1.1 Lý do chọn đề tài Bảo mật là một vấn đề lớn đối với tất cả các mạng trong mội trường doanh nghiệp hiện nay. Tin tặc và kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụng Firewall, VPN… trong đó có hệ thống phát hiện và ngăn chặn xâm nhập. Phát hiện xâm nhập là một trong những công nghệ và phướng thức dùng để phát hiện hành động khả nghi trên cà Host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây, sử dụng phương thức phát hiện xâm nhập , bạn có thể thu thập, sử dụng thông tin từ những laoij tấn công đã biết để tìm ra và cảnh báo một ai đó đang cô gắng tấn công vào mạng hay máy cá nhân. Vì vậy,là sinh viên được trang bị những kiến thức của ngành hệ thống thông tin với những kiến thức đã tiếp thu và vận dụng lý thuyết đó vào công việc thực tế nên em đã chọn đề tài “Xây dựng hệ thống HIDS sử dụng OSSEC” để thực hiện đồ án tốt nghiệp của mình với mục đích xây dựng được hệ thống phát hiện và phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệ thống mạng cho doanh nghiệp và cá nhân 1.2 Mục tiêu của đề tài Xây dựng một hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập. 1.3 Giới hạn và phạm vi của đề tài Tìm hiểu về hệ thống ngăn chặn và phát hiện xâm nhập. Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để tấn công và mạng nội bộ. Ứng dụng Ossec vào việc xây dựng hệ thống phát hiện và chống xâm nhập ( Ossec cung cấp khả năng phát hiện xâm nhập dựa trên máy chủ toàn diện trên nhiều nền tảng như : Linux, Solaris , AIX, HPUX, BSD, Windown, Mac và VMware ESX. 1.4 Kết quả dự kiến đạt được Nắm được các kỹ thuật xâm nhập bất hợp pháp mà các tin tặc thường sử dụng để tấn công. Demo được quá trình xâm nhập và phòng chống xâm nhập. Xây dựng được hệ thống HIDS sử dụng mã nguồn mở OSSEC. Hoàn thành báo cáo chi tiết đồ án tốt nghiệp. 1.5. Công cụ sử dụng Sử dụng phầm mềm OSSEC HIDS cài đặt trên Windown hoặc Ubutu 15.04.
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY NGÀNH: TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH ĐỀ TÀI : XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC GIẢNG VIÊN HƯỚNG DẪN : THS LƯƠNG HOÀNG AN SINH VIÊN THỰC HIỆN : TRẦN THỊ DUNG LỚP : 66DCTM22 MÃ SINH VIÊN : 66DCTM22121 HÀ NỘI - 2019 Xây dựng hệ thống HIDS sử dụng OSSEC LỜI MỞ ĐẦU Cùng với tiến trình phát triển chung kinh tế tồn cầu, Internet đời ví cách mạng giới kinh doanh truyền thông Internet thay đổi quan điểm học tập, kinh doanh đưa đến với thời đại - thời đại công nghệ số Internet trở thành mơi trường kinh doanh xố ranh giới quốc gia tạo thị trường lớn lịch sử nhận loại, với phát triển vũ bão mạng toàn cầu Việt Nam Bên cạnh thành tựu to lớn mạng Internet mang lại cho nhân loại mà đạt được, nỗi lo an tồn thơng tin ngày quan tâm Hàng ngày nghe nhiều thông tin công vào hệ thống thông tin quan trọng với thiệt hại lớn tài chính, thơng tin riêng tư cá nhân tổ chức Mục tiêu cơng mạng đa dạng, từ vấn đề cá nhân, mục đích xấu kinh doanh mục tiêu trị với tầm ảnh hưởng nhiều quốc gia Tội phạm an ninh mạng ngày phát triển số lượng, quy mô mức độ nguy hiểm Do vấn đề bảo mật, an ninh mạng luôn cá nhân, công ty hay tổ chức đặt lên hàng đầu Với khả kết nối nhiều máy tính mạng, bảo mật trở thành vấn đề lớn khó khăn hết môi trường doanh nghiệp Hacker kẻ xâm nhập dễ dàng đạt nhiều mục đích việc phá hủy hệ thống mạng dịch vụ web Rất nhiều hãng có uy tín bảo mật có nhiều giải pháp để hạn chế công mạng phương thức triển khai