SlideShare ist ein Scribd-Unternehmen logo
1 von 13
Downloaden Sie, um offline zu lesen
SNORT
HỆ THỐNG PHÁT HIỆN XÂM NHẬP
NOVEMBER 18, 2015
ĐH Khoa học Tự nhiên TP HCM
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 1
Chuyên đề hệ điều hành Linux
MỤC LỤC
1. ĐẶT VẤN ĐỀ......................................................................................................................2
2. KHÁI NIỆM.........................................................................................................................2
3. CHỨC NĂNG......................................................................................................................2
4. HOẠT ĐỘNG ......................................................................................................................3
4.1. Các thành phần của Snort..........................................................................................3
4.1.1. Packet Decoder (bộ phận giải mã gói tin) .......................................................3
4.1.2. Preprocessor (bộ phận tiền xử lý).....................................................................4
4.1.3. Detection Engine (bộ phận kiểm tra) ...............................................................4
4.1.4. Logging and Alerting System (Bộ phận ghi nhận và thông báo) .................5
4.1.5. Output Modules (bộ phận đầu ra).....................................................................5
4.2. Các chế độ thực thi của Snort...................................................................................5
4.2.1. Sniff mode(snort –v): .........................................................................................5
4.2.2. Pakcet logger mode (snort –l /var/log/snort)...................................................6
4.2.3. Network Intrusion Detection System (NIDS) NIDS mode (snort –c
/etc/snort/snort.conf –I eth0) ..............................................................................................6
4.2.4. Inline mode..........................................................................................................6
4.3. Cấu trúc của Rules......................................................................................................7
4.3.1. Rule header..........................................................................................................7
4.3.2. Rule Options........................................................................................................8
4.4. Vị trí của Snort trong hệ thống mạng ......................................................................9
5. ƯU NHƯỢC ĐIỂM ..........................................................................................................11
6. HƯỚNG PHÁT TRIỂN....................................................................................................12
7. DEMO .................................................................................................................................12
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 2
Chuyên đề hệ điều hành Linux
1. ĐẶT VẤN ĐỀ
Ngày nay, nhu cầu trao đối dữ liệu qua hệ thống mạng máy tính trở thành vô cùng
quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông
tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tố chức, các nhà
cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến
các hệ thống an ninh mạng trờ nên mất hiệu quả. Các hệ thống an ninh mạng truyền
thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống
mạng một cách cứng nhắc dựa trên các luật bào vệ cố định. Với kiểu phòng thủ này, các
hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công
nhằm vào điếm yếu của hệ thống. Vì vậy cần phải có một hệ thống nhằm giám sát luồng
thông tin vào ra trên mạng và bảo vệ các hệ thống mạng khói sự tẩn công từ Internet.
Kiểm soát tài nguyên và hoạt động của hệ thống mạng, sử dụng thông tin thu thập được
từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được
khả năng có sự xâm nhập.
Hơn nữa tường lửa chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi
mạng. Một khi kẻ xâm nhập đã vượt qua được tường lửa, người đó có thể tung hoành trên
mạng. Đó là lý do tại sao hệ thống phát hiện xâm nhập có vai trò quan trọng. Hệ thổng
phát hiện xâm nhập IDS là hệ thống phần mềm hay phần cứng tự động thực hiện quy
trình giám sát các sự kiện diễn ra trong hệ thống máy tính hay mạng máy tính, phân tích
đượcc phát hiện ra những vấn đồ an ninh cho hệ thống.
2. KHÁI NIỆM
Snort là một NIDS được phát triển bởi Martin Roesch vào năm 1998, là phần mềm
mã nguồn mở, hoàn toàn miễn phí và dễ sử dụng với nhiều tính năng mạnh mẽ. Hiện tại
Snort đang được điều hành bởi Sourcefire và nằm trong những nền tảng phát triển của
hãng firewall Checkpoint.
NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để quét dữ
liệu di chuyến trên mạng. Cũng có các hệ thống phát hiện xâm nhập host-based, được cài
đặt trên một host cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó. Mặc dù tất
cả các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ
thống tốt nhất hiện nay
Phiên bản hiện tại Snort 2.9.7.6 được build vào 13 – 08 – 2015 bởi Rahul Burman
3. CHỨC NĂNG
Snort có thể phục vụ như một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hoặc
một hệ thống phát hiện xâm nhập mạng (NIDS). Bên cạnh đó có rất nhiều add-on cho Snort
để quản lý (ghi log, quản lý, tạo rules...). Tuy không phải là phần lõi của Snort nhưng các
thành phần này đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 3
Chuyên đề hệ điều hành Linux
năng của Snort.
Thông thường, Snort chỉ nói chuyện vói TCP/IP. Mặc dù, với các phần tùy chỉnh mở
rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác, chẳng hạn như Novell’s
IPX. TCP/IP là một giao thức phổ biến của Internet. Do đó, Snort chủ yếu phân tích và
cảnh báo trên giao thức TCP/IP.
4. HOẠT ĐỘNG
4.1. Các thành phần của Snort
Snort được chia thành nhiều thành phần một cách logic. Những thành phần này làm
việc cùng nhau để phát hiện các cuộc tấn công cụ thể và để tạo ra các định dạng cần thiết
từ hệ thống phát hiện. Snort bao gồm các thành phần chính sau đây: Packet Decoder
Preprocessors Detection Engine Loging and alerting System Output Modules
Hình Các thành phần của Snort
Ở hình trên cho thấy bất kỳ dữ liệu nào đếntừ internet đều đi vào packet decoder. Trên
đường đi của nó với các module đầu ra, nó hoặc bị loại bỏ, ghi nhận hoặc một cảnh báo
được tạo ra.
4.1.1. Packet Decoder (bộ phận giải mã gói tin)
Các gói dữ liệu đi vào qua các cổng giao tiếp mạng, các cổng giao tiếp này có thể là:
Ethernet, SLIP, ppp... Và được giải mã bởi packet decoder, trong đó xác định giao thức
được sử dụng cho gói tin và dữ liệu phù hợp với hành vi được cho phép của phần giao thức
của chúng. Packet Decoder có thể tạo ra các cảnh báo riêng của mình dựa trên phần header
của giao thức, các gói tin quá dài, bất thường hoặc không chính xác các tùy chọn TCP được
thiết lập trong phần header. Có thể kích hoạt hoặc vô hiệu hóa các cảnh báo dài dòng cho
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 4
Chuyên đề hệ điều hành Linux
tất cả các trường trong tập tin snort.conf.
Sau khi dữ liệu được giải mã đúng, chúng sẽ được gửi đến bộ phận tiền xử lý
(preprocessor).
4.1.2. Preprocessor (bộ phận tiền xử lý)
Các Preprocessor là những thành phần hoặc plug-in có thể sử dụng cho Snort để sắp
xếp, chỉnh sửa các gói dữ liệu trước khi bộ phần Detection Engine làm việc với chúng. Một
số Preprocessor cũng thực hiện phát hiện dấu hiệu dị thường bằng cách tìm trong phần tiêu
đề của gói tin và tạo ra các cảnh báo.
Preprocessor rất quan trọng với bất kỳ hệ thống IDS nào để chuẩn bị dữ liệu cần thiết
về gói tin để bộ phận Detection Engine làm việc.
Preprocessor còndùng để tái hợp gói tin cho các gói tin có kích thước lớn. Ngoài ra nó
còn giải mã các gói tin đã được mã hóa trước khi chuyển đến bộ phận Detection Engine.
4.1.3. Detection Engine (bộ phận kiểm tra)
Detection Engine là bộ phận quan trọng nhất của Snort. Trách nhiệm của nó là phát
hiện bất kì dấu hiệu tấn công nào tồn tại trong gói tin bằng cách sử dụng các rule để đối
chiếu với thông tin trong gói tin. Nếu gói tin là phù hợp với rule, hành động thích hợp được
thực hiện
Hiệu suất hoạt động của bộ phận này phụ thuộc các yếu tố như: số lượng rule, cấu hình
máy mà Snort đang chạy, tốc độ bus sử dụng cho máy Snort, lưu lượng mạng.
Detection Engine có thể phân chia gói tin và áp dụng rule cho các phần khác nhau của
gói tin.
Các phần đó có thể là:
 Phần IP header của gói tin
 Phần header của tầng transport: Đây là phần tiêu đề bao gồm TCP, UDP hoặc các
header của tầng transport khác. Nó cũng có thể làm việc với header của ICMP.
 Phần header của các lớp ứng dụng: Bao gồm header của lớp ứng dụng, nhưng không
giới hạn, DNS header, FTP header, SNMP header, và SMTP header.
 Packet payload: Có nghĩa là có thể tạo ra rule được sử dụng bởi detection engine để
tìm kiếm một chuỗi bên trong dừ liệu của gói tin.
Bộ phận này hoạt động theo hai cách khác nhau theo hai phiên bản của Snort.
Phiên bản l.x: Việc xử lý gói tin còn hạn chế trong trường hợp các dấu hiệu trong gói
tin đó phù hợp với dấu hiệu trong nhiều rule. Khi đó nếu có rule nào được áp dụng trước
thì các rule còn lại sẽ bị bỏ qua mặc dù các rule có độ ưu tiên khác nhau. Như vậy sẽ nảy
sinh trường họp các rule có độ ưu tiên cao hơn bị bỏ qua.
Phiên bản 2.x: Nhược điểm trên của phiên bản l.x được khắc phục hoàn toàn nhờ vào
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 5
Chuyên đề hệ điều hành Linux
cơ chế kiểm tra trên toàn bộ rule. Sau đó lấy ra rule có độ ưu tiên cao nhất để tạo thông
báo.
Tốc độ của phiên bản 2.X nhanh hơn rất nhiều so với phiên bản l.x nhờ phiên bản 2.X
được biên dịch lại.
4.1.4. Logging and Alerting System (Bộ phận ghi nhận và thông báo)
Khi bộ phận detection engine phát hiện ra các dấu hiệu tấn công thì nó sẽ thông báo
cho bộ phận Logging and Alerting System. Các ghi nhận, thông báo có thể được lưu dưới
dạng văn bản hoặc một số định dạng khác. Mặc định thì chúng được luư tại thư mục
/var/iog/snort.
4.1.5. Output Modules (bộ phận đầu ra)
Bộ phận đầu ra của Snort phụ thuộc vào việc ta ghi các ghi nhận, thông báo theo cách
thức nào. Có thể cấu hình bộ phận này để thực hiện các chức năng sau:
 Lưu các ghi nhận và thông báo theo định dạng các file văn bản hoặc vào cơ sở dữ
liệu.
 Gửi thông tin SNMP.
 Gửi các thông điệp đến hệ thống ghi log.
 Lưu các ghi nhận và thông báo vào cơ sở dữ liệu (MySQL, Oracle...).
 Chỉnh sửa cấu hình trên Router, Firewall.
4.2. Các chế độ thực thi của Snort
4.2.1. Sniff mode(snort –v):
Ở chế độnày, Snort hoạt động như một chương trình thu thập và phân tíchgói tin thông
thường, lắng nghe gói tin trên mạng, sau đó giải mã và hiển thị chúng lênmàn hình console.
Không cần sử dụng file cấu hình, các thông tin Snort sẽ thu được khi hoạt động ở chế độ
này:
 Date and time.
 Source EP address.
 Source port number.
 Destination IP address.
 Destination port.
 Transport layer protocol used in this packet.
 Time to live or TTL value in this packet.
 Type of service or TOS value.
 Packer ID.
 Length of IP header.
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 6
Chuyên đề hệ điều hành Linux
 IP payload.
 Don’t fragment or DF bit is set in IP header.
 Two TCP flags A and p are on.
 TCP sequence number.
 Acknowledgement number in TCP header.
 TCP Window field.
 TCP header length.
4.2.2. Pakcet logger mode (snort –l /var/log/snort)
Khi chạy ở chế độ này, Snort sẽ tập hợp tất cả các packet nó thấy được và đưa vào log
theo cấu trúc phân tầng. Một thư mục mới sẽ được tạo ra ứng với mỗi địa chỉ nó bắt được,
và dữ liệu sẽ phụ thuộc vào địa chỉ mà nó lưu trong thư mục đó. Snort đặt các packet vào
trong file ASCII, với tên liên quan đến giao thức và cổng. Sự sắp xếp này dễ dàng nhận ra
ai đang kết nối vào mạng của mình và giao thức, cổng nào đang sử dụng. Đơn giản sử dụng
ls-R để hiện danh sách các thư mục.
Tuy nhiên sự phân cấp này sẽ tạo ra nhiều thư mục trong giờ cao điểm nên rất khó để
xem hết tất cả thư mục và file này. Nếu ai đó sử dụng full scan với 65536 TCP Port và
65535 UDP ports và sẽ tạo ra 131000 hoặc từng ấy file .
Log với dạng nhị phân (binary) tất cả những gì có thể đọc được bởi Snort, nó làm tăng
đốc độ khả năng bắt gói tin của Snort. Hầu hết các hệ thống có thể capture và log ở tốc độ
100Mbps mà không có vấn đề gì.
4.2.3. Network Intrusion Detection System (NIDS) NIDS mode (snort –c
/etc/snort/snort.conf –I eth0)
Snort thường được sử dụng như một NIDS. Nó nhẹ, nhanh chóng, hiệu quả và sử dụng
các rule để áp dụng lên gói tin. Khi phát hiện có dấu hiệu tấn công ở trong gói tin thì nó sẽ
ghi lại và tạo thông báo. Khi dùng ở chế độ này phải khai báo file cấu hình cho Snort hoạt
động. Thông tin về thông báo khi hoạt động ở chế độ này:
 Fast mode: Date and time, Alert message, Source and destination IP address, Source
and destination ports, Type of packet.
 Full mode: Gồm các thông tin như chế độ fast mode và thêm một số thông tin sau:
TTL value, TOS value, Length of packet header, length of packet, Type of packet, Code of
packet, ID of packet, Sequence number.
4.2.4. Inline mode
Đây là phiên bản chỉnh sửa từ Snort cho phép phân tích các gói tin từ firewall
iptables sử dụng các tập lệnh mới như: pass, drop, reject. Sau đó so khớp với rule và
thông báo cho iptables xử lý các gói tin đó (cho phép hoặc bỏ).
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 7
Chuyên đề hệ điều hành Linux
4.3. Cấu trúc của Rules
Một trong những chức năng được đánh giá cao nhất của Snort là cho phép người sử
dụng tự viết các rule của riêng mình. Ngoài số lượng lớn các rule đi kèm vói Snort, người
quản trị có thể vận dụng khả năng của mình để phát triểnra các rule riêng thay vì phụ thuộc
vào các cơ quan, tổ chức bên ngoài.
Rule Snort được chia làm hai phần: rule header và rule options.
4.3.1. Rule header
Rule header chứa thông tin để xác định một packet cũng như tất cả những gì cần thực
hiện với tất cả các thuộc tính chỉ định trong rule. Rule header bao gồm các phần sau: Rule
actions, protocol, IP address, port number, Direction operator.
Hình Cấu trúc của rule header
a. Rule action
Cho Snort biết phải làm gì khi nó tìm thấy một gói tin phù hợp với rule, có năm hành
động được mặc định sẵn trong Snort: alert: Cảnh báo và ghi lại packet, log: ghi lại
packet, pass: bỏ qua packet.
b. Protocols
Trường tiếp theo của rule là protocol. Hiện nay Snort chỉ hỗ trợ bốn giao thức sau:
TCP, UDP, ICMP, IP. Trong tương lai có thể hỗ trợ thêm các giao thức khác như: ARP,
IGRP, GRE, OSPF, RIP...
c. IP address
Các địa chỉ IP được hình thành bởi dạng thập phân: xxxx.xxxx.xxxx.xxxx và một
CIDR. Snort không cung cấp cơ chế tra cứu tên host tương ứng với địa chỉ IP. CIDR :
cho biết địa chỉ lớp mạng.
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 8
Chuyên đề hệ điều hành Linux
d. Port number
Port number có thể được xác định gồm:
 Any ports: Có nghĩa là bất kỳ port nào.
 Static port: là chỉ định một port duy nhất, như: 80 (web), 21 (telnet), ...
Ranger: phạm vi các port có thể được áp dụng.
e. Direction Operator
Chỉ ra hướng đi của rule, có hai loại đó là:
—> : chỉ ra hướng của rule bắt nguồn từ địa chỉ IP và port bến trái.
<-+ : Hướng của rule này là hai chiều, điều này sẽ thuận lợi cho việc phân tích cả hai
mặt của một traffic, như là telnet hoặc POP3...
4.3.2. Rule Options
Đây chính là trái tim chính của Snort, có 4 loại rule options chính: general, Payload,
Non-Payload, Post- detections.
a. General options
Cung cấp thông tin về rule nhưng không gây ra bất kỳ ảnh hưởng nào đến quá trình
phát hiện packet.
b. Payload Detection Rule Options
Tìm kiếm thông tin trong phần payload của packet. Phần này gồm các từ khóa như:
content, nocase, rawbytes, depth, offset, distance, within, http client body, http cookie,
http header, http method, http uri, fast pattern, uricontent, urilent, isdataat, pcre, byte test,
byte jump, ftpbuonce, asnl, CVS.
c. Non-Payload Detection Rule Options
Tìm kiếm thông tin trong phần non-payload của packet, bao gồm các từ khóa: frag
,offset, ttl, tos, id, ipopts, fragbits, dsize, flags, flow, flowbits, seq, ack, window, itype,
icode, icmp id, icmp seq, rpc, ip proto, sameip, stream size.
d. Post-Detection Rule Options
Xảy ra khi một rule được kích hoạt, gồm các từ khóa: logto, session, resp, react, tag,
activated hy, count.
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 9
Chuyên đề hệ điều hành Linux
4.4. Vị trí của Snort trong hệ thống mạng
a. Giữa Router và firewall
Hình: Snort-sensor đặt giữa Router và firewall
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 10
Chuyên đề hệ điều hành Linux
b. Trong vùng DMZ
Hình: Snort-sensor đặt trong vùng DMZ
c. Sau firewall
Hình: Snort-sensor đặt sau firewall
d. Chú ý
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 11
Chuyên đề hệ điều hành Linux
Vì bộ cảm biến Snort chỉ có thể cảnh báo trên những gì nó thấy nên vị trí của bộ cảm
biến là rất quan trọng. Trong nhiều mạng, việc đặt bộ cảm biến ở một vị trí sai có thể làm
cho bạn bỏ qua toàn bộ lưu lượng mạng. Nếu bạn muốn đặt bộ cảm biến Snort ở giữa
router và firewall, bạn có thể thấy toàn bộ lưu lượng giữa mạng bên trong và Internet.
Bạn sẽ không thể thấy được lưu lượng giữa các DMZ và Internet. Trong trường hợp này,
một sự tấn công vào web server sẽ không bị phát hiện.
Nếu bạn đặt bộ cảm biến tại điểm trong vùng DMZ, bạn sẽ thấy tất cả lưu lượng giữa các
hệ thống DMZ và Internet. Trong trường hợp này, bạn sẽ không thấy lưu lượng giữa
mạng bên trong và Internet. Có lẽ bạn nên có một bộ cảm biến chỉ được sử dụng cho
DMZ với các tập hợp luật và tiền xử lí được điều chỉnh đặc biệt cho phù hợp cho những
server này. Và một bộ cảm biến khác được đặt giữa router và firewall để kiểm tra lưu
lượng có phù hợp hay không.
Việc đặt bộ cảm biến sau firewall sẽ cho phép bạn thấy tất cả lưu lượng di chuyển giữa cả
hai mạng( bên trong và DMZ) với Internet. Tuy nhiên, lưu lượng giữa DMZ và mạng bên
trong không thể thấy được.
Như bạn thấy, việc đặt bộ cảm biến lên mạng không phải là một quyết dễ dàng. Vì vậy
cần suy nghĩ kỹ mục đích của hệ thống mạng trước khi cài đặt Snort.
5. ƯU NHƯỢC ĐIỂM
Vì là một NIDS nên nó cũng có những ưu nhược điểm tương đồng như hệ thống này
a. Ưu điểm
 Quản lý được một phân đoạn mạng (network segment).
 Trong suốt với người sử dụng và kẻ tấn công.
 Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.
 Tránh được việc bị tấn công từ chối dịch vụ DoS đến một host cụ thể.
 Có khả năng xác định được lỗi ở tầng network.
 Độc lập với hệ điều hành.
b. Nhược điểm
 Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất thường
mà IDS vẫn báo (False Positive).
 Không thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSec,
SSL, v.v…
 NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để thực
sự hoạt động hiệu quả.
ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 12
Chuyên đề hệ điều hành Linux
 Không thể cho biết việc mạng bị tấn công có thành công hay không, để người
quản trị tiến hành bảo trì hệ thống.
 Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập dữ liệu
phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích chúng. Khi tốc
độ mạng tăng lên thì khả năng của bộ thu thập thông tin cũng vậy. Một giải
pháp là phải đảm bảo cho mạng được thiết kế chính xác.
Ngoài ra nó còn một số ưu điểm như:
 Snort là phần mềm mã nguồn mở.
 Chạy trên nhiều nền tảng khác nhau: Không chỉ chạy trên các hệ điều hành nguồn
mở như GNU/Linux mà Snort còn có thể chạy được trên các nền tảng thương mại
như Microsoft Windows, Solaris, HP-UX...
 Snort thường xuyên được cập nhật: Các luật của Snort thường xuyên được bổ sung
và cập nhật các hình thức xâm nhập mới. Người sử dụng có thể dễ dàng tải về từ
http://www.snort.org.
 Có khả năng phát hiện một số lượng lớn các kiểu thăn dò, xâm nhập khác nhau
như: buffer oveflow, CGỈ-Atack, Scan, ICMP, Virus...
 Snort theo dõi 24/7 với thời gian thật, giúp phát hiện liên tục các xâm nhập vào hệ
thống.
 Có một cộng đồng của người sử dụng và các nhà phát triển
 Có rất nhiều add-on mà không phải là thành phần của Snort, nhưng cung cấp thêm
các tính năng và dễ sử dụng.
 Snort không cần phải thay thế bất kỳ cơ sở hạ tầng an ninh hiện có.
6. HƯỚNG PHÁT TRIỂN
Áp dụng máy học vào snort. Để nó có thể tự học các xâm nhập lưu thông trên mạng.
Từ đó phát sinh các rule phù hợp để ngăn chặn những xâm nhập bất thường từ bên ngoài.
7. DEMO
 Mô hình triển khai.
 Các bước xây dựng.
 Chụp hình…

Weitere ähnliche Inhalte

Was ist angesagt?

Tổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tinTổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tinNguyen Thi Lan Phuong
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSBui Loc
 
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...nataliej4
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITNguynMinh294
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITNguynMinh294
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tinjackjohn45
 
An toàn hệ điều hành PTIT
An toàn hệ điều hành PTITAn toàn hệ điều hành PTIT
An toàn hệ điều hành PTITPhạm Trung Đức
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhạm Trung Đức
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpLe Trung Hieu
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITNguynMinh294
 
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...nataliej4
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITNguynMinh294
 
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Dịch vụ viết thuê Luận Văn - ZALO 0932091562
 
Slide bai giang_an_toan_va_bao_mat_thong_tin
Slide bai giang_an_toan_va_bao_mat_thong_tinSlide bai giang_an_toan_va_bao_mat_thong_tin
Slide bai giang_an_toan_va_bao_mat_thong_tinLang Codon
 
Bài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITBài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITNguynMinh294
 
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR  CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTTNGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR  CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTTYenPhuong16
 

Was ist angesagt? (20)

Tổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tinTổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tin
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDS
 
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
ChuyenDeANM ung dung he thong IDS securityonion vao giam sat moi truong mang ...
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTIT
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTIT
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tin
 
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAYĐề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
Đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp, HAY
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
 
An toàn hệ điều hành PTIT
An toàn hệ điều hành PTITAn toàn hệ điều hành PTIT
An toàn hệ điều hành PTIT
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tập
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệp
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTIT
 
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...
BÁO CÁO ĐỒ ÁN MÔN HỌC ĐIỆN TOÁN ĐÁM MÂY ĐỀ TÀI: TÌM HIỂU VÀ SỬ DỤNG AMAZON WE...
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTIT
 
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
Luận văn Thạc sĩ Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nề...
 
Slide bai giang_an_toan_va_bao_mat_thong_tin
Slide bai giang_an_toan_va_bao_mat_thong_tinSlide bai giang_an_toan_va_bao_mat_thong_tin
Slide bai giang_an_toan_va_bao_mat_thong_tin
 
Bài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITBài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTIT
 
Ids
Ids Ids
Ids
 
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR  CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTTNGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR  CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
 

Ähnlich wie Báo cáo snort

suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụngsuricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụngNgcBoNguyn3
 
tường lửa full.doc
tường lửa full.doctường lửa full.doc
tường lửa full.docPhcNguynHu22
 
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...Security Bootcamp
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingv7q3t
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng caossuserd16c49
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorternghia le trung
 
Đề Tài Thực Hành CCNA Lab - CSMars.pdf
Đề Tài Thực Hành CCNA Lab - CSMars.pdfĐề Tài Thực Hành CCNA Lab - CSMars.pdf
Đề Tài Thực Hành CCNA Lab - CSMars.pdfNuioKila
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 

Ähnlich wie Báo cáo snort (20)

Isas semina
Isas seminaIsas semina
Isas semina
 
suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụngsuricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
 
Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip cop
 
Dacs snort
Dacs snortDacs snort
Dacs snort
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learning
 
Hệ thống phát hiện xâm nhập mạng Suricata.docx
Hệ thống phát hiện xâm nhập mạng Suricata.docxHệ thống phát hiện xâm nhập mạng Suricata.docx
Hệ thống phát hiện xâm nhập mạng Suricata.docx
 
tường lửa full.doc
tường lửa full.doctường lửa full.doc
tường lửa full.doc
 
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
 
Apt oct-2014
Apt oct-2014Apt oct-2014
Apt oct-2014
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng cao
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorter
 
Đề Tài Thực Hành CCNA Lab - CSMars.pdf
Đề Tài Thực Hành CCNA Lab - CSMars.pdfĐề Tài Thực Hành CCNA Lab - CSMars.pdf
Đề Tài Thực Hành CCNA Lab - CSMars.pdf
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
--De cuong on tap hdh
 --De cuong on tap hdh --De cuong on tap hdh
--De cuong on tap hdh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Baomat chuongii
Baomat chuongiiBaomat chuongii
Baomat chuongii
 

Báo cáo snort

  • 1. SNORT HỆ THỐNG PHÁT HIỆN XÂM NHẬP NOVEMBER 18, 2015 ĐH Khoa học Tự nhiên TP HCM
  • 2. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 1 Chuyên đề hệ điều hành Linux MỤC LỤC 1. ĐẶT VẤN ĐỀ......................................................................................................................2 2. KHÁI NIỆM.........................................................................................................................2 3. CHỨC NĂNG......................................................................................................................2 4. HOẠT ĐỘNG ......................................................................................................................3 4.1. Các thành phần của Snort..........................................................................................3 4.1.1. Packet Decoder (bộ phận giải mã gói tin) .......................................................3 4.1.2. Preprocessor (bộ phận tiền xử lý).....................................................................4 4.1.3. Detection Engine (bộ phận kiểm tra) ...............................................................4 4.1.4. Logging and Alerting System (Bộ phận ghi nhận và thông báo) .................5 4.1.5. Output Modules (bộ phận đầu ra).....................................................................5 4.2. Các chế độ thực thi của Snort...................................................................................5 4.2.1. Sniff mode(snort –v): .........................................................................................5 4.2.2. Pakcet logger mode (snort –l /var/log/snort)...................................................6 4.2.3. Network Intrusion Detection System (NIDS) NIDS mode (snort –c /etc/snort/snort.conf –I eth0) ..............................................................................................6 4.2.4. Inline mode..........................................................................................................6 4.3. Cấu trúc của Rules......................................................................................................7 4.3.1. Rule header..........................................................................................................7 4.3.2. Rule Options........................................................................................................8 4.4. Vị trí của Snort trong hệ thống mạng ......................................................................9 5. ƯU NHƯỢC ĐIỂM ..........................................................................................................11 6. HƯỚNG PHÁT TRIỂN....................................................................................................12 7. DEMO .................................................................................................................................12
  • 3. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 2 Chuyên đề hệ điều hành Linux 1. ĐẶT VẤN ĐỀ Ngày nay, nhu cầu trao đối dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tố chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trờ nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bào vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điếm yếu của hệ thống. Vì vậy cần phải có một hệ thống nhằm giám sát luồng thông tin vào ra trên mạng và bảo vệ các hệ thống mạng khói sự tẩn công từ Internet. Kiểm soát tài nguyên và hoạt động của hệ thống mạng, sử dụng thông tin thu thập được từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập. Hơn nữa tường lửa chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã vượt qua được tường lửa, người đó có thể tung hoành trên mạng. Đó là lý do tại sao hệ thống phát hiện xâm nhập có vai trò quan trọng. Hệ thổng phát hiện xâm nhập IDS là hệ thống phần mềm hay phần cứng tự động thực hiện quy trình giám sát các sự kiện diễn ra trong hệ thống máy tính hay mạng máy tính, phân tích đượcc phát hiện ra những vấn đồ an ninh cho hệ thống. 2. KHÁI NIỆM Snort là một NIDS được phát triển bởi Martin Roesch vào năm 1998, là phần mềm mã nguồn mở, hoàn toàn miễn phí và dễ sử dụng với nhiều tính năng mạnh mẽ. Hiện tại Snort đang được điều hành bởi Sourcefire và nằm trong những nền tảng phát triển của hãng firewall Checkpoint. NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để quét dữ liệu di chuyến trên mạng. Cũng có các hệ thống phát hiện xâm nhập host-based, được cài đặt trên một host cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó. Mặc dù tất cả các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ thống tốt nhất hiện nay Phiên bản hiện tại Snort 2.9.7.6 được build vào 13 – 08 – 2015 bởi Rahul Burman 3. CHỨC NĂNG Snort có thể phục vụ như một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hoặc một hệ thống phát hiện xâm nhập mạng (NIDS). Bên cạnh đó có rất nhiều add-on cho Snort để quản lý (ghi log, quản lý, tạo rules...). Tuy không phải là phần lõi của Snort nhưng các thành phần này đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính
  • 4. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 3 Chuyên đề hệ điều hành Linux năng của Snort. Thông thường, Snort chỉ nói chuyện vói TCP/IP. Mặc dù, với các phần tùy chỉnh mở rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác, chẳng hạn như Novell’s IPX. TCP/IP là một giao thức phổ biến của Internet. Do đó, Snort chủ yếu phân tích và cảnh báo trên giao thức TCP/IP. 4. HOẠT ĐỘNG 4.1. Các thành phần của Snort Snort được chia thành nhiều thành phần một cách logic. Những thành phần này làm việc cùng nhau để phát hiện các cuộc tấn công cụ thể và để tạo ra các định dạng cần thiết từ hệ thống phát hiện. Snort bao gồm các thành phần chính sau đây: Packet Decoder Preprocessors Detection Engine Loging and alerting System Output Modules Hình Các thành phần của Snort Ở hình trên cho thấy bất kỳ dữ liệu nào đếntừ internet đều đi vào packet decoder. Trên đường đi của nó với các module đầu ra, nó hoặc bị loại bỏ, ghi nhận hoặc một cảnh báo được tạo ra. 4.1.1. Packet Decoder (bộ phận giải mã gói tin) Các gói dữ liệu đi vào qua các cổng giao tiếp mạng, các cổng giao tiếp này có thể là: Ethernet, SLIP, ppp... Và được giải mã bởi packet decoder, trong đó xác định giao thức được sử dụng cho gói tin và dữ liệu phù hợp với hành vi được cho phép của phần giao thức của chúng. Packet Decoder có thể tạo ra các cảnh báo riêng của mình dựa trên phần header của giao thức, các gói tin quá dài, bất thường hoặc không chính xác các tùy chọn TCP được thiết lập trong phần header. Có thể kích hoạt hoặc vô hiệu hóa các cảnh báo dài dòng cho
  • 5. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 4 Chuyên đề hệ điều hành Linux tất cả các trường trong tập tin snort.conf. Sau khi dữ liệu được giải mã đúng, chúng sẽ được gửi đến bộ phận tiền xử lý (preprocessor). 4.1.2. Preprocessor (bộ phận tiền xử lý) Các Preprocessor là những thành phần hoặc plug-in có thể sử dụng cho Snort để sắp xếp, chỉnh sửa các gói dữ liệu trước khi bộ phần Detection Engine làm việc với chúng. Một số Preprocessor cũng thực hiện phát hiện dấu hiệu dị thường bằng cách tìm trong phần tiêu đề của gói tin và tạo ra các cảnh báo. Preprocessor rất quan trọng với bất kỳ hệ thống IDS nào để chuẩn bị dữ liệu cần thiết về gói tin để bộ phận Detection Engine làm việc. Preprocessor còndùng để tái hợp gói tin cho các gói tin có kích thước lớn. Ngoài ra nó còn giải mã các gói tin đã được mã hóa trước khi chuyển đến bộ phận Detection Engine. 4.1.3. Detection Engine (bộ phận kiểm tra) Detection Engine là bộ phận quan trọng nhất của Snort. Trách nhiệm của nó là phát hiện bất kì dấu hiệu tấn công nào tồn tại trong gói tin bằng cách sử dụng các rule để đối chiếu với thông tin trong gói tin. Nếu gói tin là phù hợp với rule, hành động thích hợp được thực hiện Hiệu suất hoạt động của bộ phận này phụ thuộc các yếu tố như: số lượng rule, cấu hình máy mà Snort đang chạy, tốc độ bus sử dụng cho máy Snort, lưu lượng mạng. Detection Engine có thể phân chia gói tin và áp dụng rule cho các phần khác nhau của gói tin. Các phần đó có thể là:  Phần IP header của gói tin  Phần header của tầng transport: Đây là phần tiêu đề bao gồm TCP, UDP hoặc các header của tầng transport khác. Nó cũng có thể làm việc với header của ICMP.  Phần header của các lớp ứng dụng: Bao gồm header của lớp ứng dụng, nhưng không giới hạn, DNS header, FTP header, SNMP header, và SMTP header.  Packet payload: Có nghĩa là có thể tạo ra rule được sử dụng bởi detection engine để tìm kiếm một chuỗi bên trong dừ liệu của gói tin. Bộ phận này hoạt động theo hai cách khác nhau theo hai phiên bản của Snort. Phiên bản l.x: Việc xử lý gói tin còn hạn chế trong trường hợp các dấu hiệu trong gói tin đó phù hợp với dấu hiệu trong nhiều rule. Khi đó nếu có rule nào được áp dụng trước thì các rule còn lại sẽ bị bỏ qua mặc dù các rule có độ ưu tiên khác nhau. Như vậy sẽ nảy sinh trường họp các rule có độ ưu tiên cao hơn bị bỏ qua. Phiên bản 2.x: Nhược điểm trên của phiên bản l.x được khắc phục hoàn toàn nhờ vào
  • 6. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 5 Chuyên đề hệ điều hành Linux cơ chế kiểm tra trên toàn bộ rule. Sau đó lấy ra rule có độ ưu tiên cao nhất để tạo thông báo. Tốc độ của phiên bản 2.X nhanh hơn rất nhiều so với phiên bản l.x nhờ phiên bản 2.X được biên dịch lại. 4.1.4. Logging and Alerting System (Bộ phận ghi nhận và thông báo) Khi bộ phận detection engine phát hiện ra các dấu hiệu tấn công thì nó sẽ thông báo cho bộ phận Logging and Alerting System. Các ghi nhận, thông báo có thể được lưu dưới dạng văn bản hoặc một số định dạng khác. Mặc định thì chúng được luư tại thư mục /var/iog/snort. 4.1.5. Output Modules (bộ phận đầu ra) Bộ phận đầu ra của Snort phụ thuộc vào việc ta ghi các ghi nhận, thông báo theo cách thức nào. Có thể cấu hình bộ phận này để thực hiện các chức năng sau:  Lưu các ghi nhận và thông báo theo định dạng các file văn bản hoặc vào cơ sở dữ liệu.  Gửi thông tin SNMP.  Gửi các thông điệp đến hệ thống ghi log.  Lưu các ghi nhận và thông báo vào cơ sở dữ liệu (MySQL, Oracle...).  Chỉnh sửa cấu hình trên Router, Firewall. 4.2. Các chế độ thực thi của Snort 4.2.1. Sniff mode(snort –v): Ở chế độnày, Snort hoạt động như một chương trình thu thập và phân tíchgói tin thông thường, lắng nghe gói tin trên mạng, sau đó giải mã và hiển thị chúng lênmàn hình console. Không cần sử dụng file cấu hình, các thông tin Snort sẽ thu được khi hoạt động ở chế độ này:  Date and time.  Source EP address.  Source port number.  Destination IP address.  Destination port.  Transport layer protocol used in this packet.  Time to live or TTL value in this packet.  Type of service or TOS value.  Packer ID.  Length of IP header.
  • 7. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 6 Chuyên đề hệ điều hành Linux  IP payload.  Don’t fragment or DF bit is set in IP header.  Two TCP flags A and p are on.  TCP sequence number.  Acknowledgement number in TCP header.  TCP Window field.  TCP header length. 4.2.2. Pakcet logger mode (snort –l /var/log/snort) Khi chạy ở chế độ này, Snort sẽ tập hợp tất cả các packet nó thấy được và đưa vào log theo cấu trúc phân tầng. Một thư mục mới sẽ được tạo ra ứng với mỗi địa chỉ nó bắt được, và dữ liệu sẽ phụ thuộc vào địa chỉ mà nó lưu trong thư mục đó. Snort đặt các packet vào trong file ASCII, với tên liên quan đến giao thức và cổng. Sự sắp xếp này dễ dàng nhận ra ai đang kết nối vào mạng của mình và giao thức, cổng nào đang sử dụng. Đơn giản sử dụng ls-R để hiện danh sách các thư mục. Tuy nhiên sự phân cấp này sẽ tạo ra nhiều thư mục trong giờ cao điểm nên rất khó để xem hết tất cả thư mục và file này. Nếu ai đó sử dụng full scan với 65536 TCP Port và 65535 UDP ports và sẽ tạo ra 131000 hoặc từng ấy file . Log với dạng nhị phân (binary) tất cả những gì có thể đọc được bởi Snort, nó làm tăng đốc độ khả năng bắt gói tin của Snort. Hầu hết các hệ thống có thể capture và log ở tốc độ 100Mbps mà không có vấn đề gì. 4.2.3. Network Intrusion Detection System (NIDS) NIDS mode (snort –c /etc/snort/snort.conf –I eth0) Snort thường được sử dụng như một NIDS. Nó nhẹ, nhanh chóng, hiệu quả và sử dụng các rule để áp dụng lên gói tin. Khi phát hiện có dấu hiệu tấn công ở trong gói tin thì nó sẽ ghi lại và tạo thông báo. Khi dùng ở chế độ này phải khai báo file cấu hình cho Snort hoạt động. Thông tin về thông báo khi hoạt động ở chế độ này:  Fast mode: Date and time, Alert message, Source and destination IP address, Source and destination ports, Type of packet.  Full mode: Gồm các thông tin như chế độ fast mode và thêm một số thông tin sau: TTL value, TOS value, Length of packet header, length of packet, Type of packet, Code of packet, ID of packet, Sequence number. 4.2.4. Inline mode Đây là phiên bản chỉnh sửa từ Snort cho phép phân tích các gói tin từ firewall iptables sử dụng các tập lệnh mới như: pass, drop, reject. Sau đó so khớp với rule và thông báo cho iptables xử lý các gói tin đó (cho phép hoặc bỏ).
  • 8. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 7 Chuyên đề hệ điều hành Linux 4.3. Cấu trúc của Rules Một trong những chức năng được đánh giá cao nhất của Snort là cho phép người sử dụng tự viết các rule của riêng mình. Ngoài số lượng lớn các rule đi kèm vói Snort, người quản trị có thể vận dụng khả năng của mình để phát triểnra các rule riêng thay vì phụ thuộc vào các cơ quan, tổ chức bên ngoài. Rule Snort được chia làm hai phần: rule header và rule options. 4.3.1. Rule header Rule header chứa thông tin để xác định một packet cũng như tất cả những gì cần thực hiện với tất cả các thuộc tính chỉ định trong rule. Rule header bao gồm các phần sau: Rule actions, protocol, IP address, port number, Direction operator. Hình Cấu trúc của rule header a. Rule action Cho Snort biết phải làm gì khi nó tìm thấy một gói tin phù hợp với rule, có năm hành động được mặc định sẵn trong Snort: alert: Cảnh báo và ghi lại packet, log: ghi lại packet, pass: bỏ qua packet. b. Protocols Trường tiếp theo của rule là protocol. Hiện nay Snort chỉ hỗ trợ bốn giao thức sau: TCP, UDP, ICMP, IP. Trong tương lai có thể hỗ trợ thêm các giao thức khác như: ARP, IGRP, GRE, OSPF, RIP... c. IP address Các địa chỉ IP được hình thành bởi dạng thập phân: xxxx.xxxx.xxxx.xxxx và một CIDR. Snort không cung cấp cơ chế tra cứu tên host tương ứng với địa chỉ IP. CIDR : cho biết địa chỉ lớp mạng.
  • 9. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 8 Chuyên đề hệ điều hành Linux d. Port number Port number có thể được xác định gồm:  Any ports: Có nghĩa là bất kỳ port nào.  Static port: là chỉ định một port duy nhất, như: 80 (web), 21 (telnet), ... Ranger: phạm vi các port có thể được áp dụng. e. Direction Operator Chỉ ra hướng đi của rule, có hai loại đó là: —> : chỉ ra hướng của rule bắt nguồn từ địa chỉ IP và port bến trái. <-+ : Hướng của rule này là hai chiều, điều này sẽ thuận lợi cho việc phân tích cả hai mặt của một traffic, như là telnet hoặc POP3... 4.3.2. Rule Options Đây chính là trái tim chính của Snort, có 4 loại rule options chính: general, Payload, Non-Payload, Post- detections. a. General options Cung cấp thông tin về rule nhưng không gây ra bất kỳ ảnh hưởng nào đến quá trình phát hiện packet. b. Payload Detection Rule Options Tìm kiếm thông tin trong phần payload của packet. Phần này gồm các từ khóa như: content, nocase, rawbytes, depth, offset, distance, within, http client body, http cookie, http header, http method, http uri, fast pattern, uricontent, urilent, isdataat, pcre, byte test, byte jump, ftpbuonce, asnl, CVS. c. Non-Payload Detection Rule Options Tìm kiếm thông tin trong phần non-payload của packet, bao gồm các từ khóa: frag ,offset, ttl, tos, id, ipopts, fragbits, dsize, flags, flow, flowbits, seq, ack, window, itype, icode, icmp id, icmp seq, rpc, ip proto, sameip, stream size. d. Post-Detection Rule Options Xảy ra khi một rule được kích hoạt, gồm các từ khóa: logto, session, resp, react, tag, activated hy, count.
  • 10. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 9 Chuyên đề hệ điều hành Linux 4.4. Vị trí của Snort trong hệ thống mạng a. Giữa Router và firewall Hình: Snort-sensor đặt giữa Router và firewall
  • 11. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 10 Chuyên đề hệ điều hành Linux b. Trong vùng DMZ Hình: Snort-sensor đặt trong vùng DMZ c. Sau firewall Hình: Snort-sensor đặt sau firewall d. Chú ý
  • 12. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 11 Chuyên đề hệ điều hành Linux Vì bộ cảm biến Snort chỉ có thể cảnh báo trên những gì nó thấy nên vị trí của bộ cảm biến là rất quan trọng. Trong nhiều mạng, việc đặt bộ cảm biến ở một vị trí sai có thể làm cho bạn bỏ qua toàn bộ lưu lượng mạng. Nếu bạn muốn đặt bộ cảm biến Snort ở giữa router và firewall, bạn có thể thấy toàn bộ lưu lượng giữa mạng bên trong và Internet. Bạn sẽ không thể thấy được lưu lượng giữa các DMZ và Internet. Trong trường hợp này, một sự tấn công vào web server sẽ không bị phát hiện. Nếu bạn đặt bộ cảm biến tại điểm trong vùng DMZ, bạn sẽ thấy tất cả lưu lượng giữa các hệ thống DMZ và Internet. Trong trường hợp này, bạn sẽ không thấy lưu lượng giữa mạng bên trong và Internet. Có lẽ bạn nên có một bộ cảm biến chỉ được sử dụng cho DMZ với các tập hợp luật và tiền xử lí được điều chỉnh đặc biệt cho phù hợp cho những server này. Và một bộ cảm biến khác được đặt giữa router và firewall để kiểm tra lưu lượng có phù hợp hay không. Việc đặt bộ cảm biến sau firewall sẽ cho phép bạn thấy tất cả lưu lượng di chuyển giữa cả hai mạng( bên trong và DMZ) với Internet. Tuy nhiên, lưu lượng giữa DMZ và mạng bên trong không thể thấy được. Như bạn thấy, việc đặt bộ cảm biến lên mạng không phải là một quyết dễ dàng. Vì vậy cần suy nghĩ kỹ mục đích của hệ thống mạng trước khi cài đặt Snort. 5. ƯU NHƯỢC ĐIỂM Vì là một NIDS nên nó cũng có những ưu nhược điểm tương đồng như hệ thống này a. Ưu điểm  Quản lý được một phân đoạn mạng (network segment).  Trong suốt với người sử dụng và kẻ tấn công.  Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.  Tránh được việc bị tấn công từ chối dịch vụ DoS đến một host cụ thể.  Có khả năng xác định được lỗi ở tầng network.  Độc lập với hệ điều hành. b. Nhược điểm  Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất thường mà IDS vẫn báo (False Positive).  Không thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSec, SSL, v.v…  NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để thực sự hoạt động hiệu quả.
  • 13. ĐH Khoa học Tự nhiên TP HCM | Khoa Công nghệ Thông Tin 12 Chuyên đề hệ điều hành Linux  Không thể cho biết việc mạng bị tấn công có thành công hay không, để người quản trị tiến hành bảo trì hệ thống.  Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập dữ liệu phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của bộ thu thập thông tin cũng vậy. Một giải pháp là phải đảm bảo cho mạng được thiết kế chính xác. Ngoài ra nó còn một số ưu điểm như:  Snort là phần mềm mã nguồn mở.  Chạy trên nhiều nền tảng khác nhau: Không chỉ chạy trên các hệ điều hành nguồn mở như GNU/Linux mà Snort còn có thể chạy được trên các nền tảng thương mại như Microsoft Windows, Solaris, HP-UX...  Snort thường xuyên được cập nhật: Các luật của Snort thường xuyên được bổ sung và cập nhật các hình thức xâm nhập mới. Người sử dụng có thể dễ dàng tải về từ http://www.snort.org.  Có khả năng phát hiện một số lượng lớn các kiểu thăn dò, xâm nhập khác nhau như: buffer oveflow, CGỈ-Atack, Scan, ICMP, Virus...  Snort theo dõi 24/7 với thời gian thật, giúp phát hiện liên tục các xâm nhập vào hệ thống.  Có một cộng đồng của người sử dụng và các nhà phát triển  Có rất nhiều add-on mà không phải là thành phần của Snort, nhưng cung cấp thêm các tính năng và dễ sử dụng.  Snort không cần phải thay thế bất kỳ cơ sở hạ tầng an ninh hiện có. 6. HƯỚNG PHÁT TRIỂN Áp dụng máy học vào snort. Để nó có thể tự học các xâm nhập lưu thông trên mạng. Từ đó phát sinh các rule phù hợp để ngăn chặn những xâm nhập bất thường từ bên ngoài. 7. DEMO  Mô hình triển khai.  Các bước xây dựng.  Chụp hình…