Khóa luận phòng chống virus với snort
- 125 trang
- file: .pdf
đang tải dữ liệu....
Tài liệu bị giới hạn, để xem hết nội dung vui lòng tải về máy tính.
Tải xuống - 125 trangNội dung text: Khóa luận phòng chống virus với snort
KHOA KHOA HỌC CÔNG NGHỆ
NGÀNH MẠNG MÁY TÍNH
LỚP VT081A
BÁO CÁO ĐỀ TÀI TỐT NGHIỆP
Tên sinh viên thực hiện: QUAN MINH TÂM
Giáo viên hướng dẫn: LƯU THANH TRÀ
Ngày nộp báo cáo: .............................................................
Người nhận báo cáo (ký tên và ghi rõ họ tên):
……………………………………………………………………………………..
Tháng 07 /năm 2011
TRÍCH YẾU
Đi cùng với sự phát triển không ngừng của các nhóm ngành nghề kinh tế, xã
hội; lĩnh vực khoa học số cũng đã và đang dần chiếm giữ vị thế quan trọng trong xu
thế phát triển chung của xã hội loài người. Nhận thấy được tầm quan trọng đó, cùng
với sự yêu thích cá nhân, tôi đã tham gia khóa học chuyên ngành mạng máy tính tại
trường Đại Học Hoa Sen. Bên cạnh sự nỗ lực của bản thân, cùng với sự giúp đỡ, hỗ
trợ của các thầy cô, tôi đã có kết quả tốt và có được cơ hội thực hiện đề tài tốt nghiệp
này. Để đạt kết quả tốt với những mục tiêu đề ra, tôi đã tham khảo thêm tư liệu bên
ngoài, cùng với sự hướng dẫn trực tiếp của giáo viên Lưu Thanh Trà. Khi bắt tay vào
thực hiện đề tài tốt nghiệp này, tôi mới nhận thấy được nhưng khó khăn trong kỹ thuật
thực tiễn, cũng như những lỗ hổng kiến thức chưa vững chắc của bản thân để củng cố
và rèn luyện thêm. Tôi luôn cố gắng để hoàn thiện các kỹ năng chuyên ngành, kiến
thức cần có trong nghề không để chỉ phục vụ cho luận án tốt nghiệp này, mà đó sẽ là
nền tảng tốt cho tôi trong công việc ở tương lai.
1
MỤC LỤC
TRÍCH YẾU................................................................................................................. II
MỤC LỤC .................................................................................................................. III
ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN ........................................................ V
LỜI CẢM ƠN ............................................................................................................ VI
NHẬP ĐỀ ...................................................................................................................... 7
NỘI DUNG ĐỀ TÀI ..................................................................................................... 8
CHƯƠNG I: TỔNG QUAN IDS-IPS, SNORT..................................8
1. TỔNG QUAN IDS – IPS ........................................................................................ 8
1.1. Khái niệm ..................................................................................................................................................... 8
1.2. Phương thức phát hiện ................................................................................................................................. 9
1.3. Phân loại ....................................................................................................................................................... 9
2. TỔNG QUAN SNORT TRÊN MÃ NGUỒN MỞ ................................................ 15
2.1. Giới thiệu .................................................................................................................................................... 15
2.2. Kiến trúc Snort............................................................................................................................................ 15
2.2.1. Packet decoder ....................................................................................................................................... 16
2.2.2. Preprocessors ......................................................................................................................................... 17
2.2.3. Detection Engine.................................................................................................................................... 19
2.2.4. Outputs................................................................................................................................................... 19
3. RULES .................................................................................................................. 20
3.1. Giới thiệu .................................................................................................................................................... 20
3.2. Rule header ................................................................................................................................................. 20
3.3. Rule option ................................................................................................................................................. 22
3.3.1. Nhóm General ........................................................................................................................................ 23
3.3.2. Nhóm Payload........................................................................................................................................ 27
3.3.3 Nhóm Non-payload................................................................................................................................ 37
3.3.4 Nhóm Post-Detection ............................................................................................................................. 44
CHƯƠNG II: TRIỂN KHAI SNORT...............................................48
1. YÊU CẦU .............................................................................................................. 48
2. CÀI ĐẶT ............................................................................................................... 49
3. CẤU HÌNH CƠ BẢN............................................................................................ 51
4. SỬ DỤNG BASE THEO DÕI CẢNH BÁO ........................................................ 53
5. TÍCH HỢP XÁC ĐỊNH VÙNG CỦA ĐỊA CHỈ IP............................................. 59
6. THEO DÕI NHỮNG CẢNH BÁO SNORT TRÊN GOOGLEEARTH. ........... 60
7. TÙY CHỈNH CẤU HÌNH SNORT.CONF .......................................................... 65
CHƯƠNG III: XÂY DỰNG SNORT IPS ........................................70
1. SNORT INLINE ................................................................................................... 70
1.1. Giới thiệu .................................................................................................................................................... 70
1.2. Triển khai.................................................................................................................................................... 70
2. SNORT SAM......................................................................................................... 73
2.1. Giới thiệu .................................................................................................................................................... 73
2.2. Triển khai.................................................................................................................................................... 73
2.2.1. Triển khai SnortSam và iptables ................................................................................................................. 74
2.2.2. Triển khai SnortSam và ACL trên router Cisco .......................................................................................... 78
CHƯƠNG IV: TÌM HIỂU CÁC LUẬT DÙNG TRONG SNORT ..84
1. NGUYÊN TẮC VIẾT LUẬT ................................................................................ 84
2. KHẢO SÁT LUẬT 1 ............................................................................................. 84
3. KHẢO SÁT LUẬT 2 ............................................................................................. 85
4. KHẢO SÁT LUẬT 3 ............................................................................................. 87
5. KHẢO SÁT LUẬT 4 ............................................................................................. 89
6. KHẢO SÁT LUẬT 5 ............................................................................................. 89
7. KHẢO SÁT LUẬT 6 ............................................................................................. 90
8. KHẢO SÁT LUẬT 7 ............................................................................................. 90
9. KHẢO SÁT LUẬT 8 ............................................................................................. 94
10. KHẢO SÁT RULE CHỐNG DOS/DDOS TẠI APPLICATION LAYER ........ 100
11. PHP – SHELL UPLOAD ................................................................................... 105
KHÓ KHĂN – THUẬN LỢI ................................................................................... 108
HƯỚNG PHÁT TRIỂN TƯƠNG LAI ................................................................... 109
PHỤ LỤC .................................................................................................................. 110
1. TÀI LIỆU THAM KHẢO ................................................................................... 110
2. WEBSITE THAM KHẢO .................................................................................. 110
3. PHỤ LỤC HÌNH ẢNH ...................................................................................... 111
1
ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN
.....................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
Ngày… tháng… năm…
KÝ TÊN
………………………………………..
LỜI CẢM ƠN
Với đề tài “Tìm hiểu và phát triển các luật để phòng chống các virus mới sử
dụng hệ thống mã nguồn mở Snort”, tôi đã có dịp tiếp xúc thực tế với hệ thống IDS-
IPS trên môi trường mã nguồn mở và phương án triển khai trong môi trường thực tế,
tiếp thu được một số dạng tấn công qua môi trường internet…
Để được kết quả trên, tôi chân thành cảm ơn thầy Lưu Thanh Trà
– trưởng ngành Mạng máy tính, trường Đại học Hoa Sen, đã hướng dẫn chi tiết, đề
xuất những phương án mang tính chất định hướng, tạo thuận lợi cho việc nghiên cứu
đề tài để tôi
có thể hoàn thành quyển báo cáo này. Ngoài ra, với những kiến thức chuyên ngành
thầy đã chia sẻ trong thời gian làm báo cáo sẽ thật sự giúp ích cho tôi trong công việc
tương lai theo hướng xây dựng và kiện toàn bảo mật bảo mật hệ thống.
Trong thời gian thực hiện nghiên cứu đề tài từ 03/2011 đến 07/2011, thầy đã hỗ
trợ tôi tiếp xúc với những môi trường an ninh mạng thực tế, tạo tiền đề cho việc định
hướng công việc trong tương lai.
Trân trọng.
3
NHẬP ĐỀ
Trong thời gian gần đây, an ninh mạng được xem như là vấn đề nan giải cho
các nhà quản trị mạng và những công ty cung cấp giải pháp bảo mật… Với hàng loạt các
cuộc tấn công vào các cơ quan chính phủ, công ty, ngân hàng… đã tạo nên một
bài toán là:
Khắc phục cho hệ thống đã bị tấn công.
Phương án chống lại áp dụng cho những hệ mạng khác.
Cập nhật mới nhất những dạng tấn công để phòng tránh trước khi cuộc
tấn công xảy ra.
Với những hãng cung cấp giải pháp an ninh nổi tiếng như Kaspersky, Norton,
Cisco, Checkpoint…thì giá thành triển khai cao, không thể tham khảo mã nguồn vì
đây là những sản phẩm thương mại phần lớn là mã nguồn đóng (close source).
Tồn tại cho việc nghiên cứu và áp dụng thực tế, Snort đã phát huy tính năng
mạnh mẽ thông qua khả năng đáp ứng nhu cầu an ninh trên những hệ
mạng khác nhau. Khả năng tùy biến linh động trên mã nguồn mở giúp
Snort có một số lượng người dùng lớn trên thế giới, tạo nên một cộng đồng phát
triển Snort có chiều rộng về
số thành viên lẫn chiều sâu về kiến thức bảo mật.
4
NỘI DUNG ĐỀ TÀI
CHƯƠNG I: TỔNG QUAN IDS-IPS, SNORT
1. TỔNG QUAN IDS – IPS
1.1. Khái niệm
Hệ thống phát hiện xâm nhập (IDS) là một hệ thống được xây dựng cho việc
phát hiện các hành vi xâm phạm (truy xuất) không hợp pháp và là một cổng theo dõi
hoạt động trên hệ thống mạng hoặc một số máy trạm được chỉ định. Một IDS
hoạt động dựa vào phân tích các luồng thông tin, tập tin ghi log của một (nhiều) máy
trạm, router, firewall, server… sau đó những thông tin này được so
sánh với những signature được lưu bên trong chính IDS. Những signature là những
dấu hiệu xâm nhập
đã được biết đến. Việc so sánh thông tin nguồn với những signature giúp cho IDS có
thể nhận biết được thông tin di chuyển trong mạng có thể gây ra nguy cơ hoặc đang bị
tấn công hay không, từ đó IDS sẽ có những cảnh báo đến người quản trị.
Trong khi đó một IPS có thể đưa ra hành động để phản ứng lại những hành vi
bất hợp lệ như việc ngắt kết nối hoặc hủy những packets có thể gây tổn thương cho
mạng. Việc phản ứng có thể thực hiện một cách tự động hoặc có thể được chỉ định bởi
quản trị viên.
Ngày nay, sự khác biệt giữa IDS và IPS là không rõ ràng. Một IDS có thể thực
hiện chức năng của một IPS. Một số IDS hiện nay có thể đóng vai trò như một IPS với
những hành động phản ứng như là một tùy chọn. Thông thường, đối với một hệ thống
mạng nhỏ thì IPS là giả pháp lựa chọn hàng đầu cho việc bảo đảm an ninh hệ thống do
khả năng phát hiện, cảnh báo và ngăn chặn của IPS một cách tự động. Trong khi đó,
tại những mô hình mạng quy mô lớn thì IDS chỉ có nhiệm vụ theo dõi và cảnh báo,
việc ngăn chặn được giao cho những thiết bị khác an ninh chuyên dụng
khác như tường lửa… Việc phân bổ nhiệm vụ này giúp cho hệ thống vận hành một
cách linh
động và bảo mật hơn.
5
IDS/IPS có thể là xây dựng bằng phần mềm hoặc được kết hợp vào thiết bị phần
cứng.
1.2. Phương thức phát hiện
Tương tự những phần mềm diệt virus hiện tại, các IDS hoạt động dựa vào 2
cách thức chính: Signature detection và Anomaly dectection.
Sinatures là những dấu hiệu tích lũy các hành vi (cách thức) hoạt động trong
những dạng tấn công đã được biết đến, IDS sẽ so sánh tình trạng hiện tại với cơ sở dữ
liệu được lưu bên trong nó để xác định gói tin. Những signature cần được phát triển và
cập nhật thường xuyên từ những nhà phát triển phần mềm hoặc thiết bị IDS/IPS. Việc
cập nhật có thể là miễn phí hoặc tính phí tùy vào nhà sản xuất.
Anomaly dectection: Phương thức phát hiện bất thường dựa vào
cách hoạt động bình thường của IDS để phát hiện ra những bất thường có thể xuất
hiện trong tương lai. Thông thường, việc phát hiện bất thường dựa vào những hồ sơ
mẫu có sẵn
để lấy mẫu, tìm ra những hành động nào là bình thường, từ đó những hành động tấn
công không khớp với mẫu này được xem là không hợp lệ.
1.3. Phân loại
Dựa vào nhiệm vụ và vị trí của IDS khi triển khai trên thực tế, IDS được chia
thành 3 loại:
NIDS: Network-based Intrusion Detection System.
HIDS: Host-based Intrusion Detection System.
DIDS: Distributed Intrusion Detection System.
Network-based Intrusion Detection System
6
Hình 1: Mô hình
NIDS
NIDS được triển khai để theo dõi trên một phân khúc mạng hoặc một subnet,
thường được bố trí tại các gateway kết nối với router, firewall… Thông
switch,
thường, để thiết lập một NIDS thì NIC (Network Interface Card) cần chuyển sang chế
độ Promiscuous, ở chế độ này thì NIC có thể theo dõi toàn bộ lưu lương di chuyển qua
mạng.
NIDS khi phân gói tin ở chế độ stream, nghĩa là tích header hoặc
tích phân
payload của gói tin thì còn gọi là NIDS stateless. Đối với những gói tin bị phân mảnh
thì NIDS sẽ cần ráp lại thành một tập tin hoàn chỉnh sau đó mới xem xét thông tin bên
trong, hay còn gọi là NIDS statefull.
Ưu điểm:
Chi phí thấp, vì ta chỉ cần đặt NIDS tại những đoạn mạng trọng yếu, thiết bị
được lắp đặt tại vị trí nhất định mà không cần cài thêm phần mềm trên toàn mạng.
7
NIDS được cài đặt và theo dõi hoàn toàn độc lập với hệ thống, không tác động
đến sự vận hành trên những thiết bị khác, không bị ảnh hưởng khi trong mạng có vấn
đề xảy ra.
Kẻ tấn công khó có thể xóa bỏ dấu vết khi tấn công do NIDS sử dụng thông tin
theo thời gian thật để ghi log. Tập tin log không thể xóa bỏ do không nằm ở máy trạm,
NIDS giúp nhanh chóng phát hiện được kẻ tấn công là ai phục vụ công tác điều tra.
Kẻ tấn công không thể biết sự tồn tại của IDS vì thiết bị chỉ nhận thông tin về
mà không trả lời bất kỳ yêu cầu nào, nên việc phát hiện IDS là khó khăn.
Tính chất theo dõi bao phủ cho toàn hệ thống mạng.
Nhược điểm:
Khi NIDS xử lý các gói tin trên mạng rộng hoặc có mật độ lưu thông cao sẽ
dẫn đến tình trạng phân đoạn NIDS sẽ dùng tối đa hiệu xuất, có thể gây ra tình trạng
nghẽn mạng gây mất gói tin dẫn đến việc bỏ qua những nguy cơ tiềm
ẩn có thể. Những nhà phát triển khắc phục bằng cách cứng hóa thiết bị để tăng tốc
độ làm việc của IDS
Đối với những luồng thông tin bị mã hóa thì NIDS dường như không thể phát
hiện được, nếu có việc tấn công từ trong kết nối VPN thì NIDS không còn phát hiện
hiệu quả.
Không thể biết cuộc tấn công có thành công hay không.
Yêu cầu cập nhật những dấu hiệu mới là cần thiết để cho NIDS hoạt động hiệu
quả.
Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn
công
mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIDS
hoạt động sai và đổ vỡ.
Host-based Intrusion Detection System
8
Hình 2: Mô hình
HIDS
HIDS có hai điểm khác nhau so với NIDS là:
HIDS được cài đặt để bảo vệ những host cục bộ.
Vận hành ở chế độ nonpromiscuous.
Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường
sử dụng các cơ chế kiểm tra và phân tích các thông tin được logging. Nó tìm kiếm các
hoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang các
đặc quyền không được chấp nhận.
Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt
động trong cách host, HIDS cài đặt cho việc theo dõi cácchủ, máy
máy trạm,
laptop…
9
Vị trí triển khai HIDS được phân tán trong toàn mạng nên đây là bất lợi khi
môi trường mạng của bạn phát triển lớn hơn sau này, nghĩa là số lượng HIDS cũng
cần đượng tăng lên.
Ưu điểm:
Do hoạt động dựa vào sự ghi nhận tập tin log nên HIDS có thể cho biết cuộc
tấn công có thành công hay chưa.
Giám sát cụ thể hoạt động của hệ thống, việc mà NIDS không thể đảm nhiệm
như: truy cập tập tin, đổi quyền, đăng nhập trái phép…
Thích nghi tốt trong môi trường chuyển mạnch, mã hóa: việc chuyển mạch và
mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởng
bởi hai kỹ thuật trên (dữ liệu mã hóa đã được giải mã tại host).
Chỉ áp những rule cần thiết phụ thuộc vào server đang giám sát (Web server,
FTP server…)
Triển khai cài đặt lên hạ tầng mạng đã có, không yêu cầu thêm thiết bị phần
cứng.
Nhược điểm:
Giá thành cao: một số lượng HIDS phân tán trong toàn mạng đòi hỏi giá thành
triển khai cao. Một số host không được bảo vệ cũng có thể là một lỗ hổng an ninh gây
hại đến hệ thống, kẻ tấn công có thể lấy những thông tin xác thực, tài liệu dễ bị xâm
phạm…
Mật độ bao phủ thấp.
Khó quản trị do các HIDS bị phân tán trong toàn mạng, HIDS cần cài đặt trên
những host quan trọng dẫn đến việc cấu hình, quản lý, cập nhật là một
khối lượng công việc lớn cho người điều hành hệ thống.
Thông tin không đáng tin cậy, do hacker có thể xóa dấu vết sau khi xâm nhập
kéo theo là việc HIDS hoạt động sai, không phát hiện được xâm nhập.
10
Không phát huy được khả năng khi một cuộc tấn côn DOS, DDOS xảy ra.
Hệ thống bên trong sụp đổ kéo theo HIDS cũng mất tác dụng.
Distributed Intrusion Detection System
Hình 3: Mô hình
DIDS
DIDS là một giải pháp tổng thể trong việc xây dựng, quản lý hệ thống cảnh báo
an ninh mạng. Mô hình quản lý trập trung trong DIDS giúp tăng hiệu suất giám sát
hoạt động trên đường truyền mạng, giảm thiểu nguy cơ gây gián đoạn từ bất cứ vị trí
nào. Để hoạt động được như vậy, thì mô hình DIDS kết hợp NIDS và HIDS, những
thông tin này được quản lý tập trung tại trạm quản lý cho việc kết xuất báo cáo, cập
nhật rule mới cho những IDS khác được phân bổ trong hệ thống.
11
2. TỔNG QUAN SNORT TRÊN MÃ NGUỒN MỞ
2.1. Giới thiệu
Snort là một NIDS được phát triển bởi Martin Roesch, đây là một phần mềm
nguồn mở, hoàn toàn miễn phí và dễ sử dụng với nhiều tính năng mạnh mẽ. Hiện tại
Snort được điều hành bởi SOURCEfire và cũng nằm trong những nền tảng phát triển
của hãng tường lửa nổi tiếng Checkpoint.
Ưu điểm của Snort là nhẹ, mạnh mẽ, có tính tùy biến cao khi triển khai trên hệ
thống và đây cũng là mục tiêu mong muốn của nhà phát triển cũng như của người sử
dụng.
Snort đã thể hiện được tính uyển chuyển của mình khi có thể triển khai trên
nhiều nền tảng hệ điều hành x86, x64 khác nhau như: Windows, Linux, FreeBSD…
và kiến trúc Sparc như: MacOSX, Solaris, HP-UX…Việc kết hợp với các thiết bị
an ninh khác để chặn việc truy cập như: ACL của Cisco, Checkpoint,
iptables trên Linux… cũng là một lợi điểm khi có ý định xây dựng Snort.
Hiệu suất cao: Snort có thể theo dõi 24/7 với thời gian thật, nên việc phát hiện
xâm nhập vào hệ thống là liên tục. Hỗ trợ mạnh mẽ giao thức TCP/IP, các giao thức
khác có thể vẫn được hỗ trợ như là một tùy chọn ICMP, IPX, MPLS…
Do xây dựng với kiến trúc mở, nên Snort có một lực lượng phát triển đông đảo
khá lớn từ người dùng cho đến những hãng bảo mật nổi tiếng. Việc phát hiện những
phương pháp tấn công thường xuyên được cập nhật nếu bạn đăng ký làm thành viên.
2.2. Kiến trúc Snort
Snort có các chế độ làm việc:
Packet sniffer
Packet logger
NIDS
12
Hình 4: Quy trình thu thập, xử lý gói
tin
2.2.1. Packet decoder
Luồng dữ liệu sẽ qua packet decoder trước tiên, tại những gói tin sẽ
đi đây
được giải mã và theo dõi những thông tin: etherner header, IP header, TCP header,
payload… Snort hỗ trợ những công nghệ: Ethernet, 802.11,Token Ring, FDDI, Cisco
HDLC, SLIP,PPP và OpenBSD’s PF. Những tham số cấu hình cho việc giải mã được
lưu trong tập tin snort.conf
Tùy vào chế độ sử dụng, decoder sẽ có những hành vi tương ứng sau khi giả
mã gói tin:
Packet sniffer: (Snort –v ) gói tin sau khi giải mã sẽ được hiển thị lên màn hình
console.
Packet logger: (Snort –l /var/log/snort) gói tin sau khi giải mã sẽ ghi vào một
tập tin với cấu trúc binary hoặc mã ASCII.
13
NIDS: (Snort –c /etc/snort/etc/snort.conf) gói tin sau giải mã sẽ được
khi
chuyển sang quá trình Preprocessor tương ứng.
Hình 5: TCP
packet
2.2.2. Preprocessors
Đây là một plug-in dùng cho Snort, nhiệm vụ của preprocessor là dịch những
gói tin rời rạc thành định dạng chuẩn thông thường để có thể sử dụng được. Quá trình
preprocessor cực kỳ hữu dụng khi có các cuộc tấn công dạng phân mảnh gói tin để
đánh lừa IDS (Firewall evasion) như tấn công dạng teardrop . Tiến trình preprocessor
giúp cho việc nhận định dạng tấn công một cách thuận lợi.
Hình 6: Lưu đồ quy trình
Prerocessor
Frag3: hoạt động trên sự phân mảnh của gói tin, nối những gói bị phân mảnh
14
thành tập tin nguyên vẹn sau đó trả ngược lại decoder để phân tích nội dung bên trong.
15
Stream5: hoạt động dựa vào địa chỉ gói tin, theo dõi trên luồng thông tin, các
gói tin lại đưa ngược về decoder. Trong phiên bản Snort 2.9.0 Stream5 được thay thế
cho Stream4 và flow được dùng trong những phiên bản trước đó.
Hình 7: Tổng thể cơ chế
Snort
http_inspect: cung cấp cơ chế phân giải chuỗi ký tự trở về dạng chuẩn của một
cấu trúc URI, nó bỏ những gói tin Respond từ server đến client, chỉ xem
qua xét
những gói tin Request client đến server. Nhờ vậy, IDS có giảm được lượng
từ thể
thông tin không cần thiết phải theo dõi, do thông thường những gói tin tấn công xuất
phát từ phía client (Client thường gởi Request và server chỉ trả lời Respond).
