KHÓA LUẬN: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS OSSEC (full file Setup & DEMO). Nhận tin nhắn hỗ trợ về đề tài
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.25 MB, 69 trang )
LỜI CẢM ƠN
Lời đầu tiên, tôi xin chân thành cảm ơn đến các thầy giáo, cô giáo trường Đại
học Duy Tân đã tận tình giảng dạy và truyền đạt cho tơi những kiến thức q báu
trong suốt q trình học tập tại giảng đường …….. Đặc biệt là thầy ……………, là
người trực tiếp hướng dẫn, giúp đỡ tôi rất nhiều trong q trình học tập để có thể
hồn thành được bài báo cáo Khóa luận tốt nghiệp này.
Tơi cũng xin chân thành cảm ơn gia đình, bạn bè, người thân đã ln tạo điều
kiện tốt nhất để tơi có thể hồn thiện đề tài.
Với kiến thức cịn nhiều hạn chế, bài báo cáo khơng tránh khỏi những sai sót.
Rất mong nhận được những lời góp ý của thầy cơ, bạn bè để tơi có thêm kiến thức,
trau dồi thêm kỹ năng bản thân.
Tôi xin chân thành cảm ơn.
1
LỜI CAM ĐOAN
Tôi xin cam đoan những nội dung trong Khóa luận này là do tơi thực hiện
dưới sự hướng dẫn của thầy ………………………. Mọi tham khảo dùng trong
khóa luận đều được trích dẫn rõ ràng và trung thực tên tác giả, tên cơng trình, thời
gian, địa điểm cơng bố. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay
gian trá tơi xin chịu hồn tồn trách nhiệm.
Đà Nẵng, ngày , tháng , năm 2020
TÁC GIẢ KHOÁ LUẬN
2
DANH MỤC HÌNH ẢNH
HÌNH
TÊN HÌNH
Hình 1.1
Các thành phần của IDS
Hình 1.2
Hoạt động của IDS
Hình 1.3
Một số vị trí triển khai IDS
Hình 1.4
Mơ hình triển khai HIDS
Hình 1.5
Mơ hình triển khai NIDS
Hình 2.1
Các thành phần của OSSEC
Hình 2.2
Quy trình phân tích của OSSEC HIDS
Hình 2.3
Luật phát hiện cài đặt phần mềm
Hình 3.1
Mơ hình khảo sát 1
Hình 3.2
Mơ hình khảo sát 2
Hình 3.3
Mơ hình đề xuất dựa trên mơ hình khảo sát 2
Hình 3.4
Mơ hình triển khai HIDS OSSEC dựa vào một phần mơ hình đề xuất giữa
vùng LAN và vùng Internal Server.
Hình 3.5
Cài đặt ngơn ngữ
Hình 3.6
Cài đặt chế độ hoạt động cho server
Hình 3.7
Cấu hình vị trí lưu OSSEC
Hình 3.8
Cấu hình HIDS OSSEC
Hình 3.9
Cài đặt hồn tất
Hình 3.10
Thêm Agent
Hình 3.11
Khai báo thơng tin Agent
Hình 3.12
Lấy key xác thực cho Agent
Hình 3.13
Cài đặt giao diện cho OSSEC
Hình 3.14
Giao diện quản lý OSSEC
Hình 3.15
Kiểm tra trạng thái Agent
Hình 3.16
Chọn chế độ hoạt động Agent
Hình 3.17
Khai báo địa chỉ IP của OSSEC Server
Hình 3.18
Kích hoạt key xác thực đối trên Agent
Hình 3.19
Giao diện cài đặt OSSEC trên Windows
Hình 3.20
Mơ hình thực nghiệm dựa trên mơ hình triển khai
Hình 3.21
Phần mềm cần giám sát hoạt động
3
Hình 3.22
Cấu hình OSSEC.conf trên OSSEC_Agent_Windows
Hình 3.23
Tạo local rule trên OSSEC Server
Hình 3.24
Kết quả báo phần mềm giám sát bị tắt
Hình 3.25
Email cảnh báo từ HIDS OSSEC
Hình 3.26
Các tác vụ đã hoạt động trên OSSEC_Agent_Windows
Hình 3.27
Tạo local rule trên OSSEC Server Attacker thu được thông tin cổng khi
OSSEC không hoạt động
Hình 3.28
Attacker thu được thơng tin cổng khi OSSEC khơng hoạt động
Hình 3.29
Cảnh báo phát hiện quét cổng và chặn IP
Hình 3.30
Hình 3.30: Email cảnh báo phát hiện dị qt cổng
Hình 3.31
Cấu hình Active-response trên OSSEC Server
Hình 3.32
Cấu hình agent.conf trên OSSEC_Server
Hình 3.33
Attacker lấy được thơng tin đăng nhập SSH khi OSSEC khơng hoạt động
Hình 3.34
Cảnh báo phát hiện BurteForce SSH và chặn IP Attacker
Hình 3.35
Email cảnh báo phát hiện bruteforce SSH
Hình 3.36
Kết quả nhận được trên máy Attacker
DANH MỤC TỪ VIẾT TẮT
TỪ VIẾT TẮT
NGHĨA TIẾNG ANH
NGHĨA TIẾNG VIỆT
IDS
HIDS
Intrusion detection system
Host-base Intrusion detection
Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập
NIDS
system
Network-base Intrusion
host
Hệ thống phát hiện xâm nhập
DMZ
LAN
DNS
HTTP
SSH
VPN
FTP
NAC
DDoS
detection system
Demilitarized Zone
Local Area Network
