MỤC LỤC LỜI MỞ ĐẦU DANH MỤC VIẾT TẮT .4 PHÂN CÔNG CÔNG VIỆC CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Giới thiệu 1.2 Đặc điểm đánh giá hệ thống phát xâm nhập .6 1.2.1 Độ bao phủ 1.2.2 Xác suất báo động giả .8 1.2.3 Xác suất phát 10 1.2.4 Khả chống công trực tiếp IDS 11 1.2.5 Khả điều khiển lưu lượng băng thông cao 12 1.2.6 Khả tương quan kiện 12 1.2.7 Khả phát công chưa xảy 12 1.2.8 Khả định danh công 13 1.2.9 Khả phát công thành công 13 1.2.10 Công suất kiểm chứng cho NIDS 13 1.2.11 Các độ đo khác 14 1.3 Nỗ lực đánh giá IDS có 14 1.3.1 Đại học California Davis (UCD) 16 1.3.2 Phịng thí nghiệm Lincoln MIT (MIT/LL) 16 1.3.3 Phịng thí nghiệm nghiên cứu không quân (AFRL) 17 1.3.4 MITRE 18 1.3.5 Neohapsis/ Network-Computing 18 1.3.6 Nhóm NSS 19 1.3.7 Network World Fusion 19 1.4 Những thách thức Testing IDS 20 1.4.1 Những khó khăn việc thu thập Scripts công phần mềm Victim 20 1.4.2 Yêu cầu cho đánh giá IDS dạng Signature Based Anomaly Based 21 1.4.3 Những yêu cầu khác biệt cho đánh giá IDS Network Based với Host Based 22 1.4.4 phương pháp tiếp cận tới việc sử dụng Background Traffic đánh giá IDS 22 1.5 Giải pháp nghiên cứu đánh giá IDS 23 1|Page 1.5.1 Chia sẻ liệu 23 1.5.2 Về dấu vết công 24 1.5.3 Dọn dẹp liệu thực 24 1.5.4 Bộ liệu báo động cảm biến 25 1.5.5 Sử dụng công nghệ 25 CHƯƠNG II KHÁI QUÁT VỀ FTESTER 26 2.1 Giới thiệu Ftester 26 2.2 Thành phần 26 2.3 Hoạt động 26 CHƯƠNG III ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ 30 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 32 2|Page LỜI MỞ ĐẦU Ngày nay, công nghệ thông tin phát triển cách mạnh mẽ đem lại lợi ích ứng dụng vơ to lớn cho người đặc biệt lĩnh vực Internet Thương Mại Điện Tử Mạng máy tính đời, mở rộng phát triển không ngừng tạo nên hệ thống mạng Internet tồn cầu Ngày có nhiều người nhận lợi ích việc nối mạng (để chia sẻ tài nguyên, trao đổi tìm kiếm thơng tin hiệu quả, nhanh chóng, tiết kiệm thời gian chi phí, ), Internet thực trở thành phần thiếu sống người Tuy nhiên, việc truyền thông mạng phải qua nhiều trạm trung gian, nhiều nút với nhiều người sử dụng khác không dám thông tin đến tay người nhận không bị thay đổi không bị chép Chúng ta nghe nhiều vấn đề thông tin bị đánh cắp gây thiệt hại nghiêm trọng hay kẻ thường xuyên trộm thông tin người khác, chí ăn trộm mật giả mạo nhằm phá hoại việc giao dịch Thực tế cho thấy số vụ công vào mạng ngày tăng, kỹ thuật công ngày đa dạng Chính mà vấn đề an tồn đặt lên hàng đầu nói đến việc truyền thơng mạng Có nhiều cách để thực an tồn mạng như: phương pháp kiểm sốt lối vào, ngăn cản xâm nhập trái phép vào hệ thống kiểm sốt tất thơng tin gửi bên hệ thống, hay sử dụng phương pháp mã hoá liệu trước truyền, ký trước truyền, Ngồi ra, cơng nghệ phát ngăn chặn xâm nhập ứng dụng hiệu Và đánh giá hệ thống phát xâm nhập xem đắn hay chưa việc quan trọng Bởi nhóm em chọn đề tài “ Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập tìm hiểu Ftester qua ứng dụng hệ thống cụ thể ” Do kiến thức thời gian cịn hạn chế nên khơng tránh khỏi thiếu sót mặt nội dung hình thức, mong bạn tham khảo bổ sung cho nhóm, để nhóm hồn thiện báo cáo Chúng em xin trân thành cảm ơn!!! 