Đại Học Quốc Gia Tp Hồ Chí Minh TRƯỜNG ĐẠI HỌC BÁCH KHOA - NGUYỄN HỒNG CHÂU Tối ưu hóa sở liệu hệ thống IDS/IPS Chuyên ngành: Kỹ thuật điện tử LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng năm 2011 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA THÀNH PHỐ HỒ CHÍ MINH - Cán hướng dẫn khoa học: ………………………………… Cán chấm nhận xét 1: ……………………………………… Cán chấm nhận xét 2: ……………………………………… Luận văn thạc sĩ bảo vệ HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, Ngày ………… tháng ………… năm …… TRƯỜNG ĐH BÁCH KHOA TPHCM PHÒNG ĐÀO TẠO SAU ĐH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc TPHCM, ngày …… tháng …… năm … NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Nguyễn Hoàng Châu Ngày, tháng, năm sinh: 30/06/1985 Chuyên ngành: Kỹ thuật điện tử Phái: Nam Nơi sinh: TP.HCM MSHV: 09140003 I) TÊN ĐỀ TÀI: TỐI ƯU HÓA CƠ SỞ DỮ LIỆU CỦA HỆ THỐNG IDS/IPS II) NHIỆM VỤ VÀ NỘI DUNG: 1) Nhiệm vụ: - Nghiên cứu phương pháp tạo rule cho loại công sở sử dụng phần mềm mã nguồn mở Snort nhằm nâng cao khả bảo mật an tồn thơng tin Snort - Mô hoạt động Snort với rule tạo tương ứng với loại cơng 2) Nội dung: - Tìm hiểu phần mềm mô máy ảo VMware để tạo mạng ảo mơ q trình cơng mạng - Nghiên cứu hoạt động, khả hoạt động cấu trúc rule Snort - Nghiên cứu hoạt động, cách cấu hình cho Honeypot để thu thập dấu hiệu cơng - Tìm hiều đặc điểm ngơn ngữ lập trình phổ biến Unix Perl C shell - Xây dựng giải thuật LCS (Longest Common Substrings) để tìm điểm chung dấu hiệu cơng Từ tạo rule sử dụng để phát nhiều loại công - Mô trình thu thập dấu hiệu cơng, thực LCS để tạo rule cho loại công , hoạt động Snort với rule tạo III) NGÀY GIAO NHIỆM VỤ: IV) NGÀY HOÀN THÀNH NHIỆM VỤ: V) CÁN BỘ HƯỚNG DẪN: TS.NGUYỄN MINH HOÀNG CÁN BỘ HƯỚNG DẪN CN BỘ MÔN QL CHUYÊN NGÀNH LỜI CẢM ƠN Tôi xin chân thành cảm ơn tiến sĩ Nguyễn Minh Hoàng, cán hướng dẫn khoa học giúp đỡ nhiều trình thực luận văn - Tơi xin cảm ơn gia đình, bạn đồng nghiệp công ty Renesas động viên, hỗ trợ giúp đỡ tơi hồn thành luận văn tốt nghiệp Tóm tắt luận văn thạc sĩ Mọi người giới ngày xích lại gần nhờ phát triển mạnh mẽ mạng Internet Internet phát triển kèm theo phát triển lọai hình cơng nhằm đánh cắp thơng tin, vơ hiệu hóa hệ thống, công nhằm thay đổi quyền quản trị hệ thống mạng cịn nhiều Do đó, vấn đề an ning mạng ngày trở nên quan trọng Phương pháp bảo mật cổ điển sử dụng tường lửa Tuy nhiên, có hệ thống tường lửa khơng thể ngăn chặn công Ngày nay, muốn ngăn chặn công cách hiệu quả, hệ thống an ninh mạng phải bao gồm nhiều thành phần: hệ thống tường lửa, hệ thống lọc nội dung, hệ thống phát phòng chống xâm nhập mạng (IDS/IPS) Trong đó, hệ thống IDS/IPS đóng vai trò quan trọng hệ thống an ninh mạng Các hệ thống IDS/IPS hoạt động dựa việc áp dụng rule cho gói thâm nhập vào hệ thống mạng phổ biến Đối với hệ thống sở liệu hệ thống (tập hợp rule) quan trọng Do đó, hệ thống IDS/IPS hoạt động có hiệu hay khơng phụ thuộc vào sở liệu Cơ sở liệu cập nhật rule thông qua việc chia sẻ rule thông qua mạng Internet Tuy nhiên, để tăng tính chủ động cho hệ thống cách tốt tự tạo rule cho hệ thống thông qua việc phân tích gói thâm nhập Trong luận văn trình bày phương pháp để tạo rule cho hệ thống IDS/IPS Snort hệ thống IDS/IPS mã nguồn mở, sử dụng rộng rãi giới Đây chương trình sử dụng luận văn để áp dụng rule tạo cho việc phát công Phần mềm Honeypot cung cấp báo cáo phục vụ cho việc phân tích gói tin Từ báo cáo thu nhận được, ta tìm điểm chung loại công dựa giải