Domain Name System
HyperText Transfer Protocol
Secure Shell
Virtual Private Network
File Transfer Protocol
Network Access Control
Distributed Denial of Service
mạng
Vùng mạng trung lập
Vùng mạng nội bộ
Hệ thống tên miền
Giao thức truyền tải siêu văn bản
Mơi trường an tồn
Mạng riêng ảo
Giao thức truyền tập tin
Kiểm soát truy cập mạng
Từ chối dịch vụ phân tán
4
DANH MỤC BẢNG
BẢNG
TÊN BẢNG
Bảng 1.1
Bảng so sánh giữ HIDS và NIDS
Bảng 2.1
Bảng quy tắc của OSSEC
Bảng 3.1
Mô tả IP mô hình triển khai
Bảng 3.2
Mơ tả IP mơ hình thực nghiệm
5
MỤC LỤC
LỜI CẢM ƠN............................................................................................................i
LỜI CAM ĐOAN.....................................................................................................ii
DANH MỤC HÌNH ẢNH........................................................................................iii
DANH MỤC TỪ VIẾT TẮT....................................................................................v
DANH MỤC BẢNG................................................................................................vi
MỞ ĐẦU.................................................................................................................. ix
I. Lý do chọn đề tài...............................................................................................ix
II. Mục tiêu của đề tài...........................................................................................ix
III. Đối tượng nghiên cứu.......................................................................................x
IV. Phạm vi nghiên cứu..........................................................................................x
V. Bố cục khóa luận...............................................................................................x
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP...............1
1.1 Hệ thống phát hiện xâm nhập (IDS).................................................................1
1.1.1 Chức năng của hệ thống phát hiện xâm nhập.............................................1
1.1.2 Các thành phần của hệ thống phát hiện xâm nhập.....................................2
1.1.3 Nguyên lý hoạt động của hệ thống phát hiện xâm nhập.............................3
1.2 Phân loại hệ thống phát hiện xâm nhập............................................................4
1.2.1 Host-base IDS (HIDS)...............................................................................4
1.2.2 Network-base IDS (NIDS).........................................................................5
1.2.3 So sánh HIDS và NIDS..............................................................................6
1.3 Mơ hình triển khai IDS.....................................................................................8
1.3.1 Mơ hình HIDS...........................................................................................8
1.3.2 Mơ hình NIDS.........................................................................................10
6
1.4 Các phương pháp nhận diện của hệ thống phát hiện xâm nhập......................11
1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)..........................11
1.4.2 Nhận diện dựa vào sự bất thường (Abnormaly-base Detection)...............11
1.4.3 Phân tích trạng thái của giao thức (Staful Protocol Analysis)..................12
CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN XÂM NHẬP...13
2.1 Giới thiệu về OSSEC.....................................................................................13
2.2 Các thành phần chính của OSSEC.................................................................13
2.3 Các tính năng chính........................................................................................15
