Master of Sience Thesis title: “Warning and Protection System of Network Attacks” NGUYỄN ĐỨC CƯỜNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Student: Nguyen Duc Cuong Supervisor: Professor Dang Van Chuyet Department of Information Technology Hanoi University of Technoloogy Email: cuongnd-linc@mail.hut.edu.vn Year: 2008 LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG Summary During the last decade, the Internet has developed rapidly in terms of scale as well XỬ LÝ THÔNG TIN VÀ TRUYỀ THÔNG as diversity As a consequence, the network security has become more and more HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG urgent issues Therefore, network administration has been incrementally complicated and manually error handling is no longer sufficient Due to that, the automatic warning system of attacks is aimed to necessarily establish This thesis consists of the two parts as follows: Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly NGUYỄN ĐỨC CƯỜNG developing products in the market Part 2: The first step for installing IDS into the HUT Network, using SNORT 2006 - 2008 Hà Nội 2008 opensource, in order to improve the high perforamance of use of this network HÀ NỘI 2008 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Xử lý Thông tin Truyền Thông Nguyễn Đức Cường LỜI NÓI ĐẦU CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm 1.2 Chức 1.3 Cấu trúc chung 1.4 Phân biệt mô hình IDS 11 NIDS 11 HIDS 12 1.5 Các phương pháp nhận biết công 12 1.6 Các sản phẩm IDS thị trường 14 Intrust 14 ELM 15 GFI LANGUARD S.E.L.M 16 SNORT 17 Cisco IDS 18 Dragon 19 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO 20 2.1 Các kiến thức sở kỹ thuật phân tích thống kê cổng - SPAN 20 2.1.1 Khái niệm SPAN 20 2.1.2 Các thuật ngữ 22 2.1.3 Các đặc điểm cổng nguồn 24 2.1.4 Lọc VLAN 24 2.1.5 Các đặc điểm nguồn VLAN 25 2.1.6 Các đặc điểm cổng đích 26 2.1.7 Các đặc điểm cổng phản hồi 27 2.2 SPAN dòng Switch Cisco 28 2.2.1 Span Catalyst 2900, 4500/4000, 5500/5000, 6500/6000 Series chạy CatOS 28 2.2.2 SPAN dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series 52 2.2.3 SPAN Catalyst 4500/4000 Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS 55 2.3 Hiệu tác động SPAN Switch Catalyst khác 58 Các dòng Switch Catalyst 4000 Series 58 Catalyst 4500/4000 Series 59 Catalyst 5500/5000 and 6500/6000 Series 59 2.4 Các lỗi thường gặp cấu hình 59 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG 69 3.1 Các đặc điểm 69 3.1.1 Hệ thống detection engine: 70 3.1.2 Hệ thống Logging & alerting: 70 3.1.3 Tập luật(RULES) 71 3.2 Các bước cài đặt Snort hệ điều hành Debian 72 3.2.1 Cài hệ điều hành Debian 72 3.2.2 Cài phần mềm cần thiết 73 3.2.3 Cài đặt cấu hình IPTABLES-BASED FIREWALL 75 3.2.4 Cài đặt Snort 75 3.2.5 Cấu hình MySQL Server 77 3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78 3.2.7 Cài đặt Apache-ssl Web Server 78 3.2.8 Cài đặt cấu hình Basic Analysis Sercurity Engine (Base) 79 3.2.9 Cập nhật Rules với Oinkmaster 81 3.2.10 Startup Script 82 3.2.11 Tạo Acc truy cập vào Base 83 3.2.12 Cấu hình SNMP Server 83 3.2.13 Tạo file index.php để định hướng trình duyệt 84 3.2.14 Cài đặt phần mềm quản trị Webmin 84 3.3 Giao diện hệ thồng sau cài đặt 85 3.3.1 Các thông tin cấu hình 85 3.3.2 Hướng dẫn sử dụng SNORT 86 3.3.3 Hướng dẫn sử dụng công cụ phân tích (Base) 89 3.3.4 Hướng dẫn sử dụng Webmin 101 KẾT LUẬN 108 DANH MỤC TÀI LIỆU THAM KHẢO 109 Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Xử lý Thông tin Truyền Thông Nguyễn Đức Cường LỜI NÓI ĐẦU Sau phát biểu đưa ra, số ý kiến phản đối cho rằng, việc hệ thống Khái niệm phát xâm nhập xuất qua báo James Anderson IDS không đem lại hiệu mong muốn vấn đề tồn việc cách khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập - IDS quản lý vận hành chất công nghệ kiểm soát phân tích (Intrusion Detection System) với mục đích dò tìm nghiên cứu hành vi bất gói tin IDS Cụ thể, hệ thống IDS hoạt động hiệu quả, vai trò thường thái độ người sử dụng mạng, phát việc lạm dụng công cụ, người quản trị quan trọng, cần phải đáp ứng tiêu đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát chí sau: xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước - Thu thập đánh giá tương quan tất kiện an ninh phát sử dụng mạng máy tính không lực Hoa Kỳ Cho đến tận năm 1996, khái IDS, tường lửa để tránh báo