Đang tải... (xem toàn văn)
Hệ thống phát hiện và phòng chống xâm nhập idsips mô phỏng trên phần mềm snort. Các công cụ phổ biến phát hiện và phòng chống xâm nhập trong an toàn thông tin. Tổng quan về phát hiện và phòng chống xâm nhập mạng.
TÌM HIỂU VỀ HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP Lê Văn Thông B2Tin45 MỤC LỤC I II Hệ thống IDS/IPS Tìm hiểu Snort I Hệ thống IDS/IPS Hệ thống phát xâm nhập IDS Hệ thống ngăn chặn xâm nhập IPS Cơ chế hoạt động IDS/IPS Hệ thống phát xâm nhập IDS a IDS gì? Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Hệ thống phát xâm nhập IDS b Phân loại IDS Cách thông thường để phân loại hệ thống IDS (cũng IPS) dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập Network-based IDS (NIDS): Sử dụng liệu toàn mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập lưu thông Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin logging Kiến trúc IDS thường dựa luật (rule-based) để phân tích hoạt động Host-Based IDS Ưu điểm Xác định kết cơng Thích nghi tốt với mơi trường chuyển mạch, mã hoá Giám sát hoạt động cụ thể hệ thống Phát xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào server không bị NIDS phát Không yêu cầu thêm phần cứng Host-Based IDS Nhược điểm Khó quản trị : hệ thống host-based yêu cầu phải cài đặt tất thiết bị đặc biệt mà bạn muốn bảo vệ Thông tin nguồn không an toàn: vấn đề khác kết hợp với hệ thống host-based hướng đến việc tin vào nhật ký mặc định lực kiểm soát server Hệ thống host-based tương đối đắt Network based IDS – NIDS NIDS thường bao gồm có hai thành phần logic : Bộ cảm biến – Sensor : đặt đoạn mạng, kiểm soát lưu thơng nghi ngờ đoạn mạng Trạm quản lý : nhận tín hiệu cảnh báo từ cảm biến thông báo cho điều hành viên Network based IDS – NIDS 1.Ưu điểm Chi phí thấp Phát cơng mà HIDS bỏ qua Khó xố bỏ dấu vết (evidence) Phát đối phó kịp thời VD : Một hacker thực cơng DoS dựa TCP bị NIDS phát ngăn chặn việc gửi yêu cầu TCP reset nhằm chấm dứt công trước xâm nhập phá vỡ máy bị hại Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể công việc máy mạng Môđun log cảnh báo Tùy thuộc vào việc mơđun Phát có nhận dạng đuợc xâm nhập hay khơng mà gói tin bị ghi log đưa cảnh báo Các file log file text liệu ghi nhiều định dạng khác chẳng hạn tcpdump Mô đun kết xuất thông tin Tùy theo việc cấu hình hệ thống mà thực cơng việc là: Ghi log file Ghi cảnh báo vào sở liệu Cấu hình lại Router, firewall Ghi syslog: syslog chuẩn lưu trữ file log sử dụng nhiều hệ thống Unix, Linux Tạo file log dạng xml: việc ghi log file dạng xml thuận tiện cho việc trao đổi chia sẻ liệu Gửi cảnh báo gói gói tin sử dụng giao thức SNMP Gửi thông điệp SMB (Server Message Block) tới máy tính Windows Bộ luật SNORT Giới thiệu Cấu trúc luật Snort Giới thiệu Hệ thống phát Snort hoạt động dựa luật (rules) luật lại dựa dấu hiệu nhận dạng cơng Các luật áp dụng cho tất phần khác gói tin liệu Một luật sử dụng để tạo nên thông điệp cảnh báo, log thơng điệp hay bỏ qua gói tin Cấu trúc luật SNORT Hãy xem xét ví dụ đơn giản : alert tcp 192.168.2.0/24 23 -> any any (content:”confidential”; msg: “Detected confidential”) Rule Header Rule Option Cấu trúc luật củaHeader SNORT luật Snort Phần Action Protocol Adress Port Direction Adress Port Phần header Hành động luật( Rule Action) Pass Log Activate Dynamic Alert Hành động người dùng định nghĩa Các hành động người dùng định nghĩa: hành động định nghĩa theo cấu trúc sau: ruletype action_name{action definition }ruletype từ khố Ví dụ như: ruletype smb_db_alert {type alert output alert_smb: workstation.list output database: log, mysql, user=test password=test dbname=snort host = localhost} Phần Header Protocol Là phần thứ hai luật có chức loại gói tin mà luật áp dụng Hiện Snort hiểu protocol sau : • IP • ICMP • TCP • UDP Phần Header Address Có hai phần địa luật Snort Các địa dùng để kiểm tra nguồn sinh đích đến gói tin Địa địa IP đơn địa mạng Ta dùng từ any để áp dụng luật cho tất địa Ví dụ luật : alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) Luật tạo cảnh báo tất gói tin từ nguồn có TTL = 100 đến web server 192.168.1.10 cổng 80 Phần Header Hướng – Direction Chỉ đâu nguồn đâu đích, -> hay dynamic-> alert->pass->log Trong inline-mode, trình tự ưu tiên thay đổi sau : activation->dynamic->pass->drop->sdrop->reject->alert->log Demo THE END ... thống IDS/IPS Tìm hiểu Snort I Hệ thống IDS/IPS Hệ thống phát xâm nhập IDS Hệ thống ngăn chặn xâm nhập IPS Cơ chế hoạt động IDS/IPS Hệ thống phát xâm nhập IDS a IDS gì? Hệ thống phát xâm nhập (IDS)... hai cách tiếp cận việc phát phòng chống xâm nhập : a b Phát lạm dụng (Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kĩ thuật xâm nhập biết đến (dựa dấu... thống Phát bất thường (Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống Phát lạm dụng Phát lạm dụng phát kẻ xâm