suricata giới thiệu, cách sử dụng, hoàn cảnh sử dụng
1. TÌM HIỂU HỆ THỐNG PHÁT
HIỆN XÂM NHẬP MẠNG
SURICATA
Nhóm 4
2. NỘI DUNG
1. Tổng quan về xâm nhập, các kỹ thuật và hệ
thống phát hiện xâm nhập
2. Giới thiệu Suricata
3. Kiến trúc, hoạt động, luật và tạo luật
4. So sánh Suricata và Snort
3. 1. TỔNG QUAN VỀ XÂM NHẬP,
CÁC KỸ THUẬT VÀ HỆ THỐNG
PHÁT HIỆN XÂM NHẬP
1.1 Tổng quan về xâm nhập
- Xâm nhập là những tác động trái phép nhằm xâm
phạm tính bảo mật, tính toàn vẹn, tính khả dụng hoặc
để vượt qua các cơ chế bảo mật của máy tính hoặc
mạng.
- Các giai đoạn xâm nhập: Trinh sát – Quét – Truy cập –
Duy trì truy cập – Xóa dấu vết
4. 1.2 Các kỹ thuật phát hiện xâm nhập
- Phát hiện xâm nhập dựa trên chữ ký (Signature-based
intrusion detection): Phát hiện các cuộc tấn công trên cơ
sở các mẫu cụ thể. Các mẫu được phát hiện được gọi là
chữ ký.
- Phát hiện xâm nhập dựa trên bất thường (Anomaly
intrusion detection): Dựa trên giả thiết: các hành vi tấn
công, xâm nhập thường có quan hệ chặt chẽ với các hành
vi bất thường. Giám sát hành vi hiện tại của hệ thống và
cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và
các hành vi lưu trong hồ sơ của đối tượng.
5. 1.3 Hệ thống phát hiện xâm nhập
- Hệ thống phát hiện xâm nhập (IDS -Intrusion Detection
System) là hệ thống phần mềm hoặc phần cứng tự động hóa
quá trình giám sát các sự kiện xảy ra trong hệ thống máy tính
hoặc mạng, phân tích chúng để tìm ra các dấu hiệu của sự cố
bảo mật.
- Hệ thống IDS được chia làm 2 loại cơ bản:
• Hệ thống phát hiện xâm nhập dựa trên mạng (NIDS –
Network-based IDS): Giám sát cổng mạng, thu thập và
phân tích lưu lượng mạng gồm các gói tin để phát hiện
tấn công, xâm nhập cho cả mạng hoặc một phân đoạn
mạng.
• Hệ thống phát hiện xâm nhập dựa trên máy (HIDS –
Host-based IDS): Giám sát các hoạt động của một máy,
thu thập và phân tích các sự kiện xảy ra trong máy, hoặc
dịch vụ chạy trên máy để phát hiện tấn công, xâm nhập.
6. 2. GIỚI THIỆU SURICATA
Suricata là một hệ thống phát hiện xâm nhập dựa trên
mã nguồn mở, được phát triển bởi Open Information
Security Foundation (OISF). Suricata là công cụ phát hiện
và ngăn chặn dựa trên luật để theo dõi lưu lượng mạng
và cung cấp cảnh báo đến người quản trị hệ thống khi có
sự kiện đáng ngờ xảy ra.
8. - Suricata được tạo bởi một
số mô-đun có thể tương
tác khác nhau tùy thuộc
vào cách Suricata được
khởi tạo.
- Cách thức mà các mô-đun
và các luồng (thread) cùng
hàng đợi liên kết với chúng
được bố trí được gọi là
runmode của Suricata.
- Runmode này được lựa
chọn dựa trên mức độ ưu
tiên xử lý của Suricata
được thiết lập
3.1 KIẾN TRÚC
9. 3.2 HOẠT ĐỘNG
- Mô-đun bắt gói tin tập hợp các gói tin từ giao diện mạng và đưa chúng
vào giải mã gói tin.
- Sau khi hoàn thành, dữ liệu được truyền cho mô-đun luồng. Mô-đun
luồng chủ yếu chịu trách nhiệm theo dõi các giao thức phiên (như TCP)
và nối ghép dữ liệu gói theo thứ tự thích hợp. Thêm vào đó, mô-đun
luồng cũng thực hiện một số xử lý và nối dữ liệu lại từ các giao thức
tầng ứng dụng như HTTP.
- Tất cả các dữ liệu được đưa vào mô-đun phát hiện xâm nhập.
- Khi cảnh báo được tạo ra, chúng được gửi tới mô-đun đầu ra để xuất
theo một số định dạng.
10. 3.3 LUẬT VÀ TẠO LUẬT
- Luật (Rule) trong Suricata ta có thể hiểu một cách đơn giản nó giống
như luật lệ và quy tắc trong thế giới thực.
- Nghĩa là nó sẽ có phần mô tả một trạng thái và hành động gì sẽ xảy ra
khi trạng thái đó đúng.
- Suricata cho phép người sử dụng có thể tự viết các luật riêng của mình
hoặc tùy biến các luật có sẵn cho phù hợp với hệ thống mạng của
mình.
- Rule format (Định dạng luật) của Suricata bao gồm ba thành phần:
• Rule Action (Hành động của luật): Xác định những gì sẽ xảy ra khi
các phát hiện khớp với các chữ ký.
• Header (Tiêu đề luật): xác định giao thức, địa chỉ IP, cổng và hướng
của lưu lượng, nằm trước dấu ngoặc.
• Rule Option (Tuỳ chọn luật): xác định các chi tiết cụ thể của luật,
nằm trong dấu ngoặc.
11. RULE FORMAT
RULE ACTION
• alert - tạo cảnh báo
• pass - ngừng kiểm tra
thêm gói tin
• drop – chặn gói tin và tạo
cảnh báo
• reject - gửi lỗi không kết
nối RST/ICMP tới người
gửi gói đó.
HEADER
• Protocol (Giao thức)
• IP Address (Địa chỉ IP
nguồn và đích)
• Port (Cổng nguồn và đích)
• Direction (Hướng lưu
lượng)
RULE OPTIONS
• Phần này cho IDS biết
chính xác những gì cần
tìm kiếm trong các gói tin.
• Thông tin tùy chọn càng
chi tiết thì càng hiệu quả
khi phân tích điều tra dữ
liệu kết hợp với cảnh báo
• Các tùy chọn luật có thứ
tự cụ thể và việc thay đổi
thứ tự của chúng sẽ thay
đổi ý nghĩa của luật.
• Một số tùy chọn: msg, sid,
rev, reference, priority,
classtype.
12. TẠO LUẬT
- Bước 1: Tạo một file luật mới: sudo vim /etc/suricata/rules/custom.rule
- Bước 2: Viết các quy tắc vào file luật đó
- Bước 3: Configue lại file suricata.yaml sử dụng: sudo vim
/etc/suricata/suricata.yaml
Hình - Đường dẫn luật
- Bước 4: Thêm đường dẫn của bộ luật mới. Sau khi khởi động và chạy
Suricata thì bộ luật mới sẽ được áp dụng.
13. Giống nhau:
- Đều là NIDS mã nguồn mở và miễn phí
- Đều sử dụng kỹ thuật phát hiện dựa trên chữ ký từ các bộ quy
tắc (VRT, SO, EmergingThreats rules).
- Có thể xảy ra trường hợp báo động giả
- Không thể phân tích được các lưu lượng đã được mã hóa
- Đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới
nhất để thực sự hoạt động hiệu quả
4. SO SÁNH SURICATA VÀ SNORT
14. Tiêu chí Snort Suricata
Luồng xử lý Đơn luồng Đa luồng
Sử dụng tài nguyên
của hệ thống
Trung bình Nhiều
Tỷ lệ bỏ qua gói tin khi
lưu lượng mạng lớn
Cao Thấp
Tính năng kiểm tra
trạng thái
Căn cứ vào việc phát hiện các rules
và ngưỡng để theo dõi số lần một
rule được kích hoạt
Sử dụng session variable tạo bộ đếm
Tập luật Sử dụng các luật từ VRT, Emerging
Threat cũng như là các tập luật được
biết bởi cộng đồng
Sử dụng các luật từ VRT, Emerging
Threat. Ngoài ra còn hỗ trợ các luật
được viết bằng Lua script
Kết quả đầu ra Có thể ghi kết quả đầu ra dưới dạng
syslog, tcpdump, csv hoặc unified2
Cho phép ghi kết quả đầu ra dưới dạng
EVE JSON và syslog. Ngoài ra còn hỗ
trợ dung Lua script để lấy kết quả đầu ra
Khác nhau:
15. CẢM ƠN THẦY
VÀ CÁC BẠN ĐÃ
LẮNG NGHE
PHẦN TRÌNH BÀY
CỦA NHÓM 4
23. MEET OUR TEAM
Presentation title 23
TAKUMA HAYASHI
President
MIRJAM NILSSON
Chief Executive Officer
FLORA BERGGREN
Chief Operations Officer
RAJESH SANTOSHI
VP Marketing
24. MEET OUR EXTENDED TEAM
TAKUMA HAYASHI
President
GRAHAM BARNES
VP Product
MIRJAM NILSSON
Chief Executive Officer
ROWAN MURPHY
SEO Strategist
FLORA BERGGREN
Chief Operations Officer
ELIZABETH MOORE
Product Designer
RAJESH SANTOSHI
VP Marketing
ROBIN KLINE
Content Developer
24
25. PLAN FOR PRODUCT LAUNCH
Presentation title 25
PLANNING
Synergize scalable
e-commerce
MARKETING
Disseminate
standardized
metrics
DESIGN
Coordinate e-
business
applications
STRATEGY
Foster holistically
superior
methodologies
LAUNCH
Deploy strategic
networks with
compelling e-
business needs
26. TIMELINE
26
SEP 20XX NOV 20XX JAN 20XX MAR 20XX MAY 20XX
Synergize scalable
e-commerce
Disseminate
standardized
metrics
Coordinate e-
business applications
Foster holistically
superior
methodologies
Deploy strategic
networks with
compelling e-
business needs
27. AREAS OF FOCUS
27
B2B MARKET SCENARIOS
• Develop winning strategies to keep
ahead of the competition
• Capitalize on low-hanging fruit to
identify a ballpark value
• Visualize customer directed
convergence
CLOUD-BASED OPPORTUNITIES
• Iterative approaches to corporate
strategy
• Establish a management framework
from the inside
28. HOW WE GET THERE
Presentation title 28
ROI
• Envision multimedia-
based expertise and
cross-media growth
strategies
• Visualize quality
intellectual capital
• Engage worldwide
methodologies with web-
enabled technologies
NICHE MARKETS
• Pursue scalable customer
service through
sustainable strategies
• Engage top-line web
services with cutting-edge
deliverables
SUPPLY CHAINS
• Cultivate one-to-one
customer service with
robust ideas
• Maximize timely
deliverables for real-time
schemas
29. SUMMARY
Presentation title 29
At Contoso, we believe in giving 110%. By using our next-
generation data architecture, we help organizations virtually
manage agile workflows. We thrive because of our market
knowledge and great team behind our product. As our CEO says,
"Efficiencies will come from proactively transforming how we do
business."