3|Page DANH MỤC VIẾT TẮT Ký hiệu Từ viết tắt IDS Intrusion Detection System CVE Common Vulnerabilities and Exposures NIDS Network Intrusion Detection System ROC Receiver Operating Characteristic NSM Network Security Monitor AFRL Air Force Research Laboratory 4|Page PHÂN CÔNG CÔNG VIỆC STT HỌ VÀ TÊN LÊ THỊ LINH CƠNG VIỆC Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập VŨ HỒNG ĐẠT Tìm hiểu Ftester LÊ VĂN PHƯƠNG Thực Demo ứng dụng Ftester đánh giá hệ thống phát xâm nhập cụ thể 5|Page 1.1 CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Giới thiệu Trong năm qua việc sử dụng hệ thống phát xâm nhập (IDS) thương mại phát triển mạnh mẽ, IDS thiết bị tiêu chuẩn cho doanh nghiêp mạng lớn Mặc dù có đầu tư lớn phương pháp có sẵn lại khơng tồn diện nghiêm ngặt để kiểm tra tính hiệu hệ thống Một số đổ lỗi cho người tiêu dùng khơng địi hỏi biện pháp hiệu trước mua IDS Một số đổ lỗi cho đơn vị nghiên cứu tài trợ không đầu tư nhiều tiền lĩnh vực Nhưng phương pháp đo lường ngoại lệ Tuy nhiên, định lượng đo hiệu IDS khơng có sẵn có nhiều rào cản nghiên cứu cần phải vượt qua trước tạo kiểm tra Bài viết nêu phép đo định lượng mà cần, trở ngại cản trở tiến để phát triển phép đo, ý tưởng cho nghiên cứu phương pháp đo lường hiệu hệ thống phát xâm nhập để vượt qua trở ngại 1.2 Đặc điểm đánh giá hệ thống phát xâm nhập Trong phần liệt kê phép đo mà thực hệ thống phát xâm nhập – IDS 1.2.1 Độ bao phủ Số đo xác định công mà IDS phát điều kiện lý tưởng Đối với hệ thống dựa chữ ký, điều đơn giản bao gồm việc đếm số lượng chữ ký lập đồ chúng vào sơ đồ đặt tên tiêu chuẩn Đối với hệ thống phi chữ ký, người ta cần phải xác định cơng bên ngồi tập cơng biết thơng qua phương pháp đặc biệt Mỗi cơng có mục tiêu cụ thể (ví dụ từ chối dịch vụ, thâm nhập, quét,…); phần mềm chống đặc biệt chạy phiên hệ điều hành cụ thể giao 6|Page thức chống lại cụ thể; chứng hay dấu vết để lại địa điểm khác Các cơng phụ thuộc vào phần cứng hệ thống bị công, phiên giao thức sử dụng, phương thức hoạt động sử dụng Các nhà nghiên cứu nhấn mạnh loạt tính khác nghiên cứu đo lường họ bao gồm: mục tiêu công; kiểu liệu nạn nhân mà phải thu thập để có chứng công; cơng sử dụng kỹ thuật trốn tàng hình IDS kết hợp tính Kết số nhà nghiên cứu thừa nhận cơng có nhiều mục tiêu phương thức hoạt động, người khác xác định cơng có cấu hình mục tiêu phương thức hoạt động cụ thể Chênh lệch có liên quan đến mức xác độ chi tiết để quan sát cơng làm cho khó khăn việc đếm số lượng cơng mà IDS phát khó khăn để so sánh độ bao phủ IDS Vấn đề làm dịu bớt phần nhờ danh sách Common Vulnerabilities and Exposures (CVE), danh sách chứa tất lỗ hổng biết đến Tuy nhiên, cách tiếp cận CVE không giải vấn đề mà công phức tạp sử dụng để khai thác lỗ hổng tương tự cách sử dụng phương pháp tiếp cận khác để tránh hệ thống IDS Để giải vấn đề này, nhóm tiêu chuẩn CVE bắt đầu dự án đặt tên cho công, công việc giai đoạn nghiên cứu Một vấn đề khác với việc đánh giá độ bao phủ cơng xác định tầm quan trọng kiểu công khác Các trang web khác gán giá trị chi phí quản lý thay đổi rộng tầm quan trọng việc phát kiểu công khác Các nhà quản lý trang web thương mại điện tử khơng quan