Hệ thống phát hiện xâm nhập

Download
Hthng phát hin xâm nhp (1)  
Tequila (VietHacker.org Translator Group Leader)  
Compose by hieupc (PDF)  
Hthng phát hin xâm nhp (IDSs) cung cp thêm cho vic bo van toàn thông tin mng mt mc độ  
cao hơn. Nó được đánh giá giá trkhông ging như firewall và VPN là ngăn nga các cuc tn công mà  
IDSs cung cp sbo vbng cách trang bcho bn thông tin vcuc tn công. Bi vy, 1 IDS có ththoả  
mãn nhu cu van toàn hthng ca bn bng cách cnh báo cho bn vkhnăng các cuc tn công (và  
thnh thong thì ngoài nhng thông báo chính xác thì chúng cũng đưa ra mt scnh báo chưa đúng.  
Nhìn chung, IDSs không tự động cm các cuc tn công hoc là ngăn chn nhng kkhai thác 1 cách  
thành công, tuy nhiên, mt sphát trin mi nht ca IDS đó là hthng ngăn chn xâm nhp (the  
intrusion prevention systems) đã có để thc hin nhiu vai trò hơn và có thngăn chn các cuc tn công  
khi  
nó  
xy  
ra.  
Định nghĩa 1 IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS được nhìn nhn như là mt cái chuông báo  
trm mà có ththông báo cho bn biết khi nào thì bn btn công. Tuy nhiên, nhng hthng IDS hin đại  
thì phc tp hơn nhiu và ít người có thể đồng ý rng nó có mc độ ging như mt cái chuông báo trm  
truyn thng đáng tin cy. Nếu sging nhau là cùng được sdng, thì mt hthng IDS trông ging như  
nhng chiếc camera chng trm hơn là 1 cái chuông, nhng người có trách nhim có thquan sát chúng  
và  
đáp  
trả  
cho  
nhng  
đe  
doạ  
xâm  
nhp.  
Thc tế thì dường như IDS chnói cho chúng ta biết rng mng đang bnguy him. Và điu quan trng để  
nhn ra đó là mt vài cuc tn công vào mng đã thành công nếu hthng không có IDS. Và như chúng ta  
đã thy, mt mng có thtrthành thiên đường cho các hacker trong hàng năm mà chnhân ca nó vn  
không  
hề  
hay  
biết.  
Giá trchính ca 1 hthng phát hin xâm nhp theo quan đim ca chúng tôi đó là nó biết được chuyn gì  
sxy ra. Phi, 1 hthng IDS có thgiúp chúng ta ngăn nga các skin khi nó chưa xy ra, cung cp  
các gii pháp cho mng và host, và thm chí cũng có thhot động như mt cái chuông báo động (vi  
nhng gii hn tương ng). Tuy nhiên, chc năng chính ca nó là thông báo cho bn biết vcác skin có  
liên quan đến an ninh hthng đang sp sa xy ra bên trong mng và hthng mà bn kim soát.  
Trong chương này scho chúng ta cái nhìn tng quan vIDS bao gm cnhng đim mnh và đim yếu  
ca chúng. Chúng ta sẽ đề cp đến cnetwork IDS (nhiu khi được đề cp đến như 1 sniffer) và chost  
IDS  
(phân  
tích  
log,  
kim  
tra  
tích  
hp  
và  
nhiu  
thứ  
khác)  
.
Skhác nhau chyếu gia network IDS và host IDS đó là dliu mà nó tìm kiếm. NIDS nhìn vào toàn  
cnh các chuyn dch trên mng, trong khi host IDS thì quan sát các host, hệ điu hành và các ng dng.  
Trong thc tế, nó được chia ct ra nhiu lĩnh vc khác nhau, chng hn như host IDS ngăn chn các truy  
cp có hi cho mng, còn NIDS thì cgng đoán xem cái gì xy ra bên trong host.Có mt vài gii hn  
không  
rõ  
nét  
lm  
như  
công  
nghệ  
để  
phát  
trin  
tiếp  
theo.  
Vy nhng thun tin ca Host-base IDS là gì? Skhác nhau cơ bn gia chúng đó là trong khi NIDS phát  
hin ra các cuc tn công tim năng (nhng thsẽ được chuyn ti đích) thì host IDS li phát hin ra  
nhng cuc tn công mà đã thành công, có kết qu. Bi vy có thnói rng NIDS mang tính tin phong  
hơn. Tuy nhiên, 1 host IDS shiu quhơn đối vi trong các môi trường có tc độ chuyn dch ln, mã hoá  
và có chuyn mch - đây là nhng môi trường mà NIDS rt khó hot động. HIDS được ththách bi rt  
nhiu nhng hành động có mc độ phơi bày cao ca ktn công và đã thc snâng tm xlý ca chúng.  
Mt khác thì NIDS li là 1 phn rt tuyt cho môi trường tng hp như toàn bmng. Vì thế, NIDS có thể  
to nên mt squan sát có ý nghĩa đến các phn ca vtn công có liên quan đến nhiu host. Nó được  
ththách trong môi trường mng có chuyn mch tc độ cao, môi trường mã hoá và các giao thc ng  
dng hin đại phc tp, bi vy nên các kết qubáo sai cũng ht có khnăng xy ra.  
Bi vy, chúng tôi khuyên các bn nên la chn công nghIDS và bi vy cung cp cho chúng ta la chn  
bsung chúng vào mng ca bn như phân tích Bayesian. Chúng tôi cũng quan tâm đến vic nhng thay  
đổi tương lai trong công nghIDS có thmang li. Cui cùng chúng tôi smiêu tmt cách đầy đủ vic bổ  
sung mã ngun trên Linux.  
19.1 Ví dvIDS  
Phn này smiêu tmt vài hthng IDS bao gm giám sát logfile, quét các du hiu và phát hin các du  
hiu bt thường.  
19.1.1 Host IDSs  
Host-based network IDSs có thể được phân chia lng lo thành các kim soát log, kim tra độ tích hp và  
các module nhân ca hthng. Nhng phn sao smiêu ttng phn ca chúng vi các ví dcth.  
19.1.1.1 Giám sát Logfile :  
Mt IDS đơn gin nht là thiết bgiám sát logfile (logfile monitors), thiết bnày scgng phát hin nhng  
sxâm nhp bng cách phân tích các log skin ca hthng. Ví dnhư, mt thiết bgiám sát logfile sẽ  
tìm kiếm nhng logfile ghi nhn nhng truy cp Apache để truy cp ti Apache để tìm ra đặc đim ca yêu  
cu /cgi-bin/ . Công nghnày bgii hn bi vì nó chtìm kiếm trong các skin đã được log - là nhng thứ  
mà ktn công rt dễ để thay thế. Thêm vào đó, hthng có thbqua các skin hthng cp thp mà  
chghi li các hot động cp cao.Ví dnhư, HIDS sbqua nếu ktn công chỉ đọc ni dung file như file  
/etc/passwd chng hn. Điu này sxy ra nếu bn không đặt file vào chế độ bo vca hthng.  
Giám sát Logfile là mt ví dchính cho các hthng IDS da trên host bi chúng thc hin chc năng  
giám sát ca chúng trên ch1 máy. Tuy nhiên, mt hthng giám sát host logfile hoàn toàn có thgiám sát  
trên nhiu host, thm chí trên 1 loggging server tích hp. Sphát trin ca nn tng host đưa li mt số  
thun tin cho vic giám sát vi các công chthng được xây dng, bi vì host IDSs có kênh chuyn dch  
tng hp an toàn ti 1 server trung tâm, không ging như nhng syslog thông thường khác. Nó cũng cho  
phép tích hp nhng logs mà không bình thường để tích hp trong 1 máy đơn (chng hn như log skin  
ca Windows.  
