: sử dụng Hub, Network Tap và công nghệ Switch Port Analyzer (SPAN) của Cisco

2.1.3 Chính sách IDS

Trước khi cài đặt IDS, phải có một một chính sách dò tìm kẻ xâm nhập và các hành động phản ứng lại khi tìm thấy một hành động xâm nhập Một chính sách

phải đề ra các luật và làm thế nào để áp dụng chúng

Phụ thuộc vào IDS, bạn có cơ chế cảnh báo để cung cấp thông tin về hành động của kẻ xâm nhập Hệ thống cảnh báo có thể được xuất ra dưới dạng file text, hoặc phức tạp hơn, có thể hợp nhất thành một hệ thống quản lý trung tâm như HP OpenView hoặc MySQL Database Một vài người cần hiển thị các hành động của

kẻ xâm nhập, do đó cần phải có chính sách cho những người chịu trách nhiệm Các hành động xâm nhập có thể được theo dõi trong thời gian thực và được hiển thị ở dạng cửa sổ pop-up hoặc giao diện web

Và như tất cả các hệ thống khác, bạn cần có cơ chế bảo trì IDS nhằm bảo đảm hệ thống được vận hành tốt

Nếu không có biến cố, không cần có điểm thiết lập IDS Tùy thuộc vào biến

cố, bạn cần liên hệ với những cơ quan chính quyền liên quan

Các báo cáo : những báo cáo được phát sinh cho biết điều gì xảy ra trong tuần, trong ngày, hoặc trong tháng

Cập nhật các signature : các hacker tiếp tục tạo ra các kiểu tấn công mới IDS chỉ có thể phát hiện ra những kiểu tấn công nếu nó đã biết trước dựa trên các dấu hiệu nhận dạng Bởi vì các tấn công liên tục thay đổi, do đó phải thường xuyên cập nhật các signature mới

Lập tài liệu cho mỗi dự án IDS : chính sách IDS mô tả kiểu tấn công được phát hiện và ghi vào tài liệu như thế nào Tài liệu có thể đơn giản chỉ là một file log hoặc là một bản khi hoạt động của kẻ tấn công đã kết thúc

Trang 16

Như vậy, dựa trên chính sách về IDS sẽ cho ta ý tưởng cần bao nhiêu sensor

và những tài nguyên nào cho hệ thống mạng Với những thông tin này, ta có thể

tính chi phí cho một IDS chính xác hơn

2.2 Công cụ phát hiện xâm nhập mã nguồn mở ossec

2.2.1 Giới thiệu về OSSEC

OSSEC là ứng dụng Host-based IDS mã nguồn mở miễn phí và cho phép

phát triển các tính năng Là công cụ với nhiều khả năng mạnh như : phân tích log,

kiểm tra tính toàn vẹn của tập tin, giám sát registry của Windows, phát hiện rootkit,

cảnh báo thời gian thực, và phản ứng tích cực OSSEC chạy trên hầu hết các hệ điều

hành, bao gồm cả Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris và Microsoft

Windows [2]

2.2.2 Các thành phần của OSSEC

OSSEC có 2 thành phần chính: Server và Agent Chúng ta có thể cài ở hầu

hết trên các hệ điều hành, tuy nhiên, ở hệ điều hành Windows chỉ có thể cài đặt

Agent, có nghĩa là để bảo vệ máy chủ chạy hệ điều hành Windows với OSSEC

HIDS luôn phải cài một Server trên một trong những hệ điều hành khác [2]

Server

Vai trò của máy chủ làm server là sẽ nhận tất cả các thông tin log, thông tin

hệ thống từ các agent gửi về, sau đó phân tích và triển khai các chính sách

Thư mục mặc định cài đặt ở chế đệ máy chủ được đặt ở thư mục /var/ossec

và chúng ta hoàn toàn có thể thay đổi mặc định này

Cấu trúc thư mục khi cài đặt xong Ossec với vai trò làm máy chủ:

/ var/ossec/active-response : Chứa các kịch bản để phản ứng động

/ var/ossec/agentless : Chứa các kịch bản điều khiển của các thiết bị

không thể cài làm máy theo dõi như Router,Switch…

/ var/ossec/bin: Lưu trữ các file thực thi của OSSEC

/ var/ossec/etc: Lưu trữ các file cấu hình

/ var/ossec/logs: Lưu trữ log của toàn bộ hệ thống ossec

/ var/ossec/queue: Lưu trữ hàng đợi cho phân tích và xử lý của ossec

/ var/ossec/rules: Lưu trữ các rule của ossec / var/ossec/stats: Lưu trữ các lịch sử trạng thái của OSSEC / var/ossec/tmp: Lưu trữ xử lý tạm thời của hệ thống

Để xây dựng hệ thống OSSEC, trên máy chủ ossec chúng ta cần khai báo tường minh các agent (các host được ossec bảo vệ) Mỗi host được khai báo sẽ được cấp một khóa (key) Khóa này được agent sử dụng để trao đổi thông tin được mã hóa trên đường truyền với máy chủ ossec Giao thức mạng dùng để liên lạc giữa agent và server là UDP cổng 1514 và thuật toán mã hóa được dùng là blowfish

/ var/ossec/etc: Lưu trữ các file cấu hình / var/ossec/logs: Lưu trữ lịch sử truy nhập / var/ossec/queue: Lưu trữ hàng đợi cho xử lý lịch sử truy nhập

Windows:

Các thư mục được cài đặt trọng thư mục C:/Program Files/ossec-agent

Trang 17

Hình 2.5 : Các thành phần hoạt động của OSSEC [2]

2.2.3 Các luật trong OSSEC

OSSEC làm việc dựa trên các luật được định nghĩa sẵn trong các file Các

file được đặt trong thư mục /var/ossec/rules/ Mỗi rule được định nghĩa trong các

file XML đã được phân loại Ví dụ, tất cả các rule liên quan đến Apache HTTP

Server được lưu trong file có tên là apache_rules.xml, hay tất cả các luật dành cho

Cisco PIX firewall được lưu trong file pix_rules.xml Khi cài đặt mặc định OSSEC

chứa 43 file rule được mô tả như bên dưới:

Bảng 2.2 : Các tập tin định nghĩa luật trong OSSEC

1 apache_rules.xml Apache HTTP server rules

4 cisco-ios_rules.xml Cisco IOS fi rmware rules

5 courier_rules.xml Courier mail server rules

6 fi rewall_rules.xml Common fi rewall rules

8 hordeimp_rules.xml Horde Internet Messaging Program rules

10 imapd_rules.xml Rules for the imapd daemon

11 local_rules.xml OSSEC HIDS local, user-defi ned rules

12 mailscanner_rules.xml Common mail scanner rules

13 msauth_rules.xml Microsoft Authentication rules

14 ms-exchange_rules.xml Microsoft Exchange server rules

15 netscreenfw_rules.xml Juniper Netscreen fi rewall rules

16 ms_ftpd_rules.xml Microsoft FTP server rules

17 mysql_rules.xml MySQL database rules

18 named_rules.xml Rules for the named daemon

20 pam_rules.xml Pluggable Authentication Module (PAM)

rules

21 pix_rules.xml Cisco PIX fi rewall rules

22 policy_rules.xml Policy specifi c event rules

23 postfi x_rules.xml Postfi x mail transfer agent rules

24 postgresql_rules.xml PostgerSQL database rules

25 proftpd_rules.xml ProFTPd FTP server rules

26 pure-ftpd_rules.xml Pure-FTPd FTP server rules

27 racoon_rules.xml Racoon VPN device rules

28 rules_confi g.xml OSSEC HIDS Rules confi guration rules

29 sendmail_rules.xml Sendmail mail transfer agent rules

30 squid_rules.xml Squid proxy server rules

31 smbd_rules.xml Rules for the smbd daemon

32 sonicwall_rules.xml SonicWall fi rewall rules

33 spamd_rules.xml Rules for the spamd spam-deferral daemon

34 sshd_rules.xml Secure Shell (SSH) network protocol rules

35 symantec-av_rules.xml Symantec Antivirus rules

36 symantec-ws_rules.xml Symantec Web Security rules

38 telnetd_rules.xml Rules for the telnetd daemon

39 vpn_concentrator_rules.x

ml

Cisco VPN Concentrator rules

40 vpopmail_rules.xml Rules for the vpopmail virtual mail domain

application

41 vsftpd_rules.xml Rules for the vsftpd FTP server

43 zeus_rules.xml Zeus web server rules

Mỗi file chứa nhiều luật được định nghĩa cho ứng dụng hoặc cho thiết bị Cung cấp trên 600 rule cho các loại từ ProFTPD log cho tới Snort NIDS, Cisco VPN, kiểm tra tính toàn vẹn OSSEC HIDS và dò tìm rootkit

Ngày đăng: 13/08/2016, 10:21

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w