Đang tải... (xem toàn văn)
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO TÌM HIỂU VỀ SNORT-SNORTSAM,SNORTINLINE Mơn học: An tồn ứng dụng web sở liệu Giảng viên: Ths Huỳnh Thanh Tâm Thực hiện: Nguyễn Hoàn Nam Dương TPHCM,10/2017 AN TỒN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM I TỔNG QUAN VỀ SNORT IDS 1 Phát xâm nhập gì? Một số khái niệm bản: II SNORT - SNORTSAM, SNORTINLINE 1 Snort: 1.1 Sơ lược Snort 1.2 Chức Snort 1.3 Thành phần Snort 1.4 Rules SnortSam Snort_InLine: 2.1 Sơ lược SnortSam Snort_Inline 2.2 SnortSam: 2.3 Snort_inline: III DEMO SNORT Cài đặt Rules đơn giản cho Snort: AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHÓM I TỔNG QUAN VỀ SNORT IDS Phát xâm nhập gì? - Phát xâm nhập tập công nghệ phương thức dùng để phát hành động khả nghi host mạng Hệ thống phát xâm nhập (IDS)có loại sau: IDS signature-based (IDS dựa dấu hiệu) IDS anomaly-based (IDS dựa bất thường) - Dựa tập signature rules, hệ thống phát tìm ghi hành động xâm nhập phát cảnh báo Sự phát xâm nhập dựa bất thường thường phụ thuộc vào tính bất thường tiêu đề (header) giao thức gói liệu Một số khái niệm bản: - Intrusion Detection System (hệ thống phát xâm nhập) hay IDS phần mềm, phần cứng kết hợp hai, dùng để phát hành động kẻ xâm nhập Snort IDS mã nguồn mở sẵn có mạng Một IDS có nhiều khả khác tùy thuộc vào độ phức tạp thành phần - Network IDS hay NIDS: NIDS IDS capture liệu trình truyền liệu mạng (cáp, wireless) gắn chúng vào sở liệu signature Phụ thuộc vào nơi mà gói bi phát với tín hiệu xâm nhập, lúc cảnh báo phát sinh gói ghi vào file hay sở liệu - Signatures (dấu hiệu): Khi nhìn vào gói liệu, ta rút mẫu (lấy mẫu liệu), mẫu gọi signature Một signature dùng để phát nhiều loại công IDS phụ thuộc vào signature để tìm hành vi xâm nhập - Alerts (cảnh báo): loại thông báo người dùng hành vi xâm nhập Alerts dạng cửa sổ pop-up, dạng console, gửi e-mail, v.v Alerts lưu log file hay sở liệu, nơi mà chúng xem lại sau Snort phát Alerts nhiều hình thức điều khiển output plug-ins Snort gửi alert đến nhiều điểm đích II SNORT - SNORTSAM, SNORTINLINE Snort: 1.1 Sơ lược Snort - Snort NIDS Martin Roesh phát triển mơ hình mã nguồn mở Tuy Snort miễn phí lại có nhiều tính tuyệt vời mà khơng phải sản phẩm thương mại có Với kiến trúc thiết kế theo kiểu module, người dùng tự tăng AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM cường tính cho hệ thống Snort việc cài đặt hay viết thêm module - Cơ sở liệu luật Snort lên tới 2930 luật cập nhật thường xuyên cộng đồng người sử dụng Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS - Bên cạnh việc hoạt động ứng dụng thu bắt gói tin thơng thường, Snort cấu hình để chạy NIDS Snort hỗ trợ khả hoạt động giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, PF OpenBSD 1.2 Chức Snort - Snort phục vụ phận lắng nghe gói tin, lưu lại thơng tin gói tin hệ thống phát xâm nhập mạng (NIDS) Bên cạnh có nhiều add-on cho Snort để quản lý (ghi log, quản lý, tạo rules ) Tuy phần lõi Snort thành phần đóng vai trò quan trọng việc sử dụng khai thác tính Snort - Thơng thường, Snort nói chuyện vói TCP/IP Mặc dù, với phần tùy chỉnh mở rộng, Snort thực để hỗ trợ giao thức mạng khác, chẳng hạn Novell’s IPX TCP/IP