Hệ thống phát cảnh báo nguy công mạng MỤC LỤC LỜI CẢM ƠN DANH MỤC HÌNH VẼ MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Giám sát An ninh mạng 1.2 Mơ hình hệ thống chức 1.2.1 Các thành phần 1.2.2 Phân loại 11 1.2.3 Chức 12 1.3 Phát chống xâm nhập mạng 13 1.3.1 Hệ thống phát xâm nhập (IDS) 13 1.3.2 Hệ thống chống xâm nhập (IPS) 13 1.3.3 Nguyên lý hoạt động hệ thống 14 CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG 17 2.1 Phát xâm nhập .17 2.1.1 Chính sách IDS 18 2.1.2 Kiến trúc hệ thống phát xâm nhập 19 2.1.3 Phân loại hệ thống phát xâm nhập 22 2.2 Tổng quan snort 31 2.2.1 Giới thiệu 31 2.2.2 Kiến trúc snort 31 2.2.3 Bộ luật snort 37 2.2.4 Chế độ ngăn chặn Snort: Snort – Inline 51 CHƯƠNG 3: THỰC NGHIỆM PHÁP HIỆN XÂM NHẬP MẠNG VỚI SNORT 53 3.1 Mơ hình thử nghiệm 53 3.2 Thiết lập cấu hình, chuẩn bị môi trường cài đặt: 53 3.3 Cài đặt SNORT 53 3.4 Thiết lập số luật bản: 61 3.4.1 Tạo luật cảnh báo PING với kích thước lớn: 61 Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng 3.4.2 Tạo luật cảnh báo truy cập Web: 63 KẾT LUẬN 65 TÀI LIỆU THAM KHẢO 67 Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy cơng mạng DANH MỤC HÌNH VẼ Hình 1-1: Thành phần GSANM Hình 1-2: Mơ hình GSANM phân tán 11 Hình 1-3: Mơ hình GSANM tập trung 12 Hình 2-2: Kiến trúc hệ thống phát xâm nhập 19 Hình 2-3: Giải pháp kiến trúc đa tác nhân 21 Hình 2-4: Mơ hình triển khai hệ thống NIDS 23 Hình 2-5: Mơ hình NIDS 23 Hình 2-6: Mơ hình hệ thống HIDS 27 Hình 3-1: Mơ hình kiến trúc hệ thống Snort 32 Hình 3-2: Xử lý gói tin Ethernet 33 Hình 3-3: Cấu trúc luật Snort 38 Hình 3-4: Header luật Snort 38 Hình 3-5: Mơ hình thử nghiệm 53 Hình 3-6: Hướng dẫn cài đặt SNORT - Thiết lập 59 Hình 3-7: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-8: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-9: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-10: Hướng dẫn cài đặt SNORT - Bước 61 Hình 3-11: Trang quản trị Snort 61 Hình 3-12: Cảnh báo PING với kích thước lớn 62 Hình 3-13: Cảnh báo truy cập Web 64 Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng MỞ ĐẦU Thế giới bắt đầu bước vào cách mạng công nghiệp lần thứ tư, cách mạng sản xuất gắn liền với đột phá chưa có cơng nghệ, liên quan đến kết nối Internet, điện toán đám mây, in 3D, công nghệ cảm biến, thực tế ảo Cuộc cách mạng sản xuất dự đoán tác động mạnh mẽ đến quốc gia, phủ, doanh nghiệp người dân khắp toàn cầu, làm thay đổi cách sống, làm việc sản xuất Bên cạnh phát triển tiềm ẩn nguy đe dọa đến mặt đời sống xã hội việc đánh cắp thông tin, truy cập hệ thống trái phép, công từ chối dịch vụ Là nguy mà người dùng Internet phải đương đầu Rất nhiều giải pháp an ninh mạng đưa có đóng góp to lớn việc đảm bảo an tồn thơng tin, ví dụ như: Firewall ngăn chặn kết nối khơng đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền liệu, chương trình diệt virus với sở liệu cập nhật thường xuyên… Tuy nhiên thực tế cho thấy thụ động trước cơng đặc biệt cơng kiểu yêu cầu đặt cần có hệ thống phát cảnh báo sớm trước công Hệ thống phát xâm nhập xem lựa chọn tối ưu Đồ án trình bày Hệ thống phát cảnh báo nguy cơng mạng tìm hiểu cơng cụ phát cảnh báo nguy công mạng mã nguồn mở SNORT Nội dung đồ án bao gồm:  Chương1: Tìm hiểu tổng quan giám sát an ninh mạng  Chương2: Tìm hiểu hệ thống phát chống xâm nhập mạng  Chương3: Ứng dụng phần mềm mã nguồn mở SNORT phát xâm nhập mạng Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Giám sát An ninh mạng Giám sát An ninh mạng hệ thống xây dựng nhằm mục đích thu thập, theo dõi, phân tích kiện, liệu vào mạng từ phát cơng mạng đưa cảnh báo cho hệ thống mạng giám sát Về chất hệ thống phân tích kiện, luồng liệu mà khơng tích hợp giải pháp ngăn chặn vào Hệ thống hoạt động độc lập thu thập nhật ký hệ thống thiết bị, ứng dụng hay luồng liệu không ảnh hưởng đến chúng Trong hệ thống thông tin, việc khắc phục cố thường tốn chi phí lớn vậy, giải pháp giám sát mạng để phát sớm cố lựa chọn nhiều người ưa thích nhằm mang lại hiệu cao với chi phí vừa phải 1.2 Mơ hình hệ thống chức Về hệ thống Giám sát an ninh mạng (GSANM) tn thủ theo mơ hình SIEM (Security Information and Event Management) Đây mơ hình chung cho hệ thống GSANM sử dụng nhiều giới nhà sản xuất thiết bị GSANM dựa mơ hình chuẩn 1.2.1 Các thành phần Hệ thống Giám sát an ninh mạng bao gồm thành phần sau: Hình 1-1: Thành phần GSANM Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng CONSOLE: Là nơi xử lý, lưu trữ kiện an ninh cảnh báo, kiện gửi lên từ Event Processor Flow Processor Ngoài chứa tập luật xử lý liệu, CONSOLE có khả hoạt động độc lập CONSOLE có hai giao diện, giao diện command line giúp người quản trị cấu hình, xử lý lỗi hệ thống, giao diện web nơi hiển thị cảnh báo kiện thu thập Các cảnh báo lưu trữ tùy vào cấu hình quản trị bao lâu, thường năm cho hệ thống Năng lực hoạt động CONSOLE tùy thuộc vào nhiều yếu tố như: Đường truyền mạng, cấu hình phần cứng, … thơng thường hệ thống hoạt động với công suất 1000EPS 100000FPM Khi hệ thống GSANM thiết lập cấu hình CONSOLE tự động cấu hình tương ứng cho thiết bị khác cách chủ động sau kết nối vào thiết bị thơng qua cổng 22 Từ việc cấu hình thiết bị hệ thống GSANM thực thông qua CONSOLE hai cách qua giao diện Web với cổng 443 qua giao diện command line EVENT PROCESSOR (EP): Đây nơi xử lý kiện gửi từ Event Collector Các kiện xử lý thông qua tập luật Nếu cảnh báo kiện từ thiết bị an ninh đưa cảnh báo gửi thẳng trực tiếp lên CONSOLE để xử lý Nếu kiện không đưa cảnh báo lưu trữ mà không chuyển lên CONSOLE Các kiện lưu trữ tùy theo cấu hình quản trị, thường ba tháng cho kiện không đưa cảnh báo Các nhật ký hệ thống khơng đưa cảnh báo quản lý qua giao diện web CONSOLE FLOW PROCESSOR (FP): Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng Đây nơi xử lý luồng liệu, FP nhận liệu từ Flow Collector xử lý dựa tập luật FP Sau đó, cảnh báo gửi lên CONSOLE cịn kiện khơng đưa cảnh báo lưu trữ FP quản lý dựa giao diện web CONSOLE Thời gian lưu trữ kiện tùy thuộc vào cấu hình thường ba tháng EVENT COLLECTOR (EC): Là nơi thu thập nhật ký hệ thống, tiếp nhận nhật ký hệ thống từ thiết bị, ứng dụng gửi Tại nhật ký hệ thống mã hóa, nén gửi EP qua cổng 22 Sau EP phân tích xử lý Đối với EC có nhiều phương pháp lấy nhật ký hệ thống khác VD: Cài đặt agent lên máy tính cần thu thập gửi nhật ký hệ thống định cho EC Tại CONSOLE người quản trị cấu hình cho EC thu nhận nhật ký hệ thống từ agent Sau nhật ký hệ thống quản lý dựa giao diện web CONSOLE EC có khả thu thập kiện mà khơng có khả thu thập luồng liệu Với thiết bị, dịch vụ IIS, thường có khoảng 20 kiện giây (20 EPS) FLOW COLLECTOR (FC): Đây nơi thu thập luồng liệu từ mạng giám sát FC thường thu nhận luồng liệu từ switch có chức span port Cisco Sau liệu nén, mã hóa chuyển FP xử lý thơng qua cổng 22 CONSOLE cấu hình cho FC lắng nghe cổng Ethernet kết nối với span port để thu thập liệu Khả xử lý hệ thống GSANM FC 220000FPM Các thiết bị phần cứng EC FC hệ thống GSANM có chức thu thập nhật ký hệ thống dạng “thơ” dạng chưa phân tích Đối với thiết bị người quản trị hệ thống cần cung cấp địa IP tĩnh public, Phạm Quang Tuyến _ CT1802 10 Hệ thống phát cảnh báo nguy cơng mạng sau việc trao đổi liệu qua hệ thống mã hóa, nén lại gửi tới EP, FP để phân tích xử lý thông qua cổng 22 CONSOLE hiển thị liệu lên giao diện web để người quản trị xem cảnh báo thơng qua cổng 443 1.2.2 Phân loại Mơ hình GSNAM triển khai có hai dạng sau:  Dạng phân tán (Distributed): Hình 1-2: Mơ hình GSANM phân tán Là mơ hình mà có hệ thống xử lý đặt trung tâm GSANM hoạt động hệ thống như: Các kiện, luồng liệu, …sẽ xử lý trung tâm sau hiển thị lên giao diện Web site Đối với mô hình thường địi hỏi đầu tư quy mô lực lượng người phải nhiều đủ khả để vận hành hệ thống  Dạng hoạt động độc lập (All in one): Phạm Quang Tuyến _ CT1802 11 Hệ thống phát cảnh báo nguy cơng mạng Hình 1-3: Mơ hình GSANM tập trung Đây mơ hình mà hệ thống xây dựng riêng lẻ cho đơn vị, không liên quan tới nhau, có nghĩa hệ thống hoạt động độc lập Các nhật ký hệ thống luồng liệu trực tiếp thu thập mạng con, sau đẩy thiết bị GSANM luồng liệu xử lý Tuy nhiên, mơ hình phù hợp cho ngân hàng đơn vị nhỏ yêu cầu đầu tư lực lượng người không cao 1.2.3 Chức Đối với hệ thống GSANM chức thu thập thành phần sau:  Các kiện an ninh (Securtity Event): Được sinh từ ứng dụng thiết bị như: Nhật ký hệ thống IIS, Firewall, VPN (Virtual Private Network), IDS (Intrusion Detection System), IPS (Intrusion Prevention System), …  Bối cảnh hoạt động mạng (Network activity context): Tầng bối cảnh ứng dụng từ lưu lượng mạng lưu lượng ứng dụng  Thông tin hệ điều hành: Tên nhà sản xuất chi tiết số phiên Phạm Quang Tuyến _ CT1802 12 Hệ thống phát cảnh báo nguy công mạng  Các nhật ký hệ thống ứng dụng: Kế hoạch nguồn lực doanh nghiệp (Enterprise Resource Planning – ERP), quy trình làm việc, sở liệu ứng dụng, tảng quản lý, Với dòng nhật ký hệ thống sinh tính kiện, kiên tính giây (EPS), xử lý luồng liệu tính phút (FPM) sau hệ thống tiến hành phân tích luật đưa cảnh báo cần thiết tới nhà quản trị hệ thống 1.3 Phát chống xâm nhập mạng 1.3.1 Hệ thống phát xâm nhập (IDS) IDS (Intrusion Detection Systems) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình cơng sưu tập, quét cổng tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thơng báo cho quản trị viên mạng khóa kết nối cơng thêm vào cơng cụ IDS phân biệt cơng bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn công từ hacker) 1.3.2 Hệ thống chống xâm nhập (IPS) IPS (Intrusion Prevention Systems) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập không mong muốn Chức IPS xác định hoạt động nguy hại, lưu giữ thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS ngồi khả theo dõi, giám sát Phạm Quang Tuyến _ CT1802 13 Hệ thống phát cảnh báo nguy công mạng CHƯƠNG 3: THỰC NGHIỆM PHÁP HIỆN XÂM NHẬP MẠNG VỚI SNORT 3.1 Mơ hình thử nghiệm Hình 3-1: Mơ hình thử nghiệm 3.2 Thiết lập cấu hình, chuẩn bị mơi trường cài đặt: Môi trường giả lập: Vmware Workstation Pro 14  Snort: CentOS 6.5 – Vmnet: 192.168.10.11  Web Server: Windows Server 2012 – Vmnet: 192.168.10.12  Attacker: Windows – Vmnet: 192.168.10.13  Client: Windown – 192.168.10.1 (Cài đặt PuTTy WinSCP) 3.3 Cài đặt SNORT Bước 1: Sử dung PuTTy kết nối đến máy chủ Linux CentOS 6.5 Bước 2: Tải gói sau sử dụng WinSCP tải gói cài đặt nên máy chủ Linux CentOS 6.5  Libdnet-1.12.tgz  libpcap-1.0.0.tar.gz  daq-2.0.0.tar.gz Phạm Quang Tuyến _ CT1802 53 Hệ thống phát cảnh báo nguy công mạng  snort-2.8.4.1.tar.gz  adodb519.zip  base-1.3.9.tar.gz  Snortrules-snapshot 2953.tar Bước 3: Cài đặt  Cài đặt thêm gói hỗ trợ cho Web # yum install -y mysql-server mysql-bench mysql-devel httpd php php- mbstring php-devel php-mysql php-pear gcc pcre-devel php-gd gd glib2-devel gcc-c++ libpcap libpcap-devel flex bison  Giải nén cài đặt Libdnet-1.12.tgz # tar -zxvf libdnet-1.12.tgz # cd libdnet-1.12 #./configure prefix=/usr/local/snort bindir=/usr/local/bin/ # make && make install  Chuyển thư mục /root Giải nén cài dặt gói libpcap1.0.0.tar.gz # cd # tar -zxvf libpcap-1.0.0.tar.gz # cd libpcap-1.0.0 #./configure prefix=/usr/local/snort/ bindir=/usr/local/bin/ # make && make install  Chuyển thư mục /root, giải nén cài đặt gói daq-2.0.0.tar.gz # tar -zxvf daq-2.0.0.tar.gz # cd daq-2.0.0 Phạm Quang Tuyến _ CT1802 54 Hệ thống phát cảnh báo nguy công mạng #./configure prefix=/usr/local/snort/ -bindir=/usr/local/bin/ withlibpcap-includes=/usr/local/snort/include/ with-libpcap- libraries=/usr/local/snort/lib/ enable-static # make && make install  Tạo người dùng nhóm người dùng cho Snort # groupadd snort # useradd -g snort -d /etc/snort -M -s /sbin/nologin snort  Chuyển thư mục /root tiến hành giải nén, cài đặt snort2.8.4.1.tar.gz # cd # tar -zxvf snort-2.8.4.1.tar.gz # cd snort-2.8.4.1 #./configure with-mysql-libraries=/usr/lib64/mysql enable- sourcefire # make && make install  Khởi tạo link liên kết cho tệp tin snort tới thư mục sbin # ln -s /usr/local/bin/snort /usr/sbin/  Copy kịch khởi động snort tới thư mục /etc/init.d/ # cp rpm/snortd /etc/init.d/ # cp rpm/snort.sysconfig /etc/sysconfig/snort  Cấp quyền với tệp tin khởi động Snort # chmod 755 /etc/init.d/snortd  Tạo thư mục chứa file cài đặt thư mục chứa file log # mkdir /etc/snort Phạm Quang Tuyến _ CT1802 55 Hệ thống phát cảnh báo nguy công mạng # mkdir /var/log/snort  Thay đổi quyền sỏ hữu thư mục /var/log/snort # chown snort:snort /var/log/snort/  Chuyển thư mục /root copy tất file cấu hình Snort tới thư mục /etc/snort # cp snort-2.8.4.1/etc/* /etc/snort/ # rm -rf /etc/snort/Makefile* (tệp tin hỗ trợ cho việc biên dịch chương trình viết mã ngn C) # mkdir -p /usr/local/lib64/snort_dynamicrules  Copy toàn thư mục Snortrules-snapshot 2953.tar.gz vào thư mục /etc/snort # cp snortrules-snapshot-2953.tar.gz /etc/snort/  Chuyển đến thư mục /etc/snort tiến hành giải nén cài đặt Snortrule # cd /etc/snort/ # tar -zxvf snortrules-snapshot-2953.tar.gz # cp /etc/snort/so_rules/precompiled/Centos-5-4/x86-64/2.9.5.3/*.so /usr/local/lib64/snort_dynamicrules/ # cat /etc/snort/so_rules/*.rules >> /etc/snort/rules/so-rules.rules  Chuyẻn đến thư mục /etc/snort tiến hành cấu hình Snort #cd /etc/snort # vi snort.conf  Dòng 110 trỏ đường dẫn tới thư mục chứa Rules var RULE_PATH /etc/snort/rules Phạm Quang Tuyến _ CT1802 56 Hệ thống phát cảnh báo nguy cơng mạng  Dịng 111 trỏ đường dẫn tới thư mục chứa thư viện var PREPROC_RULE_PATH /etc/snort/preproc_rules  Dòng 688 tiến hành bỏ dấu # điền thông tin database output database: log, mysql, user=snort password=123456 dbname=snort host=localhost  Lưu file cấu hình # vi /etc/sysconfig/snort  Dòng 69, 75, 81 thêm dấu # vào đầu dòng Bước 4: Tạo Database cho snort  Khởi động dịch vụ MySQL, cho phép khởi động hệ thống # service mysqld start # chkconfig mysqld on  Tạo CSDL cho Snort với MySQL # echo "set password for root@localhost=password('123456'); " | mysql -u root # echo "create database snort;" | mysql -u root -p  Gán toàn quyền cho User snort database snort # echo "grant all privileges on snort.* to snort@localhost with grant option;" | mysql -u root -p  Set password cho User snort truy cập database # echo "set password for snort@localhost=password('123456'); " | mysql -u root -p  Import CSDL # cd snort-2.8.4.1/schemas/ Phạm Quang Tuyến _ CT1802 57 Hệ thống phát cảnh báo nguy công mạng # mysql -u root -p < create_mysql snort Bước 5: Cài đặt giao diện quản trị  Giải nén gói adodb519.zip # unzip adodb519.zip  Di chuyển toàn thư mục adodb vừa giải nén vào /var/www/adodb # mv adodb5 /var/www/adodb  Giải nén gói base-1.3.9.tar.gz # tar -zxvf base-1.3.9.tar.gz  Di chuyển toàn thư mục base-1.3.9 vừa giải nén vào thư mục /var/www/html/base # mv base-1.3.9 /var/www/html/base  Thay đổi quyền sở hữu thư mục base # chown apache:apache /var/www/html/base/  Sửa file php.ini # vi /etc/php.ini  Bỏ tất dấu ; đầu dòng, từ dòng 112 - 115  Sửa file httpd.conf # vi /etc/httpd/conf/httpd.conf  Tại dòng 276 bỏ dấu # đầu dòng  Khởi động dịch vụ httpd, cho phép khởi động hệ thống # service httpd start # chkconfig httpd on  Cài đặt gói Epel Phạm Quang Tuyến _ CT1802 58 Hệ thống phát cảnh báo nguy công mạng # rpm -ivh epel-release-6-8.noarch.rpm  Cài dặt thêm gói sau # yum -y install pcre pcre-devel php-pear php-pear-Number php-pear- Number-Words php-pear-Image-Color php-pear-Image-Canvas php-pearImage-Graph  Sủa file snort.conf # vi /etc/snort/snort.conf  Từ dòng 810 - 862 tiến hành thém dâu # vào đầu tất dòng trỏ đường dẫn tới Rules  Khởi động dịch vụ Snort cho phép khởi động hệ thống # service snortd start # chkconfig snortd on  Sang máy Client đăng nhập vào Base để kiểm tra với địa http://192.168.10.12/base Chọn Continue để tiếp tục Hình 3-2: Hướng dẫn cài đặt SNORT - Thiết lập  Trỏ đường dẫn tới adodb Phạm Quang Tuyến _ CT1802 59 Hệ thống phát cảnh báo nguy cơng mạng Hình 3-3: Hướng dẫn cài đặt SNORT - Bước  Nhập thông tin database, username, password Username quản trị database Hình 3-4: Hướng dẫn cài đặt SNORT - Bước  Nhập Username password quản trị Hình 3-5: Hướng dẫn cài đặt SNORT - Bước  Chọn Continue để vào bước Phạm Quang Tuyến _ CT1802 60 Hệ thống phát cảnh báo nguy cơng mạng Hình 3-6: Hướng dẫn cài đặt SNORT - Bước  Trang quản trị Snort Hình 3-7: Trang quản trị Snort 3.4 Thiết lập số luật bản: 3.4.1 Tạo luật cảnh báo PING với kích thước lớn:  Tạo Rules icmp.rules: # vi /etc/snort/rules/icmp.rules  Tại tiến hành soạn rules với nội dung sau: alert icmp any any -> 192.168.10.0/24 any (msg:"He thong dang bi tan cong bang PING goi dung luong cao"; dsize: >500; sid:1111;)  Trỏ đường dẫn tới Rules vừa khởi tạo # vi /etc/snort/snort.conf  Bỏ dấu # trước dường dẫn tới Rules icmp vừa khởi tạo include $RULE_PATH/icmp.rules  Khởi động lại dịch vụ Snort service snortd restart Phạm Quang Tuyến _ CT1802 61 Hệ thống phát cảnh báo nguy công mạng  Tạo lệnh ping máy Client sau: ping -l 1000 -f 192.168.10.13 –t Mô tả tình huống: Kiểu cơng dùng giao thức ICMP Có phần quan trọng ICMP packet ICMP ECHO_REQUEST ICMP ECHO_RESPONSE datagrams thông thường dùng PING command đế thi hành hoạt động ICMP Khi máy tính gửi ICMP ECHO_REQUEST đến máy đó, máy hoạt động gữi trả lại ICMP ECHO_RESPONSE Hacker dùng PING program để tạo nên kích thước lớn cho gói tin ICMP (gói gọn IP packet), có nhiều cách để gửi ICMP datagrams mà packet mà bao gồm bits ICMP header infomation, Hacker thuong dùng PING program để gừi packet lớn 65536 bytes ( vượt qua cho phép TCP/IP) Thực nghiệm: Máy Attacker gửi gói ICMP Ping tới Webserver “ping -l 1000 -f 192.168.10.12 –t” Snort phát đưa cảnh báo trang quản trị Snort  Kết Trang quản trị Snort sau: Hình 3-8: Cảnh báo PING với kích thước lớn Phạm Quang Tuyến _ CT1802 62 Hệ thống phát cảnh báo nguy công mạng 3.4.2 Tạo luật cảnh báo truy cập Web:  Tạo Rules icmp.rules: # vi /etc/snort/rules/tcp.rules  Tại tiến hành soạn rules với nội dung sau: alert tcp any any -> 192.168.10.0/24 any (content: ""; msg:"Phat hien xam nhap website trai phep"; sid:2222; rev: 1;)  Trỏ đường dẫn tới Rules vừa khởi tạo # vi /etc/snort/snort.conf  Bỏ dấu # trước dường dẫn tới Rules icmp vừa khởi tạo include $RULE_PATH/icmp.rules  Khởi động lại dịch vụ Snort service snortd restart Mơ tả tình huống: Thơng thường, công DoS xảy hacker thực hoạt động nhằm mục đích "flood" (làm lụt) network với khối lượng thông tin khổng lồ Khi người dùng nhập URL website vào trình duyệt, tức gửi request đến server máy tính website Về bản, Server có khả xử lý số reqquest định gửi đến lúc Lợi dụng đặc điểm này, kẻ công khuếch đại số request lên với khối lượng khổng lồ khiến cho sever khả xử lí lượng reqquest Đây hình thức "từ chối dịch vụ", người dùng khơng thể truy cập trang web Thực nghiệm: Cùng thời điểm máy Attacker máy Client truy cập liên tục nhiều lần vào website tạo https://192.168.10.12 Snort phát đưa cảnh báo trang quản trị Snort  Kết Trang quản trị Snort sau: Phạm Quang Tuyến _ CT1802 63 Hệ thống phát cảnh báo nguy cơng mạng Hình 3-9: Cảnh báo truy cập Web Phạm Quang Tuyến _ CT1802 64 Hệ thống phát cảnh báo nguy công mạng KẾT LUẬN Trong khuôn khổ đồ án, mặt lý thuyết đồ án trình bày vấn đề hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập Bên cạnh đưa giải pháp xây dựng hệ thống phát xâm nhập mạng (IDS) Các nội dung nghiên cứu mà đề tài đặt giải vấn đề sau:  Tìm hiểu hệ thống giám sát an ninh mạng, thành phần chức hệ thống giám sát an ninh mạng  Nghiên cứu, tìm hiểu hệ thống phát xâm nhập mạng IDS ngăn chặn xâm nhập mạng IPS  Cài đặt thử nghiệm thành công ứng dụng phần mềm mã nguồn mở SNORT phát xâm nhập mạng  Kết hợp xây dựng giao diện quản trị ứng dụng SNORT trực quan với người sử dụng Song song với kết mà em đạt em nhận thấy đồ án số điểm hạn chế Đồ án mức cài đặt thử nghiệm, để đưa vào thực nghiệm sử dụng thực tế, cần phải tích hợp hồn chỉnh, bổ sung thêm chức hướng phát triển nghiên cứu đề tài, cụ thể là:  Phát thêm nhiều kiểu cơng khác  Có thêm chức tự động phản ứng trước công  Tích hợp thêm nhiều phần mềm khác với nhiều tính hơn, giúp cho hệ thống giám sát an ninh mạng giám sát hệ thống chặt chẽ  Hiện Snort với khả phát xâm nhập dựa vào mẫu sẵn có Vì kiểu công phát Do cần xây dựng thêm chức phân tích dựa vào kiện bất thường Phạm Quang Tuyến _ CT1802 65 Hệ thống phát cảnh báo nguy cơng mạng phân tích dựa giao thức để phát cơng cách xác Hy vọng thời gian tới, em nghiên cứu sâu để hoàn thiện phát triển đề tài thành sản phẩm ứng dụng vào thực tiễn Phạm Quang Tuyến _ CT1802 66 Hệ thống phát cảnh báo nguy công mạng TÀI LIỆU THAM KHẢO [1.] Andrew R Bakeer & Joel Esler (2007), Snort IDS and IPS Toolkit Syngress Publishing, Inc [2.] The Snort Team (2012), Snort® User Manual 2.9.3, The Snort Project [3.] David Gullett (2012), Snort 2.9.3 and Snort Report 1.3.3 on Ubuntu 12.04 LTS Install Guide, Symmetrix Technologies [4.] VNCERT (2007), “Nghiên cứu xây dựng mơ hình hệ thống quản lý An tồn Internet theo cấu trúc phân bổ”, Hà Nội [5.] Học viện kỹ thuật mật mã (2008), “Bộ giao thức TCP/IP”, Học viện kỹ thuật mật mã, Hà Nội [6.] https://www.snort.org [7.] https://seclists.org/snort/ [8.] https://fossies.org/linux/snort/configure.in [9.] https://www.academia.edu/4302986/Cai_d%E1%BA%B7t_ Snort_Barnyard_BASE_tren_Cent_OS_5_2 Phạm Quang Tuyến _ CT1802 67 ... cần có hệ thống phát cảnh báo sớm trước công Hệ thống phát xâm nhập xem lựa chọn tối ưu Đồ án trình bày Hệ thống phát cảnh báo nguy công mạng tìm hiểu cơng cụ phát cảnh báo nguy công mạng mã... thống phát cảnh báo nguy công mạng  Gián đoạn phiên  Cấm địa IP công  Tạo log Phạm Quang Tuyến _ CT1802 16 Hệ thống phát cảnh báo nguy công mạng CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG Nếu... Hệ thống phát cảnh báo nguy công mạng công Một hệ thống khơng thể dị công hiệp đồng phức tạp  Một hệ thống NIDS thường gặp khó khăn việc xử lý cơng phiên mã hố Lỗi trở nên trầm trọng nhiều công