Đang tải... (xem toàn văn)
Sử dụng công nghệ IPS (Intrusion Prevention System) kết hợp tường lửa Firewall Iptable để phòng chống và tự động ngăn chặn các cuộc tấn công hệ thống mạng cùng với sự hỗ trợ cảnh báo đắc lực của Snort inline.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -o0o - ĐỒ ÁN CHUYÊN NGÀNH Đề tài: Xây dựng hệ thống phát – chống xâm nhập dựa vào Firewall Iptables IPS Snort Inline GVHD: Th.S Văn Thiên Hoàng Sinh viên thực hiện: Đặng Thành Phát - 1311060941 THÀNH PHỐ HỒ CHÍ MINH NĂM 2016 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP 1.1 Giới thiệu .9 1.2 Các kiểu công mạng 1.2.1 Phân loại lỗ hổng bảo mật 1.2.2 Tấn công chủ động công bị động: 1.2.3 Các bước công thường gặp 10 1.2.4 Cách thức công: .11 1.3 Các phương pháp nhận biết công: 14 1.3.1 Nhận biết qua tập kiện 14 1.3.2 Phát dựa tập luật (Rule-Based ) 14 1.3.3 Phân biệt ý định người dùng (User intention identification) 14 1.3.4 Phân tích trạng thái phiên (State-transition analysis) 15 1.3.5 Phương pháp phân tích thống kê (Statistical analysis approach) 15 1.3.6 Phương thức phát xâm nhập dựa vào chữ ký 16 1.3.7 Phương thức phát xâm nhập dựa vào bất thường 16 1.4 Kiến trúc hệ thống chống xâm nhập .17 1.4.1 Module phân tích luồng liệu: 17 1.4.2 Module phát công: 17 1.4.3 Module phản ứng 19 1.5 Các kiểu hệ thống IPS 20 1.5.1 IPS luồng .20 1.5.2 IPS luồng .20 1.6 Các sản phẩm IPS thị trường 21 1.6.1 Intrust 21 1.6.2 ELM 21 1.6.3 SNORT 22 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng 1.6.4 Cisco IDS 23 1.6.5 Dragon 23 CHƯƠNG II: TỔNG QUAN VỀ IPTABLES & SNORT_INLINE 2.1 Tổng quan Firewall 25 2.2 Phân loại firewall 26 2.2.1 Packet Filtering 26 2.2.2 Application-proxy firewall 28 2.3 Tổng quan Iptables 30 2.3.1 Các tính Iptables 31 2.3.2 Cơ chế hoạt động Iptables 31 2.3.3 Jumps Targets 33 2.3.4 Các tùy chọn để thao tác với luật 33 2.4 Tìm hiểu câu lệnh thiết lập luật Iptables 34 1.6.6 Sử dụng chain tự định nghĩa 34 2.4.1 Lưu phục hồi lại script cấu hình Iptables .35 2.4.2 Ý nghĩa số luật Iptables 35 2.5 Firewall and Logging 36 2.5.1 The syslog protocol 36 2.5.2 Proprietary logging methods 38 2.6 Firewall log review and analysis 38 2.6.1 Tổng quan 38 2.6.2 Các thông tin kiện từ file log 38 2.7 Tổng quan Snort inline 41 2.7.1 Giới thiệu Snort inline 41 2.7.2 Snort-inline Iptables: .41 2.7.3 Các trạng thái .43 2.8 Các thành phần Snort inline 44 2.8.1 Bộ packet sniffer 45 2.8.2 Bộ Preprocessor 45 2.8.3 Bộ phát (detection engine) 46 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng 2.8.4 Hệ thống ghi cảnh báo (Logging alerting) 47 2.8.5 Cấu trúc luật 48 2.9 Các option phổ biến Snort: 49 CHƯƠNG III: TRIỂN KHAI HỆ THỐNG IPS (SNORT_INLINE KẾT HỢP IPTABLES) 57 1.7 CHƯƠNG IV: DEMO SNORT_INLINE 84 TÀI LIỆU THAM KHẢO 92 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng LỜI NÓI ĐẦU Trước hết, nhóm em xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ Tp.Hồ Chí Minh đào đạo, trau dồi cho chúng em kiến thức thật bổ ích thời gian học trường Chúng em xin cảm ơn thầy Văn Thiên Hoàng hướng dẫn chúng em hoàn thành Đồ án chuyên ngành Cảm ơn thầy định hướng, hướng dẫn, truyền đạt lại kiến thức bổ ích, cung cấp tài liệu cần thiết để chúng em hoàn thành đồ án Cảm ơn nhiệt tình, tận tâm thầy chúng em Xin cảm ơn tất thầy cô trường Đại Học Kỹ Thuật Công Nghệ thầy cô khoa Công Nghệ Thông Tin đào tạo, tạo điều kiện cung cấp cho chúng em kiến thức hữu ích, làm hành trang bước vào tương lai Cuối cùng, kính chúc thầy Hoàng tất thầy cô khoa Công Nghệ Thông Tin trường Đại Học Kỹ Thuật Công Nghệ Thành Phố Hồ Chí Minh dồi sức khỏe, gặt hái nhiều thành nghiệp trồng người mà thầy cô chọn Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng MỞ ĐẦU Giới thiệu: Ngày nay, thời kỳ kinh tế hóa mở rộng toàn cầu Để phát triển kinh tế, nắm bắt thông tin kịp thời ngành công nghệ thông tin ngành cần thiết Chính mà công nghệ thông tin phát triển nhanh, mang lại lợi ích thiết thực nhiều mặt như: kinh tế, xã hội, trị, y tế, quân sự… họp tổ chức, quan, công ty hay buổi hội thảo xuyên quốc gia, xuyên lục địa (Video Conference) Mạng Internet ngày đóng vai trò quan trọng hoạt động người Với lượng thông tin ngày phong phú đa dạng Không có ý nghĩa nơi tra cứu tin tức kiện diễn đời sống hàng ngày, Internet đóng vai trò cầu nối liên kết người với vùng địa lý Các khoảng cách địa lý không ý nghĩa, người cách nửa vòng trái đất họ trao đổi thông tin, chia sẻ liệu cho người văn phòng Internet góp phần làm thay đổi phương thức hoạt động kinh doanh doanh nghiệp Ngoài hoạt động kinh doanh truyền thống, doanh nghiệp có thêm phương thức kinh doanh hiệu quả, thương mại điện tử Trong năm gần đây, thương mại điện tử trở thành phận quan trọng tăng trưởng, phát triển xã hội, mang lại lợi ích lớn cho doanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho ngành nghề khác, góp phần mang lại tính hiệu cho kinh tế doanh nghiệp nói riêng cho toàn xã hội nói chung Chính đa dạng thông tin internet, lại cầu nối chung cho toàn cầu nên dễ xảy tiêu cực mạng : lấy trộm thông tin, làm nhiễu thông tin, thay đổi Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng thông tin, …Ði đôi với phát triển công nghệ bảo mật mạng nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại công xâm nhập thực trao đổi thông tin, giao dịch qua mạng an toàn Về giá trị lợi ích công nghệ thông tin mang lại, kẻ xấu lợi dụng công nghệ gây khó khăn cho tổ chức, quan người áp dụng công nghệ thông tin vào sống Công nghệ có ưu điểm nhược điểm Người công (Attacker) chúng lợi dụng lỗ hổng hệ thống để truy xuất bất hợp phát vào khai thác thông tin quan trọng, liệu có tính chất bảo mật, nhạy cảm, thông tin mật quốc phòng… Vì cần phải có biện pháp, phương pháp để phát truy nhập trái phép Để phát truy nhập trái phép đó, công nghệ phát chống xâm nhập hiệu nhiều tổ chức, quan, doanh nghiệp triển khai áp dụng vào hệ thống mạng công nghệ Snort IPS Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức cách khoảng 32 năm áp dụng rộng rãi tổ chức, doanh nghiệp toàn giới Nhiệm vụ đề tài: Sử dụng công nghệ IPS (Intrusion Prevention System) kết hợp tường lửa Firewall Iptable để phòng chống tự động ngăn chặn công hệ thống mạng với hỗ trợ cảnh báo đắc lực Snort inline Cơ sở hạ tầng công nghệ thông tin phát triển, vấn đề phát triển mạng lại quan trọng, mà việc phát triển mạng việc đảm bảo an ninh mạng vấn đề quan trọng Sau chục năm phát triển, vấn đề an ninh mạng Việt Nam dần quan tâm mức Trước có giải pháp toàn diện mạng phải tự thiết lập hệ thống tích hợp IPS riêng Trong báo cáo này, chúng em tìm hiểu cấu trúc hệ thống IPS, sâu tìm hiểu phát triển hệ thống IPS mềm sử dụng mã nguồn mở để áp dụng hệ thống mạng thay cho IPS cứng đắt tiền Với kết hợp Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng phần mềm nguồn mở Iptables Snort inline Tạo hệ thống giám sát mạng, có khả phát xâm nhập, phòng chống công mạng Xây dựng hệ thống IPS (Snort_Inline & IPTables) CHƯƠNG I: TỔNG 1.1 GVHD: Th.S Văn Thiên Hoàng QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP Giới thiệu Hệ thống phòng chống xâm nhập IPS (Intrusion Prevention System) kỹ thuật an ninh, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS (Intrusion Detection System) Có khả phát công tự động ngăn chặn công nhằm vào điểm yếu hệ thống IPS có hai chức phát công chống lại công Phần lớn hệ thống IPS đặt vành đai mạng, đủ khả bảo vệ tất thiết bị mạng 1.2 1.2.1 Các kiểu công mạng Phân loại lỗ hổng bảo mật Hiểu điểm yếu bảo mật vấn đề quan trọng để tiến hành sách bảo mật có hiệu Những điểm yếu bảo mật mạng gồm có điểm yếu: Về mặt kỹ thuật, mặt cấu hình sách bảo mật Ðiểm yếu mặt kỹ thuật: Điểm yếu kỹ thuật gồm có điểm yếu giao thức, Hệ điều hành thiết bị phần cứng Server, Switch, Router, Ðiểm yếu cấu hình hệ thống: Đây lỗi nhà quản trị tạo Lỗi thiếu sót việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử dụng cấu hình mặc định thiết bị switch, router, modern… Nếu dựa vào hành động công chia công làm hai loại là: 1.2.2 Tấn công chủ động công bị động: • Tấn công chủ động: Kẻ công thay đổi hoạt động hệ thống hoạt động mạng công làm ảnh hưởng đến tính toàn vẹn, sẵn sàng xác thực liệu • Tấn công bị động: Kẻ công cố gắng thu thập thông tin từ hoạt động hệ thống hoạt động mạng làm phá vỡ tính bí mật liệu Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Nếu dựa vào nguồn gốc công phân loại công làm hai loại Tấn công từ bên công từ bên ngoài: • Tấn công từ bên trong: Là công xuất phát từ bên hệ thống mạng Kẻ công người hệ thống mạng nội muốn truy cập, lấy thông tin nhiều quyền cho phép • Tấn công từ bên ngoài: Là công xuất phát từ bên • 1.2.3 Internet hay kết nối truy cập từ xa Các bước công thường gặp Bước 1: Khảo sát, thu thập thông tin Kẻ công thu thập thông tin nơi công phát máy chủ, địa IP, dịch vụ mạng… Bước 2: Dò tìm Kẻ công sử dụng thông tin thu thập từ bước để tìm kiếm thêm thông tin lỗ hổng, điểm yếu hệ thống mạng Các công cụ thường sử dụng cho trình công cụ quét cổng (scanport), quét IP, dò tìm lỗ hổng… Buớc 3: Xâm nhập Các lỗ hổng tìm thấy bước hai kẻ công sử dụng, khai thác để xâm nhập vào hệ thống Ở bước này, kẻ công dùng kỹ thuật như: Tràn đệm, từ chối dịch vụ (DoS)… Buớc 4: Duy trì xâm nhập Một kẻ công xâm nhập vào hệ thống, bước để trì xâm nhập nhằm khai thác xâm nhập tiếp tương lai Một vài kỹ thuật backboors, trojans… sử dụng bước Một kẻ công làm chủ hệ thống, chúng gây nguy hại cho hệ thống đánh cắp thông tin Ngoài ra, chúng sử dụng hệ thống để công vào hệ thống khác loại công DDoS Bước 5: Che đậy, xóa dấu vết Một kẻ công xâm nhập cố gắng trì xâm nhập Bước chúng phải xóa hết dấu vết để không chứng pháp lí xâm nhập Kẻ công phải xóa tập tin log, xóa cảnh báo từ hệ thống phát xâm nhập Ở bước “Dò tìm” “Xâm nhập”, kẻ công thường làm lưu lượng kết nối mạng thay đổi khác với lúc mạng bình thường nhiều Ðồng thời tài nguyên hệ thống 10 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Xem rules Iptables: #ps –ef | grep snort_inline #iptables –L 78 Xây dựng hệ thống IPS (Snort_Inline & IPTables) 3.6 GVHD: Th.S Văn Thiên Hoàng Tạo script tự khởi đông Snort_Inline: Ta tiến hành tạo file tên ”snort_inlined” thư mục /etc/init.d thêm doạn code sau: #vi /etc/init.d/snort_inlined #!/bin/bash # # snort_inline start(){ # Start daemons echo "Starting ip_queue module:" lsmod | grep ip_queue >/dev/null || /sbin/modprobe ip_queue; # echo "Starting iptables rules:" # iptables traffic sent to the QUEUE: # accept internal localhost connections iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # send all the incoming, outgoing and forwarding traffic to the QUEUE iptables -A INPUT -j QUEUE iptables -A FORWARD -j QUEUE iptables -A OUTPUT -j QUEUE # Start Snort_inline echo "Starting snort_inline: " /usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -D -v \ -l /var/log/snort_inline # -Q -> process the queued traffic # -D -> run as a daemon # -v -> verbose 79 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng # -l -> log path # -c -> config path } stop() { # Stop daemons # Stop Snort_Inline # echo "Shutting down snort_inline: " killall snort_inline # Remove all the iptables rules and # set the default Netfilter policies to accept echo "Removing iptables rules:" iptables -F # -F -> flush iptables iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # -P -> default policy } restart(){ stop start } case "$1" in start) start ;; 80 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng stop) stop ;; restart) restart ;; *) echo $"Usage: $0 {start|stop|restart|}" exit esac Click phải vào file snort_inlined, chọn propreties Permissions check vào ô chọn “Allow executing file as program” close 81 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Khởi động file Script vừa tạo: #/etc/init.d/snort_inlined start 3.7 Update-rc.d: 82 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng update-rc.d ứng dụng nhỏ giúp cho việc cài đặt hay gỡ bỏ đoạn mã script khởi chạy HĐH cách dễ dàng Ta dùng để cấu hình hệ thống Debian hay Ubuntu để khởi chạy script snort_inlined sau lần hệ thống khởi động Nhập code sau vào CLI: #update-rc.d snort_inlined defaults 95 Ta nên nhập thật cẩn thận, sai sót dòng lệnh khiến hệ thống không khởi động Nếu bạn không muốn script snort_inline tự khởi động, ta dùng lệnh sau: #update-rc.d snort_inlined remove 83 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng 1.7 CHƯƠNG IV: DEMO SNORT_INLINE 4.1 DEMO 1: ngăn chặn máy khác PING đến máy server IPS Ta có mô hình sau: • Server (firewall & IPS): • Attacker: 123.11.22.1/24 123.11.22.2/24 Hai máy PING thấy thông qua môi trường Internet (giả lập) Ta chặn tất gói tin PING đến máy chủ thông qua giao thức ICMP Đâu tiên, từ máy Attacker, ta PING thử đến server IPS (IP:123.11.22.1): 84 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Như vậy, server bị nhìn thấy mạng (Internet) thông qua lệnh PING.Ta cần thiết lập rules để Snort_Inline hiểu tự động chặn (drop) gói tin ICMP Đầu tiên, vào thư mục chứa rules snort_inline theo đường dẫn: /etc/snort_inline/rules Tìm mở file: icmp.rules, thêm vào rules sau: drop $EXTERNA_NET any -> any any (classtype:attempted-user; msg:”Co nguoi dang PING may chu, nhung da khoa!!”; sid:1000002;) • • • • • $EXTERNAL any: từ mạng phía bên với cổng any any: đến đâu mạng với cổng Classtype:attempted-user: kiểu ghi log Msg: câu thông báo cho người quản trị Sid: mã số rules Save & restart snort_inline: #/etc/init.d/snort_inlined restart 85 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Kiểm tra bên máy attacker: Kiểm tra BASE: 86 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Như vậy, Snort_Inline hoạt động tốt việc ngăn chặn máy khác PING đến máy chủ 87 Xây dựng hệ thống IPS (Snort_Inline & IPTables) 4.2 GVHD: Th.S Văn Thiên Hoàng DEMO 2: ngăn chăn scan port (Nmap) Mô hình giống trên, lần attacker tiến hành scan port với chương trình Nmap Đây chương trình tiếng scan port, bước dầu tiên trước tiến hành thâm nhập hệ thống Nó chủ yếu để thu thập thông tin thống victim (nạn nhân) bao gồm port sử dụng, hệ điều hành máy chủ, phiên bản… Đầu tiên, ta demo từ máy attacker dùng Nmap scan hệ thống kkhi chưa thiết lập rules cho Snort_Inline 88 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng Trong hình, ta thấy Nmap phát hệ thống mở port 80, sử dụng webserver Apache & HĐH Ubuntu Kiểm tra BASE: Bây ta tiến hành thiết lập rules cho snort để ngăn chặn attacker scan hệ thống Truy cập thư mục chứa rules snort_inline theo đường dẫn: /etc/snort_inline/rules Ta nhập vào rules sau: drop tcp $EXTERNAL_NET any -> $HOME_NET any (flags: SF,12; msg:”Phat hien Nmap dang scan port!!”; classtype:attempted-dos; flow:stateless; content:”|6E 6D 61 70|”; sid:1000009;) • $EXTERNAL_NET any: từ mạng với cổng • $HOME_NET any: vào mạng nội với cổng • Flags: SF,12: gói tin Nmap có TCP flag cacgoi SYN FIN nen snort_inline tập trung vào goi mang flag (SYN, FIN) • Classtype:attempted-dos: kiểu lưu log • Flow:stateless: hướng gói tin (không trạng thái) 89 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng • Content: từ khóa Restart Snort_Inline: #/etc/init.d/snort_inlined restart Sang máy attacker scan Nmap để kiểm tra Ta thấy Nmap không scan dịch vụ máy server Kiểm tra log BASE 90 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng 91 Xây dựng hệ thống IPS (Snort_Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng KẾT LUẬN Về mặt lý thuyết luận văn nêu vấn đề hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập Bên cạnh đưa giải pháp xây dựng hệ thống IPS thực tế triển khai hiệu đánh giá cao Đã xây dựng thành công hệ thống IPS thực tế hoạt động với yêu cầu đặt Hạn chế đề tài triển khai hệ thống phân đoạn mạng nhỏ, nên chưa đánh giá hết hiệu xuất hệ thống vấn đề hệ thống IPS gặp phải triển khai thực tế HƯỚNG MỞ Ứng dụng triển khai hệ thống IPS với Snort iptables thực tế để đánh giá hết hiệu vấn đề gặp phải Từ có biện pháp để khắc phục, hoàn thiện cho hệ thống Ứng dụng Snort để xây dựng hệ thống IDS, IPS lớn đặt ISP để hạn chế hoạt động công mạng cho mạng lớn Xây dựng phát triển hệ thống IPS phân tán TÀI LIỆU THAM KHẢO • Đồ án tốt nghiệp khóa 2008 • Snort2.1 Intrusion Detection Second Edition Trang web: • • • http://snort.org http://hvaonline.net http://www.openmaniak.com/inline_final.php 92 ... tích thống kê (Statistical analysis approach) 15 1.3.6 Phương thức phát xâm nhập dựa vào chữ ký 16 1.3.7 Phương thức phát xâm nhập dựa vào bất thường 16 1.4 Kiến trúc hệ thống chống xâm nhập. .. hợp Xây dựng hệ thống IPS (Snort_ Inline & IPTables) GVHD: Th.S Văn Thiên Hoàng phần mềm nguồn mở Iptables Snort inline Tạo hệ thống giám sát mạng, có khả phát xâm nhập, phòng chống công mạng Xây. .. công mạng Xây dựng hệ thống IPS (Snort_ Inline & IPTables) CHƯƠNG I: TỔNG 1.1 GVHD: Th.S Văn Thiên Hoàng QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP Giới thiệu Hệ thống phòng chống xâm nhập IPS (Intrusion