1. Trang chủ
  2. » Công Nghệ Thông Tin

Xây dựng hệ thống phát hiện xâm nhập bằng phần mềm snort và giải pháp kết hợp với IPTables

19 55 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 19
Dung lượng 440,07 KB

Nội dung

Firewalls Tìm hiểu hệ thống phát xâm nhập Snort giải pháp kết hợp Snort với Iptable Giáo viên hướng dẫn: Đinh Tiến Thành Sinh viên thực hiện: Trần Xuân Cương Nguyễn Ngọc Ánh Nguyễn Hiển Hải Lê Khắc Giang Ngô Văn Hùng Bùi Văn Tươi Trương Văn Trường Dương Trung Kiên Company LOGO Néi Dung 1.T 1.Tổổng ngquan quanvvềềIDS/IPS IDS/IPS 2.Nghiên 2.Nghiênccứứuuứứng ngddụụng ngSNORT SNORTtrong trongIDS/IPS IDS/IPS 3.Cài 3.Càiđđặặttvà vàccấấuuhình hìnhSnort Snorttrên trênnnềềnnCentOS CentOS KKếếtthhợợppSNORT SNORTvvớớiiIPTABLES IPTABLES 1.Tổng quan IDS/IPS 1.1 Định nghĩa • Là hệ thống có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi trái phép • Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống tiến hành phân tích 1.2 Các thành phần chức IDS/IPS Tổng quan IDS/IPS 1.3 Phân loại IDS/IPS 1.3.1 Network Based IDS (NIDS) 1.3.2 Host Based IDS (HIDS) Tổng quan IDS/IPS Cơ chế hoạt động hệ thống IDS / IPS 1.4.1 Phát lạm dụng Hệ thống phát cách tìm kiếm hành động tương ứng với kỹ thuật biết đến điểm dễ bị công hệ thống 1.4.2 Phát bất thường: dựa việc định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống • Phát tĩnh • Phát động 1.4 Phát lạm dụng 1.4.3 So sánh mô hình Phát lạm dụng phát Sự bất thường Bao gồm: •Cơ sở liệu dấu hiệu cơng •Tìm kiếm so khớp mẫu Phát bất thường Bao gồm: •Cơ sở liệu hành động thơng thường •Tìm kiếm độ lệch hành động thực tế so với hành động thông thường Hiệu việc phát dạng Hiệu việc phát dạng công biết, hay biến thể (thay đổi nhỏ) công mà hệ thống phát lạm dạng công biết Không phát dụng bỏ qua dạng công Dễ cấu hình địi hỏi thu thập liệu, phân tích cập nhật Khó cấu hình đưa nhiều liệu hơn, phải có khái niệm toàn diện hành vi biết hay hành vi mong đợi hệ thống Đưa kết luận dựa vào phép so khớp mẫu (pattern matching) Đưa kết dựa vào tương quan thống kê hành vi thực tế hành vi mong đợi hệ thống (hay dựa vào độ lệch thông tin thực tế ngưỡng cho phép) Có thể kích hoạt thơng điệp cảnh báo nhờ dấu hiệu chắn, cung cấp liệu hỗ trợ cho dấu hiệu khác Có thể hỗ trợ việc tự sinh thơng tin hệ thống cách tự động cần có thời gian liệu thu thập phải rõ ràng 1.5 Một số sản phẩm IDS/IPS • Cisco IDS-4235: hệ thống NIDS có khả theo dõi tồn lưu thơng mạng đối sánh gói tin để phát dấu hiệu xâm nhập • ISS Proventia A201: sản phẩm Internet Security Systems Nó khơng phần cứng hay phần mềm mà hệ thống thiết bị triển khai phân tán mạn • Intrusion Protection Appliance: lưu trữ cấu hình mạng, d ữ liệu đối sánh Nó phiên Linux với driver thiết bị mạng xây dựng tối ưu • Proventia Network Agent: đóng vai trị cảm biến Sensor Bố trí vị trí nhạy c ả • SiteProtector: trung tâm điều khiển hệ thống proventia • NFR NID-310: NFR sản phẩm NFR Security Gồm nhiều cảm biến thích ứng với nhiều mạng khác • SNORT: 1.6 So sánh IDS IPS NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.1 Giới thiệu Snort 2.2 Kiến trúc Snort 2.3 Bộ luật Snort 2.4 Chế độ ngăn chặn Snort: Snort - Inline 2.1 Giới thiệu Snort • Snort NIDS Martin Roesh phát triển mơ hình mã nguồn mở • Nhiều tính tuyệt vời phát triển theo kiểu module • Cơ sở liệu luật lên đến 2930 luật • Snort hỗ trợ hoạt động giao thức: Ethernet, Token Ring, FDDI, Cisco HDLC SLIP, PPP, PE Open BDS 2.2 Kiến trúc Snort • Modun giải mã gói tin (Packet Decoder) • Modun tiền xử lý (Preprocessors) • Modun phát (Detection Eng) • Modun log cảnh báo (Logging and Alerting System) • Modun kết xuất thơng tin (Output module) 10 2.2.1 Modun giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống gói sau giải mã đưa tiếp vào modun tiền xử lý 2.2.2 Modun tiền xử lý • Là modun quan trọng để chuẩn bị gói liệu đưa vào cho modun phát phân tích • nhiệm vụ chính: • Kết hợp gói tin lại: thơng tin truyền khơng đóng gói tồn vào gói tin Snort sau nhận phải thực ghép nối để có liệu ngun dạng • Giải mã chuẩn hóa giao thức: cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức có liệu thể hi ện nhiều dạng khác • Phát xâm nhập bất thường: đối phó với xâm nhập khơng thể khó Phát luật thơng thường 2.2.3 Modun phát hiện: • phát dấu hiệu xâm nhập Nó sử dụng luật định nghĩa trước để so sánh v liệu thu thập • Có khả tách thành gói tin áp dụng lên phần 11 2.2.4: Modun log cảnh báo: • Tùy thuộc vào modun phát có nhận dạng hay khơng mà gói tin bị ghi vào log đưa cảnh báo 2.2.5: Modun kết xuất thông tin • Thực thao tác khác tùy thuộc vào việc bạn mu ốn lưu kết qu ả kết xu ất Nó thực nhiều cơng việc: •Ghi log file •Ghi syslog: chuẩn lưu trữ file log •Ghi cảnh báo vào sở liệu •Tạo file log dạng xml •Cấu hình lại Router, Firewall •Gửi cảnh báo gói gói tin sử dụng giao thức SNMP •Gửi thông điệp SMB 12 2.3 Bộ luật Snort 2.3.1 Giới thiệu • Thơng thường cơng hay xâm nhập để lại dấu hiệu riêng Các thông tin sử dụng để tạo nên luật Snort • Các luật áp dụng cho tất phần khác gói tin • Một luật sử dụng để tạo nên thông điệp cảnh báo, log thông điệp hay bỏ qua gói tin 2.3.2 Cấu trúc luật Snort 13 2.3.2.1 Phần tiêu đề: • Chứa thơng tin hành động mà luật thực • Cấu trúc chung phần header luật Snort • Header luật bao gồm phần: • Hành động luật (Rule Action): hành động mà điều kiện lu ật thỏa mãn Một hành động thực tất điều kiện phù hợp • Pass: hành động hướng dẫn snort bỏ qua gói tin • Log: log gói tin vào file hay sở liệu • Alert: gửi thơng điệp cảnh báo có dấu hiệu xâm nhập • Activate: tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện • Dynamic: luật gọi luật khác có hành động Activate • Protocols: Chỉ loại gói tin mà luật áp dụng • IP • ICMP • TCP/UDP 14 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.1 Phần tiêu đề • Address: có địa nguồn địa đích Địa địa IP đơn địa mạng Ta dùng từ any để áp luật cho tất địa alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) • Ngăn chặn địa hay loại trừ địa chỉ: sử dụng dấu (!) trước cho Snort khơng kiểm tra gói tin đến từ địa alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) • Danh sách địa alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) • Cổng (Port number): áp dụng luật cho gói tin đến từ c hay phạm vi cổng alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”;) • Dãy cổng