Nghiên cứu triển khai hệ thống phát hiện xâm nhập mạng với phần mềm mã nguồn mở Snort_Inline

Triển khai được hai hệ thống phát hiện và ngăn chặn xâm nhập là Snort kết hợp với Iptables và Snort_inline để chống lại những tấn công mạng đơn giản. Đưa ra đánh giá về ưu, nhược điểm của từng hệ thống, từ đó đề xuất phương án sử dụng trong thực tế.

LỜI CẢM ƠN

Trước tiên, tôi xin gửi lời cảm ơn chân thành đến thầy giáo đã hướng dẫntôi hoàn thành đồ án này Các thầy đã định hướng cho tôi làm đồ án, hướng dẫn,truyền đạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cầnthiết để tôi hoàn thành được đồ án

Tôi xin cảm ơn các thầy cô trong Học viện Kỹ đã đào tạo và cung cấp chotôi những kiến thức hữu ích, làm hành trang để bước vào cuộc sống

LỜI CAM ĐOAN

Để hoàn thành đồ án này, tôi chỉ sử dụng những tài liệu đã ghi trong mụctài liệu tham khảo, ngoài ra không sử dụng bất kỳ tài liệu nào khác mà khôngđược ghi

Nếu sai, tôi xin chịu mọi hình thức kỷ luật theo quy định của Học viện

Hà Nội, ngày 05 tháng 06 năm 2015

Học viên thực hiện

(Ký và ghi rõ họ tên)

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

MỤC LỤC iii

CÁC KÝ HIỆU, CHỮ VIẾT TẮT v

DANH MỤC HÌNH VẼ vi

DANH MỤC BẢNG BIỂU vii

LỜI MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 3

1.1 Hệ thống phát hiện xâm nhập (IDS – Intruction Detection System) 3

1.1.1 Giới thiệu về IDS 3

1.1.2 Chức năng của IDS 3

1.1.3 Phân loại IDS 4

1.1.4 Kiến trúc của IDS 7

1.2 Hệ thống ngăn chặn xâm nhập (IPS – Intruction Prevention System) 12

1.2.1 Khái niệm 12

1.2.2 Chức năng của IPS 12

1.2.3 Kiến trúc chung của hệ thống IPS 12

1.2.4 Phân loại IPS 15

1.2.5 Các kỹ thuật xử lý IPS 17

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT VÀ TƯỜNG LỬA IPTABLES 22

2.1 Hệ thống phát hiện xâm nhập Snort 22

2.1.1 Giới thiệu về Snort 22

2.1.2 Các thành phần của Snort 23

2.1.3 Các chế độ hoạt động của Snort 28

2.1.4 Cấu trúc luật của Snort 33

2.2 Hệ thống tường lửa IPtables 36

2.2.1 Giới thiệu về IPtables 36

2.2.2 Cấu trúc của IPtables 37

2.2.3 Cơ chế xử lý gói tin 38

2.2.4 Jumps và Targets 42

2.2.5 Tìm hiểu các câu lệnh và thiết lập luật trong Iptables 44

2.2.6 Ưu điểm và nhược điểm của Iptables 48

2.3 Xây dựng một IPS dựa trên Snort và Iptables 49

2.3.1 Snort_inline 49

2.3.2 Snort_inline và Iptables 50

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA TRÊN PHẤN MỀM MÃ NGUỒN MỞ SNORT_INLINE 51

3.1 Cài đặt Snort 51

3.1.1 Cài đặt các gói cần thiết cho Snort 51

3.1.2 Cài đặt, cấu hình Snort 53

3.2 Mô hình triển khai 55

3.3 Triển khai hệ thống 56

3.3.1 Kịch bản 1: Phát hiện và ngăn chặn tấn công gây ngập lụt hệ thống bằng lệnh ping 56

3.3.2 Kịch bản 2: Phát hiện và ngăn chặn tấn công quét cổng (Scanning Port) 63

3.3.3 Kết quả thống kê thực nghiệm 75

KẾT LUẬN 77

HƯỚNG PHÁT TRIỂN 77

TÀI LIỆU THAM KHẢO 78

CÁC KÝ HIỆU, CHỮ VIẾT TẮTV

D

DOS

Distributed Denial OfServices

Tấn công từ chối dịch vụphân tán

DS

Intrustion Detection System Hệ thống phát hiện xâm

nhậpI

Hệ thống ngăn chặn xâmnhập

DP

User Datagtam Protocol

DANH MỤC HÌNH VẼ

Hình 1.1: Network-based IDS 5

Hình 1.2:Host-based IDS 7

Hình 1.3: Mô hình chung hệ thống IDS 9

Hình 1.4: Promiscuous Mode IPS 16

Hình 1.5: In_line Mode IPS 17

Hình 2.1: Quá trình xử lý gói tin của Snort 24

Hình 2.2: Bộ phận tiến xử lý 25

Hình 2.3: Bộ phận phát hiện 26

Hình 2.4: Bộ phận ghi nhận và cảnh báo 27

Hình 2.5: Mô hình Snort_inline 32

Hình 2.6: Netfilter/iptables 37

Hình 2.7: Mô tả sự lọc và quản lý trong Iptables 40

Hình 2.8: Đường đi của gói dữ liệu 42

Hình 3.1: Mô hình triển khai Snort_inline 54

Hình 3.2: Luật ICMP viết cho Snort 56

Hình 3.3: Ping với tham số “-t” thành công 56

Hình 3.4: Cảnh báo do Snort sinh ra 57

Hình 3.5: Ping với tham số “-l 1000 –t” vào máy nội bộ thành công 58

Hình 3.6: Iptables ngăn chặn thành công tấn công ngập lụt máy chủ 59

Hình 3.7: Cấu hình Snort_inline 59

Hình 3.8: Cấu hình Snort_inline (tiếp) 60

Hình 3.9: Luật phát hiện và cấm ping viết cho Snort_inline 60

Hình 3.10: Thông báo do Snort_inline sinh ra 61

Hình 3.11: Snort_inline phát hiện và ngăn chặn thành công tấn công ngập lụt .61 Hình 3.12: Luật phát hiện ping và quét cổng viết cho Snort 62

Hình 3.13: Cửa sổ nmap 63

Hình 3.14: Dò quét cổng máy nội bộ trong thành công bằng nmap 63

Hình 3.15: Thông báo có tấn công quét cổng do Snort sinh ra 64

Hình 3.16: Dò quét cổng máy PC 1 không thành công bằng nmap 69

Hình 3.17: Tấn công quét cổng bằng nmap 72

Hình 3.19: Thông báo do Snort_inline sinh ra 73

DANH MỤC BẢNG BIỂU Bảng 2.1: Các tùy chọn cảnh báo của Snort trong chế độ NIDS 31

Bảng 2.2: Các loại queues và chain cùng chức năng của nó 39

Bảng 2.3: Miêu tả các target mà Iptables hay sử dụng nhất 44

Bảng 2.4: Bảng danh sách các lệnh (Queue) 46

Bảng 2.5: Các tham số chuyển mạch quan trọng trong Iptables 49

LỜI MỞ ĐẦU

Với sự phát triển của khoa học công nghệ, thông tin được số hóa và đượclưu tại các trung tâm riêng biệt và có thể được chia sẻ rộng rãi trên mạng Việcmất mát thông tin trên mạng, lừa đảo trên mạng, tấn công từ chối dịch vụ,…đãgây nhiều tổn thất trong kinh doanh cũng như gây phiền toái cho người dùngInternet Do đó, an toàn thông tin đang là vấn đề đang được quan tâm không chỉ

ở Việt Nam mà còn trên toàn thế giới

Trong lĩnh vực an toàn thông tin, việc nghiên cứu, phát triển hệ thống bảo

vệ thông tin trước các tấn công bên ngoài và bên trong luôn được các nhà quản

lý chú trọng Hệ thống phát hiện và ngăn chặn xâm nhập ra đời là một giải pháp

để đáp ứng các nhu cầu của các nhà quản lý

Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn

mở Snort_inline là sự kết hợp các ưu điểm của hệ thống phát hiện xâm nhậpSnort và kỹ thuật tường lửa Iptables Nó có khả năng phát hiện và tự động ngănchặn các hành động cố ý truy nhập trái phép vào hệ thống, các cuộc tấn côngthăm dò chẳng hạn như tràn bộ đệm, quét các cổng, các cuộc tấn công vàoCommon Gateway Interface (CGI), dò Server Message Block (SMB), và nhiềuhơn nữa

Do đó, em chọn thực hiện đồ án “Nghiên cứu, triển khai hệ thống pháthiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn mở Snort_inline”nhằm nghiên cứu, tìm hiểu hệ thống phát hiện xâm nhập Snort, hệ thống kiểmsoát truy cập với Iptables và từ đó triển khai hệ thống phát hiện và ngăn chặnxâm nhập dựa trên phần mềm mã nguồn mở Snort_inline

Nội dung đồ án chia thành 3 chương:

Chương 1: Tổng quan về hệ thống phát hiện và ngăn chăn xâm nhập

Chương này trình bày những kiến thức cơ bản về hệ thống phát hiện vàngăn chặn xâm nhập: khái niệm, chức năng, phân loại, kiến trúc chung, phươngthức hoạt động… của hệ thống

Chương 2: Hệ thống phát hiện xâm nhập Snort và tường lửa Iptables

Chương này trình bày về hệ thống phát hiện xâm nhập Snort, tường lửaIptables của Linux và sự kết hợp của hai hệ thống này để xây dựng một hệ thốngIPS

Chương 3: Triển khai hệ thống phát hiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn mở Snort_inline

Chương này trình bày về quá trình triển khai một hệ thống IPS dựa trênphần mềm mã nguồn mở Snort_inline để phát hiện và ngăn chặn xâm nhập mạngtrái phép

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN

VÀ NGĂN CHẶN XÂM NHẬP

Hệ thống phát hiện xâm nhập (IDS) ra đời cách đây khoảng 30 năm và nó

đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng máy tính Bằng cáchđưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống Thế hệ tiếptheo của hệ thống phát hiện xâm nhập là hệ thống ngăn chặn xâm nhập (IPS) rađời năm 2004, đang trở nên phổ biến và dần thay thế cho hệ thống IDS Hệthống IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại cáccuộc tấn công đó

1.1 Hệ thống phát hiện xâm nhập (IDS – Intruction Detection System)

1.1.1 Giới thiệu về IDS

Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng hay phần mềm cóchức năng tự động giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khácnhau, sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệthống và thông báo đến người quản trị hệ thống Nói một cách tổng quát, IDS là

hệ thống phát hiện các dấu hiệu xâm hại đến tính bảo mật, tính toàn vẹn và tínhsẵn sàng của hệ thống máy tính và hệ thống mạng, làm cơ sở cho bảo đảm anninh hệ thống

1.1.2 Chức năng của IDS

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họkhỏi những đe dọa bởi việc gia tăng kết nối mạng và làm tăng sự tin cậy của hệthống thông tin này Những đe dọa đối với an ninh mạng ngày càng trở nên cấpthiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng

hệ thống phát hiện xâm nhập khi những đặc tính của hệ thống phát hiện xâm

nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác IDS có đượcchấp nhận là thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn làmột câu hỏi của nhiều nhà quản trị hệ thống Có nhiều tài liệu giới thiệu về cácchức năng mà IDS làm được, có thể tóm tắt các chức năng chính như sau:

Các chức năng quan trọng nhất: Giám sát – cảnh báo – bảo vệ

- Giám sát: Lưu lượng mạng và các hoạt động khả nghi, các thiết bị vàdịch vụ mạng, nguồn tài nguyên trên hệ thống

- Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

- Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà

có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng:

- Phân biệt: Các tấn công trong và ngoài mạng

- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặcnhờ vào sự so sánh lưu lượng mạng hiện tại với baseline

Ngoài ra, hệ thống phát hiện xâm nhập IDS còn có chức năng:

- Ngăn chăn sự gia tăng của những tấn công

- Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

- Đánh giá chất lượng của việc thiết kế hệ thống

1.1.3 Phân loại IDS

Dựa vào đặc điểm của nguồn dữ liệu thu thập được, hệ thống phát hiệnxâm nhập được chia làm hai loại cơ bản sau:

- Networt-based IDS (NIDS): Sử dụng dữ liệu lưu thông trên toàn bộmạng, cùng nguồn dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiệnxâm nhập

- Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn

Ưu điểm:

- Quản lý được cả một phân đoạn mạng (gồm nhiều host)

- Trong suốt với người sử dụng và kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng đến mạng

- Tránh tấn công DOS ảnh hưởng đến một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động

- Hầu hết các hệ thống NIDS không thể xác định được hành động tấncông, xâm nhập của kẻ tấn công có thành công hay không, tác động như thế nàođến tài nguyên mạng NIDS chỉ phát hiện dấu hiệu hành động tấn công, xâmnhập ở bên ngoài mạng

- Hệ thống NIDS gặp nhiều khó khăn với các hành động tấn công sử dụngphương pháp phân đoạn gói tin do các hệ thống này thường không có cơ chế táihợp gói tin để kiểm tra

1.1.3.2 Host-based IDS (HIDS)

Web Server (HIDS)

DNS (HIDS)

Mail Server (HIDS)

- Có thể phân tích các dữ liệu mã hóa

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host

Nhược điểm:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào hostnày thành công

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc tấn công dò quét mạng(Nmap, Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị tấn công DoS

- Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạytrên được UNIX và những hệ điều hành khác

1.1.4 Kiến trúc của IDS

Ngày nay người dùng phân biệt các hệ thống IDS khác nhau thông quaviệc phân tích và kiểm tra của các hệ thống Một hệ thống IDS được xem làthành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa racác thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngănchặn thành công và chính sách hợp lý mềm dẻo Mỗi hệ thống có những ưu điểmcũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả chung nhưsau:

Mô hình chung của hệ thống IDS gồm 3 thành phần chính:

- Thành phần thu thập gói tin: bao gồm các điểm có nhiệm vụ bắt các góitin truyền trên mạng Thường các điểm thu thập thông tin được đặt tại các điểmkết nối giữa mạng nội bộ và mạng bên ngoài, nơi mà mọi trao đổi dữ liệu củamạng đi qua

- Thành phần phân tích gói tin: nhận các dữ liệu từ các điểm thu thậpthông tin gửi về, từ đó phân tích các mục đích của các gói tin, dựa vào hệ thốngthông tin và chính sách an ninh để tìm ra các hoạt động tấn công, xâm nhập tráiphép.

- Thành phần phản hồi: có nhiệm vụ đưa ra các cảnh báo cho nhà quản trịmạng dựa vào các kết quả phân tích hoặc đưa ra các phản ứng trước những hànhđộng bất hợp pháp

Trong 3 thành phần này thì thành phần phân tích gói tin là quan trọng nhất

và ở thành phần này bộ cảm biến đóng vai trò quyết định nên đồ án sẽ đi sâu vàophân tích bộ cảm biến

Hình 1.3: Mô hình chung hệ thống IDS

Bộ cảm biến được tích hợp với thành phần thu thập dữ liệu, một bộ tạo sựkiện Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩachế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng)cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các

sự kiện của hệ thống hoặc các gói tin Số chính sách này cùng với thông tinchính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thểphát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệuchính sách phát hiện cho mục đích này

1.1.1.5 Các phương pháp nhận biết tấn công

Hiện nay một số loại hệ thống phát hiện xâm nhập, được phân biệt bởiphương pháp theo dõi và phân tích Mỗi phương pháp có những lợi điểm vànhững hạn chế nhất định Tuy nhiên, mọi phương pháp đều có thể mô tả thôngqua một mô hình tiến trình chung tổng quát cho hệ thống phát hiện xâm nhập 1.1.5.1 Nhận biết qua tập sự kiện

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từtrước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều

được kết hợp vào cuộc kiểm định và được viết dưới dạng nguyên tắc if-then-else.

1.1.5.2 Phát hiện dựa trên tập luật (Rule-Based)

Phương pháp này dựa trên những hiểu biết về tấn công Chúng biến đổi sự

mô tả của mỗi tấn công thành định dạng kiểm định thích hợp Như vậy, dấu hiệutấn công có thể được tìm thấy trong các bản ghi (record) Một kịch bản tấn công

có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn cônghoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định Phươngpháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định Sự phát

hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.

1.1.5.3 Phát hiện dựa trên phân biệt ý định người dùng (User intentionidentification)

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằngmột tập nhiệm vụ mức cao mà người dùng có thể thực hiện được trên hệ thống(liên quan đến chức năng người dùng) Các nhiệm vụ đó thường cần đến một sốhoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phântích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khinào một sự không hợp lệ được phát hiện th́ì một cảnh báo sẽ được sinh ra.

