Ngân hàng câu hỏi, đề thi giám sát an toàn mạng học viện công nghệ bưu chính viễn thông, ptitGSATm ptit×giam sat an toan mang×giám sát an an toàn mạng×câu hỏi ôn tập gsatm ptit×ngân hàng đề giám sát×câu hỏi giám sát mạng
Mục lục Hãy phân tích khác biệt phòng thủ theo lỗ hổng bảo mật phòng thủ theo nguy cơ? Trình bày chu trình giám sát an tồn mạng 3 Trình bày khung làm việc để thu thập liệu ACF 4 Để xây dựng cảm biến ta cần quan tâm tới thành phần gì? Mơ tả cách thức để xác định yêu cầu thành phần phần cứng quan trọng cảm biến ? Mô tả cách thức để xác định vị trí đặt cảm biến mạng? 6 Trình bày khái niệm giám sát an toàn mạng (NSM – Network Security Monitoring) Tại cần hệ thống giám sát an toàn mạng? 7 Hãy phân tích thấy giám sát an toàn mạng khác với phát xâm nhập? 8 Hãy phân tích thách thức triển khai hệ thống giám sát an tồn mạng 9 Trình bày ưu điểm nhược điểm hệ thống giám sát an toàn mạng 10 10 Hệ thống phát xâm nhập trái phép (IDS - Intrusion Detection System) gì? Vẽ sơ đồ kiến trúc hệ thống IDS mơ tả tóm tắt 11 11 Hãy mô tả phương pháp Signature-based Anomaly-based sử dụng hệ thống phát xâm nhập trái phép (IDS) để đảm bảo an toàn mạng 12 12 So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring) với hệ thống phát xâm nhập trái phép (IDS - Intrusion Detection System) 12 13 Hệ thống ngăn chặn xâm nhập trái phép (IPS) gì? So sánh IPS với hệ thống phát xâm nhập trái phép (IDS) 13 14 Hãy mô tả kỹ cần có chun gia phân tích an toàn mạng 13 15 Trong giám sát an toàn mạng, cần thu thập loại liệu nào? Nêu vài công cụ mã nguồn mở hỗ trợ việc thu thập liệu mà anh/chị biết 14 16 Dữ liệu có nội dung đầy đủ (Full content data) gì? Làm để thu thập liệu có nội dung đầy đủ? 14 17 Dữ liệu phiên (Session data) gì? Làm để thu thập liệu phiên? 14 18 Dữ liệu kiểu chuỗi gì? Làm để thu thập liệu kiểu chuỗi? 15 19 Dữ liệu thống kê (Statistical data) gì? Làm để thu thập liệu thống kê? Hãy mô tả số công cụ sử dụng việc thu thập/lưu/theo dõi hoạt động mạng liên quan đến liệu thống kê 16 20 Dữ liệu cảnh báo (Alert data) gì? Làm để thu thập liệu cảnh báo? 17 21 Host-based IDS Network-based IDS gì? Mơ tả số cơng nghệ tương ứng với loại mà anh/chị biết? 17 22 Phần mềm Snort sử dụng để làm gì? Hãy mơ tả tóm tắt chức phần mềm này? 19 23 Viết luật Snort để phát có gói tin ping đến hệ thống mạng Giải thích tham số luật 20 24 Viết luật Snort để phát người dùng truy cập trang web vietnamnet.vn Giải thích tham số luật 20 25 Viết luật Snort để phát cơng qt mạng kiểu SYN SCAN Giải thích tham số luật 21 26 Dấu hiệu xâm nhập (IOC) gì? Hãy phân loại IOC 22 27 Để quản lý IOC chữ ký tốt nhất, cần tuân theo nguyên tắc nào? Mô tả sơ phần mềm quản lý IOC chữ ký mà bạn biết 22 28 Phát xâm nhập dựa danh tiếng gì? Làm cách để phát tự động xâm nhập dựa danh sách danh tiếng? 24 29 So sánh ưu nhược điểm hệ thống IDS Snort Suricata 24 Hãy phân tích khác biệt phòng thủ theo lỗ hổng bảo mật phòng thủ theo nguy cơ? - Phòng thủ theo lỗ hổng tập trung vào “làm nào” phòng thủ theo nguy tập trung vào “ai” muốn công vào hệ thống “tại sao” họ lại thực hành động Phòng thủ theo lỗ hổng bảo mật Phòng thủ theo nguy ● Dựa vào kỹ thuật phòng chống ● Biết việc phòng chống cuối thất bại ● Tập trung vào phát xâm nhập ● Tập trung vào tập liệu: Chỉ cung cấp cho chuyên gia phân tích liệu mà họ cần họ đưa định nhanh an tồn nhiều ● Giả thiết biết tất nguy ● Phân tích cơng ngữ cảnh đơn giản ● Phụ thuộc nhiều vào phát xâm nhập dựa chữ ký ● Ít khả phát nguy chưa biết ● Biết nguy sử dụng công cụ, chiến thuật thủ tục khác ● Kết hợp thông minh từ cơng ● Tiến trình tuyến tính -> đơn giản thiếu trách nhiệm ● Rất có khả phát hoạt động cơng ngồi dấu hiệu biết ● Tiến trình theo chu trình ● Sử dụng tồn liệu nguồn Trình bày chu trình giám sát an tồn mạng - B1: thu thập liệu ● Đây phần quan trọng chu trình NSM bước thực định hình khả tổ chức việc phát xâm nhập phân tích liệu hiệu ● Các loại liệu: liệu nội dung đầy đủ, liệu phiên, liệu thống kê, liệu kiểu chuỗi gói tin, liệu cảnh báo ● Cần nhiều lao động chu trình NSM Cần nỗ lực từ lãnh đạo tổ chức, đội ngũ an ninh thô ng tin nhóm mạng, nhóm quản trị hệ thống ● Bao gồm nhiệm vụ: + Xác định vị trí có nhiều điểm yếu tồn tổ chức + Xác định nguy ảnh hưởng đến mục tiêu tổ chức + Xác định nguồn liệu có liên quan + Tinh chế nguồn liệu thu thập + Cấu hình cổng SPAN để thu thập liệu gói tin + Xây dựng lưu trữ SAN cho lưu giữ nhật ký + Cấu hình phần cứng phần mềm thu thập liệu - B2: phát xâm nhập ● Là q trình mà qua liệu thu thập kiểm tra cảnh báo tạo dựa kiện quan sát liệu thu thập không mong đợi ● Được thực thơng qua số hình thức chữ ký, bất thường, phát dựa thống kê - ● Kết tạo liệu cảnh báo ● Thường chức phần mềm với số gói phần mềm phổ biến Snort IDS Bro IDS hệ thống phát xâm nhập mạng B3: phân tích liệu ● Diễn giải xem xét liệu cảnh báo ● Cần xem xét thu th ập liệu bổ sung từ nguồn liệu khác ● Gồm : phân tích gói tin, phân tích mạng, phân tích máy chủ, phân tích phần mềm độc hại ● Là phần tốn thời gian chu trình NSM ● Một kiện thức nâng lên thành cố, bắt đầu với biện pháp ứng phó ⇨ Chu trình NSM kết thúc học kinh nghiệm việc phát xâm nhập phân tích liệu cho bất thường tiếp tục hình thành chiến lược thu thập liệu cho tổ chức Trình bày khung làm việc để thu thập liệu ACF - ACF khung làm việc xây dựng để làm giảm phức tạp việc thu thập liệu, giúp tổ chức đánh giá nguồn liệu cần tập trung trình thu tập liệu Gồm giai đoạn: a Giai đoạn 1: xác định nguy + Thay xác định nguy chung, cần xác định mối nguy cụ thể vào mục tiêu tổ chức + Trả lời câu hỏi:”tình trạng xấu liên quan đến khả sống tổ chức gì?” + Các nguy thường tác động đến: tính bảo mật, tính tồn vẹn, tính sẵn sàng + Từ nguy xác định -> thấy kỹ thuật công nghệ cần sử dụng để giải + Từ đó, xác định danh sách hệ thống bị công, dẫn đến tổn thất tài sản trí tuệ Ví dụ như: máy chủ web, máy chủ sở liệu, máy chủ lưu trữ tệp tin b Giai đoạn 2: định lượng rủi ro + Khi xác định danh sách nguy cơ, cần xác định xem nguy cần ưu tiên + Thực cách tính tốn rủi ro gây nguy tiềm ẩn: Ảnh hưởng (I) x Xác suất(P) = Rủi ro (R) ✓ Ảnh hưởng tác động nguy đến tổ chức ✓ Xác suất khả nguy xuất ✓ Mức độ rủi ro mà nguy gây an toàn mạng c Giai đoạn 3: xác định nguồn liệu + Đi từ nguy có hệ số rủi ro cao nhất, xem xét chứng thể nguy nhìn thấy + Ví dụ, để kiểm tra nguy công máy chủ lưu trữ tệp tin, cần: ✓ Xác định cấu trúc máy chủ ✓ Vị trí mạng ✓ Người có quyền truy cập ✓ Đường dẫn mà liệu vào + Dựa vào để kiểm tra hai nguồn liệu dựa mạng cà dựa máy chủ d Giai đoạn 4: chọn lọc liệu + Liên quan đến bước kỹ thuật chiều sâu cần phải xem xét tất nguồn liệu riêng để xác định giá trị + Cần phân tích chi phí/ lợi ích nguồn liệu: ✓ Tài nguyên phần cứng, phần mềm, nhân công, việc tổ chức lưu trữ liệu… ✓ Số lượng liệu thời gian lưu trữ liệu ✓ Cần phải giảm tối thiểu chi phí lưu trữ tăng tối đa độ quan tâm liệu hữu ích dùng việc phân tích + Trên sở đó, xây dựng sở hạ tầng thích hợp cho việc thu thập liệu + Dữ liệu liên tục thu thập, sử dụng cho phát xâm nhập phân tích theo phát triển hệ thống mạng tổ chức, cần phải xem xét lại chiến lược thu thập liệu Để xây dựng cảm biến ta cần quan tâm tới thành phần gì? Mô tả cách thức để xác định yêu cầu thành phần phần cứng quan trọng cảm biến ? - Để xây dựng cảm biến ta cần quan tâm tới thành phần phần cứng cảm biến hệ điều hành cảm biến - Cách thức để xác định yêu cầu thành phần phần cứng quan trọng cảm biến thiết lập cấu hình cảm biến tạm thời + Xác định vị trí cần cài đặt mạng + Sử dụng cổng SPAN trích liệu mạng để dẫn lưu lượng liệu vào thiết bị + Cài đặt công cụ thu thập liệu, phát xâm nhập phân tích liệu vào cảm biến để xác định yêu cầu hiệu suất công cụ riêng lẻ CPU: phụ thuộc vào loại cảm biến triển khai Cảm biến phát xâm nhập cần nhiều CPU Bộ nhớ: phụ thuộc vào loại cảm biến Nên để khe cắm trống để nâng cấp sau Ổ cứng lưu trữ: Để có kế hoạch hiệu cho nhu cầu lưu trữ liệu, đòi hỏi phải xác minh vị trí hoạt động cảm biến Tùy thuộc loại cảm biến, cần đánh giá lại thường xuyên Giao diện mạng: cảm biến nên có tối thiểu NIC để truy cập vào máy chủ thu thập liệu Số lương NIC phụ thuộc vào lượng băng thông gửi qua liên kết trích liệu mạng Cần đánh giá lưu lượng mạng thu thập để xác định nhu cầu NIC Cân tải: yêu cầu vùng đệm socket: Khi lưu lượng mạng đưa đến card mạng, cần xem xét vấn đề cân tải cảm biến thông qua luồng ứng dụng luồng xử lý khác Các cổng SPAN trích liệu mạng: cách đơn giản để thu gói tin đến cảm biến chức swich Mô tả cách thức để xác định vị trí đặt cảm biến mạng? - Vị trí vật lý đặt cảm biến mạng định xem bắt liệu gì, phát có liên quan đến liệu đó, mức độ mở rộng cho việc phân tích đến đâu - Mục đích: đảm bảo việc hiển thị thích hợp nguồn cung cấp liệu thiết lập tiến trình quan trọng NSM tổ chức Cách xác định vị trí đặt cảm biến: + Sử dụng tài nguyên thích hợp ✓ Nên tích cực tham gia vào trình đặt mạng giai đoạn đầu, nhằm hiểu rõ cấu trúc thiết kế sơ đồ mạng tổ chức + Các điểm vào/đi mạng ✓ Lý tưởng nên đặt cảm biến điểm vào/đi mạng cổng gateway Internet, mạng VPN truyền thống, liên kết đối tác ✓ Trong mạng nhỏ hơn, triển khai cảm biến đường biên cạnh mạng + Tầm nhìn địa Internet cục ✓ Quan trọng khả xác định thiết bị nội đối tượng cảnh báo + Đánh giá tài sản quan trọng ✓ Cần phải có