LỜI CẢM ƠN Qua thời gian học tập lâu dài hoàn thành báo cáo thực tập chuyên ngành với đề tài :“Tìm hiểu hệ thống phát xâm nhập IDS-SNORT” Em nhận quan tâm, giúp đỡ nhiệt tình tập thể, cá nhân nhà trường Nhân dịp : Em xin chân thành cảm ơn giúp đỡ đóng góp ý kiến thầy, cô giáo môn mạng truyền thông – khoa công nghệ thông tin- Đại học Công Nghệ Thông Tin Truyền Thông – Đại Học Thái Nguyên Đặc biệt em xin bày tỏ lòng cảm ơn sâu sắc đến thầy giáo hướng dẫn: Th.S Nguyễn Đức Bình, thầy trực tiếp hướng dẫn em làm đề tài này, thầy mang đến cho em nguồn tri thức với dạy bảo tận tình thầy trình học tập nghiên cứu em Em xin chân thành cảm ơn !!! LỜI CAM ĐOAN Em xin cam đoan toàn đồ án: “Tìm hiểu hệ thống phát xâm nhập IDS-SNORT”.là thân tìm hiểu, nghiên cứu Khơng có chép nội dung từ đồ án khác Tất nội dung hình ảnh minh họa có nguồn gốc xuất xứ rõ ràng từ tài liệu tham khảo nhiều nguồn khác mà xây dựng nên Ngồi cịn có góp ý định hướng thầy giáo Th.S Nguyễn Đức Bình Em xin cam đoan lời đúng, thơng tin sai lệch em xin hồn tồn chịu trách nhiệm trước Hội đồng Thái Nguyên, tháng năm 2011 Sinh viên Dương Văn Thắng Mục Lục LỜI CẢM ƠN LỜI CAM ĐOAN LỜI NÓI ĐẦU DANH MỤC HÌNH ẢNH Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS 1.1 Tổng quan 1.1.1 Sơ qua tình hình bảo mật 1.1.2 Mục Tiêu Đề Tài 1.1.3 Phương Pháp Và Phạm Vi Nghiên Cứu 1.2 Giới thiệu tổng quan hệ thống IDS 10 1.2.1 Khái niệm IDS .10 1.3 Chức 11 1.3.1 Các ứng dụng .11 1.3.2 Các tính 11 1.4 Cấu trúc kiến trúc .11 1.5 Sự khác IDS IPS .12 1.6 Phân loại .13 1.6.1Network based IDS – NIDS 13 1.6.3 Wireless IDS/IPS 17 1.6.4 Network behavior Analysis system ( NBAS ) .19 1.6.5 Honeypot IDS 19 1.7 Cơ chế hoạt động hệ thống IDS/IPS 19 1.7.1 phát lạm dụng 20 1.7.2 phát bất thường 21 1.7.2.1 Phát tĩnh .21 1.7.2.2 Phát động 22 1.7.3 So sánh hai mơ hình 24 Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT 25 2.1 Giới thiệu snort .25 2.2 Các yêu cầu hệ thống Snort 25 2.3 Vị trí Snort hệ thống mạng 26 2.4 Kiến trúc snort 28 2.4.1 Module giải mã gói tin .29 2.4.2 Module tiền xử lý 31 2.4.3 Module phát 32 2.4.4 Module log cảnh báo 33 2.4.5 Module kết xuất thông tin .34 2.5Các chế độ thực thi Snort 35 2.5.1 Sniff mode .35 2.5.2 Packet logger mode 36 2.5.3 NIDS mode 36 2.6 Bộ luật snort 37 2.6.1 Giới thiệu .37 2.6.2 Cấu trúc luật Snort 38 2.6.3 Phần tiêu đề 40 2.6.4 Các tùy chọn 45 Chương 3: CÀI ĐẶT CẤU HÌNH VÀ XẬY DỰNG ỨNG DỤNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS SNORT .52 3.1 Mơ hình cho hệ thống IDS-SNORT 52 3.2 Cái đặt cấu hình SNORT 53 3.2.1 Cài đặt cấu hình SNORT 53 3.2.2 Sử dụng SNORT 63 Chương : KẾT QUẢ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 66 4.1 Kết đạt 66 TÀI LIỆU THAM KHẢO 68 LỜI NÓI ĐẦU Dưới hướng dẫn thầy giáo thạc sỹ Nguyễn Đức Bình qua thời gian nghiên cứu , tìm hiểu em hoàn thành báo cáo thực tập chuyên ngành Trong giới hạn báo cáo thực tập chun ngành này, em có tìm hiểu vấn đề sau: - Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) SNORT -kiến trúc ,cơ chế hoạt động hệ thống hỗ trợ IDS-SNORT -cài đặt ,cấu hình sử dụng SNORT Một lần nữa, em xin chân thành cảm ơn thầy giáo thạc sỹ Nguyễn Đức Bình , thầy cô khoa CNTT - Đại Học Công Nghệ Thông Tin Truyền Thông bạn giúp đỡ em hoàn thành báo cáo Sinh viên thực Dương Văn Thắng DANH MỤC HÌNH ẢNH Hình 1.1 : Các vị trí đặt IDS mạng……………………………………11 Hình 2.1 Snort-sensor đặt Router Firewall…………………………27 Hình 2.2 : Snort-sensor đặt vùng DMZ……………………………….28 Hình 2.3: snort-sensor đặt sau Firewall…………………………………… 29 Hình 2.4 : Mơ hình kiến trúc hệ thống Snort……………………………… 30 Hình 2.5: Xử lý gói tin Ethernet……………………………………….31 Hình 2.6: Module log cảnh báo……………………………………….…35 Hình 2.7 : Cấu trúc luật Snort……………………………………… …39 Hình 2.8 : Header luật Snort………………………………………….…39 Hình 3.1: Mơ hình IDS-SNORT………………………………………….…53 Hình 3.2 cài đặt Winpcap……………………………………………………54 Hình 3.3 cài đặt Winpcap……………………………………………………55 Hình 3.4 download snort………………………………………………….…56 Hình 3.5 cài đặt snort……………………………………………………… 57 Hình 3.6 cài đặt snort………………………………………………….…….58 Hình 3.7 cài đặt snort……………………………………………………… 59 Hình 3.8 cài đặt snort…………………………………………………….….60 Hình 3.9 cài đặt snort……………………………………………………… 61 Hình 3.10 giải nén rules…………………………………………………… 63 Hình 3.11 copy rules vào thư mục cài snort…………………………….….…64 Hình 3.12 xác định thứ tự card mạng…………………………………………64 Hình 3.13 chạy lệnh sniffer packet……………………………………………65 Hình 3.14 chạy lệnh sniffer packet…………………………………… ……66 Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS 1.1 Tổng quan 1.1.1 Sơ qua tình hình an ninh mạng An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm khơng Việt Nam mà tồn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Theo báo cáo mối đe dọa bảo mật mạng (ISTR) thứ 14 hãng Symantec , hoạt động công mạng giới tiếp tục phát triển mức kỷ lục, chủ yếu nhắm tới thơng tin quan trọng từ máy tính người dùng Symantec tạo 1,6 triệu mẫu chữ ký loại mã độc hàng năm , tương đương với 60% tổng số mẫu chữ ký mà Symantec tạo từ trước đến - phản ứng tăng trưởng mạnh số lượng phong phú, đa dạng mối đe doạ nguy hại X-Force đưa nhiều cảnh báo điểm yếu an ninh nghiêm trọng nhà cung cấp sản phẩm Microsoft, Apple, Adobe, VMWare Điển hình điểm yếu an ninh PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC Microsoft 1.2 Mục Tiêu Đề Tài Qua thời gian thực đề tài, em hy vọng hiểu điểm quan trọng hệ thống phát xâm nhập trái phép IDS, đặc biệt công cụ SNORT Thu nhiều kiến thức, kỹ kinh nghiệm việc bảo mật Nắm yếu tố tảng để phát triển hệ thống bảo mật 1.1.3 Phạm vi phương pháp nghiên cứu Nghiên cứu, triển khai giải pháp phát sớm ngăn chặn thâm nhập trái phép (tấn công) vào hệ thống mạng ngày vấn đề có tính thời có ý nghĩa, quy mơ phức tạp cơng ngày tăng Đó cách thức tiếp cận với hệ thống bảo mật mạng em Phạm vi nghiên cứu: Nghiên cứu hệ thống phát xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT Nghiên cứu cài đặt cấu hình SNORT 1.2 Giới thiệu tổng quan hệ thống IDS Khái niệm phát xâm nhập xuất qua báo James Anderson cáchđây khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập – IDS (IntrusionDetection System) với mục đích dị tìm nghiên cứu hành vi bất thường tháiđộ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin.Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel 1.2.1 Khái niệm IDS Intrusion Detection system (IDS) hệ thống giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu vi phạm đến quy định bảo mật máy tính, sách sử dụng tiêu chuẩn an tồn thơng tin Các dấu hiệu xuất phát từ nhiều nguyên nhân khác nhau, lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào tài nguyên không phép truy cập Intrusion Prevention system (IPS) hệ thống bao gồm chức phát xâm nhập (Intrusion Detection – ID) khả ngăn chặn xâm nhập trái phép dựa kết hợp với thành phần khác Antivirus, Firewall sử dụng tính ngăn chặn tích hợp 10