thuật LCS (Longest Common Substrings) Dựa nội dung nghiên cứu cấu trúc rule Snort, ta tạo rule tương ứng với loại công Việc tạo rule kiểm chứng khả áp dụng rule cho Snort thực mơ hình mơ Kết q trình mơ Snort phát loại công với rule tạo Trong tương lai, áp dụng phương pháp tạo rule cho Snort mạng thực Nghiên cứu triển khai việc tạo rule cho hệ thống IPS Snort-Sam hay Snort-Inline Tối ưu hóa sở liệu hệ thống IDS/IPS Mục lục Chương 1: Giới thiệu 1) Cơ sở nghiên cứu: 2) Các nghiên cứu có liên quan: 3) Hướng giải đề nghị luận văn: 4) Những vấn đề phải giải luận văn này: Chương 2: Tìm hiểu VMware 11 1) Khái niệm 11 2) Đặc trưng cách thức hoạt động 11 3) Các tiện ích VMware 12 4) Cách tạo nên máy ảo từ VMware: 12 5) Chia sẻ tài nguyên máy ảo: 12 6) Sử dụng Snapshot 18 Chương 3: Tìm hiểu Snort 20 1) Tìm hiểu Snort: 20 2) Cấu hình cho Snort: 36 Chương 4: Honeypots 41 1) Tìm hiểu honeypots: 41 2) Giả lập mạng với Honeyd 41 Chương 5: Giải thuật LCS 50 1) Giới thiệu 50 2) Giới thiệu C Shell: 50 3) Tìm hiểu Perl: 54 4) Giải thuật LCS: 57 Chương 6: Thực mô 63 1) Xây dựng mơ hình mạng ảo chương trình VMware: 63 2) Cấu hình cho Honeyd: 66 3) Dùng chương trình Nessus mơ loại cơng mới: 68 4) Mô công vào máy ảo tạo Honeyd: 69 5) Thực giải thuật LCS tạo rule cho Snort: 70 6) Chạy Snort với rule mới: 71 Chương 7: Kết luận 73 1) Kết đạt được: 73 2) Hạn chế: 73 3) Hướng phát triển: 73 Tài liệu tham khảo: 74 Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Mở đầu Hiện nay, Internet ngày phát triển mạng có dây, khơng dây mạng di động số lượng lớn dịch vụ cung cấp thơng qua Internet Mạng Internet có ưu điểm khuyết điểm Trong người tự truy cập dịch vụ liệu số người sử dụng Internet mà khơng có cảnh giác Kết vấn đề an ninh ngày nghiêm trọng Hiện tại, tất loại công virus, worm công từ chối dịch vụ xảy gần hàng ngày Kết là, chế phát bảo vệ phần mềm chống virus hệ thống phát công cài đặt để ngăn ngừa cơng Nếu khơng bảo vệ cách hiệu hiệu suất hoạt động máy tính hệ thống mạng bị ảnh hưởng trực tiếp cung cấp dịch vụ bình thường Và đó, trung tâm nghiên cứu tìm cách để tìm thành phần đặc trưng cơng qui tắc xác định trước dấu hiệu áp dụng công thực xảy Mặc dù vậy, thành phần việc công thường xuyên tạo mà phần mềm chống virus phần mềm phát công phát ngăn ngừa chúng Từ đó, hệ thống phát vi phạm bảo mật hệ thống phát công (IDS) hệ thống ngăn ngừa công cài đặt vào hầu hết hệ thống mạng Thêm vào đó, hệ thống IDS mã nguồn mở Snort Bro hồn tồn miễn phí sử dụng cách rộng rãi Cả hệ thống có sở liệu cho việc lưu trữ dấu hiệu công sử dụng để kiểm tra lưu lượng vào Phát công mạng thành phần quan trọng tổng thể việc bảo mật cho hệ thống mạng Với việc sử dụng hệ thống phát công mạng ngày phát triển với mức độ ngày cao để đảm bảo lưu lượng mạng không bị ảnh hưởng công thâm nhập mạng gây Hệ thống phát công hiệu suất cao cần thiết cho người quản trị mạng để bảo vệ hệ thống Internet khỏi cơng Hiện nay, nhà nghiên cứu tìm cách để thực thi thành phần hệ thống phát ngăn ngừa cho hệ thống sử dụng nhiều Snort Hệ thống phát cơng xác định hành động gây hại cho hệ thống xảy Còn hệ thống ngăn chặn cơng thực việc ngừng hành động công từ máy khác mạng Hiện hệ thống phát công sử dụng rộng rãi số Snort Snort IDS với việc phát công dựa vào việc áp dụng rule vào gói liệu bắt Mỗi rule tương ứng với loại công cộng đồng người dùng Snort chia sẻ mạng Vậy có loại cơng mới, hệ thống phải cập nhật rule từ đâu để Snort phát công mới? Làm để phát lọai cơng cách