tâm đến việc phát phân tích tia quét giám sát công mà sử dụng để xác định máy chủ nguồn tài ngun khác mạng Thường cơng khơng có ảnh hưởng đến việc kinh doanh 7|Page họ thường ngăn chặn Tuy nhiên, quản lý thương mại điện tử quan tâm việc phát phân tán công từ chối dịch vụ (DDoS), việc phát thành công thỏa hiệp máy chủ ẩn trang web Điều nhấn mạnh khác với phương pháp tiếp cận đa số đánh giá thương mại bao gồm dò giám sát cơng Các trang web qn tập trung nhiều ý đến nỗ lực giám sát công thực nghiệm để xác định tiền thân mối đe dọa nghiêm trọng Ngồi ra, hầu hết trang web khơng thể phát cơng tìm kiếm lỗ hổng thất bại chúng khơng cịn tồn trang web Các cơng thất bại hoạt động hệ thống vá khơng cịn dễ bị cơng; hệ thống với hệ điều hành yêu cầu không tồn tại, tường lửa khối thiết bị bảo vệ công quan trọng khác Một số trang web cụ thể giám sát vài số hàng ngàn lỗi bảo mật biết đến CVE, chúng thay đổi tương ứng với hệ thống thay thế, vá lỗ hổng, cấu hình lại lỗ hổng phát 1.2.2 Xác suất báo động giả Số đo xác định tỷ lệ dương tính với phát sai tạo IDS môi trường mang đến khung thời gian cụ thể Một báo động giả hay sai cảnh báo gây lưu lượng tin bình thường không độc hại Một số nguyên nhân cho Network IDS (NIDS) có chữ ký yếu rằng: cảnh báo tất lưu lượng truy cập đến số hiệu cổng cao sử dụng backdoor; tìm kiếm cho xuất từ phổ biến chẳng hạn "help" 100 byte SNMP kết nối TCP khác; phát hành vi vi phạm phổ biến giao thức TCP Chúng gây mạng lưới giám sát bình thường bảo vệ lưu lượng tin tạo cơng cụ quản lý mạng Khó khăn việc đo lường báo động sai IDS có tỷ lệ dương tính với báo động giả khác 8|Page môi trường mạng lại khơng có điều "tiêu chuẩn mạng" Ngồi ra, khó để xác định khía cạnh lưu lượng mạng hoạt động máy chủ gây báo động giả Kết là, khó khăn để đảm bảo chúng tơi tạo số lượng kiểu báo động sai kiểm thử IDS giống tìm thấy mạng thực Cuối cùng, IDS cấu hình điều chỉnh theo nhiều cách khác để làm giảm tỷ lệ dương tính giả Điều làm khó khăn việc xác định cấu hình IDS sử dụng cho kiểm thử dương tính giả đặc biệt Một đường cong ROC tổng hợp xác suất báo động giả xác suất phép đo phát Chúng tơi đề cập đến tầm quan trọng cộng đồng thử nghiệm IDS Đường cong tóm tắt mối quan hệ hai số đặc điểm IDS quan trọng là: dương tính sai xác suất phát Trong hình 1, hiển thị đường cong hoạt động đặc trưng thu (ROC) tạo hai hệ thống thử nghiệm IDS Hình Đường cong ROC- Độ xác tỷ lệ phần trăm cơng bị phát với tỷ lệ phần trăm báo động sai 9|Page Trục x cho thấy tỷ lệ báo động sai tạo kiểm tra trục y cho thấy tỷ lệ phần trăm công phát tỷ lệ phần trăm báo động giả Lưu ý IDS hoạt động điểm đường cong Trong ví dụ này, hệ thống điều chỉnh đến loạt điểm hoạt động, hệ thống khó khăn để cấu hình có điểm hoạt động thực tế Theo định nghĩa, đường cong ROC cho thấy xác suất trục x trục y, đơn vị đo lường cho lưu lượng bình thường khó khăn để xác định Kết là, nhà nghiên cứu sử dụng báo động sai theo đơn vị thời gian trục x Một đơn vị đo cần thiết để xác định số lượng tối đa báo động sai xảy khoảng thời gian định Đơn vị đo lường phụ thuộc nhiều vào cách mà tính tách xuất IDS từ liệu đầu vào sử dụng khó để xác định cho hệ thống