nỗ lực bảo vệ hạ tầng mạng truyền thông qua mạng internet bao gồm firewall, phương thức mã hóa, mạng riêng ảo Phát xâm nhập kỹ thuật liên quan áp dụng Các phương thức phát xâm nhập xuất vài năm gần Với phương pháp người quản trị thu thập sử dụng thông tin từ dạng công chưa biết phát công diễn Những thông tin thu thập giúp người quản trị gia cố an ninh mạng, đưa sách an tồn cho hệ thống nhằm giảm thiểu cơng bất hợp pháp Chính em chọn đề tài : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC” LỜI CAM ĐOAN SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC Em xin cam đoạn: Những nội dung khóa luận em thực hướng dẫn trực tiếp thầy giáo Ths Lương Hoàng Anh Mọi tham khảo dùng khóa luận trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm LỜI CẢM ƠN Lời em xin gửi lời tri ân biết ơn sâu sắc đến Thầy Lương Hoàng Anh, người hướng dẫn đồ án tốt nghiệp tận tình bảo, động viên, khích lệ em suốt trình nghiên cứu thực đề tài Em xin cảm ơn thầy cô Khoa Công nghệ thông tin, trường Đại học Công nghệ Giao Thông Vận Tải, đặc biệt thầy cô mơn Truyền thơng mạng máy tính nhiệt tình giảng dạy tạo điều kiện giúp đỡ em trình học tập nghiên cứu Cuối em xin chân thành cám ơn người thân gia đình tồn thể bạn bè ln giúp đỡ động viên nhóm lúc gặp phải khó khăn trình làm đồ án Xin chân thành cảm ơn! SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC MỤC LỤC LỜI CAM ĐOAN .3 LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH DANH SÁCH TỪ VIẾT TẮT CHƯƠNG : TỔNG QUAN 11 1.1 Lý chọn đề tài .11 1.2 Mục tiêu đề tài 11 1.3 Giới hạn phạm vi đề tài .11 1.4 Kết dự kiến đạt .11 1.5 Công cụ sử dụng .12 CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 13 2.1 Những mối đe dọa bảo mật .13 2.1.1.Mối đe dọa khơng có cấu trúc .13 2.1.2.Mối đe dọa có cấu trúc (Structured Threat) 13 2.1.3 Mối đe dọa từ bên (External Threat) .14 2.1.4 Mối đe dọa từ bên (Internal Threat) 14 2.2 Các phương pháp xâm nhập hệ thống 14 2.2.1 Phương thức đánh cắp thông tin Packet Sniffers 14 2.2.2 Phương thức công mật Password Attack 15 2.2.3 Phương thức công Mail Relay .15 2.2.4 Phương thức công hệ thống DNS 15 2.2.5 Phương thức công Man-in-the-middle attack 15 2.2.6 Port Scan Ping Sweep .16 2.2.7 Phương thức công lớp ứng dụng 16 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 2.2.8 Phương thức công Virus Trojan Horse 16 2.3 Tổng quan hệ thống phát xâm nhập IDS 17 2.3.1 Giới thiệu IDS 17 2.3.2 Định nghĩa IDS .17 2.3.3 Lợi ích IDS 19 2.3.4 Phân biệt hệ thống IDS .19 2.3.5 Chức IDS 20 2.3.6 Kiến trúc hệ thống phát xâm nhập IDS 21 2.3.6.1 Thành phần IDS 21 2.3.6.2 Nguyên lý hoạt động 23 2.3.7 Phân loại IDS .25 2.3.7.1 Host Intrusion Detection System (HIDS) 25 2.3.7.2 Network Intrusion Detection System (NIDS) 26 CHƯƠNG TÌM HIỂU VỀ HIDS 28 3.1 Khái niệm HIDS(Host-Based IDS) .28 3.2 Cách thức hoạt động Host-Based Intrusion Detection HIDS 28 3.2.1 Phát chữ ký (Signature Detection) 29 3.2.2 Phát phân tích trạng thái giao thức (Stateful Protocol Analysis Detection) 29 3.2.3 Giám sát Logfile (Monitoring logfile) 30 3.2.4 Giám sát tính tồn vẹn 31 3.3 Triển khai hệ thống HIDS .33 3.4 So sánh HIDS NIDS 35 3.5 Ưu điểm hạn chế HIDS .36 3.5.1 Ưu điểm .36 CHƯƠNG GIỚI THIỆU VỀ MÃ NGUỒN MỞ OSSEC 39 4.1 Khái niệm 39 4.2 Các tính bật OSSEC là: 39 4.3 Các thành phần OSSEC 41 4.3.1 Server 41 4.3.2 Agent 42 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 4.4 Các luật OSSEC 42 4.4.1 Tổ chức luật .42 4.4.2 Quy trình xử lý phân tích OSSEC HIDS .46 4.5 Phương thức hoạt động luật OSSEC .47 4.6 Kiểm tra tính tồn vẹn hệ thống phát rootkit 49 4.7 Phản ứng chủ động OSSEC 49 CHƯƠNG MÔ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC .51 5.1.Triển khai hệ thống 51 5.1.1.Triển khai cài đặt hệ thống 51 5.1.2 Triển khai cấu hình .51 5.2 Các chức hệ quản lý luật .53 5.3.