Đang tải... (xem toàn văn)
Hệ thống phát hiện xâm nhập ra đời cách đây khoảng 25 năm và nó đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng và hệ thống máy tính. Bằng cách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng hệ thống IDS vẫn có nhiều hạn chế khi đưa ra các cảnh báo sai và cần có người giám sát. Thế hệ tiếp theo của IDS là hệ thống IPS ra đời năm 2004, đang trở nên rất phổ biến và đang dần thay thế cho các hệ thống IDS. Hệ thống IPS bao gồm cơ chế phát hiện, đưa ra các cảnh báo và còn có thể ngăn chặn các hoạt động tấn công bằng cách kết hợp với firewall.
Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP Hệ thống phát xâm nhập đời cách khoảng 25 năm trở nên hữu dụng cho việc bảo vệ hệ thống mạng hệ thống máy tính Bằng cách đưa cảnh báo có dấu hiệu xâm nhập đến hệ thống Nhưng hệ thống IDS có nhiều hạn chế đưa cảnh báo sai cần có người giám sát Thế hệ IDS hệ thống IPS đời năm 2004, trở nên phổ biến dần thay cho hệ thống IDS Hệ thống IPS bao gồm chế phát hiện, đưa cảnh báo cịn ngăn chặn hoạt động công cách kết hợp với firewall 1.1 HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1.1 Khái niệm Hệ thống phát xâm nhập IDS thiết bị phần cứng, phần mềm hay có kết hợp hai để thực việc giám sát, theo dõi thu thập thông tin từ nhiều nguồn khác Sau phân tích để tìm dấu hiệu xâm nhập hay công hệ thống thông báo đến người quản trị hệ thống Nói cách tổng quát, IDS hệ thống phát dấu hiệu làm hại đến tính bảo mật, tính tồn vẹn tính sẵn dùng hệ thống máy tính hệ thống mạng, làm sở cho bảo đảm an ninh hệ thống 1.1.2 Phát xâm nhập Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ Hệ thống phát xâm nhập phân thành hai loại bản: · Hệ thống phát dựa dấu hiệu xâm nhập · Hệ thống phát dấu hiệu bất thường Kẻ cơng có dấu hiệu, giống virus, phát cách sử dụng phần mềm Bằng cách tìm liệu gói tin mà có chứa dấu hiệu xâm nhập dị thường biết đến Dựa tập hợp dấu Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables hiệu (signatures) qui tắc (rules) Hệ thống phát dị tìm, ghi lại hoạt động đáng ngờ đưa cảnh báo Anomaly-based IDS thường dựa vào phần header giao thức gói tin cho bất thường Trong số trường hợp phương pháp có kết tốt với Signature-based IDS Thơng thường IDS bắt lấy gói tin mạng đối chiếu với rule để tìm dấu hiệu bất thường gói tin 1.1.3 Chính sách IDS Trước cài đặt hệ thống IDS lên hệ thống cần phải có sách để phát kẻ công cách xử lý phát hoạt động công Bằng cách chúng phải áp dụng Các sách cần chứa phần sau (có thể thêm tùy theo yêu cầu hệ thống): · Ai giám sát hệ thống IDS? Tùy thuộc vào IDS, có chế cảnh báo để cung cấp thơng tin hành động công Các cảnh báo hình thức văn đơn giản (simple text) chúng dạng phức tạp Có thể tích hợp vào hệ thống quản lý mạng tập trung HP Openview MySQL database Cần phải có người quản trị để giám sát hoạt động xâm nhập sách cần có người chịu trách nhiệm Các hoạt động xâm nhập theo dõi thơng báo theo thời gian thực cách sử dụng cửa sổ pop-up giao diện web Các nhà quản trị phải có kiến thức cảnh báo mức độ an toàn hệ thống · Ai điều hành IDS? Như với tất hệ thống, IDS cần được bảo trì thường xuyên · Ai xử lý cố nào? Nếu cố khơng xử lý IDS xem vơ tác dụng · Các báo cáo tạo hiển thị vào cuối ngày cuối tuần cuối tháng · Cập nhật dấu hiệu Các hacker tạo kỹ thuật để công hệ thống Các công phát hệ thống IDS dựa