1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu và xây dựng hệ thống phát hiện thâm nhập mạng (ids) cho hệ thống mạng trường đại học bách khoa tp hồ chí minh

189 22 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 189
Dung lượng 7,07 MB

Nội dung

ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA - NGÔ HÁN CHIÊU NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP HCM CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, THÁNG NĂM 2009 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH -Cán hướng dẫn khoa học: TS Lưu Thanh Trà Cán chấm nhận xét 1: PGS-TS Lê Tiến Thường Cán chấm nhận xét 2: TS Đặng Thành Tín Luận văn thạc sĩ bảo vệ HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 16 tháng 07 năm 2009 TRƯỜNG ĐH BÁCH KHOA TP HCM PHỊNG ĐÀO TẠO SĐH CỘNG HỒ Xà HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc TP HCM, ngày ……tháng ….năm 2009 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: NGÔ HÁN CHIÊU Ngày, tháng, năm sinh: 05/01/1979 Chuyên ngành: Kỹ thuật điện tử Phái: Nam Nơi sinh: Vĩnh Long MSHV: 01407330 I- TÊN ĐỀ TÀI: NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP HCM II- NHIỆM VỤ VÀ NỘI DUNG: Nhiệm vụ: - Nghiên cứu, xây dựng triển khai hệ thống phát xâm nhập mạng (IDS) cho hệ thống mạng Trường ĐHBK TP HCM sở sử dụng phần mềm mã nguồn mở Snort, nhằm nâng cao khả bảo mật an tồn thơng tin cho hệ thống mạng Trường - Kiểm chứng kết triển khai thực tế khả thực IDS Snort so với giải pháp hãng Nội dung: - Nghiên cứu Hệ thống IDS giải pháp IDS hãng giới, đánh giá ưu nhược điểm hệ thống IDS hãng Khảo sát việc ứng dụng hệ thống IDS thực tế hãng công ty lớn TP HCM - Nghiên cứu Snort, phân tích, đánh giá chức IDS Snort, So sách giải pháp IDS hãng Snort - Phân tích đánh giá hệ thống bảo mật mạng Trường ĐHBK TP HCM Chọn lựa giải pháp IDS cho hệ thống mạng Trường Trên sở thiết kế xây dựng hệ thống IDS hạ tầng mạng Trường ĐHBK TP HCM - Kiểm chứng kết triển khai Snort hệ thống mạng, so sánh với khả phát xâm nhập mạng trước (khi chưa triển khai IDS) III- NGÀY GIAO NHIỆM VỤ: 02/02/2009 IV- NGÀY HOÀN THÀNH NHIỆM VỤ: 03/07/2009 V- CÁN BỘ HƯỚNG DẪN: TS LƯU THANH TRÀ CÁN BỘ HƯỚNG DẪN CN BỘ MÔN QL CHUYÊN NGÀNH LỜI CÁM ƠN _ Tôi xin chân thành cám ơn: - Gia đình - Tiến sĩ Lưu Thanh Trà, cán hướng dẫn khoa học - Thầy cô Trường Đại học Bách khoa TP HCM - Phòng đào tạo sau đại học - Anh chị em Ban quản lý mạng Trường - Anh chị em Viện Khoa học Kỹ thuật Bưu điện sở - Phòng Viễn thơng Cơng viên Phần mềm Quang Trung - Phịng Công nghệ thông tin Tổng Công ty cấp nước Sài Gòn - Tổ tin học UBND Quận 1, Quận Sở Kế hoạch đầu tư TP HCM động viên, hỗ trợ giúp đỡ tơi hồn thành Luận văn tốt nghiệp ! LỜI CAM ĐOAN Tôi xin cam đoan: - Đây công trình nghiên cứu riêng tơi - Những nội dung luận văn thực hướng dẫn trực tiếp Tiến sĩ Lưu Thanh Trà - Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, xin chịu hoàn toàn trách nhiệm - Các số liệu, kết luận văn trung thực chưa cơng bố cơng trình khác Tác giả Luận văn NGƠ HÁN CHIÊU TĨM TẮT LUẬN VĂN THẠC SĨ Vấn đề an toàn, an ninh mạng không ngày trở nên quan trọng với phát triển công nghệ thông tin Ngày nay, tường lửa (Firewall) ngăn chặn công huỷ diệt tin tặc Vì vậy, tổ chức, doanh nghiệp phải cần tới hệ thống an ninh mạng toàn diện khơng khắc phục cố, mà cịn chủ động phịng chống cách tự động thơng minh Một hệ thống an ninh mạng toàn diện bao gồm thành phần: hệ thống tường lửa nhiều lớp, hệ thống lọc nội dung, hệ thống chống virus, hệ thống phát phịng chống xâm nhập mạng (IDS/IPS) Trong đó, hệ thống IDS/IPS đóng vai trị quan trọng việc phát phòng chống xâm nhập, công làm ảnh hưởng đến hệ thống mạng Hiện nay, để triển khai hệ thống IDS/IPS, có hai giải pháp: thứ sử dụng thiết bị phần cứng hãng, thứ hai sử dụng phần mềm (bao gồm phần mềm có quyền phần mềm mã nguồn mở) Snort phần mềm IDS/IPS Đây phần mềm mã nguồn mở miễn phí sử dụng phổ biến giới Snort dùng thiết bị nghe (sniffer), ghi nhận gói tin (packet logger) hệ thống mạng tương thích với nhiều sở liệu Oracle, Microsoft SQL Server Tại Việt Nam, việc sử dụng phần mềm Snort làm Hệ thống IDS/IPS chưa phổ biến rộng rãi tổ chức, doanh nghiệp Hiện tại, dừng lại góc độ nghiên cứu khoa học mô máy ảo Trường Đại học Bách khoa TP HCM đơn vị đầu nước việc nghiên cứu, ứng dụng triển khai cơng nghệ vào thực tế Vì vậy, đề tài luận văn thực nghiên cứu triển khai hệ thống IDS hệ thống mạng Trường cách sử dụng phần mềm Snort, mặt đáp ứng nhu cầu an ninh bảo mật cho hệ thống mạng Trường nay, mặt khác để đánh giá so sánh hiệu hoạt động Snort với thiết bị phần cứng hãng Từ làm sở khoa học cho việc hợp tác chuyển giao công nghệ hệ thống IDS- Snort Trường đơn vị có nhu cầu Để triển khai hệ thống IDS-Snort, luận văn nêu lên nghiên cứu hệ thống IDS, giải pháp IDS hãng, tìm hiểu việc sử dụng hệ thống IDS đơn vị TP HCM Nghiên cứu Snort, cấu trúc luật phương pháp cài đặt, cấu hình Snort trình bày luận văn Dựa nội dung nghiên cứu hệ thống IDS, Snort, đề xuất giải pháp triển khai hệ thống IDS cho Trường lựa chọn giải pháp triển khai tối ưu Kết triển khai thực nghiệm cho thấy hệ thống IDS-Snort cài đặt hệ thống mạng Trường có khả giám sát, phát cảnh báo tất dấu hiệu công, luồng liệu nguy hiểm đe doạ đến an tồn thơng tin Web-Server, cho phép người quản trị mạng giám sát tình trạng hệ thống IDS thông qua giao diện Web; cập nhật luật, tuỳ biến luật theo nhu cầu, sách bảo mật Trường Trong tương lai, xây dựng phát triển hệ thống phát xâm nhập IDS-Snort thành hệ thống phát phòng chống xâm nhập (IPS-Snort) cách kết hợp với Firewall Router Nghiên cứu triển khai SNORT-Inline SNORT-SAM làm hệ thống IPS cho Trường./ ABSTRACT With the development of information technology, the problems of network safety and security is not new but increasingly become more important Today, a firewall can not prevent the destructive attacks of hackers Therefore, the organizations and enterprises need a network security system that is not only completely overcome the problems, but also can prevent the intrusion automatically and intelligently A comprehensive and modern network security system includes following components: the system of multiple firewalls, the network content filtering systems, and the IDS/IPS sytem where the IDS/IPS system plays an important role in detecting and preventing the intrusions and attacks to the network system Currently, there are two solutions to implement the IDS/IPS system: the first is to use hardware devices of the manufacturer, the second is to use the software (including copyright software and open source software) Snort is an IDS/IPS software This is a free open source software used widely in the whole world Snort can be used as a sniffer, packet logger in the network system and can be compatible with multiple databases such as Oracle, Microsoft SQL Server In Vietnam, using Snort software as an IDS/IPS system is not public in organizations and enterprises Currently, Snort is only used in the scientific research and simulation on the virtual machine Ho Chi Minh City University of Technology is one of the first organisations in the research, application and implementation of new technology into practice Therefore, the subject of the essay is research and deployment the IDS system in the university's network using Snort software with two main targets One side is to meet the current network security requirements of the university, on the other is to evaluate and compare the performance of Snort with hardware devices of the manufacturer From these results, we can use them as a scientific background for cooperation and technology transfer of the IDS-Snort system between the University and our partner To implement the IDS-Snort system, in this essay we study the IDS system, the IDS solutions of the manufacturers and survey the using IDS system in some organizations in Ho Chi Minh City; the Snort system, its rule structure, installation and configuration methods are also presented in the essay Based on the researches of IDS and Snort system, I proposed some proposals to deploy the IDS system for the University’s network and choosed the best one to implement in real network system Results in practice shows that the IDS-Snort installed on the network system has the capability to monitor, detect and alert all the signatures of an attack, the dangerous threats for the safety of information in Web-Server; allow the network administrators can monitor the IDS system status through the web interface; can update rules, optimize rules due to the requirements, security policies of the University In the future, we can upgrade and develop the IDS-Snort system into the Intrusion Prevention System (IPS-Snort) through the combination between Snort with the Firewall and Router, research and deploy the SNORT-Inline and SNORT-SAM as an IPS system for the University./ MỤC LỤC _ Chương 1.  TỔNG QUAN 1  1.1.  Cơ sở nghiên cứu mục đích Luận văn 1  1.2.  Tình hình giới nước liên quan đến lĩnh vực nghiên cứu Luận văn 3  1.2.1.  Hệ thống IDS 3  1.2.2.  SNORT: 3  Chương 2.  HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG - IDS (Intrusion Detection System) 5  2.1.  Vấn đề quản trị bảo mật hình thức cơng mạng 5  2.1.1.  Quản trị bảo mật 5  2.1.2.  Các hình thức cơng mạng 8  2.1.3.  Nhận xét: 12  2.2.  Tổng quan Hệ thống IDS 12  2.2.1.  Khái niệm 12  2.2.2.  Nguyên tắc xây dựng hệ thống IDS .13  2.2.3.  Quá trình xử lý hệ thống IDS 14  2.2.4.  Nguyên tắc phân loại công xâm nhập .15  2.3.  Nguyên lý hoạt động Hệ thống IDS 18  2.4.  Phân loại IDS .19  2.4.1.  Theo tiêu chí phương pháp phát 19  2.4.2.  Theo tiêu chí mơi trường vận hành IDS .21  2.4.3.  Theo tiêu chí phản ứng IDS 21  2.5.  Mơ hình hoạt động Hệ thống IDS 21  2.5.1.  Network-Based IDS (NIDS) 21  2.5.2.  Host Based IDS (HIDS) 23  2.5.3.  Hệ thống phát xâm nhập phân tán (DIDS) 25  2.5.4.  Stack-based IDS 26  2.6.  Các phương pháp phát xâm nhập IDS 27  2.6.1.  Phương pháp bắt gói tin (Packet Sniffing) 27  2.6.2.  Phân tích nhật ký (Log Parsing) 27  2.6.3.  Giám sát gọi hệ thống (System Call Monitoring) 27  2.6.4.  Kiểm tra tệp hệ thống (Filesystem Watching) 27  2.7.  Các phương thức xử lý thông tin Hệ thống IDS 27  2.7.1.  Xử lý kiểm định 28  2.7.2.  Xử lý trực tuyến (Online) 29  2.7.3.  Real-time IDS 31  2.8.  Kết luận 32  Chương 3.  GIẢI PHÁP TRIỂN KHAI PHẦN CỨNG HỆ THỐNG IDS VÀ ỨNG DỤNG HỆ THỐNG IDS TẠI CÁC ĐƠN VỊ .33  3.1.  Nghiên cứu giải pháp IDS hãng giới 33  3.1.1.  Giải pháp Cisco 33  3.1.2.  Giải pháp ISS 39  3.1.3.  Giải pháp Nortel: Threat Protection System (TPS) 41  3.1.4.  Giải pháp Checkpoint 44  3.1.5.  Giải pháp McAfee .45  3.1.6.  Giải pháp Juniper 49  3.2.  So sánh giải pháp IDS hãng Snort .52  3.3.  Khảo sát việc ứng dụng hệ thống IDS đơn vị địa bàn TP HCM .53  3.3.1.  Công ty phát triển công viên phần mềm Quang Trung (QTSC) 53  3.3.2.  Tổng Cơng ty Cấp nước Sài Gịn 55  3.3.3.  UBND Quận UBND Quận .56  3.3.4.  Sở Kế hoạch Đầu Tư TP HCM 58  3.3.5.  Nhận xét 59  3.4.  Kết luận 60  Chương 4.  SNORT – PHẦN MỀM IDS Mà NGUỒN MỞ .61  4.1.  Giới thiệu SNORT 61  4.1.1.  Snort - Giải pháp IDS/IPS mã nguồn mở 61  4.1.2.  Các thành phần Snort 61  4.1.3.  Các chế độ hoạt động 62  4.1.4.  Các chế độ cảnh báo 63  4.1.5.  Các mơ hình triển khai Snort .64  4.2.  Cài đặt 66  4.2.1.  Yêu cầu hệ thống .66  4.2.2.  Cài đặt Snort 67  4.2.3.  Quản lý Snort qua giao diện Web .69  4.3.  Cấu hình .73  4.3.1.  Khởi tạo biến .74  4.3.2.  Decoder (bộ giải mã) 75  4.3.3.  Config Directive 76  4.3.4.  Cấu hình động thư viện nạp 77  4.3.5.  Cấu hình Preprocessor (Bộ tiền xử lý) 77  4.3.6.  Cấu hình Plugin-Output 77  4.3.7.  Tham chiếu file khác (Include Files) .77  4.4.  Phân tích hoạt động tiền xử lý (Preprocessor) 78  4.4.1.  Frag2 79  4.4.2.  Frag3 80  4.4.3.  Stream4 81  4.4.4.  Stream5 84  4.4.5.  sfPortscan 84  4.4.6.  HTTP Inspect 86  4.4.7.  FTP/Telnet Preprocessor 87  4.5.  Cấu trúc luật (Rule) triển khai luật Snort 90  4.5.1.  Cấu trúc rule 90  4.5.2.  Rule Headers .91  4.5.3.  Các tùy chọn phổ biến Rules 92  4.5.4.  Payload Detection Rules Options 94  4.5.5.  Non-Payload Detection Rules Options 102  4.5.6.  Port-Detection Rules Options 108  4.5.7.  Event Thresholding 111  4.5.8.  Event Suppression 111  4.5.9.  Snort Multi-Event Logging .112  4.5.10.  Nguyên tắt viết Rules 113  4.5.11.  Cập nhật Rules .114  4.6.  Kết luận 115  Chương 5.  GIẢI PHÁP TRIỂN KHAI HỆ THỐNG IDS CHO TRƯỜNG ĐẠI HỌC BÁCH KHOA TP HCM .116  5.1.  Hiện trạng hạ tầng mạng Trường đại học Bách khoa TP HCM 116  5.1.1.  Sơ đồ kết nối logic 116  5.1.2.  Các thành phần hệ thống mạng 117  5.1.3.  Giải pháp bảo mật tổng thể hệ thống mạng Trường 120  -158- Snortsam gồm gói cài đặt snortsam-patch snortsam-src, tùy trường hợp mà gói cài đặt máy hay hai máy khác Hai gói tải từ trang www.snortsam.net − snortsam-src-2.60.tar.gz (snortsam-src) − snortsam-2.8.3.1.diff (snortsam-patch) b) Cài đặt Ví dụ snortsam-patch snortsam-src sau download đặt /mnt/sources Ta cài snortsam-patch sau: #cd /mnt/sources/snort-2.8.3.1 #patch -p1 < /snortsam-2.8.3.1.diff #chmod 755 autojunk.sh #./autojunk.sh #./configure && make && make install Cài đặt snortsam-src #cd /mnt/sources/ #tar -xvf snortsam-src-2.57.tar.gz #cd snortsam/ #./makesnortsam.sh #cp snortsam /usr/local/bin #mkdir /etc/snortsam #cp conf/snortsam.conf.sample /etc/snortsam/snortsam.conf Lưu ý: lệnh autojunk không chạy thiếu libtool, cài đặt cách #yum intall libtool c) Snortsam Iptable ™ Sơ đồ triển khai thử nghiệm: Trên máy IDS cài đặt Web, Snort, Snortsam-patch Còn snortsam-src cài máy Firewall (tích hợp iptables) eth0 IDS 193.1.1.2 eth1 & eth2 Firewall 192.168.1.10 & 193.1.1.1 Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGƠ HÁN CHIÊU MSHV: 01407330 -159- Hình 6.2 Sơ đồ triển khai thử nghiệm Snortsam & Iptable ™ Cấu hình máy Firewall Trên Firewall, ta cấu hình iptables cho phép chuyển tiếp gói tin vào IDS chúng đến Firewall, đồng thời thực nat để gói tin từ IDS ngồi #echo > /proc/sys/net/ipv4/ip_forward #iptables –t filter -P OUTPUT ACCEPT #iptables –t filter -P INPUT ACCEPT #iptables –t filter -P FORWARD ACCEPT #iptables –t nat -P POSTROUING ACCEPT #iptables –t nat -P PREROUTING ACCEPT #iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.10 -j DNAT -to-destination 193.1.1.2 #iptables -t nat -I POSTROUTING -o eth1 -s 193.1.1.0/24 -d 0/0 -j MASQUERADE Chỉnh sửa file snortsam.conf với nội dung sau: accept 193.1.1.2/32,password123 bindip 193.1.1.1 iptables eth1 logfile /var/log/snortsam.log daemon ™ Cấu hình máy IDS Chỉnh sửa file snort.conf với nội dung sau: output alert_fwsam: 193.1.1.1/password123 Ỉ password123 encryption key trao đổi máy Snort Firewall d) Snortsam & Router Cisco Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -160- ™ Sơ đồ thử nghiệm Hình 6.3 Sơ đồ triển khai thử nghiệm Snortsam & Router Cisco Snortsam làm nhiệm vụ liên kết Snort Router, lệnh cho Router chặn địa rule so trùng thông qua Access Control List (ACL), chức hỗ trợ Router Cisco Snort Snortsam (patch+source) Web Server cài đặt máy nên tạm gọi IDS Router giả lập Dynagen có IOS 3725 eth0 IDS 193.1.1.2 f0/0 & f0/1 Router 192.168.1.10 & 193.1.1.1 ™ Cấu hình Router + Đặt password cho Router thiết lập Telnet R1# configure terminal R1(config)# enable password cisco R1(config)# line vty R1(config-line)# password 123456 R1(config-line)# login R1(config-line)# end + Cấu hình địa IP: R1# configure terminal R1(config)# int f0/0 R1(config-if)# ip add 192.168.1.10 255.255.255.0 R1(config-if)# no shut R1(config-if)# int f0/1 R1(config-if)# ip add 193.1.1.1 255.255.255.0 R1(config-if)# no shut Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -161- R1(config-if)# end + Cấu hình NAT router: R1(config)# ip nat inside source static 193.1.1.2 int f0/0 R1(config)# int f0/0 R1(config-router)# ip nat outside R1(config)# int f0/1 R1(config-router)# ip nat inside ™ Cấu hình máy IDS + Tạo file /etc/snortsam/sam_acl với nội dung sau: conf t interface f0/0 no ip access-group test_acl in exit no ip access-list extended test_acl ip access-list extended test_acl snortsam-ciscoacl-begin snortsam-ciscoacl-end permit icmp any any permit tcp any any eq www deny ip any any exit interface f0/0 ip access-group test_acl in end + Chỉnh sửa file snortsam.conf với nội dung sau: accept 193.1.1.2/32,snortsamkey bindip 193.1.1.2 logfile /var/log/snortsam.log ciscoacl 193.1.1.1 123456 cisco /etc/snortsam/sam_acl + Chỉnh sửa file snort.conf với nội dung sau: output alert_fwsam: 193.1.1.2/snortsamkey Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -162- 6.4.3 Mơ hình đề xuất triển khai IPS cho Trường a) Mơ hình Triển khai Snort với chức inline để giám sát hoạt động nhánh mạng Đồng thời thực chức ngăn chặn cách drop gói tin cần thiết Hình 6.4 Mơ hình - Triển khai IPS cho Trường b) Mơ hình Dùng Snort kết hợp với Snortsam cài đặt máy (IDS) Trên IDS có hai card mạng, card mạng nối với Span port, card mạng làm nhiệm vụ trao đổi thông tin với Router (có hỗ trợ Access Control List-ACL) coi Firewall, card mạng nối trực tiếp vào Swich nối riêng với Router Trong mơ hình chức IDS IPS chia rõ ràng: máy cài đặt Snort làm nhiệm vụ phát xâm nhập, trình chặn nguồn địa xâm nhập thuộc Router Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -163- Hình 6.5 Mơ hình - Triển khai IPS cho Trường c) Mơ hình Mơ hình có nét tương đồng mơ hình dùng Snortsam để giao tiếp điều khiển thiết bị Firewall Nhưng thiết bị Firewall máy tính chạy Iptables Linux thay cho ACL Router Snort Snortsam-patch cài đặt máy tính (IDS), cịn Snortsam-source cài đặt máy tính khác (Firewall) Hình 6.6 Mơ hình - Triển khai IPS cho Trường d) So sánh mơ hình Chức IPS Mơ hình Mơ hình Mơ hình 9 Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -164- Số PC Switch có hỗ trợ Span Port Router có chức ACL Chi phí cho thiết bị Ưu điểm 1 9 Thấp − Drop gói tin thông qua IP Port − Thời gian đáp ứng nhanh − Khả chống DDoS thấp Cao Trung bình − Khả chống DDoS cao − Khả chống DDoS cao − Chỉ chặn IP − Tiêu tốn thời gian giao tiếp máy Snort Firewall (iptables) Ghi chú: Tùy thuộc vào ngân sách tài ngun có để lựa chọn mơ hình triển khai cho phù hợp với sách bảo mật tổ chức./ Nhược điểm Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ − Chỉ chặn IP − Tiêu tốn thời gian giao tiếp máy Snort Router Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -165- PHỤ LỤC Danh sách directive_name Directive_Name order Mô tả Thay đổi thứ tự rule áp dụng Tương đương tương với lựa chọn lệnh –o Được dùng để đặt lại tên file alert alertfile Dựng lại phân loại cho rule classification Bật chế độ arp decoding Tương đương với lựa decode_arp chọn lệnh –a Tương đương với lựa chọn lệnh –C dump_chars_only Được dùng để kết xuất phần liệu gói tin dump_payload Tương đương với –d Dùng thị giải mã header decode_data_link lớp Data Link (ví dụ Ethernet Header), header lớp Data Link (ví dụ Ethernet Header) Tương đương với –e Tương đương với lựa chọn –F bpf_file Dùng thị đặt group ID Snort set_gid chạy Ví dụ: “config set_gip: mygroup” Tương đương –g Chạy chế độ daemon Tương đương –D daemon Dùng tạo địa mạng Tương đương –h reference_net Chỉ định interface Tương đương –i interface alert_with_interface_name Chỉ thị sử dụng để thêm tên interface đến tin nhắn log Điều hữu ích giám sát nhiều interface máy Tương đương –T Chỉ định vị trí mặt định để ghi log Tương logdir đương –l umask Dùng để tạo UMASK chạy Snort Tương đương –m Dùng thị từ Snort sau pkt_count định nghĩa số gói tin Tương đương –n Loại bỏ tất cảnh báo (cảnh báo bao nolog gồm alert+log) Tương đương –N Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -166- obfuscate no_promisc quiet chroot checksum_mode set_uid utc verbose dump_payload_verbose show_year stateful Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Được dùng để làm khó hiểu địa IP gửi log phân tích đến người mà khơng để lộ identity mạng Tương đương –O Loại bỏ chế độ Promiscuous mode Tương đương –p Loại bỏ thông tin biểu ngữ lúc khởi động Snort thông tin thống kê từ việc tự hiển thị Tương đương –q Được dùng để thay đổi thư mục root cho Snort Đương tương –t Dùng để checksum (kiểm tra tổng) loại đặt biệt gói tin Dùng đối số như: none, noip, notcp, noicmp, noudp, and all Được dùng để tạo user ID cho trình Snort Tương đương –u Sử dụng UTC thay cho hệ thống cảnh báo log Tương đương -U Được sử dụng để ghi thông điệp đến chuẩn đầu thêm vào chuẩn logging Tương đương –v Kết xuất nhận gói tin thơ chuẩn đầu Tương đương –X Hiển thị năm timestamp Tương đương –y Dùng để bật Assurance mode cho Stream4 Preprocessor Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -167- PHỤ LỤC Các tuỳ chọn câu lệnh dùng cho Snort –A : Chế độ cảnh báo gồm mức full, fast, console, none –B : Làm giả địa phát cảnh báo packets dump Được dùng muốn công bố hay hiển thị gói dumps/traces/alerts mà khơng muốn cho thấy ip máy cảnh báo –c : Sử dụng file Rule có sẵn –C : Chỉ Dump ký tự ASCII payloads; không hexdump –d : Dump the application-layer data –D : Chạy Snort chế độ ẩn (daemon) Mặc định cảnh báo gửi tới đường dẫn var/log/snort/alert –e : Hiển thị ghi lại Header liệu lớp –F : Lọc BPF từ file Tiện dụng chạy snort chế độ Shadow -g : Chạy Snort group ID sau khởi tạo Giống công cụ bảo mật, tùy chọn cho phép Snort để thả chủ quyền sau khởi tạo –i : Sniff network interface –I : Add tên interface bảng cảnh báo –K : Chế độ ghi lại log Mặc định chuẩn pcap Có thể tùy chỉnh lại dạng ASCII NONE -l : Ghi lại trình theo dõi vào thư mục định Ví dụ /var/log/snort -L : Ghi theo dõi lại thành tập tin tcpdump -M : ghi lại messages không cảnh báo vào syslog -n : Thoát sau xử lý gói tin -p : Tắt chế độ promiscuous sniffing -q : Quan sát không hiển thị biểu ngữ tình trạng báo cáo -R : Bao gồm file snort_intf pid Điều hữu ích lắng nghe nhiều giao diện -s : Ghi tin nhắn cảnh báo vào syslog Tùy phiên Linux, chúng xuất / var / log / secure; / var / log / messages -S : Đặt tên biến n cho v Đây giá trị hữu ích cho việc thiết lập giá trị định nghĩa tên biến quy tắc Snort tập tin vào command-line-xác định giá trị Ví dụ, muốn xác định tên biến HOME_NET, Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -168- Snort quy định tập tin, đặt giá trị từ predefined giá trị dịng lệnh -t : Thay đổi thư mục gốc Snort vào sau khởi tạo Lưu ý tất file logs/alert có liên quan đến thư mục , sử dụng chroot -T : Snort bắt đầu chế độ tự kiểm tra, kiểm tra tất command line tập tin rule thứ sẵn sàng để tiếp tục Điều tốt chuyển sang sử dụng chế độ daemon: cho phép xác minh cấu hình Snort sử dụng hợp lệ không bị lỗi -u : Thay đổi UID snort chạy dạng sau khởi tạo -U : Bật chế độ UTC timestamps -V : Hiển thị số phiên thoát -v : Chạy Snort chế độ verbose, xuất stdout -w : Dump 802,11 quản lý kiểm soát frame -X : Dump liệu gốc, lớp liên kết -y : Turn on year field in timestamps -Z : Đặt đường dẫn tên việc giám sát preprocessor -z : Đặt chế độ bảo đảm cho thông báo Snort Nếu đối số thiết lập cho tất cả, tất cảnh báo khỏi Snort bình thường Nếu đặt vào est stream4 trước xử lý thực kiểm tra stateful (chế độ mặc định), cảnh báo tạo dành cho gói tin TCP phần thiết lập phiên Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -169- PHỤ LỤC Các tùy chọn Server Configuration Các template có sẵn giúp dễ dàng cấu hình việc muốn cấu hình default Có template có sẵn all, apache iis mô tả theo bảng đây: ALL Option Setting flow_depth 300 chunk encoding alert on chunks larger than 500000 bytes iis_unicode_map codepoint map in the global configuration ascii decoding on, alert off multiple slash on, alert off directory normalization on, alert off apache whitespace on, alert off double decoding on, alert on %u decoding on, alert on bare byte decoding on, alert on iis unicode codepoints on, alert on iis backslash on, alert off iis delimiter on, alert off Webroot on, alert on non_strict URL parsing on tab_uri_delimiter is set APACHE Option Setting flow_depth 300 chunk encoding alert on chunks larger than 500000 bytes ascii decoding on, alert off multiple slash on, alert off directory normalization on, alert off Webroot on, alert on apache whitespace on, alert on utf_8 encoding on, alert off non_strict url parsing On tab_uri_delimiter is set IIS Option Setting flow_depth 300 chunk encoding alert on chunks larger than 500000 bytes iis_unicode_map codepoint map in the global configuration Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -170- ascii decoding multiple slash directory normalization Webroot double decoding %u decoding bare byte decoding iis unicode codepoints iis backslash iis delimiter apache whitespace non_strict URL parsing on, alert off on, alert off on, alert off on, alert on on, alert on on, alert on on, alert on on, alert on on, alert off on, alert on on, alert on On *Lưu ý: Các tùy chọn mà chế độ Default không hỗ trợ cho Profile Default HTTP Inspect Options Option Setting Port 80 flow_depth 300 chunk encoding alert on chunks larger than 500000 bytes ascii decoding on, alert off utf_8 encoding on, alert off multiple slash on, alert off directory normalization on, alert off Webroot on, alert on iis backslash on, alert off apache whitespace on, alert off iis delimiter on, alert off non_strict URL parsing on Lưu ý: Các Profile phải xác định kết hợp với tùy chọn khác trừ tùy chọn chúng phải khai báo sau xác định loại profile ports Chỉ định port cần giám sát iis_unicode_map allow_proxy_use Cho phép proxy qua mà không cần giám sát server_flow_depth < integer ( 1-1460 ) > Tùy chọn cho phép định server có khả response payload để kiểm tra Tùy chọn làm tăng đáng kể hiệu suất hoạt động hệ thống IDS pass lượng lớn traffic server no_alerts Tắt cảnh báo inspect_uri_only Chỉ giám sát luồng URI oversize_dir_length Cảnh báo độ dài quy định địa vượt mức cho phép Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -171- TÀI LIỆU THAM KHẢO [1] Andrew Baker, Jay Beale, Brian Caswell (2007), IDS and IPS Toolkit, Syngress Publishing Inc., Massachusetts [2] Andrew Baker, Jay Beale, et al (2004), Snort 2.1 Intrusion Detection, Second edition, Syngress Publishing Inc., Massachusetts [3] Angela D Orebaugh, Simon Biles, Jacob Babbin (2005), Snort Cookbook, O'Reilly Media Inc., California [4] Charlie Scott, Paul Wolfe, Bert Hayes (2004), Snort for Dummies, Wiley Publishing Inc, New York [5] Micheal Gregg (2007), Hack the Stack: Using Snort and Ethereal to Master The Layers of An Insecure Network, Syngress Publishing Inc., Massachusetts [6] Jack Koziol (2003), Intrusion Detection with Snort, SAMS Publishing Inc., Indiana [7] Kerry J Cox, Christopher Gerg (2004), Snort and IDS Tools, O'Reilly Media Inc., California [8] Mark Cooper, Stephen Northcutt, et al (2006), Intrusion Signatures and Analysis, Pearson Custom Publications, Massachusetts [9] Michael Rash, Angela Orebaugh, et al (2006), Intrusion Prevention and Active Response: Deploying Network and Host IPS, Syngress Publishing Inc., Massachusetts [10] Rafeeq Rehman (2003), Intrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID, Prentice Hall PTR, New Jersey [11] Stephen Northcut, Judy Novak (2003), Network Intrusion Detection (3rd Edition), New Riders Publishing, Indiana [12] Website: www.snort.org, www.emergingthreats.net số website khác Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -172- LÝ LỊCH TRÍCH NGANG Họ tên: NGƠ HÁN CHIÊU Ngày, tháng, năm sinh: 05/01/1979 Nơi sinh: Tân Quới, Bình Minh, Vĩnh Long Địa liên lạc: 21/8/73 Lê Công Phép, Phường An Lạc, Quận Bình Tân, TP HCM Điện thoại: 0908.978.988 QUÁ TRÌNH ĐÀO TẠO Từ 1997-2002: Học Trường Đại học Giao thông Vận tải – Cơ sở 2, chuyên ngành Vô tuyến điện Thông tin liên lạc Q TRÌNH CƠNG TÁC Từ 2002 – nay: Cơng tác Phòng Tư vấn Thiết kế, Viện Khoa học Kỹ thuật Bưu điện – Cơ sở Luận văn thạc sĩ GVHD: TS LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 ... HIỆN THÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP HCM II- NHIỆM VỤ VÀ NỘI DUNG: Nhiệm vụ: - Nghiên cứu, xây dựng triển khai hệ thống phát xâm nhập mạng (IDS) cho hệ thống mạng. .. Phân tích đánh giá hệ thống bảo mật mạng Trường ĐHBK TP HCM Chọn lựa giải pháp IDS cho hệ thống mạng Trường Trên sở thiết kế xây dựng hệ thống IDS hạ tầng mạng Trường ĐHBK TP HCM - Kiểm chứng... độ nghiên cứu khoa học mơ máy ảo Trường Đại học Bách khoa TP HCM đơn vị đầu nước việc nghiên cứu, ứng dụng triển khai cơng nghệ vào thực tế Vì vậy, đề tài luận văn thực nghiên cứu triển khai hệ

Ngày đăng: 16/02/2021, 18:35

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w