MỤC LỤC iDANH MỤC TỪ VIẾT TẮT iiiDANH MỤC BẢNG BIỂU HÌNH VẼ ivMỞ ĐẦU vCHƯƠNG 1. TÌM HIỂU TỔNG QUAN VỀ ĐIỀU TRA MẠNG 11.1. Giới thiệu về điều tra số 11.1.1. Khái niệm 11.1.2. Mục đích và ứng dụng 11.2. Các loại hình điều tra phổ biến 21.2.1. Điều tra máy tính 21.2.2. Điều tra mạng 31.2.3. Điều tra thiết bị di động 3CHƯƠNG 2. THEO DÕI KẺ XÂM NHẬP TRÊN MẠNG 52.1. Tìm hiểu về hệ thống phát hiện xâm nhập 52.1.1.Tổng quan về hệ thống phát hiện xâm nhập 52.1.2. Tìm hiểu về hệ thống ngăn chặn xâm nhập mạng 72.2. Phương thức phát hiện 82.2.1. So trùng mẫu (Pattern matching) 82.2.2. Dấu hiệu bất thường (anomaly detection) 92.3. Phân biệt giữa NIDS và NIPS 102.4. Sử dụng Snort để phát hiện, ngăn chặn xâm nhập mạng 132.4.1. Giới thiệu 132.4.2. Sử dụng snort để phát hiện, ngăn chặn xâm nhập mạng 14CHƯƠNG 3. THỰC NGHIỆM PHÁP HIỆN XÂM NHẬP MẠNG VỚI SNORT253.1. Mô hình thử nghiệm 253.2. Cài đặt snort 253.2.1. Chuẩn bị 253.2.2. Cài đặt Snort 263.2.3. Cấu hình Snort chạy NIDS mode 2633.3. Thiết lập luật cơ bản 28KẾT LUẬN 30DANH MỤC TÀI LIỆU THAM KHẢO 31
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ĐỀ TÀI PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH Tìm hiểu điều tra mạng : Chương Theo dõi kẻ xâm nhập qua mạng Sinh viên thực hiện: Hà Nội - 2019 MỤC LỤC DANH MỤC TỪ VIẾT TẮT Từ viết tắt Ý nghĩa NIDS NIPS Network Intrusion Detection System Network-based Intrusion Prevention System IDS Intrusion Detection System IPS Intrusion Prevention System RAM GPS Random Access Memory Global Positioning System UTM Unified Threat Management DANH MỤC BẢNG BIỂU HÌNH VẼ MỞ ĐẦU Sự phát triển mạnh mẽ Cơng nghệ thơng tin nói chung mạng Internet nói riêng tạo điều kiện thuận lợi cho việc cung cấp đa dạng dịch vụ hữu ích đến với người Trong vài năm gần đây, khơng ngừng phát triển để phù hợp với cộng đồng rộng lớn nhiều, đem lại nhiều dịch vụ với lợi ích thương mại, kinh tế, xã hội Tuy nhiên, trở thành môi trường cho chiến tranh không gian số, nơi mà cơng nhiều loại hình khác (liên quan tài chính, tư tưởng, hành vi trả đũa ) phát động Các giao dịch thương mại điện tử thực trực tuyến mối quan tâm tội phạm mạng Những hacker ăn cắp tài khoản người dùng để thực ý đồ xấu mua bán trực tuyến, thỏa hiệp với website hay máy chủ, phát động công lên hệ thống khác Chính thế, hệ thống máy tính cần phải bảo vệ khỏi cơng phản ứng cách thích hợp để tạo xử lý nhằm giảm thiểu thiệt hại tội phạm gây Quá trình xử lý cố, phục hồi chứng truy tìm dấu vết tội phạm liên quan đến ngành khoa học điều tra số (digital forensics) Phân tích điều tra mạng (Network Forensics) nhánh ngành khoa học điều tra số đề cập đến việc chặn bắt, ghi âm phân tích lưu lượng mạng cho mục đích điều tra ứng phó cố Có nhiều kỹ thuật công cụ hỗ trợ việc chặn bắt liệu lan truyền mạng để cơng hay ý đồ xấu bị điều tra, ngăn chặn Cơng cụ hỗ trợ phân tích gói tin điều tra mạng vấn đề quan trọng ln cấp thiết Để cho q trình điều tra mạng nhanh xác chương trình hỗ trợ cần phải xây dựng cách xác cung cấp nhiều thơng tin cần thiết cho người điều tra Vì lý trên, nhóm chọn đề tài “Theo dõi kẻ xâm nhập qua mạng” CHƯƠNG TÌM HIỂU TỔNG QUAN VỀ ĐIỀU TRA MẠNG 1.1 Giới thiệu điều tra số 1.1.1 Khái niệm Điều tra số (đơi cịn gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao quát toàn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống 1.1.2 Mục đích ứng dụng Trong thời đại công nghệ phát triển mạnh Song song với ngành khoa học khác, điều tra số có đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chun gia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định hành vi, nguồn gốc vi phạm xảy hết thống Về mặt kỹ thuật điều tra số như: Điều tra mạng, điều tra nhớ, điều tra thiết bị điện thoại giúp cho tổ chức xác định nhanh xảy làm ảnh hưởng tới hệ thống, qua xác định điểm yếu để khắc phục, kiện toàn Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm công nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Một điều tra số thường bao gồm giai đoạn: Tiếp nhận liệu ảnh hóa tang vật, sau tiến hành phân tích cuối báo cáo lại kết điều tra Việc tiếp nhận liệu đòi hỏi tạo copy xác sector hay gọi nhân điều tra, phương tiện truyền thơng, để đảm bảo tính tồn vẹn chứng thu có phải băm sử dụng SHA1 MD5, điều tra cần phải xác minh độ xác thu nhờ giá trị băm trước Trong giai đoạn phân tích, chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để hỗ trợ điều tra Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiếp báo cáo lại cho phận có trách nhiệm xử lý chứng thu 1.2 Các loại hình điều tra phổ biến 1.2.1 Điều tra máy tính Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kỹ thuật số như: Điều tra ghi (Registry Forensics) việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu ghi (Register) Điều tra nhớ (Memory Forensics) việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Để xác định hành vi xảy hệ thống, người ta thường sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ Điều tra phương tiện lưu trữ (Disk Forensics) việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khơi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích Mục đích điều tra máy tính nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại việc ý kiến thông tin thu từ thiết bị kỹ thuật số Mặc dù thường kết hợp với việc điều tra loạt tội phạm máy tính, điều tra máy tính sử dụng tố tụng dân Bằng chứng thu từ điều tra máy tính thường phải tuân theo nguyên tắc thông lệ chứng kỹ thuật số khác Nó sử dụng số trường hợp có hồ sơ cao cấp chấp nhận rộng rãi hệ thống tòa án Mỹ Châu Âu 1.2.2 Điều tra mạng Điều tra mạng (Network Forensics) nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Điều tra mạng hiểu điều tra số môi-trường-mạng Điều tra mạng lĩnh vực tương đối khoa học pháp y Sự phát triển ngày Internet đồng nghĩa với việc máy tính trở thành mạng lưới trung tâm liệu khả dụng chứng số nằm đĩa Điều tra mạng thực điều tra độc lập kết hợp với việc phân tích pháp y máy tính (computer forensics) thường sử dụng để phát mối liên kết thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội 1.2.3 Điều tra thiết bị di động Điều tra thiết bị di động (Mobile device Forensics) nhánh khoa học điều tra số liên quan đến việc thu hồi chứng kỹ thuật số liệu từ thiết bị di động Thiết bị di động không đề cập đến điện thoại di động mà thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Việc sử dụng điện thoại với mục đích phạm tội phát triển rộng rãi năm gần đây, nghiên cứu điều tra thiết bị di động lĩnh vực tương đối mới, có niên đại từ năm 2000 Sự gia tăng loại hình điện thoại di động thị trường (đặc biệt điện thoại thơng minh) địi hỏi nhu cầu giám định thiết bị mà đáp ứng kỹ thuật điều tra máy tính 2.1 CHƯƠNG THEO DÕI KẺ XÂM NHẬP TRÊN MẠNG Tìm hiểu hệ thống phát xâm nhập Kẻ xâm nhập vào hệ thống mạng ác mộng tồi tệ quản trị viên mạng Các khảo sát thực hầu hết tổ chức đáng tin cậy giới nói đến xâm nhập mạng, vấn đề mạng bị xâm phạm, mà vấn đề mạng bị vi phạm Một số trang web hệ thống mạng tiếng bị công khứ bao gồm Lầu năm góc, NATO, Nhà trắng, v.v Là nhà điều tra mạng, điều quan trọng phải hiểu cách thức vai trò việc phát ngăn chặn xâm nhập Có nhiều hệ thống phát hiện/ngăn chặn xâm nhập Nó hostbased IDS/IPS (Hệ thống phát xâm nhập máy chủ) network-based IDS/IPS (Hệ thống phát xâm nhập mạng) Các hệ thống phát xâm nhập máy chủ giám sát hoạt động máy chủ lưu trữ, hệ thống phát xâm nhập mạng giám sát hoạt động dựa việc thu thập phân tích lưu lượng mạng Chương tập trung vào việc phát hiện/ngăn chặn xâm nhập cách sử dụng hệ thống phát xâm nhập mạng (NIDS) Hệ thống ngăn chặn xâm nhập mạng (NIPS) Chúng ta đánh giá chức hệ thống so sánh khác biệt chúng 2.1.1.Tổng quan hệ thống phát xâm nhập Hệ thống phát xâm nhập mạng (NIDS) giống với hệ thống báo động cảnh báo sớm mà thấy phim vượt ngục Chúng kích hoạt kiện xác định trước (chẳng hạn lần đột nhập vào/ra) xác định dựa quy tắc thiết lập quản trị viên/điều tra viên Giống thiết bị báo trộm nhà, NIDS thiết kế để phát kẻ đột nhập đưa cảnh báo cho người ủy quyền Thơng thường, NIDS phát xâm nhập segment mạng mà theo dõi Điểm mấu chốt tác động tới hiệu vị trí đặt thiết bị NIDS xác phép giám sát tất lưu lượng truy cập mạng vào khỏi hệ thống Có cách đặt mạng để phản chiếu lưu lượng tin qua Điều thực để đảm bảo tất lưu lượng truy cập mạng qua thiết bị NIDS NIDS giám sát tất lưu lượng truy cập từ bên lẫn bên vào xác định xâm nhập cách phát mẫu bất thường lưu lượng mạng Điều thực cách xác định dấu hiệu đặc biệt xâm nhập công tìm thấy lưu lượng truy cập bị chặn Một hệ thống IDS điển hình hệ thống thụ động, nắm bắt lưu lượng truy cập, kiểm tra gói tin, so sánh nội dung với dấu hiệu xấu biết đưa cảnh báo tương ứng Điều mô tả hình ảnh sau đây: 10 Hình Thiết lập snort windows Hình Thiết lập snort windows Bước quan trọng cần thực sau chỉnh sửa tệp snort.conf, nơi chúng tơi định đường dẫn thích hợp cho SNORT để tìm hướng dẫn: 20 Hình Thiết lập snort windows Sử dụng trình chỉnh sửa tệp văn Notepad (dành cho Windows) hay nano cho Linux sử dụng để chỉnh sửa tệp snort.conf: Hình Thiết lập snort windows Hình 10 Thiết lập snort windows SNORT cấu hình để chạy ba chế độ: 21 ● Chế độ sniffer ● Chế độ ghi nhật ký gói ● Chế độ phát / ngăn chặn xâm nhập mạng Chế độ sniffer Chế độ sniffer đọc gói hiển thị chúng chế độ giao diện console Để bắt đầu, sử dụng lệnh sau: /snort –v Điều chạy SNORT chế độ verbose, hiển thị IP, lấy tiêu đề gói TCP /IP/UDP/ICMP in chúng hình Trong v hiển thị chi tiết tiêu đề gói, chúng tơi cảm thấy cần phải xem nội dung gói Để xem điều này, cần gõ lệnh sau: snort –vd Để biết chi tiết với tiêu đề lớp liên kết liệu mở rộng, sử dụng lệnh sau: snort –vde Sau đầu kết cho lệnh trước: Hình 11 Kết câu lệnh Chế độ ghi nhật ký gói 22 Chế độ logger gói tương tự chế độ sniffer, ngoại trừ việc ghi gói vào đĩa Để cho phép thực điều này, cần thiết lập thư mục chụp, SNORT lưu trữ gói bắt Theo mặc định, cài đặt SNORT tạo thư mục nhật ký thư mục snort Chúng tơi sử dụng thư mục cho mục đích lưu trữ gói chụp Lệnh cho việc sau: /snort –vde –l /log Trong trường hợp này, yêu cầu SNORT nắm bắt tiêu đề, gói thơng tin lớp liên kết liệu từ tất gói lưu trữ chúng thư mục định định dạng nhật ký Để cho phép ghi nhật ký liên quan đến mạng gia đình chúng tơi, chúng tơi định SNORT mạng gia đình cách sử dụng phạm vi dải địa IP mạng, ví dụ: 192.168.1.0/24 Tuy nhiên, cần phải xem phân tích gói sau trình thám thính khác Wireshark, cần thực việc chụp đăng nhập chế độ nhị phân Để làm điều này, sử dụng lệnh sau: /snort –l /log –b SNORT có khả đọc lại gói cách sử dụng chuyển đổi, điều đặt chế độ phát lại Dưới tệp nhật ký mẫu tạo tùy chọn đầu tiên: Hình 12 Kết câu lệnh Chế độ phát / ngăn chặn xâm nhập mạng 23 Chìa khóa cho việc sử dụng hiệu SNORT cho mục đích phát xâm nhập ngăn chặn xâm nhập tệp cấu hình SNORT thường gọi tệp snort.conf Lệnh bắt đầu nhanh chế độ NIDS sau: Hình 13 Kết câu lệnh SNORT chạy ba chế độ khác nhau: ● Thụ động: Đây chế độ mặc định SNORT hoạt động NIDS chế độ Đây gọi chế độ TAP Các luật drop không sử dụng Nội tuyến: Đây chế độ hoạt động SNORT hoạt động NIPS vai trò Điều cho phép luật drop kích hoạt ● Kiểm tra nội tuyến: Chế độ mô chế độ nội tuyến SNORT, cho phép đánh giá hành vi nội tuyến mà không ảnh hưởng đến lưu lượng hiệu suất Điều đặc biệt thực SNORT nằm quy tắc Dựa quy tắc, SNORT cấu hình để đưa cảnh báo thực hành động cụ thể Cảnh báo dạng sau: ● Kết dạng hình console hình có giao diện 24 ● Kết cho tệp nhật ký ● Kết cho sở liệu SQL ● Kết dạng nhị phân để sử dụng với trình thám thính khác ● E-mail cho quản trị viên Các quy tắc SNORT chia thành hai phần logic Tùy chọn luật tiêu đề luật: ● Tiêu đề luật bao gồm địa IP hành động, giao thức, nguồn đích thơng tin mạng thơng tin cổng nguồn đích ● Phần tùy chọn luật chứa thông tin thông báo cảnh báo sở phần gói cần kiểm tra để xác định xem có nên thực hành động theo luật không Các tùy chọn hành động luật sau: ⮚ Alert: Điều tạo cảnh báo dựa phương pháp chọn sau ghi nhật ký gói ⮚ Drop: Điều chặn ghi nhật ký gói ⮚ Pass: Cái bỏ qua gói ⮚ Log: Đây ghi nhật ký gói ⮚ Sdrop: Cái chặn gói khơng ghi nhật ký ⮚ Reject: Điều chặn ghi nhật ký gói, sau gửi thiết lập lại TCP cho giao thức TCP thông báo truy cập cổng ICMP giao thức UDP ⮚ Active: Điều gửi cảnh báo, sau bật chế độ động ⮚ Dynamic: Điều khơng hoạt động kích hoạt quy tắc kích hoạt sau hoạt động quy tắc nhật ký Chúng ta xác định loại quy tắc riêng liên kết nhiều plugin đầu cho chúng SNORT phân tích giao thức TCP, UDP, ICMP IP Làm cho quy tắc minh họa tốt ví dụ Hãy để Giả sử muốn cảnh báo cho quản trị viên tất nỗ lực kẻ xâm nhập để telnet (Cổng 23) vào mạng 25 Vì lợi ích thảo luận chúng tơi, để nói mạng gia đình chúng tơi có dải IP từ 192.168.1.0 đến 255 Trong trường hợp vậy, viết quy tắc sau: alert tcp any any -> 192.168.1.0/24 23 Điều có nghĩa nỗ lực từ mạng cổng để telnet vào mạng gia đình 192.168.1.0/24 tạo cảnh báo xâm nhập cho quản trị viên mạng Điều cho thấy kẻ xâm nhập cố gắng telnet vào mạng chúng tơi Tuy nhiên, chúng tơi muốn cảnh báo dài dịng chút giải thích nỗ lực kẻ xâm nhập ngôn ngữ đơn giản, sử dụng phần tùy chọn quy tắc thêm số thông tin bổ sung, sau: alert tcp any any -> 192.168.1.0/24 23 (msg:"Intruder Alert – Telnet used"; flags:A+;classtype:policy-violation;sid:100001;rev:1;) Trong trường hợp này, thông báo Intruder Alert - Telnet used coi phần cảnh báo Hãy xem ví dụ khác Chúng tơi có lý để tin người trong tổ chức dành thời gian tìm kiếm tài liệu tục tĩu Mục tiêu trường hợp cảnh báo cho quản trị viên tất nỗ lực sử dụng mạng cổng 80 với tìm kiếm từ khóa, khiêu dâm Như biết, HTTP sử dụng cổng 80 Do đó, chúng tơi tìm kiếm hoạt động mạng từ mạng đến mạng bên sử dụng cổng 80 có chứa từ khiêu dâm Để thực việc này, viết quy tắc sau: alert tcp $HOME_NET any -> any 80 (content:"porn"; sid:100002;rev:2;) Quy tắc đưa tất hoạt động tìm kiếm duyệt web với từ “porn” Như thấy, SNORT công cụ linh hoạt, cung cấp cho nhiều khả để xác định hoạt động người người mạng Tuy nhiên, để thực sử dụng hết mức, 26 điều quan trọng phải dành nhiều thời gian cho việc luyện tập với SNORT Toàn sách viết cách sử dụng quy tắc SNORT Internet có số hướng dẫn tuyệt vời việc sử dụng SNORT Là chuyên gia pháp y mạng tiềm Digital 007 thực hiện, khuyên bạn nên dành thêm thời gian cho công cụ tuyệt vời Hướng dẫn SNORT dạng PDF (có phân phối) tài nguyên tuyệt vời để nâng cao khả người dùng tài nguyên bạn xem xét KẾT LUẬN Trong chương này, bạn tìm hiểu hệ thống phát ngăn chặn xâm nhập mạng Chúng ta khám phá cách phương pháp có vai trò khác cách thức khác để thực nhiệm vụ riêng Chúng ta tiếp xúc với SNORT, công cụ linh hoạt sử dụng cho việc bắt gói phát ngăn chặn xâm nhập mạng Bạn học tầm quan trọng việc tạo quy tắc cho NIDS/NIPS khám phá cách sử dụng quy tắc để xác định kẻ xâm nhập mạng Trong chương tiếp theo, bạn tìm hiểu khía cạnh quan trọng điều tra mạng, kết nối liên kết nhật ký mạng Giống kẻ giết người để lại dấu vết bên cạn phận nạn nhân, kẻ xâm nhập để lại dấu vết hoạt động / ta nhật ký mạng Do đó, tầm quan trọng nhật ký mạng điều tra tối quan trọng Chương chuẩn bị từ quan điểm 27 CHƯƠNG THỰC NGHIỆM PHÁP HIỆN XÂM NHẬP MẠNG VỚI SNORT 3.1 Mơ hình thử nghiệm Hình Mơ hình thử nghiệm Mơi trường giả lập: Vmware Workstation ⮚ Kali Linux : 10.0.0.129 ⮚ Ubuntu snort 10.0.0.128 3.2 Cài đặt snort 3.2.1 Chuẩn bị - Bạn chuẩn bị máy chủ cài đặt hệ điều hành Ubuntu x64 Thực update hệ thống apt update && apt dist-upgrade –y - Bắt đầu thực cài đặt trước gói mà Snort cần để chạy: ⮚ pcap ⮚ PCRE ⮚ Libdnet ⮚ DAQ apt install -y build-essential apt install -y libpcap-dev libpcre3-dev libdumbnet-dev apt install -y bison flex - Tạo thư mục chứa toàn source code cài đặt cài đặt DAQ mkdir -p ~/snort_src 28 cd ~/snort_src wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz tar -xzvf daq-2.0.6.tar.gz cd daq-2.0.6 /configure make make install Khi cài đặt có số warning việc cài đặt diễn bình thường, ko vấn đề 3.2.2 Cài đặt Snort - Cài đặt thêm số lib cho Snort apt install -y zlib1g-dev liblzma-dev openssl libssl-dev libnghttp2-dev - Cài đặt snort cd ~/snort_src wget https://www.snort.org/downloads/snort/snort-2.9.11.1.tar.gz tar -xzvf snort-2.9.11.1.tar.gz cd snort-2.9.11.1 /configure enable-sourcefire make make install - Chạy lệnh sau để cập nhật thư viện chia sẻ: ldconfig - Đưa liên kết thư viện Snort vào /usr/sbin ln -s /usr/local/bin/snort /usr/sbin/snort - Kiểm tra lại version Snort sau cài xong snort –V 3.2.3 Cấu hình Snort chạy NIDS mode Sử dụng user khác root để chạy Snort ⮚ Tạo user group snort groupadd snort 29 useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort ⮚ Tạo thư mục Snort mkdir /etc/snort mkdir /etc/snort/rules mkdir /etc/snort/rules/iplists mkdir /etc/snort/preproc_rules mkdir /usr/local/lib/snort_dynamicrules mkdir /etc/snort/so_rules ⮚ Tạo file để lưu trữ rule danh sách IP touch /etc/snort/rules/iplists/black_list.rules touch /etc/snort/rules/iplists/white_list.rules touch /etc/snort/rules/local.rules touch /etc/snort/sid-msg.map ⮚ Tạo thư mục lưu trữ log mkdir /var/log/snort mkdir /var/log/snort/archived_logs ⮚ Phân quyền chmod -R 5775 /etc/snort chmod -R 5775 /var/log/snort chmod -R 5775 /var/log/snort/archived_logs chmod -R 5775 /etc/snort/so_rules chmod -R 5775 /usr/local/lib/snort_dynamicrules ⮚ Chuyển quyền chown -R snort:snort /etc/snort chown -R snort:snort /var/log/snort chown -R snort:snort /usr/local/lib/snort_dynamicrules - Snort cần vài file cấu hình, ta sử dụng file có sẵn source cd ~/snort_src/snort-2.9.11.1/etc/ cp *.conf* /etc/snort cp *.map /etc/snort 30 cp *.dtd /etc/snort cd ~/snort_src/snort-2.9.11.1/src/dynamic- preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/ cp * /usr/local/lib/snort_dynamicpreprocessor - Tới đây, Snort cấu hình xong, ta chỉnh lại số thông số file /etc/snort/snort.conf trước chạy sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/ " /etc/snort/snort.conf - Sửa thủ công số thông số khác cách sử dụng lệnh vim /etc/snort/snort.conf # LINE 45 thay internal network Nếu muốn dải mạng external nên dùng !$HOME_NET ipvar HOME_NET 10.0.0.0/24 # LINE 104 var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules var WHITE_LIST_PATH /etc/snort/rules/iplists var BLACK_LIST_PATH /etc/snort/rules/iplists # Sử dụng file local.rules dịng 546 ta bỏ dấu # include $RULE_PATH/local.rules - Sau cấu hình xong, ta verify lại file lần lệnh: sudo snort -T -i eth0 -c /etc/snort/snort.conf 3.3 Thiết lập luật - Viết rule đơn giản để test Snort Detection ta mở file /etc/snort/rules/local.rules thêm dòng sau alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1; sid:10000001; rev:001; classtype:icmp-event;) - Tiếp tục thêm dòng cấu hình sau vào rule /etc/snort/sid-msg.map để bật trigger cảnh báo 31 || 10000001 || 001 || icmp-event || || ICMP Test detected || url,tools.ietf.org/html/rfc792 - Chạy lệnh sau để chắn cấu hình đúng: snort -T -c /etc/snort/snort.conf -i eth0 Một số tham số lệnh chạy: ⮚ A console ⮚ q ⮚ u snort ⮚ g snort ⮚ c /etc/snort/snort.conf ⮚ i eth0 - Thực chạy lệnh sau để kiểm tra: /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 - Đứng máy khác ping tới interface Snort bắt gói có log tương tự sau: Hình Kết thực nghiệm - Tiến hành ping tới IP eth0 có log alert xuất hình console Nếu bạn ctrl-c để dừng Snort, thông tin lưu vào thư mục /var/log/snort với tên snort.log.nnnnnn (số khác) KẾT LUẬN Qua trình thực hiện, nhóm nhận thấy hệ thống mạng gặp nhiều vấn đề bảo mật Việc triển khai phần mềm Snort phần mềm mã nguồn mở với khả phát ngăn chặn xâm nhập, giúp hệ thống mạng 32 an toàn, tăng hiệu xuất hoạt động, đảm bảo công việc tiết kiệm chi phí Với hệ thống phát ngăn chặn xâm nhập làm sở tham khảo ứng dụng thực tế cho nhà quản trị mạng Hệ thống phát ngăn chặn xâm nhập mạng (NIDS/NIPS) xuất sau đóng vai trị khơng phần quan trọng NIDS giúp người khám phá, phân tích nguy cơng Từ người ta vạch phương án phịng chống Ở góc độ đó, lần tìm thủ phạm gây công Một tổ chức lớn thiếu NIDS/NIPS Tuy đạt yêu cầu đặt kết khiêm tốn hạn chế tài liệu, thời gian yêu cầu phần cứng máy tính Trong thời gian tới, có điều kiện, nhóm cố gắng phát triển thêm số nội dung tích hợp với cơng cụ quản lý khác, lưu trữ liệu log sang sở liệu để phục vụ q trình phân tích tốt DANH MỤC TÀI LIỆU THAM KHẢO [1 S Datt, "Learning Network Forensics" [2 P Q Tuyến, "TÌM HIỂU HỆ THỐNG PHÁT HIỆN CẢNH BÁO" ] ] 33 [3 ] ] ] ] [Online] Available: https://viblo.asia/p/phuong-phap-trien-khai-hethong-phat-hien-xam-nhap-snort-aWj53pMYK6m [4 [Online] Available: https://upcloud.com/community/tutorials/installsnort-ubuntu/ [5 [Online] Available: http://ipmac.vn/technology-corner/bao-mat-hethong-voi-he-thong-idsips-phan-1 [6 [Online] Available: https://caythongnho.wordpress.com/2018/02/09/firewall-va-ids-ips/ 34 ... /usr/local/bin /snort /usr/sbin /snort - Kiểm tra lại version Snort sau cài xong snort –V 3.2.3 Cấu hình Snort chạy NIDS mode Sử dụng user khác root để chạy Snort ⮚ Tạo user group snort groupadd snort 29... điều tra Vì lý trên, nhóm chọn đề tài “Theo dõi kẻ xâm nhập qua mạng? ?? CHƯƠNG TÌM HIỂU TỔNG QUAN VỀ ĐIỀU TRA MẠNG 1.1 Giới thiệu điều tra số 1.1.1 Khái niệm Điều tra số (đơi cịn gọi Khoa học điều. .. chặn bắt liệu lan truyền mạng để công hay ý đồ xấu bị điều tra, ngăn chặn Cơng cụ hỗ trợ phân tích gói tin điều tra mạng vấn đề quan trọng cấp thiết Để cho trình điều tra mạng nhanh xác chương trình