dấu hiệu cơng · Các tài liệu cần thiết cho dự án Các sách IDS nên mơ tả dạng tài liệu công phát Các tài liệu Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables bao gồm log đơn giản văn Cần phải xây dựng số hình thức để ghi lưu trữ tài liệu Các báo cáo tài liệu 1.1.4 Kiến trúc hệ thống phát xâm nhập Kiến trúc hệ thống IDS bao gồm thành phần sau: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection) thành phần phản hồi (respotion) Trong ba thành phần này, thành phần phân tích gói tin quan trọng cảm biến (sensor) đóng vai trị quan định nên cần phân tích để hiểu rõ kiến trúc hệ thống phát xâm nhập Hình 1-1 Kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu Bộ tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thơng tin sách lưu hệ thống bảo vệ bên ngồi Vai trị cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thơng với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa Tạo phân tích bước đầu chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS DIDS sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt trang bị phát công phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vị trí vật lý Thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu cơng biết Đây hệ số định nói đến nghĩa vụ bảo vệ liên quan đến kiểu công Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số khơng bình thường telnet session bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể Các thu nhận ln ln gửi kết hoạt động chúng đến kiểm tra Các kiểm tra nhận thông tin từ mạng (khơng chủ từ host), điều có nghĩa chúng tương quan với thơng tin phân tán Thêm vào số lọc đưa để chọn lọc thu thập liệu Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Hình 1-2 Giải pháp kiến trúc đa tác nhân 1.1.5 Phân loại hệ thống phát xâm nhập Có hai loại là: Network-based IDS Host-based IDS 1.1.5.1 Network-based IDS (NIDS) NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lưu thông phương tiện truyền dẫn (cables, wireless) cách sử dụng card giao tiếp Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu a Lợi NIDS · Quản lý phân đoạn mạng (network segment) · Trong suốt với người sử dụng kẻ cơng · Cài đặt bảo trì đơn giản, không làm ảnh hưởng đến mạng · Tránh việc bị công dịch vụ đến host cụ thể · Có khả xác định lỗi tầng network · Độc lập với hệ điều hành b Hạn chế NIDS · Có thể xảy trường hợp báo động giả, tức khơng có dấu hiệu bất thường mà IDS báo · Không thể phân tích lưu lượng mã hóa SSH, IPSec, SSL… Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables · NIDS địi hỏi phải ln cập nhật dấu hiệu công để thực hoạt động hiệu · Không thể cho biết việc mạng bị cơng có thành cơng hay khơng, để người quản trị tiến hành bảo trì hệ thống · Một hạn chế giới hạn băng thông Những thu thập liệu phải thu thập tất lưu lượng mạng, xếp lại phân tích chúng Khi tốc độ mạng tăng lên khả thu thập thông tin Một giải pháp phải đảm bảo cho mạng thiết kế xác Một cách mà hacker cố gắng che đậy cho hoạt động họ gặp hệ thống IDS phân mảnh liệu gói tin Mỗi giao thức có kích cỡ gói liệu có hạn, liệu truyền qua mạng truyền qua mạng lớn kích cỡ liệu bị phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu Thứ tự xếp không thành vấn đề miễn không bị chồng chéo liệu, cảm biến phải tái hợp lại chúng Hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo Một cảm biến không phát hoạt động xâm