1.1.5.4 Phát hiện dựa trên phân tích trạng thái phiên (State-transition analysis)

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được

thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình

bày trong sơ đồ trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽtiến hành cảnh báo hay đáp trả theo các hành động đã được định trước

1.1.5.5 Phát hiện dựa trên phương pháp phân tích thống kê (Statistical analysisapproach)

Đây là phương pháp thường được sử dụng Hành vi người dùng hay hệ

thống (tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến

như là: Đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảngthời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp cóthể thay đổi từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa chomỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từtrước

1.1.5.6 Phát hiện dựa vào dấu hiệu

Phát hiện xâm nhập dựa vào dấu hiệu (Signature - Based Detection) đểxác định một sự kiện có phải là một mối nguy hiểm không Việc phát hiện xâmnhập dựa vào dấu hiệu hiệu quả với những mối đe dọa đã được biết đến Tuy

nhiên, cách này vô hiệu hóa đối với những mối đe dọa chưa được biết đến, đượcche giấu bằng cách nào đó hoặc những biến thể của những mối đe dọa đã biết.Phương thức này không hiểu được nhiều giao thức hoạt động của mạng, giaothức hoạt động của các ứng dụng, không theo dõi và hiểu các trạng thái liên lạcphức tạp.

1.1.5.7 Phát hiện xâm vào sự bất thường

Phương thức phát hiện dựa vào sự bất thường (Anomaly – BasedDetection) là quá trình so sánh các định nghĩa sự kiện được cho là bình thườngvới các sự kiện được quan sát để xác định các vấn đề bất thường Ưu điểm củaphương thức này là sự đa dạng, có thể được chỉnh sửa, thay đổi để đạt hiệu quảkhi phát hiện những mối đe dọa chưa biết trước đó Nhược điểm là có thể đưa racảnh báo nhầm

1.2 Hệ thống ngăn chặn xâm nhập (IPS – Intruction Prevention System)

1.2.1 Khái niệm

Hệ thống ngăn chặn xâm nhập IPS là một kỹ thuật an ninh mới, kết hợpcác ưu điểm của kỹ thuật tường lửa và hệ thống phát hiện xâm nhập IDS Cókhả năng phát hiện các cuộc tấn công và tự động ngăn chặn hoặc cản trở cáccuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngănchặn tấn công Phần lớn các hệ thống IPS được đặt ở vành đai mạng, đủ khảnăng bảo vệ tất cả các thiết bị trong mạng

1.2.2 Chức năng của IPS

Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráplại các đoạn, ráp lại các phân khúc của giao thức điều khiển truyền tải (TCP-segment), xác nhận tính hợp lệ giao thức Một IPS hoạt động giống như một

người bảo vệ gác cổng cho một khu dân cư, cho phép hoặc từ chối truy nhập dựatrên cơ sở các ủy nhiệm và tập quy tắc nội quy nào đó.

Các giải pháp IPS “Ngăn ngừa xâm nhập” nhằm mục đích bảo vệ tàinguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe dọa tấn côngbằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn chophép các hoạt động hợp pháp tiếp tục

1.2.3 Kiến trúc chung của hệ thống IPS

Một hệ thống IPS gồm có 3 thành phần chính:

- Module phân tích gói tin

- Module phát hiện tấn công

- Mudule phản ứng

1.2.3.1 Module phân tích gói tin

Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin NICCard của máy tính được giám sát được đặt ở chế độ ngoài luồng, tất cả các góitin qua chúng đều được sao chép lại và chuyển lên lớp trên Bộ phân tích gói tinđọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì,dịch vụ gì, sử dụng loại giao thức nào…Các thông tin này được chuyển lênmodule phát hiện tấn công

1.2.3.2 Module phát hiện tấn công

Đây là module quan trọng nhất trong hệ thống có nhiệm vụ phát hiện cáccuộc tấn công Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là:

dò sự lạm dụng và dò sự không bình thường

- Phương pháp dò sự lạm dụng:

+ Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếmcác sự kiện giống với các mẫu tấn công đã biết trước Các mẫu tấn công này

được gọi là dấu hiệu tấn công Do vậy phương pháp này còn gọi là phương pháp

dò dấu hiệu

+ Phương pháp này có ưu điểm là phát hiện các cuộc tấn công nhanh

và chính xác, không đưa ra các cảnh báo sai dẫn đến làm giảm khả năng hoạtđộng của mạng và giúp cho người quản trị xác định các lỗ hổng bảo mật trong hệthống của mình Tuy nhiên, phương pháp này có nhược điểm là không phát hiệnđược các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, dovậy hệ thống phải luôn luôn cập nhật các kiểu tấn công mới

- Phương pháp dò sự không bình thường:

+ Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động khôngbình thường của mạng Quan niệm của phương pháp này về các cuộc tấn công làkhác với các hoạt động bình thường

+ Ban đầu chúng sẽ lưu trữ các mô tả sơ lược về các hoạt động bìnhthường của hệ thống Các cuộc tấn công sẽ có những hành động khác so với bìnhthường và phương pháp này có thể nhận dạng ra

+ Một số kỹ thuật dò sự không bình thường của các cuộc tấn công:

 Phát hiện mức ngưỡng

 Phát hiện nhờ quá trình tự học

 Phát hiện sự không bình thường của giao thức+ Phương pháp dò sự không bình thường của hệ thống rất hữu hiệutrong việc phát hiện các kiểu tấn công từ chối dịch vụ DOS Ưu điểm củaphương pháp này là có thể phát hiện các kiểu tấn công mới, cung cấp thông tinhữu ích bổ sung cho phương pháp dò sự lạm dụng Tuy nhiên, chúng có nhượcđiểm là thường gây ra các cảnh báo sai làm giảm hiệu suất hoạt động của mạng.1.2.3.3 Module phản ứng

Khi có dấu hiệu của sự tấn công hoặc xâm nhập, module phát hiện tấncông sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phảnứng Lúc đó module phản ứng sẽ khởi động tường lửa thực hiện chức năng ngănchặn cuộc tấn công Tại module này, nếu chỉ đưa ra các cảnh báo tới các ngườiquản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bịđộng Module phản ứng này tùy theo hệ thống mà có các chức năng khác nhau.

Một số kỹ thuật ngăn chặn:

- Chấm dứt phiên (Terminate session)

- Bỏ tấn công (Drop attack)

- Thay đổi luật của tường lửa (Modify firewall polices)

- Cảnh báo thời gian thực (Real-time Alerting)

- Ghi lại vào tệp tin (Log packet)

Ba module trên hoạt động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộthông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềmdẻo

1.2.4 Phân loại IPS

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng (Promiscuous ModeIPS) và IPS trong luồng (In_line IPS)

1.2.4.1 IPS ngoài luồng

Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu.Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thểkiểm soát dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấncông Với vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn tường lửa chặn lại các

hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.

Hình 1.4: Promiscuous Mode IPS

1.2.4.2 IPS trong luồng

Hệ thống IPS trong luồng nằm trước tường lửa, luồng dữ liệu phải đi quaIPS trước khi đi qua tường lửa Điểm khác nhau so với IPS ngoài luồng là cóthêm chức năng chặn lưu thông Điều đó làm cho IPS có thể ngăn chặn luồnggiao thông nguy hiểm nhanh hơn so với IPS ngoài luồng Tuy nhiên, vị trí này sẽlàm cho tốc độ luồng thông tin ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS trong luồng phảilàm việc theo thời gian thực Tốc độ hoạt động của hệ thống là một yếu tố rấtquan trọng Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn cáccuộc tấn công ngay lập tức Nếu không đáp ứng được điều này thì các cuộc tấncông đã được thực hiện xong và hệ thống IPS là vô nghĩa

Hình 1.5: In_line Mode IPS

- Phát hiện sự bất thường (Anomaly detection)

- Phát hiện sự lạm dụng (Misuse detection)

- Kiểm tra các chính sách (Policy-Based detection)

- Phân tích giao thức (Protocol analysis)

1.2.5.1 Phát hiện sự bất thường

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạtđộng của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khitìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường

là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thôngthường Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trịbảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bình thường Nhàquản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo

ra những bản mô tả sơ lược nhóm người dùng (user group profiles)

- Lợi ích của việc dùng Anomaly-Based IPS

+ Kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinhcảnh báo

+ Tập tin dấu hiệu được cung cấp kèm theo với hệ thống IPS

+ Kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo

+ Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấncông từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp

+ Ưu điểm lớn nhất của phát hiện dựa trên mô tả sơ lược hay sự bấtthường là nó không dựa trên một tập những dấu hiệu đã được định dạng haynhững đợt tấn công đã được biết mô tả sơ lược có thể là động và có thể sử dụngtrí tuệ nhân tạo để xác định những hoạt động bình thường

+ Bởi vì phát hiện dựa trên mô tả sơ lược không dựa trên những dấuhiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hềđược biết trước đây miễn là nó chệch khỏi mô tả bình thường Phát hiện dựa trên

mô tả sơ lược được sử dụng để phát hiện những phương pháp tấn công mới màphát hiện bằng dấu hiệu không phát hiện được

- Hạn chế của việc dùng Anomaly-Based IPS:

+ Nhiều hạn chế của phương pháp phát hiện bất thường phải làm vớiviệc sáng tạo những mô tả nhóm người dùng, cũng như chất lượng của những mô

tả này

+Thời gian chuẩn bị ban đầu dài

+ Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu

+ Thường xuyên cập nhật mô tả sơ lược khi thói quen người dùng thayđổi

+ Khó khăn trong việc định nghĩa cách hành động thông thường

Một signature-based là một tập những nguyên tắc sử dụng để xác địnhnhững hoạt động xâm nhập thông thường Những nghiên cứu về các kỹ thuậtnhằm tìm ra dấu hiệu tấn công, những mẫu và phương pháp để viết ra các dấuhiệu tấn công Khi càng nhiều phương pháp tấn công và phương pháp khai thácđược khám phá, những nhà sản xuất cung cấp bản cập nhật tập tin dấu hiệu Khi

đã cập nhật tập tin dấu hiệu thì hệ thống IPS có thể phân tích tất cả lưu lượngtrên mạng Nếu có dấu hiệu nào trùng với tập tin dấu hiệu thì các cảnh báo đượckhởi tạo

- Lợi ích của việc dùng Signature-based IPS

+ Những tập tin dấu hiệu được tạo nên từ những hoạt động và phươngpháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra mộtcuộc tấn công là rất cao

+ Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu,không phải những mẫu lưu lượng Hệ thống IPS có thể được định dạng và có thểbắt đầu bảo vệ mạng ngay lập tức

+ Tập tin dấu hiệu có thể dễ dàng được người quản trị thấy và hiểuhành động nào phải được tương xứng cho một tín hiệu cảnh báo Người quản trịbảo mật có thể bật những dấu hiệu lên, sau đó thực hiện cuộc kiểm tra trên toànmạng và xem xem có cảnh báo nào không

+ Chính vì phát hiện sử dụng sai dễ hiểu, bổ sung, kiểm tra nên nhàquản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệthống IPS của họ

- Những hạn chế của Signature-Based IPS:

+ Không có khả năng phát hiện những cuộc tấn công mới hay chưađược biết

+ Không có khả năng phát hiện những sự thay đổi của những cuộc tấncông đã biết

1.2.5.3 Kiểm tra các chính sách (Policy-Based detection)

Một Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự

vi phạm của một cấu hình chính sách xảy ra Bởi vậy, một Policy-Based IPScung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn

- Lợi ích của việc dùng Policy-Based IPS:

+ Người dùng có thể thiết lập chính sách cho từng thiết bị trong hệthống mạng

+ Một trong những tính năng quan trọng của Policy-Based IPS là xác

thực và phản ứng nhanh, rất ít có những cảnh báo sai Đây là những lợi ích cóthể chấp nhận được bởi vì người quản trị hệ thống đưa các chính sách bảo mậttới IPS một cách chính xác

- Hạn chế của việc dùng Policy-Based IPS:

+ Khi đó công việc của người quản trị cực kỳ vất vả

+ Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấuhình

+ Khó khăn khi quản trị từ xa

1.2.5.4 Phân tích giao thức

Giải pháp phân tích giao thức (Protocol Analysis-Based IPS) về việcchống xâm nhập cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâuhơn về việc phân tích các giao thức trong gói tin (packet) Ví dụ: Một kẻ tấncông bắt đầu chạy một chương trình tấn công tới một Server Trước tiên kẻtấn công phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC(Request For Comments), có thể không chứa dữ liệu trong payload MộtProtocol Analysis-Based sẽ phát hiện ra kiểu tấn công cơ bản trên một số giaothức

- Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp haykhông

- Kiểm tra nội dung trong mô hình kết hợp

- Thực hiện những cảnh cáo không bình thường

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT

VÀ TƯỜNG LỬA IPTABLES

Có hai cách phổ biến để bảo vệ hệ thống mạng máy tính là sử dụng hệthống phát hiện xâm nhập IDS và tường lửa Tuy nhiên chúng mang lại hiệuquả không cao khi hoạt động độc lập Sự kết hợp giữa hệ thống phát hiện xâmnhập Snort và tường lửa iptables của hệ điều hành Linux thực sự mang lại hiệuquả cao trong việc ngăn chặn các cuộc tấn công trái phép đến hệ thống mạngmáy tính Chương này sẽ giới thiệu về hệ thống phát hiện xâm nhập Snort,tường lửa Iptables của Linux và sự kết hợp của chúng để tạo nên một hệ thốngIPS hoàn chỉnh

2.1 Hệ thống phát hiện xâm nhập Snort

2.1.1 Giới thiệu về Snort

Snort là một phần mềm phát hiện xâm nhập mã nguồn mở, miễn phí, hoạtđộng dựa trên các dấu hiệu cho phép giám sát, phát hiện những dấu hiện tấncông mạng Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phảnứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà người dùng thiết lập,chẳng hạn nó có thể gửi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tinkhi phát hiện có sự bất thường trong các gói tin đó

Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời màkhông phải sản phẩm thương mại nào cũng có được Với kiến trúc thiết kế theokiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort củamình bằng việc cài đặt hay viết thêm các module mới

Snort chủ yếu là một IDS dựa trên luật Snort sử dụng các luật được lưutrữ trong các tập tin văn bản, có thể được chỉnh sửa bởi người quản trị Các luật

được nhóm thành các kiểu Các luật thuộc về mỗi loại được lưu trong các tập tin

khác nhau Tập tin cấu hình chính của Snort là snort.conf Snort đọc những luật

này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ

dữ liệu Snort có một tập hợp các luật được định nghĩa trước để phát hiện cáchành động xâm nhập Các luật trên Snort có tính mở, cho phép người quản trịmạng tạo ra các luật mới và người dùng có thể thêm vào các luật của chính mình.Người dùng cũng có thể xóa một vài luật đã được tạo trước để tránh việc báođộng sai

Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thườngxuyên bởi một cộng đồng người sử dụng Snort có thể chạy trên hệ thống nềnnhư Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, AIX, HP-UX,IRIX, MacOS…

2.1.2 Các thành phần của Snort

Snort được chia thành nhiều thành phần một cách logic Những thànhphần này làm việc cùng nhau để phát hiện các cuộc tấn công cụ thể và để tạo racác định dạng cần thiết từ hệ thống phát hiện Snort được thiết kế để thu các góitin từ mạng, giải mã gói tin và xử lí thông qua tiền xử lí, sau đó kiểm tra các góidựa trên các quy tắc (thông qua các công cụ phát hiện), cuối cùng, nhiệm vụ củaquản trị viên là quyết định sẽ làm gì với chúng (loại bỏ hoặc cho qua, đưa vàonhật kí và bộ cảnh báo)

Snort bao gồm các thành phần chính sau đây:

- Bộ phận giải mã gói tin (Packet Decoder)

- Bộ phận tiền xử lý (Preprocessors)

- Bộ phận phát hiện (Detection Engine)

- Bộ phận ghi nhận và cảnh báo (Loging and Alerting system)

- Bộ phận đầu ra (Output Modules)

Hình 2.1: Quá trình xử lý gói tin của Snort

2.1.2.1 Bộ phận giải mã gói tin (Packet Decoder)

Khi Snort thu được các gói tin, nó đưa vào bộ giải mã gói tin Các gói tinnhận được từ các giao diện mạng khác nhau được đưa vào moude PacketDecoder, module này thực hiện các công việc chuẩn bị, tiền xử lý gói tin trướckhi gói tin đi vào bộ phận tiền xử lý

Thông qua Cart mạng và dây dẫn, bộ giải mã gói tin xác định giao thứcđang dùng và kết nối dữ liệu dựa trên những hành vi cho phép của các gói tin

Nó giải mã các gói tin từ nhiều dạng khác nhau của mạng (Ethenet, SLIP,PPP…) để chuẩn bị cho giai đoạn tiền xử lý Packet Decode có thể tạo ra nhữngcảnh báo dựa trên sự phát hiện những giao thức khác lạ, những gói tin quá dài,những tùy chọn TCP lạ hoặc những hành động khác

2.1.2.2 Bộ phận tiền xử lý (Preprocessors)

Module tiền xử lý là một module rất quan trọng đối với bất kỳ một hệthống IDS nào để có thể chuẩn bị gói dữ liệu đưa vào cho bộ phận phát hiện Banhiệm vụ chính của module này là:

- Kết hợp lại các gói tin

- Giải mã và chuẩn hóa giao thức (decode/normalize)

- Phát hiện các xâm nhập bất thường (nonrule/anormal)

Hình 2.2: Bộ phận tiến xử lý

2.1.2.3 Bộ phận phát hiện (Detection Engine)

Đây là phần quan trọng của Snort Chức năng của nó là phát hiện có sựxâm nhập tồn tại trong gói tin hay không, bằng cách sử dụng các luật của mình.Đây là bộ phận then chốt về thời gian thực thi của Snort Dựa vào khả năng của

hệ thống Snort và số lượng luật đã định nghĩa mà nó có thể tốn những khoảngthời gian khác nhau đối với các gói tin khác nhau Bộ phận này hoạt động theohai cách khác nhau theo hai phiên bản của Snort:

- Phiên bản 1.x: Việc xử lý gói tin còn hạn chế trong trường hợp các dấu

hiệu trong gói tin đó phù hợp với dấu hiệu trong nhiều luật Khi đó nếu có luậtnào được áp dụng trước thì các luật còn lại sẽ bị bỏ qua mặc dù các luật có độ ưutiên khác nhau Như vậy sẽ nảy sinh trường hợp các luật có độ ưu tiên cao hơn bị

bỏ qua

- Phiên bản 2.x: Nhược điểm trên của phiên bản 1.x được khắc phục hoàn

toàn nhờ vào cơ chế kiểm tra trên toàn bộ luật Sau đó lấy ra luật có độ ưu tiêncao nhất để tạo thông báo.

Tốc độ của phiên bản 2.x nhanh hơn rất nhiều so với phiên bản 1.x nhờphiên bản 2.x được biên dịch lại

Hình 2.3: Bộ phận phát hiện

2.1.2.4 Bộ phận ghi nhận và cảnh báo (Loging and Alerting system)

Khi dữ liệu đi qua bộ phận phát hiện, nếu dữ liệu đã thỏa mãn với các luậttrong bộ phận phát hiện thì hành động tương ứng sẽ được kích hoạt để thông báocho quản trị mạng và ghi nhận lại các hành động xâm nhập hệ thống Hiện tại có

3 dạng ghi nhận và 5 kiểu thông báo

Các dạng ghi nhận được chọn khi chạy Snort:

- Dạng decoded: Đây là dạng ghi thô nhất, cho phép thực hiện nhanh

- Dạng nhị phân tcpdump: theo dạng tương tự như tcpdump và ghi vào đĩanhanh chóng, thích hợp với những hệ thống đòi hỏi hiệu suất cao

- Dạng cây thư mục IP: Sắp sếp hệ thống ghi theo cấu trúc cây thư mục IP,

dễ hiểu đối với người dùng

Các kiểu thông báo:

- Ghi cảnh báo vào tập tin syslog

- Ghi cảnh báo vào cơ sở dữ liệu

- Gửi thông điệp Winpopup dùng chương trình smbclient

- Full alert: Ghi lại thông điệp cảnh báo cùng với nội dung gói dữ liệu

- Fast alert: Chỉ ghi nhận lại tiêu đề của gói dữ liệu Cách này thường dùngtrong các hệ thống cần hiệu suất cao

Hình 2.4: Bộ phận ghi nhận và cảnh báo

2.1.2.5 Bộ phận đầu ra (Output Modules)

Bộ phận đầu ra của Snort phụ thuộc vào việc người dùng ghi các ghi nhận,thông báo theo cách thức nào Có thể cấu hình bộ phận này để thực hiện cácchức năng sau:

- Lưu các ghi nhận và thông báo theo định dạng các tập tin văn bản hoặc

vào cơ sở dữ liệu.

- Gửi các thông điệp đến hệ thống ghi log

- Lưu các ghi nhận và thông báo vào cơ sở dữ liệu (MySQL, Oracle…)

- Tạo đầu ra XML

- Chỉnh sửa cấu hình trên Router, Firewall

- Gửi các thông điệp SMB

2.1.3 Các chế độ hoạt động của Snort

2.1.3.1 Network sniffer mode

Các công cụ sniffer mạng như tcpdump, ethereal hay wireshark thực hiệnchức năng bắt và phân tích gói tin rất chính xác Tuy nhiên, trong một số trườnghợp cần xem lưu lượng mạng trên bộ cảm biến thì các cômg cụ trên không hỗ trợđầy đủ Trong trường hợp này, người dùng có thể sử dụng Snort hoạt động trongchế độ Network sniffer Hơn nữa, khả năng bắt gói tin của Snort là rất nhanh vàkết quả của nó rất dễ đọc Ngoài ra, Snort còn có thể được dùng như một công cụ

gỡ rối mạng cho nhà quản trị

Bật chế độ sniffer cho Snort bằng cờ -v:

# snort -v

Trong lúc khởi động, Snort hiển thị chế độ, thư mục ghi log, và các giaodiện mà nó đang lắng nghe Khi việc khởi động hoàn tất, Snort bắt đầu xuất cácgói tin ra màn hình Kết quả xuất này khá cơ bản, nó chỉ hiển thị các header IP,TCP, UDP, ICMP và một số cái khác Để thoát chế độ sniffer, sử dụng Ctrl-C.Snort thoát bằng cách tạo ra một bản tóm tắt các gói tin được bắt giữ, bao gồmcác giao thức, thống kê phân mảnh và tái hợp gói tin Để xem dữ liệu ứng dụng,

sử dụng cờ -d Tùy chọn này cung cấp các kết quả chi tiết hơn:

# snort -vd

Dữ liệu ứng dụng có thể thấy được và người dùng có thể nhìn thấy các vănbản thô trong gói tin Để xem được chi tiết hơn, bao gồm các header lớp liên kết

dữ liệu, sử dụng cờ -e Việc sử dụng cả hai tùy chọn -d và -e sẽ cho hiển thị hầunhư tất cả các dữ liệu trong gói tin:

# snort -vde

Các chuỗi thập lục phân hiển thị nhiều dữ liệu hơn Có địa chỉ MAC vàđịa chỉ IP Khi thực hiện kiểm tra trên một mạng hoặc bắt giữ dữ liệu bằng Snort,việc bật -vde cung cấp nhiều thông tin nhất

2.1.3.2 Packet logger

Khi chạy ở chế độ này, Snort sẽ tập hợp tất cả các gói tin thấy được và đưavào thư mục log theo cấu trúc phân tầng Nói cách khác, một thư mục mới sẽđược tạo ra ứng với mỗi địa chỉ bắt được, và dữ liệu liên quan đến địa chỉ này sẽđược lưu trong thư mục đó Snort đặt các gói tin vào trong tập tin ASCII, với tênliên quan đến giao thức và cổng Sự sắp xếp này dễ dàng nhận ra ai đang kết nốivào mạng và giao thức, cổng nào đang được họ sử dụng Đơn giản sử dụng ls-r

để hiện danh sách các thư mục

Tuy nhiên sự phân cấp này sẽ tạo ra nhiều thư mục trong giờ cao điểm nênrất khó để xem hết tất cả thư mục và tập tin này Nếu một người nào đó thực hiệnviệc quét mạng của người dùng và ánh xạ tất cả 65536 cổng TCP cũng như

65536 cổng UDP, thì sẽ có hơn 131000 tập tin trong một thư mục đơn Sự bùng

nổ tập tin này có thể là một thử thách lớn cho bất kì một máy nào, và rất dễ trởthành cách tấn công DoS

Việc ghi log ở dạng nhị phân có thể đọc được bởi Snort, nó làm tăng đốc

độ khả năng bắt gói tin của Snort Hầu hết các hệ thống có thể bắt dữ và ghi logvới tốc độ 100Mbps

Để log packet ở chế độ nhị phân, sự dụng cờ -b:

Các tùy chọn cảnh báo của Snort trong chế độ NIDS này như sau:

Bảng 2.1: Các tùy chọn cảnh báo của Snort trong chế độ NIDS

-A fast

Chế độ cảnh báo nhanh Tạo ra cảnh báo với khuôn dạng đơn giản với timestamp, alert message, địa chỉ IP nguồn và đích, cổng nguồn và đích

-A full Chế độ cảnh báo đầy đủ Đây là chế độ mặc định nếu bạn không

chỉ ra một chế độ cụ thể nào

-A unsock Gửi cảnh báo tới UNIX socket mà một chương trình khác có thể

lắng nghe

-A none Tắt chế độ cảnh báo

-A console Gửi “fast-style” alert đến console

-A cmg Tạo ra “cmg-style” alert

-s Gửi thông báo (alert) tới syslog.

2.1.3.4 Inline mode

Snort-inline IPS (Hệ thống phòng chống xâm nhập Snort-inline) là phiênbản được phát triển từ Snort-IDS Về cơ bản, Snort được kết hợp với Iptables để

có thể chặn các gói tin nếu bị phát hiện là gói tin dùng để tấn công

Snort_inline nhận các gói tin được gửi từ tường lửa Netfilter Iptables với

sự giúp đỡ của thư viện libipq So sánh chúng với Snort signature rules (các dấuhiệu tấn công của Snort), nếu trùng với luật đã đặt ra, nó sẽ tự động thực thi hànhđộng theo luật yêu cầu (như hình 2.5)

Hình 2.5: Mô hình Snort_inline

Snort-inline sử dụng các luật như của Snort Tuy nhiên, một số kiểu luậtmới được tạo ra để kích hoạt các hành động trong Snort-inline:

- Drop rule: sẽ thông báo Iptable để bỏ qua gói tin và Snort sẽ ghi log

- Reject rule: sẽ thông báo Iptable để bỏ qua gói tin, Snort sẽ ghi log, vàgửi một TCP reset nếu giao thức là TCP hoặc ICMP port unreachable nếu giaothức là UDP

- Sdrop rule (silent drop rule): sẽ thông báo iptable để loại bỏ gói tin vàkhông ghi log

Ngoài ra, nội dung thay thế đã được thêm vào Snort_inline Rule optionreplace cho phép ghi lại các quy tắc làm thay đổi nội dung gói tin Nội dungđược thay thế phải cùng kích cỡ với nội dung bị thay thế

Thứ tự để áp dụng các luật hiện thành như sau:

->activation->dynamic->drop->sdrop->reject->alert->pass->log

2.1.4 Cấu trúc luật của Snort

2.1.4.1 Giới thiệu chung

Tập luật của Snort đơn giản để người dùng dễ hiểu và viết, nhưng cũng đủmạnh để có thể phát hiện tất cả các hành động xâm nhập trên mạng Cũng giốngnhư virut, hầu hết các hoạt động tấn công hay xâm nhập đều có các dấu hiệuriêng Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rules) và cácluật này lại được dựa trên các dấu hiệu nhận dạng tấn công Các luật có thể được

áp dụng cho tất cả các phần khác nhau của một gói tin

Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, ghi mộtthông điệp hay có thể bỏ qua một gói tin

2.1.4.2 Cấu trúc luật của Snort

Tất cả các luật đều có 2 phần logic: rule header và rule options