II. Tổng quan IDSIPS II.1. Hệ thống IDS (Intrusion detecsion system) II.1.1. Khái niệm Là một thiết bị hoặc phần mềm ứng dụng theo dõi một mạng lưới hoặc hệ thống hoạt động nhằm phát hiện hiện tượng bất thường, các hoạt động xâm nhập trái phép vào hệ thống. II.1.2. Tính năng Giám sát lưu lượng mạng và các hoạt động khả nghi Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh II.1.3. Phân loại Có 2 loại chính: NIDS (Network Based IDS): Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau tường lửa. Hình sau mô tả vị trí một NIDS điển hình trong sơ đồ mạng. HIDS (Host Based IDS): Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngòai lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit). HIDS được cài đặt trực tiếp trên các máy (host) cần giám sát. II.2. Hệ thống IPS (Intrusion prevension system) II.2.1. Khái niệm Là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn II.2.2. Chức năng Xác định các hoạt động nguy hại, lưu trữ các thông tin này. Sau đó, kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên. Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thwucs hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS. II.2.3. Phân loại Tương tự như hệ thống IDS, hệ thống IPS được chia ra thành 2 loại chính: NIPS (Network Based IPS) – Hệ thống ngăn ngừa xâm nhập mạng: Thường được triển khai trước hoặc sau firewall. Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiều nguy cơ bị tấn công từ chối dịch vụ đối với firewall. Ngược lại, khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong. HIPS (Host Based IPS) – Hệ thống ngăn ngừa xâm nhập host: Thường được triển khai với mục đích phát hiện và ngăn ngừa kịp thời các hoạt động xâm nhập trên các host. III. Hệ thống phát hiện xâm nhập mạng Snort III.1. Khái niệm Snort là một NIDS được phát triển bởi Martin Roesch vào năm 1998, là phần mềm mã nguồn mở, hoàn toàn miễn phí và dễ sử dụng với nhiều tính năng mạnh mẽ.Hiện tại, Snort đang được điều hành bởi Sourcefire và nằm trong những nền tảng phát triển của hãng firewall Checkpoint. Mặc dù tất cả các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ thống tốt nhất hiện nay. Phiên bản hiện tại Snort 2.9.9.0. Kiểm tra các gói dữ liệu vào và ra bằng cách tạo các rule phát hiện các gói dữ liệu bất thường. Có thể chạy trên nhiều hệ thống nền như Windows, Linux, Solaris, MacOS… III.1.1. Chức năng Snort có thể phục vụ như một bộ phận lắng nghe gói tin, lưu lại thông tin hoặc một hệ thống phát hiện xâm nhập mạng (NIDS). Bên cạnh đó có rất nhiều addon cho Snort để quản lý (ghi log, quản lý, tạo rules,…). Tuy không phải là phàn lõi của Snort nhưng các thành phần này đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính năng của Snort.
TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG MÁY TÍNH *** AN NINH MẠNG ĐỀ TÀI: CÀI ĐẶT MỘT HỆ THỐNG IDS/IPS DỰA TRÊN PHẦN MỀM Giảng viên hướng dẫn Sinh viên thực Lớp: Mạng máy tính K58 Hà Nội – 10/2017 Mục lục I Đặt vấn đề Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm soát luồng thông tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Vì cần phải có hệ thống nhằm giám sát luồng thông tin vào mạng bảo vệ hệ thống mạng khỏi công từ Internet Kiểm soát nguồn này, thông báo cho người có trách nhiệm xác định khả có xâm nhập Hơn nữa, tường lửa làm việc với gói tin chúng vào khỏi mạng Một kẻ xâm nhập vượt qua tường lửa, người tung hoành mạng, hệ thống IDS/IPS có vai trò quan trọng Bài báo cáo nhóm chúng em trình bày chi tiết hệ thống IDS/IPS tiến hành cài đặt hệ thống phát xâm nhập mạng – Snort II Tổng quan IDS/IPS II.1 Hệ thống IDS (Intrusion detecsion system) II.1.1 Khái niệm Là thiết bị phần mềm ứng dụng theo dõi mạng lưới hệ thống hoạt động nhằm phát hiện tượng bất thường, hoạt động xâm nhập trái phép vào hệ thống II.1.2 Tính Giám sát lưu lượng mạng hoạt động khả nghi Cảnh báo tình trạng mạng cho hệ thống nhà quản trị Kết hợp với hệ thống giám sát, tường lửa, diệt virus tạo thành hệ thống bảo mật hoàn chỉnh II.1.3 Phân loại Có loại chính: NIDS (Network Based IDS): Là IDS giám sát toàn mạng Nguồn thông tin chủ yếu NIDS gói liệu lưu thông mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa Hình sau mô tả vị trí NIDS điển hình sơ đồ mạng HIDS (Host Based IDS): Là IDS giám sát hoạt động máy tính riêng biệt Do vậy, nguồn thông tin chủ yếu HIDS ngòai lưu lượng liệu đến từ máy chủ có hệ thống liệu nhật ký hệ thống (system log) kiểm tra hệ thống (system audit) HIDS cài đặt trực tiếp máy (host) cần giám sát II.2 Hệ thống IPS (Intrusion prevension system) II.2.1 Khái niệm Là hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập không mong muốn II.2.2 Chức Xác định hoạt động nguy hại, lưu trữ thông tin Sau đó, kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thwucs hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS khả theo dõi, giám sát có chức ngăn chặn hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS II.2.3 Phân loại Tương tự hệ thống IDS, hệ thống IPS chia thành loại chính: NIPS (Network Based IPS) – Hệ thống ngăn ngừa xâm nhập mạng: Thường triển khai trước sau firewall Khi triển khai IPS trước firewall bảo vệ toàn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiều nguy bị công từ chối dịch vụ firewall Ngược lại, triển khai IPS sau firewall phòng tránh số kiểu công thông qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên HIPS (Host Based IPS) – Hệ thống ngăn ngừa xâm nhập host: Thường triển khai với mục đích phát ngăn ngừa kịp thời hoạt động xâm nhập host III Hệ thống phát xâm nhập mạng - Snort III.1 Khái niệm Snort NIDS phát triển Martin Roesch vào năm 1998, phần mềm mã nguồn mở, hoàn toàn miễn phí dễ sử dụng với nhiều tính mạnh mẽ.Hiện tại, Snort điều hành Sourcefire nằm tảng phát triển hãng firewall Checkpoint Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Phiên Snort 2.9.9.0 Kiểm tra gói liệu vào cách tạo rule phát gói liệu bất thường Có thể chạy nhiều hệ thống Windows, Linux, Solaris, MacOS… III.1.1 Chức Snort phục vụ phận lắng nghe gói tin, lưu lại thông tin hệ thống phát xâm nhập mạng (NIDS) Bên cạnh có nhiều add-on cho Snort để quản lý (ghi log, quản lý, tạo rules,…) Tuy phàn lõi Snort thành phần đóng vai trò quan trọng việc sử dụng khai thác tính Snort III.1.2 Hoạt động Snort III.1.2.1 Cấu trúc Snort Snort chia thành nhiều thành phần cách logic Những thành phần làm việc để phát công cụ thể để tạo định dnagj cần thiết từ hệ thống phát Snort bao gồm thành phần sau đây: Packet Decoder, Preprocessor, Detection Engine, Login and alerting System Output Modules Ở hình cho thấy liệu đến từ Internet vào packet decoder Trên đường với modules đầu ra, bị loại bỏ, ghi nhận cảnh báo tạo Packet Decoder (bộ phận giải mã gói tin): Các gói liệu vào cổng giao tiếp mạng Và giải mã Packet Decoder, xác định giao thức sử dụng cho gói tin liệu phù hợp với hành vi cho phép phần giao thức chúng Packet Decoder tạo cảnh báo riêng dựa phần header giao thwucs, gói tin dài, bất thường không xác tùy chọn TCP thiết lập phần header Có thể kích hoạt vô hiệu hóa cảnh báo dài dòng cho tất trường tập tin snort.conf Sau liệu giải mã đúng, chúng gửi đến phận tiền xử lý (Preprocessor) Preprocessor (bộ phận tiền xử lý): Các Preprocessor thành phần plug-in sử dụng cho Snort để xếp, chỉnh sửa gói liệu trước phận Detection Engine làm việc với chúng Một số Preprocessor thực phát dấu hiệu dị thường bằn cách tìm phần tiêu đề gói tin tạo cảnh báo Preprocessor quan trọng với hệ thống IDS để chuẩn bị liệu cần thiết gói tin để phận Detection Engine việc Detection Engine (bộ phận kiểm tra): Là phận quan trọng Snort Trách nhiệm phát dấu hiệu công tồn gói tin cách sử dụng rule để đối chiếu với thông tin gói tin Nếu gói tin phù hợp với rule, hành động thích hợp thực Hiệu suất hoạt động phận phụ thuộc vào yếu tố như: số lượng rule, cấu hình máy mà Snort đnag chạy, tốc độ bus sử dụng cho máy Snort, lưu lượng mạng Detection Engine phân chia gói tin áp dụng rule cho phần khác gói tin Các phần là: • Phần IP header gói tin • Phần header tầng transport: Đây phần tiêu đề bao gồm TCP, UDP header tầng transport khác Nó làm việc với header ICMP • Phần header lớp ứng dụng: Bao gồm header lớp ứng dụng, không giới hạn, DNS header, FPT header, SNMP header SMTP header • Packet payload: Có nghĩa tạo rule sử dụng detection engine để tìm kiếm chuỗi bên liệu gói tin Logging and Alerting System (Bộ phận ghi nhận thông báo): phận Detection Engine phát dáu hiệu công thông báo cho phận Logging ang Alerting System Các ghi nhận, thông báo lưu dạng văn số định dnagj khác Mặc định chúng lưu thư mục /var/log/snort Output Models (bộ phận đầu ra): Bộ phận đầu Snort phụ thuộc vào việc ta ghi ghi nhận, thông báo theo cách thức Có thể cấu hình bọ phận để thực chức sau: • Gửi thông tin SNMP • Gửi thông điệp đến hệ thống ghi log • Lưu ghi nhạn thông báo vào sở liệu (My SQL, Oracle,…) • Chỉnh sửa cấu hình Router, Firewall III.1.2.2 Các chế độ thực thi Snort Sniff model (snort -v) Ở chế độ này, Snort hoạt động chương trình thu thập phân tích gói tin thông thường, lắng nghe gói tin mạng, sau giải mã hiển thị chúng lên hình console Không cần sử dụng file cấu hình, thông tin Snort thu hoạt động chế độ này: • Date and time • Source IP address • Source port number • Destination IP address • Destination port • Transport layer protocol used in this packet • Time to live or TTL value in this packet • Type of service or TOS value • Packer ID • Length of IP header • IP payload • Don’t fragment or DF bit is set in IP header • Two TCP flags A nad p are on • TCP sequence number • Acknowledgement number in TCP header • TCP Window field • TCP header length Packet logger mode (snort –l/var/log/snort) Khi chạy chế đô này, Snort tập hợp tất gói packet thấy đưa vào log theo cấu trúc phâ tầng Một thư mục tạo ứng với địa bắt được, dư xlieeuj phụ thuộc vào địa mà lưu thư mục Snort đặt packet vào file ASCII, với tên liên quan đến giao thức cổng Sự xếp dễ dàng nhận đnag kết nối vào mạng giao thức, cổng sử dụng Đơn giản sử dụng ls-R để danh sách thư mục Tuy nhiên phân cấp tạo nhiều thưu mục cao điểm nên khó để xem hết tất thư mục file Nếu sử dụng full scan với 65536 TCP Port 65535 UDP port tạo 131000 file Log với dạng nhị phân (library) tất nhwunxg đọc Snort, almf tăng tốc độ khả bắt gói tin Snort Hầu hết hệ thống capture log tốc độ 100Mbps mà vấn đề Network intrusion Detection System (NIDS) NIDS mode (snort –c /etc/snort/snort.conf –l eth0) Snort thường sử dụng NIDS Nó nhẹ, nhanh chóng, hiệu sử dụng rule để áp dụng lên gói tin Khi phát có dấu hiệu công gói tin ghi lại tạo thông báo Khi dùng chế độ phải khai báo file cho Snort hoạt động Thông tin thông báo hoạt động chế độ này: − Fast mode: Date and time Alert message Source and destination IP address, Source and destination ports, Type of packet − Full model: gồm thông tin chế độ fast mode thêm số thông tin sau: TTL, value, TOS value, Length of packet header, length of packet Type of packet Code ofpacket, ID of packet, Sequece number • Inline mode Đây phiên chỉnh sửa từ Snort cho phép phân tích gói tin từ firewall iptables sử dụng tập lệnh như: pass, drop, reject Sau só khớp vưới rule thông báo cho intables xử lý gói tin (cho phé bỏ) III.1.2.3 Cấu trúc rules Một chức đánh giá cao Snort cho phép sử dụng tự viết rule riêng Ngoài số lượng lớn rule kèm với Snort, người quản trị vận dụng khả để phát triển 10 rule riêng thay phụ thuộc vào quan, tổ chức bên Rule Snort chia làm hai phần: rule header rule options • Rule header: Chứa thông tin để xác định packet tất cần thực với tất thuộc tính định rule Rule header bao gồm thành phần sau: Rule action, protocol, IP address, port number, Direction operator − Rule action: Cho Snort biết phải làm tìm thấy gói tin phù hợp với rule, có năm hành động mặc định sãn Snort: Alert: Cảnh báo ghi lại packet, log: ghi lại packet, pass: bỏ qua packet − Protocol: Trường rule protocol Hiện nay, Snort hỗ trợ bốn giao thức sau: TCP, UDP, ICMP IP Trong tương lai hỗ trợ thêm giao thức khác như: ARP, IGRP, GRE, OSPF, RIP,… − IP address: Các địa IP hình thành dnagj thập phân: xxxx.xxxx.xxxx.xxxx CIDR Snort không ucng cấp chế tra cứu tên host tương ứng vưới địa IP CIDR: cho biết địa lớp mạng − Port number: Có thể xác định gồm: Any port, static port − Direction Operation: Chỉ hướng rule, có hai loại là: : hướng bắt nguồn từ địa IP port bến trái,