(123doc) - Tim-Hieu-Va-Trien-Khai-He-Thong-Phat-Hien-Va-Phong-Chong-Xam-Nhap-Ossec

 

 

ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH  TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN   KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG  

ĐỒ ÁN MÔN AN TOÀN MẠNG MÁY TÍNH  ĐỀ TÀI 7: TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP - OSSEC    

Giảng viên hướng dẫn 

:

Nguyễn Duy 

Sinh viên thực hiện 

:

Nguyễn Thanh Tâm 

MSSV: 12520909

Đặng Thái Hoà

MSSV: 12520596

 

L ời nói đầu hóm chúng em xin gửi lờ i cảm ơn tớ i thầy Nguyễn Duy đã tận tình hướ ng ng dẫn và giúp đỡ  để  nhóm thực hiện

và hoàn thành đồ án môn An toàn mạng máy tính. Mặc dù đã có nhiều c ố 

gắng nhưng do thời gian và trình độ  có hạn nên chắc đồ án này còn nhiều thiếu sót. Nhóm r ất

 N

mong nhận đượ c những ý kiến đóng góp quý báo từ  các thầy cô và các bạn

 

 

 I. Hệ thống phát hiện hiện xâm nhập IDS (Intrusion (Intrusion Detection System) System)  1.  Khái niệm  2.  Các thành phần và chức năng của IDS a.   IDS bao g ồm các thành phần chính b.  Chức năng   c.   Phân loại d.   H ệ thố ng ng luật e.  Thiế t k ế ế   

3.  Giớ i thiệu về   OSSEC  II. Tiế n hành demo

 

I. Hệ thống phát hiện xâm

nhập IDS (Intrusion Detection System) 

1.  Khái niệm  IDS: là hệ thống phần cứng hoặc phần mềm có chức năng:  -  Giám sát lưu thông mạng -  Tự động theo dõi các s ự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà qu ản tr ị. -  Phản ứng l ại v ới các lưu thông bất thườ ng ng hay có hại b ằng các hành động đã đượ c thiết l ậ p trước như khóa người dùng hay đị a chỉ ip nguồn đó truy cậ p hệ thống mạng.

IDS cũng có thể phân biệt giữa: + Những tấn công từ bên trong (từ những ngườ i trong công ty) + Tấn công bên ngoài (từ các hacker). IDS phát hiện d ựa trên các dấu hi ệu đặc bi ệt v ề  các nguy cơ đã biết (giống như các phần m ềm di ệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại vớ i  baseline (thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thườ ng. ng.

2.  Các thành phần và chức năng của IDS a.  IDS bao gồm các thành phần chính: -  Thành phần thu thập gói tin: thành phần này có nhiệm vụ lấy các gói tin đi đến mạng.

Thông thường các gói tin có địa ch ỉ không phải c ủa m ột card mạng thì sẽ b ị card mạng đó hủ y b ỏ  nhưng card mạng của IDS được đặt ở  ch  chế độ thu nhận tất cả. Bộ phận thu thậ p gói tin sẽ đọc thông tin của từng

trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, d ịch vụ  gì…. Các thông tin này đượ c

chuyển đến thành phần phát hiện tấn công

 

-

Thành phần phát hiện tấn công:  các bộ cảm biến đóng vai trò quyết đị nh.

Vai trò của b ộ cảm biến

là dung để lọc thông tin và lo ại bỏ những thong tin dữ liệu không tương thích đạt

đượ c từ các sự kiện liên quan tớ i hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ . -  Thành phần phản hồi: khi có dấu hi ệu c ủa s ự tấn công hoặc thâm nhậ p, thành ph ần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến từng thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tườ ng ng lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tớ i

ngườ i quản tr ị.  

b. Chức năng 

 

-  Cảnh báo thờ i gian thự c : là gửi các cảnh báo thờ i gian thực

đến ngườ i qu ản tr ị  để h ọ n ắm đượ c

chi tiết các cuộc tấn công, các đặc điể m và thông tin về chúng.

-  Ghi lại vào tập tin: các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tậ p tin log. Mục đích

là để những ngườ i quản tr ị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module  phát hiện hoạt động tấn công.

- 

Ngăn chặn thay đổi gói tin: khi một gói tin khớ  p v ớ i dấu hiệu t ấn công thì IDS s ẽ ph ản h ồi bằng cách xóa bỏ, hay từ chối thay đổi nội dung của gói tin, làm cho gói tin tr ở ở   nên không bình thườ ng. ng. c.  Phân loại:

ng phát hện xâm nhậ p mạng.  Ne Nettwork B ase I D S (N I DS) : hệ thố ng Hệ thống sẽ tậ p hợ   p gói

tin để  phân  phân tích sâu bên trong mà không làm thay đổ đ ổi cấu trúc gói tin. NIDS

có thể là phần mềm triển khai trên server hoặc dạng thiết bị tích hợ   p appliance. ng phát hiện xâm nhậ p host.  H ost B ase I DS ( H I DS) hệ thố ng

Theo dõi các hoạt động bất thường trên các host riêng biệt. HIDS được cài đặt tr ực tiếp trên các máy (host) cần theo dõi.

Ưu nhược điểm của HIDS Ưu

điểm.

- Có khả năng xác định ngườ i dung liên quan t ớ i một sự kiện. - Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy. - Có thể phân tích các dữ liệu mã hóa. - Cung cấ p các thông tin về host trong lúc t ấn công diễn ra.  Nhược điểm. - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. - Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ. - Hids phải đượ c thiết lậ p trên từng host giám sat. - Hids không có kh ả năng phát hiện các cuộc dò mạng. - Hids cần tài nguyên Host để hoạt động. - Đa số chạy trên hệ điều hành window. Tuy nhiên cũng đã có 1 số chạy trên linux chặng hạng Ubuntu.

 

 Các hoạt động của HIDS

Khi lưu lượng đượ c truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hi ểm bên

trong. HIDS thường đượ c sử dụng cho các máy tính nội bộ 

trong khi đó NIDS đượ c dùng cho cả một mạng. HIDS thường đượ c s ử dụng cho nền Windows trong thế  giới máy tính, tuy nhiên cũng có c ó nhiều sản phẩm cũng có thể hoạt

động trong môi trườ ng ng UNIX và các hệ 

điều hành khác. d.  Hệ thống luật

Tập luật là thành phần quan trọng nhất của một hệ thống phát hiện xâm xâ m nhập. Đây là tập sẽ định ra dấu hiệu (mẫu) để so sánh, đói chiếu với dữ liệu ở đầu vào. Thông thường, tập luật bao gồm rất nhiều luật, mỗi luật sẽ gồm 2 thành phần cơ bản: Rule Header và Rule Options.   bao gồm các thông tin sau:  Rule header bao  



 



 



 



 



Rule Action: Cho biết các hoạt động sẽ đượ c thực thi khi “khớp” luật (alert, log, pass, active,   dynamic, drop…). Protocol: Cho biết giao thức sẽ kiểm tra (TCP, UDP, ICMP, IP…)   IP address: Cho biết thông tin về địa chỉ ip. Port number: Cho biết thông tin về cổng. Direction: Cho biết hướ ng ng của dữ liệu mà đượ c so khớ   p.

Rule options chia làm 4 danh mục:    



 



 





 

General: cung cấ p thông tin chung về luật (msg, reference, rev, classtype…).  Payload: Tìm kiếm nội dung payload c ủa gói tin (content, offset, depth, distance, within…).   Non-payload: Tìm kiếm nội dung non-payload c ủa gói tin (ttl, ack, tos, id, dsize…).   Post-detection: cung cấp các phương pháp thực thi k ế tiếp(logto, session, tag…).  

e.  Thiết k ế 

Đặt gi ữ ữ a   router và firewall

 

  Đặt trong mi  ền DMZ  

 

Đặt sau firewall 

 

 

f.  Giớ i thiệu về OSSEC

Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS (Host IDS): thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit, cảnh báo thời gian thực và tích cực  phản ứng.   Nó chạy trên hầu h ết các hệ  điều hành , bao gồm cả Linux, hệ điều hành MacOS, Solaris, HP-UX, AIX và Windows.

Các thành phần của OSSEC  

 

Các luật trong OSSEC 

II. Tiến hành demo