LỜI CẢM ƠN Qua thời gian học tập lâu dài hoàn thành báo cáo thực tập chuyên ngành với đề tài :“Tìm hiểu hệ thống phát xâm nhập IDS-SNORT” Em nhận quan tâm, giúp đỡ nhiệt tình tập thể, cá nhân nhà trường Nhân dịp : Em xin chân thành cảm ơn giúp đỡ đóng góp ý kiến thầy, cô giáo môn mạng truyền thông – khoa công nghệ thông tin- Đại học Công Nghệ Thông Tin Truyền Thông – Đại Học Thái Nguyên Đặc biệt em xin bày tỏ lòng cảm ơn sâu sắc đến thầy giáo hướng dẫn: Th.S Nguyễn Đức Bình, thầy trực tiếp hướng dẫn em làm đề tài này, thầy mang đến cho em nguồn tri thức với dạy bảo tận tình thầy trình học tập nghiên cứu em Em xin chân thành cảm ơn !!! LỜI CAM ĐOAN Em xin cam đoan toàn đồ án: “Tìm hiểu hệ thống phát xâm nhập IDS-SNORT”.là thân tìm hiểu, nghiên cứu Khơng có chép nội dung từ đồ án khác Tất nội dung hình ảnh minh họa có nguồn gốc xuất xứ rõ ràng từ tài liệu tham khảo nhiều nguồn khác mà xây dựng nên Ngồi cịn có góp ý định hướng thầy giáo Th.S Nguyễn Đức Bình Em xin cam đoan lời đúng, thơng tin sai lệch em xin hồn tồn chịu trách nhiệm trước Hội đồng Thái Nguyên, tháng năm 2011 Sinh viên Dương Văn Thắng Mục Lục LỜI CẢM ƠN .1 LỜI CAM ĐOAN LỜI NÓI ĐẦU DANH MỤC HÌNH ẢNH Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS 1.1 Tổng quan .8 1.1.1 Sơ qua tình hình bảo mật 1.1.2 Mục Tiêu Đề Tài .8 1.1.3 Phương Pháp Và Phạm Vi Nghiên Cứu 1.2 Giới thiệu tổng quan hệ thống IDS 10 1.2.1 Khái niệm IDS 10 1.3 Chức 11 1.3.1 Các ứng dụng 11 1.3.2 Các tính .11 1.4 Cấu trúc kiến trúc 11 1.5 Sự khác IDS IPS 12 1.6 Phân loại 13 1.6.1Network based IDS – NIDS .13 1.6.3 Wireless IDS/IPS .17 1.6.4 Network behavior Analysis system ( NBAS ) 19 1.6.5 Honeypot IDS 19 1.7 Cơ chế hoạt động hệ thống IDS/IPS 19 1.7.1 phát lạm dụng 20 1.7.2 phát bất thường .21 1.7.2.1 Phát tĩnh 21 1.7.2.2 Phát động 22 1.7.3 So sánh hai mơ hình 24 Chương 2: NGHIÊN CỨU ỨNG DỤNG IDS SNORT .25 2.1 Giới thiệu snort 25 2.2 Các yêu cầu hệ thống Snort 25 2.3 Vị trí Snort hệ thống mạng 26 2.4 Kiến trúc snort 28 2.4.1 Module giải mã gói tin 29 2.4.2 Module tiền xử lý 31 2.4.3 Module phát .32 2.4.4 Module log cảnh báo 33 2.4.5 Module kết xuất thông tin 34 2.5Các chế độ thực thi Snort 35 2.5.1 Sniff mode 35 2.5.2 Packet logger mode 36 2.5.3 NIDS mode 36 2.6 Bộ luật snort 37 2.6.1 Giới thiệu 37 2.6.2 Cấu trúc luật Snort 38 2.6.3 Phần tiêu đề 40 2.6.4 Các tùy chọn .45 Chương 3: CÀI ĐẶT CẤU HÌNH VÀ XẬY DỰNG ỨNG DỤNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS SNORT 52 3.1 Mơ hình cho hệ thống IDS-SNORT .52 3.2 Cái đặt cấu hình SNORT .53 3.2.1 Cài đặt cấu hình SNORT 53 3.2.2 Sử dụng SNORT .63 Chương : KẾT QUẢ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI .66 4.1 Kết đạt .66 TÀI LIỆU THAM KHẢO 68 LỜI NÓI ĐẦU Dưới hướng dẫn thầy giáo thạc sỹ Nguyễn Đức Bình qua thời gian nghiên cứu , tìm hiểu em hồn thành báo cáo thực tập chuyên ngành Trong