- Network-based Intrusion Detection System NIDS - Một hệ thống phân tích lưu lượng truy cập toàn bộ mạng con, NIDS theo dõi cả lưu lượng truy cập trong và ngoài, đến và đi từ tất cả các
Trang 1Giảng viên hướng dẫn: Nguyễn Mạnh Thắng
Trang 2MỤC LỤC
Trang 3CHƯƠNG 1: TỔNG QUAN IDS
1.1 KHÁI NIỆM IDS/IPS
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập Đây là các phần mềm hoặc công cụ giúp người dùng bảo mật hệ thống và cảnh báo mỗi khi có xâm nhập IDS thường là một phần của các hệ thống bảo mật hoặc phần mềm khác, đi kèm với nhiệm vụ bảo vệ hệ thống thông tin Các tính năng quan trọng nhất của IDS bao gồm: giám sát mạng lưu lượng và các hoạt động nghi ngờ; đưa ra cảnh báo về những điểm bất thường cho hệ thống và mạng quản trị đơn vị; kết hợp với lửa tường, phần mềm diệt virusnên một hệ thống hoàn chỉnh bảo mật
IPS (Intrusion Prevention System) là hệ thống ngăn chặn xâm nhập Như vậy, IPS baogồm IDS cùng hệ thống kiểm soát Trong khi, IDS chỉ có thể phát hiện và đưa ra các cảnhbáo thì IPS có khả năng ngăn chặn phát tán dựa vào nội dung của các hành vi xâm nhập tới hệ thống
1.2 PHÂN LOẠI IDS
1.2.1 PHÂN LOẠI THEO MÔ HÌNH CHỨC NĂNG
Có 2 loại IDS chính :
- Host-based Intrusion Detection System (HIDS) – Một hệ thống có quyền truy cập trực tiếp vào cả mạng nội bộ và internet, HIDS chụp một 'hình ảnh' của tập tin của toàn bộ hệ thống và sau đó so sánh nó với một hình ảnh trước đó Nếu hệ thống tìm thấy sự khác biệt lớn, chẳng hạn như các tệp bị thiếu, v.v., thì nó ngay lập tức cảnh báo người quản trị
- Network-based Intrusion Detection System (NIDS) - Một hệ thống phân tích lưu lượng truy cập toàn bộ mạng con, NIDS theo dõi cả lưu lượng truy cập trong và ngoài, đến và đi từ tất cả các thiết bị của mạng
HOST-BASED INTRUSION DETECTION SYSTEMS (HIDS)
Host-based Intrusion Detection System (HIDS) sẽ kiểm tra các sự kiện trên máy tính trong mạng của người dùng thay vì lưu lượng truy cập xung quanh hệ thống Loại hệ thống phát hiện xâm nhập này được viết tắt là HIDS và nó chủ yếu hoạt động bằng cách xem xét dữ liệu trong các tệp quản trị trên máy tính mà nó bảo vệ, các tệp đó bao gồm tệp nhật ký (log) và tệp cấu hình
HIDS sẽ sao lưu các tệp cấu hình của người dùng để người dùng có thể khôi phục cài đặt nếu vi-rút độc hại làm mất an toàn hệ thống của người dùng bằng cách thay đổi thiết lập của máy tính Một yếu tố quan trọng khác mà người dùng muốn bảo vệ là quyền truy cập root trên các nền tảng giống Unix hoặc thay đổi sổ đăng ký trên hệ thống Windows
Trang 4HIDS sẽ không thể chặn những thay đổi này, nhưng nó sẽ có thể thông báo cho người dùng nếu có bất kỳ quyền truy cập nào như vậy xảy ra.
