báo cáo: Hệ thống phát hiện xâm nhập IDS – SNORT

Qua thời gian thực hiện đề tài, em hy vọng rằng sẽ hiểu được những điểm quan trọng của hệ thống phát hiện xâm nhập trái phép IDS, đặc biệt là công cụ SNORT. Thu được nhiều kiến thức, kỹ năng và kinh nghiệm trong việc bảo mật hiện nay. Nắm được các yếu tố nền tảng để phát triển hệ thống bảo mật hiện nay.

LỜI CẢM ƠN

Qua thời gian học tập lâu dài và hoàn thành báo cáo thực tập chuyên ngành

với đề tài :“Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT” Em đã nhận

được sự quan tâm, giúp đỡ nhiệt tình của các tập thể, cá nhân trong và ngoài nhàtrường Nhân dịp này :

Em xin chân thành cảm ơn sự giúp đỡ và đóng góp ý kiến của các thầy, côgiáo trong bộ môn mạng và truyền thông – khoa công nghệ thông tin- Đại học CôngNghệ Thông Tin và Truyền Thông – Đại Học Thái Nguyên

Đặc biệt em xin bày tỏ lòng cảm ơn sâu sắc nhất đến thầy giáo hướng dẫn:

Th.S Nguyễn Đức Bình, thầy đã trực tiếp hướng dẫn em làm đề tài này, thầy mang

đến cho em nguồn tri thức mới cùng với sự dạy bảo tận tình của thầy trong quá trìnhhọc tập và nghiên cứu của em

Em xin chân thành cảm ơn !!!

LỜI CAM ĐOAN

Em xin cam đoan toàn bộ đồ án: “Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT”.là do bản thân tìm hiểu, nghiên cứu Không có sự sao chép nội dung

từ các đồ án khác Tất cả nội dung hoặc hình ảnh minh họa đều có nguồn gốc xuất

xứ rõ ràng từ các tài liệu tham khảo ở nhiều nguồn khác nhau mà xây dựng nên

Ngoài ra còn có sự góp ý và định hướng của thầy giáo Th.S Nguyễn Đức Bình.

Em xin cam đoan những lời trên là đúng, mọi thông tin sai lệch em xin hoàntoàn chịu trách nhiệm trước Hội đồng

Thái Nguyên, tháng 9 năm 2011

Sinh viên

Dương Văn Thắng

Mục Lục

LỜI NÓI ĐẦU

Dưới sự hướng dẫn của thầy giáo thạc sỹ Nguyễn Đức Bình qua một thờigian nghiên cứu , tìm hiểu em đã hoàn thành bản báo cáo thực tập chuyên ngànhcủa mình

Trong giới hạn bài báo cáo thực tập chuyên ngành này, em có tìm hiểu về cácvấn đề sau:

- Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) và

SNORT

-kiến trúc ,cơ chế hoạt động và các hệ thống hỗ trợ IDS-SNORT

-cài đặt ,cấu hình và sử dụng SNORT

Một lần nữa, em xin chân thành cảm ơn thầy giáo thạc sỹ Nguyễn Đức Bình ,các thầy cô trong khoa CNTT - Đại Học Công Nghệ Thông Tin và Truyền Thông vàcác bạn đã giúp đỡ em hoàn thành báo cáo này

Sinh viên thực hiện

Dương Văn Thắng

DANH MỤC HÌNH ẢNH

Hình 1.1 : Các vị trí đặt IDS trong mạng………11

Hình 2.1 Snort-sensor đặt giữa Router và Firewall………27

Hình 2.2 : Snort-sensor đặt trong vùng DMZ……….28

Hình 2.3: snort-sensor đặt sau Firewall……… 29

Hình 2.4 : Mô hình kiến trúc hệ thống Snort……… 30

Hình 2.5: Xử lý một gói tin Ethernet……….31

Hình 2.6: Module log và cảnh báo……….…35

Hình 2.7 : Cấu trúc luật của Snort……… …39

Hình 2.8 : Header luật của Snort……….…39

Hình 3.1: Mô hình IDS-SNORT……….…53

Hình 3.2 cài đặt Winpcap………54

Hình 3.3 cài đặt Winpcap………55

Hình 3.4 download snort……….…56

Hình 3.5 cài đặt snort……… 57

Hình 3.6 cài đặt snort……….…….58

Hình 3.7 cài đặt snort……… 59

Hình 3.8 cài đặt snort……….….60

Hình 3.9 cài đặt snort……… 61

Hình 3.11 copy rules vào thư mục cài snort……….….…64

Hình 3.12 xác định thứ tự card mạng………64

Hình 3.13 chạy lệnh sniffer packet………65

Hình 3.14 chạy lệnh sniffer packet……… ……66

Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS

1.1 Tổng quan

1.1.1 Sơ qua về tình hình an ninh mạng hiện nay

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quantâm không chỉ ở Việt Nam mà trên toàn thế giới Cùng với sự phát triển nhanh chóngcủa mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấpthiết hơn bao giờ hết

Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãngSymantec , các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷlục, chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng

Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới hàng năm, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từtrước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sựphong phú, đa dạng của những mối đe doạ nguy hại mới

X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọngcủa các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare Điểnhình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook,Windows DNS Server RPC của Microsoft

1 1.2 Mục Tiêu Đề Tài

Qua thời gian thực hiện đề tài, em hy vọng rằng sẽ hiểu được những điểm quantrọng của hệ thống phát hiện xâm nhập trái phép IDS, đặc biệt là công cụ SNORT.Thu được nhiều kiến thức, kỹ năng và kinh nghiệm trong việc bảo mật hiện nay.Nắm được các yếu tố nền tảng để phát triển hệ thống bảo mật hiện nay

1.1.3 Phạm vi và phương pháp nghiên cứu

Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâmnhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời

sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càngtăng Đó chính là cách thức tiếp cận với hệ thống bảo mật mạng của em

1.2 Giới thiệu tổng quan về hệ thống IDS

Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của JamesAnderson cáchđây khoảng 25 năm Khi đó người ta cần hệ thống phát hiệnxâm nhập – IDS (IntrusionDetection System) với mục đích là dò tìm và nghiêncứu các hành vi bất thường và tháiđộ của người sử dụng trong mạng, phát hiện

ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiêncứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa

Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biến, một số hệthống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu.Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựatrên sự bùng nổ của công nghệ thông tin.Đến năm 1997 IDS mới được biết đếnrộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một nămsau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cungcấp giải pháp IDS tên là Wheel

1.2.1 Khái niệm về IDS

Intrusion Detection system (IDS) là một hệ thống giám sát hoạt động trên

hệ thống mạng và phân tích để tìm ra các dấu hiệu vi phạm đến các quy địnhbảo mật máy tính, chính sách sử dụng và các tiêu chuẩn an toàn thông tin Cácdấu hiệu này xuất phát từ rất nhiều nguyên nhân khác nhau, như lây nhiễmmalwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào các tàinguyên không được phép truy cập

Intrusion Prevention system (IPS) là một hệ thống bao gồm cả chức năng pháthiện xâm nhập (Intrusion Detection – ID) và khả năng ngăn chặn các xâm nhậptrái phép dựa trên sự kết hợp với các thành phần khác như Antivirus, Firewall

+Management Server:Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor /Agent và quản lý chúng 1 số Management Server có thể thực hiện việc phân tích

các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng đượccác sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện.+Database server:Dùng lưu trữ các thông tin từ Sensor / Agent hay ManagementServerConsole: Là 1 chương trình cung cấp giao diện cho IDS/IPS users / Admins.

Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị,hoặc để giám sát, phân tích

-Kiến trúc:Sensor là yếu tố cốt lõi trong một hệ thống IDS/IPS , nó mà có tráchnhiệm phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối với sự xâmnhập Sensor nhận dữ liệu thô từ ba nguồn thông tin chính : kiến thức cơ bản( knowledge base ) của IDS, syslog và audit trail Các thông tin này tạo cơ sở choquá trình ra quyết định sau này

Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu - mộtevent generator Dựa vào các chính sách tạo sự kiện nó xác định chế độ lọc thông tinthông báo sự kiện.Các event generator (hệ điều hành, mạng, ứng dụng) tạo ra mộtchính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự kiện của hệthống, hoặc các gói tin.Điều này, thiết lập cùng với các thông tin chính sách có thểđược lưu trữ hoặc là trong hệ thống bảo vệ hoặc bên ngoài Trong những trường hợpnhất định, dữ liệu không được lưu trữ mà được chuyển trực tiếp đến các phân tích(thông thường áp dụng với các gói packet)

Các hệ thống IDS/IPS có thể được triển khai theo 2 hướng là tập trung và phân tán.Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS/IPS cùng với cácthành phần an ninh khác như firewall Triển khai phân tán ( distributed IDS ) baogồm nhiều hệ IDS/IPS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nângcao khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp

1.5 Sự khác nhau giữa IDS và IPS

Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và

“ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện vàcảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó,

một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại cácnguy cơ theo các quy định được người quản trị thiết lập sẵn.

Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng Một số hệ thống IDSđược thiết kế với khả năng ngăn chặn như một chức năng tùy chọn Trong khi đómột số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòngchống theo đúng nghĩa

Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùythuộc vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách anninh của những người quản trị mạng Trong trường hợp các mạng có quy mô nhỏ,với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tínhchất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó Tuy nhiên với các mạnglơn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyêndụng như một firewall chẳng hạn Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi,phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác Sự phân chia tráchnhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quảhơn

1.6 Phân loại

1.6.1Network based IDS – NIDS

Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khảnghi Thường được triển khai ở các biên mạng ( network border )

Hệ thống NIDS/IPS thường được triển khai trong 1 đoạn / mạng con riêng phục vụcho mục đích quản trị hệ thống ( management network ), trong trường hợp không cómạng quản trị riêng thì 1 mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nốigiữa các hệ NIDS/IPS

Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệNIDS/IPS, lựa chọn vị trí phù hợp cho các Sensor cũng là 1 vấn đề quan trọng ảnhhưởng đến khả năng detection của hệ NIDS/IPS Trong hệ NIDS/IPS, các Sensor

thường gặp ở 2 dạng là tích hợp phần cứng (appliance-based) và phần mềm( software-only )

Người ta thường sử dụng 2 kiểu triển khai sau:

- Thẳng hàng (Inline)

1 Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giámsát đi xuyên 8 qua nó giống như trong trường hợp cùa firewall Thực tế là 1 sốSensor thẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS/IPS, một sốkhác là NIDS thuần túy Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là

nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking networktraffic ) Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall vàcác thiết bị bảo mật khác: ranh giới giữa các mạng.Sensor thẳng hàng còn có thểđược triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảomật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này

- Thụ động (Passive)

Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bản saocủa các lưu lượng trên mạng Thường được triển khai giám sát các vị trí quan trọngtrong mạng hư ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ như Serverfarm hoặc DMZ Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cáchnhư Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer

Hệthống NIDS/IPS cung cấp các khả năng về bảo mật sau:

-Khả năng thu thập thông tin

-Khả năng ngăn chặn

+Kiểu thụ động: ngắt phiên TCP hiện tại

+Kiểu thẳng hàng: thực hiện tác vụ firewall thẳng hàng, điều tiết băng thông

sử dụng, loại bỏ các nội dung gây hại

+Ngoài ra chức năng ngăn chặn còn có thể thay đổi cấu hình của 1 số thiết bịbảo mật cũng như thực thi các ứng dụng thứ 3 hoặc các script

Lưu ý khi triển khai NIDS/IPS: khi triển khai các hệ NIDS/IPS, 1 trong những điểm

cần lưu ý là phải triển khai các Sensor ở dạng ẩn ( Stealth mode ) Trong dạng này,các interface của Sensor không được gán địa chỉ IP ( trừ interface quản lý ) để tránhviệc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của kẻ tấncông

Điểm yếu của hệ thống NIDS/IPS chính là việc nó rất dễ bị ảnh hưởng bởinhiều loại tấn công liên quan đến khối lượng lưu lượng mạng lớn ( large volume ofnetwork traffic ) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳnghàng

Trong thực tế, NIDS/IPS thường được sử dụng tại biên mạng nhằm phát hiện cácdấu hiệu tấn công và hạn chế các tấn công này ở mức network Đối với những máychủ hoặc máy client quan trọng, việc bổ sung HIDS cho các máy này là cần thiết đểtăng cường khả năng bảo mật khi kết hợp với các hệ NIDS trong cùng hệ thống

Các sản phẩm đại diện : Snort, ISS, Juniper IDS, Tipping Point IDS,Trustware ipAgent, Cisco IPS, Reflex Security

1.6.2 Host based IDS – HIDS

Được triển khai trên từng host,thông thường là 1 software hoặc 1 agent, mụctiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần nàynhằm nhận diện các hoạt động khả nghi Host-based IDS/IPS thường được triển khaitrên các host có tính chất quan trọng ( public servers, sensitive data servers ), hoặc 1dịch vụ quan trọng ( trường hợp đặc biệt này được gọi là application-basedIDS/IPS)

Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là mộtphần mềm được cài đặt trực tiếp lên host Application-based agent thường được triểnkhai thẳng hàng ngay phía trước host mà chúng bảo vệ.Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-basedIDS/IPS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-basedappliances.

Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lênhost được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua

đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn Tuy nhiên, do agent thườngchỉ tương thích với 1 số hệ điều hành nhất định nên trong trường hợp này người ta

sử dụng thiết bị Một lý do khác để sử dụng thiết bị là việc cài đặt agent lên host cóthể ảnh hưởng đến performance của host

Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau:

-Khả năng ghi log

-Khả năng phát hiện

+Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi

hệ thống, giám sát danh sách ứng dụng và hàm thư viện)

+Phân tích và lọc lưu lượng mạng

+Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file )

+Phân tích log

+Giám sát cấu hình mạng

-Khả năng ngăn chặn

+Phân tích mã: ngăn chặn thực thi mã độc

+Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặn các dịch vụhoặc giao thức không được phép

Giám sát filesystem: ngăn chặn việc truy cập, thay đổi filesystem

-Các khả năng bảo vệ khác: ngăn chặn truy cập đến các removeable-media, củng cốbảo mật cho host, giám sát trạng thái các tiến trình…

Các sản phẩm đại diện: Tripware, OSSEC, BroIDS, ISS, Samhain, Prelude LML,Snort

-1.6.3 Wireless IDS/IPS

Thường được triển khai trong tầm phủ sóng wireless của hệ thống nhằm giámsát, phân tích các protocol wireess để nhận diện các hoạt động khả nghi Sự khác

biệt lớn nhất giữa NIDS/IPS và Wireless IDS/IPS nằm ở việc NIDS/IPS có thể giámsát tất cả các packet trong mạng thì Wireless IDS /IPS giám sát bằng cách

lấy mẫu lưu lượng mạng

Sensor trong hệ thống Wireless IDS/IPS sử dụng 1 kỹ thuật gọi là quét kênh (channel scanning ), nghĩa là thường xuyên đổi kênh giám sát Để hỗ trợ cho việcgiám sát hiệu quả, các Sensor có thể được trang bị nhiều antenna thu phát công suấtcao

Wireless Sensor thường gặp dưới 3 hình thức là :

-Chuyên biệt ( Dedicated )

Thường ở dạng thụ động, được vận hành dưới dạng giám sát tần số phát ( radiorequency monitoring mode ), được triển khai theo 2 dạng là cố định ( thiết bị ) và

di động ( phần mềm hoặc thiết bị )

-Tích hợp trong Access Point

-Tích hợp trong Wireless switch

Vấn đề vị trí triển khai Wireless IDS/IPS là 1 vấn đề cơ bản, khác biệt hoàntoàn so với các loại Sensor trong các hệ thống NIDS/IPS hay HIDS/IPS do đặc thùcủa mạng Wireless Thông thường các Wireless IDS/IPS thường được triển khai ởcác khu vực mở của hệ thống mạng ( khu vực khách, công cộng … ), ở các vị trí cóthể giám sát toàn bộ vùng sóng của mạng Wireless, hay được triển khai để giám sáttrên 1 số băng tần và kênh xác định

Hệ thống NIDS/IPS cung cấp các khả năng về bảo mật sau:

-Khả năng bảo mật

-Khả năng thu thập thông tin

Nhận diện thiết bị Wireless

Nhận diện mạng Wireless

-Khả năng ghi log

-Khả năng nhận diện

+Nhận diện các mạng và thiết bị Wireless trái phép

+Nhận diện các thiết bị Wireless kém bảo mật

+Nhận diện các mẫu sử dụng bất thường

+Nhận diện các hoạt động của wireless scanner

+Nhận diện các tấn công từ chối dịch vụ DoS qua cơ chế phân tích trạng tháigiao

+Thức ( Stateful protocol analysis ) và nhận diện bất thường ( Abnormalydetection)

+Nhận diện các tấn công đóng giả và Man-in-the-Middle

Hệ thống Wireless IDS/IPS có khả năng xác định vị trí vật lý của mối đe dọađược nhận diện bằng phương pháp đo tam giác ( triangulation ) dựa vào mức tínhiệu từ mối đe dọa đến Sensor và từ đó tính ra được vị trí tương đối của mối đe dọađối với mỗi Sensor

- Khả năng ngăn chặn ( ngắt kết nối wireless, tác động đến switch để chặn kếtnối từ Access Point hoặc Station nghi ngờ là nguồn tấn công )

Tuy nhiên, cũng như mạng Wireless, Wireless IDS/IPS cũng rất nhạy cảm vớicác dạng tấn công từ chối dịch vụ cũng như các tấn công sử dụng kỹ thuật lẩntránh ( evasion techniques )

Các sản phẩm đại diện : WIDZ, AirMagnet, AirDefense, Snort-Wireless…

1.6.4 Network behavior Analysis system ( NBAS )

Là 1 dạng NIDS/IPS được triển khai trong hệ thống mạng nhằm nhận diệncác threats tạo ra các luồng traffic bất thường trong hệ thống ( DDoS, malwares… ).Thường được dùng để giám sát luồng traffic trong hệ thống nội bộ cũng như có thểgiám sát luồng traffic giữa hệ thống trong và các hệ thống ngoài.Khác biệt giữa NBAS và NIDS/IPS ở chỗ NBAS phân tích lưu lượng mạng hoặc cácthống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng bất thường

Hệ thống NBAS có thể được triển khai dưới 2 dạng là thụ động và thẳng hàng Vớikiểu triển khai thụ động, được triển khai tại các vị trí cần giám sát như ranh giớimạng, các đoạn mạng quan trọng Với kiểu thẳng hàng, tương tự như NIDS/IPS, cóthể triển khai sát với firewall biên, thường là phía trước để giảm thiểu số lượng cáctấn công đến có thể làm quá tải firewall biên

1.6.5 Honeypot IDS

Là 1 dạng IDS dựa trên phương pháp “mồi” & “bẫy”, tạo ra các hệ thống giảlập tương tự các hệ thống chính nhằm chuyển hướng tấn công của đối tượng vào hệthống giả lập này từ đó quan sát dấu vết và truy vết tấn công

1.7 Cơ chế hoạt động của hệ thống IDS/IPS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập

là :

phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâmnhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đãđược biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của

hệ thống

- phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiệncác xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thôngthường của người dùng hay hệ thống

1.7.1 phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhậpvào hệ thống mà sử dụng một số kỹ thuật đã biết.Nó liên quan đến việc mô tả đặcđiểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức nàyđược mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soátđối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virusđặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đángnghi ngờ

Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario) Một hệ thốngphát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tạivới một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành

Hệ thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thờigian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành.

Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô hìnhhoá các hành vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng thế

hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninhtìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó có thểhiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trongmột kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịchbản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phépbiến đổi trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ thốngcần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thường xuyênduy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện

Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thốngphát hiện sự lạm dụng sẽ dựa theo đó để theo vết hành động xâm nhập Trong mộtchuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hànhđộng xâm nhập Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo,

và khi cần sẽ can thiệp để làm giảm bởi tác hại có thể

1.7.2 phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhậncủa hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bấtthường, tìm ra các thay đổi, các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữanhững hiện tượng thông thường và hiện tượng bất thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã

và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giớigiữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

Phát hiện sự không bình thường được chia thành hai loại tĩnh và động

dữ liệu

Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để định nghĩatrạng thái mong muốn của hệ thống Các xâu này giúp ta thu được một biểu diễn vềtrạng thái đó, có thể ở dạng nén Sau đó, nó so sánh biểu diễn trạng thái thu được vớibiểu diễn tương tự được tính toán dựa trên trạng thái hiện tại của cùng xâu bit cốđịnh Bất kỳ sự khác nhau nào đều là thể hiện lỗi như hỏng phần cứng hoặc có xâmnhập

Biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế được chọn để định nghĩa chotrạng thái hệ thống, tuy nhiên điều đó khá tốn kém về lưu trữ cũng như về các phéptoán so sánh Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để cảnh báoxâm nhập chứ không phải chỉ ra sai khác ở đâu nên ta có thể sử dụng dạng biểu diễnđược nén để giảm chi phí Nó là giá trị tóm tắt tính được từ một xâu bit cơ sở Phéptính toán này phải đảm bảo sao cho giá trị tính được từ các xâu bit cơ sở khác nhau

là khác nhau Có thể sử dụng các thuật toán checksums, message-digest (phân loạithông điệp), các hàm băm

Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tả cácđối tượng dữ liệu) hoặc thông tin về cấu trúc của đối tượng được kiểm tra.Ví dụ,meta-data cho một log file bao gồm kích cỡ của nó Nếu kích cỡ của log file tăng thì

có thể là một dấu hiệu xâm nhập

1.7.2.2 Phát hiện động

Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior) Hành vi của

hệ thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệthống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi hệđiều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ nhữnghành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mớiđược xem xét

Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc không và thông tin phảiđược tích luỹ Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử dụngtài nguyên hợp lý hay bất thường

Nếu không chắc chắn hành vi là bất thường hay không, hệ thống có thể dựa vàocác tham số được thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi Ranhgiới trong trường hợp này là không rõ ràng do đó có thể dẫn đến những cảnh báo sai.Cách thức thông thường nhất để xác định ranh giới là sử dụng các phân loại thống

kê và các độ lệch chuẩn.Khi một phân loại được thiết lập, ranh giới có thể được vạch

ra nhờ sử dụng một số độ lệch chuẩn Nếu hành vi nằm bên ngoài thì sẽ cảnh báo là

có xâm nhập

Cụ thể là: các hệ thống phát hiện động thường tạo ra một profile (dữ liệu) cơ sở

để mô tả đặc điểm các hành vi bình thường, chấp nhận được Một dữ liệu bao gồmtập các đo lường được xem xét về hành vi, mỗi đại lượng đo lường gồm nhiều chiều:

- Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăng nhập,…

- Các tài nguyên được sử dụng trong cả quá trình hoặc trên một đơn vị thờigian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn

vị thời gian,…

- Chuỗi biểu diễn các hành động

Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắtđầu Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soáthành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầu củahành vi được mong đợi (chính là dữ liệu cơ sở), để tìm ra sự khác nhau Khi hệthống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thểhoặc các hành động là thuộc tính của thực thể.Chúng xây dựng thêm một dữ liệuhiện tại

Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản ghikiểm tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan.Các hệthống sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập Một số hệthống hoạt động với thời gian thực, hoặc gần thời gian thực, quan sát trực tiếp sựkiện trong khi chúng xảy ra hơn là đợi hệ điều hành tạo ra bản ghi mô tả sự kiện

Khó khăn chính đối với các hệ thống phát hiện động là chúng phải xây dựngcác dữ liệu cơ sở một cách chính xác, và sau đó nhận dạng hành vi sai trái nhờ các

dữ liệu

Các dữ liệu cơ sở có thể xây dựng nhờ việc giả chạy hệ thống hoặc quan sáthành vi người dùng thông thường qua một thời gian dài

1.7.3 So sánh giữa hai mô hình

Phát hiện sự lạm dụng Phát hiện sự bất thường

- Tìm kiếm các so khớp

mẫu đúng

- Tìm kiếm độ lệch củahành động thực tế so vớihành động thông thường Hiệu quả trong việc phát hiện các

dạng tấn công đã biết, hay các biến thể

(thay đổi nhỏ) của các dạng tấn công đã

biết Không phát hiện được các dạng tấn

công mới

Hiệu quả trong việc phát hiện cácdạng tấn công mới mà một hệ thốngphát hiện sự lạm dụng bỏ qua

Dễ cấu hình hơn do đòi hỏi ít hơn về

thu thập dữ liệu, phân tích và cập nhật

Khó cấu hình hơn vì đưa ra nhiều dữliệu hơn, phải có được một khái niệmtoàn diện về hành vi đã biết hay hành viđược mong đợi của hệ thống

Đưa ra kết luận dựa vào phép so

khớp mẫu (pattern matching)

Đưa ra kết quả dựa vào tương quanbằng thống kê giữa hành vi thực tế vàhành vi được mong đợi của hệ thống(hay chính là dựa vào độ lệch giữathông tin thực tế và ngưỡng cho phép)

Có thể kích hoạt một thông điệp cảnh

báo nhờ một dấu hiệu chắc chắn, hoặc

cung cấp dữ liệu hỗ trợ cho các dấu

CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT

2.1 Giới thiệu về snort

Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở

phẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theo kiểu module,người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việccài đặt hay viết thêm mới các module Cơ sở dữ liệu luật của Snort đã lên tới 2930luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thểchạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD,Solaris, HP-UX, AIX, IRIX, MacOS.

Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông thường,Snort còn có thể được cấu hình để chạy như một NIDS Snort hỗ trợ khả năng hoạtđộng trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC,SLIP, PPP, và PF của OpenBSD

2.2 Các yêu cầu đối với hệ thống Snort

- Qui mô hệ thống cần bảo vệ : nói một cách tổng quát, qui mô mạng cànglớn, các máy móc cần phải tốt hơn ví dụ như các Snort sensor Snort cần có thể theokịp với quy mô của mạng, cần có đủ không gian để chứa các cảnh báo, các bộ xử lý

đủ nhanh và mạnh để xử lý những luồng lưu lượng mạng lớn

- Phần cứng máy tính: Yêu cầu phần cứng đóng một vai trò thiết yếu trongviệc thiết kế một hệ thống an ninh tốt

- Hệ điều hành: Snort chạy trên nhiều hệ điều hành khác nhau như:Linux, FreeBSD, NetBSD, OpenBSD, và Window Các hệ thống khác được hỗ trợbao gồm kiến trúc Sparc-Solaric, MacOS X và MkLinux, và PA-RISC HP UX

2.3 Vị trí của Snort trong hệ thống mạng

- Giữa Router và Firewall

Hình 2.1 Snort-sensor đặt giữa Router và Firewall.

- Trong vùng DMZ

Hình 2.2 : Snort-sensor đặt trong vùng DMZ

- Sau Firewall

Hình 2.3: snort-sensor đặt sau Firewall

2.4 Kiến trúc của snort

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Cácphần chính đó là:

- Module giải mã gói tin (Packet Decoder)

- Module tiền xử lý (Preprocessors)

- Module phát hiện (Detection Engine)

- Module log và cảnh báo (Logging and Alerting System)

- Module kết xuất thông tin (Output Module)

- Kiến trúc của Snort được mô tả trong hình sau:

Hình 2.4 : Mô hình kiến trúc hệ thống Snort

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tinnào di chuyển qua nó Các gói tin sau khi bị bắt được đưa vào Module Giải mã góitin Tiếp theo gói tin sẽ được đưa vào Module Tiền xử lý, rồi Module Phát hiện Tạiđây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được bỏqua để lưu thông tiếp hoặc được đưa vào Module Log và cảnh báo để xử lý Khi cáccảnh báo được xác định Module Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ratheo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chếhoạt động và chức năng của từng thành phần

2.4.1 Module giải mã gói tin

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệthống Hình sau mô tả việc một gói tin Ethernet sẽ được giải mã thế nào:

Hình 2.5: Xử lý một gói tin Ethernet

Một gói tin sau khi được giải mã sẽ được đưa tiếp vào Module tiền xử lý Nhiệm

vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phụchồi thành gói dữ liệu hoàn chỉnh ở lớp application, làm input cho hệ thốngdectection engine

Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớpApplication theo thứ tự của Protocol Stack

2.4.2 Module tiền xử lý

Module tiền xử lý là một Module rất quan trọng đối với bất kỳ một hệ thốngIDS nào để có thể chuẩn bị gói dữ liệu đưa và cho Module Phát hiện phân tích Banhiệm vụ chính của các Module loại này là:

Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽkhông đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia góitin ban đầu thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này

nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu, từ đómới thực hiện được các công việc xử lý tiếp Như ta đã biết khi một phiên làm việccủa hệ thống diễn ra, sẽ có rất nhiều gói tin đuợc trao đổi trong phiên đó.Một gói tinriêng lẻ sẽ không có trạng thái và nếu công việc phát hiện xâm nhập chỉ dựa hoàntoàn vào gói tin đó sẽ không đem lại hiệu quả cao.Module tiền xử lý stream giúpSnort có thể hiểu được các phiên làm việc khác nhau (nói cách khác đem lại tính cótrạng thái cho các gói tin) từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiệnxâm nhập

Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâmnhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao thức có

dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau Ví dụ: một web server cóthể chấp nhận nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode,URL chấp nhận cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc Chẳng hạn ta

có dấu hiệu nhận dạng “scripts/iisadmin”, kẻ tấn công có thể vượt qua được bằngcách tùy biến các yêu cấu gửi đến web server như sau:

khi đưa đến Module phát hiện có thể phát hiện được mà không bỏ sót Hiện naySnort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức: telnet, http, rpc, arp.

Phát hiện các xâm nhập bất thường (nonrule /anormal): các plugin tiền xử lýdạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khó pháthiện được bằng các luật thông thường hoặc các dấu hiệu bất thường trong giao thức.Các Module tiền xử lý dạng này có thể thực hiện việc phát hiện xâm nhập theo bất

cứ cách nào mà ta nghĩ ra từ đó tăng cường thêm tính năng cho Snort Ví dụ, mộtplugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểm bình thường

để rồi khi có thông lượng mạng bất thường xảy ra nó có thể tính toán, phát hiện vàđưa ra cảnh báo (phát hiện xâm nhập theo mô hình thống kê) Phiên bản hiện tại củaSnort có đi kèm hai plugin giúp phát hiện các xâm nhập bất thường đó là portscan và

bo (backoffice) Portcan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việc quétcác cổng của hệ thống để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống đã

bị nhiễm trojan backoffice và kẻ tấn công từ xa kết nối tới backoffice thực hiện cáclệnh từ xa

2.4.3 Module phát hiện

Đây là Module quan trọng nhất của Snort.Nó chịu trách nhiệm phát hiện các dấuhiệu xâm nhập.Module phát hiện sử dụng các luật được định nghĩa trước để so sánhvới dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không Rồitiếp theo mới có thể thực hiện một số công việc như ghi log, tạo thông báo và kếtxuất thông tin

Một vấn đề rất quan trọng trong Module phát hiện là vấn đề thời gian xử lý cácgói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rất nhiềucác luật xử lý Có thể mất những khoảng thời gian khác nhau cho việc xử lý các góitin khác nhau.Và khi thông lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặckhông phản hồi được đúng lúc Khả năng xử lý của Module phát hiện dựa trên một

số yếu tố như: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải trên mạng

trên hệ thống có nhiều bộ vi xử lý và cấu hình máy tính tương đối mạnh thì có thểhoạt động tốt trên cả các mạng cỡ Giga.

Một Module phát hiện cũng có khả năng tách các phần của gói tin ra và áp dụngcác luật lên từng phần nào của gói tin đó Các phần đó có thể là:

- IP header

- Header ở tầng giao vận: TCP, UDP

- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, …

- Phần tải của gói tin (bạn cũng có thể áp dụng các luật lên các phần dữ liệuđược truyền đi của gói tin)

Một vấn đề nữa trong Module phát hiện đó là việc xử lý thế nào khi một gói tin bịphát hiện bởi nhiều luật Do các luật trong Snort cũng được đánh thứ tự ưu tiên, nênmột gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra sẽ làcảnh báo ứng với luật có mức ưu tiên lớn nhất

2.4.4 Module log và cảnh báo

Tùy thuộc vào việc Module Phát hiện có nhận dạng đuợc xâm nhập hay không

mà gói tin có thể bị ghi log hoặc đưa ra cảnh báo Các file log là các file text dữ liệutrong đó có thể được ghi dưới nhiều định dạng khác nhau chẳng hạn tcpdump

Hình 2.6: Module log và cảnh báo

2.4.5 Module kết xuất thông tin

Module này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn lưukết quả xuất ra như thế nào Tùy theo việc cấu hình hệ thống mà nó có thể thực hiệncác công việc như là:

- Ghi log file

- Ghi syslog: syslog và một chuẩn lưu trữ các file log được sử dụng rấtnhiều trên các hệ thống Unix, Linux

- Ghi cảnh báo vào cơ sở dữ liệu

- Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việctrao đổi và chia sẻ dữ liệu

- Cấu hình lại Router, firewall

- Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP Các góitin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việcquản lý các cảnh báo và hệ thống IDS một cách tập trung và thuận tiện