động giả niệm IDS chưa phổ biến, số hệ thống IDS xuất - Các thành phần quản trị phải tự động hoạt động phân tích phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công - Kết hợp với biện pháp ngăn chặn tự động nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm Kết tới năm 2005, hệ sau IDS-hệ thống tự động phát ngăn 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu chặn xâm nhập IPS- dần khắc phục mặt hạn chế IDS hoạt công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại động hiệu nhiều so với hệ trước công ty cung cấp giải pháp IDS tên Wheel Vậy IPS IPS hệ thống chống xâm nhập ( Intrusion Prevention System – Hiện tại, thống kê cho thấy IDS công nghệ an ninh IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả sử dụng nhiều phát triển phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS Vào năm 2003, Gartner- công ty hàng đầu lĩnh vực nghiên cứu phân có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ tích thị trường công nghệ thông tin toàn cầu- đưa dự đoán gây chấn thống IDP - Intrusion Detection and Prevention động lĩnh vực an toàn thông tin : “Hệ thống phát xâm nhập (IDS) Trước hạn chế hệ thống IDS, sau xuất công không vào năm 2005” Phát biểu xuất phát từ số kết phân tích ạt quy mô lớn công Code Red, NIMDA, SQL Slammer, đánh giá cho thấy hệ thống IDS đối mặt với vấn đề IDS thường vấn đề đặt tự động ngăn chặn công xuyên đưa nhiều báo động giả ( False Positives) Hệ thống IDS không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục (24 thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 suốt 365 ngày năm) Kèm theo cảnh báo công IDS phổ biến rộng rãi quy trình xử lý an ninh vất vả Các IDS lúc khả theo dõi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần luồng liệu truyền với tốc độ lớn 600 Megabit giây Nhìn thay cho IDS giảm bớt yêu cầu tác động người chung Gartner đưa nhận xét dựa nhiều phản ánh khách hàng việc đáp trả lại nguy phát được, giảm bớt phần gánh sử dụng IDS quản trị vận hành hệ thống IDS khó khăn, tốn nặng việc vận hành Hơn số trường hợp đặc biệt, IPS không đem lại hiệu tương xứng so với đầu tư hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Tuy nhiên để ngăn chặn xâm nhập trước hết cần phải phát Vì nói đến hệ thống IDS, thời điểm tại, ta hiểu Xử lý Thông tin Truyền Thông Nguyễn Đức Cường CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm hệ thống tích hợp gồm hai chức IPS/IDS Cơ sở hạ tầng CNTT phát triển, vấn đề phát triển mạng lại quan trọng, Hệ thống phát xâm nhập (Intrusion Detection System - IDS) hệ thống mà việc phát triển mạng việc đảm bảo an ninh mạng vấn đề tối quan giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà trọng Sau chục năm phát triển, vấn đề an ninh mạng Việt Nam dần quản trị quan tâm mức Trước có giải pháp toàn diện mạng Ngoài IDS đảm nhận việc phản ứng lại với lưu thông bất thường hay có phải tự thiết lập hệ thống tích hợp IDS riêng Trong luận văn này, hại cách thực hành động thiết lập trước khóa người dùng tìm hiểu cấu trúc hệ thống IDS, sâu tìm hiểu phát triển hệ hay địa IP nguồn không cho truy cập hệ thống mạng,… thống IDS mềm sử dụng mã nguồn mở để áp dụng hệ thống mạng IDS phân biệt công từ bên hay công từ bên thay cho IDS cứng đắt tiền IDS phát công dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.2 Chức Ta hiểu tóm tắt hệ thống phát xâm nhập mạng – IDS sau : Chức quan trọng : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại + Chức mở rộng Phân biệt: công mạng Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Xử lý Thông tin Truyền Thông Nguyễn Đức Cường thân IDS cách lợi dụng tham số đo bổ sung (các chức 1.3 Cấu trúc chung khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác sử dụng IDS Mô hình cấu thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật trúc chung cho hệ IDS là: Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua email Cấu trúc hệ thống phát xâm phạm dạng tập trung : Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ hệ thống phát xâm phạm phòng chống cho hệ thống máy tính cách phát dấu hiệu công đẩy lùi Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt “bả bẫy” sử dụng để xác định mối đe dọa Việc làm lệnh hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng Cả hệ thống thực hệ thống bẫy cần phải kiểm tra cách liên tục Dữ liệu tạo hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công Hình 1.2 : Cấu trúc tập trung Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 10 Nguyễn Đức Cường Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thông tin sách lưu hệ thống bảo vệ bên Trong trường hợp đó, ví dụ, luồng liệu kiện truyền tải trực tiếp đến phân tích mà lưu liệu thực Điều liên quan chút đến gói mạng Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương Hình 1.3 : Cấu trúc đa tác nhân thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng cho mục Ngoài có thành phần: dấu hiệu công, profile hành bảo vệ phụ thuộc vào phương pháp đưa – tạo phân tích bước đầu vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả máy chủ phân tích trung tâm thành phần quan trọng IDS Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm IDS sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt trang bị phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) phát công phân tán Các vai trò khác tác nhân liên quan đến khả IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ lưu động tính roaming vị trí vật lý Thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu công biết Đây hệ số định nói đến ý nghĩa bảo vệ liên quan đến kiểu công Các giải pháp dựa tác nhân IDS tạo chế phức tạp cho việc nâng cấp sách đáp trả Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số không bình thường telnet session bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 11 Nguyễn Đức Cường trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể Các thu nhận luôn gửi kết hoạt động chúng đến kiểm tra Xử lý Thông tin Truyền Thông 12 Nguyễn Đức Cường -Dragon® IDS/IPS HIDS Được cài đặt cục máy tính làm cho trở nên linh hoạt nhiều so 1.4 Phân biệt mô hình IDS Có mô hình IDS Network Based IDS(NIDS) Host Based IDS (HIDS) với NIDS Kiểm soát lưu lượng vào máy tính, triển khai nhiều máy tính hệ thống mạng HIDS cài đặt nhiều dạng máy tính khác cụ thể máy chủ, máy trạm, máy tính xách tay HIDS cho phép bạn thực cách linh hoạt đoạn mạng mà NIDS NIDS thực Lưu lượng gửi tới máy tính HIDS phân tích chuyển qua Được đặt kết nối hệ thống mạng bên mạng bên để giám sát toàn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lưu lượng mạng sử chúng không chứa mã nguy hiểm HIDS thiết kế hoạt động chủ yếu hệ điều hành Windows , có sản phẩm hoạt động ứng dụng UNIX nhiều hệ điều hành khác dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao Hình 1.5 : Mô hình HIDS Hình 1.4 : Mô hình NIDS Một số sản phẩm NIDS : -Cisco IDS 1.5 Các phương pháp nhận biết công Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 13 Nguyễn Đức Cường Nhận biết qua tập kiện Hệ thống làm việc tập nguyên tắc định nghĩa từ trước để miêu tả công Tất kiện có liên quan đến bảo mật kết hợp vào kiểm định dịch dạng nguyên tắc if-then-else Lấy ví dụ Xử lý Thông tin Truyền Thông 14 Nguyễn Đức Cường Một công miêu tả tập mục tiêu phiên cần thực kẻ xâm nhập để gây tổn hại hệ thống Các phiên trình bày sơ đồ trạng thái phiên Nếu phát tập phiên vi phạm tiến hành cảnh báo hay đáp trả theo hành động định trước Wisdom & Sense ComputerWatch (được phát triển AT&T Phương pháp phân tích thống kê (Statistical analysis approach): Phát xâm nhập dựa tập luật (Rule-Based Intrusion Detection): Đây phương pháp thường sử dụng Giống phương pháp hệ thống Expert, phương pháp dựa hiểu Hành vi người dùng hay hệ thống (tập thuộc tính) tính theo số biến biết công Chúng biến đổi mô tả công thành định dạng kiểm thời gian Ví dụ, biến là: đăng nhập người dùng, đăng xuất, số tập tin truy định thích hợp Như vậy, dấu hiệu công tìm thấy ghi nhập khoảng thời gian, hiệu suất sử dụng không gian đĩa, nhớ, CPU,… (record) Một kịch công mô tả, ví dụ chuỗi kiện Chu kỳ nâng cấp thay đổi từ vài phút đến tháng Hệ thống lưu giá trị kiểm định công mẫu liệu tìm kiếm lấy có nghĩa cho biến sử dụng để phát vượt ngưỡng định kiểm định Phương pháp sử dụng từ tương đương trừu tượng nghĩa từ trước Ngay phương pháp đơn giản không hợp với liệu kiểm định Sự phát thực cách sử dụng chuỗi văn mô hình hành vi người dùng điển hình Các phương pháp dựa vào việc làm tương chung hợp với chế Điển hình, kỹ thuật mạnh thường quan thông tin người dùng riêng lẻ với biến nhóm gộp lại có sử dụng hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald hiệu eXpert-BSM(Solaris) Vì vậy, mô hình tinh vi hành vi người dùng phát triển Phân biệt ý định người dùng (User intention identification): Kỹ thuật mô hình hóa hành vi thông thường người dùng tập nhiệm vụ mức cao mà họ thực hệ thống (liên quan đến chức người dùng) Các nhiệm vụ thường cần đến số hoạt động điều cách sử dụng thông tin người dùng ngắn hạn dài hạn Các thông tin thường xuyên nâng cấp để bắt kịp với thay đổi hành vi người dùng Các phương pháp thống kê thường sử dụng việc bổ sung 1.6 Các sản phẩm IDS thị trường chỉnh cho hợp với liệu kiểm định thích hợp Bộ phân tích giữ tập hợp nhiệm vụ chấp nhận cho người dùng Bất không hợp lệ phát cảnh báo sinh Phân tích trạng thái phiên (State-transition analysis): Intrust Sản phẩm có nhiều tính giúp tồn môi trường hoạt động kinh doanh Với khả tương thích với Unix, có khả linh hoạt tuyệt vời Đưa với giao diện báo cáo với 000 báo cáo khác nhau, giúp kiểm Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 15 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 16 Nguyễn Đức Cường soát Nhập phức tạp Ngoài hỗ trợ giải pháp cảnh báo toàn diện Hỗ trợ việc kiểm tra tất máy chủ Microsoft NET cách kiểm tra cho phép cảnh báo thiết bị di động nhiều công nghệ khác ghi kiện đếm hiệu suất Tính cảnh báo toàn diện Tính báo cáo toàn diện Hợp thẩm định hiệu suất liệu từ tảng Trả lại hỗ trợ tính mạng từ việc ghi chép phía trình khách cách tỉ mỉ Lọc liệu cho phép xem lại cách dễ dàng Kiểm tra thời gian thực Phân tích liệu capture Tuân thủ theo chuẩn công nghiệp Sự bắt buộc theo nguyên tắc Hỗ trợ báo cáo wizard với phiên lập lịch trình, hỗ trợ báo cáo HTML ASCII Quan sát tập trung ghi kiện nhiều máy chủ Client được kích hoạt Web trình duyệt hỗ trợ JavaScript XML Hỗ trợ giao diện kiến thức sở Hỗ trợ thông báo thực thi wscripts, cscripts file CMD/BAT Hỗ trợ cở sở liệu SQL Server Oracle Các truy vấn tương thích WMI cho mục đích so sánh 10 Đưa hành động sửa lỗi phát xâm nhập GFI LANGUARD S.E.L.M ELM Phần mềm TNT phần mềm hỗ trợ chức HIDS, sản phẩm phân tích so sánh dựa ELM Enterprise Manager Nó hỗ trợ việc kiểm tra Sản phẩm có nhiều tính yêu cầu kiến thức đơn giản cho việc cài đặt Dưới thông tin vắn tắt GFI LANguard S.E.L.M thời gian thực, khả hoạt động toàn diện phương pháp báo cáo tỉ mỉ Cơ sở Phân tích bảo mật tự động rộng rãi toàn mạng ghi liệu bổ sung thêm để bảo đảm cở sở liệu phần mềm an toàn kiện Điều có nghĩa cở sở liệu ELM offline ELM Server tự Quản lý ghi kiện mạng động tạo cở sở liệu tạm thời để lưu liệu cở sở liệu online trở lại Dưới số mô tả vắn tắt ELM Enterprise Manager ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt Phát nâng cao công bên Giảm TOC Không cần đến phần mềm client tác nhân Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 17 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 18 Nguyễn Đức Cường Không ảnh hưởng đến lưu lượng mạng Có gói ghi Dễ cải tiến, thích hợp với mạng hoạt động kinh doanh mạng nhỏ Phát công toàn diện Bộ kiểm tra file mật Các mô đun đầu tinh vi cung cấp khả ghi chép toàn diện Kiểm tra ghi toàn diện 10 Hỗ trợ người dùng danh sách mail qua tương tác email 10 Phát công tài khoản người dùng cục bị sử dụng Cisco IDS SNORT Giải pháp Cisco, với giải pháp bạn thấy chất lượng, cảm nhận Snort sản phẩm tuyệt vời chiến thắng đưa vào hoạt động môi trường UNIX Sản phẩm đưa gần hỗ trợ Windows số chọn lọc tinh tế Thứ tốt có sản phẩm mã nguồn mở không tốn chút chi phí ngoại trừ thời gian băng tần cần thiết để tải Giải pháp phát triển nhiều người danh tiếng truyền thống Dưới thông tin vắn tắt thiết bị này: Các tính phát xác làm giảm đáng kết cảnh báo sai Khả nâng cấp hoạt động kinh doanh giống sản phẩm Cisco hoạt động tốt phần cứng rẻ tiền, điều làm cho tồn tổ chức Hệ thống phát xâm phạm thời gian thực, báo cáo ngăn chặn hành động trái phép Dưới thông tin vắn tắt sản phẩm này: Việc phân tích mẫu dùng để phát thực nhiều mức khác Hỗ trợ cấu hình hiệu suất cao phần mềm Cho hiệu suất mạng cao Hỗ trợ tốt cho UNIX Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi Hỗ trợ mã nguồn mở linh hoạt kẻ xâm nhập Hỗ trợ tốt SNMP Quản lý GUI tập trung Hỗ trợ mô đun quản lý tập trung Quản lý từ xa Hỗ trợ việc cảnh báo phát xâm phạm Email thông báo kiện Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 81 Nguyễn Đức Cường # vi /etc/php4/cli/php ini Xử lý Thông tin Truyền Thông 82 Nguyễn Đức Cường # mkdir /tmp/oinkmaster Uncomment dòng sau: - Tạo thư mục lưu rule-backup extension=gd so # mkdir /etc/snort/rulesbackup + Sau chạy lệnh: # mkdir /tmp/oinkmaster # pear install Image_Color - Chỉnh sửa file cấu hình # pear install Image_Canvas # vi /usr/local/etc/oinkmaster conf # pear install Log url = http://www snort org/pub-bin/oinkmaster # pear install Numbers_Roman cgi/a7a0ac0d6e14a691882eab106f27be4bc76fa28f/snortrules-snapshot-CURRENT # pear install Numbers_Words tar gz - Tạo thư mục temp # pear install Image_Graph - Chạy oinkmaster để update rules vào 0h:00 ngày: + Khởi động lại dịch vụ apache-ssl trước click lên link vẽ biểu đồ: # vi /etc/crontab # /etc/init d/apache-ssl restart + Install signatures into BASE install /usr/local/etc/oinkmaster conf -o /etc/snort/rules -b /etc/snort/rulesbackup o Create a directory named signature/ in the BASE install directory o Copy any signature txt file you would like into that directory 3.2.9 Cập nhật Rules với Oinkmaster * * * root /usr/local/bin/oinkmaster pl -C 3.2.10 Startup Script - Tạo startup script: # vi /etc/init d/snort - Cài đặt bản: ==== # cd /usr/local/src #!/bin/bash # wget http://nchc dl sourceforge net/sourceforge/oinkmaster/oinkmaster-2 tar /sbin/ifconfig eth1 up gz /usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort conf -l # tar xvzf oinkmaster-2 tar gz /var/log/snort # cd oinkmaster-2 ==== # cp oinkmaster pl /usr/local/bin - Make it executable: # mkdir /usr/local/etc # chmod +x /etc/init d/snort # cp oinkmaster conf /usr/local/etc - The command update-rc d will set up links between files in the directories rc? d # update-rc d snort defaults 95 - Tạo thư mục temp Reboot and see if it works! Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 83 Nguyễn Đức Cường 3.2.11 Tạo Acc truy cập vào Base # cd /etc/apache-ssl/ # htpasswd -b -c /etc/apache-ssl/passwdBase admin basedhbk082007 # htpasswd -b /etc/apache-ssl/passwdBase viewer viewerdhbk082007 # htdigest -b -c conf d/passwdBase realm admin basedhbk082007 # htdigest -b conf d/passwdBase realm viewer viewerdhbk082007 - Create user: 84 Nguyễn Đức Cường com2sec localnet 203 128 246 0/24 dhbk group MyROGroup v1 localnet group MyROGroup v1 local view all included 80 view system included iso org dod internet mgmt mib-2 system access MyROGroup "" - Administration any noauth exact all none none - Cấu hình file /etc/default/snmpd conf + Login: snortadmin + Fullname: Snort Admin + Password: snort2008 (mặc định debian nghe localhost > thêm vào interface để nghe ip nó) SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd pid 127 + Role: admin 203 128 246 91' // thêm vào ip đằng sau - Khởi động lại dịch vụ SNMP + Login: snortviewer + Fullname: Snort Viewer + Password: viewer2008 + Role: user # /etc/init d/snmpd restart 3.2.13 Tạo file index.php để định hướng trình duyệt https://192.168.40.12 3.2.12 Cấu hình SNMP Server - Cài đặt gói snmpd để monitor server biết thông số hệ thống phát xâm nhập # apt-get -y install snmpd - Sửa file cấu hình /etc/snmp/snmpd conf # vi /etc/snmp/snmpd conf === com2sec local Xử lý Thông tin Truyền Thông # vi /var/www/index php === === 3.2.14 Cài đặt phần mềm quản trị Webmin localhost dhbk Hệ thống phát xâm nhập mạng - Thêm vào /etc/apt/source list Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 85 Nguyễn Đức Cường deb http://download webmin com/download/repository sarge contrib Xử lý Thông tin Truyền Thông 86 Nguyễn Đức Cường + Snort + MySQL Server # apt-get -y update + PHP 4 4-8+etch4 # apt-get install webmin + Apache-ssl 34 + Basic Analysis and Security Engine Các gói sau cài thêm vào hệ thống: + Oinkmaster libauthen-pam-perl libio-pty-perl libmd5-perl libnet-ssleay-perl + Webmin - URL đăng nhập: https://192.168.40.12:10000/ 3.3 Giao diện hệ thồng sau cài đặt + SNMP server (sử dụng cho Monitor server) - Các dịch vụ mở: + 22/tcp 3.3.1 Các thông tin cấu hình Thông tin vị trí vật lý IDS IDS gồm có network interface, cắm sau: + eth0 cắm vào port thuộc Vlan40, dùng để quản trị ssh + 443/tcp https (BASE) + 3306/tcp mysql + 10000/tcp https (WENMIN) + 161/udp snmp 3.3.2 Hướng dẫn sử dụng SNORT + eth1 cắm vào port 20, để sniff traffic từ DMZ - File cấu hình: Thông tin hệ điều hành Debian - Account quản trị: root/root - Eth0 interface /etc/snort/snort conf - Thư mục chứa tập luật: /etc/snort/rules/ - File log: /var/log/snort/alert Kích hoạt huỷ tiến trình + IP: 192.168.40.12/24 + Netmask: 255.255.255.0 - Để kích hoạt SNORT, gõ lệnh: + Network: 192.168.40.0/24 # /etc/init d/snort start + Broadcast: 192.168.40.255 Hoặc + Gateway: 192.168.40.1 # /sbin/ifconfig eth1 up + DNS: 208 67 222 222 (Open DNS server) # /usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort conf -l - Các phần mềm cài đặt: /var/log/snort + Iptables / Shorewall - Để huỷ tiến trình SNORT, gõ lệnh: # pkill snort Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 87 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 88 Nguyễn Đức Cường skilled/stupid/brave) File cấu hình SNORT # # vi /etc/snort/snort conf # Syntax: # Thông số địa mạng giám sát var HOME_NET [203 128 246 80/28,203 128 246 96/29,172 168 0/24] Sử dụng OINKMASTER để cập nhật Rules # # modifysid SID "replacethis" | "withthis" # # or: # - Định kỳ update rules cron vào lúc 0h00 ngày: # modifysid SID1, SID2, SID3, "replacethis" | # vi /etc/crontab "withthis" 0 * * * root /usr/local/bin/oinkmaster pl -C /usr/local/etc/oinkmaster conf -o /etc/snort/rules -b /etc/snort/rulesbackup # # or: # - Chỉnh sửa file cấu hình oinkmaster conf để cập nhật rules ý: # modifysid file "replacethis" | "withthis" # vi /usr/local/etc/oinkmaster conf # + Giữ nguyên rules, không muốn cập nhật, tìm đến mục # or: # Files to totally skip (i e never update or check # for changes) # modifysid * "replacethis" | "withthis" # # Syntax: skipfile filename # # Ví dụ: # or: skipfile filename1, filename2, filename3, # modifysid 1325 "^#alert" | "alert" # Bỏ comment luật alert 1325 modifysid 1325 "^#" | "" Ví dụ: # Bỏ comment luật 1325 modifysid 1325 "sid:1325;" | "sid:1325; tag: host, src, 300, seconds;" skipfile local rules # không tự động cập nhật file local rules # Thêm vào thẻ tag cho luật 1325 skipfile deleted rules # không tự động cập nhật file deleted rules modifysid 1378 "^alert" | "drop" skipfile snort conf # không tự động cập nhật file snort conf # Chuyển luật 1378 từ alert thành drop modifysid 302 "\$EXTERNAL_NET" | "\$HOME_NET" + Thay đổi nội dung luật sau update, tìm đến mục: # Chuyển lần xuất EXTERNAL_NET thành HOME_NET # SIDs to modify after each update (only for the Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 89 Nguyễn Đức Cường + Không muốn update luật đó, tìm đến mục # SIDs that we don't want to update # # Syntax: localsid SID # # or: Xử lý Thông tin Truyền Thông 90 Đăng nhập vào trang quản trị - Account quản trị: admin/base2008 - Địa đăng nhập: https://192.168.40.12/ - Màn hình đăng nhập: localsid SID1, SID2, SID3, # Ví dụ: localsid 1325 # Không update luật 1325 + Hiện luật sau update, tìm đến mục # SIDs to enable after each update # # Syntax: enablesid SID # # or: enablesid SID1, SID2, SID3, Hình 3.1 : Trang quản trị Base - Sau đăng nhập thành công, hiển thị giao diện quản trị: # Ví dụ: enablesid 1325 # Bỏ comment cho luật 1325 + Ẩn luật sau update, tìm đến mục # SIDs to comment out, i e disable, after each update by placing a # # Syntax: disablesid SID # # or: disablesid SID1, SID2, SID3, # Ví dụ: disablesid 1324 # Comment luật 1324 Hình 3.2 : Giao diện quản trị 3.3.3 Hướng dẫn sử dụng công cụ phân tích (Base) Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 91 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 92 Nguyễn Đức Cường #alert icmp any any -> any any (msg:"ICMP Destination Unreachable Tinh chỉnh Rules Xác định alert có tần suất nhiều -> Cần phải tinh chỉnh rules để giảm bớt alert nhiều ý nghĩa dấu hiệu nguy hiểm a Alert “ICMP PING CyberKit 2 Windows“ xuất nhiều (19771 lần, chiếm 46% tổng số ICMP) -> Cần phải ẩn rule 483 + Ẩn rule 483 icmp rules # vi /etc/snort/rules/icmp rules # Đặt thích chu luật có sid:483 #alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING CyberKit 2 Windows"; itype:8; content:"|AA AA AA AA AA AA AA AA AA Communication with Destination Host is Administratively Prohibited"; icode:10; itype:3; classtype:misc-activity; sid:486; rev:5;) + Ẩn rule 486 thực update # vi /usr/local/etc/oinkmaster conf # Disable SID 486 ICMP Destination Unreachable Communication with # Destination Host is Administratively Prohibited disablesid 486 c Vào giao diện BASE https://192.168.40.12/base/base_main php AA AA AA AA AA AA AA|"; depth:32; reference:arachnids,154; classtype:miscactivity; sid:483; rev:6;) + Ẩn rule 483 thực update # vi /usr/local/etc/oinkmaster conf # Disable SID 483 ICMP PING CyberKit 2 Windows disablesid 483 b Alert “ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited “ xuất nhiều (10092 lần, chiếm 23% tổng số Hình 3.3 : Giao diện Base ICMP) -> Cần phải ẩn rule 486 - Click vào mục “Unique” thuộc dòng “Today’s Alerts” để xem tần suất alert + Ẩn rules 486 icmp rules xuất ngày hôm # vi /etc/snort/rules/icmp rules - Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 93 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 94 Nguyễn Đức Cường Hình 3.6 : Thông tin chi tiêt Alert Hình 3.4 : Tần suất Alert - Click tiếp vào “>” cột “Total #” để thứ tự alert theo tần suất từ nhiều đến - Trên bảng “Summary Statistics”, click vào link “Destination” hàng “Unique addresses” để xem địa đích bị công Hình 3.7 : Hiển thị địa nghi vấn Hình 3.5 : Sắp xếp tần suất Alert theo độ lặp - Trên bảng cho thấy, IP range 80-100 đối tượng bị khai thác Click tiếp vào link - Quan sát, ta thấy alert “MS-SQL Worm propagation attemp” xuất nhiều nhất, “[snort]” để xem thông tin alert “Signature database” site www click vào link “368” tương ứng cột < Total #> để xem thông tin chi tiết snort org Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 95 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 96 Nguyễn Đức Cường + Cập nhật vá cho dịch vụ MS SQL public từ URL: www microsoft com/technet/security/bulletin/MS02-039 asp Xem Payload packets Để xem payload packet, click vào cột ID tương ứng alert, Hình 3.8 : Tra thông tin chi tiết Alert nghi vấn - Sau đọc thông tin alert này, ta thấy nhiều khả alert sinh “Slammer worm” phát tán Internet, cố gắng khai thác lỗi buffer overflow MS SQL Server 2000 Resolution Service Hình 3.10 : Xem Payload packet - Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tương ứng Hình 3.9 : Xác định thông tin Alert - Tiếp tục đọc kỹ thông tin alert này, ta thấy cách xử lý alert phần “Corrective Action” + Cấm truy cập từ vào dịch vụ MS SQL cổng 1433 and 1434 Thực firewall hệ thống Hình 3.11 : Xem nội dung packet Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 97 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 98 Nguyễn Đức Cường - Tính đặc biệt hữu ích, cho phép IDS admin review lại toàn gói tin tạo alert, giúp cho trình tinh chỉnh rules xác hơn, thuận tiện Tìm kiếm Để tìm kiếm alert đó, bạn click vào link “Search” tìm kiếm theo nhiều tiêu chí khác như: Sensor, Alert Group, Signature, Classification, Priority, Alert Time, xếp theo vài tuỳ chọn có sẵn Hình 3.13 : Quản lý Alert theo nhóm Bạn tạo nhóm (Create), xem alert tương ứng với nhóm (View), sửa nhóm (Edit), xoá nhóm(Delete) reset nhóm (Clear) Đồ thị trực quan BASE cung cấp số cách hiển thị biểu đồ trực quan, cho phép người quản trị cảm nhận nhanh chóng vấn đề hệ thống, đưa phương án giải kịp thời Hình 3.12 : Tìm kiếm Alert Quản lý nhóm Alert Graph Alert Data Click vào "Graph Alert Data" để xem biểu đồ liệu alert: Bên cạnh cách phân loại rules sẵn có snort, để tiện lợi cho việc quản lý, người sử dụng tạo nhóm alert khác nhau, gán alert vào nhóm phù hợp với quan điểm Click vào “Alert Group Management” để thao tác với nhóm: Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 99 Hình 3.14 : Chọn biểu đồ liệu Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 100 Nguyễn Đức Cường Hình 3.15 : Đồ thị trực quan Có nhiều tham số cho phép xây dựng biểu đồ, bao gồm: - Kiểu đồ thị (Chart title): Graph Alert Detection Time + Thời gian (theo giờ) Số lượng alert Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể tần + Thời gian (theo ngày) Số lượng alert suất alert theo giờ, ngày theo tháng + Thời gian (theo tháng) số lượng alert Dạng biểu đồ hữu ích, cho phép xác định thời điểm bất thường, qua +… giúp định hướng người quản trị tập trung vào điểm quan trọng - Chu kỳ đồ thị (Chart period) + ngày (1 tuần) + 24 (1 ngày) + 168 (24 x 7) - Kích thước đồ thị - Lề đồ thị: trái, phải, trên, - Kiểu vẽ: bar, line, pie - Thời gian bắt đầu, thời gian kết thúc Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 101 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông Hình 3.16 : Đồ thị tần suất Alert 3.3.4 Hướng dẫn sử dụng Webmin Đăng nhập trang quản trị - Account quản trị WEBMIN: root/root2008 - Địa đăng nhập: https://192.168.40.12:10000/ - Màn hình đăng nhập 102 Nguyễn Đức Cường Hình 3.18 : Đăng nhập thành công Quản trị Webmin Phần cho phép thay đổi thông tin cấu hình Webmin, bao gồm mục: - Backup Configuration Files - Change language and theme - Webmin Actions logs - Webmin configuration - Webmin server index - Webmin users Hình 3.17 : Màn hình đăng nhập Webmin - Sau đăng nhập thành công, hình xuất cửa sổ sau: Hình 3.19 : Giao diện công cụ quản trị Quản trị hệ thống Hiện Webmin quản trị cấu hình để quản trị thông tin hệ thống sau (vào mục System) Hệ thống phát xâm nhập mạng - Bootup and Shutdown - Change Passwords Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 103 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông - Disk and Network file systems - File system backups - Apache webserver - Log file rotation - MySql server - MIME type programs - SSH server - PAM Authentication - Running processes - Scheduled Commands - Scheduled Cron jobs - Software packages - SysV Init Configuration - System Documentation - System logs - Users and Groups 104 Nguyễn Đức Cường Hiện tại, webmin cấu hình để quản trị dịch vụ sau: Hình 3.21 : Các thông tin quản trị Quản trị dịch vụ mạng Hiện tại, webmin cấu hình để thay đổi thông tin cấu hình mạng sau: Hình 3.20 : Các thông tin quản trị - Internet services and protocols - Linux firewall (IPTables) - Network configuration - PPP Dial in server - Shorewall firewall Quản trị Server Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 105 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông Hình 3.23 : Quản trị phần cứng Hình 3.22 : Các dịch vụ mạng quản trị Quản trị phần cứng 106 Quản trị vấn đề khác Webmin cấu hình để thay đổi thông tin cấu hình phần cứng sau: - Grub boot loader - Partitions on Local disks - System time Hệ thống phát xâm nhập mạng Ngoài ra, webmin quản trị số ứng dụng khác: - Command shell - Custom commands - File manager - Http tunnel - PHP configuration - PERL Modules - Protected web directories - SSH/Telnet login - System and server status - Upload and download Hệ thống phát xâm nhập mạng Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 107 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 108 Nguyễn Đức Cường KẾT LUẬN Bất mạng nào, có lỗ hổng mặt kỹ thuật cho phép tin tặc xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại thực tế mạng xem bảo mật tuyệt đối Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với mạng để bảo đảm tính an toàn cho mạng Ngoài việc sử dụng phương pháp mã hóa để bảo đảm tính bí mật thông tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng, việc sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng cần thiết Mặc dù việc triển khai IDS cho mạng cách toàn diện có nhiều khó khăn nhiên lợi ích mà đem lại lớn Một mặt Hình 3.24 : Quản trị ứng dụng khác giúp hệ thống an toàn trước nguy công, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống có tích hợp IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng Bằng cách sử dụng giải pháp IDS mềm thay cho IDS cứng vấn đề kinh phí, hệ thống mạng giảm thiểu tương đối nguy công tiềm ẩn nâng cao độ an toàn Với tham khảo áp dụng triển khai hệ thống IDS mềm tích hợp vào mạng, ta thấy hệ thống IDS mềm hoàn toàn thực tính IDS cứng, thời gian triển khai phần mềm ngắn nên việc hoàn thiện module gắn thêm cho hệ thống IDS chưa có Nếu tiếp tục phát triển, ta hoàn toàn tích hợp hệ thống IDS tương tác với phần lại mạng, để có công xảy ra, IDS tự động báo tin đến người quản trị, tự động đưa phương án thích hợp để vô hiệu hoá công Hệ thống phát xâm nhập mạng Hệ thống phát xâm nhập mạng Xử lý Thông tin Truyền Thông 109 Nguyễn Đức Cường DANH MỤC TÀI LIỆU THAM KHẢO [1] Patrick S Harper, Oinkmaster Installation and Configuration Guide [2] Andy Firman, Debian, Snort, Barnyard, BASE, & Oinkmaster Setup Guide [3]http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09 186a008015c612.shtml [4] Mark Cooper, Stephen Northcutt, Matt Fearnow, Karen Frederick, Intrusion Signatures and Analysis [5] Angela D Orebaugh, Simon Biles, Jacob Babbin, “Snort Cookbook “ [6] Roman Danyliw, “ACID: Installation and Configuration” [7] Chris Vespermann, “Snort, MySQL 5, Apache, and BASE for Gentoo Linux” [8] Brian Laing, ISS, “How To Guide: Intrusion Detection Systems” [9] Patrick S Harper, “Snort, Apache, SSL, PHP, MySQL, and BASE Install on CentOS 4, RHEL or Fedora Core (updated for Snort 2.6.0 and NTOP)” [10]Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal Intrusions” Hệ thống phát xâm nhập mạng