Đang tải... (xem toàn văn)
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới thời đại công nghệ số. Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam. Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn. Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu. Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa, và các mạng riêng ảo . Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu những tấn công bất hợp pháp. Chính vì vậy em chọn đề tài này : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC”
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY NGÀNH: TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH ĐỀ TÀI : XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC GIẢNG VIÊN HƯỚNG DẪN : THS LƯƠNG HOÀNG ANH SINH VIÊN THỰC HIỆN : TRẦN THỊ DUNG LỚP : 66DCTM22 MÃ SINH VIÊN : 66DCTM22121 HÀ NỘI - 2019 Xây dựng hệ thống HIDS sử dụng OSSEC LỜI MỞ ĐẦU Cùng với tiến trình phát triển chung kinh tế tồn cầu, Internet đời ví cách mạng giới kinh doanh truyền thông Internet thay đổi quan điểm học tập, kinh doanh đưa đến với thời đại - thời đại công nghệ số Internet trở thành mơi trường kinh doanh xố ranh giới quốc gia tạo thị trường lớn lịch sử nhận loại, với phát triển vũ bão mạng toàn cầu Việt Nam Bên cạnh thành tựu to lớn mạng Internet mang lại cho nhân loại mà đạt được, nỗi lo an tồn thơng tin ngày quan tâm Hàng ngày nghe nhiều thông tin công vào hệ thống thông tin quan trọng với thiệt hại lớn tài chính, thơng tin riêng tư cá nhân tổ chức Mục tiêu cơng mạng đa dạng, từ vấn đề cá nhân, mục đích xấu kinh doanh mục tiêu trị với tầm ảnh hưởng nhiều quốc gia Tội phạm an ninh mạng ngày phát triển số lượng, quy mô mức độ nguy hiểm Do vấn đề bảo mật, an ninh mạng luôn cá nhân, công ty hay tổ chức đặt lên hàng đầu Với khả kết nối nhiều máy tính mạng, bảo mật trở thành vấn đề lớn khó khăn hết môi trường doanh nghiệp Hacker kẻ xâm nhập dễ dàng đạt nhiều mục đích việc phá hủy hệ thống mạng dịch vụ web Rất nhiều hãng có uy tín bảo mật có nhiều giải pháp để hạn chế công mạng phương thức triển khai nỗ lực bảo vệ hạ tầng mạng truyền thông qua mạng internet bao gồm firewall, phương thức mã hóa, mạng riêng ảo Phát xâm nhập kỹ thuật liên quan áp dụng Các phương thức phát xâm nhập xuất vài năm gần Với phương pháp người quản trị thu thập sử dụng thông tin từ dạng công chưa biết phát công diễn Những thông tin thu thập giúp người quản trị gia cố an ninh mạng, đưa sách an tồn cho hệ thống nhằm giảm thiểu cơng bất hợp pháp Chính em chọn đề tài : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC” LỜI CAM ĐOAN SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC Em xin cam đoạn: Những nội dung khóa luận em thực hướng dẫn trực tiếp thầy giáo Ths Lương Hoàng Anh Mọi tham khảo dùng khóa luận trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm LỜI CẢM ƠN Lời em xin gửi lời tri ân biết ơn sâu sắc đến Thầy Lương Hoàng Anh, người hướng dẫn đồ án tốt nghiệp tận