HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Cán hướng dẫn: Lê Đức Thuận Sinh viên thực hiện: Trịnh Văn Dũng Đào Thu Hường Lớp: L02 BÁO CÁO THỰC TẬP CƠ SỞ HÀ NỘI 2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Nhận xét cán hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bộ hướng dẫn BÁO CÁO THỰC TẬP CƠ SỞ 3 BÁO CÁO THỰC TẬP CƠ SỞ MỤC LỤC BÁO CÁO THỰC TẬP CƠ SỞ BẢNG KÝ HIỆU IDS - Intrusion Detection System: Hệ thống phát xâm nhập IPS - Intrusion Prevention Systems: Hệ thống ngăn chặn xâm nhập VPN - Virtual Private Network: Mạng riêng ảo DMZ - Demilitarized Zone: Vùng mạng vật lý chứa dịch vụ bên tổ chức UTM - Unified Threat Management: Giải pháp bảo mật toàn diện HIDS - Host Intrusion Detection System: Hệ thống phát xâm nhập host NIDS - Network Intrusion Detection System: Hệ thống phát xâm nhập mạng HIPS - Host-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập host NIPS - Network-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập mạng DDOS - Distributed Denial of Service: Từ chối dịch vụ phân tán FTP - File Transfer Protocol: Giao thức truyền tập tin FDDI - Fiber Distributed Data Interface: Công nghệ mạng cao tốc SLIP - Serial Line Internet Protocol: Giao thức truyền thông internet PPP - Point-to-Point Protocol: Giao thức liên kết liệu TCP - Transmission Control Protocol: Giao thức điều khiển truyền vận UDP - User Datagram Protocol: Giao thức truyền vận không tin cậy DNS - Domain Name System: Hệ thống phân giải tên miền SNMP - Simple Network Management Protocol: Giao thức quản lý mạng đơn giản IP - Internet Protocol: Giao thức kết nối internet ICMP - Internet Control Message Protocol: Giao thức điều khiển gói tin mạng SSH - Secure Shell: Giao thức kết nối bảo mật BÁO CÁO THỰC TẬP CƠ SỞ DANH MỤC BẢNG BIỂU Bảng So sánh hai mô hình phát Bảng Các cờ sử dụng với từ khoá flags Bảng Các loại queues chain chức Bảng Miêu tả target mà iptables thường dùng Bảng Các tham số chuyển mạch (switching) quan trọng Iptables DANH MỤC HÌNH VE Hình Đặt trước Firewall Hình Đặt Firewall DMZ Hình Là module giải pháp UTM Hình Hệ thống kết hợp hai mô hình phát Hình 5: Cấu trúc IP Header Hình 6: Cấu trúc TCP Header Hình Mô hình kiến trúc hệ thống Snort Hình Xử lý gói tin Ethernet Hình Cấu trúc luật Snort Hình 10 Header luật Snort Hình 11 Mô hình công thử nghiệm Snort IDS/IPS Hình 12 Snort IDS phát Ping Of Dead từ Attacker Hình 13 Snort IPS phát chặn thành công Ping Of Dead từ Attacker Hình 14 Snort IDS phát thành công gói tin có giao thức TCP SYN FIN scan từ Attacker Hình 15 Snort IDS hoạt động thành công Hình 16 Snort IDS phát Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13 Hình 17 Snort IPS phát chặn (DROP) gói PING icmp từ Attacker Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker Hình 19 Giao diện BASE web Hình 20 Xem ARP Cache BÁO CÁO THỰC TẬP CƠ SỞ LỜI NÓI ĐẦU Năm 2015 quý 1/2016, tình hình an ninh mạng giới tiếp tục diễn biến phức tạp, liên tục phát vụ công, xâm nhập vào hệ thống máy tính quan phủ, tổ chức trị, ngành công nghiệp, kinh tế mũi nhọn, hãng hàng không lớn, quan truyền thông, tổ chức y tế, giáo dục nhiều quốc gia nhằm phá hoại, đánh cắp liệu, thu thập thông tin tình báo liên quan đến sách kinh tế, trị, an ninh, quốc phòng đối ngoại Nổi lên vụ công vào hệ thống thư điện tử Bộ Ngoại giao, hệ thống máy tính Nhà Trắng, Cơ quan quản lý nhân Chính phủ Mỹ… Trong đó, tình hình an ninh mạng Việt Nam diễn biến phức tạp không Nổi bật lên thời gian gần công vào hệ thống