Hiện nay, mạng Internet đã và đang trở nên phổ biến hơn trên toàn thế giới. Nó đem lại cho con người một cách tiếp cận thông tin hoàn toàn mới. Đồng thời, ngoài những lợi ích to lớn của mình, mạng internet cũng ẩn chứa nhiều mối nguy hiểm tiềm tàng như: Lây nhiễm virus, sâu mạng, trojan, sniffer,….. . Với một hệ thống mạng máy tính, việc đảm bảo an toàn cho hệ thống tránh khỏi các nguy cơ, hiểm họa đe dọa rất được chú trọng và đề cao. Với một mô hình như mạng của Học Viện, việc đảm bảo đó cần áp dụng, kết hợp nhiều biện pháp khác nhau. Trong bản báo các này, chúng em xin trình bày về đề tài: “Xây dựng hệ thống phát hiện và chống xâm nhập trái phép cho mạng cơ sở 1, dựa trên Suricata”.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ MƠN AN TỒN ỨNG DỤNG WEB XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP CHO MẠNG CƠ SỞ 1, DỰA TRÊN SURICATA Ngành: An toàn thông tin Hà Nội, 2019 MỤC LỤC LỜI MỞ ĐẦU Hiện nay, mạng Internet trở nên phổ biến tồn giới Nó đem lại cho người cách tiếp cận thông tin hồn tồn Đồng thời, ngồi lợi ích to lớn mình, mạng internet ẩn chứa nhiều mối nguy hiểm tiềm tàng như: Lây nhiễm virus, sâu mạng, trojan, sniffer,… Với hệ thống mạng máy tính, việc đảm bảo an toàn cho hệ thống tránh khỏi nguy cơ, hiểm họa đe dọa trọng đề cao Với mơ mạng Học Viện, việc đảm bảo cần áp dụng, kết hợp nhiều biện pháp khác Trong báo này, chúng em xin trình bày đề tài: “Xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở 1, dựa Suricata” Bản báo cáo có phần: Chương Chương trình bày khái niệm hệ thống phát xâm nhập (IDS) ngăn chặn xâm nhập (IPS) Chương Tổng quan Suricata: Chương giới thiệu cách tổng quan khái niệm, chức năng, phân loại,… liên quan đến Suricata Chương Xây dựng hệ thống phát chống xâm nhập trái phép Chương triển khai xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở dựa Suricata CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS I) Hệ thống phát xâm nhập IDS IDS - Intrusion Detection System - Hệ thống phát xâm nhập hệ thống phần cứng phần mềm có chức giám sát, phân tích lưu lượng mạng, hoạt động khả nghi cảnh bào cho hệ thống, nhà quản trị IDS phân biệt công vào hệ thống từ bên (từ người bên cơng ty) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặt biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặt biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1) Chức hệ thống phát xâm nhập IDS Ba chức quan trọng IDS là: - Giám sát: Giám sát lưu lượng mạng hoạt động bất thường hoạt động khả nghi Bảo vệ : Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động chống lại kẻ xâm nhập Cảnh báo: Khi biết hoạt động bất thường truy cập đó, IDS đưa cảnh báo hệ thống cho người quản trị Ngồi IDS có chức mở rộng sau: - - Phân biệt cơng từ từ bên ngồi: phân biệt đâu truy cập hợp lệ (hoặc không hợp lệ) từ bên đâu cơng từ bên ngồi Phát hiện: dựa vào so sánh lưu lượng mạng với baseline, IDS phát dấu hiệu bất thường đưa cảnh báo bảo vệ ban đầu cho hệ thống 2) Phân Loại IDS Có loại IDS Network-based IDS (NIDS) Host-based IDS (HIDS) - Network-based IDS (NIDS): Sử dụng liệu tồn lưu thơng mạng liệu kiểm tra từ một vài máy trạm để phát xâm nhập - Host-based IDS (HIDS): Sử dụng liệu kiểm tra tự máy trạm đơn để phát xâm nhập II) Hệ thống phát ngăn chặn xâm nhập IPS Hệ thống IPS (intrusion prevention system) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS (intrusion detection system), có khả phát xâm nhập, công tự động ngăn chặn cơng IPS khơng đơn giản dò cơng, chúng có khả ngăn chặn cản trở cơng Chúng cho phép tổ chức ưu tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, dủ khả bảo vệ tất thiết bị mạng 1) Chức IPS Chức IPS xác định hoạt động nguy hại, lưu giữ thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS ngồi khả theo dõi, giám sát có chức ngăn chặn kịp thời hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS 2) Phân Loại IPS Có loại IPS NIPS – Network-based Intrusion Prevention HIPS – Hostbased Intrusion Prevention - NIPS – Network-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập mạng thường triển khai trước sau firewall Khi triển khai IPS trước firewall bảo vệ toàn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiểu nguy bị công từ chối dịch vụ đồi với firewall Khi triển khai IPS sau firewall phòng tránh số kiểu công thông qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên - HIPS – Host-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập host thường triển khai với mục đích phát ngăn chặn kịp thời hoạt động thâm nhập host Để ngăn chặn cơng, HIPS sử dụng công nghệ tương tự giải pháp antivirus Ngoài khả phát ngăn ngừa hoạt động thâm nhập, HIPS có khả phát thay đổi tập tin cấu hình CHƯƠNG 2:TỔNG QUAN VỀ SURICATA I) Giới thiệu Suricata Suricata sản phẩm IDPS phát dựa luật để theo dõi lưu lượng mạng cung cấp cảnh báo đến người quản trị hệ thống có kiện đáng ngờ xảy Nó thiết kế để tương thích với thành phần an tồn có Bản phát hành chạy tảng Linux 2.6 có hỗ trợ ội tuyến (Inline) cấu hình giám sát lưu lượng thụ động có khả xử lý lưu lượng lên đến gigabit Suricata sản phẩm IDPS miễn phí cung cấp lựa chọn khả mở rộng cho kiến trúc an tồn mạng phức tạp Suricata cơng cụ đa luồng, cung cấp tăng tốc độ hiệu việc phân tích lưu lượng mạng Ngồi việc tăng hiệu phần cứng (với phần cứng giao diện mạng giới hạn), sản phẩm xây dựng để tận dụng khả xử lý cao cung cấp chip CPU đa lõi II) Các tính Suricata Theo thơng tin thức cơng bố website Suricata hệ thống phát ngăn chặn xâm nhập có số tính bật, là: khả xử lý đa luồng, khả định danh giao thức, định danh tập tin MD5 trích xuất tập tin 1) Đa luồng Khả xử lý đa luồng (Multi threading) tính IDS, nhiều luồng gói tin xử lý Luồng sử dụng nhiều môđun thread để xử lý cơng việc Luồng có hàng đợi xử lý đầu vào hàng đợi xử lý đầu Chúng sử dụng để lấy gói tin từ luồng khác từ nhớ chung Một luồng đặt nhân CPU Mô-đun thread lưu trữ kiến trúc Threadvars Suricata chạy thiết bị có thành phần thiết lập sẵn cân luồng lưu lượng tới vi xử lý để xử lý luồng liệu Tính cho phép tối ưu hóa phần cứng để đạt tốc độ 10Gbps thời gian thực mà không cần phải tác động vào tập luật 2) Định danh giao thức Suricata có khả tự động nhận dạng đặc trưng giao thức phổ biến, từ giúp người viết luật phát linh động tạo luật dựa lưu lượng mạng đặc tính cổng giao thức Điều làm giảm phức tạp luật trình viết gia tăng phát dấu hiệu mã độc điều khiển lưu lượng dễ dàng 3) Định danh tệp tin, giá trị kiểm tra MD5, trích xuất tệp tin Suricata định danh hàng nghìn loại tệp tin trình truyền qua mạng mà giám sát Nếu muốn tìm hiểu sâu tệp tin người quản trị đánh dấu để trích xuất xuống máy tính dạng siêu liệu miêu tả hồn cảnh chặn bắt Ngồi Suricata có khả tính tốn giá trị kiểm tra MD5 tệp tin q trình giám sát Tính giúp hệ thống kiểm tra tính tồn vẹn tệp tin cách so sánh giá trị băm với danh sách băm MD5 cung cấp trước III) Kiến trúc Suricata Mặc dù toàn mã nguồn Suricata phát triển từ đầu, nhà phát triển Suricata che giấu việc họ vay mượn kiến trúc Snort Kiến trúc gồm nhiều thành phần, thành phần có chức riêng Các thành phần là: - Mơ-đun giải mã gói tin - Mơ-đun tiền xử lý - Mô-đun phát - Mô-đun phản ứng Khi Suricata hoạt động, thực lắng nghe thu bắt tất gói tin di chuyển qua Tiếp theo gói tin đưa vào mơ-đun tiền xử lý, đưa vào mô-đun phát Tại đây, tùy theo việc có phát xâm nhập hay khơng mà gói tin lưu thơng tiếp hay đưa vào mô-đun ghi cảnh báo để xử lý Khi cảnh báo xác định, mô-đun kiết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn 1) Mơ-đun giải mã gói tin (Packet Decoder) Suricata sử dụng thư viện Pcap để bắt gói tin lưu thơng qua hệ thống Mỗi gói tin sau giải mã đưa tiếp vào mô-đun tiền xử lý 2) Mô-đun tiền xử lý (Preprocessors) Mô-đun tiền xử lý mô-đun quan trọng hệ thống IDS/IPS để chuẩn bị gói liệu đưa vào cho mơ-đun phát phân tích Ba nhiệm vụ mơ-đun loại là: - - Kết hợp lại gói tin: Khi lượng liệu lớn gửi đi, thông tin khơng đóng gói tồn vào gói tin mà phải thực việc phân mảnh, chia gói tin ban đầu thành nhiều gói tin gửi Khi Suricata nhận gói tin phải thực việc ghép nối lại để liệu nguyên dạng ban đầu, từ thực công việc xử lý tiếp Khi phiên làm việc hệ thống diễn ra, có nhiều gói tin trao đổi phiên Một gói tin riêng lẻ khơng có trạng tháu cơng việc phát xâm nhập dựa hoàn toàn vào gói tin khơng đem lại hiệu cao Mơ-đun tiền xử lý theo luồng giúp Suricata hiểu phiên làm việc khác (nói cách khác đem lại tính có trạng thái cho vác gói tin) từ giúp đạt hiệu cao việc phát xâm nhập Giải mã chuẩn hóa giao thức (decode/normalize): cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức có liệu thể nhiều dạng khác Ví dụ: máy chủ web chấp nhận nhiều dạng URL URL viết dạng mã hexa/Unicode, URL chấp nhận dấu “\” hay “/” nhiều - ký tự liên tiếp lúc Hoặc thực việc mã hóa chuỗi dạng khác Nếu Suricata thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số mô-đun tiền xử lý Suricata phải có trách nhiệm giải mã chỉnh sửa, xếp lại thông tin đầu vào để thơng tin đưa đến mơ-đun phát phát mà khơng bỏ sót Phát xâm nhập bất thường (nonrule/anormal): plugin tiền xử lý dạng thường dùng để đối phó với xâm nhập khơng thể khó phát luật thông thường dấu hiệu bất thường giao thức Các mô-đun tiền xử lý dạng thực việc phát xâm nhập theo cách mà ta nghĩ từ tăng cường tính cho Suricata Ví dụ, plugin tiền xử lý có nhiệm vụ thống kê thơng lượng mạng thời điểm bình thường để có thơng lượng mạng bất thường xảy tính tốn, phát đưa cảnh báo (phát xâm nhập theo mơ hình thống kê) 3) Mô-đun phát (Detection engine) Đây mô-đun quan trọng Suricata Nó chịu trách nhiệm phát dấu hiệu xâm nhập Mô-đun phát sử dụng luật định nghĩa trước dấu hiệu xâm nhập Mô-đun phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập từ xác định xem có hành vi cơng hay khơng Rồi thực số công việc ghi log, tạo thông báo kết xuất thông tin Một vấn đề quan trọng mô-đun phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Có thể khoảng thời gian khác cho việc xử lý gói tin khác Và thông lượng mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý mô-đun phát dựa số yếu tố như: số lượng luật, tốc độ hệ thống chạy, tải mạng Một số thử nghiệm cho biết, phiên Suricata tối ưu hóa chạy hệ thống có nhiều xử lý cấu hình máy tính tương đối mạnh hoạt động tốt mạng cỡ Gigabit Một mô-đun phát có khả tách phần gói tin áp dụng luật lên phần gói tin Các phần là: - IP header - Header tầng giao thức TCP, UDP - Header tầng ứng dụng: FNS header, HTTP header, FTP header, … - Phần tải gói tin (có thể áp dụng luật lên phần liệu truyền gói tin) Một vấn đề mơ-đun phát việc xử lý gói tin bị phát nhiều luật Do luật Suricata đánh số thứ tự ưu tiên, nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa cảnh báo ứng với luật có mức ưu tiên