nhập không xếp gói tin lại cách xác Văn Đình Qn-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Hình 1-3 Network-based IDS 1.1.5.2 Host-based IDS (HIDS) HIDS hệ thống phát xâm nhập cài đặt máy tính (host) HIDS cài đặt nhiều kiểu máy chủ khác nhau, máy trạm làm việc máy notebook HIDS cho phép thực cách linh hoạt phân đoạn mạng mà NIDS không thực Lưu lượng gửi đến host phân tích chuyển qua host chúng không tiềm ẩn mã nguy hiểm HIDS cụ thể với ứng dụng phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ HIDS giám sát thay đổi hệ thống HIDS bao gồm thàng phần chính: · Các tiến trình · Các entry registry · Mức độ sử dụng CPU · Kiểm tra tính tồn vẹn truy cập file hệ thống · Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống gây cảnh báo Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables a Ưu điểm HIDS · Có khả xác định user hệ thống liên quan đến kiện · HIDS có khả phát công diễn máy, NIDS khơng có khả · Có khả phân tích liệu mã hóa · Cung cấp thông tin host lúc công diễn host b Hạn chế HIDS · Thơng tin từ HIDS khơng cịn đáng tin cậy sau công vào host thành công · Khi hệ điều hành bị thỏa hiệp tức HIDS tác dụng · HIDS phải thiết lập host cần giám sát · HIDS khơng có khả phát việc thăm dò mạng (Nmap, Netcat…) · HIDS cần tài nguyên host để hoạt động · HIDS khơng phát huy hiệu bị công từ chối dịch vụ DoS · Đa số phát triển hệ điều hành Window Tuy nhiên có số chạy Linux Unix Vì HIDS cần cài đặt máy chủ nên gây khó khăn cho nhà quản trị phải nâng cấp phiên bản, bảo trì phần mềm cấu hình Gây nhiều thời gian tạp Thường hệ thống phân tích lưu lượng máy chủ nhận được, cịn lưu lượng chống lại nhóm máy chủ, hành động thăm dò quét cổng chúng khơng phát huy tác dụng Nếu máy chủ bị thỏa hiệp hacker tắt HIDS máy Khi HIDS bị vơ hiệu hóa Do HIDS phải cung cấp đầy đủ khả cảnh báo Trong môi trường hỗn tạp điều trở thành vấn đề HIDS phải tương thích với nhiều hệ điều hành Do đó, lựa chọn HIDS vấn đề quan trọng Văn Đình Quân-0021 Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Hình 1-4 Host-based IDS 1.1.5.3 So sánh NIDS HIDS Bảng 1-1 So sánh, đánh giá NIDS HIDS Chức HIDS NIDS Bảo vệ mạng LAN **** **** Bảo vệ mạng LAN **** - Dễ dàng cho việc quản trị **** **** Tính linh hoạt **** ** Giá thành *** * **** **** Cả hai bảo vệ user hoạt động Văn Đình Quân-0021 mạng LAN Chỉ có HIDS Tương đương xét bối cảnh quản trị chung HIDS hệ thống linh hoạt HIDS hệ thống ưu tiết kiệm Dễ dàng việc bổ sung Các đánh giá chọn sản phẩm Cả hai tương đương Trang Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables HIDS yêu cầu việc đào tạo Đào tạo ngắn hạn cần thiết **** ** Tổng giá thành *** ** 2 ** ** NIDS Băng tần cần yêu cầu LAN Network overhead NIDS sử dụng băng tần LAN rộng, - **** HIDS nâng cấp tất client với **** - ** **** **** - Bản ghi *** *** file mẫu trung tâm NIDS có khả thích nghi Chế độ quét ghi cục cổng để đảm bảo lưu lượng LAN bạn quét Khả thích nghi ứng dụng cập nhật kịp thời file mẫu NIDS yêu cầu phải kích hoạt mở rộng Chu kỳ nâng cấp cho client mạng LAN Cả hai cần băng tần Internet để Các yêu cầu cổng mở rộng HIDS khơng NIDS cần u cầu băng tần mạng Băng tần cần yêu cầu (Internet) HIDS tiêu tốn ứng dụng Chỉ HIDS thực kiểu quét Cả hai hệ thống đề có chức ghi Cả hai hệ thống có chức Chức cảnh báo *** *** cảnh báo cho cá nhân quản trị viên Chỉ có HIDS quét vùng mạng cá Quét PAN **** - Loại bỏ gói tin - **** Văn Đình Qn-0021 nhân bạn Chỉ tính NIDS có Trang 10 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables reject-with qualifier Tham số qualifier cho biết loại thông báo gởi trả lại phía gởi Qualifier gồm loại Tương tự DROP, nhưngsau: icmp-port- gửi trả lại cho phía ngườiunreachable(default) REJECT gửi thơng báo lỗi rằngicmp-net-unreachable gói bị chặn loại bỏ icmp-host-unreachable icmp-proto-nreachable icmp-net-prohibited icmp- host-prohibited tcp-reset echo-ply Dùng để thực to-destination ipaddress Destination network address DNAT translation, địa đích gói liệu viết lại Iptables viết lại địa ipaddress vào địa đích gói liệu Dùng để thực Source Network SNAT address translation, viết lại địa nguồn gói liệu to-source [-][: -] Miêu tả IP port viết lại iptables Văn Đình Quân-0021 Trang 51 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Dùng để thực Source [ to-ports [Networkaddress ]] MASQUERADE Translation Mặc định địa Ghi rõ tầm port nguồn IP nguồn giống IP mà port nguồn gốc nguồn firewall ánh xạ 2.2.5 Ưu điểm nhược điểm Iptables 2.2.5.1 Ưu điểm Linux nhiều người thừa nhận tảng hệ điều hành an tồn, bị cơng, khơng kiến trúc phần lõi bên dưới, mà nhờ lớp giáp trụ bảo vệ bên Một lớp che chắn hiệu lớp phần mềm tường lửa nguồn mở tiếng iptables Ưu điểm iptables chỗ chúng phần lõi Linux 2.4 (và sau này) Iptables cơng cụ quản lý cấu hình tường lửa Với nó, tạo tập đối tượng mô tả tường lửa bạn, máy chủ mạng mạng bạn sau kéo đối tượng vào quy tắc cách xử để triển khai tường lửa bạn Điều dễ dàng nhiều so với sửa chữa tập tin cấu hình cách thủ cơng nguồn mở Ngồi Iptables cịn có: · Là statefull firewall · Filter packet dựa địa MAC cờ TCP header · NAT tốt · Hỗ trợ việc tích hợp cách suốt với chương trình Web proxy: Squid Một ưu điểm khác iptables giới hạn số lượng kết nối, giúp cho ta chống chế công DoS (Denial of Service attack) 2.2.5.2 Nhược điểm Nhược điểm lớn iptables việc cài đặt hiểu rõ cấu hình chúng không dễ dàng chút Sử dụng tường lửa cần phải xử lý lượng lớn thông tin nên việc xử lý lọc thơng tin làm chậm trình kết nối người kết nối Văn Đình Quân-0021 Trang 52 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Việc sử dụng tường lửa hữu hiệu người không thành thạo kỹ thuật vượt tường lửa, người sử dụng khác có hiểu biết dễ dàng vượt qua tường lửa cách sử dụng proxy không bị ngăn chặn 2.3 KẾT HỢP GIỮA SNORT-INLINE VÀ IPTABLES 2.3.1 Snort-inline Snort inline phiên sửa đổi snort chấp nhận gói tin từ iptables IPFW qua libipq (linux) làm chệch hướng socket (FreeBSD) Nó nhận gói tin gửi từ netfilter firewall với trợ giúp thư viện libipq, so sánh chúng với dấu hiệu xâm nhập snort drop chúng giống với rule Sau gửi chúng lại netfilter nơi mà snort-inline drop gói tin 2.3.2 Snort-inline Iptables Netfilter module kernel linux có sẵn phiên kernel 2.4 trở Nó cung cấp chức chính: · Packet filtering: Accept hay drop gói tin · NAT : Thay đổi địa nguồn/ đích địa IP gói tin · Packet mangling : định dạng gói tin IPtables cơng cụ cần thiết để cấu hình netfilter, cần phải chạy quyền root Sau đó, gói tin phù hợp với dấu hiệu cơng Snort_inline, gắn thẻ libipq gửi trả lại Netfilter nơi mà drop Snort_inline có hai chế độ: Drop mode Replace mode a Drop mode: Một packet drop phù hợp với dấu hiệu cơng Có tùy chọn chế độ này: · drop: Drop gói tin, gửi thiết lập đến máy chủ, ghi lại kiện · sdrop: Drop gói tin mà khơng gửi thiết lập đến máy chủ · ignore: Drop packet, gửi thiết lập đến máy chủ, không ghi lại kiện Văn Đình Quân-0021 Trang 53 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables b Replace mode: Packet bị sửa đổi phù hợp với dấu hiệu cơng Hình 2-10 Snort-inline netfilter Văn Đình Quân-0021 Trang 54 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables CHƯƠNG TRIỂN KHAI HỆ THỐNG IPS VỚI SNORT-INLINE VÀ IPTABLES Trong chương tiến hành triển khai hệ thống IPS thực tế sử dụng snort_inline iptables firewall Linux để tiến hành ngăn chặn hoạt động trái phép đến hệ thống mạng IPS bảo vệ 3.1 MƠ HÌNH TRIỂN KHAI Hình 3-1 Mơ hình triển khai IPS với snort-inline iptables 3.1.1 Mô tả yêu cầu 3.1.1.1 Yêu cầu máy chủ: · Cài đặt hệ điều hành linux, cụ thể CentOS · Cài đặt snort-inline công cụ hỗ trợ, bật chức firewall iptables hệ thống để xây dựng hệ thống IPS · Máy chủ IPS System cài chung host có Server có địa IP tĩnh 192.168.2.2 3.1.1.2 Yêu cầu máy hacker: · Máy công vào hệ thống chạy hệ điều hành Linux-Backtrack4 Đây hệ điều hành với nhiều công cụ bảo mật hỗ trợ · Cấu hình địa IP tĩnh 192.168.2.3 Văn Đình Quân-0021 Trang 55 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables 3.2 CÀI ĐẶT SNORT 3.2.1 Cài đặt gói hỗ trợ Đầu tiên cần cài gói phần mềm hỗ trợ sau: httpd httpd-devel mysql mysql-sever mysql-devel php php-mysql php-mbstring php-mcryp iptables iptables-devel libnet Pcre pcre-devel gcc Trong cửa sổ dòng lệnh dùng lệnh sau để cài đặt: root@localhost# yum install 3.2.2 Cấu hình mysql cài phpmyadmin 3.2.2.1 Cấu hình mysql [root@localhost]# chkconfig levels 235 mysqld on [root@localhost]# /etc/init.d/mysqld start [root@localhost]# mysqladmin -u root password mysqlpassword 3.2.2.2 Cài đặt phpmypadmin phpmyadmin dùng để quản lý mysql [root@localhost]# wget http://packages.sw.be/rpmforgerelease/rpmforge-release-0.3.6-1.el5.rf.i386.rpm [root@localhost]# rpm -Uvh rpmforge-release-0.3.61.el5.rf.i386.rpm [root@localhost]# yum install phpmyadmin [root@localhost]# vi /etc/httpd/conf.d/phpmyadmin.conf # # Web application to manage MySQL # # # Order Deny,Allow # Deny from all # Allow from 127.0.0.1 # Alias /phpmyadmin /usr/share/phpmyadmin Alias /phpMyAdmin /usr/share/phpmyadmin Alias /mysqladmin /usr/share/phpmyadmin Văn Đình Quân-0021 Trang 56 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables [root@localhost]# vi /usr/share/phpmyadmin/config.inc.php Thay $cfg['Servers'][$i]['auth_type'] = 'cookie'; Bằng $cfg['Servers'][$i]['auth_type'] = 'http'; 3.2.3 Cài đặt Snort_inline Download snort_inline địa chỉ: [root@localhost#wget http://sourceforge.net/projects/snortinline/files/snort_inline%20source%20%282.8.x%29/snort_inline2.8.2.1-RC1/snort_inline-2.8.2.1-RC1.tar.gz/download [root@localhost]# tar xvfz snort_inline-2.8.2.1-RC1.tar.gz [root@localhost]# mkdir /etc/snort_inline [root@localhost]# mkdir /etc/snort_inline/rules/ [root@localhost]# cp snort_inline-2.8.2.1-RC1/etc/* /etc/snort_inline/ [root@localhost]# cp /root/snort_inline02.8.2.1RC1/etc/reference.config /etc/snort_inline/rules [root@localhost]# cp /root/snort_inline02.8.2.1RC1/etc/classification.config /etc/snort_inline/rules [root@localhost]# vi /etc/snort_inline/snort_inline.conf Tìm dịng # var RULE_PATH /etc/snort_inline/drop-rules Thay thành # var RULE_PATH /etc/snort_inline/rules output database: log, mysql, user=snort password=12345 dbname=snort host=localhost [root@localhost]# cd snort_inline-2.8.2.1 /configure –with-mysql enable-dynamicplugin /make && make install Như vậy, cài đặt xong Copy rule vào thư mục /etc/snort_inline/rules 3.2.4 Cài đặt, cấu hình ACIDBase để quản lý Snort Cần phải đảm bảo cài đặt phầm mềm sau: · Snort_inline · Apache · PHP · MySQL Văn Đình Quân-0021 Trang 57 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables · Adodb (download địa http://sourceforge.net/projects/adodb/files/ sau giải nén copy vào thư mục /var/www/html/) Bước 1: Tạo sở liệu mysql Tạo sở liệu với tên snort, tạo bảng sau: acid_event, acid_ag, acid_ag_alert, acid_ip_cache, base_roles, base_users Các bảng kèm theo bảng phân phối ACIDBase Bước 2: chỉnh sửa nội dung file base_conf.php Đường dẫn đến thư mục cài đặt Base: $BASE_urlpath = '/base'; Đường dẫn đến thư mục adodb: $DBlib_path = '/var/www/html/adodb'; Cơ sở liệu sử dụng: $DBtype = 'mysql'; Khai báo tên sở liệu, tài khoản đăng nhập, mật $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user = 'snort'; $alert_password = '12345'; 3.2.5 Tạo file khởi động Snort_inline với hệ điều hành Tạo file snortd thư mục /etc/init.d/ với nội dung sau #!/bin/bash # # snort_inline start(){ # Start daemons echo "Starting ip_queue module:" lsmod | grep ip_queue >/dev/null || /sbin/modprobe ip_queue; # echo "Starting iptables rules:" # iptables traffic sent to the QUEUE: # accept internal localhost connections iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # send all the incoming, outgoing and forwarding traffic to the QUEUE iptables -A INPUT -j QUEUE iptables -A FORWARD -j QUEUE iptables -A OUTPUT -j QUEUE # Start Snort_inline echo "Starting snort_inline: " /usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -D -v \ -l /var/log/snort_inline # -Q -> process the queued traffic # -D -> run as a daemon # -v -> verbose # -l -> log path # -c -> config path } stop() { Văn Đình Quân-0021 Trang 58 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables # Stop daemons # Stop Snort_Inline # echo "Shutting down snort_inline: " killall snort_inline # Remove all the iptables rules and # set the default Netfilter policies to accept echo "Removing iptables rules:" iptables -F # -F -> flush iptables iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # -P -> default policy } restart(){ stop start } case "$1" in start) start ;; stop) stop ;; restart) restart ;; *) echo $"Usage: $0 {start|stop|restart|}" exit esac Sau copy file vào thư mục /root/sbin/ 3.2.6 Tạo rule cho Snort_inline Tạo rule lưu /root/etc/snort_inline/rules Ta tạo rule sau: · Rule 1: alert icmp any any → 192.168.2.2/24 80 (msg: “ping”; ttl:128;sid:1000001;) Rule có nghĩa hệ thống đưa cảnh báo có máy ping đến máy chủ có địa 192.168.2.2 Giá trị ttl=128 giá trị mặc định gói icmp Văn Đình Qn-0021 Trang 59 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables · Rule thứ 2: drop icmp any any → 192.168.1.9/24 80 (msg: “Drop Ping”; ttl:100;sid:1000002;) Rule có nghĩa IPS ngắt kết nối đến server có máy sử dụng lệnh ping với gói icmp có giá trị ttl=100 3.3 DEMO KẾT QUẢ Trước tiên ta chạy rule thứ 1, từ máy hacker ta tiến sử dụng lệnh ping đến địa sever