phát xâm nhập thương mại hệ thống hộp đen khác Đối với mục đích đánh giá, có lẽ tốt để vẽ tỷ lệ phát so với báo động giả đơn vị thời gian Những đường cong không thực đường cong ROC, chúng truyền đạt thông tin quan trọng phân tích so sánh IDS Trong hình1, hai hệ thống dựa NIDS, đơn vị đo tổng số gói tin truyền qua mạng Các phân tích cho rằng, lúc tồi tệ nhất, IDS phát hành cảnh báo cho gói tin, số lượng tối đa cảnh báo tổng số gói tin truyền 1.2.3 Xác suất phát Số đo xác định tỷ lệ cơng phát cách xác IDS môi trường mang lại khung thời gian cụ thể Khó khăn việc đo lường tỷ lệ phát thành công IDS phần lớn phụ thuộc vào thiết lập công sử dụng lần đánh giá Ngoài ra, khả phát thay đổi theo tỷ lệ dương tính giả, IDS 10 | P a g e GOTS, phát cơng tổng thể có độ xác cịn khoảng 25% mức báo động giả chấp nhận 1.3.4 MITRE Tổng công ty MITRE tổ chức Intrusion Detection Fly-Off, đánh giá hệ thống phát xâm nhập thương mại phủ Hoạt động điều tra đặc trưng khả mạng dựa IDS Bảy IDS thử nghiệm cách sử dụng phương pháp hai giai đoạn Giai đoạn I bao gồm công tương đối đơn giản cách sử dụng công cụ SATAN Giai đoạn cho IDS khai thác hội để làm quen với IDS khác, cho kẻ công hội để thực hành công hệ thống Giai đoạn II thiết kế để mô công xác định, liên quan đến cơng tàng hình đơn giản phức tạp Kết tính tạo khả thời gian cảnh báo; báo cáo lực; phân tích khả offline; khả phản ứng; hệ thống quản lý từ xa Những phân tích điểm yếu tiết lộ việc thực ổn định số hệ thống kiểm thử Hai số hệ thống thương mại thử nghiệm phát nhiều công cấp độ thấp so với ba hệ thống quyền phát triển, có lẽ họ có nhiều chữ ký cho công Tuy nhiên hệ thống phủ phát triển phù hợp để phát phân tích cơng cấp cao thực phiên tương tác Những kẻ công với kiến thức định chữ ký sử dụng IDS, tạo cơng tàng hình khơng phát 1.3.5 Neohapsis/ Network-Computing 18 | P a g e Từ năm 1999, tạp chí Network Computing tài trợ đánh giá sản phẩm phát xâm nhập thương mại Neohapsis Laboratories Các đánh giá gần bao gồm 13 IDS thương mại mã nguồn mở Snort IDS Kết định tính tập trung vào đặc điểm thực tế bao gồm tính dễ sử dụng khung quản lý, ổn định, chi phí hiệu quả, chất lượng chữ ký / chiều sâu, dễ dàng tùy biến Kết định lượng bao gồm số lượng công phát mức độ dung lượng tối đa xử lý trước IDS bắt đầu bỏ gói liệu, không thực việc kiểm tra chữ ký, phân mảnh gói liệu bị thất bại 1.3.6 Nhóm NSS Nhóm NSS đánh giá IDS quét lỗ hổng năm 2000 2001 Các báo cáo năm 2001 đánh giá IDS bao gồm 15 sản phẩm IDS thương mại mã nguồn mở Snort IDS Phần lớn báo cáo trình bày chi tiết thông tin cho IDS kiến trúc nó, dễ dàng cài đặt cấu hình Mười hai IDS so sánh cách sử dụng 18 66 lỗ hỗng phổ biến có sẵn bao gồm quét cổng, DoS, Distributed DoS, Trojans, Web, FTP, SMTP, POP3, ICMP, công Finger Các công tính phát họ báo cáo "càng đơn giản rõ ràng tốt." Tỷ lệ phát công đo 100 M bit / s , mạng với khơng có lưu lượng tin lưu lượng nhỏ (64 byte) giới thực, lưu lượng lớn (1514 byte) gói tin tiêu thụ giá trị 0%, 25%, 50%, 75% 100% băng thông mạng 1.3.7 Network World Fusion Một xem xét hạn chế năm IDS thương mại báo cáo Tạp chí Network World Fusion Đánh giá thảo luận tính dễ dàng thiết