HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Cán hướng dẫn: Lê Đức Thuận Sinh viên thực hiện: Trịnh Văn Dũng Đào Thu Hường Lớp: L02 HÀ NỘI 2016 Tieu luan BÁO CÁO THỰC TẬP CƠ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  Đề tài thực tập sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT Nhận xét cán hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bộ hướng dẫn Tieu luan BÁO CÁO THỰC TẬP CƠ MỤC LỤC BẢNG KÝ HIỆU DANH MỤC BẢNG BIỂU DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU PHẦN : TỔNG QUAN ĐỀ TÀI 1.1 Lý chọn đề tài 1.2 Phân tích trạng 1.3 Nội dung nghiên cứu 1.4 Ý nghĩa thực tiễn của đề tài PHẦN : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS 10 2.1 Giới thiệu IDS/IPS 10 2.1.1 Định nghĩa 10 2.1.3 Sự khác IDS IPS 11 2.2 Phân loại IDS/IPS 12 2.2.1 Network based – NIDS/NIPS/NIPS 12 2.2.2 Host based - HIDS/HIPS 14 2.3 Cơ chế hoạt động của hệ thống IDS/IPS 15 2.3.1 Phát lạm dụng 15 2.3.2 Phát bất thường 16 2.3.3 So sánh hai mơ hình 18 2.3.4 Phát thông qua Protocol 20 2.4 Một số sản phẩm của IDS/IPS 21 PHẦN : TỔNG QUAN VỀ SNORT - IDS/IPS 23 3.1 Giới thiệu snort 23 3.2 Kiến trúc của Snort 23 3.2.1 Modun giải mã gói tin 24 3.2.2 Mô đun tiền xử lý 24 3.2.3 Module phát 25 3.2.4 Module log cảnh báo 26 3.2.5 Mô đun kết xuất thông tin 26 3.3 Bộ luật của snort 27 3.3.1 Giới thiệu 27 Tieu luan BÁO CÁO THỰC TẬP CƠ 3.3.2 Cấu trúc luật Snort 27 3.4 Tổng quan Iptables 37 3.4.1 Iptables ? 37 3.4.2 Cơ chế xử lý gói tin iptables 37 3.4.3 Các target 39 3.4.4 Các tham số chuyển mạch quan trọng Iptables 40 3.5 Chế độ ngăn chặn của Snort : Snort – Inline mode kết hợp iptables 40 3.5.1 Tích hợp khả ngăn chặn vào Snort 40 3.5.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode 41 3.5.3 Chế độ Inline mode (Snort IPS) 41 PHẦN 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT 43 4.1 Mơ hình thử nghiệm 43 4.2 Thử nghiệm phát ngăn chặn của snort 43 4.2.1 Ping Of Death attack prevent 43 4.2.2 Port scan Nmap Attack Prevent 45 PHẦN 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 47 PHẦN 6: PHỤ LỤC 48 6.1 Tài liệu thao khảo 48 6.2 Cài đặt cấu hình chi tiết Snort IDS/IPS 48 6.2.1 Cài đặt snort IDS 48 6.2.2 Cài đặt snort IPS: snort inline mode 53 6.3 Cài đặt BASE quản lý phân tích Snort Log web 55 6.4 Mợt số phương thức cơng cách phịng chống 60 6.4.1 ARP Spoofing Attack 60 6.4.2 SYN Flood Attack 61 6.4.3 Zero Day Attack 62 6.4.4 DOS - Ping Of Death Attack 62 Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ BẢNG KÝ HIỆU IDS - Intrusion Detection System: Hệ thống phát xâm nhập IPS - Intrusion Prevention Systems: Hệ thống ngăn chặn xâm nhập VPN - Virtual Private Network: Mạng riêng ảo DMZ - Demilitarized Zone: Vùng mạng vật lý chứa dịch vụ bên tổ chức UTM - Unified Threat Management: Giải pháp bảo mật toàn diện HIDS - Host Intrusion Detection System: Hệ thống phát xâm nhập host NIDS - Network Intrusion Detection System: Hệ thống phát xâm nhập mạng HIPS - Host-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập host NIPS - Network-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập mạng DDOS - Distributed Denial of Service: Từ chối dịch vụ phân tán FTP - File Transfer Protocol: Giao thức truyền tập tin FDDI - Fiber Distributed Data Interface: Công nghệ mạng cao tốc SLIP - Serial Line Internet Protocol: Giao thức truyền thông internet PPP - Point-to-Point Protocol: Giao thức liên kết liệu TCP - Transmission Control Protocol: Giao thức điều khiển truyền vận UDP - User Datagram Protocol: Giao thức truyền vận không tin cậy DNS - Domain Name System: Hệ thống phân giải tên miền SNMP - Simple Network Management Protocol: Giao thức quản lý mạng đơn giản IP - Internet Protocol: Giao thức kết nối internet ICMP - Internet Control Message Protocol: Giao thức điều khiển gói tin mạng SSH - Secure Shell: Giao thức kết nối bảo mật Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ DANH MỤC BẢNG BIỂU Bảng So sánh hai mơ hình phát Bảng Các cờ sử dụng với từ khoá flags Bảng Các loại queues chain chức Bảng Miêu tả các target mà iptables thường dùng Bảng Các tham số chuyển mạch (switching) quan trọng Iptables DANH MỤC HÌNH VẼ Hình Đặt trước Firewall Hình Đặt Firewall DMZ Hình Là module giải pháp UTM Hình Hệ thống kết hợp hai mơ hình phát Hình 5: Cấu trúc IP Header Hình 6: Cấu trúc TCP Header Hình Mơ hình kiến trúc hệ thống Snort Hình Xử lý gói tin Ethernet Hình Cấu trúc luật Snort Hình 10 Header luật Snort Hình 11 Mơ hình cơng thử nghiệm Snort IDS/IPS Hình 12 Snort IDS phát Ping Of Dead từ Attacker Hình 13 Snort IPS phát chặn thành công Ping Of Dead từ Attacker Hình 14 Snort IDS phát thành cơng gói tin có giao thức TCP SYN FIN scan từ Attacker Hình 15 Snort IDS hoạt động thành cơng Hình 16 Snort IDS phát Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13 Hình 17 Snort IPS phát chặn (DROP) gói PING icmp từ Attacker Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker Hình 19 Giao diện BASE web Hình 20 Xem ARP Cache Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ LỜI NÓI ĐẦU Năm 2015 quý 1/2016, tình hình an ninh mạng giới tiếp tục diễn biến phức tạp, liên tục phát vụ công, xâm nhập vào hệ thống máy tính quan phủ, tổ chức trị, ngành cơng nghiệp, kinh tế mũi nhọn, hãng hàng không lớn, quan truyền thông, tổ chức y tế, giáo dục nhiều quốc gia nhằm phá hoại, đánh cắp liệu, thu thập thơng tin tình báo liên quan đến sách kinh tế, trị, an ninh, quốc phịng đối ngoại Nổi lên vụ công vào hệ thống thư điện tử Bộ Ngoại giao, hệ thống máy tính Nhà Trắng, Cơ quan quản lý nhân Chính phủ Mỹ… Trong đó, tình hình an ninh mạng Việt Nam diễn biến phức tạp không Nổi bật lên thời gian gần cơng vào hệ thống Vietnam Airlines hôm 29/07 vừa qua Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành cơng việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống phát ngăn chặn thâm nhập trái phép (IDS/IPS) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Chúng em chân thành cảm ơn thầy Lê Đức Thuận tận tình hướng dẫn giúp chúng em hồn thành thực tập sở chuyên ngành Mặc dù cố gắng hoàn thành đề tài lĩnh vực lạ phát triển mạnh nên cịn nhiều thiếu sót Chúng em mong tiếp nhận ý kiến, nhận xét từ quý thầy cô Chúng em xin chân thành cảm ơn Sinh viên thực : Trịnh Văn Dũng: SĐT : 01646568864 Email: dungtv94@gmail.com Đào Thu Hường: SĐT : 0972773240 Email: thuhuong160994@gmail.com Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ Hình 18 Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker 6.3 Cài đặt BASE quản lý phân tích Snort Log web BASE (Basic Analysis and Security Engine) cung cấp trang web front-end để truy vấn phân tích cảnh báo từ Snort Các cảnh báo gửi đến sở liệu MySQL, tính cung cấp barnyard2 Barnyard2 hệ thống đầu cho Snort, đọc ghi nhị phân từ snort sử dụng định dạng unified2 sau gửi lại thông tin ghi tới sở liệu user thiết lập mysql →Yêu cầu: cài sẵn PHP, Mysql, httpd  Cài đặt gói yêu cầu cho BASE: # pear channel-update pear.php.net # pear install Mail Mail_mime # pear install Numbers_Roman # pear install Image_Color-1.0.4 # pear install Image_Canvas-0.3.5 # pear install Image_Graph-0.8.0 Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ  Tạo sở database cho snort: # mysql -u root -p mysql> create database snort; mysql> grant select,insert,update,delete,create on snort.* to snort@localhost; mysql> set password for snort@localhost=PASSWORD('123456'); mysql> flush privileges; mysql> exit  Cấu hình định dạng đầu snort log theo dạng unified2: # vim /etc/snort/snort.conf output unified2: filename snort.u2, limit 128  Cài đặt barnyard2: # cd /root/ips # wget https://github.com/firnsy/barnyard2/archive/v2-1.13.tar.gz # tar -xzvf v2-1.13.tar.gz # cd barnyard2-2-1.13 # autoreconf -fvi -I /m4 # /configure with-mysql with-mysql-libraries=/usr/lib64/mysql # make && make install Tạo script cho barnyard2 chạy startup: # cp rpm/barnyard2 /etc/init.d/ # chmod +x /etc/init.d/barnyard2 # cp rpm/barnyard2.config /etc/sysconfig/barnyard2 Create links for Barnyard files and create archive directory: # ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf # ln -s /usr/local/bin/barnyard2 /usr/bin/ # mkdir /var/log/barnyard2 Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ # chkconfig add barnyard2 # cp etc/barnyard2.conf /etc/snort/ # mysql -u snort -p snort < schemas/create_mysql # chown snort:snort /var/log/barnyard2 # touch /var/log/barnyard2/barnyard2.waldo # chown snort:snort /var/log/barnyard2/barnyard2.waldo # touch /etc/snort/rules/sid-msg.map # touch /etc/snort/rules/gen-msg.map # vim /etc/snort/barnyard2.conf config reference_file: /etc/snort/reference.config config classification_file: /etc/snort/classification.config config gen_file: /etc/snort/rules/gen-msg.map config sid_file: /etc/snort/rules/sid-msg.map input unified2 config hostname: localhost config interface: eth0 config alert_with_interface_name output database: host=localhost log, mysql, user=snort password=123456 dbname=snort # vim /etc/init.d/barnyard2 # chkconfig: 2345 70 60 BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w $WALDO_FILE -l $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS" Edit LOG_FILE variable in Barnyard sysconfig file: # vim /etc/sysconfig/barnyard2 LOG_FILE="snort.log" Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ # service barnyard2 restart Xem kiểm tra: # /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth1:eth0 -D -A console  Khởi động lại snort: # /etc/init.d/snortd restart  Cài đặt Adodb: # cd /root/ips # wget http://jaist.dl.sourceforge.net/project/adodb/adodb-php5-only/adodb-520-forphp5/adodb-5.20.6.zip # unzip adodb-5.20.6.zip # mv adodb5 /var/www/adodb  Cài đặt BASE: # cd /root/ips # wget http://nchc.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base1.4.5.tar.gz # mkdir /var/www/html/base # tar -xzvf /root/ips/base-1.4.5.tar.gz # cp -r base-1.4.5/* /var/www/html/base # chown -R snort:snort /var/www/html/base # cd /var/www/html/base # cp base_conf.php.dist base_conf.php # chmod 755 /var/www/html/base/base_conf.php # vim /var/www/html/base/base_conf.php $BASE_urlpath = '/base'; $DBlib_path = '/var/adodb'; $alert_dbname = 'snort'; Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ $alert_host = 'localhost'; $alert_port = '3306'; $alert_user = 'snort'; $alert_password = '123456'; # chmod 777 /var/www/html/base  Cấu hình Apache: # vim /etc/httpd/conf/httpd.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all Alias /adodb/ "/var/adodb/" AllowOverride None Order allow,deny Allow from all # vim /etc/httpd/conf.d/base.conf Alias /base /var/www/html/base/ AllowOverride None Order allow,deny Allow from all AuthName "Snort IDS" AuthType Basic AuthUserFile /etc/snort/base.passwd Require valid-user Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ  Tạo file để truy cập web cho database: # htpasswd -c /etc/snort/base.passwd snortadmin # service httpd restart # chcon -R -t httpd_sys_content_t /var/www/html/base/ # chcon -R -h -t httpd_sys_content_t /var/www/adodb # vim /var/www/html/base/base_main.php date_default_timezone_set('Asia/Ho_Chi_Minh'); →Truy cập giao diện web để cài đặt base quản lý: http://192.168.0.100/base/base_db_setup.php Hình 19 Giao diện BASE web 6.4 Mợt số phương thức cơng cách phịng chống 6.4.1 ARP Spoofing Attack Đây hình thức cơng Man in the middle (MITM) đại có xuất sứ lâu đời (đơi cịn biết đến với tên ARP Poison Routing), công cho phép kẻ công nằm subnet với nạn nhân nghe trộm Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT BÁO CÁO THỰC TẬP CƠ tất lưu lượng mạng máy tính nạn nhân Đây loại cơng đơn giản lại hình thức hiệu thực kẻ cơng Cách phịng chống: Mã hóa ARP cache Một cách bảo vệ chống lại vấn đề khơng an tồn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép bạn bổ sung entry tĩnh vào ARP cache Bạn xem ARP cache máy tính Windows cách mở Commad Prompt gõ lệnh arp –a Hình 20: Xem ARP Cache Có thể thêm entry vào danh sách cách sử dụng lệnh: arp –s Trong trường hợp, nơi cấu hình mạng bạn khơng thay đổi, bạn hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply 6.4.2 SYN Flood Attack Syn flood dạng công từ chối dịch vụ, kẻ cơng gửi gói tin kết nối SYN đến hệ thống Đây loại công phổ biến Loại công nguy hiểm hệ thống cấp phát tài nguyên sau nhận gói tin SYN từ kẻ cơng trước nhận gói ACK Cách phịng chống: Sử dụng Iptables Snort IPS  Sử dụng Iptables: # iptables -A INPUT –p tcp syn –m limit limit 1/s limit -burst -j RETURN Tất kết nối đến hệ thống phép theo thơng số giới hạn sau: • • limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây) limit-burst 3: Số lương gói tin khởi tạo tối đa phép Tieu luan (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT (TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT