HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG BÀI TẬP LAB THỰC HÀNH Môn An toàn mạng nâng cao Bài 2 Triển khai hệ thống Honeypot kết hợp IDS MỤC LỤC MỤC LỤC 1 DANH S[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG VIỆN CƠNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG BÀI TẬP LAB THỰC HÀNH Mơn: An tồn mạng nâng cao Bài 2: Triển khai hệ thống Honeypot kết hợp IDS MỤC LỤC MỤC LỤC DANH SÁCH HÌNH VẼ GIỚI THIỆU BÀI THỰC HÀNH 1.1 Mục đích .5 1.2 Yêu cầu 1.3 Thời gian thực 1.4 Nhóm thực hành CƠ SỞ LÝ THUYẾT .6 2.1 Honeypot 2.1.1 Khái niệm Honeypot 2.1.2 Giới thiệu Honeyd 2.2 Khái niệm IDS 2.3 Giới thiệu công cụ Snort 2.3.1 Snort 2.3.2 Kiến trúc Snort 2.3.3 Hoạt động Snort 2.4 Công cụ Nmap NỘI DUNG THỰC HÀNH 10 3.1 Cài đặt, cấu hình honeyd ubuntu phát công mạng honeyd 10 3.1.1 Chuẩn bị môi trường 10 3.1.2 Các bước thực 10 3.1.3 Kết mong muốn 19 3.2 Cài đặt cấu hình Snort 20 3.2.1 Chuẩn bị môi trường 20 3.2.2 Các bước thực 21 3.2.3 Kết mong muốn 28 DANH SÁCH HÌNH VẼ Hình 3.1: Mơ hình mạng thực hành honeyd 10 Hình 3.2: Tải git client máy 11 Hình 3.3: Tải mã nguồn 11 Hình 3.4: Cài đặt gói thư viện yêu cầu 12 Hình 3.5: $ cd ~/Desktop/honeyd 12 Hình 3.6: $ /autogen.sh 13 Hình 3.7: $ /configure 13 Hình 3.8: Cài thư viện thủ cơng 14 Hình 3.9: $ sudo make install 14 Hình 3.10: Sơ đồ mạng 15 Hình 3.11: Khởi động Honeyd 16 Hình 3.12: Rà qt máy có IP 192.168.10.209 17 Hình 3.13: Rà qt máy có IP 192.168.10.222 17 Hình 3.14: Rà quét máy có IP 192.168.10.233 18 Hình 3.15: Rà qt máy có IP 192.168.10.111 18 Hình 3.16: Máy chủ honeyd nhận thơng báo có người qt mạng 19 Hình 3.17: Tạo máy ảo honeyd 19 Hình 3.18: Phát có kẻ qt mạng 20 Hình 3.19: Mơ hình mạng thực hành cài đặt cấu hình Snort 20 Hình 3.20: Cài đặt gói thư viện cần thiết cho snort 21 Hình 3.21: Tải module daq 22 Hình 3.22: Config install 22 Hình 3.23: Tải mã nguồn snort 23 Hình 3.24: Giải nén mã nguồn 23 Hình 3.25: Config install 24 Hình 3.26: Khởi động snort 25 Hình 3.27: Ping từ máy thật sang máy chạy snort 26 Hình 3.28: Màn hình theo dõi bên máy chạy snort 26 Hình 3.29: Nội dung thơng báo lưu file alert 26 Hình 3.30: Khởi động honeyd 27 Hình 3.31: Ping từ máy thật với gói tin có kích thước lớn 27 Hình 3.32: Thơng báo phát ping với gói tin lớn 28 GIỚI THIỆU BÀI THỰC HÀNH 1.1 Mục đích - Về kiến thức: Bài thực hành cung cấp cho sinh viên môi trường để áp dụng lý thuyết môn học vào thực tế Giúp sinh viên nắm kiến thức việc sử dụng IDS, công cụ Snort hiểu hệ thống Honeypot, Honeyd - Về kỹ năng: Sau thực hành xong, sinh viên có khả cài đặt hệ thống honeypot cụ thể, hiểu kiểm chứng số luật Snort 1.2 Yêu cầu - Sinh viên hiểu cách hoạt động Honeypot IDS - Sinh viên cài đặt thành công hệ thống Honeyd kết hợp với IDS - Sinh viên cài đặt cấu hình thành cơng Snort Ubuntu 1.3 Thời gian thực - 1.4 Nhóm thực hành - sinh viên CƠ SỞ LÝ THUYẾT 2.1 Honeypot 2.1.1 Tổng quan Honeypot Honeypots hệ thống tài nguyên thông tin xây dựng với mục đích giả lập đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot xem “Mắt ong” Một Honeypots hệ thống máy tính thiết kế đặc biệt để “bắt” tất hoạt động file khởi tạo thủ phạm có ý định giành quyền truy cập trái phép tới hệ thống Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server…, cài đặt chạy hệ điều hành Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơngtin tin tặc hình thức cơng, cơng cụ công hay cách thức tiến hành thay vì bị cơng Honeypot gồm hai loại chính: Tương tác thấp tương tác cao - Tương tác thấp: Mô giả dịch vụ, ứng dụng hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ. - Tương tác cao: Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng 2.1.2 Honeyd – Một loại Honeypot Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm, nhiên Honeyd có nhược điểm cung cấp hệ điều hành thật để tương tác với tin tặc khơng có chế cảnh báo phát hệ thống bị xâm nhập hay gặp nguy hiểm Honeyd mơ lúc nhiều hệ điều hành khác lắng nghe tất cổng TCP UDP, dịch vụ mô thiết kế với mục đích ngăn chặn ghi lại cơng, tương tác với kẻ cơng với vai trị hệ thống nạn nhân Hiện nay, Honeyd có nhiều phiên mơ khoảng 473 hệ điều hành 2.2 IDS – Hệ thống phát xâm nhập IDS hệ thống phòng chống, nhằm phát hành động công vào mạng Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình cơng sưu tập, qt cổng Một tính hệ thống cung cấp thơng tin nhận biết hành động khơng bình thường đưa báo cảnh thông báo cho quản trị viên mạng khóa kết nối cơng Thêm vào cơng cụ IDS phân biệt công bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) 2.3 Giới thiệu công cụ Snort 2.3.1 Snort Snort phần mềm IDS phát triển Martin Roesh dạng mã nguồn mở Snort ban đầu xây dựng Unix sau phát triển sang tảng khác Snort đánh giá cao khả phát xâm nhập Tuy snort miễn phí lại có nhiều tính tuyệt vời Với kiến trúc kiểu module, tự tăng cường tính cho hệ thống Snort Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, Solaris … Bên cạnh việc hoạt động ứng dụng bắt gói tin thơng thường, Snort cịn cấu hình để chạy NIDS 2.3.2 Kiến trúc Snort Snort bao gồm nhiều thành phần, phần có chức riêng biệt: - Module giải mã gói tin - Module tiền xử lý - Module phát - Module log cảnh báo - Module kết xuất thông tin 2.3.3 Hoạt động Snort Khi Snort hoạt động, lắng nghe tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào module giải mã Tiếp theo vào module tiền xử lý module phát Tại tùy vào việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tin tiếp đưa vào module Log cảnh báo để xử lý Khi cảnh báo xác định, Module kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn 2.4 Công cụ Nmap Nmap (Network Mapper) công cụ quét, theo dõi đánh giá bảo mật hệ thống mạng phát triển Gordon Lyon (hay biết đến với tên gọi Fyodor Vaskovich) Nmap phần mềm mã nguồn mở miễn phí, ban đầu phát triển tảng Linux sau phát triển nhiều tảng khác Windows, Solari, Mac OS… phát triển thêm phiên giao diện người dùng (zenmap) Các chức Nmap: - Phát host mạng - Liệt kê port mở host - Xác định dịch vụ chạy port mở với phần mềm phiên dùng - Xác đinh hệ điều hành thiết bị. - Chạy script đặc biệt NỘI DUNG THỰC HÀNH 3.1 Cài đặt, cấu hình honeyd ubuntu phát công mạng honeyd 3.1.1 Chuẩn bị môi trường - Chuẩn bị đối tượng: o Máy ảo hệ điều hành Linux dùng để công o Máy ảo hệ điều hành Ubuntu để cài Honeyd - Mơ hình mạng (xem Hình 3.1): Hình 3.1: Mơ hình mạng thực hành honeyd 3.1.2 Các bước thực 3.1.2.1 Cài đặt Honeyd Ubuntu - Tải git client máy: $ sudo apt-get install git (xem Hình 3.2) o Nếu báo lỗi thiếu thư viện ta cần cài thủ cơng: $ make (xem Hình 3.8) Hình 3.8: Cài thư viện thủ cơng o $ sudo make install (xem Hình 3.9) Hình 3.9: $ sudo make install 13 3.1.2.2 Cấu hình Honeyd - Giả sử mạng có máy chủ web, ta cấu hình honeyd tạo thêm máy gồm máy windows server, máy linux máy chạy windows XP, sơ đồ mạng sau (xem Hình 3.10): Windows server Honeyd1 Linux Honeyd2 Windows XP Honeyd3 Ubuntu Web server Honeyd server Hình 3.10: Sơ đồ mạng - Trong trường hợp này, máy chủ chạy Ubuntu vừa máy chủ web, vừa máy chủ honeyd tạo honeyd client 1, 2, - Thiết lập file cấu hình honeyd.conf $ cd ~/Desktop $ nano honeyd.conf - Để tạo file cấu hình cho honeyd ta cấu sau: create windows set windows personality "Microsoft Windows Server 2003" set windows default tcp action reset add windows tcp port 135 open set windows ethernet "11:11:11:11:11:11" #dhcp windows on ens33 14 bind 192.168.10.111 windows create linux set linux personality "Linux 2.4.7" set linux default tcp action reset add linux tcp port 21 open set linux ethernet "11:11:11:11:11:22" #dhcp windows on ens33 bind 192.168.10.222 linux create xp set xp personality "Microsoft Windows XP Professional" set xp default tcp action reset add xp tcp port 80 open set xp ethernet "22:22:22:22:22:22" bind 192.168.10.233 xp 3.1.2.3 Sử dụng Honeyd phát công mạng - Khởi động Honeyd: Tại máy chủ honeyd gõ lệnh $ sudo ~/Desktop/honeyd/honeyd -d -f ~/Desktop/honeyd.conf (xem Hình 3.11) Hình 3.11: Khởi động Honeyd 15 - Đã tạo thành công máy ảo với ip lan 192.168.10.111, 192.168.10.222 192.168.10.233 (xem Hình 3.11) - Mở Nmap máy thật (máy công) rà quét dải mạng 192.168.10.0/24 Nmap quét thấy máy (xem Hình 3.15, Hình 3.13, Hình 3.14, Hình 3.15) Hình 3.12: Rà quét máy có IP 192.168.10.209 Hình 3.13: Rà qt máy có IP 192.168.10.222 16 Hình 3.14: Rà qt máy có IP 192.168.10.233 Hình 3.15: Rà qt máy có IP 192.168.10.111 - Mở máy chủ Honeyd Hệ thống honeyd phát mạng bị rà qt => tìm biện pháp đối phó (xem Hình 3.16) 17 Hình 3.16: Máy chủ honeyd nhận thơng báo có người quét mạng 3.1.3 Kết mong muốn - Cài đặt thành công chạy hệ thống Honeyd Tạo máy ảo honeyd với địa ip 192.168.10.111, 192.168.10.222và 192.168.10.233 (xem Hình 3.17) Hình 3.17: Tạo máy ảo honeyd - Phát có kẻ qt mạng (xem Hình 3.18) 18 Hình 3.18: Phát có kẻ quét mạng 3.2 Cài đặt cấu hình Snort 3.2.1 Chuẩn bị mơi trường - Chuẩn bị đối tượng: o Máy thật Windows 8.1 o Máy ảo Kali Linux cài Snort - Mơ hình mạng (xem Hình 3.19) Hình 3.19: Mơ hình mạng thực hành cài đặt cấu hình Snort 19