lập sử dụng, đánh giá độ phát xác sử dụng 27 19 | P a g e công phổ biến đưa ba máy tính nạn nhân Những cơng web tàng hình tạo cách sử dụng công cụ công “whisker” 1.4 Những thách thức Testing IDS Có số khía cạnh IDS khiến cho việc đánh giá IDS trở nên nhiều thách thức Cụ thể trình bày 1.4.1 Những khó khăn việc thu thập Scripts công phần mềm Victim Một vấn đề mà kìm hãm tiến lĩnh vực khó khăn việc thu thập kịch công phần mềm nạn nhân Để thu thập lượng lớn số kịch công việc khó khăn tốn Trong kịch phổ biến rộng rãi Internet, phải thời gian để tìm thấy kịch có liên quan đến mơi trường thử nghiệm cụ thể Khi kịch xác định, với người có kinh nghiệm vững phải khoảng tuần để xem xét mã, kiểm tra khai thác, xác định nơi công bỏ sót chứng, tự động hóa cơng, tích hợp vào mơi trường thử nghiệm Như thể Bảng 1, số lượng kiểu công sử dụng đánh giá thực thi năm 2001 phạm vi từ đến 66 Một vấn đề liên quan khó khăn (nhưng dường cần thiết) để thu thập phần mềm nạn nhân phù hợp có liên kết với kịch cơng Thường kịch khác làm việc với số phiên cụ thể phần mềm điều khó khăn để đạt Bản thân phần mềm khó khăn để có chi phí đắt phần mềm khơng thực cơng khai Ngồi ra, phiên phần mềm cũ dễ bị tổn thương khơng dễ dàng có từ nhà cung cấp Phần mềm dễ bị tổn thương cần thiết cho đánh giá gói tin cơng khơng đơn giản đưa vào IDS Nếu khơng có thơng tin tính sử 20 | P a g e dụng để phát công, cách để xác định xem công phát chạy thành cơng cơng 1.4.2 Những yêu cầu khác biệt cho đánh giá IDS dạng Signature Based Anomaly Based Mặc dù hầu hết hệ thống phát xâm nhập thương mại Signature Based, nhiều hệ thống nghiên cứu lại Anomaly Based, phương pháp thử nghiệm IDS làm việc cho hai ý tưởng tốt Điều đặc biệt quan trọng từ muốn so sánh hiệu suất hệ thống nghiên cứu tới để hệ thống thương mại có Tuy nhiên, việc tạo đánh giá để bao gồm hai loại hệ thống đặt số vấn đề Hệ thống Anomaly Based yêu cầu lưu lượng tin thông thường cho q trình tập huấn mà khơng bao gồm công Theo MIT / LL 1999 đánh giá, kiểu liệu tập huấn đặc biệt cung cấp để đào tạo hệ thống phát bất thường (Anomaly ), khơng có sẵn cho đánh giá khác Hệ thống Anomaly Based tìm hiểu thành phần lạ phương pháp đánh giá qua thực tốt mà khơng thực phát thấy công thực Điều xảy tất công thử nghiệm phát động từ user cụ thể, địa IP, subnet địa MAC Tuy nhiên, hệ thống Anomaly tìm hiểu đặc điểm tế nhị mà khó xác định trước kích thước cửa sổ gói tin, cổng, tốc độ đánh máy, lệnh set sử dụng, cờ TCP, thời hạn kết nối mà cho phép chúng thực cách giả tạo tốt mơi trường kiểm thử Trong IDS Signature Based lại phát tập hợp công cụ thể 21 | P a g e 1.4.3 Những yêu cầu khác biệt cho đánh giá IDS Network Based với Host Based Đánh giá IDS host based đặt số khó khăn mà khơng có đánh giá IDS network based Đặc biệt, IDS network based kiểm tra offline cách tạo tập tin log có chứa lưu lượng TCP sau phát lại lưu lượng tới IDS Đây điểm thuận lợi tất IDS test thời điểm, việc lặp lại test dễ làm Mặt khác, IDS host based sử dụng loạt yếu tố đầu vào hệ thống để xác định hệ thống có bị cơng hay khơng Tập yếu tố đầu vào thay đổi IDS Ngoài ra, IDS host based thiết kế để theo dõi máy chủ trái ngược với