chủ động nhất? Để phát loại cơng cách chủ động ta tự tạo rule tương ứng với loại cơng Luận văn cung cấp phương pháp để tạo rule tương ứng với lọai công cho Snort Luận văn gồm phần sau: Chương 1: Giới thiệu Phần nêu lên nghiên cứu có liên quan đến hệ thống IDS/IPS Phạm vi nghiên cứu đề tài vấn đề cần giải Chương 2: Phần mềm mô mạng – VMware Phần trình bày chương trình VMware – chương trình mơ mạng phổ biến Sau ta tìm hiểu việc xây dựng mơ hình mơ bắng chương trình VMware Chương 3: Snort – phần mềm IDS mã nguồn mở Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Chương nêu lên vấn đề liên quan đến Snort: cấu trúc hệ thống, chể độ hoạt động Snort, cấu trúc rule … Chương 4: Honeypot – chương trình giả dạng mạng (máy) ảo Trong chương này, ta tìm hiểu tổng quan Honeypot cách để tạo máy ảo mạng thông qua ứng dụng Honeypot Honeyd Chương 5: Giải thuật LCS (Longest Common Substrings) Chương trình bày ngơn ngữ lập trình sử dụng để tìm điểm chung loại cơng Đồng thời chương trình bày giải thuật thực để tìm điểm chung Chương 6: Thực mô Trong chương ta thực việc tạo rule cho Snort cách sử dụng báo cáo từ Honeypot với việc áp dụng giải thuật LCS Sau đó, rule kiểm chứng xem dùng để phát công hay không thông qua trình chạy mơ Chương 7: Kết luận Phần nêu lên kết đạt được, mặt hạn chế định hướng phát triển luận văn Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Chương 1: Giới thiệu 1) Cơ sở nghiên cứu: Theo chuyên gia Symantec nhận định, thị trường CNTT VN phát triển nhanh, kèm theo vấn đề an ninh, bảo mật ngày trở nên đáng lo ngại Cùng với việc VN gia nhập WTO hội nhập kinh tế giới, mức độ bảo mật CNTT liên tục phải nâng cao để phù hợp với yêu cầu quốc tế Để nâng cao mức độ bảo mật, nhiều giải pháp phần mềm phần cứng đưa Song song với việc triển khai Firewall, giải pháp sử dụng hệ thống IDS/IPS nhằm mang lại giải pháp bảo mật tòan diện cho hệ thống mạng người dùng Tuy nhiên, chi phí cho việc triển khai thiết bị bảo mật IDS/IPS hãng cao nguồn kinh phí hoạt động cơng ty giới hạn Do đó, giải pháp bảo mật mà công ty lựa chọn sử dụng phần mềm IDS/IPS mã nguồn mở Snort hệ thống IDS/IPS mã nguồn mở, sử dụng rộng rãi giới Snort hoạt động dựa sở liệu loại công Theo báo cáo tình hình an ninh mạng Việt Nam năm 2009 Trung tâm An ninh mạng Bách Khoa (Bkis) vừa công bố cho thấy số lượng virus tăng đột biến, với 50.000 dòng virus xuất hiện, tăng gấp 1,5 lần so với năm 2008 gấp lần so với năm 2007 Ta thấy, số lượng công ngày nhiều, dẫn đến sở liệu hệ thống IDS/IPS ngày khó phát công cách kịp thời Vậy cách tốt tự tạo rule cho hệ thống Snort Nhờ hệ thống Snort đảm bảo hoạt động tốt với loại công xảy 2) Các nghiên cứu có liên quan: 2.1) Ngồi nước: a) Làm để quản lý việc sử dụng luật tất máy IDS SNORT phần mềm mã nguồn mở phổ biến dựa tổ hợp dấu hiệu luật cho việc phát công Các luật cập nhật tay nhà quản trị hệ thống Vấn đề cập nhật luật để tính ổn định hệ thống để làm giảm rủi ro nguy hiểm cơng Thêm vào đó, luật thực thi làm giảm hiệu suất hoạt động máy cài đặt SNORT Do đó, việc sử dụng luật SNORT tất vị trí phải kiểm soát Ta thiết kế thực thi việc quản lý luật cho SNORT IDS cung cấp có chứa cảm biến IDS cài đặt nhiều vị trí, quản lý IDS tự động cập nhật luật SNORT vị trí cảm biến IDS tải từ trang snort.org Các cảm biến IDS không theo dõi việc sử dụng luật máy chúng để tối thiểu hóa số luật thực thi mà cịn đảm bảo tính tương thích tồn hệ thống Hệ thống khơng phân tích việc sử dụng luật IDS riêng lẻ Do đó, hiệu suất