Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐINH TIẾN HIỆU HỆ THỐNG PHÁT HIỆN XÂM NHẬP LUẬN VĂN THẠC SỸ KHOA HỌC CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ VIỄN THÔNG Người hướng dẫn: PGS TS Nguyễn Thị Việt Hương Hà nội – năm 2012 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng MỤC LỤC LỜI NĨI ĐẦU CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu chung an ninh mạng 1.1.1 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ 1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng 1.1.3 Xác định mối đe dọa đến an ninh mạng 1.1.4 Xác định lỗ hổng hệ thống (Vulnerable) nguy (Risk) 1.1.5 Nhận dạng hiểm họa 1.2 Một số phương thức cơng mạng máy tính phòng chống 10 1.2.1 Các phương pháp xâm nhập hệ thống 12 1.2.2 Các phương pháp phát ngăn ngừa xâm nhập 14 CHƯƠNG 2: MƠ HÌNH AN NINH MẠNG VÀ MỘT SỐ CƠNG NGHỆ BẢO MẬT 18 2.1 Mô hình an ninh mạng 18 2.1.1 Quy trình xây dựng hệ thống thơng tin an tồn 18 2.1.2 Xây dựng mơ hình an ninh mạng 19 2.2 Một số phương pháp bảo mật 21 2.2.1 Phương pháp mã hoá 22 2.2.2 Chứng thực người dùng 22 2.2.3 Bảo mật máy trạm 24 2.3 MỘT SỐ CÔNG NGHỆ BẢO MẬT 25 2.3.1 Bảo mật VPN (Virtual Private Network) 25 2.3.2 Tường lửa (Firewall) 26 2.3.3 Bảo mật IDS (Hệ thống Phát xâm nhập) 28 2.3.4 Kết luận 29 CHƯƠNG III: TỔNG QUAN HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 32 3.1 Giới thiệu hệ thống phát xâm nhập IDS 32 3.1.1 Khái niệm hệ thống phát xâm nhập IDS 32 3.1.2 Cơ chế hoạt động IDS 33 Học viên: Đinh Tiến Hiệu i Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng 3.1.2.1 Phân tích gói tin 33 3.1.2.2 Phát xâm nhập 35 3.1.2.3 Phản ứng 37 3.2 Phân loại IDS 38 3.2.1 Host- Based Intrusion Detection System (HIDS) 38 3.2.2 Network- Based Intrusion Detection Systems (NIDS) 40 3.2.3 Application- Based Intrusion Detection (AIDS) 43 CHƯƠNG 4: MỘT SỐ CÔNG NGHỆ IDS VÀ THỰC NGHIỆM 44 4.1 Giới thiệu số công nghệ IDS 44 4.1.1 Hệ thống phát xâm nhập mềm 44 4.1.2 Hệ thống phát xâm nhập cứng 45 4.2 Lựa chọn công nghệ thực nghiệm 48 4.2.1 Các thành phần Snort 48 4.2.2 Các chế độ làm việc Snort 53 Network sniffer mode 53 Packet Logger mode 54 Network instrusion detection mode 55 4.2.3 Các option việc sử dụng Snort 58 4.2.4 Cập nhật tạo rule Snort 63 4.3 Triển khai hệ thống phát xâm nhập mềm (snort) 89 4.3.1 Mơ hình triển khai thực nghiệm 89 4.3.2 Cài đặt, cấu hình Snort phần mềm hỗ trợ 90 4.3.2.1 Cài đặt Snort 90 4.3.3 Kết ghi nhận Snort thực công xâm nhập 104 KẾT LUẬN 107 TÀI LIỆU THAM KHẢO 109 Học viên: Đinh Tiến Hiệu ii Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng DANH MỤC HÌNH VẼ Hình – 1: Mơ hình an ninh mạng 20 Hình 2-2: Quy trình mã hóa 22 Hình 2-3: Chứng thực user password 23 CHAP (Challenge Hanshake Authentication Protocol) 23 Hình 2-4: Hoạt động CHAP 23 Hình 2- 5: Mã hóa Kerberos 24 Hình – 6: Mơ hình tổng qt firewall 26 Hình -7: Hệ thống chống xâm nhập IDS 29 Hình 3-1: Các thành phần hệ thống IDS 33 Hình 3-2: Cấu trúc tiêu đề gói tin ICMP 35 Hình 3-3: Mơ hình hệ thống HIDS 39 Hình 3-4: Mơ hình hệ thống NIDS 41 Hình 4-1: IPS PROVENTIA G200 IBM 46 Hình 4-2: Các thành phần Snort 49 Hình 4-3 : Snort’s preprocessor 50 Hình 4-4: Detection Engine 52 Hình 4-5: Các thành phần Alerting/logging 53 Hình 4-6: Mơ hình Snort-Inline 57 Hình 4-7: Mơ hình triển khai thực nghiệm 90 Hình 4-8: Mơ hình thực nghiệm mạng ảo 90 Hình 4-9: Cài đặt Snort 91 Hình 4-10: Kiểm tra hoạt động