báo cáo an toàn thông tin mạng xây dựng hệ thống ids snort trên nền hệ thống windows server

Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử

MỤC LỤC

MỞ ĐẦU 4

Lí do chọn đề tài 4

Đối tượng và phương pháp nghiên cứu 4

Mục tiêu nghiên cứu 4

Ý nghĩa thực tiễn của đề tài 5

CHƯƠNG I NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT 6

1.1 Giới thiệu về bảo mật 6

1.2 Khái niệm 6

1.3 Tính an toàn của hệ thống mật 7

1.4 Những nguy cơ đe dọa đối với bảo mật 8

1.5 Các lỗ hổng loại C 8

1.6 Các lỗ hổng loại B 9

1.7 Các lỗ hổng loại A 9

1.8 Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa 10

1.8.1 Phương thức tấn công hệ thống DNS 10

1.8.2 Phương thức tấn công Virus và Trojan House 10

1.8.3 Phương thức tấn công để thăm dò mạng 10

1.8.4 Phương thức ăn cắp thông tin bằng Packet Sniffer 11

1.8.5 Phương thức tấn công bằng Mail Relay 11

1.8.6 Phương thức tấn công lớp ứng dụng 12

1.9 Các giải pháp bảo mật an toàn cho hệ thống 12

1.9.1 Bảo mật VPN (Virtual Private Network) 12

1.9.2 Firewall 14

1.10 Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) 15

CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 17

2.1 Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS 17

2.1.1 Định nghĩa về IDS 17

2.2 Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS 20

2.2.1 Phân loại IDS 20

2.2.2 Network based IDS – NIDS 20

2.2.3 Host based IDS – HIDS 21

2.2.4 Cơ chế hoạt động của IDS 22

2.3 Cách phát hiện kiểu tấn công thông dụng của IDS 24

2.3.1 Tấn công vào mật mã 24

2.3.2 Tấn công hạ tầng bảo mật 24

2.3.3 Cài đặt mã nguy hiểm 25

2.3.4 Quét và thăm dò 25

2.3.5 Tấn công từ chối dịch vụ 25

2.3.6 Chiếm đặc quyền 26

2.3.7 Hành động phát hoại trên máy móc 26

CHƯƠNG III: TRIỂN KHAI CÁC DỊCH VỤ 27

3.1 Chuẩn bị các gói phần mềm 27

3.2 Cài đặt WinPcap 27

3.3 Cài đặt và cấu hình Snort 27

3.4 Cấu hình Snort để khởi động hệ thống 34

3.5 Cài đặt và cấu hình MySQL 35

3.6 Tạo cơ sở dữ liệu cho WinIDS 36

3.7 Tạo bảng cho cơ sở dữ liệu của WinIDS 37

3.8 Tạo các xác thực người dùng và truy cập cơ sở dữ liệu của WinIDS 38

3.9 Cài đặt Apache Web Server 40

3.10 Cài đặt và cấu hình PHP 41

3.11 Kiểm tra cài đặt Apache và PHP 41

3.12 Cài đặt ADODB 42

3.13 Cài đặt và cấu hình kiến trúc bảo mật của WinIDS 42

3.14 Thiết lập bảng cơ sở dữ liệu cho WinIDS 43

3.15 Cấu hình đồ họa cho WinIDS 44

3.16 An toàn cho WinIDS 45

3.17 Triển khai thử nghiệm hệ thống 46

CHƯƠNG IV: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ

THỐNG WINDOWS SERVER 48

4.1 Giới thiệu về Snort 48

4.2 Kiến trúc Snort 48

4.3 Thành phần và chức năng của Snort 49

4.3.1 Module giải mã gói tin (Packet Decoder) 50

4.3.2 Module tiền xử lý (Preprocessors) 50

4.3.3 Module phát hiện (Detection Engine) 51

4.3.4 Module log và cảnh báo (Logging and Alerting System) 52

4.3.5 Module kết xuất thông tin (Output Module) 52

4.4 Bộ luật Snort 53

4.4.1 Giới thiệu về bộ luật 53

4.4.2 Cấu trúc luật của Snort 53

4.4.3 Phần Header 54

4.4.4 Phần Option 56

4.5 Các cơ chế hoạt động của Snort 57

4.6 Demo triển khai 58

4.6.1 Mô hình triển khai: 58

4.6.2 Thiết lập bộ luật Snort cảnh báo 58

4.6.3 Triển khai IDScenter 64

TÀI LIỆU THAM KHẢO 70

KẾT LUẬN 71

MỞ ĐẦU

Lí do chọn đề tài

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết

Trong lĩnh vực an ninh mạng, phát triện và phòng chống tấn công xâm nhập cho cách mạng máy tính là một vấn đề cần thiết Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng

sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng

Có rất nhiều giải pháp được đưa ra và để nhằm hạn chế những vấn đề nói trên nhóm chúng em đã chọn đề tài “Xây dựng hệ thống IDS Snort trên hệ thống Windows Server” để nghiên cứu

Đối tượng và phương pháp nghiên cứu

- Tìm hiểu về bảo mật

- Nghiên cứu những phương pháp xâm nhập hệ thống – biện pháo ngăn ngừa

- Nghiên cứu về hệ thống phát hiện xâm nhập IDS

- Nghiên cứu công cụ IDS – Snort

- Xây dựng hệ thống Snort – IDS trên Window Server

- Nghiên cứu và cài đặt Apache, MySQL, WebBase

- Thu thập tài liệu liên quan đến các vấn đề về đề tài

Mục tiêu nghiên cứu

- Tìm hiểu thông tin về bảo mật

- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS

- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort

- Tìm hiểu và sử dụng tốt hệ điều hành Windows Server

- Tìm hiểu phương pháp và triển khai cài đặt IDS Center+Snort, Apache, MySQL,

WebBase

- Tìm hiểu, cài đặt cách xây dựng và bổ sung các luật

- Đưa ra một số nhận định và hướng phát triển đề tài.

Ý nghĩa thực tiễn của đề tài

- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập

- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống

mạng

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

nghiệp

CHƯƠNG I NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT

1.1 Giới thiệu về bảo mật

Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm

Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tụ cập nhật… Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng Những điều ngày dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống Hệ thống IDS Snort trên hệ thống Windows Server là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng…

Từ những vấn đề nêu trên, chúng em chọn đề tài này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống IDS Snort trên hệ thống Windows Server với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS nhằm đảm bảo

an toàn cho hệ thống và chất lượng dịch vụ cho người dùng…

Khái niệm bảo mật chia thành 3 lĩnh vực chính:

- Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers

- Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng

- Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet

Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet) Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi

thông tin

1.3 Tính an toàn của hệ thống mật

Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính:

- Thông tin – bí mật: Thông tin chỉ cung cấp tới những người một cách chính đáng khi có dự truy nhập hợp pháp tới nó

- Thông tin – toàn vẹn: Thông tin chỉ được điều khiển (sửa đổi, thay thế v,v…) bởi những người được ủy thác

- Thông tin – sẵn sàng: Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu

Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau:

- Xác thực (Authentication): là các tiến trình xử lý nhằm xác định nhận dạng thực thể liên kết Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm

- Ủy quyền (Anthorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống

- Tính bảo mật (Confidentiality): nhằm đảo bảm dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập

- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa, xóa

và xem lại những thông điệp đã được truyền

Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đổi với nhóm được ghép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống

1.4 Những nguy cơ đe dọa đối với bảo mật

Các nguy cơ an ninh xuất hiện từ những khả năng:

- Sự lạm dụng máy tính của bạn bởi những người làm phiền qua Internet

- Đối mặt thường xuyên khi làm việc trên Internet

- Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không hợp lệ…

Chính các nguy cơ này làm bộc lộ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hổng) mà kẻ xấu có thể lợi dụng để truy nhập bất hợp pháp hoặc hợp pháp vào máy tính của bạn Các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là: sự ngưng trệ của dịch vụ, cấp thêm đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống Hiện nay trên thế giới có nhiều cách phân loại khác nhau về lỗ hổng của hệ thống mạng Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức

độ tác hại hệ thống

1.5 Các lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services – Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng

dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả

là server đáp ứng chậm hoặc không thể đạp ứng các yêu cầu từ client gửi tới Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một

thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống

1.6 Các lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tích hợp lệ Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình Những lổ hổng này thường có trong các ứng dụng trên

hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật

Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người dùng sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B

1.7 Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống Các lỗ hổng loại A này đe dọa tính toàn vẹn và bảo mật của hệ thống Thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng

sẽ có thể bỏ qua những điểm yếu này

Tuy nhiên, không phải bất kì lỗ hổng bảo mật nào cũng nguy hiểm đến hệ thống Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống

Dựa vào kẻ hở của các lỗ hổng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm khống chế và nắm quyền kiểm soát trên mạng Cho đến nay,

một hoặc nhiều máy tính đang nối mạng của người khác Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi, phá hủy dữ liệu Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ

1.8 Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa 1.8.1 Phương thức tấn công hệ thống DNS

DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng

Biện pháp phát hiện và ngăn ngừa:

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

1.8.2 Phương thức tấn công Virus và Trojan House

Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house

Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó

Trojan house thì hoạt động khác hơn Một ví dụ về Trojan house là một phần mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó Biện pháp phát hiện và ngăn ngừa: Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới

1.8.3 Phương thức tấn công để thăm dò mạng

Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan

Biện pháp phát hiện và ngăn ngừa: Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoán lỗi do đâu NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng

1.8.4 Phương thức ăn cắp thông tin bằng Packet Sniffer

Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên mạng Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin khác trao đổi trong mạng

Biện pháp phát hiện và ngăn ngừa:

- Authentication : Kỹ thuật này được thực hiện bao gồm 2 yếu tố: Personal Identificaiton number (PIN) để xác thực một thiết bị hoặc một phần mềm ứng dụng Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không còn giá trị vì hết hạn

- Mã hóa: Tất cả thông tin lưu chuyển trên mạng đều được mã hóa Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa Cisco dùng giao thức IPSec để mã hóa dữ liệu

1.8.5 Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình không chuẩn hoặc Username/password bị lộ Hacker có thể lợi dụng email server để gửi mail gây ngập mạng, phá hoại hệ thống email khác

Biện pháp phát hiện và ngăn ngừa:

- Giới hạn dung lượng Mail box

- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP

1.8.6 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall

Biện pháp phát hiện và ngăn ngừa:

- Lưu lại file log và thường xuyên phân tích file log

- Luôn cập nhật các patch cho OS và các ứng dụng

- Dùng IDS, có 2 loại IDS: HIDS, NIDS

1.9.1 Bảo mật VPN (Virtual Private Network)

Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa thích VPN cho phép kết nối với những người dùng ở xa, các văn phòng chỉ nhánh của bộ, công ty và các đối tác đang sử dụng một mạng công cộng

VPN cung cấp các thỏa thuận về chất lượng dịch vụ (QoS – Quality of Service)

là một thuật ngữ dùng để chỉ chất lượng của một hệ thống truyền thông hay một kết nối truyền thông trong mạng

Ưu điểm của VPN:

- Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền Truy cập mọi lúc mọi nơi

- Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập

vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ

- Giảm chi phí quản lý và hỗ trợ: với quy mô kinh tết, các nhà cung cấp dịch

vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị

so với việc tự quản lý mạng

Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa

(Remote - Access) và VPN điểm nối điểm (site-to-site)

- VPN truy cập từ xa (Remote - Access)

Hình 1 Mô hình VPN client to site VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa

- VPN điểm nối điểm (site-to-site)

Hình 2 Mô hình VPN site-to-site VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet

 Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN

nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung

1.9.2 Firewall

Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được thiết lập

Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống

Hình 3 Mô hình tổng quát Firewall

Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ dàng Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng địa chỉ, gói tin

- Các thành phần của Firewall: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau:

 Bộ lọc packet

 Cổng ứng dụng

 Cổng mạch

 Bộ lọc gói tin

- Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một

trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp

vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

- Hạn chế

 Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, vá các giá trị cụ thể mà họ có thể nhận trên môi trường

 Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

1.10 Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập)

IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống Có 2 dạng chính đó là : Network bases-IDS và Host based-IDS

IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an nình của

sự kiện cảm biến được cho là đáng báo động

- Hệ thống phát hiện xâm nhập phần mềm (Snort): Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yêu cầu để có thể cài đặt Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh báo, một máy chủ khá mạng Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất Snort có thể chạy trên các hệ điều hành như window, linux…

- Hệ thống phát hiện xâm nhập phần cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như: Cisco IDS 4235, Cisco IPS 4.200

CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp lí để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập

IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với baseline để tìm ra các dấu hiệu khác thường

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

- Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực

- Tính toàn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương lai

- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công

- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện

Hình minh họa các vị trí thường cài đặt IDS trong mạng:

Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiện Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng

Vài trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể

phát hiện được các hành động nghi ngờ Bộ cảm biến cũng có cơ sở dữ liệu riêng của nó, gồm dữ liệu lưu về các xâm nhập phức tạp tiềm ẩn

b Nguyên lý hoạt động

Hình 7 Hoạt động của IDS

Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:

- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng

- Sư phân tích (analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công

- Xuất thông tin cảnh báo (response): Hành động cảnh báo cho sự tấn

công được phân tích ở trên nhờ bộ phận (thông báo)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai

2.1.3 Chức năng của IDS

- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ

 Giám sát: lưu lượng mạng và các hoạt động khả nghi

 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

 Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có những hành động thiết thực để chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng:

 Phân biệt: tấn công bên trong và tấn công bên ngoài

 Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng

2.2 Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS

2.2.1 Phân loại IDS

- Network based IDS – NIDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

- Host based IDS – HIDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy

trạm đơn để phát hiện xâm nhập

2.2.2 Network based IDS – NIDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn

Được đặt giữa kết nối hệ thống bên trong và bên ngoài để giám sát toàn bộ lưu lượng vào ra Chủ yếu dùng để đo lưu lượng mạng được sử dụng

Hình 8 Mô hình Network based IDS – NIDS

Ưu điểm:

- Quản lý được cả một network segment

- “Trong suốt” với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS (Operating System) Nhược điểm:

- Có thể xảy ra trường hợp báo động giả

- Không thể phân tích các traffic đã được encrypt

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự

an toàn

- Không cho biết việc attack có thành công hay không

- Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy

2.2.3 Host based IDS – HIDS

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được

HIDS thương được cài đặt trên một máy tính nhất định Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm:

Hình 9 Mô hình Host based IDS – HIDS

Ưu điểm

- Có khả năng xác định user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hóa

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Nhược điểm

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

- Khi OS bị “hạ” do tấn công, đồng thời HIDS cũng bị “hạ”

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat,…)

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị DOS

2.2.4 Cơ chế hoạt động của IDS

Có 2 cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:

- Phát hiện sự lạm dụng: Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến hoặc các điểm dễ bị tấn công của hệ thống

- Phát hiện sự bất thường: Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng

hay hệ thống

a Mô hình phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò

ra kịch bản đang được tiến hành

Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật để

mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích lũy dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép biển đổi trạng thái Hệ thống phải thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhật của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm ra các thay đổi, các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định nghĩa rõ ràng, còn dnah giới giữa hành

vi hợp lệ và hành vi bất thường thì khó xác định hơn

Hiệu quả trong việc phát hiện các

dạng tấn công hay các biến thể của các

Hiệu quả trong việc phát hiện các dạng tấn công mới mà một hệ thống

Dễ cấu hình hơn do đòi hỏi ít hơn về

thu thập dữ liệu, phân tích và cập nhật

Khó cấu hình hơn vì đưa ra nhiều dữ liệu hơn, phải có được một khái niệm toàn diện về hành vi đã biết hay hành vi được mong đợi của hệ thống

Đưa ra kết luận dựa vào phép so khớp

mẫu

Đưa ra kết quả dựa vào độ lệch giữa thông tin thực tế và ngưỡng cho phép

Có thể kích hoạt một thông điệp cảnh

báo nhờ một dấu hiệu chắc chắn, hoặc

cung cấp dữ liệu hỗ trợ cho các dấu

hiệu khác

Có thể hỗ trợ việc tự sinh thông tin hệ thống một cách tự động nhưng cần có thời gian và dữ liệu thu thập được phải

rõ ràng

Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn

kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật

mã để mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụn được để xác định mã đúng

- Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file đã bị mã hóa Trong khi đó Host-base IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã

2.3.2 Tấn công hạ tầng bảo mật

Có nhiều loại tấn công can thiệp vào việc điểu khiển cơ bản của có sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của file Tấn công vào cơ sở hạ tầng cho phép kẻ xâm

nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng

Giải pháp của IDS: Host-based IDS có thể bắt giữ các cuộc đăng nhập mà

thực hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đang nghi

2.3.3 Cài đặt mã nguy hiểm

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp theo

- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dấn đến một số hành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống, file của ứng dụng hay dữ liệu

- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, thường có hại, nhưng không có mục đích nhân bản

- Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm

2.3.4 Quét và thăm dò

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng hacker có thể được sử dụng để gây hại cho hệ thống Các công cụ quét và thăm dò như: SATAN, ISS Internet Scanner…Việc thăm dò có thể được thực hiện

bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP, UDP để phát hiện

ra ứng dụng có những lỗi đã được biết đến Vì vậy các công cụ này có thể là công

cụ đắc lực cho mục đích xâm nhập

2.3.5 Tấn công từ chối dịch vụ

Mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích Cuối cùng mục tiêu trở nên không thể tiếp cận và không thể trả lời DoS tấn công

- Phá hoại Network: kiểu tấn công SYN flood là một dạng tấn công từ chối dịch vụ, kẻ tấn công sẽ gửi các gói tin kết nối SYN đến hệ thống

- Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop…các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước

- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web,…

- Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong luốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin

2.3.6 Chiếm đặc quyền

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập Khi thành công, chúng đã chiếm được hệ thống Một số kĩ thuật thường dùng cho việc chiếm đặc quyền:

- Đoán hay bẻ khóa của root hay administrator

- Gây tràn bộ đệm

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thằm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng

- Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc

đó xảy ra trên thiết bị chủ

2.3.7 Hành động phát hoại trên máy móc

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa

Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến phá hoại trên máy móc Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa

CHƯƠNG III: TRIỂN KHAI CÁC DỊCH VỤ

Bước 3: Cài đặt WinPcap_4_1_2.exe, nhấn Next  Next  I Agree Finish

3.3 Cài đặt và cấu hình Snort

Bước 4: Cài đặt Sort_2_8_5_2_Installer.exe I Agree  Next  Next  Chọn đường dẫn cho thư mục cài đặt là C:\Snort

Tiếp theo nhấn Next  Close  OK

Bước 5: Copy tất cả nội dung trong thư mục:

snortrules-snapshot-CURRENT.zip ngoài Desktop vào thư mục C:\Snort

Bước 6: Mở file snort.conf trong thư mục C:\Snort\etc thay đổi nội dung như sau: Triền khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24:

- Thay dòng: var HOME_NET any

Bằng: var HOME_NET 192.168.255.0/24

- Thay dòng: var EXTERNAL_NET any

Bằng: var EXTERNAL_NET !$HOME_NET

Khai báo đường dẫn đến các luật

- Thay dòng: var RULE_PATH …/rules

Bằng: var RULE_PATH c:\snort\rules

- Thay dòng: var PREPROC_RULE_PATH /preproc_rules

Bằng: var PREPROC_RULE_PATH c:\snort\preproc_rules

- Phía dưới dòng: # output log_tcpdump: tcpdump.log

Thêm dòng: output alert_fast: alert.ids

- Thay dòng:

# output database: log, mysql, user=root password=test dbname=db

Bằng output database: log, mysql, user=snort password=123456

dbname=snort host=localhost sensor_name=WinIDS

Khai báo các biến include classification.config và reference.config

- Thay dòng : include classification.config

Bằng : include c:\snort\etc\classification.config

- Thay dòng: # include $PREPROC_RULE_PATH/preprocessor.rules

Lưu và đóng file snort.conf Ta đi kiểm tra cài đặt Snort

Bước 7: Mở cửa sổ DOS và gõ lệnh cd c:\snort\bin, xem thư mục cài đặt:

Tại dấu nhắt lệnh gõ: dir

Xem nội dung tập tin snort.conf

Gõ lệnh type c:\snort\etc\snort.conf

Bước 8: Tại dấu nhắc lệnh, gõ snort –W Đây là câu lệnh cho phép ta xem số liệu card mạng

Bước 9: Tại dấu nhắc lệnh, gõ snort –v –ix, x là số hiệu card mạng có được từ bước

8 Sau đó mở trình duyệt và truy cập vào 1 trang web bất kỳ Việc làm này là để xuất hiện các gói tin đi qua card mạng

Bước 10: Xem kết quả bắt gói tin

Hiển thị IP và TCP/UDP/ICMP header

Dùng lệnh snort –v –i1

Xem thông tin truyền của các ứng dụng

Dùng lệnh snort –vd –i1

Hiển thị thêm các header của gói tin tại tầng Data Link

Dùng lệnh snort –dev –i1

Bước 11: Hiển thị thêm các header của gói tin tại tầng Data Link:

Thực hiện lệnh: snort – dev –i 1

Kết quả hiển thị sau khi máy client ping đến

Bước 12: Bắt gói tin và lưa vào tập tin log

Dùng lệnh snort –i 1 –s –l c:\snort\log

Kết quả tập tin log được tạo

3.4 Cấu hình Snort để khởi động hệ thống

Bước 14: Tại dấu nhắc lệnh của cửa sổ DOS, gõ cd c:\snort\bin

Bước 15: Tại dấu nhắc lệnh, gõ:

Snort /SERVICE /INSTALL –c c:\snort\etc\snort.conf –l c:\snort\log –K ascii –ix

Với x là số hiệu card mạng mà ta đã biết khi sử dụng lệnh snort –W ở bước 8 Nếu

nhận được thông báo [SNORT_SERVICE] Successfully added the Snort service to the

Services database thì có nghĩa là Snort đã được cài đặt thành công

 Snort đã được cài đặt thành công

Bước 15: Tại dấu nhắc lệnh, gõ: sc config snortsvc start= auto Nếu nhận được

thông báo [SC] ChangeServiceConfig SUCCESS  dịch vụ tự động khởi động của Snort đã được thành công

3.5 Cài đặt và cấu hình MySQL

Bước 16: Cài đặt mysql_5.1.44.exe bắt đầu quá trình cài đặt chọn Next  Custom

 Next  Change trong ô Folder Name chọn đường dẫn cài đặt c:\mysql

Chọn OK  Next … Configure the MySQL Server Now  Finish

Bước 17: Bấm Next  Standard Configuration  Next  Include Bin Directory

in Windows Path