Tìm hiểu và xây dựng hệ thống phòng chống và phát hiện xâm nhập sử dụng snortsnortsam
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.78 MB, 46 trang )
TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG
CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG
SNORT/SNORTSAM
SV: Nguyễn Văn Quang
GVHD: Th.S Nguyễn Đăng Quang
Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh
Khoa Đào tạo Chất lượng cao
Nội dung
2
Giới thiệu về IDS
Snort/SnortSam
Luật của Snort
Demo
Kết quả
Mục tiêu đề tài
3
Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm,
kiến trúc, kỹ thuật phát hiện xâm nhập.
Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển
khai trong hệ thống mạng.
Phân tích các dấu hiệu tấn công, hình thành các luật
tương ứng.
Demo trên mô hình ảo.
Giới thiệu về IDS
4
Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
5
Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
“Xâm nhập máy tính” là hành động
cố tình truy cập mặc dù không
được phép hoặc tìm cách vượt qua
quyền đã có để truy xuất các tài
nguyên không được phép.
6
Giới thiệu về IDS
7
IDS
Giám
sát/theo
dõi
Xác định Báo cáo
8
Giới thiệu về IDS
9
Giới thiệu về IDS
Phân loại IDS
10
Network-based IDS
Snort
Suricata
Cisco, Juniper, Lactien JSC
Host-based IDS
Tripwire
Symantec HIDS
OSSEC
Network-based IDS
11
Host-based IDS
12
Kỹ thuật phát hiện xâm nhập
13
Phát hiện dựa trên sự bất thường.
Phát hiện dựa trên dấu hiệu.
Anomaly Based ID
14
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Anomaly Based ID
15
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Ví dụ:
× Không tuân theo các chuẩn Internet thông thường như gửi một gói tin
ICMP có kích thước vượt quá 65.535 bytes.
× Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy
định trong một khoảng thời gian.
Anomaly Based ID
16
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến.
Cung cấp các thông tin để xây dựng các dấu hiệu.
Anomaly Based ID
17
Nhược điểm:
Có thể tạo ra số lượng lớn các cảnh báo sai.
Cần phải được đào tạo thường xuyên.
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến.
Cung cấp các thông tin để xây dựng các dấu hiệu.
Misuse/Signature Base ID
18
Là kỹ thuật so sánh dấu hiệu của các đối tượng đang
quan sát với dấu hiệu của các hình thức xâm nhập đã
biết trước.
Ưu điểm:
× Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết
trước.
× Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật
xâm nhập.
Misuse/Signature Base ID
19
Nhược điểm:
× Thường xuyên cập nhật các dấu hiệu nhận biết các
cuộc tấn công.
× Các dấu hiệu cần phải được thiết kế một cách chặt
chẽ nếu không thể phát hiện được các cuộc tấn
công biến thể.
Snort/SnortSam
20
Kiến trúc của Snort
21
Packet Stream
Packet Capture
Snort
Packet Decoder
Preprocessors
Detection Engine
Output
Packet Decoder
22
Một gói tin đi vào
Packet
Ethernet
Header
IP
Header
Payload
TCP
Header
Giải mã cấu trúc của gói tin
Preprocessors
23
Cung cấp 2 chức năng chính là:
× Bình thường hóa các giao thức giúp trình bày dữ liệu theo các
định dạng chuẩn.
× Tái hợp (reassembly) các gói tin.
Ví dụ
GET %2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
HTTP /1.1
GET / / / / /etc/passwd HTTP
/1.1
Detection Engine
24
Detection Engine sẽ kiểm tra các gói tin từ Preprocessors
thông qua các luật (rule), nếu không phù hợp gói tin sẽ bị
bỏ đi, nếu phù hợp sẽ được xử lý tiếp.
Detection Engine Rule
Phù
hợp
?
Không
Có
Gửi tới phần cảnh báo
và logging
Output (alert/logging)
25
Thành phần này giúp định dạng và trình bày đầu ra cho
người quản trị hệ thống.
Phần logging có nhiệm vụ lưu trữ các gói tin đã được kích
hoạt.
Các cảnh báo và log có thể được gửi thông qua SMB pop-
up, UNIX socket, SNMP hoặc lưu trữ xuống MySQL,
PostgerSQL.
