1. Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh
Khoa Đào tạo Chất lượng cao
TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG
CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG
SNORT/SNORTSAM

SV: Nguyễn Văn Quang
GVHD: Th.S Nguyễn Đăng Quang

2. Nội dung
Giới thiệu về IDS
Snort/SnortSam
Luật của Snort
Demo
Kết quả
2

3. Mục tiêu đề tài
Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm,
kiến trúc, kỹ thuật phát hiện xâm nhập.
Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển
khai trong hệ thống mạng.
Phân tích các dấu hiệu tấn công, hình thành các luật
tương ứng.
Demo trên mô hình ảo.
3

4. Giới thiệu về IDS
4

5. Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
5

6. Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
“Xâm nhập máy tính” là hành động
cố tình truy cập mặc dù không
được phép hoặc tìm cách vượt qua
quyền đã có để truy xuất các tài
nguyên không được phép.
6

7. Giới thiệu về IDS
Giám
sát/theo
dõi
IDS
Báo cáo Xác định
7

8. Giới thiệu về IDS
8

9. Giới thiệu về IDS
9

10. Phân loại IDS
Network-based IDS
 Snort
 Suricata
 Cisco, Juniper, Lactien JSC
Host-based IDS
 Tripwire
 Symantec HIDS
 OSSEC
10

11. Network-based IDS
11

12. Host-based IDS
12

13. Kỹ thuật phát hiện xâm nhập
Phát hiện dựa trên sự bất thường.
Phát hiện dựa trên dấu hiệu.
13

14. Anomaly Based ID
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
14

15. Anomaly Based ID
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Ví dụ:
× Không tuân theo các chuẩn Internet thông thường như gửi một gói tin
ICMP có kích thước vượt quá 65.535 bytes.
× Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy
định trong một khoảng thời gian.
15

16. Anomaly Based ID
Ưu điểm:
 Phát hiện được các cuộc tấn công chưa được biết đến.
 Cung cấp các thông tin để xây dựng các dấu hiệu.
16

17. Anomaly Based ID
Ưu điểm:
 Phát hiện được các cuộc tấn công chưa được biết đến.
 Cung cấp các thông tin để xây dựng các dấu hiệu.
Nhược điểm:
 Có thể tạo ra số lượng lớn các cảnh báo sai.
 Cần phải được đào tạo thường xuyên.
17

18. Misuse/Signature Base ID
Là kỹ thuật so sánh dấu hiệu của các đối tượng đang
quan sát với dấu hiệu của các hình thức xâm nhập đã
biết trước.
Ưu điểm:
× Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết
trước.
× Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật
xâm nhập.
18

19. Misuse/Signature Base ID
Nhược điểm:
× Thường xuyên cập nhật các dấu hiệu nhận biết các
cuộc tấn công.
× Các dấu hiệu cần phải được thiết kế một cách chặt
chẽ nếu không thể phát hiện được các cuộc tấn
công biến thể.
19

20. Snort/SnortSam
20

21. Kiến trúc của Snort
Snort
Packet Decoder
Packet Stream
Preprocessors
Packet Capture
Detection Engine
Output
21

22. Packet Decoder
Một gói tin đi vào
Packet
Giải mã cấu trúc của gói tin
Ethernet IP TCP
Payload
Header Header Header
22

23. Preprocessors
Cung cấp 2 chức năng chính là:
× Bình thường hóa các giao thức giúp trình bày dữ liệu theo các
định dạng chuẩn.
× Tái hợp (reassembly) các gói tin.
Ví dụ
GET %2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
HTTP /1.1
GET /../../../../etc/passwd HTTP
/1.1
23

24. Detection Engine
Detection Engine sẽ kiểm tra các gói tin từ Preprocessors
thông qua các luật (rule), nếu không phù hợp gói tin sẽ bị
bỏ đi, nếu phù hợp sẽ được xử lý tiếp.
Phù Không
Detection Engine Rule hợp
?
Có
Gửi tới phần cảnh báo
và logging
24

25. Output (alert/logging)
Thành phần này giúp định dạng và trình bày đầu ra cho
người quản trị hệ thống.
Phần logging có nhiệm vụ lưu trữ các gói tin đã được kích
hoạt.
Các cảnh báo và log có thể được gửi thông qua SMB pop-
up, UNIX socket, SNMP hoặc lưu trữ xuống MySQL,
PostgerSQL.
25

26. Output
Ngoài ra còn có rất nhiều các add-on khác cung cấp
việc nhận và phân tích các dữ liệu một cách trực
quan thông qua web interface.
× BASE
× Snorby
× SGUIL
26

27. Output
27

28. SnortSam
Là một plugin giúp chủ động ngăn chặn các cuộc tấn công.
Hỗ trợ nhiều loại firewall khác nhau:
× iptables
× pfsense
× Microsoft ISA Server
× Cisco, Juniper firewall
28

29. SnortSam
Snort Output Plugin (alert_fwsam): Module này sẽ được
kích hoạt sau khi một luật trong Snort được kích hoạt. Làm
nhiệm vụ giao tiếp và gửi thông tin đến Agent.
Blocking Agent: Giao tiếp trực tiếp với firewall, nhận một
thông điệp từ phần alert_fwsam và yêu cầu firewall chặn
các địa chỉ theo yêu cầu.
29

30. Luật (rule)
Ví dụ:
Nếu có người cố gắng mở cửa ô tô, thì còi xe sẽ hú.
Cấu trúc:
Rule Header Rule Option
30

31. Rule Header
Rule Action
x Alert
x Log
x Pass
x Drop
x sdrop
Protocol (IP, ICMP, UDP, TCP)
Source/Destination IP
Port
Điều hướng
31

32. Rule Header
Rule Action
x Alert
x Log
x Pass
x Drop
x sdrop
 Protocol (IP, ICMP, UDP, TCP)
Source/Destination IP
Port
Điều hướng
32

33. Rule Options
Là trung tâm của việc phát hiện, chứa các dấu
hiệu để phát hiện xâm nhập.
Gồm 4 loại:
× General
× Payload
× Non-Payload
× Post-detection
33

34. Rule Options
nocase
rev msg distance depth
classtype sid content
priority within sameip
offset
pcre
General Payload
34

35. Rule Options
itype
tos
session
id dsize logto
ttl icode tag resp
fragbits
flag flow detection_filter
sed ack react
Non-payload Post-detection
35

36. Ví dụ
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (flags: PA; msg:"POST Null hex -
Flash attack ABC"; flow:to_server; content:
"|50 4F 53 54|"; content:"|78 2D 66 6C 61 73
68|"; offset:30; depth:80;
classtype:attempted-NullDataPOST;
resp:rst_all; resp:rst_all; resp:rst_all;
react:block;)
36

37. Thực tế
37

38. Demo
Scan Port
SQL Injection
Apache Killer
Ping of Death
MS12-020
38

39. Mô hình xử lý
39

40. Kết quả đạt được
Hiểu về các phương pháp phát hiện xâm nhập.
Hiểu về cấu trúc và cách xử lý các gói tin trên mạng của
Snort/SnortSam.
Cấu trúc luật, cách thức viết các luật đối với từng trường
hợp cụ thể. Phân tích được một số dạng tấn công và luật
kèm theo.
Cài đặt, triển khai, demo trên mô hình ảo.
40

41. Hạn chế
Chưa có điều kiện triển khai trong mô hình thật, kiện
toàn hệ thống với các ứng dụng khác.
Chưa xây dựng được chức năng phát hiện xâm nhập dựa
vào các tiền xử lí.
Chưa cấu hình đầy đủ các luật của iptables và chưa demo
được các dạng tấn công nội bộ như ARP Spoofing.
41

42. Hướng phát triển
Kết hợp với các giải pháp nguồn mở khác như iptables,
mod_security, Nagios hay ZenOSS…Xây dựng một hệ
thống bảo mật bằng các phần mềm nguồn mở.
Xây dựng riêng một máy trạm phục vụ cho việc phân
tích log của toàn hệ thống và của Snort thông qua 2
công cụ thương mại là Splunk hoặc Aanval SAS™.
42

43. Hướng phát triển
43

44. Hướng phát triển
44

45. 45

46. 46