TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA ĐIỆN – ĐIỆN TỬ LUẬN VĂN TỐT NGHIỆP ĐỀ TÀI : XÂY DỰNG HỆ THỐNG SNORT IDS-IPS TRÊN CENTOS Giảng viên hướng dẫn : PGS.TS TRẦN CÔNG HÙNG Sinh viên thực : NGUYỄN THANH NHÀN Lớp : 08DD2D Khóa : 12 TP Hồ Chí Minh, tháng năm 2013 LỜI CẢM ƠN Trong suốt thời gian học tập trường Đại học Tôn Đức Thắng sở thành phố Hồ Chí Minh, nhờ quan tâm giúp đỡ tận tình quý thầy cơ, bạn sinh viên, em có kiến thức, kinh nghiệm lĩnh vực điện tử-viễn thơng áp dụng vào thực tiễn Có ngày hơm nhờ dạy dỗ, nhiệt tình giảng dạy điều em chưa biết, chưa hiểu rõ giảng đường học Và em xin gửi lời cảm ơn chân thành đến thầy PGS.TS.Trần Cơng Hùng, thầy giảng dạy cho chúng em kiến thức bổ ích, kinh nghiệm quý báo, tận tình hướng dẫn em suốt trình thực đề tài Em xin chân thành gửi đến quý thầy cô lời cảm ơn sâu sắc Kính chúc q thầy sức khỏe thành công công việc sống Trong trình thực đề tài, dù em cố gắng để đạt kết tốt nhất, thời gian cho phép không nhiều nên không tránh khỏi cịn có thiếu sót Em mong nhận dạy, góp ý q thầy Những lời dạy kinh nghiệm quý giá để em phát triển đề tài, nghiên cứu sâu để nắm vững triển khai thực tế MỤC LỤC Trang LỜI CẢM ƠN NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG BIỂU DANH MỤC CÁC HÌNH VẼ LỜI MỞ ĐẦU CHƯƠNG 1:TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu IDS/IPS 1.1.1 Định nghĩa 1.1.2 Sự khác IDS IPS 1.2 Phân loại IDS/IPS & phân tích ưu nhược điểm 1.2.1 Network based IDS – NIDS 1.2.2 Host based IDS – HIDS 1.2.3 IDS lai – Distributed (Hybrid) IDS 1.3 Cơ chế hoạt động hệ thống IDS/IPS 1.3.1 Mơ hình phát lạm dụng 1.3.2 Mơ hình phát bất thường 1.3.2.1 Phát tĩnh 1.3.2.2 Phát động 10 1.3.3 So sánh hai mơ hình 11 1.4 Một số sản phẩm IDS/IPS 12 CHƯƠNG 2:NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 15 2.1 Giới thiệu Snort 15 2.2 Kiến trúc Snort 15 2.2.1 Mơ đun giải mã gói tin 16 2.2.2 Mô đun tiền xử lý 17 2.2.3 Mô đun phát 19 2.2.4 Mô đun log cảnh báo 19 2.2.5 Mô đun kết xuất thông tin 19 2.3 Bộ luật Snort 20 2.3.1 Giới thiệu 20 2.3.2 Cấu trúc luật Snort 20 2.3.2.1 Phần tiêu đề 22 2.3.2.2 Các tùy chọn 26 2.4 Chế độ ngăn chặn Snort : Snort – Inline 30 2.4.1 Tích hợp khả ngăn chặn vào Snort 30 2.4.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode 31 CHƯƠNG 3: CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN CENTOS, THỬ NGHIỆM KHẢ NĂNG PHẢN ỨNG CỦA IDS 32 3.1 Quá trình cài đặt Snort -2.9.2.3 hệ thống cài đặt sẵn CentOS-6.2 32 3.2 Định nghĩa biến 37 3.2.1 Biến ipvar 37 3.2.2 Biến portvar 37 3.2.3 Biến var 38 3.3 Cấu hình Module Tiền xử lý 38 3.3.1 frag3 38 3.3.1.1 frag3_global 38 3.3.1.2 frag3_engine 39 3.3.2 stream5 40 3.3.2.1 global 40 3.3.2.2 tcp 40 3.3.2.3 udp, icmp, ip 41 3.4 Cấu hình Module Kết xuất thơng tin 42 3.4.1 alert_syslog 42 3.4.2 alert_fast 42 3.4.3 alert_full 43 3.4.4 log_tcpdump 43 3.4.5 unified2 43 3.5 Cấu hình luật sử dụng 43 3.6 Demo dạng công phổ biến kiểm tra hoạt động Snort IDS/IPS 44 3.6.1 Sử dụng giao diện BASE (Basic Analysis and Security Engine) để quản lý cảnh báo xâm nhập mạng 44 3.6.2 Hiển thị cảnh báo cửa sổ Terminal 46 3.6.2.1 Phát Ping vào hệ thống 46 3.6.2.2 Ngăn chặn Ping vào hệ thống 47 3.6.2.3 