Đang tải... (xem toàn văn)
Snort là một hệ thống giám sát lưu lương trên mạng, phát hiện ngăn chặn những hoạt động đáng nghi trên mạng bằng cách ghi lại, thông báo đến hệ thống khi phát hiện dấu hiệu khả nghi bằng các luật của mình
ĐỀ TÀI TÌM HIỂU HỆ THỐNG PHÁT HIỆN TẤN CÔNG VÀ ĐỘT NHẬP SNORT Nhóm sinh viên thực hiện: Nguyễn Thế Tuấn Đỗ Nguyễn Tuấn Nguyễn Ngọc Trung Lưu Bá Sơn MSV:B14DCAT112 MSV: B14DCAT257 MSV: B14DCAT221 MSV: B14DCAT170 TỔNG QUÁT Cài Đặt Cấu Hình Kiến Trúc Tạo Luật Demo 1.CÀI ĐẶT o yêu cầu phần cứng: -Bộ vi xử lý cao tốt Tối thiểu 1GHz -Ram : với linux 128Mb, với window 256Mb - Ổ cứng tối thiểu 20GB o Yêu cầu phần mềm -snort hỗ trợ hầu hết tảng: Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS, Windows o Những bước trình cài đặt Snort • Download version Snort từ http://www.snort.org • Download Rules phù hợp với phiên ( Lưu ý để tải Rules cần có tài khoản) • Sau Download ta bắt đầu cài đặt 2 CẤU HÌNH o File cấu hình snort nằm thư mục /snort/etc/snort.conf -cấu hình địa ip xẽ bảo vệ: thay thế:HOME_NET any Y Chuyển thành: - cấu hình thư viện: Chuyển thành: • - Cấu hình địa blacklist whitelist Cần đương dẫn để cần đưa ip address vào danh sách tương ứng • Chuyển thành: • Cập nhật cấu hình: chuyển tới thư mục C:\Snort\bin Thực thi lệnh: snort.exe -W để check interface máy Ví dụ sau: • Chạy command line sau để cập nhật cấu hình cho interface muốn chọn, trường hợp có interfae 1: • Snort.exe –I 1-c c:\snort\etc\snort.conf-A console –T • Nếu thông báo successfully phía ta cấu hình thành công 3 KIẾN TRÚC INTERNET MODULE GIẢI MÃ MODULE TIỀN SỬ LÝ MODULE PHÁT HIỆN MODULE LOG Output Alert or Log to file BỎ QUA GÓI TIN OUTPUT MODULE • 3.1 Modunle Giải Mã Gói Tin(Packet Decoder) Một gói tin sau giải mã đưa tiếp vào môđun tiền xử lý Nhiệm vụ chủ yếu hệ thống phân tích gói liệu thô bắt mạng phục hồi thành gói liệu hoàn chỉnh lớp application, làm input cho hệ thống dectection engine 3.2 Modole tiền xử lý (Preprocessors) • Môđun tiền xử lý môđun quan trọng hệ thống IDS để chuẩn bị gói liệu đưa cho môđun Phát phân tích Ba nhiệm vụ môđun loại là: • Kết hợp lại gói tin • Giải mã chuẩn hóa giao thức (decode/normalize) • Phát xâm nhập bất thường (nonrule /anormal) 3.3 Module Phát Hiện Module phát kiểm tra gói tin thông qua luật(rules) , không phù hợp gói tin bị bỏ đi, phù hợp xử lý tiếp 3.4 Module Log Cảnh Báo Thành phần giúp định dạng trình bày đầu cho người quản trị hệ thống Phần logging có nhiệm vụ lưu trữ gói tin kích hoạt Các cảnh báo log lưu trữ thông qua SMB pop-up, Unix sokrt,SNMP lưu trữ xuống MySQL 3.5 Module Kết Xuất Thông Tin Môđun thực thao tác khác tùy theo việc bạn muốn lưu kết xuất Tùy theo việc cấu hình hệ thống mà thực công việc là: -Ghi log file - Ghi syslog Ngoài có nhiều app nhận phân tích liệu thông qua web interface như: -Base -snorrby Tạo Luật • Cấu trúc: Rule Header Rule Option Giống virus, hầu hết hoạt động công hay xâm nhập có dấu hiệu riêng Các thông tin dấu hiệu sử dụng để tạo nên luật cho Snort Thông thường, bẫy (honey pots) tạo để tìm hiểu xem kẻ công làm thông tin công cụ công nghệ chúng sử dụng 4.1 Rule Header Action Protocol Address Port Direction Address Port a) Hành động luật (rule action) thành phần dầu tiên luật ,chỉ hành động thực mà điều kiện luật thỏa mãn Một hành động thực thỏa mãn điều kiện phù hợp Có hành động định nghĩa ta tạo hành động riêng phụ thuộc vào yêu cầu cảu mình.sau hành động action: -Pass Hành động hướng dẫn Snort bỏ qua gói tin -Log: Hành động dùng để log gói tin Có thể log vào file hay vào sở liệu tuỳ thuộc vào nhu cầu -Alert: Gửi thông điệp cảnh báo dấu hiệu xâm nhập phát -Activate: sử dụng để tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện gói tin -Dynamic: luật gọi luật khác có hành động Activate Các hành động người dùng định nghĩa b) Protocols:là phần thứ hai luật có chức loại gói tin mà luật áp dụng snort hiểu cho protocol sau: IP, ICMP,TCP,UDP Nếu IP thí snort kiểm tra header lớp liên kết để xác định loại gói tin Bất kỳ giao thức khác sử dụng snort sử dụng header IP để xác định protocol c) Address: gồm thành phần địa địa nguồn địa đích Ta dung any để áp dụng cho tất loại địa - Ta ngăn địa loại địa chỉ:Ví dụ, luật sau áp dụng cho tất gói tin ngoại trừ gói có nguồn xuất phát từ mạng lớp C 192.168.2.0 alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) - Danh sách địa chỉ: Ta định rõ danh sách địa luật Snort Ví dụ bạn muốn áp dụng luật cho tất gói tin trừ gói xuất phát từ hai mạng lớp C 192.168.2.0 192.168.8.0 luật viết sau: alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) d) cổng Port:Số hiệu cổng dùng để áp dụng luật cho gói tin đến từ đến cổng hay phạm vi cổng cụ thể Số hiệu cổng hữu dụng ta muốn áp dụng luật cho loại gói tin liệu cụ thể Ví dụ luật để chống hack cho web ta cần sử dụng cổng 80 để phát công e) Hướng Direction:Chỉ đâu nguồn đâu đích, “->” hay “ 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) b)từ khóa classtype:Các luật phân loại gán cho số độ ưu tiên để nhóm phân biệt chúng với Mỗi dòng file classification.config có cú pháp sau: config classification: name, description, priority Ví dụ: alert udp any any -> 192.168.1.0/24 6838 (msg:”DoS”; content: “server”; classtype: DoS; priority: 1;) ta ghi đè lên giá trị priority mặc định lớp định nghĩa c) từ khóa content:Một đặc tính quan trọng Snort có khả tìm mẫu liệu bên gói tin Mẫu dạng chuỗi ASCII chuỗi nhị phân dạng kí tự hệ 16 Vidu:alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “|47 45 54|”; msg: “GET match”;) • d)flag:Từ khoá dùng để phát xem bit cờ flag bật (thiết lập) phần TCP header gói tin • Ví dụ luật sau phát hành động quét dùng gói tin TCP SYN-FIN: alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) f) Từ khoá fragbits:Phần IP header gói tin chứa bit dùng để chống phân mảnh tổng hợp gói tin IP • Reserved Bit (RB) dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết lập tức gói tin không bị phân mảnh • More Fragments Bit (MF): thiết lập tức phần khác (gói tin bị phân mảnh) gói tin đường mà chưa tới đích 5.Demo ... quan trọng hệ thống IDS để chuẩn bị gói liệu đưa cho môđun Phát phân tích Ba nhiệm vụ môđun loại là: • Kết hợp lại gói tin • Giải mã chuẩn hóa giao thức (decode/normalize) • Phát xâm nhập bất thường... tiếp vào môđun tiền xử lý Nhiệm vụ chủ yếu hệ thống phân tích gói liệu thô bắt mạng phục hồi thành gói liệu hoàn chỉnh lớp application, làm input cho hệ thống dectection engine 3.2 Modole tiền... để phát công e) Hướng Direction:Chỉ đâu nguồn đâu đích, “->” hay “