Vietnam Airlines hôm 29/07 vừa qua Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành công việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống phát ngăn chặn thâm nhập trái phép (IDS/IPS) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Chúng em chân thành cảm ơn thầy Lê Đức Thuận tận tình hướng dẫn giúp chúng em hoàn thành thực tập sở chuyên ngành Mặc dù cố gắng hoàn thành đề tài lĩnh vực lạ phát triển mạnh nên nhiều thiếu sót Chúng em mong tiếp nhận ý kiến, nhận xét từ quý thầy cô Chúng em xin chân thành cảm ơn Sinh viên thực : Trịnh Văn Dũng: SĐT : 01646568864 Email: dungtv94@gmail.com Đào Thu Hường: SĐT : 0972773240 Email: thuhuong160994@gmail.com BÁO CÁO THỰC TẬP CƠ SỞ PHẦN : TỔNG QUAN ĐỀ TÀI 1.1 Lý chọn đề tài Chúng em thực báo cáo với mong muốn nghiên cứu đặc trưng hệ thống phát ngăn chặn thâm nhập trái phép với vai trò phương pháp bảo mật bổ sung cho phương pháp bảo mật tại, ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống chất lượng dịch vụ cho người dùng IDS/IPS không công cụ phân tích gói tin mạng, từ đưa cảnh báo đến người quản trị mà cung cấp thông tin sau: • • • • Các kiện công Phương thức công Nguồn gốc công Dấu hiệu công Loại thông tin ngày trở nên quan trọng nhà quản trị mạng muốn thiết kế thực chương trình bảo mật thích hợp cho cho tổ chức riêng biệt Một số lý để thêm IDS/IPS cho hệ thống tường lửa là: • • • • Kiểm tra hai lần hệ thống tường lửa cấu hình sai Ngăn chặn công cho phép thông qua tường lửa Làm cho nỗ lực công bị thất bại Nhận biết công từ bên 1.2 Phân tích trạng - Trên 90% mạng kết nối sử dụng IDS/IPS để phát lỗ hổng bảo mật hệ thống - Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng công mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng xâm nhập… - Nếu sử dụng phần mềm chống virus cần phải xem xét đến việc bổ sung thêm IDS/IPS cho chiến lược bảo mật Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS/IPS - Ngày công nghệ ngày phát triển nên giải pháp bảo mật tồn lâu dài Theo đánh giá tổ chức hàng đầu công nghệ thông tin giới, tình hình an ninh mạng đà bất ổn tiếp tục coi năm “báo động đỏ” an ninh mạng toàn cầu có nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức công thay đổi có nhiều công giới tội phạm công nghệ cao vào hệ thống công nghệ thông tin doanh nghiệp - Lấy ví dụ công mạng chiều 29/07/2016 vào công tác phục vụ bay sân bay lớn Nội Bài, Tân Sơn Nhất… công mạng có chuẩn bị công phu (sử dụng mã độc không bị nhận diện các phần mềm chống virus); xâm nhập chiều sâu (kiểm soát số máy chủ quan trọng cổng thông tin, sở liệu khách hàng) chiều rộng (nhiều máy tính phận chức khác nhau, vùng BÁO CÁO THỰC TẬP CƠ SỞ miền khác bị nhiễm); phát động công đồng loạt có liên quan tới kiện kinh tế, trị - Hệ thống phát xâm nhập ngăn chặn trái phép IDS/IPS phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật, an toàn thông tin 1.3 Nội dung nghiên cứu  Tổng quan đề tài  Tìm hiểu tổng quan IDS/IPS  Tổng quan Snort  Triển khai hệ thống phát ngăn chặn, thử nghiệm Snort  Kết luận hướng phát triển 1.4 Ý nghĩa thực tiễn của đề tài - Nghiên cứu vấn đề kỹ thuật hệ thống phát ngăn chặn xâm nhập - Phân tích, đánh giá nguy xâm nhập công trái phép hệ thống mạng - Đưa giải pháp an ninh hữu ích cho hệ thống mạng tổ chức, doanh nghiệp… PHẦN : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS 2.1 Giới thiệu IDS/IPS BÁO CÁO THỰC TẬP CƠ SỞ 10 2.