HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN HỌC PHẦN: AN TỒN MẠNG NÂNG CAO BÀI THỰC HÀNH 2: Triển khai hệ thống honeypot kết hợp IDS Giảng viên hướng dẫn: Đặng Minh Tuấn Sinh viên thực hiện: Vũ Viết Duy Mã sinh viên: B18DCAT043 Lớp: D18DCAT03-B Nhóm mơn học: 03 Hà Nội, 2022 An tồn mạng nâng cao Mục Lục CÀI ĐẶT, CẤU HÌNH HONEYD TRÊN UBUNTU VÀ PHÁT HIỆN TẤN CÔNG MẠNG BẰNG HONEYD Chuẩn bị môi trường Các bước thực CÀI ĐẶT VÀ CẤU HÌNH SNORT 10 Chuẩn bị môi trường 10 Các bước thực 11 Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao CÀI ĐẶT, CẤU HÌNH HONEYD TRÊN UBUNTU VÀ PHÁT HIỆN TẤN CƠNG MẠNG BẰNG HONEYD Chuẩn bị mơi trường - Chuẩn bị đối tượng: o Máy ảo hệ điều hành Linux để công o Máy ảo hệ điều hành Ubuntu để cài Honeyd - Mơ hình mạng: Các bước thực - Cài đặt honeyd ubuntu: o Tải git client máy: $ sudo apt-get install git Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao o Tải mã nguồn: $ git clone https://github.com/DataSoft/Honeyd ~/Desktop/honeyd o Cài đặt gói thư viện yêu cầu: Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao $ sudo apt-get install libevent-dev libdumbnet-dev libpcap-dev libpcre3-dev libedit-dev bison flex libtool automake - Tiến hành cài đặt: o $ cd ~/Desktop/honeyd Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao o $ /autogen.sh o $ /configure Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao o $ make o $ sudo make install Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao - Cấu hình Honeyd: o Thiết lập file cấu hình honeyd.conf $ cd ~/Desktop $ nano honeyd.conf Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao - Sử dụng honeyd để phát công: o Khởi động Honeyd: Tại máy chủ honeyd gõ lệnh $ sudo ~/Desktop/honeyd/honeyd -d -f ~/Desktop/honeyd.conf o Đã tạo thành công máy ảo với ip lan 192.168.11.111, 192.168.11.222 192.168.11.233 o Mở Nmap máy thật rà quét dải mạng 192.168.10.0/24 Nmap quét thấy máy ▪ máy có địa ip: 192.168.11.1 ▪ máy có địa ip: 192.168.11.111 ▪ máy có địa ip: 192.168.11.222 ▪ máy có địa ip: 192.168.11.333 o Mở máy chủ Honeyd Hệ thống honeyd phát mạng bị rà qt => tìm biện pháp đối phó Vũ Viết Duy-B18DCAT043 An toàn mạng nâng cao CÀI ĐẶT VÀ CẤU HÌNH SNORT Chuẩn bị mơi trường - Chuẩn bị đối tượng: o Máy thật Windows 11 o Máy ảo Kali Linux cài snort - Mơ hình mạng: Vũ Viết Duy-B18DCAT043 10 An toàn mạng nâng cao Các bước thực - Cài đặt Snort ubuntu: o Cài đặt gói thư viện cần thiết: sudo apt install -y gcc libpcre3-dev zlib1g-dev libpcap-dev openssl libssl-dev libnghttp2-dev libdumbnet-dev bison flex libdnet o Tạo thư mục snort Desktop để chứa mã nguồn: mkdir ~/Desktop/snort cd ~/Desktop/snort/ o Dowload module daq: wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz Vũ Viết Duy-B18DCAT043 11 An toàn mạng nâng cao o Giải nén module vừa tải được: tar -xvzf daq-2.0.6.tar.gz cd daq-2.0.6 o Cài đặt module: /configure && make && sudo make install Vũ Viết Duy-B18DCAT043 12 An toàn mạng nâng cao o Dowload source snort thư mục snort: wget https://www.snort.org/downloads/snort/snort-2.9.11.1.tar.gz Vũ Viết Duy-B18DCAT043 13 An toàn mạng nâng cao o Giải nén file vừa tải về: tar -xvzf snort-2.9.11.1.tar.gz Vũ Viết Duy-B18DCAT043 14 An toàn mạng nâng cao o Cài đặt snort: cd snort-2.9.11.1/ /configure enable-sourcefire && make && sudo make install Vũ Viết Duy-B18DCAT043 15 An toàn mạng nâng cao - Cài đặt, thử nghiệm luật ping xem log o Khởi tạo rule với alert có gói tin ping (ICMP) đến máy chạy snort ▪ Tạo file snort.conf touch ~/Desktop/snort.conf ▪ Copy rule vào file snort.conf alert icmp any any -> 192.168.10.209 any (msg:”ICMP test”; sid:1000001; rev:1;) ▪ Tạo thư mục chưa file log mkdir ~/Desktop/log ▪ Khởi động snort với rule vừa tạo sudo snort -dev -p -c ~/Desktop/snort.conf -l ~/Desktop/log -K ascii -k none Vũ Viết Duy-B18DCAT043 16 An toàn mạng nâng cao o Ping tử máy thật sang máy ảo ubuntu chạy snort, sử dụng tham số t: Ping 192.168.11.147 Vũ Viết Duy-B18DCAT043 17 An toàn mạng nâng cao o Trên hình console thấy xuất gói tin ping: o Tiến hành phân tích alert: cat ~/Desktop/log/alert - Tạo luật cảnh báo có cơng icmp flood o Viết thêm luật cảnh báo ping với gói tin > 500 vào file snort.conf: alert icmp any any -> any any (msg:”ping voi goi tin lon”; dsize:>500; sid:1000001; rev:1;) Vũ Viết Duy-B18DCAT043 18 An toàn mạng nâng cao o Khởi động lại snort: sudo snort -dev -p -c ~/Desktop/snort.conf -l ~/Desktop/log -K ascii -k none o Tiến hành thử nghiệm ping với gói tin lớn vào máy honeypot: o Từ máy thật, tiến hành ping vào máy honeypot với kích thước gói tin >500 ping 192.168.11.111 -l 1000 –t o Tiến hành phân tích log: cat ~/Desktop/log/alert Vũ Viết Duy-B18DCAT043 19 An tồn mạng nâng cao Phát ping vào máy honeypot thành công Vũ Viết Duy-B18DCAT043 20 ... ~/Desktop/honeyd.conf o Đã tạo thành công máy ảo với ip lan 1 92. 168.11.111, 1 92. 168.11 .22 2 1 92. 168.11 .23 3 o Mở Nmap máy thật rà quét dải mạng 1 92. 168.10.0 /24 Nmap quét thấy máy ▪ máy có địa ip: 1 92. 168.11.1 ▪... 1 92. 168.11.111 ▪ máy có địa ip: 1 92. 168.11 .22 2 ▪ máy có địa ip: 1 92. 168.11.333 o Mở máy chủ Honeyd Hệ thống honeyd phát mạng bị rà qt => tìm biện pháp đối phó Vũ Viết Duy-B18DCAT043 An toàn mạng. .. Duy-B18DCAT043 12 An toàn mạng nâng cao o Dowload source snort thư mục snort: wget https://www.snort.org/downloads/snort/snort -2. 9.11.1.tar.gz Vũ Viết Duy-B18DCAT043 13 An toàn mạng nâng cao o Giải