quy định tài sản quan trọng cần bảo vệ ✓ Từ đặt cảm biến cách hợp lý, gần với tài sản quan trọng + Tạo sơ đồ hiển thị cảm biến ✓ Quan trọng dùng để tham khảo cho trình điều tra chuyên gia phân tích ✓ Mục tiêu sơ đồ mạng cho chun gia phân tích nhanh chóng biết tài sản mà cảm biến bảo vệ tài sản vùng bảo vệ ✓ Các thành phần cần thiết sơ đồ mạng bao gồm: ● Khái quát logic mức cao mạng ● Tất thiết bị định tuyến, proxy, gateway có ảnh hưởng đến phát xâm nhậplưu lượng mạng ● Địa IP trong/ngoài thiết bị định tuyến, proxy, gateway ● Máy trạm, máy chủ thiết bị khác - nên hiển thị theo nhóm trừ thiết bị đặc biệt quan trọng ● Dải địa IP cho nhóm máy trạm, máy chủ, thiết bị ● Tất cảm biến NSM, vùng/khu vực phù hợp mà cảm biến có trách nhiệm bảo vệ Trình bày khái niệm giám sát an toàn mạng (NSM – Network Security Monitoring) Tại cần hệ thống giám sát an toàn mạng? Giám sát an toàn mạng việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Tại cần hệ thống giám sát an toàn mạng : Internet kho liệu khổng lồ, nơi mà tất tham gia vào cung cấp, lưu trữ khai thác thông tin, liệu sẵn có hệ thống Cùng với nhiều mối nguy cơ, đe dọa mà người phải đối mặt, vượt qua khái niệm vùng lãnh thổ địa lý đến cấp độ toàn cầu Những người có hành vi xấu (muốn đánh cắp thơng tin/dữ liệu, muốn gây hại đến người dùng khác, muốn phá hủy hệ thống quan trọng tổ chức, , gọi chung tội phạm Internet) hoạt động theo tổ chức đơn lẻ Vậy để đưa luật (hay quy tắc) ép buộc tất người thực thi luật năm vừa qua, nhiều cá nhân, tổ chức tập trung trọng tâm vào việc bảo vệ máy tính liệu họ khỏi kẻ tội phạm mạng nhiều cách khác Đặc biệt, cách hiệu để thực việc thực thi giám sát an toàn mạng (network security monitoring - NSM) Hãy phân tích thấy giám sát an toàn mạng khác với ? ● Phát xâm nhập : trình mà qua liệu thu thập kiểm tra cảnh báo tạo dựa kiện quan sát liệu thu thập khôngđược mong đợi Điều thường thực thông qua số hình thức chữ ký, bất thường, phát dựa thống kê Kết tạo liệu cảnh báo Trước sử dụng thuật ngữ NSM, lĩnh vực phát thường mô tả đơn giản phát xâm nhập Mặc dù NSM xuất khoảng mười năm, thuật ngữ thường sử dụng thay cho Đây từ đồng nghĩa, mà hơn, phát xâm nhập thành phần NSM đại Việc phát xây dựng xung quanh mơ hình cũ phát xâm nhập thường có vài đặc điểm riêng biệt: - Bảo vệ ( phòng thủ ) theo lỗ hổng bảo mật : Mơ hình phổ biến kẻ cơng mạng máy tính đột nhập vào mạng cách khai thác lỗ hổng phần mềm Vì mơ hình đơn giản dễ dàng bị loại bỏ, nên phần mà hầu hết chương trình phát xâm nhập sớm xây dựng xung quanh Hệ thống phát xâm nhập (IDS) triển khai với mục tiêu phát việc khai thác lỗ hổng - Phát tập liệu quan trọng - Phần lớn dựa chữ kí - Cố gắng phân tích tự động hồn tồn ● Giám sát an toàn mạng : việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Nó xuất phát ủng hộ người/tổ chức có tư phòng thủ, ví dụ quân đội, nơi mà hoạt động có tầm quan trọng liệu cần có tính bảo mật cao NSM coi mơ hình cho lĩnh vực phát xây dựng tập đặc tính khác biệt hồn toàn so với phát xâm nhập truyền thống : - Phòng chống đến cho dù thất bại - Tập trung vào tập liệu - Tiến trình theo chu trình gồm giai đoạn : thu thập liệu , phát xâm nhập phân tích liệu - Phòng thủ theo nguy : Trong phòng thủ theo lỗ hổng tập trung vào “làm nào”, phòng thủ theo nguy tập trung vào “ai” “tại sao” Cụ thể, cần phải tự hỏi muốn công vào hệ thống mạng tổ chức, họ lại thực hành động này? Phòng thủ theo nguy cơng việc khó khăn, hai nguyên nhân: (1) tầm nhìn sâu rộng vào hệ thống mạng tổ chức (2) khả thu thập phân tích thơng tin tình báo liên quan đến mục đích khả kẻ công ⇨ Chúng ta tập trung vào so sánh hai đặc điểm khác quan trọng : Phòng thủ theo lỗ hổng bảo mật phòng thủ theo nguy hai phương pháp bảo mật mạng khác Phòng thủ theo lỗ hổng bảo mật Phòng thủ theo nguy ● Dựa vào kỹ thuật phòng chống ● Tập trung vào phát xâm nhập ● Giả thiết biết tất nguy ● Phân tích cơng ngữ cảnh đơn giản ● Phụ thuộc nhiều vào phát dựa chữ ký ● Ít khả phát nguy chưa biết ● Tiến trình tuyến tính ● Biết việc phòng chống cuối thất bại ● Tập trung vào tập liệu ● Biết nguy sử dụng công cụ, chiến thuật thủ tục khác ● Kết hợp thông minh từ công ● Sử dụng tồn liệu nguồn ● Rất có khả phát hoạt động cơng ngồi dấu hiệu biết ● Tiến trình theo chu trình Hãy phân tích thách thức triển khai hệ thống giám sát an toàn mạng Sự đời NSM phòng thủ theo nguy coi bước phát triển lớn an toàn thơng tin mạng, nhiên lĩnh vực nên mang nhiều khó khăn, thách thức Trong có số nỗ lực đưa nhằm chuẩn hóa thuật ngữ phương pháp, có chênh lệch lớn việc viết thực thực Với vấn đề an ninh mạng cụ thể, có vài ba người nói chuyện với nhau, họ sử dụng thuật ngữ khác Đây vấn đề hạn chế từ góc độ đào tạo Với người muốn thành công công việc liên quan đến an ninh mạng, họ phải có mức độ kiến thức trước bước vào thực tế Kiến thức bao gồm lý thuyết chung, thực hành yêu cầu cụ thể vấn đề Vấn đề kỹ thực hành để có hiệu tốt giám sát an tồn mạng vấn đề khó khăn Nguồn nhân lực NSM không đủ đáp ứng yêu cầu kinh nghiệm kiến thức cần thiết NSM cơng việc đòi hỏi kinh nghiệm thực mức cấp cao để hướng dẫn nhân viên sở Tuy nhiên, hầu hết nhân viên từ mức trung đến mức cao thường khó khăn việc trì cơng việc, họ kết thúc vai trò tư vấn vị trí quản lý Vấn đề cuối cần nhắc đến thách thức lớn cho phát triển NSM chi phí cần thiết để thiết lập trì chương trình NSM Chi phí bao gồm phần cứng cần thiết để thu thập phân tích lượng liệu lớn tạo từ chức NSM, phần lớn chi phí cho lực lượng lao động cần thiết làm phân tích NSM, chi phí để hỗ trợ sở hạ tầng NSM cho chun gia phân tích Trình bày ưu điểm nhược điểm hệ thống giám sát an toàn mạng Hệ thống giám sát an toàn mạng tạo với mục đích thu thập liệu, thông tin kiện an ninh Nó tính từ thiết bị đầu cuối lưu liệu tập trung , nhờ vào kết phân tích hệ thống an tồn mạng , chúng phát nguy trước công tin tặc Một phần mềm giám sát mạng người dùng nhiều Splunk Splunk cơng cụ dựa tính từ việc phân tích Log thiết kế tảng Lucence, MongoDB Công cụ chuyên tìm kiếm, giám sát phân tích data lớn ứng dụng, hệ thống, phần mềm thiết bị hạ tầng mạng – Ưu nhược điểm Splunk: + Hỗ trợ đa dạng máy trạm, Firewall, IDS/IPS, Log Event + Không ngừng nghỉ cập nhật liệu thời gian thực + Cơ chế tìm kiếm thơng minh bao gồm từ khóa, hàm cấu trúc tìm kiếm, từ bạn truy xuất thứ theo mong muốn + Tự động khắc phục cố +Cơ chế hiển thị thông tin trực quan + Cung cấp API hỗ trợ việc tạo ứng dụng Splunk người dùng Tuy nhiên Splunk dùng để giám sát hệ thống : + Khơng thích hợp với hệ thống có bảo mật cao + Thời gian tìm hiểu, sử dụng vận hành lâu + Đặc biệt phải có hệ thống riêng đủ lớn Và tất nhiên, Splunk khơng phù hợp với hệ thống có quy mơ trung bình nhỏ Ngồi Splunk có công cụ giám sát mạng Syslog-Ng, Logzilla (Php SyslogNg), HP ArcSight Logger, Nagios, dịch vụ giám sát hệ thống Loggly 10 Hệ thống phát xâm nhập trái phép (IDS - Intrusion Detection System) gì? Vẽ sơ đồ kiến trúc hệ thống IDS mơ tả tóm tắt Hệ thống phát xâm nhập – IDS hệ thống giám sát lưu lượng mạng nhằm phát hiện tượng bất thường, hoạt động trái xâm nhập phép hệ thống IDS phân biệt công từ bên (nội bộ) hay cơng từ bên ngồi (từ tin tặc) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạt chuẩn hệ thống chấp nhận thời điểm tại) để tìm dấu hiệu khác thường ● Kiến trúc hệ thống phát xâm nhập IDS : Kiến trúc hệ thống IDS bao gồm thành phần chính: - Thành phần thu thập thông tin (Information Collection): Bộ sinh kiện (Event Generator) dựa vào sách thu thập thông tin tập kiện để tạo gói tin, chuyển sang thành phần Detection phân tích - Thành phần phân tích gói tin ( Detection): Kết hợp với Thông tin hệ thống sách phát (Detection Policy), phân tích gói tin nhận được, chuyển kết cho Response - Thành phần phản hồi (Respone) Cảnh báo gói tin bất thường tới hệ thống quản trị viên Trong thành phần thành phần phân tích gói tin thành phần quan trọng thành phần cảm biến đóng(Sensor) vai trò định Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) 11 Hãy mơ tả phương pháp Signature-based Anomaly-based sử dụng hệ thống phát xâm nhập trái phép (IDS) để đảm bảo an toàn mạng a) Cơ chế phát dựa chữ kí: 10 - Là hình thức lâu đời phát xâm nhập - Duyệt liệu để tìm kết khớp với mẫu biết (Mẫu mô tả ngôn ngữ cụ thể tảng chế phát xâm nhập, chúng trở thành chữ ký) - Các mẫu chia thành mẫu nhỏ độc lập với tảng hoạt động Do phát mẫu dấu hiệu cơng - Có hai chế phát dựa chữ ký phổ biến Snort Suricata b) Cơ chế phát dựa bất thường - Là hình thức phát xâm nhập - Dựa vào quan sát cố mạng nhận biết lưu lượng bất thường thơng qua chẩn đốn thống kê - Có khả nhận mẫu cơng khác biệt với hành vi mạng thông thường -Đây chế tốt khó thực 12 So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring) với hệ thống phát xâm nhập trái phép (IDS - Intrusion Detection System) a) NSM: + Chức năng: Bảo vệ hệ thống khỏi tội phạm mạng nhiều cách khác + NSM bao gồm: Thu thập liệu, phát xâm nhập, phân tích liệu an ninh mạng + Được phân loại theo miền: Bảo vệ, dò tìm, đáp ứng/phản ứng, trì + Các đặc tính: - Phòng chống đến cho dù thất bại - Tập trung vào tập liệu - Tiến trình theo chu trình: thu thập liệu -> phát xâm nhập -> phân tích liệu -> thu thập liệu (theo vòng tròn) -Phòng thủ theo nguy + Thách thức với NSM: - Con người – chuyên gia phân tích thành phần