Snort 93 Hình 4-11: Snort chế độ sniffer 94 Hình 4-12: Báo cáo trình thực Sniffer 95 Hình 4-14: Thiết lập Snort chạy Service 99 Hình 4-16: Dùng Base để quản lý phân tích Alert 103 Hình 4-17: Qt thăm dị cổng máy cài Snort 104 Hình 4-18: Cảnh báo Snort ghi nhận bắn BASE 105 Học viên: Đinh Tiến Hiệu iii Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt IDS Intrusion Detection System IPS Intrusion Prevetion System HIDS Host-Based Intrusion Detection System System NIDS Network-Based Intrusion Detection Systems AIDS Application-Based Intrusion Detection System TCP/IP UDP User Datagram Protocol FTP File Transfer Protocol ICMP Internet Control Message Protocol 10 HTTP Hypertext Transfer Protocol 11 DNS Domain Name System 12 DoS Denial of Service 13 DDoS Distributed Denial of Service 14 VLAN Virtual Local Area Network 15 LAN Local Area Network 16 WAN Wide Area Network 17 CIDR Classless Inter-Domain Routing 18 RFC Requests For Comments 19 FDDI Fiber Distributed Data Interface STT Học viên: Đinh Tiến Hiệu Từ tiếng anh Transmission Control Protocol/Internet Protocol iv Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông DANH MỤC CÁC THUẬT NGỮ STT Thuật ngữ Ý nghĩa Inline mode Kiểm tra lưu thông mạng, có khả ngăn chặn thâm nhập trước đến mục tiêu Promiscuous mode (passive mode) Thụ động kiểm tra lưu thông mạng Signature engine Một engine hỗ trợ tín hiệu chia sẻ thuộc tính chung (tương tự giao thức) Meta-Event Generator Khả định nghĩa tín hiệu biến đổi dựa nhiều tín hiệu khác Atomic signature Một tín hiệu phát theo nội dung gói tin Flow-based signature Một tín hiệu phát dựa thơng tin chứa trình tự gói tin hệ thống (ví dụ gói tin kết nối TCP) Behavior-based signature Một tín hiệu phát có lưu thông bất thường từ người dùng thông thường Anomaly-based signature Một tín hiệu phát lưu thơng vượt cấu hình bình thường False negative Tình mà hệ thống phát không nhận biết thơng nhập có tín hiệu nhận biết hoạt động 10 False positive Tình người dùng bình thường gây báo động (khơng có hành vi đột nhập) 11 True negative Tình mà khơng phát sinh tín hiệu có lưu thơng bình thường mạng 12 True positive Tình báo động có đột nhập, cơng mạng 13 Deep-packet inspection Giải mã giao thức kiểm tra toàn gói tin luật dựa gói tin hoạt động 14 Event correlation Kết hợp với đa thông báo hay đa kiện với công đơn lẻ 15 Risk rating (RR) Một đánh giá đe dọa dựa nhiều nhà sản xuất mà không dựa tính nghiêm trọng cơng Học viên: Đinh Tiến Hiệu v Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng LỜI NĨI ĐẦU Với nhu cầu trao đổi thông tin ngày bắt buộc c n h â n c ũ n g n h c c quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thông tin vấn đề quan trọng hàng đầu thực kết nối Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,…gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu công không báo trước, số lượng vụ cơng tăng lên nhanh chóng phương pháp cơng liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải có biện pháp đảm bảo an ninh Xuất phát từ hiểm hoạ hữu mà ta thường xuyên phải đối mặt môi trường Internet em định chọn đề tài: Hệ thống phát xâm nhập với mục đích tìm hiểu ngun tắc hoạt động sở lý thuyết số kỹ thuật xử lý làm tảng xây dựng hệ thống phát xâm nhập Em xin trân thành cảm ơn hướng dẫn tận tình PGS.TS Nguyễn Thị Việt Hương Do trình độ hạn chế lĩnh vực An ninh mạng lĩnh vực nên Luận văn khơng tránh khỏi sai sót, em mong bảo thầy cô Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu chung an ninh mạng Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo mật có người phép nắm giữ thơng tin biết Khi ta chưa có thông tin, việc sử dụng hệ thống thông tin chưa phải phương tiện quản lý, điều hành vấn đề an tồn, bảo mật đơi bị xem thường Nhưng nhìn nhận tới mức độ quan trọng tính bền hệ thống giá trị đích thực thơng tin có có mức độ đánh giá an tồn bảo mật hệ thống thơng tin Để đảm bảo tính an tồn bảo mật cho hệ thống cần phải có phối hợp yếu tố phần cứng, phần mềm người 1.1.1 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ Để thấy tầm quan trọng việc đảm bảo an ninh mạng ta tìm hiểu tác động việc an ninh mạng từ đưa yếu tố cần bảo vệ: Tác hại việc không đảm bảo an ninh mạng - Làm tốn chi phí - Tốn thời gian - Ảnh hưởng đến tài nguyên hệ thống - Ảnh hưởng danh dự, uy tín - Mất hội kinh doanh Các yếu tố cần bảo vệ - Dữ liệu - Tài nguyên: người, hệ thống, đường truyền - Danh tiếng Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng 1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng Để đảm bảo an ninh cho mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng a Đánh giá phương diện vật lý An toàn thiết bị Các thiết bị sử dụng mạng cần đáp ứng u cầu sau: - Có thiết bị dự phịng nóng cho tình hỏng đột ngột Có khả thay nóng phần tồn phần (hot-plug, hot-swap) - Khả cập nhật, nâng cấp, bổ xung phần cứng phần mềm - Yêu cầu nguồn điện, có dự phịng tình đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv An tồn liệu - Có biện pháp lưu liệu cách định kỳ khơng định kỳ tình phát sinh - Có biện pháp lưu trữ liệu tập trung phân tán nhằm chia bớt rủi ro trường hợp đặc biệt cháy nổ, thiên tai, chiến tranh, vv b Đánh giá phương diện logic Đánh giá theo phương diện chia thành yếu tố sau: Tính bí mật, tin cậy (Condifidentislity) Là bảo vệ liệu truyền khỏi cơng bị động Có thể dùng vài mức bảo vệ để chống lại kiểu công Dịch vụ rộng bảo vệ liệu người sử dụng truyền hai người dùng khoảng thời gian Nếu kênh ảo thiết lập hai hệ thống, mức bảo vệ rộng ngăn chặn rò rỉ liệu truyền kênh Cấu trúc hẹp dịch vụ bao gồm việc bảo vệ tin riêng lẻ hay trường hợp cụ thể bên tin Khía cạnh khác tin bí mật Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông việc bảo vệ lưu lượng khỏi việc phân tích Điều làm cho kẻ công quan sát tần suất, độ dài nguồn đích đặc điểm khác lưu lượng phương tiện giao tiếp Tính xác thực (Authentication) Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy Trong trường hợp tin đơn lẻ, ví dụ tín hiệu báo động hay cảnh báo, chức dịch vụ ủy quyền đảm bảo bên nhận tin từ nguồn mà xác nhận Trong trường hợp tương tác xẩy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi chúng thực thể xác nhận Thứ hai, dịch vụ cần phải đảm bảo kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin khơng cho phép Tính tồn vẹn (Integrity) Cùng với tính bí mật, tồn vẹn áp dụng cho luồng tin, tin riêng biệt trường lựa chọn tin Một lần nữa, phương thức có ích dễ dàng bảo vệ toàn luồng liệu Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng liệu, đảm bảo tin nhận gửi khơng có trùng lặp, chèn, sửa, hoán vị tái sử dụng Việc hủy liệu bao gồm dịch vụ Vì vậy, dịch vụ tồn vẹn hướng kết nối phá hủy thay đổi luồng liệu từ chối liệu Mặt khác, dịch vụ tồn vẹn khơng kết nối, liên quan tới tin riêng lẻ, không quan tâm tới hoàn cảnh rộng nào, cung cấp bảo vệ chống lại sửa đổi tin Chúng ta phân biệt dịch vụ có khơng có phục hồi Bởi dịch vụ tồn vẹn liên quan tới công chủ động, quan tâm tới phát ngăn chặn Nếu vi phạm tồn vẹn phát hiện, phần dịch vụ đơn giản báo cáo vi phạm vài phần phần mềm ngăn chặn Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng Hình 4-12: Báo cáo trình thực Sniffer 4.3.2.2 Cài đặt phần mềm hỗ trợ Các phần mềm có gói phần mềm “AIO Software pack”, gói phần mềm chương trình cần thiết cho q trình cài đặt sau này, hỗ trợ cho việc chặn bắt phân tích gói tin quản lý sở liệu, lưu cảnh báo snort tạo ra, Phần cài đặt snort với sản phẩm kết hợp PHP, MySQL Apache giúp quản lý Snort giao diện web phức tạp Ngoài có số sản phẩm kèm khác Snort IDS Center Có thể download tồn gói chương trình địa chỉ: http://winsnort.com/index.php?module &cid=8&start=0 a Cài đặt cấu hình Apache Server Việc cài đặt apache giúp ta sử dụng Base nhằm mục đích quản lý phân tích alert Snort sinh Kích hoạt file cài đặt httpd-2.2.15-win32-x86-no_ssl.exe để cài đặt apache server Các thông tin hộp thoại mà phần mềm yêu cầu cần điền đầy đủ sau: - 'Network Domain': (localhost) Học viên: Đinh Tiến Hiệu 95 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông - 'Server Name': (localhost) -'Administrator Email': (admin@localhost) - Lựa chọn cài đặt theo chế độ Custom, thay đổi lựa chọn thư mục cài đặt thành: e:\winids\apache\ Hoàn thành cài đặt xong Apache server, system tray hệ thống xuất biểu tượng hoạt động Apache server, ta chuột phải vào biểu tượng lựa chọn “Open Apache Monitor” lựa chọn Stop dịch vụ Apache Di chuyển tới thư mục : e:\winids\apache\conf , mở file “httpd.conf” WordPad tìm tới dịng : Code: #LoadModule ssl_module modules/mod_ssl.so thay dòng : Code: LoadModule php5_module e:\winids\php\php5apache2_2.dll AddType application/x-httpd-php php PHPIniDir e:\winids\php Save lại thoát khỏi WordPad b Cài đặt cấu hình php Giải nén file php-5.2.13-Win32.zip vào thư mục: e:\winids\php Mở cửa sổ Dos command gõ lệnh: Code: copy e:\winids\php\libmysql.dll c:\windows\system32 thực thành công hình xuất thơng báo: file(s) copied Sau gõ lệnh: Code: copy e:\winids\php\php.ini-dist e:\winids\php\php.ini Di chuyển tới thư mục e:\winids\php, mở file php.ini WordPad tìm thay dòng tương ứng sau: Code: -Dòng: max_execution_time = 30 Thay bằng: max_execution_time = 60 -Dòng: display_errors = On Thaybằng: display_errors = Off Học viên: Đinh Tiến Hiệu 96 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng - Dịng: ;include_path = ".;c:\php\includes" Thay bằng: include_path = "e:\ winids\php\pear" -Dòng: extension_dir = "./" Thay bằng: extension_dir = "e:\winids\php\ext" -Dòng : ;extension=php_gd2.dll Thay bằng: extension=php_gd2.dll -Dòng: ;extension=php_mysql.dll Thay bằng: extension=php_mysql.dll -Dòng: ;session.save_path = "/tmp" Thay bằng: session.save_path = "c:\windows\temp" Save lại thoát khỏi WordPad Kiểm tra trình cài đặt Apache Server PHP Mở NodePad gõ lệnh: Code: sau save lại với tên là: test.php vào thư mục: e:\temp\ Mở Dos command gõ lệnh: Code: copy e:\temp\test.php e:\winids\apache\htdocs sau khỏi Dos Command Tại system tray chọn Open Apache Monitor retart lại Apache Server Sau retart xong Apache server mở trình duyệt web(có thể Firefox IE) gõ vào địa chỉ: http:\localhost\test.php Nếu hiển thị hình ảnh trình cài đặt Apache PHP thành công: Học viên: Đinh Tiến Hiệu 97 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chun nghành kỹ thuật Điện tử Viễn thơng Hình 4-13: Cài đặt Apache PHP Thoát khỏi Borrower Mở Dos Command gõ lệnh: Code: del e:\winids\apache\htdocs\test.php c Thiết lập Snort chạy service Ở cửa sổ Dos Command gõ lệnh chuyển tới thư mục e:\winids\snort\bin : Code: cd e:\winids\snort\bin Sau gõ tiếp lệnh: Code: snort /SERVICE /INSTALL -c e:\winids\snort\etc\snort.conf -l e:\winids\snort\log -K ascii –i1 (với số NIC-Network Interface Card mà sử dụng để kiểm tra cài đặt để snort hoạt động NIC đó) Khi thực thành cơng hình xuất thơng báo: [SNORT_SERVICE] Successfully added the Snort service to the Services database Sau nhận thông báo thành công, ta vào Control Panel\System and Security\Administrative Tools\Services chọn service Snort đặt “Startup Type” chế độ Automatic sau Apply Học viên: Đinh Tiến Hiệu 98 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chun nghành kỹ thuật Điện tử Viễn thơng Hình 4-14: Thiết lập Snort chạy Service Hoàn tất khởi động lại hệ điều hành để lưu thay đổi d Cài đặt cấu hình MySQL Cài đặt MySQL server để tạo database Snort cho Snort lưu log đồng thời tạo user Snort có quyền CREATE, INSERT, SELECT, DELETE, UPDATE với database Snort Cài đặt Kích hoạt file cài đặt MySQL: mysql-essential-5.1.44-win32.exe lựa chọn chế độ Custom và: -Lựa chọn thư mục cài đặt là: e:\winids\mysql\ -Lựa chọn thư mục chứa datafile MySQL Server Datafiles là: e:\winids\mysql\datafiles\ Trong trình cài đặt lựa chọn textbox: “Configure the MySQL Server Now” Uncheck textbox: “Register the MySQL Server now” Ở bước lựa chọn chế độ “Standard Configuration” “Include Bin Directory in Windows PATH” bước uncheck “Modify Security Settings” Cuối lựa chọn “Execute” hoàn thiện cài đặt Học viên: Đinh Tiến Hiệu 99 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông Tạo sở liệu cho WIDS Mở cửa sổ Dos command gõ lệnh: Code: mysql –u root sau thực lệnh truy nhập vào cửa sổ lệnh quản trị mysql, sau gõ tiếp lệnh: Code: drop database test; hình hiển thị dịng: Query OK Tiếp thực dòng lệnh sau: - Tạo sở liệu “snort”: create database snort; - Tạo sở liệu “archive”: create database archive; - Hiện thị danh sách sở liệu: show databases; Tạo bảng cho sở liệu Tạo bảng cho database: “snort”: Tại cửa sổ lệnh quản trị mysql gõ lệnh: Code: Kết nối tới sở liệu “snort” connect snort; source e:\winids\snort\schemas\create_mysql Tạo bảng cho “snort” Thực thành cơng hình xuất thơng báo: Query OK, rows affected Tạo bảng cho database “archive”: Code: Kết nối tới database “archive” connect archive; source e:\winids\snort\schemas\create_mysql Tạo bảng cho “archive” Thực thành công hình hiển thị thơng báo: Query OK, rows affected Để kiểm tra table tạo dùng lệnh: show tables; hình hiển thị tables tạo Tạo quyền quản lý xác thực users cho hệ thống IDS Tại cửa sổ lệnh Mysql gõ lệnh: Code: Học viên: Đinh Tiến Hiệu 100 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng set password for root@localhost = password('1234abcd'); Dịng lệnh có nghĩa là: tạo mật cho tài khoản root quản trị Mysql là: 1234abcd Thử trình tạo mật thành cơng hay chưa, ta khỏi cửa sổ lệnh Mysql lệnh: quit; Trong Dos command, mở cửa sổ đăng nhập tài khoản root MySQL lệnh: Code: mysql -u root –p để kết nối vào sở liệu , sau thực lệnh cửa sổ đăng nhập vào MySQL hiển thị, đăng nhập mật “1234abcd” vừa tạo trên, đăng nhập thành công ta trở lại với cửa sổ dòng lệnh MySQL Tiếp tới thực lệnh sau để tạo quyền databases vừa tạo với users: Code: grant INSERT,SELECT,UPDATE on snort.* to snort identified by 'l0gg3r'; grant INSERT,SELECT,UPDATE on snort.* to snort@localhost identified by 'l0gg3r'; grant INSERT,SELECT,UPDATE,DELETE,CREATE on snort.* to base identified by 'an@l1st'; grant INSERT,SELECT,UPDATE,DELETE,CREATE on snort.* to base@localhost identified by 'an@l1st'; grant INSERT,SELECT,UPDATE,DELETE,CREATE on archive.* to base identified by 'an@l1st'; grant INSERT,SELECT,UPDATE,DELETE,CREATE on archive.* to base@localhost identified by 'an@l1st'; Các lệnh để tạo quyền mật cho tài khoản tạo tương ứng Mỗi thực lệnh thành cơng hình hiển thị thơng báo: Query OK Tiếp đến gõ lệnh: use mysql; để hiển thị danh sách users sử dụng lệnh: select * from user; Học viên: Đinh Tiến Hiệu 101 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông sau thực lệnh query hình hiển thị danh sách user: 'root', 'snort', 'snort', 'base', and 'base' Ta thoát khỏi cửa sổ lệnh MySQL Dos command lệnh: quit; exit Di chuyển tới thư mục: e\winids\mysql mở file “my.ini” WordPad tìm tới dịng: sqlmode="STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBS TITUTION" thay : sql-mode="NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION" Save lại khỏi WordPad Sau restart lại hệ thống Windows Kiểm tra hoạt động Snort Mysql: Bật Task manager lên kiểm tra service Snort Mysql tab Processes xem có service: “snort.exe” “mysqld.exe” danh sách processes windows hoạt động không e Cài đặt công cụ phân tích quản lý Để đơn giản cho việc quản lý cấu hình ta cài đặt thêm vài cơng cụ Base để xem phân tích alert Snort sinh Dưới số hình minh họa: Học viên: Đinh Tiến Hiệu 102 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông Hình 4-15: Giao diện sử dụng Base Hình 4-16: Dùng Base để quản lý phân tích Alert Học viên: Đinh Tiến Hiệu 103 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông 4.3.3 Kết ghi nhận Snort thực công xâm nhập Tại máy có địa mạng: 192.168.1.11 thực cơng để ghi nhận hoạt động cảnh báo phát xâm nhập Snort: chạy Nmap, nhập địa máy Snort sever 192.168.1.10 để tiến hành thám Hình 4-17: Quét thăm dò cổng máy cài Snort Mở IE truy cập Snort: 192.168.1.10/base Cửa sổ thị thơng tin tóm tắt cảnh báo mà Snort bắt Học viên: Đinh Tiến Hiệu 104 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng Hình 4-18: Cảnh báo Snort ghi nhận bắn BASE Chọn Most recent 15 Unique Alerts xem 15 cảnh báo gần Chọn Most frequent Unique Alerts xem thông tin cảnh báo xảy nhiều Học viên: Đinh Tiến Hiệu 105 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông Source addres: Số lượng host tham gia công Trong trường hợp 1, chọn số Src IP address: địa máy thực hiệc thám 192.168.1.2 Học viên: Đinh Tiến Hiệu 106 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông KẾT LUẬN Thông qua kết nghiên cứu nguy đe dọa mạng điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày vấn đề cần thiết song khó khăn Sau hồn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết cơng mạng cách có hệ thống (hoặc cách toàn diện hơn), biện pháp bảo đảm an ninh mạng có hiệu cao hơn, với mục tiêu: • Tối ưu hịa hệ thống để tránh lỗi bảo mật mắc phải • Viết rule riêng để phát hình thức cơng Kết nghiên cứu khố luận giúp định hướng nghiên cứu sâu an ninh mạng môi trường hệ thống mạng khác sau Nghiên cứu triển khai hệ thống IDS/IPS, em nhận thức tình hình an ninh mạng yêu cầu cần thiết để thiết lập trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm công thâm nhập hệ thống Hiểu công nghệ giới sử dụng để ngăn chặn hiểm họa an ninh mạng nay, em cài đặt bước đầu sử dụng hệ thống phát xâm nhập Snort thời gian làm khóa luận Với vấn đề mới, em xác định khó khăn hướng giải triển khai hệ thống ngăn chặn thâm nhập hệ thống mạng Sau nghiên cứu tìm hiểu hệ thống phát hiện/ ngăn chặn xâm nhập, em nhận thấy Snort có khả ngăn chặn hầu hết cơng với trình độ hacker bình thường Nếu cấu hình tốt phần mềm linh động có khả ngăn chặn cơng tốt nhiều so với tường lửa đơn Do phần mềm mã nguồn mở nên người dùng dễ dàng cập nhật Rules thành viên khác chia sẻ Internet sửa lại “luật” cho phù hợp với Học viên: Đinh Tiến Hiệu 107 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng u cầu bảo mật hệ thống ln có khả cập nhật dấu hiệu cơng Ngồi ra, người quản trị hiểu biết sâu rộng cách thức công điểm yếu mạng họ thiết lập dấu hiệu riêng cho mạng mạng chắn khó bị thâm nhập trái phép Ngồi ta cấu hình để sử dụng kết hợp Snort với tường lửa hệ thống an ninh khác để tăng tính bảo mật hệ thống Việc Snort IDS Software có mặt hệ thống bảo mật điều cần thiết Snort sản phẩm mã nguồn mở mẫu hay rules nhà quản trị chia sẻ trao đổi với cách rõ ràng, điểm ưu cho Snort trở thành công cụ hàng đầu để phát xâm nhập, truy nhập trái phép Mặc dù cịn có số hạn chế việc tập mẫu hay rules chia sẻ trao đổi với internet điểm ưu việt điểm yếu tin tặc lợi dụng mẫu để tránh qua, né qua hệ thống phát xâm nhập dễ dàng Do nhà quản trị hệ thống cần xây dựng luật hay rules phù hợp với yêu cầu mục đích bảo mật thơng tin doanh nghiệp Vấn đề bảo mật an tồn thơng tin khơng vấn đề người, doanh nghiệp, tập đồn mà nhìn rộng vấn đề quốc gia, xã hội Việc bảo vệ, phát hiện, ngăn chặn hành động xâm nhập truy nhập đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất người tham gia vào mạng máy tính Internet Tuy nhiên, thời gian có hạn kiến thức thực tiễn cịn hạn chế nên em chưa thể tìm hiểu trình bày kỹ lưỡng, xác đáng vấn đề liên quan Đây phần nhỏ mà đề tài cung cấp bối cảnh an ninh an toàn Trên kiến thức em tìm hiểu, nghiên cứu dẫn, góp ý tận tình PGS.TS Nguyễn Thị Việt Hương Em chân thành cám ơn tất thầy, cô cho em kiến thức, giúp chúng em đóng góp phần nhỏ bé trí tuệ cho xã hội Em mong tiếp tục giúp đỡ, bảo thầy, để trang bị thêm kiến thức hoàn thiện đề tài mức độ cao Em xin chân thành cảm ơn! Học viên: Đinh Tiến Hiệu 108 Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông TÀI LIỆU THAM KHẢO Andrew R.Baker, Joel Esler (2007), Snort IDS and IPS toolkit Snort user manual 2.8.3 http://www.bellera.cat/josep/Snort2pfsense/ http://www.google.com.vn http://www.nhatnghe.com http://www.saobacdau-acad.vn http://www.Snort.org/ Học viên: Đinh Tiến Hiệu 109 Lớp CH ĐT1 – 2009 - MHV: CB090399 ... TỔNG QUAN HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 3.1 Giới thiệu hệ thống phát xâm nhập IDS 3.1.1 Khái niệm hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập IDS (Intrusion Detection System) hệ thống phần... xin giới thiệu số hệ thống phát xâm nhập hai hãng 4.1.1 Hệ thống phát xâm nhập mềm Snort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử... 29 CHƯƠNG III: TỔNG QUAN HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 32 3.1 Giới thiệu hệ thống phát xâm nhập IDS 32 3.1.1 Khái niệm hệ thống phát xâm nhập IDS 32 3.1.2 Cơ chế hoạt