HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG -  - HỆ THỐNG PHÒNG THỦ, PHÁT HIỆN XÂM NHẬP IDS: SNORT Thành Viên Nhóm: Nguyễn Văn Đạt.          Mã SV: B17DCCN115 Bùi Quang Chất.           Mã SV: B17DCCN080 Lê Trọng Tuân.             Mã SV: B17DCCN646 Phạm Thanh Tú.          Mã SV: B17DCCN644 Nguyễn Phúc Lân.       Mã SV: B17DCCN368 Nguyễn Trọng Nghĩa.  Mã SV: B17DCCN715 Hà Nội, năm 2020 Table of Contents I Tổng Quan Về IDS .3 Khái Niệm Mục Đích 3 Nhiệm Vụ .3 Phân Loại IDS Một Số Công Cụ Phòng Thủ II Tổng Quan Về Snort Khái Niệm Về Snort .4 Ưu Điểm Của Snort Triển Khai Hệ Thống Snort .5 Đặc Điểm Của Snort .5 a Packet Decoder b Preprocesscer .7 c Detection Engine d Alert/Logging e Bảng Tổng Kết Chức Năng .10 I Tổng Quan Về IDS Khái Niệm IDS (Intrusion Detection Systems - Hệ thống phát xâm nhập) thiết bị phần mềm có nhiệm vụ giám sát traffic mạng, hành vi đáng ngờ cảnh báo cho admin hệ thống Mục Đích Mục đích IDS phát ngăn ngừa hành động phá hoại bảo mật hệ thống, hành động tiến trình cơng dị tìm, qt cổng IDS phân biệt cơng nội (từ nhân viên khách hàng tổ chức) cơng bên ngồi (từ hacker) Trong số trường hợp, IDS phản ứng lại với traffic bất thường/độc hại cách chặn người dùng địa IP nguồn truy cập mạng Nhiệm Vụ  Giám sát lưu lượng mạng hành vi hệ thống để nhận dạng dấu hiệu công, đột nhập;  Khi phát hành vi công, đột nhập => ghi logs hành vi cho phân tích bổ sung sau  Ngăn chặn dừng hành vi công, đột nhập;  Gửi thông báo cho người quản trị các hành vi công, đột nhập phát Phân Loại IDS  Phân loại theo nguồn liệu:  Hệ thống phát đột nhập mạng (NIDS – Network-based IDS): phân tích lưu lượng mạng để phát công, đột nhập cho mạng phần mạng  Hệ thống phát đột nhập cho host (HIDS – Host-based IDS): phân tích kiện xảy hệ thống/dịch vụ để phát công, đột nhập cho hệ thống  Phân loại theo kỹ thuật phân tích:  Phát đột nhập dựa chữ ký phát lạm dụng (Signaturebased / misuse instrusion detection)  Phát đột nhập dựa bất thường (Anomaly instrusion detection) 5 Một Số Cơng Cụ Phịng Thủ       II Snort OSSEC Suricata Fail2ban Sagan BroIDS Tổng Quan Về Snort Khái Niệm Về Snort  Snort hệ thống ngăn chặn phát xâm nhập trái phép (IDS/IPS) mã nguồn mở miễn phí có nhiều tính đáng mong đợi Trong nhiều tài liệu thường định nghĩa Snort hệ thống IDS xét tính năng, Snort chủ yếu thiên phát xâm nhập, tính phịng chống cịn nhiều hạn chế so với hệ thống IPS khác  Snort có kiến trúc kiểu module, dễ dàng cho quản trị viên tự bổ sung để tăng cường tính cho hệ thống  Snort chạy nhiều hệ thống: Windows, Linux, OpenBSD, Solaris…và nhiều tổ chức phát triển, biến thành sản phẩm thương mại Sourcefire, Astaro  Bên cạnh việc hoạt động ứng dụng bắt gói tin thơng thường, Snort cịn cấu hình để chạy NIDS Ưu Điểm Của Snort  Dễ dàng cấu hình: Snort làm việc nào, tập tin cấu hình đâu, luật người quản trị biết cấu hình theo ý Kể việc tạo luật  Snort phần mềm mã nguồn mở: Snort phát hành giấy phép GNU/GPL điều có nghĩa sử dụng Snort cách miễn phí dù doanh nghiệp hay người dùng cá nhân Ngồi phần mềm mã nguồn mở nên Snort có cộng đồng người sử dụng lớn, sẵn sàng hỗ trợ có thắc mắc  Chạy nhiều tảng khác nhau: Không chạy hệ điều hành nguồn mở GNU/Linux mà Snort cịn chạy tảng thương mại Microsoft Windows, Solaris, HP-UX  Snort thường xuyên cập nhật: Các luật Snort thường xuyên bổ sung cập nhật hình thức xâm nhập Triển Khai Hệ Thống Snort Yêu Cầu Phần Cứng: Hai yếu tố cần quan tâm đến việc lựa chọn phần cứng cho hệ thống Snort lưu lượng traffic hệ thống yêu cầu xử lí, lưu trữ hệ thống Snort Yêu cầu phần cứng hệ thống doanh nghiệp lớn ISP khác nhiều so với mạng small home Để xác định phần cứng để cài đặt Snort cho hệ thống trả lời vài câu hỏi sau để xác định điều đó:         Hệ thống mạng mạng small home, small bussiness, large enterprise ISP Lưu lượng traffic thông thường hệ thống bao nhiêu? Lưu lượng traffic hệ thống internal mạng Internet bên khoảng bao nhiêu? Và ngược lại? Nơi lưu trữ cảnh báo (alerts) Snort đâu? Thời gian lưu trữ cảnh báo bao lâu? Có muốn lưu trữ gói tin liên quan đến cảnh báo hay không? Đặc Điểm Của Snort Ở chế độ NIDS, sau gói tin vào vượt qua packet sniffer, liệu gửi thông qua preprocessor cấu hình snort.conf Dữ liệu tiếp tục qua detection engine, kiểm tra xem có phù hợp với luật tập tin snort.conf hay không? Các gói phù hợp gửi đến thành phần cảnh báo ghi lại (alert and logging) vượt qua output plug-in chọn, sau ghi lại (log) cảnh báo tùy theo cấu hình Kiến trúc Snort gồm phần sau:     The Sniffer (Packet Decoder) The Preprocessors The Detection Engine The Output Hình cung cấp nhìn dễ hiểu kiến trúc quy trình xử lý Snort Khi Snort hoạt động thực việc lắng nghe thu bắt tất gói tin di chuyển qua Các gói tin sau bắt đưa vào Mơđun Giải mã gói tin Tiếp theo gói tin đưa vào môđun Tiền xử lý, môđun phát Tại tùy theo việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tiếp đưa vào môđun Log cảnh báo để xử lý Khi cảnh báo xác đị nh môđun Kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn Sau ta sâu vào chi tiết cơchế hoạt động chức thành phần a Packet Decoder Packet Sniffer thiết bị phần cứng phần mềm đặt vào mạng Chức tương tự việc nghe điện thoại di động, thay hoạt động mạng điện thoại nghe mạng liệu Bởi mơ hình mạng có nhiều giao thức cao cấp TCP, UDP, ICMP nên công việc packet sniffer phải phân tích giao thức thành thơng tin mà người đọc hiểu Packet Sniffer sử dụng với mục đích như:  Phân tích mạng troubleshooting  Performance network and bechmarking  Nghe mật clear-text liệu khác Mã hóa lưu lượng mạng tránh việc sniffer gói tin Tùy vào mục đích mà packet sniffer sử dụng cho mục đích tốt xấu Hình : Các gói tin vào Sniffer Khi Snort nhận gói tin từ q trình sniffer vào q trình giải mã Chính xác nơi mà gói tin vào giải mã phụ thuộc vào lớp liên kết mà trước đọc Snort hỗ trợ số lớp liên kết từ pcap: Ethernet, 802.11, Token ring, FDDI, Cisco HDLC, SLIP, PPP OpenBSD’s PF Ở lớp liên kết Snort hỗ trợ giải mã giao thức khác nhau, bao gồm IP, ICMP, TCP, UDP (chi tiết mã nguồn src/decode.c) Bất kể lớp liên kết sử dụng, tất giải mã làm việc theo kiểu chung Đối với trường hợp