Ngày nay internet trở thành nền tảng chính cho sự trao đổi thông tin toàn cầu. Có thể thấy rõ ràng là Internet đã và đang tác động lên nhiều mặt của đời sống chúng ta từ việc trao đổi thông tin, tìm kiếm dữ liệu, đến các hoạt động thương mại, học tập, nghiên cứu làm việc trực tuyến…Nhờ đó mà khoảng cách địa lý không còn là vấn đề lớn, trao đổi thông tin trở nên nhanh chóng hơn bao giờ hết, việc tiếp cận kho tri thức của nhân trở nên dễ dàng hơn …Có thể nói lợi ích mà nó mang lại rất lớn. Nhưng trên môi trường thông tin này, ngoài các mặt tích cực có được, nó cũng tiềm ẩn những tiêu cực, đặc biệt là trong vấn đề bảo vệ thông tin. Nếu thông tin bị mất mát, không còn nguyên vẹn khi truyền đi hoặc giả sử bị kẻ xấu đánh cắp thì nó không chỉ ảnh hưởng đến cá nhân, doanh nghiệp mà đôi khi còn ảnh hưởng đến quốc gia, khu vực thậm chí là cả thế giới nữa .
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN KHOA CÔNG NGHỆ THÔNG TIN CHUYÊN NGÀNH: CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNG BÁO CÁO THỰC TẬP ĐỀ TÀI: ỨNG DỤNG DDOS ĐỂ KHAI THÁC THÔNG TIN GVHD : PHAN THỊ QUỲNH HƯƠNG SVTH : TRỊNH VĂN SƠN LỚP : 14NTC MSV : 141C920022 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort LỜI CẢM ƠN Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô khoa Công nghệ thông tin trường Cao đẳng công nghệ thông tin Đà tạo điều kiện, cung cấp kiến thức cho em để Đànẵng Nẵng,đãtháng năm 2017 thực đề tài thực tập chuyên môn Đặc biệt em xin chân thành gửi lời cảm ơn đến giảng viên Phan Thị Quỳnh Hương thời gian thực thực tập tận tình hướng dẫn, giúp đỡ, bảo để em làm tốt đề tài Ngày tháng năm 2017 Sinh viên thực Trịnh Văn Sơn Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort MỤC LỤC CÁC THUẬT NGỮ VIẾT TẮT IDS – Intrusion Detection System : Hệ thống phát xâm nhập NIDS: Network Intrusion Detection System HIDS: Host Intrusion Detection System DIDS: Distributed Intrusion Detection System ADOdb: thư viện mức trừu tượng dành cho PHP Python dựa khái niệm với ActiveX Data Objects Microsoft DdoS – Distribute Denial of Service Từ chối dịch vụ phân tán LAN – Local Area Network: mạng máy tính cục Sensor: Bộ phần cảm biến IDS Alert: Cảnh báo IDS TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận Slow Scan: tiến trình “quét chậm” SSL – Secure Sockets Layer SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng cách bảo mật IPSec: IP Security DMZ – demilitarized zone : Vùng mạng vật lý chứa dịch vụ bên tổ chức CPU : Central Processing Unit- Đơn vị xử lý trung tâm Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort UNIX: Unix hay UNIX hệ điều hành máy tính Host: Host không gian ổ cứng để lưu liệu dạng web truy cập từ xa Protocol: Giao thức Payload: Độ tải gói tin mạng Attacker: Kẻ công ADSL: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối xứng WLAN: Wireless Local Area – mạng cục không dây Iptables : Hệ thống tường lửa linux ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích liệu cho hệ thống phát xâm nhập BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin Software: Phần mềm OS : Operating System : hệ điều hành OSI : Open Systems Interconnection : mô hình tầng OSI Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO Hình 1.2.1 Cấu trúc hệ thống IDS Hình 1.41 Đặt Router FIRewall Hình 1.41 Đặt miền DMZ Hình 1.41 Đặt gsau Firewall Hình 2.1.1 Cấu trúc Snort Hình 2.2.1 Cấu trúc tập luật Snort Hình 3.1.2.1 Cài đặt Snort Hình 3.1.2.2 Xem card mạng máy Hình 3.1.2.3 Cài đặt Snort Service Hình 3.1.2.1 Bật Snort service Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort MỞ ĐẦU Lý chọn đề tài Ngày internet trở thành tảng cho trao đổi thông tin toàn cầu Có thể thấy rõ ràng Internet tác động lên nhiều mặt đời sống từ việc trao đổi thông tin, tìm kiếm liệu, đến hoạt động thương mại, học tập, nghiên cứu làm việc trực tuyến…Nhờ mà khoảng cách địa lý không vấn đề lớn, trao đổi thông tin trở nên nhanh chóng hết, việc tiếp cận kho tri thức nhân trở nên dễ dàng … Có thể nói lợi ích mà mang lại lớn Nhưng môi trường thông tin này, mặt tích cực có được, tiềm ẩn tiêu cực, đặc biệt vấn đề bảo vệ thông tin Nếu thông tin bị mát, không nguyên vẹn truyền giả sử bị kẻ xấu đánh cắp không ảnh hưởng đến cá nhân, doanh nghiệp mà ảnh hưởng đến quốc gia, khu vực chí giới Em thực đồ án với mong muốn không nghiên cứu đặc trưng hệ thống phát xâm nhập trái phép với vai trò phương pháp bảo mật bổ sung cho phương pháp bảo mật tại, mà xây dựng phần mềm IDS phù hợp với điều kiện thực tế ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống chất lượng dịch vụ cho người dùng IDS không công cụ phân tích gói tin mạng, từ đưa cảnh báo đến nhà quản trị mà cung cấp thông tin sau: • Các kiện công • Phương pháp công • Nguồn gốc công • Dấu hiệu công Loại thông tin ngày trở nên quan trọng nhà quản trị mạng muốn thiết kế thực chương trình bảo mật thích hợp cho cho tổ chức riêng biệt Tìm hiểu kiểu công mạng Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort 2.1 Tấn công kiểu thăm dò Thăm dò việc thu thập liệu trái phép tài nguyên, lổ hỗng dịch vụ hệ thống Các cách công truy cập hay DoS thường tiến hành kiểu công thăm dò để tìm hiểu sơ lược thông tin bảo mật tổ chức, doanh nghiệp hay công ty Kẻ công sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, dịch vụ cổng mở, địa IP, kiến trúc hệ thống mạng nhằm đưa hình thức thâm nhập hợp lý Thăm dò thu thập thông tin cách để biết kiểu kết nối, Internet, Intranet, Wireless… cấu trúc hệ thống mục tiêu sử dụng 2.2 Tấn công kiểu truy cập Tấn công truy cập kiểu công mà hacker lợi dụng lỗ hỗng bảo mật lỗi cấu hình hệ thống để lấy quyền xâm nhập trái phép vào hệ thống thay đổi cấu trúc thông tin mục tiêu Kẻ công thường tìm kiếm quyền truy cập cách chạy đoạn mã, công cụ hack hay khai thác số điểm yếu ứng dụng dịch vụ chạy máy chủ Sau có quyền truy cập, kẻ công tìm cách nâng cao đặc quyền mình, cài đặt phần mềm backdoor, trojan để chiếm quyền truy cập mức độ quản trị (superuser, admin, root) Khi nắm toàn quyền, kẻ công điều khiển hệ thống mạng mục tiêu để thực mục đích mình, bước đệm để công lên hệ thống máy chủ mẹ, hay sử dụng hệ thống mục tiêu agent để công DoS vào hệ thống khác Tấn công kiểu từ chối dịch vụ DoS Tấn công từ chối dịch vụ tên gọi chung cách công làm hệ thống bị tải cung cấp dịch vụ, phải ngưng hoạt động Tấn công DoS nói chung không nguy hiểm kiểu công khác chỗ 2.3 không cho phép kẻ công chiếm quyền truy cập hệ thống hay có quyền thay đổi hệ thống Tuy nhiên, máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng, tồn ý nghĩa nên thiệt hại công Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort DoS máy chủ bị đình trệ hoạt động vô lớn, đặc biệt hệ thống phục vụ giao dịch điện tử 2.3.1 Mục đích công DoS Chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khả đáp ứng dịch vụ khác cho người dùng bình thường Làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ 2.3.2 Mục tiêu công DoS Tạo khan hiếm, giới hạn không đổi tài nguyên Băng thông hệ thống mạng(Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS Phá hoại thay đổi thông tin cấu hình 2.4 Các mối đe dọa bảo mật Chính hệ thống thông tin bị đe doạ công hacker nên việc xây dựng hệ thống bảo vệ xâm nhập cần thiết tổ chức Các hình thức công hacker ngày tinh vi, chau chuốt hơn, mức độ công ngày khủng khiếp hơn, nên không hệ thống đảm bảo hoàn toàn không bị xâm nhập Nếu tổ chức antivirut cố gắng cập nhập, sửa đổi để cung cấp cho người dùng phương pháp phòng chống hiệu bên cạnh đó, kẻ công ngày đêm nghiên cứu tung hình thức xâm nhập, phá hoại khác Để bảo vệ tốt hệ thống, bạn phải có nhìn tổng quát nguy công, nghĩa bạn phải nhận định bạn cần bảo vệ gì, bảo vệ khỏi ai, phải hiểu kiểu đe dọa đến bảo mật mạng bạn Thông thường có mối đe dọa bảo mật sau: • Mối đe dọa bên • Mối đe dọa bên • Mối đe dọa cấu trúc có cấu trúc 2.4.1 Mối đe dọa bên Mối đe doạ bên kiểu công thực từ cá nhân tổ chức tin cậy mạng có vài quyền hạn để truy cập vào hệ thống Hầu hết quan tâm xây dựng thống firewall giám sát liệu truy cập đường biên mạng mà để ý đến truy cập mạng nội tin tưởng vào Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort sách ACL người quan trị quy định hệ thống Do bảo mật mạng local thường lỏng lẻo nên môi trường thường hacker sử dụng để công hệ thống Mối đe doạ bên thường thực nhân viên có bất đồng với công ty, gián điệp kinh tế hay vào máy client bị hacker chiếm quyền truy cập Mối đe doạ thường để ý phòng chống nhân viên truy 2.4.2 cập vào mạng liệu quan trọng server Mối đe dọa từ bên Mối đe doạ bên việc hacker cố gắng xâm nhập vào hệ thống mạng vài kỹ thuật (thăm dò, truy cập…) hay việc phá hoại truy cập hệ thống (DoS, DDoS…) Xây dựng hệ thống firewall cảnh báo để ngăn ngừa mối đe doạ từ bên việc mà công ty tổ chức thường phải bỏ nhiều thời gian tiền bạc 2.4.3 để đầu tư phát triển Mối đe dọa có cấu trúc không cấu trúc Mối đe doạ công vào hệ thống đến từ nhiều loại Phỗ biến hacker vào nghề, kiến thức kinh nghiệm, thực việc công cách sử dụng công cụ thực công DoS (mối đe doạ cấu trúc) Hoặc việc công thực hacker thực thụ tổ chức (mối đe doạ có cấu trúc), họ người có kiến thức kinh nghiệm cao, nắm rõ việc hoạt động hệ thống, giao thức mạng phương pháp thường sử dụng để ngăn chặn firewall Đây mối đe doạ khó ngăn ngừa phòng chống hệ thống mạng CHƯƠNG TỔNG QUAN IDS Hệ thống phát xâm nhập – IDS(Intrusion Detection System) hệ thống có nhiệm vụ giám sát luồng liệu traffic lưu thông mạng, có khả phát hành động khả nghi, xâm nhập trái phép khai thác bất hợp pháp nguồn tài nguyên hệ thống mà từ dẫn đến xâm hại tính toàn ổn định,tòan vẹn sẵn sàng hệ thống Trịnh Văn Sơn – 14NTC Trang: Triển khai DEMO hệ thống phát xâm nhập IDS với Snort IDS phân biệt công xuất phát từ bên hay từ bên hệ thống cách dựa vào database dấu hiệu đặc biệt công (smurf attack, buffer overflow, packet sniffers….) Khi hệ thống IDS có khả ngăn chặn gọi hệ thống ngăn chặn xâm nhập – IPS (Intrusion Prevention System) Có nhiều công cụ IDS, Snort sử dụng nhiều khả tương thích hỗ trợ cài đặt hai môi trường Window Linux Khi Snort phát dấu hiệu công, tùy thuộc vào cấu hình qui tắc người quản trị qui định (Snort Rule) mà Snort đưa hành động khác nhau, gửi cảnh báo đến người quản trị hay ghi log file,loại bỏ gói tin xâm nhập hệ thống… 1.1 Phát xâm nhập Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ Hệ thống phát xâm nhập có hai loại bản: phát xâm nhập dựa dấu hiệu signature phát bất thường 1.1.1 Phát dựa dấu hiệu (signature) Phương pháp nhận dạng công cách cách so sánh dấu hiệu nhận với tập hợp dấu hiệu biết trước xác định công Phương pháp có hiệu với dấu hiệu biết trước, virus máy tính, phát `cách sử dụng phần mềm để tìm gói liệu có liên quan đến xâm nhập giao thức Internet Dựa tập hợp dấu hiệu quy tắc, hệ thống phát xâm nhập tìm thấy ghi log lại hoạt động đáng ngờ tạo cảnh báo Tuy nhiên phương pháp tác dụng với công mới, quy mô phức tạp, sử dụng kỹ thuật lẩn tránh (evation technique)… chưa có thông tin công 1.1.2 Phát bất thường Phương pháp thiết lập ghi nhận trạng thái hoạt động ổn định hệ thống, sau so sánh với trạng thái hoạt động hành để kiểm tra chênh lệch Khi nhận khác biệt lớn hệ thống có khả xảy công, Ví dụ tăng đột biến traffic truy cập vào website… Phát Trịnh Văn Sơn – 14NTC Trang: 10 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort CHƯƠNG CÀI ĐẶT CẤU HÌNH SNORT VÀ TRIỂN KHAI DEMO 1.1 Cài đặt 1.1 Chuẩn bị Dưới gói phần mềm cần thiết cài đặt hệ thống Snort Windows Server 2003 • Snort: Hệ thống phát xâm nhập Download địa https://snort.org/downloads • WinPcap: Hệ thống cho phép bắt gói tin phân tích mạng Download địa chỉ: http://www.winpcap.org/install/default.htm • Snort Rules: Bộ luật mẫu Snort Download địa chỉ: https://snort.org/downloads/#rule-downloads 1.2 Tiến hành cài đặt Em triển khai hệ thống Win ảo với VMware Workstation, mô hình Demo có máy: Trịnh Văn Sơn – 14NTC Trang: 30 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort • Máy Windows Server 2003 cài đặt hệ thống Snort • Máy Windows XP với vai trò client • Máy Unbuntu 14.04 với vai trò client • Card mạng VMware 3máy chế chộ VNet8 (NAT), địa IP cấp phát tĩnh kết nối Internet Bước 1: Cài đặt WinPcap Vào thư mục Temp Desktop, double click vào file WinPcap v4.1.2 thực Next -> Next -> I Agree -> Install -> Finish Bước 2: Cài đặt cấu hình Snort • Tại thư mục Temp Desktop, double click vào file Snort_2_9_7_2_Installer để cài đặt Lần lượt thực I Agree -> Next -> Next -> Next -> Close -> OK • Giải nén file snortrules-snapshot-CURRENT.tar copy tất nội dung vào thư mục cài đặt Snort: C:\Snort, chọn Yes to All để copy đè • Truy cập vào thư mục C:\Snort\etc\ mở file snort.conf Notepad++ • Thực tìm kiếm thay đổi nội dung sau: # Setup the network addresses you are protecting ipvar HOME_NET 192.168.1.0/24 # Set up the external network addresses Leave as "any" in most situations ipvar EXTERNAL_NET !$HOME_NET # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules Trịnh Văn Sơn – 14NTC Trang: 31 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort var RULE_PATH C:\Snort\rules var SO_RULE_PATH C:\Snort\so_rules var PREPROC_RULE_PATH C:\Snort\preproc_rules # If you are using reputation preprocessor set these var WHITE_LIST_PATH C:\Snort\rules var BLACK_LIST_PATH C:\Snort\rules # path to dynamic preprocessor libraries dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor # path to base preprocessor engine dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll # path to dynamic rules libraries # dynamicdetection directory /usr/local/lib/snort_dynamicrules # Reputation preprocessor For more information see README.reputation preprocessor reputation: \ memcap 500, \ priority whitelist, \ nested_ip inner, \ whitelist $WHITE_LIST_PATH\white.list, \ blacklist $BLACK_LIST_PATH\black.list Trịnh Văn Sơn – 14NTC Trang: 32 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort # metadata reference data not modify these lines include classification.config include reference.config Bước 3: Kiểm tra cài đặt Snort • • Mở sổ DOS gõ lệnh cd c:\snort\bin Chạy lệnh để kiểm tra độ ổn định: snort -l c:\snort\log -c c:\snort\etc\snort.conf -A console Hình 3.1.2.1 Cài đặt Snort Như cấu hình xong Snort Snort sẵng sàng hoạt động chế độ khác Bước 4: Sử dụng Snort Trịnh Văn Sơn – 14NTC Trang: 33 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort • Chế độ Sniffer Paket: Để tiến hành sniffer, cần chọn card mạng để Snort đặt vào chế độ promicous, máy tính bạn sử dụng nhiều card sử dụng lệnh snort -W để xem số hiệu card mạng Hình 3.1.2.2 Xem card mạng máy Ở số hiệu card mạng Bây tiến hành sniffer paket dùng lệnh: snort -dev -ix (với x số hiệu card mạng) Trong trình chạy snort, tiến hành ping từ client sang server Chế độ Packet Log: Chúng ta lưu gói liệu vào file log để xem lệnh: snort -dev -i1 -l c:\snort\log (dòng lệnh ghi log thông tin liệu tầng Datalink TCP/IP) Đọc file log dùng lệnh: snort -dvr c:\snort\log\snort.log.NHÃN THỜI GIAN Bước 5: Cài đặt Snort Service Tại dấu nhắt lệnh gõ: snort /SERVICE /INSTALL -c c:\snort\etc\snort.conf -l c:\snort\log -K ascii -i1 Trịnh Văn Sơn – 14NTC Trang: 34 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort Hình 3.1.2.3 Cài đặt Snort Service Khởi động lại Windows Server Sau khởi động lại Windows, vào Service để kiểm tra Snort start thành công hay chưa Hình 3.1.2.1 Bật Snort service Trịnh Văn Sơn – 14NTC Trang: 35 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort Như ta cài đặt cấu hình xong Snort Win server 2003 Triển khai Demo 3.2.1 Cấu hình địa IP tĩnh cho : Winserver 2003 : IP add: 192.168.1.12/24 Win XP: IP add: 192.168.1.10/24 Ubuntu: IP add: 192.168.1.11/24 Tạo luật cảnh báo Ping Vào thư mục C:\Snort\rules, mở file finger.rules, thêm luật phát máy khácpingđếnnhưsau: alert icmp any any -> $HOME_NET any (msg: “Co may dang ping”; sid: 140791;) Thực lệnh ping 192.168.1.12 từ máy win Xp đến Server 2003 Kết file log máy Server thư mục C:\Snort\log sau: 2.2 Tạo luật cảnh báo PING với kích thướt lớn Thêm lệnh vào file icmp.rules alert icmp $HOME_NET any -> any any (msg: “Size ping lon”; dsize: >50; sid: 2;) Tạo lệnh ping máy Client sau: ping -l 1000 -f google.com -t Start lại Snort Kết file log 2.3 Thiết lập cảnh báo truy cập Web Trong thư mục C:\Snort\rules ta tạo file youtube.com để biết máy mạng truy cập vào website youtube.com với nội dung file: alert tcp any any -> any any (content: “www.youtube.com”; msg: “Ban moi truy cap youtube.com”; sid: 100000; rev: 1;) Trong file snort.conf, thêm dòng: include $RULE_PATH/youtube.rules Start lại Snort Tại máy Client truy cập vào website youtube.com Trịnh Văn Sơn – 14NTC Trang: 36 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort Kết file log máy Server 2.4 Tạo luật cảnh báo xâm nhập Web máy chủ server 2003 • alert tcp any any -> 192.168.1.12/24 any (msg: "Phat hien xam nhap web may chu"; sid: 11597530;) • Trong thư mục C:/Snor/rules/finger.rules để biết máy mạng truy cập vào website Server với nội dung file: • tcp any any -> 192.168.1.12/24 any (msg: "Phat hien xam nhap web may chu"; sid: 11597530;) • Tại máy Client truy cập trình duyệt web gõ: 192.168.1.12 • Kết file log máy Server TỔNG KẾT Hệ thống phát xâm nhập (IDS) đóng vai trò quan trọng việc giám sát bảo mật hệ thống mạng IDS giúp người khám phá, phân tích nguy công Từ người ta vạch phương án phòng chống Ở góc độ đó, lần tìm Trịnh Văn Sơn – 14NTC Trang: 37 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort thủ phạm gây công Một tổ chức lớn thiếu IDS Những vấn đề đạt • Nắm bắt chế hoạt động hệ thống phát xâm nhập IDS • Cài đặt cấu hình hệ thống phát xâm nhập mạng cục dựa mã nguồn mở Snort, iptables, squid proxy • Hiểu cách thức công mạng • Đọc hiểu, phân tích cảnh báo Snort thông qua rules log Những vấn đề chưa đạt • Vấn đề công rộng lớn, cách thức công ngày trở nên tinh vi phức tạp • Đối với Snort, có nhiều sản phẩm kèm hoạt động hay như: Snort_inline, Fsnort(Firewall Snort),… chưa áp dụng triệt để • Tập luật Snort ngày phát triển nên cần phải cập nhật • Chưa kết hợp phần mềm Mod Security để bảo vệ Web server Hướng mở rộng đề tài Đối với mạng không dây, cấu trúc vật lý mang lại an toàn chế truyền tin không dây node mạng lại kéo theo lỗ hổng bảo mật, cần phải chứng thực người dùng mạng Cách làm việc IDS mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống Trong môi trường mạng có dây ta có toàn quyền quản lý loại lưu lượng truyền dây dẫn Trong WLAN, không khí môi trường truyền dẫn, tất người phạm vi phủ sóng tần số theo chuẩn 802.11 truy cập vào mạng Do cần phải có giám sát bên bên mạng WLAN Một khác biệt wireless IDS cần cho mạng máy tính triển khai WLAN nơi chưa triển khai WLAN Lý dù khả bị công từ mạng WLAN vào mạng LAN chưa rõ ràng mối đe dọa thực Sự đe dọa coi liên quan đến sử dụng WLAN thực toàn tổ chức mạng LAN nên giám sát lưu lượng lưu chuyển mạng WLAN để chắn loại bỏ đe dọa từ không gian xung quanh Một điều phải để tâm đến AP giả mạo ta dùng mạng không dây hay mạng LAN truyền thống Trịnh Văn Sơn – 14NTC Trang: 38 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort PHỤ LỤC Tài liệu tham khảo - [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 – 0-13-140733-3 Trịnh Văn Sơn – 14NTC Trang: 39 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort - [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale and Snort Development Team Andrew R Baker, Brian Caswell, Mike Poor – Copyright 2004 by Syngress Publishing – ISBN: 1-931836-04-3 [3] Snort User Manual 2.8.5 Martin Roesch Chris Green, October 22, 2009 Sourcefire, Inc [4] Syngress – Intrusion.Prevention.and.Active.Response.(2005) [5] Guide to Intrusion Detection and Prevention Systems Recommendations of the National Institute of Standards and Technology – Karen Scarfone Peter Mell [6] Managing Security with Snort and IDS Tools – O’Reilly-By Kerry J Cox, Christopher Gerg [7] Snort cookbook – O’Reilly By Kerry J Cox, Christopher Gerg [8] Snort IDS and IPS Toolkit-Featuring Jay Beale and Members of the Snort Team-Andrew R Baker –Joel Esler [9] ModSecurity Handbookby Ivan Ristiæ Copyright © 2009, 2010 Ivan Ristiæ [10] Cài đặt cấu hình Iptables - Nguyễn Hồng Thái [11] Firewalls, Nat & Accounting Linux iptables Pocket ReferenceO'REILLY GREGOR N PURDY [12] Linux Firewalls - Attack Detection and Response with iptables, psad, and fwsnort-MICHAEL RASH Các trang web: Việt Nam Nước ngoài: http://www.hvaonline.net http://www.google.co.uk http://nhatnghe.com/forum http://www.snort.org http://quantrimang.com.vn http://www.openmaniak.com/inline.php http://forum.saobacdau-acad.vn http://sectools.org/ http://forum.t3h.vn http://linux.org/ http://ipmac.vn/forum http://ibm.com http://vnexperts.net http://support.microsoft.com Trịnh Văn Sơn – 14NTC Trang: 40 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort http://kmasecurity.net http://www.winids.com Cấu hình Rules Snort Cảnh báo ping - Trong đó: Alert icmp $EXTERNAL_NET any -> $HOME_NET (msg:"ICMP Pinger"; classtype:attempted-recon; sid:465;) Alert: hành động cảnh báo Icmp: giao thức để bật cảnh báo $EXTERNAL_NET: địa đích công Người dùng định nghĩa (var $EXTERNAL_NET 192.168.1.0/24 ) Any: port mà gói tin qua (bất port nào) $HOME_NET: địa gói tin đến công Ta định nghĩa địa cho phù hợp với mạng nội mà ta quản lý 7: port mà lệnh ping gửi gói tin echo qua Msg: xuất câu thông báo log giao diện quản lý cảnh báo Classtype: dùng để phân loại cảnh báo Sid: số id câu rule cảnh báo, rule có sid khác Cảnh báo truy cập website alert tcp $HOME_NET any -> 192.168.1.10 80(msg:"Vsic access" Cảnh báo truy;content:"vsic.com"; cập FTP nocase; sid:5531;) alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP Cảnh báo truylogin"; cập Telnet flow:from_server,established; sid:491;) Trịnh Văn Sơn – 14NTC Trang: 41 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS Cảnh báo gói tin có kích thước lớn 23 ICMP (msg:"TELNET login"; flow:to_server,established; sid:500;) Cảnh báo Dos lỗi SMB 2.0 alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS Cảnh báo chat với máy có IP lạ Windows SMB process ID high"; flow:to_server, established; content:"|00 26|"; offset:5; depth:96; classtype:attempted-dos; sid:15930;) alert tcp any any any 5101 (msg:"CHAT Yahoo IM message"; Ngăn chặn trang Web có nội dung xấu flow:established; content:"YMSG"; nocase; metadata:policy ; classtype:policy- violation; sid:2457) alert tcp any any 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for children!"; react: block, msg, proxy 8000;) Trịnh Văn Sơn – 14NTC Trang: 42 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Trịnh Văn Sơn – 14NTC Trang: 43 [...]... phát hiện xâm nhập IDS với Snort # metadata reference data do not modify these lines include classification.config include reference.config Bước 3: Kiểm tra cài đặt Snort • • Mở của sổ DOS và gõ lệnh cd c: \snort\ bin Chạy lệnh để kiểm tra độ ổn định: snort -l c: \snort\ log -c c: \snort\ etc \snort. conf -A console Hình 3.1.2.1 Cài đặt Snort Như vậy chúng ta đã cấu hình xong Snort Snort đã sẵng sàng hoạt động... Service Tại dấu nhắt lệnh gõ: snort /SERVICE /INSTALL -c c: \snort\ etc \snort. conf -l c: \snort\ log -K ascii -i1 Trịnh Văn Sơn – 14NTC Trang: 34 Triển khai DEMO hệ thống phát hiện xâm nhập IDS với Snort Hình 3.1.2.3 Cài đặt Snort trong Service Khởi động lại Windows Server Sau khi khởi động lại Windows, vào Service để kiểm tra Snort được start thành công hay chưa Hình 3.1.2.1 Bật Snort trong service Trịnh... động của Snort Phiên bản Snort 2.3.0 RC1 tích hợp các hệ thống phòng chống xâm nhập (IPS) của Snort Inline vào hệ thống chính của Snort Snort Inline kết hợp khả năng ngăn chặn của iptables vào bên trong Snort, sau đó đưa ra những bổ sung và thay đổi trong bộ qui tắc luật Snort để giúp iptables đưa ra những động cho phép hay hủy một gói tin Có ba loại quy tắc có thể sử dụng khi chạy Snort với Snort Inline:... mình Nếu bạn muốn sử dụng Snort để chỉ cảnh báo, một quá trình riêng biệt nên được chạy với bộ quy tắc riêng của mình Trịnh Văn Sơn – 14NTC Trang: 29 Triển khai DEMO hệ thống phát hiện xâm nhập IDS với Snort CHƯƠNG 3 CÀI ĐẶT CẤU HÌNH SNORT VÀ TRIỂN KHAI DEMO 1.1 Cài đặt 1.1 Chuẩn bị Dưới đây là các gói phần mềm cần thiết khi cài đặt một hệ thống Snort trên Windows Server 2003 • Snort: Hệ thống phát hiện... lệnh: snort -dev -ix (với x là số hiệu card mạng) Trong quá trình chạy snort, chúng ta tiến hành ping từ client sang server Chế độ Packet Log: Chúng ta có thể lưu các gói dữ liệu vào file log để xem bằng lệnh: snort -dev -i1 -l c: \snort\ log (dòng lệnh sẽ ghi log các thông tin dữ liệu tại tầng Datalink và TCP/IP) Đọc file log dùng lệnh: snort -dvr c: \snort\ log \snort. log.NHÃN THỜI GIAN Bước 5: Cài đặt Snort. .. for Windows users: You are advised to make this an absolute path, # such as: c: \snort\ rules Trịnh Văn Sơn – 14NTC Trang: 31 Triển khai DEMO hệ thống phát hiện xâm nhập IDS với Snort var RULE_PATH C: \Snort\ rules var SO_RULE_PATH C: \Snort\ so_rules var PREPROC_RULE_PATH C: \Snort\ preproc_rules # If you are using reputation preprocessor set these var WHITE_LIST_PATH C: \Snort\ rules var BLACK_LIST_PATH C: \Snort\ rules... Snort .2 Các thành phần của Snort Trịnh Văn Sơn – 14NTC Trang: 20 Triển khai DEMO hệ thống phát hiện xâm nhập IDS với Snort Hình 2.2.1 Cấu trúc tập luật Snort Snort bao gồm nhiều thành phần Mỗi phần có một chức năng riêng biệt nhưng làm việc cùng nhau để góp phần đưa ra các nhận định giúp phát hiện các cuộc tấn công cụ thể và tạo ra output theo một định dạng cần thiết từ hệ thống Một IDS dựa trên Snort. .. 2: Cài đặt và cấu hình Snort • Tại thư mục Temp ngoài Desktop, double click vào file Snort_ 2_9_7_2_Installer để cài đặt Lần lượt thực hiện I Agree -> Next -> Next -> Next -> Close -> OK • Giải nén file snortrules-snapshot-CURRENT.tar và copy tất cả nội dung trong đó vào thư mục cài đặt Snort: C: \Snort, chọn Yes to All để copy đè • Truy cập vào thư mục là C: \Snort\ etc\ và mở file snort. conf bằng Notepad++... tới không gian người dùng (Snort Inline) Cuối cùng, để bắt đầu Snort Inline: • snort_ inline -QDc /etc/drop.conf -l /var/log /snort Bạn có thể sử dụng tùy chọn dòng lệnh sau đây: • -Q lấy các gói tin từ iptables • -D Chạy Snort Inline ở chế độ nền Các mã số tiến trình (process ID) được lưu ở /var/run /snort. pid -c Đọc các tập tin cấu hình l Ghi log vào thư mục Tốt nhất Snort Inline nên được chạy bằng... (SMB) tới các máy tính Windows Module Mô tả Giải mã Chuẩn bị các gói dữ liệu cho việc xử lý Bình thường hóa header các giao thức, phát hiện dấu hiệu Tiền xử lý Phát hiện Log và cảnh báo Output bất Áp dụng bộ luật cho các gói tin Tạo cảnh báo và các thông tin log Xử lý cảnh báo, log và đưa ra kết quả output cuối cùng Bảng 1 Bảng tóm tắt các module của Snort 2.3 Các chế độ hoạt động của Snort 2.3.1 Sniffer ... Cảnh báo (response): hành động cảnh báo cho công phân tích Snort sử dụng quy tắc lưu trữ tập tin văn sửa đổi Nội quy nhóm lại chuyên mục lưu trữ tập tin riêng biệt Những tập tin sau tập hợp tập. .. để Đànẵng Nẵng,đãtháng năm 2017 thực đề tài thực tập chuyên môn Đặc biệt em xin chân thành gửi lời cảm ơn đến giảng viên Phan Thị Quỳnh Hương thời gian thực thực tập tận tình hướng dẫn, giúp đỡ,... ghi theo định dạng ASCII đặt chế cảnh báo toàn phần Cơ chế cảnh báo toàn phần hiển thị thông điệp cảnh báo với toàn packet headers Ngoài có chế cảnh báo việc thực thi dòng lệnh việc log liệu Trịnh