Ưu điểm hạn chế hệ thống 55 5.3.1 Ưu điểm .55 5.3.2 Hạn chế 55 DANH MỤC TÀI LIỆU THAM KHẢO 56 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC DANH MỤC HÌNH Hình 2.1: Các vị trí đặt IDS mạng 19 Hình 2.2: Thành phần IDS 22 Hình 2.3: Giải pháp kiến trúc đa nhân .23 Hình 2.4: Hoạt động IDS .24 Hình 2.5: Mơ hình Host Intrusion Detection System (HIDS) 25 Hình 2.6: Mơ hình Network Intrusion Detection System (NIDS) 26 Hình 3.1: Mơ hình kết hợp HIDS NIDS 34 Hình 3.2: Mơ hình so sánh HIDS NIDS .36 Hình 4.1: Các thành phần hoạt động OSSEC 41 Hình 2.4: Sơ đồ trình xử lý rule OSSEC 46 Hình 5.1: Trích xuất khóa từ OSSEC Server 52 Hình 5.2: Trích xuất khóa từ OSSEC server 53 Hình 5.3: Trích xuất khóa từ OSSEC server 54 Hình 5.4: Giao hệ thống quản lý 55 SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC DANH SÁCH TỪ VIẾT TẮT Từ viết tắt Diễn giải IP Internet Protocol IDS Intrusion Detection System HIDS Host-based Intrusion Detection System NIDS Network Intrusion Detection System ICMP Internet Control Message Protocol VPN Virtual Private Network ACL Access Control List URL Uniform Resource Locator SQL Structured Query Language FTP File Transfer Protocol HTTPS Hypertext Transfer Protocol Secure DHCP Dynamic Host Configuration Protocol DNS Domain Name System SSL Secure Sockets Layer POP3 Post Office Protocol DOS Disk Operating System MITM Man-in-the-Middle WAN Wide Area Network LAN Local Area Network MAC Media Access Control WIDS Wireless IDS SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC HTML HyperText Markup Language CSS Cascading Style Sheets PHP Hypertext Preprocessor CHƯƠNG : TỔNG QUAN 1.1 Lý chọn đề tài Bảo mật vấn đề lớn tất mạng mội trường doanh nghiệp Tin tặc kẻ xâm nhập nhiều lần thành công việc xâm nhập vào mạng công ty đem ngồi nhiều thơng tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng giao tiếp internet : sử dụng Firewall, VPN… có hệ thống phát ngăn chặn xâm nhập Phát xâm nhập công nghệ phướng thức dùng để phát hành động khả nghi cà Host mạng Các phương pháp phát xâm nhập bắt đầu xuất năm gần đây, sử dụng phương thức phát xâm nhập , bạn thu thập, sử dụng thông tin từ laoij cơng biết để tìm cảnh báo gắng cơng vào mạng hay máy cá nhân Vì vậy,là sinh viên trang bị kiến thức ngành hệ thống thông tin với kiến thức tiếp thu vận dụng lý thuyết vào cơng việc thực tế nên em chọn đề tài “Xây dựng hệ thống HIDS sử dụng OSSEC” để thực đồ án tốt nghiệp với mục đích xây dựng hệ thống phát phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệ thống mạng cho doanh nghiệp cá nhân 1.2 Mục tiêu đề tài Xây dựng hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC 1.3 Giới hạn phạm vi đề tài - Tìm hiểu hệ thống ngăn chặn phát xâm nhập - Tìm hiểu kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để công mạng nội Ứng dụng Ossec vào việc xây dựng hệ thống phát chống xâm nhập ( Ossec cung cấp khả phát xâm nhập dựa máy chủ toàn diện nhiều tảng : Linux, Solaris , AIX, HP-UX, BSD, Windown, Mac VMware ESX 1.4 Kết dự kiến đạt - Nắm kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để công - Demo q trình xâm nhập phòng chống xâm nhập - Xây dựng hệ thống HIDS sử dụng mã nguồn mở OSSEC - Hoàn thành báo cáo chi tiết đồ án tốt nghiệp 1.5 Công cụ sử dụng - Sử dụng phầm mềm OSSEC HIDS cài đặt Windown Ubutu 15.04 SVTH: Trần Thị Dung 10 Xây dựng hệ thống HIDS sử dụng OSSEC 4.3.1 Server Vai trò máy chủ làm server nhận tất thông tin log, thông tin hệ thống từ agent gửi về, sau phân tích triển khai sách Thư mục mặc định cài đặt chế đệ máy chủ đặt thư mục /var/ossec hồn tồn thay đổi mặc định Cấu trúc thư mục cài đặt xong OSSEC với vai trò làm máy chủ: - /var/ossec/active-response: Chứa kịch để phản ứng động /var/ossec/agentless: Chứa kịch điều khiển thiết bị không - thể cài làm máy theo dõi Router, Switch… /var/ossec/bin: Lưu trữ file thực thi OSSEC /var/ossec/etc: Lưu trữ file cấu hình /var/ossec/logs: Lưu trữ log toàn hệ thống OSSEC /var/ossec/queue: Lưu trữ hàng đợi cho phân tích xử lý OSSEC /var/ossec/rules: Lưu trữ rule OSSEC /var/ossec/stats: Lưu trữ lịch sử trạng thái OSSEC /var/ossec/tmp: Lưu trữ xử lý tạm thời hệ thống Để xây dựng hệ thống OSSEC, máy chủ OSSEC cần khai báo tường minh agent (các host OSSEC bảo vệ) Mỗi host khai báo cấp khóa (key) Khóa agent sử dụng để trao đổi thơng tin mã hóa đường truyền với máy chủ OSSEC Giao thức mạng dùng để liên lạc agent server UDP cổng 1514 thuật tốn mã hóa dùng blowfish 4.3.1 Agent Vai trò agent tập hợp thơng tin host gửi máy chủ OSSEC SVTH: Trần Thị Dung 37 Xây dựng hệ thống HIDS sử dụng OSSEC Cấu trúc thư mục cài đặt OSSEC với vai trò làm máy cần theo dõi: Linux - /var/ossec/active-response: Chứa kịch để phản ứng động /var/ossec/bin: Lưu trữ file thực thi OSSEC /var/ossec/etc: Lưu trữ file cấu hình /var/ossec/logs: Lưu trữ lịch sử truy nhập /var/ossec/queue: Lưu trữ hàng đợi cho xử lý lịch sử truy nhập Windows Các thư mục cài đặt trọng thư mục C:/Program Files/ossec-agent 4.4 Các luật OSSEC 4.4.1 Tổ chức luật OSSEC làm việc dựa luật định nghĩa sẵn file Các file đặt thư mục /var/ossec/rules/ Mỗi rule định nghĩa file XML phân loại Ví dụ, tất rule liên quan đến Apache HTTP Server lưu file có tên apache_rules.xml, hay tất rule dành cho Cisco PIX firewall lưu file pix_rules.xml Khi cài đặt mặc định OSSEC chứa 63 file rule mô tả bảng Index 10 11 12 13 14 15 16 17 18 19 20 21 Rule Name apache_rules.xml arpwatch_rules.xml asterisk_rules.xml attack_rules.xml cimserver_rules.xml cisco-ios_rules.xml clam_av_rules.xml courier_rules.xml dovecot_rules.xml dropbear_rules.xml firewall_rules.xml ftpd_rules.xml hordeimp_rules.xml ids_rules.xml imapd_rules.xml local_rules.xml log-entries mailscanner_rules.xml mcafee_av_rules.xml msauth_rules.xml ms_dhcp_rules.xml SVTH: Trần Thị Dung Description Apache HTTP server rules Arpwatch rules Asterisk rules Common attack rules Cimserver rules Cisco IOS firmware rules Clam rules Courier mail server rules Dovecot rules Dropbear rules Common firewall rules Rules for the ftpd daemon Horde Internet Messaging Program rules Common IDS rules Rules for the imapd daemon OSSEC HIDS local, user-defi ned rules Log Entries rules Common mail scanner rules Mcafee antivirus rules Microsoft Authentication rules Microsoft Network rules 38 Xây dựng hệ thống HIDS sử dụng OSSEC 22 23 24 25 26 27 28 29 30 31 ms-exchange_rules.xml ms-se_rules.xml netscreenfw_rules.xml ms_ftpd_rules.xml mysql_rules.xml