Khoa Mạng máy tính Truyền thơng Thực hành Nhóm thực hiện: (chỉ ghi tên sinh viên tham gia vào thực hành) Nguyễn Thanh Tâm 12520909 Đặng Thái Hoà 12520596 Phan Ngọc Đức 12520079 Thời gian thực thực hành: tiết Mục tiêu: - Thiết kế mơ hình hệ thống Network-based IDS - Viết snort rules đơn giản - Tìm hiểu mơ hình Network-based IDS triển khai với Snort - Triển khai mơ hình snort NIDS đơn giản Bài 1: (3 điểm) u cầu chung - Vẽ mơ hình thích hợp để triển khai hệ thống Network-based IDS Đưa yêu cầu cần thiết để thiết lập, bao gồm: cần card mạng cho thiết bị, card mạng chế độ (promiscuous hay có địa ip), yêu cầu cho switch - Giải thích sơ lược phương án đưa thích hợp Trường hợp 1: - 03 PC làm host mạng nội - 01 PC đóng vai trò sensor IDS - 01 hub ThS Hồ Hải Hub chuyển packet đến tất host mạng, nên IDS Sensor kiểm tra tất lưu lượng bất thường mạng Trường hợp - router gồm interface: interface kết nối mạng nội interface kết nối mạng bên (internet) - 03 PC làm host mạng nội - 01 PC đóng vai trò sensor IDS - 01 cisco switch - Switch cần cấu hình port thành SPAN port, IDS Sensor kết nối đến SPAN port ThS Hồ Hải - Vì packet mạng qua switch chuyển thêm copy đến IDS Sensor, IDS kiểm tra lưu lượng bất thường mạng Bài 2: Viết snort rules sau: (2 điểm + điểm cho câu hỏi Rule 4) Rule 1: đưa cảnh báo có lưu lượng từ mạng tới server có địa 192.168.1.100 alert ip any any -> 192.168.1.100 any (msg: "Phat hien luu luong mang toi server";) Rule 2: ghi log lại tất lưu lượng tcp từ mạng với cổng tới mạng 192.168.1.0/24 với cổng từ 1-1024 log tcp any any -> 192.168.1.0/24 1:1024 Rule 3: đưa cảnh báo có gói liệu tới web server mà URL GET message chứa chữ ".ida?" Alert tcp any any -> $WEB_SERVER 80 (uricontent: “.ida?”; nocase; msg: “URL co chua message chua chu ida”;) Rule 4: (1 điểm) Viết rule có liên quan tới loại tất công DoS alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445] (msg:"NETBIOS Microsoft Windows SMB malformed process ID high field remote code executionattempt;flow:to_server,established;content:!"|0000|";classtype:attempted-dos; sid:15930;):attempted-dos; sid:15930;) Bài 3: (2 điểm) Tìm hiểu snort 2.1 Snort có chế độ làm việc? Liệt kê chế độ (không cần giải thích) Sniffer mode: snort bắt lấy gói tin hiển thị nội dung chúng Network Intrusion Detection System mode: làm việc hệ thống NIDS Inline mode: kết hợp với iptables 2.2 Ở chế độ Network-based IDS, nêu tập tin cấu hình cần thiết để cấu hình snort chế độ Giải thích ngắn gọn dòng cấu hình có liên quan tới Snort NIDS tập tin nêu Các tập tin cần cấu hình cần thiết là: file config snort.conf , file rules để set rules Các lệnh cấu hình file snort.conf: # thiết lập địa mạng mà muốn bảo vệ ThS Hồ Hải ipvar HOME_NET 192.168.137.3/24 # thiết lập đường dẫn đến rules Snort var RULE_PATH C:\Snort\rules var SO_RULE_PATH C:\Snort\so_rules var PREPROC_RULE_PATH C:\Snort\preproc_rules # thiết lập đường dẫn đến thư viện dynamic_preprocessor & dynamic_engine dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll # thiết lập output output alert_fast: alerts.ids Bài 4: (2 điểm) Triển khai snort NIDS theo mơ hình sau Gán địa cho PC 192.168.2.128 192.168.2.1 ThS Hồ Hải 192.168.2.129 Ghi lại dòng cấu hình file snort.conf # Setup the network addresses you are protecting ipvar HOME_NET any 192.168.2.128/24 # Path to your rules files (this can be a relative path) # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules var RULE_PATH c:\snort\rules var SO_RULE_PATH c:\snort\so_rules var PREPROC_RULE_PATH c:\snort\preproc_rules # path to dynamic preprocessor libraries dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor\ # path to base preprocessor engine dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll # Inline packet normalization For more information, see README.normalize # Does nothing in IDS mode # preprocessor normalize_ip4 # preprocessor normalize_tcp: block, rsv, pad, urp, req_urg, req_pay, req_urp, ips, ecn stream # preprocessor normalize_icmp4 # preprocessor normalize_ip6 # preprocessor normalize_icmp6 # Portscan detection For more information, see README.sfportscan preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low } # pcap # output log_tcpdump: tcpdump.log output alert_fast : alert.ids # metadata reference data not modify these lines ThS Hồ Hải include C:\Snort\etc\classification.config include C:\Snort\etc\reference.config Kết đạt được: - Bộ cảm biến Snort phát gửi cảnh báo gói bất thường từ máy tới máy tính cài đặt cảm biến snort (các gói bất thường icmp ) Trong file icmp.rules : đặt rule sau : alert icmp any any -> any any (msg: "ICMP packet found!"; sid:10001) ThS Hồ Hải