BỘ GIÁO DỤC VÀ ĐÀO TẠO LÊ ĐỨC HIỆP TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN LÊ ĐỨC HIỆP TRIỂN KHAI HỆ THÔNG IDS - SNORT TRÊN HỆ ĐIỀU HÀNH LINUX TRIỂN KHAI HỆ THỐNG IDS - SNORT TRÊN HỆ ĐIỀU HÀNH LINUX ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HƯNG YÊN - 2016 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN LÊ ĐỨC HIỆP TRIỂN KHAI HỆ THỐNG IDS - SNORT TRÊN HỆ ĐIỀU HÀNH LINUX NGÀNH: CÔNG NGHỆ THÔNG TIN CHUN NGÀNH: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGƯỜI HƯỚNG DẪN VŨ XUÂN THẮNG HƯNG YÊN - 2016 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX MỤC LỤC DANH SÁCH HÌNH VẼ DANH SÁCH TỪ VIẾT TẮT CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài 1.2 Mục tiêu đề tài 1.3 Giới hạn phạm vi đề tài 1.4 Nội dung thực 1.5 Phương án tiếp cận CHƯƠNG 2: TÌM HIỂU VỀ IDS – SNORT TRÊN HĐH LINUX .10 2.1 Phần mềm IDS – Snort 15 2.1.1 Giới thiệu Snort 15 2.1.2 Các trạng thái 16 2.2 Các thành phần Snort .17 2.2.1 Bộ packet sniffer 18 2.2.2 Bộ Preprocessor .18 2.2.3 Bộ phát (detection engine) .18 2.2.4 Hệ thống ghi cảnh báo (Logging alerting) .20 2.2.5 Cấu trúc luật .21 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT TRÊN CENTOS 23 3.1 Mô tả thực nghiệm 23 3.2 Hạ tầng mạng thực nghiệm 25 3.3 Các bước cài đặt Snort hệ điều hành CentOS 25 3.3.1 Cài hệ điều hành CentOS 25 3.3.2 Cài đặt cấu hình Snort 25 3.3.3 Cấu hình MySQL server 28 3.3.4 Cấu hình để Snort thực alert vào MySQL .28 3.3.5 Cài đặt cấu hình Basic Analysis and Sercurity Engine .29 3.4 Giao diện hệ thống sau cài đặt .30 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX 3.4.1 Các thơng tin cấu hình 30 3.4.2 Hướng dẫn sử dụng Snort 31 3.4.3 Kết thống kê thực nghiệm IDS Snort 31 3.5 Các công kết thống kê thực nghiệm 35 3.5.1 Tấn công IDS Snort phát 35 3.5.2 Ngăn chặn 36 3.5.3 Kết thống kê thực nghiệm 37 CHƯƠNG 4: KẾT LUẬN 39 4.1 Kết đạt .39 4.2 Hạn chế đề tài .39 4.3 Hướng phát triển đề tài 40 TÀI LIỆU THAM KHẢO 41 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX DANH MỤC HÌNH VẼ Hình 2-1: Mơ hình kiến trúc hệ thống phát xâm nhập (IDS) 11 Hình 2-2: Mơ hình Network IDS 12 Hình 2-3: Mơ hình Host IDS 13 Hình 2-4: Q trình xử lý gói 17 Hình 2-5: Bộ phát xâm nhập .19 Hình 2-6: Hệ thống ghi nhập file log phát cảnh báo 20 Hình 3-1: Snort hoạt động 30 Hình 3-2: Giao diện Base 32 Hình 3-3: Snort phát Nmap scanport, truy cập ssh 32 Hình 3-4: Hiển thị địa nghi vấn 33 Hình 3-5: Xem nội dung packet 33 Hình 3-6: Thống kê theo ngày, 34 Hình 3-7: Thống kê theo ngày 35 Hình 3-8: IDS Snort phát gói tin gửi vào hệ thống 36 Hình 3-9: Mơ hình thực nghiệm .38 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX DANH MỤC TỪ VIẾT TẮT Viết tắt DdoS Tiếng Anh Distributed Denial of Service Tiếng Việt Tấn công từ chối dịch vụ DNS Domain Name System Hệ thống tên miền DoS Denial-of-service Tấn công từ chối dịch vụ FTP File Transfer Protocol Giao thức truyền liệu HIDS Host Intrusion Detection System hệ thống phát xâm phạm cài đặt máy tính (host) Internet Control Message Giao thức xử lý thông báo Protocol trạng thái cho IP Intrusion Detection System Hệ thống phát xâm nhập IP Internet Protocol Giao thức Internet IPS Intrusion Prention System Hệ thống phát xâm nhập ICMP IDS MAC NIDS OSI SNMP SMTP TCP UTM Media Access Control Network Intrusion Detection System Open Systems Interconnection Định danh gán cho thiết bị mạng Sử dụng liệu toàn lưu thơng mạng, để phát xâm nhập Mơ Hình Mạng OS Simple Network Giao thức giám sát điều Management Protocol khiển thiết bị mạng Simple Mail Transfer Giao thức truyền tải thư tín đơn Protoco giản Transport Control Protocol Giao thức điều khiển truyền tải Unified Threat Quản lý thống mối Management nguy hiểm TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài Ngày nay, giới công nghệ thông tin phát triển nhanh, mang lại lợi ích thiết thực nhiều mặt như: kinh tế, xã hội, trị, y tế, quân sự… họp tổ chức, quan, công ty hay buổi hội thảo xuyên quốc gia, xuyên lục địa (Video Conference) Mạng Internet ngày đóng vai trò quan trọng hoạt động người Với lượng thông tin ngày phong phú đa dạng Khơng có ý nghĩa nơi tra cứu tin tức kiện diễn đời sống hàng ngày, Internet đóng vai trò cầu nối liên kết người với vùng địa lý Các khoảng cách địa lý khơng ý nghĩa, người cách nửa vòng trái đất họ trao đổi thông tin, chia sẻ liệu cho người văn phòng Internet góp phần làm thay đổi phương thức hoạt động kinh doanh doanh nghiệp Ngoài hoạt động kinh doanh truyền thống, doanh nghiệp có thêm phương thức kinh doanh hiệu quả, thương mại điện tử Trong năm gần đây, thương mại điện tử trở thành phận quan trọng tăng trưởng, phát triển xã hội, mang lại lợi ích lớn cho doanh nghiệp, đồng thời thúc đẩy xã hội hóa thơng tin cho ngành nghề khác, góp phần mang lại tính hiệu cho kinh tế doanh nghiệp nói riêng cho tồn xã hội nói chung Ði đơi với phát triển bảo mật mạng nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại công xâm nhập thực trao đổi thông tin, giao dịch qua mạng an toàn Về giá trị lợi ích cơng nghệ thơng tin mang lại, kẻ xấu lợi dụng công nghệ gây khơng khó khăn cho tổ chức, quan người áp dụng công nghệ thông tin vào sống Cơng nghệ có ưu điểm nhược điểm Người công (Attacker) chúng lợi dụng lỗ hổng hệ thống để truy xuất bất hợp phát vào khai thác thông tin quan trọng, liệu có tính chất bảo mật, nhạy cảm, thông TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX tin mật quốc phòng… Vì cần phải có biện pháp, phương pháp để phát truy nhập trái phép Để phát truy nhập trái phép đó, cơng nghệ phát chống xâm nhập hiệu nhiều tổ chức, quan, doanh nghiệp triển khai áp dụng vào hệ thống mạng ḿnh công nghệ Snort IDS Intrusion Detection System (IDS) hệ thống phòng chống phát xâm nhập thơng minh IDS phát tín hiệu, biểu hiện, hành vi người xâm nhập trước gây thiệt hại đến hệ thống mạng làm cho dịch vụ mạng ngừng hoạt động hay liệu Từ ngăn chặn thơng qua biện pháp kỹ thuật khác Đề tài em với mục tiêu xây đựng hệ thống IDS Snort hệ điều hành CentOS, hệ thống với mục đích phát phòng chống hành động cơng thâm nhập mạng Do đề tài tập trung nghiên cứu vào phương thức hoạt động vận hành hệ thống IDS Snort đồng thời đưa cách cài đặt thiết lập hệ thống IDS hoàn chỉnh hệ điều hành CentOS Bên cạnh chúng tơi đưa giải pháp nhằm tăng cường khả hoạt động vận hành hệ thống thông qua việc sử dụng barnyard để tăng cường khả ghi lại log hệ thống để tự động liên tục cập nhật rule Ngoài việc sử dụng hệ thống rule có sẵn, đề tài tìm hiểu cách tạo rule theo yêu cầu nhằm giám sát kiểm tra luồng thông tin cụ thể mà hệ thống rule snort đáp ứng Thông qua việc nghiên cứu, đề tài em đưa nhìn tổng quan hệ thống IDS Snort từ ứng dụng mơ hình mạng thực tế Mục tiêu đề tài 1.2 - Nghiên cứu, tìm hiểu khái niệm, cách hoạt động IDS Snort - Cài đặt, cấu hình thử nghiệm Snort hệ điều điều hành CentOs 6.7 - Kiểm chứng kết đạt sau cài đặt thành công thử nghiệm tập Rules mở rộng khả phát TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Giới hạn phạm vi đề tài 1.3 - Thực HĐH Centos - Hạn chế thời gian tài nên chưa thực xây dựng hệ thống mạng thật - Việc hoàn thiện module gắn thêm cho hệ thống IDS chưa có - Cách phối hợp Firewall Iptables IDS Snort chưa chặt chẽ - Chưa tự động gửi cảnh báo đến người quản trị thông qua email SMS 1.4 Triển khai hệ thống mạng LAN Nội dung thực - Tìm hiểu IDS - Snort - Triển khai hệ thống IDS - Snort CentOS - Báo cáo lý thuyết trình tìm hiểu - CD chứa video cài đặt cấu hình chương trình 1.5 Phương án tiếp cận - Tìm hiểu hệ thống phát xâm nhập IDS - Tìm hiểu chi tiết IDS – Snort hệ điều hành Linux - Xem mơ hình cơng mạng - Khảo sát qua mạng TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX CHƯƠNG 2: TÌM HIỂU VỀ IDS – SNORT TRÊN HĐH LINUX 2.1 Phát xâm nhập gì? Phát xâm nhập tập công nghệ phương thức dùng để phát hành động khả nghi host mạng Hệ thống phát xâm nhập (IDS) có loại sau: IDS signature-based (IDS dựa dấu hiệu) IDS anomalybased (IDS dựa bất thường) Intruder có dấu hiệu, giống virus máy tính - phát cách sử dụng phẩn mềm qt virus cố gắng tìm gói liệu có chứa dấu hiệu liên quan đến xâm nhập biết hay điều bất thường liên quan đến giao thức Dựa tập signature rules, hệ thống phát tìm ghi hành động xâm nhập phát cảnh báo Sự phát xâm nhập dựa bất thường thường phụ thuộc vào tính bất thường tiêu đề (header) giao thức gói liệu Trong nhiều trường hợp, phương pháp đem lại kết tốt IDS signature-based Thông thường IDS capture liệu từ mạng áp dụng rule vào liệu phát anomaly Snort IDS rule-base (IDS dựa tập luật) chính, nhiên input plug-in giúp phát anomaly tiêu đề giao thức ‘Snort sử dụng rule lưu text file, xem trình soạn thảo văn Những rule nhóm theo loại Những rule với loại lưu trữ file riêng Những file sau tập hợp file cấu hình chính, gọi snort.conf Snort đọc rule lần chạy xây dựng cấu trúc liệu bên áp dụng rule để capture liệu Việc tìm signature sử dụng chúng rule cơng việc đòi hỏi phải tinh tế, dùng nhiều rule, có nhiều cơng việc xử lý yêu cầu để capture liệu thời gian thực Snort cho phép định nghĩa lại rule cho việc phát xâm nhập “linh hoạt” cho ta thêm vào rule riêng 10 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX # ln –s /usr/local/bin/snort /usr/sbin/snort # cd /etc/snort/so_rules/precompiled/CentOS-5.0/i386/2.8.4.1 # cp * /usr/local/lib/snort_dynamicrules/ Cấu hình Snort Sửa file cấu hình từ /etc/snort/snort.conf Var HOME_NET 192.168.0.0/24 Var RULE_PATH /etc/snort/rules Var SO_RULE_PATH /etc/snort/so_rules Var PREPROC_RULE_PATH /etc/snort/preproc_rules Tạo số luật để thực nghiệm Snort # vi /etc/snort/rules/local Rules alert tcp any any -> any 23 (msg:"Telnet Connection=> Attempt"; sid:100001;) alert tcp any any -> 192.168.0.0/24 any (msg:"SYN-FIN=>scan detected"; sid:1000002;) alert icmp any any -> 192.168.0.0/24 any (flags: A; ack: 0; msg:"TCP ping detected"; sid:100003;) alert tcp any any -> any 22 (msg:"ssh connection=>Attempt"; sid:1000004;) - Khởi tạo Snort lần đầu tiên: # /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf Kiểm tra xem Snort hoạt động ghi log chưa: # cd /var/log/snort # ls –l Total 12144 -rw root root 6205014 Dec 16:32 snort.alert -rw root root 6205014 Dec 16:32 snort.log Cài Barnyard Barnyard ứng dụng sử dụng để offload tải việc xuất file log cảnh báo cho Snort Do đó, Snort dành tài nguyên cho chức # wget http://snort.org/dl/barnyanrd2-1.8.tar.gz # cd /usr/local/ 27 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX # tar zxvf /Download/Barnyard2-1.8.tar.gz # cd barnayrd2-1.8/ #./configure –with-mysql # make && make install # cd etc/ # cp barnyard.conf /etc/snort Cấu hình MySQL server Tạo sở liệu với MySQL # service mysqld start # mysql Mysql> set password for root@localhost=password(‘123456’); Mysql> create database snort; Mysql> grant create, insert, select, delete, update on snort.* to snort@localhost; Mysql> set password for snort@localhost=password(‘123456’); Mysql> exit # cd /usr/local/snort-2.8.4.1/schemas/ # mysql –p < create_mysql snort Enter password: Mysql> show databases; Mysql> user snort; Mysql> show tables; Mysql> exit Cấu hình để Snort thực alert vào MySQL # vi /etc/snort/snort.conf - Tìm dòng đây, bỏ thích đầu dòng chỉnh sửa giá trị cho phù hợp: output database: log, mysql, user=snort password=123456 dbname=snort host=localhost - Khởi động lại snort kiểm tra xem Snort Barnyard2 tương tác ghi log vào database hay chưa: # mysql –usnort -p"123456" -D snort -e "select count(*) from event" Count(*) 28 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX 280278 Nếu số khác Snort Barnyard2 đồng với Cài đặt ADODB Tải ADODB http://nchc.dl.sourceforge.net/sourceforge/adodb/ # cd /var/www/html/ # tar zxvf /Download/adodb4991.tgz Cài đặt cấu hình Basic Analysis and Sercurity Engine (Base) BASE ứng dụng cung cấp giao diện web để truy vấn phân tích Snort alert # cd /var/www/html # tar zxvf /Download/base-1.4.5.tgr.gz # mv base-1.4.5 base # chmod 777 base # cd base # cp base_conf.php.dist base_conf.php Cấu hình base: # vi base_conf.php Sửa dòng sau: $BASE_urlpath=’/base’; $Dblib_path=’/var/www/html/adodb’; $alert_dbname=’snort’; $alert_password=’123456’; $archive_exists=1; # set this to if you have an archive DB $archive_dbname=’snort’; $archive_user=’snort’; $archive_password=’123456’; $external_whois_link=’index.php’; $external_dns_link=’index.php’; $external_all_link=’index.php’; Đến Snort hoạt động Có thể kiểm tra cách sử dụng câu lệnh sau: # snort –c /etc/snort/snort.conf –i eth0 29 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Hình 3-1: Snort hoạt động Sau Snort kiểm tra tất thơng tin cần thiết để snort hoạt động thấy xuất dòng sau: Not Using PCAP_FRANES Lúc Snort hoạt động ghi lại tất mà Snort phát hiện, có dấu hiệu khả nghi Để dừng hoạt động Snort, bấm Ctrl_C 3.4 Giao diện hệ thống sau cài đặt Các thơng tin cấu hình Firewall IDS gồm có network interface, cắm sau: + eth0 dùng để quản trị lắng nghe xâm nhập từ vào + eth1 giao tiếp với mạng bên http, ssh, ftp… Thông tin hệ điều hành CentOS - Account quản trị: root/root - Eth0 interface + IP: 192.168.0.38/24 + Netmask: 255.255.255.0 + Network: 192.168.0.0/24 + Broadcast: 192.168.0.255 30 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX + Gateway: 192.168.0.254 - Các phần mềm cài đặt: + Iptables + Snort 2.8.4.1 + MySQL Server + PHP + Barnyard2 + Basic Analysis and Security Engine 1.4.5 Hướng dẫn sử dụng Snort - File cấu hình: /etc/snort/snort conf - Thư mục chứa tập luật: /etc/snort/rules/ - File log: /var/log/snort/ Kích hoạt tiến trình Snort gõ lệnh: # /etc/init.d/snort start Hoặc # /usr/local/bin/snort –Dq –u snort –g snort –i eth0 –c /etc/snort/snort.conf Để hủy tiến trình snort gõ lệnh: # pkill snort Kết thống kê thực nghiệm IDS Snort Sử dụng phần mềm Base để quản trị kiểm tra thống kê thực nghiệm Base cung cấp công cụ giao diện, cho phép người dùng truy xuất phân tích cảnh báo 31 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Hình 3-2: Giao diện Base Ở mục Traffic Profile by Protocol Click vào mục “TCP” xem tần suất alert xuất Hình 3-3: Snort phát Nmap scanport, truy cập ssh Trên bảng “Summary Statistics”, click vào link “Destination” hàng “Unique addresses” để xem địa đích bị cơng 32 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Hình 3-4: Hiển thị địa nghi vấn Xem payload packets Để xem payload packet, click vào cột ID tương ứng alert Ví dụ: click vào link “#6-(2-296605)” để xem nội dung gói tin tương ứng Hình 3-5: Xem nội dung packet 33 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Tính đặc biệt hữu ích, cho phép IDS admin review lại tồn gói tin tạo alert, giúp cho trình tinh chỉnh rules xác Graph Alert Detection Time Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể tần suất alert theo giờ, ngày theo tháng Dạng biểu đồ hữu ích, cho phép xác định thời điểm bất thường, qua giúp định hướng người quản trị tập trung vào điểm quan trọng Biểu đồ thống kê phát xâm nhập theo ngày, Hình 3-6: Thống kê theo ngày, 34 TRIỂN KHAI HỆ IDS – SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Xem biểu đồ mà snort phát xâm nhập vào hệ thống theo ngày Hình 3-7: Thống kê theo ngày 3.5 Các công kết thống kê thực nghiệm Tấn công IDS Snort phát Attacker sử dụng phương pháp công gây ngập lụt (PINGFLOOD) vào hệ thống firewall IDS, cách ping gửi nhiều gói package vào hệ thống firewall IDS C:\>ping 192.168.0.38 -l 1000 -t Pinging 192.168.0.38 with 1000 bytes of data: Reply from 192.168.0.38: bytes=1000 time=1ms TTL=64 Reply from 192.168.0.38: bytes=1000 time