Mt khác, NIDS thường quét toàn mng trên mc độ gói tin, trc tiếp từ đường truyn ging như nhng  
sniffer. Bi vy NIDS có thphi hp vi rt nhiu host có dliu chuyn qua. Ging như nhng gì chúng  
ta thy trong chương này, mi mt loi đều có tác dng và thun tin ca chúng trong nhng trường hp  
khác nhau.  
Thiết bgiám sát logfile ni tiếng đó là swatch (http://www.oit.ucsb.edu/~eta/swatch/), là nói tt ca "Simple  
Watcher." Trong khi hu hết các phn mm phân tích log chquét log theo định k, thì swatch quét tt cả  
các đầu vào log và to báo cáo cnh báo theo thi gian thc. Nhng công ckhác như logwatch (được tích  
hp cùng vi Red Hat Linux thì rt tt cho các thao tác ngoài. Tuy nhiên, mc dù swatch đi cùng vi nhiu  
bước có liên quan thì nó vn đòi hi nhiu tính năng động và cu hình khác vi nhng công ckhác.  
Sau đây chúng ta smiêu tvic cài đặt swatch. Công cnày khá là n định, do đó mà dường như không  
thay đổi nhiu trong tương lai. Trước khi cài đặt swatch, bn cn download và cài đặt Perl modules cn thiết  
cho nó. Để cài đặt nhng module này, đầu tiên hãy download phiên bn mi nht ca swatch và chy các  
bước sau:  
perl Makefile.PL  
make  
make test  
make install  
make realclean  
swatch sdng din dch thông thường để tìm đến nhng dòng lnh thích hp. Mt khi mà nó tìm đúng  
phn cn thiết, nó lin hành động, chng hn như biu din ra màn hình, email 1 cnh báo hoc là làm theo  
hành động đã được người sdng định ra ttrước.  
Tiếp  
sau  
là  
1
ví  
dụ  
script  
cu  
hình  
swatch  
đơn  
gin:  
watchfor /[dD]enied|/DEN.*ED/  
echo bold  
bell 3  
mail  
exec "/etc/call_pager 5551234 08"  
Trong ví dnày, swatch tìm đến dòng có cha t“denied”, có thlà “Denied” hoc bt ctnào có bt đầu  
bng “den” và kết thc vi “ed”. Khi mà tìm thy, nó bôi đen dòng tìm thy và chuyn ti thiết bị đầu cui  
đồng thi rung chuông 3 ln. Sau đó, swatch gi mail ti người sdng swatch (là người có quyn truy cp  
ti các logfile được giám sát – thông thường được gii hn cho root) vi 1 cnh báo và thc thi chương  
trình /etc/call_pager vi các la chn đã đựoc đưa ra .  
Giám sát logfile có thể được coi như 1 hthng phát hin xâm nhp theo mt cách đặc bit. Logs cũng  
cha rt nhiu thông tin không trc tiếp lên quan đến sxâm nhp (chlà nhng thông tin mà NIDS nghe  
trm được trên đường truyn). Logs có thể được coi như mt cái bln cha thông tin, mt sthông tin  
bình thường (như thông tin vkết ni ca người chu trách nhim, thông tin cu hình li daemon…) và  
nhng thông tin đáng ngchng hn như thông tin về đăng nhp t1 IP động, truy cp root mt cách kỳ  
l… và rt nhiu nhng thông tin (malicious) chng hn như RPC buffer overflow được ghi nhn từ  
rpc.statd. Xem xét và chn lc toàn bnhng thông tin đó chdhơn 1 chút so vi lng nghe trên mng và  
tìm kiếm nhng cuc tn công vào web hoc là các gói tin dhình.  
Nếu tt ccác ng dng đều có mt hthng log an toàn mà tt ccác skin xu đều được ghi nhn và  
đóng gói, nhng ngui phân tích log có thkhông cn đến 1 hthng phát hin xâm nhp. Trong thc tế,  
nếu mt skin có thể được chra trong 1 file log hoàn chnh thì nó có thlà 1 sxâm nhp. Tuy nhiên,  
trong đời thc thì vic tìm kiếm tng phn trong logs đôi khi cũng giá trnhư vic tìm kiếm tng phn trên  
đường dn.  
Thc tế thì vic đi kèm phân tích log hthng vi NIDS log là mt đặt đim rt có ích đối vi người phân  
tích log. Người phân tích snhìn thy được nhiu hơn là chnhìn trên đường dn và to ra các chc năng  
ca meta IDS. Ví dnhư, gii pháp qun lý như netForensics cho phép phân tích log qua các thiết b, bình  
thường hóa và liên kết chúng (bng các phn da trên rule) sau đó phân tích các skin đã được tng  
hp.  
19.1.1.2 Giám sát tính toàn vn :  
Mt công cgiám sát tính toàn vn snhin vào các cu trúc chyếu ca hthng để tìm sthay đổi. Ví dụ  
như, 1 giám sát toàn vn đó ssdng 1file hthng hoc mt khóa registry như "bait" để ghi li các thay  
đổi bi 1 kxâm nhp. Mc dù chúng có gii hn, giám sát toàn vn có ththêm vào các lp bo vcho 1  
hthng phát hin xâm nhp.  
Giám sát toàn vn phbiến nht đó là Tripwire (http://www.tripwire.com). Tripwire có sn cho Windows và  
Unix,  
và  
nó  
Vic  
chỉ  
có  
thêm,  
(i.e.,  
thể  
giám  
sát  
xóa,  
1
số  
sa  
read-only,  
cp  
các  
thuc  
đổi  
archive,  
cui  
tính  
như:  
File  
etc.)  
cùng  
cùng  
đổi  
Cờ  
File  
hidden,  
truy  
Thi  
gian  
Thi  
gian  
ghi  
cui  
thay  
Thi  
gian  
Kích  
Kim  
thước  
tra  
File  
Hash  
Khnăng ca Tripwire là rt ln trên Unix và Windows bi vì các thuc tính khác nhau ca các hthng  
file. Tripwire có thể được thay đổi để phù hp vi các đặc đim riêng bit ca mng ca bn, và nhiu  
Tripwire agents có thtp trung mt cách an toàn các dliu. Trong thc tế, bn có thsdng Tripwire  
để giám sát bt kì 1 thay đổi nào trên hthng ca bn. Bi vy, nó là mt công crt mnh trong IDS  
arsenal ca bn. Rt nhiu nhng công ckhác (tt cả đều là miến phí và là các phn mm mã ngun m)  
được viết để đáp ng nhng công vic tương tnhư thế. AIDE là  
(http://www.cs.tut.fi/~rammer/aide.html) là mt clone ni tiếng ca Tripwire.  
1 ví d. AIDE  
Mu cht để sdng kim tra toàn vn hthng cho 1 thiết bphát hin xâm nhp đó là xác định ranh gii  
an toàn. Được thiết lp ging như 1 base line chcó thể được thiết lp trước khi hthng được kết ni vi  
mng. Nếu không có trng thái an toàn thì công cnày sbgii hn rt nhiu, bi vì nhng ktn công có  
thể đã gii thiu nhng thay đổi ca hvi hthng trước khi công ckim tra trn vn hot động ln đầu  
tiên.  
Trong khi hu như tt cmi công cụ đều yêu cu mt trng thái baseline trước khi btn công thì mt vài  
công cli da trên hiu biết ca chúng vcác mi nguy him. Mt ví dụ đó là công cchkrootkit  
(http://www.chkrootkit.org). Nó tìm kiếm nhng du hin xâm nhp phbiến mà thung hin hin trên các  
hthng btn thương.  
