Giáo trình CEH v7 tiếng việt chương 16 evading IDS firewall

He thong do tim xam nhapIDS va su sap dat cua chung Mat hệ thông dò tìm xâm nhập1DS tập hợp và phân tích thông tin từ một máy hoặc 1 mạng bên trong, đế cá thé xác định sự xâm pham bằng

PHAN 16 Engineered by Hackers Presented by Professionals

Tổng quan

Cách phát hiện một xâm nhập Hệ thống 1DS, tường hra va honeypot

Coprrtght Ô tự All faghts Reserved Ar production ts Stracthy Prohiberd

~~

a "errs rrr CER, MCITP, CCNA, CCNP, VMware sPhere, LPI, Web Design

Module Flow

Hé thong IDS Tường lửa vả

xa, S2,

Ad gts Beerved Reproductos ị S10x19y Pro#ifb#etex

—

htto://cƒhvn (gen NEWS a ' TRAIN _ htto://i-train.com.vn

————— —",—— ŒH, M4CITP,CCNA, CCNP, VW1ware sPhere, LPI, Web Design

He thong do tim xam nhap(IDS)

va su sap dat cua chung

) Mat hệ thông dò tìm xâm nhập(1DS) tập hợp và phân tích thông tin từ một máy hoặc 1 mạng bên trong, đế cá thé xác định

sự xâm pham bằng cấc chính sách bảo mật, bao gôm thấm định quyền truy cập và những sai phạm tương tự khátttc Một IDS cũng được coi như một "packet-snffer”, nó chặn những gói tin trôi noi theo những môi trường truyền thông

và các giao thức khác, thông thường là giao thức TCP/1P

+: Những gói tin sẽ được phân tích sau khi chúng bị bắt giữ

\ Mot IDS sé xem xet mot sự xâm phạm khả nghị, gấý chúng và phát ra tín hiệu báo động

Coprmght Ð trự All Saghts Reserved Reproduction ts Strictly Prohiberd

http: //ceh.vn AB" { tt ews ’ J TRAIN http: / /i-train.com.vn

= “mrs Trt CER, MCITP, CCNA, CCNP, VMware sPhere, LPI, Web Design

IDS làm việc như thé nao?

Cach phát hiện một xâm nhập

Có 3 cách phát hiên xâm nhâp

Dò tìm giao thức không bình thường

Các kiểu dò tìm xâm nhập hệ thống

@ Cơ chế nảy thường bao gôm 1 hốp đen © Cơ chế dựa trên sự kiểm tra các sự kiện được đặt trên nên mang chế đồ xảy ra trên hệ thống máy chủ

X

Copyright © ty EF All Raghts Reserved Reproduction ts Strictly Prohitti)ed

http://cehvn | tt: xew Ss ’ ¥ FRAIN http: / /i-train.com.vn

ee Panna Crean ns ER, MCITP, CCNA, CCNP, VMware sPhere, LPI, Web Design

Hệ thông xác minh tinh toan ven (SIV)

no lA mot hé thong giam sat file va do tim su thay doi boi mot ke xam nhap

—— ~ http://cehvn | tt News *‘¥ FRAIN http: / /i-train.com.vn

Dau hiéu chung cua sự xâm: nhập

+

Xâm nhập file ne thiing, \ Xam nhap mang

chương trì trình mới quen thuộc vụ có sẵn trên máy của bạn

- Dung lượng của file bị thay đổi bất

=_ Các file lạ trên hệ thống không tương máy chú từ xa

thích với danh sách các file đã có

= Tự ý đăng nhập vào file dữ liéu,cho

http: //ceh.vn is ea QxewsS “S i TRAIN http: / /i-train.com.vn

Dấu hiệu chung của hệ thống bị xâm

— Phan mén hệ thông và các file cầu hình bị sửa đối

bo

—

Xuât hiện lô hồng trong hệ thông tính toán

a Hiệu suât của hệ thống chậm một cách bất thường -

1 Hệ thông bị treo hoặc khởi động lại

| yg Thời gian đăng nhập ngăn hoặc không hoan tat ff

am Khong the đăng nhập hoặc đăng nhập khi không được cho phép hoặc không được quy én

oy Xuất hiện những tiễn trình không quen thuộc

8 Xuât hiện các tin nhăn hoặc hình ảnh bât thường

All Rights Reserved Reproduction is Strictly Prohibited

Firewall

Q « Tường lửa là sự thiết kế phần cứng hoặc phần

” mên hoặc là sự kết hợp của ca hai nhăm ngăn

chặn sự truy cập trải phép đên một mạng riêng

@& Nó thường được đặt ở điểm giao nhau hoặc công

trung gian giữa hai mạng thường là một mạng riêng và một mạng công cộng chăn hạn như

® Tương lừa cũng giảm sát các kiêu truyện thông với địa chí nguôn địa chi ch và các công

Copyright ® by

All Rights Reserved Reproduction is Strictly Prohibited

Kiến Trúc Tường lửa

@ lường thanh cua may chu la một hệ thông may tinh duoc

thiệt kê và câu hình dé bao v é tai nguyen mang tnroc su tan

@ cong

Su giao thông vào hoặc ra mạng phải đi qua tường lửa, to co Internet

hai giao điện đó là:

Public interface:kết nỗi trực tiếp đên Internet

Private interface: được kết nỗi với mạng cục bộ

ns : _ , : Bat internet .e Buoeeses :

Intemet không cô quyên trưy cập vào việc kinh Nay v9

® Trong trường hợp này, có nhiêu hơn 3 giao điện là e + a : a:

được cho phép đề chia nhỏ thành phần hệ thống : rea» :

dựa trên các đối tượng bảo mật cu thé : : :

Vùng an toàn (DMZ)

® DMZ\lamét mang mà ở đó các máy chủ được đặt giữa mạng nội bộ an toàn và mạng

internet không an toàn

œ Nó được tạo ra bằng cách sử dụng firewall với ba hoặc nhiều giao diện mạng được

phân công vai trò cụ thê như mạng nội bộ đáng tin cậy, DMZ mạng và ngoài mạng

@ không đáng tin cậy(internet) @

ửa

eA

Cac k

LỌC GÓI TIN FIREWALL

+ Eirewalllàm nhiệm vụ lọc gói tin ở lớp mạng : yg 1 el vao qói tin va mức độ nguy hiệm ma Firewall.co ,

(network) trong mô hình OSI (hay trong lop IP cua : FO ete

: se Cho goi tin đi qua hoạc gưi gói tin đến nguôn

Trong việc lọc gói tin của Firewall.thì mỗi gói tin

được so sánh đê phát hiện nguy hiệm trước khi

cho gói tin đi, qua

:_ ÉŸ Những luậtbao gồm địa chí nguồn địa chị đích, sỗ.hiệu

công va loại giao thức sử dụng

+⁄ ~_ Dho,phép truy ền thông

X =_ Không cho phép truyền thông,

Copyright ® by

All Rights Reserved Reproduction is Strictly Prohibited

Circuit-Level Gateway Firewall

») Circuit-level.gateway.lam.viéc &lép phién, | 4 Thong.tin dug chuyén.dén.motmay,tinh

= Chúng theo dõi quá trình bät tay giữacác : ; Circuit-level gateway ân các thông tin vê

gói tin đê xác định xem một phiên yêu câu : mạng riêng mà chúng bao vệ nhưng chúng

= Cho.phép truyền thông ti tiên session rule, chẳng nhạn,như xác nhận một máy tính khi bất đầu một phiên

XÃ = Không cho ghép truyền thông,

Tông ứag dụng Fhewol

4 Các công ở tầng ứng dụng có thê lọc gói tin ở ` @Một cổng ở tầng ứng dụng được cấu hinh đề một web

lớp ứng dụng của mô hình OSI : Dr0Xy không cho phép bất kỳ sự truyền thông nào của

> FIP gohper, telnet hoặc những dịch vụ khác

© Cac gói tin vào hoặc ra không thế truy cập : 9 Một công ở tang ứng dụng sé xem xét gói tin ở lớp

dịch vụ từ các dịch vụ không có ủy quyên : ứng dụng, nó có thê lọc các lệnh cụ thê chăng hạn

như: hffp:post and get

Trang thái tường lửa kiểm tra đa lớp

‹ Trạng thái tường lửa kiêm tra đa lớp là sự kết hợp các mặt của ba kiêu khác của tường lửa

+ Chúng lọc các gói tin ở lớp mạng để xác định định xem các gói tin là hợp lệ và xem xét nội

dung các gói tin ở lớp ứng dụng

_ = Việc tuyền dữ liệu khi đã lọc gói tin ở 3 lớp cơ bân trên một loạt các phiên,các ứng dụng và các luật lọc gói tín

A =_ Không cho phép truyền thông tin,

gói tin phản hồi -

hacker có thê biệt các công đang sử dụng và có thê phát

Microsofts Froxy server

thưởng lãng nghe trên cong TCP 1080 va 1745

ID ca 0,201 (010,, , than the targeted firewall

Copyright © by EC-Ceuncal All Rights Reserved Reproduction is Strictly Prohibited

Banner là một mẫu tin

được gửi ra ngoài bởi các

dịch vụ mạng trong khi kết mỗi đên các dịch vụ điệu

Một ví dụ của ^đ

SMIP bamner grabbing la: telnet r

= \ malllargelcompan

y.org 25

Một honeypot có thê được sử

dụng đê cô găng truy cập các

Honeypot là một hệ thong † tài Nó không có thâm quyên

hoạt động, không có bât kỷ đánh giá nào được đưa ra

và có khả năng thăm dò, tấn công, hoặc thỏa hiệp

nguyên thông tin được thiết lập

đê thu hút và bấy những người

Honeypot tương tác thấp Honeypot tương tác cao

ee làm việc bang cach canh tranh lí 0 10 hoặc mạng máy tính,

được tìm thấy trên hệ thống của một kẻ tắn công có thê tương tác với ứng

Nếu kẻ tấn công là một thứ chưa biết

không như aie đợi, thì các honeypot

chỉ đơn giãn là sẽ tạo ra một lỗi

Nắm bắt số lượng hạn chế của

ste tin, dữ liệu và tương tác chủ

yếu là thực hiện trên một số

Ví dụ:Specter, Honeyd và

KFSensor

Dựa trên các thiết bị kế cận đề kiếm soát lưu lượng truy cập vì vậy

kẻ tắn công có thê biết nhưng hoạt

lu bắt thông tin nhiều hơn, bao gôm các công cụ mới, thông tin liên lạc hoặc tô hợp phím của kẻ tan céng

Vi du: Symantec Decoy Server va Honneypots

Cài đặt một Honeypot như thế nào?

œ_ Tải về hoặc mua một phản

mem honeypot « Cai dat phan mén trén may

© Dang nhập băng quyên tính của bạn

~ Tiny Honeypot, LaBrea va administrator trén may tinh

Honeyd la mét s6 phan mén dé cai dathoneypotlén may = © Chon "Full version" dé dam

nhiều tính năng hơn

~_-(E

Cài đặt một Honeypot như thế nào?

YT

ni TH nền œ_ Cấu hình Honeypot đê kiêm

"Program File" tra thong tin ma ban muon

cai dat bao gom cac dịch vụ, cac lng dung, Trojans va

© Khoi déng lai may tinh dé

chương trình có hiệu lực

(E Chọn phân mên trong thư

muc, kick "OK" dé cai dat

chương trình

Module Flow

Hé thong IDS Tường lửa vả

xa, S2,

Ad gts Beerved Reproductos ị S10x19y Pro#ifb#etex

—

htto://cƒhvn (gen NEWS a ' TRAIN _ htto://i-train.com.vn

————— —",—— ŒH, M4CITP,CCNA, CCNP, VW1ware sPhere, LPI, Web Design

Công cụ do tim xâm nhập: Snorf

4 Snort là một hệ thông nguôn mở dùng đê phát | cS Command Prompt L4 hiện xâm nhập, có thê thực hiện phân tích gói —

tin trên nên mạng IE trong thời gian thưc eo: \§noxt\bin>snort ~c c:\#noxrt\etc\snoxt conf -1 o:\Snort\log -1 2

~*> Snort! <*- Version 27 3.0 2-ODODC-MySQL-PF1exffSP-MIN12 GEN (Duild 92)

„J_ Nó có thê phân tích các giao thức và các nội :!!: — By Maxtin Nosach & The Snoxt Tesm: http://www snort.oxg/snort/snort-teem

dung đang tìm kiếm hay đang xem và được sử Ne y c ý - ou al alas nae eos Ty NNg Using PCRB wersion: 8.10 2010-06-25

ˆ ¬ + A ¬ A=^ ‡Ã nA Using SLI6 wersion: 1.2.3

dụng đề phát hiện một loạt các cuộc tan CŨ Reles Bogine: SP_SWORT DETECTION BNGINB Version 1.12 <Duild 18>

a, A - SN 5m dà CA v2 Preprocessor (bject: SP 55H Version 1.1 <Build J>

những công ân, tân công CGI, thăm dò SMB vả ESCO EERE FAIRNESS HII

dau van OS $5: Session exeeeded configured max bytes to queue 10459576 using 1040979 bytes ({

clieat queuc) 192 168.168.7 11616 > 32.46 53 163 80 (0) : LAstatc 0x1 LWP1ases

Nó sử dụng ngôn ngữ một các linh hoạt đê mô rs 5

tã việc truyên thông.nó có thê thu thập hoặc

~ a a , 7 ở Snort processed 11774 packets

vượt qua cũng nhu mot cong cu phat hién bang | ahaa renee eee eer

cách lợi dụng kiên trúc mô đun plug-in Pkts/he: 11774

Pkts/min: 118 Pkts/sec | : s 85: Pruned session from cache that was using 1098947 bytes (purge whole cache)

a Snort str dung dé 192 165 165 7 11616 > 92 46 51 161 50 (0) : 1state On) LWPlegs 00222003

nã ›- Packet 1/0 Totals:

+Hut cac goi tin nhu tcpdump ee err

See : ENE ÀanÌysed: 11774 ( 7 983%)

+Ngan chan sw xâm nhập vào hệ thông "eoopoo AC káoc aan Otani

Piltered: 0 ( 90.0008) Catstanding: 1351716 ( 92 017%) 1a}ected:

http://www.snort.org

Snort lam viéc

NIC in Ÿ tem “| Dynamic Loaded Libraries độ mà các giao thức liên kêt và

sniffing 7” Output Plugins những gói tin không hợp lệ trước

network _ khi nạp chúng vào bộ nhớ khi băt

traffic dau Snort

dạng thông báo cho người sử

dụng đê truy cập chúng theo

Các quy định vẻ file: là những file chữ rõ _ "hững cách khác nhau(giao diện

ràng chứa một danh sách các quy tặc điều khiên, file ngoài, cơ sở dữ liệu

với một cú pháp đã biết ,etc)

Luật của Snorf

‹$ Các luật của §nort cho phép viết những quy tắc riêng của chúng ta nếu nó cân thiết cho mạng

@ Các quy tắc của §nort giúp phân biệt giữa các hoạt động mạng bình thường và các hành động độc hại

3 Các luật của Snort phải được chứa trên một dòng, các quy tắc của Snort không xử lý được trên nhiều

dòng

J Quy tac Snort di kém voi hai phan logic:

Phân đầu : xác định hành động của các rule chăng hạn như báo động, thực hiện tự động

Phân lựa chọn : xác định các gói tin báo động thuộc các luật nào

Snort Rules: cac luat hanh dong va các giao thức IP

Q Rule Actions Q @ IP Protocols Q

Snort Rules: Điều khiến hệ thống và địa chi IP

Điêu khiên hệ thông

„ Chỉ đường cho việc truyền thông của hệ thống và việc truyên thông có thê theo (->) hoặc nhiêu hướng(<>) một hướng nhát định

Vi du: Snort sw dung dieu khién 2 chiêu

log !192.168.1.0/24 any <> 192.168.1.0/24 23

Địa chỉ IP

Nó thỏa thuận các thông tin về địa chỉ IP,công cho bắt kỳ các luật đặc biệt nào

J Sử dụng từ khóa "any" để xác định bat ki dia chi Ip nao

2 Snort chap nhận những địa chỉ được tạo thành bởi một số các địa chỉ và một khói CIDR áp dụng netmark vào các

luật vê địa chỉ đê xác định cac gói tin không hợp lệ

4 Ví dụ: địa chỉ IP sai quy tac:

alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content:

"100 01 86 a5|"; msg: "external mountd access";)

Snort Rules: Só công

J Số công có thê được liệt kê bằng nhiều cách khác nhau bao gòm "any" công,xác định công

tinh,dấy công và các công sai quy tắc

W Dãy số hiệu công chỉ ra những công được phép hoạt động *:"

ị : Gói tin TCP được truyền từ bất kỳ công nào đến

Log TCP any any -> 192.168.1.0/24 :5000 những công nhỏ hơn hoặc bằng 6100

1024 và đích đên là những công >= 400

Hệ thông dò tìm xâm nhập: Tipping Point

~) TippingPoint IP$ được đưa vào mạng

một cách minh bạch, nó là một thiệt bị

in-line

«) Mỗi gói tin được kiêm tra kỹ lưỡng đề

xác định xem là độc hại hay hợp lệ

_JN6 cung cap cách thi hành, các ứng

dung,ha tâng bảo vệ ở tôc độ Gigabit

thông qua việc kiêm tra toàn bộ gói

@ Permitted Last: 2739k Avg: 1379k Max:

@ Blocked Last: 0.00 Avg:

@ Oiscarded Invalid Last: 69.38 Avg:

Graph Last Updated: Tue 22 Sep 12:20:02 CEST 2009

~ 0+ RM Sree —s ee cô el Ae ot Sarwar? ell i

° Mon 16:00 Mon 20:00 Tue 00:00 Tue 04:00 Tue 08:00 Tue 12:00

From 2009/09/21 12:22:52 To 2009/09/22 12:22:52

6.06 k 6.61 k 35.85 k

@ U0P Last: ` Avg: ; Max : ñ1TCP Last : ì Avg: : Max:

NIP-Other Last: Avg: Max : 0.00 Graph Last Updated: Tue 22 Sep 12:20: 02 http://h10163.www1.hp.com

| tem

Ta ||

Cong cu phat hién do tim xam nhap

Security Network Intrusion

SNARE (System iNtrusion Analysis

& Reporting Environment)

Firewall: Sunbelt Personal Firewall

& SunbeR Personal Firewall

[¥ Enable Network security module

“# Internet Explorer

L] LSA Shal (£ xyxet Varcse:)

a Windows NT Logon Appt

ny = Userint Logon Appl alice

P C—] Ganerr Hoạt Procss Íc aft Meropalt File ond Printe

|= Any other application

deny ow pore

ay 86 puree any vV pesnẻ

Cong cu Honeypot: KFSensor

Sn “4y Detats Sgrature Data 8 ` a # ¬ ` ` a `

N e KFSensor la một may chu do dung dê do

mm mm tim sự xâm nhập vào hệ thông (IDS)

Stet Time 1507/2005 1121-67 890 Severty Myr

Ti ® Nó hoạt động như một honneypot đê thu

P — 81531346 | Port | 3622 hút và phát hiện kẻ xâm nhập bang cach

Domart = hollV1.153-163-246rangs@(-153t4cerwapA¿3 com gia vơ như một hệ thông dê bị tang cong

Honeypot Tool: SPECTER

SPECTER cơ bản là một honneypot nó là hệ thong dò tìm xâm nhập thông minh bằng cách

“ phô ra những dịch vụ như SMTP,F TP,POP3,HTTP,TELNET một cách bình thường nhưng mục

đích là bây các kẻ tâng công

¿ SPECTER cung Tee lượng lớn các nội dung moi bao gồm cả ảnh file MP3,bản tin mail file

— chứa mật khâu,thư mục và tất cả các loại phần mên

f' Nw1T»e G Frew 4 | sens red ody 3 Une Conhipuaten | 3

* Tabet ee a 7c Greere Trap Pit =—————————— ` System home TPO ame

“l4 _ : Ty, [2 Mahon 3 ema : 4

3 Uns Une [ Pư§em — 1| muita a P Lai se * |uwcw.iÐAAses: lïC _Vhb Sevee Cordpsse| |

[yap teat tt bevy oreo: IP Adee ?

ioe lv bite Meese 1| rin 3 ki V tem : — IPAdttem | 1

\ hoa he“

© Open 5] ÍP? MeDeczm 2| 7 Chemach _~ Une custo mal menage hor POPS bot Message | 3!

ˆ Ngee.me : : Waring iy ae NON Walmer (hee Nae 3

verge Đà Send PW [he 3 “aan oa sho tow | Os achors awe tagged wtrumen ole! was acby ded