• IDS Intrusion Detection System được gọi là hệ thống phát hiện xâm nhập - một hệ thống phòng chống nhằm phát hiện các cuộc tấn công thông qua mạng.. Chức năng chính của hệ thống này là
Trang 3• IDS (Intrusion Detection System) được gọi là hệ thống phát hiện xâm nhập -
một hệ thống phòng chống nhằm phát hiện các cuộc tấn công thông qua
mạng
Chức năng chính của hệ thống này là cung cấp thông tin nhận biết về các hoạt động
không bình thường và đưa ra các cảnh báo cho quản trị viên mạng để tiến hành xử lí đối với các cuộc tấn công Ngoài ra, hệ thống IDS cũng có thể phân biệt các cuộc tấn công từ bên trong mạng hay từ bên ngoài mạng
1 Giới thiệu về IDS
Trang 42 Phân loại IDS
IDS thường được phân loại dựa vào nguồn dữ liệu thu thập được Các
hệ thống IDS được chia thành các loại sau:
• Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm để
phát hiện xâm nhập
• Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông
mạng, cùng với dữ liệu kiểm tra từ một hoặc nhiều máy trạm để phát hiện xâm nhập.
Trang 5IDS có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm
và phần cứng.
Vị trí đặt IDS
Tùy vào quy mô doanh nghiệp và
mục đích mà ta có thể thiết kế vị trí
cũng như kiến trúc của IDS khác
nhau Ta có thể đặt IDS ở trước
hoặc sau tường lửa tùy theo lựa
chọn
3 Vị trí đặt IDS
Trang 64 Các thành phần cơ bản của IDS
• Sensor: Bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng
đe dọa an ninh của hệ thống mạng Thường được dùng cho dạng Network-base IDS/IPS
• Agent: Thành phần giám sát và phân tích các hoạt động Thường
được dùng cho dạng Host-base IDS/IPS
• Console: bộ phận làm có nhiệm vụ giám sát các sự kiện, các cảnh
báo được phát hiện và sinh ra từ Sensor và điều khiển hoạt động của các bộ Sensor
• Engine: có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được
phát hiện bởi các Sensor trong một cơ sở dữ liệu
• Alert Notification: sử dụng hệ thống các luật để đưa ra các cảnh
báo trên các sự kiện nhận được cho hệ thống hoặc cho người quản trị
Trang 75 Cơ chế hoạt động của IDS
• Hệ thống IDS hoạt động theo cơ chế “
Trang 85 Cơ chế hoạt động của IDS
• Có 2 phương pháp để phát hiện các
• cuộc tấn công, xâm nhập:
• +/ Misuse Detection (dò sự lạm dụng).
• “so sánh với mẫu” so sánh nội dung gói tin
• với mẫu nhận biết tấn công hoặc mã độc
• để cảnh báo
• +/ Anomaly Detection (dò sự bất thường)
• “so sánh với mức ngưỡng ”
• Ex:login sai quá số lần ,số lượng gói tin gửi
Trang 9• Thành phần của Snort?
• Cấu trúc của rule?
• Cơ chế hoạt động?
Trang 101 Thành phần của Snort
Trang 112 Cấu trúc của rule
• Tất cả các rule đều có 2 phần logic
• Rule header :chứa thông tin về hoạt động mà rule để lấy Nó cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu
• Rule option :thường chứa một thông điệp cảnh báo và thông tin về
thông điệp sẽ được sử dụng để phát sinh cảnh báo Rule option cũng
chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu
• EX:alert icmp any any -> any any (msg: "Ping with TTL=100"; \ ttl: 100;)
Trang 122.1 Rule header
+/Rule acion: Cho Snort biết phải làm gì khi nó tìm thấy một gói tin phù hợp với rule, hành động được mặc định sẵn trong Snort:
Alert: Cảnh báo và ghi lại packet.
Log: ghi lại packet.
Pass: bỏ qua packet.
+/Protocols: Hiện nay Snort chỉ hỗ trợ bốn giao thức sau: TCP, UDP,
ICMP, IP
+/IP address: Địa chỉ IP của nơi đi và nơi đến của 1 gói tin
+/Port :Port mà snort sẽ phân tích
+/Direction:rule sẽ áp dụng lên gói đi từ nguồn đến đích.
