BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN NGHIÊN CỨU TRIỂN KHAI ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP TRÁI PHÉP IDS/IPS NGUYỄN SONG TOÀN Hà Nội - 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ NGHIÊN CỨU TRIỂN KHAI ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP TRÁI PHÉP IDS/IPS NGUYỄN SONG TỒN CHUN NGÀNH CƠNG NGHỆ THƠNG TIN MÃ SỐ: 8.48.02.018 NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS VŨ CHẤN HƯNG Hà Nội - 2019 LỜI CAM ĐOAN Tôi cam đoan luận văn cơng trình nghiên cứu riêng cá nhân tôi, tự nghiên cứu, đọc, dịch tài liệu, tổng hợp thực hướng dẫn PGS.TS Vũ Chấn Hưng Các tài liệu, kết nêu luận văn trung thực tường minh, liệt kê danh sách tài liệu tham khảo Học viên Nguyễn Song Toàn i LỜI CẢM ƠN Để hồn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến PGS.TS Vũ Chấn Hưng, tận tình hướng dẫn suốt trình viết Luận văn tốt nghiệp Em chân thành cảm ơn quý thầy(cô) khoa sau đại học, Trường Đại Học Mở Hà Nội tận tình truyền đạt kiến thức năm em học tập Với vốn kiến thức tiếp thu q trình học khơng tảng cho q trình nghiên cứu khóa luận mà cịn hành trang q báu để em áp dụng vào thực tế cách vững tự tin Em kính chúc q thầy(cơ) dồi sức khỏe thành công nghiệp giảng dạy Cuối tơi xin dành tình cảm biết ơn tới bạn bè lớp cao học CNTT khóa 2017 - 2019 bạn đồng nghiệp công ty Cổ phần iPOS.vn, người luôn bên cạnh, động viên chia sẻ suốt thời gian học Cao học trình thực Luận văn Tháng 10 năm 2019 ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ vii MỞ ĐẦU CHƯƠNG TỔNG QUAN GIỚI THIỆU VỀ IDS/IPS .2 1.1 Các hệ thống phát xâm nhập công từ chối dịch vụ IDS .2 1.1.1 Giới thiệu IDS 1.1.2 Phương pháp công từ chối dịch vụ .2 1.1.3 Chức Năng IDS 1.1.4 Kiến trúc IDS 1.1.5 Kỹ thuật xử lý IDS 1.1.6 Phân loại hệ thống IDS 1.2 Hệ thống ngăn ngừa xâm nhập - IPS 12 1.2.1 Khái niệm IPS 12 1.2.2 Chức IPS .13 1.2.3 Kiến trúc IPS 13 1.2.4 Phân loại IPS 17 1.2.5 Kỹ thuật xử lý IPS 18 1.3 So Sánh IDS/IPS 22 1.4 Tìm hiểu số cơng cụ phát xâm nhập mạng 23 1.4.1 SNORT 23 1.4.2 Suricata 24 1.4.3 Bro IDS 24 1.5 Kết luận chương 25 CHƯƠNG NGHIÊN CỨU ỨNG DỤNG IDS/IPS TRÊN SNORT 26 2.1 Giới thiệu SNORT 26 2.2 Kiến trúc SNORT 26 2.3 Các Rule SNORT 31 iii 2.4 Các chế độ ngăn chặn SNORT .41 2.4.1 Sniff mode 41 2.4.2 Packet logger mode 42 2.4.3 NIDS mode 43 2.4.4 Inline Mode 43 2.5 Kết luận chương 43 CHƯƠNG TRIỂN KHAI HỆ THỐNG SNORT IDS/IPS CHO CÔNG TY CỔ PHẦN iPOS.VN 45 3.1 Ý nghĩa lý triển khai hệ thống 45 3.2 Cấu trúc hệ thống mạng Công ty Cổ phần iPOS.vn .45 3.3 Môi trường triển khai hệ thống SNORT IDS/IPS .47 3.3.1 Yêu cầu phần cứng 47 3.3.2 Hệ điều hành gói phần mềm khác 48 3.4 Cài đặt hệ thống 49 3.4.1 Cài đặt snort 2.9.9 Ubuntu 49 3.4.2 Cấu hình Snort chạy chế độ NIDS 51 3.4.3 Viết kiểm thử luật đơn lẻ Snort 54 3.4.4 Cài đặt Barnyard2 55 3.4.5 Cài đặt PulledPork .57 3.4.6 Tạo Script systemD cho Ubuntu 16 .59 3.4.7 Cài đặt BASE .60 3.5 Kêt thử nghiệm .61 3.5.1 Tạo luật để phát Ping (các gói tin ICMP) 61 3.5.2 Thực công DoS 63 3.5.3 Thực ngăn chặn Ping of Death 64 3.5.4 Ngăn chặn công ddos(SYN Flood) 66 3.5.5 Các luật (rule) thêm thông tin .68 3.6 Kết Luận Chương 72 