tình bảo, động viên, khích lệ em suốt trình nghiên cứu thực đề tài Em xin cảm ơn thầy cô Khoa Công nghệ thông tin, trường Đại học Công nghệ Giao Thông Vận Tải, đặc biệt thầy cô mơn Truyền thơng mạng máy tính nhiệt tình giảng dạy tạo điều kiện giúp đỡ em trình học tập nghiên cứu Cuối em xin chân thành cám ơn người thân gia đình tồn thể bạn bè ln giúp đỡ động viên nhóm lúc gặp phải khó khăn trình làm đồ án Xin chân thành cảm ơn! SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC MỤC LỤC LỜI MỞ ĐẦU LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH ẢNH DANH SÁCH TỪ VIẾT TẮT .9 CHƯƠNG : TỔNG QUAN .11 1.1 Lý chọn đề tài 11 1.2 Mục tiêu đề tài .11 1.3 Giới hạn phạm vi đề tài .11 1.4 Kết dự kiến đạt .11 1.5 Công cụ sử dụng 12 CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 13 2.1 Những mối đe dọa bảo mật 13 2.1.1.Mối đe dọa khơng có cấu trúc 13 2.1.2.Mối đe dọa có cấu trúc (Structured Threat) .13 2.1.3 Mối đe dọa từ bên (External Threat) 14 2.1.4 Mối đe dọa từ bên (Internal Threat) 14 2.2 Các phương pháp xâm nhập hệ thống 14 2.2.1 Phương thức đánh cắp thông tin Packet Sniffers .14 2.2.2 Phương thức công mật Password Attack 15 2.2.3 Phương thức công Mail Relay 15 2.2.4 Phương thức công hệ thống DNS .15 2.2.5 Phương thức công Man-in-the-middle attack .15 2.2.6 Port Scan Ping Sweep 16 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 2.2.7 Phương thức công lớp ứng dụng 16 2.2.8 Phương thức công Virus Trojan Horse 16 2.3 Tổng quan hệ thống phát xâm nhập IDS 17 2.3.1 Giới thiệu IDS .17 2.3.2 Định nghĩa IDS 17 2.3.3 Lợi ích IDS 19 2.3.4 Phân biệt hệ thống IDS 19 2.3.5 Chức IDS 20 2.3.6 Kiến trúc hệ thống phát xâm nhập IDS 21 2.3.7 Phân loại IDS 24 CHƯƠNG TÌM HIỂU VỀ HIDS 29 3.1 Khái niệm HIDS(Host-Based IDS) .29 3.2 Cách thức hoạt động Host-Based Intrusion Detection HIDS 29 3.2.1 Phát chữ ký (Signature Detection) 30 3.2.2 Phát phân tích trạng thái giao thức (Stateful Protocol Analysis Detection) 30 3.2.3 Giám sát Logfile (Monitoring logfile) .31 3.2.4 Giám sát tính toàn vẹn .32 3.3 Triển khai hệ thống HIDS 34 3.4 So sánh HIDS NIDS .36 3.5 Ưu điểm hạn chế HIDS 37 3.5.1 Ưu điểm 37 3.5.2 Hạn chế 38 CHƯƠNG GIỚI THIỆU VỀ MÃ NGUỒN MỞ OSSEC .40 4.1 Khái niệm 40 4.2 Các tính bật OSSEC là: .40 4.3 Các thành phần OSSEC 42 4.3.1 Server 42 4.3.2 Agent 43 4.4 Các luật OSSEC 43 4.4.1 Tổ chức luật .43 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 4.4.2 Quy trình xử lý phân tích OSSEC HIDS 47 4.5 Phương thức hoạt động luật OSSEC 48 4.6 Kiểm tra tính tồn vẹn hệ thống phát rootkit 50 4.7 Phản ứng chủ động OSSEC .50 CHƯƠNG MÔ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC 52 5.1.Triển khai hệ thống 52 5.1.1.Triển khai cài đặt hệ thống 52 5.1.2 Triển khai cấu hình 52 5.2 Các chức hệ quản lý luật 55 5.3.Ưu điểm hạn chế hệ thống 57 5.3.1 Ưu điểm 57 5.3.2 Hạn chế .57 KẾT QUẢ ĐẠT ĐƯỢC 58 DANH MỤC TÀI LIỆU THAM KHẢO 59 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC DANH MỤC HÌNH ẢNH Hình 2.1: Các vị trí đặt IDS mạng 19 Hình 2.2: Thành phần IDS 22 Hình 2.3: Giải pháp kiến trúc đa nhân .23 Hình 2.4: Hoạt động IDS .24 Hình 2.5: Mơ hình Host Intrusion Detection System (HIDS) 25 Hình 2.6: Mơ hình Network Intrusion Detection System (NIDS) 26 Hình 3.1: Mơ hình kết hợp HIDS NIDS 34 Hình 3.2: Mơ hình so sánh HIDS NIDS .36 Hình 4.1: Các thành phần hoạt động OSSEC 41 Hình 2.4: Sơ đồ trình xử lý ruscale OSSEC .46 Hình 5.1: Trích xuất khóa từ OSSEC Server 52 Hình 5.2: Trích xuất khóa từ OSSEC server 53 Hình 5.3: Trích xuất khóa từ OSSEC server 54 Hình 5.4: Trích xuất khóa từ OSSEC server 54 Hình 5.5: Trích xuất khóa từ OSSEC server 55 Hình 5.6: Giao hệ thống quản lý 56 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC DANH SÁCH TỪ VIẾT TẮT Từ viết tắt Diễn giải IP Internet Protocol IDS Intrusion Detection System HIDS Host-based Intrusion Detection System NIDS Network Intrusion Detection System ICMP Internet Control Message Protocol VPN Virtual Private Network ACL Access Control List URL Uniform Resource Locator SQL Structured Query Language FTP File Transfer Protocol HTTPS Hypertext Transfer Protocol Secure DHCP Dynamic Host Configuration Protocol DNS Domain Name System SSL Secure Sockets Layer POP3 Post Office Protocol DOS Disk Operating System MITM Man-in-the-Middle WAN Wide Area Network LAN Local Area Network MAC Media Access Control WIDS Wireless IDS SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC HTML HyperText Markup Language CSS Cascading Style Sheets PHP Hypertext Preprocessor CHƯƠNG : TỔNG QUAN 1.1 Lý chọn đề tài Bảo mật vấn đề lớn tất mạng mội trường doanh nghiệp Tin tặc kẻ xâm nhập nhiều lần thành công việc xâm nhập vào mạng công ty đem ngồi nhiều thơng tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng giao tiếp internet : sử dụng Firewall, VPN… có hệ thống phát ngăn chặn xâm nhập Phát xâm nhập công nghệ phướng thức dùng để phát hành động khả nghi cà Host mạng Các phương pháp phát xâm nhập bắt đầu xuất năm gần đây, sử dụng phương thức phát xâm nhập , bạn thu thập, sử dụng thông tin từ laoij công biết để tìm cảnh báo gắng cơng vào mạng hay máy cá nhân Vì vậy,là sinh viên trang bị kiến thức ngành hệ thống thông tin với kiến thức tiếp thu vận dụng lý thuyết vào cơng việc thực tế nên em chọn đề tài “Xây dựng hệ thống HIDS sử dụng OSSEC” để thực đồ án tốt nghiệp với mục đích xây dựng hệ thống phát phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệ thống mạng cho doanh nghiệp cá nhân 1.2 Mục tiêu đề tài Xây dựng hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 1.3 Giới hạn phạm vi đề tài - Tìm hiểu hệ thống ngăn chặn phát xâm nhập - Tìm hiểu kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để công mạng nội Ứng dụng Ossec vào việc xây dựng hệ thống phát chống xâm nhập ( Ossec cung cấp khả phát xâm nhập dựa máy chủ toàn diện nhiều tảng : Linux, Solaris , AIX, HP-UX, BSD, Windown, Mac VMware ESX 1.4 Kết dự kiến đạt - Nắm kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để công - Demo q trình xâm nhập phòng chống xâm nhập - Xây dựng hệ thống HIDS sử dụng mã nguồn mở OSSEC - Hoàn thành báo cáo chi tiết đồ án tốt nghiệp 1.5 Công cụ sử dụng - Sử dụng phầm mềm OSSEC HIDS cài đặt Windown Ubutu 15.04 SVTH: Trần Thị Dung 10 Xây dựng hệ thống HIDS sử dụng OSSEC 22 23 24 25 26 27 28 29 30 31 ms-exchange_rules.xml ms-se_rules.xml netscreenfw_rules.xml ms_ftpd_rules.xml mysql_rules.xml named_rules.xml nginx_rules.xml openbsd_rules.xml ossec_rules.xml pam_rules.xml Microsoft Exchange server rules Microsoft SE rules Juniper Netscreen fi rewall rules Microsoft FTP server rules MySQL database rules Rules for the named daemon OSSEC server nginx rules Openbsd server rules Common OSSEC HIDS rules Pluggable Authentication Module (PAM) 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 php_rules.xml pix_rules.xml policy_rules.xml postfix_rules.xml postgresql_rules.xml proftpd_rules.xml pure-ftpd_rules.xml racoon_rules.xml roundcube_rules.xml rules_config.xml sendmail_rules.xml squid_rules.xml smbd_rules.xml sonicwall_rules.xml spamd_rules.xml sshd_rules.xml symantec-av_rules.xml symantec-ws_rules.xml syslog_rules.xml solaris_bsm_rules.xml telnetd_rules.xml trend-osce_rules.xml vmpop3d_rules.xml vmware_rules.xml vpn_concentrator_rules.xm rules PHP rules Cisco PIX fi rewall rules Policy specifi c event rules Postfi x mail transfer agent rules PostgerSQL database rules ProFTPd FTP server rules Pure-FTPd FTP server rules Racoon VPN device rules Roundcube rules OSSEC HIDS Rules confi guration rules Sendmail mail transfer agent rules Squid proxy server rules Rules for the smbd daemon SonicWall fi rewall rules Rules for the spamd spam-deferral daemon Secure Shell (SSH) network protocol rules Symantec Antivirus rules Symantec Web Security rules Common syslog rules Solaris bsm rules Rules for the telnetd daemon Trend-osce antivirus rules Vmpop3d rules Vmware rules Cisco VPN Concentrator rules 57 l vpopmail_rules.xml Rules for the vpopmail virtual mail domain vsftpd_rules.xml web_rules.xml web_appsec_rules.xml wordpress_rules.xml zeus_rules.xml application Rules for the vsftpd FTP server Common web server rules Web appsec rules Wordpress rules Zeus web server rules 58 59 60 62 63 SVTH: Trần Thị Dung 39 Xây dựng hệ thống HIDS sử dụng OSSEC Mỗi file chứa nhiều rule định nghĩa cho ứng dụng cho thiết bị Cung cấp 700 rule cho loại từ ProFTPD log Snort NIDS, Cisco VPN, kiểm tra tính tồn vẹn OSSEC HIDS dò tìm rootkit Cùng với rule, có giải mã, định nghĩa file decoders.xml thư mục /var/ossec/etc Bộ giải mã thiết kế để trích xuất liệu từ kiện nhận từ nhiều nguồn Mỗi rule gán số tạo Đối với loại rule, dãy số gán để đảm bảo OSSEC HIDS giải mã phát hành không bị lỗi ghi đè Trong hệ thống OSSEC, rule người dùng tạo gọi Local rule Các local rule nằm khoảng từ 100.000 đến 119.999 Nếu bạn chọn số khác, gây xung đột với rule OSSEC Quy định cụ thể dãy số sau: - Từ 00000-50799 : số định nghĩa hệ thống Từ 60000-99999 : dành để mở rộng cho hệ thống Từ 100000: 109999: người dùng định nghĩa 4.4.2 Quy trình xử lý phân tích OSSEC HIDS Hình 2.9: Sơ đồ trình xử lý rule OSSEC SVTH: Trần Thị Dung 40 Xây dựng hệ thống HIDS sử dụng OSSEC Chi tiết trình xử lý sau: - Event: Khi có kiện đến hệ thống bắt đầu trình tiền xử lý giải mã trích xuất thơng tin liên quan từ Sau liệu chiết xuất, công cụ phù hợp với quy tắc gọi để kiểm tra - cảnh báo hệ thống cần cảnh báo Pre-decoding: Quá trình tiền giải mã đơn giản trích xuất thơng tin tĩnh từ cột thơng tin Nó thường sử dụng với thông điệp đăng nhập theo giao thức phổ dụng lịch sử truy nhập hệ thống Các thông tin trích giai đoạn thường thơng tin thời gian, - ngày tháng, chương trình, tên máy tên, thông điệp đăng nhập Decoding: Mục tiêu giải mã để trích xuất thơng tin khơng tĩnh từ kiện mà sử dụng rule q trình sau Nói chung, - trích xuất thơng tin địa chỉ, tên người dùng, liệu tương tự Rule matching: Giai đoạn kiểm tra xem có khớp với rule - định nghĩa hay không để đưa định xử lý Alerting: Tùy vào kết sau xem xét, lưu vào sở liệu cảnh báo qua thư điện tử phản ứng lại SVTH: Trần Thị Dung 41 Xây dựng hệ thống HIDS sử dụng OSSEC 4.5 Phương thức hoạt động luật OSSEC OSSEC HIDS đánh giá luật để xem kiện nhận thuộc vào cảnh báo xếp tăng dần Có hai loại quy tắc OSSEC HIDS: Atomic Composite Quy định Atomic dựa kiện mà khơng có tương quan Ví dụ, nhìn thấy xác thực thất bại, cảnh báo kiện Các quy tắc tổng hợp dựa nhiều kiện Ví dụ, bạn muốn cảnh báo sau 10 lần xác thực thất bại, từ nguồn địa IP, lúc nguyên tắc tổng hợp yêu cầu Atomic: Các luật định nghĩa cách sử dụng thẻ thẻ phải có hai thuộc tính, số mức độ Chỉ số định danh cho chữ ký mức độ mức độ nghiêm trọng cảnh báo.Trong ví dụ sau đây, chúng tơi tạo hai luật với luật khác số mức độ 5711 1.1.1.1 Example of rule that will ignore sshd failed logins from IP 1.1.1.1. OSSEC HIDS phân làm 15 cấp độ từ 0-15 thể cấp độ nghiêm trọng kiện cho nguy hiểm - Cấp 0: Bỏ qua, khơng có hành động Sử dụng chủ yếu để tránh báo động giả Những luật quét trước tất luật khác bao gồm kiện khơng có liên quan đến bảo mật - Cấp 2: Hệ thống thông báo ưu tiên thấp Hệ thống thông báo thông báo trạng thái khơng có liên quan đến bảo mật - Cấp 3: Các kiện thành công / xác thực Các cố gắng đăng nhập thành công, kiện tường lửa cho phép, - Cấp 4: Hệ thống lỗi ưu tiên thấp SVTH: Trần Thị Dung 42 Xây dựng hệ thống HIDS sử dụng OSSEC Lỗi liên quan đến cấu hình sai thiết bị, ứng dụng khơng sử dụng Chúng khơng có liên quan đến bảo mật thường tạo cài đặt mặc định phần mềm thử nghiệm - Cấp 5: Lỗi người dùng tạo Mật lỗi, hành động bị từ chối, Các thông điệp thường khơng có bảo mật thích hợp - Cấp 6: Các cơng có liên quan thấp Cho biết sâu máy tính vi-rút khơng có mối đe dọa cho hệ thống sâu hệ điều hành