giao thức phổ biến Internet Do đó, Snort chủ yếu phân tích cảnh báo giao thức TCP/IP - Snort IDS rule-base (IDS dựa tập luật) Snort sử dụng rule lưu text file, xem trình soạn thảo văn Những rule nhóm theo loại Những rule với loại lưu trữ file riêng Những file sau tập hợp file cấu hình chính, gọi snort.conf Snort đọc rule lần chạy xây dựng cấu trúc liệu bên áp dụng rule để capture liệu Snort cho phép định nghĩa lại rule cho việc phát xâm nhập “linh hoạt” cho ta thêm vào rule riêng - Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn 1.3 Thành phần Snort - Snort chia thành nhiều phần Những phần làm việc nhằm phát loại công khác sinh định dạng yêu cầu từ hệ thống phái Một Snort IDS gồm thành phần sau: AN TỒN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHÓM Các thành phần Snort IDS Packet Decoder (bộ phận giải mã gói tin) : Các gói liệu vào qua cổng giao tiếp mạng, cổng giao tiếp là: Ethernet, SLIP, ppp Và giải mã packet decoder, xác định giao thức sử dụng cho gói tin liệu phù hợp với hành vi cho phép phần giao thức chúng Packet Decoder tạo cảnh báo riêng dựa phần header giao thức, gói tin dài, bất thường khơng xác tùy chọn TCP thiết lập phần header Có thể kích hoạt vơ hiệu hóa cảnh báo dài dòng cho tất trường tập tin snort.conf Sau liệu giải mã đúng, chúng gửi đến phận tiền xử lý (preprocessor) Preprocessor (bộ phận tiền xử lý) : Các Preprocessor thành phần plug-in sử dụng cho Snort để xếp, chỉnh sửa gói liệu trước phần Detection Engine làm việc với chúng Một số Preprocessor thực phát dấu hiệu dị thường cách tìm phần tiêu đề gói tin tạo cảnh báo Preprocessor quan trọng với hệ thống IDS để chuẩn bị liệu cần thiết gói tin để phận Detection Engine làm việc Preprocessor dùng để tái hợp gói tin cho gói tin có kích thước lớn Ngồi giải mã gói tin mã hóa trước chuyển đến phận Detection Engine Detection Engine (bộ phận kiểm tra) Detection Engine phận quan trọng Snort Trách nhiệm phát dấu hiệu cơng tồn gói tin cách sử dụng rule để đối chiếu với thông tin gói tin Nếu gói tin phù hợp với rule, hành động thích hợp thực Hiệu suất hoạt động phận phụ thuộc yếu tố như: số lượng rule, cấu hình máy mà Snort chạy, tốc độ bus sử dụng cho máy Snort, lưu lượng mạng AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM Detection Engine phân chia gói tin áp dụng rule cho phần khác gói tin Logging and Alerting System (Bộ phận ghi nhận thông báo) Khi phận detection engine phát dấu hiệu công thơng báo cho phận Logging and Alerting System Các ghi nhận, thơng báo lưu dạng văn số định dạng khác Output Modules (bộ phận đầu ra) Bộ phận đầu Snort phụ thuộc vào việc ta ghi ghi nhận, thơng báo theo cách thức Có thể cấu hình phận để thực chức sau: • Lưu ghi nhận thơng báo theo định dạng file văn vào sở liệu • Gửi thơng tin SNMP • Gửi thơng điệp đến hệ thống ghi log • Lưu ghi nhận thông báo vào sở liệu (MySQL, Oracle ) hình Router, Firewall 1.4 • Chỉnh sửa cấu Rules - Cũng giống virus, hầu hết hoạt động công hay xâm nhập có dấu hiệu riêng Các thơng tin dấu hiệu sử dụng để tạo nên luật cho Snort Thông thường, bẫy (honey pots) tạo để tìm hiểu xem kẻ cơng làm thơng tin công cụ công nghệ chúng sử dụng Và ngược lại, có sở liệu lỗ hổng bảo mật mà kẻ công muốn khai thác Các dạng công biết dùng dấu hiệu để phát công xâm nhập Các dấu hiệu xuất phần header gói tin nằm phần nội dung chúng Hệ thống phát Snort hoạt động dựa luật (rules) luật lại dựa dấu hiệu nhận dạng cơng Các luật áp dụng cho tất phần khác gói tin liệu Một luật sử dụng để tạo nên thông điệp cảnh báo, log thơng điệp hay bỏ qua gói tin - Tất Luật Snort logic gồm phần: Phần header phần Options • Phần Header chứa thơng tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin • Phần Option chứa thông điệp cảnh báo thơng tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh luật với gói tin Một luật phát hay nhiều hoạt động thăm dò hay cơng Các luật thơng minh có khả áp dụng cho nhiều dấu hiệu xâm nhập AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHÓM - Dưới cấu trúc chung phần Header luật Snort: ACTION PROTOCOL ADDRESS PORT DIRECTION • Action: phần qui định loại hành động thực thi dấu hiệu gói tin nhận dạng xác luật Thơng thường, hành động tạo cảnh báo log thơng điệp kích hoạt luật khác • Protocol: phần qui định việc áp dụng luật cho packet thuộc giao thức cụ thể Ví dụ IP, TCP, UDP … • Address: phần địa nguồn địa đích Các địa máy đơn, nhiều máy mạng Trong hai phần địa địa nguồn, địa đích địa thuộc loại phần Direction “->” qui định • Port: xác định cổng nguồn đích gói tin mà luật áp dụng • Direction: phần đâu địa nguồn, đâu địa đích Ví dụ: alert icmp any any -> any any (msg: “Ping with TTL=100”;ttl: 100;) Phần đứng trước dấu mở ngoặc phần Header luật phần lại phần Option Chi tiết phần Header sau: • Hành động luật “alert” : cảnh báo tạo điều kiện gói tin phù hợp với luật(gói tin ln log lại cảnh báo tạo ra) • Protocol luật ICMP tức luật áp dụng cho gói tin thuộc loại ICMP Bởi vậy, gói tin khơng thuộc loại ICMP phần lại luật khơng cần đối chiếu • Địa nguồn “any”: tức luật áp dụng cho tất gói tin đến từ nguồn cổng “any” loại gói tin ICMP cổng khơng có ý nghĩa Số hiệu cổng có ý nghĩa với gói tin thuộc loại TCP UDP thơi • Còn phần Option dấu đóng ngoặc cảnh báo chứa dòng “Ping with TTL=100” tạo tìm thấy điều kiện TTL=100 TTL Time To Live trường Header IP SnortSam Snort_InLine: 2.1 Sơ lược SnortSam Snort_Inline AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHÓM - Chức Snort phát xâm nhập cảnh báo cho người quản trị biết xâm nhập đó, khơng thể ngăn chặn cơng Để thực chức ngăn chặn cách chủ động (active response) sử dụng plug-in dành cho Snort SnortSam, Snort_inline để làm điều - Các plug-in thay đổi chặn lưu lượng mạng ( tầng Network) địa IP (SnortSam), tầng Application (Snort_inline) dựa - Hệ thống ngăn chặn xâm nhập ngồi việc ngăn chặn gói tin vào hệ thống thay đổi trực tiếp gói tin chúng chuyển qua mạng Bởi Snort_inline xếp vào hệ thống ngăn chặn xâm nhập (IPS) SnortSam xếp vào hệ thống phản ứng chủ động (Active Response System) 2.2 SnortSam: - SnortSam bao gồm hai phần riêng biệt: + Một phần tập hợp sửa đổi tập tin mã nguồn, mở rộng Snort cách thêm mơ-đun output là: alert_fwsam + Hai tác nhân giao tiếp trực tiếp với tường lửa gọi agent Tác nhân đặt tường lửa tường lửa iptables, pf hệ thống BSD Checkpoint’s Firewall-1 hệ thống Windows Đối với tường lửa phần cứng Cisco PIX tác nhân SnortSam phải đặt máy riêng biệt rành riêng để giao tiếp với PIX - Phương thức hoạt động: Snort giám sát luồng lưu lượng mạng, luật Snort kích hoạt (gặp traffic phù hợp), Snort gửi đầu cho mơ-đun fwsam Mơ-đun fwsam sau gửi tin nhắn mã hóa tới cho agent đặt tường lửa Agent kiểm tra xem tin nhắn có phải gửi tới từ nguồn có thẩm quyền hay khơng, giải mã thông điệp vừa nhận kiểm tra xem địa IP yêu cầu chặn SnortSam rà soát xem địa IP có nằm danh sách trắng (white-list) hay khơng Nếu IP khơng nằm danh sách trắng, SnortSam yêu cầu tường lửa chặn địa IP khoảng thời gian định nghĩa từ trước 2.3 Snort_inline: - Ý tưởng inline-mode kết hợp khả ngăn chặn iptables vào bên snort Điều thực cách thay đổi môđun phát môđun xử lý cho phép snort tương tác với iptables Cụ thể, việc chặn bắt gói tin Snort thực thơng qua Netfilter thư viện libpcap thay việc sử dụng ipqueue thư viện libipq Hành động ngăn chặn snort-inline thực devel-mode iptables AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM - Để hỗ trợ tính ngăn chặn Snort-inline, số thay đổi bổ sung đưa vào luật Snort Đó đưa thêm hành động DROP, SDROP,INJECT thay đổi trình tự ưu tiên luật Snort + LOG Hành động DROP yêu cầu iptables loại bỏ gói tin ghi lại thơng tin hành động + Hành động SDROP tương tự hành động DROP, điều khác biệt chỗ Snort không ghi lại thông tin hành động LOG + Hành động REJECT yêu cầu iptables từ chối gói tin, có nghĩa iptables loại bỏ gửi lại thơng báo cho nguồn gửi gói tin Hành động REJECT khơng ghi lại bất cử thơng tin III DEMO SNORT Cài đặt Rules đơn giản cho Snort: - Mục đích: Xuất cảnh báo ghi log lại hoạt động truy cập web không cho phép Đồng thời xem cookie số thông tin khác Bước 1: Tạo file demoTCP.rules thư mục Snort cài đặt C:\Snort\Rules với nội dung: alert tcp any any -> 210.245.125.93 any (msg: "Co nguoi dang truy cap! "; sid:123445) + Rule header: Tcp: loại giao thức lựa chọn cho rule any any ip port địa nguồn -> direction 210.245.125.93 ip, any port thegioiskinfood.com ( đích) + Rules Options: msg: "Co nguoi dang truy cap! " : thông điệp alert snort sid: 123445 - ID Snort rule Bước 2: Chạy dòng lệnh thực thi với cmd: snort -A console -i5 -c c:\snort\etc\snort.conf -l c:\snort\log AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHÓM - A console : alert console -i5 interface ( kiểm tra snort -W ) -c : file config -l : ghi file log Bước 3: Thực truy cập thegioiskinfood.com từ máy ảo theo dõi kết hiển thị hình console Thơng tin cảnh báo hiển thị máy có địa 192.168.1.103:65221 truy cập web thegioskinfood.com AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM Một số thơng tin quan trọng khác ghi vào fille log ... thống phát xâm nhập (IDS) có loại sau: IDS signature-based (IDS dựa dấu hiệu) IDS anomaly-based (IDS dựa bất thường) - Dựa tập signature rules, hệ thống phát tìm ghi hành động xâm nhập phát cảnh báo. .. cho Snort: AN TỒN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU| NHĨM I TỔNG QUAN VỀ SNORT IDS Phát xâm nhập gì? - Phát xâm nhập tập công nghệ phương thức dùng để phát hành động khả nghi host mạng Hệ thống. .. TỔNG QUAN VỀ SNORT IDS 1 Phát xâm nhập gì? Một số khái niệm bản: II SNORT - SNORTSAM, SNORTINLINE 1 Snort: 1.1 Sơ lược Snort 1.2 Chức Snort