giới hạn báo cáo thực tập chuyên ngành này, em có tìm hiểu vấn đề sau: - Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) SNORT -kiến trúc ,cơ chế hoạt động hệ thống hỗ trợ IDS-SNORT -cài đặt ,cấu hình sử dụng SNORT Một lần nữa, em xin chân thành cảm ơn thầy giáo thạc sỹ Nguyễn Đức Bình , thầy cô khoa CNTT - Đại Học Công Nghệ Thông Tin Truyền Thông bạn giúp đỡ em hoàn thành báo cáo Sinh viên thực Dương Văn Thắng DANH MỤC HÌNH ẢNH Hình 1.1 : Các vị trí đặt IDS mạng……………………………………11 Hình 2.1 Snort-sensor đặt Router Firewall…………………………27 Hình 2.2 : Snort-sensor đặt vùng DMZ……………………………….28 Hình 2.3: snort-sensor đặt sau Firewall…………………………………… 29 Hình 2.4 : Mơ hình kiến trúc hệ thống Snort……………………………… 30 Hình 2.5: Xử lý gói tin Ethernet……………………………………….31 Hình 2.6: Module log cảnh báo……………………………………….…35 Hình 2.7 : Cấu trúc luật Snort……………………………………… …39 Hình 2.8 : Header luật Snort………………………………………….…39 Hình 3.1: Mơ hình IDS-SNORT………………………………………….…53 Hình 3.2 cài đặt Winpcap……………………………………………………54 Hình 3.3 cài đặt Winpcap……………………………………………………55 Hình 3.4 download snort………………………………………………….…56 Hình 3.5 cài đặt snort……………………………………………………… 57 Hình 3.6 cài đặt snort………………………………………………….…….58 Hình 3.7 cài đặt snort……………………………………………………… 59 Hình 3.8 cài đặt snort…………………………………………………….….60 Hình 3.9 cài đặt snort……………………………………………………… 61 Hình 3.10 giải nén rules…………………………………………………… 63 Hình 3.11 copy rules vào thư mục cài snort…………………………….….…64 Hình 3.12 xác định thứ tự card mạng…………………………………………64 Hình 3.13 chạy lệnh sniffer packet……………………………………………65 Hình 3.14 chạy lệnh sniffer packet…………………………………… ……66 Chương 1: TỔNG QUAN VỀ HỆ THỐNG IDS 1.1 Tổng quan 1.1.1 Sơ qua tình hình an ninh mạng An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm khơng Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Theo báo cáo mối đe dọa bảo mật mạng (ISTR) thứ 14 hãng Symantec , hoạt động công mạng giới tiếp tục phát triển mức kỷ lục, chủ yếu nhắm tới thông tin quan trọng từ máy tính người dùng Symantec tạo 1,6 triệu mẫu chữ ký loại mã độc hàng năm , tương đương với 60% tổng số mẫu chữ ký mà Symantec tạo từ trước đến - phản ứng tăng trưởng mạnh số lượng phong phú, đa dạng mối đe doạ nguy hại X-Force đưa nhiều cảnh báo điểm yếu an ninh nghiêm trọng nhà cung cấp sản phẩm Microsoft, Apple, Adobe, VMWare Điển hình điểm yếu an ninh PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC Microsoft 1.2 Mục Tiêu Đề Tài Qua thời gian thực đề tài, em hy vọng hiểu điểm quan trọng hệ thống phát xâm nhập trái phép IDS, đặc biệt công cụ SNORT Thu nhiều kiến thức, kỹ kinh nghiệm việc bảo mật Nắm yếu tố tảng để phát triển hệ thống bảo mật 1.1.3 Phạm vi phương pháp nghiên cứu Nghiên cứu, triển khai giải pháp phát sớm ngăn chặn thâm nhập trái phép (tấn công) vào hệ thống mạng ngày vấn đề có tính thời có ý nghĩa, quy mô phức tạp công ngày