Hệ thống phát hiện xâm nhập IDS (intrusion detection system)

Hệ thống phát hiện xâm nhập IDS (intrusion detection system)

MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG 3

CHƯƠNG II: TỔNG QUAN VỀ IDS/IPS 3

I GIỚI THIỆU CƠ BẢN VỀ IDS/IPS 3

1 Định nghĩa 3

2 Chức năng 4

3 Sự khác nhau giữa IDS và IPS 5

4 Cơ chế hoạt động của hệ thống IDS /IPS 5

CHƯƠNG III SNORT TRONG HỆ THỐNG IDS/IPS 6

1 Giới thiệu 6

2 Đặc điểm chính 6

3 Kiến trúc của Snort 6

3.1 Modun giải mã gói tin 7

3.2 Modun tiền xử lý 7

3.3 Modun phát hiện 7

3.4 Modun log và cảnh báo 8

3.5 Modun kết xuất thông tin 8

4 Tập luật (rulesets) trong Snort 9

4.1 Cấu trúc của một rule 9

CHƯƠNG IV HONYPORT TRONG HỆ THỐNG IDS/IPS 10

1 Giới thiệu 10

2 Các loại hình của Honeypot 10

3 Cơ chế hoạt động 12

3.1.Cơ chế kiểm soát dữ liệu 12

4 Đôi chút về Honetnet 14

4.1 Giới thiệu 14

4.2 Mô hình kiến trúc honeynet (GenII) 14

CHƯƠNG V DEMO SNORT GIÁM SÁT THEO DÕI HỆ THỐNG MẠNG 15

1.Mô Hình 15

2 Các bước thực hiện và kết quả đạt được 15

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập

Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả host và mạng Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập,

sử dụng thông tin từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công vào mạng hayvào mạng hay máy cá nhân Thông tin thu thập theo cách này có thể sử dụng làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp Sản phẩm thương mại

và mã nguồn mở đều sẵn có cho mục đích này

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống Nó đã được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật Mặc dù các phương pháp phát hiện xâm nhập còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà còn có thể giúp các bạn

tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng dụng rộng rải trong thực tiển

CHƯƠNG II: TỔNG QUAN VỀ IDS/IPS

I GIỚI THIỆU CƠ BẢN VỀ IDS/IPS

1 Định nghĩa

- Intrusion Detection system ( IDS ): Là một hệ thống giám sát hoạt động trên hệ thống

mạng và phân tích để tìm ra các dấu hiệu tấn công, đột nhập

Hình sau minh họa các vị trí thường cài đặt IDS trong mạng :

- Intrusion Prevention system ( IPS ): Là một hệ thống bao gồm cả chức năng phát hiện xâm nhập (Intrusion Detection–ID) và khả năng ngăn chặn các xâm nhập trái phép

2 Chức năng

Các ứng dụng cơ bản của hệ IDS:

- Nhận diện các nguy cơ có thể xảy ra

- Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ

- Nhận diện các hoạt động thăm dò hệ thống

- Nhận diện các yếu khuyết của chính sách bảo mật

- Ngăn chặn vi phạm chính sách bảo mật

Các tính năng chính của hệ IDS:

- Lưu giữ thông tin liên quan đến các đối tượng quan sát

- Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát

- Xuất báo cáo

3 Sự khác nhau giữa IDS và IPS

Name :

IDS(Hệ thống phát hiện xâm nhập)

IPS(Hệ thống phát hiện & ngăn chặn xâm nhập)

Chức năng:

- IDS( phát hiện và báo cáo xâm nhập)

- IPS(Phát hiện ,báo cáo & ngăn chặn)

Thuộc vào quy mô, tính chất của từng mạng máy tính

Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS

là hợp lý nhất

Với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng(firewall )

4 Cơ chế hoạt động của hệ thống IDS /IPS

Có hai cách tiếp cận cơ bản đói với việc phát triển và phòng chống xâm nhập là :

Phát hiện sự lạm dụng (Misuse Detection Model) : Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kỷ thuật xâm nhập đã được biết đếnhoặc các điểm dễ bị tấn công của hệ thống

Phát hiện sự bất thường (Anomaly Detection Model ): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiểm các hành động khác với hành vi thông thường của người dùng hay hệ thống

CHƯƠNG III SNORT TRONG HỆ THỐNG IDS/IPS

1 Giới thiệu

• SNORT là một phần mềm IDS mã nguồn mở kiểu signature-based Kết hợp lợi ích của dấu hiệu, giao thức và dấu hiệu bất thường, Snort là công nghệ IDS/IPS được triển khai rộng rãi trên toàn thế giới

• Snort là một ứng dụng bảo mật hiện đại có ba chức năng chính: nó có thể phục vụ như một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hoặc một hệ thống pháthiện xâm nhập mạng (NIDS)

• Snort chủ yếu phân tích và cảnh báo trên giao thức TCP/IP

3 Kiến trúc của Snort

• Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Cách thành phần chính đó là:

 Module giải mã gói tin (Packet Decoder)

 Module tiền xử lý (Preprocessors)

 Module phát hiện (Detection Engine)

 Module log và cảnh báo (Logging and Alerting System)

 Module kết xuất thông tin (Output Module)

3.1 Modun giải mã gói tin

Packet decoder (Bộ phận giải mã gói) lấy những gói từ những loại khác nhau của giao diện mạng và chuẩn bị đưa chúng vào preprocessor hoặc gửi nó qua detection engine

3.2 Modun tiền xử lý

Preprocessors (Bộ phận xử lí trước) là những thành phần hay những plug-in được

sử dụng cùng với Snort để sắp xếp và thay đổi những gói dữ liệu trước khi

detection engine thực hiện công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm

Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo

Preprocessor rất quan trọng đối với IDS nhằm chuẩn bị những gói dữ liệu để phân tích cho việc thiết lập rule trong detection engine

3.3 Modun phát hiện

Detection engine là thành phần quan trọng nhất trong Snort Nó chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói

Detection engine tận dụng những rule Snort để làm việc này Những rule được đọctrong cấu trúc dữ liệu bên trong hay buộc chặt chúng vào nơi mà chúng sẽ so khớpvới tất cả các gói Nếu một gói nào đó khớp với rule, hành động thích hợp sẽ sinh

ra, chẳng hạn gói đó sẽ bị hủy Những hành động đó có thể là ghi gói hay sinh cảnh báo

* Sự vận hành của Detection engine phụ thuộc vào các yếu tố sau:

• Số rule trên đó

• Sức mạnh của hệ thống trên đó có Snort đang chạy

• Thông lượng bên trong đó

• Lưu lượng trên mạng

3.4 Modun log và cảnh báo

Phụ thuộc vào detection engine tìm trong gói, gói có thể được dùng để ghi hành động hay sinh cảnh báo Việc ghi lưu trong những text file đơn giản, loại file tcpdump hay những hình thức ghi khác Mặc định tất cả những log file được lưu trong /snort/log/ Bạn có thể sử dụng dòng lệnh “–l” để thay đổi vị trí sinh log file hay cảnh báo Có nhiều lựa chọn dòng lệnh sẽ được thảo luận trong phần sau và chi tiết thông tin về cách ghi log file hay cảnh báo

3.5 Modun kết xuất thông tin

Output modules có thể làm những việc sau:

• Đơn giản chỉ ghi vào snort/log/ hay những thư mục khác

• Gửi SNMP traps

• Gửi thông điệp đến syslog

• Ghi vào cơ sở dữ liệu như MySQL hay Oracle

• Sinh ra dẫn xuất eXtensible Markup Language (XML)

• Bổ sung cấu hình trên router và firewall.

• Gửi thông điệp Server Message Block (SMB) đến hệ thống Microsoft Window Những công cụ khác cũng có thể gửi cảnh báo trong những định dạng khác như e-mail hay qua giao diện web

4 Tập luật (rulesets) trong Snort

Giống như virus, hầu hết hành động xâm nhập có vài loại signature Thông tin về những signature này dùng để tạo Snort rules

4.1 Cấu trúc của một rule

* Tất cả các rule đều có 2 phần logic: rule header và rule options

Cấu trúc Rule

* Rule header :chứa thông tin về hoạt động mà rule để lấy Nó cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu Rule option thường chứa một thông điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để phát sinh cảnh báo

* Rule option :cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu Một rule có thể phát hiện một loại hay nhiều loại hành vi xâm nhập Rule “thông minh” là rule có thể áp dụng lên nhiều dấu hiệu xâm nhập

Cấu trúc chung của rule header như sau:

* Action dùng để xác định loại hành động mà nó lấy về khi tiêu chuẩn gặp được và

một rule được so sánh chính xác một gói dữ liệu Những hoạt động điển hình là sinh ra một cảnh báo hoặc ghi thông điệp hoặc diện chứng cho rule khác

* Protocol dùng để áp dụng rule lên gói chỉ với một giao thức riêng

* Trong giao thức TCP/UDP, port xác định cổng nguồn và đích của gói khi rule áp dụng lên đó Trong trường hợp những giao thức lớp network như IP và ICMP, port numbers không có ý nghĩa

Rule Option:

* Rule option theo sau rule header và được đặt trong cặp dấu ngoặc đơn Có thể một lựa chọn hay nhiều lựa chọn truyền vào cùng dấu Nếu bạn sử dụng nhiều lựa chọn, dạng lựa chọn này là AND Hành động trong rule header chỉ được gọi khi tất cả những tiêu chuẩn trong lựa chọn là đúng Bạn đã sử dụng option như msg và ttl trong ví dụ trước rồi đó Tất cả những lựa chọn được định nghĩa bởi từ khóa Những Rule option chứa các đối số Thường thì những lựa chọn có 2 phần: một từ khóa và một đối số Những đối số truyền vào từ lựa chọn từ khóa bằng một dấu “:” Chẳng hạn như:msg: "Detected confidential“

Lựa chọn msg là từ khóa và “Detected confidential” là đối số cho từ khóa này.Sau đây

là những từ khóa thông dụng Nó hoạt động trên những giao thức riêng, cho nên có ý

nghĩa khác nhau đi theo giao thức

CHƯƠNG IV HONYPORT TRONG HỆ THỐNG IDS/IPS

1 Gi i thi u ới thiệu ệu

- Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật

- Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy chủtài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công

2 Các lo i hình c a ại hình của ủa Honeypot

Gồm hai loại chính: Tương tác thấp và tương tác cao

+ Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành Mức độ rủi ro

thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ

+ Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực Mức độ thông tin thu

thập được cao Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng

- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và

có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…

- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt hơn

BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa Tuy nhiên giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt

-Honeyd:

+ Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân

+ Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau

+ Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ điều hành.

+ Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm

3 C ch ho t đ ng ơ chế hoạt động ế hoạt động ại hình của ộng

3.1.Cơ chế kiểm soát dữ liệu.

• Việc kiếm soát dữ liệu được thực hiện ngay tại Gateway(Honeywall), và dựa trên

cơ chế là:

- Một là giới hạn số lượng kế nối ra bên ngoài

- Hai là lọc gói tinđộc hại – Packer Scrubbed

A GIỚI HẠN SỐ LƯỢNG KẾ NỐI RA BÊN NGOÀI

• Cơ chế này cho phép bất kỳ kết nối nào đi vào nhưng lại giới hạn kiểm soát số lượng kết nối ra bên ngoài và khi đặt tới giới hạn thì tất cả các kết nối ra bên ngoài

về sau sẽ bị chặn lại Việc giới hạn được thiết lập bởi người quản trị Nếu tăng số lượng kết nối ra bên ngoài sẽ cho phép hoạt động tấn công của hacker diễn ra nhiều hơn từ đó chúng ta thu thập được nhiều thông tin song cũng gây ra nhiều nguy hiểm hơn Còn nếu cho phép ít hoặc không cho phép kết nối ra bên ngoài thì

sẽ giảm được nguy cơ nhưng sẽ gây ra nghi ngờ cho kẻ tấn công và có thể phát hiện ra chúng đang tương tác với hệ thống Honeynet

B LỌC GÓI TIN ĐỘC HẠI(PACKER SCRUBBED)

• Cơ chế này có nhiệm vụ phát hiện ra những luồng dữ liệu gây nguy hiểm cho hệ thống Cơ chế lọc gói tin độc hại thường được thực hiện bởi hệ thống ngăn chặn xâmnhập mức mạng NIPS (Network Intrustion Prevention Systems), cụ thể ở đây

là hệ thốngIDS-Snort

• Mục đích của NIPS là để phát hiện và ngăn chặn những tấn công đã biết được đinhnghĩa trong tập các luật (Rule) của NIPS NIPS thực hiện công việc này bằng phương pháp thanh tra mỗi gói tin khi nó đi qua gateway, nó thực hiện so sánh nộidunggói tin với cơ sở dữ liệu mẫu tấn công có sẵn (Các Rule) nhằm phát hiện ra dấu hiệu tấn công NIPS thực hiện ngăn chặn bằng việc thực hiện hai biện pháp sau :

• Thứ 1 là loại bỏ gói tin : thực hiện hủy bỏ gói tin chứa nội dung độc hại khôngcho

đi ra bên ngoài (chặn cuộc tấn công) Biện pháp này thực hiện đơn giản song kémlinh hoạt dễ gây nghi ngờ cho hacker

• Thứ 2 là thay thế, sửa chữa gói tin : thay vì loại bỏ gói tin thì NIPS sẽ thực

hiệnthay thế nội dung bên trong gói tin khiến nó vô hại đối với hệ thống bên ngoài(vô hiệu hóa cuộc tấn công) NIPS sẽ thay đổi một vài byte bên trong đoạn mã khai thác, làm mất hiệu lực chức năng của nó và cho phép nó tiếp tục đi ra ngoài Hacker sẽ thấy cuộc tấn công được phát động như ý muốn Biện pháp này cho phép chúng ta giành được quyền kiểm soát hành vi của kẻ tin tặc tốt hơn đồng thời

nó cũng hết sức linh hoạt khiến hacker khó phát hiện hơn

C CƠ CHẾ THU NHẬN DỮ LIỆU

• Thu nhận dữ liệu từ Firewall

• Địa chỉ IP nguồn của gói tin (có thể địa chỉ IP của máy tính Hacker)

• Địa chỉ IP đích của gói tin (thường là địa chỉ của các Honeypot)

• Giao thức truyền thông được sử dụng (thường là các giao thức truyền thông của cácdich vụ mạng mà Honeypot được xây dựng để Hacker tấn công)

• Cổng nguồn của gói tin

• Cổng đích của gói tin ( thường là số cổng của các giao thức mạng mà Honeynet

mở để cho phép Hacker tấn công)

• Thời điểm diễn ra cuộc tấn công

•

D THU NHẬN DỮ LIỆU TỪ LUỒNG DỮ LIỆU MẠNG

• Thu nhận dữ liệu từ luồng dữ liệu mạng thực hiện thu nhận mọi gói tin với đầy đủ nội dung payload của gói tin đi vào hay đi ra hệ thống Honeynet

– Thu nhận dữ liệu từ hoạt động trên các Honeypot

• Hoạt động mức mạng

• Hoạt động mức hệ thống

• Hoạt động mức ứng dụng

• Hoạt động mức người dùng

E CƠ CHẾ PHÂN TÍCH DỮ LIỆU

• Honeynet hỗ trợ hai công cụ sau để thực hiện quá trình phân tích dữ liệu :

• * Một là Hflow: có khả năng tự động kết hợp dữ liệu

• Hai là Walleye: có khả năng báo cáo, thống kê thông qua giao diện web thânthiện với người dùng

• Hflow có nhiệm vụ kết hợp dữ liệu từ module thu nhận dữ liệu gửi về, chuẩn hóa dữliệu sau đó lưu vào cơ sở dữ liệu (ở đây là My SQL).Hflow tự động xác định :-

Hệ điều hành khởi tạo kết nối mạng.- Sự kiện IDS liên quan đến kết nối mạng.- Sựkiện IDS liên quan đến tiến trình và người dùng trên Honetpot.- Danh sách các tệpliên quan đến cuộc tấn công

• Walleye :

• Walleye có nhiệm vụ lấy dữ liệu thu thập được đã được Hflow chuẩn hóa trong Cơ

sơ dữ liệu để cung cấp cho người phân tích thông qua giao diện web.Nhờ vậy, mà người phân tích có thể nắm được khung cảnh chung các hoạt động hệ thống, nắm được chi tiếtcác hoạt động trong mạng

4 Đôi chút về Honetnet

4.1 Giới thiệu

- Honeynet là hình thức honeypot tương tác cao Khác với các honeypots, Honeynet làmột hệ thống thật, hoàn toàn giống một mạng làm việc bình thường Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật

- Quan trọng nhất khi xây dựng một honeynet chính là honeywall Honeywall là gateway ở giữa honeypots và mạng bên ngoài Nó hoạt động ở tầng 2 như là Bridged Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall

4.2 Mô hình kiến trúc honeynet (GenII)

• a Điều khiển dữ liệu:

- Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động

- Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế

b Thu nhận dữ liệu:

Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc