Qua thời gian thực hiện đề tài, em hy vọng rằng sẽ hiểu được những điểm quan trọng của hệ thống phát hiện xâm nhập trái phép IDS, đặc biệt là công cụ SNORT. Thu được nhiều kiến thức, kỹ năng và kinh nghiệm trong việc bảo mật hiện nay. Nắm được các yếu tố nền tảng để phát triển hệ thống bảo mật hiện nay.
LỜI CẢM ƠN Qua thời gian học tập lâu dài hoàn thành báo cáo thực tập chuyên ngành với đề tài :“Tìm hiểu hệ thống phát xâm nhập IDS-SNORT” Em nhận quan tâm, giúp đỡ nhiệt tình tập thể, cá nhân nhà trường Nhân dịp : Em xin chân thành cảm ơn giúp đỡ đóng góp ý kiến thầy, cô giáo môn mạng truyền thông – khoa công nghệ thông tin- Đại học Công Nghệ Thông Tin Truyền Thông – Đại Học Thái Nguyên Đặc biệt em xin bày tỏ lòng cảm ơn sâu sắc đến thầy giáo hướng dẫn: Th.S Nguyễn Đức Bình, thầy trực tiếp hướng dẫn em làm đề tài này, thầy mang đến cho em nguồn tri thức với dạy bảo tận tình thầy trình học tập nghiên cứu em Em xin chân thành cảm ơn !!! LỜI CAM ĐOAN Em xin cam đoan toàn đồ án: “Tìm hiểu hệ thống phát xâm nhập IDS-SNORT”.là thân tìm hiểu, nghiên cứu Khơng có chép nội dung từ đồ án khác Tất nội dung hình ảnh minh họa có nguồn gốc xuất xứ rõ ràng từ tài liệu tham khảo nhiều nguồn khác mà xây dựng nên Ngồi cịn có góp ý định hướng thầy giáo Th.S Nguyễn Đức Bình Em xin cam đoan lời đúng, thơng tin sai lệch em xin hồn tồn chịu trách nhiệm trước Hội đồng Thái Nguyên, tháng năm 2011 Sinh viên Dương Văn Thắng Mục Lục LỜI NÓI ĐẦU Dưới hướng dẫn thầy giáo thạc sỹ Nguyễn Đức Bình qua thời gian nghiên cứu , tìm hiểu em hồn thành báo cáo thực tập chuyên ngành Trong giới hạn báo cáo thực tập chun ngành này, em có tìm hiểu vấn đề sau: - Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) SNORT -kiến trúc ,cơ chế hoạt động hệ thống hỗ trợ IDS-SNORT -cài đặt ,cấu hình sử dụng SNORT Một lần nữa, em xin chân thành cảm ơn thầy giáo thạc sỹ Nguyễn Đức Bình , thầy khoa CNTT - Đại Học Công Nghệ Thông Tin Truyền Thơng bạn giúp đỡ em hồn thành báo cáo Sinh viên thực Dương Văn Thắng DANH MỤC HÌNH ẢNH Hình 1.1 : Các vị trí đặt IDS mạng……………………………………11 Hình 2.1 Snort-sensor đặt Router Firewall…………………………27 Hình 2.2 : Snort-sensor đặt vùng DMZ……………………………….28 Hình 2.3: snort-sensor đặt sau Firewall…………………………………… 29 Hình 2.4 : Mơ hình kiến trúc hệ thống Snort……………………………… 30 Hình 2.5: Xử lý gói tin Ethernet……………………………………….31 Hình 2.6: Module log cảnh báo……………………………………….…35 Hình 2.7 : Cấu trúc luật Snort……………………………………… …39 Hình 2.8 : Header luật Snort………………………………………….…39 Hình 3.1: Mơ hình IDS-SNORT………………………………………….…53 Hình 3.2 cài đặt Winpcap……………………………………………………54 Hình 3.3 cài đặt Winpcap……………………………………………………55 Hình 3.4 download snort………………………………………………….…56 Hình 3.5 cài đặt snort……………………………………………………… 57 Hình 3.6 cài đặt snort………………………………………………….…….58 Hình 3.7 cài đặt snort……………………………………………………… 59 Hình 3.8 cài đặt snort…………………………………………………….….60 Hình 3.9 cài đặt snort……………………………………………………… 61 Hình 3.10 giải nén rules…………………………………………………… 63 Hình 3.11 copy rules vào thư mục cài snort…………………………….….…64 Hình 3.12 xác định thứ tự card mạng…………………………………………64 Hình 3.13 chạy lệnh sniffer packet……………………………………………65 Hình 3.14 chạy lệnh sniffer packet…………………………………… ……66 Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS 1.1Tổng quan 1.1.1 Sơ qua tình hình an ninh mạng An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Theo báo cáo mối đe dọa bảo mật mạng (ISTR) thứ 14 hãng Symantec , hoạt động công mạng giới tiếp tục phát triển mức kỷ lục, chủ yếu nhắm tới thông tin quan trọng từ máy tính người dùng Symantec tạo 1,6 triệu mẫu chữ ký loại mã độc hàng năm , tương đương với 60% tổng số mẫu chữ ký mà Symantec tạo từ trước đến - phản ứng tăng trưởng mạnh số lượng phong phú, đa dạng mối đe doạ nguy hại X-Force đưa nhiều cảnh báo điểm yếu an ninh nghiêm trọng nhà cung cấp sản phẩm Microsoft, Apple, Adobe, VMWare Điển hình điểm yếu an ninh PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC Microsoft 1.2 Mục Tiêu Đề Tài Qua thời gian thực đề tài, em hy vọng hiểu điểm quan trọng hệ thống phát xâm nhập trái phép IDS, đặc biệt công cụ SNORT Thu nhiều kiến thức, kỹ kinh nghiệm việc bảo mật Nắm yếu tố tảng để phát triển hệ thống bảo mật 1.1.3 Phạm vi phương pháp nghiên cứu Nghiên cứu, triển khai giải pháp phát sớm ngăn chặn thâm nhập trái phép (tấn công) vào hệ thống mạng ngày vấn đề có tính thời có ý nghĩa, quy mơ phức tạp cơng ngày tăng Đó cách thức tiếp cận với hệ thống bảo mật mạng em Phạm vi nghiên cứu: Nghiên cứu hệ thống phát xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT Nghiên cứu cài đặt cấu hình SNORT 1.2 Giới thiệu tổng quan hệ thống IDS Khái niệm phát xâm nhập xuất qua báo James Anderson cáchđây khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập – IDS (IntrusionDetection System) với mục đích dị tìm nghiên cứu hành vi bất thường tháiđộ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính không lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin.Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu cơng ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel 1.2.1 Khái niệm IDS Intrusion Detection system (IDS) hệ thống giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu vi phạm đến quy định bảo mật máy tính, sách sử dụng tiêu chuẩn an tồn thơng tin Các dấu hiệu xuất phát từ nhiều nguyên nhân khác nhau, lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào tài nguyên không phép truy cập Intrusion Prevention system (IPS) hệ thống bao gồm chức phát xâm nhập (Intrusion Detection – ID) khả ngăn chặn xâm nhập trái phép dựa kết hợp với thành phần khác Antivirus, Firewall sử dụng tính ngăn chặn tích hợp Hình 1.1 : Các vị trí đặt IDS mạng 1.3 Chức 1.3.1 Các ứng dụng Nhận diện nguy xảy ra.Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.Nhận diện hoạt động để thăm dị hệ thống.Nhận diện khuyết điểm sách bảo mật.Ngăn chặn vi phạm sách bảo mật 1.3.2 Các tính Lưu trư thơng tin liên quan đến đối tượng giám sát.Cảnh báo kiện quan trọng liên quan đến đối tượng giám sát.Ngăn chặn công.Xuất báo cáo 1.4 Cấu trúc kiến trúc -Các thành phần +Sensor / Agent:Giám sát phân tích hoạt động “Sensor” thường dùng cho dạng Network-base IDS/IPS “Agent” thường dùng cho dạng Host-base IDS/IPS +Management Server:Là thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng số Management Server thực việc phân tích 10 Hình 3.3 cài đặt Winpcap Click Finish để hoàn thành cài đặt Winpcap -Download SNORT : download SNORT trang web www.snort.org 53 Hình 3.4 download snort Phiên snort.2.9.1 Sau ta Get Rules phiên Sau ta download SNORT Rules tương ứng ta tiến hanh cài đặt hệ thống windows XP (trên máy thật) 54 Hình 3.5 cài đặt snort Click chọn I Agree bắt đầu trình cài đặt 55 Hình 3.6 cài đặt snort Để mặc định chọn Next 56 Hình 3.7 cài đặt snort Tiếp tục chọn Next 57 Hình 3.8 cài đặt snort Tiếp tục chọn Next 58 Hình 3.9 cài đặt snort Click chọn Close để hồn thành q trình cài đặt Snort -Sau cài đặt Snort cần phải thiết lập tham số quan trọng HOME_NET PATH_RULE khởi động Snort thực công việc triển khai Snort lớp mạng C với dãy địa 192.168.1.0/24, mở tập tin snort.conf thư mục C:\Snort\etc\ tìm đến biến HOME_NET thiết lập sau: 59 Tiếp theo khai báo đường dẫn đến nơi chứa quy tắc snort rules đặt RULE_PATH C:\Snort\rules Khai báo biến include classification.config reference.config hình (sữa thành include C:\Snort\etc\classification.config C:\Snort\etc\reference.config 60 Bây copy Rules tạo sẵn với phiên snortrulessnapshot-2905.tar.copy thư mục rules vào thư mục cài đặt Snort ổ C:\Snort Hình 3.10 giải nén rules 61 Hình 3.11 copy rules vào thư mục cài snort 3.2.2 Sử dụng SNORT Tiến hành chạy thử SNORT chế độ khác -Sử dụng SNORT để sniffer packet:Để tiến hành sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính có nhiều card sử lệnh snort –W để xác định Hình 3.12 xác định thứ tự card mạng 62 Kết cho ta biết số hiệu card mạng.card mạng thứ tiến hành chạy lệnh snort –h để sniffer gói tin Dùng lệnh snort –v –i4 Hình 3.13 chạy lệnh sniffer packet 63 Hình 3.14 chạy lệnh sniffer packet -Sử dụng SNORT chế độ Network IDS: sử dụng file snort.conf ,áp dụng luật file tiến hành ghi cảnh báo file alert.ids Dòng lệnh sau hiển thị cảnh báo theo luật nhận gói tin trùng khớp với định nghĩa luật Snort –i4 –l c:\snort\log –c c:\snort\ect\snort.conf –A console Để ghi cảnh báo vào file alert.ids Snort –i4 –l c:\snort\log –c c:\snort\ect\snort.conf –A full -Sử dụng SNORT chế độ Packet Logger: lưu trữ gói tin tập tin log.Ngồi việc xem gói tin mạng cịn lưu chúng thư mục C:Snort\log với tùy chọn –l 64 Chương :KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG NGHIÊN CỨU 4.1 Kết đạt Thông qua nghiên cứu triển khai hệ thống IDS_SNORT, em nhận thức tình hình an ninh mạng yêu cầu cần thiết để thiết lập trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm công thâm nhập hệ thống Em nắm bắt kiến thức thời gian thực tập chuyên nghành: - Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) - SNORT Kiến trúc ,cơ chế hoạt động hệ thống hỗ trợ IDS-SNORT Cài đặt ,cấu hình sử dụng SNORT Tuy nhiên, vấn đề này, em vướng phải khó khăn: - Thời gian thực hành với cơng cụ SNORT cịn ít, chưa vận dụng tối đa sức mạnh công cụ - Tuy cố gắng nắm bắt tảng công nghệ IDS, em dừng lại mức nghiên cứu lý thuyết, chưa sâu vào thực tế 4.2 Hướng nghiên cứu Thông qua kết nghiên cứu nguy đe dọa mạng điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày vấn đề cần thiết song khó khăn Sau hồn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết công mạng cách có hệ thống (hoặc cách tồn diện hơn), biện pháp bảo đảm an ninh mạng có hiệu cao Ví dụ, tìm hiểu 65 cách thức phát lỗ hổng hệ thống, đồng thời nghiên cứu cách thức phòng tránh lỗ hổng trước kẻ cơng lợi dụng Kết nghiên cứu khố luận giúp định hướng nghiên cứu sâu an ninh mạng môi trường hệ thống mạng khác sau 66 TÀI LIỆU THAM KHẢO Các sách tham khảo: [1] Stuart McClure, Joel Scambray George Kurtz Hacking exposed fifth edition, McGraw-Hill/Osborne, 2005 [2] Internet Security Systems ProventiaGSeries_Guide, May 2005 [3] Internet Security Systems Các dấu hiệu công thâm nhập, 2005 [4] Snort-Syngress Snort 2.1 Intrusion Detection Second Edition May 2004 [5] Snort IDS and IPS Toolkit [6] Vietnamnet.vn Tìm hiểu công từ chối dịch vụ DoS Các web site tham khảo: [7] http://nhatnghe.com/forum/ [8] http://quantrimang.com/ [9] http://www.howtoforge.com/ [10] http://www.hvaonline.net/ 67 ... DỤNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS SNORT 3.1 Mơ hình cho hệ thống IDS- SNORT Hình 3.1: Mơ hình IDS- SNORT -Trên mơ hình cho hệ thống giám sát phát xâm nhập hệ thống SNORT. Với máy chủ IDS- SNORT. .. Nghiên cứu hệ thống phát xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT Nghiên cứu cài đặt cấu hình SNORT 1.2 Giới thiệu tổng quan hệ thống IDS Khái niệm phát xâm nhập xuất qua báo James... kịch xâm nhập (intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành 18 Hệ thống xem xét hành động hệ thống