L ỜI NÓI ĐẦU
3.3.3.Hướng dẫn sử dụng công cụ phân tích (Base)
Đăng nhập vào trang quản trị
- Account quản trị: admin/base2008 - Địa chỉđăng nhập: https://192.168.40.12/
- Màn hình đăng nhập:
Hình 3.1 : Trang quản trị Base
- Sau khi đăng nhập thành công, hiển thị giao diện quản trị:
Tinh chỉnh các Rules
Xác định các alert có tần suất nhiều nhất -> Cần phải tinh chỉnh các rules để giảm bớt alert không có nhiều ý nghĩa hoặc không có dấu hiệu nguy hiểm.
a. Alert “ICMP PING CyberKit 2. 2 Windows“ xuất hiện rất nhiều (19771 lần, chiếm 46% tổng số ICMP) -> Cần phải ẩn rule 483
+ Ẩn rule 483 trong icmp. rules # vi /etc/snort/rules/icmp. rules ---
# Đặt chú thích chu luật có sid:483
#alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING CyberKit 2. 2 Windows"; itype:8; content:"|AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA|"; depth:32; reference:arachnids,154; classtype:misc- activity; sid:483; rev:6;)
+ Ẩn rule 483 khi thực hiện update # vi /usr/local/etc/oinkmaster. conf ---
# Disable SID 483 ICMP PING CyberKit 2. 2 Windows disablesid 483
b. Alert “ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited “ xuất hiện rất nhiều (10092 lần, chiếm 23% tổng số ICMP) -> Cần phải ẩn rule 486
+ Ẩn rules 486 trong icmp. rules # vi /etc/snort/rules/icmp. rules ---
#alert icmp any any -> any any (msg:"ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited"; icode:10; itype:3; classtype:misc-activity; sid:486; rev:5;)
+ Ẩn rule 486 khi thực hiện update # vi /usr/local/etc/oinkmaster. conf ---
# Disable SID 486 ICMP Destination Unreachable Communication with # Destination Host is Administratively Prohibited
disablesid 486
c. Vào giao diện chính của BASE
https://192.168.40.12/base/base_main. php
Hình 3.3 : Giao diện chính của Base
- Click vào mục “Unique” thuộc dòng “Today’s Alerts” để xem tần suất các alert xuất hiện trong ngày hôm nay
Hình 3.4 : Tần suất các Alert
- Click tiếp vào “>” cột “Total #” để sắp thứ tự các alert theo tần suất từ nhiều đến ít.
Hình 3.5 : Sắp xếp tần suất các Alert theo độ lặp
- Quan sát, ta thấy alert “MS-SQL Worm propagation attemp” xuất hiện nhiều nhất, click vào link “368” tương ứng cột < Total #> để xem thông tin chi tiết
Hình 3.6 : Thông tin chi tiêt một Alert
- Trên bảng “Summary Statistics”, click vào link “Destination” ở hàng “Unique addresses” để xem các địa chỉđích bị tấn công.
Hình 3.7 : Hiển thị các địa chỉ nghi vấn
- Trên bảng cho thấy, IP range 80-100 là đối tượng bị khai thác. Click tiếp vào link “[snort]” để xem các thông tin về alert này trên “Signature database” của site www. snort. org (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.8 : Tra thông tin chi tiết về Alert nghi vấn
- Sau khi đọc các thông tin về alert này, ta thấy nhiều khả năng đây là alert sinh ra do “Slammer worm” phát tán trên Internet, đang cố gắng khai thác một lỗi buffer overflow trên MS SQL Server 2000 Resolution Service.
Hình 3.9 : Xác định thông tin Alert
- Tiếp tục đọc kỹ các thông tin về alert này, ta thấy ngay cách xử lý đối với alert này ở phần “Corrective Action”
+ Cấm truy cập từ ngoài vào các dịch vụ MS SQL trên cổng 1433 and 1434. Thực hiện trên firewall của hệ thống.
+ Cập nhật bản vá cho các dịch vụ MS SQL đã public từ URL: www. microsoft. com/technet/security/bulletin/MS02-039. asp
Xem Payload các packets
Để xem payload một packet, click vào cột ID tương ứng của alert,
Hình 3.10 : Xem Payload một packet
- Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tương ứng
- Tính năng này đặc biệt rất hữu ích, cho phép IDS admin review lại được toàn bộ gói tin đã tạo ra alert, giúp cho quá trình tinh chỉnh các rules chính xác hơn, thuận tiện hơn.
Tìm kiếm
Để tìm kiếm một alert nào đó, bạn có thể click vào link “Search” và tìm kiếm theo rất nhiều tiêu chí khác nhau như: Sensor, Alert Group, Signature, Classification, Priority, Alert Time, rồi sắp xếp theo một vài tuỳ chọn có sẵn.
Hình 3.12 : Tìm kiếm Alert
Quản lý các nhóm Alert
Bên cạnh cách phân loại rules sẵn có của snort, để tiện lợi cho việc quản lý, người sử dụng có thể tạo ra các nhóm alert khác nhau, gán các alert vào từng nhóm phù hợp với quan điểm của mình.
Hình 3.13 : Quản lý Alert theo nhóm
Bạn có thể tạo nhóm mới (Create), xem alert tương ứng với các nhóm (View), sửa 1 nhóm (Edit), xoá 1 nhóm(Delete) và reset 1 nhóm (Clear).
Đồ thị trực quan
BASE cung cấp một số cách hiển thị biểu đồ trực quan, cho phép người quản trị có thể cảm nhận nhanh chóng được các vấn đề của hệ thống, đưa ra được các phương án giải quyết kịp thời.
Graph Alert Data
Hình 3.14 : Chọn biểu đồ dữ liệu
Có rất nhiều tham số cho phép xây dựng biểu đồ, bao gồm: - Kiểu đồ thị (Chart title):
+ Thời gian (theo giờ) và Số lượng alert + Thời gian (theo ngày) và Số lượng alert + Thời gian (theo tháng) và số lượng alert + …
- Chu kỳđồ thị (Chart period) + 7 ngày (1 tuần)
+ 24 giờ (1 ngày) + 168 giờ (24 x 7) - Kích thước đồ thị
- Lềđồ thị: trái, phải, trên, dưới - Kiểu vẽ: bar, line, pie
Hình 3.15 : Đồ thị trực quan Graph Alert Detection Time
Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể hiện tần suất các alert theo giờ, ngày hoặc theo tháng.
Dạng biểu đồ này rất hữu ích, cho phép xác định những thời điểm bất thường, qua đó giúp định hướng người quản trị tập trung vào những điểm quan trọng. (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.16 : Đồ thị tần suất Alert