Windows công máy chủ Linux - Cấp 9: Lỗi từ nguồn không hợp lệ Bao gồm nỗ lực để đăng nhập người sử dụng không rõ không hợp lệ nguồn Các tin nhắn có liên quan đến bảo mật đặc biệt lặp lặp lại Chúng bao gồm lỗi liên quan đến tài khoản admin root - Cấp 10: Lỗi phát sinh từ người dùng nhiều lần Bao gồm nhiều mật sai, nhiều lần đăng nhập thất bại, Chúng cho biết cơng, là người sử dụng quên mật họ - Cấp 12: Sự kiện quan trọng – cấp độ cao Bao gồm lỗi tin nhắn cảnh báo từ hệ thống, hạt nhân, …Chúng cho biết cơng chống lại ứng dụng cụ thể - Cấp 13: Lỗi bất thường (Quan trọng – cấp độ cao) Các mẫu công phổ biến cố gắng tràn đệm, lịch sử truy nhập lớn so với bình thường, chuỗi URL (Universal Resource Locator- Tham chiếu tới tài nguyên mạng) lớn so với bình thường - Cấp 14: Sự kiện bảo mật (Quan trọng _ cấp độ cao) Thông thường kết mối tương quan quy tắc công nhiều mang tính chất cơng - Cấp 15: Tấn công thành công Khả báo động giả thấp Cấp bách cần xử lý gấp Composite Các quy tắc tổng hợp có nghĩa phải phù hợp với kiện với luật nhận OSSEC HIDS Các tùy chọn tần số quy định cụ thể bao SVTH: Trần Thị Dung 43 Xây dựng hệ thống HIDS sử dụng OSSEC nhiêu lần kiện/mẫu phải xảy trước quy tắc tạo cảnh báo Ví dụ, bạn tạo quy tắc hỗn hợp, tạo cảnh báo mức độ nghiêm trọng cao sau mật không thành công khoảng thời gian 10 phút 4.3 Kiểm tra tính tồn vẹn hệ thống phát rootkit Kiểm tra tính tồn vẹn phần tất yếu tất công nghệ HIDS thường thực cách so sánh checksum tập tin so với checksum tập tin sau chỉnh sửa OSSEC HIDS kiểm tra thay đổi checksum MD5/SHA1 tập tin hệ thống khóa registry Windows Các agent quét hệ thống định kỳ theo theo khoảng thời gian người quản trị định sau gửi checksum máy chủ OSSEC Máy chủ lưu checksum tìm kiếm thay đổi cách so sánh checksum nhận với lưu Một cảnh báo gửi có thay đổi Kiểm tra tính tồn vẹn đảm bảo ứng dụng độc hại thay file hệ thống quan trọng sửa đổi Các ứng dụng độc hại, cài đặt thường để lại dấu vết hệ thống trình cài đặt Các phần mềm độc hại thường cố gắng phá vỡ hoạt động bình thường hệ thống Rootkit ví dụ điển hình phần mềm độc hại hoạt động theo cách Rootkit thường thiết kế để chép file thực thi hệ thống 4.6 Phản ứng chủ động OSSEC Phản ứng chủ động nhằm ngăn chặn kiểm soát để tránh khỏi công Các vi phạm không dấu hiệu mang hình thức cơng, hành động vi phạm sách đơn giản truy cập trái phép Các hành động phản ứng thường trường hợp sau: - Ngăn chặn hủy bỏ tường lửa : Hành động cách đơn giản để từ chối truy cập tới máy chủ thiết bị Tùy thuộc vào thông tin hành vi vi phạm, điều ngăn chặn địa IP hồn tồn - ngăn chặn truy cập đến dịch vụ đặc biệt Đưa vào dạng cần kiểm duyệt: Đặc điểm hành động hạn chế truy cập phân mạng cô lập Thông thường, điều thực trình cho phép máy chủ cho giải pháp (VPN) mạng riêng ảo giải pháp điều khiển truy cập mạng (NAC) Tuy nhiên, máy chủ cấp trước cách ly dựa hành vi vi phạm Mục SVTH: Trần Thị Dung 44 Xây dựng hệ thống HIDS sử dụng OSSEC tiêu chung với hành động kiểm dịch để chuyển hướng máy chủ để phân mạng dịch vụ có sẵn để khắc phục vi phạm Nếu máy chủ không đáp ứng yêu cầu vá lỗi, vá dành riêng máy chủ mạng kiểm dịch có sẵn để cung cấp vá lỗi Sau khắc phục, máy chủ phép truy cập vào toàn mạng Mạng kiểm duyệt nguồn tài nguyên có giá trị để điều tra sâu kẻ công tự động chống lại mạng bạn Honeypots cấu hình mạng kiểm duyệt, mơ máy chủ bạn, để xem làm kẻ công tương tác với máy chủ Thông tin cung cấp cơng cụ có giá trị đến thời gian để điều chỉnh quy tắc - thiết bị bảo mật bạn toàn mạng bạn Biểu diễn lưu lượng : Hành động hữu ích cho Worm, từ chối dịch vụ, từ chối dịch vụ phân tán (DDoS) kiểu cơng mà khơng muốn ngăn - chặn hồn tồn dịch vụ Khóa tài khoản: hành động sử dụng vi phạm quy cho người dùng cụ thể mà quyền người dùng dùng để truy cập dịch vụ mạng truy cập máy chủ bị thu hồi cách khóa vơ hiệu hóa đăng nhập CHƯƠNG MÔ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC SVTH: Trần Thị Dung 45 Xây dựng hệ thống HIDS sử dụng OSSEC 5.1.Triển khai hệ thống 5.1.1.Triển khai cài đặt hệ thống 5.1.2 Triển khai cấu hình Để kết nối OSSEC Server OSSEC Agent (Hệ điều hành Unix) cần phải cấu hình dòng lệnh “/var/ossec/bin/manage-agents” hai Riêng windows, mã nguồn mở chạy file 32bit qua giao diện cần chạy giao diện lên kết nối Lúc OSSEC Server trích xuất khóa cho Agent, khoa lưu giữ tên máy địa IP máy Chỉ cần điền khóa vào Agent chúng kết nối - Các bước trích xuất khóa từ OSSEC Server: Hình 5.1: Trích xuất khóa từ OSSEC Server - Có bốn tùy chọn việc xuất khóa: (A)dd an agent (A): Tùy chọn để thêm tên địa IP máy agents (E)xtract key for an agent (E): Trích xuất khóa cho agents (L)ist already added agents (L): Liệt kê danh sách thêm vào (R)emove an agent (R): Xóa agents mà chọn (Q)uit: Thốt SVTH: Trần Thị Dung Hình 5.2: Trích xuất khóa từ OSSEC server 46 Xây dựng hệ thống HIDS sử dụng OSSEC - Sau nhập thông tin máy agents xuất khóa copy khóa điền vào agents SVTH: Trần Thị Dung Hình 5.3: Trích xuất khóa từ OSSEC server 47 Xây dựng hệ thống HIDS sử dụng OSSEC - Nhập khóa vừa xuất cho OSSEC agent Hình 5.4: Trích xuất khóa từ OSSEC server - Nhập khóa cho OSSEC agent windows SVTH: Trần Thị Dung 48 Hình 5.5: Trích xuất khóa từ OSSEC server Xây dựng hệ thống HIDS sử dụng OSSEC 5.2 Các chức hệ quản lý luật Hệ quản lý luật tương tác với OSSEC dạng ứng dụng web hoạt động dựa chế tương tác với liệu máy chủ OSSEC Tất thông tin truy cập người dùng máy trạm có cài OSSEC truyền cho máy chủ OSSEC lưu trữ vào bảng tương ứng với sở liệu Ứng dụng web tương tác với sở liệu để phân tích, thống kê, báo cáo… Ngoài ra, ứng dụng quản lý tương tác với tất luật định nghĩa sẵn OSSEC luật mà người quản trị định nghĩa thêm thông qua giao diện web hệ quản lý luật lưu trữ vào tập tin luật theo định dạng xml mà máy chủ OSSEC lưu trữ Các chức ứng dụng bao gồm: Quản lý kiện xảy ra: hiển thị, tìm kiếm, lọc danh sách lịch sử truy cập theo nhiều tiêu chí khác nhau… Quản lý rule: danh mục rule, danh sách rule, thêm mới, hiệu chỉnh, kiểm tra trùng lắp rule…(để đảm bảo an toàn cho hệ thống, tính xóa rule hạn chế sử dụng) Quản lý agent: danh sách agent, thông tin chi tiết agent Quản lý file chuyển đổi gần Thống kê, báo cáo SVTH: Trần Thị Dung 49 Xây dựng hệ thống HIDS sử dụng OSSEC Giao diện quản lý luật Hệ quản lý luật viết ngôn ngữ HTML,CSS,PHP sở liệu MySQL Để tiện cho người quản trị việc cập nhật, chỉnh sửa theo dõi luật, hệ thống có chức liệt kê luật người dùng theo dõi tìm kiếm luật cách nhanh chóng 5.3.Ưu5.6: điểmGiao hạn chếcủa hệ Hình hệthống thống quản lý 5.3.1 Ưu điểm - Hệ thống có tính tính bảo mật cao Hệ thống hoạt động với tính ổn định hiệu suất cao Có khả phát - công theo thời gian thực cho người quản trị Hệ thống có 700 rules đưa luật có - cơng lạ Có thể kết hợp với ứng dụng hệ thống khác để đưa luật SVTH: Trần Thị Dung 50 Xây dựng hệ thống HIDS sử dụng OSSEC 5.3.2 Hạn chế - Hệ thống có chức phát công nên việc ngăn chặn công phải phụ thuộc vào người quản trị đòi hỏi người - quản trị phải có kiến thức vững vàng lập trình hệ thống Có thể phát công Vì vậy, hệ thống - cần phải cập nhật đưa luật thường xuyên Có thể đưa cảnh báo sai việc cấu hình sách trùng lặp SVTH: Trần Thị Dung 51 Xây dựng hệ thống HIDS sử dụng OSSEC KẾT QUẢ ĐẠT ĐƯỢC Trong q trình làm khóa luận tốt nghiệp, trợ giúp Thầy Cơ khoa CNTT bạn nên em hoàn thành đề tài đạt nhiều kết tốt Về mặt lý thuyết: - Đề tài cung cấp lý thuyết tổng quan hệ thống phát xâm nhập IDS , HIDS hệ thống mã nguồn mở OSSEC - Cung cấp lý thuyết việc đặt luật OSSEC áp dụng vào việc quản lý luật - Xem xét rủi ro an ninh hệ thống từ xác định đưa giải pháp khắc phục kịp thời Về mặt triển khai thử nghiệm: Việc xây dựng triển khai hệ thống có số kết định sau: - Triển khai thành công hệ thống phát xâm nhập mã nguồn mở OSSEC hệ điều hành UNIX Windows - Triển khai thành công OSSEC Web Interface để thực việc quản lý luật dễ dàng - Thực vài công vào hệ thống thành công việc phát cơng SVTH: Trần Thị Dung 52 Xây dựng hệ thống HIDS sử dụng OSSEC DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu Tiếng Việt: [1] Trần Tiến Công, Nghiên cứu triển khai hệ thống IDS/IPS, Trường Đại Học Cơng Nghệ, 2009 [2] Vũ Đình Cường Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập NXB Lao Động Xã Hội 2009 SVTH: Trần Thị Dung 53 ... an tồn cho hệ thống nhằm giảm thiểu cơng bất hợp pháp Chính em chọn đề tài : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC LỜI CAM ĐOAN SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC Em xin... toàn hệ thống mạng cho doanh nghiệp cá nhân 1.2 Mục tiêu đề tài Xây dựng hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC. .. (HIDS) Những hệ thống HIDS cài đặt agent (tác nhân) host, kiểm sốt lưu lượng vào máy tính, triển khai nhiều SVTH: Trần Thị Dung 21 Xây dựng hệ thống HIDS sử dụng OSSEC máy tính hệ thống mạng HIDS