NETWORK-BASED INTRUSION DETECTION (NIDS)
Network-based Intrusion Detection System (NIDS) còn được gọi là hệ thống phát hiện xâm nhập mạng hoặc IDS mạng, kiểm tra lưu lượng trên mạng của người dùng Như vậy, một NIDS điển hình phải bao gồm một bộ dò tìm gói để thu thập lưu lượng mạng để phân tích
Công cụ phân tích của NIDS thường dựa trên quy tắc và có thể được sửa đổi bằng cách thêm các quy tắc của riêng người dùng Với nhiều NIDS, nhà cung cấp hệ thống hoặc cộng đồng người dùng, sẽ cung cấp các quy tắc cho người dùng và người dùng chỉ
có thể nhập các quy tắc đó vào quá trình triển khai của mình Khi người dùng đã quen với
cú pháp quy tắc của NIDS đã chọn, người dùng sẽ có thể tạo quy tắc của riêng mình.Với việc thu thập lưu lượng truy cập, người dùng không muốn tất cả lưu lượng truy cập của toàn bộ hệ thống vào các tệp nhật kí Bởi vì như vây người dùng sẽ không thể phân tích tất cả dữ liệu đó Vì vậy, các quy tắc phân tích trong NIDS cũng tạo ra việc thu thập dữ liệu có chọn lọc Ví dụ: nếu người dùng có quy tắc cho một loại lưu lượng HTTP đáng lo ngại, NIDS của người dùng chỉ nên chọn và lưu trữ các gói HTTP hiển thị các đặcđiểm đó
Thông thường, NIDS được cài đặt trên một phần cứng chuyên dụng Các giải pháp doanh nghiệp trả phí cao cấp đi kèm như một phần của bộ mạng với phần mềm được tải sẵn trên đó Tuy nhiên, người dùng không phải trả nhiều tiền cho phần cứng chuyên dụng.NIDS yêu cầu một mô-đun cảm biến để nhận lưu lượng, vì vậy người dùng có thể tải nó vào một bộ phân tích mạng LAN hoặc người dùng có thể chọn phân bổ một máy tính để chạy tác vụ Tuy nhiên, hãy đảm bảo rằng thiết bị mà người dùng chọn cho nhiệm vụ có
đủ tốc độ xung nhịp để không làm chậm mạng của người dùng
Trang 5Hình 1.1: Mô hình mạng HIDS và NIDS
SO SÁNH SỰ KHÁC GIỮA IDS/IPS VÀ FIREWALL
Sau khi đã tìm hiểu các khái niệm cách hoạt động hay mô hình của IDS/IPS trong hệ thống Dưới đây là sự khác nhau IDS/IPS và firewall:
Cả IDS và IPS đều là các hệ thống dựa trên dữ liệu những mối đe dọa IDS cần quản trị viên xem xét những mối nguy được cảnh báo, còn IPS có thể tự ngăn chặn các mối nguy này
Về phía FIREWALL, thường được cấu hình để chặn tất cả truy cập, sau đó người dùng sẽ cài đặt để cho phép một số loại truy cập nhất định Trong khi đó, cách thức làm việc của IPS và IDS hoàn toàn ngược lại, cho phép tất cả các truy cập và chỉ cảnh báo hoặc chặn một số truy cập cụ thể Vì vậy, tốt nhất người dùng nên sử dụng kết hợp
FIREWALL với IPS hoặc IDS
Dưới đây là 1 số ưu nhược điểm của IDS:
- Ưu điểm: Thích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều tra và ứng cứu sự cố Đem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mạng,
là công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng
- Nhược điểm: Cần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầm Khả năng phân tích traffic mã hóa tương đối thấp Chi phí phát triển và vận
Trang 6hành hệ thống tương đối cao Ngoài ra, khi triển khai IDS, người dùng cần chú ý đến những tiêu chí như: xác định công nghệ IDS; xác định thành phần; cài đặt cấu hình antoàn và phù hợp cho IDS; xác định vị trí hợp lý lắp đặt IDS; xây dựng các cơ chế quản lý, tổ chức; ngăn chặn tối đa các cảnh báo nhầm và những bất tiện không đáng
có từ sự cố này.Với những thông tin bài viết cung cấp, hi vọng người dùng đã hiểu được phần nào IDS là gì, nắm được phân loại một số dạng IDS cũng như điểm mạnh
và điểm yếu của IDS Trong thời đại công nghệ số hiện nay, trang bị một IDS cho doanh nghiệp là điều cấp thiết và thiết thực, để bảo vệ chính doanh nghiệp của người dùng khỏi những nguy cơ tiềm ẩn trên hệ thống
1.2.2 PHÂN LOẠI THEO PHƯƠNG THỨC HOẠT ĐỘNG
Hầu hết các IDS đều sử dụng hai chế độ hoạt động, còn một số có thể chỉ sử dụng một trong hai cách Sau đây là phân loại IDS theo phương cách hoạt động:
hệ thống như SHA1
NIDS có thể bao gồm một cơ sở dữ liệu chữ ký mà các gói được biết đến là nguồn hoạt động độc hại mang theo May mắn thay, hacker không ở máy tính của họ để bẻ khóa mật khẩu hoặc truy cập vào user root Thay vào đó, họ sử dụng các quy trình tự động được cung cấp bởi các công cụ hacker nổi tiếng Các công cụ này có xu hướng tạo ra các chữ ký lưu lượng truy cập giống nhau mỗi lần vì các chương trình máy tính lặp đi lặp lại các cấu trúc tương tự thay vì tạo ra các biến thể ngẫu nhiên
ANOMALY-BASED IDS
Anomaly-based IDS (Phát hiện dựa trên sự khác thường) tìm kiếm các mô hình hoạt động bất ngờ hoặc bất thường Danh mục này cũng có thể được thực hiện bởi cả hệ thống phát hiện xâm nhập dựa trên máy chủ và mạng Trong trường hợp HIDS, một sự bất thường có thể là các nỗ lực đăng nhập thất bại lặp đi lặp lại hoặc hoạt động bất thường trên các cổng của thiết bị
Trong trường hợp của NIDS, cách tiếp cận bất thường đòi hỏi phải thiết lập một đường cơ sở của hành vi để tạo ra một tình huống tiêu chuẩn mà các mô hình lưu thông đang diễn ra có thể được so sánh Một loạt các mô hình lưu thông được coi là chấp nhận được và khi lưu lượng truy cập thời gian thực hiện tại di chuyển ra khỏi phạm vi đó, một cảnh báo bất thường được gửi
Trang 71.3 GIỚI THIỆU MỘT SỐ IDS PHỔ BIẾN
Các nhà sản xuất phần mềm IDS tập trung vào các hệ điều hành giống Unix Một số sản xuất mã của họ theo tiêu chuẩn POSIX Vì hệ điều hành Mac OS của Mac OS X và macOS dựa trên Unix, các hệ điều hành này được phục vụ cho việc sử dụng IDS tốt hơn nhiều so với Windows Dưới đây là liệt kê một số công cụ IDS với mỗi hệ điều hành có thể được cài đặt:
Bảng 1.1: Danh sách một số công cụ IDS với hệ điều hành sử dụng
- Thiết kế theo mô-đun xử lí
- Sử dụng cấu hình đơn giản vì có những cấu hình sẵn
- Hỗ trợ plugin framework (hơn 200 plugin)
- Tự động tạo tài liệu tham khảo
- Cấu hình cho bộ nhớ có thể mở rộng thêm
Trang 8- Phân tích quy tắc và cú pháp
Tuy nhiên dưới đây cũng là 1 số nhược điểm của Snort:
- Rất phức tạp, ngay cả với các quy tắc được định cấu hình sẵn, yêu cầu có kiến thức chuyên môn sâu để hiểu rõ
- Quá tin cậy vào cộng đồng để được hỗ trợ, đôi khi sẽ không thể phát hiện ra những cuộc tấn công mới
SURICATA
Mặc dù kiến trúc của Suricata khác với Snort, nhưng nó hoạt động giống như Snort và
có thể sử dụng các chữ ký giống nhau Dưới đây là một số tính năng đáng chú ý của Suricata:
- Multi-Threaded: Snort chạy với một luồng duy nhất có nghĩa là nó chỉ có thể sử dụng một CPU (core) tại một thời điểm Suricata có thể chạy nhiều luồng để nó có thể tận dụng tất cả các CPU mà người dùng có sẵn
- Xây dựng tăng tốc phần cứng: Người dùng có thể sử dụng card đồ họa để kiểm tra lưu lượng mạng
- Trích xuất tệp: Nếu phát hiện trên lưu lượng có tải xuống phần mềm độc hại Người dùng có thể chụp nó ngay từ Suricata và có thể phân tích nó
- LuaJIT - Nó cũng là một công cụ kịch bản có thể được sử dụng với thông tin từ các gói được kiểm tra bởi Suricata Điều này làm cho việc kết hợp phức tạp thậm chí còn
dễ dàng hơn và người dùng thậm chí có thể đạt được hiệu quả bằng cách kết hợp nhiều quy tắc vào một kịch bản
- Khả năng thu thập log tốt: Suricata có thể lấy và ghi lại những thứ như chứng chỉ TLS/ SSL,yêu cầu HTTP, yêu cầu DNS
Nhược điểm và hạn chế của Suricata:
- Là một công cụ mã nguồn mở tuy nhiên không có cộng đồng lớn như các công cụ như Snort hoặc Zeek
- Tập lệnh tích hợp có thể khó sử dụng yêu cầu có hiểu biết
OSSEC
OSSEC chạy trên hầu hết các hệ điều hành lớn và bao gồm quản lý dựa trên
client/server và kiến trúc ghi nhật ký, điều này rất quan trọng trong hệ thống HIDS Vì HIDS có thể bị xâm phạm cùng một lúc hệ điều hành, điều quan trọng là thông tin bảo mật và pháp y rời khỏi máy chủ và được lưu trữ ở nơi khác càng sớm càng tốt để tránh bất
kỳ loại giả mạo hoặc làm xáo trộn nào có thể ngăn chặn phát hiện Kiến trúc client/server của OSSEC kết hợp chiến lược này bằng cách cung cấp cảnh báo và nhật ký đến một máychủ tập trung, nơi phân tích và thông báo có thể xảy ra ngay cả khi hệ thống máy chủ bị ngoại tuyến hoặc bị xâm phạm Một lợi thế khác của kiến trúc client/server là khả năng
Trang 9quản lý tập trung các đại lý từ một máy chủ duy nhất Vì việc triển khai có thể dao động
từ một đến hàng ngàn cài đặt, khả năng thực hiện các thay đổi toàn cầu từ máy chủ trung tâm là rất quan trọng đối với sự tỉnh táo của quản trị viên Việc cài đặt OSSEC cực kỳ nhẹ(trình cài đặt dưới 1MB) và phần lớn phân tích thực sự xảy ra trên máy chủ có nghĩa là rất
ít CPU được OSSEC tiêu thụ trên máy OSSEC cũng có khả năng gửi nhật ký hệ điều hành đến máy chủ để phân tích và lưu trữ, điều này đặc biệt hữu ích trên các máy
Windows không có cơ chế ghi nhật ký gốc và đa nền tảng
Ưu điểm của OSSEC:
- Hoàn toàn miễn phí và mã nguồn mở
- Sử dụng tổng kiểm tra để xác minh tính toàn vẹn của nhật ký và tệp
- Hỗ trợ giám sát tài khoản gốc trên hệ thống Unix/Linux
- Hỗ trợ cộng đồng mạnh mẽ cung cấp các mẫu mới và hồ sơ quét
Nhược điểm và hạn chế OSSEC:
- Để nhận được các thông tin đáng tin cậy trên cộng đồng để được hỗ trợ túy nhiễn có thể trả phí để nhận được hỗ trợ
- Có thể sử dụng các tính năng báo cáo và hình ảnh hóa tốt hơn
Trang 10CHƯƠNG 2: HƯỚNG DẪN SỬ DỤNG SURICATA
2.1 GIỚI THIỆU SURICATA
Suricata là mã nguồn mở và được sở hữu bởi một tổ chức phi lợi nhuận do cộng đồng điều hành, Open Information Security Foundation (OISF) Nó là một công cụ giám sát an ninh mạng đồng thời vừa là IDS và IPS Suricata và Snort có sử dụng rules tương đồng nhau, tuy nhiên Snort chỉ chạy với 1 luồng duy nhất điều này có nghĩa là nó chỉ sử dụng một CPU tại một thời điểm Với Suricata, nó có chức năng chọn chạy đa luồng, chính vì thế nó có thể tận dụng tất cả CPU sẵn có, có lẽ đây chính là tính năng nổi trội và cái tiến hơn của Suricata
Suricata dử dụng chữ kĩ (signatures) để kích hoạt và đưa ra các cảnh báo, vì thế ta cầnthêm và cập nhật chữ kí trước khi chạy Suricata Chữ kí trong Suricata còn được biết đến
là rules và nó chứa trong các tệp các bộ quy tắc
2.2 CÀI ĐẶT SURICATA
2.2.1 CÀI ĐẶT THƯ VIỆN
Suricata sẽ cần một số thư viện để biên dịch và phát triển chúng Theo mặc định, Suricata hoạt động như một IDS, tuy nhiên để nó có thể sử dụng chức năng như IPS sẽ cần phải cài thêm một số gói vào hệ thống Dưới đây là một số câu lệnh để cài đặt thư viện:
tar -xvzf suricata-6.0.3.tar.gz
Trang 11Tiếp theo, ta sẽ thực hiện chọn thư mục cho Suricata theo câu lệnh dưới đây (bước
này có thể không thực hiện vì mặc định Suricat được cài đặt trong /usr/local/bin cấu hình mặc định /usr/local/etc/suricata và log được mặc định /usr/local/var/log/suricata):
./configure enable-nfqueue prefix=/usr sysconfdir=/etc localstatedir=/var
Cuối cùng, cài đặt suricata bằng câu lệnh sau:
makemake installHoặc để đơn giản các bước chúng ta có thể cài đặt gói suricata với phiên bản mới nhất
và các thư mục để với đường dẫn mặc định bằng câu lệnh dưới đây:
sudo apt install suricata jqSau khi hoàn tất quá trình tải và cài đặt Suricata, trong quá trình sử dụng ta có thể sử dụng một số tùy chọn sau:
-V : Hiện thị phiên bản của Suricata
-c <đường dẫn>: Đường dẫn tới file configuration
-T : Kiểm tra cấu hình
-r <đường dẫn> : Đọc file pcap ở chế độ ngoại tuyến Nếu đường dẫn là thư mục tất cả các tệp trong đó sẽ được xử lí theo thứ tự thời gian để duy truy trạng thái sử lý luồng với thời gian thực
-i <Interface> : lựa chọn này ta sẽ nhập tên card mạng được cấu hình để bắt gói tin trong file configuration
-q : Chạy nội tuyến hàng đợi NFQUEUE với số id Có thể sử dụng tùy chọn này nhiều lần, dùng tronh chế độ IPS
-S <*.rules> : chọn 1 tệp chữ kí, tệp này chạy riêng với tệp được cấu hình trong file configuration
-s <*.rules> : chọn 1 tệp chữ kí, tệp này tải lên cùng với tệp được cấu hình trong file configuration
runmode <runmode> : tùy chọn này dùng để ghi đề runmode trong file configuration Có 3 chế độ là workers, autofp và single Phần này sẽ làm rõ ở nội dung những phần sau
Trang 122.3 SURICATA RULES
2.3.1 CẤU TRÚC RULES
Như đã giới thiệu phần đầu, chữ kí trong Suricata là vô cùng quan trọng, nó là cơ sở
để xác định giúp người giám sát đưa ra cho mình “phán đoán” về thông tin nhận được Sau đây là cấu trúc của 1 rule/signature được định dạng như sau:
- Action: Xác định hành vi sẽ thực hiện nếu mà trùng khớp signature
- Header: Gồm có tên giao thức, địa chỉ IP, port và hướng của rule
- Rule option: Gồm nhiều thành phần xác định nên rule
Dưới đây là 1 ví dụ cụ thể :
alerthttp $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY curl User-Agent Outbound"; flow:established,to_server; content:"curl/"; nocase; http_user_agent; depth:5;
reference:url,www.useragentstring.com/pages/useragentstring.php;
classtype:attempted-recon; sid:2013028; rev:4; metadata:created_at 2011_06_14, updated_at 2020_04_22;)
Trong ví dụ này, action có chữ màu đỏ, header có chữ màu xanh lá cây và rule option
có chữ màu xanh dương
ACTION
Cung cấp một số hành động sau:
- Alert : Đưa ra 1 thông báo
- Pass : Ngừng kiểm tra thêm gói
- Drop : hủy và đưa ra cảnh báo về gói tin
- Reject : thông báo lỗi đến người gửi và không đính kèm RST/ICMP cho gói tin
- Rejectsrc : giống như reject nhưng chỉ từ chối
- Rejectdst : thông báo lỗi đến người gửi và kèm RST/ICMP cho gói tin
- Rejectboth : thông báo lỗi đến người gửi và kèm RST/ICMP cho cả 2 phía
Lựa chọn drop và reject sử dụng cho mode IPS
PROTOCOL
Là từ khóa cho biết signature liên quan đến giao thức nào như các giao thức hoạt động tầng 4 mô hình OSI như tcp, udp, icmp, ip Hay thâm chí các giao thức ở tầng 7 nhưhttp, ftp, ssh, dns, smb, …