TRƯỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tên đồ án: TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS TRIỂN KHAI SNORT TRÊN WINDOWS SERVER 2008 Sinh viên thực : Lớp Lê Phƣơng Nghĩa – 1051070400 : 51K2 - CNTT Giáo viên hướng dẫn : ThS Nguyễn Quang Ninh Nghệ An, tháng 12 năm 2014 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI CẢM ƠN Trên thực tế khơng có thành cơng mà khơng gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp người khác Trong suốt thời gian từ bắt đầu học tập giảng đường đại học đến nay, em nhận nhiều quan tâm, giúp đỡ q Thầy Cơ, gia đình bạn bè Với lịng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô khoa Công nghệ thông tin - Trường Đại học Vinh với tri thức tâm huyết để truyền đạt vốn kiến thức quý báu cho chúng em suốt thời gian học tập trường Đặc biệt Thầy Cô tổ Kỹ thuật máy tính tạo điều kiện tốt để em hồn thành tốt Đồ án tốt nghiệp Em xin chân thành cảm ơn Th.S Nguyễn Quang Ninh tận tâm hướng dẫn, bảo Nếu khơng có lời hướng dẫn, dạy bảo thầy em nghĩ Đồ án tốt nghiệp khó hồn thiện Một lần nữa, em xin chân thành cảm ơn thầy Do nhiều yếu tố khách quan lẫn chủ quan nên không tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp q báu q Thầy Cơ bạn học để kiến thức em lĩnh vực hồn thiện Cuối chúng em xin kính chúc Thầy Cô Khoa Công nghệ thông tin Th.S Nguyễn Quang Ninh thật dồi sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Trân trọng! Nghệ An, ngày 10 tháng 12 năm 2014 Sinh viên Lê Phƣơng Nghĩa Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC Trang LỜI CẢM ƠN LỜI MỞ ĐẦU 1.1 Giới thiệu IDS 1.1.1 Định nghĩa IDS 1.1.2 Lợi ích IDS 1.1.3 Phân biệt hệ thống IDS 1.1.4 Kiến Trúc nguyên lý hoạt động IDS 1.2 Phân loại IDS 12 1.2.1 Network based IDS - NIDS 12 1.2.2 Host based IDS - HIDS 14 1.3 Cơ chế hoạt động IDS 15 1.3.1 Mơ hình phát lạm dụng 16 1.3.2 Mơ hình phát bất thường 16 1.3.3 So sánh hai mơ hình 17 1.4 Cách phát kiểu công thông dụng IDS 18 1.4.1 Tấn công từ chối dịch vụ (Denial of Service attack) 18 1.4.2 Quét thăm dò (Scanning Probe) 18 1.4.3 Tấn công vào mật mã (Password attack) 19 1.4.4 Chiếm đặc quyền (Privilege-grabbing) 19 1.4.5 Cài đặt mã nguy hiểm (Hostile code insertion) 20 1.4.6 Hành động phá hoại máy móc (Cyber vandalism) 20 1.4.7 Tấn công hạ tầng bảo mật (Security infrastructure attack) 20 CHƢƠNG II HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 22 2.1 Giới thiệu snort 22 2.2 Kiến trúc snort 23 Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.3 Thành phần chức snort 23 2.3.1 Bộ phận giải mã gói (Packet Decoder) 24 2.3.2 Bộ phận xử lý trước (Preprocessor) 24 2.3.3 Bộ phận phát (Detection Engine) 25 2.3.4 Hệ thống ghi cảnh báo (Logging and Alerting system) 25 2.3.5 Bộ phận đầu (output module) 26 2.4 Các chế độ làm việc Snort 26 2.4.1 Chế độ “lắng nghe” mạng 26 2.4.2 Chế độ Packet logger 26 2.4.3 Chế độ phát xâm nhập mạng (NIDS) 27 2.4.4 Inline Mode 27 2.5 Giới thiệu luật Snort 27 2.5.1 Phần header 28 2.5.2 Phần Option 29 CHƢƠNG III CÀI ĐẶT VÀ MÔ PHỎNG SNORT TRÊN WINDOWS SERVER 2008 31 3.1 Giới thiệu kịch 31 3.1.1 Mô tả kịch 31 3.1.2 Đặt giải pháp 32 3.1.3 Yêu cầu 32 3.2 Thực 33 3.2.1 Cài đặt cấu hình 33 3.2.2 Download Snort: 33 3.2.3 Cài đặt Snort 34 3.2.4 Sử dụng Snort: 37 KẾT LUẬN 454 TÀI LIỆU THAM KHẢO 45 Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI MỞ ĐẦU I Lý chọn đề tài An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phịng chống cơng xâm nhập cho mạng máy tính vấn đề cần thiết Ngồi việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng việc chép liệu, nghe trộm việc truyền nhàm lấy liệu quan trọng Có nhiều giải pháp đưa để hạn chế vấn đề nói em chọn đề tài “Tìm hiểu hệ thống phát xâm nhập IDS – Triển khai Snort Windows Server 2008” để nghiên cứu II Ý nghĩa đề tài - Xây dựng kiến thức liên quan đến hệ thống phát chống xâm nhập