IDS cải thiện Để phát ngăn chặn công từ bên bên ngoài, máy IDS cài đặt nhiều nơi bên mạng có cơng, dấu hiệu hồi đáp phát công máy IDS, cảnh báo ghi lại File ghi lại dùng để cảnh báo server IDS khác từ mà cơng phát ngăn chặn cách nhanh Nghiên cứu hướng tới việc quản lý việc sử dụng luật dấu hiệu tất máy IDS cài đặt để làm giảm số luật thực thi thời điểm mà hiệu suất sử dụng IDS hiệu lực Ta trọng đến việc Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS quản lý việc cập nhật luật dấu hiệu server IDS Thêm vào đó, file ghi lại cảnh báo lưu server IDS gởi tới nút quản lý trung tâm từ mà ta phân tích việc sử dụng luật tìm kiếm cảnh báo lỗi có Hệ thống đưa ghi lại thành phần cơng thơng qua việc ghi lại cảnh báo, phân tích luật mà dùng để tạo file cảnh báo báo cáo file tới nút quản lý trung tâm Nghiên cứu phát triển kỹ thuật để cập nhật dấu hiệu công nhiều server IDS Hầu hết hệ thống IDS dựa vào thành phần dấu hiệu công cần phải cập nhật cách liên tục từ mà hệ thống IDS ngăn chặn công cách hiệu Mặc dù vậy, hầu hết dấu hiệu cập nhật tay nhà quản trị hệ thống Với hệ thống mà có nhiều server IDS cài đặt, việc cập nhật dấu hiệu tay phức tạp không hiệu Hiệu SNORT, IDS mã nguồn mở sử dụng nhiều nhất, phụ thuộc vào dấu hiệu cập nhật tốt hay khơng Thêm vào đó, việc cập nhật dấu hiệu nhiều máy Snort gây mâu thuẫn làm tăng rủi ro công vào hệ thống Nghiên cứu thiết kế hệ thống quản lý IDS cung cấp giúp cho ta cập nhật hầu hết dấu hiệu cách hiệu xác Snort cài đặt dấu hiệu IDS cập nhật có tính chu kỳ Do đó, việc truyền luật server IDS phải thực thi b) Sử dụng L7 Filter công cụ ngăn chặn công (intrusionprevention-l7-filter_32868.pdf) Mục đích báo mơ tả khả L7 Filter công cụ ngăn chặn cơng giải thích làm cách để sử dụng luật Snort L7Filter xem công cụ thay cho Snort Inline Bài báo không đề cập đến công cụ tốt mà mang đến cách sử dụng cho L7 Filter L7 Filter công cụ dựa Netfilter Linux để xác định gói dựa liệu lớp ứng dụng Nó phân loại gói thành dạng Kazaa, HTTP, Jabber, Citrix, Bittorent, FTP,… thay cho cổng Nó thực thi phân chia có phù hợp với địa IP, số cổng,… L7 Filter sử dụng chủ yếu công cụ QoS Snort hệ thống phát ngăn chặn công mã nguồn mở việc sử dụng luật, tổ hợp tiện ích dấu hiệu, giao thức dấu hiệu khơng bình thường dựa phương pháp kiểm tra Với hàng triệu lượt tải tính đến tại, Snort kỹ thuật phát ngăn chặn công biết đến rộng rãi giới Phiên ngăn chặn công Snort gọi Snort Inline Ta sử dụng luật Snort chúng sử dụng dấu hiệu cơng mà pattern dựa vào đó, giống pattern L7-Filter áp dụng cho giao thức Việc mà ứng dụng làm tìm phần mở rộng tải gói IP có phù hợp với pattern cơng hay khơng, virus, malware, sử dụng cơng cụ trái phép Có vài cơng cụ mã nguồn mở chuyển luật Snort thành luật IPTables giống FWSNORT FWSNORT dùng khả phù hợp chuỗi IPTables để tìm kiếm phần mở rộng tải gói IP Vấn đề IPTable kiểm tra gói đơn khơng phải phận việc giao tiếp ứng dụng Để tránh điều này, FWSNORT sử dụng cơng cụ IPTables gọi ConnectionTracking cho phép tìm tất gói thuộc kết nối Tuy nhiên có vài vấn đề với giải pháp FWSNORT hoạt động lớp Layer lớp ứng dụng Snort Inline giải pháp khác Snort Inline dùng IPTables theo cách khác Dựa IPTables, Snort Inline xác định kết nối bình Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS - jmax: số lượng signature 5) số ví dụ: 5.1) Ví dụ 1: Ta có số dấu hiệu công sau: /aaaa/bb -> Signature_1 /aaaa/cc -> Signature_2 /aaaa/dd -> Signature_3 + Trước tiên ta kiểm tra Signature_1 Chuỗi ký tự kiểm tra lúc ban đầu Signature_1 Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Cắt bỏ ký tự cuối Signature_1 Lúc chuỗi ký tự kiểm tra là: “/aaaa/b” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục cắt bỏ ký tự cuối chuỗi ký tự kiểm tra Ký tự kiểm tra lúc là: “/aaaa/” Lúc này: - Signature_2 có chứa ký tự kiểm tra -> Loại bỏ Signature_2 khỏi danh sách dấu hiệu cơng - Signature_3 có chứa ký tự kiểm tra -> Loại bỏ Signature_3 khỏi danh sách dấu hiệu công + Danh sách dấu hiệu cơng khơng cịn loại dấu hiệu công  Chuỗi ký tự kiểm tra :”/aaaa/” chuỗi chung dài loại dấu hiệu cơng Signature_1, Signature_2, Signature_3 5.2) Ví dụ 2: Ta có số dấu hiệu cơng sau: b/aaaa/bb -> Signature_1 /aaaa/cc -> Signature_2 /aaaa/dd -> Signature_3 + Trước tiên ta kiểm tra Signature_1 Chuỗi ký tự kiểm tra lúc ban đầu Signature_1 Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Cắt bỏ ký tự cuối Signature_1 Lúc chuỗi ký tự kiểm tra là: “b/aaaa/b” Signature_2 Signature_3 chứa ký tự kiểm tra + Tiếp tục cắt bỏ ký tự cuối chuỗi ký tự kiểm tra Ký tự kiểm tra lúc là: “b/aaaa/” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục thực việc cắt bỏ ký tự cuối chiều dài chuỗi ký tự kiểm tra nhỏ Lúc đó, ta tiến hành việc cắt bỏ ký tự Signature_1 Lúc chuỗi ký tự kiểm tra là: “/aaaa/bb” + Cắt bỏ ký tự cuối ký tự kiểm tra Lúc chuỗi ký tự kiểm tra là: “/aaaa/b” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục cắt bỏ ký tự cuối chuỗi ký tự kiểm tra Ký tự kiểm tra lúc là: “/aaaa/” Lúc này: - Signature_2 có chứa ký tự kiểm tra -> Loại bỏ Signature_2 khỏi danh sách dấu hiệu công Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 61 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS - Signature_3 có chứa ký tự kiểm tra -> Loại bỏ Signature_3 khỏi danh sách dấu hiệu công + Danh sách dấu hiệu cơng khơng cịn loại dấu hiệu cơng  Chuỗi ký tự kiểm tra :”/aaaa/” chuỗi chung dài loại dấu hiệu cơng Signature_1, Signature_2, Signature_3 5.3) Ví dụ 3: Ta có số dấu hiệu công sau: /dddd/bb -> Signature_1 /aaaa/cc -> Signature_2 /aaaa/dd -> Signature_3 + Trước tiên ta kiểm tra Signature_1 Chuỗi ký tự kiểm tra lúc ban đầu Signature_1 Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Cắt bỏ ký tự cuối Signature_1 Lúc chuỗi ký tự kiểm tra là: “/dddd/b” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục cắt bỏ ký tự cuối chuỗi ký tự kiểm tra Ký tự kiểm tra lúc là: “/dddd/” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục thực việc cắt bỏ ký tự cuối chiều dài chuỗi ký tự kiểm tra nhỏ Lúc đó, ta tiến hành việc cắt bỏ ký tự Signature_1 Lúc chuỗi ký tự kiểm tra là: “dddd/bb” + Cắt bỏ ký tự cuối ký tự kiểm tra Lúc chuỗi ký tự kiểm tra là: “dddd/b” Signature_2 Signature_3 khơng có chứa ký tự kiểm tra + Tiếp tục cắt bỏ ký tự cuối chuỗi ký tự kiểm tra chiều dài chuỗi kiểm tra nhỏ Ta thấy Signature_2 Signature_3 khơng có chứa chuỗi kiểm tra tạo Signature_1 + Khi Signature_1 đưa vào danh sách chuỗi chung dài + Việc kiểm tra tiếp tục với việc gán chuỗi kiểm tra Signature_2 + Quá trình thực thi Signature_1 => Kết đạt được: chuỗi chung dài Signature_2 Signature_3 là: “/aaaa/”  Danh sách chuỗi chung dài loại dấu hiệu công Signature_1, Signature_2, Signature_3 là: - /dddd/bb - /aaaa/ Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu 62 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Chương 6: Thực mơ 1) Xây dựng mơ hình mạng ảo chương trình VMware: Ta xây dựng mơ hình mơ VMware sau: Để xây dựng mơ hình