Kiếm tra toàn vn cung cp mt giá trln nht nếu chúng có được mt vài thông tin hướng dn. Trước hết,  
nó phi được phát trin trên mt hthng hoàn toàn sch ssao cho nó không phi ghi nhn các trng thái  
ddang hoc btn thương như thông thường. Ví d, Tripwire nên được cài đặt trên mt hthng khi nó  
còn nguyên bn tnhà sn xut vi nhng ng dng cn thiết nht, trước khi nó kết ni ti mng.  
Bi vy, ý kiến vvic lưu trdliu vtrng thái tt trên các bn ghi được đặt trên các thiết blưu trchỉ  
đọc như CDROMs là mt ý kiến rt hay. Chúng ta sluôn có 1 bn copy đầy đủ để so sánh khi cn phi gii  
quyết vn đề. Tui nhiên, mc dù có tt cnhng bin pháp phòng nga đó thì hacker vn có thvượt qua  
được tt chthng như thế.  
19.1.2 Network IDSs  
Network IDSs có thể được phân chia thành 2 loi: hthng da trên các du hiu và hthng da trên  
nhng svic bt thường. Không ging như hthng da trên du hiu, hthng sau là 1 spha ln gia  
nhng công nghkhác nhau và gn như nhau. Thêm vào đó, nhng NIDSs lai to đó đều nhm ti vic  
làm cu ni cho nhng thiếu sót bng cách sdng nhng mánh li được sdng trong mi loi NIDSs.  
Trong thc tế, tt cnhng hthng NIDSs thương mi hin đại đều sdng loi NIDS da trên nhng sự  
vic bt thường để phát trin NIDS da trên du hiu. Ví dnhư ISS RealSecure, Cisco IDS, and Enterasys  
Dragon.  
19.1.2.1 Signature matchers  
Ging như nhng phn mm quét virus truyn thng da trên chký hex, phn ln các IDS đều cgng  
phát hin ra các cuc tn công da trên cơ sdliu vdu hiu ca tn công. Khi 1 hacker tìm cách khai  
thác lhng đã biết thì IDS cgng để đưa li đó vào cơ sdliu ca mình. Ví dnhư Snort  
(http://www.Snort.org), mt IDS da trên du hiu min phí được phát trin trên cUnix và Windows.  
Bi vì nó là mt phn mm mã ngun mnên Snort có tim năng phát trin cơ sdliu chký nhanh  
hơn bt kmt công ccó shu nào khác. Các du hiu ca Snort được sdng trong tt cmi thtừ  
các firewall thương mi đến các phn mm middleware như Hogwash. Snort bao gm 1 bgii mã các gói  
tin, 1 thiết bphát hin, và 1 hthng nhlogging và cnh bá. Snort là 1 IDS trng thái , có nghĩa rng nó có  
thtp hp li và ghi nhn các tn công da trên phân đon TCP.  
Mt vài bn đọc có thể đã gp nhiu khái nim 1 firewall đa trng thái hoc firewall không trng thái nhiu  
hơn là 1 hthng phát hin xâm nhp. Tuy nhiên, c2 khái nim đều như nhau. Firewalls không trng thái  
(và NIDSs) làm vic vi các gói tin riêng rtrong khi 1 firewall trng thái li cân nhc đến các trng thái kết  
ni. Ví dụ đơn gin nht như sau: Nếu 1 ktn công chia nhcác gói tin, thì IDS không trng thái sblỡ  
nó (bi vì 1 du hiu không bao gixut hin trong 1 gói tin), tuy nhiên nó li bthiết bIDS trng thái phát  
hin được bi vì nó thu thp các phn đáng nghi không chda trên 1 gói tin mà trên cdòng dliu trong  
quá trình kết ni.  
Tuy nhiên, nhng NIDs trng thái cũng không tránh khi vic blnhng du hiu xâm nhp. Trong  
chương  
này  
chúng  
tôi  
sẽ  
cung  
cp  
1
vài  
ví  
d.  
Ví dcơ bn nht cho du hiu để phát hin ca IDS liên quan đến 1 cuc tn công web đó là da trên li  
CGI scripts. Mt công cphát hin li ca hacker thường xuyên bao gm vic quét li CGI để phát hin  
nhng web server có li CGI . Ví dnhư, mt li rt ni tiếng phf cho phép 1 ktn công có thquay li bao  
nhiêu file thay thế cho các tài liu html. Cuc tn công nchỉ đơn gin sdng 1 script CGI nghèo nàn để  
truy cp đến các file và các thư mc được cho phép trên web server . Để phát hin được tn công da trên  
li phf  
,
công cquét NIDS phi tìm trên tt cgói tin nhũng phn ca chui sau:  
GET  
/cgi-bin/phf?  
Network IDSs stìm kiếm trong tt ccác du hiu đã tn ti để tìm các chui tìm kiếm trong các gói tin  
mng.  
Ví  
d,  
du  
hiu  
Snort  
sau  
sẽ  
thích  
hp  
vi  
chui  
trên:  
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI phf  
access";flow:to_server,established; uricontent:"/phf"; nocase; reference:bugtraq,629;  
reference:arachnids,128; reference:cve,CVE-1999-0067; classtype:web-application-  
activity;  
và  
sid:886;  
rev:8;)  
cnh  
báo  
sẽ  
được  
gi  
Chúng ta sẽ đề cp đầy đủ đến sphát trin ca Snort NIDS sau.  
19.1.2.2 Phát hin nhng du hiu bt thường:  
Phát hin nhng du hiu bt thường liên quan đến vic thiết lp 1 nn móng cơ bn ca nhng hot động  
bình thường ca hthng hoc là các hành vi trên mng, và sau đó cnh báo chúng ta khi nhng strch  
hướng xut hin. Lưu lượng trên mng thay đổi mt cách không đáng k, chng hn như thay đổi trong  
thiết kế để hướng IDS theo định dng host – base nhiu hơn là NIDS, Tuy nhiên, mt smmng li có  
nhng cu trúc tht khác thường đặc bit là nhng mng quân đội hoc nhng mng giao tiếp tình báo.  
Mt khác, nhng hành động xy ra trong mt server rt ln có thkhông thkim soát hết được, do đó mà  
mng trnên rt hn lon. Nên lưu ý rng, thnh thong chúng ta mun tách ri nhng NIDS da trên  
nhng skin bt thường thành nhng skin chuyn động bt thường (btrch hướng t1 miêu tả  
chuyn động đã biết) và giao thc skin bt thường (trch hướng tcác chun giao thc mng) .  
Như chúng ta sthy sau đây trong chương này, phát hin nhng skin bt thường cung cp 1 độ nhy  
cao nhưng li ít đặc trưng. Sau đây, chúng ta sẽ đề cp đến nhng công chu ích nht.  
19.2 Bayesian Analysis  
Nhng IDS nguyên bn rt không thun tin vì hacker luôn tìm thy nhng lhng mi mà không thtìm  
thy trong cơ sdliu các du hin, hơn na, ging như nhng chương trình quét virus, vic cp nht  
nhng du hiu mi vào cơ sdliu là mt vn đề đáng quan tâm. Hơn thế, NIDS li luôn được kvng  
có thể đương đầu vi nhng gii tn ln. Bi thế nên trng thái tn ti trong 1 mng có tc độ đường truyn  
cao trthành 1 vn đề đáng quan tâm vbnhvà giá thành tiến trình  
Nhiu hơn thế, vic giám sát nhng mng ln "switched networks" là mt vn đề tự động ny sinh vi các  
switch trên mng brút ngn các cm biến IDS. Người ta cgng xlý vn đề này bng cách tích hp IDS  
trong switch hoc kèm IDS vào các cng giám sát switch. Tuy nhiên, gii pháp này có rt nhiu vn đề  
không thgii quyết được, chng hn như to ra hàng lot bnhng kết ni hàng gigabit đòi hi phát trin  
nhiu IDSs trong 1 cu hình cân bng load phc tp bi vì 1 IDS tnó không có khnăng đối đầu vi vic  
ti trng.  
Mt gii hn khác ca IDS đó là nó có nhng lhng rt ln có thbtn công hoc lng tránh được. Ví dụ  
như, tn công tchi dch vnhư SYN floods hoc tn công smurf có thlàm tê lit IDS rt ddàng.  
Tương tnhư thế thì vic tc độ quét chm các IP address có thlàm hng rt nhiu IDSs.  
Phn này sgii thiu thuc tính thng kê ca các bước chn đoán kim tra và nhng nhng gi ý ca  
chúng cho vic biên dch kết quthnghim. Chúng ta sdng mt công thc thng kê được biết vi cái  
tên định lý Bayes, định lý miêu tmi quan hmà tn ti trong mt chui nhng thuc tính đơn gin và có  
điu kin. Không gói gn trong nhng phép tính toán hc chi tiết mà có thđược thàng trăm quyn  
sách thng kê khác, chúng tôi còn đề cp đến các thc thi thc tếca "Bayesian analysis" khi được áp dng  
cho IDSs. Để hiu được khái nim và thc thi thc tế ca nó scho phép bn hiu rõ hơn vlàm thế nào  
để thiết lp nhng IDS khác nhau ti nhng đim khác nhau trên mng ca bn.  
Stiếp cn ti vic sp xếp các cm ng phát trin tchn đoán ca Bayesian đã dy cho sinh viên y khoa  
bi 1 trong nhng tác gica ebook này  
19.2.1 Nhng thuc tính chng li độ nhy cm  
Cân nhc mt IDS thông dng báo cáo giám sát được trình bày ti Figure 19-1. Mt ct gi là xâm nhp, đại  
din cho nhng xâm nhp đang xut hin. Du (+) có nghĩa là nó thc slà 1 cuc xâm nhp, còn (-) có  
nghĩa là nó chưa phi là 1 cuc xâm nhp. Ct khác, gi là phn hi tIDS, miêu tsuy nghĩ ca IDS khi  
nó phát hin ra 1 cuc xâm nhp, du (+) có nghĩa là IDS coi đó là 1 cuc xâm nhp, còn du (-) có nghĩa là  
IDS không đánh giá nó là 1 cuc xâm nhp. Ging như trong cuc sng tht, thì nó cũng chra rng IDS  
không phi lúc nào cũng đúng. Bn có thsdng nhng đim rơi ca mi mt góc phn tư trong bng 2 x  
2 để giúp chúng ta hiu vthuc tính thng kê ca 1 IDA.  
Figure 19-1. IDS response matrix  
TP  
FP  
FN  
=
Xác  
nhn  
Xác  
Phủ  
đúng  
nhn  
nhn  
(xâm  
sai  
nhp  
sai  
được  
(cnh  
phát  
hin  
báo  
xâm  
đúng)  
nhm)  
nhp)  
=
=
(bỏ  
nhỡ  
TN = Phnhn đúng (phát hin đúng toàn vn)  
19.2.1.1 Độ nhy  
Độ nhy được định nghĩa là 1 xác nhn đúng (phân bca xâm nhp được phát hin bi IDS). Vphương  
din  
True  
toán  
positives  
hc,  
độ  
nhy  
(true  
được  
positives  
biu  
din  
false  
như  
sau:  
negatives)  
/
+
Xác nhn đúng / (xác nhn đúng + Phnhn sai)  
Tlphnhn sai bng 1 trừ đi độ nhy. Độ nhy ca 1 IDS có được nhiu hơn bao nhiêu thì nhng xâm  
nhp không được phát hin gim đi by nhiêu.  
IDSs nhy rt có ích trong vic chra nhng cuc tn công trên các khu vc ca mng mà nó rt dễ để phát  
hin ra hoc không bao gibbsót. Kim tra tính nhy hu hiu nhiu hơn cho vic kim tra khi bn cn  
loi trnhng gì có thđại din txa cho 1 cuc xâm nhp. Trong snhng IDS có độ nhy cao thì kết  
quphnhn có nhiu giá trvn có hơn là các kết qukhng định.  
Ví d, bn cn 1 IDS nhy để giám sát thiết bhost trong 1 LAN được bo vbi firewall và router như hình  
Figure 19-2, Khu vc 2 đại din cho loi thiết bnày. Ti thi đim bộ đệm ti nng, chúng ta không nên có  
bt k1 xâm nhp nào. Nó rt quan trng để độ nhy cao để giám sát không bsót thgì. Các đặc  
trưng ít quan trng hơn bi vì ti thi đim đó trên mng, tt cnhng hot động bt thường đều có thể  
được khai thác. IDS không cn sphân bit bi vì nhng xlý ca con người đều bt buc phi khai thác  
mi  
mt  
cnh  
báo.  
Figure 19-2. Network segmentation for Bayesian optimization of IDS placement  
19.2.1.2 Tính xác định:  
Về  
True  
mt  
toán  
negatives  
hc,  
tính  
xác  
(true  
định  
negatives  
được  
biu  
+
din  
false  
như  
sau:  
positives)  
/
Phnhn đúng / ( phnhn đúng + xác nhn sai)  
Phnhn đúng đại din cho nhng trung hp khi IDS báo cáo đúng không có xâm nhp. Xác nhn sai  
xut hin khi mt IDS báo cáo sai v1 xâm nhp mà trong thc tế là không xy ra. Xác nhn sai được xác  
định bng 1 trừ đi đặc tính.  
1 IDS xác định có tin ích tt nht cho người qun trhthng. Đối vi nhng chương trình đó, giá trxác  
nhn là có ích hơn giá trphnhn. Nhng kim tra tính xác định rt hiu qutrong khi nhng kết quxác  
nhn sai là rt khng khiếp.  
Chn la mt IDS vi tlệ đặc tính cao cho mt khu vc ca mng mà ti đó tự động chn đoán là mt sự  
chtrích. Ví d, khu vc 1 trong Figure 19-2 đại din cho 1 firewall hp tác đối mt vi các him ha từ  
internet. Trong trường hp này, bi vì nhng cuc tn công có thtrthành tai ha nếu không được phát  
hin sm. Ti thi đim này trên mng, chúng ta không quan tâm nhiu đến tng thể độ nhy bi vì chúng  
ta chờ đợi mt cuc tn công nhiu hơn là giám sát toàn bchuyn dch trên mng để tìm ra nhng hot  
động bt thường.  
19.2.1.3 Độ chính xác:  
Thông thường, scân bng gia độ nhy và tính xác định da trên độ nhy và tính xác định chúng thay đổi  
liên tc da trên 1 đim thay đổi đột ngt. Nhng đim thay đổi cho nhng du hiu bt thường này có thể  
được la chn 1 cách tùy tin hoc dè dt . Tuy nhiên, có rt nhiu tình hung có thxy ra khi chúng ta  
mun tiêu nhiu tin hơn cho 1 thiết bcó cả độ nhy cao ln tính xác định cao. Tính chính xác là mt khái  
nim mà bao quanh c2 đặc tính xác định và độ nhy. Tính chính xác là 1 tlcân xng ca tt ccác kết  
quca IDS (cxác nhn và phnhn) rng chúng là chính xác.  
Ví dnhư, chúng ta cn tính chính xác cao trong khu vc ca mng như khu vc 3 trong Figure 19-2. Trong  
trường hp này, web server ca chúng ta đặt dưới stn công, và nó có thgây nên slúng túng ngay lp  
tc cho chúng ta và thm chí gây thit hi vmt tài chính nếu chúng btn thương. Chúng ta cn thc thi  
bt kmt hành động bt thường nào và thc hin mt cách tự động bi vì lưu lượng chuyn dch trên  
mng là rt ln. Trong thc tế, để đạt được độ nhy cao nht và tính xác định cao nht, chúng ta cn phi  
hp gia các lp trong IDS.  
Đường các đặc đim thc thi nhn được (ROC) là 1 phương pháp biu din đồ ha mi quan hgia độ  
nhy và tính xác định. Mt cung nhROC các xác nhn đúng (độ nhy) tlvi tlxác nhn sai (bng 1  
trừ đi tlxác nhn đúng). Đồ thnày phc vging như là 1 nomogram (Figure 19-3), đại din đồ ha (từ  
trường ca thng kê) mà giúp bn có thnhanh chóng so sánh cht lượng gia 2 hthng.  
Sau khi chn 1 đim gii hn mong mun, độ nhy và tính chính xác ca IDS có thxác định được ngay  
trên đồ th. Đường vòng cung tương quan vi độ chính xác hoc cht lượng ca IDS. Đường thng chy  
lên và sang phi 45 độ chra 1 IDS không hu dng. Mt khác, mt IDS mà đường ROC được tucked trong  
1 góc trên trái thì có thông tin tt nht. Vmt định lượng, khu vc dưới đường vòng liên kết trc tiếp vi  
độ  
chính  
xác  
ca  
IDS  
Trong hình Figure 19-3, IDS B chính xác nhiu hơn IDS C và IDS A có độ chính xác cao nht.  
Figure 19-3. Sample ROC curve  
19.2.2 Giá trxác nhn và khng định dbáo trước:  
Vmt lý thuyết, độ nhy và tính xác định là nhng thuc tính ca IDS. Nhng thuc tính này là độc lp đối  
vi nhng mng được giám sát. Bi vy, độ nhy và tính xác định chcho chúng ta cách mà IDS thao tác,  
nhưng nó không chcho chúng ta IDS thao tác trong tng ngcnh ca nhng phn mng nào.  
Giá trPredictive là nhng dbáo trong thc tế tng hp ttt ccác dliu có sn. Giá trdbáo kết hp  
gia prior probability vi kết quca IDS để yield post-test probability, biu thnhư dbáo xác nhn và phủ  
nhn.  
Skết hp combination constitutes a practical application of Bayess theorem, which is a formula used in  
classic  
probability  
theory.  
Thông tin da trên cuc tn công prevalence trong mng ca bn được điu chnh bi kết quca IDS để  
sinh ra mt prediction. Tt ccác nhà qun trmng đều đã thc thi nhng phân tích intuitively but  
imprecisely. Ví d, nếu bn biết rng slow ping sweeps have recently become prevalent against your  
network, bn có thsdng thông tin này để định giá trdliu cho IDS ca bn.  
Bi vì nhng predictors đều liên kết vmt toán hc, nên chúng phi được chyn đổi thành nhng sl.  
Sau đó, chúng được đề cp đến như nhng likelihood ratios (LRs) hoc nhng odds ratios (ORs) và có thể  
kết  
hp  
được  
trong  
nhng  
phép  
toán  
đơn  
gin.  
19.2.3  
Likelihood  
Ratios  
Các giá trị độ nhy, tính xác định và giá trdbáo predictive values are all stated in terms of probability: the  
estimated proportion of time that intrusions occur. Mt khái nim hu hiu khác đó là odds ((i.e., the ratio of  
two probabilities, ranging from zero [never] to infinity [always]). For example, the odds of 1 are equivalent to  
a 50% probability of an intrusion (i.e., just as likely to have occurred as not to have occurred). The  
mathematical  
Odds  
Probability  
relation  
=
between  
probability  
odds  
these  
concepts  
can  
be  
expressed  
as  
follows:  
probability)  
odds)  
/
/
(1  
-
=
(1  
+
LRs and ORs are examples of odds. LRs yield a more sophisticated prediction because they employ all  
available data.  
The LR for a positive IDS result is defined as the probability of a positive result in the presence of a true  
attack, divided by the probability of a positive result in a network not under attack (true-positive rate/false-  
positive rate). The LR for a negative IDS result is defined as the probability of a negative result in the  
absence of a true attack, divided by the probability of a negative result in a network that is under attack  
(true-negative  
rate/false-negative  
rate).  
LRs enable more information to be extracted from a test than is allowed by simple sensitivity and specificity.  
When working with LRs and other odds, the post-test probability is obtained by multiplying together all the  
LRs. The final ratio can also be converted from odds to probability to yield a post-test probability.  
By applying these statistical methods, we can make informed choices about deploying IDSs throughout a  
network. Although currently fraught with inaccuracy, the field of intrusion detection is still nascent, and new  
and exciting developments are happening every day. As time goes on, use of the scientific method will  
improve this inexact and complex technology. By understanding the sensitivity and specificity of an IDS, we  
can learn its value and when to utilize it. In addition, increasing the use of likelihood ratios makes the data  
that  
we  
receive  
from  
our  
IDSs  
more  
meaningful.  
(Ơ sao li có đon chưa dch này?? Chc là ngquên Để đó, chiu vcheck li ).  
19.3 Tn công thông qua IDSs  
Để giúp bn xây dng chiến lược an ninh, phn này schcho bn thy nhng hacker thường khai thác li  
trong IDS như thế nào.  
19.3.1 Phân đon (Fragmentation)  
Phân đon hoc chia nhcác gói tin là 1 trong nhng cách tn công chng li hthng phát hin xâm nhp  
ca mng, và nó thường (stump) tt cnhng NIDSs thương mi được thiết kế cách đây vài năm. Bng  
cách ct các gói tin thành nhng mu nh, các hacker có thlàm fool IDS. Mt IDS trng thái dch ngược  
các gói tin để phân tích, nhưng khi lượng nhng gói tin tăng lên, tiến trình cũng tiêu thhết nhiu ngun lc  
hơn và trnên bt đầu thiếu chính xác. Và dường như có 1 giá trxác định con snhng phân đon mà 1  
IDS có thxlý, nếu vượt quá con số đó There is a seemingly infinite number of fragmentation tricks that  
one can employ, leading either to evasion or to overloading the NIDSs anti-evasion capabilities.  
19.3.2 Gimo - snoofing  
Ngoài phương pháp phân đon dliu, còn có thgimo TCP sequence number mà NIDS nhìn thy. Ví  
dnhư, nếu gói tin tin kết ni SYN cùng vi 1 sthtự được chuyn, IDS strthành 1 thiết bị  
desynchronized thost bi vì host drops nhng SYN không được đánh giá cao và không được trông đợi,  
trong khi đó IDS tthiết lp li để nhn sthtmi. Bi vy, IDS bqua dòng dliu thc vì nó đang  
ch1 sthtmi mà không tn ti. Khi gi 1 gói tin RST vi địa chforged mà chu trách nhim cho  
forged SYN có thlàm kết thúc kết ni mi này ti IDS.  
Nhìn chung, NIDS không biết bng cách nào máy đích sdch nhng thông tin đầu vào. Bi vy, nhng  
giao tiếp mng bt thường có thể được thiết lp để có thnhìn thy skhác bit tchính IDS. Chđịa  
chỉ đích thc smi có thcho phép tt ccác vn đề ca NIDS được gii quyết.  
19.3.3 Thay đổi giao thc - Protocol Mutation  
Whisker by RFP (có ti http://www.wiretrip.net) là mt công cphn mm được thiết kế để hack webserver  
bng cách gito 1 yêu cu HTTP để vượt qua IDS. Ví d, 1 yêu cu CGI cổ đin stheo chun http sau:  
GET  
/cgi-bin/script.cgi  
HTTP/1.0  
Obfuscated HTTP requests can often fool IDSs that parse web traffic. Ví d, nếu 1 IDS quét để tìm kiếm  
nhng  
xâm  
nhp  
da  
trên  
phf:  
/cgi-bin/phf  
Chúng ta có ththường xuyên to ra fool bng cách thêm các dliu mrng vào các yêu cu ca chúng  
ta. Chúng ta có ththay đổi yêu cu như sau:  
GET /cgi-bin/subdirectory/../script.cgi HTTP/1.0  
Trong trường hp này, chúng ta yêu cu thư mc con và sdng /../ để chuyn ti thư mc mvà thc  
hin script đích. Cách thc sneaking này trong các back door được đề cp ti như 1 thư mc thay đổi và nó  
là 1 trong nhng cách khai thác phbiến nht vào thi đim hin nay.  
Whisker tự động to ra các cách tn công chng li IDS rt đa dng. Kết qulà Whisker được biết đến như  
là 1 công cchng li IDS (AIDS). Whisker được chia nhthành 2 phn, whisker (scanner) và libwhisker  
(module Perl được sdng trong Whisker).  
Nhng IDS hin đại như Snort cgng để bình thường hóa mi truyn thông trên mng trước khi phân tích  
thông qua nhng ssdng các various preprocessors. Kthut bình thường hóa đòi hi phi to được  
cho vic truyn thông ging như thêm nguyên tc, (more uniform) ví dnhư, bng cách gbambiguities  
trong packet headers và payloads và bng cách hin thdòng truyn thông đơn gin để đối chiếu vi các  
mu xâm nhp. Tuy nhiên, con snhng possible mutations chlà sít mt sbit được xác định. Do đó,  
cuc đua vũ trang gia bên tn công và bên phòng thvn được tiếp tc.  
19.3.4 Tn công vào thiết bkim tra tính toàn vn:  
Như đã đề cp trước đây, nhng IDS là thiết bkim tra tính toàn vn tính toán giá trchecksum và tp hp  
thông tin vcác file chế độ khi to. Sau đó, chương trình skim tra nhng sthay đổi, sdng chế độ  
"check mode". Thêm vào đó, người qun trhthng có thcp nht nhũng du hiu sau khi cu hình li  
hthng (chế độ "update mode". Phthuc vào sthc thi ca host IDS mà mi mt chế độ đều có thbị  
tn công.  
Mt ktn công có thtthay đổi phn mm host IDS, sau đó gi thông tin sai lch đến bàn điu khin  
host IDS trung tâm hoc có thlàm cho hthng nhm ln gia nhng công vic kim tra tính toàn vn.  
Đồng thi, mt schương trình tn công vào nhân cũng có thbIDS bqua bi vì chúng có thtlàm  
đúng đối vi hthng và la di IDS thành công. Phân tích chi tiết nhng cuc tn công ca host IDS được  
đề cp chi tiết trong "Ups and Downs of UNIX/Linux Host-Based Security Solutions" (Section 19.7).  
19.4 Tương lai ca IDSs  
Nhng phát hin xâm nhp còn là mi bt đầu, trong khi các hacker ngày càng tiến trin, IDSs bt buc  
phi cgng để đối đầu vi các cuc tn công đó. Table 19-1 chra nhng him ha mà tương lai sẽ đe  
da  
IDS  
và  
nhng  
gii  
pháp  
tim  
năng.  
Table 19-1. Nhng gii pháp tim năng cho khó khăn trong tương lai ca IDS  
Vn  
Encrypted  
đề  
Gii  
trong  
pháp  
host  
traffic  
(IPSec)  
Nhúng  
IDS  
vào  
các  
stack  
ca  
Tc độ độ phc tp ca cuc tn công tăng Ngăn cm các phát hin bt thường, nhng thiết bnng về  
NIDS, và đối chiếu thông minh  
Switched networks Giám sát các host riêng r, nhúng NIDS vào trong các switch  
Gia tăng lượng thông tin cn biên dch Hin thtrc quan dliu, tự động cnh báo và liên kết  
Nhng kthut evasion mi Kthut bình thường hóa truyn thông mi và bo vhost theo chiu sâu  
Kỹ  
thut  
tn  
công  
da  
trên  
nhân  
mi  
Thiết  
bị  
an  
toàn  
cho  
nhân  
mi  
Phn sau skim tra đến nhng sphát trin ca vn đề vào các gii pháp dự định:  
19.4.1 Embedded IDS  
IPSec (viết tt ca IP Security) trthành 1 chun phbiến cho an toàn dliu trên mng. Ipsec là mt bộ  
nhng chun van toàn được thiết kế bi IETF nhm cung cp sbo vend-to-end cho các dliu cá  
nhân. Vic thc thi các chun này cho phép 1 thiết bcó thchuyn dliu trên 1 mng không đáng tin cy  
như Internet trong khi ngăn chn các ktn công phá hng, ăn trm hoc spoofing giao tiếp riêng bit này.  
Bng cách bo van toàn cho nhng gói tin ti lp mng, Ipsec cung cp các dch vmã hóa trong sut đối  
vi các ng dng cũng như bo vtruy cp cho an toàn mng. Ví d, Ipsec có thcung cp san toàn đầu  
cui cho các hthng cu hình client-to-server, server-to-server, và client-to-client.  
Tht không may mn, Ipsec li là 1 con dao 2 lưỡi cho IDS. Mt mt, Ipsec cho phép người sdng log an  
toàn vào mng ca htnhà sdng mng riêng o, mt khác Ipsec mã hóa dliu trên đường truyn,  
bi vy làm cho sniffing trong IDS làm vic kém hiu qu. Nếu hacker tn công vào thiết bị đăng nhp txa  
ca người sdng, hscó 1 tunnel an toàn để hack toàn bmng. Để sa li này ca Ipsec, nhng IDS  
tương lai đều cn phi nhúng vào ti các tng ca TCP/IP stack ti host. Điu này scho phép IDS qun lý  
các dliu như nó chưa bunencapsulated và thc thi nó trong mi tng ca stack, phân tích nhng dliu  
đã được mã hóa cp độ cao hơn.  
19.4.2 Ngăn cm nhng du hiu bt thường được phát hin thy  
Bi vì nhng cuc tn công vn tiếp din và ngày càng tc độ và phc tp, do đó IDSs càng ngày càng ít  
khnăng chng chi. Trli cho tình hung này bng cách ngăn cm nhng du hiu bt thường được  
phát hin thy: tt cnhng du hiu bt thường, bt kchúng là chính hay ph, đều được báo động bng  
xác nhn đúng. Phương pháp này đòi hi các IDS phi được đưa vcác host riêng rhơn là để chúng  
trong toàn mng. Mt host riêng rcó thcó nhiu mu thông tin có thdbáo được hơn là trên toàn  
mng. Mi mt host được nói đến đều có mt IDS để phát hin bt kmt du hiu bt thường nào. Sau đó  
người qun trcó thể đưa ra nhng quy lut (ngoi l) cho các tùy biến có thể được chp nhn. Theo cách  
này, IDS giám sát các hot động theo cách mà firewall giám sát truyn thông.  
Vy làm như thế nào chúng ta có ththiết kế 1 IDS thc thi vic ngăn nga các hành động bt thường da  
trên các host? Chúng ta slàm vic vi các host riêng rmà có phn nào đó được lai to gia firewall và  
các router, và chúng ta có thể điu khin IDS ca chúng ta cho mi mt host là độc nht. Bi vì chúng ta chỉ  
làm vic trên các host, do đó chúng ta gói tin nào nhn được là cho host xác định nào. Chúng ta có thể đặt  
độ nhy ca chúng lên cao để tìm kiếm bt cmt du hiu bt thường nào.  
Ví d, ti mc độ gói tin, công cphát hin du hiu bt thường da trên host ca chúng ta có thquét các  
gói tin như khi chúng được thc thi trên stack. Chúng ta điu khin IDS để giám sát mi th:  
Các  
du  
hiu  
không  
được  
mong  
chờ  
TCP/IP  
thường  
thp  
Xung  
đột  
Các  
gói  
Giá  
Giá  
tin  
có  
trị  
trị  
độ  
ln  
TTL  
checksum  
bt  
sai  
• Hoc nhng xung đột trong nhng giao thc khác  
Tương tnhư thế, ti tng ng dng, chúng ta có thbuc công cphát hin du hiu bt thường quét tt  
cnhng sthay đổi bt thường trong các đặc đim sau đây ca hthng:  
Sử  
Kích  
dng  
hot  
CPU  
đĩa  
dùng  
file  
chy  
chy  
mở  
Đăng  
nhp  
người  
Kích  
nhng  
nhng  
hot  
vụ  
dng  
Số  
Số  
dch  
ng  
đang  
đang  
đang  
Số  
nhng  
cng  
• Kích thước ca file log  
Khi mt du hiu bt thường được phát hin, mt cnh báo sẽ được chuyn ti trung tâm điu kkhin.  
Phương pháp này có độ nhy cao, nhưng tht không may là nó to ra rt nhiu vn đề cn phi gii quyết  
vmt dliu. Chúng ta sgii quyết vn đề này sau.  
19.4.3 Host- Versus Network-Based IDSs  
Sgia tăng ca nhng mng switch làm cn tr1 IDS trong vic giám sát mng sdng chế độ pha tp,  
phân tích giao thc thụ động. Nó trnên ngày càng khó để giám sát nhiu host cùng lúc bi vì sgia tăng  
ca đường truyn, nhng mng o và nhng src ri khác. Thêm vào đó, vic ng dng gia tăng ca các  
the growing use of encrypted traffic foils passive analysis off the wire. Bi vy, IDS đang trnên các giám  
sát da trên host.  
19.4.4 Visual Display of Data  
Bi vì đường truyn và hiu qucác cuc tn công ngày càng tăng, nên vic to ra các cnh báo chính xác  
ngày càng trnên khó khăn. Lượng dliu cnh báo được to nên bi IDS cps thnhanh chóng  
overwhelm thao tác ca con người. Tht không may, vic lc dliu cho con người thường sdng hn  
chế nhng hiu quca nó.  
Mt gii pháp cho vn đề này liên quan đến kthut phát trin visualization đồng thi được coi là hin thị  
geometric dliu. Con người hiu được geometric shapes intuitively, bi loi hin thnày thường là cách  
dnht để hin thmt liượng dliu (massive). Khi mt theo tác cm thy 1 du hiu bt thường trong  
màn hình đồ ha, nó có thdrill down mun hơn để gii quyết vn đề. Ví d, cho nhng ng dng bên  
trong, Airscanner Corporation mã hóa điu khin linh hot ActiveX mà mimics a real-time human  
electrocardiogram (EKG). Tc độ và giai điu (màu sc hoc âm thanh) ca dao động "heartbeat" trên màn  
hình để đáp trli sthay đổi trên mng. Giám sát ging như nhng người y tá trong bnh vin đối vi  
cardiac telemetry floor, Người qun trmng Airscanner có thddàng giám sát LAN bng cách để ý đến  
màn hình.  
19.5 Nghiên cu Snort IDS  
Phn này strình bày 1 ví dphát trin Snort IDS (http://www.Snort.org). Snort thường được gi là  
"lightweight IDS," nhưng nó có tên gi đó ti thi đim đó chkhông liên quan gì đến lightweight.. Snort chỉ  
nên được gi là lightweight nếu nó đề cp đến công cphát hin hiu quvà dung lượng nhcác du hiu  
nh. Nó là 1 bdch IDS đầy đủ mà có thphát trin theo hướng tc độ xlý cao và cu hình phân bmà  
có thể đạt được đến tc độ hàng giga bit.  
Thiết bphát hin xâm nhp được đề cp đến trong phn này xây dng trên hệ điu hành Linux, cơ sdữ  
liu MySQL và mt môi trường phân tích ACID. Tt cmi phiên bn Linux như Red Hat hoc Debian đều  
có thsdng. Bn nên xây dng 1 hthng Linux nhnht tscratch (ging như nhng nhà bán phn  
mm IDS thương mi bán IDS da trên Unix). Đối vi vic phát trin nhng mng nh, bn nên tbỏ  
nhng biến Linux quá canned. Hthng phi được nhgn nht và nhiu tính năng (tt cnhng phn  
mm không cn thiết đều nên gb).  
Bn nên có ít nht 2 card mng trên máy tính phát trin Snort. Bi vì giao din sniffing (để phát hin nhng  
cuc tn công) và giao din qun lý (sdng để qun lý dliu các skin nhy cm, cp nht các quy  
định và nhng thay đổi cu hình) phi được đặt riêng r. Lý do chính đó là giao din sniffing không có địa  
chIP. Trong môi trường Linux, rt là dễ để kích hot mt giao din mng mà không cn địa chIP mà chỉ  
cn sdng lnh như ifconfig eth1 up. Mc dù không cung cp 1 bin pháp an toàn tng th(bng định  
nghĩa), nhưng bin pháp này tt hơn là sdng mt giao din thông thường để phát hin xâm nhp.  
Snort và cơ sdliu có thể được cài đặt trên 1 máy, tuy nhiên trong trường hp tc độ truyn thông cao,  
bn nên cài đặt cơ sdliu, Snort, và webserver trên nhng máy tính khác nhau. Tt nht là Snort trên 1  
máy,  
còn  
cơ  
sở  
dữ  
liu  
và  
webserver  
trên  
máy  
còn  
li  
Trong trường hp cài đặt trên nhiu máy, các thành phn ca IDS được kết ni vi nhau qua mng và do  
đó, các bin pháp an toàn phi được thc thi. Để bo vệ đường truyn gia thiết bphân tích vi cơ sdữ  
liu, chúng ta phi sdng kết ni SSL. Để hn chế các truy cp bàp bàn điu khin da trên ACID, chúng  
ta ssdng nhng đặc chun ca Apache webserver, phương pháp xác thc HTTP cơ bn qua  
.htpasswd. Truyn thông gia cm biến snort vi cơ sdliu có thể được tunneled qua SSL hoc SSH.  
19.5.1 Cài đặt hthng:  
Đầu tiên bn phi thiết lp 1 Linux hardened. Đối vi Red Hat Linux, có thchn Custom Install tnhng  
bcài đặt CD chính thc hoc không chính thc, hoc thu gn các tùy chn cài đặt ca nó bng cách gỡ  
bcác thành phn đồ ha . Phi chc chn rng tt ccác gói tin MySQL server (có sn trên Red Hat CDs)  
được  
cài  
đặt.  
Câu  
lnh:  
#
rpm  
-U  
/mnt/cdrom/RedHat/RPMS/mysql*rpm  
squan tâm đến điu này, được cung cp bi Linux CD.  
Trong trường hp môi trường Linux sdng là Red Hat, rt nhiu gói phn mm Snort RPM (Red Hat  
Package Manager) có thdownload twebsite Snort.org . Bn cn gói Snort và Snort-mysql cho nhng cài  
đặt trên. Cài đặt chúng lên trên hthng ca bn. Nếu RPM đòi hi sự độc lp, hãy download gói cài đặt  
thích  
hp  
cho  
nó  
(có  
thể  
sẽ  
cn  
thư  
vin  
libpcap)  
.
Cài đặt thêm phn mm quan sát skin ACID-IDS vào hthng. Trang chACID có cha tt ccác phn  
mm và hướng dn cài đặt (http://acidlab.sourceforge.net). Các gói cài đặt ACID đòi hi phi được gii nén  
1 thư mc có thnhìn thy được twebserver (ví dtrên Red Hat là /var/www/html). Bi vy ACID có thể  
được phát trin trên /var/www/html/acid. File cu hình acid_conf.php là nơi cha tt ccác sp đặt cu  
hình. Không có điu khin truy cp nào được thiết lp bên trong, do đó bn cn phi to.htpasswd trong  
/var/www/html/acid.  
Nếu trong la chn phát trin (chng hn như cài đặt RedHat) không có web server thì 1 Apache web  
server  
#
cn  
được  
rpm  
cài  
đặt  
trên  
-U  
môi  
trường  
đó  
thông  
qua  
CD.  
/mnt/cdrom/RedHat/RPMS/apache*rpm  
Sau khi tt ccác thành phn đã được cài đặt, đến lượt chúng ta thiết lp cu hình cho IDS. Đầu tiên, Snort  
phi được cu hình để có thlog vào cơ sdliu. Sau đây là mt schdn để làm điu đó:  
1.  
#
2.  
#
3.  
#
Khi  
động  
cơ  
sở  
/etc/init.d/mysql  
sở  
dữ  
liu  
MySQL  
:
start  
Snort:  
-p  
liu:  
Snort  
To  
"CREATE  
người  
cơ  
dữ  
liu  
-u  
sở  
echo  
To  
DATABASE  
Snort_db;"  
|
mysql  
cơ  
root  
dữ  
sử  
dng  
để  
adduser  
sử  
dng  
4. To các quyn cho người sdng này để thêm các dliu cnh báo vào trong cơ sdliu:  
echo "grant INSERT,SELECT on Snort_db.* to Snort@localhost;" mysql -u root -p  
5. Sdng các script có sn trong ngun ca Snort (không đi kèm cùng vi gói nhphân RPM) để to cu  
#
|
trúc  
#
dữ  
./contrib/create_mysql  
liu:  
Snort_db  
cat  
|
mysql  
6. Thay đổi file cu hình Snort để log vào cơ sdliu. Nói cách khác thay đổi /etc/Snort.conf như sau::  
output database: log, mysql, user=Snort dbname=Snort_db host=localhost  
7. Thay đổi script khi to Snort (/etc/init.d/Snortd) để snort thc hin lnh sau:  
/usr/sbin/Snort  
-D  
để  
-l  
các  
Snort  
/var/log/Snort  
log ca  
có  
-i  
snort  
thể  
$INTERFACE  
có thể được  
bt đầu  
-c  
đánh  
/etc/Snort/Snort.conf  
Định  
vị  
trí  
giá  
đây.  
Bây  
gi,  
bng  
lnh:  
# /etc/rc.d/init.d/Snortd start  
IDS đã được cu hình và có thlog ti cơ sdliu. Hãy kim tra chúng như sau:  
1.  
#
Kim  
ps  
tra  
rng  
tiến  
trình  
đang  
-v  
chy:  
grep  
ax|  
grep  
Snort  
|
grep  
Nếu kết qukhquan,bn sthy dliu trvkhông trng.  
Trên  
Linux,  
tn  
ti  
1
lnh  
đơn  
gin  
tương  
t:  
# ps u `pidof Snort`  
2. Kim tra rng Snort phát hin thy tn công trên lynx http://www.someLOCALwebserver.com/cmd.exe và  
sau  
#
đó  
chy  
lnh:  
/var/log/Snort/alert  
tail  
Nếu có kết qutt, bn snhìn thy 1 thông đip cnh báo chrng có 1 tn công IIS web. Đừng chy  
bước kim tra này thông qua 1 kết ni URL txa mà hãy thnó trên máy cc bca bn. Phi chc chn  
rng cm biến có thcm nhn được cuc tn công (kết ni này được thiết lp thông qua mng được giám  
sát bi Snort).  
Phương pháp quét cng sdng nmap là 1 bước thSnort hiu qu, điu này đảm bo cho vic phát hin  
quét cng được bt và được cu hình chính xác. Trong thc tế, có tn ti nhiu phương pháp để kim tra 1  
IDS. Nhiu người thích sdng nhng gói tin ICMP ln (có ththc hin bng 1 lnh ping đơn gin) hoc  
là nhng phương pháp khác.  
3.  
#
Kim  
"SELECT  
tra  
count(*)  
logging  
FROM  
cơ  
|
sở  
Snort_db  
dữ  
-u  
liu:  
-p  
echo  
event"  
mysql  
root  
Nếu tt, bn snhìn thy mt lượng khác rng dliu được cha trong cơ sdliu.  
19.5.2 Cài đặt công ccnh báo:  
Bây gi, hãy thiết lp công ccnh báo qua ACID. ACID (Trung tâm phân tích dliu xâm nhp) là 1 ng  
dng được xây dng trên PHP mà cho phép phân tích dliu Snort được cha trong cơ sdliu.  
ACID phi được phép truy cp vào cơ sdliu. Sdng lnh sau để thc hin điu này:  
# echo "grant CREATE,INSERT,SELECT,UPDATE,DELETE on Snort_db.* to acid@localhost;" |  
mysql  
-u  
root  
-p  
Để an toàn hơn, nên sdng SSL để quan sát cnh báo. Hãy phát trin các gói SSL từ đĩa cài Red Hat:  
#
và  
rpm  
động  
-U  
Apache  
/mnt/cdrom/RedHat/RPMS/mod-ssl*rpm  
qua /etc/init.d/httpd restart.  
khi  
li  
thông  
Để an toàn hơn na, chnhng kết ni SSH mi được phép. Mt host firewall script for the iptables Linux  
firewall có thể được sdng để chcho phép TCP port 443 (HTTPS) và không cho phép TCP port 80  
(HTTP).  
Bây gi, khi động Apache web server và chbrowser ti giao din qun lý IP (hoc địa ch127.0.0.1 nếu  
chy trên local browser). Địa chỉ đúng là: http://www.yourSnortServer.com/acid. Phàn mm ACID shướng  
dn bn la chn khi to cài đặt, cung cp cho bn theo nhng hướng dn trên. ACID có thể được sử  
dng để quan sát các cnh báo ca Snort IDS trong nhng chế độ khác nhau, thc hin vic tìm kiếm, và  
truy cp gói tin payload đầy đủ.  
Nếu cài đặt cơ sdliu không đúng, bn đơn gin chcn chuyn tiếp nhng cnh báo ti syslog và sau  
đó sdng công cphân tích syslog để gii quyết nó. Nhng công cnhư Snortsnarf tn ti để tng kết và  
quan sát các skin Snort.  
19.5.3 Điu chnh các quy tc ca IDS :  
Tho lun đầy đủ vvic điu chnh các quy tc ca IDS được đưa ra trong ct lõi ca chương này. Tuy  
nhiên, mt khi chúng ta tiến ti vic khi to các quy tc, chúng ta smt rt nhiu thi gian cho nhng  
cnh báo, phân tích chúng và theo đó gim bt các quy tc. Công đon này thích hp hơn đối vi vic phát  
trin 1 NIDS ni bvà mng nh. Mt gii pháp khác đó là thu hp các bquy tc để giám sát chnhng  
dch vụ đang bnguy him. Công vic này tt hơn khi cài đặt DMZ vi độ an toàn cao trong đó các thiết bị  
đều được thng kê mt cách cn thn và vng chc. Trong trường hp này, cnh báo CodeRed sgia tăng  
mt cách tuyt đối bi vì Unix web server skhông btn thương bi nhng đe da tm thường đó.  
pdf 13 trang myanh 23281 Free
Download
Bạn đang xem tài liệu "Hệ thống phát hiện xâm nhập", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • pdfhe_thong_phat_hien_xam_nhap.pdf