xây dựng hệ thống snort Giải pháp sử dụng snort để phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng web sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
Giải pháp sử dụng Snort để phát số kiểu công phổ biến vào ứng dụng Web Giới thiệu Theo số liệu thống kê từ công ty bảo mật hàng đầu Acunetix, thời gian gần số lượng công vào ứng dụng web tăng lên nhanh chóng (75% công thực lớp ứng dụng web) [Xem 1] Trong hai kĩ thuật công hacker sử dụng phổ biến cross-site scripting sql injection [Xem 2] hình dưói đây: Nguồn: acunetix.com Kiểu công cross-site scripting (hay gọi xss) hacker tiến hành cách nhúng thẻ script vào url (uniform resource locator) tìm cách lừa người dùng nhấn vào liên kết Khi đoạn mã độc hại thực thi máy tính nạn nhân Kĩ thuật thực công kiểu phức tạp chủ yếu hacker lợi dụng tin cậy người dùng server (bởi url dường xuất phát từ nguồn đáng tin cậy) với việc không thẩm tra kĩ liệu vào/ra phía server để từ chối phục vụ url bị chèn thêm mã độc hại Còn SQL Injection liên quan đến kĩ thuật chèn từ khoá, lệnh ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác sở liệu quan hệ) vào liệu đầu vào ứng dụng web để điều khiển trình thực thi câu lệnh SQL server Bài báo mô tả kĩ thuật để phát kiểu công SQL injection cross-site scripting dùng Snort Phần báo giới thiệu snort Phần mô tả cách viết luật cho snort để chống lại hai kiểu công nói Vậy snort gì? Snort kiểu IDS (Instruction Detection System) Nói ngắn gọn IDS hệ thống cài đặt mạng (hay máy tính) bạn nhiệm vụ giám sát gói tin vào hệ thống bạn Nếu công phát Snort phản ứng nhiều cách khác phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin phát có bất thường gói tin Tuy nhiên snort có điểm yếu Đó tương tự quét virus (virus scanner), snort chống lại công cách hiệu biết dấu hiệu (signature) công Dựa vào điểm này, hacker "cao thủ" điều chỉnh công để thay đổi signature công Từ công "qua mặt" giám sát snort Như thấy rằng, để snort hoạt động cách hiệu yếu tố quan trọng cần phải ý luật viết cho snort Khi snort hoạt động, đọc tập luật, giám sát luồng liệu chạy qua hệ thống phản ứng có luồng liệu phù hợp với tập luật Cụ thể hơn, tập luật tạo để giám sát nỗ lực quyét cổng (scanning), tìm dấu vết (footprinting), nhiều phương pháp khác mà hacker dùng để tìm cách chiếm quyền hệ thống Tập luật tạo người dùng người dùng truy cập đến trang chủ snort là: http://www.snort.org để lấy Bây xem luật viết cho snort tìm hiểu xem snort hiểu chúng alert icmp !$HOME_NET any -> $HOME_NET any (msg:"IDS152 - PING BSD"; content: "|08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17|"; itype: 8; depth: 32;) Phần đầu luật mô tả cách hành động (rule's action) alert, giao thức (ICMP) địa IP nguồn, đích thông tin port Phần gọi “rule header” Ở đây, $HOME_NET biến đại diện cho mạng bạn khai báo sau: var HOME_NET 192.168.1.1/24 Phần lại luật, biết “rule option”, chứa thông điệp báo động thông tin snort sử dụng để kiểm tra xem liệu luật có phù hợp (match) với gói tin không Để hiểu rõ xem chi tiết lệnh ping sau đây: 07/23-09:46:41.866911 192.168.1.10 -> 192.168.1.1 ICMP TTL:50 TOS:0x0 ID:2403 ID:8474 Seq:256 ECHO 36 12 7B 39 1B C6 0B 00 08 09 0A 0B 0C 0D 0E 0F 6.{9 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./ 30 31 32 33 34 35 36 37 01234567 Khi snort giám sát gói tin xuyên qua mạng ta Luật yêu cầu snort thẩm tra tất gói tin ICMP bắt nguồn từ mạng ta “!$HOME_NET” đến mạng ta “->HOME_NET” Thông số depth luật gán 32, nghĩa snort tìm 32 byte đầu gói tin để tìm kiếm nội dung có trường “content” Nếu nội dung trường “content” luật phù hợp với nội dung gói tin (ở trường hợp từ byte số đến byte 24), snort phát sinh thông báo, thông báo log lại Nội dung thông báo log lại là: "IDS152 PINGBSD" Trường “itype” kiểu gói tin ICMP, trường hợp tức gói tin ICMP có kiểu echo request Kết luận Trong phần giới thiệu hai kiểu công phổ biến vào lớp ứng dụng web kiểu cross-site scripting sql injection Đồng thời phần giới thiệu ngắn gọn snort, IDS sử dụng nhiều thời điểm cách snort hiểu luật Phần mô tả cách thiết kế luật để chống lại kiểu công Tài liệu tham khảo: http://www.acunetix.com/websitesecurity/webappsecurity.htm http://www.acunetix.com/websitesecurity/cross-sitescripting.htm http://www.securityfocus.com