IDS - Xây dựng Demo việc phát xâm nhập Snort III Đối tƣợng phƣơng pháp nghiên cứu - Tìm hiểu bảo mật - Nghiên cứu phương pháp xâm nhập hệ thống- biện pháp ngăn ngừa - Nghiên cứu hệ thống phát xâm nhập IDS - Nghiên cứu công cụ IDS – Snort - Xây dựng hệ thống Snort - IDS Windows - Thu thập tài liệu liên quan đến vấn đề đề tài - Các khái niệm nguyên lý hoạt động hệ thống phát xâm nhập IV Các mục tiêu đề tài - Tìm hiểu thơng tin bảo mật - Tìm hiểu, tổng hợp phân tích hệ thống phát xâm nhập IDS Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC - Tìm hiếu nghiên cứu vấn đề liên quan đến chương trình snort - Tìm hiểu sử dụng tốt hệ điều hành Windows - Tìm hiếu phương pháp triển khai cài đặt Snort Windows - Đưa số nhận định hướng phát triển đề tài V Bố cục Nội dung khóa luận tốt nghiệp gồm chương:   Chương I: Hệ thống phát xâm nhập IDS - Tìm hiểu kiến trúc nguyên lý hoạt động IDS - Phân loại IDS, phương thức phát chế hoạt động IDS - Cách phát kiểu công thông dụng IDS Chương II: Triển khai ứng dụng dị tìm xâm nhập hệ thống Window dựa Snort  - Kiến trúc Snort - Bộ luật Snort Chương III: Cài đặt Mô - Cài đặt Snort lên hệ điều hành Windows Server 2008 Mơ tình để thử nghiệm cơng cụ Snort Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG I HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Giới thiệu IDS Cách lâu, khái niệm phát xâm nhập xuất qua báo James Anderson Khi người ta cần IDS với mục đích dị tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS công nghệ an ninh sử dụng nhiều phát triển 1.1.1 Định nghĩa IDS Hệ thống phát xâm nhập (Intrusion Detection System - IDS) hệ thống phần cứng phần mềm có chức tự động theo dõi kiện xảy ra, giám sát lưu thông mạng, cảnh báo hoạt động khả nghi cho nhà quản trị Một hệ thống IDS vừa phần cứng vừa phần mềm phối hợp cách hợp lí để nhận mối nguy hại có thê cơng Chúng phát hoạt động xâm nhập trái phép vào mạng Chúng xác định hoạt động xâm nhập việc kiểm tra lại mạng, host log, system call, khu vực khác phát dấu hiệu xâm nhập IDS phân biệt công từ bên (những người công ty) hay công từ bên (từ Hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Một hệ thống phát xâm nhập trái phép cần phải thỏa mãn yêu cầu sau: - Tính xác (Accuracy): IDS khơng coi hành động thông thường môi trường hệ thống hành động bất thường hay lạm dụng (hành động thông thường bị coi bất thường gọi false positive) - Hiệu (Performance): Hiệu IDS phải đủ để phát xâm nhập trái phép thời gian thực (thời gian thực nghĩa hành động xâm nhập trái phép phải phát trước xảy tổn thương nghiêm trọng tới hệ thống) - Tính trọn vẹn (Completeness): IDS khơng bỏ qua xâm nhập trái phép (xâm nhập không bị phát gọi false negative) Đây điều kiện khó thỏa mãn gần khơng thể có tất thơng tin cơng từ khứ, hiên tương lai Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả chống lại công - - Khả mở rộng (Scalability): IDS phải có khả xử lý trạng thái xấu khơng bỏ sót thơng tin u cầu có liên quan đến hệ thống mà kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với phát triển nhanh mạnh mạng máy tính, hệ thống bị tải tăng trưởng số lượng kiện Hình 1.1 Các vị trí đặt IDS mạng Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.1.2 Lợi ích IDS Lợi hệ thống phát kiểu công chưa biết trước Tuy nhiên, hệ thống lại sinh nhiều cảnh bảo sai định nghĩa chung công Thống kê cho thấy hệ thống này, hầu hết cảnh báo cảnh báo sai, có nhiều cảnh báo từ hành động bình thường, có vài hành động có ý đồ xấu, vấn đề chỗ hầu hết hệ thống có khả giới hạn cảnh báo nhầm Sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng, lợi ích mà đem lại lớn Một mặt giúp hệ thống an tồn trước nguy cơng, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng 1.1.3 Phân biệt hệ thống IDS Theo cách riêng biệt đó, thiết bị bảo mật IDS: - Hệ thống đăng nhập mạng sử dụng để phát lỗ hổng vấn đề công