TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG HONEYPOT GVHD: Nguyễn Thị Hồng Thảo SV thực hiện: Phan Tiến Phương Giao-2033181018 Lục Lê Khả Vi - 2033181008 TỔNG QUAN VỀ HỆ THỐNG HONEYPOT 01  Honeypot  Honeynet  Vai trò ý nghĩa Honeynet MƠ HÌNH KIẾN TRÚC HONEYNET 02     Honeynet hệ I Honeynet hệ II Honeynet hệ III Hệ thống Honeynet ảo TỔNG QUAN VỀ HỆ THỐNG IDS/IPS 03     Giới thiệu IDS/IPS Một số vấn đề liên quan IDS/IPS Ưu điểm, hạn chế IDS Ưu điểm, hạn chế IPS TRIỂN KHAI HỆ THỐNG HONEYPOT 04     Giới thiệu kfsensor Kỹ thuật cơng Ping of Death Mơ hình triển khai Cài đặt cấu hình CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG HONEYPOT HoneyPot gì? Honeypot hệ thống gắn liền với mạng thiết lập mồi nhử để thu hút kẻ công mạng phát Cũng giống tổ ong sử dụng để thu hút ong, Honeypot sử dụng để thu hút tin tặc Quá trình hình thành Honeypot Honeypot 2.0 Honeynet 2003 1998 2000 Honeypot 2016 2012 Honeytoken Deception Platform Cách hoạt động honeypot  Honeypot trơng giống hệ thống máy tính thực sự, với ứng dụng liệu, đánh lừa tội phạm mạng nghĩ mục tiêu  Honeypots trở nên hấp dẫn kẻ công cách tạo lỗ hổng bảo mật có chủ ý  Honeypot khơng thiết lập để giải vấn đề cụ thể, chẳng hạn tường lửa chương trình chống vi-rút ! Một số ưu điểm Honeypot Là công nghệ đơn giản, có sai sót cấu hình sai Chỉ tập trung vào lưu lượng độc hại giúp việc điều tra dễ dàng nhiều Quan sát hành động tìm hiểu hành vi tin tặc Thu thập thơng tin, phần mềm độc hại khai thác sau báo cho người quản trị Tạo hồ sơ tin tặc cố gắng truy cập vào hệ thống bạn Cải thiện tình trạng bảo mật Một số nhược điểm Honeypot ▪Cần có chi phí để bảo trì giám sát ▪Chỉ nắm bắt liệu hacker chủ động công hệ thống ▪Nếu có cơng xảy hệ thống khác, honeypot xác định ▪Honeypot sử dụng hình thức công để tiếp cận hệ thống khác xâm phạm chúng ▪Honeypot có nguy thực hệ thống kẻ xấu sử dụng để gây hại cho hệ thống khác PHÂN LOẠI HONEYPOT TƯƠNG TÁC THẤP Mô giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ TƯƠNG TÁC CAO Mang lại trải nghiệm thực tế cho kẻ công thu thập thêm thông tin công dự định Mức độ thông tin thu thập cao Honeypot tương tác cao thường phức tạp tốn thời gian để thiết kế quản lý bảo dưỡng Một số loại honeypot khác: Malware Honeypot: bắt chước ứng dụng phần mềm API để mời công phần mềm độc hại Database Honeypot : Chúng tạo sở liệu mồi nhử để đánh lừa kẻ công cách sử dụng phương pháp bị tường lửa bỏ sót, chẳng hạn đưa vào ngơn ngữ truy vấn có cấu trúc (SQL) Client Honeypot: Những honeypots thường hoạt động máy chủ, lắng nghe kết nối đến Email Honeypot: danh sách địa email nhà cung cấp dịch vụ email sử dụng để phát kẻ gửi thư rác Spider Honeypot:Những honeypot sử dụng để bẫy trình thu thập thơng tin web cách tạo trang web giả mạo liên kết mà trình thu thập thơng tin truy cập CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG IDS/IPS • GIỚI THIỆU VỀ IDS/IPS Giới thiệu IDS  IDS (Intrusion Detection Systems - Hệ thống phát xâm nhập) biện pháp an ninh có khả giám sát phát bất thường, lạm dụng truy cập trái phép vào tài nguyên hệ thống mạng Có hai loại hệ thống phát xâm nhập chính:  Hệ thống phát xâm nhập dựa máy chủ (HIDS) : hệ thống giám sát phát kiện máy tính kết nối internet bạn thay lưu lượng truy cập xung quanh hệ thống  Hệ thống phát xâm nhập dựa mạng (NIDS) : hệ thống giám sát phát lưu lượng truy cập mạng bạn • KIẾN TRÚC IDS  IDS bao gồm thành phần chính: thành phần thu nhập gói tin (Information collection), thành phần phân tích gói tin (Detection), thành phần phản hồi( Response) gói tin phát xâm nhập  Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết • NHỮNG THỬ THÁCH ĐỐI VỚI HỆ THỐNG PHÁT HIỆN XÂM NHẬP  Báo động giả: Còn gọi cảnh báo sai, cảnh báo khiến giải pháp IDS dễ bị phát việc xác định mối đe dọa tiềm ẩn rủi ro thực tổ chức  Phủ định sai: Giải pháp IDS nhầm lẫn mối đe dọa bảo mật thực tế lưu lượng truy cập hợp pháp Kẻ công phép xâm nhập vào mạng tổ chức, người quản trị khơng biết hệ thống họ bị cơng • ƯU ĐIỂM, HẠN CHẾ CỦA HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS  Ưu điểm:  Cung cấp cách nhìn toàn diện toàn lưu lượng mạng  Giúp kiểm tra cố xảy với hệ thống mạng  Sử dụng để thu thập chứng cho điều tra ứng cứu cố  Hạn chế:  Có thể gây tình trạng báo động nhầm cấu hình khơng hợp lý  Khả phân tích lưu lượng bị mã hóa tương đối thấp  Chi phí triển khai vận hành hệ thống tương đối lớn Place Your Picture Here • GIỚI THIỆU VỀ IDS/IPS Giới thiệu IPS  IPS (Intrusion Prevention Systems – Hệ thống ngăn chặn xâm nhập), biện pháp an ninh có khả phát (detect) ngăn ngừa (prevent) bất thường, lạm dụng truy cập trái phép vào tài nguyên hệ thống mạng Phân loại hệ thống ngăn chặn xâm nhập (IPS)  Hệ thống ngăn chặn xâm nhập dựa mạng (NIPS): Nó giám sát tồn mạng để tìm lưu lượng đáng ngờ cách phân tích hoạt động giao thức  Hệ thống ngăn chặn xâm nhập khơng dây (WIPS): Nó giám sát mạng khơng dây để tìm lưu lượng đáng ngờ cách phân tích giao thức mạng khơng dây  Phân tích hành vi mạng (NBA): Nó kiểm tra lưu lượng mạng để xác định mối đe dọa tạo luồng lưu lượng bất thường  Hệ thống ngăn chặn xâm nhập dựa máy chủ (HIPS): Nó gói phần mềm có sẵn vận hành máy chủ cho hoạt động đáng ngờ cách quét kiện xảy máy chủ • KIẾN TRÚC IPS Gồm kết hợp thành phần Modul:  Modul phân tích nguồn liệu:  Modul có nhiệm vụ phân tích cấu trúc gói tin gói qua card mạng( NIC) máy giám sát đặt chế độ Promiscuous Mode, tất gói tin qua chúng chép lại chuyển lên lớp  Modul phát công:  Đây modul quan trọng hệ thống, có khả phát cơng  Phương pháp dị dấu hiệu Phương pháp phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu công biết trước  Phương pháp dò bất thường: Phương pháp dựa vào lưu trữ mô tả sơ lược hoạt động bình thường hệ thống, sau cơng có hành động khác so với bình thường phương pháp nhận dạng khơng bình thường  Modul phản ứng:  Khi có dấu hiệu công thâm nhập, modul phát công gửi tín hiệu báo hiệu có cơng thâm nhập đến modul phản ứng ƯU ĐIỂM, HẠN CHẾ CỦA HỆ THỐNG NGĂN NGỪA XÂM NHẬP IPS  Ưu điểm:  Cung cấp giải pháp bảo vệ toàn diện tài nguyên hệ thống  Ngăn chặn kịp thời công biết chưa biết  Hạn chế:  Có thể gây tình trạng phát nhầm (faulse positives), khơng cho phép truy cập hợp lệ tới hệ thống • MỘT SỐ VẤN ĐỀ LIÊN QUAN ĐẾN IDS/IPS  Honeypot có khả hỗ trợ cho IDS/IPS  Các cơng ty, cá nhân hay tổ chức cân nhắc cho việc bổ sung honeypot vào hệ thống nhằm giúp cho nhà quản trị hệ thống hiểu mối đe dọa điểm yếu hệ thống từ liệu honeypot • HONEYPOT TĂNG CƯỜNG IDS Honeypot ngăn chặn công nhiều cách Cách làm chậm ngừng công tự động, chẳng hạn worm tự động rooter Đây công mà quét ngẫu nhiên tồn mạng để tìm kiếm lỗ hổng bảo mật hệ thống (Honeypots sử dụng nhiều thủ thuật TCP để đưa kẻ công theo kiểu "cầm cự")  Cách thứ hai ngăn chặn công người Đây honeypot nhằm mục đích sidetrack kẻ công, khiến honeypot dành ý vào hoạt động không gây tổn hại hay mát cung cấp cho tổ chức thời gian để phản hồi chặn công  CHƯƠNG IV TRIỂN KHAI HỆ THỐNG HONEYPOT Giới thiệu kfsensor honeypot IDS • KFSensor hoạt động honeypot • KFSensor cấu hình sẵn để giám sát tất cổng TCP UDP, với ICMP Nó cấu hình để mơ dịch vụ thơng thường • KFSensor phát phản hồi công quét cổng từ chối dịch vụ DOS ngăn bị q tải Một số tính KFsensor Theo dõi cổng Quản trị từ xa SECURITY Mô dịch vụ Bảo vệ chống cơng từ chối dịch vụ (DOS) MƠ HÌNH TRIỂN KHAI CÀI ĐẶT VÀ CẤU HÌNH Video demo THANK YOU ... TRIỂN KHAI HỆ THỐNG HONEYPOT 04     Giới thiệu kfsensor Kỹ thuật công Ping of Death Mơ hình triển khai Cài đặt cấu hình CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG HONEYPOT HoneyPot gì? Honeypot hệ thống. .. HỆ THỐNG HONEYPOT 01  Honeypot  Honeynet  Vai trị ý nghĩa Honeynet MƠ HÌNH KIẾN TRÚC HONEYNET 02     Honeynet hệ I Honeynet hệ II Honeynet hệ III Hệ thống Honeynet ảo TỔNG QUAN VỀ HỆ THỐNG... hacker chủ động cơng hệ thống ▪Nếu có cơng xảy hệ thống khác, honeypot xác định ? ?Honeypot sử dụng hình thức cơng để tiếp cận hệ thống khác xâm phạm chúng ? ?Honeypot có nguy thực hệ thống kẻ xấu sử