BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ Giảng viên hướng dẫn : Nhóm sinh viên thực : Nguyễn Ngọc Như Hằng Nguyễn Quỳnh MSSV: 070073 Phù Sử Hùng MSSV: 070156 Lớp : VT071 Tháng 12 /năm 2010 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP Mỗi sinh viên phải viết riêng báo cáo Phiếu phải dán trang báo cáo Họ tên sinh viên/ nhóm sinh viên giao đề tài (sĩ số nhóm: ) (1) MSSV: khóa: (2) MSSV: khóa: (3) MSSV: khóa: Chuyên ngành: Mạng máy tính Khoa: Khoa Học - Công Nghệ Tên đề tài: Xây dựng hệ thống IDS – Snort hệ điều hành Linux Các liệu ban đầu: Snort xây dựng với mục đích phát xâm nhập vào hệ thống Snort có khả phát số lượng lớn kiểu thăm dò, xâm nhập khác : buffer overflow, ICMP, virus…Snort phần mềm open source cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập Các yêu cầu đặc biệt: Hiểu khái niệm, cách hoạt động IDS - Snort Cài đặt, cấu hình Snort hệ điều hành Ubuntu Kiểm chứng kết đạt sau cài đặt thành công LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Kết tối thiểu phải có: Nắm rõ khái niệm IDS Snort Cài đặt, cấu hình thành công Snort hệ điều hành Ubuntu Ngày giao đề tài:…… /………./………Ngày nộp báo cáo: ……/…………/ Họ tên GV hướng dẫn 1: Nguyễn Ngọc Như Hằng…….………Chữ ký: Họ tên GV hướng dẫn 2: ………………… ………………… Chữ ký: Ngày … tháng … năm… LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trích Yếu Intrusion Detection System (IDS) hệ thống phịng chống phát xâm nhập thơng minh IDS phát tín hiệu, biểu hiện, hành vi người xâm nhập trước gây thiệt hại đến hệ thống mạng làm cho dịch vụ mạng ngừng hoạt động hay liệu Từ người quản trị mạng ngăn chặn thông qua biện pháp kỹ thuật khác Đề tài với mục tiêu xây đựng hệ thống Snort – IDS hệ điều hành Ubuntu, hệ thống với mục đích phát phịng chống hành động cơng thâm nhập mạng Do đề tài tập trung nghiên cứu vào phương thức hoạt động vận hành hệ thống Snort – IDS đồng thời đưa cách cài đặt thiết lập hệ thống IDS hồn chỉnh hệ điều hành Ubuntu Bên cạnh đưa giải pháp nhằm tăng cường khả hoạt động vận hành hệ thống thông qua việc sử dụng barnyard để tăng cường khả ghi lại log hệ thống oinkmaster để tự động liên tục cập nhật rule Ngoài việc sử dụng hệ thống rule có sẵn, đề tài tìm hiểu cách tạo rule theo yêu cầu nhằm giám sát kiểm tra luồng thông tin cụ thể mà hệ thống rule snort đáp ứng Thông qua việc nghiên cứu, đề tài chúng tơi đưa nhìn tổng quan hệ thống Host-based IDS Network-based IDS, khác giống hai hệ thống từ ứng dụng mơ hình mạng thực tế LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mục Lục Trích Yếu iv Mục Lục .v Lời Cảm Ơn vii Nhận Xét Của Người Hướng Dẫn viii Nhập Đề .9 Nguyên Lý Hoạt Động Của Snort 10 1.1 Quá trình khởi động snort 10 1.2 Xử lý gói tin snort 11 1.3 Detection Engine 15 1.4 Khảo sát Detection Engine 18 1.5 Snort Inline Mode 20 Preprocessor 22 2.1 Preprocessor frag3 23 2.2 Preprocessor stream5 25 Hệ Thống Rule Trong Snort 31 3.1 Tổng quan rule snort 31 3.2 Cấu trúc rule 31 3.3 Thứ tự rule rule base snort 34 3.4 Oinkmaster 34 Snort Output Plug-in 35 4.1 Output log alertvới tốc độ nhanh 35 4.2 Output log alert vào database 38 4.3 Output log alert vào Unix syslog 38 4.4 Output log alert vào file cụ thể 39 4.5 Output log alert vào file CSV 40 4.6 Output log alert nhiều dạng khác 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Network-Based Host-Based IDS 41 5.1 Nework-Based IDS 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 5.2 Host-Based IDS 43 5.3 Triển Khai IDS Trong Mạng 44 Các Hình Thức Khai Thác Và Tấn Công Hệ Thống Phổ Biến 47 6.1 Port scan 47 6.2 DOS (Denial of Services) 50 6.3 ARP Spoofing 53 Cài Đặt Snort 54 7.1 Một số tùy chọn biên dịch snort 54 7.2 Cấu trúc database snort 55 7.3 Cài đặt Snort với Snort Report (Single Snort Sensor) 56 7.4 Cài đặt Snort với BASE (Single Snort Sensor) 62 7.5 Cài đặt snort với BASE (Multiple SnortSensors) 72 7.6 Cài đặt Snort inline 81 Lab Kiểm Tra Hoạt Động Của Snort 91 8.1 Rule để kiểm tra hoạt động snort 91 8.2 Rule phát truy cập web 92 8.3 Phát portscan Snort 93 8.4 Phát DOS với snort 94 8.5 Phát ARP attack 96 Kết Luận 101 Tài Liệu Tham Khảo 102 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lời Cảm Ơn Chúng xin chân thành cảm ơn cô Nguyễn Ngọc Như Hằng - giảng viên trực tiếp hướng dẫn nhóm chúng tơi thực khóa luận tốt nghiệp này, tận tình hướng dẫn hỗ trợ giúp chúng tơi giải khó khăn q trình nghiên cứu đề tài Chúng chân thành cảm ơn nhiệt tình cơ, giúp giải đáp thắc mắc cung cấp tài liệu cần thiết cho trình nghiên cứu đề tài Một lần xin chân thành cảm ơn cô Chúng xin gửi lời cảm ơn đến giảng viên ngành Mạng Máy Tính trường đại học Hoa Sen tận tình giảng dạy tạo điều kiện cho học tập, nghiên cứu Để từ chúng tơi có tảng kiến thức vững làm tiền đề giúp cho thực tốt đề tài tốt nghiệp LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com vii Xây dựng hệ thống IDS – Snort hệ điều hành Linux LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Ghi nhận base Nội dung ghi nhận Kết client LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lab Kiểm Tra Hoạt Động Của Snort 8.1 Rule để kiểm tra hoạt động snort Sau trình cài đặt hồn tất IDS Snort cơng việc cần làm kiểm tra hoạt động Snort thông qua rule thử nghiệm Ở nhóm chúng tơi tạo rule file local.rules sau để kiểm tra Snort alert tcp any any any 80 (msg:“Testing Web Act”;sid:100001;) Rule có ý nghĩa yêu cầu Snort báo động bắt gói tin có IP nguồn IP đích bất kỳ, port nguồn port đích có port port port 80 (http) Sau dùng máy mạng để truy cập vào web server ta kết sau: Ghi nhận kết từ BASE LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Như Snort phát báo động theo yêu cầu đặt 8.2 Rule phát truy cập web Rule snort dùng việc quản lý việc truy cập vào website có nội dung khơng lành mạnh phát truy nhập đến trang web không phép Ở nhóm chúng tơi dùng trang web http://tuoitre.vn để thử nghiệm rule sau: alert tcp 172.16.1.0/24 any -> any 80 (msg:“Co truy nhap vao web Tuoi Tre” ;content:“.tuoitre.vn”;nocase;http_header;sid:1000002;) Rule có ý nghĩa báo động có truy cập web (http) có nội dung “.tuoitre.vn” Ở dùng “.tuoitre.vn” nhằm đảm bảo tất trang có dạng *.tuoitre.vn kích hoạt báo động tùy chọn content kích hoạt rule nội dung hồn tồn trùng khớp Tùy chọn nocase nhằm đảm bảo dù nội dung có thay đổi cách viết hoa/thường phát (ví dụ: TuoiTRe.vn) Và kết dùng máy mạng truy cập vào trang http://tuoitre.vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Ghi nhận kết từ BASE LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nội dung gói tin mà kích hoạt rule 8.3 Phát portscan Snort Dùng Nmap để scan port máy hệ thống