Tìm hiểu hệ thống phát hiện xăm nhập snort

Company LOGO Firewalls Tìm hi u h th ng phát hi n xâm nh p Snort và gi i pháp ể ệ ố ệ ậ ả k t h p Snort v i Iptableế ợ ớ Giáo viên h ng d n: Đinh Ti n Thànhướ ẫ ế Sinh viên th c hi n: Tr n Xuân C ng Nguy n Ng c Ánh ự ệ ầ ươ ễ ọ Nguy n Hi n H i Bùi Văn T iễ ể ả ươ Lê Kh c Giang Tr ng Văn Tr ngắ ươ ườ Ngô Văn Hùng D ng Trung Kiênươ May 5, 2011 1 Néi Dung 1.T ng quan v IDS/IPSổ ề1.T ng quan v IDS/IPSổ ề 2.Nghiên c u ng d ng SNORT trong IDS/IPSứ ứ ụ2.Nghiên c u ng d ng SNORT trong IDS/IPSứ ứ ụ 3.Cài đ t và c u hình Snort trên n n CentOS. ặ ấ ề K t h p SNORT v i IPTABLESế ợ ớ 3.Cài đ t và c u hình Snort trên n n CentOS. ặ ấ ề K t h p SNORT v i IPTABLESế ợ ớ May 5, 2011 2 1.T ng quan v IDS/IPSổ ề May 5, 2011 3 1.1 Đ nh nghĩaị • Là h th ng có nhi m v theo dõi, phát hi n và có th ngăn c n s xâm ệ ố ệ ụ ệ ể ả ự nh p, cũng nh các hành vi trái phépậ ư • H th ng IDS thu th p thông tin t nhi u ngu n trong h th ng r i ti n ệ ố ậ ừ ề ồ ệ ố ồ ế hành phân tích 1.2 Các thành ph n và ch c năng c a IDS/IPSầ ứ ủ T ng quan v IDS/IPSổ ề May 5, 2011 4 1.3 Phân lo i IDS/IPSạ 1.3.1 Network Based IDS (NIDS) 1.3.2 Host Based IDS (HIDS) May 5, 2011 5 T ng quan v IDS/IPSổ ề May 5, 2011 6 1.4 C ch ho t đ ng c a h th ng IDS / IPSơ ế ạ ộ ủ ệ ố 1.4.1 Phát hi n s l m d ngệ ự ạ ụ H th ng s phát hi n b ng cách tìm ki m các hành đ ng t ng ng v i các ệ ố ẽ ệ ằ ế ộ ươ ứ ớ k thu t đã bi t đ n ho c đi m d b t n công c a h th ngỹ ậ ế ế ặ ể ễ ị ấ ủ ệ ố 1.4.2 Phát hi n s b t th ng: d a trên vi c đ nh nghĩa và mô t đ c đi m các hành vi có ệ ự ấ ườ ự ệ ị ả ặ ể th ch p nh n c a h th ngể ấ ậ ủ ệ ố • Phát hi n tĩnhệ • Phát hi n đ ngệ ộ 1.4.3 So sánh gi a 2 mô hìnhữ Phát hi n s l m d ng và phát hi n ệ ự ạ ụ ệ S b t th ng ự ấ ườ May 5, 2011 7 Phát hi n s l m d ngệ ự ạ ụ Phát hi n s b t th ngệ ự ấ ườ Bao g m:ồ •C s d li u các d u hi u t n công.ơ ở ữ ệ ấ ệ ấ •Tìm ki m các so kh p m u đúng.ế ớ ẫ Bao g m:ồ •C s d li u các hành đ ng thông ơ ở ữ ệ ộ th ng.ườ •Tìm ki m đ l ch c a hành đ ng th c t ế ộ ệ ủ ộ ự ế so v i hành đ ng thông th ng. ớ ộ ườ Hi u qu trong vi c phát hi n các d ng t n ệ ả ệ ệ ạ ấ công đã bi t, hay các bi n th (thay đ i nh ) ế ế ể ổ ỏ c a các d ng t n công đã bi t. Không phát hi n ủ ạ ấ ế ệ đ c các d ng t n công m i.ượ ạ ấ ớ Hi u qu trong vi c phát hi n các d ng t n ệ ả ệ ệ ạ ấ công m i mà m t h th ng phát hi n s l m ớ ộ ệ ố ệ ự ạ d ng b qua.ụ ỏ D c u hình h n do đòi h i ít h n v thu ễ ấ ơ ỏ ơ ề th p d li u, phân tích và c p nh tậ ữ ệ ậ ậ Khó c u hình h n vì đ a ra nhi u d li u ấ ơ ư ề ữ ệ h n, ph i có đ c m t khái ni m toàn di n v ơ ả ượ ộ ệ ệ ề hành vi đã bi t hay hành vi đ c mong đ i c a ế ượ ợ ủ h th ngệ ố Đ a ra k t lu n d a vào phép so kh p m u ư ế ậ ự ớ ẫ (pattern matching). Đ a ra k t qu d a vào t ng quan b ng ư ế ả ự ươ ằ th ng kê gi a hành vi th c t và hành vi đ c ố ữ ự ế ượ mong đ i c a h th ng (hay chính là d a vào ợ ủ ệ ố ự đ l ch gi a thông tin th c t và ng ng cho ộ ệ ữ ự ế ưỡ phép). Có th kích ho t m t thông đi p c nh báo ể ạ ộ ệ ả nh m t d u hi u ch c ch n, ho c cung c p ờ ộ ấ ệ ắ ắ ặ ấ d li u h tr cho các d u hi u khác.ữ ệ ỗ ợ ấ ệ Có th h tr vi c t sinh thông tin h ể ỗ ợ ệ ự ệ th ng m t cách t đ ng nh ng c n có th i gian ố ộ ự ộ ư ầ ờ và d li u thu th p đ c ph i rõ ràng.ữ ệ ậ ượ ả May 5, 2011 8 1.5 M t s s n ph m IDS/IPSộ ố ả ẩ • Cisco IDS-4235: là h th ng NIDS có kh năng theo dõi toàn b l u thông m ng và đ i ệ ố ả ộ ư ạ ố sánh t ng gói tin đ phát hi n các d u hi u xâm nh pừ ể ệ ấ ệ ậ • ISS Proventia A201: là s n ph m c a Internet Security Systems. Nó không ch là ph n ả ẩ ủ ỉ ầ c ng hay ph n m m mà là c h th ng các thi t b đ c tri n khai phân tán trong m ngứ ầ ề ả ệ ố ế ị ượ ể ạ • Intrusion Protection Appliance: l u tr c u hình m ng, các d li u đ i sánh. Nó là m tư ữ ấ ạ ữ ệ ố ộ phiên b n Linux v i các driver thi t b m ng đ c xây d ng t i uả ớ ế ị ạ ượ ự ố ư • Proventia Network Agent: đóng vai trò nh b c m bi n Sensor. B trí t i v trí nh y c mư ộ ả ế ố ạ ị ạ ả • SiteProtector: là trung tâm đi u khi n h th ng proventiaề ể ệ ố • NFR NID-310: NFR là s n ph m c a NFR Security. G m nhi u b c m bi n thích ng ả ẩ ủ ồ ề ộ ả ế ứ v i nhi u m ng khác nhauớ ề ạ • SNORT: 1.6 So sánh gi a IDS và IPSữ 2. NGHIÊN C U NG D NG SNORT TRONG Ứ Ứ Ụ IDS/IPS May 5, 2011 9 2.1 Gi i thi u v Snortớ ệ ề 2.2 Ki n trúc c a Snortế ủ 2.3 B lu t c a Snortộ ậ ủ 2.4 Ch đ ngăn ch n c a Snort: Snort - Inlineế ộ ặ ủ May 5, 2011 10 2.1 Gi i thi u v Snortớ ệ ề • Snort là m t NIDS đ c Martin Roesh phát tri n d i mô hình mã ngu n mộ ượ ể ướ ồ ở • Nhi u tính năng tuy t v i phát tri n theo ki u moduleề ệ ờ ể ể • C s d li u lu t lên đ n 2930 lu tơ ở ữ ệ ậ ế ậ • Snort h tr ho t đ ng trên các giao th c: Ethernet, Token Ring, FDDI, Cisco HDLCỗ ợ ạ ộ ứ SLIP, PPP, và PE c a Open BDSủ 2.2 Ki n trúc c a m t Snortế ủ ộ • Modun gi i mã gói tin (Packet Decoder)ả • Modun ti n x lý (Preprocessors)ề ử • Modun phát hi n (Detection Eng)ệ • Modun log và c nh báo (Logging and Alerting System)ả • Modun k t xu t thông tin (Output module)ế ấ May 5, 2011 11 2.2.1 Modun gi i mã gói tinả Snort s d ng th vi n pcap đ b t m i gói tin trên m ng l u thông qua h th ng m t gói tinử ụ ư ệ ể ắ ọ ạ ư ệ ố ộ sau khi gi i mã s đ c đ a ti p vào modun ti n x lýả ẽ ượ ư ế ề ử 2.2.2 Modun ti n x lýề ử • Là modun r t quan tr ng đ chu n b gói d li u đ a vào cho modun phát hi n phân tíchấ ọ ể ẩ ị ữ ệ ư ệ • 3 nhi m v chính: ệ ụ • K t h p các gói tin l i: thông tin truy n đi không đóng gói toàn b vào 1 gói tin. Snortế ợ ạ ề ộ sau khi nh n đ c ph i th c hi n ghép n i đ có đ c d li u nguyên d ngậ ượ ả ự ệ ố ể ượ ữ ệ ạ • Gi i mã chu n hóa giao th c: công vi c phát hi n xâm nh p d a trên d u hi u nh n ả ẩ ứ ệ ệ ậ ự ấ ệ ậ d ng nhi u khi b th t b i khi ki m tra các giao th c có d li u có th đ c th hi n ạ ề ị ấ ạ ể ứ ữ ệ ể ượ ể ệ d i nhi u d ng khác nhauướ ề ạ • Phát hi n các xâm nh p b t th ng: đ i phó v i các xâm nh p không th ho c khó ệ ậ ấ ườ ố ớ ậ ể ặ Phát hi n b ng lu t thông th ngệ ằ ậ ườ 2.2.3 Modun phát hi n: ệ • phát hi n các d u hi u xâm nh p. Nó s d ng các lu t đ c đ nh nghĩa tr c đ so sánh v iệ ấ ệ ậ ử ụ ậ ượ ị ướ ể ớ d li u thu th p đ c ữ ệ ậ ượ • Có kh năng tách các thành c a gói tin ra và áp d ng lên t ng ph nả ủ ụ ừ ầ May 5, 2011 12 2.2.4: Modun log và c nh báo: ả • Tùy thu c vào modun phát hi n có nh n d ng đ c hay không mà gói tin có th b ộ ệ ậ ạ ượ ể ị ghi vào log ho c đ a ra c nh báoặ ư ả 2.2.5: Modun k t xu t thông tinế ấ • Th c hi n các thao tác khác nhau tùy thu c vào vi c b n mu n l u k t qu k t xu tự ệ ộ ệ ạ ố ư ế ả ế ấ ra nh th nào. Nó có th th c hi n nhi u công vi c:ư ế ể ự ệ ề ệ •Ghi log file •Ghi syslog: là chu n l u tr các file logẩ ư ữ •Ghi c nh báo vào c s d li uả ơ ở ữ ệ •T o file log d ng xmlạ ạ •C u hình l i Router, Firewallấ ạ •G i các c nh báo đ c gói trong các gói tin s d ng giao th c SNMPử ả ượ ử ụ ứ •G i các thông đi p SMBử ệ May 5, 2011 13 2.3 B lu t c a Snortộ ậ ủ 2.3.1 Gi i thi uớ ệ • Thông th ng các t n công hay xâm nh p đ u đ l i d u hi u riêng. Các thông tin ườ ấ ậ ề ể ạ ấ ệ này đ c s d ng đ t o nên các lu t c a Snortượ ử ụ ể ạ ậ ủ • Các lu t có th đ c áp d ng cho t t c các ph n khác nhau c a gói tinậ ể ượ ụ ấ ả ầ ủ • M t lu t có th đ c s d ng đ t o nên m t thông đi p c nh báo, log m t thông ộ ậ ể ượ ử ụ ể ạ ộ ệ ả ộ đi p hay có th b qua m t gói tinệ ể ỏ ộ 2.3.2 C u trúc lu t c a Snortấ ậ ủ May 5, 2011 14 2.3.2.1 Ph n tiêu đ :ầ ề • Ch a thông tin v hành đ ng mà lu t đó s th c hi nứ ề ộ ậ ẽ ự ệ • C u trúc chung c a ph n header m t lu t c a Snortấ ủ ầ ộ ậ ủ • Header c a m t lu t bao g m các ph n: ủ ộ ậ ồ ầ • Hành đ ng c a lu t (Rule Action): ch ra các hành đ ng mà đi u ki n c a lu tộ ủ ậ ỉ ộ ề ệ ủ ậ đ c th a mãn. M t hành đ ng đ c th c hi n khi t t c các đi u ki n phù h pượ ỏ ộ ộ ượ ự ệ ấ ả ề ệ ợ • Pass: hành đ ng này h ng d n snort b qua gói tin nàyộ ướ ẫ ỏ • Log: có th log gói tin vào file hay c s d li uể ơ ở ữ ệ • Alert: g i thông đi p c nh báo khi có d u hi u xâm nh p ử ệ ả ấ ệ ậ • Activate: t o c nh báo và kích ho t m t lu t khác ki m tra thêm các đi u ki nạ ả ạ ộ ậ ể ề ệ • Dynamic: đây là lu t đ c g i b i các lu t khác có hành đ ng là Activateậ ượ ọ ở ậ ộ • Protocols: Ch ra lo i gói tin mà lu t s áp d ng ỉ ạ ậ ẽ ụ • IP • ICMP • TCP/UDP NGHIÊN C U NG D NG SNORT Ứ Ứ Ụ TRONG IDS/IPS May 5, 2011 15 2.3.2.1 Ph n tiêu đầ ề • Address: có đ a ch ngu n và đ a ch đích. Đ a ch có th là 1 đ a ch IP đ n ho cị ỉ ồ ị ỉ ị ỉ ể ị ỉ ơ ặ đ a ch c a m t m ng. Ta dùng t any đ áp lu t cho t t c các đ a chị ỉ ủ ộ ạ ừ ể ậ ấ ả ị ỉ alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) • Ngăn ch n đ a ch hay lo i tr đ a ch : s d ng d u (!) tr c s ch cho Snortặ ị ỉ ạ ừ ị ỉ ử ụ ấ ở ướ ẽ ỉ không ki m tra gói tin đ n ho c đi t đ a ch đóể ế ặ ừ ị ỉ alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) • Danh sách đ a chị ỉ alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) • C ng (Port number): áp d ng lu t cho gói tin đ n ho c đi t 1 c ng hay ph m viổ ụ ậ ế ặ ừ ổ ạ c ngổ alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”;) • Dãy c ng hay ph m vi c ngổ ạ ổ alert udp any 1024:2048 -> any any (msg: “UDP ports”;) • H ng – direction: ch ra đâu là ngu n đâu là đíchướ ỉ ồ NGHIÊN C U NG D NG SNORT Ứ Ứ Ụ TRONG IDS/IPS May 5, 2011 16 2.3.2.2 Các tùy ch n: n m ngay sau ph n Rule Header đ c bao b c trong d u ngo cọ ằ ầ ượ ọ ấ ặ đ n. N u có nhi u option thì phân cách nhau b ng d u “,” và các tùy ch n này ph i ơ ế ề ằ ấ ọ ả đ ng th i th a mãnồ ờ ỏ • T khóa ack: trong TCP header thì tr ng ack dài 32bit ch ra s th t ti p theo c a gói tin ừ ườ ỉ ố ứ ự ế ủ alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) • T khóa classtype: file classification.conf bao g mtrong file snort.conf. M i dòng có cú pháp:ừ ồ ỗ config classification: name, description, priority • name: dùng đ phân lo i, đ c dùng v i t khóa classtype trong các lu tể ạ ượ ớ ừ ậ • description: mô t v lo i l p nàyả ề ạ ớ • priority: ch đ u tiên m c đ nh c a l p nàyỉ ộ ư ặ ị ủ ớ config classification: DoS , Denial of Service Attack, 2 • T khóa contents: kh năng đ c t c a snort là tìm m t m u d li u bên trong. M u này có thừ ả ặ ả ủ ộ ẫ ữ ệ ẫ ể D i d ng chu i ASCII, ho c chu i nh phânướ ạ ỗ ặ ỗ ị alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “GET match”;) • T khóa dsize: dùng đ đ i sánh chi u dài ph n d li uừ ể ố ề ầ ữ ệ alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;) NGHIÊN C U NG D NG SNORT Ứ Ứ Ụ TRONG IDS/IPS May 5, 2011 17 2.3.2.2 Các tùy ch nọ •T khóa flags: phát hi n nh ng bit c flag nào đ c b từ ệ ữ ờ ượ ậ alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) • T khóa fragbits: ph n IP header c a gói tin ch a 3bit dùng đ ch ng phân m nhừ ầ ủ ứ ể ố ả • Reserved Bit (RB): dùng đ dành cho t ng laiể ươ • Don’t Fragment Bit (DF): bit này đ c thi t l p thì gói tin đó không b phân m nh ượ ế ậ ị ả • More Fragments Bit (MF): bit này đ c thi t l p thì các ph n khác c a gói tin đangượ ế ậ ầ ủ trên đ ng đi mà ch a t i đích. N u bit này không đ c thi t l p thì có nghĩa đây là ph n cu iườ ư ớ ế ượ ế ậ ầ ố cùng c a gói tin(gói tin duy nh t)ủ ấ alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) May 5, 2011 18 2.4 Ch đ ngăn ch n c a Snort: Snort – Inlineế ộ ặ ủ 2.4.1 Tích h p kh năng ngăn ch n vào Snort: ý t ng là k t h p kh năng ngăn ch nợ ả ặ ưở ế ợ ả ặ c a Iptables vào trong Snort. Đi u này th c hi n b ng cách thay đ i modun phát hi n và x lýủ ề ự ệ ằ ổ ệ ử cho phép Snort t ng tác v i Iptable. Vi c ch n b t các gói tin th c hi n thông qua Netfilterươ ớ ệ ặ ắ ự ệ 2.4.2 Nh ng b xung cho c u trúc lu t c a Snort h tr Inline modeữ ổ ấ ậ ủ ỗ ợ • DROP: yêu c u Iptables lo i b gói tin và ghi l i thông tin nh hành đ ng Logầ ạ ỏ ạ ư ộ • SDROP: t ng t DROP nh ng không ghi l i Logươ ự ư ạ • REJECT: yêu c u Iptable t ch i gói tin. Iptables s lo i b gói tin và g i l i m t thông ầ ừ ố ẽ ạ ỏ ử ạ ộ báo cho ngu n g i gó tin đóồ ử Trình t u tiên c a các lu t: ự ư ủ ậ • Trong phiên b n g c: ả ố activation->dynamic-> alert->pass->log • Trong inline – mode trình u tiên: ư activation->dynamic->pass->drop->sdrop->reject->alert->log 3.CÀI Đ T VÀ C U HÌNH SNORT TRÊN N N Ặ Ấ Ề CENTOS.K T H P SNORT V I IPTABLESẾ Ợ Ớ May 5, 2011 19 M i th y giáo và các b n cùng theo dõi ph n demoờ ầ ạ ầ