Đồ án tốt nghiệp triển khai hệ thống IDS snort

Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển. Vào năm 2003, Gartner một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư.

Trang 1

LỜI NÓI ĐẦU 3

CHƯƠNG I - TỔNG QUAN VỀ IDS 6

1.1 Khái niệm 6

1.2 Chức năng 6

1.3 Cấu trúc chung 7

1.4 Phân biệt các mô hình IDS 10

NIDS 10

HIDS 11

1.5 Các phương pháp nhận biết tấn công 12

1.6 Các sản phẩm IDS trên thị trường 14

Intrust 14

ELM 15

GFI LANGUARD S.E.L.M 16

SNORT 16

Cisco IDS 17

Dragon 18

CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG 19

SWITCH CISCO 19

2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 19

2.1.1 Khái niệm SPAN 19

2.1.2 Các thuật ngữ 21

2.1.3 Các đặc điểm của cổng nguồn 23

2.1.4 Lọc VLAN 23

2.1.5 Các đặc điểm của nguồn VLAN 25

2.1.6 Các đặc điểm của cổng đích 26

2.1.7 Các đặc điểm của cổng phản hồi 27

2.2 SPAN trên các dòng Switch Cisco 28

2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series 28

chạy CatOS 28

2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, .51

3560, 3560-E, 3750 and 3750-E Series 51

2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần 55

mềm hệ thống Cisco IOS 55

2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau 58 Các dòng Switch dưới Catalyst 4000 Series 58

Trang 2

Catalyst 4500/4000 Series 58

Catalyst 5500/5000 and 6500/6000 Series 58

2.4 Các lỗi thường gặp khi cấu hình 59

CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - 67

SNORT VÀO HỆ THỐNG 67

3.1 Các đặc điểm chính 67

3.1.1 Hệ thống detection engine: 68

3.1.2 Hệ thống Logging & alerting: 69

3.1.3 Tập luật(RULES) 69

3.2 Các bước cài đặt Snort trên hệ điều hành Debian 71

3.2.1 Cài hệ điều hành Debian 71

3.2.2 Cài các phần mềm cần thiết 71

3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL 73

3.2.4 Cài đặt Snort 73

3.2.5 Cấu hình MySQL Server 75

3.2.6 Cấu hình để SNORT bắn alert vào MySQL 76

3.2.7 Cài đặt Apache-ssl Web Server 76

3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) 77

3.2.9 Cập nhật Rules với Oinkmaster 79

3.2.10 Startup Script 80

3.2.11 Tạo Acc truy cập vào Base 80

3.2.12 Cấu hình SNMP Server 81

3.2.13 Tạo file index.php để định hướng trình duyệt 82

3.2.14 Cài đặt phần mềm quản trị Webmin 82

3.3 Giao diện hệ thồng sau cài đặt 83

3.3.1 Các thông tin cấu hình cơ bản 83

3.3.2 Hướng dẫn sử dụng SNORT 84

3.3.3 Hướng dẫn sử dụng công cụ phân tích (Base) 87

3.3.4 Hướng dẫn sử dụng Webmin 99

KẾT LUẬN 106

Trang 3

LỜI NÓI ĐẦU

Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Andersoncách đây khoảng 25 năm Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bấtthường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặcquyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâmnhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụngtại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDSvẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thínghiệm và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắtđầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mớiđược biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS,một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công tycung cấp giải pháp IDS tên là Wheel

Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sửdụng nhiều nhất và vẫn còn phát triển

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tíchthị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn độngtrong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không cònnữa vào năm 2005” Phát biểu này xuất phát từ một số kết quả phân tích và đánh giácho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rấtnhiều báo động giả ( False Positives) Hệ thống IDS còn có vẻ là gánh nặng cho quảntrị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngàycủa năm) Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý anninh rất vất vả Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu đượctruyền với tốc độ lớn hơn 600 Megabit trên giây Nhìn chung Gartner đưa ra nhận xétnày dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị

và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tươngxứng so với đầu tư

Trang 4

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thốngIDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việcquản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tíchgói tin của IDS Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của cáccông cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:

- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởicác IDS, tường lửa để tránh các báo động giả

- Các thành phần quản trị phải tự động hoạt động và phân tích

- Kết hợp với các biện pháp ngăn chặn tự động

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặnxâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt độnghiệu quả hơn nhiều so với thế hệ trước đó

Vậy IPS là gì IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năngphát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS córất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thốngIDP - Intrusion Detection and Prevention

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạttrên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, mộtvấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ khôngchỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống Hệthống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biếnrộng rãi

Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dầnthay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việcđáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặngcủa việc vận hành Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạtđộng như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập

Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệthống IDS cũ Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó

Trang 5

Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó làmột hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS

Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng,

mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quantrọng Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần đượcquan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì mỗi một mạng phải

tự thiết lập một hệ thống tích hợp IDS của riêng mình Trong luận văn này, chúng ta

sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDSmềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thếcho các IDS cứng đắt tiền

Trang 6

CHƯƠNG I - TỔNG QUAN VỀ IDS

1.1 Khái niệm

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thốnggiám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quảntrị

Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay cóhại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùnghay địa chỉ IP nguồn đó không cho truy cập hệ thống mạng,…

IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bênngoài IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện

và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đođạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

1.2 Chức năng

Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau :

Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám

sát: lưu lượng mạng và các hoạt động khả nghi

Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị

Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những

hành động thiết thực chống lại kẻ xâm nhập và phá hoại

+ Chức năng mở rộng

Phân biệt: các tấn công trong và ngoài mạng

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline

Trang 7

1.3 Cấu trúc chung

Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiệnxâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS Mô hình cấutrúc chung cho các hệ IDS là:

Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệthống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó Việcphát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Để ngănchặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác địnhcác mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyênđược bảo vệ cũng là một nhiệm vụ quan trọng Cả hệ thống thực và hệ thống bẫy cầnphải được kiểm tra một cách liên tục Dữ liệu được tạo ra bằng các hệ thống phát hiệnxâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) đểphát hiện các dấu hiệu tấn công

Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên

hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc cóthể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa

Trang 8

để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ

sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức Một IDS là mộtthành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nhữngnhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý cáctình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trongtương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra

do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ kýthông qua email

Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :

Hình 1.2 : Cấu trúc tập trung

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện Cáchsưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thôngtin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính

Trang 9

sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặccác gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong

hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ, khi luồng dữliệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nàođược thực hiện Điều này cũng liên quan một chút nào đó đến các gói mạng

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thíchđạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện đượccác hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện chomục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thôngthường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ cáctham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biếncũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm

ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặcphân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cảchúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc mộttác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ

Hình 1.3 : Cấu trúc đa tác nhân

Trang 10

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng đượcbảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậmchí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đến máy chủphân tích trung tâm là một trong những thành phần quan trọng của IDS IDS có thể sửdụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấncông phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tínhroaming của nó trong các vị trí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dànhcho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyết định khinói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựa trêntác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trịcho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra một khía cạnhnào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân có thểcho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra.Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Cáctác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất

cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộthu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất

1.4 Phân biệt các mô hình IDS

Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)

NIDS

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn

bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hayphần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ởmức cao

Trang 12

Hình 1.5 : Mô hình HIDS

1.5 Các phương pháp nhận biết tấn công

Nhận biết qua tập sự kiện

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước đểmiêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợpvào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví dụ

Wisdom & Sense và ComputerWatch (được phát triển tại AT&T

Phát hiện xâm nhập dựa trên tập luật (Rule-Based Intrusion Detection):

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết

về tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm địnhthích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record) Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểmđịnh đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc

Trang 13

kiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểmđịnh Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp vớicác cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các

hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)

Phân biệt ý định người dùng (User intention identification):

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tậpnhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chứcnăng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động được điềuchỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tập hợpnhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sự không hợp lệđược phát hiện thì một cảnh báo sẽ được sinh ra

Phân tích trạng thái phiên (State-transition analysis):

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiệnbởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày trong sơ đồtrạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hayđáp trả theo các hành động đã được định trước

Phương pháp phân tích thống kê (Statistical analysis approach):

Đây là phương pháp thường được sử dụng

Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thờigian Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhậptrong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu

kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng Hệ thống lưu giá trị cónghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa

từ trước Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình

Trang 14

hành vi người dùng điển hình Các phương pháp dựa vào việc làm tương quan thôngtin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách

sử dụng thông tin người dùng ngắn hạn hoặc dài hạn Các thông tin này thường xuyênđược nâng cấp để bắt kịp với thay đổi trong hành vi người dùng Các phương phápthống kê thường được sử dụng trong việc bổ sung

1.6 Các sản phẩm IDS trên thị trường

Intrust

Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt độngkinh doanh Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệtvời Đưa ra với một giao diện báo cáo với hơn 1 000 báo cáo khác nhau, giúp kiểmsoát được Nhập phức tạp Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diệncho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác

1 Tính năng cảnh báo toàn diện

2 Tính năng báo cáo toàn diện

3 Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng

4 Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ

mỉ

5 Lọc dữ liệu cho phép xem lại một cách dễ dàng

6 Kiểm tra thời gian thực

7 Phân tích dữ liệu đã được capture

8 Tuân thủ theo các chuẩn công nghiệp

Trang 15

9 Sự bắt buộc theo một nguyên tắc

ELM

Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩmđược phân tích so sánh dựa trên ELM Enterprise Manager Nó hỗ trợ việc kiểm trathời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ Cơ sở dữliệu được bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm được an toàn Điềunày có nghĩa là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạomột cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở dữ liệu chính online trởlại Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3 0

1 ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt

2 Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft NET bằng cách kiểm tracác bản ghi sự kiện và bộ đếm hiệu suất

3 Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗtrợ các báo cáo HTML và ASCII

4 Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ

5 Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript vàXML

6 Hỗ trợ giao diện kiến thức cơ sở

7 Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT

8 Hỗ trợ cở sở dữ liệu SQL Server và Oracle

9 Các truy vấn tương thích WMI cho mục đích so sánh

10 Đưa ra hành động sửa lỗi khi phát hiện xâm nhập

Trang 16

GFI LANGUARD S.E.L.M

Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc càiđặt Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M

1 Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sựkiện

2 Quản lý bản ghi sự kiện mạng

3 Phát hiện nâng cao các tấn công bên trong

4 Giảm TOC

5 Không cần đến phần mềm client hoặc các tác nhân

6 Không ảnh hưởng đến lưu lượng mạng

7 Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ

8 Bộ kiểm tra file mật

9 Kiểm tra bản ghi toàn diện

10 Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng

SNORT

Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trongmôi trường UNIX Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ nềnWindows nhưng vẫn còn một số chọn lọc tinh tế Thứ tốt nhất có trong sản phẩm này

đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian vàbăng tần cần thiết để tải nó Giải pháp này đã được phát triển bởi nhiều người và nóhoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại đượctrong bất kỳ tổ chức nào

Trang 17

Dưới đây là những thông tin vắn tắt về sản phẩm này:

1 Hỗ trợ cấu hình hiệu suất cao trong phần mềm

2 Hỗ trợ tốt cho UNIX

3 Hỗ trợ mã nguồn mở linh hoạt

4 Hỗ trợ tốt SNMP

5 Hỗ trợ mô đun quản lý tập trung

6 Hỗ trợ việc cảnh báo và phát hiện xâm phạm

7 Có các gói bản ghi

8 Phát hiện tấn công toàn diện

9 Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện

10 Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email

Cisco IDS

Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhậncũng như danh tiếng truyền thống của nó

Dưới đây là những thông tin vắn tắt về thiết bị này:

1 Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai

2 Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco

3 Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hànhđộng trái phép

4 Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau

Trang 18

5 Cho hiệu suất mạng cao

6 Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vicủa kẻ xâm nhập

7 Quản lý GUI tập trung

1 Dragon hỗ trợ cả NIDS và HIDS

2 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX

3 Được mô đun hóa và có thể mở rộng

4 Kiểm tra quản lý tập trung

5 Phân tích và báo cáo toàn diện

6 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh

7 Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router

8 Quản lý biên dịch báo cáo

Trang 19

9 Có chu kỳ cập nhật chữ kỹ hoàn hảo

CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG

SWITCH CISCO

Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo

hệ thống switch của Cisco Đó là kỹ thuật phân tích thống kê cổng switch Kỹ thuậtphân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi đượcgọi là kỹ thuật tham chiếu cổng (port mirroring) hoặc giám sát cổng(port monitoring),cho phép kết nối máy phân tích vào Switch Cisco Máy phân tích có thể là một CiscoSwitchProbe hoặc một thiết bị theo dõi khảo sát từ xa Remote Monitoring (RMON).Trước đây, SPAN là một tính năng kỹ thuật tương đối cơ bản trên dòng Switch CiscoCatalysts Tuy nhiên, các phiên bản mới của Catalyst OS (CatOS) giới thiệu các tínhnăng nâng cao và nhiều khả năng mới đối với người sử dụng Ta sẽ điểm qua các đặcđiểm của SPAN Đó là:

- SPAN là gì , cách cấu hình

- Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiênSPAN xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng

- SPAN ảnh hưởng thế nào đến khả năng thực thi của Switch

2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 2.1.1 Khái niệm SPAN

Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữaswitch với hub Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản saocủa gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến Khi mộtswitch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table ) Layer

2 dựa trên cơ sở địa chỉ MAC nguồn của các gói tin khác nhau mà switch nhận được.Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển tiếp luồng dữliệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng

Trang 20

Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B

và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub Các cổngkhác sẽ “xem” được lưu lượng từ máy A đến máy B

Hình 2.1 : Máy cần theo dõi gắn vào hub

Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (trafficunicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) màmáy B nối đến Bởi vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phântích

Hình 2.2 : Máy cần theo dõi gắn vào Switch

Trong mô hình này, máy phân tích chỉ nhận được các luồng dữ liệu được gửi đến tất

cả các cổng, như là :

- Luồng thông tin quảng bá (broadcast traffic)

Trang 21

- Luồng thông tin multicast với CGMP hoặc Internet Group ManagementProtocol

(IGMP)

- Các luồng dữ liệu đơn nhất (unicast traffic) không rõ ràng

Luồng thông tin đơn nhất được chuyển tiếp ra các cổng (flooding) khi switch không

có địa chỉ MAC đích trong bảng nhớ nội dung địa chỉ (CAM – Content-addressablememory) Switch không biết địa chỉ cổng chính xác để gửi luồng dữ liệu đó Đơngiản là nó sẽ đẩy các gói tin đến tất cả mọi cổng còn lại

Một đặc điểm mở rộng cần thiết là tạo một bản sao giả tạo các gói tin đơn nhất(unicast packets) để đưa đến cổng Switch gắn máy phân tích dữ liệu

Hình 2.3 : Dữ liệu được tạo bản sao ở Switch

Ở cấu trúc trên, máy phân tích được gắn vào cổng được cấu hình để nhận một bản saocủa mọi gọi tin mà máy A gửi, cổng này được gọi là cổng SPAN

2.1.2 Các thuật ngữ

- Ingress traffic : luồng dữ liệu chạy vào switch - Egress traffic : luồng dữ liệu

đi ra khỏi switch

- Source (SPAN) port : cổng được theo dõi (monitor) bằng việc sử dụng kỹthuật

SPAN

- Source (SPAN) VLAN : VLAN được theo dõi

Trang 22

- Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thường

là khi ở đây có một máy phân tích được gắn vào

- Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN

- Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trongCatalyst 2900XL/3500XL/2950

Hình 2.4 : Các thuật ngữ

- Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là đượcđặt trên cùng Switch như cổng đích Đặc điểm này là tương phản với Remote SPAN(RSPAN)

- Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch vớicổng đích RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằmmang luồng thông tin được theo dõi bởi SPAN giữa các Switch RSPAN không hỗ trợtrên tất cả các Switch Kiểm tra ghi chú phát hành tương ứng hoặc hướng dẫn cấuhình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai - Port-basedSPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn trên Switch vàmột cổng đích

- VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọntheo dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh

Trang 23

- Administrative source : Một tập các cổng nguồn hoặc các VLAN được cấuhình để theo dõi

- Operational source : Một tập các cổng được quản lý thực sự Tập các cổng này

có thể khác nhau từ nguồn quản trị Ví dụ, một cổng trong chế độ tắt có thể hiển thịtại nguồn quản trị, nhưng nó không thực sự được theo dõi

2.1.3 Các đặc điểm của cổng nguồn

Một cổng nguồn, còn được gọi là cổng được theo dõi (monitored port), là một cổngđược chuyển mạch hoặc được định tuyến cho phép bạn theo dõi luồng dữ liệu trênmạng Trong một phiên cục bộ SPAN hoặc phiên nguồn RSPAN, bạn có thể theo dõilưu lượng cổng nguồn, như lưu lượngn nhận (Rx), gửi (Tx), hoặc cả hai hướng(bidirectional) Switch hỗ trợ mọi cổng (trên switch) và mọi VLAN tồn tại trên đó cóthể là nguồn

• Cổng nguồn có thể có ở trong cùng một hoặc nhiều VLANs khác nhau

• Với các VLAN Span nguồn, tất cả các cổng hoạt động trong các VLAN nguồnđược bao gồm như cổng nguồn

2.1.4 Lọc VLAN

Khi bạn theo dõi đường trunk như là một cổng nguồn, tất cả các VLANs đang hoạtđộng trên đường trunk được giám sát theo mặc định Bạn có thể sử dụng lọc VLAN

Trang 24

để giới hạn lưu lượng SPAN giám sát trên đường trunk cổng nguồn để chỉ rõ cácVLANs

Trang 25

•

VLAN lọc chỉ áp dụng cho các đường trunk hoặc cổng voice VLAN

• VLAN lọc chỉ áp dụng cho các cổng nguồn dựa trên phiên và không được chophép trong phiên với VLAN nguồn

• Khi một danh sách VLAN lọc được xác định, chỉ có những VLANs trongdanh sách được theo dõi và giám sát trên các cổng trunk hoặc trên cổng, truynhập voice VLAN

• Lưư lượng Span truy cập đến từ các kiểu cổng khác không bị ảnh hưởng bởiVLAN lọc, điều đó có nghĩa là tất cả các VLANs đều được phép qua các cổngkhác

• VLAN lọc chỉ ảnh hưởng đến lưu lượng chuyển tiếp đến cổng đích Span vàkhông ảnh hưởng tới việc chuyển mạch của lưu lượng truy cập bình thường

• Bạn không thể làm việc với các VLAN nguồn và lọc cácVLAN trong mộtphiên Bạn có thể có các VLAN nguồn hoặc các VLAN lọc, nhưng không làm

cả hai cùng một lúc được

2.1.5 Các đặc điểm của nguồn VLAN

VSPAN là giám sát lưu lượng mạng ở một hoặc nhiều VLANs Span hay RSPANnguồn giao diện trong VSPAN là một VLAN ID, và lưu lượng được theo dõi trên tất

cả các cổng thuộc về VLAN đó

VSPAN có những đặc điểm:

• Tất cả các cổng hoạt động trong VLAN nguồn được bao gồm như cổng nguồn

và có thể được theo dõi ở một hoặc cả hai hướng

• Trên một cổng, chỉ lưu lượng trên VLAN được theo dõi được gửi đến cổngđích

• Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại trừ khỏi danh sáchnguồn và không được theo dõi và giám sát

Trang 26

•

Nếu các cổng được thêm hoặc xoá bỏ từ các VLANs nguồn, lưu lượng trêncác VLAN nguồn nhận được bởi các cổng được thêm vào hoặc xoá bỏ từnguồn đang theo dõi và giám sát

• Bạn không thể sử dụng các VLANs lọc trong cùng một phiên với VLANnguồn

• Bạn có thể theo dõi duy nhất các Ethernet VLANs

2.1.6 Các đặc điểm của cổng đích

Mỗi phiên cục bộ SPAN hay phiên đích RSPAN phải có một cổng đích(còn gọi làcổng giám sát) nhận được một bản sao lưu lượng truy cập từ các cổng nguồn và cácVLANs

• Một cổng nguồn không thể là một nhóm EtherChannel

• Một cổng đích có thể là một cổng vật lý trong một nhóm EtherChannel, ngay

cả khi nhóm EtherChannel đã được xác định như là một nguồn SPAN Theport is removed from the group while it is configured as a SPAN destinationport Cổng đó được gỡ bỏ khỏi nhóm trong khi nó đã được cấu hình như mộtcổng đích SPAN

• Cổng đó không truyền tải bất kỳ lưu lượng nào, ngoại trừ lưu lượng cho cácphiên SPAN thiết cho buổi học tập, trừ khi tiến trình tự học được kích hoạt.Nếu tiến trình tự học được kích hoạt, cổng đó cũng truyền lưu lượng theohướng đến các máy trạm đã được học trên cổng đích

Trang 27

•

Trạng thái của cổng đích bật /tắt theo chế độ định sẵn Giao diện hiển thị cổng

đó trong trạng thái này theo thứ tự rõ ràng các cổng hiện tại không thích hợpnhu cổng nguồn

• Nếu lưu lượng chuyển tiếp được cho phép cho một thiết bị bảo mật mạng Cáccổng đích chuyển tiếp lưu lượng tại lớp 2(DataLink)

• Một cổng đích không tham gia vào cây bao trùm trong khi các phiên SPANđang hoạt động

• Khi đây là một cổng đích, nó không tham gia vào bất kỳ giao thức lớp 2 (EP,VTP, CDP, DTP, PagP)

• Một cổng đíchthuộc về một nguồn VLAN của bất cứ phiên SPAN bị loại trừkhỏi danh sách các nguồn và không được giám sát

• Một cổng đích nhận được các bản sao của lưu lượng gửi và nhận của cổngnguồn được giám sát Nếu một cổng đích hết thời gian truy nhập, nó có thểdẫn đến xung đột Điều này có thể ảnh hưởng đến lưu lượng chuyển tiếp trênmột hoặc nhiều cổng nguồn

2.1.7 Các đặc điểm của cổng phản hồi

Cổng phản hồi là cơ chế đưa các bản sao các gói lên một RSPAN VLAN Cổng phảnhồi chuyển tiếp duy nhất những lưu lượng từ phiên RSPAN nguồn với phiên mà nótrực thuộc Bất kỳ thiết bị nào kết nối đến một cổng đựoc đặt là cổng phản hồi mấtkết nối chỉ khi phiên RSPAN nguồn bị vô hiệu hóa

Cổng phản hồi có những đặc điểm :

• Là một cổng đặt ở chế độ loopback

• Nó có thể không được là một nhóm EtherChannel, không phải đường trunk,

và nó không thể thực hiện giao thức lọc

• Nó có thể là một cổng vật lý được đặt trong một nhóm EtherChannel, ngay cảkhi nhóm EtherChannel được xác định như là một SPAN nguồn Cổng được

bỏ khỏi nhóm trong khi nó đã được cấu hình như một cổng phản hồi

Trang 28

•

Một cổng được sử dụng như là một cổng phản hồi không thể là một SPANnguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi chonhiều hơn một phiên tại một thời điểm

• Nó không nhìn thấy trong mọi VLANs

• Native VLAN dành cho lưu lượng looped-back trên một cổng phản hồi làRSPAN VLAN

• Cổng phản hồi loops back không đánh dấu lưu lượng đi đến Switch Lưulượng đặt trên RSPAN VLAN và đưa đến các cổng trunk bất kỳ mang RSPANVLAN đó

• Thuật toán cây bao trùm tự động bị vô hiệu trên một cổng phản hồi

• Một cổng phản hồi nhận các bản sao của lưu lượng đã gửi và nhận cho tất cảcác nguồn đã giám sát

2.2 SPAN trên các dòng Switch Cisco

2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series chạy CatOS

Lưu ý: Phần này chỉ được áp dụng cho dòng Switch Cisco Catalyst 2900 Series :

• Cisco Catalyst 2948G-L2

• Cisco Catalyst 2948G-GE-TX

• Cisco Catalyst 2980G-A

Phần này được áp dụng cho dòng Cisco Catalyst 4000 Series bao gồm:

• Modular Chassis Switches: o Cisco Catalyst 4003

o Cisco Catalyst 4006

• Fixed Chassis Switch: o Cisco Catalyst 4912G

Trang 29

SPAN cục bộ

Các tính năng SPAN được cập nhật lần lượt đến CatOS, và cấu hình một SPAN bao

gồm một lệnh đơn set SPAN Hiện nay, một loạt các tuỳ chọn có sẵn cho lệnh : switch (enable) set SPAN

Usage: set SPAN disable [dest_mod/dest_port|all]

set SPAN <src_mod/src_ports |src_vlans |sc0>

Lược đồ mạng này giới thiệu những khả năng khác nhau SPAN tuỳ theo yêu cầu:

Hình 2.5 : Kết nối theo từng VLAN

Lược đồ này đại diện cho một phần của một dòng thẻ mà nằm ở slot 6 của Catalyst6500/6000 Trong phần này:

• Ports 6/1 and 6/2 belong to VLAN 1

• Port 6/3 belongs to VLAN 2

• Ports 6/4 and 6/5 belong to VLAN 3

Trang 30

Kết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một

số trường hợp khác nhau

PSPAN, VSPAN : Giám sát một số cổng hoặc toàn bộ một VLAN

Nhập mẫu đơn giản nhất lệnh set SPAN để giám sát một cổng Cú pháp là set SPAN

source_port destination_port

Giám sát một cổng với SPAN

Hình 2.6 : Giám sát sát một cổng switch (enable) set SPAN 6/1 6/2

Destination : Port 6/2

Admin Source : Port 6/1

Oper Source : Port 6/1

Direction : transmit/receive Incoming

Trang 31

Với cấu hình này, mỗi gói được nhận hoặc gửi qua cổng 6/1 được sao chép trên cổng

6/2 Một mô tả rõ ràng lên đến khi bạn đưa vào cấu hình Sử dụng show SPAN để nhận được một tóm tắt cấu hình SPAN hiện tại: switch (enable) show SPAN

Direction : transmit/receive Incoming

Total local SPAN sessions: 1

Giám sát một số cổng với SPAN

Hình 2.7 : Giám sát nhiều cổng

Câu lệnh set SPAN source_ports destination_port cho phép người sử dụng chỉ định

nhiều hơn một cổng nguồn Đơn giản chỉ cần liệt kê tất cả các cổng trên mà bạnmuốn thực hiện SPAN, phân tách các cổng với các dấu phẩy Các thông dịch dònglệnh cũng cho phép bạn sử dụng gạch nối để xác định một dải các cổng Ví dụ nàyminh họa khả năng này để xác định nhiều hơn một cổng Ví dụ sử dụng SPAN trêncổng 6/1 và một dải 3 cổng 6/3 đến 6/5:

Trang 32

Lưu ý: Hiện chỉ có thể xác định một cổng đích Luôn luôn xác định cổng đích sau

nguồn SPAN

switch (enable) set SPAN 6/1,6/3-5 6/2

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local SPAN sessioninactive

for destination port 6/2

Admin Source : Port 6/1,6/3-5

Oper Source : Port 6/1,6/3-5

session active for destination port 6/2

Lưu ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000,

5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau vớicác phiên bản CatOS trước 5.1 Ở đây, các cổng giám sát được gán cho các VLANs

1, 2, và 3

Giám sát các VLANs với SPAN

Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượng cục

bộ một VLAN Cú pháp là set SPAN source_vlan(s) destination_port

Trang 33

Sử dụng một danh sách của một hoặc nhiều VLANs như là một nguồn, thay vì mộtdanh sách các cổng:

Hình 2.8 : Sử dụng các VLAN như các nguồn cổng switch (enable) set SPAN 2,3 6/2

Admin Source : VLAN 2-3

Oper Source : Port 6/3-5,15/1

Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản đếncổng 6/2

Lưu ý: Kết quả là chính xác giống như nếu bạn thực hiện SPAN độc lập trên tất cả

các cổng thuộc các VLANs mà câu lệnh chỉ rõ So sánh các trường Oper Source và

Trang 34

trường Admin Source Trường Admin Source liêt kê cơ bản tất cả các cổng cấu hìnhcho phiên SPAN, và trường Oper Source liệt danh sách các cổng sử dụng SPAN

Ingress/Egress SPAN

Ở ví dụ trong phần Monitor VLANs with SPAN, lưu lượng đi vào và đi ra khỏi cáccổng được xác định được giám sát Các trường hướng : truyền/nhận hiển thị lưulượng Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để thuthập chỉ các lưu lượng đi ra hoặc chỉ lưu lượng đi vào trên một cổng Thêm vào các từ

khoá RX (nhận) hoặc tx (truyền) cuối dòng lệnh lệnh Giá trị mặc định là both (tx và

RX)

set SPAN source_port destination_port [rx | tx | both]

In this example, the session captures all incoming traffic for VLANs 1 and 3 andmirrors the traffic to port 6/2: Trong ví dụ này, phiên này lưu tất cả lưu lượng đến cácVLANs 1 và 3 và nhân bản lưu lượng đến cổng 6/2:

Hình 2.9 : Nhân bản lưu lượng đến cổng 6/2 switch (enable) set SPAN 1,3 6/2 rx

2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive for destination port 6/2

Admin Source : VLAN 1,3

Oper Source : Port 1/1,6/1,6/4-5,15/1

Direction : receive

Trang 35

Incoming Packets: disabled

Thực hiện SPAN trên một đường Trunk

Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mangthông tin một số VLANs If a trunk is selected as a source port, the traffic for all theVLANs on this trunk is monitored Nếu một đường trunk được chọn là một cổngnguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát

Giám sát một tập nhỏ của các VLANs trên một đường trunk

Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs.Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN cho

2 cổng 6/4 và 6/5 Đơn giản là dùng lệnh :

switch (enable) set SPAN 6/4-5 6/2

Trang 36

Hình 2.10 : Giám sát lưu lượng qua đường trunk

Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưulượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang Ví dụ,không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN

2 hoặc cổng 6/5 trong VLAN 1 Khả năng khác là sử dụng SPAN trên toàn bộ VLAN2:

switch (enable) set SPAN 2 6/2

Hình 2.11 : Thiết lập VLAN bị giám sát

Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từđường trunk đó Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạnkhông muốn từ cổng 6/3 CatOS bao gồm một từ khóa khác mà cho phép bạn lựachọn một số VLANs để giám sát từ đường trunk

switch (enable) set SPAN 6/4-5 6/2 filter 2

Admin Source : Port 6/4-5

Oper Source : Port 6/4-5

Direction : transmit/receive

Trang 37

Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst

6500/6000 Switches Catalyst 5500/5000 does not support the filter option that is

available with the set SPAN command Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên dòng

Catalyst 4500/4000 và Catalyst 6500/6000 Catalyst 5500/5000 không hỗ trợ tùy chọn

lọc sẵn có với câu lệnh set SPAN

Trunking trên cổng đích

Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụngSPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLANcủa một gói bạn nhận được trên cổng SPAN đích Điều này có thể được xác định lànếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho SPAN.Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được gắn thẻ của

họ tương ứng với VLAN ID

Note: Your sniffer needs to recognize the corresponding encapsulation

Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng

Trang 38

switch (enable) set span disable 6/2

This command will disable your span session

Do you want to continue (y/n) [n]?y

Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5

2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session

inactive for destination port 6/2 switch (enable) set trunk 6/2 nonegotiate isl

Port(s) 6/2 trunk mode set to nonegotiate

Port(s) 6/2 trunk type set to isl

switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 hasbecome

isl trunk

switch (enable) set span 6/4-5 6/2

Admin Source : Port 6/4-5

Oper Source : Port 6/4-5

Tạo ra các phiên làm việc đồng thời

Trước đây, chỉ có một phiên Span đã được tạo ra Mỗi lầng bạn nhập một lệnh mới set span, cấu hình trước đó sẽ bị loại bỏ Các CatOS bây giờ có khả năng chạy nhiều

Trang 39

phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc Nhập lệnh

set span source destination create để tạo thêm một phiên SPAN Trong phiên này,

cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 đượcgiám sát:

Hình 2.12 : Giám sát đồng thời switch (enable) set span 6/1 6/2

2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span sessioninactive

switch (enable) set span 3 6/3 create

Trang 40

Admin Source : VLAN 3

Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span

Admin Source : VLAN 3

Direction : transmit/receive

Định dạng
Số trang	106
Dung lượng	4,2 MB