named_rules.xml nginx_rules.xml openbsd_rules.xml ossec_rules.xml pam_rules.xml Microsoft Exchange server rules Microsoft SE rules Juniper Netscreen fi rewall rules Microsoft FTP server rules MySQL database rules Rules for the named daemon OSSEC server nginx rules Openbsd server rules Common OSSEC HIDS rules Pluggable Authentication Module (PAM) 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 php_rules.xml pix_rules.xml policy_rules.xml postfix_rules.xml postgresql_rules.xml proftpd_rules.xml pure-ftpd_rules.xml racoon_rules.xml roundcube_rules.xml rules_config.xml sendmail_rules.xml squid_rules.xml smbd_rules.xml sonicwall_rules.xml spamd_rules.xml sshd_rules.xml symantec-av_rules.xml symantec-ws_rules.xml syslog_rules.xml solaris_bsm_rules.xml telnetd_rules.xml trend-osce_rules.xml vmpop3d_rules.xml vmware_rules.xml vpn_concentrator_rules.xm rules PHP rules Cisco PIX fi rewall rules Policy specifi c event rules Postfi x mail transfer agent rules PostgerSQL database rules ProFTPd FTP server rules Pure-FTPd FTP server rules Racoon VPN device rules Roundcube rules OSSEC HIDS Rules confi guration rules Sendmail mail transfer agent rules Squid proxy server rules Rules for the smbd daemon SonicWall fi rewall rules Rules for the spamd spam-deferral daemon Secure Shell (SSH) network protocol rules Symantec Antivirus rules Symantec Web Security rules Common syslog rules Solaris bsm rules Rules for the telnetd daemon Trend-osce antivirus rules Vmpop3d rules Vmware rules Cisco VPN Concentrator rules 57 l vpopmail_rules.xml Rules for the vpopmail virtual mail domain vsftpd_rules.xml web_rules.xml web_appsec_rules.xml wordpress_rules.xml zeus_rules.xml application Rules for the vsftpd FTP server Common web server rules Web appsec rules Wordpress rules Zeus web server rules 58 59 60 62 63 SVTH: Trần Thị Dung 39 Xây dựng hệ thống HIDS sử dụng OSSEC Mỗi file chứa nhiều rule định nghĩa cho ứng dụng cho thiết bị Cung cấp 700 rule cho loại từ ProFTPD log Snort NIDS, Cisco VPN, kiểm tra tính tồn vẹn OSSEC HIDS dò tìm rootkit Cùng với rule, có giải mã, định nghĩa file decoders.xml thư mục /var/ossec/etc Bộ giải mã thiết kế để trích xuất liệu từ kiện nhận từ nhiều nguồn Mỗi rule gán số tạo Đối với loại rule, dãy số gán để đảm bảo OSSEC HIDS giải mã phát hành không bị lỗi ghi đè Trong hệ thống OSSEC, rule người dùng tạo gọi Local rule Các local rule nằm khoảng từ 100.000 đến 119.999 Nếu bạn chọn số khác, gây xung đột với rule OSSEC Quy định cụ thể dãy số sau: - Từ 00000-50799 : số định nghĩa hệ thống Từ 60000-99999 : dành để mở rộng cho hệ thống Từ 100000: 109999: người dùng định nghĩa 4.4.2 Quy trình xử lý phân tích OSSEC HIDS Hình 2.9: Sơ đồ trình xử lý rule OSSEC SVTH: Trần Thị Dung 40 Xây dựng hệ thống HIDS sử dụng OSSEC Chi tiết q trình xử lý sau: - Event: Khi có kiện đến hệ thống bắt đầu trình tiền xử lý giải mã trích xuất thơng tin liên quan từ Sau liệu chiết xuất, công cụ phù hợp với quy tắc gọi để kiểm tra - cảnh báo hệ thống cần cảnh báo Pre-decoding: Quá trình tiền giải mã đơn giản trích xuất thơng tin tĩnh từ cột thơng tin Nó thường sử dụng với thông điệp đăng nhập theo giao thức phổ dụng lịch sử truy nhập hệ thống Các thơng tin trích giai đoạn thường thông tin thời gian, - ngày tháng, chương trình, tên máy tên, thơng điệp đăng nhập Decoding: Mục tiêu giải mã để trích xuất thông tin không tĩnh từ kiện mà sử dụng rule trình sau