TỔNG QUAN VỀ HỆ THỐNG IDS
Tổng quan
1.1.1 Sơ qua về tình hình an ninh mạng hiện nay
An ninh thông tin và an ninh mạng đang trở thành mối quan tâm hàng đầu không chỉ tại Việt Nam mà còn trên toàn cầu Sự phát triển nhanh chóng của Internet đã làm cho việc bảo vệ các hệ thống thông tin trở nên cần thiết hơn bao giờ hết.
Theo báo cáo ISTR thứ 14 của Symantec, các cuộc tấn công mạng toàn cầu đang gia tăng với mức độ kỷ lục, tập trung chủ yếu vào việc đánh cắp thông tin quan trọng từ máy tính của người dùng.
Symantec đã phát triển hơn 1,6 triệu mẫu chữ ký cho các loại mã độc mới mỗi năm, chiếm hơn 60% tổng số mẫu chữ ký mà họ đã tạo ra từ trước đến nay Điều này phản ánh sự gia tăng mạnh mẽ về số lượng và sự đa dạng của các mối đe dọa an ninh mạng hiện nay.
X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare Điển hình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC của Microsoft.
Trong quá trình thực hiện đề tài, tôi hy vọng sẽ nắm bắt được những điểm quan trọng của hệ thống phát hiện xâm nhập trái phép IDS, đặc biệt là công cụ SNORT Tôi mong muốn thu thập được nhiều kiến thức, kỹ năng và kinh nghiệm quý giá trong lĩnh vực bảo mật hiện nay, đồng thời hiểu rõ các yếu tố nền tảng để phát triển hệ thống bảo mật hiệu quả.
1.1.3 Phạm vi và phương pháp nghiên cứu
Nghiên cứu và triển khai các giải pháp phát hiện sớm cùng với việc ngăn chặn sự thâm nhập trái phép vào hệ thống mạng hiện nay là một vấn đề cấp bách và quan trọng Sự gia tăng quy mô và độ phức tạp của các cuộc tấn công mạng đòi hỏi một cách tiếp cận hiệu quả đối với hệ thống bảo mật mạng.
Nghiên cứu về hệ thống phát hiện xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT
Nghiên cứu về cài đặt và cấu hình SNORT
Giới thiệu tổng quan về hệ thống IDS
Khái niệm phát hiện xâm nhập (IDS) được giới thiệu bởi James Anderson cách đây khoảng 25 năm, nhằm mục đích phát hiện và phân tích các hành vi bất thường của người dùng trong mạng Hệ thống này giúp phát hiện lạm dụng đặc quyền và giám sát tài sản hệ thống mạng Nghiên cứu về IDS đã chính thức bắt đầu từ năm 1983 đến 1988, trước khi được triển khai trong mạng máy tính của không lực Hoa Kỳ.
Cho đến năm 1996, khái niệm hệ thống phát hiện xâm nhập (IDS) vẫn chưa phổ biến, chủ yếu chỉ xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy nhiên, sự phát triển của công nghệ thông tin đã dẫn đến sự xuất hiện của một số công nghệ IDS Đến năm 1997, IDS bắt đầu được biết đến rộng rãi và mang lại lợi nhuận, với công ty ISS dẫn đầu trong lĩnh vực này Năm sau, Cisco nhận ra tầm quan trọng của IDS và đã mua lại công ty cung cấp giải pháp IDS có tên là Wheel.
Hệ thống phát hiện xâm nhập (IDS) là công cụ giám sát mạng, phân tích để phát hiện các vi phạm quy định bảo mật máy tính, chính sách sử dụng và tiêu chuẩn an toàn thông tin Những vi phạm này có thể do nhiều nguyên nhân, bao gồm lây nhiễm phần mềm độc hại, xâm nhập trái phép từ hacker và người dùng cuối truy cập vào tài nguyên không được phép.
An Intrusion Prevention System (IPS) combines Intrusion Detection (ID) capabilities with the ability to block unauthorized access, integrating with other components such as Antivirus and Firewall for enhanced security.
Hình 1.1 : Các vị trí đặt IDS trong mạng
Chức năng
1.3.1 Các ứng dụng cơ bản
Nhận diện các nguy cơ tiềm ẩn là bước đầu tiên trong việc bảo vệ hệ thống Ghi nhận thông tin và log là cần thiết để kiểm soát các nguy cơ này Đồng thời, việc thăm dò hệ thống giúp xác định các hoạt động đáng ngờ Cần nhận diện các khuyết điểm trong chính sách bảo mật hiện tại để có biện pháp khắc phục Cuối cùng, ngăn chặn vi phạm chính sách bảo mật là mục tiêu quan trọng để đảm bảo an toàn thông tin.
Lưu trữ thông tin liên quan đến đối tượng giám sát, cung cấp cảnh báo về các sự kiện quan trọng, ngăn chặn các cuộc tấn công và xuất báo cáo là những chức năng thiết yếu trong việc quản lý an ninh.
Cấu trúc và kiến trúc
-Các thành phần cơ bản
Cảm biến và tác nhân đóng vai trò quan trọng trong việc giám sát và phân tích các hoạt động an ninh mạng "Cảm biến" thường được sử dụng cho hệ thống IDS/IPS dựa trên mạng, trong khi "Tác nhân" thường áp dụng cho hệ thống IDS/IPS dựa trên máy chủ.
Máy chủ quản lý (Management Server) là thiết bị trung tâm thu thập và quản lý thông tin từ các cảm biến (Sensor) và đại lý (Agent) Một số máy chủ quản lý có khả năng phân tích thông tin sự kiện từ các cảm biến/đại lý, giúp nhận diện các sự kiện mà các cảm biến/đại lý đơn lẻ không thể phát hiện Máy chủ cơ sở dữ liệu (Database Server) được sử dụng để lưu trữ thông tin từ cảm biến, đại lý và máy chủ quản lý Giao diện điều khiển (Console) là chương trình cung cấp giao diện cho người dùng và quản trị viên của IDS/IPS.
Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.
Cảm biến (Sensor) đóng vai trò quan trọng trong hệ thống IDS/IPS, chịu trách nhiệm phát hiện các xâm nhập thông qua các cơ cấu ra quyết định Nó thu thập dữ liệu thô từ ba nguồn thông tin chính: kiến thức cơ bản (knowledge base) của IDS, syslog và audit trail, tạo nền tảng cho quá trình ra quyết định về các mối đe dọa.
Cảm biến được tích hợp với các thành phần thu thập dữ liệu, gọi là event generator, giúp xác định chế độ lọc thông tin dựa trên các chính sách tạo sự kiện Các event generator như hệ điều hành, mạng và ứng dụng tạo ra một chính sách nhất quán cho các sự kiện, bao gồm log, audit hoặc các gói tin hệ thống Thông tin chính sách này có thể được lưu trữ trong hệ thống bảo vệ hoặc bên ngoài, và trong một số trường hợp, dữ liệu sẽ được chuyển trực tiếp đến các phân tích mà không cần lưu trữ.
(thông thường áp dụng với các gói packet).
Hệ thống IDS/IPS có thể được triển khai theo hai hướng: tập trung và phân tán Triển khai tập trung tích hợp IDS/IPS với các thành phần an ninh khác như firewall, trong khi triển khai phân tán (distributed IDS) bao gồm nhiều hệ IDS/IPS kết nối trong một mạng lớn, nhằm nâng cao khả năng nhận diện xâm nhập chính xác và phản ứng kịp thời.
Sự khác nhau giữa IDS và IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và
Hệ thống IDS (Intrusion Detection System) được thiết kế để phát hiện và cảnh báo các nguy cơ xâm nhập vào mạng máy tính, trong khi hệ thống IPS (Intrusion Prevention System) không chỉ phát hiện mà còn có khả năng tự động phản ứng để ngăn chặn các mối đe dọa theo các quy định đã được người quản trị thiết lập.
Mặc dù có sự khác biệt giữa IDS và IPS, nhưng thực tế sự phân biệt này không hoàn toàn rõ ràng Một số hệ thống IDS được trang bị chức năng ngăn chặn như một tùy chọn, trong khi một số hệ thống IPS lại không cung cấp đầy đủ các chức năng phòng chống đúng nghĩa.
Khi lựa chọn giữa IDS và IPS, quyết định phụ thuộc vào quy mô và tính chất của mạng cũng như chính sách an ninh của quản trị viên Đối với mạng nhỏ với một máy chủ an ninh, IPS thường được ưu tiên hơn nhờ khả năng phát hiện, cảnh báo và ngăn chặn Ngược lại, trong các mạng lớn, chức năng ngăn chặn thường được giao cho firewall chuyên dụng, trong khi hệ thống cảnh báo chỉ cần theo dõi và gửi thông báo đến hệ thống ngăn chặn khác Sự phân chia này giúp nâng cao tính linh động và hiệu quả trong việc đảm bảo an ninh mạng.
Phân loại
Công cụ này thường được sử dụng để giám sát và phân tích hoạt động của hệ thống mạng trong một phân đoạn cụ thể Nó giúp phân tích mạng và các giao thức ứng dụng, từ đó nhận diện các hoạt động khả nghi Thường được triển khai tại các biên mạng để đảm bảo an toàn và bảo mật cho hệ thống.
Hệ thống NIDS/IPS thường được triển khai trong một mạng con riêng để quản trị hệ thống Nếu không có mạng quản trị riêng, việc sử dụng mạng riêng ảo (VLAN) là cần thiết để bảo vệ các kết nối giữa các hệ thống NIDS/IPS.
Việc lựa chọn vị trí lắp đặt cho các Sensor trong hệ thống NIDS/IPS là yếu tố quan trọng, ảnh hưởng trực tiếp đến khả năng phát hiện của hệ thống Các Sensor trong NIDS/IPS thường tồn tại dưới hai dạng chính: tích hợp phần cứng (appliance-based) và phần mềm.
Người ta thường sử dụng 2 kiểu triển khai sau:
Sensor thẳng hàng được đặt để giám sát lưu lượng mạng đi qua, tương tự như firewall Một số sensor này hoạt động như sự kết hợp giữa firewall và NIDS/IPS, trong khi một số khác là NIDS thuần túy Mục đích chính của việc triển khai sensor thẳng hàng là để ngăn chặn các tấn công bằng cách chặn lưu lượng mạng Chúng thường được đặt tại vị trí tương tự như firewall và các thiết bị bảo mật khác, tại ranh giới giữa các mạng Ngoài ra, sensor thẳng hàng cũng có thể được triển khai ở các khu vực mạng kém bảo mật hơn hoặc trước các thiết bị bảo mật để bảo vệ và giảm tải cho các thiết bị này.
Cảm biến kiểu thụ động được sử dụng để giám sát bản sao lưu lượng mạng, thường được triển khai tại các vị trí quan trọng như ranh giới giữa các mạng hoặc các đoạn mạng thiết yếu như Server farm và DMZ Các cảm biến này có khả năng theo dõi lưu lượng mạng thông qua nhiều phương pháp khác nhau, bao gồm Spanning port (hoặc Mirror port), Network tap và IDS loadbalancer.