từ chối dịch vụ (DoS) mạng Ở có hệ thống kiểm tra lưu lượng mạng - Các công cụ đánh giá lỗ hỗng kiểm tra lỗi lỗ hổng hệ điều hành, dich vụ mạng (các quét bảo mật) - Các sản phẩm chống virus thiết kế để phát phần mềm mã nguy virus, trojan horse, worm, Mặc dù tính mặc định giống IDS thường cung cấp công cụ phát lỗ hổng bảo mật hiệu - Tường lửa - firewall - Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN, Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.1.4 Kiến Trúc nguyên lý hoạt động IDS 1.1.4.1 Thành phần IDS Hình 1.2 Thành phần IDS Kiến trúc hệ thống IDS bao gồm thành phần chính: thành phần thu thập gói tin (Information Collection), thành phần phân tích gói tin (Dectection), thành phần phản hồi (Respontion) gói tin phát cơng tin tặc Trong ba thành phần thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trị định nên vào phân tích cảm biến đế hiểu rõ kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thơng với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG III CÀI ĐẶT VÀ MÔ PHỎNG SNORT TRÊN WINDOWS SERVER 2008 3.1 Giới thiệu kịch 3.1.1 Mô tả kịch Công ty TNHH VILACA công ty Xuất nhập hàng gia dụng Địa công ty 04 – Đặng Thái Thân – Tp.Vinh Việc hoạt động kinh doanh công ty chủ yếu thông qua Internet Hệ thống mạng công cần phải đảm bảo yêu cầu kỹ thuật hoạt động liên tục mức độ bảo mật an toàn cao Tuy nhiên bên cạnh phát triển nhanh chóng đạt yêu cầu đặt mong muốn hệ thống xảy nhiều rủi ro không tuân thủ nghiêm ngặt quy định luật sở hữu, quyền phần mềm Nên người quản trị cần phải tăng cường khả an tồn thơng tin để khỏi bị mát liệu lỗ hổng bảo mật hay bị hacker, virus, trojan công Những yêu cầu bảo mật Cơng ty: - Đảm bảo an tồn giao dịch qua Internet - Giám sát trình làm việc nhân viên - Đảm bảo an toàn cho Server chạy ứng dụng phần mềm công ty, đảm bảo cho việc lưu, phục hồi liệu, tránh trường hợp bị hacker công vào Server Database Mơ hình mạng hạ tầng cơng ty Hình 3.1 Mơ hình mạng Cơng ty TNHH Vilaca Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 31 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tình đặt Khi nhân viên biểu bất thường mạng hay người Internet xâm nhập thăm dị mạng, qt tìm lỗi hệ thống mạng công ty, xây dựng sơ đồ mạng bảo đảm tính sẵn sàng cho hệ thống, đối phó với cơng từ ngồi nào? Làm phát kịp thời để có phịng ngừa ngăn chặn 3.1.2 Đặt giải pháp Xây dựng mơ hình kết hợp với hệ thống dị tìm phát xâm nhập IDS phương pháp hiệu để giúp người quản trị luôn nắm trạng thái mạng, chọn hai mơ hình NIDS HIDS kết hợp hai lại với Hình 3.2 Mơ hình giải pháp kết hợp IDS Khi bị công hệ thống Snort phát xâm nhập đưa cảnh báo cho người quản trị, thông tin công, lỗi hệ thống, tất thông tin lưu vào hệ thống sở liệu 3.1.3 Yêu cầu Phần mềm IDS - Snort triển khai hệ thống mạng máy Windows Server 2008 Để cài đặt Snort, cần cài đặt phần mềm WinPcap tương ứng với phiên Snort triến khai Phần mềm cài Snort: Snort_2_9_7_0_Installer.exe Phần mềm cài Wincap: Winpcap-4.1.3.exe Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 32 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Chúng ta tiến hành cài đặt WinPcap trước cài đặt Snort Theo mặc định phần mềm Snort cài đặt C:\Snort 3.2 Thực 3.2.1 Cài đặt cấu hình Hình 3.3 Mơ hình Demo 3.2.2 Download Snort: Download snort trang web http://www.Snort.org Chọn Downloads  Chọn phiên Snort_2_9_7_0_Installer.exe Tập Rules tải Hình 3.4 Giao diện trang Web Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 33 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.2.3 Cài đặt Snort Trước tiên tải Winpcap từ http://www.iltiloi.com Snort từ trang http://www.snort.org trình bày Trước cài ln Winpcap yêu cầu để đảm bảo tính tương thích Winpcap Snort Click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt Sau copy rules tạo sẵn (download từ http://www.snort.org ) sau giải nén copy thư mục Rules vào thư mục cài đặt snort chứa C:\Snort Hình 3.5 Thư mục Rule Sau cài đặt Snort cần phải thiết lập tham số quan trọng biến HOME_NET PATH_RULE, classification, dynamicpreprocessor khởi động Snort thực công việc Khai báo biến fíle Snort.conf foder C:\Snort\etc Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 34 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HOME_NET (trong trường hợp HOME_NET lớp 172.16.10.0/24) ta bỏ hết chữ ip chữ “ipvar” Hình 3.6 Khai báo biến HOME NET Sau ta tiếp tục khai báo biến cho RULE PATH Hình 3.7 Khai báo biến RULE PATH Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 35 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tiếp tục khai báo cho biến có tên include classifìcation, reference cách thêm dịng c:\snort\etc\ Hình 3.8 Khai báo biến include classification, reference Tiếp theo ta khai báo dynamicpreprocessor, dynamicengine, dynamicdetection sau: dynamicpreprocessor directory c :\snort\lib\snort_dynamicpreprocessor dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll dynamicdetection directory c:\snort\lib\snort_dynamicrules Hình 3.9 Khai báo biến dynamicpreprocessor, dynamicengine, dynamicdetection Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 36 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Cuối chạy lệnh để kiểm tra độ ổn định: Snort –l c:\snort\log -c c:\snort\etc\snort.conf -A console Hình 3.10 Kết sau thực thi dòng lệnh Như cấu hình xong Snort.conf Snort sẵn sàng hoạt động chế độ khác 3.2.4 Sử dụng Snort:  Chế độ Sniffer Packet: Để tiến hành Sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính bạn có sử dụng nhiều card sử dụng lệnh snort -W Hình 3.11 Số Card mạng Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 37 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Vậy card mạng có số hiệu Bây tiến hành sniffer packet dùng lệnh: snort -dev -ix (với X số hiệu card mạng) Trong trình chạy Snort, tiến hành Ping IP 172.16.10.10 vào máy Window Server 172.16.10.1) Hình 3.14 Bắt phân tích gói tin Hình 3.15 Kết thu Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 38 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Chế độ Packet Logger Chúng ta lưu gói liệu vào fíle log để xem lệnh: snort -dev -il -1 C:\snort\log (dịng lệnh ghi log thơng tin liệu tầng Datalink TCP/IP) Hình 3.14 Bắt lưu gói liệu vào file Log Đọc log ghi lại: snort -dvr C:\Snort\log\snort.log.NHÃN THỜI GIAN Hình 3.15 Kiểm thử file Log ghi lại Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 39 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Chế độ NIDS Một vài ví dụ: - Tạo cảnh báo với thông điệp kèm theo : Alert tcp any any -> any 23 (msg: "Telnet Connection -> Attempt";) - Dị tìm tiến trình qt mạng TCP NULL: Alert tcp any any -> detected"; >= 10.0.10.0/24 any (msg: "NULL scan flags: 0;) - Dị tìm tiến trình OS fingerprinting; Alert tcp any any -> 10.0 10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12;) - Tiến hành lọc nội dung : Alert tcp any $HOME_NET-> !$HOME_NET cmy (content: => "Hello"; msg:"Heỉlo Packet";) Như tiến hành cài đặt cấu hình snort để tiến hành bắt giữ gói tin, xem nội dung chúng chưa biến snort thực trở thành hệ thống IDS - dị tìm xâm phạm trái phép Vì hệ thống cần có quy tắc (rule) hành động cảnh báo cho quản trị hệ thống xảy trùng khớp quy tắc Trong phần tiếp theo,chúng ta tiến hành cấu hình để xây dựng network IDS với Snort Trong thử nghiệm này, tiến hành tạo Rule ghi lại cảnh báo hoạt động người dùng ❖ Sử dụng trình sọan thảo Notepad nhập vào nội dung: alert icmp any any -> 172.16.10.1/24 any (msg: "Co nguoi dang Ping vao he thong";SID:10510701;) alert tcp any any -> 172.16.10.1/24 80 (msg: "Co nguoi dang tien hanh truy cap Website";SID:10510702;) Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 40 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Để thử nghiệm luật trước hết ta tạo trang Web có nội dung Hình 3.16 Website tạo Sau viết rule xong, việc ta phải Setup lại Snort để Snort cập nhật lại rule ta vừa tạo Snort –l c:\snort\log -c c:\snort\etc\snort.conf -A console Hình 3.17 Chạy Snort để cập nhật rule vừa khởi tạo Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 41 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Ngồi việc theo dõi cách xác ghi lại tất hoạt động người sử dụng nội người sử dụng trái phép bên người quản trị sử dụng dịng lệnh để log nhật ký hệ thống: C:Snort\bin>snort -c C:\Snort\etc\snort.conf -1 C:\Snort\log Thí nghiệm Rule 1) ta Ping từ máy Client 172.16.10.10  172.16.10.1 Hình 3.18 Máy 172.16.10.10  172.16.10.1 Thí nghiệm Rule 2) từ máy Client 172.16.10.10/24 ta truy cập Website với địa ip 172.16.10.1 http://vilacacompany.com Hình 3.19 Website truy cập từ máy Client Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 42 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Cuối ta xem lại cảnh báo IDS - Snort ghi lại file alert.ids sau: Hình 3.20 Kết sau thực Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 43 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN Những phần nắm đƣợc Bất kỳ mạng có lỗ hổng mặt kỹ thuật, điểm mà kẻ cơng lợi dụng để thâm nhập vào hệ thống nhằm mục đích ăn cắp hay phá hoại Trên thực tế không dám cam đoan có hệ thống mạng bảo mật tuyệt đối Do cần phải sử dụng nhiều kỹ thuật bảo mật để bảo vệ tính an tồn cho hệ thống mạng Ngồi việc sử dụng phương pháp mã hoá để bảo vệ tính bí mật thơng tin sử dụng chế chứng thực việc sử dụng hệ thống phát xâm nhập IDS để quản lý giám sát hệ thống mạng phương pháp tốt Đề tài cho ta thấy rõ cần thiết bảo mật, hạn chế phương pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triến Bài báo cáo giúp:    Đưa nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS Tìm hiểu thành phần, chế độ hoạt động hệ thống IDS Snort options module hệ thống IDS-Snort Thực cài đặt thành công Snort hệ điều hành Windows Server 2008 Viết số luật đơn giản để thử nghiệm hệ thống Những chƣa đạt đƣợc Đề tài cịn nhiều thiếu sót Phần lý thuyết tổng quát sơ lược tóm tắt chưa sâu nghiên cứu vấn đề Phần thử nghiệm tìm hiếu chế độ đon giản Sniffer Packet, Packet Logger, NIDS Và chế độ không phần quan trọng Inline mode Về vấn đề viết rule cho Snort để xử lý hệ thống luật viết có phần cịn đơn giản Hƣớng mở rộng Sau nắm hệ thống phát xâm nhập (IDS), ta thực nghiên cứu hệ thống phát ngăn chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ chức Nghiên cứu sử dụng Snort để phát hình thức cơng phát triển lên phương pháp phịng chống tiên tiến Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 44 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, Nxb Giáo dục, 1999 [2] Nguyễn Ngọc Tuấn, Công nghệ bảo mật, Nxb Thống Kê, 2005 [3] Tô Thanh Hải, Quản Trị Windows Server 2008, Tập 1, Nxb Phương Đông, 2010 [4] Tô Thanh Hải, Quản Trị Windows Server 2008, Tập 2, Nxb Phương Đông, 2010 [5] Vũ Đình Cường, Phương Pháp Cấu Hình Và Thiết Lập Bảo Mật Trên Windows Server 2003 Đối Với Mạng Doanh Nghiệp, Nxb Giao Thông Vận Tải, 2005 [6] Các [7] diễn đàn http://nhatnghe.com; http://forum.ubuntu-vn.org, Kênh Video http://youtube.com Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 45 ... chọn đề tài ? ?Tìm hiểu hệ thống phát xâm nhập IDS – Triển khai Snort Windows Server 2008? ?? để nghiên cứu II Ý nghĩa đề tài - Xây dựng kiến thức liên quan đến hệ thống phát chống xâm nhập IDS - Xây... trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triến Bài báo cáo giúp:    Đưa nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS Tìm hiểu. .. Sau nắm hệ thống phát xâm nhập (IDS) , ta thực nghiên cứu hệ thống phát ngăn chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ chức Nghiên cứu sử dụng Snort để phát hình thức cơng phát triển lên