PHẦN 1: Công cụ Snort – Tìm hiểu , Cài đặt1.1 : Giới thiệu chung về Snort1.2 : Triển khai hệ thốngPHẦN 2: Cơ sở lý thuyết Scan port2.1 : Nguyên tắc và phương thức Scan Port2.2 : Công cụ NmapPHẦN 3 : xây dựng kịch bản – triển khai thử nghiệmKịch bản 1Kịch bản 2Kịch bản 3GiỚI THIỆU CHUNG VỀ SNORTSnort được phát triển năm 1998 bởi Sourcefire và CTO Martin RoeschPhần mềm miễn phí mã nguồn mởKhả năng phát hiện và phòng chống xâm nhập trái phép, phân tích thời gian thực lưu lượng mạng, và ghi log gói tin trên nền mạng IP.Công nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất hiện naySnort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó phát hiện nhiều kiểu thăm dò và tấn công
AN NINH MẠNG ĐỀ TÀI :CÔNG CỤ SNORT – MODULE SCAN PORT NỘI DUNG TRÌNH BÀY PHẦN 1: Công cụ Snort – Tìm hiểu , Cài đặt 1.1 : Giới thiệu chung Snort 1.2 : Triển khai hệ thống PHẦN 2: Cơ sở lý thuyết Scan port 2.1 : Nguyên tắc phương thức Scan Port 2.2 : Công cụ Nmap PHẦN : xây dựng kịch – triển khai thử nghiệm Kịch Kịch Kịch PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Snort phát triển năm 1998 Sourcefire CTO Martin Roesch Phần mềm miễn phí mã nguồn mở Khả phát phòng chống xâm nhập trái phép, phân tích thời gian thực lưu lượng mạng, ghi log gói tin mạng IP Công nghệ phát phòng chống xâm nhập sử dụng rộng rãi Snort thực phân tích giao thức tìm kiếm nội dung, từ phát nhiều kiểu thăm dò công PHẦN 1: CÔNG CỤ SNORT Snort sử dụng với kiểu : -Packet sniffer -Packet logger -Hệ thống phát phòng chống xâm nhập hoàn chỉnh - Inline (trong Linux) PHẦN 1: CÔNG CỤ SNORT PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Thành phần 1: Packet Decoder Packet Decoder thiết bị gắn vào hệ thống mạng Chức lắng nghe tất liệu trao đổi hệ thống mạng, phân tích gói liệu thô bắt mạng phục hồi thành gói liệu hoàn chỉnh Dữ liệu sau xử lý input cho hệ thống dectection engine PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Thành phần 2: Preprocessors chuẩn bị gói liệu để phân tích cho việc thiết lập rule detection engine PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Thành phần 3: Detection Engine: Là thành phần quan trọng hệ thống IDS Chịu trách nhiệm phát có hành vi xâm nhập gói Áp dụng rules cho gói tin PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Thành phần Logging Alerting System: Thông báo cho quản trị mạng ghi nhận lại hành động xâm nhập hệ thống Hiện có dạng logging kiểu alerting CHƯƠNG 2: SCAN PORT CÁC NGUYÊN TẮC VÀ PHƯƠNG THỨC SCAN PORT Trên gói TCP/UDP có 16 bit dành cho Port Number điều có nghĩa có từ – 65535 cổng Các cổng cổng thường chia thành phạm Vi Well Known Ports (0 – 1023): cổng phổ biến, biết, thường kèm với chuẩn dịch vụ hệ thống Ví dụ: telnet (23/tcp), www-http (80/tcp), ftp (21), ssh (22/tcp)… Registered Ports (1024 – 49151): Các cổng sử dụng riêng cho chương trình, dịch vụ cụ thể Radius - RADIUS Authentication Protocol (1812), Microsoft Internet Name Server Dynamic and/or Private Ports (49152 – 65535): Các cổng động không công khai CHƯƠNG 2: SCAN PORT Dựa vào nguyên tắc truyền thông tin TCP SYN Scan FIN Scan NULL Scan Sure XMAS Scan Sorry TCP Connect ACK Scan CHƯƠNG 2: SCAN PORT UDP Scan Nếu gói tin truyền TCP để đảm bảo toàn vẹn gói tin truyền tới đích Gói tin truyền UDP đáp ứng nhu cầu truyền tải liệu nhanh với gói tin nhỏ UDP không chứa thông số Flag, sử dụng phương thức Scan port TCP sử dụng cho UDP CHƯƠNG 2: SCAN PORT 2.2 CÔNG CỤ NMAP Nmap tool scan port mạnh danh từ lâu giới hacker tin dùng hỗ trợ toàn phương thức scan port, hỗ trợ phương thức scan hostname, service chạy hệ thống đó… CHƯƠNG 2: SCAN PORT Các dạng Scan nmap hỗ trợ Nmap –sT: chữ s – Scan, chữ T dạng TCP scan Nmap –sU: sử dụng UDP Scan Nmap –sP: sử dụng Ping để scan Nmap –sF: sử dụng FIN Scan Nmap –sX: sử dụng phương thức XMAS Scan Nmap –sN: sử dụng phương thức NULL Scan Nmap –sV: sử dụng để Scan tên ứng dụng version Nmap –SR /I RPC sử dụng để scan RPC CHƯƠNG 2: SCAN PORT Các option cao cấp kết hợp với dạng Scan Nmap O: sử dụng để biết hệ điều hành chạy máy chủ ví ta dùng Nmap sử dụng phương thức scan XMAS Scan đoán biết hệ điều hành P: giải port sử dụng để scan F: Chỉ port danh sách scan Nmap V: Sử dụng Scan hai lần nhằm tăng độ tin cậy hiệu phương thức scan ta sử dụng 6: Scan IPv6 CHƯƠNG 2: SCAN PORT Scan port bước để công vào hệ thống, để hiểu phương thức scan dùng nmap để thực Sau cách cấm Scan sử dụng thiết bị chuyên dụng IPS, IDS để detect ngăn chặn công Ngoài nmap cho options để output kết nhiều định dạng file khác CHƯƠNG 3: THỬ NGHIỆM 3.1 XÂY DỰNG KỊCH BẢN Kịch : Sử dụng ping gói tin Ping từ máy mạng Lan đến máy cài snort Từ máy 192.168.192.1: ping 192.168.192.128 Từ máy 192.168.192.1 ping gói tin có kích thước lớn 50byte CHƯƠNG 3: THỬ NGHIỆM CHƯƠNG 3: THỬ NGHIỆM Kết Snort bắt gói tin, sau áp dụng rules vào gói tin đưa kết base CHƯƠNG 3: THỬ NGHIỆM Kịch : Sử dụng tool Dos công vào hệ thống Snort để kiểm tra Tool sử dụng: LOIC CHƯƠNG 3: THỬ NGHIỆM Kết Snort bắt gói tin đưa phản hồi CHƯƠNG 3: THỬ NGHIỆM Kịch 3: Sử dụng Nmap để quét cổng CHƯƠNG 3: THỬ NGHIỆM Snort bắt đưa cảnh báo: CHƯƠNG 3: THỬ NGHIỆM 3.3 KẾT LUẬN Hệ thống Snort tương đối hoạt động tốt Đã xử lý ( đưa cảnh báo ) với kịch đề Tuy nhiên hạn chế tập rules tự viết hạn chế số lượng , chất lượng kiểm soát gói tin Hệ thống chạy máy ảo nên chức snort chưa khai thác hết Nghiên cứu , xây dựng bổ sung hỗ trợ bảo mật mạng [...]... sử dụng phương thức scan là XMAS Scan và đoán biết hệ điều hành P: giải port sử dụng để scan F: Chỉ những port trong danh sách scan của Nmap V: Sử dụng Scan hai lần nhằm tăng độ tin cậy và hiệu quả của phương thức scan nào ta sử dụng 6: Scan IPv6 CHƯƠNG 2: SCAN PORT Scan port là một trong những bước đầu tiên để tấn công vào một hệ thống, để hiểu được các phương thức scan chúng ta có thể dùng... Scan port của TCP sử dụng cho UDP được CHƯƠNG 2: SCAN PORT 2.2 CÔNG CỤ NMAP Nmap là một tool scan port rất mạnh và đã nổi danh từ lâu được giới hacker tin dùng hỗ trợ toàn bộ các phương thức scan port, ngoài ra nó còn hỗ trợ các phương thức scan hostname, service chạy trên hệ thống đó… CHƯƠNG 2: SCAN PORT Các dạng Scan nmap hỗ trợ Nmap –sT: trong đó chữ s – là Scan, còn chữ T là dạng TCP scan. .. là Scan, còn chữ T là dạng TCP scan Nmap –sU: đó là sử dụng UDP Scan Nmap –sP: sử dụng Ping để scan Nmap –sF: sử dụng FIN Scan Nmap –sX: sử dụng phương thức XMAS Scan Nmap –sN: sử dụng phương thức NULL Scan Nmap –sV: sử dụng để Scan tên các ứng dụng và version của nó Nmap –SR /I RPC sử dụng để scan RPC CHƯƠNG 2: SCAN PORT Các option cao cấp kết hợp với các dạng Scan trong Nmap O: sử dụng để biết... động hoặc không công khai CHƯƠNG 2: SCAN PORT Dựa vào các nguyên tắc truyền thông tin của TCP SYN Scan FIN Scan NULL Scan Sure XMAS Scan Sorry TCP Connect ACK Scan CHƯƠNG 2: SCAN PORT UDP Scan Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ luôn được truyền tới đích Gói tin truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữ liệu nhanh với các gói tin nhỏ UDP không... GiỚI THIỆU SNORT TRIỂN KHAI HỆ THỐNG SNORT Môi trường : Linux – Centos Các bước cài đặt: • Cài đặt Mysql • Cài đặt thư viện libpcap • Cài đặt pcre • Cài đặt và cấu hình gói Snort • Cài đặt gói Snort rules • Cài đặt các gói đồ họa • Cài đặt và cấu hình Base • Viết tập lệnh cho snort CHƯƠNG 2: SCAN PORT CÁC NGUYÊN TẮC VÀ PHƯƠNG THỨC SCAN PORT Trên gói TCP/UDP có 16 bit dành cho Port Number...PHẦN 1: CÔNG CỤ SNORT GiỚI THIỆU CHUNG VỀ SNORT Thành phần 5 Output Modules: modules này điều khiển loại kết quả sinh ra bởi hệ thống logging và cảnh báo Output modules có thể làm những việc sau: • Ghi vào file /log hay những file khác • Gửi thông điệp đến syslog • Ghi vào cơ sở dữ liệu như MySQL hay Oracle • Sinh ra dẫn xuất eXtensible Markup Language (XML) • Bổ sung cấu hình... NGHIỆM Snort bắt được và đưa ra cảnh báo: CHƯƠNG 3: THỬ NGHIỆM 3.3 KẾT LUẬN Hệ thống Snort tương đối hoạt động tốt Đã xử lý ( đưa ra cảnh báo ) với các kịch bản đề ra Tuy nhiên hạn chế là các tập rules tự viết còn hạn chế về số lượng , và chất lượng kiểm soát các gói tin Hệ thống chạy trên máy ảo nên các chức năng của snort chưa được khai thác hết Nghiên cứu , xây dựng bổ sung hỗ trợ bảo mật mạng ... nmap để thực hiện Sau đó cách chúng ta cấm Scan đó là sử dụng các thiết bị chuyên dụng như IPS, IDS để detect và ngăn chặn tấn công Ngoài ra nmap còn cho chúng ta những options để output kết quả ra nhiều định dạng file khác nhau CHƯƠNG 3: THỬ NGHIỆM 3.1 XÂY DỰNG KỊCH BẢN Kịch bản 1 : Sử dụng ping các gói tin Ping từ một máy trong mạng Lan đến máy cài snort Từ máy 192.168.192.1: ping 192.168.192.128... Vi Well Known Ports (0 – 1023): các cổng phổ biến, đã biết, nó thường đi kèm với các chuẩn dịch vụ trên hệ thống Ví dụ: telnet (23/tcp), www-http (80/tcp), ftp (21), ssh (22/tcp)… Registered Ports (1024 – 49151): Các cổng được sử dụng riêng cho từng chương trình, dịch vụ cụ thể Radius - RADIUS Authentication Protocol (1812), Microsoft Internet Name Server Dynamic and/or Private Ports (49152 –... máy 192.168.192.1 ping các gói tin có kích thước lớn hơn 50byte CHƯƠNG 3: THỬ NGHIỆM CHƯƠNG 3: THỬ NGHIỆM Kết quả Snort bắt được các gói tin, sau khi áp dụng các rules vào gói tin thì đưa kết quả ra base CHƯƠNG 3: THỬ NGHIỆM Kịch bản 2 : Sử dụng tool Dos tấn công vào hệ thống Snort để kiểm tra Tool sử dụng: LOIC CHƯƠNG 3: THỬ NGHIỆM Kết quả Snort bắt được gói tin và đưa ra phản hồi CHƯƠNG 3: