Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin tặc). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường.
TÌM HIỂU VỀ IDS/IPS & CÀI ĐẶT, CẤU HÌNH SNORT TRẦN TUẤN ANH (A) TRẦN 9/29/16TUẤN ANH (B) 1 Nội dung 9/29/16 Tổng quan IDS/IPS? Thành phần IDS/IPS? Phân loại IDS/IPS ? Các kỹ thuật phát xâm nhập Cài đặt, cấu hình Snort Tổng quan IDS/IPS Intrusion Detection System: hệ thống tự động giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu vi GIÁM SÁT CẢNH BÁO phạm đến quy định bảo mật máy tính, sách sử dụng tiêu chuẩn an toàn thông tin CHỨC NĂNG IDS BÁO CÁO 9/29/16 Intrusion Detection Systems (IDSs) Switch Sensor Management Console 9/29/16 Target Tổng quan IDS/IPS Intrusion Prevention System:là hệ thống bao gồm chức phát xâm nhập (Intrusion PHÂN TÍCH GIÁM SÁT Detection–ID) khả ngăn chặn xâm nhập trái phép vào tài nguyên hệ CHỨC NĂNG IPS thống mạng PHẢN ỨNG LIÊN LẠC CẢNH BÁO 9/29/16 Intrusion Prevention Systems(IPSs) Sensor Bit Bucket Target Management 9/29/16 Console Thành phần IDS/IPS SENSOR ALERT IDS CONSOLE 9/29/16 Thành phần IDS/IPS ALERT SENSOR IPS CONSOLE 9/29/16 REACTION Phân loại IDS/IPS Network–based IDS/IPS Host–based IDS (HIDS/HIPS) (NIDS/NIPS) 9/29/16 Network-Based Sử dụng liệu toàn lưu thông mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập 9/29/16 10 Cơ chế Snort Inline DROP SDROP INJECT 9/29/16 Yêu cầu iptables loại bỏ gói tin ghi lại thông tin LOG Như DROP không ghi lại gói thông tin Yêu cầu iptables từ chối gói tin, không ghi lại thông tin 28 Cài đặt Snort Demo Cài đặt ứng dụng cần thiết pcap PCRE Libdnet DAQ 9/29/16 (libpcap-dev) (libpcre3-dev) (libdumbnet-dev) (http://www.snort.org/downloads/) 29 Cài đặt Snort Demo Gói build-essentials Cài đặt ứng dụng cần thiết cho snort có sẵn thư viện Ubuntu pcap, PCRE Libdnet DAQ (Data AcQuisition library) cần cài thêm công cụ yêu cầu cài đặt bison flex 9/29/16 30 Cài đặt Snort Demo Tải DAQ thư mục Download Giải nén, biên dịch cài đặt 9/29/16 31 Cài đặt Snort Demo Trước cài Snort, phần mềm phụ phải cài zlibg Tải file source dạng nén, giải nén, biên dịch cài đặt Bản Snort sử dụng phiên 2.9.7.5 Thực tương tự cài DAQ 9/29/16 32 Cài đặt Snort Demo Tiếp theo tạo symlink đến Snort vào /usr/sbin Chạy lệnh ldconfig Thu kết 9/29/16 33 Cài đặt Snort Demo 9/29/16 Test Snort lệnh snort -V 34 Cài đặt Snort Demo Tạo nhóm user snort để chạy snort Tạo thư mục lưu log cho Snort cấp quyền owner cho user snort 9/29/16 35 Cài đặt Snort Demo Tải luật snortrules-snapshot-2975.tar.gz Tạo thư mục snort /etc để chứa luật snort giải nén vừa tải vào thư mục 9/29/16 36 Cài đặt Snort Demo Tạo thư mục chứa snort dynamic rules Di chuyển tất file config folder /etc snort-snapshot bên thư mục /etc/snort 9/29/16 37 Cài đặt Snort Demo Giờ phải cấu hình lại file cấu hình snort /etc/snort/snort.conf Ở sử dụng công cụ gedit Sửa any dòng ipvar HOME_NET thành địa mạng Sửa any dòng ipvar EXTERNAL_NET thành !$HOME_NET 9/29/16 38 Cài đặt Snort Demo 9/29/16 Sửa lại đường dẫn luật thành địa lưu 39 Cài đặt Snort Demo Thêm luật vào Rules: Thêm luật vào lưu vào etc/snort/rules Thêm luật vào file snort.conf 9/29/16 40 Cài đặt Snort Demo Để chạy Snort hiển thị kết Terminal Thực ping từ máy vào bên máy ảo với địa ip máy ảo 9/29/16 41 Kết thu sau 9/29/16 42 [...]... Anomaly-based Dựa vào cơ sở dữ liệu có sẵn để so Dựa vào hoạt động trên mạng và so sánh và phát hiện ra các cuộc tấn công sánh với luồng traffic đã được học trước để biết hành động đó là bình thường hay bất thường 9/29/16 12 Snort Giới thiệu về Snort Cấu trúc của Snort Các Module của Snort Bộ luật của Snort Chế độ ngăn chặn của Snort: Snort - Inline 9/29/16 13 Giới thiệu về Snort Snort là một hệ thống phát... biên dịch và cài đặt Bản Snort được sử dụng là phiên bản 2.9.7.5 Thực hiện tương tự như cài DAQ 9/29/16 32 Cài đặt Snort và Demo Tiếp theo tạo một symlink đến Snort vào /usr/sbin Chạy lệnh ldconfig Thu được kết quả 9/29/16 33 Cài đặt Snort và Demo 9/29/16 Test Snort bằng lệnh snort -V 34 Cài đặt Snort và Demo Tạo nhóm và user snort để chạy snort Tạo thư mục lưu log cho Snort và cấp quyền... firewall và hệ thống mạng Sau: ghi nhớ các cuộc vượt firewall thành công 9/29/16 15 Cấu Trúc của Snort Output Modules Packet Decoder Snort Logging và Preprocessor Alerting System Dectection Engine 9/29/16 16 Các Module của Snort 9/29/16 17 Các Module của Snort 1 Packet Decoder: Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống và giải mã chúng 9/29/16 18 Các Module của Snort. .. Cài đặt 3 ứng dụng cần thiết chính cho snort có sẵn trong thư viện của Ubuntu là pcap, PCRE và Libdnet DAQ (Data AcQuisition library) cần cài thêm các công cụ yêu cầu thì mới có thể cài đặt được là bison và flex 9/29/16 30 Cài đặt Snort và Demo Tải DAQ về thư mục Download Giải nén, biên dịch và cài đặt 9/29/16 31 Cài đặt Snort và Demo Trước khi cài Snort, vẫn còn 1 phần mềm phụ phải cài là... thập và phân tích bởi Snort Snort lưu trữ dữ liệu bằng cách dùng output plug-in Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị Các luật được nhóm thành các kiểu 9/29/16 14 Giới thiệu về Snort Snort bao gồm 1 hoặc nhiều Sensor và 1 server CSDL chính Các Sensor có thể đc đặt trước hoặc sau firewall: Trước: giám sát các cuộc tấn công vào firewall và. .. đặt Snort và Demo Tạo nhóm và user snort để chạy snort Tạo thư mục lưu log cho Snort và cấp quyền owner cho user snort 9/29/16 35 Cài đặt Snort và Demo Tải bộ luật snortrules-snapshot-2975.tar.gz Tạo thư mục snort trong /etc để chứa các luật của snort và giải nén bộ vừa tải về vào thư mục đó 9/29/16 36 ... Cấu Trúc của Rule 9/29/16 26 Cơ chế Snort Inline Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trong snort Điều này được thực hiện bằng cách thay đổi môđun phát hiện và môđun xử lý cho phép snort tương tác với iptables Đưa thêm 3 hành động DROP, SDROP, INJECT và thay đổi trình tự ưu tiên của các luật trong Snort 9/29/16 27 Cơ chế Snort Inline DROP SDROP INJECT 9/29/16... 23 Bộ Luật của Snort Snort hoạt động dựa trên các luật Các luật của Snort được lưu trong các file text, có thể được chỉnh sửa bởi người quản trị Dựa vào các thông tin, dấu hiệu riêng từ các hành động xâm phạm để tạo ra rule cho snort Một luật có thể được sử dụng để tạo ra một thông điệp cảnh báo, ghi lại một thông điệp Các luật thường được đặt trong file cấu hình, thường là snort. conf Bạn... Các Module của Snort 9/29/16 21 Các Module của Snort 4 Logging và Alerting System: Tùy thuộc vào module Detection Engine có phát hiện được xâm nhập hay không mà gói tin có thể bị ghi log hoặc đưa ra cảnh báo Các file log là các file text dữ liệu, có thể được lưu dưới nhiều định dạng khác nhau 9/29/16 22 Các Module của Snort 5 Output Module Thực hiện các thao tác khác nhau tùy thuộc vào việc bạn muốn... Yêu cầu iptables loại bỏ gói tin và ghi lại thông tin như LOG Như DROP nhưng không ghi lại gói thông tin Yêu cầu iptables từ chối gói tin, không ghi lại bất cứ thông tin gì 28 Cài đặt Snort và Demo Cài đặt những ứng dụng cần thiết pcap PCRE Libdnet DAQ 9/29/16 (libpcap-dev) (libpcre3-dev) (libdumbnet-dev) (http://www .snort. org/downloads/) 29 Cài đặt Snort và Demo Gói build-essentials Cài