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn tính sẵn sàng hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thông tin theo cách khác để phát xâm nhập trái phép Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phòng chống xâm nhập hay IPS Chức IPS xác định hoạt động nguy hại, lưu giữ thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép 2.1.2 Vị trí đặt IDS/IPS mô hình mạng Hình Đặt trước Firewall Hình Đặt Firewall DMZ 10 BÁO CÁO THỰC TẬP CƠ SỞ 48 PHẦN 6: PHỤ LỤC 6.1 Tài liệu thao khảo - [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 – 0-13-140733-3 - [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale and Snort Development Team Andrew R Baker, Brian Caswell, Mike Poor – Copyright 2004 by Syngress Publishing – ISBN: 1-931836-04-3 - [3] SNORT R Users Manual 2.9.8.3 - The Snort Project - March 18, 2016 - [4] Snort IPS Tutorial - Vladimir Koychev 2015 - [5] Guide to Intrusion Detection and Prevention Systems Recommendations of the National Institute of Standards and Technology – Karen Scarfone Peter Mell - [6] Snort cookbook – O’Reilly By Kerry J Cox, Christopher Gerg - [7] Snort IDS and IPS Toolkit-Featuring Jay Beale and Members of the Snort - [8] Linux Firewalls - Attack Detection and Response with iptables, psad, and fwsnort-MICHAEL RASH https://www.snort.org http://manual-snort-org.s3-website-us-east-1.amazonaws.com/snort_manual.html http://securitydaily.net/network-security-he-thong-ngan-ngua-xam-nhap-ips https://dungkma.blogspot.com/2016/02/tong-quan-ve-firewall-phan-2-end.html 6.2 Cài đặt cấu hình chi tiết Snort IDS/IPS 6.2.1 Cài đặt snort IDS  Cài đặt Package yêu cầu: # yum install -y gcc flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl daq # yum groupinstall - y "Development Tools"  Tải cài đặt file cài đặt riêng sau: libdnet-1.12.tgz libdnet-1.12-6.el6.x86_64.rpm libdnet-devel-1.12-6.el6.x86_64.rpm  Tải file snort https://snort.org daq-2.0.6.tar snort-2.9.8.3.tar 48 BÁO CÁO THỰC TẬP CƠ SỞ 49  Bắt đầu cài đặt snort # cd /usr/local/src # tar -zxvf /root/ips/daq-2.0.6.tar.gz # tar -zxvf /root/ips/snort-2.9.8.3.tar.gz # cd daq-2.0.6 # /configure # make && make install # cd /usr/local/src/snort-2.9.8.3 # /configure # make && make install # cd /etc # mkdir snort # cd snort # cp /usr/local/src/snort-2.9.8.3/etc/* # tar -zvxf /root/ips/snortrules-snapshot-2983.tar.gz # touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules  Tạo user, group, cấp quyền: # groupadd -g 40000 snort # useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort # cd /etc/snort # chown -R snort:snort * # chown -R snort:snort /var/log/snort  Cấu hình snort: # vim /etc/snort/snort.conf output alert_unified2: filename snort.alert, limit 128, nostamp output log_unified2: filename snort.log, limit 128, nostamp 49 BÁO CÁO THỰC TẬP CƠ SỞ 50 ipvar HOME_NET any > ipvar HOME_NET 192.168.10.0/24 ipvar EXTERNAL_NET any > ipvar EXTERNAL_NET !$HOME_NET var RULE_PATH /rules > var RULE_PATH /etc/snort/rules var SO_RULE_PATH /so_rules > var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /preproc_rules /etc/snort/preproc_rules > var PREPROC_RULE_PATH var WHITE_LIST_PATH /rules > var WHITE_LIST_PATH /etc/snort/rules var BLACK_LIST_PATH /rules > var BLACK_LIST_PATH /etc/snort/rules “Esc : wq!” lưu cấu hình vào file # cd /usr/local/src # chown -R snort:snort daq-2.0.6 # chown -R 777 daq-2.0.6 # chown -R snort:snort snort-2.9.8.3 # chown -R 777 snort-2.9.8.3 # chown -R snort:snort snort_dynamicsrc # chown -R 777 snort_dynamicsrc  Khởi động snort # cd /usr/local/src/snort-2.9.8.3/rpm # cp snortd /etc/init.d/snortd # cp /usr/local/src/snort-2.9.8.3/rpm/snort.sysconfig /etc/sysconfig/snort # chkconfig add /etc/init.d/snortd # chkconfig snortd on # cd /usr/sbin # ln -s /usr/local/bin/snort snort Nếu chưa có directory /var/log/snort tạo: # mkdir -p /var/log/snort Cấp quyền: 50 BÁO CÁO THỰC TẬP CƠ SỞ 51 # chmod 777 snort # chown -R snort:snort snort # cd /usr/local/lib # chown -R snort:snort snort* # chown -R snort:snort snort_dynamic* # chown -R snort:snort pkgconfig # chown -R 777 snort* # chown -R 777 pkgconfig # cd /usr/local/bin # chown -R snort:snort daq-modules-config # chown -R snort:snort u2* # chown -R 777 daq-modules-config # chown 777 u2* # cd /etc # chown -R snort:snort snort # chown -R 777 snort Tạo thư mực dynamicrules: # mkdir -p /usr/local/lib/snort_dynamicrules # chown -R snort:snort /usr/local/lib/snort_dynamicrules # chown -R 777 /usr/local/lib/snort_dynamicrules 51 BÁO CÁO THỰC TẬP CƠ SỞ 52  Kiểm tra hoạt động Snort IDS: # snort -T -i eth1 -u snort -g snort -c /etc/snort/snort.conf Hình 15 Snort IDS hoạt động thành công Bật snort ids chạy nền: # snort -A fast -b -D -d -i eth1 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort  Thêm rule phát ping để kiểm tra hoạt động snort ids: # vim /etc/snort/rules/local.rules alert icmp any any -> $HOME_NET any (msg:" >Phat hien Ping";gid:1000001 sid:1000001;rev:1;)  Xem cảnh báo phát 52 BÁO CÁO THỰC TẬP CƠ SỞ 53 # snort -c /etc/snort/snort.conf -i eth1 -A console Hình 16 Snort IDS phát Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13  Một số Rules khác: alert icmp any any -> $HOME_NET 81 (msg:"Scanning Port 81"; sid:1000005;rev:1;) alert tcp any any -> $HOME_NET 22 (msg:"Scanning Port 22"; sid:1000002;rev:1;) alert icmp any any -> any any (msg:"UDP Tesing Rule"; sid:1000006;rev:1;) alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test!!!"; classtype:not-suspicious; sid:1000005; rev:1;)  Xem File Log cảnh báo snort: # snort -A fast -b -D -d -i eth1 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort # tail -f /var/log/snort/alert 6.2.2 Cài đặt snort IPS: snort inline mode Mở cấu hình snort inline mode snort.conf: # vim /etc/snort/snort.conf “## Under Step #2:” Thêm dòng sau: config policy_mode:inline 53 BÁO CÁO THỰC TẬP CƠ SỞ 54 Cấu hình giá trị biến DAQ để chạy AFPacket inline (IPS) mode: “## Configure DAQ variables for AFPacket” config daq: afpacket config daq_mode: inline config daq_dir: /usr/local/lib/daq config daq_var: buffer_size_mb=128 Lưu cấu hình Thêm rule chặn ping kiểm tra: drop icmp any any -> any any (itype:0;msg:" >Da chan Ping !";gid:1000002;sid:1000002;rev:1;) # snort -i eth1:eth2 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q Hình 17 Snort IPS phát chặn (DROP) gói PING icmp từ Attacker 54 BÁO CÁO THỰC TẬP CƠ SỞ 55 Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker 6.3 Cài đặt BASE quản lý phân tích Snort Log web BASE (Basic Analysis and Security Engine) cung cấp trang web front-end để truy vấn phân tích cảnh báo từ Snort Các cảnh báo gửi đến sở liệu MySQL, tính cung cấp barnyard2 Barnyard2 hệ thống đầu cho Snort, đọc ghi nhị phân từ snort sử dụng định dạng unified2 sau gửi lại thông tin ghi tới sở liệu user thiết lập mysql Yêu cầu: cài sẵn PHP, Mysql, httpd  Cài đặt gói yêu cầu cho BASE: # pear channel-update pear.php.net # pear install Mail Mail_mime # pear install Numbers_Roman # pear install Image_Color-1.0.4 # pear install Image_Canvas-0.3.5 # pear install Image_Graph-0.8.0 55 BÁO CÁO THỰC TẬP CƠ SỞ 56  Tạo sở database cho snort: # mysql -u root -p mysql> create database snort; mysql> grant select,insert,update,delete,create on snort.