2.4 Quy trình phân tích của OSEC HIDS.............................................................17
2.5 Phương thức hoạt động của OSSEC...............................................................18
2.5.1 Hệ thống luật của OSSEC........................................................................18
2.5.2 Phương thức hoạt động của luật...............................................................20
2.6. Các hoạt động kiểm tra và các phản ứng của OSSEC...................................22
2.6.1 Kiểm tra tính tồn vẹn..............................................................................22
2.6.2. Q trình kiểm tra dị qt phát hiện Rootkit..........................................23
2.6.3 Phản ứng chủ động...................................................................................24
CHƯƠNG 3: TRIỂN KHAI VÀ THỰC NGHIỆM.................................................26
3.1. Khảo sát thực trạng.......................................................................................26
3.2. Mơ hình đề xuất............................................................................................28
3.3 Triển khai hệ thống HIDS OSSEC.................................................................29
3.3.1 Mơ hình triển khai....................................................................................29
3.3.2 Triển khai OSSEC Server........................................................................30
3.3.3 Triển khai OSSEC agent..........................................................................34
3.4 Thực nghiệm..................................................................................................36
3.4.1. Phát hiện user tắt chương trình giám sát.................................................38
3.4.2 Phát hiện dò quét cổng (Portscans)..........................................................40
7
3.4.3 Phát hiện và ngăn chặn Bruteforce SSH..................................................43
3.5 Đánh giá kết quả sau thực nghiệm..................................................................46
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN...............................................................47
TÀI LIỆU THAM KHẢO.......................................................................................49
8
MỞ ĐẦU
I. Lý do chọn đề tài
Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như hiện
nay, hàng ngày có một lượng thơng tin lớn được lưu trữ trong các cơ sở, các hệ
thống dữ liệu và các cách thức tấn công ngày nay cũng càng trở nên đa dạng hơn có
thể xâm nhập vào các hệ thống làm tăng các rủi ro về mất an tồn thơng tin nên
việc theo dõi giám sát hệ thống là để đảm bảo an tồn thơng tin, phát hiện các tình
huống nguy hiểm có thể xảy ra với hệ thống là vơ cùng quan trọng.
Để giảm thiểu, phịng ngừa và ngăn chặn các cuộc tấn cơng từ bên ngồi vào
chúng ta có thể sử dụng nhiều cách để thưc hiện nhưng điển hình và thơng dụng
nhất vẫn là sử dụng firewall để đánh chặn thơng qua việc lọc gói tin hay qua các
quy tắc được thiết lập, thế nhưng nhược điểm ở đây nếu cuộc tấn công xảy ra phía
trong mạng thì firewall khơng thể phát hiện và cảnh báo đến người quản trị được,
thế nên cần có một hệ thống giám sát và theo dõi, ghi lại các sự kiện đã xảy ra và có
thể phát hiện, đưa ra các cảnh báo về các hành vi có khả năng đe dọa đến an ninh hệ
thống. “ NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP
HIDS VỚI OSSEC” là một giải pháp giúp chúng ta có thể thực hiện được điều này.
II. Mục tiêu của đề tài
- Nắm được các kiến thức về hệ thống phát hiện xâm nhập : khái niệm IDS,
các thành phần của IDS, nguyên lý hoạt động, các mơ hình triển khai IDS, ứng dụng
IDS phổ biến hiện nay.
- Nắm được các kiến thức, chức năng, ngun lí hoạt động và q trình phân
tích của HIDS OSSEC.
- Triển khai và xây dựng được các kịch bản kiểm nghiệm để kiểm thử hoạt
động của OSSEC HIDS
- Xây dựng thêm các quy tắc để nâng cao khả năng phát hiện các hành vi bất
thường.
- Các sự kiện khi xảy ra đều sẽ được thu thập và ghi chép lại vào log hệ thống,
các email cảnh báo sẽ được gửi đến quản trị viện khi có bất kì mối đe dọa hoặc
hành vi nào được cho là mất an toàn theo các kịch bản thực nghiệm được đề ra.
9
III. Đối tượng nghiên cứu
- Hệ thống phát hiện xâm nhập IDS
- Hệ thống HIDS OSSEC
- Các mơ hình triển khai hệ thống mạng thường sử dụng.
IV. Phạm vi nghiên cứu
- Nghiên cứu các tính năng, thành phần, nhiệm vụ, quá trình hoạt động nhận
dạng hành vi xâm nhập và xử lý của IDS
- Nghiên cứu xây dựng, triển khai hệ thống HIDS OSSEC
- Kiểm thử quá trình hoạt động của HIDS OSSEC với các kịch bản đề ra.
V. Bố cục khóa luận
Bố cục khóa luận gồm có 3 chương:
- Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
- Chương 2: Ứng dụng HIDS OSSEC trong phát hiện xâm nhập
- Chương 3: Triển khai và thực nghiệm
10
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1 Hệ thống phát hiện xâm nhập (IDS)
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống
phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện sảy ra, giám
sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho người quản trị.
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một
cách hợp lí để nhận ra những mối nguy hại có thể tấn cơng. Chúng phát hiện những
hoạt động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động
xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call,
và những khu vực khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa tấn cơng từ bên trong hay tấn cơng từ bên
ngồi. IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như
phần mềm diệt virus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên
so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống)
để tìm ra các dấu hiệu khác thường.
1.1.1 Chức năng của hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu
hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho
họ, bổ sung những điểm yếu của hệ thống khác.
Những chức năng quan trọng nhất của IDS chính là:
- Giám sát: Lưu lượng mạng và các hoạt động khả nghi.
- Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và quản trị viên.
11
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
- Bảo vệ: Dùng những thiết lập mặc định và các cấu hình từ nhà quản trị để có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Ngồi ra, có những chức năng mở rộng như:
- Phân biệt: Tấn công từ bên trong và tấn cơng từ bên ngồi.
- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhở.
vào sự so sánh thông lượng mạng hiện tái với Baseline.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển
nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng
cũng như cách bố trí bảo vệ phịng thủ của các nhà quản trị mạng.
1.1.2 Các thành phần của hệ thống phát hiện xâm nhập
Hình 1.1: Các thành phần của IDS
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thành
phần thu thập gói tin (Information Collection), thành phần phân tích gói tin
(Detection) và thành phần phản hồi (Respotion). Trong ba thành phần này, thành
phần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trị quan
quyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thống
phát hiện xâm nhập.
12
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Ở thành phần phân tích gói tin này bộ cảm biến đóng vai trị quyết định. Bộ
cảm biến tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiến. Cách sưu
tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thơng tin
sự kiện. Vai trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết. Thêm vào đó, cơ sở dữ liệu
giữa các tham số cấu hình, gồm các chế độ truyền thông với module đáp trả. Bộ
cảm biến cũng có sơ sở dữ liệu của riêng nó.
1.1.3 Nguyên lý hoạt động của hệ thống phát hiện xâm nhập
Quá trình phát hiện có thể được mơ tả bởi các yếu tố nền tảng cơ bản sau:
- Thu thập thông tin (Infotmation Source): kiểm tra tất cả các gói tin trên
mạng (Information Monitoring).