cao 4) Mơ-đun log cảnh báo (Alert generation) Tùy thuộc vào việc mô-đun phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log đưa cảnh báo Các tệp tin log tệp liệu ghi nhiều định dạng khác Trong Suricata hỗ trợ định dạnh log sau: - eve.json - fast.log - http.log - stats.log - unified2.alert IV) Tập luật Suricata Do kiến trúc hoạt động Suricata giống với Snort nên tập luật hồn tồn giống với Snort Cấu trúc luật gồm có dạng sau: Phần Header chứa thơng tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin Phần Option chứa thông điệp cảnh báo thông tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh luật với gói tin Một luật phát hay nhiều hoạt động thăm dò 10 hay công Các phát mọt hay nhiều hoạt động thăm dò hay cơng Các luật thơng minh có khả áp dụng cho nhiều dấu hiệu xâm nhập 11 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP I) Mô hình triển khai Mục đích: Xây dựng hết thống phát chống xâm nhập trái phép cho mạng sở học viện, dựa công cụ suricata Mơ hình khảo sát mạng máy tính Học viện: Qua khảo sát, Mạng sở học viện có phòng ban ngành vùng DMZ chứa máy chủ Web chạy dịch vụ Vùng máy chủ DMZ chia dải mạng riêng với phòng ban ngành, nằm độc phòng máy chủ nhà trường Vì vùng mạng DMZ cung cấp dịch vụ Internet, chứa nhiều tiềm ẩn nguy bị công từ mạng Internet, từ mạng nội Tuy nhiên sơ đồ mạng, có giải pháp tường lừa cài đặt bảo vệ chung cho toàn mạng nội Học viện Vì vậy, đòi hỏi phải có giải pháp phát chống xâm nhập, đặc biệt cho máy chủ cung cấp dịch vụ vùng mạng DMZ 12 Trong báo cáo này, nhóm thực việc cài đặt suricata máy chủ đặt vùng mạng với DMZ Suricata sniffing lưu lượng mạng vùng mạng DMZ, tiến hành phân tích đưa cảnh báo II) Kịch công Một Attacker (từ mạng bên ngoài) thực công DDos lên máy chủ Suricata Suricata cài đặt với tập luật, phát có cơng DDos Từ đó, suricata phát cảnh báo cho người quản trị hệ thống Người quản trị hệ thống xây dựng tập luật để chống lại công DDos III) Cài đặt cấu hình Chuẩn bị: - máy cấu hình Suricata máy làm máy chủ máy làm máy cơng 1) Cấu hình Suricata tập luật - Thay đổi file cấu hình suricata.yaml - Thay đổi HOME_NET theo dải Ip phân vùng mạng 13 - Thêm tập luật vào - Thêm nội dung cho tập luật (đưa cảnh báo bị DDOS) 14 - Thêm nội dung cho luật scan - Luật thông báo gói tin ICMP - Khởi chạy suricata - Khởi chạy fast.log 2) Thực cơng - Gửi gói tin ICMP - Tấn cơng DOS - Tấn cơng dò qt dùng nmap 15 - Tấn công DDOS 3) Đọc log fast.log KẾT LUẬN Với phát triển mạng máy tính lợi ích mà đem lại, theo nguy an tồn hệ thống mạng nảy sinh Việc phát ngăn chặn xâm nhập trái phép hữu ích đảm bảo hệ thống mạng an toàn 16 Bài báo cáo đạt mục tiêu sau: - - Tìm hiểu cách tổng quan hệ thống phát chống xâm nhập trái phép, đồng thời tìm hiểu hệ thống phát phòng chống xâm nhập trái phép Suricata Dựa vào Suricata xây dựng tập luật để phát cơng Tuy nhiên, q trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hi vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao 17 ... hiệu xâm nhập 11 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP I) Mơ hình triển khai Mục đích: Xây dựng hết thống phát chống xâm nhập trái phép cho mạng sở học viện, dựa cơng... thống phát chống xâm nhập trái phép cho mạng sở dựa Suricata CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS I) Hệ thống phát xâm nhập IDS IDS - Intrusion Detection System - Hệ thống phát. .. đề tài: Xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở 1, dựa Suricata Bản báo cáo có phần: Chương Chương trình bày khái niệm hệ thống phát xâm nhập (IDS) ngăn chặn xâm nhập (IPS)