BÀI TẬP LỚN MÔN HỌC AN TOÀN MẠNG MÁY TÍNH Đề tài TÌM HIỂU VỀ HỆ THỐNG IDS/IPS SNORT3, CÀI ĐẶT VÀ THỬ NGHIỆM

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN MƠN HỌC AN TỒN MẠNG MÁY TÍNH Đề tài: TÌM HIỂU VỀ HỆ THỐNG IDS/IPS SNORT3, CÀI ĐẶT VÀ THỬ NGHIỆM Sinh viên thực hiện: PHẠM THỊ NGỌC AT150441 PHAN THỊ THANH THỦY AT150457 BÙI THÀNH CÔNG AT150406 TRẦN QUANG THÁI AT150450 LÊ THỊ NGỌC ÁNH AT150604 Hà Nội, 02- 2022 MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS 1.1 Khái Niệm IDS/IPS 1.2 Phân loại 1.3 So sánh IDS IPS 1.4 Cơ chế hoạt động của hệ thống IDS/IPS 1.4.1 Phát lạm dụng 1.4.2 Phát bất thường 1.4.3 Phát thông qua Protocol 10 CHƯƠNG 2: TỔNG QUAN VỀ SNORT3- IDS/IPS MÃ NGUỒN MỞ CÓ BẢN CẬP NHẬT MỚI 12 2.1 Giới thiệu snort snort3 12 2.2 Một số tính của snort3 14 CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM 15 3.1 Mơ hình thử nghiệm 15 3.2 Thử nghiệm phát ngăn chặn của snort 15 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 19 TÀI LIỆU THAM KHẢO 20 LỜI MỞ ĐẦU Ngày nay, bảo mật thông tin ngày phổ biến lĩnh vực khác giới, từ lĩnh vực an ninh, quân sự, quốc phòng lĩnh vực dân thương mại điện tử, ngân hàng Với phát triển ngày nhanh chóng của Internet ứng dụng giao dịch điện tử mạng, nhu cầu bảo vệ thông tin hệ thống ứng dụng điện tử ngày quan tâm có ý nghĩa quan trọng Các ứng dụng mã hóa thơng tin cá nhân, trao đổi thông tin kinh doanh, thực giao dịch điện tử qua mạng trở nên gần gũi quen thuộc với người Với nhu cầu trao đổi thông tin ngày bắt buộc cá nhân quan, tổ chức phải kết nối mạng Internet toàn cầu An toàn bảo mật thông tin vấn đề quan trọng hàng đầu thực kết nối Internet.Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin gây nên hậu vô nghiêm trọng Những vụ cơng nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu công không báo trước, số lượng vụ cơng tăng lên nhanh chóng phương pháp công liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải có biện pháp đảm bảo an tồn thơng tin Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Vì chúng em chọn đề tài Tìm hiểu hệ thống IDS/IPS Snort 3, phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo mật có người phép nắm giữ thơng tin biết Khi ta chưa có thơng tin, việc sử dụng hệ thống thông tin chưa phải phương tiện quản lý, điều hành vấn đề an tồn, bảo mật đơi bị xem thường Nhưng nhìn nhận tới mức độ quan trọng của tính bền hệ thống giá trị đích thực của thơng tin có có mức độ đánh giá an tồn bảo mật hệ thống thông tin Để đảm bảo tính an tồn bảo mật cho hệ thống cần phải có phối hợp yếu tố phần cứng, phần mềm người Hệ thống quản lý an tồn thơng tin Việt Nam yếu thể tỉ đơn vị có cán chuyên trách, bán chuyên trách an tồn thơng tin chiếm gần 70% Trong tỉ lệ đơn vị có kế hoạch đào tạo an tồn thơng tin chiếm khoảng 60% Đặc biệt tỉ lệ đơn vị mua bảo hiểm đề phòng thiệt hại bị cơng máy tính vơ có 11.6 % Trên 90% mạng kết nối sử dụng IDS/IPS để phát lỗ hổng bảo mật hệ thống Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng cơng mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng xâm nhập… Nếu sử dụng phần mềm chống virus cần phải xem xét đến việc bổ sung thêm IDS/IPS cho chiến lược bảo mật của Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS/IPS Ngày công nghệ ngày phát triển nên khơng có giải pháp bảo mật tồn lâu dài Theo đánh giá của tổ chức hàng đầu công nghệ thông tin giới, tình hình an ninh mạng đà bất ổn tiếp tục coi năm “báo động đỏ” của an ninh mạng tồn cầu có nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức cơng thay đổi có nhiều công của giới tội phạm công nghệ cao vào hệ thống công nghệ thông tin của doanh nghiệp Hệ thống phát xâm nhập ngăn chặn trái phép IDS/IPS phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật, an tồn thơng tin 1.1 Khái Niệm IDS/IPS IDS (Intrusion Detection Systems - Hệ thống phát xâm nhập) thiết bị phần mềm có nhiệm vụ giám sát traffic mạng, hành vi đáng ngờ cảnh báo cho admin hệ thống Mục đích của IDS phát ngăn ngừa hành động phá hoại bảo mật hệ thống, hành động tiến trình cơng dị tìm, qt cổng IDS phân biệt cuộ cơng nội (từ nhân viên khách hàng tổ chức) cơng bên ngồi (từ hacker) Trong số trường hợp, IDS phản ứng lại với traffic bất thường/độc hại cách chặn người dùng địa IP nguồn truy cập mạng Hệ thống phòng chống xâm nhập (Intrusion prevention system, viết tắt IPS) số biện pháp an ninh mạng quan trọng mà mạng có IPS biết đến hệ thống kiểm sốt, khơng phát mối đe dọa tiềm ẩn hệ thống mạng sở hạ tầng của nó, mà cịn tìm cách chủ động chặn kết nối mối đe dọa Điều khác với biện pháp bảo vệ thụ động hệ thống phát xâm nhập IPS hệ thống chủ động thực bước để ngăn chặn xâm nhập cơng xác định 1.2 Phân loại  Có hai loại IDS chính: Đầu tiên hệ thống phát xâm nhập mạng (NIDS) Các hệ thống kiểm tra lưu lượng mạng giám sát nhiều máy chủ để xác định xâm nhập Các cảm biến sử dụng để nắm bắt lưu lượng mạng gói phân tích để xác định nội dung độc hại Loại thứ hai hệ thống phát xâm nhập dựa máy chủ (HIDS) HIDS triển khai máy chủ máy chủ Họ phân tích liệu cục máy tệp nhật ký hệ thống, đường dẫn kiểm toán thay đổi hệ thống tệp để xác định hành vi bất thường HIDS so sánh hồ sơ bình thường của máy chủ với hoạt động quan sát để xác định bất thường tiềm ẩn Ngoài ra, cịn có NNIDS hoạt động NIDS, nhiên chúng áp dụng với máy chủ thời gian định, khơng phải tồn mạng Ở hầu hết nơi, thiết bị cài đặt IDS đặt định tuyến nội trú tường lửa bên định tuyến nội trú Trong số trường hợp, thiết bị cài đặt IDS đặt bên tường lửa định tuyến nội trú với cường độ nhìn thấy tồn cơng cố gắng Hiệu suất vấn đề quan trọng với hệ thống IDS chúng sử dụng với thiết bị mạng băng thông cao Ngay với thành phần hiệu suất cao phần mềm cập nhật, IDS có xu hướng bỏ gói chúng khơng thể xử lý thơng lượng lớn  IPS chia thành bốn loại: Đầu tiên Phòng chống xâm nhập dựa mạng (NIPS), theo dõi toàn mạng hoạt động đáng ngờ Loại thứ hai hệ thống Phân tích Hành vi Mạng (NBA) kiểm tra luồng lưu lượng để phát luồng lưu lượng bất thường kết của công từ chối dịch vụ phân tán (DDoS) Loại thứ ba Hệ thống ngăn chặn xâm nhập khơng dây (WIPS), phân tích mạng khơng dây cho lưu lượng đáng ngờ Loại thứ tư Hệ thống ngăn chặn xâm nhập dựa máy chủ (HIPS), gói phần mềm cài đặt để giám sát hoạt động của máy chủ Như đề cập trước đó, IPS thực bước hoạt động bỏ gói chứa liệu độc hại, đặt lại chặn lưu lượng truy cập đến từ địa IP vi phạm 1.3 So sánh IDS IPS IDS hệ thống giám sát mạng phát hoạt động không phù hợp, không xác bất thường, IPS hệ thống phát xâm nhập công thực bước tích cực để ngăn chặn chúng IPS bao gồm IDS hệ thống kiểm soát phản hồi IDS điều chỉnh xâm nhập, IPS có khả ngăn chặn phát tán dựa vào nội dung của xâm nhập Cả IDS IPS hệ thống dựa liệu mối đe dọa biết đến IDS cần quản trị viên xem xét mối nguy cảnh báo, IPS tự ngăn chặn mối nguy Sự bảo vệ hai người không giống IDS, IPS chủ động thực bước để ngăn chặn chặn xâm nhập phát Các bước ngăn chặn bao gồm hoạt động bỏ gói độc hại đặt lại chặn lưu lượng truy cập đến từ địa IP độc hại IPS coi phần mở rộng của IDS, có khả bổ sung để ngăn chặn xâm nhập phát chúng 1.4 Cơ chế hoạt đợng của hệ thống IDS/IPS Có ba cách tiếp cận việc phát phòng chống xâm nhập là: Phát lạm dụng (Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kĩ thuật xâm nhập biết đến (dựa dấu hiệu - signatures) điểm dễ bị công của hệ thống Phát bất thường (Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường của người dùng hay hệ thống Phát thông qua Protocol: Tương tự việc phát dựa dấu hiệu, thực phân tích theo chiều sâu của giao thức xác định cụ thể gói tin 1.4.1 Phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mơ tả đặc điểm cách thức xâm nhập vào hệ thống biết đến, cách thức mô tả mẫu Hệ thống phát lạm dụng thực kiểm soát mẫu rõ ràng Mẫu xâu bit cố định (ví dụ virus đặc tả việc chèn xâu),…dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Ở đây, ta sử dụng thuật ngữ kịch xâm nhập (intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động của hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành Hệ thống xem xét hành động của hệ thống bảo vệ thời gian thực ghi kiểm tra ghi lại hệ điều hành Các kỹ thuật để phát lạm dụng khác cách thức mà chúng mơ hình hố hành vi định xâm nhập Các hệ thống phát lạm dụng hệ sử dụng luật (rules) để mơ tả mà nhà quản trị an ninh tìm kiếm hệ thống Một lượng lớn tập luật tích luỹ dẫn đến khó hiểu sửa đổi chúng khơng tạo thành nhóm cách hợp lý kịch xâm nhập Để giải khó khăn này, hệ thống hệ thứ hai đưa biểu diễn kịch xen kẽ, bao gồm tổ chức luật dựa mơ hình biểu diễn phép biến đổi trạng thái Điều mang tính hiệu người dùng hệ thống cần đến biểu diễn hiểu rõ ràng kịch Hệ thống phải thường xuyên trì cập nhật để đương đầu với kịch xâm nhập phát Do kịch xâm nhập đặc tả cách xác, hệ thống phát lạm dụng dựa theo để theo vết hành động xâm nhập Trong chuỗi hành động, hệ thống phát đốn trước bước của hành động xâm nhập Bộ dị tìm phân tích thơng tin hệ thống để kiểm tra bước tiếp theo, cần can thiệp để làm giảm tác hại 1.4.2 Phát bất thường Dựa việc định nghĩa mô tả đặc điểm của hành vi chấp nhận của hệ thống để phân biệt chúng với hành vi không mong muốn bất thường, tìm thay đổi, hành vi bất hợp pháp Như vậy, phát khơng bình thường phải có khả phân biệt tượng thông thường tượng bất thường Ranh giới dạng thức chấp nhận dạng thức bất thường của đoạn mã liệu lưu trữ định nghĩa rõ ràng (chỉ cần bit khác nhau), ranh giới hành vi hợp lệ hành vi bất thýờng khó xác định Phát khơng bình thường chia thành hai loại tĩnh động 1.4.2.1 Phát tĩnh Dựa giả thiết ban đầu phần hệ thống kiểm sốt phải ln ln khơng đổi Ở đây, ta quan tâm đến phần mềm của vùng hệ thống (với giả sử phần cứng không cần phải kiểm tra) Phần tĩnh của hệ thống bao gồm phần con: mã hệ thống liệu của phần hệ thống Hai thơng tin biểu diễn dạng xâu bit nhị phân tập xâu Nếu biểu diễn có sai khác so với dạng thức gốc có lỗi xảy kẻ xâm nhập thay đổi Lúc này, phát tĩnh thơng báo để kiểm tra tính tồn vẹn liệu Cụ thể là: phát tĩnh đưa một vài xâu bit cố định để định nghĩa trạng thái mong muốn của hệ thống Các xâu giúp ta thu biểu diễn trạng thái đó, dạng nén Sau đó, so sánh biểu diễn trạng thái thu với biểu diễn tương tự tính tốn dựa trạng thái của xâu bit cố định Bất kỳ khác thể lỗi hỏng phần cứng có xâm nhập Biểu diễn trạng thái tĩnh xâu bit thực tế chọn để định nghĩa cho trạng thái hệ thống, nhiên điều tốn lưu trữ phép toán so sánh Do vấn đề cần quan tâm việc tìm sai khác để cảnh báo xâm nhập sai khác đâu nên ta sử dụng dạng biểu diễn nén để giảm chi phí Nó giá trị tóm tắt tính từ xâu bit sở Phép tính tốn phải đảm bảo cho giá trị tính từ xâu bit sở khác khác Có thể sử dụng thuật toán checksums, message-digest (phân loại thông điệp), hàm băm Một số phát xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tả đối tượng liệu) thông tin cấu trúc của đối tượng kiểm tra Ví dụ, meta-data cho log file bao gồm kích cỡ của Nếu kích cỡ của log file tăng dấu hiệu xâm nhập 1.4.2.2 Phát động Trước hết ta đưa khái niệm hành vi của hệ thống (behavior) Hành vi của hệ thống định nghĩa chuỗi kiện phân biệt, ví dụ nhiều hệ thống phát xâm nhập sử dụng ghi kiểm tra (audit record), sinh hệ điều hành để định nghĩa kiện liên quan, trường hợp hành vi mà kết của việc tạo ghi kiểm tra của hệ điều hành xem xét Các kiện xảy theo trật tự nghiêm ngặt không thơng tin phải tích luỹ Các ngưỡng định nghĩa để phân biệt ranh giới việc sử dụng tài nguyên hợp lý hay bất thường Nếu không chắn hành vi bất thường hay không, hệ thống dựa vào tham số thiết lập suốt trình khởi tạo liên quan đến hành vi Ranh giới trường hợp không rõ ràng dẫn đến cảnh báo sai Cách thức thông thường để xác định ranh giới sử dụng phân loại thống kê độ lệch chuẩn Khi phân loại thiết lập, ranh giới vạch nhờ sử dụng số độ lệch chuẩn Nếu hành vi nằm bên ngồi cảnh báo có xâm nhập Cụ thể là: hệ thống phát động thường tạo profile (dữ liệu) sở để mô tả đặc điểm hành vi bình thường, chấp nhận Một liệu bao gồm tập đo lường xem xét hành vi, đại lượng đo lường gồm nhiều chiều: • Liên quan đến lựa chọn: thời gian đăng nhập, vị trí đăng nhập,… • Các tài nguyên sử dụng trình đơn vị thời gian: chiều dài phiên giao dịch, số thông điệp gửi mạng đơn vị thời gian,… • Chuỗi biểu diễn hành động Sau khởi tạo liệu sở, q trình phát xâm nhập bắt đầu Phát động lúc giống phát tĩnh chúng kiểm sốt hành vi cách so sánh mô tả đặc điểm hành vi với mô tả ban đầu của hành vi mong đợi (chính liệu sở), để tìm khác Khi hệ thống phát xâm nhập thực hiện, xem xét kiện liên quan đến thực thể hành động thuộc tính của thực thể Chúng xây dựng thêm liệu Các hệ thống phát xâm nhập hệ trước phải phụ thuộc vào ghi kiểm tra (audit record) để bắt giữ kiện hành động liên quan Các hệ thống sau ghi lại sở liệu đặc tả cho phát xâm nhập Một số hệ thống hoạt động với thời gian thực, gần thời gian thực, quan sát trực tiếp kiện chúng xảy đợi hệ điều hành tạo ghi mơ tả kiện Khó khăn hệ thống phát động chúng phải xây dựng liệu sở cách xác, sau nhận dạng hành vi sai trái nhờ liệu Các liệu sở xây dựng nhờ việc giả chạy hệ thống quan sát hành vi người dùng thông thường qua thời gian dài 1.4.3 Phát thông qua Protocol Tương tự việc phát dựa dấu hiệu, thực phân tích theo chiều sâu của giao thức xác định cụ thể gói tin Các hệ thống IDS/IPS khác dựa vào phát xâm nhập trái phép hành động dị thường Q trình phát mô tả yếu tố tảng sau: • Thu thập thơng tin: Kiểm tra tất gói tin mạng • Sự phân tích : Phân tích tất gói tin thu thập biết hành động cơng • Cảnh báo : hành động cảnh báo cho cơng phân tích CHƯƠNG 2: TỔNG QUAN VỀ SNORT3- IDS/IPS MÃ NGUỒN MỞ CÓ BẢN CẬP NHẬT MỚI 2.1 Giới thiệu snort snort3 Snort phần mềm IDS phát triển Martin Roesh dạng mã nguồn mở Snort ban đầu xây dựng Unix sau phát triển sang tảng khác Snort đánh giá cao khả phát xâm nhập Tuy snort miễn phí lại có nhiều tính tuyệt vời Với kiến trúc kiểu module, người dùng tự tăng cường tính cho hệ thống Snort của Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, Solaris … Bên cạnh việc hoạt động ứng dụng bắt gói tin thơng thường, Snort cịn cấu hình để chạy NIDS Snort3 cập nhật của snort Bản cập nhật 3.1 kèm với số giải pháp tin tức cho nhánh 3.x Snort bảo vệ hệ thống của bạn để ngăn chặn xâm nhập kiểm tra bảo mật hệ thống theo cách tốt hơn, nhanh hơn, hiệu với số tính Với nó, bạn ngăn chặn tất lưu lượng truy cập khơng mong muốn đó, bao gồm thư rác, phần mềm độc hại công lừa đảo Trong số điểm bật của Snort 3.1 Có hỗ trợ cho nhiều luồng xử lý gói, hỗ trợ quy tắc đệm dính, khả tự động phát dịch vụ cho cấu hình khơng cổng, hỗ trợ cấu hình chia sẻ bảng thuộc tính, hỗ trợ thành phần cắm cấu hình đơn giản linh hoạt Snort kèm với hỗ trợ đa tảng tốt hơn, cách cho phép người dùng chạy nhiều mơi trường hệ điều hành Phiên bổ sung nhiều cải tiến cho khả kiểm tra HTTP / phát phần mềm mạng, truy cập vào 200 plugin, khả tự động tạo tài liệu tham khảo, khả tạm dừng tiếp tục lệnh, hỗ trợ tận dụng CPU đa lõi, v.v Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn • Module giải mã gói tin: Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống Mỗi gói tin sau giải đưa tiếp vào module tiền xử lý • Module tiền xử lý: - Kết hợp lại gói tin: Khi liệu lớn gửi đi, thơng tin khơng đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort hiểu phiên làm việc khác - Giải mã chuẩn hóa giao thức (decode/normalize): cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Ví dụ: Web server nhận nhiều dạng URL: URL viết dạng hexa/unicode hay URL chấp nhận dấu / hay \ Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số Module tiền xử lý của Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thông tin đầu vào - Phát xâm nhập bất thường (nonrule/anormal): plugin dạng thường để xử lý với xâm nhập khơng thể khó phát luật thơng thường Phiển của Snort có kèm plugin giúp phát xâm nhập bất thường portscan bo (backoffice) Portscan dùng để đưa cảnh báo kẻ công thực quét cổng để tìm lỗ hổng Bo dùng để đưa cảnh báo hệ thống nhiễm trojan backoffice • Module phát hiện: Đây module quan trọng của Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay khơng • Module log cảnh báo: Tùy thuộc vào module phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log hay đưa cảnh báo Các file log file liệu ghi nhiều định dạng khác tcpdump • Module kết xuất thông tin: Module thực thao tác khác tùy thuộc vào việc cấu hình lưu kết xuất 2.2 Mợt số tính của snort3 • Hỗ trợ xử lý gói tin với nhiều luồng, Snort phân tích lưu lượng với luồng Điều làm tăng hiệu suất theo cấp số nhân nhờ vào thực tế vi xử lý ngày có lõi chí nhiều • Bảng thuộc tính cấu hình chia sẻ • Lập trình quy tắc dễ dàng nhiều so với trước • Tự động phát dịch vụ mà không cần phải định cấu hình cụ thể cổng • Cho phép tự tạo tài liệu tham khảo • Hỗ trợ đa tảng tốt hệ điều hành khác CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM 3.1 Mơ hình thử nghiệm - Mơi trường giả lập: VMware Workstation Pro 16 - Thiết lập cấu hình: Attacker: Kali Linux 2020.4 – Vmnet 11: 192.168.11.129 Snort IDS/IPS: CentOS – Vmnet 11: 192.168.11.128/24 Vmnet 12: 192.168.10.129/24 WEB Server: CentOS – Vmnet 12: 192.168.10.128 3.2Thử nghiệm phát ngăn chặn của snort Ping Of Death attack prevent : • Thêm rule phát Ping Of Dead vào file: /etc/snort/rules/local.rules : alert icmp any any -> $HOME_NET any (msg:" >Phat hien Ping Of Dead !"; dsize:>10000; gid:1000001; sid:1000001;rev:1;)  Phía Attacker gửi gói tin icmp có kích thước lớn 50000 (Ping Of Dead Attack Prevent): # Ping 192.168.10.128 -s 50000 • Chạy snort IDS để kiểm tra Ping Of Dead Attack: snort -c /etc/snort/snort.conf -i eth1:eth2 -A console Chương trình bắt gói tin từ attacker gửi vào web server • Thêm rule ngăn chặn công Ping Of Dead: drop icmp any any -> $HOME_NET any (msg:" >Da chan Ping Of Dead !"; dsize:>10000; gid:1000002; sid:1000002;rev:1;) • Chạy snort IPS để kiểm tra chặn Ping Of Dead: # snort -i ens37:ens33 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q Chương trình chặn gói tin từ attacker gửi sang server Máy attacker hiển thị ping đến web server bị chặn KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Qua nghiên cứu triển khai hệ thống IDS/IPS, em biết tình hình an ninh mạng yêu cầu cần thiết để thiết lập trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm phương pháp phát cách phịng chống cơng hệ thống Snort IDS/IPS thơng minh vừa có khả phát hiện, vừa có khả ngăn chặn xâm nhập đến hệ thống với luật phong phú đa dạng, dễ xây dựng quản lý, phù hợp với nhiều hệ thống tổ chức, doanh nghiệp Nhóm xác định khó khăn hướng giải triển khai hệ thống phòng chống xâm nhập hệ thống mạng thực tế Sau hoàn thành báo cáo, chúng em tiếp tục nghiên cứu chi tiết cách cơng mạng cách có hệ thống (hoặc cách tồn diện hơn), để tùy chỉnh sách riêng biệt cho hệ thống, biện pháp bảo đảm an ninh mạng có hiệu cao Chúng em hy vọng tương lai có đủ kiến thức để xây dựng, phát triển phần mềm IDS/IPS dựa mã nguồn mở tương tự tốt Snort TÀI LIỆU THAM KHẢO [1] https://quantrimang.com/he-thong-phat-hien-xam-pham-ids-phan-1-37334 [2] https://quantrimang.com/ips-he-thong-ngan-ngua-xam-nhap-tuong-lua-the-heke-tiep-6377 [3] https://viblo.asia/p/network-tim-hieu-co-che-cach-hoat-dong-cua-ids-phan-2pDljMbe5RVZn ... mật truyền thống CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo... trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm phương pháp phát cách phịng chống cơng hệ thống Snort IDS/IPS. .. có có mức độ đánh giá an toàn bảo mật hệ thống thơng tin Để đảm bảo tính an tồn bảo mật cho hệ thống cần phải có phối hợp yếu tố phần cứng, phần mềm người Hệ thống quản lý an tồn thơng tin Việt