Hệ thống phòng chống xâm nhập IDS Snort
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.43 MB, 62 trang )
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 1 HIENLTH
Network Security
Lương Trần Hy Hiến
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 2 HIENLTH
Chương 4: IDS
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 3 HIENLTH
Nội dung
Tổng quan về IDS
1
Giới thiệu snort
2
Honeypot
3
Bài tập
4
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 4 HIENLTH
Dẫn nhập
• “Xâm nhập” là hành động truy cập trái
phép bằng cách vượt qua cơ chế bảo mật
hệ thống.
• “Xâm nhập máy tính” là hành động cố tình
truy cập dù không được phép hoặc tìm
cách vượt qua quyền đã có để truy xuất
các tài nguyên không được phép.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 5 HIENLTH
IDS là gì ?
• Intrusion detection system (IDS) là 1 thiết bị hoặc phần
mềm chịu trách nhiệm giám sát mạng và/hoặc hệ thống
để kịp thời phát hiện ra những hoạt động bất thường
hoặc những vi phạm chính sách gây hại cho hệ thống
nhằm thông báo cho người quản trị.
(Theo Wikipedia,
/>)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 6 HIENLTH
IDS làm được những gì?
• Một số chức năng chính:
– Nhận diện được các nguy cơ có thể xảy ra.
– Nhận diện được các cuộc thăm dò.
– Nhận diện được các vi phạm chính sách.
– Ghi log.
– Cảnh báo.
– …
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 7 HIENLTH
Thành phần không phải là IDS
• Hệ thống kiểm tra lưu lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ
hổng trong hệ điều hành, dịch vụ mạng.
• Các sản phẩm chống virus đã thiết kế để phát
hiện phần mềm mã nguy hiểm như virus, Trojan
horse, worm…
• Tường lửa (firewall)
• Các hệ thống bảo mật/mật mã, ví dụ như VPN,
SSL, S/MIME, Kerberos, Radius…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 8 HIENLTH
Phân Loại IDS
Network-based IDS Host-based IDS
Hoạt động như
standalone system
Là thiết bị phần mềm
hoặc phần cứng
Monitor trên segment mà
nó được kết nối vào
Phân tích các traffic trên
segment đó
Snort, Cisco, Juniper,…
Hoạt động dựa trên OS
Triển khai trên các host
Phân tích traffic gửi đến
máy host
OSSEC, Tripwire,
Symantec HIDS,…
Chọn NIDS hay HIDS ???
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 9 HIENLTH
Các thành phần của IDS
• Sensor/Agent
• Management Server
• Database Server
• Console
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 10 HIENLTH
Hoạt động của IDS
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 11 HIENLTH
Các cơ chế của IDS
• Signature-based:
phát hiện dựa trên dấu hiệu
• Anomaly-based:
phát hiện dựa trên sự bất thường
• Stateful protocol analysis:
phát hiện dựa vào phân tích giao thức trạng thái
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 12 HIENLTH
Anomaly Based ID
• Là kỹ thuật phát hiện ra các mẫu hành vi khác
so với những hành vi thông thường, sau đó gắn
cờ xâm nhập đối với hành vi này.
• Ví dụ:
– Không tuân theo các chuẩn Internet thông thường
như gửi một gói tin ICMP có kích thước vượt quá
65.535 bytes.
– Đăng nhập quá số lần quy định, số lượng gói tin gởi
đến vượt mức quy định trong một khoảng thời gian.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 13 HIENLTH
Anomaly Base ID
• Ưu điểm:
– Phát hiện được các cuộc tấn công chưa được
biết đến.
– Cung cấp thông tin để xây dựng các dấu hiệu.
• Khuyết điểm:
– Có thể tạo ra số lượng lớn các cảnh báo sai.
– Cần phải được đào tạo thường xuyên.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 14 HIENLTH
Signature Base ID
• Là kỹ thuật so sánh dấu hiệu của các đối tượng đang
quan sát với dấu hiệu của các hình thức xâm nhập đã
biết trước đó.
• Ưu điểm:
– Ít báo sai và hiệu quả đối với các hình thức xâm nhập đã biết
trước.
– Nhanh chóng và đáng tin cậy trong việc xác định công cụ & kỹ
thuật xâm nhập.
• Khuyết điểm:
– Thường xuyên cập nhật dấu hiệu nhận biết tấn công.
– Các dấu hiệu phải được thiết kế chặt chẽ nếu không thể phát
hiện được các cuộc tấn công biến thể.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 15 HIENLTH
IDS nên đặt ở đâu ?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 16 HIENLTH
IDS nên đặt ở đâu ?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 17 HIENLTH
IDS nên đặt ở đâu ?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 18 HIENLTH
IDS nên đặt ở đâu ?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 19 HIENLTH
Lưu ý!
• Sau khi IDS phát hiện ra có intrusion
thì…?
–
Người quản trị ?
–
Đối phó với intrusion đó ra sao?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 20 HIENLTH
Nội dung
Tổng quan về IDS
1
Giới thiệu snort
2
Honeypot
3
Bài tập
4
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 21 HIENLTH
Giới thiệu snort
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 22 HIENLTH
Kiến trúc của snort
Modun giải mã gói tin (Packet Decoder)
Modun tiền xử lý (Preprocessors)
Modun phát hiện (Detection Eng)
Modun log và cảnh báo (Logging and Alerting System)
Modun kết xuất thông tin (Output module)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 23 HIENLTH
Kiến trúc của snort
COMP1049 - Bảo mật và An ninh Mạng – Network Security C4 - 24 HIENLTH
Cài đặt
• Link:
• Một số bước chính khi cài đặt:
– Cài đặt các thư viện cần thiết.
– Cài đặt cơ sở dữ liệu
– Snort
– Các công cụ quản lí
Cách viết rule trên snort
• In a single line
• Rules are created by known intrusion signatures.
• Usually place in
snort.conf
configuration file.
rule header rule options