Kết thu sau: Bước 1: Tại máy hacker Hình 3-2 Từ máy hacker ping với giá trị ttl=100 đến máy chủ Kết quả: Khi nhận lại tín hiệu reply từ máy server Văn Đình Quân-0021 Trang 60 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Bước 2: Tại máy server Ta truy cập vào ACIDBase để xem log ghi lại: Hình 3-3 Các file log ghi lại server Văn Đình Quân-0021 Trang 61 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Bước 3: Ta tiến hành dùng lệnh ping với giá trị tll=100 Hình 3-4 Từ máy hacker tiến hành ping đến máy server Kết quả: Server không reply lại, máy hacker kết nối đến IPS Server Văn Đình Quân-0021 Trang 62 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables Bước 4: Ta truy cập vào Acid base để xem log Hình 3-5 Các file log hệ thống IPS ghi lại Văn Đình Quân-0021 Trang 63 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables KẾT LUẬN VÀ HƯỚNG MỞ KẾT LUẬN Về mặt lý thuyết luận văn nêu vấn đề hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập Bên cạnh đưa giải pháp xây dựng hệ thống IPS thực tế triển khai hiệu đánh giá cao Đã xây dựng thành công hệ thống IPS thực tế hoạt động với yêu cầu đặt Hạn chế đề tài triển khai hệ thống phân đoạn mạng nhỏ, nên chưa đánh giá hết hiệu xuất hệ thống vấn đề hệ thống IPS gặp phải triển khai thực tế HƯỚNG MỞ Ứng dụng triển khai hệ thống IPS với Snort iptables thực tế để đánh giá hết hiệu vấn đề gặp phải Từ có biện pháp để khắc phục, hồn thiện cho hệ thống Ứng dụng Snort để xây dựng hệ thống IDS, IPS lớn đặt ISP để hạn chế hoạt động công mạng cho mạng lớn Xây dựng phát triển hệ thống IPS phân tán Văn Đình Quân-0021 Trang 64 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables TÀI LIỆU THAM KHẢO Tiếng việt [1] Trần Văn Khá – Firewall linux iptables Đại Học Duy Tân, 2008 Tiếng Anh [1] Rafeeq Ur Rehman – Intrusion Detection Systems with Snort Prentice Hall PTR, 2003 [2] Jay Beale and Snort Development Team – Snort 2.1 Instrusion Detection Second edition Syngress Publishing, Inc, 2004 [3] The snort project - Snort® Users Manual Sourcefire Inc, 2009 [4] Red Hat Product Documentation Team - Red Hat Enterprice Linux 4: Security Guide Red Hat Inc, 2008 Trang web tham khảo [1] http://www.windowsecurity.com/articles/Intrusion_Detection_Systems_IDS_Part_I netw ork_intrusions_attack_symptoms_IDS_tasks_and_IDS_architecture.html [2] http://www.windowsecurity.com/articles/IDS-Part2-Classification-methods- techniques.html [3] http://www.windowsecurity.com/articles/Hids_vs_Nids_Part2.html [4] http://www.openmaniak.com/inline_final.php [5] http://www.focus.com/fyi/it-security/ids-vs-ips/ [6] http://linuxgazette.net/117/savage.html [8] http://snort.org [9] http://sourcefire.com [10] http://hvaonline.net Văn Đình Quân-0021 Trang 65 ... quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Module phản ứng Văn Đình Quân-0021 Trang 13 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables tùy theo hệ thống mà có chức khác... Trang 16 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables 1.2.4 Công nghệ ngăn chặn xâm nhập IPS 1.2.4.1 Signature-based IPS Hình 1-7 Signature-based IPS Là tạo rule gắn liền với hoạt... trị hệ thống, hệ IPS sử dụng phát bất thường gây Văn Đình Quân-0021 Trang 20 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort IPTables cảnh báo miễn tài khoản không sử dụng để quản trị hệ thống