Mục đích Báo cáo thực tập: Ứng dụng Ddos để khai thác thông tin không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện thực tế và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. Mời các bạn cùng tham khảo tài liệu.
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN KHOA CÔNG NGHỆ THÔNG TIN CHUYÊN NGÀNH: CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNG ĐỀ TÀI: ỨNG DỤNG DDOS ĐỂ KHAI THÁC THÔNG TIN GVHD : PHAN THỊ QUỲNH HƯƠNG SVTH : TRỊNH VĂN SƠN LỚP : 14NTC MSV : 141C920022 Triển khai DEMO hệ thống phát xâm nhập IDS với Snort LỜI CẢM ƠN Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô khoa Công nghệ thông tin trường Cao đẳng công nghệ thông tin Đà nẵng đã tạo điều kiện, cung cấp kiến thức cho em để thực hiện đề tài của thực tập chun mơn Đặc biệt em xin chân thành gửi lời cảm ơn đến giảng viên Phan Thị Quỳnh Hương trong thời gian thực hiện thực tập đã tận tình hướng dẫn, giúp đỡ, chỉ bảo để em làm tốt đề tài Ngày tháng năm 2017 Sinh viên thực hiện Trịnh Văn Sơn Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort MỤC LỤC CÁC THUẬT NGỮ VIẾT TẮT IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập NIDS: Network Intrusion Detection System HIDS: Host Intrusion Detection System DIDS: Distributed Intrusion Detection System ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên cùng khái niệm với ActiveX Data Objects của Microsoft DdoS – Distribute Denial of Service. Từ chối dịch vụ phân tán LAN – Local Area Network: mạng máy tính cục bộ Sensor: Bộ phần cảm biến của IDS Alert: Cảnh báo trong IDS TCPTransmission Control Protocol : Giao thức điều khiển truyền vận Slow Scan: là tiến trình “quét chậm” SSL – Secure Sockets Layer SSH Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật IPSec: IP Security Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngồi của một tổ chức CPU : Central Processing Unit Đơn vị xử lý trung tâm UNIX: Unix hay UNIX là một hệ điều hành máy tính Host: Host là khơng gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy cập từ xa Protocol: Giao thức Payload: Độ tải của một gói tin trên mạng Attacker: Kẻ tấn cơng ADSL: Asymmetric Digital Subscriber Line – đường dây th bao số bất đối xứng WLAN: Wireless Local Area – mạng cục bộ khơng dây Iptables : Hệ thống tường lửa trong linux ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích dữ liệu cho hệ thống phát hiện xâm nhập BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin Software: Phần mềm OS : Operating System : hệ điều hành OSI : Open Systems Interconnection : mơ hình 7 tầng OSI Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO Hình 1.2.1 Cấu trúc hệ thống IDS Hình 1.41. Đặt giữa Router và FIRewall Hình 1.41. Đặt miền DMZ Hình 1.41. Đặt gsau Firewall Hình 2.1.1 Cấu trúc Snort Hình 2.2.1 Cấu trúc tập luật Snort Hình 3.1.2.1 Cài đặt Snort Hình 3.1.2.2 Xem card mạng của máy Hình 3.1.2.3 Cài đặt Snort trong Service Hình 3.1.2.1 Bật Snort trong service Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort MỞ ĐẦU Lý do chọn đề tài Ngày nay internet trở thành nền tảng chính cho sự trao đổi thơng tin tồn cầu. Có thể thấy rõ ràng là Internet đã và đang tác động lên nhiều mặt của đời sống chúng ta từ việc trao đổi thơng tin, tìm kiếm dữ liệu, đến các hoạt động thương mại, học tập, nghiên cứu làm việc trực tuyến…Nhờ đó mà khoảng cách địa lý khơng còn là vấn đề lớn, trao đổi thơng tin trở nên nhanh chóng hơn bao giờ hết, việc tiếp cận kho tri thức của nhân trở nên dễ dàng hơn …Có thể nói lợi ích mà nó mang lại rất lớn Nhưng trên mơi trường thơng tin này, ngồi các mặt tích cực có được, nó cũng tiềm ẩn những tiêu cực, đặc biệt là trong vấn đề bảo vệ thơng tin. Nếu thơng tin bị mất mát, khơng còn ngun vẹn khi truyền đi hoặc giả sử bị kẻ xấu đánh cắp thì nó khơng chỉ ảnh hưởng đến cá nhân, doanh nghiệp mà đơi khi còn ảnh hưởng đến quốc gia, khu vực thậm chí là cả thế giới nữa Em thực hiện đồ án này với mong muốn khơng chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện thực tế và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an tồn cho các hệ thống và chất lượng dịch vụ cho người dùng IDS khơng chỉ là cơng cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến nhà quản trị mà nó còn cung cấp những thơng tin sau: Các sự kiện tấn cơng Phương pháp tấn cơng Nguồn gốc tấn cơng Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Dấu hiệu tấn cơng Loại thơng tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt Tìm hiểu về các kiểu tấn cơng mạng 2.1 Tấn cơng kiểu thăm dò Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lổ hỗng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được tiến hành bởi kiểu tấn cơng thăm dò để tìm hiểu sơ lược về những thông tin bảo mật của một tổ chức, doanh nghiệp hay công ty nào đó. Kẻ tấn cơng sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, các dịch vụ và các cổng nào đang được mở, địa chỉ IP, kiến trúc hệ thống mạng nhằm đưa ra những hình thức thâm nhập hợp lý. Thăm dò và thu thập thơng tin còn là cách duy nhất để biết được các kiểu kết nối, như Internet, Intranet, Wireless… và các cấu trúc hệ thống đang được mục tiêu sử dụng 2.2 Tấn công kiểu truy cập Tấn công truy cập là kiểu tấn công mà các hacker lợi dụng các lỗ hỗng bảo mật và các lỗi cấu hình hệ thống để lấy quyền xâm nhập trái phép vào hệ thống và thay đổi cấu trúc thơng tin của mục tiêu Kẻ tấn cơng thường tìm kiếm quyền truy cập bằng cách chạy một đoạn mã, các cơng cụ hack hay khai thác một số điểm yếu của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ. Sau khi có quyền truy cập, kẻ tấn cơng sẽ tìm cách nâng cao đặc quyền của mình, cài đặt các phần mềm backdoor, trojan để chiếm quyền truy cập mức độ quản trị (superuser, admin, root). Khi đã nắm tồn quyền, kẻ tấn cơng có thể điều khiển hệ thống mạng mục tiêu để thực hiện các mục đích của mình, Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort như bước đệm để tấn công lên các hệ thống máy chủ mẹ, hay sử dụng hệ thống mục tiêu như một agent để tấn công DoS vào các hệ thống khác 2.3 Tấn công kiểu từ chối dịch vụ DoS Tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công làm một hệ thống bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động Tấn cơng DoS nói chung khơng nguy hiểm như các kiểu tấn cơng khác ở chỗ nó khơng cho phép kẻ tấn cơng chiếm quyền truy cập hệ thống hay có quyền thay đổi hệ thống. Tuy nhiên, nếu một máy chủ tồn tại mà không thể cung cấp thông tin, dịch vụ cho người sử dụng, sự tồn tại là khơng có ý nghĩa nên thiệt hại do các cuộc tấn công DoS do máy chủ bị đình trệ hoạt động là vơ cùng lớn, đặc biệt là các hệ thống phục vụ các giao dịch điện tử 2.3.1 Mục đích cả tấn cơng DoS Chiếm băng thơng mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ khơng có kh ả năng đáp ứng những dịch vụ khác cho người dùng bình thường Làm ngắt kết nối giữa hai máy, và ngăn chặn q trình truy cập vào dịch vụ 2.3.2 Mục tiêu của tấn cơng DoS Tạo ra sự khan hiếm, những giới hạn và khơng đổi mới tài ngun Băng thông của hệ thống mạng(Network Bandwidth), bộ nhớ, ổ đĩa, CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn cơng DoS Phá hoại hoặc thay đổi các thơng tin cấu hình 2.4 Các mối đe dọa bảo mật Chính vì một hệ thống thông tin luôn bị đe doạ tấn công bởi các hacker nên việc xây dựng một hệ thống bảo vệ xâm nhập là rất cần thiết đối với mỗi một tổ Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort chức. Các hình thức tấn cơng của hacker ngày càng tinh vi, chau chuốt hơn, cũng như mức độ tấn công ngày càng khủng khiếp hơn, nên khơng một hệ thống nào có thể đảm bảo hồn tồn không bị xâm nhập. Nếu các tổ chức antivirut đang cố gắng cập nhập, sửa đổi để cung cấp cho người dùng những phương pháp phòng chống hiệu quả thì bên cạnh đó, những kẻ tấn cơng cũng ngày đêm nghiên cứu tung ra các hình thức xâm nhập, phá hoại khác Để bảo vệ tốt được một hệ thống, đầu tiên bạn phải có cái nhìn tổng qt về các nguy cơ tấn cơng, nghĩa là đầu tiên bạn phải nhận định được bạn cần bảo vệ cái gì, và bảo vệ khỏi ai, cũng như phải hiểu các kiểu đe dọa đến sự bảo mật mạng của bạn Thơng thường sẽ có 4 mối đe dọa bảo mật sau: Mối đe dọa ở bên trong Mối đe dọa ở bên ngồi Mối đe dọa khơng có cấu trúc và có cấu trúc 2.i.1.2.4.1 Mối đe dọa bên trong Mối đe doạ bên trong là kiểu tấn công được thực hiện từ một cá nhân hoặc một tổ chức được tin cậy trong mạng và có một vài quyền hạn để truy cập vào hệ thống Hầu hết chúng ta chỉ quan tâm xây dựng một thống firewall và giám sát dữ liệu truy cập ở các đường biên mạng mà ít để ý đến các truy cập trong mạng nội bộ do sự tin tưởng vào các chính sách và ACL người quan trị quy định trong hệ thống. Do bảo mật trong một mạng local thường rất lỏng lẻo nên đây là môi trường thường được các hacker sử dụng để tấn công hệ thống Trịnh Văn Sơn – 14NTC Trang: Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Mối đe doạ bên trong thường được thực hiện bởi các nhân viên do có bất đồng với cơng ty, các gián điệp kinh tế hay do một vào máy client đã bị hacker chiếm quyền truy cập. Mối đe doạ này thường ít được để ý và phòng chống vì các nhân viên có thể truy cập vào mạng và dữ liệu quan trọng của server 2.4.2 Mối đe dọa từ bên ngoài Mối đe doạ bên ngoài là việc các hacker cố gắng xâm nhập vào một hệ thống mạng nào đó bằng một vài kỹ thuật (thăm dò, truy cập…) hay việc phá hoại truy cập hệ thống (DoS, DDoS…). Xây dựng hệ thống firewall và cảnh báo để ngăn ngừa các mối đe doạ từ bên ngồi là việc mà các cơng ty và tổ chức thường phải bỏ nhiều thời gian và tiền bạc để đầu tư phát triển 2.4.3 Mối đe dọa có cấu trúc và khơng cấu trúc Mối đe doạ tấn cơng vào một hệ thống có thể đến từ rất nhiều loại. Phỗ biến nhất là các hacker mới vào nghề, còn ít kiến thức và khơng có kinh nghiệm, thực hiện việc tấn công bằng cách sử dụng các công cụ hoặc thực hiện tấn cơng DoS (mối đe doạ khơng có cấu trúc). Hoặc việc tấn công được thực hiện bởi các hacker thực thụ hoặc một tổ chức (mối đe doạ có cấu trúc), họ là những người có kiến thức và kinh nghiệm cao, nắm rõ việc hoạt động của các hệ thống, giao thức mạng cũng như các phương pháp thường được sử dụng để ngăn chặn trong các firewall. Đây là mối đe doạ khó ngăn ngừa và phòng chống nhất đối với các hệ thống mạng CHƯƠNG 1. TỔNG QUAN IDS Hệ thống phát hiện xâm nhập – IDS(Intrusion Detection System) là một hệ thống có nhiệm vụ giám sát các luồng dữ liệu traffic đang lưu thơng trên mạng, có khả năng phát hiện những hành động khả nghi, những xâm nhập trái phép cũng như khai Trịnh Văn Sơn – 14NTC Trang: 10 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Tại thư mục Temp ngồi Desktop, double click vào file Snort_2_9_7_2_Installer để cài đặt. Lần lượt thực hiện I Agree > Next > Next > Next > Close > OK Giải nén file snortrulessnapshotCURRENT.tar và copy tất cả nội dung trong đó vào thư mục cài đặt Snort: C:\Snort, chọn Yes to All để copy đè Truy cập vào thư mục là C:\Snort\etc\ và mở file snort.conf bằng Notepad++ Thực hiện tìm kiếm và thay đổi những nội dung sau: # Setup the network addresses you are protecting ipvar HOME_NET 192.168.1.0/24 # Set up the external network addresses. Leave as "any" in most situations ipvar EXTERNAL_NET !$HOME_NET # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules var RULE_PATH C:\Snort\rules var SO_RULE_PATH C:\Snort\so_rules var PREPROC_RULE_PATH C:\Snort\preproc_rules # If you are using reputation preprocessor set these var WHITE_LIST_PATH C:\Snort\rules var BLACK_LIST_PATH C:\Snort\rules Trịnh Văn Sơn – 14NTC Trang: 35 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort # path to dynamic preprocessor libraries dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor # path to base preprocessor engine dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll # path to dynamic rules libraries # dynamicdetection directory /usr/local/lib/snort_dynamicrules # Reputation preprocessor. For more information see README.reputation preprocessor reputation: \ memcap 500, \ priority whitelist, \ nested_ip inner, \ whitelist $WHITE_LIST_PATH\white.list, \ blacklist $BLACK_LIST_PATH\black.list # metadata reference data. do not modify these lines include classification.config include reference.config Bước 3: Kiểm tra cài đặt Snort Mở của sổ DOS và gõ lệnh cd c:\snort\bin Trịnh Văn Sơn – 14NTC Trang: 36 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Chạy lệnh để kiểm tra độ ổn định: snort l c:\snort\log c c:\snort\etc\snort.conf A console Hình 3.1.2.1 Cài đặt Snort Như vậy chúng ta đã cấu hình xong Snort. Snort đã sẵng sàng hoạt động dưới các chế độ khác nhau Bước 4: Sử dụng Snort Chế độ Sniffer Paket: Để tiến hành sniffer, chúng ta cần chọn card mạng để Snort đặt vào chế độ promicous, nếu máy tính của bạn sử dụng nhiều card thì hãy sử dụng lệnh snort W để xem số hiệu card mạng Trịnh Văn Sơn – 14NTC Trang: 37 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Hình 3.1.2.2 Xem card mạng của máy Ở số hiệu card mạng Bây chúng ta tiến hành sniffer paket dùng lệnh: snort dev ix (với x là số hiệu card mạng). Trong q trình chạy snort, chúng ta tiến hành ping từ client sang server Chế độ Packet Log: Chúng ta có thể lưu các gói dữ liệu vào file log để xem bằng lệnh: snort dev i1 l c:\snort\log (dòng lệnh sẽ ghi log các thơng tin dữ liệu tại tầng Datalink và TCP/IP) Đọc file log dùng lệnh: snort dvr c:\snort\log\snort.log.NHÃN THỜI GIAN Bước 5: Cài đặt Snort trong Service Tại dấu nhắt lệnh gõ: snort /SERVICE /INSTALL c c:\snort\etc\snort.conf l c:\snort\log K ascii i1 Trịnh Văn Sơn – 14NTC Trang: 38 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Hình 3.1.2.3 Cài đặt Snort trong Service Khởi động lại Windows Server Sau khi khởi động lại Windows, vào Service để kiểm tra Snort được start thành cơng hay chưa Hình 3.1.2.1 Bật Snort trong service Trịnh Văn Sơn – 14NTC Trang: 39 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Như vậy là ta đã cài đặt và cấu hình xong Snort trên Win server 2003 Triển khai Demo Cấu hình địa chỉ IP tĩnh cho : Winserver 2003 : IP add: 192.168.1.12/24 Win XP: IP add: 192.168.1.10/24 Ubuntu: IP add: 192.168.1.11/24 3.2.1 Tạo luật cảnh báo Ping Vào thư mục C:\Snort\rules, mở file finger.rules, thêm luật phát máy khácpingđếnnhưsau: alert icmp any any > $HOME_NET any (msg: “Co may dang ping”; sid: 140791;) Thực hiện lệnh ping 192.168.1.12 từ máy win Xp đến Server 2003 Kết quả ở file log ở máy Server trong thư mục C:\Snort\log như sau: 2.2 Tạo luật cảnh báo PING với kích thướt lớn Thêm lệnh vào file icmp.rules alert icmp $HOME_NET any > any any (msg: “Size ping lon”; dsize: >50; sid: 2;) Tạo lệnh ping ở máy Client như sau: ping l 1000 f google.com t Start lại Snort Kết quả ở file log 2.3 Thiết lập cảnh báo truy cập Web Trong thư mục C:\Snort\rules ta tạo file youtube.com để biết một máy nào trong mạng truy cập vào Trịnh Văn Sơn – 14NTC website youtube.com với nội dung file: Trang: 40 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort alert tcp any any > any any (content: “www.youtube.com”; msg: “Ban moi truy cap youtube.com”; sid: 100000; rev: 1;) Trong file snort.conf, thêm dòng: include $RULE_PATH/youtube.rules Start lại Snort Tại máy Client truy cập vào website youtube.com Kết quả file log ở máy Server 2.4 Tạo luật cảnh báo xâm nhập Web máy chủ server 2003 alert tcp any any > 192.168.1.12/24 any (msg: "Phat hien xam nhap web may chu"; sid: 11597530;) Trong thư mục C:/Snor/rules/finger.rules để biết một máy nào trong mạng truy cập vào website Server với nội dung file: tcp any any > 192.168.1.12/24 any (msg: "Phat hien xam nhap web may chu"; sid: 11597530;) Tại máy Client truy cập trình duyệt web gõ: 192.168.1.12 Kết quả file log ở máy Server Trịnh Văn Sơn – 14NTC Trang: 41 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort TỔNG KẾT Hệ thống phát hiện xâm nhập (IDS) đóng vai trò quan trọng trong việc giám sát bảo mật hệ thống mạng. IDS giúp con người khám phá, phân tích một nguy cơ tấn cơng mới. Từ nó người ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn cơng. Một tổ chức lớn khơng thể nào thiếu IDS Những vấn đề đạt được Nắm bắt được cơ chế hoạt động của hệ thống phát hiện xâm nhập IDS Cài đặt và cấu hình một hệ thống phát hiện xâm nhập trên mạng cục bộ dựa trên mã nguồn mở Snort, iptables, squid proxy Trịnh Văn Sơn – 14NTC Trang: 42 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Hiểu được các cách thức tấn cơng mạng cơ bản Đọc hiểu, phân tích được các cảnh báo trong Snort thơng qua các rules và log Những vấn đề chưa đạt được Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn cơng mới ngày càng trở nên tinh vi và phức tạp hơn Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như: Snort_inline, Fsnort(Firewall Snort),… chưa được áp dụng triệt để Tập luật của Snort ngày càng được phát triển nên cần phải cập nhật Chưa kết hợp phần mềm Mod Security để bảo vệ Web server Hướng mở rộng đề tài Đối với mạng khơng dây, cấu trúc vật lý mang lại sự an tồn nhưng cơ chế truyền tin khơng dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy ln cần phải chứng thực giữa các người dùng trong mạng Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với mơi trường mạng LAN truyền thống. Trong mơi trường mạng có dây ta có tồn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, khơng khí là mơi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngồi mạng WLAN Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn cơng từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì tồn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe Trịnh Văn Sơn – 14NTC Trang: 43 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể ta đang dùng mạng không dây hay mạng LAN truyền thống PHỤ LỤC Tài liệu tham khảo Trịnh Văn Sơn – 14NTC Trang: 44 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort [1] Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID – By Rafeeq Ur Rehman – May 08, 2003 – 0131407333 [2] Snort 2.1 Intrusion Detection Second Edition – Featuring Jay Beale and Snort Development Team Andrew R. Baker, Brian Caswell, Mike Poor – Copyright 2004 by Syngress Publishing – ISBN: 1931836043 [3] Snort User Manual 2.8.5 Martin Roesch Chris Green, October 22, 2009 Sourcefire, Inc [4] Syngress – Intrusion.Prevention.and.Active.Response.(2005) [5] Guide to Intrusion Detection and Prevention Systems Recommendations of the National Institute of Standards and Technology – Karen Scarfone Peter Mell [6] Managing Security with Snort and IDS Tools – O’ReillyBy Kerry J. Cox, Christopher Gerg [7] Snort cookbook – O’Reilly By Kerry J. Cox, Christopher Gerg [8] Snort IDS and IPS ToolkitFeaturing Jay Beale and Members of the Snort TeamAndrew R. Baker –Joel Esler [9] ModSecurity Handbookby Ivan Ristiỉ Copyright © 2009, 2010 Ivan Ristiỉ [10] Cài đặt và cấu hình Iptables Nguyễn Hồng Thái [11] Firewalls, Nat & Accounting Linux iptables Pocket Reference O'REILLY GREGOR N. PURDY [12] Linux Firewalls Attack Detection and Response with iptables, psad, and fwsnortMICHAEL RASH Trịnh Văn Sơn – 14NTC Trang: 45 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Các trang web: Việt Nam Nước ngoài: http://www.hvaonline.net http://www.google.co.uk http://nhatnghe.com/forum http://www.snort.org http://quantrimang.com.vn http://www.openmaniak.com/inline.php http://forum.saobacdauacad.vn http://sectools.org/ http://forum.t3h.vn http://linux.org/ http://ipmac.vn/forum http://ibm.com http://vnexperts.net http://support.microsoft.com http://kmasecurity.net http://www.winids.com Cấu hình các Rules cơ bản của Snort Cảnh báo ping Trong đó: Alert: là hành động cảnh báo Trịnh Văn Sơn – 14NTC Trang: 46 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Icmp: là giao thức để bật cảnh báo $EXTERNAL_NET: là địa chỉ đích của cuộc tấn cơng. Người dùng có thể định nghĩa (var $EXTERNAL_NET 192.168.1.0/24 ) Any: là port mà gói tin đi qua (bất cứ port nào) $HOME_NET: là địa chỉ gói tin đi đến của cuộc tấn cơng. Ta có thể định nghĩa địa chỉ này cho phù hợp với mạng nội bộ mà ta đang quản lý 7: là port mà lệnh ping gửi gói tin echo qua Msg: xuất câu thơng báo trong log hoặc trên giao diện quản lý cảnh báo Classtype: dùng để phân loại cảnh báo Sid: số id của câu rule cảnh báo, mỗi rule có một sid khác nhau Cảnh báo truy cập website Cảnh báo truy cập FTP Cảnh báo truy cập Telnet Cảnh báo gói tin ICMP có kích thước lớn Cảnh báo Dos lỗi SMB 2.0 Cảnh báo chat với các máy có IP lạ Trịnh Văn Sơn – 14NTC Trang: 47 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort Ngăn chặn các trang Web có nội dung xấu ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Trịnh Văn Sơn – 14NTC Trang: 48 Tri ển khai DEMO h ệ th ống phát hi ện xâm nh ập IDS v ới Snort ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Trịnh Văn Sơn – 14NTC Trang: 49 ... các giao thức, phát hiện dấu Phát hiện Áp dụng bộ luật cho các gói tin Log và cảnh báo Tạo cảnh báo và các thơng tin log Output Xử lý cảnh báo, log và đưa ra kết quả output cuối cùng Bảng 1 Bảng tóm tắt các module của Snort... bằng khóa –b tại dòng lệnh command line. Để vơ hiệu hóa tồn bộ các gói tin log, hãy sử dụng khóa –N Để gửi cảnh báo đến syslog, sử dụng khóa s. Cơ chế mặc định của syslog là ... iptables loại bỏ gói tin và ghi lại thông tin như hành động LOG thông thường REJECT – Hành động REJECT yêu cầu iptables từ chối gói tin, ghi lại thơng tin log và gửi một