PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
10. Xây dựng hệ thống giám sát với SNORT
10.6 Hiệu năng của Snort
Snort có giám sát tình trạng hiện tại của hệ điều hành. Các thông số thể hiện nhiều ý nghĩa và dựa vào đó ta có thể đốn được nhiều điều và đưa ra nhiều biện pháp
điều chỉ theo ý muốn.
Để có thể giám sát, vào file snort.conf cấu hình bật chức năng preprocessor
perfmonitor. Bộ tiền xử lý hiệu năng giám sát chỉ lấy ra một số các chọn lựa, các chọn lựa này bao gồm:
Time: 300 seconds
Flow Stats: INACTIVE
Console Mode: ACTIVE File Mode: /var/log/ snort.stats
SnortFile Mode: INACTIVE
Packet Count: 500
Ta có thể cấu hình để các dòng xuất hiện khi chạy Snort:
preprocessor perfmonitor: time 300 console file var/log/snort/snort.stats pktcnt 500
preprocessor perfmonitor : time 300 events flow file var/log/snort/snort.stats max console pktcnt 500
Hay để chế độ chạy ẩn, vào file log messages để đọc
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 500
Các tham số có ý nghĩa:
Time: khoảng thời gian tính bằng giây (s) giữa các lần lấy mẫu. Nếu đặt giá trị thời gian quá thấp có thể gia tăng giả tạo giá trị. Giá trị mặc định là 300s.
Console: Giao diện xuất ra màn hình console. Mặc định là được bật hay có thể xuất ra bằng cách kèm theo tham số file.
File <filename>: Kết quả xuất ra file theo đường dẫn đã định. Các thống kê ghi lên file theo từng giá trị đơn lẻ, cách nhau bằng dấu phẩy “,” cho mỗi lần chạy lấy mẫu.
Pktcnt: Số lượng packets sẽ được xử lý trong thời gian đã định. Lưu ý nếu số lượng packet bắt được ít hơn packet đã chỉ định thì sẽ khơng nhận được số liệu thống kê.
Flow: Phát sinh một số lượng lớn các thông tin chi tiết trên các dịng lưu
thơng mạng network traffic flows (hồn thành với các thơng tin như chiều
dài gói tin cho đến số lượng gói tin mỗi dịng, dung lượng dòng mỗi port và
kiểu giao thức, các con số phân đoạn và vài thông tin khác).
Events: Snort sẽ mở chức năng reporting và hiển thị trạng thái số lượng
signatures match. Phát sinh nhiều bộ dữ liệu đóng gói lại phản ánh số lượng các dấu hiệu đã qua, đã khớp, hay đã được chứng thực. Có 2 loại là Non- qualified events và Qualified events được xác nhận dựa trên các cờ nhận
biết. Option này đặc biệt chú trọng bất kỳ sự bất cân xứng nào giữa cái
được mong đợi và cái đang thực sự được dùng để dị tìm bởi tập rule cho trước.
Max: Sẽ kích hoạt Snort hoạt động hết sức để nâng cao hiệu quả.
Với máy ảo có ổ cứng 8G, ram 512 MB, khi Snort hoạt động, thơng số của CPU
Hình 71 Các thông số
CPU Usage: 0.075% (user) 0.337% (sys) 99.588% (idle)
Snort: VIRT- Virtual Image (kb): 38412 - Tổng số lượng bộ nhớ ảo được sử
dụng.
RES - Resident size (kb): 18M - Bộ nhớ vật lý được sử dụng.
SHR - Shared Mem size (kb): 2264 - Số lượng bộ nhớ chia sẻ được sử dụng bởi một nhiệm vụ.
Mỗi process trên CentOS có số lượng memory được sử dụng và biến thiên tuỳ hoàn cảnh. Hơn nữa, memory được một process sử dụng có thể là tổng hợp của shared memory, physical memory, virtual memory. Khi Snort làm việc, cần chú ý những dòng luật, luật càng nhiều thì đương nhiên chiếm ram khá nhiều và những luật mặc định khơng cần thiết thì nên tắt để giảm tải cho hệ thống .
Hình 72. Hiệu suất CPU khi Snort hoạt động
10.7 Mơ hình triển khai Snort
Hình 73. Triển khai IDS
Mơ hình có switch hỗ trợ port "giám sát" ("Span Port", "Port Monitoring", "Management Port"). Với tính năng này, toàn bộ traffic của các máy tính nối vào
Khi dữ liệu được truyền qua switch, đồng thời switch sẽ gửi 1 bản sảo đến Port Monitor .
Hình 74. Port Monitor
10.8 Tấn cơng trong mạng nội bộ
10.8.1 Tấn công ARP Cache
Máy Hacker sẽ giả MAC địa chỉ của Victim 1, khi Victim 2 truy cập remote
desktop vào Victim 1, Hacker sẽ thu được những gói tin từ Victim 2 gửi cho Victim 1.
Khi đó IDS sẽ báo hiệu và người quản trị có nhiệm vụ đi tìm máy Hacker.
ARP spoof preprocessor giải mã những gói tin và phát hiện những cuộc tấn
cơng ARP. Khi được cấu hình thơng số, preprocessor sẽ kiểm tra địa chỉ Ethernet và các địa chỉ trong gói tin ARP. Khi xảy ra hiện tượng, một cảnh báo GID 112 và SID 4 được tạo ra.
Khi “unicast” được chỉ định, preprocessor sẽ kiểm tra những yêu cầu Unicast
ARP. Một cảnh báo GID 112 và SID 1 sẽ sinh ra nếu một Unicast ARP bị phát hiện.
preprocessor arpspoof[: -unicast]
preprocessor arpspoof_detect_host: ip mac
Cấu hình trong file snort.conf preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.100.2 00:0C:29:2E:2A:47 preprocessor arpspoof_detect_host: 192.168.100.3 00:0C:29:14:7B:2F preprocessor arpspoof_detect_host: 192.168.100.21 00:0C:29:D1:BE:1E preprocessor arpspoof_detect_host: 192.168.100.66 00:0C:29:48:20:C9 Cấu hình file log
output alert_csv: /var/log/snort/alert.csv
Chú ý: Dấu hiện nhận biết cuộc tấn công này là 1 IP phải khớp với 1 MAC, nhiệm vụ của người quản trị là phải thu nhập IP và MAC trong hệ thống.
Máy Hacker dùng chương Cain & Abel để giả MAC của 2 máy Victim để
sniffer các thơng tin từ 2 máy
Hình 77. Máy Victim 2
Đồng thời lúc đó IDS sẽ cánh báo có tấn cơng ARP
Hình 78. Cảnh báo
Để thấy được địa chỉ MAC của Hacker ta vào file alert.csv
10.8.2 Tấn công SMB
- Dấu hiệu
Đây là dạng tấn công qua port 445 và đặt giá tri Process ID High là
"\x00\x26" , giá trị bình thường là "\x00\x00". - Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg : "Tan cong SMB"; content: "|00 26|"; flow:to_server,established; content:"|53 4d 42
10.8.3 Tấn công Smurf attack
- Dấu hiệu
Đây là dạng tấn cơng làm ngập gói tin ICMP ECHO REPLY. Sự khác biệt lớn
giữa nó với gói tin ICMP ping “thật” là ở 2 trường: icmp_id = 0x00 và sequence
number = 0x00 (gói ping thật có id và sequence number khác 0). Ngồi ra Hacker
thường tăng kích thước payload mặc định của gói tin ping (32 byte) để nhanh
chóng làm ngập mạng victim. - Luật
alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: “Tan cong Smurf Attack”; dsize: >32; icmp_seq:0; icmp_id:0 ; sid: 1000004; )
10.8.4 Tấn công Land attack
- Dấu hiệu
Land attack tấn cơng bằng cách gửi các gói tin có địa chỉ nguồn và đích giống nhau.Bằng cách dùng từ khóa sameip trong Rule option là có thể phát hiện ra.
- Luật
alert udp any any <> $HOME_NET any (msg : “Land Attack”; sameip;)
10.8.5 Tấn công Dos với HTTP Post
- Dấu hiệu
Dạng tấn công này sẽ gứi hàng loạt dữ các liệu hợp lệ đến Server sẽ xử lý làm tràn database và nghẽn hệ thống. Dùng wireshark bắt gói tin để tìm ra dầu hiệu nhận biết cuộc tấn cơng này, trong đó có đoạn “48 54 54 50 2f 31 2e 31” là thường xuyên xuất hiện.
- Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Tan cong DOS"; content:"|48 54 54 50 2f 31 2e 31 |"; flow:to_server; sid: 1000005;)
10.8.6 Một số rule cảnh báo
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Ping cao hon 100”; dsize : > 100; sid: 1000006;)
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Tan cong ping”; content: "|40 00|" ; sid: 1000009;)
Phát hiện tấn công ping –f
10.9 Nhận xét
Snort là một IDS dùng để theo dõi những biến cố xảy ra trên tcp/ip stack do mình định ra. Với Snort hoặc bất cứ ứng dụng IDS nào cũng cần phải có một bộ luật, cịn gọi là các "signature". Snort có thể áp dụng ở các mơ hình mạng, với chi phí thấp Snort là lựa chọn cho nhiều cơng ty có quy mơ vừa và nhỏ cũng như những cơng ty có quy mơ lớn.
Ưu Điểm Nhược Điểm
- Snort ghi nhận các luồng dữ liệu từ
trong ra ngồi hay ngược lại vào file
log do mình định ra giúp người quản trị dễ giám sát dữ liệu.
- Do phát triển dựa vào mã nguồn mở nên Snort hồn tồn miễn phí. - Người quản trị có thể tự viết luật và
kết hợp với các phần mềm và phần cứng khác như: Cisco, Snortsam, Swatch,.v.v..
- Tối ưu hóa tập luật, phát triển luật tương tác với tường lửa, nâng cao Snort hoạt động như một hê thống phát hiện ngăn chặn IPS.
- Snort khơng có khả năng chống lại các cuộc tấn công.
- Do tập luật của snort được công khai trên mạng nên các hacker có thể tập hợp các luật để thay đổi dấu hiệu tấn cơng, từ đó có thể vượt qua giám sát của Snort.
- Tập luật cịn có nhiều khuyết điểm nên không thể sử dụng ngay mà cịn phải chỉnh sửa.
- Khơng thể cập nhập tập luật theo thời gian thực.
- IDS thường xuyên đưa ra báo động
giả ( False Positives) là gánh nặng cho quản trị hệ thống bởi nó cần được theo dõi liên tục.
11. Xây dựng hệ thống giám sát với Forefront TMG 11.1 Tìm hiểu tổng quan Forefront TMG 11.1 Tìm hiểu tổng quan Forefront TMG
Forefront TMG được ra đời dựa trên nền tảng của các tính năng nổi bật về tường lửa của ISA 2006 và bổ sung thêm vào đó các cơ chế bảo vệ an tồn tối ưu làm tăng thêm tính mạnh mẽ trong việc bảo đảm an ninh cho một hệ thống mạng.
11.1.1 Một số tính năng mới trong Forefront TMG:
- Web anti-malware: là một phần của dịch vụ bảo vệ Web cho Forefront TMG,
có thể quét virus, phần mềm độc hại và các mối đe dọa khác trên các trang web.
- URL filtering: Cho phép hoặc từ chối truy cập đến các trang web dựa trên
danh mục URL chẳng hạn như những trang web đen, những trang có nội dung khơng lành mạnh, đồng thời cũng bảo vệ năng suất kinh doanh bằng cách hạn chế hoặc chặn truy cập vào các trang web được coi là phiền nhiễu năng suất. - E-mail protection: dựa trên công nghệ tích hợp từ Forefront Bảo vệ cho
Exchange Server 2010. Forefront TMG phục vụ như là tiếp sức cho SMTP giao thông, và quét virus, malware, spam cho e-mail .
- HTTPS: cho phép kiểm tra phiên mã hoá HTTPS để kiểm tra các phần mềm độc hại. Nhóm cụ thể các trang web như các trang web ngân hàng, có thể được
loại trừ khỏi kiểm tra vì lý do riêng tư.
- Network Inspection System (NIS): Kiểm tra hệ thống mạng (NIS) cho phép
giao thông cần kiểm tra để khai thác lỗ hổng Microsoft. Dựa trên giao thức phân tích, NIS có thể chặn các lớp học của các cuộc tấn công trong khi giảm thiểu sai tích cực. Bảo vệ có thể được cập nhật khi cần thiết.
- Network Address Translation: cho phép bạn xác định cá nhân máy chủ e-
mail có thể được cơng bố trên cơ sở NAT “1-tới-1”.
- Voice over IP: Tăng cường hỗ trợ Voice IP trên bao gồm SIP traversal, cho
11.1.2 Đặc điểm của Forefront TMG:
- Bảo vệ hệ thống toàn diện - Quản lý dễ dàng
- Giám sát hệ thống hiệu quả
Chúng ta sẽ tìm hiểu các tính năng này để chứng minh xem rằng các đặc điểm của Forefront TMG có thật sự đúng hay khơng. Để thuận tiện việc phân tích chúng ta sẽ nhóm các tính năng này thành 3 nhóm chính đại điện cho 3 đặc điểm của Forefront:
- Bảo vệ hệ thống toàn diện
o Anti-virus, anti-malware
Loại bỏ các trang web một linh hoạt dựa trên địa chỉ IP, tê n Domain, các URL. TMG sẽ kiểm soát nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại, vì những sự lây nhiễm malware, virus đều có thể là nguyên nhân gây ra sự chậm trễ trong việc truyền tải nội dung từ server đến client.
o Firewall & Web Access Policy
Cho phép kết nối từ mạng nguồn tới mạng đích trong khi đó vẫn bảo vệ khỏi những truy cập độc hại bằng cách thiết lập những chính sách cụ thể cho phép hoặc cấm truy cập tới mạng đích áp dụng lên từng user, từng group hoặc user.
o Server publishing
Bảo mật truy cập đến các server trong hệ thống nội bộ, tăng cường an ninh cho việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa nhưng user không
được phép chứng thực liên lac đến máy chủ Outlook Web Access.
Truy cập từ xa thơng qua các hình thức kết nối SSL của SSL VPNs. Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server.
o Virtual Private Networking
Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng. Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client. Tăng cường an ninh mạng cho công ty, buộc
- Quản lý dễ dàng
Bao gồm các tính năng quản l ý nhằm nâng cao mức độ an ninh mạng. Export và import dữ liệu đã được cấu hình, lưu dữ liệu đã được cấu hình thành file .xml và
sau đó bạn có thể import file này vào 1 server khác. Cung cấp các sản phẩm, chẳng
hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng và hội nhập với TMG.
- Giám sát hệ thống hiệu quả
Giám sát việc đăng nhập xem firewall, Web Proxy, và SMTP Message Screener logs. Giám sát và lọc session dựa trên firewall sessions, xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL. Cấu hình TMG báo cáo một cách tự động, có thể lưu file báo cáo này vào folder được chỉ định, hoặc xuất báo cáo dưới dạng html xem bằng trình duyệt web.
11.2 Mơ hình triển khai
Hình 79. Mơ hình triển khai Forefront TMG Server
Mơ hình xây dựng hệ thống tường lửa gồm 2 lớp:
- Lớp thứ nhất ngoài cùng sử dụng một tường lửa cứng là router Cisco được cấu hình để tính tuyến vừa có tính năng ACL để lọc gói tin, thiết lập các luật hạn
chế việc truy xuất ra vào cơ bản, đồng thời cho phép mở port telnet cho người quản trị truy xuất cũng như kết nối remote desktop từ ngoài vào trong, để tiện cho việc quản trị hệ thống.
- Lớp thứ hai sử dụng Forefront TMG làm tường lửa mềm, thiết lập các chính sách lọc, giám sát luồng giao thông và xuất các báo cáo thường nhật để ln có những thơng tin mới nhất về hệ thống.
Với đề tài “Tìm hiểu và xây dựng phương thức giám sát, ghi nhận sự kiện” chúng ta sẽ nghiên cứu tập trung vào các phần sau đây của trong hệ thống Forefront TMG:
11.2.1 Thiết lập chính sách tường lửa
Cơ chế hoạt động của các bộ luật truy cập (access rule) trong chính sách tường
lửa (firewall policy) dựa trên nền tảng tương tự với Access control list trong router. Chúng ta cần lập kế hoạch thiết lập các chính sách cấm/cho phép phù hợp với từng đối tượng. Để xây dựng một hệ thống phòng vệ hữu hiệu nhất chúng cần phải có sự phân tích và chiến lược cho từng bộ luật, xác định các vấn đề sau đây trước khi tạo một bộ luật:
Who? Xác định đối tượng là ai (là gì) để áp đặt luật
Action? Với hành động thực thi là cấm hay cho phép
What? Cấm/Cho phép sử dụng ứng dụng hay giao thức
nào?
From-To Xác định hướng truy cập của đối tượng từ đâu đến đâu (vd: internal external, hay ngược lai)
Mặc định sau khi cài đặt xong forefront sẽ có 1 luật mặc định (default rule) sẽ cấm tất cả các truy xuất ra vào, đồng trình tạo chính sách truy xuất web (Web Access Policy) sẽ tạo cho chúng ta thêm 2 luật nữa để truy xuất ra internet và chặn các
ứng dụng độc hại. chúng ta có thể bổ sung thêm các luật như cho phép phân giải giao
thứ DNS, cho phép gửi mail bằng POP3, SMTP, hoặc chỉ định cấm một trang web nào
Ví dụ về một tình huống tạo một luật cho phép máy client chỉ được truy xuất trang facebook.com vào giờ nghỉ trưa (11h – 13h), ngoài giờ này sẽ bị cấm.