hay phạm vi cổng alert udp any 1024:2048 -> any any (msg: “UDP ports”;) • Hướng – direction: đâu nguồn đâu đích 15 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn: nằm sau phần Rule Header bao bọc dấu ngoặc đơn Nếu có nhiều option phân cách dấu “,” tùy chọn phải đồng thời thỏa mãn • Từ khóa ack: TCP header trường ack dài 32bit số thứ tự gói tin alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) • Từ khóa classtype: file classification.conf bao gồmtrong file snort.conf Mỗi dịng có cú pháp: config classification: name, description, priority • name: dùng để phân loại, dùng với từ khóa classtype lu ật • description: mơ tả loại lớp • priority: độ ưu tiên mặc định lớp config classification: DoS , Denial of Service Attack, • Từ khóa contents: khả đặc tả snort tìm mẫu liệu bên Mẫu có th Dưới dạng chuỗi ASCII, chuỗi nhị phân alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “GET match”;) • Từ khóa dsize: dùng để đối sánh chiều dài phần liệu alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;) 16 NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.3.2.2 Các tùy chọn •Từ khóa flags: phát bit cờ flag bật alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) • Từ khóa fragbits: phần IP header gói tin chứa 3bit dùng để chống phân mảnh • Reserved Bit (RB): dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết lập gói tin khơng bị phân mảnh • More Fragments Bit (MF): bit thiết lập phần khác gói tin đường mà chưa tới đích Nếu bit khơng thiết lập có nghĩa phần cu ố gói tin(gói tin nhất) alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) 17 2.4 Chế độ ngăn chặn Snort: Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort: ý tưởng kết hợp khả ngăn chặn Iptables vào Snort Điều thực cách thay đổi modun phát xử lý cho phép Snort tương tác với Iptable Việc chặn bắt gói tin thực thông qua Netfilter 2.4.2 Những bổ xung cho cấu trúc luật Snort hỗ trợ Inline mode • DROP: yêu cầu Iptables loại bỏ gói tin ghi lại thơng tin hành động Log • SDROP: tương tự DROP khơng ghi lại Log • REJECT: u cầu Iptable từ chối gói tin Iptables loại bỏ gói tin gửi l ại thơng báo cho nguồn gửi gó tin Trình tự ưu tiên luật: • Trong phiên gốc: activation->dynamic-> alert->pass->log • Trong inline – mode trình ưu tiên: activation->dynamic->pass->drop->sdrop->reject->alert->log 18 3.CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN NỀN CENTOS.KẾT HỢP SNORT VỚI IPTABLES Mời thầy giáo bạn theo dõi phần demo 19 ... ngăn chặn Snort: Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort: ý tưởng kết hợp khả ngăn chặn Iptables vào Snort Điều thực cách thay đổi modun phát xử lý cho phép Snort tương tác với Iptable... Định nghĩa • Là hệ thống có nhiệm vụ theo dõi, phát ngăn cản xâm nhập, hành vi trái phép • Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống tiến hành phân tích 1.2 Các thành phần chức IDS/IPS... IDS/IPS Cơ chế hoạt động hệ thống IDS / IPS 1.4.1 Phát lạm dụng Hệ thống phát cách tìm kiếm hành động tương ứng với kỹ thuật biết đến điểm dễ bị công hệ thống 1.4.2 Phát bất thường: dựa việc

Ngày đăng: 23/06/2021, 13:49

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w