Kịch bản 1:
Thử nghiệm chặn 1 số dạng tấn công đã trình bày tại phần “4.1. Hệ thống phát hiện xâm nhập” gồm chặn quét cổng cơ bản và chặn kết nối ssh.
Nguyễn Quang Thắng - 2014ATTMMT Page 75
Hình 36. Hình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập
Ta giả lập môi trường như hình trên: 1 máy ảo Kali đóng vai trò là máy tấn công và máy ảo Ubuntu đóng vai trò là máy nạn nhân, 2 máy được kết nối với nhau thông qua máy ảo Ubuntu thứ 3 đã cài đặt và cấu hình snort_inline trên đó.
Cấu hình máy ảo Kali như mô hình chung ở phần 4.2.1, cấu hình thêm route để kết nối được với snort_inline và máy Ubuntu:
sudo route add -net 192.168.10.0/24 dev eth0
Cấu hình máy ảo Ubuntu 14.04.1 bản 64 bit cấu hình thêm route để kết nối được với snort_inline và máy Kali:
sudo route add -net 192.168.47.0/24 dev eth0
Khi cấu hình xong và chạy snort_inline thì hệ thống mạng đã được thiết lập có thể kết nối từ dải mạng 192.168.47.0/24 đến 192.168.10.0/24 và cụ thể ở đây là 2 máy ảo Kali và Ubuntu:
Thử nghiệm chặn 1 số dạng quét cổng “Stealth Scan” gồm: Xmas, Stealth FIN và Null scan.
Phương pháp quét cổng “Stealth Scan” đã được phân tích rõ ở phần 4.1 ở trên, dựa vào các đặc điểm đó ta viết được 3 luật chặn quét cổng như sau:
drop tcp any any -> any any (flags: FPU; msg:"Nmap XMAS Tree scan detected"; sid:1000031)
Nguyễn Quang Thắng - 2014ATTMMT Page 76
drop tcp any any -> any any (flags: 0; msg:"NULL scan detected"; sid:1000032)
drop tcp any any -> any any (flags: F; msg:"Stealth FIN scan detected"; sid:1000033)
Tại máy nạn nhân Ubunbu đang chạy dịch vụ web với cổng 80, khi chưa có các luật trên của snort, máy Kali quét đều tìm ra được cổng 80 đang mở:
Hình ảnh thử nghiệm với dạng quét Xmas và 2 dạng còn lại có kết quả tương tự. Đó là đều quét được cổng 80 đang mở.
Khi chạy hệ thống với luật như trên, snort đã phát hiện và ngăn chặn không cho Kali quét cổng thành công:
Hình 37. Hình ảnh snort phát hiện chặn gói tin và ra log
Hình 38. Hình ảnh quét cổng tại máy tấn công sau khi hệ thống có luật
Tương tự là 2 dạng tấn công còn lại với chặn thành công với 2 luật chống quét cổng như trên.
Nguyễn Quang Thắng - 2014ATTMMT Page 77 Tiếp theo thử nghiệm hệ thống với luật chặn kết nối ssh. Bình thường khi chưa có luật chặn kết nối ssh thì máy Ubuntu kết nối ssh bình thường đến máy Kali:
Với phân tích dấu hiệu của kết nối ssh như phần 4.1 trên, ta có thể viết ra luật ngăn chặn kết nối ssh từ xa như sau:
drop tcp any any -> any any (msg: "SSH Connection Attempt"; flags: A+; content: "SSH-"; sid:1000009; rev:1)
Thử nghiệm lại kết nối ssh từ máy Ubuntu đến máy Kali ta có thể thấy đã không kết nối thành công:
Và kết quả cảnh báo, ngăn chặn gói tin của snort_inline:
Đánh giá: với các dạng tấn công đã được phân tích và viết luật phát hiện như trên phần 4.1, với hệ thống ngăn chặn xâm nhập snort_inline đều có thể chặn được. Chỉ cần thay đổi từ khoá từ alert (cảnh báo) sang drop (loại bỏ) trong luật snort là hệ thống đã có thể ngăn chặn thành công những gói tin của các dạng tấn công đó. Tuy nhiên với điều kiện là những luật phát hiện đều dựa trên dấu hiệu rõ ràng trên mỗi gói tin tấn công, còn những luật cảnh báo dạng có quá nhiều gói tin đến trong một khoảng thời gian thì không nên ngăn chặn ngay vì có thể sẽ loại bỏ những gói tin bình thường từ các dịch vụ khác. Với những luật cảnh báo số lượng gói tin như vậy, người quản trị cần them nhiều thông tin khác trước khi đưa ra những phản hồi hợp lí cho hệ thống.
Nguyễn Quang Thắng - 2014ATTMMT Page 78
Kịch bản 2:
Hình 39. Hình ảnh mô phỏng hệ thống giả lập demo snort inline (adsbygoogle = window.adsbygoogle || []).push({});
Ta giả lập môi trường như hình trên: 1 máy ảo Kali đóng vai trò là máy tấn công và máy ảo Window đóng vai trò là máy nạn nhân, 2 máy được kết nối với nhau thông qua máy ảo Ubuntu thứ 3 đã cài đặt và cấu hình snort_inline trên đó.
Cấu hình máy ảo Kali:
sudo route add -net 192.168.10.0/24 dev eth0
Cấu hình máy ảo Window:
route –p add 192.168.47.0 mask 255.255.255.0 192.168.10.137
Khi cấu hình xong và chạy snort_inline thì hệ thống mạng đã được thiết lập có thể kết nối từ dải mạng 192.168.47.0/24 đến 192.168.10.0/24 và cụ thể ở đây là 2 máy ảo Kali và Window:
Nguyễn Quang Thắng - 2014ATTMMT Page 79
Kịch bản: kẻ tấn công sử dụng nmap để quét các dải địa chỉ có trong hệ thống mạng. Từ địa chỉ ip của máy trong hệ thống tin tặc biết được một số thông số về hệ điều hành, cổng đang mở của máy nạn nhân và từ các cổng đang mở và phiên bản của hệ điều hành nạn nhân dùng, kẻ tấn công có thể tấn công chiếm quyền điều khiển máy.
Hình 41. Hình ảnh chi tiết hệ thống thử nghiệm snort_inline
Ta áp dụng kịch bản này trong 2 trường hợp, hệ thống có snort_inline và 1 hệ thống bình thường không có snort_inline.
Hình 42. Minh hoạ quét cổng trên máy tấn công
Qua quét cổng ta có thấy máy nạn nhân đang có mở cổng 445, đây là cổng mở mặc định của window và từ cổng này ta có thể tấn công chiếm quyền điều khiển máy.
Kẻ tấn công sử dụng metasploit trên kali để thực hiện. Máy nạn nhân ban đầu ở trạng thái bình thường và không có kết nối đáng ngờ nào được thiết lập.
Nguyễn Quang Thắng - 2014ATTMMT Page 80
Hình 43. Minh hoạ kết nối của máy nạn nhân
Kẻ tấn công sau khi sử dụng nmap điều tra cơ bản máy nạn nhân đã tìm ra được lỗ hổng và tấn công.
Hình 44. Minh hoạ tấn công từ kali
Và kẻ tấn công đã thành công khi kết nối vào được máy nạn nhân. Tiếp tục sử dụng một số kỹ thuật leo thang đặc quyền thì tin tặc đã chiếm được quyền cao nhất của máy và điều khiển nó.
Nguyễn Quang Thắng - 2014ATTMMT Page 81
Hình 45. Minh hoạ kết nối từ máy nạn nhân
Ta tiến hành tấn công thử với hệ thống như trên nhưng có sự bảo vệ của hệ thống snort_inline. Kết quả là hệ thống đã phát hiện ra cuộc tấn công và đã loại bỏ được gói tin xâm nhập.
Hình 47. Hình minh hoạ snort_inline loại bỏ gói tin tấn công
Nguyễn Quang Thắng - 2014ATTMMT Page 82
Hình 46. Hình ảnh minh hoạ máy kẻ tấn công đã thất bại
Và máy nạn nhân đã an toàn không có kết nối đáng ngờ nào được thiết lập.
Hình 49. Minh hoạ máy nạn nhân khi được hệ thống snort bảo vệ
Có thể thấy với hệ thống mạng chưa có snort_inline bảo vệ thì kẻ tấn công dễ dàng xâm nhập và kiểm soát máy tính, còn với hệ thống đã được bảo vệ bởi snort_inline thì máy nạn nhân đã an toàn.
Nguyễn Quang Thắng - 2014ATTMMT Page 83