Nói chung, - trích xuất thông tin địa chỉ, tên người dùng, liệu tương tự Rule matching: Giai đoạn kiểm tra xem có khớp với rule - định nghĩa hay không để đưa định xử lý Alerting: Tùy vào kết sau xem xét, lưu vào sở liệu cảnh báo qua thư điện tử phản ứng lại SVTH: Trần Thị Dung 41 Xây dựng hệ thống HIDS sử dụng OSSEC 4.5 Phương thức hoạt động luật OSSEC OSSEC HIDS đánh giá luật để xem kiện nhận thuộc vào cảnh báo xếp tăng dần Có hai loại quy tắc OSSEC HIDS: Atomic Composite Quy định Atomic dựa kiện mà khơng có tương quan Ví dụ, nhìn thấy xác thực thất bại, cảnh báo kiện Các quy tắc tổng hợp dựa nhiều kiện Ví dụ, bạn muốn cảnh báo sau 10 lần xác thực thất bại, từ nguồn địa IP, lúc nguyên tắc tổng hợp yêu cầu Atomic: Các luật định nghĩa cách sử dụng thẻ thẻ phải có hai thuộc tính, số mức độ Chỉ số định danh cho chữ ký mức độ mức độ nghiêm trọng cảnh báo.Trong ví dụ sau đây, tạo hai luật với luật khác số mức độ 5711 1.1.1.1 Example of rule that will ignore sshd failed logins from IP 1.1.1.1. OSSEC HIDS phân làm 15 cấp độ từ 0-15 thể cấp độ nghiêm trọng kiện cho nguy hiểm - Cấp 0: Bỏ qua, khơng có hành động Sử dụng chủ yếu để tránh báo động giả Những luật quét trước tất luật khác bao gồm kiện khơng có liên quan đến bảo mật - Cấp 2: Hệ thống thông báo ưu tiên thấp Hệ thống thông báo thơng báo trạng thái khơng có liên quan đến bảo mật - Cấp 3: Các kiện thành công / xác thực Các cố gắng đăng nhập thành công, kiện tường lửa cho phép, - Cấp 4: Hệ thống lỗi ưu tiên thấp SVTH: Trần Thị Dung 42 Xây dựng hệ thống HIDS sử dụng OSSEC Lỗi liên quan đến cấu hình sai thiết bị, ứng dụng không sử dụng Chúng khơng có liên quan đến bảo mật thường tạo cài đặt mặc định phần mềm thử nghiệm - Cấp 5: Lỗi người dùng tạo Mật lỗi, hành động bị từ chối, Các thơng điệp thường khơng có bảo mật thích hợp - Cấp 6: Các cơng có liên quan thấp Cho biết sâu máy tính vi-rút khơng có mối đe dọa cho hệ thống sâu hệ điều hành Windows công máy chủ Linux - Cấp 9: Lỗi từ nguồn không hợp lệ Bao gồm nỗ lực để đăng nhập người sử dụng không rõ khơng hợp lệ nguồn Các tin nhắn có liên quan đến bảo mật đặc biệt lặp lặp lại Chúng bao gồm lỗi liên quan đến tài khoản admin root - Cấp 10: Lỗi phát sinh từ người dùng nhiều lần Bao gồm nhiều mật sai, nhiều lần đăng nhập thất bại, Chúng cho biết cơng, là người sử dụng quên mật họ - Cấp 12: Sự kiện quan trọng – cấp độ cao Bao gồm lỗi tin nhắn cảnh báo từ hệ thống, hạt nhân, …Chúng cho biết công chống lại ứng dụng cụ thể - Cấp 13: Lỗi bất thường (Quan trọng – cấp độ cao) Các mẫu công phổ biến cố gắng tràn đệm, lịch sử truy nhập lớn so với bình thường, chuỗi URL (Universal Resource Locator- Tham chiếu tới tài nguyên mạng) lớn so với bình thường - Cấp 14: Sự kiện bảo mật (Quan trọng _ cấp độ cao) Thông thường kết mối tương quan quy tắc cơng nhiều mang tính chất công - Cấp 15: Tấn công thành công Khả báo động giả thấp Cấp bách cần xử lý gấp Composite Các quy tắc tổng hợp có nghĩa phải phù hợp với kiện với luật nhận OSSEC HIDS Các tùy chọn tần số quy định cụ thể bao SVTH: Trần Thị Dung 43 Xây dựng hệ thống HIDS sử dụng OSSEC nhiêu lần kiện/mẫu phải xảy trước quy tắc tạo cảnh báo Ví dụ, bạn tạo quy tắc hỗn hợp, tạo cảnh báo mức độ nghiêm trọng cao sau mật không thành công khoảng thời gian 10 phút 4.3 Kiểm tra tính tồn vẹn hệ thống phát rootkit Kiểm tra tính tồn vẹn phần tất yếu tất công nghệ HIDS thường thực cách so sánh checksum tập tin so với checksum tập tin sau chỉnh sửa OSSEC HIDS kiểm tra thay đổi checksum MD5/SHA1 tập tin hệ thống khóa registry Windows Các agent quét hệ thống định kỳ theo theo khoảng thời gian người quản trị định sau gửi checksum máy chủ OSSEC Máy chủ lưu checksum tìm kiếm thay đổi cách so sánh checksum nhận với lưu Một cảnh báo gửi có thay đổi Kiểm tra tính tồn vẹn đảm bảo ứng dụng độc hại thay file hệ thống quan trọng sửa đổi Các ứng dụng độc hại, cài đặt thường để lại dấu vết hệ thống trình cài đặt Các phần mềm độc hại thường cố gắng phá vỡ hoạt động bình thường hệ thống Rootkit ví dụ điển hình phần mềm độc hại hoạt động theo cách Rootkit thường thiết kế để chép file thực thi hệ thống 4.6 Phản ứng chủ động OSSEC Phản ứng chủ động nhằm ngăn chặn kiểm sốt để tránh khỏi cơng Các vi phạm khơng dấu hiệu mang hình thức cơng, hành động vi phạm sách đơn giản truy cập trái phép Các hành động phản ứng thường trường hợp sau: - Ngăn chặn hủy bỏ tường lửa : Hành động cách đơn giản để từ chối truy cập tới máy chủ thiết bị Tùy thuộc vào thông tin hành vi vi phạm, điều ngăn chặn địa IP hồn tồn - ngăn chặn truy cập đến dịch vụ đặc biệt Đưa vào dạng cần kiểm duyệt: Đặc điểm hành động hạn chế truy cập phân mạng cô lập Thông thường, điều thực trình cho phép máy chủ cho giải pháp (VPN) mạng riêng ảo giải pháp điều khiển truy cập mạng (NAC) Tuy nhiên, máy chủ cấp trước cách ly dựa hành vi vi phạm Mục SVTH: Trần Thị Dung 44 Xây dựng hệ thống HIDS sử dụng OSSEC tiêu chung với hành động kiểm dịch để chuyển hướng máy chủ để phân mạng dịch vụ có sẵn để khắc phục vi phạm Nếu máy chủ không đáp ứng yêu cầu vá lỗi, vá dành riêng máy chủ mạng kiểm dịch có sẵn để cung cấp vá lỗi Sau khắc phục, máy chủ phép truy cập vào toàn mạng Mạng kiểm duyệt nguồn tài nguyên có giá trị để điều tra sâu kẻ công tự động chống lại mạng bạn Honeypots cấu hình mạng kiểm duyệt, mô máy chủ bạn, để xem làm kẻ công tương tác với máy chủ Thông tin cung cấp công cụ có giá trị đến thời gian để điều chỉnh quy tắc - thiết bị bảo mật bạn toàn mạng bạn Biểu diễn lưu lượng : Hành động hữu ích cho Worm, từ chối dịch vụ, từ chối dịch vụ phân tán (DDoS) kiểu công mà không muốn ngăn - chặn hồn tồn dịch vụ Khóa tài khoản: hành động sử dụng vi phạm quy cho người dùng cụ thể mà quyền người dùng dùng để truy cập dịch vụ mạng truy cập máy chủ bị thu hồi cách khóa vơ hiệu hóa đăng nhập CHƯƠNG MƠ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC SVTH: Trần Thị Dung 45 Xây dựng hệ thống HIDS sử dụng OSSEC 5.1.Triển khai hệ thống 5.1.1.Triển khai cài đặt hệ thống 5.1.2 Triển khai cấu hình Để kết nối OSSEC Server OSSEC Agent (Hệ điều hành Unix) cần phải cấu hình dòng lệnh “/var/ossec/bin/manage-agents” hai Riêng windows, mã nguồn mở chạy file 32bit qua giao diện cần chạy giao diện lên kết nối Lúc OSSEC Server trích xuất khóa cho Agent, khoa lưu giữ tên máy địa IP máy Chỉ cần điền khóa vào Agent chúng kết nối - Các bước trích xuất khóa từ OSSEC Server: Hình 5.1: Trích xuất khóa từ OSSEC Server - Có bốn tùy chọn việc xuất khóa: (A)dd an agent (A): Tùy chọn để thêm tên địa IP máy agents (E)xtract key for an agent (E): Trích xuất khóa cho agents (L)ist already added agents (L): Liệt kê danh sách thêm vào (R)emove an agent (R): Xóa agents mà chọn (Q)uit: Thốt SVTH: Trần Thị Dung Hình 5.2: Trích xuất khóa từ OSSEC server 46 Xây dựng hệ thống HIDS sử dụng OSSEC - Sau nhập thông tin máy agents xuất khóa copy khóa điền vào agents SVTH: Trần Thị Dung Hình 5.3: Trích xuất khóa từ OSSEC server 47 Xây dựng hệ thống HIDS sử dụng OSSEC - Nhập khóa vừa xuất cho OSSEC agent 5.2 Các chức hệ quản lý luật Hệ quản lý luật tương tác với OSSEC dạng ứng dụng web hoạt động dựa chế tương tác với liệu máy chủ OSSEC Tất thông tin truy cập người dùng máy trạm có cài OSSEC truyền cho máy chủ OSSEC lưu trữ vào bảng tương ứng với sở liệu Ứng dụng web tương tác với sở liệu để phân tích, thống kê, báo cáo… Ngoài ra, ứng dụng quản lý tương tác với tất luật định nghĩa sẵn OSSEC luật mà người quản trị định nghĩa thêm thông qua giao diện web hệ quản lý luật lưu trữ vào tập tin luật theo định dạng xml mà máy chủ OSSEC lưu trữ Các chức ứng dụng bao gồm: Quản lý kiện xảy ra: hiển thị, tìm kiếm, lọc danh sách lịch sử truy cập theo nhiều tiêu chí khác nhau… Quản lý rule: danh mục rule, danh sách rule, thêm mới, hiệu chỉnh, kiểm tra trùng lắp rule…(để đảm bảo an toàn cho hệ thống, tính xóa rule hạn chế sử dụng) Quản lý agent: danh sách agent, thông tin chi tiết agent SVTH: Trần Thị Dung 48 Xây dựng hệ thống HIDS sử dụng OSSEC Quản lý file chuyển đổi gần Thống kê, báo cáo Giao diện quản lý luật Hệ quản lý luật viết ngôn ngữ HTML,CSS,PHP sở liệu MySQL Để tiện cho người quản trị việc cập nhật, chỉnh sửa theo dõi luật, hệ thống có chức liệt kê luật người dùng theo dõi tìm kiếm luật cách nhanh chóng 5.3.Ưu5.4: điểmGiao hạn chếcủa hệ Hình hệthống thống quản lý 5.3.1 Ưu điểm - Hệ thống có tính tính bảo mật cao Hệ thống hoạt động với tính ổn định hiệu suất cao Có khả phát - công theo thời gian thực cho người quản trị Hệ thống có 700 rules đưa luật có - cơng lạ Có thể kết hợp với ứng dụng hệ thống khác để đưa luật SVTH: Trần Thị Dung 49 Xây dựng hệ thống HIDS sử dụng OSSEC 5.3.2 Hạn chế - Hệ thống có chức phát công nên việc ngăn chặn công phải phụ thuộc vào người quản trị đòi hỏi người - quản trị phải có kiến thức vững vàng lập trình hệ thống Có thể khơng thể phát cơng Vì vậy, hệ thống - cần phải cập nhật đưa luật thường xuyên Có thể đưa cảnh báo sai việc cấu hình sách trùng lặp SVTH: Trần Thị Dung 50 Xây dựng hệ thống HIDS sử dụng OSSEC DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu Tiếng Việt: [1] Trần Tiến Công, Nghiên cứu triển khai hệ thống IDS/IPS, Trường Đại Học Cơng Nghệ, 2009 [2] Vũ Đình Cường Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập NXB Lao Động Xã Hội 2009 Tài liệu Internet: https://ossec.github.io/docs/ https://raymii.org/s/tutorials/OSSEC_and_webui_and_analogi_dashboard_installation_on_Ubuntu.html https://www.slideshare.net/catwallader/securing-hadoop-with-ossec-42285055 http://techgenix.com/IDS-Part2-Classification-methods-techniques/ https://voer.edu.vn/m/nghien-cuu-he-thong-phat-hien-xam-nhap-mang-trai-phep-ids/3d5b453e SVTH: Trần Thị Dung 51 ... an tồn cho hệ thống nhằm giảm thiểu cơng bất hợp pháp Chính em chọn đề tài : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC LỜI CAM ĐOAN SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC Em xin... toàn hệ thống mạng cho doanh nghiệp cá nhân 1.2 Mục tiêu đề tài Xây dựng hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập SVTH: Trần Thị Dung Xây dựng hệ thống HIDS sử dụng OSSEC. .. thường sử dụng để công - Demo q trình xâm nhập phòng chống xâm nhập - Xây dựng hệ thống HIDS sử dụng mã nguồn mở OSSEC - Hoàn thành báo cáo chi tiết đồ án tốt nghiệp 1.5 Công cụ sử dụng - Sử dụng