Đang tải... (xem toàn văn)
Hệ thống phát hiện xâm nhập
Hệ thống phát xâm nhập (1) Tequila (VietHacker.org Translator Group Leader) Compose by hieupc (PDF) Hệ thống phát xâm nhập (IDSs) cung cấp thêm cho việc bảo vệ an tồn thơng tin mạng mức độ cao Nó đánh giá giá trị khơng giống firewall VPN ngăn ngừa công mà IDSs cung cấp bảo vệ cách trang bị cho bạn thông tin công Bởi vậy, IDS thoả mãn nhu cầu an toàn hệ thống bạn cách cảnh báo cho bạn khả công (và ngồi thơng báo xác chúng đưa số cảnh báo chưa Nhìn chung, IDSs không tự động cấm công ngăn chặn kẻ khai thác cách thành công, nhiên, phát triển IDS hệ thống ngăn chặn xâm nhập (the intrusion prevention systems) có để thực nhiều vai trị ngăn chặn cơng xảy Định nghĩa IDS khó tưởng Đầu tiên, IDS nhìn nhận chng báo trộm mà thơng báo cho bạn biết bạn bị công Tuy nhiên, hệ thống IDS đại phức tạp nhiều người đồng ý có mức độ giống chuông báo trộm truyền thống đáng tin cậy Nếu giống sử dụng, hệ thống IDS trơng giống camera chống trộm chuông, người có trách nhiệm quan sát chúng đáp trả cho đe doạ xâm nhập Thực tế dường IDS nói cho biết mạng bị nguy hiểm Và điều quan trọng để nhận vài cơng vào mạng thành cơng hệ thống khơng có IDS Và thấy, mạng trở thành thiên đường cho hacker hàng năm mà chủ nhân khơng hay biết Giá trị hệ thống phát xâm nhập theo quan điểm chúng tơi biết chuyện xảy Phải, hệ thống IDS giúp ngăn ngừa kiện chưa xảy ra, cung cấp giải pháp cho mạng host, chí hoạt động chng báo động (với giới hạn tương ứng) Tuy nhiên, chức thơng báo cho bạn biết kiện có liên quan đến an ninh hệ thống sửa xảy bên mạng hệ thống mà bạn kiểm soát Trong chương cho nhìn tổng quan IDS bao gồm điểm mạnh điểm yếu chúng Chúng ta đề cập đến network IDS (nhiều đề cập đến sniffer) host IDS (phân tích log, kiểm tra tích hợp nhiều thứ khác) Sự khác chủ yếu network IDS host IDS liệu mà tìm kiếm NIDS nhìn vào tồn cảnh chuyển dịch mạng, host IDS quan sát host, hệ điều hành ứng dụng Trong thực tế, chia cắt nhiều lĩnh vực khác nhau, chẳng hạn host IDS ngăn chặn truy cập có hại cho mạng, cịn NIDS cố gắng đốn xem xảy bên host.Có vài giới hạn không rõ nét công nghệ để phát triển Vậy thuận tiện Host-base IDS gì? Sự khác chúng NIDS phát công tiềm (những thứ chuyển tới đích) host IDS lại phát cơng mà thành cơng, có kết Bởi nói NIDS mang tính tiền phong Tuy nhiên, host IDS hiệu mơi trường có tốc độ chuyển dịch lớn, mã hố có chuyển mạch - mơi trường mà NIDS khó hoạt động HIDS thử thách nhiều hành động có mức độ phơi bày cao kẻ công thực nâng tầm xử lý chúng Mặt khác NIDS lại phần tuyệt cho mơi trường tổng hợp tồn mạng Vì thế, NIDS tạo nên quan sát có ý nghĩa đến phần vụ cơng có liên quan đến nhiều host Nó thử thách mơi trường mạng có chuyển mạch tốc độ cao, mơi trường mã hố giao thức ứng dụng đại phức tạp, nên kết báo sai hất có khả xảy Bởi vậy, khuyên bạn nên lựa chọn công nghệ IDS cung cấp cho lựa chọn bổ sung chúng vào mạng bạn phân tích Bayesian Chúng tơi quan tâm đến việc thay đổi tương lai công nghệ IDS mang lại Cuối chúng tơi miêu tả cách đầy đủ việc bổ sung mã nguồn Linux 19.1 Ví dụ IDS Phần miêu tả vài hệ thống IDS bao gồm giám sát logfile, quét dấu hiệu phát dấu hiệu bất thường 19.1.1 Host IDSs Host-based network IDSs phân chia lỏng lẻo thành kiểm sốt log, kiểm tra độ tích hợp module nhân hệ thống Những phần miêu tả phần chúng với ví dụ cụ thể 19.1.1.1 Giám sát Logfile : Một IDS đơn giản thiết bị giám sát logfile (logfile monitors), thiết bị cố gắng phát xâm nhập cách phân tích log kiện hệ thống Ví dụ như, thiết bị giám sát logfile tìm kiếm logfile ghi nhận truy cập Apache để truy cập tới Apache để tìm đặc điểm yêu cầu /cgi-bin/ Công nghệ bị giới hạn tìm kiếm kiện log - thứ mà kẻ công dễ để thay Thêm vào đó, hệ thống bỏ qua kiện hệ thống cấp thấp mà ghi lại hoạt động cấp cao.Ví dụ như, HIDS bỏ qua kẻ công đọc nội dung file file /etc/passwd chẳng hạn Điều xảy bạn không đặt file vào chế độ bảo vệ hệ thống Giám sát Logfile ví dụ cho hệ thống IDS dựa host chúng thực chức giám sát chúng máy Tuy nhiên, hệ thống giám sát host logfile hồn tồn giám sát nhiều host, chí loggging server tích hợp Sự phát triển tảng host đưa lại số thuận tiện cho việc giám sát với công cụ hệ thống xây dựng, host IDSs có kênh chuyển dịch tổng hợp an toàn tới server trung tâm, khơng giống syslog thơng thường khác Nó cho phép tích hợp logs mà khơng bình thường để tích hợp máy đơn (chẳng hạn log kiện Windows Mặt khác, NIDS thường qt tồn mạng mức độ gói tin, trực tiếp từ đường truyền giống sniffer Bởi NIDS phối hợp với nhiều host có liệu chuyển qua Giống thấy chương này, loại có tác dụng thuận tiện chúng trường hợp khác Thiết bị giám sát logfile tiếng swatch (http://www.oit.ucsb.edu/~eta/swatch/), nói tắt "Simple Watcher." Trong hầu hết phần mềm phân tích log quét log theo định kỳ, swatch quét tất đầu vào log tạo báo cáo cảnh báo theo thời gian thực Những công cụ khác logwatch (được tích hợp với Red Hat Linux tốt cho thao tác Tuy nhiên, swatch với nhiều bước có liên quan địi hỏi nhiều tính động cấu hình khác với công cụ khác Sau miêu tả việc cài đặt swatch Công cụ ổn định, mà dường khơng thay đổi nhiều tương lai Trước cài đặt swatch, bạn cần download cài đặt Perl modules cần thiết cho Để cài đặt module này, download phiên swatch chạy bước sau: perl Makefile.PL make make test make install make realclean swatch sử dụng diễn dịch thông thường để tìm đến dịng lệnh thích hợp Một mà tìm phần cần thiết, liền hành động, chẳng hạn biểu diễn hình, email cảnh báo làm theo hành động người sử dụng định từ trước Tiếp sau watchfor /[dD]enied|/DEN.*ED/ ví dụ script cấu hình swatch đơn giản: echo bold bell mail exec "/etc/call_pager 5551234 08" Trong ví dụ này, swatch tìm đến dịng có chứa từ “denied”, “Denied” từ có bắt đầu “den” kết thức với “ed” Khi mà tìm thấy, bơi đen dịng tìm thấy chuyển tới thiết bị đầu cuối đồng thời rung chng lần Sau đó, swatch gửi mail tới người sử dụng swatch (là người có quyền truy cập tới logfile giám sát – thông thường giới hạn cho root) với cảnh báo thực thi chương trình /etc/call_pager với lựa chọn đựoc đưa Giám sát logfile coi hệ thống phát xâm nhập theo cách đặc biệt Logs chứa nhiều thông tin không trực tiếp lên quan đến xâm nhập (chỉ thông tin mà NIDS nghe trộm đường truyền) Logs coi bể lớn chứa thông tin, số thông tin bình thường (như thơng tin kết nối người chịu trách nhiệm, thơng tin cấu hình lại daemon…) thông tin đáng ngờ chẳng hạn thông tin đăng nhập từ IP động, truy cập root cách kỳ lạ… nhiều thông tin (malicious) chẳng hạn RPC buffer overflow ghi nhận từ rpc.statd Xem xét chọn lọc toàn thơng tin dễ chút so với lắng nghe mạng tìm kiếm cơng vào web gói tin dị hình Nếu tất ứng dụng có hệ thống log an toàn mà tất kiện xấu ghi nhận đóng gói, nguời phân tích log khơng cần đến hệ thống phát xâm nhập Trong thực tế, kiện file log hồn chỉnh xâm nhập Tuy nhiên, đời thực việc tìm kiếm phần logs giá trị việc tìm kiếm phần đường dẫn Thực tế việc kèm phân tích log hệ thống với NIDS log đặt điểm có ích người phân tích log Người phân tích nhìn thấy nhiều nhìn đường dẫn tạo chức meta IDS Ví dụ như, giải pháp quản lý netForensics cho phép phân tích log qua thiết bị, bình thường hóa liên kết chúng (bằng phần dựa rule) sau phân tích kiện tổng hợp 19.1.1.2 Giám sát tính tồn vẹn : Một cơng cụ giám sát tính tồn vẹn nhin vào cấu trúc chủ yếu hệ thống để tìm thay đổi Ví dụ như, giám sát tồn vẹn sử dụng 1file hệ thống khóa registry "bait" để ghi lại thay đổi kẻ xâm nhập Mặc dù chúng có giới hạn, giám sát tồn vẹn thêm vào lớp bảo vệ cho hệ thống phát xâm nhập Giám sát tồn vẹn phổ biến Tripwire (http://www.tripwire.com) Tripwire có sẵn cho Windows Unix, giám sát số thuộc tính như: • Việc thêm, xóa, sửa đổi File • Cờ File (i.e., hidden, read-only, archive, etc.) • Thời gian truy cập cuối • Thời gian ghi cuối • Thời gian thay đổi • Kích thước File • Kiểm tra Hash Khả Tripwire lớn Unix Windows thuộc tính khác hệ thống file Tripwire thay đổi để phù hợp với đặc điểm riêng biệt mạng bạn, nhiều Tripwire agents tập trung cách an toàn liệu Trong thực tế, bạn sử dụng Tripwire để giám sát thay đổi hệ thống bạn Bởi vậy, cơng cụ mạnh IDS arsenal bạn Rất nhiều cơng cụ khác (tất miến phí phần mềm mã nguồn mở) viết để đáp ứng công việc tương tự AIDE ví dụ AIDE (http://www.cs.tut.fi/~rammer/aide.html) clone tiếng Tripwire Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thống cho thiết bị phát xâm nhập xác định ranh giới an toàn Được thiết lập giống base line thiết lập trước hệ thống kết nối với mạng Nếu khơng có trạng thái an tồn cơng cụ bị giới hạn nhiều, kẻ cơng giới thiệu thay đổi họ với hệ thống trước công cụ kiểm tra trọn vẹn hoạt động lần Trong tất công cụ yêu cầu trạng thái baseline trước bị cơng vài cơng cụ lại dựa hiểu biết chúng mối nguy hiểm Một ví dụ cơng cụ chkrootkit (http://www.chkrootkit.org) Nó tìm kiếm dấu xâm nhập phổ biến mà thuờng hiển hệ thống bị tổn thương Kiếm tra toàn vẹn cung cấp giá trị lớn chúng có vài thơng tin hướng dẫn Trước hết, phải phát triển hệ thống hồn tồn cho ghi nhận trạng thái dở dang bị tổn thương thơng thường Ví dụ, Tripwire nên cài đặt hệ thống cịn nguyên từ nhà sản xuất với ứng dụng cần thiết nhất, trước kết nối tới mạng Bởi vậy, ý kiến việc lưu trữ liệu trạng thái tốt ghi đặt thiết bị lưu trữ đọc CDROMs ý kiến hay Chúng ta có copy đầy đủ để so sánh cần phải giải vấn đề Tui nhiên, có tất biện pháp phịng ngừa hacker vượt qua tất hệ thống 19.1.2 Network IDSs Network IDSs phân chia thành loại: hệ thống dựa dấu hiệu hệ thống dựa việc bất thường Không giống hệ thống dựa dấu hiệu, hệ thống sau pha lẫn công nghệ khác gần Thêm vào đó, NIDSs lai tạo nhắm tới việc làm cầu nối cho thiếu sót cách sử dụng mánh lới sử dụng loại NIDSs Trong thực tế, tất hệ thống NIDSs thương mại đại sử dụng loại NIDS dựa việc bất thường để phát triển NIDS dựa dấu hiệu Ví dụ ISS RealSecure, Cisco IDS, and Enterasys Dragon 19.1.2.1 Signature matchers Giống phần mềm quét virus truyền thống dựa chữ ký hex, phần lớn IDS cố gắng phát công dựa sở liệu dấu hiệu công Khi hacker tìm cách khai thác lỗ hổng biết IDS cố gắng để đưa lỗi vào sở liệu Ví dụ Snort (http://www.Snort.org), IDS dựa dấu hiệu miễn phí phát triển Unix Windows Bởi phần mềm mã nguồn mở nên Snort có tiềm phát triển sở liệu chữ ký nhanh cơng cụ có sở hữu khác Các dấu hiệu Snort sử dụng tất thứ từ firewall thương mại đến phần mềm middleware Hogwash Snort bao gồm giải mã gói tin, thiết bị phát hiện, hệ thống nhỏ logging cảnh bá Snort IDS trạng thái , có nghĩa tập hợp lại ghi nhận công dựa phân đoạn TCP Một vài bạn đọc gặp nhiều khái niệm firewall đa trạng thái firewall không trạng thái nhiều hệ thống phát xâm nhập Tuy nhiên, khái niệm Firewalls không trạng thái (và NIDSs) làm việc với gói tin riêng rẽ firewall trạng thái lại cân nhắc đến trạng thái kết nối Ví dụ đơn giản sau: Nếu kẻ công chia nhỏ gói tin, IDS khơng trạng thái bỏ lỡ (bởi dấu hiệu khơng xuất gói tin), nhiên lại bị thiết bị IDS trạng thái phát thu thập phần đáng nghi khơng dựa gói tin mà dịng liệu trình kết nối Tuy nhiên, NIDs trạng thái không tránh khỏi việc bỏ lỡ dấu hiệu xâm nhập Trong chương cung cấp vài ví dụ Ví dụ cho dấu hiệu để phát IDS liên quan đến cơng web dựa lỗi CGI scripts Một công cụ phát lỗi hacker thường xuyên bao gồm việc quét lỗi CGI để phát web server có lỗi CGI Ví dụ như, lỗi tiếng phf cho phép kẻ cơng quay lại file thay cho tài liệu html Cuộc công nỳ đơn giản sử dụng script CGI nghèo nàn để truy cập đến file thư mục cho phép web server Để phát công dựa lỗi phf , cơng cụ qt NIDS phải tìm tất gói tin nhũng phần chuỗi sau: GET /cgi-bin/phf? Network IDSs tìm kiếm tất dấu hiệu tồn để tìm chuỗi tìm kiếm gói tin mạng Ví dụ, dấu hiệu Snort sau thích hợp với chuỗi trên: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI phf access";flow:to_server,established; uricontent:"/phf"; nocase; reference:bugtraq,629; reference:arachnids,128; reference:cve,CVE-1999-0067; classtype:web-applicationactivity; sid:886; cảnh báo Chúng ta đề cập đầy đủ đến phát triển Snort NIDS sau rev:8;) gửi 19.1.2.2 Phát dấu hiệu bất thường: Phát dấu hiệu bất thường liên quan đến việc thiết lập móng hoạt động bình thường hệ thống hành vi mạng, sau cảnh báo trệch hướng xuất Lưu lượng mạng thay đổi cách không đáng kể, chẳng hạn thay đổi thiết kế để hướng IDS theo định dạng host – base nhiều NIDS, Tuy nhiên, số mmạng lại có cấu trúc thật khác thường đặc biệt mạng quân đội mạng giao tiếp tình báo Mặt khác, hành động xảy server lớn khơng thể kiểm sốt hết được, mà mạng trở nên hỗn loạn Nên lưu ý rằng, muốn tách rời NIDS dựa kiện bất thường thành kiện chuyển động bất thường (bị trệch hướng từ miêu tả chuyển động biết) giao thức kiện bất thường (trệch hướng từ chuẩn giao thức mạng) Như thấy sau chương này, phát kiện bất thường cung cấp độ nhạy cao lại đặc trưng Sau đây, đề cập đến cơng cụ hữu ích 19.2 Bayesian Analysis Những IDS ngun khơng thuận tiện hacker ln tìm thấy lỗ hổng mà khơng thể tìm thấy sở liệu dấu hiện, nữa, giống chương trình quét virus, việc cập nhật dấu hiệu vào sở liệu vấn đề đáng quan tâm Hơn thế, NIDS lại ln kỳ vọng đương đầu với giải tần lớn Bởi nên trạng thái tồn mạng có tốc độ đường truyền cao trở thành vấn đề đáng quan tâm nhớ giá thành tiến trình Nhiều thế, việc giám sát mạng lớn "switched networks" vấn đề tự động nảy sinh vởi switch mạng bị rút ngắn cảm biến IDS Người ta cố gắng xử lý vấn đề cách tích hợp IDS switch kèm IDS vào cổng giám sát switch Tuy nhiên, giải pháp có nhiều vấn đề giải được, chẳng hạn tạo hàng loạt kết nối hàng gigabit địi hỏi phát triển nhiều IDSs cấu hình cân load phức tạp IDS tự khơng có khả đối đầu với việc tải trọng Một giới hạn khác IDS có lỗ hổng lớn bị cơng lảng tránh Ví dụ như, cơng từ chối dịch vụ SYN floods công smurf làm tê liệt IDS dễ dàng Tương tự việc tốc độ quét chậm IP address làm hỏng nhiều IDSs Phần giới thiệu thuộc tính thống kê bước chẩn đoán kiểm tra những gợi ý chúng cho việc biên dịch kết thử nghiệm Chúng ta sử dụng công thức thống kê biết với tên định lý Bayes, định lý miêu tả mối quan hệ mà tồn chuỗi thuộc tính đơn giản có điều kiện Khơng gói gọn phép tính tốn học chi tiết mà có từ hàng trăm sách thống kê khác, chúng tơi cịn đề cập đến thực thi thực tếcủa "Bayesian analysis" áp dụng cho IDSs Để hiểu khái niệm thực thi thực tế cho phép bạn hiểu rõ làm để thiết lập IDS khác điểm khác mạng bạn Sự tiếp cận tới việc xếp cảm ứng phát triển từ chẩn đoán Bayesian dạy cho sinh viên y khoa tác giả ebook 19.2.1 Những thuộc tính chống lại độ nhạy cảm Cân nhắc IDS thông dụng báo cáo giám sát trình bày Figure 19-1 Một cột gọi xâm nhập, đại diện cho xâm nhập xuất Dấu (+) có nghĩa thực xâm nhập, cịn (-) có nghĩa chưa phải xâm nhập Cột khác, gọi phản hồi từ IDS, miêu tả suy nghĩ IDS phát xâm nhập, dấu (+) có nghĩa IDS coi xâm nhập, cịn dấu (-) có nghĩa IDS khơng đánh giá xâm nhập Giống sống thật, IDS khơng phải lúc Bạn sử dụng điểm rơi góc phần tư bảng x để giúp hiểu thuộc tính thống kê IDA Figure 19-1 IDS response matrix TP = Xác nhận (xâm FP = Xác nhận FN = Phủ nhận sai TN = Phủ nhận (phát toàn vẹn) nhập sai (bỏ phát (cảnh báo nhỡ xâm đúng) nhầm) nhập) 19.2.1.1 Độ nhạy Độ nhạy định nghĩa xác nhận (phân bổ xâm nhập phát IDS) Về phương diện toán học, độ nhạy biểu diễn sau: True positives / (true positives + false negatives) Xác nhận / (xác nhận + Phủ nhận sai) Tỉ lệ phủ nhận sai trừ độ nhạy Độ nhạy IDS có nhiều xâm nhập khơng phát giảm nhiêu IDSs nhạy có ích việc công khu vực mạng mà dễ để phát khơng bị bỏ sót Kiểm tra tính nhạy hữu hiệu nhiều cho việc kiểm tra bạn cần loại trừ đại diện từ xa cho xâm nhập Trong số IDS có độ nhạy cao kết phủ nhận có nhiều giá trị vốn có kết khẳng định Ví dụ, bạn cần IDS nhạy để giám sát thiết bị host LAN bảo vệ firewall router hình Figure 19-2, Khu vực đại diện cho loại thiết bị Tại thời điểm đệm tải nặng, khơng nên có xâm nhập Nó quan trọng để có độ nhạy cao để giám sát khơng bỏ sót thứ Các đặc trưng quan trọng thời điểm mạng, tất hoạt động bất thường khai thác IDS khơng cần phân biệt xử lý người bắt buộc phải khai thác cảnh báo Figure 19-2 Network segmentation for Bayesian optimization of IDS placement 19.2.1.2 Tính xác định: Về mặt tốn học, tính xác True negatives / (true Phủ nhận / ( phủ nhận + xác nhận sai) định negatives biểu + diễn false sau: positives) Phủ nhận đại diện cho truờng hợp IDS báo cáo khơng có xâm nhập Xác nhận sai xuất IDS báo cáo sai xâm nhập mà thực tế không xảy Xác nhận sai xác định trừ đặc tính IDS xác định có tiện ích tốt cho người quản trị hệ thống Đối với chương trình đó, giá trị xác nhận có ích giá trị phủ nhận Những kiểm tra tính xác định hiệu kết xác nhận sai khủng khiếp Chọn lựa IDS với tỷ lệ đặc tính cao cho khu vực mạng mà tự động chẩn đốn trích Ví dụ, khu vực Figure 19-2 đại diện cho firewall hợp tác đối mặt với hiểm họa từ internet Trong trường hợp này, cơng trở thành tai họa không phát sớm Tại thời điểm mạng, không quan tâm nhiều đến tổng thể độ nhạy chờ đợi cơng nhiều giám sát tồn chuyển dịch mạng để tìm hoạt động bất thường 19.2.1.3 Độ xác: Thơng thường, cân độ nhạy tính xác định dựa độ nhạy tính xác định chúng thay đổi liên tục dựa điểm thay đổi đột ngột Những điểm thay đổi cho dấu hiệu bất thường lựa chọn cách tùy tiện dè dặt Tuy nhiên, có nhiều tình xảy muốn tiêu nhiều tiền cho thiết bị có độ nhạy cao lẫn tính xác định cao Tính xác khái niệm mà bao quanh đặc tính xác định độ nhạy Tính xác tỷ lệ cân xứng tất kết IDS (cả xác nhận phủ nhận) chúng xác Ví dụ như, cần tính xác cao khu vực mạng khu vực Figure 19-2 Trong trường hợp này, web server đặt công, gây nên lúng túng cho chí gây thiệt hại mặt tài chúng bị tổn thương Chúng ta cần thực thi hành động bất thường thực cách tự động lưu lượng chuyển dịch mạng lớn Trong thực tế, để đạt độ nhạy cao tính xác định cao nhất, cần phối hợp lớp IDS Đường đặc điểm thực thi nhận (ROC) phương pháp biểu diễn đồ họa mối quan hệ độ nhạy tính xác định Một cung nhỏ ROC xác nhận (độ nhạy) tỷ lệ với tỉ lệ xác nhận sai (bằng trừ tỉ lệ xác nhận đúng) Đồ thị phục vụ giống nomogram (Figure 19-3), đại diện đồ họa (từ trường thống kê) mà giúp bạn nhanh chóng so sánh chất lượng hệ thống Sau chọn điểm giới hạn mong muốn, độ nhạy tính xác IDS xác định đồ thị Đường vịng cung tương quan với độ xác chất lượng IDS Đường thẳng chạy lên sang phải 45 độ IDS không hữu dụng Mặt khác, IDS mà đường ROC tucked góc trái có thơng tin tốt Về mặt định lượng, khu vực đường vịng liên kết trực tiếp với độ xác IDS Trong hình Figure 19-3, IDS B xác nhiều IDS C IDS A có độ xác cao Figure 19-3 Sample ROC curve 19.2.2 Giá trị xác nhận khẳng định dự báo trước: Về mặt lý thuyết, độ nhạy tính xác định thuộc tính IDS Những thuộc tính độc lập mạng giám sát Bởi vậy, độ nhạy tính xác định cho cách mà IDS thao tác, khơng cho IDS thao tác ngữ cảnh phần mạng Giá trị Predictive dự báo thực tế tổng hợp từ tất liệu có sẵn Giá trị dự báo kết hợp prior probability với kết IDS để yield post-test probability, biểu thị dự báo xác nhận phủ nhận Sự kết hợp combination constitutes a practical application of Bayess theorem, which is a formula used in classic probability theory Thông tin dựa công prevalence mạng bạn điều chỉnh kết IDS để sinh prediction Tất nhà quản trị mạng thực thi phân tích intuitively but imprecisely Ví dụ, bạn biết slow ping sweeps have recently become prevalent against your network, bạn sử dụng thơng tin để định giá trị liệu cho IDS bạn Bởi predictors liên kết mặt toán học, nên chúng phải chyển đổi thành số lẻ Sau đó, chúng đề cập đến likelihood ratios (LRs) odds ratios (ORs) kết hợp phép toán đơn giản 19.2.3 Likelihood Ratios Các giá trị độ nhạy, tính xác định giá trị dự báo predictive values are all stated in terms of probability: the estimated proportion of time that intrusions occur Một khái niệm hữu hiệu khác odds ((i.e., the ratio of two probabilities, ranging from zero [never] to infinity [always]) For example, the odds of are equivalent to a 50% probability of an intrusion (i.e., just as likely to have occurred as not to have occurred) The mathematical relation between these concepts can be expressed as follows: Odds = probability / (1 probability) Probability = odds / (1 + odds) LRs and ORs are examples of odds LRs yield a more sophisticated prediction because they employ all available data The LR for a positive IDS result is defined as the probability of a positive result in the presence of a true attack, divided by the probability of a positive result in a network not under attack (true-positive rate/falsepositive rate) The LR for a negative IDS result is defined as the probability of a negative result in the absence of a true attack, divided by the probability of a negative result in a network that is under attack (true-negative rate/false-negative rate) LRs enable more information to be extracted from a test than is allowed by simple sensitivity and specificity When working with LRs and other odds, the post-test probability is obtained by multiplying together all the LRs The final ratio can also be converted from odds to probability to yield a post-test probability By applying these statistical methods, we can make informed choices about deploying IDSs throughout a network Although currently fraught with inaccuracy, the field of intrusion detection is still nascent, and new and exciting developments are happening every day As time goes on, use of the scientific method will improve this inexact and complex technology By understanding the sensitivity and specificity of an IDS, we can learn its value and when to utilize it In addition, increasing the use of likelihood ratios makes the data that we receive from our IDSs more meaningful (Ơ lại có đoạn chưa dịch này?? Chắc ngủ quên Để đó, chiều check lại ) 19.3 Tấn cơng thông qua IDSs Để giúp bạn xây dựng chiến lược an ninh, phần cho bạn thấy hacker thường khai thác lỗi IDS 19.3.1 Phân đoạn (Fragmentation) Phân đoạn chia nhỏ gói tin cách cơng chống lại hệ thống phát xâm nhập mạng, thường (stump) tất NIDSs thương mại thiết kế cách vài năm Bằng cách cắt gói tin thành mẩu nhỏ, hacker làm fool IDS Một IDS trạng thái dịch ngược gói tin để phân tích, lượng gói tin tăng lên, tiến trình tiêu thụ hết nhiều nguồn lực trở nên bắt đầu thiếu xác Và dường có giá trị xác định số phân đoạn mà IDS xử lý, vượt số There is a seemingly infinite number of fragmentation tricks that one can employ, leading either to evasion or to overloading the NIDSs anti-evasion capabilities 19.3.2 Giả mạo - snoofing Ngoài phương pháp phân đoạn liệu, cịn giả mạo TCP sequence number mà NIDS nhìn thấy Ví dụ như, gói tin tiền kết nối SYN với số thứ tự chuyển, IDS trở thành thiết bị desynchronized từ host host drops SYN không đánh giá cao không trông đợi, IDS tự thiết lập lại để nhận số thứ tự Bởi vậy, IDS bỏ qua dòng liệu thực chờ số thứ tự mà khơng tồn Khi gửi gói tin RST với địa forged mà chịu trách nhiệm cho forged SYN làm kết thúc kết nối tới IDS Nhìn chung, NIDS khơng biết cách máy đích dịch thơng tin đầu vào Bởi vậy, giao tiếp mạng bất thường thiết lập để nhìn thấy khác biệt từ IDS Chỉ có địa đích thực cho phép tất vấn đề NIDS giải 19.3.3 Thay đổi giao thức - Protocol Mutation Whisker by RFP (có http://www.wiretrip.net) công cụ phần mềm thiết kế để hack webserver cách giả tạo yêu cầu HTTP để vượt qua IDS Ví dụ, yêu cầu CGI cổ điển theo chuẩn http sau: GET /cgi-bin/script.cgi HTTP/1.0 Obfuscated HTTP requests can often fool IDSs that parse web traffic Ví dụ, IDS qt để tìm kiếm xâm nhập dựa phf: /cgi-bin/phf Chúng ta thường xuyên tạo fool cách thêm liệu mở rộng vào yêu cầu Chúng ta thay đổi yêu cầu sau: GET /cgi-bin/subdirectory/ /script.cgi HTTP/1.0 Trong trường hợp này, yêu cầu thư mục sử dụng / / để chuyển tới thư mục mẹ thực script đích Cách thức sneaking back door đề cập tới thư mục thay đổi cách khai thác phổ biến vào thời điểm Whisker tự động tạo cách công chống lại IDS đa dạng Kết Whisker biết đến công cụ chống lại IDS (AIDS) Whisker chia nhỏ thành phần, whisker (scanner) libwhisker (module Perl sử dụng Whisker) Những IDS đại Snort cố gắng để bình thường hóa truyền thơng mạng trước phân tích thơng qua sử dụng various preprocessors Kỹ thuật bình thường hóa địi hỏi phải tạo cho việc truyền thơng giống thêm ngun tắc, (more uniform) ví dụ như, cách gỡ bỏ ambiguities packet headers payloads cách hiển thị dịng truyền thơng đơn giản để đối chiếu với mẫu xâm nhập Tuy nhiên, số possible mutations số số bit xác định Do đó, đua vũ trang bên cơng bên phịng thủ tiếp tục 19.3.4 Tấn công vào thiết bị kiểm tra tính tồn vẹn: Như đề cập trước đây, IDS thiết bị kiểm tra tính tồn vẹn tính tốn giá trị checksum tập hợp thơng tin file chế độ khởi tạo Sau đó, chương trình kiểm tra thay đổi, sử dụng chế độ "check mode" Thêm vào đó, người quản trị hệ thống cập nhật nhũng dấu hiệu sau cấu hình lại hệ thống (chế độ "update mode" Phụ thuộc vào thực thi host IDS mà chế độ bị cơng Một kẻ cơng tự thay đổi phần mềm host IDS, sau gửi thơng tin sai lệch đến bàn điều khiển host IDS trung tâm làm cho hệ thống nhầm lẫn cơng việc kiểm tra tính tồn vẹn Đồng thời, số chương trình cơng vào nhân bị IDS bỏ qua chúng tự làm hệ thống lừa dối IDS thành cơng Phân tích chi tiết công host IDS đề cập chi tiết "Ups and Downs of UNIX/Linux Host-Based Security Solutions" (Section 19.7) 19.4 Tương lai IDSs Những phát xâm nhập bắt đầu, hacker ngày tiến triển, IDSs bắt buộc phải cố gắng để đối đầu với cơng Table 19-1 hiểm họa mà tương lai đe dọa IDS giải pháp tiềm Table 19-1 Những giải pháp tiềm cho khó khăn tương lai IDS Vấn đề Giải pháp Encrypted traffic (IPSec) Nhúng IDS vào stack host Tốc độ độ phức tạp công tăng Ngăn cấm phát bất thường, thiết bị nặng NIDS, đối chiếu thông minh Switched networks Giám sát host riêng rẽ, nhúng NIDS vào switch Gia tăng lượng thông tin cần biên dịch Hiển thị trực quan liệu, tự động cảnh báo liên kết Những kỹ thuật evasion Kỹ thuật bình thường hóa truyền thơng bảo vệ host theo chiều sâu Kỹ thuật công dựa nhân Thiết bị an toàn cho nhân Phần sau kiểm tra đến phát triển vấn đề vào giải pháp dự định: 19.4.1 Embedded IDS IPSec (viết tắt IP Security) trở thành chuẩn phổ biến cho an toàn liệu mạng Ipsec chuẩn an toàn thiết kế IETF nhằm cung cấp bảo vệ end-to-end cho liệu cá nhân Việc thực thi chuẩn cho phép thiết bị chuyển liệu mạng không đáng tin cậy Internet ngăn chặn kẻ công phá hỏng, ăn trộm spoofing giao tiếp riêng biệt Bằng cách bảo vệ an tồn cho gói tin lớp mạng, Ipsec cung cấp dịch vụ mã hóa suốt ứng dụng bảo vệ truy cập cho an tồn mạng Ví dụ, Ipsec cung cấp an tồn đầu cuối cho hệ thống cấu hình client-to-server, server-to-server, client-to-client Thật không may mắn, Ipsec lại dao lưỡi cho IDS Một mặt, Ipsec cho phép người sử dụng log an toàn vào mạng họ từ nhà sử dụng mạng riêng ảo, mặt khác Ipsec mã hóa liệu đường truyền, làm cho sniffing IDS làm việc hiệu Nếu hacker công vào thiết bị đăng nhập từ xa người sử dụng, họ có tunnel an tồn để hack toàn mạng Để sửa lỗi Ipsec, IDS tương lai cần phải nhúng vào tầng TCP/IP stack host Điều cho phép IDS quản lý liệu chưa bị unencapsulated thực thi tầng stack, phân tích liệu mã hóa cấp độ cao 19.4.2 Ngăn cấm dấu hiệu bất thường phát thấy Bởi công tiếp diễn ngày tốc độ phức tạp, IDSs ngày khả chống chọi Trả lời cho tình cách ngăn cấm dấu hiệu bất thường phát thấy: tất dấu hiệu bất thường, chúng hay phụ, báo động xác nhận Phương pháp đòi hỏi IDS phải đưa host riêng rẽ để chúng toàn mạng Một host riêng rẽ có nhiều mẫu thơng tin dự báo tồn mạng Mỗi host nói đến có IDS để phát dấu hiệu bất thường Sau người quản trị đưa quy luật (ngoại lệ) cho tùy biến chấp nhận Theo cách này, IDS giám sát hoạt động theo cách mà firewall giám sát truyền thơng Vậy làm thiết kế IDS thực thi việc ngăn ngừa hành động bất thường dựa host? Chúng ta làm việc với host riêng rẽ mà có phần lai tạo firewall router, điều khiển IDS cho host độc Bởi làm việc host, gói tin nhận cho host xác định Chúng ta đặt độ nhạy chúng lên cao để tìm kiếm dấu hiệu bất thường Ví dụ, mức độ gói tin, cơng cụ phát dấu hiệu bất thường dựa host quét gói tin chúng thực thi stack Chúng ta điều khiển IDS để giám sát thứ : • Các dấu hiệu khơng mong chờ • Xung đột TCP/IP • Các gói tin có độ lớn bất thường • Giá trị TTL thấp • Giá trị checksum sai • Hoặc xung đột giao thức khác Tương tự thế, tầng ứng dụng, thay đổi bất thường • Sử • Kích • Đăng • Kích • Số • Số • Số • Kích thước file log buộc cơng cụ phát dấu hiệu bất thường quét tất đặc điểm sau hệ thống: dụng CPU hoạt đĩa nhập người dùng hoạt file dịch vụ chạy ứng dụng chạy cổng mở Khi dấu hiệu bất thường phát hiện, cảnh báo chuyển tới trung tâm điều kkhiển Phương pháp có độ nhạy cao, thật khơng may tạo nhiều vấn đề cần phải giải mặt liệu Chúng ta giải vấn đề sau 19.4.3 Host- Versus Network-Based IDSs Sự gia tăng mạng switch làm cản trở IDS việc giám sát mạng sử dụng chế độ pha tạp, phân tích giao thức thụ động Nó trở nên ngày khó để giám sát nhiều host lúc gia tăng đường truyền, mạng ảo rắc rối khác Thêm vào đó, việc ứng dụng gia tăng the growing use of encrypted traffic foils passive analysis off the wire Bởi vậy, IDS trở nên giám sát dựa host 19.4.4 Visual Display of Data Bởi đường truyền hiệu công ngày tăng, nên việc tạo cảnh báo xác ngày trở nên khó khăn Lượng liệu cảnh báo tạo nên IDS cps thể nhanh chóng overwhelm thao tác người Thật không may, việc lọc liệu cho người thường sử dụng hạn chế hiệu Một giải pháp cho vấn đề liên quan đến kỹ thuật phát triển visualization đồng thời coi hiển thị geometric liệu Con người hiểu geometric shapes intuitively, loại hiển thị thường cách dễ để hiển thị liượng liệu (massive) Khi theo tác cảm thấy dấu hiệu bất thường hình đồ họa, drill down muộn để giải vấn đề Ví dụ, cho ứng dụng bên trong, Airscanner Corporation mã hóa điều khiển linh hoạt ActiveX mà mimics a real-time human electrocardiogram (EKG) Tốc độ giai điệu (màu sắc âm thanh) dao động "heartbeat" hình để đáp trả lại thay đổi mạng Giám sát giống người y tá bệnh viện cardiac telemetry floor, Người quản trị mạng Airscanner dễ dàng giám sát LAN cách để ý đến hình 19.5 Nghiên cứu Snort IDS Phần trình bày ví dụ phát triển Snort IDS (http://www.Snort.org) Snort thường gọi "lightweight IDS," có tên gọi thời điểm khơng liên quan đến lightweight Snort nên gọi lightweight đề cập đến công cụ phát hiệu dung lượng nhớ dấu hiệu nhỏ Nó dịch IDS đầy đủ mà phát triển theo hướng tốc độ xử lý cao cấu hình phân bổ mà đạt đến tốc độ hàng giga bit Thiết bị phát xâm nhập đề cập đến phần xây dựng hệ điều hành Linux, sở liệu MySQL môi trường phân tích ACID Tất phiên Linux Red Hat Debian sử dụng Bạn nên xây dựng hệ thống Linux nhỏ từ scratch (giống nhà bán phần mềm IDS thương mại bán IDS dựa Unix) Đối với việc phát triển mạng nhỏ, bạn nên từ bỏ biến Linux canned Hệ thống phải nhỏ gọn nhiều tính (tất phần mềm khơng cần thiết nên gỡ bỏ) Bạn nên có card mạng máy tính phát triển Snort Bởi giao diện sniffing (để phát công) giao diện quản lý (sử dụng để quản lý liệu kiện nhạy cảm, cập nhật quy định thay đổi cấu hình) phải đặt riêng rẽ Lý giao diện sniffing khơng có địa IP Trong mơi trường Linux, dễ để kích hoạt giao diện mạng mà không cần địa IP mà cần sử dụng lệnh ifconfig eth1 up Mặc dù không cung cấp biện pháp an toàn tổng thể (bằng định nghĩa), biện pháp tốt sử dụng giao diện thông thường để phát xâm nhập Snort sở liệu cài đặt máy, nhiên trường hợp tốc độ truyền thông cao, bạn nên cài đặt sở liệu, Snort, webserver máy tính khác Tốt Snort máy, sở liệu webserver máy lại Trong trường hợp cài đặt nhiều máy, thành phần IDS kết nối với qua mạng đó, biện pháp an tồn phải thực thi Để bảo vệ đường truyền thiết bị phân tích với sở liệu, phải sử dụng kết nối SSL Để hạn chế truy cập bàp bàn điều khiển dựa ACID, sử dụng đặc chuẩn Apache webserver, phương pháp xác thực HTTP qua htpasswd Truyền thông cảm biến snort với sở liệu tunneled qua SSL SSH 19.5.1 Cài đặt hệ thống: Đầu tiên bạn phải thiết lập Linux hardened Đối với Red Hat Linux, chọn Custom Install từ cài đặt CD thức khơng thức, thu gọn tùy chọn cài đặt cách gỡ bỏ thành phần đồ họa Phải chắn tất gói tin MySQL server (có sẵn Red Hat CDs) cài đặt # rpm -U quan tâm đến điều này, cung cấp Linux CD Câu lệnh: /mnt/cdrom/RedHat/RPMS/mysql*rpm Trong trường hợp môi trường Linux sử dụng Red Hat, nhiều gói phần mềm Snort RPM (Red Hat Package Manager) download từ website Snort.org Bạn cần gói Snort Snort-mysql cho cài đặt Cài đặt chúng lên hệ thống bạn Nếu RPM địi hỏi độc lập, download gói cài đặt thích hợp cho (có thể cần thư viện libpcap) Cài đặt thêm phần mềm quan sát kiện ACID-IDS vào hệ thống Trang chủ ACID có chứa tất phần mềm hướng dẫn cài đặt (http://acidlab.sourceforge.net) Các gói cài đặt ACID địi hỏi phải giải nén thư mục nhìn thấy từ webserver (ví dụ Red Hat /var/www/html) Bởi ACID phát triển /var/www/html/acid File cấu hình acid_conf.php nơi chứa tất đặt cấu hình Khơng có điều khiển truy cập thiết lập bên trong, bạn cần phải tạo.htpasswd /var/www/html/acid Nếu lựa chọn phát triển (chẳng hạn cài đặt RedHat) khơng có web server Apache web server cần cài đặt mơi trường thơng qua CD # rpm -U /mnt/cdrom/RedHat/RPMS/apache*rpm Sau tất thành phần cài đặt, đến lượt thiết lập cấu hình cho IDS Đầu tiên, Snort phải cấu hình để log vào sở liệu Sau số dẫn để làm điều đó: Khởi động sở liệu MySQL : # /etc/init.d/mysql start Tạo sở liệu Snort: # echo "CREATE DATABASE Snort_db;" | mysql -u root -p Tạo người sử dụng để sử dụng sở liệu: # adduser Snort Tạo quyền cho người sử dụng để thêm liệu cảnh báo vào sở liệu: # echo "grant INSERT,SELECT on Snort_db.* to Snort@localhost;" | mysql -u root -p Sử dụng script có sẵn nguồn Snort (khơng kèm với gói nhị phân RPM) để tạo cấu trúc liệu: # cat /contrib/create_mysql | mysql Snort_db Thay đổi file cấu hình Snort để log vào sở liệu Nói cách khác thay đổi /etc/Snort.conf sau:: output database: log, mysql, user=Snort dbname=Snort_db host=localhost Thay đổi script khởi tạo Snort (/etc/init.d/Snortd) để snort thực lệnh sau: /usr/sbin/Snort -D -l /var/log/Snort -i $INTERFACE -c /etc/Snort/Snort.conf Định vị trí để log snort đánh giá Bây giờ, Snort bắt đầu lệnh: # /etc/rc.d/init.d/Snortd start IDS cấu hình log tới sở liệu Hãy kiểm tra chúng sau: Kiểm tra tiến trình chạy: # ps ax| grep Snort | grep -v grep Nếu kết khả quan,bạn thấy liệu trả không trống Trên Linux, # ps u `pidof Snort` tồn lệnh đơn giản tương tự: Kiểm tra Snort phát thấy cơng lynx http://www.someLOCALwebserver.com/cmd.exe sau chạy lệnh: # tail /var/log/Snort/alert Nếu có kết tốt, bạn nhìn thấy thơng điệp cảnh báo có cơng IIS web Đừng chạy bước kiểm tra thông qua kết nối URL từ xa mà thử máy cục bạn Phải chắn cảm biến cảm nhận công (kết nối thiết lập thông qua mạng giám sát Snort) Phương pháp quét cổng sử dụng nmap bước thử Snort hiệu quả, điều đảm bảo cho việc phát qt cổng bật cấu hình xác Trong thực tế, có tồn nhiều phương pháp để kiểm tra IDS Nhiều người thích sử dụng gói tin ICMP lớn (có thể thực lệnh ping đơn giản) phương pháp khác 3 Kiểm tra logging sở # echo "SELECT count(*) FROM event" | mysql Snort_db Nếu tốt, bạn nhìn thấy lượng khác rỗng liệu chứa sở liệu -u root liệu: -p 19.5.2 Cài đặt công cụ cảnh báo: Bây giờ, thiết lập công cụ cảnh báo qua ACID ACID (Trung tâm phân tích liệu xâm nhập) ứng dụng xây dựng PHP mà cho phép phân tích liệu Snort chứa sở liệu ACID phải phép truy cập vào sở liệu Sử dụng lệnh sau để thực điều này: # echo "grant CREATE,INSERT,SELECT,UPDATE,DELETE on Snort_db.* to acid@localhost;" | mysql -u root -p Để an toàn hơn, nên sử dụng SSL để quan sát cảnh báo Hãy phát triển gói SSL từ đĩa cài Red Hat: # rpm -U /mnt/cdrom/RedHat/RPMS/mod-ssl*rpm khởi động lại Apache thông qua /etc/init.d/httpd restart Để an toàn nữa, kết nối SSH phép Một host firewall script for the iptables Linux firewall sử dụng phép TCP port 443 (HTTPS) không cho phép TCP port 80 (HTTP) Bây giờ, khởi động Apache web server browser tới giao diện quản lý IP (hoặc địa 127.0.0.1 chạy local browser) Địa là: http://www.yourSnortServer.com/acid Phàn mềm ACID hướng dẫn bạn lựa chọn khởi tạo cài đặt, cung cấp cho bạn theo hướng dẫn ACID sử dụng để quan sát cảnh báo Snort IDS chế độ khác nhau, thực việc tìm kiếm, truy cập gói tin payload đầy đủ Nếu cài đặt sở liệu không đúng, bạn đơn giản cần chuyển tiếp cảnh báo tới syslog sau sử dụng cơng cụ phân tích syslog để giải Những cơng cụ Snortsnarf tồn để tổng kết quan sát kiện Snort 19.5.3 Điều chỉnh quy tắc IDS : Thảo luận đầy đủ việc điều chỉnh quy tắc IDS đưa cốt lõi chương Tuy nhiên, tiến tới việc khởi tạo quy tắc, nhiều thời gian cho cảnh báo, phân tích chúng theo giảm bớt quy tắc Cơng đoạn thích hợp việc phát triển NIDS nội mạng nhỏ Một giải pháp khác thu hẹp quy tắc để giám sát dịch vụ bị nguy hiểm Công việc tốt cài đặt DMZ với độ an tồn cao thiết bị thống kê cách cẩn thận vững Trong trường hợp này, cảnh báo CodeRed gia tăng cách tuyệt đối Unix web server không bị tổn thương đe dọa tầm thường ... qua tất hệ thống 19.1.2 Network IDSs Network IDSs phân chia thành loại: hệ thống dựa dấu hiệu hệ thống dựa việc bất thường Không giống hệ thống dựa dấu hiệu, hệ thống sau pha lẫn công nghệ khác... Một cột gọi xâm nhập, đại diện cho xâm nhập xuất Dấu (+) có nghĩa thực xâm nhập, cịn (-) có nghĩa chưa phải xâm nhập Cột khác, gọi phản hồi từ IDS, miêu tả suy nghĩ IDS phát xâm nhập, dấu (+)... Nếu tất ứng dụng có hệ thống log an toàn mà tất kiện xấu ghi nhận đóng gói, nguời phân tích log khơng cần đến hệ thống phát xâm nhập Trong thực tế, kiện file log hoàn chỉnh xâm nhập Tuy nhiên, đời