chủ đề tìm hiểu về hệ thống phát hiện xâm nhập snort cài đặt cấu hình tạo luật xây dựng 3 5 kịch bản phát hiện tấn công

Đ¾I HàC ĐÀ NẴNG TR¯àNG Đ¾I HàC KINH T¾

1 Lê Thị Diệu Huyền

2 Phan Thị Minh Hạnh 3 Phạm Băng Băng 4 Nguyễn Thục Đoan

Mục lục

1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS) 3

1 B°ßc 1: Xem số hiệu card m¿ng để chán bắt gói tin 6

1 T¿o luật cảnh báo khi bên ngoài thực hiện PING đ¿n máy chủ Snort 11

2 T¿o luật cảnh báo khi bên ngoài thực hiện PING size có kích th°ßc lßn đ¿n máy chủ

3 T¿o luật cảnh báo khi bên ngoài thực hiện NMAP đ¿n máy chủ Snort 13

Báo cáo Snort I.Tìm hiểu lý thuy¿t

1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS)

- Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng á mức độ cao h¡n IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công - Một tính năng chính của hệ thống IDS là cung cấp thông tin nhận biết về những hành động không bình th°ßng và đ°a ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) Chức năng của IDS:

- Chức năng quan trọng nhất: giám sát -cảnh báo bảo vệ:- ● Giám sát: l°u l°ợng mạng + các hoạt động khả nghi

● Cảnh báo: báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.● Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại - Chức năng má rộng:

● Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể phân biệt đ°ợc đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài

● Phát hiện: dựa vào so sánh l°u l°ợng mạng hiện tại với baseline, IDS có thể phát hiện ra những dấu hiệu bất th°ßng và đ°a ra các cảnh báo và bảo vệ ban đầu cho hệ thống

2 Gißi thiệu về Snort

a/ Snort là gì?

- Snort là một hệ thống phòng chống và phát hiện xâm nhập dựa trên mạng (IDS/IPS) mã nguồn má đ°ợc phát triển bái Sourcefire Kết hợp việc kiểm tra dấu hiệu, giao thức và dấu hiệu bất th°ßng, Snort đã đ°ợc triển khai rộng khắp trên toàn thế giới Với hàng triệu l°ợt download và h¡n 400.000 l°ợt ng°ßi dùng đăng ký, Snort đã trá thành tiêu chuẩn của hệ thống phòng chống và phát

hiện xâm nhập

- Snort có thể chạy trên nhiều nền tảng hệ điều hành khác nhau Snort có thể chạy trên các nền tảng x86 nh° GNU/Linux, FreeBSD, NetBSD và Windows

Ngoài ra nó còn hỗ trợ cả kiến trúc Sparc với các nền tảng hệ điều hành nh°:

Solaris, MacOS-X, HP-UX…

Kiến trúc của Snort gồm 4 phần c¡ bản sau: ● The sniffer (Packet Decoder) ● The Preprocessor

● The Detetion Engine ● The Output

- Hình d°ới đây cung cấp một cái nhìn dễ hiểu về kiến trúc và quy trình xử lý của Snort:

● Packet đ°ợc đ°a vào từ trục mạng chính

● Packet đ°ợc gửi thông qua Preprocessor để xác định xem nó có phải là packet hay không và có giữ nó lại hay không (preprocessor)

● Tiếp đến packet đ°ợc sắp xếp theo theo loại, tùy theo việc có phát hiện đ°ợc xâm nhập hay không mà gói tin có thể đ°ợc bỏ qua để l°u thông tiếp hoặc đ°ợc đ°a vào Log và cảnh báo để xử lý

● Cuối cùng nhiệm vụ của ng°ßi quản trị là xác định xem làm gì với nó (ghi lại và l°u vào c¡ sá dữ liệu)

b/ Luật trong Snort

Để Snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho snort Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó Cụ thể h¡n, tập luật có thể đ°ợc tạo ra để giám sát các nỗ lực quét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều ph°¡ng pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ

thống Tập luật này có thể đ°ợc tạo ra bái ng°ßi quản trị hoặc ng°ßi quản trị có thể truy cập đến trang chủ của snort là: http://www.snort.orgđể lấy về.Thay vì phải phụ thuộc vào nhà cung cấp, một c¡ quan bên ngoài, hoặc phải cập nhật khi có một cuộc tấn công mới hay một ph°¡ng pháp khai thác lỗ hổng mới đ°ợc phát hiện Ng°ßi quản trị có thể viết riêng một luật dành cho hệ thống của mình khi nhìn thấy các l°u l°ợng mạng bất th°ßng và so sánh với bộ luật đ°ợc cộng đồng phát triển ¯u điểm của việc tự viết các luật là có thể tùy biến và cập nhật một cách cực kỳ nhanh chóng khi hệ thống mạng có sự bất th°ßng

Cài đặt Snort vào th° mục C:\SNORT

III.Cấu hình dßch vụ Snort

Má tập tin C:\Snort\etc\snort.conf Chỉnh sửa lại cấu hình IV Xem thông tin dßch vụ Snort

Má cửa sổ lệnh cmd và chuyển đổi th° mục hiện hành là cd C:\Snort\bin Xem th° mục cài đặt: C:\Snort\bin>dir

Xem nội dung tập tin cấu hình: C:\Snort\bin>type C:\Snort\etc\snort.conf

V.Bắt gói tin:

1. B°ßc 1: Xem số hiệu card m¿ng để chán bắt gói tin

Để tiến hành sniffer ta cần chọn card mạng để snort đặt vào chế độ promicous Nếu máy tính có nhiều card hãy sử lệnh snort –W để xác định card mạng:

C:\Snort\bin>snort W –

à đây chọn card số 4 Vì ta thấy card mạng số 4 đang hoạt động

Để xem card mạng nào đang hoạt động thì má cmd và gõ lệnh <ipconfig= sau đó thì ta xem có ip nào trùng với hình trên là đ°ợc

● Để test cấu hình:

Gõ lệnh: snort –i [số card mạng đang mở] –c c:\snort\etc\snort.conf –T (T để test cấu hình)

Ví dụ: chọn card số 4 là: snort -i 4 c c:\snort\etc\snort.conf T – –

● Hiển thị IP và TCP/UDP/ICMP header:

Gõ lệnh: C:\Snort\bin> snort -v -i [số card mạng đang mở]

● Xem thông tin truyền của các ứng dụng:

Gõ lệnh: C:\Snort\bin\> snort -vd -i [số card mạng đang mở]

2 B°ßc 2: Hiển thß thêm các header của gói tin

Gõ lệnh C:\Snort\bin> snort -dev -i [số card mạng đang mở] à đây chọn card số 4

3 B°ßc 3: Bắt gói tin và l°u:

Tiến hành bắt gói tin và l°u vào tập tin trong th° mục C:\Snort\log

C:\Snort\bin>snort -i [số card mạng] -s -l c:\Snort\log

Nhấn Ctrl+C để dừng à đây chọn card số 4

4 B°ßc 4: L°u các gói dữ liệu:

L°u gói dữ liệu bắt đ°ợc vào file log để xem bằng lệnh (dòng lệnh sẽ ghi log các thông tin dữ liệu tại tầng Datalink và TCP/IP)

C:\Snort\bin>snort -dev -i [số card m¿ng] -l c:\snort\log

à đây dùng card số 4 Nhấn Ctrl+C để dừng

VI.T¿o luật:

1 T¿o luật cảnh báo khi bên ngoài thực hiện PING đ¿n máy chủ Snort

● B°ớc 1:

Tạo tập tin luật C:\Snort\rules\myrules.rules:

alert icmp any any -> any any (msg:"Phat hien tham do ICMP"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)

● B°ớc 2: Thêm luật myrules.rules vào step 7 á cấu hình Snort

 B°ớc 4: Bắt đầu ping từ máy khác:

L°u ý: nếu dùng máy ảo thì 2 máy phải ping thông đ°ợc với nhau, phải tắt t°ßng lửa của máy Snort thì mới ping thông đ°ợc

Tại máy thực hiện tấn công gõ lệnh: ping - t <IP máy Snort>

Ví dụ: ping -t 192.168.1.3

● B°ớc 5: Xem nội dung tập tin cảnh báo

Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo.

Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids

2. T¿o luật cảnh báo khi bên ngoài thực hiện PING size có kích th°ßc lßn

đ¿n máy chủ Snort

● B°ớc 1:

Má file C:\Snort\rules\myruls.rules, thêm các các luật sau:

alert icmp $HOME_NET any -> any any (msg: <Size ping lon=; dsize: >50; sid: 2;)

● B°ớc 2: Tại máy Snort thực hiện lệnh để khái động lại chế độ IDS

C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng]

ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i 4

● B°ớc 3: Tại máy ảo win 7 thực hiện lệnh:

ping –l [kích thước gói tin] –f [ip máy Snort] t –

Ví dụ: ping -l 1200 -f 192.168.1.3 -t

● B°ớc 4: Xem nội dung tập tin cảnh báo

Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo.

Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids

3 T¿o luật cảnh báo khi bên ngoài thực hiện NMAP đ¿n máy chủ Snort

Chuẩn bị: một máy tính cài đặt Nmap https://nmap.org/download.html● B°ớc 1: Thêm các luật mới

Má file C:\Snort\rules\myruls.rules, thêm các các luật sau:

alert tcp any any > any 80 (msg: "Identify NMAP TCP Scan [nmap sT -p80 SnortIPAddr]";sid:10000005; rev:2; )

alert tcp any any > any 80 (msg:"Nmap XMAS Tree Scan [nmap sX p80 SnortIPAddr]"; flags:FPU; sid:1000006; rev:1; )

-alert tcp any any -> any 80 (msg:"Nmap FIN Scan [nmap -sF -p80 SnortIPAddr]"; flags:F; sid:1000008; rev:1;)

alert tcp any any -> any any (msg:”TCP Port Scanning”;

detection_filter:track by_src, count 30, seconds 60; sid:1000006; rev:2;) alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "Detect NMAP TCP pings"; sid:97635; rev:1;)

● B°ớc 2: Tại máy Snort thực hiện lệnh để khái động lại chế độ IDS

C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng]

ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i 4

● B°ớc 3: Từ máy khác cài đặt nmap thực hiện:- Má cmd

- Chuyển đổi th° mục hiện hành là cd C:\Snort\bin

- Lần l°ợt gõ các lệnh

nmap -sT -p80 <IP máy Snort> nmap -sX -p80 <IP máy Snort> nmap -sF -p80 <IP máy Snort>

Ví dụ: nmap -sT -p80 192.168.1.7

● B°ớc 4: Xem nội dung tập tin cảnh báo

Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo.

Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids

4 Thi¿t lập luật cảnh báo truy cập Web:

● B°ớc 1: Thêm các luật mới

Má file C:\Snort\rules\myruls.rules, thêm các các luật sau:

alert tcp any any -> any any (content: "www.youtube.com"; msg:"Ban moi truy cap youtube.com"; sid: 100000; rev: 1;)

● B°ớc 2: Tại máy Snort thực hiện lệnh để khái động lại chế độ IDS

C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i [số card m¿ng]

ví dụ: C:\Snort\bin> snort -dve -l C:\Snort\log -c C:\Snort\etc\snort.conf -i 4 ● B°ớc 3: Tại máy Snort/ tại máy ảo (miễn á trong cùng mạng) truy cập

www.youtube.com

● B°ớc 4: Xem nội dung tập tin cảnh báo

Má xem nhật ký C:\Snort\log\alert.ids chứa nội dung cảnh báo.

Hoặc gõ lệnh C:\Snort\bin>type C:\Snort\log\alert.ids