quan trọng NSM - Chi phí thiết lập trì NSM cao - Khan nguồn nhân lực chất lượng tốt b) IDS: + Chức năng: Là hệ thống tự động phát đưa cảnh báo hoạt động xâm nhập + Giúp: - Xác nhận hệ thống bị tổn hại thiệt hại - Đánh giá cố - Lần theo dấu vết xâm nhập - Điều tra số + Các yêu cầu với IDS - Chạy liên tục với giám sát tối thiểu người - Có thể chịu lỗi - Có khả mở rộng - Có thể cấu hình theo sách bảo mật hệ thống 11 - Cho phép cấu hình động 13 Hệ thống ngăn chặn xâm nhập trái phép (IPS) gì? So sánh IPS với hệ thống phát xâm nhập trái phép (IDS) IPS hệ thống có nhiệm vụ phát hiện, phản hồi ngăn chặn xâm nhập So sánh: - IDS phát hiện, IPS phát ngăn chặn xâm nhập - IDS đòi hỏi người quản trị tốn nhiều cơng sức giám sát, ngăn chặn người quản trị phải làm IPS người quản trị khơng cần phải thực ngăn chặn - IDS sử dung chế phát xâm nhập nên để lọt cơng, thêm chế IDS tổng quát nên dẫn đến tình trạng cảnh báo nhầm IPS xây dựng nhiều chế hồn tồn tạo chế nên độ xác cao IDS 14 Hãy mơ tả kỹ cần có chun gia phân tích an tồn mạng Có kiến thức về: ● Phòng thủ theo nguy cơ, NSM, chu trình NSM ● Chồng giao thức TCP/IP ● Các giao thức tầng ứng dụng ● Phân tích gói tin ● Kiến trúc Windows ● Kiến trúc Linux ● Phân tích liệu (BASH, Grep, SED, AWK,…) ● Cách sử dụng IDS (Snort, Suricata,…) ● Chỉ dẫn công hiệu chỉnh chữ ký IDS ● Mã nguồn mở ● Phương pháp chẩn đốn phân tích ● Phân tích phần mềm mã độc 15 Trong giám sát an toàn mạng, cần thu thập loại liệu nào? Nêu vài công cụ mã nguồn mở hỗ trợ việc thu thập liệu mà anh/chị biết Các loại liệu: Dữ liệu nội dung đầy đủ Dữ liệu phiên Dữ liệu thống kê Dữ liệu kiểu chuỗi gói tin Dữ liệu cảnh báo Một vài công cụ: SiLK, snort, suricata, 16 Dữ liệu có nội dung đầy đủ (Full content data) gì? Làm để thu thập liệu có nội dung đầy đủ? ❖ Cung cấp thông tin đầy đủ tất gói liệu truyền hai điểm đầu cuối Ví dụ PCAP 12 ❖ Thu thập liệu có nội dung đầy đủ: Việc thu thập liệu thơng qua sensor, thu thập, xử lý, lưu trữ gói liệu đầy đủ cho sử dụng sau Mức thu thập tốn nhiều lưu lượng lưu trữ, phân tích - Lượng liệu thơ lưu trữ bằng: Capacity × Time Capacity tổng số băng thông tất điểm capture data Time là tổng số thời gian phải lưu trữ liệu - Lượng liệu thơ thơng thường lưu trữ: Utilization × Time Trong Utilization băng thơng trung bình tất điểm capture data - Các tool dùng cho việc thu thập full content data Tcpdump/ Ethereal/ Snort 17 Dữ liệu phiên (Session data) gì? Làm để thu thập liệu phiên? ❖ Là tóm tắt thơng tin liên lạc hai thiết bị mạng ❖ Như hội thoại luồng lưu lượng ❖ Là hình thức linh hoạt hữu ích liệu NSM ❖ Có số điểm mạnh cung cấp giá trị ❖ đáng kể cho chuyên gia phân tích NSM THU THẬP DỮ LIỆU PHIÊN ➢ Cần thành phần sinh luồng thu thập liệu ➢ Bộ sinh luồng thành phần phần cứng phần mềm, có trách nhiệm tạo luồng liệu ▪ Phân tích liệu khác, thu thập liệu mạng trực tiếp từ giao diện mạng ➢ Bộ thu thập luồng phần mềm có nhiệm vụ nhận luồng liệu từ sinh luồng lưu chúng lại theo định dạng phục hồi lại ➢ Sinh luồng liệu từ liệu FPC thu thập FPC ▪ FPC hay bị lọc, gói tin ▪ Mất liệu luồng → Phương pháp khơng khuyến khích ➢ Thường bắt trực tiếp liệu liên kết theo cách mà liệu FPC liệu cảnh báo NIDS tạo ▪ Thực phần mềm máy tính, thông qua thiết bị mạng định tuyến ▪ dạng: (1) theo thiết bị gọi "sinh theo phần cứng", (2) theo phần mềm gọi "sinh theo phần mềm" ➢ Sinh luồng liệu theo phần cứng: ▪ Có thể tạo số phiên liệu luồng cách tận dụng phần cứng có ▪ Bộ định tuyến có khả thu nhận luồng cấu hình với địa mạng thu thập liệu đích luồng liệu từ giao diện định tuyến 13 gửi tới đích ▪ Hầu hết thiết bị Cisco có khả tạo liệu NetFlow ➢ Sinh luồng liệu theo phần mềm: ▪ Đa số cài đặt NSM dựa sinh theo phần mềm ▪ Có nhiều ưu điểm vượt trội, ưu điểm lớn linh hoạt triển khai phần mềm ▪ Sinh luồng phần mềm liên quan đến: - Thực daemon cảm biến để thu thập chuyển tiếp luồng liệu dựa cấu hình cụ thể - Luồng liệu tạo từ liệu qua giao diện thu thập liệu 18 Dữ liệu kiểu chuỗi gì? Làm để thu thập liệu kiểu chuỗi? ❖ Dữ liệu kiểu chuỗi gói tin: Packet String Data – PSTR ➢ Là lựa chọn liệu mà người đọc được, lấy từ liệu FPC ➢ Có thể xuất nhiều hình thức khác ● Ví dụ, tạo liệu PSTR với định dạng cụ thể để diễn tả tiêu đề liệu từ giao thức tầng ứng dụng phổ biến (như HTTP SMTP), mà khơng có tải liệu ❖ Log liệu kiểu PSTR HTTP URL yêu cầu: ➢ Dữ liệu PSTR chứa yêu cầu HTTP URL theo thời gian thực, ứng dụng trọng chế phát danh tiếng tự động ➢ Tập trung vào tải gói tin sau tiêu đề giao thức ứng dụng: ➢ Gồm số lượng giới hạn byte nhị phân từ tải gói tin, cho biết mục đích gói tin ➢ Có thể kèm với liệu thừa ❖ THU THẬP DỮ LIỆU PSTR ➢ Đầu