nguồn cấp liệu ( giống IDS network based) Điều trở nên khó khăn để hoạt động lại từ tập tin log danh sách để test IDS host based 1.4.4 Các phương pháp tiếp cận tới việc sử dụng Background Traffic đánh giá IDS i Đánh giá không sử dụng background traffic/logs Trong thí nghiệm này, IDS thiết lập máy chủ máy mạng mà không hoạt động Sau đó, cơng máy tính bạn khởi động máy chủ máy mạng để xác định IDS phát cơng hay khơng Kỹ thuật xác định tỷ lệ hit IDS khơng nói tình trạng dương tính giả Ưu điểm, Cách tiếp cận hữu ích cho việc xác minh IDS có dấu hiệu cho tập hợp cơng IDS dán nhãn cho cơng Hơn cách tiếp cận thường tốn việc thực thi so với cách tiếp cận thư viện, tạo background traffic or logs 22 | P a g e Tuy nhiên, nhược điểm test cách sử dụng chương trình dựa giả thuyết tiềm ẩn khả IDS phát công hoạt động background ii Đánh giá sử dụng traffic/logs thực Đây phương pháp hiệu để xác định tỷ lệ hit (tỉ lệ bắt đúng) IDS cho mức độ cụ thể hoạt động background Đánh giá tỷ lệ hit sử dụng kỹ thuật đón nhận hoạt động background có thật chứa tất hoạt động background bất thường tinh tế Hơn nữa, kỹ thuật cho phép so sánh tỷ lệ hit IDS cấp độ khác Tuy nhiên, có số mặt hạn chế để sử dụng kỹ thuật này: • Phần cứng có nhiều khó khăn việc phát lại gói liệu mạng với tốc độ 100 Mb / giây cố gắng song song hóa kết tiến trình vấn đề xếp trình tự gói tin • Những thí nghiệm thường sử dụng tập hợp nhỏ máy tính nạn nhân thiết lập cho mục đích bị công thời gian thử nghiệm Một số IDS phát số máy bị cơng nâng cao cách giả tạo hiệu đánh giá chúng • Các hoạt động background thực sử dụng bao gồm số bất thường mạng, cách có lợi cho IDS IDS khác Điều xảy mạng thử nghiệm sử dụng giao thức cụ thể tiến hành sâu IDS cụ thể IDS xử lý giao thức sau bỏ lỡ cơng mà phát 1.5 Giải pháp nghiên cứu đánh giá IDS 1.5.1 Chia sẻ liệu 23 | P a g e Có nhu cầu lớn liệu đánh giá IDS mà chia sẻ cởi mở nhiều tổ chức Hiện liệu sử dụng thường xuyên nhà nghiên cứu Nếu khơng có chia sẻ liệu, nhà nghiên cứu IDS phải tiêu hao tài nguyên khổng lồ để tạo liệu độc quyền sử dụng liệu đơn giản hạn hẹp cho trình đánh giá họ 1.5.2 Về dấu vết công Ở phần trước việc thu thập lượng lớn kịch cơng cho mục đích đánh giá khó khăn tốn Chúng ta sử dụng biện pháp thay sử dụng dấu vết cơng thay dùng tới công thực Dấu vết công tập tin log mà tạo cơng đưa xác định xác xảy cơng Dấu vết thường bao gồm tập tin có chứa gói tin mạng hệ thống file tương ứng với thể công Chúng cần hiểu biết tốt lợi bất lợi việc phát lại dấu vết giống một phần đánh giá IDS Ngồi ra, có nhu cầu lớn dấu vết công để cung cấp bảo mật cho cộng đồng mạng Thơng tin dễ dàng thêm vào sở liệu có Kết dấu vết sở liệu tổn thương / cơng giúp nhà nghiên cứu đánh giá IDS cung cấp liệu có giá trị cho nhà phát triển IDS 1.5.3 Dọn dẹp liệu thực Dữ liệu thực tế thường phân phối vấn đề riêng tư nhạy cảm Phương pháp dùng để loại bỏ liệu bí mật background traffic giữ tính cần thiết traffic phép sử dụng liệu đánh giá IDS Một bước tiến làm giảm bớt cần thiết cho 24 | P a g e nhà nghiên cứu việc dành nhiều công sức tạo môi trường mô với chi phí cao 1.5.4 Bộ liệu báo động cảm biến Một số hệ thống xâm nhập tương quan khơng sử dụng dịng liệu thơ (như mạng liệu kiểm toán) đầu vào Nhưng thay dựa vào cảnh báo thơng tin tổng hợp báo cáo từ IDS, cần phải phát triển hệ thống tạo tập tin log cảnh báo thực tế cho hệ thống đánh giá tương quan Một giải pháp triển khai cảm biến thực tế cải thiện dòng cảnh báo kết việc thay địa IP 1.5.5 Sử dụng công nghệ Công nghệ phát triển IDS bao gồm công nghệ “ meta-IDS” ; “IDS appliances” ; cơng nghệ “Application-layer” • Cơng nghệ “ meta-IDS” cố gắng giảm bớt gánh nặng quản lý liệu nhà cung cấp phải vượt qua • “IDS appliances” hứa tăng khả quản lý từ xa mạnh mẽ • Cơng nghệ “Application-layer” lọc lưu lượng công tiềm để scanner phân đoạn mạng chuyên dụng Những hướng phát triển tập trung vào công nghệ cho doanh nghiệp nhà cung cấp dịch vụ ví dụ đại diện nỗ lực nghiên cứu nhằm giải khó khăn dương tính giả, tắc nghẽn lưu lượng truyền, công nghiêm trọng từ cảnh báo phiền phức 25 | P a g e 2.1 CHƯƠNG II KHÁI QUÁT VỀ FTESTER Giới thiệu Ftester Ftester công cụ dùng để kiểm tra firewall IDS Ftester gồm hai perl script ftest ftestd Trong ftest đọc config file gửi gói tin chứa mã độc, ftestd đóng vai trò sniffer đặt sau firewall Việc so sánh gói tin phát nhận đánh giá hiệu xuất firewall Ftest ftestd kết hợp với để tạo nên stateful traffic, dùng để test stateful IDS firewall 2.2 Thành phần Ftester gồm hai script Perl Script ftest đc sử dụng để đưa vào gói tuỳ ý định nghĩa file cấu hình ftest.conf Nếu bạn test cách hoạt động firewall với lưu lượng vào, bạn nên chạy script máy tính bên ngồi mạng thiết lập firewall Nếu bạn muốn test hoạt động firewall lưu lượng bạn cần chạy ftest từ máy tính mạng bảo vệ firewall bạn Một kiểu script khác ftestd lắng nghe để tìm gói đưa vào ftest qua firewall mà ban test Bạn nên chạy script máy mạng nội bạn test hành vi vào firewall Nếu bạn test hành vi ra, bạn cần chạy máy bên ngồi mạng Cả hai script ghi mà chúng gửi nhận Sau chạy thử, log tương ứng chúng so sánh cách sử dụng script freport để thấy nhanh gói qua firewall 2.3 Hoạt động Trước sử dụng Fteser bạn cần có số Mơđun Perl sau: RawIP,Pcap, PcapUtils, Netpacket Nếu bạn có Mơđun Perl CPAN bạn cài đặt lệnh sau: 26 | P a g e Code: #perl -MCPAN -e "install Net::RawIP" #perl -MCPAN -e "install Net::PcapUtils" #perl -MCPAN -e "install Net::Netpacket" Khi chuẩn bị đồ nghề xong bạn cần tạo file cấu hình ftest biết gói mà nhận Sau dạng chung cho gói TCP UDP ftest.conf soucre addr source port địa cổng IP nguồn dest addr dest port địa cổng IP đích: Code: source addr.soucrce port.dest addr.dest port.flags.proto.tos Các dãy địa xác định theo định dạng low-high cách sử dụng ký hiệu CIDR Bạn xác định cách sử dụng định dạng low-high Trường flags nơi bạn xác định cờ TCP mà bạn muốn xác lập cho gói Các giá trị hợp lệ cho trường cho SYN, A cho ACK, P cho PSH, U cho URG, R cho RST F cho FIN Trường proto xác định giao thức cần sử dụng (TCP or UDP) ToS chứa số cần xác lập cho trường Type-of-service (ToS) header IP Đôi router sử dụng nội dung trường để đưa định việc ưu tiên hoá lưu lượng Bạn định nghĩa gói ICMP theo cách tương tự Sau dạng chung cho gói ICMP: Code: source addr.:dest addr.::ICMP:type:code Nhìn ta thấy phức tạp nhìn kỹ lại bạn nhận khác biệt dạng việc bỏ qua số cổng cờ mà ICMP ko sử dụng Thay 27 | P a g e vào lại kết hợp với Type code (do có bổ sung trường type code) Hiện có 40 loại ICMP Các loại ICMP dc sử dụng tiện ích ping, type (echo), type (phản hồi dội), type 30 (traceroute) Các mã ICMP giống tập ICMP Không phải tất loại ICMP có mã ICMP kèm số mã ICMP gần số với số loại ICMP Còn phần muốn nói Đây ftest.conf kiểm tra tất cổng TCP có đặc quyền máy tính có địa IP 10.1.1.1 Code: 192.168.1.10:1025:10.1.1.1.1-1024:S:TCP:0 stop=signal=192.168.1.10:1025:10.1.1.1:22:S:TCP:0 stop_signal tạo payload cho gói ftestd biết việc test kết thúc Để test nhanh sử dụng tuỳ chọn -c xác định gói để gửi cách sử dụng cú pháp VD: Lệnh sau gửi gói có địa IP cổng nguồn 192.168.1.10:1025 đển cổng 22 10.1.1.1.1 Code: #./ftest -c 192.168.1.10:1025:10.1.1.1:22:S:TCP:0 Trước khởi động ftest bạn nên khởi động ftestd: Code: #./ftestd -i eth0 sau chạy ftest Code: #./ftest -f ftest.conf 28 | P a g e Lệnh tạo file Log có tên ftest.log chứa log gói mà ftest gửi Khi ftestd nhận tín hiệu dừng thốt, sau ta tìm thấy log gói mà nhận ftestd.log Bạn chép log sang máy tính khác chạy chúng thơng qua freport Nếu bạn sử dụng file cấu hình mà nhóm ví dụ cho phép lưu lượng SSH, SMPTP HTTP bạn nhận đc báo cáo tương tự sau: Code: #./freport ftest.log ftestd.log Authorized packets: -22 - 192.168.1.10:1025 > 10.1.1.1:22 S TCP 25 - 192.168.1.10:1025 > 10.1.1.1:25 S TCP 80 - 192.168.1.10:1025 > 10.1.1.1:80 S TCP 29 | P a g e CHƯƠNG III ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ Để hiểu rõ ứng dụng Ftester việc đánh giá hệ thống phát xâm nhập cụ thể mời cô bạn xem Demo cụ thể nhóm 30 | P a g e KẾT LUẬN Trên tất nội dung mà nhóm muốn trình bầy tới bạn Qua có cách nhìn tổng quan việc đánh giá hệ thống phát xâm nhập nào, biết cơng cụ thực đánh giá đó, Ftester Và thơng qua công cụ để đánh giá hệ thống phát xâm nhập cụ thể Tuy nhiên, kiến thức thời gian nhóm cịn hạn chế nên khơng thể tránh khỏi số thiếu sót, mong bạn sau xem xét nội dung đề tài nhóm bổ sung thêm để nhóm hồn thiện đầy đủ báo cáo Nhóm xin chân thành cảm ơn!!! Thành viên nhóm: Vũ Hồng Đạt Lê Văn Phương Lê Thị Linh 31 | P a g e TÀI LIỆU THAM KHẢO NISTIR 7007 - An Overview of Issues in Testing Intrusion Detection Systems NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Arden L Bement, Jr., Director www.itl.nist.gov/lab/bulletns/bltnjul03.htm / Testing Intrusion Detection Systems www.inversepath.com/ftester.html www.securityfocus.com/tools/3802 32 | P a g e ... hiệu Và đánh giá hệ thống phát xâm nhập xem đắn hay chưa việc quan trọng Bởi nhóm em chọn đề tài “ Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập tìm hiểu Ftester qua ứng dụng hệ thống cụ thể. .. HỌ VÀ TÊN LÊ THỊ LINH CƠNG VIỆC Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập VŨ HỒNG ĐẠT Tìm hiểu Ftester LÊ VĂN PHƯƠNG Thực Demo ứng dụng Ftester đánh giá hệ thống phát xâm nhập cụ thể. .. bầy tới bạn Qua có cách nhìn tổng quan việc đánh giá hệ thống phát xâm nhập nào, biết cơng cụ thực đánh giá đó, Ftester Và thơng qua công cụ để đánh giá hệ thống phát xâm nhập cụ thể Tuy nhiên,