BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Lƣơng Tuấn Cƣờng NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP TRONG HỆ THỐNG MẠNG Chuyên ngành: Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT Hà Nội – Năm 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Lƣơng Tuấn Cƣờng NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP TRONG HỆ THỐNG MẠNG Chuyên ngành: Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC PGS.TS Nguyễn Linh Giang Hà Nội – Năm 2017 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn : Lƣơng Tuấn Cƣờng Đề tài luận văn: Nghiên cứu xây dựng hệ thống phát ngăn chặn xâm nhập trái phép hệ thống mạng Chuyên ngành: Kỹ thuật máy tính Mã số SV: CA150100 Tác giả, Ngƣời hƣớng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 28/04/2017 với nội dung sau: - Rút gọn phần lý thuyết chƣơng 1, sửa lại số thuật ngữ chƣa xác luận văn - Đánh số lại chƣơng mục, vẽ lại hình vẽ theo chuẩn UML - Chỉnh sửa lại tài liệu mục “TÀI LIỆU THAM KHẢO” Ngày tháng 05 năm 2017 Giáo viên hƣớng dẫn Tác giả luận văn PGS.TS Nguyễn Linh Giang Lƣơng Tuấn Cƣờng CHỦ TỊCH HỘI ĐỒNG PGS.TS Ngô Hồng Sơn LỜI CAM ĐOAN Sau nhiều tháng tìm hiểu, nghiên cứu, tơi hoàn thành đề tài “Nghiên cứu xây dựng hệ thống phát ngăn chặn xâm nhập trái phép hệ thống mạng” Trong thời gian thực đề tài nhận đƣợc nhiều giúp đỡ từ bạn bè, anh chị thầy cô Trƣớc tiên xin gửi lời cảm ơn chân thành sâu sắc đến thầy PGS.TS Nguyễn Linh Giang – Viện Công nghệ thông tin Truyền thông, trƣờng Đại học Bách khoa Hà nội ln nhiệt tình nhắc nhở, đốc thúc làm việc chăm chỉ, thầy bảo gửi tơi nhiều báo cáo để tơi tham khảo hồn thành đề tài Thầy có góp ý nội dung trình bày để tơi hồn thành báo cáo cách tốt Tơi xin bày tỏ lòng biết ơn thầy cô Viện Công nghệ thông tin – Truyền thơng nói riêng Đại học Bách khoa Hà nội nói chung dạy, cung cấp kiến thức q báu cho tơi suốt q trình học tập nghiên cứu trƣờng Cuối xin gửi lời cảm ơn tới gia đình, bạn bè, ngƣời cổ vũ, quan tâm giúp đỡ suốt thời gian học tập làm luận văn Tuy cố gắng tìm hiểu, phân tích nhƣng khơng tránh khỏi thiếu sót, mong nhận đƣợc thơng cảm góp ý thầy Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết luận văn trung thực chƣa đƣợc công bố cơng trình khác Tác giả Lƣơng Tuấn Cƣờng MỤC LỤC I Mở đầu 1 Lý chọn đề tài .1 Mục tiêu nghiên cứu Phƣơng pháp nghiên cứu Đối tƣợng nghiên cứu Dự kiến kết nghiên cứu II Nội dung nghiên cứu CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1.Giới thiệu An ninh Mạng 1.2 Một số kỹ thuật cơng hệ thống mạng máy tính 1.3.Tóm tắt chƣơng 19 CHƢƠNG 2: HỆ THỐNG IDS VÀ IPS 20 2.1 Hệ thống phát xâm nhập mạng máy tính (IDS) 20 2.2 Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) 24 CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA TRÊN SNORT 37 3.1 Giới thiệu Snort 37 3.2 Triển khai hệ thống Snort 37 3.3 Đặc điểm snort 39 3.4 Các chế độ hoạt động Snort 45 3.5 Luật snort 48 Chƣơng 4: Thử nghiệm hệ thống phát ngăn chặn xâm nhập 52 4.1 Sơ đồ hệ thống 52 4.2 Thử nghiệm hệ thống phát xâm nhập 53 4.3 Đánh giá hệ thống phát xâm nhập sử dụng Snort (Snort IDS) 74 4.4 Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) 75 4.5 Đánh giá chung hệ thống ngăn chặn phát xâm nhập với Snort 82 KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU 84 Kết luận 84 Hƣớng nghiên cứu 84 TÀI LIỆU THAM KHẢO 85 PHỤ LỤC HƢỚNG DẪN CÀI ĐẶT SNORT 86 MỤC LỤC HÌNH ẢNH Hình 1: Nguy hệ thống Hình 2: Kiến trúc công DDos trực tiếp 10 Hình 3: Kiến trúc cơng DDos gián tiếp hay phản phiếu 10 Hình 4: Thành phần hệ thống IDS 21 Hình 5: Kiến trúc Snort 40 Hình 6: Minh họa hệ thống ngăn chặn xâm nhập sử dụng Snort inline (Snort IPS) 47 Hình 7: Cấu trúc luật snort 49 Hình 8: Mơ hệ thống thử nghiệm 52 Hình 9: Mơ tả phát Snort 53 Hình 10: Mô tả phát truy cập vào website snort 54 Hình 11: Quét cổng FIN Scan 55 Hình 12: Wireshark bắt gói tin FIN Scan 55 Hình 13: Snort IDS phát quét cổng FIN Scan 56 Hình 14: Quét cổng NULL Scan 56 Hình 15: Snort IDS phát quét cổng NULL Scan 57 Hình 16: Quét cổng XMAS Scan 58 Hình 17: Snort IDS phát quét cổng XMAS Scan 59 Hình 18: Mã lỗi SQL injection 60 Hình 19: Trang đăng nhập 60 Hình 20: Đăng nhập thành công 61 Hình 21: Đăng nhập thất bại 61 Hình 22: Mô công SQL injection qua form đăng nhập 62 Hình 23: Snort IDS phát công SQL injection 63 Hình 24: Bắt gói tin cơng có từ khóa truy vấn SQL 64 Hình 25: Phát cơng chứa từ khóa truy vấn SQL 64 Hình 26: Mơ hình bắt tay bƣớc 65 Hình 27: Mơ hình cơng gói SYN 66 Hình 28: Wireshark bắt gói tin cơng DOS TCP SYN Flood 68 Hình 29: Phát công TCP SYN Flood 69 Hình 30: Tấn cơng UDP Flood 70 Hình 31: Wireshark bắt gói tin cơng DOS UDP Flood 71 Hình 32: Phát công DOS UDP Flood 72 Hình 33: Tấn cơng DOS ICMP Flood 72 Hình 34: Tấn công DOS ICMP Flood 73 Hình 35: Wireshark bắt gói tin công DOS ICMP Flood 73 Hình 36: Phát cơng DOS ICMP Flood 74 Hình 37: Cài đặt thành công hệ thống Snort inline 77 Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline 77 Hình 39: Mơ tả hệ thống thử nghiệm ngăn chặn xâm nhập 78 Hình 40: Phát công SQL injection snort inline 80 Hình 41: Ngăn chặn cơng DOS TCP SYN Flood 81 Hình 42: Ngăn chặn cơng DOS UDP Flood 81 Hình 43: Ngăn chặn công DOS ICMP Flood 82 Hình 44: Mơ tả cài đặt thành công snort 87 Hình 45: Mơ tả cấu hình snort thành công 89 I Mở đầu Lý chọn đề tài Công nghệ thông tin ngày đƣợc áp dụng vào tất lĩnh vực sống Có thể thấy máy tính mạng Internet thành phần thiếu hầu hết công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày Tuy nhiên phát triển kèm theo vấn đề an ninh máy tính ngày trở nên nóng bỏng, tội phạm máy tính hành vi phạm tội có tốc độ phát triển nhanh tồn hành tinh Vì việc xây dựng an ninh máy tính, thiết kế quản trị mạng đảm bảo có khả kiểm sốt rủi ro liên quan đến việc sử dụng máy tính khơng thể thiếu nhiều lĩnh vực Khi hệ thống thông tin bị hacker kiểm sốt hậu khơng thể lƣờng trƣớc đƣợc Đặc biệt hệ thống hệ thống xung yếu đất nƣớc nhƣ hệ thống phủ, hệ thống ngân hàng, hệ thống viễn thơng, hệ thống thƣơng mại điện tử thiệt hại kinh tế, an ninh quốc gia lớn Việc làm để phát máy tính mạng máy tính bị xâm nhập trái phép, nhƣ cách phòng chống xâm nhập trái phép hiệu quả, ln mong muốn tất làm lĩnh vực an ninh mạng Xuất phát từ nhu cầu thực tiễn trên, chọn đề tài: “Nghiên cứu xây dựng hệ thống phát ngăn chặn xâm nhập trái phép hệ thống mạng” với mong muốn tìm hiểu cách hệ thống kỹ thuật cơng xâm nhập mạng máy tính, nhƣ cách thức cần thiết để đối phó với vấn đề Mục tiêu nghiên cứu - Tìm hiểu khái quát hệ thống phát ngăn chặn xâm nhập, khái niệm, kiến trúc, chế nguyên lý hoạt động - Tìm hiểu kỹ thuật xâm nhập bất hợp pháp mà hacker thƣờng sử dụng để công vào hệ thống mạng Lương Tuấn Cường – TTMMT – 2015A - Xây dựng hệ thống IDS, IPS sử dụng hệ thống mã nguồn mở Snort để phát ngăn chặn xâm nhập trái phép hệ thống mạng - Xây dựng số tập luật cho hệ thống Snort, nhằm phát kiểu công xâm nhập bất hợp pháp - Thử nghiệm xây dựng số tập lệnh có khả ngăn chặn xâm nhập dựa tính mở rộng Snort (Snort inline) Phƣơng pháp nghiên cứu - Sử dụng HĐH mã nguồn mở Linux để xây dựng hệ thống phát ngăn chặn xâm nhập - Xây dựng hệ thống phát ngăn chặn xâm nhập phần mềm mã nguồn mở Snort - Nghiên cứu cấu trúc tập lệnh Rules Snort, từ tự xây dựng tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống phát ngăn chặn công vào hệ thống mạng - Thực nghiệm đƣa độ xác tập lệnh xây dựng Đối tƣợng nghiên cứu - Các hình thức cơng phổ biến Hacker vào hệ thống mạng - Phần mềm mã nguồn mở Snort - Cấu trúc tập lệnh Rules Dự kiến kết nghiên cứu - Hoàn thiện việc tìm hiểu kỹ thuật xâm nhập bất hợp pháp vào hệ thống mạng - Xây dựng thành công hệ thống phát ngăn chặn xâm nhập - Xây dựng số tập lệnh Rules có khả phát kiểu công phổ biến nhƣ Scan hệ thống, SQL Injection, công từ chối dịch vụ Cấu trúc luận văn, phần mở đầu phần kết luận có chƣơng sau đây: Lương Tuấn Cường – TTMMT – 2015A Chƣơng 1: Tổng quan an ninh mạng Nội dung chƣơng nêu tổng quan an ninh mạng, yếu tố đảm bảo an tồn thơng tin kỹ thuật cơng xâm nhập trái phép mạng máy tính với hậu Chƣơng 2: Hệ thống IDS IPS Nội dung chƣơng trình bày khái niệm, kiến trúc, nguyên lý chế hoạt động hệ thống phát ngăn chặn xâm nhập trái phép mạng máy tính Chƣơng 3: Hệ thống phát ngăn chặn xâm nhập dựa snort Nội dung chƣơng gồm: Giới thiệu snort, triển khai hệ thống snort, đặc điểm, chế độ hoạt động, luật trông snort Chƣơng 4: Thử nghiệm hệ thống phát ngăn chặn xâm nhập Nội dung chƣơng gồm: xây dựng kịch bản, cài đặt mô hệ thống thực thử nghiệm, đánh giá đƣa kết luận II Nội dung nghiên cứu Lương Tuấn Cường – TTMMT – 2015A việc phân tích trở nên chậm yêu cầu xử lí với snort cao hơn, cần luật thực tốt hệ thống mạng phải đƣợc thiết kế xác tránh luồng liệu qua hệ thống không cần thiết Hệ thống thƣờng đƣa số báo động giả, gánh nặng cho ngƣời quản trị hệ thống việc đánh giá cảnh báo, quy trình xử lý cảnh báo công chặt chẽ vất vả, ngƣời quản trị kiến thức kỹ cần đến kinh nghiệm để xử lí tốt báo động Hệ thống cảnh báo lƣu lại thông tin đáng ngờ vào sở liệu thông báo cho quản trị viên chƣa ngăn chặn đƣợc gói tin độc hại, cơng vào hệ thống Để hồn thiện ngƣời quản trị viên cần cấu hình thêm tƣờng lửa hệ thống để ngăn chặn xâm nhập 4.4 Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) 4.4.1 Mơ hình hệ thống Tơi cấu hình hệ thống snort để chạy nhƣ hệ thống ngăn chặn xâm nhập hay gọi Snort inline hệ điều hành Ubuntu Snort inline tạo kết nối “trong suốt” hai phân vùng mạng khác Khi hoạt động hệ thống nghe bắt gói tin phân vùng mạng dựa vào luật đƣợc cấu hình định loại bỏ (drop) gói tin gửi chúng (forward) đến phân vùng khác mà khơng chỉnh sửa gói tin Có thể tạo nhiều phân vùng mạng khác cho hệ thống Snort inline, nhƣng có kết nối (bridges) hai phân vùng Ví dụ: có phân vùng: enp0s1, enp02, enp0s3, enp0s4; card mạng enp0s1và enp0s2 đƣợc kết nối với (bridges) gói tin truyền đến đƣợc phân vùng enp0s1 enp0s2; tƣơng tự với enp0s3, enp0s4 Cấu hình Snort inline: - Cấu hình bridges interface hệ thống:  Định dạng “promiscuous”  Tắt tính LRO GRO Lương Tuấn Cường – TTMMT – 2015A 75 Có thể cấu hình nhƣ sau: # Administrative interface auto enp0s3 iface enp0s3inet dhcp # First bridged interface auto enp0s8 iface enp0s8 inet manual up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on post-up ethtool -K $IFACE gro off post-up ethtool -K $IFACE lro off down ip link set $IFACE promisc off down ifconfig $IFACE down # Second Bridged Interface auto enp0s9 iface enp0s9 inet manual up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on post-up ethtool -K $IFACE gro off post-up ethtool -K $IFACE lro off down ip link set $IFACE promisc off down ifconfig $IFACE down - Cấu hình file snort.conf:  Mở file snort.conf bật chế độ “inline” cách khởi động afpacket: thêm dòng sau vào file conf config daq: afpacket config daq_mode: inline Lương Tuấn Cường – TTMMT – 2015A 76 Chạy thử hệ thống Snort inline: sudo /usr/local/bin/snort -A console -Q -c /etc/snort/snort.conf -i eth1:eth2 –N Nếu có thơng báo nhƣ sau tức cài đặt thành công hệ thống Snort Inline Hình 37: Cài đặt thành cơng hệ thống Snort inline Do khơng có điều kiện triển khai thử nghiệm hệ thống ngăn chặn xâm nhập Snort inline thực tế nên sử dụng môi trƣờng ảo để thực nghiệm Môi trƣờng ảo đáp ứng đƣợc tiêu chí hiệu năng, khả ngăn chặn, đồ hình mạng gần sát với thực tế Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline Mơ hình hệ thống thử nghiệm giả lập bao gồm thành phần nhƣ hình 47 Sơ đồ gồm mạng LAN riêng biệt đƣợc kết nối với có Snort inline đứng làm nhiệm vụ kiểm soát kết nối đƣờng truyền Lƣu Lương Tuấn Cường – TTMMT – 2015A 77 lƣợng liệu trao đổi mạng trực tiếp qua Snort inline đƣợc quản lí Tơi thử nghiệm hệ thống ngăn chặn xâm nhập môi trƣờng mơ Cấu hình máy ảo Ubuntu 16.04 LTS 64 bit Cấu hình Snort inline: Version 2.9.9.0 4.4.2 Kịch thử nghiệm Mơ hình hệ thống thử nghiệm: Hình 39: Mơ tả hệ thống thử nghiệm ngăn chặn xâm nhập Kịch 1: Thử nghiệm chặn dạng công SQL injection Tôi giả lập môi trƣờng nhƣ mô hình: máy ảo Attack đóng vai trò máy cơng máy ảo Victim đóng vai trò máy nạn nhân, máy đƣợc kết nối với thông qua máy ảo Ubuntu thứ cài đặt cấu hình Snort inline Cấu hình route để kết nối đƣợc với Snort inline máy Ubuntu: sudo route add -net 192.168.160.0/24 dev eth0 Cấu hình route để kết nối đƣợc với Snort inline máy Kali: sudo route add -net 192.168.115.0/24 dev eth0 Khi cấu hình xong chạy Snort inline hệ thống mạng đƣợc thiết lập kết nối từ dải mạng 192.168.160.0/24 đến 192.168.115.0/24 Lương Tuấn Cường – TTMMT – 2015A 78 Hình 49: Thiết lập kết nối Phƣơng pháp cơng SQL injection đƣợc phân tích rõ trên, dựa vào đặc điểm tơi viết đƣợc luật chặn công SQL injection nhƣ sau: drop tcp any any -> any any(msg:"Phát công SQL injection form đăng nhâp Cần xử lý.";pcre:"/(\%27)|(\')|(\-\- )|(\%23)|(#)/i";classtype:Web-application-attack; sid:9383; rev:19;) drop tcp any any -> any $HTTP_PORTS (msg:"Phát công SQL Injection sửdụngUnionselect";pcre:"/((((\%55)|(u)|(\%75))((\%4e)|(n)|(\%6e))((\%69)|(i)| (\%49))((\%6f)|(o)|(\%4f))((\%4e)|(n)|(\%6e)))[^\n]*(((\%73)|(s)|(\%53))((\%65 )|(e)|(\%45))((\%6c)|(l)|(\%4c))((\%65)|(e)|(\%45))((\%63)|(c)|(\%43))((\%74)|( t)|(\%54))))/i";classtype: Web-application-attack; sid:9397; rev:28;) Khi chƣa có luật snort, hệ thống phát đƣợc công SQL injection mà không ngăn chặn đƣợc Lương Tuấn Cường – TTMMT – 2015A 79 Hình 40: Phát cơng SQL injection snort inline Khi chạy hệ thống với luật nhƣ trên, snort ngăn chặn không cho máy Attack cơng SQL injection: Hình 51: Ngăn chặn cơng SQL injection Lương Tuấn Cường – TTMMT – 2015A 80 Kịch 2: Thử nghiệm chặn số dạng cơng trình bày phần “4.2.5 Phát công từ chối dịch vụ DOS” gồm chặn công TCP SYN Flood, UDP Flood, ICMP Flood Phƣơng pháp cơng từ chối dịch vụ DOS đƣợc phân tích rõ trên, dựa vào đặc điểm tơi viết đƣợc luật chặn công DOS (TCP SYN Flood, UDP Flood, ICMP Flood) nhƣ sau: drop tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Phát công SYN Flood Cần xử lý."; flags: S; sid: 0002;classtype: unusualclient-port-connection; threshold:type threshold, track by_dst, count 1000, seconds 180;) drop udp any any -> any any (msg:"Phát công UDP Flood Cần xử lý."; threshold: type threshold, track by_dst, count 1000 ,seconds 180 ; sid: 5000003;) drop icmp any any -> any any (msg:"Phát công ICMP Flood Cần xử lý."; threshold: type threshold, track by_dst, count 1000 ,seconds 180 ; sid: 5000004;) Khi chạy hệ thống với luật nhƣ trên, snort ngăn chặn không cho máy Attack công DOS TCP SYN Flood, UDP Flood, ICMP Flood: Hình 41: Ngăn chặn cơng DOS TCP SYN Flood Hình 42: Ngăn chặn cơng DOS UDP Flood Lương Tuấn Cường – TTMMT – 2015A 81 Hình 43: Ngăn chặn cơng DOS ICMP Flood Có thể thấy với hệ thống mạng chƣa có Snort inline bảo vệ kẻ công dễ dàng công từ chối dịch vụ DOS, với hệ thống đƣợc bảo vệ Snort inline máy nạn nhân an tồn 4.4.3 Đánh giá hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) Qua thử nghiệm, hệ thống thực đƣợc chức ngăn chặn bất thƣờng hay hành vi không đƣợc phép mà nhà quản trị đặt hệ thống mạng Do hoạt động tầng ứng dụng kiểm sốt nội dung gói tin nên Snort Inline có khả ngăn chặn công tốt nhiều so với tƣờng lửa đơn Snort Inline có khả cập nhật dấu hiệu cơng, có khả phòng chống đƣợc hình thức cơng Nếu ngƣời quản trị hiểu biết sâu rộng cách thức công điểm yếu mạng xây dựng đƣợc luật tốt khiến cho mạng khó bị xâm nhập trái phép Sử dụng Snort Inline với luật tốt có khả phòng chống đƣợc hầu hết cơng tầm hiểu biết hacker bình thƣờng Snort Inline có nhƣợc điểm ln đòi hỏi luật phải đƣợc cập nhật cấu hình xác để chặn đƣợc gói tin bất thƣờng mà khơng chặn nhầm hay bỏ xót dấu hiệu nguy hiểm Khơng phân tích chặn đƣợc gói tin đƣợc mã hố 4.5 Đánh giá chung hệ thống ngăn chặn phát xâm nhập với Snort Hệ thống phát xâm nhập snort IDS thụ động, theo dõi liệu packet qua mạng từ port giám sát, so sánh traffic đến rules đƣợc thiết lập đƣa cảnh báo phát dấu hiệu bất thƣờng Lương Tuấn Cường – TTMMT – 2015A 82 Một hệ thống IDS phát hầu hết loại traffic độc hại bị tƣờng lửa để trƣợt, bao gồm công từ chối dịch vụ, công liệu ứng dụng, đăng nhập trái phép máy chủ, phần mềm độc hại nhƣ virus, Trojan, worms Hệ thống snort IDS sử dụng số phƣơng pháp để phát mối đe dọa, dựa dấu hiệu xâm nhập phân tích trạng thái giao thức Snort IDS lƣu file log vào CSDL tạo cảnh báo đến ngƣời quản trị Snort IDS cho tầm nhìn sâu với hoạt động mạng, nên giúp xác định vấn đề với sách an ninh tổ chức Vấn đề snort IDS thƣờng đƣa báo động giả Cần phải tối đa hóa tính xác việc phát dấu hiệu bất thƣờng Hệ thống ngăn chặn xâm nhập snort inline có tất tính hệ thống IDS Ngồi ngăn chặn luồng lƣu lƣợng gây nguy hại đến hệ thống Nó chấm dứt kết nối mạng kẻ cố gắng công vào hệ thống, cách chặn tài khoản ngƣời dùng, địa IP, thuộc tính liên kết đến kẻ công Hoặc chặn tất truy cập vào máy chủ, dịch vụ, ứng dụng Để hệ thống ngăn chặn phát xâm nhập hoạt động hiệu quả, ngƣời quản trị nên sử dụng đồng thời IDS IPS Một hệ thống IPS đặt bên mạng ngăn chặn đƣợc công zezo day, nhƣ virus worm Ngay mối đe dọa đƣợc ngăn chặn Một IDS đặt bên mạng giám sát đƣợc hoạt động nội Tuy nhiên, snort có điểm yếu hạn chế Đó tƣơng tự nhƣ quét virus (virus scanner), snort chống lại công cách hiệu nhƣ biết đƣợc dấu hiệu (signature) cơng Dựa vào điểm này, kẻ cơng điều chỉnh cơng để thay đổi signature cơng Từ cơng "qua mặt" đƣợc giám sát snort Nhƣ thấy việc cập nhật luật snort phải đƣợc thực cách hàng ngày thƣờng xuyên Lương Tuấn Cường – TTMMT – 2015A 83 KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU KẾT LUẬN Đề tài nêu đƣợc vấn đề hệ thống phát ngăn chặn xâm nhập Bên cạnh đƣa đƣợc giải pháp xây dựng hệ thống IPS thực tế đƣợc triển khai hiệu đƣợc đánh giá cao Luận văn xây dựng thành công hệ thống phát ngăn chặn xâm nhập sử dụng snort (IDS/IPS) hoạt động yêu cầu đề Hạn chế luận văn triển khai hệ thống phân đoạn mạng nhỏ, nên chƣa đánh giá đƣợc hết hiệu xuất hệ thống vấn đề gặp phải triển khai thực tế Kết nghiên cứu luận văn giúp định hƣớng nghiên cứu sâu an ninh mạng môi trƣờng hệ thống mạng khác sau Hƣớng nghiên cứu  Triển khai thực tế để đánh giá hết hiệu nhƣ vấn đề gặp phải Từ có biện pháp để khắc phục hoàn thiện cho hệ thống  Nghiên cứu cách thức phát lỗ hổng hệ thống, đồng thời nghiên cứu cách thức phòng tránh lỗ hổng trƣớc kẻ công lợi dụng đƣợc  Xây dựng phát triển hệ thống IPS phân tán Lương Tuấn Cường – TTMMT – 2015A 84 TÀI LIỆU THAM KHẢO [1] Dr Zouheir Trabelsi, Latifa Alketbi (2013), Using Network Packet Generators and Snort Rules for teaching denial of service Attacks [2] https://jeremietrung.blogspot.com/2015/04/phan-loai-tan-cong-ddos- va-cac-bien-phap-phong-chong.html, truy cập lần cuối ngày 11/02/2017 [3] https://snort.org/, truy cập lần cuối ngày 11/02/2017 [4] http://sublimerobots.com/2016/02/snort-ips-inline-mode-on-ubuntu/, truy cập lần cuối ngày 11/02/2017 [5] https://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ, truy cập lần cuối ngày 11/02/2017 [6] Hussein Alnabulsi, Md Rafiqul Islam, Quazi Mamun (2014), Detecting SQL Injection Attacks using Snort IDS [7] Noah Dietrich (2015), Snort 2.9.8.x on Ubuntu 12,14 and 15 with Branyard2, PulledPork, and Snortby [8] Nguyễn Văn Quang (2013), “Tìm hiểu xây dựng hệ thống phòng chống phát xâm nhập sử dụng Snort/SnortSam”, Đại học sư phạm kỹ thuật Hồ Chí Minh [9] Phạm Đức Thọ (2013), “Xây dựng hệ thống phát xâm nhập phần mềm Snort”, Đại học Công nghệ thông tin truyền thông [10] Rafeeq Ur Rehmen (2003), Instrusion Detection System with Snort Prentice Hall PTR [11] Rebecca Bace and Peter Mell (2011), NIST Special Publicationon Intrusion Detection Systems, National Institute of Standards and Technology Lương Tuấn Cường – TTMMT – 2015A 85 PHỤ LỤC HƢỚNG DẪN CÀI ĐẶT SNORT Tạo thƣ mục cho việc cài đặt: # cd /home/cuonghong/Desktop # mkdir snort_src # cd snort_src Đầu tiên cần cài đặt số gói thƣ viện: sudo apt-get install build-essential libpcap-dev libpcre3-dev libdumbnetdev bison flex zlib1g-dev libdnet Tải gói về: wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz wget https://www.snort.org/downloads/snort/snort-2.9.8.3.tar.gz Giải nén cài đặt tar xvfz daq-2.0.6.tar.gz cd daq-2.0.6 /configure && make && sudo make install tar xvfz snort-2.9.8.3.tar.gz cd snort-2.9.8.3 /configure enable-sourcefire && make && sudo make install Kiểm tra Snort cài đặt thành công # cd /usr/local/bin # snort –V Trƣờng hợp bị lỗi liên quan đến thƣ viện chạy lệnh sau thử lại Snort # ldconfig # snort –V Nếu cài đặt thành cơng có kết sau: Lương Tuấn Cường – TTMMT – 2015A 86 Hình 44: Mơ tả cài đặt thành cơng snort Để chạy Snort an tồn mà không cần truy cập root, cần tạo ngƣời dùng khơng có đặc quyền nhóm ngƣời dùng để chạy # Create the snort user and group: sudo groupadd snort sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort Sau tạo folder chứa file cấu hình, luật, log cho snort # tạo thư mục chứa snort: sudo mkdir /etc/snort sudo mkdir /etc/snort/rules sudo mkdir /etc/snort/rules/iplists sudo mkdir /etc/snort/preproc_rules sudo mkdir /usr/local/lib/snort_dynamicrules sudo mkdir /etc/snort/so_rules # Tạo file chứa luật danh sách ip sudo touch /etc/snort/rules/iplists/black_list.rules sudo touch /etc/snort/rules/iplists/white_list.rules sudo touch /etc/snort/rules/local.rules sudo touch /etc/snort/sid-msg.map # Tạo thư mục chứa log: sudo mkdir /var/log/snort sudo mkdir /var/log/snort/archived_logs Lương Tuấn Cường – TTMMT – 2015A 87 # Chỉnh sửa quyền truy cập: sudo chmod -R 5775 /etc/snort sudo chmod -R 5775 /var/log/snort sudo chmod -R 5775 /var/log/snort/archived_logs sudo chmod -R 5775 /etc/snort/so_rules sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules # Thay đổi quyền sở hữu tập tin: sudo chown -R snort:snort /etc/snort sudo chown -R snort:snort /var/log/snort sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules # Copy file cấu hình cd ~/snort_src/snort-2.9.8.0/etc/ sudo cp *.conf* /etc/snort sudo cp *.map /etc/snort sudo cp *.dtd /etc/snort cd~/snort_src/snort-2.9.8.0/src/dynamicpreprocessors/build/usr/local/lib/snort_dynamicpreprocessor/ sudo cp * /usr/local/lib/snort_dynamicpreprocessor/ Chỉnh sửa file cấu hình snort: sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf sudo vi /etc/snort/snort.conf ipvar HOME_NET 192.168.1.1/24 # dòng 45 var RULE_PATH /etc/snort/rules # dòng 104 var SO_RULE_PATH /etc/snort/so_rules # dòng 105 var PREPROC_RULE_PATH /etc/snort/preproc_rules # dòng 107 var WHITE_LIST_PATH /etc/snort/rules/iplists # dòng 113 var BLACK_LIST_PATH /etc/snort/rules/iplists # dòng 114 Kiểm tra xem snort cấu hình thành công chƣa Lương Tuấn Cường – TTMMT – 2015A 88 sudo snort -T -c /etc/snort/snort.conf -i eth0 Hình 45: Mơ tả cấu hình snort thành cơng Lương Tuấn Cường – TTMMT – 2015A 89 ... 2.2 Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) 2.2.1 Khái niệm hệ thống ngăn chặn xâm nhập mạng máy tính Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention Systems) hệ thống ngăn chặn xâm. .. mở Linux để xây dựng hệ thống phát ngăn chặn xâm nhập - Xây dựng hệ thống phát ngăn chặn xâm nhập phần mềm mã nguồn mở Snort - Nghiên cứu cấu trúc tập lệnh Rules Snort, từ tự xây dựng tập lệnh... 2: HỆ THỐNG IDS VÀ IPS 2.1 Hệ thống phát xâm nhập mạng máy tính (IDS) 2.1.1 Khái niệm hệ thống phát xâm nhập mạng máy tính (IDS) Hệ thống phát xâm nhập IDS (Intrusion Detection Systems) hệ thống