Hệthống NIDS/IPS cung cấp các khả năng về bảo mật sau:
-Khả năng thu thập thông tin
+Nhận dạng hệ điều hành
+Nhận dạng đặc điểm mạng
+Hoạt động thăm dò và tấn công trên các lớp ứng dụng,vận chuyển và ạng +Các dịch vụ ứng dụng không mong đợi ( unexpected application services)
+Kiểu thụ động: ngắt phiên TCP hiện tại
+Kiểu thẳng hàng: thực hiện tác vụ firewall thẳng hàng, điều tiết băng thông sử dụng, loại bỏ các nội dung gây hại
Chức năng ngăn chặn không chỉ giúp bảo vệ hệ thống mà còn cho phép thay đổi cấu hình của một số thiết bị bảo mật, đồng thời thực thi các ứng dụng thứ ba hoặc các script.
Khi triển khai hệ thống NIDS/IPS, cần chú ý sử dụng chế độ ẩn (Stealth mode) cho các Sensor, trong đó các interface không được gán địa chỉ IP để ngăn chặn việc phát hiện từ kẻ tấn công Hệ thống NIDS/IPS có điểm yếu là dễ bị ảnh hưởng bởi các cuộc tấn công có lưu lượng mạng lớn và kiến trúc điểm đơn thất bại khi triển khai Sensor theo kiểu thẳng hàng.
NIDS/IPS thường được triển khai tại biên mạng để phát hiện và ngăn chặn các tấn công mạng Đối với các máy chủ và máy client quan trọng, việc bổ sung HIDS là cần thiết nhằm nâng cao khả năng bảo mật, đặc biệt khi kết hợp với hệ thống NIDS.
Các sản phẩm đại diện : Snort, ISS, Juniper IDS, Tipping Point IDS, Trustware ipAgent, Cisco IPS, Reflex Security.
1.6.2 Host based IDS – HIDS Được triển khai trên từng host,thông thường là 1 software hoặc 1 agent, mục tiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện các hoạt động khả nghi Host-based IDS/IPS thường được triển khai trên các host có tính chất quan trọng ( public servers, sensitive data servers ), hoặc 1 dịch vụ quan trọng ( trường hợp đặc biệt này được gọi là application-basedIDS/IPS)
Quá trình triển khai agent HIDS/IPS thường đơn giản vì chúng là phần mềm cài đặt trực tiếp lên host Các agent dựa trên ứng dụng thường được triển khai ngay trước host mà chúng bảo vệ Một yếu tố quan trọng khi triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent trực tiếp lên host hoặc sử dụng thiết bị dựa trên agent.
Việc cài đặt agent lên host được khuyến khích để phát hiện và ngăn chặn xâm nhập hiệu quả hơn, vì agent tương tác trực tiếp với các đặc tính của host Tuy nhiên, agent thường chỉ tương thích với một số hệ điều hành nhất định, do đó, người ta thường sử dụng thiết bị Bên cạnh đó, việc cài đặt agent lên host có thể ảnh hưởng đến hiệu suất của hệ thống.
Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau:
+Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện)
+Phân tích và lọc lưu lượng mạng
+Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file )
+Giám sát cấu hình mạng
+Phân tích mã: ngăn chặn thực thi mã độc
+Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặn các dịch vụ hoặc giao thức không được phép
Giám sát filesystem: ngăn chặn việc truy cập, thay đổi filesystem
-Các khả năng bảo vệ khác: ngăn chặn truy cập đến các removeable-media, củng cố bảo mật cho host, giám sát trạng thái các tiến trình…
Các sản phẩm đại diện: Tripware, OSSEC, BroIDS, ISS, Samhain, Prelude -
Wireless IDS/IPS thường được triển khai trong khu vực phủ sóng wireless để giám sát và phân tích các giao thức không dây, nhằm phát hiện các hoạt động khả nghi Điểm khác biệt chính giữa NIDS/IPS và Wireless IDS/IPS là NIDS/IPS có khả năng giám sát toàn bộ các gói tin trong mạng, trong khi Wireless IDS/IPS chỉ giám sát bằng cách lấy mẫu lưu lượng mạng.
Hệ thống Wireless IDS/IPS sử dụng kỹ thuật quét kênh để thường xuyên thay đổi kênh giám sát, nhằm nâng cao hiệu quả giám sát Để tối ưu hóa khả năng giám sát, các cảm biến có thể được trang bị nhiều ăng-ten thu phát công suất cao.
Wireless Sensor thường gặp dưới 3 hình thức là :
Hệ thống thường hoạt động ở chế độ thụ động, giám sát tần số phát sóng (radio frequency monitoring mode), và được triển khai dưới hai hình thức: cố định (thiết bị) và di động (phần mềm hoặc thiết bị).
-Tích hợp trong Access Point
-Tích hợp trong Wireless switch
Vị trí triển khai Wireless IDS/IPS là một yếu tố quan trọng và khác biệt so với các loại Sensor trong hệ thống NIDS/IPS hay HIDS/IPS do đặc thù của mạng Wireless Thông thường, Wireless IDS/IPS được đặt tại các khu vực mở như khu vực khách hay công cộng, nhằm giám sát toàn bộ vùng sóng của mạng Wireless Ngoài ra, chúng cũng có thể được triển khai để theo dõi trên một số băng tần và kênh xác định.
Hệ thống NIDS/IPS cung cấp các khả năng về bảo mật sau:
-Khả năng thu thập thông tin
Nhận diện thiết bị Wireless
+Nhận diện các mạng và thiết bị Wireless trái phép
+Nhận diện các thiết bị Wireless kém bảo mật
+Nhận diện các mẫu sử dụng bất thường
+Nhận diện các hoạt động của wireless scanner
+Nhận diện các tấn công từ chối dịch vụ DoS qua cơ chế phân tích trạng thái giao
+Thức ( Stateful protocol analysis ) và nhận diện bất thường ( Abnormaly detection)
+Nhận diện các tấn công đóng giả và Man-in-the-Middle
Cơ chế hoạt động của hệ thống IDS/IPS
Có hai phương pháp chính trong việc phát hiện và ngăn chặn xâm nhập: mô hình phát hiện lạm dụng (Misuse Detection Model) và hệ thống này hoạt động bằng cách nhận diện các hành động liên quan đến kỹ thuật xâm nhập đã được biết đến, dựa trên các dấu hiệu (signatures) hoặc các lỗ hổng của hệ thống.
Mô hình phát hiện sự bất thường (Anomaly Detection Model) giúp hệ thống nhận diện các xâm nhập bằng cách theo dõi và phân tích các hành động khác biệt so với hành vi thông thường của người dùng hoặc hệ thống.
1.7.1 phát hiện sự lạm dụng
Phát hiện sự lạm dụng liên quan đến việc nhận diện các kẻ xâm nhập đang cố gắng đột nhập vào hệ thống bằng cách sử dụng các kỹ thuật đã biết Quá trình này bao gồm việc mô tả các mẫu xâm nhập đã được xác định, mà hệ thống chỉ thực hiện kiểm soát đối với những mẫu rõ ràng Mẫu có thể là một chuỗi bit cố định, như virus, để mô tả các hành động đáng ngờ Thuật ngữ "kịch bản xâm nhập" được sử dụng để chỉ các tình huống xâm nhập cụ thể Hệ thống phát hiện sự lạm dụng sẽ liên tục so sánh hành động hiện tại của hệ thống với các kịch bản xâm nhập để phát hiện các hoạt động đáng ngờ đang diễn ra.
Hệ thống này có khả năng theo dõi hành động của hệ thống được bảo vệ trong thời gian thực hoặc phân tích các bản ghi kiểm tra do hệ điều hành ghi lại.
Các kỹ thuật phát hiện lạm dụng mô hình hóa hành vi xâm nhập khác nhau, với hệ thống thế hệ đầu tiên sử dụng luật để mô tả những gì mà các nhà quản trị an ninh tìm kiếm Tuy nhiên, lượng lớn tập luật tích lũy gây khó khăn trong việc hiểu và sửa đổi Để khắc phục, hệ thống thế hệ thứ hai áp dụng biểu diễn kịch bản xen kẽ, bao gồm tổ chức luật dựa trên mô hình và biểu diễn phép biến đổi trạng thái, giúp người dùng dễ dàng hiểu rõ hơn về các kịch bản Hệ thống cần được duy trì và cập nhật thường xuyên để đối phó với các kịch bản xâm nhập mới.
Hệ thống phát hiện sự lạm dụng dựa vào các kịch bản xâm nhập được xác định chính xác để theo dõi hành động xâm nhập Trong chuỗi hành động, hệ thống có khả năng dự đoán bước tiếp theo của kẻ xâm nhập Bộ dò tìm sẽ phân tích thông tin hệ thống để kiểm tra hành động tiếp theo và can thiệp kịp thời nhằm giảm thiểu tác hại có thể xảy ra.
1.7.2 phát hiện sự bất thường
Dựa trên việc xác định và mô tả các hành vi chấp nhận được của hệ thống, chúng ta có thể phân biệt chúng với các hành vi không mong muốn hoặc bất thường, từ đó phát hiện các thay đổi và hành vi bất hợp pháp.
Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất thường.
Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được xác định rõ ràng với chỉ một bit khác biệt, trong khi đó, việc phân biệt giữa hành vi hợp lệ và hành vi bất thường lại phức tạp hơn.
Phát hiện sự không bình thường được chia thành hai loại tĩnh và động
Dựa trên giả thiết rằng hệ thống kiểm soát phải luôn ổn định, bài viết chỉ tập trung vào phần mềm của vùng hệ thống, giả định rằng phần cứng không cần kiểm tra Phần tĩnh của hệ thống bao gồm mã hệ thống và dữ liệu, cả hai đều được biểu diễn dưới dạng xâu bit nhị phân hoặc tập hợp các xâu Nếu có sự khác biệt so với dạng thức gốc, điều này có thể chỉ ra lỗi hoặc sự can thiệp của kẻ xâm nhập Trong trường hợp này, bộ phát hiện tĩnh sẽ được kích hoạt để kiểm tra tính toàn vẹn của dữ liệu.
Bộ phát hiện tĩnh cung cấp một hoặc nhiều xâu bit cố định để xác định trạng thái mong muốn của hệ thống, giúp tạo ra một biểu diễn trạng thái có thể nén Sau đó, nó so sánh biểu diễn trạng thái này với một biểu diễn tương tự được tính toán từ trạng thái hiện tại của cùng xâu bit Mọi sự khác biệt giữa hai biểu diễn này đều chỉ ra lỗi, có thể là do hỏng phần cứng hoặc xâm nhập.
Biểu diễn trạng thái tĩnh có thể sử dụng các xâu bit để định nghĩa trạng thái hệ thống, nhưng điều này tốn kém về lưu trữ và so sánh Để giảm chi phí, chúng ta nên sử dụng biểu diễn nén, tập trung vào việc phát hiện sự khác biệt để cảnh báo xâm nhập Giá trị tóm tắt được tính từ xâu bit cơ sở cần đảm bảo sự khác biệt giữa các xâu bit khác nhau Các thuật toán như checksums, message-digest và hàm băm có thể được áp dụng để thực hiện phép tính này.
Một số bộ phát hiện xâm nhập kết hợp với meta-data, tức là dữ liệu mô tả các đối tượng dữ liệu, hoặc thông tin về cấu trúc của đối tượng được kiểm tra Chẳng hạn, meta-data của một log file bao gồm kích cỡ của nó; nếu kích cỡ này tăng lên, điều đó có thể là một dấu hiệu cho thấy có sự xâm nhập.
Hành vi của hệ thống được định nghĩa là chuỗi các sự kiện phân biệt, trong đó nhiều hệ thống phát hiện xâm nhập sử dụng bản ghi kiểm tra do hệ điều hành sinh ra để xác định các sự kiện liên quan Chỉ những hành vi dẫn đến việc tạo ra các bản ghi kiểm tra mới được xem xét trong trường hợp này.
Các sự kiện có thể diễn ra theo trật tự nghiêm ngặt hoặc linh hoạt, và thông tin cần được tích lũy Các ngưỡng được xác định để phân biệt giữa việc sử dụng tài nguyên một cách hợp lý và bất thường.
Hệ thống có thể xác định hành vi bất thường dựa vào các tham số đã được thiết lập trong quá trình khởi tạo Tuy nhiên, do ranh giới không rõ ràng, điều này có thể dẫn đến việc phát sinh cảnh báo sai.
NGHIÊN CỨU ỨNG DỤNG IDS SNORT
Giới thiệu về snort
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở, được phát triển bởi Martin Roesh Mặc dù miễn phí, Snort sở hữu nhiều tính năng vượt trội mà không phải sản phẩm thương mại nào cũng có Với kiến trúc module, người dùng có thể dễ dàng nâng cấp hệ thống bằng cách cài đặt hoặc phát triển các module mới Cơ sở dữ liệu luật của Snort hiện đã có tới 2930 luật và được cập nhật liên tục bởi cộng đồng người dùng Snort tương thích với nhiều hệ điều hành, bao gồm Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX và MacOS.
Snort không chỉ hoạt động như một ứng dụng thu thập gói tin thông thường, mà còn có thể được cấu hình để hoạt động như một Hệ thống phát hiện xâm nhập mạng (NIDS) Snort hỗ trợ nhiều giao thức mạng, bao gồm Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP và PF của OpenBSD.
Các yêu cầu đối với hệ thống Snort
Để bảo vệ hệ thống hiệu quả, qui mô mạng càng lớn thì yêu cầu về máy móc càng cao, chẳng hạn như các cảm biến Snort Snort cần được tối ưu để theo kịp với quy mô mạng, đảm bảo có đủ không gian lưu trữ cho các cảnh báo và sở hữu bộ xử lý nhanh, mạnh mẽ nhằm xử lý lưu lượng mạng lớn.
- Phần cứng máy tính: Yêu cầu phần cứng đóng một vai trò thiết yếu trong việc thiết kế một hệ thống an ninh tốt.
Snort is a versatile intrusion detection system that operates on various operating systems, including Linux, FreeBSD, NetBSD, OpenBSD, and Windows It also supports additional platforms such as Sparc-Solaris architecture, MacOS X, MkLinux, and PA-RISC HP UX, making it a flexible choice for diverse environments.
Vị trí của Snort trong hệ thống mạng
Hình 2.1 Snort-sensor đặt giữa Router và Firewall.
Hình 2.2 : Snort-sensor đặt trong vùng DMZ
Hình 2.3: snort-sensor đặt sau Firewall
Kiến trúc của snort
Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Các phần chính đó là:
- Module giải mã gói tin (Packet Decoder)
- Module tiền xử lý (Preprocessors)
- Module phát hiện (Detection Engine)
- Module log và cảnh báo (Logging and Alerting System)
- Module kết xuất thông tin (Output Module)
- Kiến trúc của Snort được mô tả trong hình sau:
Hình 2.4 : Mô hình kiến trúc hệ thống Snort
Khi Snort hoạt động, nó lắng nghe và thu thập tất cả các gói tin di chuyển qua nó Các gói tin này được chuyển đến Module Giải mã gói tin, sau đó tiếp tục vào Module Tiền xử lý và Module Phát hiện Tùy thuộc vào việc có phát hiện xâm nhập hay không, gói tin có thể bị bỏ qua để tiếp tục lưu thông hoặc được đưa vào Module Log và cảnh báo để xử lý Khi các cảnh báo được xác định, Module Kết xuất thông tin sẽ đưa ra các cảnh báo theo định dạng mong muốn Bài viết sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.
2.4.1 Module giải mã gói tin
Snort sử dụng thư viện pcap để giám sát và bắt tất cả các gói tin trên mạng trong hệ thống Hình ảnh minh họa cách một gói tin Ethernet được giải mã.
Hình 2.5: Xử lý một gói tin Ethernet
Sau khi gói tin được giải mã, nó sẽ được chuyển đến Module tiền xử lý Hệ thống này có nhiệm vụ phân tích gói dữ liệu thô từ mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớp ứng dụng, để làm đầu vào cho hệ thống engine phát hiện.
Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớpApplication theo thứ tự của Protocol Stack.
Module tiền xử lý đóng vai trò quan trọng trong hệ thống IDS, giúp chuẩn bị gói dữ liệu cho Module Phát hiện phân tích Ba nhiệm vụ chính của Module này bao gồm: chuẩn hóa dữ liệu, loại bỏ dữ liệu không cần thiết và cải thiện chất lượng dữ liệu để nâng cao hiệu quả phát hiện.
Khi gửi một lượng dữ liệu lớn, thông tin sẽ được phân mảnh thành nhiều gói tin để gửi đi Snort cần ghép nối các gói tin này để khôi phục dữ liệu nguyên dạng, từ đó thực hiện các xử lý tiếp theo Trong một phiên làm việc, nhiều gói tin được trao đổi, và một gói tin đơn lẻ không có trạng thái, dẫn đến việc phát hiện xâm nhập không hiệu quả Module tiền xử lý stream giúp Snort hiểu các phiên làm việc khác nhau, mang lại tính có trạng thái cho các gói tin, từ đó nâng cao hiệu quả phát hiện xâm nhập.
Giải mã và chuẩn hóa giao thức là công việc quan trọng trong việc phát hiện xâm nhập, tuy nhiên, nó thường gặp khó khăn khi kiểm tra các giao thức với dữ liệu có thể ở nhiều dạng khác nhau Chẳng hạn, một web server có thể chấp nhận nhiều định dạng URL, bao gồm cả mã hexa/Unicode, và cho phép sử dụng dấu \ hoặc / hoặc nhiều ký tự này liên tiếp Điều này tạo điều kiện cho kẻ tấn công vượt qua các dấu hiệu nhận dạng như “scripts/iisadmin” bằng cách tùy biến các yêu cầu gửi đến web server.
Snort cần mã hóa các chuỗi dữ liệu theo cách khác để tránh bỏ sót các hành vi xâm nhập Nếu chỉ thực hiện so sánh đơn thuần với dấu hiệu nhận dạng, Snort sẽ không phát hiện được tất cả các hành vi xâm nhập Do đó, một số Module tiền xử lý của Snort có nhiệm vụ giải mã, chỉnh sửa và sắp xếp lại thông tin đầu vào, đảm bảo rằng thông tin được đưa đến Module phát hiện có thể được nhận diện chính xác.
Snort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức: telnet, http, rpc, arp.
Các plugin tiền xử lý xâm nhập bất thường (nonrule/anormal) giúp phát hiện các xâm nhập khó nhận diện bằng luật thông thường Chúng tăng cường tính năng cho Snort bằng cách cho phép phát hiện xâm nhập theo nhiều phương pháp khác nhau Ví dụ, một plugin có thể thống kê thông lượng mạng trong điều kiện bình thường để phát hiện và cảnh báo khi có bất thường xảy ra Snort hiện tại đi kèm hai plugin quan trọng là portscan, cảnh báo khi kẻ tấn công quét cổng tìm lỗ hổng, và bo (backoffice), cảnh báo khi hệ thống bị nhiễm trojan backoffice và kẻ tấn công kết nối từ xa để thực hiện lệnh.
2.4.3 Module phát hiện Đây là Module quan trọng nhất của Snort.Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập.Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không Rồi tiếp theo mới có thể thực hiện một số công việc như ghi log, tạo thông báo và kết xuất thông tin.
Một vấn đề quan trọng trong Module phát hiện là thời gian xử lý gói tin, khi mà một IDS phải xử lý nhiều gói tin và luật xử lý khác nhau Thời gian xử lý có thể khác nhau tùy thuộc vào mức độ tải trên mạng, số lượng luật và tốc độ của hệ thống chạy Snort Khi thông lượng mạng quá lớn, có thể xảy ra tình trạng bỏ sót hoặc phản hồi không kịp thời Khả năng xử lý của Module phát hiện phụ thuộc vào cấu hình máy tính và số lượng bộ vi xử lý, cho phép hoạt động hiệu quả trên các mạng cỡ Giga.
Một module phát hiện có khả năng tách các phần của gói tin và áp dụng các quy tắc lên từng phần đó Các phần này có thể bao gồm nhiều thành phần khác nhau trong gói tin.
- Header ở tầng giao vận: TCP, UDP
- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, …
- Phần tải của gói tin (bạn cũng có thể áp dụng các luật lên các phần dữ liệu được truyền đi của gói tin)
Một thách thức trong Module phát hiện là cách xử lý khi một gói tin bị phát hiện bởi nhiều luật khác nhau Do các luật trong Snort được sắp xếp theo thứ tự ưu tiên, khi một gói tin bị phát hiện bởi nhiều luật, cảnh báo sẽ được đưa ra dựa trên luật có mức ưu tiên cao nhất.
2.4.4 Module log và cảnh báo
Module Phát hiện có khả năng xác định xâm nhập sẽ quyết định xem gói tin có bị ghi log hay không, đồng thời có thể phát ra cảnh báo Các file log là các tập tin văn bản chứa dữ liệu, có thể được lưu trữ dưới nhiều định dạng khác nhau, ví dụ như tcpdump.
Hình 2.6: Module log và cảnh báo
2.4.5 Module kết xuất thông tin
Module này cho phép thực hiện nhiều thao tác khác nhau tùy thuộc vào cách bạn muốn lưu kết quả Dựa vào cấu hình hệ thống, nó có thể thực hiện các công việc đa dạng.
- Ghi syslog: syslog và một chuẩn lưu trữ các file log được sử dụng rất nhiều trên các hệ thống Unix, Linux.
- Ghi cảnh báo vào cơ sở dữ liệu.
- Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việc trao đổi và chia sẻ dữ liệu.
- Cấu hình lại Router, firewall.
Gửi cảnh báo qua giao thức SNMP giúp quản lý hệ thống IDS một cách tập trung và hiệu quả Các gói tin SNMP sẽ được chuyển tới một máy chủ SNMP, từ đó hỗ trợ việc theo dõi và xử lý các cảnh báo một cách thuận tiện hơn.
Các chế độ thực thi của Snort
2.5.1 Sniff mode Ở chế độ này, Snort hoạt động như một chương trình thu thập và phân tích gói tin thông thường Không cần sử dụng file cấu hình, các thông tin Snort sẽ thu được khi hoạt động ở chế độ này:
- Transport layer protocol used in this packet.
- Time to live or TTL value in this packet.
- Type of service or TOS value.
- Don’t fragment or DF bit is set in IP header.
- Two TCP flags A and P are on.
- Acknowledgement number in TCP header.
Khi Snort hoạt động ở chế độ này, nó thu thập tất cả các gói tin (packet) và lưu trữ chúng vào log theo cấu trúc phân tầng, tạo ra một thư mục mới cho mỗi địa chỉ mà nó phát hiện Dữ liệu trong các thư mục này phụ thuộc vào địa chỉ tương ứng Snort lưu các gói tin dưới dạng file ASCII, với tên file liên quan đến giao thức và cổng sử dụng, giúp người dùng dễ dàng nhận diện ai đang kết nối vào mạng và các giao thức, cổng nào đang được sử dụng Để xem danh sách các thư mục, chỉ cần sử dụng lệnh ls -R.
Sự phân cấp này dẫn đến việc tạo ra nhiều thư mục trong giờ cao điểm, gây khó khăn trong việc xem xét toàn bộ thư mục và tệp Việc sử dụng quét toàn bộ với 65536 cổng TCP và 65535 cổng UDP có thể tạo ra khoảng 131000 tệp.
Sử dụng định dạng nhị phân để ghi lại tất cả dữ liệu mà Snort có thể đọc được giúp tăng cường khả năng bắt gói tin của nó Hầu hết các hệ thống có thể ghi lại và capture dữ liệu với tốc độ lên đến 100Mbps mà không gặp khó khăn Để ghi lại gói tin ở chế độ nhị phân, bạn cần sử dụng cờ -b.
#Snort -b -l /usr/local/log/Snort/temp.log
Khi đã capture, ta có thể đọc lại file mới vừa tạo ra ngay với cỡ -r và phần hiển thị giống như ở mode sniffer:
Snort -r /usr/local/log/Snort/temp.log cho phép phân tích các file binary mà không bị giới hạn trong chế độ sniffer Chúng ta có thể sử dụng Snort ở chế độ NIDS bằng cách thiết lập các quy tắc hoặc bộ lọc để phát hiện lưu lượng mạng nghi ngờ.
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) hiệu quả, nhẹ và nhanh chóng, sử dụng các quy tắc để phân tích gói tin Khi phát hiện dấu hiệu tấn công, Snort sẽ ghi lại và tạo thông báo Để sử dụng ở chế độ này, cần khai báo file cấu hình cho Snort Thông tin về các thông báo khi Snort hoạt động trong chế độ NIDS rất quan trọng.
- Fast mode: Date and time, Alert message, Source and destination IP address, Source and destination ports, Type of packet.
The full mode encompasses essential information, including the fast mode, as well as additional details such as TTL value, TOS value, packet header length, total packet length, packet type, packet code, packet ID, and sequence number.
Bộ luật của snort
Giống như virus, các hoạt động tấn công có những dấu hiệu riêng biệt, thông tin về chúng được sử dụng để xây dựng các luật cho Snort Các bẫy (honey pots) được thiết lập nhằm tìm hiểu hành vi của kẻ tấn công và công nghệ chúng sử dụng Đồng thời, có cơ sở dữ liệu về các lỗ hổng bảo mật mà kẻ tấn công muốn khai thác Những dạng tấn công đã biết này trở thành dấu hiệu để phát hiện xâm nhập, xuất hiện trong phần header hoặc nội dung của gói tin Hệ thống phát hiện của Snort hoạt động dựa trên các luật, được xây dựng từ những dấu hiệu nhận dạng tấn công và có thể áp dụng cho mọi phần của gói tin dữ liệu.
Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một thông điệp hay có thể bỏ qua một gói tin.
2.6.2 Cấu trúc luật của Snort
Hãy xem xét một ví dụ đơn giản : alert tcp 192.168.2.0/24 23 -> any any (content:”confidential”; msg: “Detected confidential”)
Ta thấy cấu trúc của một luật có dạng như sau:
Hình 2.7 : Cấu trúc luật của Snort Diễn giải:
Tất cả các Luật của Snort về logic đều gồm 2 phần: Phần header và phần Option.
Phần Header của gói tin chứa thông tin quan trọng về hành động mà luật sẽ thực hiện khi phát hiện xâm nhập, đồng thời quy định các tiêu chuẩn áp dụng luật cho gói tin đó.
Phần Option trong gói tin chứa thông điệp cảnh báo cùng với thông tin cần thiết để tạo ra cảnh báo Nó bao gồm các tiêu chuẩn phụ để đối chiếu với luật trong gói tin Một luật có thể phát hiện nhiều hoạt động thăm dò hoặc tấn công khác nhau Các luật thông minh có khả năng áp dụng cho nhiều dấu hiệu xâm nhập khác nhau.
Dưới đây là cấu trúc chung của phần Header của một luật Snort:
Hình 2.8 : Header luật của Snort
Action là phần quy định các loại hành động sẽ được thực hiện khi các dấu hiệu của gói tin được nhận diện chính xác theo luật đã định Thông thường, các hành động này sẽ tạo ra cảnh báo, ghi lại thông điệp, hoặc kích hoạt một luật khác.
- Protocol: là phần qui định việc áp dụng luật cho các packet chỉ thuộc một giao thức cụ thể nào đó Ví dụ như IP, TCP, UDP …
Địa chỉ là phần xác định nguồn và đích trong một mạng, có thể là từ một máy đơn, nhiều máy hoặc toàn bộ mạng Trong hai địa chỉ này, một sẽ là địa chỉ nguồn và một sẽ là địa chỉ đích, với loại địa chỉ nào thuộc về nguồn hay đích được quy định bởi phần Direction “->”.
- Port: xác định các cổng nguồn và đích của một gói tin mà trên đó luật được áp dụng.
- Direction: phần này sẽ chỉ ra đâu là địa chỉ nguồn, đâu là địa chỉ đích.
- Ví dụ: alert icmp any any -> any any (msg: “Ping with TTL0”;ttl: 100;)
Phần đứng trước dấu mở ngoặc là phần Header của luật còn phần còn lại là phần Option Chi tiết của phần Header như sau:
Hành động của luật trong trường hợp này là “alert”, tức là một cảnh báo sẽ được kích hoạt khi các điều kiện của gói tin phù hợp với luật đã thiết lập Mỗi khi cảnh báo được tạo ra, gói tin sẽ được ghi lại để theo dõi và phân tích.
Luật áp dụng trong trường hợp này là ICMP, nghĩa là chỉ những gói tin thuộc loại ICMP mới bị điều chỉnh bởi luật này Do đó, nếu một gói tin không thuộc loại ICMP, phần còn lại của luật sẽ không cần phải xem xét.
Địa chỉ nguồn được xác định là "any", có nghĩa là luật áp dụng cho tất cả các gói tin từ mọi nguồn Đối với gói tin ICMP, cổng cũng được đặt là "any" vì cổng không có ý nghĩa trong trường hợp này; số hiệu cổng chỉ quan trọng đối với các gói tin thuộc loại TCP hoặc UDP.
- Còn phần Option trong dấu đóng ngoặc chỉ ra một cảnh báo chứa dòng
“Ping with TTL0” sẽ được tạo khi tìm thấy điều kiện TTL0 TTL là Time To Live là một trường trong Header IP.
Như phần trên đã trình bày, Header của luật bao gồm nhiều phần.Sau đây, là chi tiết cụ thể của từng phần một.
Hành động của luật(Rule Active)
Phần đầu tiên của luật xác định hành động nào sẽ được thực hiện khi các điều kiện của luật được thoả mãn Một hành động chỉ diễn ra khi tất cả các điều kiện đều phù hợp Mặc dù có 5 hành động đã được định nghĩa, người dùng có thể tạo ra các hành động riêng theo nhu cầu Trong các phiên bản trước của Snort, nếu nhiều luật phù hợp với một gói tin, chỉ một luật được áp dụng và các luật tiếp theo sẽ không được xem xét Tuy nhiên, ở các phiên bản sau, tất cả các luật sẽ được áp dụng cho gói tin đó.
Hành động "Pass" trong Snort cho phép bỏ qua các gói tin nhất định, giúp tăng cường tốc độ hoạt động của hệ thống Điều này rất quan trọng khi không muốn áp dụng kiểm tra cho các gói tin cụ thể, chẳng hạn như khi sử dụng bẫy để thu hút hacker hoặc khi chạy máy quét để kiểm tra an toàn mạng Việc này đảm bảo rằng tất cả các gói tin đến từ các nguồn này được phép đi qua mà không bị gián đoạn.
- Log: Hành động này dùng để log gói tin Có thể log vào file hay vào cơ sở dữ liệu tuỳ thuộc vào nhu cầu của mình.
- Alert: Gửi một thông điệp cảnh báo khi dấu hiệu xâm nhập được phát hiện.
Có nhiều phương pháp để truyền đạt thông điệp, chẳng hạn như xuất ra file hoặc hiển thị trên Console Sau khi gửi thông điệp cảnh báo, gói tin sẽ được ghi lại để theo dõi.
- Activate: sử dụng để tạo ra một cảnh báo và kích hoạt một luật khác kiểm tra thêm các điều kiện của gói tin.
- Dynamic: chỉ ra đây là luật được gọi bởi các luật khác có hành động là Activate.
Các hành động do người dùng định nghĩa: một hành động mới được định nghĩa theo cấu trúc sau: ruletype action_name
Hành động được định nghĩa chính xác trong dấu ngoặc nhọn: có thể là một hàm viết bằng ngôn ngữ C chẳng hạn.
Ví dụ như: ruletype smb_db_alert
{ type alert output alert_smb: workstation.list output database: log, mysql, user=test password=test dbname=snort host = localhost
Hành động smb_db_alert được sử dụng để gửi thông điệp cảnh báo dưới dạng cửa sổ pop-up SMB đến các máy tính có tên trong danh sách trong file workstation.list, đồng thời gửi thông tin này đến cơ sở dữ liệu MySQL có tên snort.
Là phần thứ hai của một luật có chức năng chỉ ra loại gói tin mà luật sẽ được áp dụng Hiện tại Snort hiểu được các protocol sau :
Snort kiểm tra header của lớp liên kết để xác định loại gói tin khi làm việc với IP Đối với các giao thức khác, Snort sử dụng header IP để nhận diện loại protocol Protocol chỉ định tiêu chuẩn trong phần header của luật, trong khi phần option có thể chứa các điều kiện không liên quan đến protocol.
Trong luật của Snort, có hai phần địa chỉ được sử dụng để kiểm tra nguồn và đích của gói tin Địa chỉ này có thể là một địa chỉ IP đơn lẻ hoặc một mạng Chúng ta cũng có thể sử dụng từ "any" để áp dụng luật cho tất cả các địa chỉ Địa chỉ được ghi ngay sau dấu gạch chéo và số bít trong subnet mask.
Ví dụ như địa chỉ 192.168.2.0/24 thể hiện mạng lớp C 192.168.2.0 với 24 bít của subnet mask Subnet mask 24 bít chính là 255.255.255.0 Ta biết rằng :
- Nếu subnet mask là 24 bít thì đó là mạng lớp C
- Nếu subnet mask là 16 bít thì đó là mạng lớp B
- Nếu subnet mask là 32 bít thì đó là địa chỉ IP đơn.
Trong luật Snort, mỗi luật có hai địa chỉ: một là địa chỉ nguồn và một là địa chỉ đích Việc xác định địa chỉ nào là nguồn và địa chỉ nào là đích phụ thuộc vào phần hướng (direction) của luật.
Ví dụ như luật : alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL0”; ttl: 100;)
Luật trên sẽ tạo ra một cảnh báo đối với tất cả các gói tin từ bất kì nguồn nào có TTL = 100 đi đến web server 192.168.1.10 tại cổng 80.
Ngăn chặn địa chỉ hay loại trừ địa chỉ