[Network] Tìm hiểu cơ chế, cách hoạt động của IDS (phần 2)    

• Báo cáo

Bài đăng này đã không được cập nhật trong 6 năm

1.Giới thiệu về snort

Snort là phần mềm IDS được phát triển bởi Martin Roesh dưới dạng mã nguồn mở. Snort ban đầu được xây dựng trên nền Unix nhưng sau đó phát triển sang các nền tảng khác. Snort được đánh giá rất cao về khả năng phát hiện xâm nhập. Tuy snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời. Với kiến trúc kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình. Snort có thể chạy trên nhiều hệ thống như Windows, Linux, OpenBSD, FreeBSD, Solaris

Bên cạnh việc có thể hoạt động như một ứng dụng bắt gói tin thông thường, Snort còn được cấu hình để chạy như một NIDS.

2.Kiến trúc của Snort

Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt

     Module giải mã gói tin

     Module tiền xử lý

     Module phát hiện

     Module log và cảnh báo

     Module kết xuất thông tin

Kiến trúc của Snort được thể hiện qua mô hình sau:

Khi Snort hoạt động, nó sẽ lắng nghe tất cả các gói tin nào di chuyển qua nó. Các gói tin sau khi bị bắt sẽ được đưa vào module giải mã. Tiếp theo sẽ vào module tiền xử lý và rồi module phát hiện. Tại đây tùy vào việc có phát hiện được xâm nhập hay không mà gói tin có thể bỏ qua để lưu thông tin tiếp hoặc đưa vào module Log và cảnh báo để xử lý. Khi các cảnh báo được xác định, Module kết xuất thông tin sẽ thực hiện việc đưa ra cảnh báo theo đúng định dạng mong muốn.

2.1   Module giải mã gói tin

Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống.

Một gói tin sau khi được giải mã sẽ đưa tiếp vào module tiền xử lý.

2.2   Module tiền xử lý

Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói dữ liệu đưa vào cho Module phát hiện phân tích. 3 nhiệm vụ chính:

     Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói toàn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiều gói tin rồi mới gửi đi. Khi Snort nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin ban đầu. Module tiền xử lý giúp Snort có thể hiểu được các phiên làm việc khác nhau.

     Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dữ liệu có thể được biểu diễn dưới nhiều dạng khác nhau. Ví dụ: một Web server có thể nhận nhiều dạng URL: URL viết dưới dạng hexa/unicode hay URL chấp nhận dấu / hay \. Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót hành vi xâm nhập. Do vậy, 1 số Module tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào.

     Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này thường để xử lý với các xâm nhập không thể hoặc rất khó phát hiện bằng các luật thông thường. Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bất thường đó là portscan và bo (backoffice). Portscan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện quét cổng để tìm lỗ hổng. Bo dùng để đưa ra cảnh báo khi hệ thống nhiễm trojan backoffice.

2.3   Module phát hiện

Đây là module quan trọng nhất của Snort. Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được, từ đó xác định xem có xâm nhập xảy ra hay không.

Một vấn đề quan trọng đối với module phát hiện và vấn đề thời gian xử lý gói tin: một IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật xử lý. Khi lưu lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặc không phản hồi đúng lúc. Khả năng xử lý của module phát hiện phụ thuộc vào nhiều yếu tố: số lượng các luật, tốc độ hệ thống, băng thông mạng.

Một module phát hiện có khả năng tách các phần của gói tin ra và áp dụng luật lên từng phần của gói tin:

     IP header

     Header ở tầng transport: TCP, UDP

     Header ở tầng application: DNS, HTTP, FTP 

     Phần tải của gói tin

Do các luật trong Snort được đánh số thứ tự ưu tiên nên 1 gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra theo luật có mức ưu tiên cao nhất.

2.4   Module log và cảnh báo

Tùy thuộc vào module phát hiện có nhận dạng được xâm nhập hay không mà gói tin có thể bị ghi log hay đưa ra cảnh báo. Các file log là các file dữ liệu có thể ghi dưới nhiều định dạng khác nhau như tcpdump

2.5   Module kết xuất thông tin

Module này thực hiện các thao tác khác nhau tùy thuộc vào việc cấu hình lưu kết quả xuất ra như thế nào.