16
NGÀNH MẠNG MÁY TÍNH
LỚP VT081A
BÁO CÁO ĐỀ TÀI TỐT NGHIỆP
Tên sinh viên thực hiện: QUAN MINH TÂM
Giáo viên hướng dẫn: LƯU THANH TRÀ
Ngày nộp báo cáo: .............................................................
Người nhận báo cáo (ký tên và ghi rõ họ tên):
……………………………………………………………………………………..
Tháng 07 /năm 2011
TRÍCH YẾU
Đi cùng với sự phát triển không ngừng của các nhóm ngành nghề kinh tế, xã
hội; lĩnh vực khoa học số cũng đã và đang dần chiếm giữ vị thế quan trọng trong xu
thế phát triển chung của xã hội loài người. Nhận thấy được tầm quan trọng đó, cùng
với sự yêu thích cá nhân, tôi đã tham gia khóa học chuyên ngành mạng máy tính tại
trường Đại Học Hoa Sen. Bên cạnh sự nỗ lực của bản thân, cùng với sự giúp đỡ, hỗ
trợ của các thầy cô, tôi đã có kết quả tốt và có được cơ hội thực hiện đề tài tốt nghiệp
này. Để đạt kết quả tốt với những mục tiêu đề ra, tôi đã tham khảo thêm tư liệu bên
ngoài, cùng với sự hướng dẫn trực tiếp của giáo viên Lưu Thanh Trà. Khi bắt tay vào
thực hiện đề tài tốt nghiệp này, tôi mới nhận thấy được nhưng khó khăn trong kỹ thuật
thực tiễn, cũng như những lỗ hổng kiến thức chưa vững chắc của bản thân để củng cố
và rèn luyện thêm. Tôi luôn cố gắng để hoàn thiện các kỹ năng chuyên ngành, kiến
thức cần có trong nghề không để chỉ phục vụ cho luận án tốt nghiệp này, mà đó sẽ là
nền tảng tốt cho tôi trong công việc ở tương lai.
1
MỤC LỤC
TRÍCH YẾU................................................................................................................. II
MỤC LỤC .................................................................................................................. III
ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN ........................................................ V
LỜI CẢM ƠN ............................................................................................................ VI
NHẬP ĐỀ ...................................................................................................................... 7
NỘI DUNG ĐỀ TÀI ..................................................................................................... 8
CHƯƠNG I: TỔNG QUAN IDS-IPS, SNORT..................................8
1. TỔNG QUAN IDS – IPS ........................................................................................ 8
1.1. Khái niệm ..................................................................................................................................................... 8
1.2. Phương thức phát hiện ................................................................................................................................. 9
1.3. Phân loại ....................................................................................................................................................... 9
2. TỔNG QUAN SNORT TRÊN MÃ NGUỒN MỞ ................................................ 15
2.1. Giới thiệu .................................................................................................................................................... 15
2.2. Kiến trúc Snort............................................................................................................................................ 15
2.2.1. Packet decoder ....................................................................................................................................... 16
2.2.2. Preprocessors ......................................................................................................................................... 17
2.2.3. Detection Engine.................................................................................................................................... 19
2.2.4. Outputs................................................................................................................................................... 19
3. RULES .................................................................................................................. 20
3.1. Giới thiệu .................................................................................................................................................... 20
3.2. Rule header ................................................................................................................................................. 20
3.3. Rule option ................................................................................................................................................. 22
3.3.1. Nhóm General ........................................................................................................................................ 23
3.3.2. Nhóm Payload........................................................................................................................................ 27
3.3.3 Nhóm Non-payload................................................................................................................................ 37
3.3.4 Nhóm Post-Detection ............................................................................................................................. 44
CHƯƠNG II: TRIỂN KHAI SNORT...............................................48
1. YÊU CẦU .............................................................................................................. 48
2. CÀI ĐẶT ............................................................................................................... 49
3. CẤU HÌNH CƠ BẢN............................................................................................ 51
4. SỬ DỤNG BASE THEO DÕI CẢNH BÁO ........................................................ 53
5. TÍCH HỢP XÁC ĐỊNH VÙNG CỦA ĐỊA CHỈ IP............................................. 59
6. THEO DÕI NHỮNG CẢNH BÁO SNORT TRÊN GOOGLEEARTH. ........... 60
7. TÙY CHỈNH CẤU HÌNH SNORT.CONF .......................................................... 65
CHƯƠNG III: XÂY DỰNG SNORT IPS ........................................70
1. SNORT INLINE ................................................................................................... 70
1.1. Giới thiệu .................................................................................................................................................... 70
1.2. Triển khai.................................................................................................................................................... 70
2. SNORT SAM......................................................................................................... 73
2.1. Giới thiệu .................................................................................................................................................... 73
2.2. Triển khai.................................................................................................................................................... 73
2.2.1. Triển khai SnortSam và iptables ................................................................................................................. 74
2.2.2. Triển khai SnortSam và ACL trên router Cisco .......................................................................................... 78
CHƯƠNG IV: TÌM HIỂU CÁC LUẬT DÙNG TRONG SNORT ..84
1. NGUYÊN TẮC VIẾT LUẬT ................................................................................ 84
2. KHẢO SÁT LUẬT 1 ............................................................................................. 84
3. KHẢO SÁT LUẬT 2 ............................................................................................. 85
4. KHẢO SÁT LUẬT 3 ............................................................................................. 87
5. KHẢO SÁT LUẬT 4 ............................................................................................. 89
6. KHẢO SÁT LUẬT 5 ............................................................................................. 89
7. KHẢO SÁT LUẬT 6 ............................................................................................. 90
8. KHẢO SÁT LUẬT 7 ............................................................................................. 90
9. KHẢO SÁT LUẬT 8 ............................................................................................. 94
10. KHẢO SÁT RULE CHỐNG DOS/DDOS TẠI APPLICATION LAYER ........ 100
11. PHP – SHELL UPLOAD ................................................................................... 105
KHÓ KHĂN – THUẬN LỢI ................................................................................... 108
HƯỚNG PHÁT TRIỂN TƯƠNG LAI ................................................................... 109
PHỤ LỤC .................................................................................................................. 110
1. TÀI LIỆU THAM KHẢO ................................................................................... 110
2. WEBSITE THAM KHẢO .................................................................................. 110
3. PHỤ LỤC HÌNH ẢNH ...................................................................................... 111
1
ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN
.....................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
......................................................................................................................................
Ngày… tháng… năm…
KÝ TÊN
………………………………………..
LỜI CẢM ƠN
Với đề tài “Tìm hiểu và phát triển các luật để phòng chống các virus mới sử
dụng hệ thống mã nguồn mở Snort”, tôi đã có dịp tiếp xúc thực tế với hệ thống IDS-
IPS trên môi trường mã nguồn mở và phương án triển khai trong môi trường thực tế,
tiếp thu được một số dạng tấn công qua môi trường internet…
Để được kết quả trên, tôi chân thành cảm ơn thầy Lưu Thanh Trà
– trưởng ngành Mạng máy tính, trường Đại học Hoa Sen, đã hướng dẫn chi tiết, đề
xuất những phương án mang tính chất định hướng, tạo thuận lợi cho việc nghiên cứu
đề tài để tôi
có thể hoàn thành quyển báo cáo này. Ngoài ra, với những kiến thức chuyên ngành
thầy đã chia sẻ trong thời gian làm báo cáo sẽ thật sự giúp ích cho tôi trong công việc
tương lai theo hướng xây dựng và kiện toàn bảo mật bảo mật hệ thống.
Trong thời gian thực hiện nghiên cứu đề tài từ 03/2011 đến 07/2011, thầy đã hỗ
trợ tôi tiếp xúc với những môi trường an ninh mạng thực tế, tạo tiền đề cho việc định
hướng công việc trong tương lai.
Trân trọng.
3
NHẬP ĐỀ
Trong thời gian gần đây, an ninh mạng được xem như là vấn đề nan giải cho
các nhà quản trị mạng và những công ty cung cấp giải pháp bảo mật… Với hàng loạt các
cuộc tấn công vào các cơ quan chính phủ, công ty, ngân hàng… đã tạo nên một
bài toán là:
Khắc phục cho hệ thống đã bị tấn công.
Phương án chống lại áp dụng cho những hệ mạng khác.
Cập nhật mới nhất những dạng tấn công để phòng tránh trước khi cuộc
tấn công xảy ra.
Với những hãng cung cấp giải pháp an ninh nổi tiếng như Kaspersky, Norton,
Cisco, Checkpoint…thì giá thành triển khai cao, không thể tham khảo mã nguồn vì
đây là những sản phẩm thương mại phần lớn là mã nguồn đóng (close source).
Tồn tại cho việc nghiên cứu và áp dụng thực tế, Snort đã phát huy tính năng
mạnh mẽ thông qua khả năng đáp ứng nhu cầu an ninh trên những hệ
mạng khác nhau. Khả năng tùy biến linh động trên mã nguồn mở giúp
Snort có một số lượng người dùng lớn trên thế giới, tạo nên một cộng đồng phát
triển Snort có chiều rộng về
số thành viên lẫn chiều sâu về kiến thức bảo mật.
4
NỘI DUNG ĐỀ TÀI
CHƯƠNG I: TỔNG QUAN IDS-IPS, SNORT
1. TỔNG QUAN IDS – IPS
1.1. Khái niệm
Hệ thống phát hiện xâm nhập (IDS) là một hệ thống được xây dựng cho việc
phát hiện các hành vi xâm phạm (truy xuất) không hợp pháp và là một cổng theo dõi
hoạt động trên hệ thống mạng hoặc một số máy trạm được chỉ định. Một IDS
hoạt động dựa vào phân tích các luồng thông tin, tập tin ghi log của một (nhiều) máy
trạm, router, firewall, server… sau đó những thông tin này được so
sánh với những signature được lưu bên trong chính IDS. Những signature là những
dấu hiệu xâm nhập
đã được biết đến. Việc so sánh thông tin nguồn với những signature giúp cho IDS có
thể nhận biết được thông tin di chuyển trong mạng có thể gây ra nguy cơ hoặc đang bị
tấn công hay không, từ đó IDS sẽ có những cảnh báo đến người quản trị.
Trong khi đó một IPS có thể đưa ra hành động để phản ứng lại những hành vi
bất hợp lệ như việc ngắt kết nối hoặc hủy những packets có thể gây tổn thương cho
mạng. Việc phản ứng có thể thực hiện một cách tự động hoặc có thể được chỉ định bởi
quản trị viên.
Ngày nay, sự khác biệt giữa IDS và IPS là không rõ ràng. Một IDS có thể thực
hiện chức năng của một IPS. Một số IDS hiện nay có thể đóng vai trò như một IPS với
những hành động phản ứng như là một tùy chọn. Thông thường, đối với một hệ thống
mạng nhỏ thì IPS là giả pháp lựa chọn hàng đầu cho việc bảo đảm an ninh hệ thống do
khả năng phát hiện, cảnh báo và ngăn chặn của IPS một cách tự động. Trong khi đó,
tại những mô hình mạng quy mô lớn thì IDS chỉ có nhiệm vụ theo dõi và cảnh báo,
việc ngăn chặn được giao cho những thiết bị khác an ninh chuyên dụng
khác như tường lửa… Việc phân bổ nhiệm vụ này giúp cho hệ thống vận hành một
cách linh
động và bảo mật hơn.
5
IDS/IPS có thể là xây dựng bằng phần mềm hoặc được kết hợp vào thiết bị phần
cứng.
1.2. Phương thức phát hiện
Tương tự những phần mềm diệt virus hiện tại, các IDS hoạt động dựa vào 2
cách thức chính: Signature detection và Anomaly dectection.
Sinatures là những dấu hiệu tích lũy các hành vi (cách thức) hoạt động trong
những dạng tấn công đã được biết đến, IDS sẽ so sánh tình trạng hiện tại với cơ sở dữ
liệu được lưu bên trong nó để xác định gói tin. Những signature cần được phát triển và
cập nhật thường xuyên từ những nhà phát triển phần mềm hoặc thiết bị IDS/IPS. Việc
cập nhật có thể là miễn phí hoặc tính phí tùy vào nhà sản xuất.
Anomaly dectection: Phương thức phát hiện bất thường dựa vào
cách hoạt động bình thường của IDS để phát hiện ra những bất thường có thể xuất
hiện trong tương lai. Thông thường, việc phát hiện bất thường dựa vào những hồ sơ
mẫu có sẵn
để lấy mẫu, tìm ra những hành động nào là bình thường, từ đó những hành động tấn
công không khớp với mẫu này được xem là không hợp lệ.
1.3. Phân loại
Dựa vào nhiệm vụ và vị trí của IDS khi triển khai trên thực tế, IDS được chia
thành 3 loại:
NIDS: Network-based Intrusion Detection System.
HIDS: Host-based Intrusion Detection System.
DIDS: Distributed Intrusion Detection System.
Network-based Intrusion Detection System
6
Hình 1: Mô hình
NIDS
NIDS được triển khai để theo dõi trên một phân khúc mạng hoặc một subnet,
thường được bố trí tại các gateway kết nối với router, firewall… Thông
switch,
thường, để thiết lập một NIDS thì NIC (Network Interface Card) cần chuyển sang chế
độ Promiscuous, ở chế độ này thì NIC có thể theo dõi toàn bộ lưu lương di chuyển qua
mạng.
NIDS khi phân gói tin ở chế độ stream, nghĩa là tích header hoặc
tích phân
payload của gói tin thì còn gọi là NIDS stateless. Đối với những gói tin bị phân mảnh
thì NIDS sẽ cần ráp lại thành một tập tin hoàn chỉnh sau đó mới xem xét thông tin bên
trong, hay còn gọi là NIDS statefull.
Ưu điểm:
Chi phí thấp, vì ta chỉ cần đặt NIDS tại những đoạn mạng trọng yếu, thiết bị
được lắp đặt tại vị trí nhất định mà không cần cài thêm phần mềm trên toàn mạng.
7
NIDS được cài đặt và theo dõi hoàn toàn độc lập với hệ thống, không tác động
đến sự vận hành trên những thiết bị khác, không bị ảnh hưởng khi trong mạng có vấn
đề xảy ra.
Kẻ tấn công khó có thể xóa bỏ dấu vết khi tấn công do NIDS sử dụng thông tin
theo thời gian thật để ghi log. Tập tin log không thể xóa bỏ do không nằm ở máy trạm,
NIDS giúp nhanh chóng phát hiện được kẻ tấn công là ai phục vụ công tác điều tra.
Kẻ tấn công không thể biết sự tồn tại của IDS vì thiết bị chỉ nhận thông tin về
mà không trả lời bất kỳ yêu cầu nào, nên việc phát hiện IDS là khó khăn.
Tính chất theo dõi bao phủ cho toàn hệ thống mạng.
Nhược điểm:
Khi NIDS xử lý các gói tin trên mạng rộng hoặc có mật độ lưu thông cao sẽ
dẫn đến tình trạng phân đoạn NIDS sẽ dùng tối đa hiệu xuất, có thể gây ra tình trạng
nghẽn mạng gây mất gói tin dẫn đến việc bỏ qua những nguy cơ tiềm
ẩn có thể. Những nhà phát triển khắc phục bằng cách cứng hóa thiết bị để tăng tốc
độ làm việc của IDS
Đối với những luồng thông tin bị mã hóa thì NIDS dường như không thể phát
hiện được, nếu có việc tấn công từ trong kết nối VPN thì NIDS không còn phát hiện
hiệu quả.
Không thể biết cuộc tấn công có thành công hay không.
Yêu cầu cập nhật những dấu hiệu mới là cần thiết để cho NIDS hoạt động hiệu
quả.
Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn
công
mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIDS
hoạt động sai và đổ vỡ.
Host-based Intrusion Detection System
8
Hình 2: Mô hình
HIDS
HIDS có hai điểm khác nhau so với NIDS là:
HIDS được cài đặt để bảo vệ những host cục bộ.
Vận hành ở chế độ nonpromiscuous.
Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường
sử dụng các cơ chế kiểm tra và phân tích các thông tin được logging. Nó tìm kiếm các
hoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang các
đặc quyền không được chấp nhận.
Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt
động trong cách host, HIDS cài đặt cho việc theo dõi cácchủ, máy
máy trạm,
laptop…
9
Vị trí triển khai HIDS được phân tán trong toàn mạng nên đây là bất lợi khi
môi trường mạng của bạn phát triển lớn hơn sau này, nghĩa là số lượng HIDS cũng
cần đượng tăng lên.
Ưu điểm:
Do hoạt động dựa vào sự ghi nhận tập tin log nên HIDS có thể cho biết cuộc
tấn công có thành công hay chưa.
Giám sát cụ thể hoạt động của hệ thống, việc mà NIDS không thể đảm nhiệm
như: truy cập tập tin, đổi quyền, đăng nhập trái phép…
Thích nghi tốt trong môi trường chuyển mạnch, mã hóa: việc chuyển mạch và
mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởng
bởi hai kỹ thuật trên (dữ liệu mã hóa đã được giải mã tại host).
Chỉ áp những rule cần thiết phụ thuộc vào server đang giám sát (Web server,
FTP server…)
Triển khai cài đặt lên hạ tầng mạng đã có, không yêu cầu thêm thiết bị phần
cứng.
Nhược điểm:
Giá thành cao: một số lượng HIDS phân tán trong toàn mạng đòi hỏi giá thành
triển khai cao. Một số host không được bảo vệ cũng có thể là một lỗ hổng an ninh gây
hại đến hệ thống, kẻ tấn công có thể lấy những thông tin xác thực, tài liệu dễ bị xâm
phạm…
Mật độ bao phủ thấp.
Khó quản trị do các HIDS bị phân tán trong toàn mạng, HIDS cần cài đặt trên
những host quan trọng dẫn đến việc cấu hình, quản lý, cập nhật là một
khối lượng công việc lớn cho người điều hành hệ thống.
Thông tin không đáng tin cậy, do hacker có thể xóa dấu vết sau khi xâm nhập
kéo theo là việc HIDS hoạt động sai, không phát hiện được xâm nhập.
10
Không phát huy được khả năng khi một cuộc tấn côn DOS, DDOS xảy ra.
Hệ thống bên trong sụp đổ kéo theo HIDS cũng mất tác dụng.
Distributed Intrusion Detection System
Hình 3: Mô hình
DIDS
DIDS là một giải pháp tổng thể trong việc xây dựng, quản lý hệ thống cảnh báo
an ninh mạng. Mô hình quản lý trập trung trong DIDS giúp tăng hiệu suất giám sát
hoạt động trên đường truyền mạng, giảm thiểu nguy cơ gây gián đoạn từ bất cứ vị trí
nào. Để hoạt động được như vậy, thì mô hình DIDS kết hợp NIDS và HIDS, những
thông tin này được quản lý tập trung tại trạm quản lý cho việc kết xuất báo cáo, cập
nhật rule mới cho những IDS khác được phân bổ trong hệ thống.
11
2. TỔNG QUAN SNORT TRÊN MÃ NGUỒN MỞ
2.1. Giới thiệu
Snort là một NIDS được phát triển bởi Martin Roesch, đây là một phần mềm
nguồn mở, hoàn toàn miễn phí và dễ sử dụng với nhiều tính năng mạnh mẽ. Hiện tại
Snort được điều hành bởi SOURCEfire và cũng nằm trong những nền tảng phát triển
của hãng tường lửa nổi tiếng Checkpoint.
Ưu điểm của Snort là nhẹ, mạnh mẽ, có tính tùy biến cao khi triển khai trên hệ
thống và đây cũng là mục tiêu mong muốn của nhà phát triển cũng như của người sử
dụng.
Snort đã thể hiện được tính uyển chuyển của mình khi có thể triển khai trên
nhiều nền tảng hệ điều hành x86, x64 khác nhau như: Windows, Linux, FreeBSD…
và kiến trúc Sparc như: MacOSX, Solaris, HP-UX…Việc kết hợp với các thiết bị
an ninh khác để chặn việc truy cập như: ACL của Cisco, Checkpoint,
iptables trên Linux… cũng là một lợi điểm khi có ý định xây dựng Snort.
Hiệu suất cao: Snort có thể theo dõi 24/7 với thời gian thật, nên việc phát hiện
xâm nhập vào hệ thống là liên tục. Hỗ trợ mạnh mẽ giao thức TCP/IP, các giao thức
khác có thể vẫn được hỗ trợ như là một tùy chọn ICMP, IPX, MPLS…
Do xây dựng với kiến trúc mở, nên Snort có một lực lượng phát triển đông đảo
khá lớn từ người dùng cho đến những hãng bảo mật nổi tiếng. Việc phát hiện những
phương pháp tấn công thường xuyên được cập nhật nếu bạn đăng ký làm thành viên.
2.2. Kiến trúc Snort
Snort có các chế độ làm việc:
Packet sniffer
Packet logger
NIDS
12
Hình 4: Quy trình thu thập, xử lý gói
tin
2.2.1. Packet decoder
Luồng dữ liệu sẽ qua packet decoder trước tiên, tại những gói tin sẽ
đi đây
được giải mã và theo dõi những thông tin: etherner header, IP header, TCP header,
payload… Snort hỗ trợ những công nghệ: Ethernet, 802.11,Token Ring, FDDI, Cisco
HDLC, SLIP,PPP và OpenBSD’s PF. Những tham số cấu hình cho việc giải mã được
lưu trong tập tin snort.conf
Tùy vào chế độ sử dụng, decoder sẽ có những hành vi tương ứng sau khi giả
mã gói tin:
Packet sniffer: (Snort –v ) gói tin sau khi giải mã sẽ được hiển thị lên màn hình
console.
Packet logger: (Snort –l /var/log/snort) gói tin sau khi giải mã sẽ ghi vào một
tập tin với cấu trúc binary hoặc mã ASCII.
13
NIDS: (Snort –c /etc/snort/etc/snort.conf) gói tin sau giải mã sẽ được
khi
chuyển sang quá trình Preprocessor tương ứng.
Hình 5: TCP
packet
2.2.2. Preprocessors
Đây là một plug-in dùng cho Snort, nhiệm vụ của preprocessor là dịch những
gói tin rời rạc thành định dạng chuẩn thông thường để có thể sử dụng được. Quá trình
preprocessor cực kỳ hữu dụng khi có các cuộc tấn công dạng phân mảnh gói tin để
đánh lừa IDS (Firewall evasion) như tấn công dạng teardrop . Tiến trình preprocessor
giúp cho việc nhận định dạng tấn công một cách thuận lợi.
Hình 6: Lưu đồ quy trình
Prerocessor
Frag3: hoạt động trên sự phân mảnh của gói tin, nối những gói bị phân mảnh
14
thành tập tin nguyên vẹn sau đó trả ngược lại decoder để phân tích nội dung bên trong.
15
Stream5: hoạt động dựa vào địa chỉ gói tin, theo dõi trên luồng thông tin, các
gói tin lại đưa ngược về decoder. Trong phiên bản Snort 2.9.0 Stream5 được thay thế
cho Stream4 và flow được dùng trong những phiên bản trước đó.
Hình 7: Tổng thể cơ chế
Snort
http_inspect: cung cấp cơ chế phân giải chuỗi ký tự trở về dạng chuẩn của một
cấu trúc URI, nó bỏ những gói tin Respond từ server đến client, chỉ xem
qua xét
những gói tin Request client đến server. Nhờ vậy, IDS có giảm được lượng
từ thể
thông tin không cần thiết phải theo dõi, do thông thường những gói tin tấn công xuất
phát từ phía client (Client thường gởi Request và server chỉ trả lời Respond).
16