* to snort@localhost; mysql> set password for snort@localhost=PASSWORD('123456'); mysql> flush privileges; mysql> exit  Cấu hình định dạng đầu snort log theo dạng unified2: # vim /etc/snort/snort.conf output unified2: filename snort.u2, limit 128  Cài đặt barnyard2: # cd /root/ips # wget https://github.com/firnsy/barnyard2/archive/v2-1.13.tar.gz # tar -xzvf v2-1.13.tar.gz # cd barnyard2-2-1.13 # autoreconf -fvi -I /m4 # /configure with-mysql with-mysql-libraries=/usr/lib64/mysql # make && make install Tạo script cho barnyard2 chạy startup: # cp rpm/barnyard2 /etc/init.d/ # chmod +x /etc/init.d/barnyard2 # cp rpm/barnyard2.config /etc/sysconfig/barnyard2 Create links for Barnyard files and create archive directory: # ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf # ln -s /usr/local/bin/barnyard2 /usr/bin/ # mkdir /var/log/barnyard2 56 BÁO CÁO THỰC TẬP CƠ SỞ 57 # chkconfig add barnyard2 # cp etc/barnyard2.conf /etc/snort/ # mysql -u snort -p snort < schemas/create_mysql # chown snort:snort /var/log/barnyard2 # touch /var/log/barnyard2/barnyard2.waldo # chown snort:snort /var/log/barnyard2/barnyard2.waldo # touch /etc/snort/rules/sid-msg.map # touch /etc/snort/rules/gen-msg.map # vim /etc/snort/barnyard2.conf config reference_file: /etc/snort/reference.config config classification_file: /etc/snort/classification.config config gen_file: /etc/snort/rules/gen-msg.map config sid_file: /etc/snort/rules/sid-msg.map input unified2 config hostname: localhost config interface: eth0 config alert_with_interface_name output database: host=localhost log, mysql, user=snort password=123456 dbname=snort # vim /etc/init.d/barnyard2 # chkconfig: 2345 70 60 BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w $WALDO_FILE -l $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS" Edit LOG_FILE variable in Barnyard sysconfig file: # vim /etc/sysconfig/barnyard2 LOG_FILE="snort.log" 57 BÁO CÁO THỰC TẬP CƠ SỞ 58 # service barnyard2 restart Xem kiểm tra: # /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth1:eth0 -D -A console  Khởi động lại snort: # /etc/init.d/snortd restart  Cài đặt Adodb: # cd /root/ips # wget http://jaist.dl.sourceforge.net/project/adodb/adodb-php5-only/adodb-520-forphp5/adodb-5.20.6.zip # unzip adodb-5.20.6.zip # mv adodb5 /var/www/adodb  Cài đặt BASE: # cd /root/ips # wget http://nchc.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base1.4.5.tar.gz # mkdir /var/www/html/base # tar -xzvf /root/ips/base-1.4.5.tar.gz # cp -r base-1.4.5/* /var/www/html/base # chown -R snort:snort /var/www/html/base # cd /var/www/html/base # cp base_conf.php.dist base_conf.php # chmod 755 /var/www/html/base/base_conf.php # vim /var/www/html/base/base_conf.php $BASE_urlpath = '/base'; $DBlib_path = '/var/adodb'; $alert_dbname = 'snort'; 58 BÁO CÁO THỰC TẬP CƠ SỞ 59 $alert_host = 'localhost'; $alert_port = '3306'; $alert_user = 'snort'; $alert_password = '123456'; # chmod 777 /var/www/html/base  Cấu hình Apache: # vim /etc/httpd/conf/httpd.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all Alias /adodb/ "/var/adodb/" AllowOverride None Order allow,deny Allow from all # vim /etc/httpd/conf.d/base.