Tìm hiểu hệ thống phát hiện xâm nhập ids snort

Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt độn

Trang 2

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

LỜI CẢM ƠN

Để hoàn thành đề tài này, ngoài nổ lực cố gắng của bản thân, em đã nhận được

sự giúp đỡ nhiệt tình của các thầy giáo, cô giáo, của gia đình và bạn bè

Em xin bày tỏ lời cảm ơn sâu sắc tới Th.S Phạm Thị Thu Hiền người đã tận tình hướng dẫn, giúp đỡ và chỉ bảo trong suốt quá trình thực hiện đề tài

Em xin chân thành cảm ơn các thầy cô giáo trong tổ Phương pháp giảng dạy của khoa CNTT Trường Đại Học Vinh

Mặc dù đã cố gắng tiếp thu ý kiến của các thầy, cô giáo hướng dẫn và nổ lực trong nghiên cứu, song đề tài này chắc chắn không thể tránh những sai sót Vì vậy, rất mong được sự góp ý của các thầy cô giáo và các bạn để em có được cái nhìn sâu sắc hơn về vấn đề nghiên cứu, hoàn thiện đề tài, đạt chất lượng cao hơn

Em xin chân thành cảm ơn!

Vinh, tháng 12 năm 2014

SV thực hiện

Bùi Văn Tường

Trang 3

MỤC LỤC

LỜI MỞ ĐẦU 4

CHƯƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 5

I KHÁI NIỆM 5

II CHỨC NĂNG VÀ PHÂN LOẠI IDS 5

2.1 Chức năng 5

2.1 Phân loại 5

III CƠ CHẾ HOẠT ĐỘNG CỦA IDS 8

3.1 Phát hiện sự lạm dụng (Misuse Detection Model) 8

3.2 Phát hiện sự bất thường (Anomaly Detection Model) 8

3.3 So sánh giữa hai mô hình 9

IV SỰ CẦN THIẾT CỦA IDS 9

4.1 Sự giới hạn của các biện pháp đối phó 9

4.1 Những cố gắng trong việc hạn chế xâm nhập trái phép 11

V PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG CỦA IDS 12

5.1 Tấn công từ chối dịch vụ (Denial of Service attack) 12

5.2 Quét và thăm dò (Scanning và Probe) 12

5.3 Tấn công vào mật mã (Password attack) 13

5.4 Chiếm đặc quyền (Privilege-grabbing) 13

5.5 Cài đặt mã nguy hiểm (Hostile code insertion) 14

5.6 Hành động phá hoại trên máy móc (Cyber vandalism) 14

CHƯƠNG II: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ THỐNG WINDOWS DỰA TRÊN SNORT 16

I GIỚI THIỆU VỀ SNORT 16

II BỘ LUẬT CỦA SNORT 21

III CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT 28

CHƯƠNG III CÀI ĐẶT VÀ MÔ PHỎNG 29

I GIỚI THIỆU KỊCH BẢN 29

1.1 Mô tả kịch bản 29

1.2 Tình huống đặt ra 29

II ĐẶT RA GIẢI PHÁP Error! Bookmark not defined

Trang 4

III YÊU CẦU Error! Bookmark not defined

IV CÀI ĐẶT SNORT TRÊN WINDOWS SERVER 30

4.1 Cài đặt và cấu hình 30

4.2 Chế độ NIDS 36

KẾT LUẬN 40

A Kết quả đạt được của đề tài 40

B Hướng phát triển đề tài 41

Trang 5

LỜI MỞ ĐẦU

Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người Việc học tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm

Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay

Từ vấn đề nói trên nên em đã chọn đề tài “ Tìm hiểu hệ thống phát hiện xâm nhập IDS-Snort” để nghiên cứu

Trang 6

CHƯƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

I KHÁI NIỆM

IDS (Intrusion Detection System hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị

Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…

IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm

ra các dấu hiệu khác thường

II CHỨC NĂNG VÀ PHÂN LOẠI IDS

2.1 Chức năng

Chức năng quan trọng nhất : Giám sát, cảnh báo và bảo vệ

- Giám sát: Lưu lượng mạng, các hoạt động khả nghi

- Cảnh bảo: Báo cáo về tình trạng mạng cho hệ thống và người quản trị

- Bảo vệ: Dùng những thiết lập mặc định và sử dụng cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng: Phân biện và phát hiện

- Phân biệt: phân biệt kẻ tấn công từ bên trong hay bên ngoài

- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline

2.1 Phân loại

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):

- Network Based (NIDS): Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra

Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao

Ví trí : mạng bên trong và mạng bên ngoài

Loại : hardware (phần cứng) hoặc software (phần mềm)

Trang 7

Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng

Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức cao Một số sản phẩm NIDS:

+ Cisco IDS + Dragon® IDS/IPS

- Host Based IDS (HIDS): Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được

Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác

Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS Loại : software (phần mềm)

Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS

Ưu điểm:

+ Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ + Phân tích lưu lượng mạng rồi mới forward

Nhược điểm : Đa số chạy trên hệ điều hành Windows Tuy nhiên cũng đã có 1

số chạy được trên Unix và những hệ điều hành khác Một số sản phẩm HIDS:

+ Snort(Miễn phí_ open source) + GFI EventsManager 7

+ ELM 5.0 TNT software Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử

lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS

Hệ thống Expert (Expert systems): Hệ thống này làm việc trên một tập các nguyên tắc

đã được định nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T)

Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection): Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công

Trang 8

Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record) Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế Điển hình,

nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris))

Phân biệt ý định người dùng(User intention identification): Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao

mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo

sẽ được sinh ra

Phân tích trạng thái phiên (State-transition analysis): Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày trong sơ đồ trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước

Phương pháp phân tích thống kê (Statistical analysis approach): Đây là phương pháp thường được sử dụng hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng

Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường

Trang 9

III CƠ CHẾ HOẠT ĐỘNG CỦA IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là: Phát hiện sự lạm dụng, Phát hiện sự bất thường

3.1 Phát hiện sự lạm dụng (Misuse Detection Model)

Hệ thống sẽ phát hiện các xâm nhập bàng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống

- Mô hình phát hiệnsự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điếm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được

mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu), dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của

hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Hệ thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành

Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để

mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép biến đổi trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện

3.2 Phát hiện sự bất thường (Anomaly Detection Model)

Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống

- Mô hình phát hiện sự bất thường: Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm ra các thay đổi, các hành vi bất hợp pháp Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất thường

Trang 10

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã

và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

3.3 So sánh giữa hai mô hình

Bảng 1.1 So sánh 2 mô hình phát hiện

Phát hiện sự lạm dụng

(Misuse Detection Model)

Phát hiện sự bất thường (Anomaly Detection Model) Bao gồm:- Cơ sở dữ liệu các dấu hiệu tấn

công

- Tìm kiếm các hành động tương ứng với

các kĩ thuật xâm nhập biết đến (dựa trên

dấu hiệu - signatures)

Bao gồm: - Cơ sở dữ liệu các hành động thông thường

- Tìm kiếm độ lệch của hành động thực tế

so với hành động thông thường

Hiệu quả trong việc phát hiện các dạng

tấn công hay các biến thế của các dạng tấn

Đưa ra kêt luận dựa vào phép so khớp

mẫu (pattern matching)

Đưa ra kêt quả dựa vào độ lệch giữa thông tin thực tế và ngưỡng cho phép

Có thể kích hoạt một thông điệp cảnh báo

nhờ một dấu hiệu chắc chắn, hoặc cung

cấp dữ liệu hỗ trợ cho các dấu hiệu khác

Có thể hỗ trợ việc tự sinh thông tin hệ thống một cách tự động nhưng cần có thời gian và dữ liệu thu thập được phải rõ ràng

Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn

IV SỰ CẦN THIẾT CỦA IDS

4.1 Sự giới hạn của các biện pháp đối phó

Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Các công

cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao

Trang 11

Firewall bảo vệ hệ thống: Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể Tuy nhiên Firewall cũng có những điểm yếu sau:

Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và không thể chống lại sự đe dọa từ trong hệ thống

Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể cho phép việc thăm dò điểm yếu

Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall

Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống

Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet

Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng Nhóm mã hóa với việc xác thực khóa công khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối,

sự tin cậy và toàn vẹn dữ liệu

Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng PKI có vai trò như khung làm việc chung cho việc quản lý

và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng PKI cho phép ứng dụng ngăn cản các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:

Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng chỉ không đồng nhất

Trang 12

Có quá ít ứng dụng có sử dụng chứng chỉ

Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”

4.1 Những cố gắng trong việc hạn chế xâm nhập trái phép

Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?”

Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật Ngày nay, hầu hết các hệ điều hành, ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra

Tư tưởng cơ bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi Trong khi đó trong thực tế, quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn, sức người có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn Ví dụ như vào năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là AUDIT, có nhiệm vụ tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn Vào năm 1987, một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện đọc audit trail và tạo ra khuôn mẫu những hành động thông thường, sau đó gửi thông báo về những hành động lệch so với khuôn mẫu đó Trong suốt những năm đầu của thập kỷ 90, cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự kiện có trong audit trail

Tuy nhiên, hầu hết các công ty không thể sử dụng được phương pháp phân tích log này vì hai lý do chính Thứ nhất là công cụ đó khá nặng, phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu của người dùng Với sự tăng trưởng của số người dùng,

hệ điều hành, ứng dụng, cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ Do đó, các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành

hệ thống và duy trì đủ hiệu suất Nửa cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới để quản lý, như router, network traffic monitor, và firewall Tuy hệ phương pháp IDS đã phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi

và phản ứng khi ta bị tấn công?”

Scanner, các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảo mật trước khi bị tấn công Chúng có thể làm được điều đó dựa trên việc tìm khiếm khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng

Trang 13

dụng, những hệ thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung Các công cụ này có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cung cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng Chúng có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của công ty như phiên bản của phần mềm, độ dài mật mã,…

Tuy nhiên, hầu hết các scanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ công Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành, server hay ứng dụng mới vào mạng Cũng như các công cụ kiểm tra biên bản, scanner và các công cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt động của con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức Ta có một chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó” Một lợi ích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệch trong bảo mật và biểu đồ thông tin Nó có thể được sử dụng để xác định hiệu quả thực tế của bảo mật và dự đoán hiện tại cũng như tương lai

V PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG CỦA IDS

5.1 Tấn công từ chối dịch vụ (Denial of Service attack)

Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích Cuối cùng, mục tiêu trở nên không thể tiếp cận và không thể trả lời DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng

Phá hoại Network: kiểu tấn công SYN flood là một dạng tấn công từ chối dịch

vụ, kẻ tấn công sẽ gửi các gói tin kết nối SYN đến hệ thống

Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop các kiểu tấn công nhằm lợi dụng lỗ hống trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống Sự kiện này có thể xáy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết

bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước

Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web, Ví dụ như một email rất dài hay một số lượng email lớn có thể gây quá tải cho server của các ứng dụng đó

 Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin

5.2 Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng

Trang 14

hacker có thể được sử dụng để gây hại cho hệ thống Các công cụ quét và thăm dò như: SATAN, ISS Internet Scanner Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng

có những lỗi đã được biết đến Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập

 Giải Pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiếm trước khi chúng xảy ra Host-based IDS cũng có thế có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng

5.3 Tấn công vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack Kiếu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng

Ví du về trộm mật mã: như nghe trộm mật mã gửi trên mạng, gửi thư, chương trình có kèm keylogger, trojan cho người quản trị

Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã đế mong tìm được mật mã đúng Với bẻ khóa, kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay fìle chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng Với tốc độ máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điến), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị

Ví du đoán và bẻ khóa như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể dùng khi biết usemame mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute íòrce, đoán mật mã đã

mã hóa từ các từ trong từ điển

 Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới fíle đã bị mã hóa Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã

5.4 Chiếm đặc quyền (Privilege-grabbing)

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là

“Supervisor” Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:

- Đoán hay bẻ khóa của root hay administrator

Trang 15

- Gây tràn bộ đệm

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng

 Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết

bị chủ

5.5 Cài đặt mã nguy hiểm (Hostile code insertion)

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp theo Ta có một số ví dụ về việc cài đặt mã nguy hiếm sau:

- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống, file của ứng dụng hay dữ liệu

- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, thường có hại, nhưng không có mục đích nhân bản Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình

mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống

 Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus

và các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm

5.6 Hành động phá hoại trên máy móc (Cyber vandalism)

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa

 Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến Cyber vandalism Network-based IDS thì có thế sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trang web

5.7 Tấn công hạ tầng bảo mật (Security infrastructure attack)

Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của fìle Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng

Trang 16

 Giải pháp của IDS: Host-based IDS có thế bắt giữ các cuộc đăng nhập mà thực hiện những hành động nhƣ đƣa thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi

Trang 17

CHƯƠNG II: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP

TRÊN HỆ THỐNG WINDOWS DỰA TRÊN SNORT

I GIỚI THIỆU VỀ SNORT

Snort là một kiểu IDS (Instruction Detection System) Nói ngắn gọn IDS là một

hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó

Snort là một sản phẩm được phát triển dưới mô hình mã nguồn mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module

Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thế chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS

 KIẾN TRÚC SNORT

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Các phần chính đó là:

- Module giải mã gói tin (Packet Decoder)

- Module tiền xử lý (Preprocessors)

- Module phát hiện (Detection Engine)

- Module log và cảnh báo (Logging and Alerting System)

- Module kết xuất thông tin (Output Module)

Kiến trúc của Snort được mô tả trong hình sau:

Trang 18

Hình 2.1 Mô hình kiến trúc hệ thống Snort

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào di chuyển qua nó Các gói tin sau khi bị bắt được đưa vào Môđun Giải mã gói tin Tiếp theo gói tin sẽ được đưa vào môđun Tiền xử lý, rồi môđun Phát hiện Tại đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thế được bỏ qua để lưu thông tiếp hoặc được đưa vào module Log và cảnh báo để xử lý Khi các cảnh báo được xác định thì module Ket xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động

Trang 19

Module tiền xử lý (Preprocessor)

Hình 2.3 Bộ tiền xử lý

Module tiền xử lý là một module rất quan trọng đối với bất kỳ một hệ thống IDS nào để có thể chuẩn bị gói dữ liệu đưa và cho module Phát hiện phân tích Ba nhiệm vụ chính của các môđun loại này là:

- Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia gói tin ban đầu thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu, từ đó mới thực hiện được các công việc xử lý tiếp Như ta đã biết khi một phiên làm việc của hệ thống diễn ra, sẽ có rất nhiều gói tin đuợc trao đổi trong phiên đó Một gói tin riêng lẻ

sẽ không có trạng thái và nếu công việc phát hiện xâm nhập chỉ dựa hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao

- Giải mã và chuẩn hóa giao thức: công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại vì khi kiếm tra các giao thức thì dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau Ví dụ: một web server có thế chấp nhận nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URL chấp nhận cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc Chẳng hạn ta có dấu hiệu nhận dạng “scripts/iisadmin”, kẻ tấn công có thể vượt qua được bằng cách tùy biến các yêu cấu gửi đến web server như sau:

“scripts/./iisadmin”

“scripts/examples/ /iisadmin”

“scripts\iisadmin”

“scripts/Aiisadmin”

Trang 20

Hoặc thực hiện việc mã hóa các chuỗi này dưới dạng khác Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót các hành vi xâm nhập Do vậy, một số module tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào này để thông tin khi đưa đến module phát hiện có thể phát hiện được mà không bỏ sót Hiện nay Snort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức: telnet, http, rpc, arp

- Phát hiện các xâm nhập bất thường: Các module tiền xử lý dạng này có thể thực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra bằng cách tăng cường thêm tính năng cho Snort Ví dụ, một plugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểm bình thường để rồi khi

có thông lượng mạng bất thường xảy ra nó có thể tính toán, phát hiện và đưa

ra cảnh báo (phát hiện xâm nhập theo mô hình thống kê) Phiên bản hiện tại của Snort có đi kèm hai plugin giúp phát hiện các xâm nhập bất thường đó

là portscan và bo (backoffice) Portcan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việc quét các cổng của hệ thống để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống đã bị nhiễm trojan backoffice và kẻ tấn công

từ xa kết nối tới backoffìce thực hiện các lệnh từ xa

Module phát hiện (Detection Engine)

Hình 2.4 Bộ phát hiện

Trang 21

Đây là module quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không Rồi tiếp theo mới có thể thực hiện một số công việc như ghi log, tạo thông báo và kết xuất thông tin

Một vấn đề rất quan trọng trong module phát hiện là vấn đề thời gian xử lý các gói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rất nhiều các luật xử lý Có thể mất những khoảng thời gian khác nhau cho việc xử lý các gói tin khác nhau Và khi thông lượng mạng quá lón có thể xảy ra việc bỏ sót hoặc không phản hồi được đúng lúc Khả năng xử lý của module phát hiện dựa trên một số yếu tố như: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải trên mạng Một số thử nghiệm cho biết, phiên bản hiện tại của Snort khi được tối ưu hóa chạy trên hệ thống

có nhiều bộ vi xử lý và cấu hình máy tính tương đối mạnh thì có thể hoạt động tốt trên

cả các mạng cỡ Giga

Một module phát hiện cũng có khả năng tách các phần của gói tin ra và áp dụng các luật lên từng phần nào của gói tin đó Các phần đó có thể là:

- IP header

- Header ở tầng giao vận: TCP, UDP

- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header,

- Phần tải của gói tin (bạn cũng có thể áp dụng các luật lên các phần dữ liệu được truyền đi của gói tin)

Một vấn đề nữa trong module phát hiện đó là việc xử lý thế nào khi một gói tin

bị phát hiện bởi nhiều luật Do các luật trong Snort cũng được đánh thứ tự un tiên, nên một gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra sẽ là cảnh báo ứng với luật có mức ưu tiên lớn nhất

Module log và cảnh báo (Logging and Alerting system): Tùy thuộc vào việc module phát hiện có nhận dạng đuợc xâm nhập hay không mà gói tin sẽ bị ghi log hoặc đưa ra cảnh báo Các fíle log là các file text dữ liệu trong đó có thể được ghi dưới nhiều định dạng khác nhau chẳng hạn như tcpdump

Module kết xuất thông tin (output module)

Định dạng
Số trang	42
Dung lượng	2,18 MB