tăng Đó cách thức tiếp cận với hệ thống bảo mật mạng em Phạm vi nghiên cứu: Nghiên cứu hệ thống phát xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT Nghiên cứu cài đặt cấu hình SNORT 1.2 Giới thiệu tổng quan hệ thống IDS Khái niệm phát xâm nhập xuất qua báo James Anderson cáchđây khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập – IDS (IntrusionDetection System) với mục đích dị tìm nghiên cứu hành vi bất thường tháiđộ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin.Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel 1.2.1 Khái niệm IDS Intrusion Detection system (IDS) hệ thống giám sát hoạt động hệ thống mạng phân tích để tìm dấu hiệu vi phạm đến quy định bảo mật máy tính, sách sử dụng tiêu chuẩn an tồn thơng tin Các dấu hiệu xuất phát từ nhiều nguyên nhân khác nhau, lây nhiễm malwares, hackers xâm nhập trái phép, người dung cuối truy nhập vào tài nguyên không phép truy cập Intrusion Prevention system (IPS) hệ thống bao gồm chức phát xâm nhập (Intrusion Detection – ID) khả ngăn chặn xâm nhập trái phép dựa kết hợp với thành phần khác Antivirus, Firewall sử dụng tính ngăn chặn tích hợp 10 Hình 3.3 cài đặt Winpcap Click Finish để hoàn thành cài đặt Winpcap -Download SNORT : download SNORT trang web www.snort.org 54 Hình 3.4 download snort Phiên snort.2.9.1 Sau ta Get Rules phiên Sau ta download SNORT Rules tương ứng ta tiến hanh cài đặt hệ thống windows XP (trên máy thật) 55 Hình 3.5 cài đặt snort Click chọn I Agree bắt đầu trình cài đặt 56 Hình 3.6 cài đặt snort Để mặc định chọn Next 57 Hình 3.7 cài đặt snort Tiếp tục chọn Next 58 Hình 3.8 cài đặt snort Tiếp tục chọn Next 59 Hình 3.9 cài đặt snort Click chọn Close để hoàn thành trình cài đặt Snort -Sau cài đặt Snort cần phải thiết lập tham số quan trọng HOME_NET PATH_RULE khởi động Snort thực công việc triển khai Snort lớp mạng C với dãy địa 192.168.1.0/24, mở tập tin snort.conf thư mục C:\Snort\etc\ tìm đến biến HOME_NET thiết lập sau: 60 Tiếp theo khai báo đường dẫn đến nơi chứa quy tắc snort rules đặt RULE_PATH C:\Snort\rules Khai báo biến include classification.config reference.config hình (sữa thành include C:\Snort\etc\classification.config C:\Snort\etc\reference.config 61 Bây copy Rules tạo sẵn với phiên snortrulessnapshot-2905.tar.copy thư mục rules vào thư mục cài đặt Snort ổ C:\Snort Hình 3.10 giải nén rules 62 Hình 3.11 copy rules vào thư mục cài snort 3.2.2 Sử dụng SNORT Tiến hành chạy thử SNORT chế độ khác -Sử dụng SNORT để sniffer packet:Để tiến hành sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính có nhiều card sử lệnh snort –W để xác định Hình 3.12 xác định thứ tự card mạng 63 Kết cho ta biết số hiệu card mạng.card mạng thứ tiến hành chạy lệnh snort –h để sniffer gói tin Dùng lệnh snort –v –i4 Hình 3.13 chạy lệnh sniffer packet 64 Hình 3.14 chạy lệnh sniffer packet -Sử dụng SNORT chế