     Ghi log file

     Ghi syslog

     Ghi cảnh báo vào cơ sở dữ liệu

     Tạo file log XML

     Cấu hình lại Router, firewall

     Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP

3.Bộ luật của Snort

3.1   Cấu trúc luật của Snort

Tìm hiểu một ví dụ:

alert tcp 192.168.0.0/22 23 -> any any (content:confidential; msg: Detected confidential)

Ta thấy cấu trúc có dạng sau:

|Rule Header| Rule Option| |

Phần Header: chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát hiện ra có xâm nhập nằm trong gói tin và nó cũng chứa tiểu chuẩn để áp dụng luật với gói tin đó.

Phần Option: chứa thông điệp cảnh báo và các thông tin về các phần của gói tin dùng để tạo nên cảnh báo. Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh với gói tin.

3.2   Cấu trúc của phần Header

Action| Protocol| Address| Port| Direction| Address| Port| | Alert| TCP| 192.168.0.0/22| 23| ->| Any| Any

     Action: là phần quy định loại hành động nào được thực thi. Thông thường các hành động rạo ra một cảnh báo hoặc log thông điệp hay kích hoạt một luật khác.

     Protocol: giao thức cụ thể

     Address: địa chỉ nguồn và địa chỉ đích

     Port: xác định các cổng nguồn, cổng đích của một gói tin

     Direction: phần này sẽ chỉ ra địa chỉ nguồn và địa chỉ đích

3.2.1          Action

Có 5 luật được định nghĩa:

• Pass: cho phép Snort bỏ qua gói tin này
• Log: dùng để log gói tin. Có thể log vào file hay vào CSDL
• Alert: gửi thông điệp cảnh báo khi dấu hiệu xâm nhập được phát hiện
• Activate: tạo ra cảnh báo và kích hoạt thêm các luật khác để kiểm tra thêm điều kiện của gói tin
• Dynamic: đây là luật được gọi bởi các luật khác có hành động là Activate

3.2.2          Protocol

Chỉ ra loại gói tin mà luật được áp dụng:

• IP
• ICMP
• TCP
• UDP

Nếu là IP thì Snort sẽ kiểm tra header của lớp liên kết để xác định loại gói tin. Nếu bất kỳ giao thức nào khác, Snort sẽ sử dụng header IP để xác định loại giao thức

3.2.3          Address

Có 2 phần là địa chỉ đích và địa chỉ nguồn. Nó có thể là 1 IP đơn hoặc 1 dải mạng. Nếu là any thì áp dụng cho tất cả địa chỉ trong mạng. Chú ý: nếu là một host thì có dạng: IP-address/32. VD: 192.168.0.1/32

Snort cung cấp phương pháp để loại trừ địa chỉ IP bằng cách sử dụng dấu !. VD: alert icmp ![192.168.0.0/22] any -> any any (msg: Ping with TTL=100; ttl: 100;)

Lưu ý: dấu [] chỉ cần dùng khi đằng trước có !

3.2.4          Port

Số port để áp dụng cho các luật. VD: telnet là 23, DNS là 53  Port chỉ áp dụng cho 2 giao thức là TCP và UDP

Để sử dụng 1 dãy các port thì ta phân biệt bởi dấu :. VD: alert udp any 1024:8080 -> any any (msg: UDP port

3.2.5          Direction

Chỉ ra đâu là nguồn, đâu là đích. Có thể là -> hay <- hoặc <>. Trường hợp <> là khi ta muốn kiểm tra Client và Server.

3.3   Phần Option

Phần Option nằm ngay sau phần Header và được bao bọc trong dấu ngoặc đơn. Nếu có nhiều option thì sẽ phân biệt nhau bởi dấu ;. Một option gồm 2 phần: một từ khóa và một tham số, 2 phần này sẽ phân cách nhau bằng dấu hai chấm.

3.3.1          Từ khóa ack

Trong header TCP có chứa trường Acknowledgement Number với độ dài 32 bit. Trường này chỉ ra số thứ tự tiếp theo gói tin TCP của bên gửi đang được chờ để nhận. Trường này chỉ có ý nghĩa khi mà cờ ACK được thiết lập. Các công cụ như Nmap sử dụng đặc điểm này để ping một máy. Ví dụ nó có thể gửi gói tin TCP tới cổng 80 với cờ ACK được bật và số thứ tự là 0. Bởi vậy bên nhận thấy gói tin không hợp lệ sẽ gửi lại gói tin RST. Và khi nhận được gói RST này, Nmap sẽ biết được IP này đang tồn tại hay không.

Để kiểm tra loại ping TCP này thì ta có thể dùng luật sau:

Alert tcp any any -> 192.168.0.0/22 any (flags: A; ack: 0; msg: TCP ping detected)

3.3.2          Từ khóa classtype

Các luật có thể được phân loại và gán cho 1 số chỉ độ ưu tiên nào đó để nhóm và phân biệt chúng với nhau. Để hiểu rõ hơn về classtype thì ta cần hiểu được file classification.config. Mỗi dòng trong file này đều có cấu trúc như sau:

Config classification: name, description, priority

Trong đó:

• Name: tên dùng để phân loại, tên này sẽ được dùng với từ khóa classtype trong các luật Snort
• Description: mô tả
• Priority: là 1 số chỉ độ ưu tiên mặc định của lớp này. Độ ưu tiên này có thể được điều chỉnh trong từ khóa priority của phần Option trong Snort

VD:

Config classification: DoS, Denied of Service Attack, 2

Và luật

Alert udp any any -> 192.168.0.0/22 6838 (msg:DoS; content: server; classtype: DoS; priority: 1;)

đã ghi đè lên giá trị priority mặc định của lớp đã định nghĩa

3.3.3          Từ khóa content

Một đặc tính quan trọng của Snort là có khả năng tìm 1 mẫu dữ liệu bên trong một gói tin.

VD: alert tcp 192.168.0.0/22 any -> ![192.168.0.0/22] any (content: GET; msg :GET match

Luật trên tìm mãu GET trong phần dữ liệu của tất cả gói tin TCP có nguồn mạng là 192.168.0.0/22 đi đến các địa chỉ đích không nằm trong dải mạng đó.

Tuy nhiên khi sử dụng từ khóa content cần nhớ rằng:

Đối chiếu nội dung cần phải xử lý rất lớn nên ta phải cân nhắc kỹ khi sử dụng nhiều luật đối chiếu nội dung.

Các từ khóa được sử dụng cùng với content để bổ sung thêm các điều kiện là:

• Offset: dùng để xác định vị trí bắt đầu tìm kiếm là offset tính từ đầu phần dữ liệu của gói tin. VD: alert tcp 192.168.0.0/22 any -> any any (content: HTTP; offset: 4; msg: HTTP matched

• Dept: dùng để xác định vị trí mà từ đó Snort sẽ dừng việc tìm kiếm. VD: alert tcp 192.168.0.0/22 any -> any any (content: HTTP; dept: 10; msg: HTTP matched

3.3.4          Từ khóa dsize

Dùng để đối sánh theo chiều dài của phần dữ liệu. Rất nhiều cuộc tấn công sử dụng lỗi tràn bộ đệm bằng cách gửi các gói tin có kích thước rất lớn.

VD: alert ip any any -> 192.168.0.0/22 any (dsize > 5000; msg: Goi tin co kich thuoc lon

3.3.5          Từ khóa Flags

Từ khóa này dùng để phát hiện xem những bit cờ flag nào được bật trong phần TCP header của gói tin. Mỗi cờ có thể được sử dụng như 1 tham số trong từ khóa flags.

Flag| Kí hiệu tham số dùng trong luật của Snort| | FIN  Finish Flag| F SYN  Sync Flag |S RST  Reset Flag| R PSH  Push Flag |P ACK  Acknowledge Flag| A URG  Urgent Flag| U Reversed Bit 1| 1 Reversed Bit 2| 2 No Flag set| 0

VD: luật sau đây sẽ phát hiện một hành động quét dùng gói tin SYN-FIN:

Alert tcp any any -> 192.168.0.0/22 any (flags: SF; msg: SYNC-FIN flag detected

3.3.6          Từ khóa fragbits

Phần IP header của gói tin chứa 3 bit dùng để chống phân mảnh và tổng hợp các gói tin IP. Các bit đó là:

• Reversed bit (RB) dùng để dành cho tương lai
• Dont Fragment Bit (DF): nếu bit này được thiết lập tức là gói tin không bị phân mảnh
• More Fragments Bit (MF): nếu được thiết lập thì các phần khác của gói tin vẫn đang trên đường đi mà chưa tới đích. Nếu bit này không được thiết lập thì đây là phần cuối cùng của gói tin.

VD: luật sau sẽ phát hiện xem bit DF trong gói tin ICMP có được bật hay không: alert icmp any any -> 192.168.0.0/22 any (fragbits: D; msg: Dont Fragment bit set

Đây là link demo snort cảnh báo các gói tin ICMP trong mạng: http://192.168.2.23/base/base_main.php