trên, cách đơn giản, ta sử dụng tiện ích VMware việc tạo team bao gồm máy Các máy team kết nối với kết nối mạng LAN 1.1) Khởi tạo team gồm máy ảo kết nối với nhau: Dùng New team wizard để khởi tạo team thêm vào máy ảo Trước khởi tạo team ta cần phải ý: + Power off máy ảo mà ta muốn thêm vào team + Power off bất ký máy ảo mà ta muốn có thành phần team Ta add thêm máy ảo vào team sau team tạo xong cách sử dụng “Team” công cụ Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu 63 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Trước thêm máy ảo vào team, ta cần phải ý: + Máy ảo không trạng thái Power On ta thêm vào team + Khi ta thêm máy ảo vào team ta khơng thể sử dụng máy ảo bên team 1.2) Khởi tạo kết nối LAN cho team: Để tạo kết nối LAN cho máy ảo team ta chọn Team -> Setting với kết : Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 64 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Khi máy ảo chọn kết nối LAN1 tức máy ảo kết nối với mạng LAN Sau ta cấu hình địa IP cho máy ảo với địa IP nêu mơ hình mơ Sau cấu hình địa IP theo mơ hình mơ phỏng, máy ảo kết nối với Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu 65 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS 2) Cấu hình cho Honeyd: Ta cấu hình cho Honeyd tạo máy ảo với hệ điều hành Linux Cấu hình cho file honeyd.conf để tạo máy ảo chạy hệ điều hành Linux với địa IP 192.168.1.16 sau: create linux set linux personality "Linux kernel 2.4.20" set linux uptime 15111242 add linux tcp port 21 "sh /usr/share/honeyd/scripts/unix/linux/suse7.0/wuftpd.sh $ipsrc $sport $ipdst $dport" add linux tcp port 80 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/apache.sh $ipsrc $sport $ipdst $dport" set linux default tcp action reset set linux default udp action reset set linux ethernet "3Com" bind 192.168.1.16 linux Sau cấu hình file honeyd.conf, ta thực lệnh sau để chạy Honeyd: /usr/share/honeyd# honeyd –d –f honeyd.conf 192.168.1.16 –l honeyd.log –x xprobe2.conf –p nmap.prints –a nmap.assoc Màn hình hiển thị chạy Honeyd: Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 66 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Sau tạo máy ảo Honeyd ta có mạng sau: Dùng lệnh ping để kiểm tra kết nối máy có địa IP 192.168.1.25 với máy ảo tạo Honeyd: Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 67 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS 3) Dùng chương trình Nessus mơ loại cơng mới: Nessus chương trình mơ lọai công xâm nhập mạng sử dụng phổ biến giới Chương trình sử dụng để đánh giá hệ thống an ninh mạng có hoạt động tốt hay không Ta dùng Nessus mô loại công vào hệ thống dùng Snort hệ thống phát xâm nhập mạng Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu 68 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Kết Snort phát loại cơng Snort đưa cảnh báo có họat động Port Scanning Ngồi Snort khơng đưa cảnh báo khác File báo cáo Snort loại công mới: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] 11/27-23:17:08.517761 192.168.1.25 -> 192.168.1.27 PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:160 DF 4) Mô công vào máy ảo tạo Honeyd: Ta dùng Nessus mô loại công công vào máy ảo Honeyd tạo nhằm thu thập dấu hiệu công File báo cáo Honeyd (web.log) có dạng sau: MARK ,"Sat Nov 27 22:51:00 PST 2010","apache/HTTP","192.168.1.25","192.168.1.16",1705,80, "GET /cgi-bin/vC9eDAeS1lyp.html HTTP/1.1 Connection: Close Host: 192.168.1.16 Pragma: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Language: en Accept-Charset: iso-8859-1,*,utf-8 ", Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 69 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS ENDMARK -MARK ,"Sat Nov 27 22:51:00 PST 2010","apache/HTTP","192.168.1.25","192.168.1.16",1706,80, "GET /cgi-bin/vC9eDAeS1lyp.cgi HTTP/1.1 Connection: Close Host: 192.168.1.16 Pragma: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Language: en Accept-Charset: iso-8859-1,*,utf-8 ", ENDMARK 5) Thực giải thuật LCS tạo rule cho Snort: Dựa dấu hiệu công thu thập từ file báo cáo Honeyd, ta thực giải thuật LCS để tìm chuỗi chung dài đưa rule cho Snort dựa việc xử lý dấu hiệu công Từ file báo cáo Honeyd ta có dấu hiệu công loại công mới: "GET /cgi-bin/vC9eDAeS1lyp.html HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.cgi HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.sh HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.pl HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.inc HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.shtml HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.php HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.php3 HTTP/1.1 "GET /cgi-bin/vC9eDAeS1lyp.cfm HTTP/1.1 "GET /cgi-bin/com5.pl HTTP/1.1 "GET /cgi-bin/client_execute.cgi?tUD=0 HTTP/1.1 "GET /cgi-bin/guestimage.html HTTP/1.1 "GET /cgi-bin/camctrl.cgi HTTP/1.1 "GET /cgi-bin/ctrldirect.cgi HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.html HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.cgi HTTP/1.1 GET /cgi-bin/test-cgi.bat?|echo HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.sh HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.pl HTTP/1.1 "GET /cgi-bin/WtCG64nzMpgg.inc HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.shtml HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.php HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.php3 HTTP/1.1 GET /cgi-bin/WtCG64nzMpgg.cfm HTTP/1.1 "GET /cgi-bin/com5.pl HTTP/1.1 GET /cgi-bin/client_execute.cgi?tUD=0 HTTP/1.1 GET /cgi-bin/guestimage.html HTTP/1.1 GET /cgi-bin/camctrl.cgi HTTP/1.1 GET /cgi-bin/ctrldirect.cgi HTTP/1.1 Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 70 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS GET /cgi-bin/test-cgi.bat?|echo HTTP/1.1 Sau thực giải thuật LCS, chuỗi LCS dấu hiệu công là: /cgi-bin/  Rule cho Snort : alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"NEW WEB /cgi-bin/"; flow:to_server,established;content:"/cgi-bin/" ; nocase; priority:0; sid:1000001;rev:1;) 6) Chạy Snort với rule mới: Sau tạo rule cho Snort, ta mô loại công vào hệ thống mà Snort bảo vệ Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 71 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Đối với loại cơng Snort đưa kết sau: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] 11/27-23:08:27.978993 192.168.1.25 -> 192.168.1.27 PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:160 DF [**] [1:1000001:1] NEW WEB /cgi-bin/ [**] [Priority: 0] 11/27-23:09:03.393160 192.168.1.25:3038 -> 192.168.1.27:80 TCP TTL:128 TOS:0x0 ID:13140 IpLen:20 DgmLen:48 DF ******S* Seq: 0x5D1CF181 Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [**] [1:1000001:1] NEW WEB /cgi-bin/ [**] [Priority: 0] 11/27-23:09:03.393455 192.168.1.27:5988 -> 192.168.1.25:80 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:40 DF ***A*R** Seq: 0x0 Ack: 0x77640902 Win: 0x0 TcpLen: 20 Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 72 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Chương 7: Kết luận 1) Kết đạt được: + Với Snort dùng sở liệu chưa cập nhật dấu hiệu cơng có công xảy ra, Snort đưa cảnh báo tương ứng + Từ report Honeyd, ta thu thập dấu hiệu cơng Có nhiều dạng dấu hiệu công nhiên sau thực giải thuật LCS ta tìm chuỗi chung dài dấu hiệu cơng Số rule đưa cho dấu hiệu cơng + Tuy nhiên Snort phát loại công với rule tạo + Từ thấy giải thuật LCS thực để tạo số rule cho Snort tối thiểu mà phát đầy đủ loại cơng 2) Hạn chế: - Honeypot ghi lại số lượng lớn liệu cho việc phân tích tay, ta phải giới hạn lại để phù hợp với khả Ta giới hạn công vào cổng 80 (WEB) - Triển khai Snort hệ thống NIDS (Network Intrusion Detection) nhiên Snort giám sát hệ thống hệ thống máy chủ Web-server, chưa giám sát toàn hệ thống 3) Hướng phát triển: - Phân tích liệu từ báo cáo Honeyd lọai công vào port khác port 80 tạo rule cho loại cơng - Áp dụng phương pháp tạo rule dựa giải thuật LCS cho hệ thống IPS hoạt động dựa việc kiểm tra rule cho gói vào hệ thống (ví dụ: Snort-Inline, Snort-Sam) - Áp dụng phương pháp cho hệ thống mạng thực Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hồng Châu 73 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS Tài liệu tham khảo: [1] Building IDS rules by means of a honeypot Author: Vidar Ajaxon Grønland [2] Design and Implementation of Snort IDS rules management Author: Miss Chitthaporn Sae-Ngow [3] Intrusion Detection with SNORT Author: Rafeeq Ur Rehman [4] Intrusion Prevention with L7-Filter Author: Rui Santos Adviser: Jim Purcell Accepted: August 12, 2008 [5] Nghiên cứu xây dựng hệ thống phát xâm nhập mạng (IDS) cho hệ thống mạng trường đại học Bách Khoa TP.HCM Tác giả: Ngô Hán Chiêu [6] Perfomance testing an inline network intrusion detection system using Snort Author: Richard Wagoner [7] Snort for Dummies Author: Charlie Scott,Paul Wolfe, and Bert Hayes [8] Snort Users Manual2.6.0 Copyright c1998-2003 Martin Roesch Copyright c2001-2003 Chris Green Copyright c2003-2006 Sourcefire, Inc [9] The study and Implementation of Intrusion Detection and Security Policy Mangement System Based on Network Topology Author: Chin-Wei Chang Advisor: Chi-Sung Laih [10] Website: http://www.cims.nyu.edu/~ytang/c_script.html www.snort.org www.perl.org Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 74 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/IPS LÝ LỊCH TRÍCH NGANG Họ tên: NGUYỄN HOÀNG CHÂU Ngày tháng năm sinh: 30/06/1985 Nơi sinh: TP.HCM Địa liên lạc: 13C Hoàng Lê Kha, Phường Quận QUÁ TRÌNH ĐÀO TẠO : - 2003-2008 : Đại học Bách Khoa TP.HCM, Khoa Điện – Điện tử, môn Điện tử - Viễn thông - 2009-2010 : thực luận văn cao học trường Đại học Bách Khoa TP.HCM Q TRÌNH CƠNG TÁC - 2008-nay: công tác Công ty TNHH Thiết kế Renesas Việt Nam Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 75 MSHV: 09140003 ... MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/ IPS Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 30 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/ IPS + Từ khóa content: đặc... 09140003 Tối ưu hóa sở liệu hệ thống IDS/ IPS Hình 6: Sử dụng Snapshot VMware Luận văn thạc sĩ GVHD: TS Nguyễn Minh Hoàng HVTH: Nguyễn Hoàng Châu 19 MSHV: 09140003 Tối ưu hóa sở liệu hệ thống IDS/ IPS. .. (IDS/ IPS) Trong đó, hệ thống IDS/ IPS đóng vai trị quan trọng hệ thống an ninh mạng Các hệ thống IDS/ IPS hoạt động dựa việc áp dụng rule cho gói thâm nhập vào hệ thống mạng phổ biến Đối với hệ