lOMoARcPSD|15978022 Đ¾I HàC ĐÀ NẴNG TR¯àNG Đ¾I HàC KINH T¾ øù Báo cáo: Chủ đề: Tìm hiểu hệ thống phát xâm nhập Snort: cài đặt, cấu hình, tạo luật; xây dựng 3-5 kịch phát công GVHD: Trần Thị Thu Thảo Nhóm thực hiện: 4Z.SS Tên thành viên: Lê Thị Diệu Huyền Phan Thị Minh Hạnh Phạm Băng Băng Nguyễn Thục Đoan lOMoARcPSD|15978022 Mục lục Tìm hiểu lý thuy¿t I Hệ thống phát xâm nhập (Intrusion Detect System - IDS) Gißi thiệu Snort a/ Snort gì? b/ Luật Snort II Chuẩn bß III Cấu hình dßch vụ Snort Bắt gói tin: V B°ßc 1: Xem số hiệu card m¿ng để chán bắt gói tin B°ßc 2: Hiển thß thêm header gói tin B°ßc 3: Bắt gói tin l°u: B°ßc 4: L°u gói liệu: 10 T¿o luật: 11 T¿o luật cảnh báo bên thực PING đ¿n máy chủ Snort 11 VI T¿o luật cảnh báo bên thực PING size có kích th°ßc lßn đ¿n máy chủ Snort 12 T¿o luật cảnh báo bên thực NMAP đ¿n máy chủ Snort 13 Thi¿t lập luật cảnh báo truy cập Web: 16 lOMoARcPSD|15978022 Báo cáo Snort I Tìm hiểu lý thuy¿t Hệ thống phát xâm nhập (Intrusion Detect System - IDS) - Hệ thống phát xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng mức độ cao h¡n IDS cung cấp thông tin công vào hệ thống mạng Tuy nhiên IDS không tự động cấm ngăn chặn công Một tính hệ thống IDS cung cấp thơng tin nhận biết hành động khơng bình th°ßng đ°a báo cảnh thơng báo cho quản trị viên mạng khóa kết nối cơng Thêm vào cơng cụ IDS phân biệt công từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) Chức IDS: - Chức quan trọng nhất: giám sát -cảnh báo - bảo vệ: ● Giám sát: l°u l°ợng mạng + hoạt động khả nghi ● Cảnh báo: báo cáo tình trạng mạng cho hệ thống + nhà quản trị ● Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại - Chức má rộng: ● Phân biệt công từ từ bên ngồi: phân biệt đ°ợc đâu truy cập hợp lệ (hoặc không hợp lệ) từ bên đâu công từ bên ● Phát hiện: dựa vào so sánh l°u l°ợng mạng với baseline, IDS phát dấu hiệu bất th°ßng đ°a cảnh báo bảo vệ ban đầu cho hệ thống - Gißi thiệu Snort a/ Snort gì? - Snort hệ thống phịng chống phát xâm nhập dựa mạng (IDS/IPS) mã nguồn má đ°ợc phát triển bái Sourcefire Kết hợp việc kiểm tra dấu hiệu, giao thức dấu hiệu bất th°ßng, Snort đ°ợc triển khai rộng khắp toàn giới Với hàng triệu l°ợt download h¡n 400.000 l°ợt ng°ßi dùng đăng ký, Snort trá thành tiêu chuẩn hệ thống phòng chống phát xâm nhập - Snort chạy nhiều tảng hệ điều hành khác Snort chạy tảng x86 nh° GNU/Linux, FreeBSD, NetBSD Windows lOMoARcPSD|15978022 Ngồi cịn hỗ trợ kiến trúc Sparc với tảng hệ điều hành nh°: Solaris, MacOS-X, HP-UX… Kiến trúc Snort gồm phần c¡ sau: ● ● ● ● The sniffer (Packet Decoder) The Preprocessor The Detetion Engine The Output - Hình d°ới cung cấp nhìn dễ hiểu kiến trúc quy trình xử lý Snort: ● Packet đ°ợc đ°a vào từ trục mạng ● Packet đ°ợc gửi thơng qua Preprocessor để xác định xem có phải packet hay khơng có giữ lại hay không (preprocessor) ● Tiếp đến packet đ°ợc xếp theo theo loại, tùy theo việc có phát đ°ợc xâm nhập hay khơng mà gói tin đ°ợc bỏ qua để l°u thông tiếp đ°ợc đ°a vào Log cảnh báo để xử lý ● Cuối nhiệm vụ ng°ßi quản trị xác định xem làm với (ghi lại l°u vào c¡ sá liệu) b/ Luật Snort Để Snort hoạt động cách hiệu yếu tố quan trọng cần phải ý luật viết cho snort Khi snort hoạt động, đọc tập luật, giám sát luồng liệu chạy qua hệ thống phản ứng có luồng liệu phù hợp với tập luật Cụ thể h¡n, tập luật đ°ợc tạo để giám sát nỗ lực quét cổng (scanning), tìm dấu vết (footprinting), nhiều ph°¡ng pháp khác mà hacker dùng để tìm cách chiếm quyền hệ lOMoARcPSD|15978022 thống Tập luật đ°ợc tạo bái ng°ßi quản trị ng°ßi quản trị truy cập đến trang chủ snort là: http://www.snort.org để lấy về.Thay phải phụ thuộc vào nhà cung cấp, c¡ quan bên ngoài, phải cập nhật có cơng hay ph°¡ng pháp khai thác lỗ hổng đ°ợc phát Ng°ßi quản trị viết riêng luật dành cho hệ thống nhìn thấy l°u l°ợng mạng bất th°ßng so sánh với luật đ°ợc cộng đồng phát triển ¯u điểm việc tự viết luật tùy biến cập nhật cách nhanh chóng hệ thống mạng có bất th°ßng II Chuẩn bß Thực hành hệ điều hành Windows Tải file: - Snort v2.9.18.1 Installer.exe (hoặc version nhất) trang web https://snort.org/ - WinPcap v4.1.3.exe trang web https://www.winpcap.org/install/default.htm - Tải luật Snort Snort v2.9.18.1 https://snort.org/downloads#rules thay vào file preproc_rules rules có sẵn Snort Cài đặt Snort vào th° mục C:\SNORT III Cấu hình dßch vụ Snort Má tập tin C:\Snort\etc\snort.conf Chỉnh sửa lại cấu hình IV Xem thơng tin dßch vụ Snort Má cửa sổ lệnh cmd chuyển đổi th° mục hành cd C:\Snort\bin Xem th° mục cài đặt: C:\Snort\bin>dir lOMoARcPSD|15978022 Xem nội dung tập tin cấu hình: C:\Snort\bin>type C:\Snort\etc\snort.conf V Bắt gói tin: B°ßc 1: Xem số hiệu card m¿ng để chán bắt gói tin Để tiến hành sniffer ta cần chọn card mạng để snort đặt vào chế độ promicous Nếu máy tính có nhiều card sử lệnh snort –W để xác định card mạng: C:\Snort\bin>snort –W lOMoARcPSD|15978022 chọn card số Vì ta thấy card mạng số hoạt động Để xem card mạng hoạt động má cmd gõ lệnh snort -v -i [số card mạng mở] lOMoARcPSD|15978022 ● Xem thông tin truyền ứng dụng: Gõ lệnh: C:\Snort\bin\> snort -vd -i [số card mạng mở] lOMoARcPSD|15978022 B°ßc 2: Hiển thß thêm header gói tin Gõ lệnh C:\Snort\bin> snort -dev -i [số card mạng mở] chọn card số B°ßc 3: Bắt gói tin l°u: Tiến hành bắt gói tin l°u vào tập tin th° mục C:\Snort\log C:\Snort\bin>snort -i [số card mạng] -s -l c:\Snort\log Nhấn Ctrl+C để dừng chọn card số lOMoARcPSD|15978022 B°ßc 4: L°u gói liệu: L°u gói liệu bắt đ°ợc vào file log để xem lệnh (dòng lệnh ghi log thông tin liệu tầng Datalink TCP/IP) C:\Snort\bin>snort -dev -i [số card m¿ng] -l c:\snort\log dùng card số Nhấn Ctrl+C để dừng 10 lOMoARcPSD|15978022 VI T¿o luật: T¿o luật cảnh báo bên thực PING đ¿n máy chủ Snort ● B°ớc 1: Tạo tập tin luật C:\Snort\rules\myrules.rules: alert icmp any any -> any any (msg:"Phat hien tham ICMP"; GID:1; sid:10000001; rev:001; classtype:icmp-event;) ● B°ớc 2: Thêm luật myrules.rules vào step cấu hình Snort ● B°ớc 3: Tại máy Snort, thực lệnh để phát gói tin đến ghi kết phát vào tập tin nhật ký alert.ids C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng] chọn card mạng số Ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i 11 lOMoARcPSD|15978022  B°ớc 4: Bắt đầu ping từ máy khác: L°u ý: dùng máy ảo máy phải ping thông đ°ợc với nhau, phải tắt t°ßng lửa máy Snort ping thơng đ°ợc Tại máy thực công gõ lệnh: ping - t Ví dụ: ping -t 192.168.1.3 ● B°ớc 5: Xem nội dung tập tin cảnh báo Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids T¿o luật cảnh báo bên ngồi thực PING size có kích th°ßc lßn đ¿n máy chủ Snort ● B°ớc 1: Má file C:\Snort\rules\myruls.rules, thêm các luật sau: alert icmp $HOME_NET any -> any any (msg: 50; sid: 2;) ● B°ớc 2: Tại máy Snort thực lệnh để khái động lại chế độ IDS C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng] ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i ● B°ớc 3: Tại máy ảo win thực lệnh: 12 lOMoARcPSD|15978022 ping –l [kích thước gói tin] –f [ip máy Snort] –t Ví dụ: ping -l 1200 -f 192.168.1.3 -t ● B°ớc 4: Xem nội dung tập tin cảnh báo Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids T¿o luật cảnh báo bên thực NMAP đ¿n máy chủ Snort Chuẩn bị: máy tính cài đặt Nmap https://nmap.org/download.html ● B°ớc 1: Thêm luật Má file C:\Snort\rules\myruls.rules, thêm các luật sau: 13 lOMoARcPSD|15978022 alert tcp any any -> any 80 (msg: "Identify NMAP TCP Scan [nmap sT -p80 SnortIPAddr]";sid:10000005; rev:2; ) alert tcp any any -> any 80 (msg:"Nmap XMAS Tree Scan [nmap -sX p80 SnortIPAddr]"; flags:FPU; sid:1000006; rev:1; ) alert tcp any any -> any 80 (msg:"Nmap FIN Scan [nmap -sF -p80 SnortIPAddr]"; flags:F; sid:1000008; rev:1;) alert tcp any any -> any any (msg:”TCP Port Scanning”; detection_filter:track by_src, count 30, seconds 60; sid:1000006; rev:2;) alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "Detect NMAP TCP pings"; sid:97635; rev:1;) ● B°ớc 2: Tại máy Snort thực lệnh để khái động lại chế độ IDS C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng] ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i ● - B°ớc 3: Từ máy khác cài đặt nmap thực hiện: Má cmd Chuyển đổi th° mục hành cd C:\Snort\bin Lần l°ợt gõ lệnh nmap -sT -p80 nmap -sX -p80 nmap -sF -p80 Ví dụ: nmap -sT -p80 192.168.1.7 14 lOMoARcPSD|15978022 ● B°ớc 4: Xem nội dung tập tin cảnh báo Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids 15 lOMoARcPSD|15978022 Thi¿t lập luật cảnh báo truy cập Web: ● B°ớc 1: Thêm luật Má file C:\Snort\rules\myruls.rules, thêm các luật sau: alert tcp any any -> any any (content: "www.youtube.com"; msg:"Ban moi truy cap youtube.com"; sid: 100000; rev: 1;) ● B°ớc 2: Tại máy Snort thực lệnh để khái động lại chế độ IDS C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng] 16 lOMoARcPSD|15978022 ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i ● B°ớc 3: Tại máy Snort/ máy ảo (miễn mạng) truy cập www.youtube.com ● B°ớc 4: Xem nội dung tập tin cảnh báo Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids 17 ... máy chủ Snort 13 Thi¿t lập luật cảnh báo truy cập Web: 16 lOMoARcPSD| 159 78022 Báo cáo Snort I Tìm hiểu lý thuy¿t Hệ thống phát xâm nhập (Intrusion Detect System - IDS) - Hệ thống phát xâm nhập cung...lOMoARcPSD| 159 78022 Mục lục Tìm hiểu lý thuy¿t I Hệ thống phát xâm nhập (Intrusion Detect System - IDS) Gißi thiệu Snort a/ Snort gì? b/ Luật Snort II Chuẩn bß III Cấu hình dßch vụ Snort Bắt gói... C: Snort bin> snort -dve -l C: Snort log -c C: Snort etc snort. conf -i [số card m¿ng] ví dụ: C: Snort bin> snort -dve -l C: Snort log -c C: Snort etc snort. conf -i ● - B°ớc 3: Từ máy khác cài