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all AuthName "Snort IDS" AuthType Basic AuthUserFile /etc/snort/base.passwd Require valid-user 59 BÁO CÁO THỰC TẬP CƠ SỞ 60  Tạo file để truy cập web cho database: # htpasswd -c /etc/snort/base.passwd snortadmin # service httpd restart # chcon -R -t httpd_sys_content_t /var/www/html/base/ # chcon -R -h -t httpd_sys_content_t /var/www/adodb # vim /var/www/html/base/base_main.php date_default_timezone_set('Asia/Ho_Chi_Minh'); Truy cập giao diện web để cài đặt base quản lý: http://192.168.0.100/base/base_db_setup.php Hình 19 Giao diện BASE web 6.4 Một số phương thức công cách phòng chống 6.4.1 ARP Spoofing Attack Đây hình thức công Man in the middle (MITM) đại có xuất sứ lâu đời (đôi biết đến với tên ARP Poison Routing), công cho phép kẻ công nằm subnet với nạn nhân nghe trộm tất lưu lượng mạng máy tính nạn nhân Đây loại công đơn giản lại hình thức hiệu thực kẻ công Cách phòng chống: Mã hóa ARP cache Một cách bảo vệ chống lại vấn đề không an toàn vốn có ARP request ARP reply thực trình động Đây tùy chọn 60 BÁO CÁO THỰC TẬP CƠ SỞ 61 máy tính Windows cho phép bạn bổ sung entry tĩnh vào ARP cache Bạn xem ARP cache máy tính Windows cách mở Commad Prompt gõ lệnh arp –a Hình 20: Xem ARP Cache Có thể thêm entry vào danh sách cách sử dụng lệnh: arp –s Trong trường hợp, nơi cấu hình mạng bạn không thay đổi, bạn hoàn toàn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply 6.4.2 SYN Flood Attack Syn flood dạng công từ chối dịch vụ, kẻ công gửi gói tin kết nối SYN đến hệ thống Đây loại công phổ biến Loại công nguy hiểm hệ thống cấp phát tài nguyên sau nhận gói tin SYN từ kẻ công trước nhận gói ACK Cách phòng chống: Sử dụng Iptables Snort IPS  Sử dụng Iptables: # iptables -A INPUT –p tcp syn –m limit limit 1/s limit -burst -j RETURN Tất kết nối đến hệ thống phép theo thông số giới hạn sau: • • limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây) limit-burst 3: Số lương gói tin khởi tạo tối đa phép  Sử dụng Snort IPS thêm rule sau: dropt tcp any any -> $HOME_NET any (msg:" >Da chan SYN FIN Attack ! "; flags: S;gid: 2000001;sid:2000001;) 61 BÁO CÁO THỰC TẬP CƠ SỞ 62 6.4.3 Zero Day Attack Zero-day thuật ngữ công hay mối đe dọa khai thác lỗ hổng ứng dụng máy tính mà chưa công bố chưa sửa chữa "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." nguyên văn tiêu đề mô tả mã công viết Python mà Gaffie đưa lên blog bảo mật Seclists.org Cuộc công nhằm vào lỗi xuất phát từ System Message Block phiên 2.0 (SMB2) vốn có Windows Vista, Windows Windows Server 2008 Đi sâu vào lỗi Gaffie công bố, nguyên nhân xuất phát từ cách thức driver srv2.sys xử lý yêu cầu từ máy khách phần tiêu đề (header) ô "Process Id High" chứa đựng ký tự "&"(mã hexa 00 26) Cuộc công không cần đến chứng thực nhận dạng, cần cổng 445 truy xuất Mối lo ngại cổng 445 thường mở mặc định phần cấu hình mạng nội (LAN) Windows Cách phòng chống: + Cập nhật vá lỗi + Lọc liệu từ cổng TCP 445 tường lửa (iptables) + Khóa cổng SMB registry 6.4.4 DOS - Ping Of Death Attack Khi công Ping of Death, gói tin echo đựoc gửi có kích thước lớn kích thước cho phép 65,536 bytes Gói tin bị chia nhỏ thành segment nhỏ hơn, máy đích ráp lại, host đích nhận thấy gói tin lớn buffer bên nhận Kết là, hệ thống quản lý tình trạng bất thường reboot bị treo VD : ping 192.168.10.13 –l 65000 Cách phòng chống: - Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống - Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ - Sử dụng Snort IPS thêm rule: drop icmp any any -> $HOME_NET any (msg:" >Da chan Ping Of Dead !"; dsize:>20000; gid:1000002; sid:1000002;rev:1;) KẾT THÚC 62 [...]... bỏ được các dấu vết tấn công Các thông tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập Phát hiện và ngăn chặn kịp thời: NIDS/NIPS phát hiện các cuộc tấn công ngay khi xảy ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn VD : Một hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS/NIPS phát hiện và ngăn chặn ngay... hai mô hình phát hiện Để có được một hệ thống phát hiện và ngăn chặn xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện và ngăn chặn nhiều loại tấn công hơn, hiệu quả hơn Hình 4 Hệ thống kết hợp hai mô hình phát hiện Phát hiện thông qua Protocol Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một... kẻ tấn công làm gì cũng như các thông tin về công cụ và công nghệ chúng sử dụng Và ngược lại, cũng có các cơ sở dữ liệu về các lỗ hổng bảo mật mà những kẻ tấn công muốn khai thác Các dạng tấn công đã biết này được dùng như các dấu hiệu để phát hiện tấn công xâm nhập Các dấu hiệu đó có thể xuất hiện trong phần header của các gói tin hoặc nằm trong phần nội dung của chúng Hệ thống phát hiện của Snort. .. tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là: • Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống • Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm nhập... Phát hiện sự lạm dụng • • Phát hiện sự bất thường Bao gồm: Cơ sở dữ liệu các dấu hiệu tấn công Tìm kiếm các so khớp mẫu đúng Bao gồm: • Cơ sở dữ liệu các hành động thông thường • Tìm kiếm độ lệch của hành động thực tế so với hành động thông thường Hiệu quả trong việc phát hiện các dạng tấn Hiệu quả trong việc phát hiện các dạng công đã biết, hay các biến thể (thay đổi tấn công mới mà một hệ thống phát. .. thực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra từ đó tăng cường thêm tính năng cho Snort Ví dụ, một plugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểm bình thường để rồi khi có thông lượng mạng bất thường xảy ra nó có thể tính toán, phát hiện và đưa ra cảnh báo (phát hiện xâm nhập theo mô hình thống kê) Phiên bản hiện tại của Snort có đi kèm hai plugin giúp phát. .. login vào account root có thể được coi là một cuộc tấn công Ưu điểm • Xác định được kết quả của cuộc tấn công: Do HIDS/HIPS sử dụng dữ liệu log • • • lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độ chính xác cao hơn NIDS/NIPS Vì thế, HIDS/HIPS có thể bổ sung thông tin tiếp theo khi cuộc tấn công được sớm phát hiện với NIDS/NIPS Giám sát được các hoạt động cụ thể... thông nhạy cảm Nhược điểm: • Bị hạn chế với Switch: Nhiều lợi điểm của NIDS/NIPS không phát huy được trong các mạng chuyển mạch hiện đại Thiết bị switch chia mạng thành nhiều phần độc lập vì thế NIDS/NIPS khó thu thập được thông tin trong toàn mạng Do chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạng khác Vấn đề này dẫn tới yêu cầu... phát hiện các xâm nhập bất thường đó là portscan và bo (backoffice) Portcan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việc quét các cổng của hệ thống để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống đã bị nhiễm trojan backoffice và kẻ tấn công từ xa kết nối tới backoffice thực hiện các lệnh từ xa 3.2.3 Module phát hiện Đây là module quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện. .. hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống • Phát hiện thông qua Protocol: Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin 2.3 Phát hiện sự lạm dụng Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống