Công nghệ phát triển mới trong IDS bao gồm công nghệ “ meta-IDS” ; “IDS appliances” ; và công nghệ “Application-layer”.
• Công nghệ “ meta-IDS” cố gắng giảm bớt gánh nặng về quản lý dữ liệu nhà cung cấp phải vượt qua
• “IDS appliances” hứa sẽ tăng khả năng quản lý từ xa mạnh mẽ hơn • Công nghệ “Application-layer” sẽ lọc lưu lượng tấn công tiềm năng để
scanner trên phân đoạn mạng chuyên dụng.
Những hướng phát triển mới tập trung vào các công nghệ mới cho các doanh nghiệp hoặc nhà cung cấp dịch vụ và ví dụ đại diện của các nỗ lực nghiên cứu nhằm giải quyết những khó khăn của dương tính giả, tắc nghẽn lưu lượng truyền, và các cuộc tấn công nghiêm trọng từ các cảnh báo phiền phức.
CHƯƠNG II. KHÁI QUÁT VỀ FTESTER 2.1. Giới thiệu Ftester
Ftester là một công cụ dùng để kiểm tra firewall và IDS. Ftester gồm hai perl script là ftest và ftestd. Trong khi ftest đọc config file và gửi đi các gói tin chứa mã độc, ftestd đóng vai trò một sniffer được đặt sau firewall. Việc so sánh các gói tin phát đi và nhận được có thể đánh giá được hiệu xuất của một firewall. Ftest và ftestd có thể được kết hợp với nhau để tạo nên các stateful traffic, do đó có thể dùng để test các stateful IDS và firewall.
2.2. Thành phần
Ftester gồm hai script Perl.
Script ftest đc sử dụng để đưa vào các gói tuỳ ý như được định nghĩa trong file cấu hình ftest.conf. Nếu bạn test cách hoạt động của firewall với lưu lượng vào, bạn nên chạy script này trên một máy tính bên ngoài mạng thiết lập firewall. Nếu bạn muốn test các hoạt động của firewall đối với lưu lượng ra bạn sẽ cần chạy ftest từ một máy tính trong mạng được bảo vệ bằng firewall của bạn.
Một kiểu script khác là ftestd lắng nghe để tìm các gói được đưa vào bằng ftest đi qua firewall mà ban đang test. Bạn nên chạy script này trên một máy trong mạng nội bộ nếu bạn test hành vi đi vào của firewall. Nếu bạn test hành vi đi ra, bạn sẽ cần chạy nó trên một máy bên ngoài mạng. Cả hai script này ghi những gì mà chúng gửi hoặc nhận. Sau khi chạy thử, các log tương ứng của chúng có thể được so sánh bằng cách sử dụng script freport để thấy nhanh các gói nào đã có thể đi qua firewall.
2.3. Hoạt động
Trước khi sử dụng Fteser bạn cần có một số Môđun Perl như sau: RawIP,Pcap, PcapUtils, Netpacket. Nếu bạn đã có Môđun Perl CPAN bạn có thể cài đặt bằng các lệnh sau:
Code:
#perl -MCPAN -e "install Net::RawIP" #perl -MCPAN -e "install Net::PcapUtils" #perl -MCPAN -e "install Net::Netpacket"
Khi đã chuẩn bị đồ nghề xong thì bạn cần tạo 1 file cấu hình để cho ftest biết các gói nào mà nó sẽ nhận.
Sau đây là dạng chung cho một gói TCP hoặc UDP trong ftest.conf trong đó soucre addr và source port là địa chỉ và cổng IP nguồn và dest addr và dest port là địa chỉ và cổng IP đích:
Code:
source addr.soucrce port.dest addr.dest port.flags.proto.tos
Các dãy địa chỉ có thể được xác định theo định dạng low-high hoặc bằng cách sử dụng ký hiệu CIDR. Bạn cũng có thể xác định bằng cách sử dụng định dạng low-high. Trường flags là nơi bạn xác định các cờ TCP mà bạn muốn xác lập cho gói. Các giá trị hợp lệ cho trường này là cho SYN, A cho ACK, P cho PSH, U cho URG, R cho RST và F cho FIN. Trường proto xác định giao thức nào cần sử dụng (TCP or UDP) và ToS chứa số cần được xác lập cho trường Type-of-service (ToS) trong header IP. Đôi khi các router sử dụng nội dung của trường này để đưa ra các quyết định về việc ưu tiên hoá lưu lượng.
Bạn cũng có thể định nghĩa các gói ICMP theo một cách tương tự. Sau đây là dạng chung cho 1 gói ICMP:
Code:
source addr.:dest addr.::ICMP:type:code
vào đó nó lại kết hợp với Type và code (do đó có sự bổ sung của các trường type và code). Hiện có hơn 40 loại ICMP. Các loại ICMP dc sử dụng bởi tiện ích ping, type 8 (echo), type 0 (phản hồi dội), type 30 (traceroute). Các mã ICMP giống như những tập con của ICMP. Không phải tất cả các loại ICMP đều có mã ICMP đi kèm mặc dù số mã ICMP gần như cùng số với số loại ICMP.
Còn đây là phần chính muốn nói . Đây là một ftest.conf kiểm tra tất cả cổng TCP có đặc quyền trên một máy tính có địa chỉ IP 10.1.1.1
Code:
192.168.1.10:1025:10.1.1.1.1-1024:S:TCP:0
stop=signal=192.168.1.10:1025:10.1.1.1:22:S:TCP:0
stop_signal tạo một payload cho gói để cho ftestd biết rằng việc test đã kết thúc. Để test nhanh có thể sử dụng tuỳ chọn -c và xác định một gói để gửi bằng cách sử dụng cú pháp trên. VD: Lệnh sau đây gửi một gói có địa chỉ IP và cổng nguồn là 192.168.1.10:1025 đển cổng 22 trên 10.1.1.1.1
Code:
#./ftest -c 192.168.1.10:1025:10.1.1.1:22:S:TCP:0 Trước khi khởi động ftest bạn nên khởi động ftestd: Code:
#./ftestd -i eth0 sau đó chạy ftest Code:
Lệnh này sẽ tạo 1 file Log có tên là ftest.log chứa 1 log của 1 gói mà ftest gửi. Khi ftestd nhận tín hiệu dừng nó sẽ thoát, sau đó ta có thể tìm thấy log về những gói mà nó nhận trong ftestd.log
Bạn có thể sao chép các log sang một máy tính khác và chạy chúng thông qua freport. Nếu bạn đã sử dụng một file cấu hình mà nhóm đã ví dụ ở trên và đã cho phép lưu lượng SSH, SMPTP và HTTP bạn có thể nhận đc 1 báo cáo tương tự như sau:
Code:
#./freport ftest.log ftestd.log Authorized packets:
---
22 - 192.168.1.10:1025 > 10.1.1.1:22 S TCP 0 25 - 192.168.1.10:1025 > 10.1.1.1:25 S TCP 0 80 - 192.168.1.10:1025 > 10.1.1.1:80 S TCP 0
CHƯƠNG III. ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ
Để hiểu rõ được ứng dụng của Ftester trong việc đánh giá hệ thống phát hiện xâm nhập cụ thể mời cô và các bạn xem Demo cụ thể của nhóm.
KẾT LUẬN
Trên đây là tất cả nội dung mà nhóm muốn trình bầy tới cô và các bạn. Qua đó chúng ta có thể có một cách nhìn tổng quan về việc đánh giá hệ thống phát hiện xâm nhập là như thế nào, biết một công cụ có thể thực hiện đánh giá đó, chính là Ftester. Và thông qua công cụ này để đánh giá một hệ thống phát hiện xâm nhập cụ thể. Tuy nhiên, kiến thức và thời gian của nhóm còn hạn chế nên không thể tránh khỏi một số thiếu sót, mong rằng cô và các bạn sau khi xem xét nội dung đề tài của nhóm có thể bổ sung thêm để nhóm hoàn thiện đầy đủ báo cáo của mình.
Nhóm xin chân thành cảm ơn!!!
Thành viên nhóm: Vũ Hoàng Đạt Lê Văn Phương Lê Thị Linh
TÀI LIỆU THAM KHẢO
1. NISTIR 7007 - An Overview of Issues in Testing Intrusion Detection Systems. NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY Arden L. Bement, Jr., Director
2. www.itl.nist.gov/lab/bulletns/bltnjul03.htm / TestingIntrusion Detection Systems
3. www.inversepath.com/ftester.html 4. www.securityfocus.com/tools/3802