TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT/SNORTSAM SV: Nguyễn Văn Quang GVHD: Th.S Nguyễn Đăng Quang Trường ĐH Sư Phạm Kỹ Thuật Tp.. Anomaly Ba
Trang 1TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG
SNORT/SNORTSAM
SV: Nguyễn Văn Quang GVHD: Th.S Nguyễn Đăng Quang
Trường ĐH Sư Phạm Kỹ Thuật Tp Hồ Chí Minh
Khoa Đào tạo Chất lượng cao
Trang 4Giới thiệu về IDS
4
Trang 5Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống
5
Trang 6Giới thiệu về IDS
được phép hoặc tìm cách vượt qua
quyền đã có để truy xuất các tài
nguyên không được phép
6
Trang 7Giới thiệu về IDS
7
IDS
Giám sát/theo dõi
Xác định Báo cáo
Trang 88
Giới thiệu về IDS
Trang 99
Giới thiệu về IDS
Trang 10Phân loại IDS
Trang 11Network-based IDS
11
Trang 12Host-based IDS
12
Trang 13Kỹ thuật phát hiện xâm nhập
13 Phát hiện dựa trên sự bất thường
Phát hiện dựa trên dấu hiệu
Trang 14Anomaly Based ID
14
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này
Trang 15Anomaly Based ID
15
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này
Trang 16Anomaly Based ID
16
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến
Cung cấp các thông tin để xây dựng các dấu hiệu
Trang 17Anomaly Based ID
17
Nhược điểm:
Có thể tạo ra số lượng lớn các cảnh báo sai
Cần phải được đào tạo thường xuyên
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến
Cung cấp các thông tin để xây dựng các dấu hiệu
Trang 18Misuse/Signature Base ID
18
Là kỹ thuật so sánh dấu hiệu của các đối tượng đang quan sát với dấu hiệu của các hình thức xâm nhập đã biết trước
Trang 20Snort/SnortSam
20
Trang 21Kiến trúc của Snort
Trang 22Giải mã cấu trúc của gói tin
Trang 24Detection Engine
24
Detection Engine sẽ kiểm tra các gói tin từ Preprocessors thông qua các luật (rule), nếu không phù hợp gói tin sẽ bị
bỏ đi, nếu phù hợp sẽ được xử lý tiếp
Detection Engine Rule Phù hợp
Trang 25Các cảnh báo và log có thể được gửi thông qua SMB
pop-up, UNIX socket, SNMP hoặc lưu trữ xuống MySQL, PostgerSQL
Trang 26Output
26
Ngoài ra còn có rất nhiều các add-on khác cung cấp việc nhận và phân tích các dữ liệu một cách trực quan thông qua web interface
× BASE
× Snorby
× SGUIL
Trang 27Output
27
Trang 28SnortSam
28
Là một plugin giúp chủ động ngăn chặn các cuộc tấn công
Hỗ trợ nhiều loại firewall khác nhau:
× iptables
× pfsense
× Microsoft ISA Server
× Cisco, Juniper firewall
Trang 29SnortSam
29
Snort Output Plugin (alert_fwsam): Module này sẽ được
kích hoạt sau khi một luật trong Snort được kích hoạt Làm nhiệm vụ giao tiếp và gửi thông tin đến Agent
Blocking Agent: Giao tiếp trực tiếp với firewall, nhận một thông điệp từ phần alert_fwsam và yêu cầu firewall chặn các địa chỉ theo yêu cầu
Trang 33Rule Options
33
Là trung tâm của việc phát hiện, chứa các dấu
hiệu để phát hiện xâm nhập
Trang 34priority
nocase
content within
Trang 35Non-payload Post-detection
Trang 36Ví dụ
36
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
Flash attack ABC"; flow:to_server; content:
"|50 4F 53 54|"; content:"|78 2D 66 6C 61 73 68|"; offset:30; depth:80;
classtype:attempted-NullDataPOST;
resp:rst_all; resp:rst_all; resp:rst_all;
react:block;)
Trang 37Thực tế
37
Trang 39Mô hình xử lý
39
Trang 40Kết quả đạt được
40
Hiểu về các phương pháp phát hiện xâm nhập
Hiểu về cấu trúc và cách xử lý các gói tin trên mạng của
Snort/SnortSam
Cấu trúc luật, cách thức viết các luật đối với từng trường hợp cụ thể Phân tích được một số dạng tấn công và luật kèm theo
Cài đặt, triển khai, demo trên mô hình ảo
Trang 42Hướng phát triển
42
Kết hợp với các giải pháp nguồn mở khác như iptables, mod_security, Nagios hay ZenOSS…Xây dựng một hệ thống bảo mật bằng các phần mềm nguồn mở
Xây dựng riêng một máy trạm phục vụ cho việc phân tích log của toàn hệ thống và của Snort thông qua 2 công cụ thương mại là Splunk hoặc Aanval SAS™
Trang 43Hướng phát triển
43
Trang 44Hướng phát triển
44