Khóa luận tốt nghiệp LỜI MỞ ĐẦU Lý chọn đề tài An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm khơng Việt Nam mà tồn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phòng chống cơng xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, khóa luận tốt nghiệp em mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt giải pháp, kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang sau trường Mục tiêu nhiệm vụ - Tìm hiểu, tổng hợp phân tích vấn đề liên quan đến hệ thống dò tìm phát xâm nhập IDS - Tìm hiểu nghiên cứu vấn đề liên quan đến chương trình snort - Tìm hiểu hệ điều hành Linux - Tìm hiểu phương pháp triển khai thử nghiệm cài đặt Snort HIDS hệ linux - Đưa số nhận định hướng phát triển đề tài Đối tượng phạm vi nghiên cứu - Hệ thống dò tìm phát xâm nhập IDS - Hệ thống HIDS Snort - Xây dựng hệ thống snort IDS linux Phương pháp nghiên cứu Đề tài sử dụng phương pháp nghiên cứu sau : - Tổng hợp kết nghiên cứu từ tư liệu liên quan - Phân tích đánh giá phương pháp đưa giải pháp lựa chọn - Xây dựng thử nghiệm mơ hình ứng dụng Trang Khóa luận tốt nghiệp Bố cục đề tài Đề tài chia làm chương: Chương I TỔNG QUAN VỀ HỆ THỐNG IDS Tổng hợp, nghiên cứu phân tích nội dung hệ thống dò tìm phát xâm nhập-IDS, khái niệm, lịch sử phát triển, phân loại, hoạt động… Chương II HỆ THỐNG SNORT Giới thiệu tổng quan hệ thống Snort, bao gồm: khái niệm, nguyên lý hoạt động, thành phần, luật snort… Chương II TRIỂN KHAI HỆ THỐNG SNORT Triển khai hệ thống snort linux, tùy chọn hệ thống kiểm thử kết Trang Khóa luận tốt nghiệp CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG IDS (Intrusion Detection System) 1.1 TỔNG QUAN VỀ IDS 1.1.1 Định nghĩa hệ thống phát xâm nhập – IDS IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS phân biệt công bên từ bên (từ người công ty) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.1.2 Lịch sử đời phát triển Cách khoảng 25 năm, khái niệm phát xâm nhập xuất qua báo James Anderson Khi người ta cần IDS với mục đích dò tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS/IPS công nghệ an ninh sử dụng nhiều phát triển Trang Khóa luận tốt nghiệp Vào năm 2003, Gartner- công ty hàng đầu lĩnh vực nghiên cứu phân tích thị trường cơng nghệ thơng tin tồn cầu- đưa dự đoán gây chấn động lĩnh vực an tồn thơng tin : “Hệ thống phát xâm nhập (IDS) khơng vào năm 2005” Phát biểu xuất phát từ số kết phân tích đánh giá cho thấy hệ thống IDS đối mặt với vấn đề sau: - IDS thường xuyên đưa nhiều báo động giả ( False Positives) - Là gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục (24 suốt 365 ngày năm) - Kèm theo cảnh báo công quy trình xử lý an ninh vất vả - Khơng có khả theo dõi luồng liệu truyền với tốc độ lớn 600 Megabit giây Nhìn chung Gartner đưa nhận xét dựa nhiều phản ánh khách hàng sử dụng IDS quản trị vận hành hệ thống IDS khó khăn, tốn khơng đem lại hiệu tương xứng so với đầu tư Sau phát biểu đưa ra, số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu mong muốn vấn đề tồn việc quản lý vận hành chất công nghệ kiểm sốt phân tích gói tin IDS Cụ thể, hệ thống IDS hoạt động hiệu quả, vai trò cơng cụ, người quản trị quan trọng, cần phải đáp ứng tiêu chí sau: - Thu thập đánh giá tương quan tất kiện an ninh phát IDS, tường lửa để tránh báo động giả - Các thành phần quản trị phải tự động hoạt động phân tích - Kết hợp với biện pháp ngăn chặn tự động Kết tới năm 2005, hệ sau IDS-hệ thống tự động phát ngăn chặn xâm nhập IPS- dần khắc phục mặt hạn chế IDS hoạt động hiệu nhiều so với hệ trước 1.1.3 Các thống kê IDS - Trên 90% mạng kết nối sử dụng IDS để phát lỗ hổng bảo mật máy tính Trang Khóa luận tốt nghiệp - 4/7/02, Viện An ninh máy tính báo cáo có đến 80% thiệt hại tài vượt qua 455 triệu đôla bị gây xâm nhập mã nguy hiểm - Hàng triệu công việc bị ảnh hưởng xâm nhập - Chỉ có 0,1% cơng ty chi phí khoản thích hợp IDS - IDS đến nghĩ sản phẩm tường lửa thành phần thay - Nếu sử dụng phần mềm chống virus bạn phải xem xét đến việc bổ sung thêm IDS cho chiến lược bảo mật Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS IDS cơng cụ chủ yếu đóng góp vào bảo mật tường lửa phần mềm chống virus Các công cụ khơng có hiệu sử dụng tách biệt Chính cần kết hợp công nghệ tin cậy kiểm tra chặt chẽ, bảo đảm ứng dụng IDS sử dụng cho tổ chức bạn giống việc mặc quần áo may đo cách tỉ mỉ Nhiều chuyên gia bảo mh ật mạng biết tường lửa thành phần kế hoạch bảo mật toàn diện Họ nhận thấy IDS sản phẩm bổ sung hữu hiệu để thực tốt chiến lược bảo mật công ty Nhưng mà chun gia bảo mật khơng nhận thấy loại IDS phù hợp với tổ chức họ Những kẻ xâm nhập có khả thích ứng sau hiểu có IDS mạng chúng sớm tìm kiếm đường khác để băng qua hệ thống IDS mạng Với hệ thống cảnh báo, cảnh báo ngăn chặn kẻ xâm nhập đột nhập vào hệ thống bạn, cảnh báo thường thông báo cho người sở hữu tương ứng hành vi cố gắng thực xâm nhập vào hệ thống Cảnh báo phục vụ ngăn chặn số trường hợp kẻ xâm nhập tiếp tục thực hành vi bất chấp có cảnh báo xuất Một số cảnh báo (hệ thống IDS) có khả loại bỏ gói hỏng mà nhận dạng theo giống cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát virus Tất gói qua IDS phân tích so sánh với file mẫu file dấu hiệu để xác nhận khơng phải file kẻ công sử dụng Nếu gói liệu bị loại bỏ IDS cấu Trang Khóa luận tốt nghiệp hình để ghi lại kiện thơng báo đến chuyên gia bảo mật để chuyên gia hành động kịp thời chống lại kẻ công Giống phần mềm chống virus, sản phẩm hoạt động tốt cập nhật file mẫu file chữ dấu hiệu IDS bạn khuyên cần phải cập nhật kịp thời Hầu hết kẻ xâm nhập kiên trì chúng truy cập thông qua đường riêng đường khác chúng thử cách Chính phải thường xuyên đọc ghi thông báo để cập nhật vấn đề mạng Nếu thấy xuất cố gắng xâm nhập từ nguồn cụ thể bạn cần phải để ý đến hành động Xem lại hệ thống luật để biết phải làm luật, nhanh chóng đóng lỗ hổng hành động cố ý hoại sớm giải để tránh bị hậu phức tạp gây kẻ công tổ chức Một nguyên lý mã hóa tồn kho liệu mạng bạn Dùng mật để bảo vệ tất thông tin nhạy cảm không cho phép người dùng duyệt trang mạng nội không an tồn thơng tin nhạy cảm bị ăn trộm theo cách 1.1.4 Chức hệ thống Hệ thống phát xâm nhập cho phép tổ chức bảo vệ hệ thống họ khỏi đe dọa với việc gia tăng kết nối mạng tin cậy hệ thống thông tin Những đe dọa an ninh mạng ngày trở nên cấp thiết đặt câu hỏi cho nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát xâm nhập trừ đặc tính hệ thống phát xâm nhập hữu ích cho họ, bổ sung điểm yếu hệ thống khác…IDS có chấp nhận thành phần thêm vào cho hệ thống an tồn hay khơng câu hỏi nhiều nhà quản trị hệ thống Có nhiều tài liệu giới thiệu chức mà IDS làm đưa vài lý nên sử dụng hệ thống IDS: - Bảo vệ tính tồn vẹn (integrity) liệu, bảo đảm quán liệu hệ thống Các biện pháp đưa ngăn chặn việc thay đổi bất hợp pháp phá hoại liệu Trang Khóa luận tốt nghiệp - Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ngồi Bảo vệ tính khả dụng, tức hệ thống sẵn sàng thực yêu cầu truy nhập thông tin người dùng hợp pháp - Bảo vệ tính riêng tư, tức đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo chức năng, nhiệm vụ phân cấp, ngăn chặn truy nhập thông tin bất hợp pháp - Cung cấp thông tin xâm nhập, đưa sách đối phó, khơi phục, sửa chữa… Ngồi hệ thống phát xâm nhập IDS có chức năng: - Ngăn chặn gia tăng công - Bổ sung điểm yếu mà hệ thống khác chưa làm - Đánh giá chất lượng việc thiết kế hệ thống Khi IDS chạy thời gian đưa điểm yếu điều hiển nhiên Việc đưa điểm yếu nhằm đánh giá chất lượng việc thiết kế mạng cách bố trí bảo vệ phòng thủ nhà quản trị mạng 1.1.5 Nhiệm vụ hệ thống Nhiệm vụ hệ thống phát xâm phạm bảo vệ cho hệ thống máy tính cách phát dấu hiệu công Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt “bả bẫy” trang bị cho việc nghiên cứu mối đe dọa Việc làm lệnh hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng khác Toàn hệ thống cần phải kiểm tra cách liên tục Dữ liệu tạo từ hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công (sự xâm phạm) Khi hành động xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Trang Khóa luận tốt nghiệp Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đơi đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua mail 1.2 PHÂN LOẠI 1.2.1 NIDS (Network Base Intrusion Detection System) Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIPS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng Được đặt kết nối hệ thống mạng bên mạng bên để giám sát tồn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lưu lượng mạng sử dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao Trang Khóa luận tốt nghiệp Hình 1.1 Mơ hình NIDS Lợi Network-Based IDSs: - Quản lý network segment (gồm nhiều host) - "Trong suốt" với người sử dụng lẫn kẻ công - Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mơ hình OSI) Độc lập với OS Hạn chế Network-Based IDSs: - Có thể xảy trường hợp báo động giả (false positive), tức intrusion mà NIDS báo có intrusion - Khơng thể phân tích traffic encrypt (vd: SSL, SSH, IPSec…) - NIDS đòi hỏi phải cập nhật signature để thực an toàn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Khơng cho biết việc attack có thành cơng hay khơng Một hạn chế giới hạn băng thông Những dò mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên khả đầu dò Một giải pháp bảo đảm cho mạng thiết kế xác phép đặt nhiều đầu dò Trang Khóa luận tốt nghiệp Khi mà mạng phát triển, nhiều đầu dò lắp thêm vào để bảo đảm truyền thông bảo mật tốt 1.2.2 HIDS (Host Base Intruction Detection System) Hình 1.2 Mơ hình HIDS HIDS thường cài đặt máy tính đinh Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính HIDS thường đặt host xung yếu tổ chức, server vùng DMZ - thường mục tiêu bị công Nhiêm vụ HIDS giám sát thay đổi hệ thống, bao gồm (not all): - Các tiến trình - Các entry Registry - Mức độ sử dụng CPU - Kiểm tra tính tồn vẹn truy cập hệ thống file - Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống file gây báo động Lợi HIDS: - Có khả xác đinh user liên quan tới event Trang 10 Khóa luận tốt nghiệp TRIỂN KHAI HỆ THỐNG SNORT 3.1 GIỚI THIỆU KỊCH BẢN 3.1.1 Yêu cầu chung 3.1.1.1 Chọn hệ điều hành Có nhiều việc để suy nghĩ đưa định sau: - Khả hỗ trợ: Rất thông thường, định chọn hệ điều hành sử dụng dựa mà bạn biết Chọn hệ điều hành mà bạn biết cấu hình bảo quản hiệu Nếu bạn biết rõ Windows khơng biết Linux, sử dụng Windows Hầu tài nguyên web sử dụng để chạy Snort thiên cài đặt tảng Linux - Sự hoạt động: Mọi người thừa nhận mạng Linux BSD nhanh mạng Windows Theo kinh nghiệm chuyên gia bảo mật, dường cảm biến Linux giám sát mức độ băng thơng cao Windows với cấu hình định sẵn Điều làm cho bạn cảm thấy Snort viết cho hệ điều hành Unix - Sự ổn định: Người ta cho Linux BSD ổn định Windows nhiều Điều thật không thật hệ thống Windows cấu hình vá lỗi tốt - Bảo mật: Có nhiều việc làm để bảo mật cho hệ thống Windows Số lượng vá lỗi cho dịch vụ Windows nhiều Cũng có vá lỗi cho hệ điều hành khác dịch vụ Unix thường Và hệ điều hành Unix có khuynh hướng chạy dịch vụ nên bạn có lỗ hổng Về nhiệm vụ có liên quan đến bảo mật, nhiều chuyên gia sử dụng Linux hay BSD Windows 3.1.1.2 Download SNORT rule Để download Snort ta vào trang web Snort: www.snort.org Trang 52 Khóa luận tốt nghiệp Hình 3.1 Giao diện trang www.snort.org Hãy chọn thư mục binaries/ thư mục tương ứng chứa Snort hệ điều hành windows hay linux Ở triển khai Snort hệ thống linnx nên chọn linux/ Hình 3.2 Giao diện download snort Sau trở trang chủ chọn RULES, chọn DOWNLOAD RULES tải tập quy tắc (rule) Trang 53 Khóa luận tốt nghiệp Hình 3.3 Giao diện download rule cho snort 3.1.1.3 Cấu hình giao diện Cùng với việc tạo mạng quản lý, có nhiều bước phải thực để bảo mật cho hệ thống bạn Các cảm biến Snort nên cấu hình với giao diện Một giao diện mạng quản trị, tất lưu lượng cảnh báo quản trị dùng giao diện này, tránh cho khỏi mắt tò mò Snort sử dụng giao diện để giám sát.Giao diện khơng cấu hình với địa IP, khơng thể bị thấy host mạng Việc giữ giao diện lắng nghe “vơ hình” với hệ thống khác mạng làm cho việc bảo mật cảm biến dễ dàng 3.1.1.4 Tối ưu hoá hệ thống SNORT Để triển khai hệ thống Snort ổn định đạt yêu cầu đặc ta phải lưu ý quan trọng vấn đề sau: + Tắt dịch vụ khơng cần thiết Trang 54 Khóa luận tốt nghiệp Nếu dịch vụ không cần thiết cho chức server, ta khơng nên cài đặt bật lên Càng dịch vụ chạy hệ thống, vấn đề cần phải bảo mật + Cập nhật vá lỗi Ngày xuất nhiều cơng mới, bạn phải thường xuyên cập nhật vá lỗi hệ thống Điều với hệ điều hành mà bạn sử dụng + Sử dụng cách xác thực mạnh Khi có thể, sử dụng phương pháp xác thực mạnh việc đơn giản username password Hãy bắt người dùng thay đổi password định kì, hủy tài khoản sau số lần đăng nhập không thành công + Giám sát hệ thống tạo log Hệ thống cấu hình để tạo log quan trọng log xem lại thường xuyên để biết vấn đề hệ thống, phần cứng, cấu hình (bao gồm dấu hiệu xâm nhập ) Nếu có thể, gửi log đến server syslog tập trung (nên đặt mạng quản lý) Điều làm cho việc xem log thiết lập vài liên quan kiện nhiều mạng dễ dàng 3.2 CÁC BƯỚC THỰC HIỆN 3.2.1 Cài đặt snort cấu hình Snort Snort server: cài phần mềm snort Windows 2k3: sử dụng phần mềm nmap tiến hành quét port máy snort Hình 3.4 Mơ hệ thống Snort a) Cài gói yêu cầu sau -Lần lượt cài gói phụ thuộc: Trang 55 Khóa luận tốt nghiệp -mysql -mysql-bench -mysql-server -mysql-devel -yum-utils -php-mysql -httpd -gcc -pcre-devel -php-gd -gd -distcache-devel -mod_ssl -glib2-devel -gcc-c++ -libpcap-devel -php -php-pear Trường hợp hàm thư viện gói phần mềm cần thiết chưa cài bạn thực hiệc bước sau cho nhanh: b1 tạo thư mục root: mkdir media/CentOS b2 mount dvd vào thư mục: mount dev/cdrom /media/CentOS b3 import key PGP: rpm import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5 b4 cài đặt yum với gói sau đây: yum disablerepo=\* enablerepo=c5-media groupinstall "Development Tools" yum disablerepo=\* enablerepo=c5-media groupinstall "Development Libraries" yum disablerepo=\* enablerepo=c5-media groupinstall "MySQL Database" Sau kiểm tra thiếu gói cài thêm gói Trang 56 Khóa luận tốt nghiệp b) Cài đặt Snort chép snort vào /snort cd /soft Giải nén snort tar -zxvf snort-2.8.4.1.tar.gz cd snort-2.8.4.1 - Lần lượt thực sau để cài đặt snort #./configure with-mysql enable-dynamicplugin c) Cấu hình snort - Tạo thư mục hoạt động cho snort mkdir /etc/snort mkdir /etc/snort/rules mkdir /var/log/snort - Chép file cấu hình cd etc/ cp * /etc/snort - Tạo nhóm & người dùng cho snort groupadd snort useradd -g snort snort -s /sbin/nologin - Set quyền sở hữu cho phép Snort ghi log vào thư mục chứa log chown snort:snort /var/log/snort/ 3.2.2 Cài đặt tập rule cho SNORT - Tải rule từ http://www.snort.org - Giải nén tar -xzvf snortrules-snapshot-2.8.tar.gz cd rules cp * /etc/snort/rules a) Cấu hình snort để nhận rules File cấu hình /etc/snort/snort.conf - Sửa dòng 46 var HOME_NET 192.168.9.0/24 Trang 57 Khóa luận tốt nghiệp - Sửa dòng 49 var EXTERNAL_NET !$HOME_NET Sửa dòng: 110: var RULE_PATH /etc/snort/rules 688: output database: log, mysql, user=snort password=123456 dbname=snort host=localhost Save lại b) Thiết Lập Snort khởi động hệ thống: Tạo liên kết mềm (symbolic link) file snort binary đến /usr/sbin/snort ln -s /usr/local/bin/snort /usr/sbin/snort Snort cung cấp scrip để khởi động thư mục rpm/ ; (thư mục giải nén snort) cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort Đặt quyền lại cho file snortd : chmod 755 /etc/init.d/snortd chkconfig snortd on service snortd start Để khởi động snort chế độ debug bạn muốn kiểm tra lỗi: /snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf c) Quản lý snort webmin (bước bỏ qua làm tiếp phần 4) - Cài webmin Log vào Webmin, chọn chức Webmin Modules, import thêm Snort module vào Webmin: Trang 58 Khóa luận tốt nghiệp - Tích hợp snort vào webmin: chép snort-1.1.wbm vào thư mục bung snort http:/localhost:10000 Webmin, chọn Webmin Configuration, Webmin Modules, From uploaded file, đến thư mục chứa snort-1.1.wbm tiến hành cài đặt Trang 59 Khóa luận tốt nghiệp 3.2.3 Tạo CSDL snort với MySQL #service mysqld start Trước tiên ta cần set password cho root MySQL #mysqladmin -u root password 123456 #mysql -p Tạo password cho tài khoản snort mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; Tạo CSDL cho snort mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit Tạo table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql -p show databases; use snort; show tables; Trang 60 Khóa luận tốt nghiệp Quan sát tables 3.2.4 Cài đặt BASE ADODB Web server PHP cài đặt sẵn ta cần cài thêm vài gói pear cho PHP cd snort/snort-2.8.4.1 pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman ; (máy phải online) a) Cài đặt ADODB Tải ADODB tại: http://nchc.dl.sourceforge.net/sourceforge/adodb/ cp adodb480.tgz /var/www/html/ cd /var/www/html/ tar -xzvf adodb480.tgz b) Cài BASE Tải BASE tại: http://nchc.dl.sourceforge.net/sourc e-1.4.2.tar.gz #cp /snort/base-1.4.4.tar.gz /var/www/html/ #tar -zxvf base-1.4.4.tar.gz #mv base-1.4.4/ base/ #cd base #cp base_conf.php.dist base_conf.php #vi base_conf.php Sửa dòng sau: 57 $BASE_urlpath = '/base'; 79 $DBlib_path = '/var/www/html/adodb'; 101 $alert_dbname = 'snort'; 105 $alert_password = '123456'; 108 $archive_exists = 1; # Set this to if you have an archive DB 109 $archive_dbname = 'snort'; 112 $archive_user = 'snort'; 113 $archive_password = '123456'; 355 $external_whois_link = 'index.php'; 382 $external_dns_link = 'index.php'; 385 $external_all_link = 'index.php'; Trang 61 Khóa luận tốt nghiệp Save lại #service snortd restart #service httpd restart 3.3 THỬ NGHIỆM SNORT Tại máy win2k3 chạy Nmap, nhập địa máy Linux 192.168.1.10 để tiến hành thám Mở IE truy cập Snort: 192.168.1.10/base Cửa sổ thị thơng tin tóm tắt cảnh báo mà Snort bắt Trang 62 Khóa luận tốt nghiệp Chọn Most recent 15 Unique Alerts xem 15 cảnh báo gần Chọn Most frequent Unique Alerts: xem thông tin cảnh báo xảy nhiều Source addres: Số lượng host tham gia công Trong trường hợp 1, chọn số Trang 63 Khóa luận tốt nghiệp -Src IP address: địa máy thực hiệc thám 192.168.1.2 Trang 64 Khóa luận tốt nghiệp KẾT LUẬN Những đạt Đề tài sâu phân tích làm rõ nét tổng quan hệ thống dò tìm phát xâm nhập, hệ thống Snort HIDS Và qua đó, đề tài triển khai thử nghiệm Snort Linux Những phần chưa đạt Đề tài nhiều thiếu sót Chưa sâu đánh giá giải thích nguyên tắc hoạt động cụ thể IDS, Snort… Phần lý thuyết tổng quát chỉ sơ lược tóm tắt chưa sâu nghiên cứu vấn đề Phần thử nghiệm để mô chưa thật hoạt động bình thường Hướng mở rộng - Khai thác thuật toán xử lý hệ thống IDS - Phương pháp lập trình Rule cho snort - Triển khai hệ thống Snort dòng OS khác Đà Nẵng, Ngày 20 tháng năm 2011 Sinh viên thực Nguyễn Hồng Thạch Trang 65 Khóa luận tốt nghiệp TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo dục, 1999 [2] Nguyễn Phương Lan, Hoàng Đức Hải, Lập trình LINUX, NXB Giáo Dục, 2001 [3] Nguyễn Ngọc Tuấn, Công nghệ bảo mật, NXB Thống Kê, 2005 [4] Phạm Hoàng Dũng, Linux tự học 24 giờ, NXB Thống Kê, 2005 Tiếng Anh [5] Rafeeq Rehman, Intrusion Detection with Snort, NXB Prentice Hall, 2003 [6] Martin Roesch, Chris Green ,Snort User Manual, The Snort Project, 2003 Websites [7] http://forum.saobacdau-acad.vn/showthread.php?t=926 [8] http://vnpro.org/forum/showthread.php/12625-T%E1%BB%95ng-quan-v %E1%BB%81-Snort [9] http://forum.mait.vn/mang-bao-mat/7921-cai-dat-va-cau-hinh-snort.html [10] http://quantrinet.com/forum/showthread.php?t=2855 [11] http://www.slideshare.net/phanleson/snort [12] http://rootbiez.blogspot.com/2009/08/hacking-he-thong-phat-hien-xam-nhapids.html [13] http://www.giaiphaphethong.net/bao-mat-mang/104-gioi-thieu-he-thong-tudong-phat-hien-xam-nhap-ids.html [14] http://www.ipmac.vn/forum/showthread.php?t=403 Trang 66 ... TỔNG QUAN VỀ HỆ THỐNG IDS (Intrusion Detection System) 1.1 TỔNG QUAN VỀ IDS 1.1.1 Định nghĩa hệ thống phát xâm nhập – IDS IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống giám... Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 1.4.1.1 phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng. .. chuyên nghiệp có nên sử dụng hệ thống phát xâm nhập trừ đặc tính hệ thống phát xâm nhập hữu ích cho họ, bổ sung điểm yếu hệ thống khác IDS có chấp nhận thành phần thêm vào cho hệ thống an tồn hay khơng