lớp cụ thể, trỏ cấu trúc gói tin thiết lập trỏ tới phần khác gói tin Dựa vào thơng tin giải mã được, gọi lớp cao giải mã không giải mã b Preprocesscer Preprocessors plug-in cho phép phân tích cú pháp liệu theo cách khác Nếu chạy Snort mà khơng có cấu hình preprocessors tập tin cấu hình thấy gói liệu riêng rẽ mạng Điều làm IDS bỏ qua số cơng, nhiều loại hình cơng đại cố tình phân mảnh liệu có tình đặt phần độc hại lên gói tin phần cịn lại lên gói tin khác (kỹ thuật lẩn trốn) Dữ liệu đưa vào Preprocessors sau qua giải mã gói tin (packet decoder) Snort cung cấp loạt Preprocessors ví dụ như: Frag3 (một module chống phân mảnh gói tin IP), sfPortscan (module thiết kế chống lại trinh sát, scan port, xác định dịch vụ, scan OS), Stream5 (module tái gộp gói tin tầng TCP) Hình: trình xử lý preprocessors c Detection Engine Đầu vào gói tin xếp trình preprocessors Detection engine phần hệ thống phát xâm nhập dựa dấu hiệu Detection engine lấy liệu từ preprocessors kiểm tra chúng thơng qua luật Nếu luật khớp với liệu gói tin, gửi tới hệ thống cảnh báo, khơng bị bỏ qua Các luật chia thành phần:  Phần Hearder: gồm hành động (log hay alert), loại giao thức (TCP, UDP, ICMP ), địa IP nguồn, địa IP đích port  Phần Options: phần nội dung gói tin tạo để phù hợp với luật Luật phần quan trọng mà tìm hiểu Snort cần phải nắm rõ Các luật Snort có cú pháp cụ thể Cú pháp liên quan đến giao thức, nội dung, chiều dài, hearder vài thông số khác Một hiểu cấu trúc luật Snort, người quản trị dễ dàng tinh chỉnh tối ưu hóa chức phát xâm nhập Snort Từ định nghĩa luật phù hợp với môi trường hệ thống mạng Hình: Gói tin xử lý Detection Engine luật d Alert/Logging Cơ chế log lưu trữ gói tin kích hoạt luật cịn chế cảnh báo thơng báo phân tích bị thất bại Giống Preprocessors, chức cấu hình tập tin snort.conf, định cảnh báo ghi lại tập tin cấu hình muốn kích hoạt Dữ liệu giá trị cảnh báo, chọn nhiều cách để gửi cảnh báo định nơi ghi lại gói tin Có thể gửi cảnh báo thông qua SMB (Server Message Block) pop-up tới máy trạm Windows, ghi chúng dạng logfile, gửi qua mạng thông qua UNIX socket thông qua giao thức SNMP Cảnh báo lưu trữ dạng sở liệu SQL MySQL PostgerSQL Hình: Thành phần cảnh báo Logging e Bảng Tổng Kết Chức Năng Chế độ Sniffer mode Đặc điểm Hoạt động Cú pháp câu lệnh -Tính -Chỉ đọc gói tin mạng hiển thị nội dung cho người dùng thấy hình $ /snort -v [option] Các option là: -v: Kích hoạt chế độ Sniffer, hiển thị header IP, TCP/UDP/ICMP Packet mode Logger Network Intrusion Detection System -Lưu trữ gói -Snort sử dụng tin Sniffer rule để phát phân tích traffic mạng -Đây mode phức tạp $ /snort -l $ /snort -c Kết -d: Hiển thị payload gói tin -e: Hiển thị liệu tầng data link -a: Hiển thị gói tin ARP -I :Bắt gói tin interface xác định -h:Hiển thị dẫn Bảng tóm tắt gói tin bắt được, gồm thông tin giao thức, đặc tính đóng gói gói tin, trạng thái lắp ráp luồng gói tin Lưu gói tin bắt vào thư mục Thường lưu dạng nhị phân Phân tích traffic mạng, so sánh với tập rule người dùng định sẵn thực nhiều hành động dựa kết so sánh