Trang 132.1 Rule header
• Example:rule sau đây sẽ sinh ra cảnh báo khi nó phát hiện gói ping ICMP
(ICMP ECHO REQUEST) với TTL bằng 100:
• alert icmp any any -> any any (msg: "Ping with TTL=100"; \ ttl: 100;)
Trang 142.2 Rule option
• Rule option là trung tâm của việc phát hiện xâm nhập Nội dung chứa các dấu
hiệu để xác định một cuộc xâm nhập
• Vị trí :nằm ngay sau Rule header và được bao bọc bởi dấu ngoặc đơn “()” Tất cả
rule option được ngăn cách nhau bởi dấu chấm phẩy “;”, phần đối số sẽ được phân cách nhau bởi dấu hau chấm “:”
Trang 152.2 Rule option
• Hành động trong rule header chỉ được gọi khi tất cả những tiêu chuẩn trong lựa chọn
là đúng( đã sử dụng option như msg và ttl trong ví dụ trước rồi đó).
• VD:alert icmp any any -> any any (msg: "Ping with TTL=100"; \ ttl: 100;)
• Tất cả những lựa chọn được định nghĩa bởi từ khóa.
• Thường thì những lựa chọn có 2 phần: một từ khóa và một đối số Những đối số
truyền vào từ lựa chọn từ khóa bằng một dấu “:”
• Chẳng hạn như: msg: " Ping with TTL=100 "; Lựa chọn msg là từ khóa và “Ping with TTL=100” là đối số cho từ khóa
Trang 162.2 Rule option
2.2.1 Về nội dung (lớp application):
• Từ khóa content:cho phép tìm kiếm các chuỗi cụ thể trong phần tải
của gói tin ( payload) và kích hoạt các cảnh báo dựa trên các dữ liệu
đó Nội dung có thể ở dạng nhị phân hoặc ASCII Ví dụ: content: “GET”
• Từ khóa offset:dùng để xác định điểm bắt đầu tìm kiếm Cho phép giá
trị từ -65535 đến 65535
• EX:alert tcp 192.168.1.0/24 any -> any any \ (content: "HTTP"; offset: 4; msg: "HTTP matched";)
• Từ khóa Depth: dùng để xác định khoảng cách bao xa mà luật đó sẽ
tìm tới tối thiểu là 1 và tối đa là 65535 Được dùng với từ khóa content để giới hạn nội dung tìm kiếm
• EX:alert tcp 192.168.1.0/24 any -> any any (content: \ "HTTP"; offset: 4; depth: 40; msg: "HTTP matched";)
TỪ KHÓA THÔNG DỤNG
Trang 17• Ttl: dùng để kiểm tra giá trị time-to-live trong IP Header Được sử dụng để phát
hiên hành động tracertouter mạng Cấu trúc: Ttl:[ ,=,<=,>=]]-[]; ví dụ: ttl:2-3 Tos: kiểm tra trường ToS( type of service) trong IP Header
• Id: được sử dụng để kiểm tra các giá trị cụ thể trong trường ID của IP header
• Tos dùng để kiểm tra ra một giá trị nào đó trong trường TOS (Type of Service)
Trang 192.2.4 Lựa chọn về ICMP:
• Icmp_id: dùng để kiểm tra giá trị ID của ICMP Header
• alert icmp any any -> any any (icmp_id: 100; \ msg: "ICMP ID=100";)
• Icmp_seq: dùng để kiểm tra giá trị sequence của ICMP Header.
• alert icmp any any -> any any (icmp_seq: 100; \ msg: "ICMP
Sequence=100";)
2.2 Rule option
TỪ KHÓA THÔNG DỤNG
Trang 203 Kết luận
Hệ thống phát hiện xâm nhập (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng IDS giúp con người khám phá, phân tích một nguy cơ tấn công mới Từ nó người ta vạch ra phương án phòng chống Ở
một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công Một
tổ chức lớn không thể nào thiếu IDS
Trang 21
Những vấn đề đạt được:
• Nắm được cơ chế hoạt động Snort IDS
• Có cái nhìn trực quan khi thực hiện thử nghiệm một số loại tấn công
• Nắm bắt được cơ chế hoạt động của hệ thống phát hiện xâm nhập Snort – IDS cùng các tập luật
• Cài đặt và cấu hình một hệ thống phát hiện xâm nhập mã nguồn mở Snort
• Vận dụng những hiểu biết nghiên cứu để viết luật cho Snort
• Sử dụng được các sản phẩm phân tích cảnh báo trong Snort như: MySQL, ACID, Swatch, Snortsam
3 Kết luận
Trang 223 Kết luận
Những vấn đề chưa đạt được:
• Vấn đề về Snort IDS rất rộng lớn, hiện những cách thức tấn công mới ngày nay đã
có những thay đổi lớn Do đó chưa thực sự hiểu rõ cách hoạt động của nó
• Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như:
Barnyard, Snort center, Snort_inline, SnortSnarf,… không được áp dụng triệt để
• Tập luật bổ sung đang trong giai đoạn tối ưu và bổ sung nên không trình bày
trong báo cáo