tiên, cần xem xét mức độ liệu PSTR muốn thu thập ➢ Lý tưởng tập trung vào việc thu thập liệu tầng ứng dụng cần thiết, nhiều từ giao thức văn rõ tốt ➢ Vì có nhiều biến thể liệu PSTR thu thập nên không gian lưu trữ liệu biến đổi lớn ➢ Nên sử dụng số phương pháp thảo luận phần trước để xác định có khơng gian lưu trữ để sử dụng cho liệu PSTR ➢ Nên xem xét khoảng thời gian liệu lưu lại o Việc lưu liệu FPC thường xem xét theo chu kỳ vài vài ngày o Duy trì liệu phiên cần xem xét theo chu kỳ quý năm o Dữ liệu PSTR nên theo chu kỳ tuần tháng để lấp đầy khoảng trống FPC liệu phiên ➢ Chú ý có biến đổi lớn đánh giá nhu cầu lưu trữ liệu PSTR, phụ thuộc vào việc kinh doanh ➢ Thu thập liệu PSTR từ mạng thu thập từ liệu FPC ➢ Tự động tạo liệu PSTR thủ công 14 ➢ Các giải pháp thủ công chậm xử lý liệu linh hoạt ➢ Thu thập liệu với URLSnarf ➢ Thu thập liệu yêu cầu HTTP cách thụ động lưu chúng định dạng log chung CLF Ví dụ: bắt lưu lượng truy cập tcpdump sau truyền qua URLsnarf với tùy chọn –p ➢ Thu thập liệu với Httpry ▪ Là cơng cụ bắt gói tin chun để hiển thị ghi lại lưu lượng HTTP ▪ Có nhiều tùy chọn xử lý liệu thu thập, cho phép bắt xuất thông tin tiêu đề HTTP theo thứ tự 19 Dữ liệu thống kê (Statistical data) gì? Làm để thu thập liệu thống kê? Hãy mô tả số công cụ sử dụng việc thu thập/lưu/theo dõi hoạt động mạng liên quan đến liệu thống kê ❖ Dữ liệu thống kê liệu tổ chức, phân tích, giải thích biểu diễn loại liệu khác Thu thập liệu thống kê: Các thiết bị mạng mô tả liệu thống kê Cisco Accounting: Để tính tốn liệu thống kê, sử dụng lệnh ip accounting nhiều mặt nạ mạng Lệnh đếm số packet mà rời interface, xếp traffic mà ta muốn xem Ví dụ thiết bị mạng router có Ethernet interfaces fa0/0 fa0/1 Mặt nạ mạng cho mạng internet mặt nạ thứ cho mạng nội Để thống kê lượng traffic đến từ Internet, bật IP accounting fa0/1 Nếu ta muốn xem lượng traffic rời khỏi mạng nội ta bận fa0/0 ❖ Tool để thu thập liệu thống kê Tcpdstat Tcpdstat chương trình để trích xuất thơng tin thống kê từ tệp tin tcpdump trace Tcpdstat đọc tập tin tcpdump cách sử dụng thư viện pcap in thống kê trace Kết bao gồm số lượng gói tin, tỷ lệ trung bình độ lệch chuẩn, số cặp nguồn địa đích nhất, cố giao thức Tcpdstat dự định cung cấp ý tưởng sơ nội dung trace Đầu dễ dàng chuyển đổi sang định dạng HTTP Nó cung cấp thơng tin hữu ích để tìm thấy bất thường dấu vết 20 Dữ liệu cảnh báo (Alert data) gì? Làm để thu thập liệu cảnh báo? ❖ Dữ liệu cảnh báo ▪ Dữ liệu cảnh báo liệu mô tả cảnh báo, trỏ đến liệu bất thường ▪ Kích thước nhỏ ❖ Thu thập liệu cảnh báo sử dụng tool sguil Sguil công cụ tốt cho công cụ giám sát an ninh mạng Nó liên kết thông báo IDS sở liệu phiên TCP/IP, tồn gói liệu thông tin Khi ta xác định cảnh báo cần điều tra thêm, sguil cung cấp 15 ta truy cập liền mạch vào liệu ta cần để định cách xử lý tình Nói cách khác sguil đơn giản kết hợp kết công cụ giám sát an ninh khác vào giao diện nhất, cung cấp cho ta nhiều thông tin khoảng thời gian ngắn - Sguil sử dụng sở liệu phụ trợ cho hầu hết liệu nó, cho phép ta thực truy vấn SQL số loại kiện an ninh khác 21 Host-based IDS Network-based IDS gì? Mơ tả số cơng nghệ tương ứng với loại mà anh/chị biết? Host-based IDS Network-based IDS gì? Hệ thống IDS sử dụng để tạo bảo mật gói vào mạng IDS thường sử dụng để phát gói mạng việc cung cấp cho bạn hiểu biết thực xảy mạng Có hai tùy chọn bổ sung IDS HIDS (Host-based IDS – hệ thống phát xâm nhập máy chủ) NIDS (Networkbased IDS - hệ thống phát xâm nhập mạng) a) Hệ thống phát xâm nhập máy chủ Sử dụng trực tiếp máy tính cá nhân, phân tích giám sát máy tính Ví dụ, có thay đổi tập tin, phát HIDS cài đặt trực tiếp hệ điều hành, khơng giống NIDS - Vị trí: cài đặt cục máy tính dạng máy tính => linh hoạt NIDS - Loại: software - Nhiệm vị: phân tích lưu lượng vào mạng chuyển tói máy tính cài đặt HIDS - Ưu điểm: + Cài đặt nhiều dạng máy tính: PC, laptop, máy chủ + Phân tích lưu lượng mạng forward + Nó chặn traffic mã hóa - Nhược điểm: + Đa số chạy hđh window + Chi phí triển khai tài nguyên ngày phình to + Mặc đinh database HIDS lưu trữ tạo local điều xem nhược điểm nấu máy tính chứa HIDS gặp trục trặc database gặp lỗi b) Hệ thống phát xâm nhập mạng NIDS Nó cài đặt máy tính có thiết bị NIDS chuyên dụng, nói cách khác NIDS chạy thiết bị riêng biệt NIDS có khả kiểm tra tất gói liệu vào mạng Nếu HIDS xem gói liệu máy tính với NIDS ta xem tất - Vị trí: mạng bên –NIDS- mạng bên - Loại: hardware software - Nhiệm vụ: chủ yếu giám sát lưu lượng vào mạng - Ưu điểm: tốn giảm dung lượng tài nguyên lưu trữ - Nhược điểm: + Có thể xảy tượng nghẽ lưu lượng mạng hoạt động mức cao 16 + NIDS giám sát thứ vận hành hđh Mô tả số công nghệ tương ứng a) NIDS - Snort: NIDS IDS trạng thái, tập hợp lạ ghi nhận công dựa phân đoạn TCP Snort bao gồm nhiều thành phần, với phần có chức riêng Các phần là: • Mơđun giải mã gói tin (Packet Decoder) • Mơđun tiền xử lý (Preprocessors) • Mơđun phát (Detection Engine) • Mơđun log cảnh báo (Logging and Alerting System) • Mơđun kết xuất thơng tin (Output Module) • Kiến trúc Snort mơ tả hình sau: b) HIDS - Thiết bị giám sát logfile (logfile monitors), thiết bị cố gắng phát xâm nhâp cách phân tích log kiên hệ thống Ví dụ: thiết bị giám sát logfile tìm kiếm logfile ghi nhận truy cập Apache để truy tìm đặc điểm yêu cầu /cgi-bin/ Công nghệ bị giới hạn tìm kiếm kiện log - thứ mà kẻ công dễ để thay Thêm vào đó, hệ thống bỏ qua kiện hệ thống cấp thấp mà ghi lại hoạt động cấp cao Ví dụ: HIDS bỏ qua kể công đọc nội dung file /etc/passwd Tuy nhiên hệ thống giám sát host logfile hoàn toàn đưa lại số thuận tiên cho việc giám sát với công cụ hệ thống xây dựng HIDS có hệ thống chuyển dịch tổng hợp an tồn tới server trung tâm, khơng giống syslog thông thường khác 17 22 Phần mềm Snort sử dụng để làm gì? Hãy mơ tả tóm tắt chức phần mềm này? Phần mềm Snort hệ thống phát xâm nhập mạng(NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập, sử dụng để quét liệu di chuyển mạng Snort cung cấp khả phát xâm nhaao theo thời gian thực Ngoài Snort biết HIDS cài đặt host cụ thể để phát công nhắm đến host Snort miêu tả bình chân khơng, lưu giữ tất gói tin cho phép bạn thực hiệ nhiều tác vụ giữ gói tin Ta dùng Snort chương trình bắt gói tin, lưu trữ kiểm tra sau xếp chúng, từ đó, so sánh với đặc thù hiểm họa để biết hiểm họa nhằm phát xâm nhập Snort sử dụng luật lưu trữ file text, có thẻ chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp tập luật nhằm bắt giữ liệu Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập Các luật Snort thay đổi Câu 23: Viết luật Snort để phát có gói tin ping đến hệ thống mạng Giải thích tham số luật Giải thích tham số: + alert- cảnh báo: tạo cảnh báo sử dụng phương pháp lựa chọn trước vầ sau ghi log lại gói tin + tcp: giao thức Có loại giao thức mà Snort phân tích hành vi bất thường tcp, udp, icmp, ip + any … -> any …: địa IP Các địa dùng để kiểm tra nơi nơi đến gói tin Địa IP địa máy đơn địa lớp mạng Từ khóa ‘any’ sử dụng để định nghĩa địa Trong hai địa IP tập luật Snort có địa IP nguồn vào địa IP đích, việc xác định đâu nguồn đâu đích phụ thuộc vào ‘->’ + … 443 -> … any: cổng, định nghĩa nhiều cách Với từ khóa ‘any’ giống địa IP để sử dụng cổng + ->: điều hướng – đâu hướng nguồn, đâu hướng đích Phần địa IP port phía bên trái toán tử gọi địa port nguồn, phần bên phải coi địa đích port đích + msg:"Facebook web traffic detected": từ khóa hữu ích muốn gán thêm chuỗi văn vào log cảnh báo + content:"facebook.com": thiết lập luật cho phép tìm kiếm chuỗi cụ thể phần tải gói tin kích hoạt cảnh báo dựa liệu 18 + sid:10000: sử dụng để xách định luật Snort Tùy chọn cho phép output plugin định danh luật cách dễ dàng 24 Viết luật Snort để phát người dùng truy cập trang web vietnamnet.vn Giải thích tham số luật alert tcp any 80 -> any any ( \ msg:"vietnamnet.vn web traffic detected"; \ content:" vietnamnet.vn "; sid:10000; ) Giải thích tham số: + alert- cảnh báo: tạo cảnh báo sử dụng phương pháp lựa chọn trước vầ sau ghi log lại gói tin + tcp: giao thức Có loại giao thức mà Snort phân tích hành vi bất thường tcp, udp, icmp, ip + any … -> any …: địa IP Các địa dùng để kiểm tra nơi nơi đến gói tin Địa IP địa máy đơn địa lớp mạng Từ khóa ‘any’ sử dụng để định nghĩa địa Trong hai địa IP tập luật Snort có địa IP nguồn vào địa IP đích, việc xác định đâu nguồn đâu đích phụ thuộc vào ‘->’ + … 80 -> … any: cổng, định nghĩa nhiều cách Với từ khóa ‘any’ giống địa IP để sử dụng cổng + ->: điều hướng – đâu hướng nguồn, đâu hướng đích Phần địa IP port phía bên trái tốn tử gọi địa port nguồn, phần bên phải coi địa đích port đích msg:"vietnamnet.vn web traffic detected": từ khóa hữu ích muốn gán thêm chuỗi văn vào log cảnh báo + content:" vietnamnet.vn ": thiết lập luật cho phép tìm kiếm chuỗi cụ thể phần tải gói tin kích hoạt cảnh báo dựa liệu + sid:10000: sử dụng để xách định luật Snort Tùy chọn cho phép output plugin định danh luật cách dễ dàng 25 Viết luật Snort để phát công quét mạng kiểu SYN SCAN Giải thích tham số luật alert tcp any any -> any any (flags: SA; msg:"SYNC-ACK packet detected";) Giải thích tham số: + alert- cảnh báo: tạo cảnh báo sử dụng phương pháp lựa chọn trước vầ sau ghi log lại gói tin + tcp: giao thức Có loại giao thức mà Snort phân tích hành vi bất thường tcp, udp, icmp, ip + any … -> any …: địa IP Các địa dùng để kiểm tra nơi nơi đến gói tin Địa IP địa máy đơn địa lớp mạng Từ khóa ‘any’ sử dụng để định nghĩa địa Trong hai địa IP tập luật Snort có địa IP nguồn vào địa IP đích, việc xác định đâu nguồn đâu đích phụ thuộc vào ‘->’ + … any -> … any: cổng, định nghĩa nhiều cách Với từ khóa ‘any’ 19 giống địa IP để sử dụng cổng + ->: điều hướng – đâu hướng nguồn, đâu hướng đích Phần địa IP port phía bên trái toán tử gọi địa port nguồn, phần bên phải coi địa đích port đích + msg:"SYNC-ACK packet detected": từ khóa hữu ích muốn gán thêm chuỗi văn vào log cảnh báo + flags: SA : Từ khóa flag sử dụng để kiểm tra bit trường TCP Flag TCP Header Các bit gồm: F FIN - Finish (LSB in TCP Flags byte) S SYN - Synchronize sequence numbers R RST - Reset P PSH – Push A ACK – Acknowledgment U URG – Urgent 26 Dấu hiệu xâm nhập (IOC) gì? Hãy phân loại IOC ❖ Indicators of Compromise – IOC: thông tin sử dụng để mô tả khách quan xâm nhập mạng, độc lập tảng Ví dụ: địa IP máy chủ C&C, hay tập hành vi cho thấy email server SMTP relay độc hại ● Được trình bày theo nhiều cách thức định dạng khác để sử dụng chế phát khác ● Nếu sử dụng ngôn ngữ định dạng cụ thể trở thành phần chữ ký ❖ Phân loại IOC ● IOC cho mạng: - Là mẫu thơng tin bắt kết nối mạng máy chủ, mơ tả khách qauan xâm nhập - Ví dụ: đị IPv4, địa IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,… ● IOC cho máy tính: - Là mẫu thơng tin tìm thấy máy tính, mơ tả khách quan xâm nhập - Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry),… 27 Để quản lý IOC chữ ký tốt nhất, cần tuân theo nguyên tắc nào? Mô tả sơ phần mềm quản lý IOC chữ ký mà bạn biết 20 - Các nguyên tắc để quản lý IOC chữ ký tốt nhất: ● Định dạng liệu thô: ● Dễ tiếp cận: chuyên gia truy cập chỉnh sửa IOC chữ ký dễ dàng ● Dễ tìm kiếm: nên tồn định dạng dễ tìm kiếm ● Dễ theo dõi sửa đổi ● Theo dõi việc triển khai ● Sao lưu liệu - Phần mềm quản lý IOC chữ ký: Snort NIDS Snort nhân liệu cách phân tích tệp tin PCAP cách lấy từ giao diện mạng giám sát cảm biến Khi Snort nhận liệu này, bước phân tích giải mã gói tin Trong thực tế, loạt giải mã phân tích liệu gói bình thường hóa liệu để thích hợp cho việc phân tích tiền xử lý công cụ phát Khi liệu xử lý giải mã gói tin, gửi đến tiền xử ly Snort Có hai loại tiền xử ly Loại sử dụng cho mục đich phát xâm nhập Loại thứ hai bao gồm tiền xử lý sử dụng để sửa đổi liệu gói, cho phân tích tốt cac công cụ phát Sau kết thúc tiền xử lý, liệu chuyển tới engine phát kiến truc Snort Engine phat có trách nhiệm phân tích cú pháp luật xác định liệu điều kiện xác định cac luật phu hợp với lưu lượng phân tích hay khơng Khi engine phát xác định lưu lượng phù hợp với luật, chuyển liệu qua plugin đầu xác định tệp tin cấu hinh Snort, để từ đo chun gia phân tích thơng báo cảnh bao Snort ghi log lại theo nhiều định dạng, bao gồm thông báo đơn dòng tệp tin văn bản, tệp tin CSV, định dạng PCAP chứa lưu lượng phù hợp với luật, định dạng XML, Syslog, 21 28 Phát xâm nhập dựa danh tiếng gì? Làm cách để phát tự động xâm nhập dựa danh sách danh tiếng? ❖ Phát dựa danh tiếng ● Là tập phát dựa chữ ký ● Phát thông tin liên lạc máy tính bảo vệ mạng máy tính Internet bị nhiễm độc tham gia vào hành động độc hại trước ● Kết phát dựa chữ ký đơn giản địa IP tên miền ❖ Cách để phát tự động xâm nhập dựa danh sách danh tiếng - Phát danh tiếng IP với Snort ● Sử dụng tiền xử lý danh tiếng ● Cần tạo tệp tin gọi preprocessor_rules /etc/NSM/rules cảm biến SO alert ( msg: “REPUTATION_EVENT_BLACKLIST"; sid: 1;gid: 136; rev: 1; metadata: rule-type preproc ;classtype:bad-unknown; ) ● Chỉnh sửa: /etc/nsm/sensor_name/snort.conf ● Bổ sung IP vào: /etc/nsm/rules/black_list.rules - Phát danh tiếng với Suricata: ● Sửa đổi file cấu hình Suricata.yaml , dựa danh sách thủ công giống Snort - Phát danh tiếng với Bro: ● Thích hợp cho việc phát số loại IOC, chẳng hạn địa IP, tên miền, địa thư điện tử chứng SSL nhờ sử dụng tính xử lý thơng minh có sẵn gọi intel framework 29 So sánh ưu nhược điểm hệ thống IDS Snort Suricata ● Ưu điểm - Cả Suricata Snort có khả phát xâm nhập hệ thống - “Trong suốt” với người sử dụng lẫn kẻ công - Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng - Tránh cơng DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mơ hình OSI) - Độc lập với hệ điều hành ● Nhược điểm - Cả tạo cảnh báo sai, nguyên nhân chủ yếu điểm yếu rules sử dụng - Khơng thể phân tích traffic encrypt ( ví dụ: SSL, SSH, IPSec,…) - Đòi hỏi phải cập nhật signature để thực an tồn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Khơng cho biết việc attack có thành cơng hay không - Giới hạn bang thông 22 - 23