Tối ưu hóa cơ sở dữ liệu của hệ thống IDS IPS

- Mô phỏng quá trình thu thập dấu hiệu tấn công, thực hiện LCS để tạo rule cho các loại tấn công mới , hoạt động của Snort với các rule mới được tạo ra.. Đây là chương trình sẽ được sử d

-

NGUYỄN HOÀNG CHÂU

Tối ưu hóa cơ sở dữ liệu của hệ thống IDS/IPS

Chuyên ngành: Kỹ thuật điện tử

LUẬN VĂN THẠC SĨ

TP HỒ CHÍ MINH, tháng 3 năm 2011

Cán bộ chấm nhận xét 2: ………

Luận văn thạc sĩ được bảo vệ tại HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA,

Ngày ………… tháng ………… năm ……

PHÒNG ĐÀO TẠO SAU ĐH Độc lập – Tự do – Hạnh phúc

TPHCM, ngày …… tháng …… năm …

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ và tên học viên: Nguyễn Hoàng Châu Phái: Nam

Ngày, tháng, năm sinh: 30/06/1985 Nơi sinh: TP.HCM

Chuyên ngành: Kỹ thuật điện tử MSHV: 09140003

I) TÊN ĐỀ TÀI:

TỐI ƯU HÓA CƠ SỞ DỮ LIỆU CỦA HỆ THỐNG IDS/IPS

II) NHIỆM VỤ VÀ NỘI DUNG:

1) Nhiệm vụ:

- Nghiên cứu phương pháp tạo ra rule cho các loại tấn công mới trên cơ sở sử

dụng phần mềm mã nguồn mở Snort nhằm nâng cao khả năng bảo mật và an toàn thông tin của Snort

- Mô phỏng hoạt động của Snort với các rule mới được tạo ra tương ứng với các loại tấn công mới

2) Nội dung:

- Tìm hiểu về phần mềm mô phỏng máy ảo VMware để tạo 1 mạng ảo mô phỏng quá trình tấn công trên mạng

- Nghiên cứu về hoạt động, khả năng hoạt động và cấu trúc các rule của Snort

- Nghiên cứu về hoạt động, cách cấu hình cho Honeypot để thu thập các dấu hiệu tấn công

- Tìm hiều về các đặc điểm của 2 ngôn ngữ lập trình phổ biến trong Unix là Perl và C shell

- Xây dựng giải thuật LCS (Longest Common Substrings) để tìm điểm chung của các dấu hiệu tấn công Từ đó có thể tạo được rule có thể sử dụng để phát hiện nhiều loại tấn công

- Mô phỏng quá trình thu thập dấu hiệu tấn công, thực hiện LCS để tạo rule cho các loại tấn công mới , hoạt động của Snort với các rule mới được tạo ra

III) NGÀY GIAO NHIỆM VỤ:

IV) NGÀY HOÀN THÀNH NHIỆM VỤ:

V) CÁN BỘ HƯỚNG DẪN: TS.NGUYỄN MINH HOÀNG

CÁN BỘ HƯỚNG DẪN CN BỘ MÔN

QL CHUYÊN NGÀNH

Mọi người trên thế giới càng ngày càng xích lại gần nhau hơn nhờ sự phát triển mạnh

mẽ của mạng Internet Internet càng phát triển kèm theo đó sẽ là sự phát triển của các lọai hình tấn công nhằm đánh cắp thông tin, vô hiệu hóa hệ thống, hay là tấn công nhằm thay đổi quyền quản trị của hệ thống mạng và còn nhiều hơn thế nữa Do đó, vấn đề an ning mạng càng ngày càng trở nên quan trọng Phương pháp bảo mật cổ điển là sử dụng tường lửa Tuy nhiên, nếu chỉ có hệ thống tường lửa thì không thể ngăn chặn được các cuộc tấn công Ngày nay, muốn ngăn chặn tấn công 1 cách hiệu quả, hệ thống an ninh mạng phải bao gồm nhiều thành phần: hệ thống tường lửa, hệ thống lọc nội dung, hệ thống phát hiện và phòng chống xâm nhập mạng (IDS/IPS) Trong đó, hệ thống IDS/IPS đóng vai trò quan trọng trong hệ thống an ninh mạng

Các hệ thống IDS/IPS hoạt động dựa trên việc áp dụng các rule cho các gói thâm nhập vào hệ thống mạng là phổ biến nhất Đối với các hệ thống này thì cơ sở dữ liệu của hệ thống (tập hợp các rule) là quan trọng nhất Do đó, hệ thống IDS/IPS hoạt động có hiệu quả hay không là phụ thuộc vào cơ sở dữ liệu của nó Cơ sở dữ liệu có thể được cập nhật rule mới thông qua việc chia sẻ các rule thông qua mạng Internet Tuy nhiên, để tăng tính chủ động cho hệ thống của chúng ta thì cách tốt nhất là tự tạo rule cho hệ thống thông qua việc phân tích các gói thâm nhập

Trong quyển luận văn này sẽ trình bày về phương pháp để tạo rule cho hệ thống IDS/IPS Snort là 1 hệ thống IDS/IPS mã nguồn mở, được sử dụng rộng rãi trên thế giới Đây

là chương trình sẽ được sử dụng trong luận văn này để áp dụng rule mới được tạo ra cho việc phát hiện tấn công Phần mềm Honeypot sẽ cung cấp các báo cáo phục vụ cho việc phân tích các gói tin Từ các báo cáo thu nhận được, ta sẽ tìm ra điểm chung của các loại tấn công dựa trên giải thuật LCS (Longest Common Substrings) Dựa trên các nội dung nghiên cứu về cấu trúc rule của Snort, ta sẽ tạo ra các rule tương ứng với các loại tấn công mới Việc tạo rule mới và kiểm chứng khả năng áp dụng rule mới cho Snort được thực hiện trên mô hình mô phỏng Kết quả của quá trình mô phỏng là Snort có thể phát hiện được loại tấn công mới với các rule mới được tạo ra

Trong tương lai, có thể áp dụng phương pháp tạo rule mới cho Snort trên 1 mạng thực Nghiên cứu và triển khai việc tạo rule mới cho hệ thống IPS như là Snort-Sam hay Snort-Inline

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

1

3) Các tiện ích của VMware 12

4) Cách tạo nên các máy ảo từ VMware: 12

5) Chia sẻ tài nguyên của các máy ảo: 12

6) Sử dụng Snapshot 18

Chương 3: Tìm hiểu Snort 20

1) Tìm hiểu về Snort: 20

2) Cấu hình cho Snort: 36

Chương 4: Honeypots 41

1) Tìm hiểu honeypots: 41

2) Giả lập mạng với Honeyd 41

Chương 5: Giải thuật LCS 50

1) Giới thiệu 50

2) Giới thiệu về C Shell: 50

3) Tìm hiểu về Perl: 54

4) Giải thuật LCS: 57

Chương 6: Thực hiện mô phỏng 63

1) Xây dựng mô hình mạng ảo bằng chương trình VMware: 63

2) Cấu hình cho Honeyd: 66

3) Dùng chương trình Nessus mô phỏng loại tấn công mới: 68

4) Mô phỏng tấn công vào máy ảo tạo bởi Honeyd: 69

5) Thực hiện giải thuật LCS tạo rule mới cho Snort: 70

6) Chạy Snort với rule mới: 71

Chương 7: Kết luận 73

1) Kết quả đạt được: 73

2) Hạn chế: 73

3) Hướng phát triển: 73

Tài liệu tham khảo: 74

Mở đầu

Hiện nay, Internet càng ngày càng phát triển dù cho là mạng có dây, không dây hay là mạng di động thì 1 số lượng lớn các dịch vụ có thể được cung cấp thông qua Internet Mạng Internet cũng có những ưu điểm và khuyết điểm Trong khi mọi người có thể tự do truy cập dịch vụ và dữ liệu thì 1 số người sử dụng Internet mà không có sự cảnh giác Kết quả là các vấn đề về an ninh ngày càng nghiêm trọng hơn Hiện tại, tất cả các loại tấn công như là virus, worm hay là tấn công từ chối dịch vụ xảy ra gần như là hàng ngày Kết quả là, các cơ chế phát hiện và bảo vệ như

là các phần mềm chống virus và hệ thống phát hiện tấn công được cài đặt để ngăn ngừa các tấn công đó Nếu không được bảo vệ 1 cách hiệu quả thì hiệu suất hoạt động của máy tính và hệ thống mạng sẽ bị ảnh hưởng trực tiếp và không thể cung cấp dịch

vụ như bình thường Và do đó, các trung tâm nghiên cứu đã tìm cách để tìm ra các thành phần đặc trưng của các tấn công đó và do đó các qui tắc xác định trước hay là các dấu hiệu có thể được áp dụng khi 1 cuộc tấn công thực sự xảy ra Mặc dù vậy, các thành phần mới của việc tấn công thường xuyên được tạo ra mà các phần mềm chống virus hay là phần mềm phát hiện tấn công không thể phát hiện ra và ngăn ngừa chúng

Từ đó, hệ thống phát hiện các vi phạm về bảo mật như là hệ thống phát hiện tấn công (IDS) và hệ thống ngăn ngừa tấn công được cài đặt vào trong hầu hết các hệ thống mạng Thêm vào đó, hệ thống IDS mã nguồn mở như là Snort và Bro thì hoàn toàn miễn phí và được sử dụng 1 cách rộng rãi Cả 2 hệ thống đều có 1 cơ sở dữ liệu cho việc lưu trữ các dấu hiệu tấn công được sử dụng để kiểm tra lưu lượng vào Phát hiện tấn công mạng là thành phần quan trọng trong tổng thể việc bảo mật cho hệ thống mạng Với việc sử dụng hệ thống phát hiện tấn công mạng càng ngày càng phát triển với mức độ ngày càng cao để đảm bảo rằng lưu lượng mạng sẽ không bị ảnh hưởng do các tấn công thâm nhập mạng gây ra Hệ thống phát hiện tấn công hiệu suất cao thì cần thiết cho người quản trị mạng để bảo vệ hệ thống Internet khỏi các cuộc tấn công Hiện nay, các nhà nghiên cứu đang tìm cách để thực thi các thành phần của

hệ thống phát hiện và ngăn ngừa cho hệ thống được sử dụng nhiều nhất hiện nay là Snort Hệ thống phát hiện tấn công xác định khi nào thì các hành động gây hại cho hệ thống xảy ra Còn hệ thống ngăn chặn tấn công thì thực hiện việc ngừng các hành động tấn công từ các máy khác trong mạng

Hiện nay các hệ thống phát hiện tấn công được sử dụng rất rộng rãi và 1 trong

số đó là Snort Snort là 1 IDS với việc phát hiện tấn công dựa vào việc áp dụng các rule vào gói dữ liệu bắt được Mỗi rule sẽ tương ứng với 1 loại tấn công và được cộng đồng những người dùng Snort chia sẻ trên mạng Vậy khi có 1 loại tấn công mới, hệ thống của chúng ta phải cập nhật rule từ đâu để Snort có thể phát hiện được tấn công mới? Làm thế nào để có thể phát hiện được lọai tấn công mới 1 cách chủ động nhất?

Để phát hiện loại tấn công mới 1 cách chủ động nhất đó là ta tự tạo ra rule tương ứng với các loại tấn công mới đó Luận văn này sẽ cung cấp phương pháp để tạo ra rule mới tương ứng với lọai tấn công mới cho Snort

Luận văn gồm các phần sau:

Chương 1: Giới thiệu

Phần này sẽ nêu lên các nghiên cứu có liên quan đến hệ thống IDS/IPS Phạm

vi nghiên cứu của đề tài và những vấn đề cần giải quyết

Chương 2: Phần mềm mô phỏng mạng – VMware

Phần này sẽ trình bày về chương trình VMware – chương trình mô phỏng mạng phổ biến hiện nay Sau đó ta sẽ tìm hiểu về việc xây dựng 1 mô hình mô phỏng như thế nào bắng chương trình VMware

Chương 3: Snort – phần mềm IDS mã nguồn mở

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

Chương 1: Giới thiệu

1) Cơ sở nghiên cứu:

Theo các chuyên gia của Symantec nhận định, thị trường CNTT của VN đang phát triển rất nhanh, kèm theo đó là những vấn đề về an ninh, bảo mật ngày càng trở nên đáng lo ngại Cùng với việc VN gia nhập WTO và hội nhập kinh tế thế giới, mức

độ bảo mật trong CNTT liên tục phải nâng cao để phù hợp với yêu cầu của quốc tế

Để có thể nâng cao mức độ bảo mật, nhiều giải pháp bằng phần mềm và phần cứng đã được đưa ra Song song với việc triển khai Firewall, giải pháp sử dụng hệ thống IDS/IPS nhằm mang lại giải pháp bảo mật tòan diện cho hệ thống mạng của người dùng Tuy nhiên, chi phí cho việc triển khai các thiết bị bảo mật IDS/IPS của các hãng là còn cao trong khi nguồn kinh phí hoạt động của các công ty là giới hạn

Do đó, giải pháp bảo mật mà các công ty lựa chọn là sử dụng các phần mềm IDS/IPS

mã nguồn mở Snort là 1 hệ thống IDS/IPS mã nguồn mở, được sử dụng rộng rãi trên thế giới Snort hoạt động dựa trên 1 cơ sở dữ liệu về các loại tấn công

Theo báo cáo tình hình an ninh mạng Việt Nam năm 2009 của Trung tâm An ninh mạng Bách Khoa (Bkis) vừa công bố cho thấy số lượng virus mới tăng đột biến, với hơn 50.000 dòng virus mới xuất hiện, tăng gấp 1,5 lần so với năm 2008 và gấp 7 lần so với năm 2007 Ta có thể thấy, số lượng tấn công càng ngày càng nhiều, dẫn đến

cơ sở dữ liệu của hệ thống IDS/IPS càng ngày càng khó phát hiện tấn công mới 1 cách kịp thời Vậy cách tốt nhất là tự tạo rule cho hệ thống Snort của chúng ta Nhờ đó hệ thống Snort có thể được đảm bảo hoạt động tốt ngay cả với các loại tấn công mới xảy

ra

2) Các nghiên cứu có liên quan:

2.1) Ngoài nước:

a) Làm thế nào để có thể quản lý việc sử dụng các luật tại tất cả các máy IDS

SNORT là phần mềm mã nguồn mở phổ biến nhất dựa trên 1 tổ hợp các dấu hiệu hay là các luật cho việc phát hiện tấn công Các luật được cập nhật bằng tay bởi nhà quản trị hệ thống Vấn đề cập nhật các luật để tính ổn định của hệ thống để làm giảm rủi ro và nguy hiểm của các cuộc tấn công Thêm vào đó, cứ mỗi 1 luật được thực thi sẽ làm giảm hiệu suất hoạt động của máy cài đặt SNORT Do đó, việc sử dụng các luật SNORT tại tất cả các vị trí phải được kiểm soát

Ta sẽ thiết kế và thực thi việc quản lý các luật cho SNORT IDS được cung cấp

có chứa các bộ cảm biến IDS được cài đặt tại nhiều vị trí, và bộ quản lý IDS tự động cập nhật các luật của SNORT tại từng vị trí cảm biến IDS khi chúng ta tải về từ trang snort.org Các bộ cảm biến IDS không chỉ theo dõi việc sử dụng các luật tại các máy của chúng để tối thiểu hóa số các luật đang thực thi mà còn đảm bảo tính tương thích của toàn hệ thống Hệ thống không chỉ phân tích việc sử dụng các luật tại từng IDS riêng lẻ Do đó, hiệu suất của IDS cũng sẽ được cải thiện Để phát hiện và ngăn chặn tấn công từ bên trong và bên ngoài, các máy IDS được cài đặt tại nhiều nơi bên trong mạng do đó mỗi khi có tấn công, các dấu hiệu hồi đáp sẽ phát hiện tấn công tại 1 trong các máy IDS, và các cảnh báo được ghi lại File ghi lại sẽ được dùng để cảnh báo các server IDS khác từ đó mà các tấn công hiện tại có thể được phát hiện và ngăn chặn 1 cách nhanh nhất có thể

Nghiên cứu này hướng tới việc quản lý việc sử dụng các luật về các dấu hiệu tại tất cả các máy IDS được cài đặt để làm giảm số các luật được thực thi tại bất kỳ thời điểm nào mà hiệu suất sử dụng của IDS còn hiệu lực Ta cũng chú trọng đến việc

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

5

SNORT, 1 trong những IDS mã nguồn mở được sử dụng nhiều nhất, phụ thuộc vào các dấu hiệu được cập nhật tốt hay không Thêm vào đó, việc cập nhật các dấu hiệu tại nhiều máy Snort có thể gây ra mâu thuẫn và làm tăng rủi ro của các cuộc tấn công vào hệ thống Nghiên cứu này sẽ thiết kế hệ thống quản lý IDS được cung cấp giúp cho ta có thể cập nhật hầu hết các dấu hiệu 1 cách hiệu quả và chính xác Snort sẽ được cài đặt và các dấu hiệu tại từng IDS sẽ được cập nhật có tính chu kỳ Do đó, việc truyền các luật giữa các server IDS đó phải được thực thi

b) Sử dụng L7 Filter như là 1 công cụ ngăn chặn tấn công

(intrusion-prevention-l7-filter_32868.pdf)

Mục đích của bài báo này là mô tả khả năng của L7 Filter như là 1 công cụ ngăn chặn tấn công và giải thích làm cách nào để sử dụng các luật của Snort trong L7-Filter và xem nó như là công cụ thay thế cho Snort Inline Bài báo này không đề cập đến công cụ nào tốt hơn mà nó chỉ mang đến 1 cách sử dụng mới cho L7 Filter L7 Filter là công cụ dựa trên Netfilter của Linux để xác định gói dựa trên dữ liệu của lớp ứng dụng Nó có thể phân loại gói ra thành các dạng Kazaa, HTTP, Jabber, Citrix, Bittorent, FTP,… thay thế cho các cổng Nó thực thi các phân chia hiện

có phù hợp với địa chỉ IP, số của cổng,… L7 Filter được sử dụng chủ yếu như là 1 công cụ QoS

Snort là 1 hệ thống phát hiện và ngăn chặn tấn công mã nguồn mở bằng việc

sử dụng các luật, nó tổ hợp các tiện ích của dấu hiệu, giao thức và các dấu hiệu không bình thường dựa trên phương pháp kiểm tra Với hàng triệu lượt tải tính đến hiện tại, Snort là kỹ thuật phát hiện và ngăn chặn tấn công được biết đến rộng rãi nhất trên thế giới Phiên bản ngăn chặn tấn công của Snort được gọi là Snort Inline

Ta có thể sử dụng các luật của Snort bởi vì chúng sử dụng các dấu hiệu của tấn công mà các pattern dựa vào đó, giống như là các pattern của L7-Filter áp dụng cho các giao thức Việc mà các ứng dụng này làm là tìm trong phần mở rộng của tải của gói IP có phù hợp với của pattern của tấn công hay không, dù cho đó là virus, malware, hay là sử dụng các công cụ trái phép

Có 1 vài công cụ mã nguồn mở có thể chuyển các luật của Snort thành các luật IPTables giống như là FWSNORT FWSNORT dùng khả năng phù hợp các chuỗi của IPTables để tìm kiếm trong phần mở rộng của tải của gói IP Vấn đề của IPTable là nó chỉ có thể kiểm tra từng gói đơn chứ không phải như là 1 bộ phận của việc giao tiếp giữa các ứng dụng Để tránh điều này, FWSNORT sử dụng 1 công cụ IPTables được gọi là ConnectionTracking cho phép tìm trong tất cả các gói cùng thuộc về 1 kết nối Tuy nhiên sẽ có 1 vài vấn đề với giải pháp này là do FWSNORT hoạt động ở lớp Layer chứ không phải ở lớp ứng dụng

Snort Inline cũng là 1 giải pháp khác Snort Inline cũng dùng IPTables nhưng theo 1 cách khác Dựa trên IPTables, Snort Inline sẽ xác định là kết nối đó là bình

thường hay là đang bị tấn công Nếu kết nối đó đang bị tấn công thì nó sẽ bị ngắt Thế thì tại sao chúng ta lại sử dụng L7-Filter?

Các hệ thống được sử dụng nhiều có thể thiếu 1 vài tài nguyên hiện có để phát triển thêm các ứng dụng cho việc phát hiện tấn công (ví dụ như là Snort) Việc tìm kiếm các gói của L7-Filter diễn ra ngay bên trong phần lõi của Linux Vì thế ta không cần phải sao lưu dữ liệu từ bộ nhớ lõi vào trong vùng thực thi của người dùng Vì thế trong hệ thống không phù hợp cho sự phát triển hệ thống IDS/IPS do yêu cầu về cấu hình của hệ thống, điểu này có thể là ưu điểm quan trọng nhất của L7-Filter L7-Filter

là ứng cử viên lý tưởng cho hành động tương ứng với tấn công hiện tại Ví dụ như nếu

có 1 lỗ hổng mới được phát hiện bên trong phần mềm server Linux đang được triển khai trong cơ sở hạ tầng của chúng ta Nếu cộng đồng Snort phát triển các dấu hiệu để phát hiện tấn công tương ứng với lỗ hổng này, L7-Filter có thể được cấu hình để bỏ gói (thông qua DROP target của IPTables) có xuất hiện dấu hiệu phù hợp với dấu hiệu của tấn công và giao thức chuẩn đáp ứng lại có thể được cung cấp bởi L7-Filter thông qua REJECT target Bởi vì các quy tắc của L7-Filter thì nhẹ do đó nó có thể thường xuyên phát triển thêm trong khi các cơ chế ngăn chặn khác như là Snort đang chạy trong chế độ inline

c) Kiểm tra hiệu suất thực thi của Snort (Snort Performance Test)

Trong việc xem xét kiểm tra hiệu suất thực thi của mạng, 1 trong những thành phần quan trọng nhất thường được dùng là độ trễ end -to-end Khi độ trễ end-to-end gia tăng vượt qua điểm hiện tại, cái phải được xác định trên mạng bởi các yếu tố cơ bản mạng, khả năng sử dụng và độ tin cậy của mạng bắt đầu bị giảm sút 1 phương pháp của độ trễ giới thiệu trên mạng thì thông qua “các thành phần trễ cố định” Các thành phần này được thêm vào 1 cách trực tiếp cho tổng độ trễ trên mạng Việc sử dụng hệ thống phát hiện tấn công mạng được thực thi trong dạng trực tuyến có thể đưa ra giá trị cố định Bất kỳ thành phần nào của mạng cho dù nó là router, switch hay

là các thành phần bảo mật có khả năng đưa ra độ trễ Độ trễ được đưa ra là bao nhiêu

và bất kỳ giá trị nào được xác định hay không là câu hỏi phải được trả lời

Mục đích chung của mạng là để mang thoại, video hay là lưu lượng đa truyền thông, như là dữ liệu cơ bản, điều cần để cho 1 vài nguyên tắc chỉ đạo được thiết lập Với các nguyên tắc này được thiết lập để hỗ trợ việc xác định khi nào giá trị trễ là không thể chấp nhận được Các nguyên tắc hướng dẫn này giả sử rằng toàn bộ trễ trên

1 gói nên giữ dưới 150 mili giây để đảm bảo cho khả năng hoạt động của mạng là chấp nhận được

Thời gian trễ được đưa ra bởi hệ thống phát hiện tấn công Snort sẽ được dùng

để chỉ ra hiệu suất xử lý của hệ thống Độ trễ này sẽ được đo bởi thời gian tính từ lúc nhận được gói khởi tạo tới lúc nhận được gói cuối cùng trên máy IDSDest Thời gian được mô phỏng sẽ được so sánh với thời gian nhận của việc thu nhận lưu lượng ban đầu Thời gian từ việc thu nhận lưu lượng ban đầu được đo bởi Wireshark là 393.137937 giây Thời gian này được định nghĩa bởi ứng dụng Wireshark Ứng dụng Wireshark thu gói khởi tạo và ghi lại gói này với nhãn thời gian là 0:00 Từng gói thêm vào được thu lại và được dán nhãn thời gian Nhãn thời gian sẽ được thay thế trong từng gói này là tổng thời gian di chuyển từ lúc gói đầu tiên Gói cuối cùng thu nhận được được ghi lại thời gian di chuyển là 393.137937 Ảnh hưởng của engine phát hiện tấn công và các khối hỗ trợ sẽ được xác định bởi các thời gian di chuyển đo được khác nhau như đã cung cấp ở trên được so sánh với thời gian lưu lượng ban đầu Những sự khác nhau này sẽ được ghi lại để dùng cho việc phân tích Sử dụng các thông tin thu nhận được, ta thấy rằng việc gia tăng độ trễ của từng gói lớn nhất là Flow và Stream4 và Telnet_negotiation và Http_inspect, với độ gia tăng thời gian trễ

là 0.001637114 giây hay là 1.637114 ms Độ gia tăng này dưới 150ms, giá trị gia tăng

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

Vì các lý do trên, ta đưa ra hệ thống và thực thi hệ thống để làm giảm các luật bằng cách tổ chức dữ liệu mạng và thông qua hệ thống này, ta thiết kế cấu trúc hệ thống phát hiện tấn công có tổng các luật IDS sẽ nhỏ hơn và giá trị trung bình các luật

ở từng nút sẽ nhỏ hơn

Về mặt lý thuyết thì các luật được giảm bớt nếu không có mối liên hệ gì với môi trường mạng mục tiêu thì nó sẽ tránh được việc bỏ qua lỗi Trong bài này, kết quả của việc giảm các luật là chấp nhận được trong thử nghiệm của chúng ta Nếu môi trường mạng càng phức tạp thì tốc độ giảm các luật càng tồi hơn Trong hệ thống của chúng ta, thuật toán làm giảm các luật phụ thuộc vào cấu trúc dữ liệu mạng Cấu trúc

dữ liệu được tạo ra bởi quá trình quét NMAP, và dĩ nhiên giao thức nào có thể có ảnh hưởng đến kết quả quét NMAP sẽ gây ảnh hưởng đến hệ thống của chúng ta Mặc dù vậy, Snort thì có ảnh hưởng được thừa hưởng bởi giao thức có thể gây ra cấu trúc mạng ảo khác với cấu trúc dữ liệu mạng thực và Snort thì vô dụng đối với VPN bởi vì việc mã hóa của VPN Do đó, ta có thể suy ra là hệ thống của chúng ta hoạt động tốt với Snort gốc

2.2) Trong nước:

Hiện nay, Snort là 1 vấn đề mới ở Việt Nam Có 1 số đề tài nghiên cứu về Snort ở các trường đại học, học viện Tuy nhiên các hình thức nghiên cứu chỉ mới ở dạng sơ khai Hiện tại, trường Đại học Bách Khoa có 1 đề tài luận văn thạc sĩ năm

2008 có nội dung nghiên cứu về Snort là: “NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP HCM”, tác giả: Ngô Hán Chiêu

Trong luận văn này, tác giả đề cập đên các vấn đề sau:

a) Nghiên cứu về các loại IDS, quá trình xử lý và phân loại IDS:

b) Các giải pháp IDS của các hãng hiện nay, việc ứng dụng triển khai IDS

ở 1 số đơn vị trên địa bàn TPHCM và từ đó tìm ra được phương án tối ưu:

Các đơn vị trên địa bàn TPHCM được khảo sát:

- Công ty phát triển phần mềm Quang Trung (QTSC) : hệ thống bảo mật tích hợp các tầng bảo mật của CheckPoint, Cisco, ISS, ForeScout, Funk Bảo mật lớp biên bằng thiết bị IPS, hệ thống Firewall Clustering, bảo mật lớp Core bằng các module bảo mật gắn trên CoreSwitch…

- Tổng công ty cấp nước Sài Gòn (SAWACO): Giải pháp bảo mật là Firewall nhiều lớp Firewall tích hợp lên Switch Catalyst 6513 Tuy nhiên, hệ thống mạng của SAWACO chưa có hệ thống phát hiện xâm nhập (IDS) do chi phí đầu tư hệ thống này hiện nay có giá thành cao

- Sở kế hoạch đầu tư TPHCM, Ủy ban Nhân dân quận 1 và quận 5: hệ thống mạng được bảo vệ bằng cách cài đặt các firewall mà không trang bị hệ thống IDS/IPS

 Chỉ có công viên phần mềm Quang Trung là có trang bị IDS/IPS để bảo vệ cho hệ thống Lý do chủ yếu của việc không sử dụng hệ thống IDS/IPS là do chi phí đầu tư quá cao

c) Tìm hiểu về Snort – phần mềm mã nguồn mở

Trong phần này, tác giả đề cập đến các vấn đề liên quan đến Snort:

+ Cấu trúc hệ thống

+ Cài đặt các gói phần mềm

+ Phân tích tập tin config

+ Cách thức hoạt động của Snort

+ Phân tích cấu trúc luật của Snort

+ Các triển khai luật và cập nhật luật trong Snort

 Chọn lựa Snort để triển khai hệ thống IDS vừa mang tính thiết thực vừa miễn phí

và đáp ứng được nhu cầu bảo mật hệ thống đặt ra

d) Giải pháp triển khai hệ thống IDS cho trường Đại học Bách Khoa: Trong phần này, tác giả đã thiết kế và xây dựng mô hình triển khai Snort cho

hệ thống IDS, kiểm tra hoạt động của Snort với các loại tấn công khác nhau vào mạng của trường Đại học Bách Khoa

Mô hình triển khai hệ thống Snort cho trường Đại học Bách Khoa:

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu

GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

9

Số rule được sử dụng cho hệ thống mạng của trường Đại học Bách Khoa: khoảng 10,000 rule và sẽ tiếp tục tăng theo thời gian do phải cập nhật rule mới tương ứng với các loại tấn công mới

Sau khi triển khai và chạy thử nghiệm Snort trong hệ thống mạng của trường Đại học Bách Khoa thì mô hình đã được triển khai vào thực tế cho mạng trường Đại học Bách Khoa

3) Hướng giải quyết đề nghị trong luận văn:

Snort là phần mềm mã nguồn mở được sử dụng nhiều trên thế giới với trên 6 triệu lượt người sử dụng Hiện nay, Snort có 2 phiên bản, 1 là hệ thống phát hiện xâm nhập và 1 là hệ thống ngăn chặn xâm nhập (Snort Inline) Cả 2 hệ thống đều họat động dựa trên các luật áp dụng cho tất cả các gói vào hay ra khỏi hệ thống Điều này

có nghĩa là khi có 1 gói vào hay ra khỏi hệ thống, Snort sẽ kiểm tra xem gói đó có phù hợp với các luật hiện có hay không Nếu phù hợp thì Snort sẽ đưa ra hành động tương ứng với luật đó Và khi có các hoạt động tấn công mới thì làm cách nào mà hệ thống IDS/IPS của chúng ta đã được chuẩn bị trước để có thể phát hiện được các loại tấn công đó? Ta có thể sử dụng Nessus và Honeypot để thu thập, phân tích dữ liệu và đưa

ra rule mới cho hệ thống IDS/IPS Từ các luật được tạo ra đó mà Snort có thể áp dụng cho gói để có thể ngăn ngừa các loại tấn công mới

4) Những vấn đề phải giải quyết trong luận văn này :

+ Snort không phát hiện ra các loại tấn công mới do cơ sở dữ liệu của nó (tập các rule) không đầy đủ Vậy làm cách nào để có thể xây dựng bộ rule cho các loại tấn công mới?

+ Làm cách nào thu thập được thông tin, dữ liệu, dấu hiệu tấn công của các loại tấn công mới?

+ Làm cách nào để có thể chuyển dữ liệu đã được thu thập và xử lý ở Honeypot thành các luật của Snort?

+ Các loại tấn công mới có điểm gì chung không? Ta có thể tối thiểu hóa số rule của Snort mà vẫn phát hiện được tất cả các loại tấn công mới hay không?

+ Snort có thể sử dụng các luật mới được tạo ra hay không?

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

11

thể thiếu cho các nhà doanh nghiệp phát triển tin học và các nhà quản trị hệ thống Với hàng triệu khách hàng và hàng loạt các giải thưởng quan trọng trong 6 năm qua, VMware Workstation đã được chứng minh là một công ghệ giúp tăng năng suất và sự linh họat trong công việc Đây là một công cụ không thể thiếu cho các nhà phát triển phần mềm và các chuyên gia IT trên tòan thế giới

2) Đặc trưng và cách thức hoạt động

VMware Workstation họat động bằng cách cho phép nhiều HĐH và các ứng dụng của chúng chạy đồng thời trên một máy duy nhất Các HĐH và ứng dụng này được tách ra vào trong các máy ảo Những máy ảo này cùng tồn tại trên một phần cứng duy nhất Các layer ảo của VMware sẽ kết nối các phần cứng vật lý với các máy ảo, do đó mỗi máy ảo sẽ có CPU, bộ nhớ, các ổ đĩa, thiết bị nhập/xuất riêng Các máy ảo sẽ hoàn toàn giống như các máy x86 tiêu chuẩn

2.1.VMware Workstation cho phép người dùng có thể:

- Thiết lập và thử nghiệm các ứng dụng đa lớp, cập nhật ứng dụng và các miếng vá cho hệ điều hành chỉ trên một PC duy nhất

- Dễ dàng phục hồi và chia sẻ các môi trường thử nghiệm được lưu trữ; giảm thiểu các thiết lập trùng lặp và thời gian thiết lập

- Làm cho việc học tập trên máy tính thuận lợi hơn do sinh viên luôn đuợc sử dụng máy với tình trạng “sạch sẽ” và thử nghiệm với nhiều hệ điều hành, ứng dụng cá các công cụ trên những máy ảo an tòan và độc lập

- Chạy các bản demo phần mềm với các thiết lập phức tạp hoặc đa lớp trên một chiếc laptop

- Tăng tốc độ giải quyết các rắc rối của người dùng cuối dựa trên một thư viện các máy ảo được thiết lập sẵn

2.2.Ứ ng dụng thực tiễn

Đây là phần mềm rất được ưa thích trong giới tin học ,hay cho những người thich vọc phần mềm Chẳng hạn ta thấy hệ điều hành windows vista và muốn dùng thử nhưng lại chưa dám cài đặt trực tiếp lên ổ cứng thì đây là giải pháp tốt nhất để chúng ta thực hiên ước muốn của mình

Cấu hình để cài phần mềm và chạy tốt chương trình là:

+ CPU 1GHz trở lên

+ Ram 1Gb trở lên ( nếu mà được 2gb thì tốt hơn)

3) Các tiện ích của VMware

VMware giúp giả lập máy tính ảo trên một máy tính thật Khi cài đặt VMware lên, ta có thể tạo nên các máy ảo chia sẻ CPU, RAM, Card mạng với máy tính thật Điều này cho phép xây dựng nên một hệ thống với một vài máy tính được nối với nhau theo một mô hình nhất định, người sử dụng có thể tạo nên hệ thống của riêng mình, cấu hình theo mô hình mô phỏng mong muốn

4) Cách tạo nên các máy ảo từ VMware:

Để sử dụng VMware đầu tiên chúng ta cần tạo nên một máy ảo, nơi mà chúng ta sẽ dùng để cài đặt nên các hệ điều hành Chúng ta có thể tuỳ chọn dung lượng ổ cứng, dung lượng RAM, cách kết nối mạng của máy ảo… Việc tiếp theo cần làm là cài đặt nên một hệ điều hành trên máy ảo đó Hiện tại, VMware hỗ trợ cài đặt rất nhiều dạng

hệ điều hành Chúng ta có thể cài các phiên bản của Windows, Linux, Unix… trên các máy ảo VMware Việc cài đặt hệ điều hành trên máy ảo hoàn toàn tương tự như cách cài đặt trên các máy thật

5) Chia sẻ tài nguyên của các máy ảo:

5.1- Chia sẻ CPU và RAM:

Các máy ảo sẽ chia sẻ CPU và RAM của máy tính thật Để đảm bảo hệ thống

có thể chạy tốt, yêu cầu máy tính thật phải có cấu hình tương đối cao, khoảng 1GB RAM để có thể chạy đồng thời 4, 5 máy ảo

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

Hình 5.2: Tùy chọn dung lượng đĩa cứng

5.3 Chia sẻ card mạng:

Sau khi cài đặt lên, VMware sẽ tạo nên 2 card mạng VMware 1 và VMware 8 trên máy thật và máy thật có thể sử dụng 2 card mạng này để kết nối với các máy ảo Khi lựa chọn cấu hình mạng cho các máy ảo, ta có thể chọn một trong các chế độ sau:

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

15

Hình 5.3.1: Chọn lựa cấu hình mạng

+ Bridged networking: Card mạng của máy ảo sẽ được gắn trực tiếp với card mạng của máy thật (sử dụng switch ảo VMnet0) Lúc này, máy ảo sẽ đóng vai trò như một máy trong mạng thật, có thể nhận DHCP từ mạng ngoài, hoặc đặt IP tĩnh cùng dải với mạng ngoài để giao tiếp với các máy ngoài mạng hoặc

Hình 5.3.2: Cấu trúc mạng Bridged Networking

+ NAT: Máy ảo được cấu hình NAT sẽ sử dụng IP của máy thật để giao tiếp với mạng ngoài Các máy ảo được cấp địa chỉ IP nhờ một DHCP ảo của VMware Lúc này, các máy ảo sẽ kết nối với máy thật qua switch ảo VMnet8,

và máy thật sẽ đóng vai trò NAT server cho các máy ảo

Hình 5.3.3: Cấu trúc mạng NAT

+ Host-only Networking: Khi cấu hình máy ảo sử dụng host-only networking, máy ảo sẽ được kết nối với máy thật trong một mạng riêng thông qua Switch ảo VMnet1 Địa chỉ của máy ảo và máy thật trong mạng host-only

có thể được cấp bởi DHCP ảo gắn liền với Switch ảo Vmnet1 hoặc có thể đặt địa chỉ IP tĩnh cùng dải để kết nối với nhau

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

17

Hình 5.3.4 : Cấu trúc mạng Host-Only

Ngoài các kết nối trên, ta có thể sử dụng các switch ảo trong VMware để kết nối các máy ảo thành một hệ thống như mong muốn Khi cài đặt lên, VMware tạo sẵn cho chúng ta 10 Switch ảo từ VMnet0 đến VMnet9 Ngoài các Switch

ảo VMnet0 (dùng cho mạng Bridged Networking), VMnet8 (dùng cho mạng Nat Networking) và VMnet1 (dùng cho mạng Host-Only Networking), chúng

ta còn 7 Switch ảo khác để thực hiện việc kết nối các máy ảo Chúng ta có thể đặt IP động trên các máy nối với các Switch này để nhận DHCP ảo, hoặc có thể đặt IP tĩnh cùng dải cho các máy này đảm bảo chúng kết nối được với nhau

5.4 Chia sẻ ổ đĩa CD-ROM:

Các máy ảo có thể sử dụng ổ CD-ROM của máy thật Ngoài ra, ta có thể dùng một file ISO để đưa vào ổ CD-ROM của máy ảo, lúc này máy ảo sẽ nhận file ISO giống như một đĩa CD-ROM trong ổ đĩa của mình

Hình 5.4: Chia sẻ ổ đĩa CD-ROM

6) Sử dụng Snapshot

Snapshot một máy ảo cho phép ta lưu lại trạng thái của máy ảo tại thời điểm đó Snapshot sẽ lưu lại thông tin về ổ cứng, Ram và các Setting trên máy

ảo Sau khi lưu snapshot, chúng ta có thể quay trở lại trạng thái của máy ảo bất

cứ lúc nào VMware cho phép chúng ta lưu nhiều snapshot của máy ảo, vì thế người dùng có thể sử dụng một máy ảo vào nhiều ngữ cảnh khác nhau, tiết kiệm thời gian cho việc cấu hình Chẳng hạn với một máy ảo A, trong một bài lab ta muốn nó là một máy chủ Domain Controller, nhưng trong bài lab khác ta muốn xấy dựng nó thành một máy chủ ISA Để giải quyết vấn đề này, chúng ta

có thể lưu snapshot của máy A tại thời điểm nó là domain controller, sau đó cấu hình nó thành một máy chủ ISA và lưu snapshot Khi cần sử dụng máy ảo

A với vai trò là một Domain Controller hay ISA, ta sẽ dùng trình quản lý Snapshot Manager để chuyển tới trạng thái mong muốn

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

19

Hình 6: Sử dụng Snapshot trong VMware

Chương 3: Tìm hiểu Snort

1) Tìm hiểu về Snort:

+ Snort là 1 IDS mã nguồn mở được cung cấp cho tất cả mọi người Snort là IDS dựa trên các rule Snort sử dụng các rule được lưu trong các file dạng text và có thể thay đổi bằng các phần mềm đọc định dạng text Các rule được tập hợp lại trong các loại Các rule thuộc về từng loại thì được lưu trong các file riêng biệt Các file này được lưu trong trong file thiết lập chính được gọi là snort.conf Snort đọc các rule này lúc bắt đầu và xây dựng cấu trúc dữ liệu bên trong hay là các chuỗi áp dụng các luật này cho các gói dữ liệu

+ Snort có 2 chế độ cơ bản là: chế độ lắng nghe các gói và chế độ NIDS Khi lắng nghe gói, Snort có thể ghi lại các gói này vào trong log file File này có thể xem được sau này bằng cách sử dụng Snort hay là tcpdump Không có sự phát hiện tấn công nào khi Snort đang hoạt động ở chế độ này Khi sử dụng Snort ở chế độ NIDS (Network Intrusion Detection System – hệ thống phát hiện tấn công mạng), nó sử dụng các rule của nó để tìm ra các hoạt động nào đang tấn công vào mạng của chúng

ta

Trong chế độ NIDS, Snort không ghi lại từng gói đã lấy được như là ở chế độ lắng nghe các gói Thay vào đó, nó áp dụng các rule cho tất cả các gói bắt được Nếu gói phù hợp với rule thì chỉ có các file ghi lại hay là có các cảnh báo được đưa ra Nếu gói không phù hợp với rule gói được bỏ đi 1 cách âm thầm và không có việc ghi lại ngõ vào nào được thực hiện Khi ta sử dụng Snort ở chế độ NIDS, 1 cách cơ bản là ta cung cấp 1 file cấu hình trong các dòng lệnh File cấu hình này chứa các rule của Snort hay là tham khảo tới file khác chứa các rule của Snort Bên cạnh các rule, file cấu hình cũng bao gồm các thông tin về ngõ vào và ngõ ra gắn vào (input và output plug-in)

Ngoài 2 chế độ cơ bản trên, Snort còn có các chế độ khác:

- Chế độ cảnh báo của Snort: khi Snort hoạt động trong chế độ NID (Network Intrusion Detection – Phát hiện tấn công mạng), nó sẽ phát ra các cảnh báo

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

Gởi các cảnh báo tới Windows: Snort có thể gởi các cảnh báo tới máy dùng hệ điều hành Windows trong dạng cửa sổ pop-up Gói SAMBA phải được cài đặt trong máy UNIX SAMBA là 1 phần mềm mã nguồn mở cho phép các file UNIX và chia sẻ máy in với máy Microsoft Windows Phần mềm SAMBA chạy trên

hệ điều hành UNIX Nó có thể chạy với bất cứ hệ điều hành nào hiểu được giao thức Common Internet File System (CIFS) hay là Server Message Block (SMB) Cơ chế gởi thông điệp của Snort sử dụng chương trình con này trên máy UNIX để kết nối với máy Windows và gởi cảnh báo

- Snort hoạt động ở chế độ Stealth:Ở chế độ này, các host khác không thể nào phát hiện được sự hiện diện của máy có cài đặt Snort Nói cách khác, kẻ tấn công hay người khác không thể thấy được máy Snort

+ 1 điều quan trọng về SNORT mà ta cần lưu ý là tuy có nhiều dấu hiệu tấn công nhưng các luật của ta phải càng ít càng tốt Bởi vì Snort sẽ chạy chậm đi khi có 1 luật được thêm vào Snort gồm nhiều thành phần bao gồm:

1.1) Bộ giải mã gói:

Bộ giải mã gói là 1 chuỗi các bộ giải mã mà từng bộ giải mã sẽ giải mã từng thành phần giao thức riêng biệt trong cấu trúc dữ liệu bên trong Nó bắt đầu với giao thức lớp dưới là lớp Data Link và sẽ giải mã từng lớp giao thức khác Khi gói đi qua

bộ giải mã, cấu trúc dữ liệu được điền với dữ liệu gói đã được giải mã Bây giờ thì dữ liệu đã được lưu lại trong cấu trúc dữ liệu sẵn sàng để phân tích bởi bộ tiền xử lý và engine phát hiện Libcap được sử dụng để thu gói dạng thô, điều này đảm bảo tất cả các header giao thức không bị thay đổi bởi OS

1.2) Bộ tiền xử lý:

Bộ tiền xử lý có 2 chức năng chính 1 là làm cho gói phù hợp với engine phát hiện để áp dụng các luật vào nó 2 là tìm các lỗi hiển nhiên và phát hiện các bất thường trong gói dữ liệu 1 vài tấn công không thể bị phát hiện bởi engine phát hiện Bởi vì điều này mà cần có thêm các bộ tiền xử lý đặc biệt để phát hiện các loại tấn công này Các bộ tiền xử lý này thì cần thiết trong việc phát hiện ra các tấn công mà không có mang dấu hiệu tấn công 1 chức năng khác của bộ tiền xử lý là bình thường hóa lưu lượng cho bộ phát hiện để dò tìm sự phù hợp các dấu hiệu 1 cách chính xác Mục đích chính cho các bộ tiền xử lý này là đánh bại các cuộc tấn công cố gắng tránh engine phát hiện bằng cách thay đổi các thành phần của lưu lượng Việc tổ hợp các gói cũng là nhiệm vụ của bộ tiền xử lý Bộ tiền xử lý được sử dụng bởi Snort ở chế độ mặc định là như sau:

+ frag3: loại ra các tấn công phân mảnh IP Nên là lúc nào cũng thực thi

+ stream4: được sử dụng để duy trì trạng thái của chuỗi TCP, được sử dụng trong việc phát hiện 1 vài dạng của tấn công thu thập thông tin Điều quan trọng là dấu hiệu tấn công có thể nằm trong nhiều gói khác nhau

+ flow: theo dõi trạng thái TCP

+ sfPortscan: được thiết kế cho việc phát hiện các phase đầu tiên trong tấn công mạng: sự thăm dò Được thiết kế cho việc phát hiện hầu hết các quá trình quét NMAP

+ BO => phát hiện tấn công cửa sau Đặc biệt dành riêng cho hệ thống Windows

+ Telnet_decode => giải mã hay là loại bỏ các mã điểu khiển Telnet dạng nhị phân được thêm vào tùy ý trong chuỗi Telnet hay là FTP

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

23

trong tất cả các host trong mạng Bước đầu tiên của hoạt động thâm nhập là tìm xem dịch vụ nào đang chạy trong mạng Khi biết được thông tin này, kẻ thâm nhập có thể tìm cách làm cho dịch vụ đang chạy bị lỗi Bộ tiền xử lý kiểm tra cổng được thiết kế

để phát hiện hoạt động kiểm tra cổng Bộ tiền xử lý có thể được dùng để ghi lại hoạt động kiểm tra cổng tới vị trí riêng để việc ghi lại là bình thường Hacker có thể dùng cách thức kiểm tra nhiều cổng Định dạng chung để gọi bộ tiền xử lý này là:

preprocessor portscan: <address> <ports> <time period> <file>

Sau đây là các đối ứng của bộ tiền xử lý:

- Tầm địa chỉ IP để quản lý là 1 địa chỉ IP đơn hay là địa chỉ mạng Tầm được xác định bằng cách sử dụng khối CIDR

- Số của các cổng được truy cập trong 1 chu kỳ thời gian xác định Ví dụ: nếu ta khai báo là 5 có nghĩa là nếu 5 cổng bị quét trong 1 chu kỳ thời gian xác định, cảnh báo sẽ được phát ra

- time period: là số giây xác định ngưỡng của chu kỳ thời gian được sử dụng

- Đường dẫn đến tên file khi hoạt động được ghi lại

Hoạt động kiểm tra cổng được phát hiện cho cổng TCP và UDP Bộ tiền xử lý

có thể phát hiện cả việc kiểm tra cổng bình thường hay là ẩn

+ Module frag3: Bộ tiền xử lý này thực hiện việc giải phân mảnh gói IP Nó dùng thuật tóan cây splay, để tự tổ chức cấu trúc dữ liệu Với frag3, ta có thể cấu hình giới hạn timeout và bộ nhớ cho việc giải phân mảnh gói 1 cách mặc định, bộ tiền xử

lý dùng 4MB bộ nhớ và chu kỳ timeout là 60 giây Nếu việc xử lý không hoàn tất trong chu kỳ thời gian này, các phân mảnh thu thập được sẽ bị bỏ qua Dòng lệnh sau đây cấu hình cho bộ tiền xử lý với giá trị mặc định:

- Kiểm tra đầy đủ các trạng thái

Ta phải cấu hình 2 bộ tiền xử lý trong file snort.conf cho Stream4 hoạt động đúng Các module này là “stream4” và “stream4_reassembly” Định dạng chung cho stream4:

preprocessor stream4: [noinspect], [keepstats], \

[timeout <seconds>], [memcap <bytes>], [detect_scan], \

[detect_state]

- noinspect: tắt chế độ kiểm tra đầy đủ trạng thái (mặc định: ACTIVE)

- keepstats: ghi lại tổng hợp các session trong file session.log (mặc định: INACTIVE)

- timeout: timeout cho việc giữ chuỗi trong trạng thái hoạt động (mặc định là

30 giây)

- memcap: số bộ nhớ tối đa được dùng bởi module (mặc định là 8MB)

- detect_scan: phát hiện hoạt động kiểm tra cổng (mặc định: INACTIVE)

- detect_state_problems: phát hiện các vấn đề liên quan đến chuỗi TCP (mặc định: INACTIVE)

Định dạng chung cho bộ tiển xử lý stream4_reassemble:

preprocessor stream4_reassemble: [clientonly],

[serveronly],[noalerts],[ports<portlist>]

- clientonly: giải mã chuỗi gói dữ liệu ở phía client

- serveronly: giải mã chuỗi gói dữ liệu ở phía server

- noalerts: không cảnh báo cho các dạng tấn công thêm vào

- ports: danh sách các cổng mà chuỗi được giải mã Số cổng có thể được chia

ra bằng ký tự khoảng cách Từ khóa “all” sẽ cho phép giải mã port có số là 21 (FTP), 23(Telnet), 25(SMTP), 53(DNS), 80(HTTP), 110 (POP3), 111, 143 và 513 Đặc tính cổng thì rất có ích nếu ta muốn giải mã chỉ cho 1 vài dịch vụ Nó giúp tiết kiệm thời gian sử dụng CPU

1.3) Bộ phát hiện:

Phần quan trọng nhất của Snort là bộ phát hiện Nó thực hiện 2 nhiệm vụ chính là phân chia các luật và phát hiện dấu hiệu tấn công Bằng cách chia ra thành các luật bộ phát hiện sẽ xây dựng các dấu hiệu tấn công Các luật được đọc từng dòng một và tải vào trong cấu trúc dữ liệu bên trong (quan trọng là phải viết các luật 1 cách chính xác hay là bộ phát hiện sẽ bị lỗi khi tải chúng vào trong cấu trúc dữ liệu bên trong) Bây giờ thì tất cả các lưu lượng đều đi qua 1 tổ hợp các rule được tải vào trong

Cấu trúc chung của phần mở đầu rule được nêu ở hình phía dưới:

Phần “action” của rule xác định dạng của hành động diễn ra khi qui tắc được thỏa và rule thì hoàn toàn phù hợp với gói dữ liệu Các hành động chủ yếu là tạo ra cảnh báo hay là thông điệp ghi lại hay là viện dẫn các rule khác

Phần “protocol” được dùng để áp dụng rule trong các gói chỉ cho từng giao thức riêng biệt Đây là qui tắc đầu tiên được chú ý đến trong rule 1 vài ví dụ về giao thức được sử dụng như là IP, ICMP, UDP,…

Phần “address” chỉ ra địa chỉ nguồn và địa chỉ đích Địa chỉ có thể là 1 host riêng biệt, nhiều host hay là địa chỉ mạng Ta cũng có thể dùng những phần này để

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

25

các điều kiện của rule đã thỏa Hành động chỉ được thực hiện khi tất cả các điều kiện nêu trong rule đều thỏa Ta cũng có thể tự định nghĩa hành động nếu cần Trong Snort phiên bản 1.x, nếu nhiều rule phù hợp với gói dữ liệu thì chỉ rule đầu tiên được thực thi Ở Snort phiên bản 2.x tất cả các rule được áp dụng trước khi tạo ra thông điệp cảnh báo Thông điệp cảnh báo có tính chất nghiêm trọng nhất sẽ được tạo ra sau

đó

- Pass: Hành động này có nghĩa là Snort sẽ bỏ qua gói Điều này sẽ nâng cao tốc độ hoạt động của Snort khi ta không muốn kiểm tra gói hiện tại Ví dụ như là

có 1 host nào đó bị lỗi và ta muốn tìm ra lỗ hổng an ninh trong mạng của chúng ta thì

ta sẽ muốn Snort bỏ qua bất kỳ cuộc tấn công nào từ host đó

- Log: Dùng đề ghi lại gói Gói có thể được ghi lại bằng nhiều cách khác nhau Ví dụ như là ta có thể ghi lại vào trong logfile hay là trong cơ sở dữ liệu

- Alert (Cảnh báo): Dùng để gởi thông điệp cảnh báo khi các điều kiện của rule là đúng cho 1 gói riêng biệt nào đó Cảnh báo có thể được gởi bằng nhiều cách

Ví dụ như là ta có thể thông điệp tới file hay là tới bộ điều khiển Chức năng khác nhau của hành động Log và Alert là Alert gởi thông điệp cảnh báo và sau đó là ghi lại gói Trong khi Log chỉ ghi lại gói

- Activate: Dùng để tạo ra cảnh báo và sau đó khởi động các rule khác để kiểm tra nhiều điều kiện hơn Trong hoàn cảnh bình thường thì nó không được áp dụng cho gói Rule linh hoạt có thể được hoạt hóa chỉ bởi hành động “activate” được định nghĩa trong rule khác

- Các hành động do người dùng định nghĩa: Ta có thể tự định nghĩa hành động phù hợp với mục đích của chúng ta Các hành động của rule này phục vụ các mục đích khác nhau:

Gởi thông điệp tới syslog Syslog có thể được so sánh với bộ ghi lại

sự kiện (event logger) của hệ thống Microsoft Windows

Gởi các bẫy SNMP Các bẫy SNMP được gởi tới hệ thống quản lý mạng giống như là HP OpenView hay là OpenNMS

Thực hiện nhiều hành động ở gói Trong cấu trúc rule của Snort thì 1 rule chỉ có thể thực hiện 1 hành động Các rule do người dùng định nghĩa có thể được

sử dụng để thực hiện nhiều hành động Ví dụ như là người dùng có thể định nghĩa rule

có thể sử dụng để gởi bẫy SNMP đồng thời ghi lại dữ liệu cảnh báo cho hệ thống syslog

Ghi lại dữ liệu vào file XML

Snort có thể ghi lại thông điệp vào cơ sở dữ liệu như là MySQL, Postgress SQL, Oracle và Microsoft SQL server Các dạng hành động mới này được định nghĩa trong file cấu hình snort.conf Hành động mới được định nghĩa theo cấu trúc chung như sau:

ruletype action_name

{

action definition

}

Từ khóa ruletype được theo sau là tên hành động Ví dụ như, hành động có tên

là smb_db_alert được dùng để gởi thông điệp cảnh báo dùng cửa sổ SMB pop-up tới host được liệt kê trong file workstation.list và tới cơ sở dữ liệu MySQL được đặt tên

là snort được định nghĩa như sau:

ruletype smb_db_alert

{

type alert

output alert_smb: workstation.list

output database: log, mysql, user=rr password=rr \

db_name=snort, host=localhost

}

+ Giao thức: là phần thứ 2 của các rule của Snort Chỉ ra dạng của gói mà rule

sẽ được áp dụng Hiện tại Snort có thể hiểu các giao thức:

IP

ICMP

TCP

UDP

Nếu có bất cứ dạng giao thức nào khác được sử dụng thì Snort sử dụng phần

mở đầu của giao thức IP để xác định dạng của giao thức Giao thức chỉ đóng vai trò trong việc xác định qui tắc trong phần mở đầu của rule Phần tùy chọn của rule có thể

có thêm các qui tắc không có liên quan đến giao thức được chỉ định Ví dụ, xét rule sau với giao thức là ICMP

Phần tùy chọn kiểm tra giá trị TTL (Time to live – Thời gian sống), điều không có trong phần mở đầu ICMP TTL là 1 phần của phần mở đầu của IP Điều này

có nghĩa là phần tùy chọn có thể kiểm tra các thông số trong trường giao thức khác Trường mở đầu cho giao thức chung

+ Địa chỉ: Có 2 phần địa chỉ trong rule của Snort Các địa chỉ được dùng để kiểm tra nguồn mà gói được khởi tạo lúc ban đầu và đích của gói Địa chỉ có thể là 1 địa chỉ IP đơn hay là 1 địa chỉ mạng Ta có thể sử dụng “any” để áp dụng rule cho tất

cả các địa chỉ

Địa chỉ được theo sau bởi ký tự “/” và số bit trong netmask Ví dụ: 192.168.2.0/24 tượng trưng cho lớp mạng C 192.168.2.0 với 24 bit trong mask của mạng Mask của mạng với 24 bit là 255.255.255.0

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu

GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

80 trong rule để phát hiện bất cứ ai muốn thâm nhập vào mạng Với cách này, Snort

sẽ áp dụng rule chỉ cho lưu lượng web server và không áp dụng cho bất kỳ gói TCP nào khác Viết 1 rule tốt sẽ cải thiện hiệu quả của IDS

- Tầm của các cổng: Ta cũng có thể dùng 1 phạm vi nhiều cổng thay vì 1 cổng Dùng dấu “:” để xác định phạm vi cổng, số cổng bắt đầu và số cổng kết thúc Ví

dụ như, rule sau sẽ tạo ra cảnh báo cho tất cả lưu lượng UDP tới từ cổng có số từ 1024 tới 2048 từ tất cả các host

- Cận trên và cận dưới: Trong khi liệt kê ra số các cổng, ta có thể chỉ dùng số bắt đầu hay là số kết thúc Ví dụ: tầm được xác định là :1024 bao gồm tất cả các cổng nhỏ hơn hay bằng 1024 Nếu tầm của port được chỉ định là 1000: sẽ bao gồm tất cả các cổng lớn hơn hay bằng 1000

- Ký hiệu phủ định: giống như là địa chỉ Ta có thể dùng “!” để loại trừ cổng

đó ra khỏi danh sách kiểm tra Ta có thể dùng dấu phẩy để dùng cho nhiều cổng

- Danh sách số các cổng đã được biết: là danh sách các số cổng đã được dùng cho nhiều ứng dụng:

+ Chiều: Xác định địa chỉ và số cổng của nguồn và đích trong rule

- “->” : số cổng hay địa chỉ nằm ở bên trái là nguồn, phần nằm ở bên phải là đích

- “<-“: số cổng hay địa chỉ nằm ở bên phải là nguồn, phần nằm ở bên trái là đích

- “<>”: rule sẽ được áp dụng cho các gói truyền theo cả 2 chiều

1.3.2) Các tùy chọn của rule:

Các tùy chọn rule theo sau phần mở đầu của rule và gắn với nó thành 1 cặp

Có thể có 1 hay là nhiều tùy chọn Nếu có nhiều tùy chọn thì các tùy chọn này sẽ thực hiện theo dạng AND logic.Hành động trong rule chỉ thực hiện khi tất cả các qui tắc trong phần tùy chọn đều thỏa Nhìn chung, 1 tùy chọn gồm 2 phần là từ khóa và đối ứng Ví dụ:

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu

GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

29

name: là tên được dùng cho việc phân loại Tên được dùng với từ khóa classtype trong các rule của Snort

Description: mô tả ngắn về dạng của lớp

Priority: là số chỉ ra độ ưu tiên mặc định của việc phân loại, có thể thay đổi được bằng cách dùng từ khóa priority trong các tùy chọn của rule

Xét 1 ví dụ như bên dưới:

config classification: DoS, Denial of service Attack, 3

Ta xét việc sử dụng sự phân loại này trong rule Rule sau đây sử dụng độ ưu tiên mặc định với phân loại DoS:

Sau đây sử dụng cùng 1 rule nhưng ta ghi đè độ ưu tiên được sử dụng cho sự phân loại

Sử dụng sự phân loại và độ ưu tiên cho các rule và cảnh báo, ta có thể phân biệt cảnh báo có độ ưu tiên cao và thấp

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu

GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

31

+ Từ khóa content:

1 đặc điểm quan trọng của Snort là nó có khả năng tìm chuỗi dữ liệu bên trong gói Chuỗi có thể ở dạng mã ASCII hay dữ liệu nhị phân trong dạng ký tự thập lục

phân Giống như virus, kẻ thâm nhập cũng có các dấu hiệu và từ khóa content được sử dụng để tìm dấu hiệu này trong các gói

Ví dụ như, rule sau phát hiện chuỗi “GET” trong phần dữ liệu của tất cả các gói TCP đi ra khỏi mạng 192.138.1.0 và tới 1 địa chỉ không thuộc mạng đó

Rule sau làm cùng 1 chức năng nhưng chuỗi được liệt kê dưới dạng thập lục phân

Trong ký tự thập lục phân, số 47 tương ứng với ký tự G trong mã ASCII, 45 tương đương với E và 54 tương đương T Khi sử dụng từ khóa content thì cần chú ý những điều sau:

- Phù hợp nội dung là quá trình xử lý rất đắt đỏ và ta nên cẩn thận trong việc

sử dụng quá nhiều rule cho việc phù hợp nội dung

- Nếu ta cung cấp nội dung là chuỗi ASCII, ta nên tránh dấu ngoặc kép, dấu hai chấm, dấu gạch

- Ta có thể sử dụng nhiều từ khóa nội dung trong 1 rule để tìm nhiều dấu hiệu trong gói dữ liệu

- Việc phù hợp nội dung là trường hợp nhạy cảm

Có 3 từ khóa khác được sử dụng với từ khóa nội dung Các từ khóa này thêm vào qui tắc trong khi tìm các chuỗi bên trong gói Đó là:

- Từ khóa offset : dùng để hạn chế việc tìm kiếm bên trong tầm hiện có của

- Từ khóa depth : gói dữ liệu

- Từ khóa nocase : tìm trường hợp không nhạy cảm

+ Từ khóa offset:

Dùng để tổng hợp với từ khóa content Sử dụng từ khóa này, ta có thể bắt đầu việc tìm kiếm offset hiện tại từ điểm bắt đầu của phần dữ liệu của gói Sử dụng con số như là đối ứng của từ khóa này

+ Từ khóa depth:

Dùng tổ hợp với từ khóa content để xác định giới hạn trên cho việc phù hợp chuỗi Sử dụng từ khóa depth ta có thể chỉ ra sự bù đắp từ lúc bắt đầu của phần dữ liệu Dữ liêu sau khi bù đắp không được kiểm tra sự phù hợp nữa Nếu ta sử dụng từ khóa offset và depth với tứ khóa content, ta có thể xác định tầm của dữ liệu bên trong chuỗi phù hợp nên thực hiện Rule sau đây là để tìm từ “HTTP” giữa ký tự thứ 4 và

40 của phần dữ liệu của gói TCP

Từ khóa thì rất quan trọng bởi vì ta có thể dùng nó để giới hạn việc tìm kiếm bên trong gói

+ Từ khóa content-list:

Từ khóa content-list được dùng với tên file Tên file, được dùng như là đối ứng của từ khóa này, là file dạng text chứa danh sách của chuỗi được tìm kiếm trong gói Từng chuỗi được đặt trong từng dòng riêng biệt của file Ví dụ, file có tên là

“porn” có thể chứa 3 dòng sau đây:

“porn”

“hardcore”

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu

GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

cờ này được liệt kê như bên dưới:

Ta cũng có thể dùng !, + và * giống như cờ bit trong header IP cho các phép toán luận lý AND, OR, NOT Rule sau đây phát hiện bất kỳ việc kiểm tra chuỗi nào bằng cách dùng gói SYN-FIN TCP

+ Từ khóa fragbits:

IP header chứa 3 cờ bit được dùng cho việc phân mảnh và tập hợp lại của gói

IP Các bit này được liệt kê như sau:

- Bit dự trữ (RB – Reserve Bit), dự trữ cho tương lai

- Bit không phân mảnh (DF – Don’t fragment ) Nếu bit này được thiết lập, nó chỉ ra rằng gói IP không nên bị phân chia

- Bit phân mảnh nhiều hơn (MF – More Fragments) Nếu bit này được thiết lập, nó chỉ ra rằng gói IP nên phân ra nhiều hơn nữa Nếu bit này không được thiết lập, nó chỉ ra đây là lần phân rã cuối cùng Host gởi phân rã gói IP ra thành nhiều gói nhỏ phụ thuộc vào kích thước gói tối đa có thể được truyền thông qua kênh truyền

trung bình Ví dụ, đơn vị truyền tối đa (Maximum Transfer Units – MTU) xác định chiều dài tối đa của gói trên đường truyền trong mạng Ethernet Bit này được dùng ở host đích để tổ hợp các mảnh IP lại

+ Từ khóa msg:

Dùng để thêm vào chuỗi ký tự cho logs và cảnh báo Ta có thể thêm vào thông điệp bên trong dấu ngoặc kép sau từ khóa Dạng chung của từ khóa này là:

msg: “Your message text here”

Nếu ta muốn thêm các ký tự đặc biệt, ta có thể thêm chúng vào sau ký tự “\” + Từ khóa resp:

Đây là từ khóa rất quan trọng Nó có thể được sử dụng để khóa các hoạt động của hacker bằng cách gời gói đáp ứng tới host gởi gói phù hợp với rule Từ khóa cũng được biết đến như là Flexible Response (Đáp ứng phù hợp) hay chỉ đơn giản là FlexResp và dựa trên FlexResp plug-in Plug-in nên được tích hợp trong Snort, bằng cách sử dụng tùy chọn ở dòng lệnh ( with-flexresp) trong đoạn script cấu hình Rule sau đây sẽ gởi gói TCP Reset tới người gởi ngay khi chuỗi tới TCP cổng 8080 trong mạng riêng được tạo ra

Ta có thể gởi nhiều gói đáp ứng tới người gởi hay người nhận bằng cách chỉ ra nhiều đáp ứng cho từ khóa resp Các đối ứng được chia ra bởi dấu phẩy Danh sách của các đối ứng có thể sử dụng từ khóa này được liệt kê như sau:

+ Từ khóa rev:

Dùng để thêm vào các tùy chọn của rule Snort để chỉ ra phiên bản của rule Nếu ta cập nhật rule, ta có thể sử dụng từ khóa này để phân biệt các phiên bản với nhau Module ngõ ra cũng có thể sử dụng số này để xác định phiên bản Rule sau đây chỉ ra phiên bản là 2 cho rule này:

+ Từ khóa sameip

Được dùng để kiểm tra nếu địa chỉ IP nguồn và đích là giống nhau trong gói

IP Nó không có đối ứng 1 vài người thử đánh lừa gói IP để lấy thông tin hay là tấn công server Rule sau đây có thể được sử dụng để phát hiện chuỗi này:

+ Từ khóa flow:

Luận văn thạc sĩ HVTH: Nguyễn Hoàng Châu GVHD: TS Nguyễn Minh Hoàng MSHV: 09140003

Từ khóa sid được dùng để thêm vào “Snort ID” cho rule Module ngõ ra hay

là bộ quét log có thể sử dụng SID để xác định rule Tầm SID dự trữ như sau:

- Tầm từ 0 – 99 được dự trữ cho tương lai

- Tầm 100 – 1,000,000 được dự trữ cho rule đến cùng với việc phân phối Snort

- Tất cả số lớn hơn 1,000,000 có thể được sử dụng cho luật riêng

Đối ứng của từ khóa này chỉ là con số Rule sau đây thêm vào SID bằng

1000001

Sử dụng SID, các công cụ giống như ACID có thể hiển thị rule hiện tại tạo ra cảnh báo riêng biệt

+ Từ khóa tag:

Từ khóa tag là 1 từ khóa quan trọng khác có thể được dùng để ghi lại những

dữ liệu thêm vào đến hay đi từ host của kẻ thâm nhập khi rule được thực thi Cấu trúc chung của từ khóa là

tag: <type>, <count>, <metric> [, direction]

Trong đó, các đối ứng có ý nghĩa như sau:

- Type: ta có thể sử dụng cả “session” và “host” như là đối ứng về dạng

Sử dụng session, các gói được ghi lại từ session riêng có sử dụng rule Sử dụng host, tất cả các gói từ host đều được ghi lại

- Count: chỉ ra số gói đã được ghi lại hay là số giây mà gói sẽ được ghi lại Sự phân biệt giữa 2 khái niệm này thì do đối ứng metric quyết định

- Metric: Ta có thể dùng “packets” hay là “seconds” với ý nghĩa đã nêu ở trên

- Direction: Đối ứng này là tùy chọn Ta có thể dùng “src” để ghi lại gói

từ nguồn hay là “dst” để ghi lại các gói từ đích

Rule sau đây ghi lại 100 gói trong session sau khi nó được gọi