Ta thu báo động Snort sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 8.4 Phát DOS với snort Slowloris tool dung cho DDOS, kĩ thuật tương tự SYN flood mục đích làm cạn kiệt tài nguyên máy chủ diễn lớp HTTP Attacker gửi yêu cầu HTTP đến máy chủ, khơng gửi tồn u cầu, mà gửi phần mục đích để khơng bị server ngắt kết nối Với hàng trăm kết nối vậy, attacker tốn tài nguyên, đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ Dùng tool slowloris với câu lệnh sau để thực công đến server # /slowloris.pl -dns www.local.com -port 80 -timeout 2000 -num 500 –tcpto LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Sau quan sát qua công cụ base để xem alert, nhận thấy khơng có alert ghi nhận rule based snort chưa có rule để nhận dạng slowloris Do cần tạo rule để nhận dạng công slowloris sau: alert tcp any any -> $HOME_NET 80 \ (msg: "DDOS Possible by Slowloris Tool"; \ flow:to_server,established; \ content:"GET /"; depth:5; \ content:"User-Agent\: Mozilla/4.0 (compatible\; MSIE 7.0\; Windows NT 5.1\; Trident/4.0"; \ offset:30; depth:90; \ threshold: type threshold, track by_src, count 100, seconds 30; \ classtype: attempted-dos; \ sid:887799;) Khai báo rule file snort.conf : include $RULE_PATH/slowloris.rules Chạy lại tool slowloris lần ghi nhận alert base: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Quan sát gói tin mà snort ghi nhận sau: Ta thấy snort ghi nhận lại gói tin thơng qua dấu hiệu nhận biết bên rule, chủ yếu trường content rule 8.5 Phát ARP attack Các bước thực ARP Spoofing chương trình Cain & Abel Bước 1: Lựa chọn máy cần đầu độc ARP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bước 2: Khởi động việc đầu độc ARP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Gói tin sau gửi cho máy nạn nhân, theo nội dung gói tin sau nhận máy nạn nhân ghi nhận vào bảng ARP địa IP 192.168.1.1 có MAC 00-0c-29-c8-6a-57 (là địa MAC máy công) Mục tiêu ARP Spoofing Man in the middle Người cơng gửi gói tin ARP Reply giả mạo địa MAC máy mình, đồng thời kích hoạt chức chuyển tiếp gói tin Như máy nạn nhân bị khống chế kỹ thuật ARP Spoofing tất gói tin gửi cho máy đối tác với địa IP MAC bị sửa đổi qua máy công chuyển tiếp cho máy đối tác thật suốt (không bị phát LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com bên gửi bên nhận) Kết công Man in the middle hacker LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thu thông tin nạn nhận trao đổi với đối tác ngồi internet, thơng tin nhạy cảm mật email, mật tài khoản ngân hàng … Cụ thể sau thực bước đầu độc ARP nhắc đến phần trước chương trình Cain & Abel ta thu nhận tài khoản mật người dùng đăng nhập vào Yahoo Messenger Cấu hình Snort để phát ARP Spoofing Bật tính nhận dạng arp spoofing file snort.conf: preprocessor arpspoof preprocessor arpspoof_detect_host: 192.168.1.1 00:0d:70:b3:3a:90 Nguyên tắc để phát ARP Spoofing so sánh với bảng liên hệ IP MAC người quản trị đặt ra, có gói tin gửi thơng tin sai MAC địa IP kích hoạt báo động Khởi động lại snort tiến hành poison máy 192.168.4.20 192.168.4.40 công cụ cain Dùng cain để đầu độc arp máy Trên máy 192.168.4.20 ta ghi nhận thay đổi bảng arp lệnh ip nei show Bằng công cụ BASE ghi nhận alert từ snort: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Snort dùng preprocessor để phát arp spoofing nên khơng có thơng tin source destination arpspoof preprocessor alert không MAC address không với IP address ánh xạ file cấu hình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Kết Luận Sau 14 tuần nghiên cứu Đề tài “Xây dựng hệ thống IDS – Snort hệ điều hành Linux”, nhóm chúng tơi nghiên cứu tìm hiểu nguyên lý hoạt động thành phần snort toàn hệ thống snort, cách thức snort vận hành đưa cảnh báo hành động xâm nhập diễn mạng Đề tài đưa giải pháp việc triển khai IDS sensor mạng, khác đặc điểm công dụng HIDS NIDS, thức snort output log alert cách cấu hìnhsnort từ người dùng snort xây dựngmột hệ thống snort – IDS từ single snort sensor multiple snort sensor hệ điều hành Ubuntu Bên cạnh đó, ngồi việc sử dụng rule viết nhà phát triển, đề tài chúng tơi tìm hiểu rule snort cách xây dựng rule snort Qua người dùng snort xây dựng rule phù hợp với nhu cầu hệ thống mạng Tuy nhiên trình nghiên cứu đề tài chúng tơi gặp khó khăn việc triển khai hệ thống snort - IDS thiếu switch network tap Ngoài việc thiếu kiến thức lập trình linux nên chúng tơi nhiều thời gian tìm hiểu, nghiên cứu giải vấn đề Do thời gian nghiên cứu hạn chế chúng thơi khơng có thời gian nghiên cứu sâu tập trung vào tìm nguyên nhân lỗi cố Nếu có điều kiện mở rộng đề tài điều kiện thiết bị nghiên cứu tập trung vào nghiên cứu tìm hiểu cách khắc phục cố snort, điều chỉnh snort mức độ cao để tương thích với yêu cầu bảo mật hệ thống mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tài Liệu Tham Khảo [1] Rafeeq Ur Rehman, (2003) Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Prentice Hall PTR, USA, 275 pages [2] Stuart McClure, Joel Scambray and George Kurtz, (2009) Hacking Exposed 6: Network Security Secret & Solutions, Mc Graw Hill, USA, 720 pages [3] Kerry J Cox and Christopher Gerg, (2004) Managing Security with Snort and IDS Tools, O'Reilly, USA, 288 pages [4] Jay Beale and Snort Team, (2007) Snort Intrusion Detection and Prevention Toolkit, Syngress Publishing, Syngress Publishing, 769 pages [5] Charlie Scott,Paul Wolfe, and Bert Hayes, (2004) Snort For Dummies, Wiley Publishing, Indiana, 385 pages [6] Jon Erickson, (2008) Hacking: The Art of Exploitation 2nd Edition, No Starch, 480 pages [7] Snort Forum Site, http://forums.snort.org [8] Network Security Articles for Window Server 2003, 2008 & Vista, http://www.windowsecurity.com [9] IBM ISS Customer Support Migration to IBM Support, Tivoli Software http://documents.iss.com [10] HVAOnline, http://www.hvaonline.net [11] Forum Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ, http://nhatnghe.com/forum [12] Forum Vietnamese Professionals (Trung Tâm VnPro), http://vnpro.org/forum LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Khoa Học - Cơng Nghệ Tên đề tài: Xây dựng hệ thống IDS – Snort hệ điều hành Linux Các liệu ban đầu: Snort xây dựng với mục đích phát xâm nhập vào hệ thống Snort có khả phát... tiêu xây đựng hệ thống Snort – IDS hệ điều hành Ubuntu, hệ thống với mục đích phát phịng chống hành động cơng thâm nhập mạng Do đề tài tập trung nghiên cứu vào phương thức hoạt động vận hành hệ thống. .. hành hệ thống Snort – IDS đồng thời đưa cách cài đặt thiết lập hệ thống IDS hoàn chỉnh hệ điều hành Ubuntu Bên cạnh chúng tơi đưa giải pháp nhằm tăng cường khả hoạt động vận hành hệ thống thông