Đang tải... (xem toàn văn)
Báo cáo thực tập bộ môn an ninh mạng của đại học điện lực với đề tài: TÌM HIỂU VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IPSIDS SNORT An ninh thông tin nói chung và an ninh mạng nói riêng hiện đang là vấn đề được quan tâm trên toàn thế giới. Cùng với sự phát triển của mạng Internet, việc đảm bảo an ninh thông tin càng phải được chú trọng và đặt lên hàng đầu.
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC THỰC TẬP AN NINH MẠNG ĐỀ TÀI: TÌM HIỂU VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IPS/IDS - SNORT Sinh viên thực : TRẦN ĐĂNG QUANG Giảng viên hướng dẫn : PHẠM QUANG HUY Ngành : CÔNG NGHỆ THÔNG TIN Chuyên ngành : QUẢN TRỊ AN NINH MẠNG Lớp : D13QTANM Khóa : 2018-2023 Hà Nội, tháng năm 2022 PHIẾU CHẤM ĐIỂM Giảng viên hướng dẫn chấm: Họ tên Chữ ký Ghi Chữ ký Ghi Chữ ký Ghi PHẠM QUANG HUY Sinh viên thực hiện: Họ tên TRẦN ĐĂNG QUANG Giảng viên chấm Họ tên Mục Lục Lời nói đầu CHƯƠNG 1: TỔNG QUAN VỀ IPS/IDS 1.1 Giới thiệu IPS/IDS 1.1.1 Định nghĩa 1.1.2 So sánh khác IPS IDS 1.2 Cơ chế hoạt động hệ thống IPS/IDS 10 1.2.1 Phát lạm dụng: 10 1.2.2 Phát bất thường 11 1.3 Một vài sản phẩm IPS/IDS CHƯƠNG ỨNG DỤNG SNORT TRONG IPS/IDS 13 15 2.1 Giới thiệu Snort 15 2.2 Kiến trúc Snort 16 2.2.1 Module giải mã gói tin 16 2.2.2 Module tiền xử lý 16 2.2.3 Module phát 17 2.2.4 Module log cảnh báo 17 2.2.5 Module kết xuất thông tin 17 2.3 Bộ luật Snort 18 2.3.1 Giới thiệu 18 2.3.2 Cấu trúc luật Snort 18 2.3.2.1 Phần tiêu đề 19 2.3.2.2 Các tùy chọn 20 2.4 Chế độ ngăn chặn Snort : Snort - Inline 22 2.4.1 Tích hợp khả ngăn chặn vào Snort 22 2.4.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode 23 CHƯƠNG 3: CÀI ĐẶT VÀ CẤU HÌNH SNORT 2.9 TRÊN CENTOS 23 3.1 Cài đặt 23 3.2 Giải thích cấu hình 34 3.2.1 Định nghĩa biến 34 3.2.2 Cấu hình module tiền xử lý 35 3.2.3 Cấu hình module kết xuất thơng tin 35 3.3.4 Cấu hình luật 36 Kết luận 36 Hình 1.1: Vị trí đặt IDS hệ thống mạng Hình 1.2: Sơ đồ kết hợp chế hoạt động .13 Hình 2.1: Kiến trúc Agent thu thập, phân tích 16 Hình 2.2: Cấu trúc luật snort 18 Hình 2.3: Cấu trúc phần Header .19 Hình 3.1: Update cài đặt số gói cần thiết 23 Hình 3.2: Tạo folder chứa source .24 Hình 3.3: Cài đặt libpcap 24 Hình 3.4: Cài DAQ 24 Hình 3.5: Cài đặt LUAJIT 25 Hình 3.6: Cài đặt snort 25 Hình 3.7: Update thư viện 25 Hình 3.8: Tạo liên kết .26 Hình 3.9: Kiểm tra version .26 Hình 3.10: Tạo user group 26 Hình 3.11: Tạo thư mục lưu cấu hình .26 Hình 3.12: Phân quyền .27 Hình 3.13: Tạo file 27 Hình 3.14: Copy thư mục tới file cấu hình .27 Hình 3.15: Sửa thơng tin 27 Hình 3.16: Thay đổi thông tin 28 Hình 3.17: Kiểm trâ file cấu hình .28 Hình 3.18: Add rule 28 Hình 3.19: Kiểm tra 28 Hình 3.20: Cảnh bảo snort 29 Hình 3.21: cài gói cần thiết 29 Hình 3.22: Down load cài đặt 29 Hình 3.23: Kiểm tra version .29 Hình 3.24: Thêm cấu hình 30 Hình 3.25: Đăng nhập để tải rules 30 Hình 3.26: Sửa thơng tin file config 30 Hình 3.27: Chạy lệnh 31 Hình 3.28: Chạy lệnh Pulledpork .31 Hình 3.29: Thêm dịng lệnh vào file 31 Hình 3.30: Cài đặt gói cần thiết 31 Hình 3.31: Định dạng lại liệu đầu 31 Hình 3.32: Cài đặt .32 Hình 3.33: Thay đổi giá trị .32 Hình 3.34: Tạo folder log 32 Hình 3.35: Kiểm tra banyard 32 Hình 3.36: Cấu hình MySQL 32 Hình 3.37: Tạo DB 33 Hình 3.38: Tạo bảng 33 Hình 3.39: cấu hình kết nối .33 Hình 3.40: Cấu hình nội dung 33 Hình 3.41: Cho phép khởi chạy hệ thống 34 Hình 3.42: Thêm nội dung vào file 34 Hình 3.43: Cho phép khởi chạy hệ thống 34 LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em nhận nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cơ, gia đình bạn bè Em xin gửi lời cảm ơn chân thành đến thầy Nguyễn Khánh Tùng, giảng viên khoa Công nghê thông tin - trường Đại học Điện Lực người tận tình hướng dẫn, bảo em suốt trình làm đồ án Em xin chân thành cảm ơn thầy cô giáo trường Đại Học Điện Lực hết lòng dạy bảo chúng em năm học Đại Học, giúp chúng em có kiến thức kinh nghiệm quý báu chuyên môn sống, giúp chúng em bước bước hành trang vào đời Cuối cùng, em xin chân thành cảm ơn gia đình bạn bè, ln tạo điều kiện, quan tâm, giúp đỡ, động viên em suốt trình học tập hồn thành đồ án tốt nghiệp Lời nói đầu An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm toàn giới Cùng với phát triển mạng Internet, việc đảm bảo an ninh thông tin phải trọng đặt lên hàng đầu Đối với lĩnh vực an ninh mạng, việc phát phòng chống xâm nhập bước đầu việc ngăn chặn công mạng Dù doanh nghiệp nhỏ hay lớn, việc đảm bảo hệ thống an ninh mạng doanh nghiệp không bị xâm nhập yêu cầu đặt lên hàng đầu để phòng chống cơng an ninh mạng có chủ đích Trong xu hướng đó, em mong muốn tìm hiểu nghiên cứu cơng cụ giải pháp an ninh mạng phát phòng chống xâm nhập mạng qua báo cáo thực tập Mặc dù có nhiều cố gắng q trình học tập thời gian thực báo cáo, với lượng kiến thức hạn hẹp nên báo cáo em khơng thể tránh khỏi thiếu sót Chúng em mong nhận góp ý quý báu thầy để báo cáo em hoàn thiện Em xin chân thành cảm ơn! CHƯƠNG 1: TỔNG QUAN VỀ IPS/IDS 1.1 Giới thiệu IPS/IDS 1.1.1 Định nghĩa IDS viết tắt Intrusion Detection System – Hệ thống phát xâm nhập Đây phần mềm chuyên dụng xây dựng để giám sát lưu lượng mạng, đồng thời cảnh báo có hành vi bất thường xâm nhập vào hệ thống Hình 1.1: Vị trí đặt IDS hệ thống mạng Hiện có hai loại hệ thống IDS chính: ● NIDS (Network Intrusion Detection System): Hệ thống phát xâm nhập mạng, hệ thống tập hợp gói tin để phân tích sâu bên nhằm xác định mối đe dọa tiềm tàng mà không làm thay đổi cấu trúc gói tin ● HIDS (Host-based Intrusion Detection System): Hệ thống phát xâm nhập dựa máy chủ, cài đặt trực tiếp máy tính cần theo dõi HIDS giám sát lưu lượng đến từ thiết bị để cảnh báo người dùng xâm nhập trái phép Các hệ thống IDS đại xây dựng để thu thập lưu lượng mạng từ thiết bị thơng qua NIDS HIDS Vì cải thiện đáng kể khả phát xâm nhập hệ thống 1.1.2 So sánh khác IPS IDS Nếu Firewall hệ thống chặn tất truy cập, sau người quản trị cài đặt cho phép số truy cập định vào hệ thống mạng Thì IDS hệ thống giám sát mạng phát hoạt động khơng phù hợp, khơng xác bất thường, IPS hệ thống phát xâm nhập công thực bước chủ động để ngăn chặn chúng Sự khác biệt hai điều không giống IDS, IPS chủ động thực bước để ngăn chặn chặn hành vi xâm nhập phát Các bước ngăn chặn bao gồm hoạt động thả gói liệu độc hại đặt lại chặn lưu lượng truy cập đến từ địa IP độc hại IPS coi phần mở rộng IDS, có khả bổ sung để ngăn chặn xâm nhập phát chúng 1.2 Cơ chế hoạt động hệ thống IPS/IDS Có hai cách tiếp cận việc phát phòng chống xâm nhập là: - Phát lạm dụng (Misuse Detection Model): Hệ thống phát hi n xâm nhập (dựa dấu hiệu - signatures) điểm dễ bị công hệ thống - Phát bất thường (Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 1.2.1 Phát lạm dụng: Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mô tả đặc điểm cách thức xâm nhập vào hệ thống biết đến, cách thức mô tả mẫu Hệ thống phát lạm dụng thực kiểm soát mẫu rõ ràng Mẫu xâu bit cố định (ví dụ virus đặc tả việc chèn xâu), dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Ở đây, ta sử dụng thuật ngữ kịch xâm nhập (intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống bảo vệ thời gian thực ghi kiểm tra ghi lại hệ điều hành