độ Network IDS: sử dụng file snort.conf ,áp dụng luật file tiến hành ghi cảnh báo file alert.ids Dòng lệnh sau hiển thị cảnh báo theo luật nhận gói tin trùng khớp với định nghĩa luật Snort –i4 –l c:\snort\log –c c:\snort\ect\snort.conf –A console Để ghi cảnh báo vào file alert.ids Snort –i4 –l c:\snort\log –c c:\snort\ect\snort.conf –A full -Sử dụng SNORT chế độ Packet Logger: lưu trữ gói tin tập tin log.Ngồi việc xem gói tin mạng cịn lưu chúng thư mục C:Snort\log với tùy chọn –l 65 Chương :KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG NGHIÊN CỨU 4.1 Kết đạt Thông qua nghiên cứu triển khai hệ thống IDS_SNORT, em nhận thức tình hình an ninh mạng yêu cầu cần thiết để thiết lập trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm công thâm nhập hệ thống Em nắm bắt kiến thức thời gian thực tập chuyên nghành: - Intrusion Detection System(IDS) , Intrusion Prevention system (IPS) SNORT - Kiến trúc ,cơ chế hoạt động hệ thống hỗ trợ IDS-SNORT - Cài đặt ,cấu hình sử dụng SNORT Tuy nhiên, vấn đề này, em vướng phải khó khăn: - Thời gian thực hành với cơng cụ SNORT cịn ít, chưa vận dụng tối đa sức mạnh công cụ - Tuy cố gắng nắm bắt tảng công nghệ IDS, em dừng lại mức nghiên cứu lý thuyết, chưa sâu vào thực tế 4.2 Hướng nghiên cứu Thông qua kết nghiên cứu nguy đe dọa mạng điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày vấn đề cần thiết song khó khăn Sau hồn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết công mạng cách có hệ thống (hoặc cách tồn diện hơn), 66 biện pháp bảo đảm an ninh mạng có hiệu cao Ví dụ, tìm hiểu cách thức phát lỗ hổng hệ thống, đồng thời nghiên cứu cách thức phịng tránh lỗ hổng trước kẻ cơng lợi dụng Kết nghiên cứu khoá luận giúp định hướng nghiên cứu sâu an ninh mạng môi trường hệ thống mạng khác sau 67 TÀI LIỆU THAM KHẢO Các sách tham khảo: [1] Stuart McClure, Joel Scambray George Kurtz Hacking exposed fifth edition, McGraw-Hill/Osborne, 2005 [2] Internet Security Systems ProventiaGSeries_Guide, May 2005 [3] Internet Security Systems Các dấu hiệu công thâm nhập, 2005 [4] Snort-Syngress Snort 2.1 Intrusion Detection Second Edition May 2004 [5] Snort IDS and IPS Toolkit [6] Vietnamnet.vn Tìm hiểu công từ chối dịch vụ DoS Các web site tham khảo: [7] http://nhatnghe.com/forum/ [8] http://quantrimang.com/ [9] http://www.howtoforge.com/ [10] http://www.hvaonline.net/ 68 ... Nghiên cứu hệ thống phát xâm nhập trái phép IDS Nghiên cứu công cụ IDS SNORT Nghiên cứu cài đặt cấu hình SNORT 1.2 Giới thiệu tổng quan hệ thống IDS Khái niệm phát xâm nhập xuất qua báo James... ỨNG DỤNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS SNORT 52 3.1 Mô hình cho hệ thống IDS- SNORT .52 3.2 Cái đặt cấu hình SNORT .53 3.2.1 Cài đặt cấu hình SNORT ... Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 1.7.1 phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử