Ngày nay, thời kỳ kinh tế hóa luôn mở rộng trên toàn cầu. Để phát triển kinh tế, nắm bắt thông tin kịp thời thì ngành công nghệ thông tin là một trong ngành rất cần thiết. Chính vì thế mà công nghệ thông tin phát triển rất nhanh, mang lại những lợi ích thiết thực về nhiều mặt như: kinh tế, xã hội, chính trị, y tế, quân sự… những cuộc họp trong tổ chức, cơ quan, công ty hay những buổi hội thảo xuyên quốc gia, xuyên lục địa (Video Conference). Trong các hoạt động của con người. Với lượng thông tin ngày càng phong phú và đa dạng. Không chỉ có ý nghĩa là nơi tra cứu tin tức sự kiện đang diễn ra trong đời sống hàng ngày, Internet còn đóng vai trò cầu nối liên kết con người với nhau ở mọi vùng địa lý. Các khoảng cách về địa lý hầu như không còn ý nghĩa, khi con người ở cách nhau nửa vòng trái đất họ vẫn có thể trao đổi thông tin, chia sẻ dữ liệu cho nhau như những người trong cùng một văn phòng. Internet còn góp phần làm thay đổi phương thức hoạt động kinh doanh của các doanh nghiệp. Ngoài các hoạt động kinh doanh truyền thống, giờ đây các doanh nghiệp có thêm một phương thức kinh doanh hiệu quả, đó là thương mại điện tử. Trong những năm gần đây, thương mại điện tử đã trở thành một bộ phận quan trọng trong sự tăng trưởng, phát triển của xã hội, mang lại những lợi ích rất lớn cho các doanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho các ngành nghề khác, góp phần mang lại tính hiệu quả cho nền kinh tế của doanh nghiệp nói riêng và cho toàn xã hội nói chung. Chính sự đa dạng thông tin trên internet, lại là cầu nối chung cho toàn cầu nên dễ xảy ra tiêu cực trên mạng như : lấy trộm thông tin, làm nhiễu thông tin, thay đổi thông tin, …Ði đôi với sự phát triển công nghệ thì bảo mật mạng đang là một nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập và thực hiện các trao đổi thông tin, giao dịch qua mạng được an toàn. Về những giá trị lợi ích của công nghệ thông tin mang lại, những kẻ xấu cũng lợi dụng công nghệ này gây ra không ít những khó khăn cho tổ chức, cơ quan cũng như những người áp dụng công nghệ thông tin vào cuộc sống. Công nghệ nào cũng có ưu điểm và nhược điểm. Người tấn công (Attacker) chúng lợi dụng những lỗ hổng của hệ thống để truy xuất bất hợp phát vào khai thác những thông tin quan trọng, những dữ liệu có tính chất bảo mật, nhạy cảm, thông tin mật của quốc phòng… Vì vậy chúng ta cần phải có biện pháp, phương pháp để phát hiện sự truy nhập trái phép đó. Để phát hiện sự truy nhập trái phép đó, hiện nay công nghệ phát hiện chống xâm nhập hiệu quả được nhiều tổ chức, cơ quan, doanh nghiệp triển khai và áp dụng vào trong hệ thống mạng của mình là công nghệ Snort IPS. Các nghiên cứu về hệ thống phát hiện xâm nhập đã được nghiên cứu chính thức cách đây khoảng 32 năm và cho tới nay đã được áp dụng rộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới. 2. Mục đích và ý nghĩa của đề tài Sử dụng công nghệ IPS (Intrusion Prevention System) snort inline kết hợp tường lửa Firewall Iptable để phòng chống và tự động ngăn chặn các cuộc tấn công hệ thống mạng cùng với sự hỗ trợ cảnh báo đắc lực của Snort inline. Cơ sở hạ tầng công nghệ thông tin càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề rất quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IPS của riêng mình. Trong đề tài này, em sẽ tìm hiểu về cấu trúc một hệ thống IPS, và đi sâu tìm hiểu phát triển hệ thống IPS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế cho các IPS cứng đắt tiền. Với sự kết hợp của các phần mềm nguồn mở Iptables và Snort inline. Tạo ra một hệ thống giám sát mạng, có khả năng phát hiện những xâm nhập, phòng chống tấn công mạng. 3. Bố cục của đồ án Đồ án bao gồm các nội dung sau: Mở đầu Chương 1: Tổng Quan Về Hệ Thống Chống Xâm Nhập Chương 2 . Firewall Iptable và IPS Snort inline trên hệ điều hành Linux Chương 3 . Triển khai hệ thống IPS với snort inline và IP tables Kết luận và hướng phát triển.
TẬP ĐỒN BƯU CHÍNH VIỄN THƠNG VIỆT NAM TRUNG TÂM BỒI DƯỠNG NGHIỆP VỤ III ĐỒ ÁN TỐT NGHIỆP KHÓA HỌC CHUYỂN ĐỔI NHÂN SỰ CNTT CẤP ĐỘ Đề tài: Xây dựng hệ thống phát – chống xâm nhập dựa vào IPS Snort Firewall Iptables Người thực : Nguyễn Đăng Ái Người hướng dẫn: PGS TS Nguyễn Tấn Khôi Đà Nẵng – 2/2019 Xây dựng hệ thống phát – Chống xâm nhập mạng LỜI CẢM ƠN Trước hết, em xin chân thành gửi lời cảm ơn đến Trung Tâm Bổi Dưỡng Nghiệp Vụ III đào đạo, trao dồi cho em kiến thức thật bổ ích thời gian học trường Em xin cảm ơn thầy Nguyễn Tấn Khôi hướng dẫn em hoàn thành Đề tài tốt nghiệp Cảm ơn thầy định hướng, hướng dẫn, truyền đạt lại kiến thức bổ ích, cung cấp tài liệu cần thiết để em hoàn thành đề tài Cảm ơn nhiệt tình, tận tâm thầy em Em xin cảm ơn tất thầy cô Trung Tâm Bổi Dưỡng Nghiệp Vụ III thầy cô đào tạo, tạo điều kiện cung cấp cho em kiến thức hữu ích, nhằm bồi dưỡng thêm kiến thức phục vụ cho ngành Em kính chúc thầy Nguyễn Tấn Khôi tất thầy cô Trung Tâm Bổi Dưỡng Nghiệp Vụ III dồi sức khỏe, gặt hái nhiều thành công nghiệp Họ tên học viên Nguyễn Đăng Ái HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng LỜI CAM ĐOAN Tôi xin cam đoan : Nội dung đề tài thực hướng dẫn trực tiếp Thầy Nguyễn Tấn Khôi Các tham khảo dùng đề tài trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố Nếu có chép khơng hợp lệ, vi phạm, tơi xin chịu hồn tồn trách nhiệm Học viên thực Nguyễn Đăng Ái HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng NHẬN XÉT CỦA NGƯỜI HƯỚNG DẪN HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng NHẬN XÉT CỦA NGƯỜI PHẢN BIỆN MỤC LỤC HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng 11 Hình 7: khơng cho truy xuất vào máy server 11 11 Hình 9: Promiscous mode IPS 12 MỞ ĐẦU 16 CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP 20 I GIỚI THIỆU 20 II CÁC KIỂU TẤN CÔNG 20 1.2.1 Phân loại lỗ hổng bảo mật 20 1.2.2 Tấn công chủ động công bị động .20 1.2.3 Các bước công thường gặp 21 1.2.4 Cách thức công .22 2.1 Tổng quan Firewall 37 2.2 Phân loại firewall .39 2.1.1 Packet Filtering 39 2.2.2 Application-proxy firewall 40 2.3 Tổng quan Iptables 42 2.3.1 Các tính Iptables 43 2.3.2 Cơ chế hoạt động Iptables 43 2.3.3 Jumps Targets 44 2.3.4 Các tùy chọn để thao tác với luật .45 2.4 Tìm hiểu câu lệnh thiết lập luật Iptables .46 2.4.1 Sử dụng chain tự định nghĩa .46 2.4.2 Lưu phục hồi lại script cấu hình Iptables 47 2.4.3 Ý nghĩa số luật Iptables 47 2.5 Firewall and Logging 48 2.5.1 The syslog protocol 48 HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng 2.5.2 Proprietary logging methods 50 2.6 Giới thiệu Snort inline 50 2.6.1 Snort-inline Iptables: .50 2.6.2 Các trạng thái snort 52 2.6.3 Các thành phần Snort 53 2.6.3.1 Bộ packet sniffer 54 2.6.3.2 Bộ Preprocessor .54 2.6.3.3 Bộ phát (detection engine) 55 2.6.3 Hệ thống ghi cảnh báo (Logging alerting) 56 2.6.4 Cấu trúc luật 57 Sau copy file vào thư mục /root/sbin/ 63 3.5 Tạo rule cho Snort_inline 63 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 66 TÀI LIỆU THAM KHẢO 67 DANH SÁCH HÌNH ẢNH Hình 1: Login vào máy server Ubuntu HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 2: Cài đặt IP cho ubuntu server Hình 3: khởi tạo snort inline HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 4:Ping vào máy sever phần mềm DDoSping HV: Nguyễn Đăng Ái Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 5:Ping vào máy sever từ máy khác Hình 6: Giám sát công xăm nhập Base HV: Nguyễn Đăng Ái 10 Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 2.6.2 Q trình xử lý gói 2.6.3.1 Bộ packet sniffer Bộ Packet Sniffer: Bộ bắt gói thiết bị (phần cứng hay phần mềm) đặt vào hệ thống, làm nhiệm vụ bắt lưu lượng vào mạng Bộ bắt gói cho phép ứng dụng hay thiết bị có khả nghe toàn liệu hệ thống mạng 2.6.3.2 Bộ Preprocessor Bộ Preprocessor: Sau bắt toàn gói tin, lúc gói tin chuyển đến tiền xử lý để kiểm tra gói tin có hợp lệ khơng Bộ tiền xử lý so sánh gói tin với plug -in (ví dự RPC Plug -in, HTTP plug-in, port scanning plug -in, v.v ) Các gói tin kiểm tra hành vi xem có khớp với hành vi nêu plug -in hay chưa, khớp rồi, gói tin chuyển đến phận phát xâm nhập Bộ tiền xử lý thành phần hữu dụng Snort Vì plug-in mở tắt tùy ý nên giúp ích nhiều việc tùy chỉnh tài nguyên hệ thống hay tùy chỉnh mức báo động Ví dụ quản trị mạng nhận thông báo port scan nhiều lần làm việc, họ tắt plug-in plug-in khác hoạt động bình thường HV: Nguyễn Đăng Ái 54 Xây dựng hệ thống phát – Chống xâm nhập mạng 2.6.3.3 Bộ phát (detection engine) Sau gói tin qua tiền xử lý, chúng chuyển đến phận phát xâm nhập Nếu gói tin giống với luật nào, chúng gửi đến xử lý cảnh báo Bộ phận phát xâm nhập luật chiếm phần lớn số kiến thức phải biết để hiểu Snort Snort có cú pháp lệnh riêng để sử dụng với luật Các cú pháp liên quan đến giao thức mạng, nội dung, chiều dài, phần header nhiều thành phần khác, bao gồm đặc điểm để nhận dạng buffer overflow Snort dùng rules để phát xâm nhập mạng Xem rules sau: alert tcp !192.168.0.0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”;) Một rules có hai thành phần: Header Option Header: alert tcp !192.168.0.0/24 any -> any any Option: (flags: SF; msg: “SYN-FIN Scan”;) Hình 6.3 Bộ phát xâm nhập Mỗi dấu hiệu xâm nhập thể rule Vậy Snort quản lý tập rules nào? Snort dùng cấu trúc liệu để quản lý rules gọi Chain Headers Chain Options Cấu trúc liệu bao gồm dãy Header Header liên kết đến dãy Option Sở dĩ dựa Header HV: Nguyễn Đăng Ái 55 Xây dựng hệ thống phát – Chống xâm nhập mạng thành phần thay đổi rules viết cho kiểu phát xâm nhập Option thành phần dễ sửa đổi Ví dụ: có 60 rules viết cho kiểu thăm dò CGI-BIN, thực chất rules có chung IP source, IP đích, port source, port đích, nghĩa có chung Header Mỗi packet so trùng dãy tìm thấy mẫu hành động tương ứng thực 2.6.3 Hệ thống ghi cảnh báo (Logging alerting) Dùng để thông báo cho quản trị mạng ghi nhận lại hành động xâm nhập hệ thống Hiện có dạng logging kiểu alerting Các dạng logging, chọn chạy Snort: - Dạng decoded: Đây dạng log thô nhất, cho phép thực nhanh - Dạng nhị phân tcpdump: theo dạng tương tự tcpdump ghi vào đĩa nhanh chóng, thích hợp với hệ thống đòi hỏi performance cao - Dạng thư mục IP: Sắp xếp hệ thống log theo cấu trúc thư mục IP, dễ hiểu người dùng Hình 2-6 Hệ thống ghi nhập file log phát cảnh báo Các dạng alerting: - Ghi alert vào syslog HV: Nguyễn Đăng Ái 56 Xây dựng hệ thống phát – Chống xâm nhập mạng - Ghi alert vào file text - Gửi thơng điệp Winpopup dùng chương trình smbclient - Full alert: Ghi lại thông điệp alert với nội dung gói liệu - Fast alert: Chỉ ghi nhận lại header gói liệu Cách thường dùng hệ thống cần performance cao 2.6.4 Cấu trúc luật Tập luật Snort đơn giản để ta hiểu viết, đủ mạnh để phát tất hành động xâm nhập mạng Có ba hành động Snort thực so trùng packet với mẫu rules: - Pass: Loại bỏ packet mà Snort bắt - Log: Tuỳ theo dạng logging chọn mà packet ghi nhận theo dạng - Alert: Sinh alert tùy theo dạng alert chọn log toàn packet dùng dạng logging chọn - Dạng rule bao gồm protocol, chiều gói liệu port cần quan tâm, không cần đến phần Option: log tcp any any -> 192.168.0 0/24 80 Rule log tất gói liệu vào mạng 192.168.0.0/24 port 80 Một rule khác có chứa Option: alert tcp any any -> 192.168.0.0/24 80 (content:"/cgi-bin/phf"; msg: "PHF probe!";) Rule phát truy cập vào dịch vụ PHF web server alert tạo với việc ghi nhận lại tồn gói liệu Vùng địa IP rules viết dạng CIDR block netmask, port xác định riêng lẻ theo vùng, port bắt đầu port kết thúc ngăn cách dấu “:” alert tcp any any -> 192.168 0/24 6000:6010 (msg: "X traffic";) 2.6.5 Chức Netfilter HV: Nguyễn Đăng Ái 57 Xây dựng hệ thống phát – Chống xâm nhập mạng Netfilter module kernel linux có sẵn phiên kernel 2.4 trở Nó cung cấp chức chính: Packet filtering: Accept hay drop gói tin NAT : Thay đổi địa nguồn/ đích địa IP gói tin Packet mangling : định dạng gói tin IPtables cơng cụ cần thiết để cấu hình netfilter, cần phải chạy quyền root Sau đó, gói tin phù hợp với dấu hiệu cơng Snort_inline, gắn thẻ libipq gửi trả lại Netfilter nơi mà drop Snort_inline có hai chế độ: Drop mode Replace mode a Drop mode: Một packet drop phù hợp với dấu hiệu cơng Có tùy chọn chế độ này: drop: Drop gói tin, gửi thiết lập đến máy chủ, ghi lại kiện sdrop: Drop gói tin mà khơng gửi thiết lập đến máy chủ ignore: Drop packet, gửi thiết lập đến máy chủ, không ghi lại kiện b Replace mode: Packet bị sửa đổi phù hợp với dấu hiệu công · · · · · · · · · · · · · · · · HV: Nguyễn Đăng Ái 58 Xây dựng hệ thống phát – Chống xâm nhập mạng · HV: Nguyễn Đăng Ái · · · · · · · · · · · · Hình 6.5 Snort-inline netfilter 59 Xây dựng hệ thống phát – Chống xâm nhập mạng CHƯƠNG TRIỂN KHAI HỆ THỐNG IPS VỚI SNORT-INLINE VÀ IPTABLES 3.1 MƠ HÌNH TRIỂN KHAI Hình 3-1 Mơ hình triển khai IPS với snort-inline iptables 3.1.1 Yêu cầu máy chủ: Cài đặt hệ điều hành linux, cụ thể Ubuntu 10 Cài đặt snort-inline công cụ hỗ trợ, bật chức firewall iptables hệ thống để xây dựng hệ thống IPS Máy chủ IPS System cài chung host có Server có địa IP tĩnh 192.168.1.10 3.1.2 Yêu cầu máy hacker: Máy công vào hệ thống chạy hệ điều hành Linux-Backtrack4 Đây hệ điều hành với nhiều công cụ bảo mật hỗ trợ Cấu hình địa IP tĩnh 192.168.1.11 3.2 Cài đặt Snort_inline Download snort_inline địa chỉ: [root@localhost#wget http://sourceforge.net/projects/snortinline/files/snort_inline%20source%20%282.8.x%29/snort_inline2.8.2.1-RC1/snort_inline-2.8.2.1-RC1.tar.gz/download [root@localhost]# tar xvfz snort_inline-2.8.2.1-RC1.tar.gz [root@localhost]# mkdir /etc/snort_inline [root@localhost]# mkdir /etc/snort_inline/rules/ [root@localhost]# cp HV: Nguyễn Đăng Ái 60 Xây dựng hệ thống phát – Chống xâm nhập mạng snort_inline-2.8.2.1-RC1/etc/* /etc/snort_inline/ [root@localhost]# cp /root/snort_inline02.8.2.1RC1/etc/reference.config /etc/snort_inline/rules [root@localhost]# cp /root/snort_inline02.8.2.1RC1/etc/classification.config /etc/snort_inline/rules [root@localhost]# vi /etc/snort_inline/snort_inline.conf Tìm dòng # var RULE_PATH /etc/snort_inline/drop-rules Thay thành # var RULE_PATH /etc/snort_inline/rules output database: log, password=12345 mysql, user=snort dbname=snort host=localhost [root@localhost]# cd snort_inline-2.8.2.1 /configure –with-mysql enable-dynamicplugin /make && make install Như vậy, cài đặt xong Copy rule vào thư mục /etc/snort_inline/rules 3.3 Cài đặt, cấu hình ACIDBase để quản lý Snort: Cần phải đảm bảo cài đặt phầm mềm sau: · Snort_inline · Apache · PHP · MySQL ·Adodb (download địa http://sourceforge.net/projects/adodb/files/ sau giải nén copy vào thư mục /var/www/html/) Bước 1: Tạo sở liệu mysql Tạo sở liệu với tên snort, tạo bảng sau: acid_event, acid_ag, acid_ag_alert, acid_ip_cache, base_roles, base_users Các bảng kèm theo bảng phân phối ACIDBase Bước 2: chỉnh sửa nội dung file base_conf.php Đường dẫn đến thư mục cài đặt Base: $BASE_urlpath = '/base'; Đường dẫn đến thư mục adodb: $DBlib_path = '/var/www/html/adodb'; Cơ sở liệu sử dụng: $DBtype = 'mysql'; HV: Nguyễn Đăng Ái 61 Xây dựng hệ thống phát – Chống xâm nhập mạng Khai báo tên sở liệu, tài khoản đăng nhập, mật $alert_dbame = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user $alert_passwo = 'snort'; rd = '123456'; 3.4 Tạo file khởi động Snort_inline với hệ điều hành Tạo file snortd thư mục /etc/init.d/ với nội dung sau #!/bin/bash # # snort_inline start(){ # Start daemons echo "Starting ip_queue module:" lsmod | grep ip_queue >/dev/null || /sbin/modprobe ip_queue; # echo "Starting iptables rules:" # iptables traffic sent to the QUEUE: # accept internal localhost connections iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # send all the incoming, outgoing and forwarding traffic to the QUEUE iptables -A INPUT -j QUEUE iptables -A FORWARD -j QUEUE iptables -A OUTPUT -j QUEUE # Start Snort_inline echo "Starting snort_inline: " /usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -D -v \ -l /var/log/snort_inline # -Q -> process the queued traffic # -D -> run as a daemon # -v -> verbose # -l -> log path # -c -> config path } stop() { stop() { # Stop daemons # Stop Snort_Inline # echo "Shutting down snort_inline: " killall snort_inline # Remove all the iptables rules and # set the default Netfilter policies to accept echo "Removing iptables rules:" iptables -F # -F -> flush iptables iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT HV: Nguyễn Đăng Ái 62 Xây dựng hệ thống phát – Chống xâm nhập mạng iptables -P FORWARD ACCEPT # -P -> default policy } restart(){ stop start } case "$1" in start) start ;; stop) stop ;; restart) restart ;; *) echo $"Usage: $0 {start|stop|restart|}" exit esac Sau copy file vào thư mục /root/sbin/ 3.5 Tạo rule cho Snort_inline Tạo rule lưu /root/etc/snort_inline/rules Ta tạo rule sau: Rule 1: alert icmp any any → 192.168.2.2/24 80 (msg: “ping”; ttl:128;sid:1000001;) Rule có nghĩa hệ thống đưa cảnh báo có máy ping đến máy chủ có địa 192.168.2.2 Giá trị ttl=128 giá trị mặc định gói icmp · · Rule 2: drop icmp any any → 192.168.1.9/24 80 (msg: “Drop Ping”; · ttl:100;sid:1000002;) Rule có nghĩa IPS ngắt kết nối đến server có máy sử dụng lệnh ping với gói icmp có giá trị ttl=100 HV: Nguyễn Đăng Ái 63 Xây dựng hệ thống phát – Chống xâm nhập mạng 3.6 Cài đặt iptables Cài đặt IPTABLES cài mặc định hệ thống Linux Package iptables iptables-version.rpm iptables-version.tgz Lệnh cài đặt (trên ubuntu): $ apt-get install ufw Lệnh cài đặt (trên Redhat/CentOS): $ yum install iptables Khởi động iptables Câu lệnh start, stop, restart iptables [root@localhost tmp]# service iptables start [root@localhost tmp]# service iptables stop 3.7 DEMO KẾT QUẢ Trước tiên ta chạy rule thứ 1, từ máy hacker ta tiến hành sử dụng lệnh ping đến địa sever Kết thu sau: Bước 1: Tại máy hacker · HV: Nguyễn Đăng Ái 64 Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 3-7 Mơ hình thực nghiệm Hình 3-2 Từ máy hacker ping với giá trị ttl=128 đến máy chủ Kết quả: Khi nhận lại tín hiệu reply từ máy server Bước 2: Tại máy server Ta truy cập vào ACIDBase để xem log ghi lại: Hình 3-3 Các file log ghi lại server Bước 3: Ta tiến hành dùng lệnh ping với giá trị tll=100 HV: Nguyễn Đăng Ái 65 Xây dựng hệ thống phát – Chống xâm nhập mạng Hình 3-4 Từ máy hacker tiến hành ping đến máy server Kết quả: Server không reply lại, máy hacker kết nối đến IPS Server Bước 4: Ta truy cập vào Acid base để xem log Hình 3-5 Các file log hệ thống IPS ghi lại KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN KẾT LUẬN Về mặt lý thuyết đề tài nêu vấn đề hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập Bên cạnh đưa giải HV: Nguyễn Đăng Ái 66 Xây dựng hệ thống phát – Chống xâm nhập mạng pháp xây dựng hệ thống IPS thực tế triển khai hiệu đánh giá cao Đã xây dựng thành công hệ thống IPS thực tế hoạt động với yêu cầu đặt Hạn chế đề tài triển khai hệ thống phân đoạn mạng nhỏ, nên chưa đánh giá hết hiệu xuất hệ thống vấn đề hệ thống IPS gặp phải triển khai thực tế HƯỚNG PHÁT TRIỂN Ứng dụng triển khai hệ thống IPS với Snort iptables thực tế để đánh giá hết hiệu vấn đề gặp phải Từ có biện pháp để khắc phục, hồn thiện cho hệ thống Ứng dụng Snort để xây dựng hệ thống IDS, IPS lớn đặt ISP để hạn chế hoạt động công mạng cho mạng lớn Xây dựng phát triển hệ thống IPS phân tán TÀI LIỆU THAM KHẢO Tiếng việt [1] Nguyễn Tấn Khơi – An tồn bảo mật thông tin [2] Phạm Hữu Đức (2005) - Cơ sở liệu hệ thống thông tin địa lý GIS, Nhà xuất Xây dựng [3] Nguyễn Quốc Cường - Hệ Thống Phát Hiện Xâm Nhập Mạng Tiếng Anh [1] Rafeeq Ur Rehman – Intrusion Detection Systems with Snort Prentice Hall PTR, 2003 HV: Nguyễn Đăng Ái 67 Xây dựng hệ thống phát – Chống xâm nhập mạng [2] Jay Beale and Snort Development Team – Snort 2.1 Instrusion Detection Second edition Syngress Publishing, Inc, 2004 [3] [4] The snort project - Snort® Users Manual Sourcefire Inc, 2009 Red Hat Product Documentation Team - Red Hat Enterprice Linux 4: Security Guide Red Hat Inc, 2008 Trang web tham khảo [1] http://www.windowsecurity.com/articles/Intrusion_Detection_Systems_IDS_Part_I netw ork_intrusions_attack_symptoms_IDS_tasks_and_IDS_architecture.html [2] http://www.windowsecurity.com/articles/IDS-Part2-Classification-methodstechniques.html [3] http://www.windowsecurity.com/articles/Hids_vs_Nids_Part2.html [4] http://www.openmaniak.com/inline_final.php [5] http://www.focus.com/fyi/it-security/ids-vs-ips/ [6] http://linuxgazette.net/117/savage.html [8] http://snort.org [9] http://sourcefire.com [10] http://hvaonline.net HV: Nguyễn Đăng Ái 68 ... góp phần làm thay đổi phương thức hoạt động kinh doanh doanh nghiệp Ngoài hoạt động kinh doanh truyền thống, doanh nghiệp có thêm phương thức kinh doanh hiệu quả, thương mại điện tử Trong năm gần... triển xã hội, mang lại lợi ích lớn cho doanh nghiệp, đồng thời thúc đẩy xã hội hóa thơng tin cho ngành nghề khác, góp phần mang lại tính hiệu cho kinh tế doanh nghiệp nói riêng cho tồn xã hội... chức, quan, doanh nghiệp triển khai áp dụng vào hệ thống mạng cơng nghệ Snort IPS Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức cách khoảng 32 năm áp dụng rộng rãi tổ chức, doanh nghiệp