Phát truy cập web 48 3.6.2.4 Ngăn chặn truy cập web 48 3.6.2.5 Phát scan Nmap 49 3.6.2.5.1 Scan port 49 3.6.2.5.2 Scan TCP Null 50 3.6.2.5.3 Scan Xmas 50 3.6.2.5.4 Scan UDP 51 3.7 Đánh giá Demo 52 KẾT LUẬN .53 TÀI LIỆU THAM KHẢO 54 DANH MỤC CÁC TỪ VIẾT TẮT ACK Acknowledgement BASE Basic Analysis and Security Engine DIDS Distributed IDS DNS Domain Name System DoS Denial of Service FDDI Fiber Distributed Data Interface FIN Finish FTP File Transfer Protocol GUI Graphical User Interface HDLC High-level Data Link Control HIDS Host-based IDS HTTP Hyper Text Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IP Internet Protocol IPS Intrusion Prevention System NIDS Network-based IDS PF Packet Filter PPP Point-to-Point Protocol PSH Push RAM Random Access Memory RST Reset SLIP Serial Line Internet Protocol SMB Server Message Block SNMP Simple Network Management Protocol SYN Sync TCP Transport Control Protocol TTL Time To Live UDP User Datagram Protocol URG Urgent URL Uniform Resource Locator VPN Virtual Private Network DANH MỤC CÁC BẢNG BIỂU Trang Bảng 1.1: So sánh mơ hình phát 12 Bảng 2.1: Các cờ sử dụng với từ khoá flags 29 DANH MỤC CÁC HÌNH VẼ Trang Hình 1.1: Các vị trí đặt IDS mạng Hình 1.2: Mơ hình NIDS Hình 1.3: Mơ hình HIDS Hình 1.4: Mơ hình Distributed IDS Hình 1.5: Hệ thống kết hợp mơ hình phát 12 Hình 2.1: Mơ hình kiến trúc hệ thống Snort 16 Hình 2.2: Xử lý gói tin Ethernet 17 Hình 2.3: Cấu trúc luật Snort 21 Hình 2.4: Header luật Snort 21 Hình 3.1: Giao diện BASE 44 Hình 3.2: Giao diện có cảnh báo xuất BASE 45 Hình 3.3: Chi tiết cảnh báo giao thức TCP 45 Hình 3.4: Thơng tin chi tiết cảnh báo 46 Hình 3.5: Phát Ping 47 Hình 3.6: Chặn Ping 47 Hình 3.7: Phát truy cập web 48 Hình 3.8: Chặn truy cập web 49 Hình 3.9: Phát scan port 50 Hình 3.10: Phát scan TCP Null 50 Hình 3.11: Phát scan Xmas 51 Hình 3.12: Phát scan UDP 51 LỜI NĨI ĐẦU An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phịng chống cơng xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, luận văn tốt nghiệp chuyên ngành em mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt giải pháp, kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang sau trường Mặc dù cố gắng kiến thức khả nhìn nhận vấn đề cịn hạn chế nên làm khơng tránh khỏi thiếu sót, mong quan tâm góp ý thêm thầy tất bạn Để hồn thành đồ án này, em xin gửi lời cảm ơn sâu sắc tới thầy PGS.TS TRẦN CƠNG HÙNG nhiệt tình hướng dẫn, bảo cung cấp cho em nhiều kiến thức bổ ích suốt q trình làm đồ án Nhờ giúp đỡ tận tâm thầy, em hồn thành đồ án Một lần xin cảm ơn thầy nhiều ! Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: policy windows detect_anomalies overlap_limit 10 min_fragment_length 100 timeout 180 3.3.2 stream5 Tiền xử lý stream5 theo dõi phiên dùng giao thức TCP UDP Stream5 cần có thành phần cấu hình: global, TCP, UDP, ICMP, IP 3.3.2.1 global Các tùy chọn cấu hình global, tùy chọn cách dấu phẩy “,” • track_tcp : theo dõi phiên tcp, mặc định “yes” • max_tcp : giá trị phiên TCP lớn theo dõi lúc, mặc định “26214”, lớn “1048576”, nhỏ “1” • memcap : đỉnh nhớ cho việc lưu trữ gói tin TCP, mặc định 8MB, tối đa 1GB, nhỏ 32KB • track_udp : theo dõi phiên UDP, mặc định “yes” • max_udp : giá trị phiên UDP lớn theo dõi lúc, mặc định “131072”, lớn “1048576”, nhỏ “1” • track_icmp : theo dõi phiên ICMP, mặc định “no” • max_icmp : giá trị phiên ICMP lớn theo dõi lúc, mặc định “65536”, lớn “1048576”, nhỏ “1” • track_ip : theo dõi phiên IP, mặc định “no” • max_ip : giá trị IP lớn theo dõi lúc, mặc định “16348”, lớn “1048576”, nhỏ “1” • disabled: tùy chọn để tắt tiền xử lý stream5 Khi tiền xử lý stream5 tắt, có tùy chọn memcap, max tcp, max udp max icmp chấp nhận • flush_on_alert: làm tràn dịng TCP cảnh báo tạo dịng Ngồi số tùy chọn khác Sinh viên: Nguyễn Thanh Nhàn Trang 40 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng 3.3.2.2 tcp Các tùy chọn: • bind_to • timeout • policy • overlap_limit • max_window • require_3whs [] • detect_anomalies • check_session_hijacking • use_static_footprint_sizes • dont_store_large_packets • dont_reassemble_async • max_queued_bytes • max_queued_segs • small_segments ports] bytes [ignore • ports • protocol • ignore_any_rules • flush_factor 3.3.2.3 udp, icmp, ip preprocessor stream5_udp: [timeout ], [ignore_any_rules] preprocessor stream5_icmp: [timeout ] preprocessor stream5_ip: [timeout ] Sinh viên: Nguyễn Thanh Nhàn Trang 41 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Ví dụ phần cấu hình stream5 file snort.conf: preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp yes, track_icmp no preprocessor stream5_tcp: policy first, use_static_footprint_sizes preprocessor stream5_udp: ignore_any_rules 3.4 Cấu hình Module Kết xuất thơng tin Các thành phần Module Kết xuất thơng tin cấu hình theo dạng: output : Ví dụ: output log_tcpdump: tcpdump.log 3.4.1 alert_syslog Gửi cảnh báo đến syslog máy máy khác mạng Định dạng: alert_syslog: : gồm log_auth, log_authpriv, log_daemon, log_user, log_local : gồm log_alert, log_warning, log_notice, log_info : log_cons, log_ndelay, log_perror, log_pid Ví dụ: output alert_syslog: host=192.168.1.2:514, LOG_AUTH LOG_ALERT 3.4.2 alert_fast Hiển thị cảnh báo Snort theo dòng, phương pháp cảnh báo nhanh khơng cần phải in đầy đủ tiêu đề gói ghi nhật ký vào file Định dạng: output alert_fast: [ [“packet”] []] : tên log file [“packet”]: tùy chọn ghi log với đầy đủ tiêu đề gói []: giới hạn kích thước gói, mặc định 128MB Sinh viên: Nguyễn Thanh Nhàn Trang 42 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng Ví dụ: output alert_fast: alert.fast 3.4.3 alert_full Khác với alert_fast, alert_full hiển thị cảnh báo với đầy đủ tiêu đề gói, ghi cảnh báo vào thư mục log Định dạng: output alert_full: [ []] 3.4.4 log_tcpdump Ghi log file với định dạng tcpdump Định dạng: output log_tcpdump: [ []] Ví dụ: output log_tcpdump: tcpdump.log 3.4.5 unified2 Từ phiên 2.9.2.3, unified2 thay cho dạng log database unified phiên trước File log unified2 có dạng “snort.log.”, dùng barnyard2 ta đọc liệu xuất cảnh báo giao diện BASE Định dạng: output alert_unified2: filename [, ] [, nostamp] [,mpls_event_types] Ví dụ: output unified2: filename snort.log, limit 128, nostamp output alert_unified2: filename snort.alert, limit 128, nostamp output log_unified2: filename snort.log, limit 128, nostamp Ngồi cịn có dạng xuất thơng tin khác prelude, csv… 3.5 Cấu hình luật sử dụng Mặc định chạy Snort gọi tất file luật có thư mục rules khai báo snort.conf Để Snort chạy với file luật cụ thể đó, ta dùng tùy chọn: Sinh viên: Nguyễn Thanh Nhàn Trang 43 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng [ -c /path/rule_file ] Ví dụ: chạy Snort với luật áp dụng cho icmp cảnh báo console: snort -c /etc/snort/rules/icmp.rules -A console 3.6 Demo dạng công phổ biến kiểm tra hoạt động Snort IDS/IPS 3.6.1 Sử dụng giao diện BASE (Basic Analysis and Security Engine) để quản lý cảnh báo xâm nhập mạng Hình 3.1: Giao diện BASE Lúc chưa có cảnh báo Snort chưa khởi động Từ terminal ta chạy Snort với lệnh: snort -c /etc/snort/rules/local.rules Mở cửa sổ khác, chạy barnyard2 với lệnh: barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log Từ máy cơng , truy cập web Và có kết xuất BASE: Sinh viên: Nguyễn Thanh Nhàn Trang 44 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Hình 3.2: Giao diện có cảnh báo xuất BASE Chọn chi tiết phần TCP ta thấy cảnh báo: Hình 3.3: Chi tiết cảnh báo giao thức TCP Chọn ID thấy chi tiết cảnh báo: Sinh viên: Nguyễn Thanh Nhàn Trang 45 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Hình 3.4: Thơng tin chi tiết cảnh báo Như Snort hoạt động tốt với luật TCP, phát truy cập web vào hệ thống 3.6.2 Hiển thị cảnh báo cửa sổ Terminal 3.6.2.1 Phát Ping vào hệ thống + Khởi chạy Snort từ Terminal với lệnh: snort -c /etc/snort/rules/icmp.rules -A console + Từ máy công, mở Terminal chạy lệnh : ping 192.168.111.129 vào máy cài snort (lưu ý: để xem IP máy ảo ta nhập lệnh ifconfig vào terminal) Khi Snort chạy có hành động phù hợp với luật ICMP định nghĩa file icmp.rules, Snort hiển thị cảnh báo hình cửa sổ terminal: Sinh viên: Nguyễn Thanh Nhàn Trang 46 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Hình 3.5: Phát Ping 3.6.2.2 Ngăn chặn Ping vào hệ thống + Mở file rule icmp.rules: nano /etc/snort/rules/icmp.rules + Thay đổi file icmp.rules: từ khóa “alert” thành “reject” + snort -c /etc/snort/rules/icmp.rules -A console + ping 192.168.111.129 Hình 3.6: Chặn Ping Sinh viên: Nguyễn Thanh Nhàn Trang 47 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng 3.6.2.3 Phát truy cập web + snort -c /etc/snort/rules/local.rules -A console + Truy cập web Hình 3.7: Phát truy cập web 3.6.2.4 Ngăn chặn truy cập web + Mở file rule local.rules: nano /etc/snort/rules/local.rules + Thay đổi file local.rules: từ khóa “alert” thành “reject” + snort -c /etc/snort/rules/local.rules -A console + Truy cập web Sinh viên: Nguyễn Thanh Nhàn Trang 48 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Hình 3.8: Chặn truy cập web 3.6.2.5 Phát scan Nmap 3.6.2.5.1 Scan port + snort -c /etc/snort/rules/pscan.rules -A console + Từ máy công, chạy Nmap với lệnh: nmap -p -2048 192.168.111.129 Snort ghi nhận có hành vi scan port vào hệ thống đưa cảnh báo: Sinh viên: Nguyễn Thanh Nhàn Trang 49 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Cơng Hùng Hình 3.9: Phát scan port 3.6.2.5.2 Scan TCP Null + snort -c /etc/snort/rules/pscan.rules -A console + nmap -sN 192.168.111.129 Hình 3.10: Phát scan TCP Null 3.6.2.5.3 Scan Xmas + snort -c /etc/snort/rules/pscan.rules -A console Sinh viên: Nguyễn Thanh Nhàn Trang 50 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng + nmap -sX 192.168.111.129 Hình 3.11: Phát scan Xmas 3.6.2.5.4 Scan UDP + snort -c /etc/snort/rules/pscan.rules -A console + nmap -sU 192.168.111.129 Hình 3.12: Phát scan UDP Sinh viên: Nguyễn Thanh Nhàn Trang 51 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng 3.7 Đánh giá Demo Có thể thấy, hệ thống demo đơn giản với hành vi thăm dị thơng dụng, Snort nhận biết đưa cảnh báo tức thời nhờ vào rule định nghĩa Bên cạnh đó, với tùy chọn luật thêm vào, Snort ngăn chặn số hành vi xâm nhập bất hợp pháp hệ thống mạng Sinh viên: Nguyễn Thanh Nhàn Trang 52 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng KẾT LUẬN Ngày nay, với phát triển mạnh mẽ internet, hệ thống mạng ngày hoàn thiện hạn chế lỗ hổng Tuy nhiên, hacker tìm lỗ hổng hệ thống để từ cơng gây thiệt hại khơng đáng có Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với hệ thống mạng để bảo đảm tính an tồn Ngồi việc sử dụng phương pháp mã hóa để đảm bảo tính bí mật thông tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng, việc sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng cần thiết Mặc dù việc triển khai IDS cho mạng cách tồn diện có nhiều khó khăn nhiên lợi ích mà đem lại lớn Một mặt giúp hệ thống an tồn trước nguy cơng, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống có tích hợp IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng Sử dụng phần mềm Snort để giám sát hệ thống, nhờ hệ thống mạng giảm thiểu tương đối nguy công tiềm ẩn nâng cao độ an toàn Tiếp tục nghiên cứu Snort với module bổ sung, thành phần tùy chỉnh, số sản phẩm bên thứ ba, xây dựng hệ thống giám sát mạng toàn diện, với khả giám sát hoạt động mạng với hiệu tốt nhất, khả chiếm băng thông thấp nhất, ngăn chặn nguy cơng vừa bắt đầu Làm tăng độ an tồn, tin cậy hệ thống mạng Sinh viên: Nguyễn Thanh Nhàn Trang 53 Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Nguyễn Thúc Hải, 1999, Mạng máy tính hệ thống mở, NXB Giáo Dục [2] Nguyễn Phương Lan, Hồng Đức Hải, 2001, Lập trình LINUX –tập 1, NXB Giáo Dục Tiếng Anh: [3] Jacob Babbin, Simon Biles, Angela D Orebaugh, 2005, Snort Cookbook, O’Reilly, 1005 Gravenstein Highway North, Sebastopol, CA 95472 [4] Rafeeq Ur Rehman, 2003, Intrusion Detection System, Prentice Hall PTR,Upper Saddle River, New Jersey, 1st [5] Martin Roesch, Chris Green, 2003,Snort User Manual, The Snort Project Websites: [6] [7] [8] [9] http://www.snort.org http://www.server-world.info http://www.scribd.com/doc/100596827 http://blog.nielshorn.net/2010/09/snort-barnyard2-base-complete-installation/ Sinh viên: Nguyễn Thanh Nhàn Trang 54 ... nói chung an ninh mạng nói riêng vấn đề quan tâm khơng Việt Nam mà tồn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong... phát cịn tự hành động chống lại nguy theo quy định người quản trị thiết lập sẵn Sinh viên: Nguyễn Thanh Nhàn Trang Xây dựng hệ thống Snort IDS-IPS CENTOS GVHD: Trần Công Hùng Tuy vậy, khác biệt... phát xâm nhập • Hệ thống lai (Hybrid IDS – Distributed IDS): Kết hợp HIDS NIDS Sinh viên: Nguyễn Thanh Nhàn Trang Xây dựng hệ thống Snort IDS-IPS CENTOS 1.2.1 GVHD: Trần Công Hùng Network based