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 75 iv DANH MỤC TỪ VIẾT TẮT STT Từ viết Tiếng Anh tắt Tiếng Việt IDS Intrusion Detection System IPS Intrusion Prevention System DoS Denial of Service DdoS Distributed Denial of Service UDP User Datagram Protocol TCP Transmission Control Protocol ICMP NIDS HIDS 10 IP 11 Hệ thống phát xâm nhập Hệ thống ngăn ngừa xâm nhập Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ Phân tán Giao thức liệu người dùng Giao thức điều khiển truyền vận Internet Control Message Giao thức Thông điệp điều Protocol khiển Internet Network Intrusion Detection Hệ thống phát xâm nhập System mạng Host Intrusion Detection Hệ thống phát xâm nhập System thiết bị Internet Protocol Giao thức Internet DMZ Demilitarized Zone Vùng mạng trung lập 12 DNS Domain Name Server Hệ thống phân giải tên miền 13 HTTP HyperText Transfer Protocol 14 HTTPS 15 FTP Giao thức truyền tải siêu văn HyperText Transfer Protocol Giao thức truyền tải siêu văn Secure bảo mật File Transfer Protocol Giao thức chuyển nhượng tập tin v Thời gian tồn 16 TTL Time To Live 17 SSH Secure Shell 18 NIC Network Interface Card Cổng giao tiếp mạng 19 RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên 20 SSL Secure Sockets Layer 21 ISP Internet Service Provider 22 POP3 Post Office Protocol 23 SMTP Simple Mail Transfer Protocol 24 SNMP ghi Giao thức truy cập máy tính từ xa Tiêu chuẩn công nghệ bảo mật Nhà cung cấp dịch vụ Internet Giao thức tầng ứng dụng Giao thức truyền tải thư tín đơn giản Simple Network Management Giao thức quản lý mạng đơn giản Protocol vi DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình IDS/IPS Hình 1.2 Kiến trúc IDS Hình 1.3 Mơ hình Network-Based .7 Hình 1.4 Mơ hình Host-Based Hình 1.5 So sánh NIDS & HIDS .10 Hình 1.6 Mơ hình IPS 13 Hình 1.7 Mơ hình NIPS – Network-based Intrusion Prevention .17 Hình 1.8 Mơ hình HIPS – Host-based Intrusion Prevention 18 Hình 1.9 Kỹ thuật xử lý IPS - Signature Based .18 Hình 1.10 Kỹ thuật xử lý IPS - Anomaly Based 20 Hình 1.11 Kỹ thuật xử lý IPS - Policy Based 21 Hình 1.11 Ứng dụng Snort .23 Hình 1.12 Suricata tích hợp tường lửa pfsense 24 Hình 1.13 BRO IDS 24 Hình 2.1 Biểu tượng ứng dụng Snort 26 Hình 2.2 Mơ hình kiến trúc snort .27 Hình 2.3 Cấu trúc luật 31 Hình 2.4 Cấu trúc Rule Header 32 Hình 3.1 Hệ thống mạng cơng ty Cổ phần iPOS chưa có Snort IPS 45 Hình 3.2 Hệ thống mạng cơng ty Cổ phần iPOS sau triển khai Snort IPS 47 Hình 3.3 Chỉnh sửa local.rules Snort 61 Hình 3.4 Ping test công ens160 62 Hình 3.5 Ping test cơng ens160 62 Hình 3.6 Test DoS Hping3 .63 Hình 3.7 Test Ping of Death .65 Hình 3.8 Test Ping of Death .65 Hình 3.9 Test Ping of Death .65 Hình 3.10 Test Ping of Death 66 Hình 3.11 Test cơng ddos(SYN Flood) 67 Hình 3.12 Test cơng ddos(SYN Flood) 67 Hình 3.13 Các luật khởi tạo 68 vii MỞ ĐẦU Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an tồn cho thơng tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm sốt luồng thơng tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Trước nguy xâm nhập kẻ cơng nhằm tìm kiếm liệu mật công ty, doanh nghiệp, tổ chức, hay quốc gia hệ thống IDS (IntrusionDetection System) đời để phát xâm nhập trái phép kẻ cơng thơng qua việc kiểm sốt lưu lượng giao thông hệ thống mạng IDS kiểm tra thơng báo hệ thống có bất thường trái với định nghĩa mà người dùng đặt cho hệ thống , IDS thực việc ngăn chặn phát xâm nhập xảy Để thực đảm bảo an ninh cho hệ thống mạng IPS(Intrusion Prevention Systems) đời Hệ thống phòng chống xâm nhập IPS kỹ thuật an ninh kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát cơng tự động ngǎn chặn cơng Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp, cơng ty theo đà phát triển internet mà tăng lên nhiều Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống việc cần thiết cho doanh nghiệp có nhu cầu an tồn hệ thống trước hành vi xâm nhập trái phép Trong luận văn tác giả nghiên cứu triển khai IDS/IPS Công ty cổ phần iPOS.vn Với đặc thù công ty cung cấp giải pháp công nghệ cho ngành F&B (Food and Beverage Service), nên việc đảm bảo an tồn thơng tin bảo mật ln đặt lên hàng đầu Triển khai IDS/IPS phần nâng cao bảo mật tính tồn vẹn hệ thống giúp Cơng ty có chất lượng dịch vụ cung cấp tốt - Khởi động lại Apache - Cấu hình BASE thơng qua http • Sử dụng trình duyệt,nhập vào địa http://ServerIP/base/index.php • Click vào đường dẫn setup page • Click vào Create BASE AG • Click vào đường dẫn Main page 3.5 Kêt thử nghiệm 3.5.1 Tạo luật để phát Ping (các gói tin ICMP) Chỉnh sửa thư mục local.rules thêm dịng sau lưu vào: Hình 3.3 Chỉnh sửa local.rules Snort Cấu trúc dịng lệnh: • alert: snort chạy thơng báo có thơng tin bên sau • icmp: giao thức ping • any any: dải mạng thông qua port vào • $HOME_NET any: vào mạng local (do cấu hình mạng $HOME_NET dải mạng local) vào port • msg: thơng báo phát • GID: ID nhóm • SID: ID mà gán cho kiện Sau dùng lệnh bên để snort lắng nghe cổng ens160: 61 Sau dùng lệnh bên Snort bắt đầu trạng thái lắng nghe cổng ens160 Đồng thời lúc đó, ta sử dụng máy kali có ip 192.168.1.12 để ping đến Hình 3.4 Ping test cơng ens160 Thực ping Hình 3.5 Ping test công ens160 62 Quay trở console máy snort ta nhận thông báo Snort phát máy ping đến, kèm thông tin bao gồm IP máy ping đến, mức độ ưu tiên, mức độ ưu tiên, thông báo, thời gian thực lệnh ping 3.5.2 Thực công DoS Ta tiếp tục sử dụng máy kali dùng ping phía để thực công DoS (SYN flood) Sử dụng hping3 để cơng DoS Hình 3.6 Test DoS Hping3 Cấu trúc lệnh hping3 sử dụng : • -c 500 : số lượng gói tin gửi 500 gói tin • -d 120: kích thước gói tin gửi 120 • -S : Chỉ gửi gói tin Syn • -w 64 : kích thước TCP windows • flood : Chế độ tràn , gửi gói tin nhanh • rand-source: sử dụng ip ngẫu nhiên 63 • 192.168.30.6 : IP máy nạn nhân Quay lại hình console máy chủ snort, hàng loạt thơng tin gói TCP gửi đến cờ SYN bật Trong phần cấu hình luật cảnh báo snort, cấu hình luật cơng dos ddos, từ đó, snort nhận công dos ddos đưa cảnh báo Các cảnh báo bao gồm: Thời gian công, IP máy công, IP máy nạn nhân bị công thông báo snort 3.5.3 Thực ngăn chặn Ping of Death Cấu hình file local.rules để chặn Ping of Death Thực lệnh ping bình thường đến máy snort 64 Hình 3.7 Test Ping of Death Chuyển qua Snort ta thấy khơng có thơng báo Hình 3.8 Test Ping of Death Trong hình trên, Snort khơng có hành động lệnh ping sử dụng ping bình thường, cho phép nên khơng thơng báo Vì lệnh ping bình thường nên snort không chặn Quay trở lại máy linux, thực Ping với kích thước lớn (ở giả sử kích thước gói tin 2000) Đồng thời chạy snort, ta thấy thơng báo từ snort Hình 3.9 Test Ping of Death 65 Chúng ta cấu hình luật ping of death, có dấu hiệu ping of death snort nhận biết Trong trường hợp ảnh trên, snort nhận thấy gói tin ping of death loại bỏ gói tin, đồng thời, lên thơng tin ip công, thời gian công, mức độ ưu tiên thông báo Quay qua máy công ta thấy số gói tin bị chặn Hình 3.10 Test Ping of Death 3.5.4 Ngăn chặn công ddos(SYN Flood) Thực cấu hình luật để ngăn chặn công ddos, trường hợp công SYN Flood Ở máy kali thực hiến công Hping3: 66 Hình 3.11 Test cơng ddos(SYN Flood) Cấu trúc lệnh hping3 sử dụng: • -c 500: số lượng gói tin gửi 500 gói tin • -d 120: kích thước gói tin gửi 120 • -S: Chỉ gửi gói tin Syn • -w 64: kích thước TCP windows • flood: Chế độ tràn , gửi gói tin nhanh • rand-source: sử dụng ip ngẫu nhiên • 192.168.30.6: IP máy nạn nhân Quay trở lại máy snort, mở snort lên: Hình 3.12 Test cơng ddos(SYN Flood) Trong phần rule synflood, liệt kê dấu hiệu 67 Synflood attack, Snort dựa dấu hiệu mà ngăn chặn gói tin đó, kèm theo thông mức độ ưu tiên, địa ip( địa ip ảo hping3 sử dụng ip ngẫu nhiên ) thời gian công thơng báo loại bỏ gói tin 3.5.5 Các luật (rule) thêm thông tin Các luật(rule) snort nằm thư mục /etc/snort/rules Ta vào thư mục rules để kiểm tra xem thư mục có Hình 3.13 Các luật khởi tạo Các luật snort chia làm phần: • Cảnh báo(alert) • Từ chối (reject/drop) 3.5.5.1 Các luật cảnh báo (rule alert) từ thư viện Snort Theo hình 3.13 bên trên, luật cảnh báo (rule alert) từ thư viện Snort bao gồm: • alert.rule • dns.rules • icmp.rules • ddos.rules • dos.rules • icmp-info.rules • scan.rules • telnet.rules Các luật nêu bên luật đưa để snort cảnh bảo cho quản trị viên Ví dụ luật ddos.rules 68 File đưa trường hợp liên quan đến ddos, dấu hiệu để nhận biết ddos để từ snort nhận đâu công ddos đưa cảnh báo cho quản trị viên Một ví dụ khác file scan.rules 69 Trong file liệt kê số đặc điểm để nhận biết số loại scan để từ snort thơng báo cho quản trị viên 3.5.5.2 Các luật từ chối (rule reject) cải biến Trong giới thiệu trên, phát triển thêm dấu hiệu nhận biết có tên drop.rules Luật nằm đường dẫn /etc/snort/rules Trong luật có thêm hai thơng tin chặn công SYN Flood chặn công Ping of Death Hai luật dựa đặc điểm công từ chối dịch vụ SYN Flood Ping of Death để ngăn chặn công từ chối dịch vụ đến - Đối với luật Synflood khởi tạo thêm thông tin “ flow: stateless“ “track by_src,count 1, seconds 1“ nhằm tăng tính xác việc xác định gói tin TCP Synflood Cụ thể câu lệnh đây: #Synflood Reject tcp any any->$HOME_NET 80 (flags: S; msg:“Possible TCP DoS“; flow: stateless; threshold: type both, track by_src, count 1, seconds 1; sid:10001;rev:1) Các gói tin có tất dấu hiệu sau bị loại bỏ(reject): • Đây gói tin TCP • Đi vào từ nguồn cổng (any any) • Đích đến tập tin vào mạng nội bội (HOME_NETWORK) vào cổng 80 • Các gói tin vào mang theo cờ SYN (flags: S) • Lưu lượng gói tin khơng xác định (khơng có hồi đáp: flow: stateless) • Mỗi giây từ địa gửi gói tin (thời gian nhận thay đổi, trường hợp để giây để snort dễ dàng nhận biết ) Kết hợp tất dấu hiệu trên, gói tin đủ tất điều kiện trên, snort tự động từ chối gói tin Các luật TCP SYN flood thường dừng việc số lượng gói tin mang cờ SYN gửi đến thời gian định nên bị nhầm lẫn với số gói tin khác Trong luật trên, tơi thêm dấu hiệu quan trọng vào luật việc địa gửi tin có hồi đáp lại hay khơng 70 Nếu khơng có hổi đáp dấu hiệu trước đó, snort mặc định coi gói tin gói tin cơng TCP SYN flood loại bỏ gói tin - Đối với luật ping of death thêm dấu hiệu “itype:8; icode:0“ nhận biết dấu hiệu yêu cầu máy nạn nhân hồi đáp lại gói icmp mà kẻ cơng gửi đến Kết hợp với “track by_src,count 1, seconds 1“ để tăng thêm độ xác việc xác định gói tin kẻ cơng cụ thể câu lệnh # Ping of death Reject icmp any any -> any any (msg:“ping of Death Detected“; dsize:>1000; itype:8; icode:0; detection_filter:track by_src, count 1, seconds 1; sid:2000004; classtype:deniel-of-service; rev:3;) Các gói tin có tất dấu hiệu sau bị loại bỏ(reject): • Các gói tin từ bên ngồi từ nguồn nào, qua cổng • Đích đến gói tin đến mạng qua cổng • Các gói tin có kích thước 1000 bytes • Type = code = loại ICMP reply yêu cầu máy nạn nhân trả lời lại gói tin • Số lượng gói tin đến với tốc độ gói tin / 1s Các gói tin ICMP gửi đến máy hệ thống mạng mà snort nằm mang dấu hiệu bên bị loại bỏ vi phạm vào luật snort Các nhận biết trước gói tin ping of death tập trung vào kích thước gói tin icmp đến Tôi thêm nhận biết quan trọng cơng Ping of death : type=8 code=0 vào luật Cuộc công ping of death khơng gửi gói tin icmp có kích thước lớn mà cịn đưa thêm u cầu máy nạn nhân phải trả lời lại gói tin ( type=8 code=0 tạo echo reply) tơi đưa thêm thơng tin để Snort nhận diện loại bỏ xác gói tin Ping of death Từ việc dựa vào dấu hiệu gói tin đặc trưng kiểu công (SYN flood Ping of death) Tôi thêm đặc trưng 71 cơng để làm cho luật snort rõ từ giảm nguy gói tin bị snort chặn nhầm tăng khả phát gói tin cơng Việc thêm hai luật vào snort giúp cho hệ thống khách hàng với hệ thống công ty bảo vệ tốt Snort kết hợp với tường lửa tạo lớp chắn để bảo vệ hệ thống mạng khách hàng tồn hệ thống cơng ty giúp nâng cao bảo mật cho tồn hệ thống cơng ty 3.6 Kết Luận Chương Snort xây dựng hai mơ hình khác là: NIDS/NIPS HIDS/HIPS Phụ thuộc vào hạ tầng mạng mà quản trị viên lựa chọn mơ hình cho phù hợp Snort mã nguồn mở hồn tồn miễn phí tương thích với nhiều hệ điều hành Phần cứng máy chạy snort khơng u cầu máy cấu hình q cao phí triển khai snort khơng q đắt Mà cụ thể iPOS triển khai hệ thống Snort NIDS/NIPS để phát từ chối dịch vụ mở từ server dịch vụ khách hàng Snort đặt sau Firewall lọc tồn gói tin gửi tới máy chủ iPOS có hệ thống theo luật khởi tạo áp dụng Ngoài luật sẵn có từ thư viện Snort, dựa dấu hấu hiệu công Syn flood Ping of death, viết thêm thông tin nhận biết vào hai luật nhằm tăng tính xác giúp loại bỏ gói tin cơng Syn flood Ping of death trình bày mục 3.5.5.2 Qua nâng cao chất lượng chức loại bỏ gói tin cơng kiểu Syn flood Ping of death Snort Các luật snort viết dựa dấu hiệu cơng nhằm ngăn chặn gói tin kẻ cơng Quản trị viên viết luật chặt chẽ khả phát loại bỏ gói tin công cao 72 KẾT LUẬN Sự phát triển ngành cơng nghệ thơng tin nói chung ngành mạng máy tính nói riêng, nhiều cơng nghệ áp dụng thành công mang lại nhiều lợi ích đáng kể, giảm thiểu chi phí, đảm bảo tính tồn vẹn liệu, tăng cường tính an tồn tồn hệ thống mạng Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với mạng để bảo đảm tính an tồn cho mạng Ngoài việc sử dụng phương pháp mã hóa để bảo đảm tính bí mật thơng tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng, việc sử dụng hệ thống IDS/IPS để nâng cao khả quản lý bảo vệ mạng cần thiết, giúp hệ thống an tồn trước nguy cơng, mặt khác cho squản trị nhận dạng phát nguy tiềm ẩn Bằng cách sử dụng giải pháp IDS/IPS hệ thống mạng giảm thiểu tương đối nguy cơng nâng cao độ an tồn Luận văn “NGHIÊN CỨU TRIỂN KHAI ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP TRÁI PHÉP IDS/IPS” nhằm tập trung nghiên cứu, tìm hiểu vấn đề DDoS đặc trưng Snort IDS/IPS ứng dụng nó, hiểu biết tầm quan trọng an ninh mạng Tuy mơ hình thực nghiệm mà đề tài trình bày tương đối nhỏ, đơn giản cịn nhiều hạn chế thể tính hệ thống phát ngăn chặn xâm nhập Snort IDS/IPS dựa ta triển khai thực tế Triển khai hệ thống phát ngăn ngừa xâm nhập Snort công ty cổ phần iPOS.vn phần giúp công ty mà công tác có an tồn định trước mối nguy hại tiềm tàng từ Internet Việc đưa thêm thông tin vào hai luật thư viện luật drop.rules Snort giúp cải tiến nâng cao chất lượng luật việc loại bỏ gói tin cơng tới máy chủ Công ty iPOS, giúp máy chủ iPOS an toàn hơn, giúp dịch vụ mà iPOS cung cấp cho khách hàng đảm bảo, ổn định Cùng với việc triển khai phát triển thực tế giúp cho tơi có nhiều kinh nghiệm việc ứng phó phịng chống xâm nhập nói riêng 73 ứng phó cố nói chung Sức mạnh bảo mật Snort IDS/IPS mang lại cho hệ thống mạng lớn, nhiên lượng thời gian có hạn kinh nghiệm thực tiễn chưa nhiều nên việc tiếp cận cơng nghệ Snort IDS/IPS cịn khó tránh khỏi sai sót Vì đóng góp thầy cô bạn không giúp luận văn tơi có chất lượng cao mà cịn trang bị cho tơi kiến thức vững vàng nghiên cứu công tác sau 74 TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh James Broad; Andrew Bindner Hacking with Kali, 1st edition, 2013File, 238 papes Darril Gibson Managing Risk in Information Systems, Jones & Bartlett Learning; edition (July 31, 2014) 462 pages William J Buchanan Introduction to Security and Network Forensics, CRC Press, 2011, 502 papes David Kim; Michael G Solomon Fundamentals of Information Systems Security 548 pages Website tham khảo Snort User Manual http://www.snort.org/docs/snort_manual/ Snort, Apache, PHP, MySQL, ACID on Redhat 9.0 Installation Guide http://www.snort.org/docs/snort_acid_rh9.pdf Network Intrusion Detection Using Snort http://www.linuxsecurity.com/feature_stories/feature_story-49.html Intrusion Detection with SNORT Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID http://www.informit.com/title/0131407333# https://github.com/eldondev/Snort 10 https://quantrimang.com/he-thong-phat-hien-xam-pham-ids-phan-1-37334 11 https://quantrimang.com/he-thong-phat-hien-xam-pham-ids-phan-2-37590 12 https://securitydaily.net/network-hieu-ve-he-thong-phat-hien-xam-nhap-ids/ 13 https://securitybox.vn/1353/12-loai-tan-cong-ddos-tan-cong-tu-choi-dich-vuddos/ 75