- Sự phân tích (Analysis): phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công (Intruction Detection).
- Xuất thông tin cảnh báo (Response): hành động cảnh báo cho sự tấn công
được phân tích ở trên nhờ bộ phận thơng báo (Notification).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các
chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối
đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) theo các chính sách bảo mật của các tổ
chức. Một IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp
13
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các cuộc
tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đơi khi có thể đưa ra các cảnh báo sai, ví dụ vấn đề xảy ra do
trục trặc về giao diện mạng hoặc việc gửi phần mô tả các cuộc tấn cơng hoặc các
chữ ký thơng qua email.
Hình 1.2: Hoạt động của IDS
Hầu hết các công cụ phát hiện xâm nhập trái phép là thụ động, khi phát hiện
được cuộc tấn công tạo ra cảnh báo nhưng không thực hiện biện pháp đối phó. Địi
hỏi người quản trị trực tiếp kiểm tra cảnh báo và thực hiện hành động phù hợp. Điều
này có thể gây chậm trễ trong việc xử lý với các cuộc tấn cơng.
Có một số IDS có khả năng thực hiện hành động như thay đổi trạng thái bảo
mật để phản ứng lại với những cuộc tấn cơng. Các IDS này có thể thay đổi quyền
của file, đặt thêm luật của tường lửa, ngừng tiến trình hay ngắt kết nối. Những hệ
như vậy có hiệu quả rất lớn, nhưng cũng có thể bị kẻ tấn cơng lợi dụng để tự gây hại
cho hệ, hay gây từ chối dịch vụ.
14
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
1.2 Phân loại hệ thống phát hiện xâm nhập
1.2.1 Host-base IDS (HIDS)
Những hệ thống HIDS được cài đặt như là những agent (tác nhân) trên một
host, kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS thường được đặt trên các host xung yếu
của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu
tiên.
Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả những
hoạt động hệ thống, như các file log những thông điệp báo lỗi trên hệ thống máy
chủ và những lưu lượng mạng thu thập được. Trong khi những đầu dị của mạng có
thể phát hiện một cuộc tấn cơng, thì chỉ có hệ thống dựa trên máy chủ mới có thể
xác định xem cuộc tấn cơng có thành công hay không. Thêm nữa là, hệ thống dựa
trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị
tấn công (compromised host).
Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm
(not all):
- Các tiến trình.
- Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính tồn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi
khả nghi trên hệ thống file sẽ gây ra báo động.
Ưu điểm của HIDS:
15
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
- Có khả năng xác định người dung liên quan tới một sự kiện.
- Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
- Có thể phân tích các dữ liệu mã hóa.
- Cung cấp các thông tin về host trong lúc tấn công diễn ra.
Nhược điểm HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ.
- Hids phải được thiết lập trên từng host giám sát
- Hids không có khả năng phát hiện các cuộc dị mạng.
- Hids cần tài nguyên Host để hoạt động.
- Đa số chạy trên hệ điều hành window. Tuy nhiên cũng đã có 1 số chạy trên
linux chặng hạng Ubuntu.
1.2.2 Network-base IDS (NIDS)
NIDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để
giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được
thiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort).
NIDS sử dụng bộ dị và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dị
này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ
lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và
phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay
dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu
hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều
16
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với
mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Ưu điểm của NIDS
- Quản lý được một phân đoạn mạng (network segment).
- Trong suốt với người sử dụng và kẻ tấn cơng.
- Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.
- Tránh được việc bị tấn công dịch vụ đến một host cụ thể.
- Có khả năng xác định được lỗi ở tầng network.
- Độc lập với hệ điều hành.
Hạn chế của NIDS
- Có thể xảy ra trường hợp báo động giả, tức là khơng có dấu hiệu bất thường
mà IDS vẫn báo.
- Khơng thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSec,
SSL,…
- NIDS địi hỏi phải ln được cập nhật các dấu hiệu tấn công mới nhất để
thực sự hoạt động hiệu quả.
- Không thể cho biết việc mạng bị tấn cơng có thành cơng hay khơng, để
người quản trị tiến hành bảo trì hệ thống.
Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập dữ liệu
phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích chúng. Khi tốc độ
mạng tăng lên thì khả năng của bộ thu thập thông tin cũng vậy. Một giải pháp là
phải đảm bảo cho mạng được thiết kế chính xác.
17
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệ
thống IDS là phân mảnh dữ liệu gói tin. Mỗi giao thức có một kích cỡ gói dữ liệu có
hạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu
bị phân mảnh. Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu. Thứ tự sắp xếp
không thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp
lại chúng.
Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân
mảnh chồng chéo. Một bộ cảm biến không phát hiện được các hoạt động xâm nhập
nếu không sắp xếp gói tin lại một cách chính xác.
1.2.3 So sánh HIDS và NIDS
Trong phần trước đã nói sơ lược về khái niệm Host-based IDS (HIDS) và
Network-based IDS (NIDS). Trong phần này sẽ cho chúng ta cái nhìn cụ thể về
những điểm mạnh, yếu của chúng, có một điểm chung của các IDS là bản thân
nó khơng tự chống các cuộc tấn công hoặc ngăn chặn những khai thác lỗi thành
cơng, thực tế thì IDS chỉ cho chúng ta biết mạng đang bị nguy hiểm và giá trị
chính của nó là cho biết điều gì sắp xảy ra, giúp cho người quản trị có những
chính sách hợp lý cho mạng và cho host.
Bảng dưới đây sẽ cho ta cái nhìn trực quan hơn về HIDS và NIDS:
CHỨC NĂNG
HIDS
NIDS
ĐÁNH GIÁ
Bảo vệ trong mạng LAN
*****
*****
Cả hai đều bảo vệ được mạng
LAN
Bảo vệ ngoài mạng LAN
*****
Dễ dàng cho việc quản trị
*****
*****
Tương đương như nhau xét về bối
cảnh quản trị chung
Tính linh hoạt
*****
**
HIDS có tính linh hoạt cao hơn
Giá thành
***
*
HIDS là hệ thống ưu tiên tiết kiêm
hơn nếu chọn đúng sản phẩm
Chỉ có HIDS
18
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Dễ dàng trong việc bổ sung
****
****
Cả hai tương đương nhau
Đào tạo ngắn hạn cần thiết
****
**
HIDS yêu cầu việc đào tạo ít hơn
2
NIDS sử dụng băng tần LAN rộng
cịn HIDS thì khơng
Băng tần cầu u cầu trong
0
LAN
Network overhead
1
2
NIDS cần 2 yêu cầu băng tần
mạng đối với bất kì mạng LAN
nào
Băng tần yêu cầu Internet
**
**
Cả hai đều cần băng tần Internet
để cập nhật kịp thời các file mẫu
****
NIDS yêu cầu phải kích hoạt mở
rộng cổng để đảm bảo lưu lượng
LAN được quét
Các yêu cầu về cổng mở
rộng
Chu kì nâng cấp cho các
*****
client
Khả năng thích nghi trong
**
các nền ứng dụng
HIDS nâng cấp cho tất cả các
client với một file mẫu trung tâm
****
Chế độ quét thanh ghi cục
****
bộ
Bản ghi
Chức năng cảnh báo
***
***
Loại bỏ gói tin
NIDS có khả năng thích nghi
trong các nền ứng dụng hơn
Chỉ có HIDS mới có thể thực hiện
***
Cả hai hệ thống đều có chức năng
bản ghi
***
Cả hau hệ thống đều có chức
năng cảnh báo cho từng cá nhân
và quảng trị viên
*****
Chỉ các tính năng NIDS mới có
phương thức này
Kiến thức chuyên môn
***
*****
NIDS cần nhiều kiến thức chuyên
môn hơn trong cài đặt và sử dụng
Quản lý tập trung
**
***
NIDS có chiếm ưu thế hơn
19
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Khả năng vơ hiệu hóa các
*
hệ số rủi ro
****
NIDS có hệ số rủi ro nhiều hơn so
với HIDS
Bảng 1.1 : Bảng so sánh giữa HIDS và NIDS
1.3 Mô hình triển khai IDS
Phụ thuộc vào mơ hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí. Tùy
thuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngồi, hoặc
cả hai. Ví dụ, nếu cần phát hiện một tấn cơng từ bên ngồi, có một router kết
nối ra Internet, thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa.
Nếu bạn có nhiều đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kết
nối đó. Tuy nhiên nếu cần phát hiện các nguy cơ từ bên trong, tốt nhất cần đặt
IDS tại mỗi phân đoạn mạng (network segment).
1.3.1 Mơ hình HIDS
HIDS có hai điểm khác biệt khi triển khai so với NIDS. HIDS chỉ theo dõi
được host mà nó đang được cài đặt và card mạng hoạt động ở trạng thái bình
thường là non-promiscuous (hay cịn gọi là trạng thái active).
Khi triển khai theo mơ hình HIDS có một số điểm thuận lợi như sau:
- Card mạng chỉ cần hoạt động ở chế độ bình thường nên khơng cần phải
trang bị thêm card mạng mới, bởi vì khơng phải tất cả các card mạng đều có
khả năng chuyển sang trạng thái promiscuos. Khi hoạt động ở chế độ bình
thường sẽ không yêu cầu nhiều xử lý của CPU so với trạng thái promiscuous.
- Do chỉ theo dõi cho một host cụ thể nên HIDS có thể theo dõi sâu hơn về
những thông tin của hệ thống như system calls, những thay đổi trong file hệ
thống, system logs.
- Người quản trị có thể linh động cấu hình tập hợp các rule cho từng host
cụ thể. Ví dụ như khơng cần phải sử dụng rule để phát hiện tấn công
DNS(Domain Name System) trong khi một máy tính khơng chạy dịch vụ DNS.
20
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Do đó có thể giảm bớt những rule không cần thiết, giúp tăng cường hiệu suất và
giảm thiểu những xử lý q tải.
Hình 1.4: Mơ hình triển khai HIDS
21
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
1.3.2 Mơ hình NIDS
Hình 1.5: Mơ hình triển khai NIDS
Khơng giống với HIDS, trong mơ hình triển khai NIDS ở hình 1.5, NIDS
theo dõi tồn bộ dữ liệu trên từng đoạn mạng mà nó được cài đặt. Trong mơ
hình trên sử dụng 4 NIDS để theo dõi luồng dữ liệu trên 4 đoạn mạng khác nhau
là các public server và hệ thống mạng bên trong. Như đã nói trong các phần
trước, đặc trưng của NIDS là làm sao để từng NIDS có thể theo dõi được tất cả
các dữ liệu được trao đổi trên từng đoạn mạng. Do đó cần phải có một số yêu
cầu đặc biệt về mặt kỹ thuật để triển khai NIDS:
Card mạng của NIDS cần phải hỗ trợ chế độ promiscuous để NIDS có thể
nhận được các gói tin có destination MAC khơng gửi cho nó. Tuy nhiên đây chỉ
22
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
là điều kiện cần để NIDS nhận được dữ liệu trên mạng, vấn đề chính là làm sao
để tồn bộ dữ liệu trên đoạn mạng có thể đổ dồn vào NIDS.
Có một số giải pháp để giải quyết vấn đề giúp NIDS có thể bắt được tồn
bộ dữ liệu trên đoạn mạng như: sử dụng Hub, Network Tap và c ông nghệ
Switch Port Analyzer (SPAN) của Cisco.
1.4 Các phương pháp nhận diện của hệ thống phát hiện xâm nhập
Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng
rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia
làm ba phương pháp nhận diện chính là: Signature-base Detection, Anormaly-base
Detection và Stateful Protocol Analysis.
1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)
Signature-base Detection sử dụng phương pháp so sánh các dấu hiệu của đối
tượng quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có
hiệu quả với các mối nguy hại đã biết nhưng hầu như khơng có hiệu quả hoặc hiệu
quả rất ít đối với các mối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn
tránh (evasion techniques), hoặc các biến thể. Signature-based Detection không thể
theo vết và nhận diện trạng thái của các truyền thông phức tạp.
1.4.2 Nhận diện dựa vào sự bất thường (Abnormaly-base Detection)
Abnormaly-base Detection so sánh định nghĩa của những hoạt động bình
thường và đối tượng quan sát nhằm xác định các độ lệch. Một hệ IDS sử dụng
phương pháp Abnormaly-base Detection có các profiles đặc trưng cho các hành vi
được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt
động tiêu biểu trong một khoảng thời gian. Sau khi đã xây dựng được tập các
profile này, hệ IDS sử dụng phương pháp thống kê để so sánh các đặc điểm của các
hoạt động hiện tại với các ngưỡng định bởi profile tương ứng để phát hiện ra những
bất thường.
23
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic:
- Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần
nó sẽ trở nên khơng chính xác, và cần phải được tái tạo định kỳ.
- Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung
được quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi
các phép thử dùng kỹ thuật giấu (evasion techniques). Ưu điểm chính của phương
pháp này là nó rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa được
biết đến.
1.4.3 Phân tích trạng thái của giao thức (Staful Protocol Analysis)
Phân tích trạng thái protocol là q trình so sánh các profile định trước của
hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó
xác định độ lệch. Khác với phương pháp Anomaly-base Detection, phân tích trạng
thái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó
quy định 1 protocol nên làm và khơng nên làm gì. "Stateful" trong phân tích trạng
thái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vận
chuyển, và các giao thức ứng dụng có trạng thái. Nhược điểm của phương pháp này
là chiếm nhiều tài nguyên do sự phức tạp trong việc phân tích và theo dõi nhiều
phiên đồng thời. Một vấn đề nghiêm trọng là phương pháp phân tích trạng thái
protocol khơng thể phát hiện các cuộc tấn công khi chúng không vi phạm các đặc
tính của tập các hành vi chấp nhận của giao thức.
24
Nghiên cứu triển khai hệ thống phát hiện xâm nhập HIDS VỚI OSSEC
CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN
XÂM NHẬP
2.1 Giới thiệu về OSSEC
OSSEC là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một
HIDS (Host IDS). thực hiện phân tích đăng nhập, kiểm tra tính tồn vẹn file, giám
sát chính sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực. Nó
chạy trên hầu hết các hệ điều hành.
OSSEC cịn là một nền tảng đầy đủ để theo dõi và kiểm sốt hệ thống của
bạn. Nó trộn lẫn với nhau tất cả các khía cạnh của HIDS(dựa trên máy chủ phát
hiện xâm nhập), giám sát đăng nhập và SIM/SIEM với nhau trong một giải pháp
mã nguồn đơn giản, mạnh mẽ và cởi mở. Nó cũng được hổ trợ và hổ trợ đầy đủ
bởi Trend Micro. OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh
báo theo các mức ưu tiên khác nhau. Tích hợp SMTP, chúng ta có thể nhận được
các thơng báo cảnh báo của hệ thống qua email, tin nhắn. Ngồi ra, chúng ta có thể
cấu hình, tùy chọn hoạt động phản ứng để ngăn chặn một cuộc tấn cơng có thể xảy
ra.
2.2 Các thành phần chính của OSSEC
OSSEC có 2 thành phần chính: Server và Agent.
25
