005.8 TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN NGUYỄN THANH LIÊM ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÌM HIỂU VÀ TRIỂN KHAI HỆ THƠNG PHÁT HIỆN XÂM NHẬP IDS-SNORT Nghệ An, tháng 12 năm 2014 TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Sinh viên thực hiện: Nguyễn Thanh Liêm Mã sinh viên: 1051073777 Lớp: Giáo viên hướng dẫn: 51K2 ThS Lê Quốc Anh Nghệ An, tháng 12 năm 2014 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI CẢM ƠN Trên thực tế thành cơng mà khơng gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp ngƣời khác Trong suốt thời gian từ bắt đầu học tập giảng đƣờng đại học đến nay, em nhận đƣợc nhiều quan tâm, giúp đỡ quý Thầy Cơ, gia đình bạn bè Với lịng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô khoa Công nghệ thông tin - Trƣờng Đại Học Vinh với tri thức tâm huyết để truyền đạt vốn kiến thức quý báu cho chúng em suốt thời gian học tập trƣờng Đặc biệt Thầy Cô tổ Mạng máy tính truyền thơng tạo điều kiện tốt để em hồn thành tốt Đồ án tốt nghiệp Em xin chân thành cảm ơn Th.S Lê Quốc Anh tận tâm hƣớng dẫn, bảo Nếu lời hƣớng dẫn, dạy bảo thầy em nghĩ Đồ án tốt nghiệp khó hồn thiện đƣợc Một lần nữa, em xin chân thành cảm ơn thầy Cuốn Đồ án tốt nghiệp đƣợc thực vòng 14 tuần, thời gian tƣơng đối, nhiên nhiều yếu tố khách quan lẫn chủ quan nên không tránh khỏi thiếu sót điều chắn, em mong nhận đƣợc ý kiến đóng góp quý báu quý Thầy Cô bạn học để kiến thức em lĩnh vực đƣợc hoàn thiện Cuối em xin kính chúc Thầy Cơ Khoa Công nghệ thông tin Th.S Lê Quốc Anh thật dồi sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Trân trọng! Vinh, ngày 08 tháng 12 năm 2014 Sinh viên: Nguyễn Thanh Liêm Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hịa vào mạng tồn cầu Internet An tồn bảo mật thơng tin vấn đề quan trọng hàng đầu, thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân nhƣ mạng nội đƣợc nghiên cứu triển khai Tuy nhiên, thƣờng xuyên có mạng bị cơng, có tổ chức bị đánh cắp thơng tin, …gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính công ty lớn nhƣ Microsoft, IBM, trƣờng đại học quan nhà nƣớc, tổ chức quân sự, nhà băng, …một số vụ công với quy mơ khổng lồ (có tới 100.000 máy tính bị công) Hơn số phần tảng băng trôi Một phần lớn vụ cơng khơng đƣợc thơng báo nhiều lý do, kể lo uy tín đơn giản ngƣời quản trị dự án không hay biết vụ công nhằm vào hệ thống họ Không vụ cơng tăng lên nhanh chóng mà phƣơng pháp cơng liên tục đƣợc hồn thiện Điều phần nhân viên quản trị hệ thống ngày đề cao cảnh giác Vì việc kết nối vào mạng Internet mà khơng có biện pháp đảm bảo an ninh đƣợc xem tự sát Một giải pháp đáp ứng tốt cho vấn đề triển khai hệ thống dị tìm xâm nhập trái phép Instruction Detect System (IDS) Có hai u cầu triển khai hệ thống IDS chi phí với khả đáp ứng linh hoạt trƣớc phát triển nhanh chóng Cơng nghệ thơng tin Snort phƣơng án giải tốt hai yêu cầu Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Nội dung đề tài gồm chƣơng nhƣ sau: Chƣơng 1: Tổng quan hệ thống phát xâm nhập IDS Chƣơng mơ tả khái niệm, vai trị, mơ hình kiến trúc ƣu nhƣợc điểm hệ thống phát xâm nhập IDS Chƣơng 2: Cấu trúc snort, chức snort, luật snort Nghiên cứu hệ thống Snort bao gồm: cấu trúc, thành phần, chế độ làm việc, tập luật Snort Chƣơng 3: Triển khai snort hệ thống mạng Phân tích đánh giá hoạt động Snort thông qua mô vài kiểu công mạng Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU MỤC LỤC CHƢƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm 1.2 Cấu trúc hệ thống 1.3 Phân loại IDS CHƢƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 2.1 Tổng quan Snort 2.2 Các thành phần Snort 10 2.3 Các chế độ làm việc Snort 13 2.4 Làm việc với tập luật Snort 16 CHƢƠNG III: CÀI ĐẶT VÀ MÔ PHỎNG 28 3.1 Mơ hình triển khai 28 3.2 Cài đặt Snort sever CentOS 6.5 28 3.3 Cấu hình proxy cho client internet 33 3.4 Mơ tình 35 KẾT LUẬN 39 TÀI LIỆU THAM KHẢO 40 Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm Phát xâm nhập tập hợp kỹ thuật phƣơng pháp đƣợc sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ Hệ thống phát xâm nhập có loại bản: Phát xâm nhập dựa dấu hiệu Phát bất thƣờng 1.1.1 Phát xâm nhập dựa dấu hiệu Phƣơng pháp nhận dạng công cách so sánh dấu hiệu nhận đƣợc với tập hợp dấu hiệu biết trƣớc đƣợc xác định công 1.1.2 Phát bất thường Đây phƣơng pháp thiết lập ghi nhận trạng thái hoạt động ổn định hệ thống so sánh với trạng thái hoạt động hành để kiểm tra chênh lệch Nếu nhận thấy chênh lệch lớn có khả xảy công 1.2 Cấu trúc hệ thống Các thành phần gồm: 1.2.1 Sensor / Agent Giám sát phân tích hoạt động “Sensor” thƣờng đƣợc dùng cho dạng Network-base IDS/IPS “Agent” thƣờng đƣợc dùng cho dạng Hostbase IDS/IPS 1.2.2 Management Server: Là thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng Một số Management Server thực việc phân tích thông tin việc đƣợc cung cấp Sensor / Agent nhận dạng đƣợc kiện dù Sensor / Agent đơn lẻ nhận diện đƣợc 1.2.3 Databaseserver: Lƣu trữ thông tin từ Sensor / Agent hay Management Server 1.2.4 Console: Là chƣơng trình cung cấp giao diện cho IDS users /Admins Có thể cài đặt máy tính bình thƣờng dùng để phục vụ cho tác vụ quản trị, để giám sát, phân tích Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.3 Phân loại IDS IDS đƣợc chia thành: Host-based IDS (HIDS) Network-based IDS (NIDS) 1.3.1 Network-based IDS (NIDS) Hình 1.3.1: Mơ hình NIDS NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lƣu thơng phƣơng tiện truyền dẫn nhƣ (cables, wireless) cách sử dụng card giao tiếp Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo đƣợc tạo để thông báo đến nhà quản trị file log đƣợc lƣu vào sở liệu 1.3.1.1Ưu điểm NIDS:  Quản lý đƣợc phân đoạn mạng (networksegment)  Trong suốt với ngƣời sử dụng kẻ cơng  Cài đặt bảo trì đơn giản, không làm ảnh hƣởng đến mạng  Tránh đƣợc việc bị công dịch vụ đến host cụ thể  Có khả xác định đƣợc lỗi tầng network  Độc lập với hệ điều hành 1.3.1.2Hạn chế NIDS:  Có thể xảy trƣờng hợp báo động giả, tức khơng có dấu hiệu bất thƣờng mà IDS báo  Khơng thể phân tích đƣợc lƣu lƣợng đƣợc mã hóa nhƣ SSH, IPSec, SSL…  Phải cập nhật dấu hiệu cơng để thực an tồn  Khơng thể cho biết việc mạng bị cơng có thành công hay không, để ngƣời quản trị tiến hành bảo trì hệ thống Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.3.2 Host Base IDS (HIDS): Hình 1.3.2: Mơ hình HIDS HIDS thƣờng đƣợc cài đặt máy tính định Thay giám sát hoạt động Network segment, HIDS giám sát hoạt động máy tính 1.3.2.1Ưu điểm HIDS  Có khả xác định user hệ thống liên quan đến kiện  HIDS có khả phát cơng diễn máy  Có khả phân tích liệu đƣợc mã hóa  Cung cấp thơng tin hót lúc công diễn 1.3.2.2Hạn chế HIDS  Thông tin từ HIDS không đáng tin cậy công vào host thành công  Khi hệ điều hành bị “hạ” cơng, đồng thời HIDS bị “hạ đo ván”  HIDS phải đƣợc thiết lập host cần giám sát  HIDS khả phát dị qt mạng (Nmap, Netcat…)  HIDS cần tài nguyên host để hoạt động  HIDS khơng hiệu bị DOS  Đa số chạy hệ điều hành Window Tuy nhiên có số chạy đƣợc Linux Unix Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 2.1 Tổng quan Snort 2.1.1 Khái niệm Snort đƣợc phát triển năm 1998 Sourcefire CTMO Martin Roeschm phần mềm miễn phí Ban đầu đƣợc gọi Cơng nghệ phát phòng chống xâm nhập hạng nhẹ, song Snort dần phát triển đƣợc triển khai rộng rãi toàn giới Mặc dù phƣơng pháp phát xâm nhập nhƣng Snort đƣợc đánh giá hệ thống tốt Snort ứng dụng bảo mật đại có ba chức chính: Nó phục vụ nhƣ phận lắng nghe gói tin, lƣu lại thơng tin gói tin hệ thống phát xâm nhập mạng (NIDS) Bên cạnh có nhiều Add-on cho Snort để quản lý (ghi log, quản lý, tạo rules…) Tuy thành phần phần lõi Snort nhƣng lại đóng vai trị quan trọng việc sử dụng nhƣ khai thác tính Snort 2.1.2 Các đặc tính  Nó hỗ trợ cho nhiều nhiều tảng hệ điều hành khác nhƣ: Linux, OpenBSD, Solaris, Window… Snort cung cấp số đặc tính nhƣ:  Có khả phát số lƣợng lớn kiểu thăn dò, xâm nhập khác nhƣ: buffer oveflow, CGI-Atack, Scan, ICMP, Virus…  Phát nhanh xâm nhập theo thời gian thực  Cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập  Giúp ngƣời quản trị tự đặt dấu hiệu xâm nhập cách dễ dàng  Là phần mềm Open source không tốn chi phí đầu tƣ Snort đƣợc xây dựng với mục đích thỏa mãn tính sau: Có hiệu cao hơn, đơn giản có tính uyển chuyển cao Sinh viên: Nguyễn Thanh Liêm - 1051073777 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Rev: < revision integer>; Từ khóa rev đƣợc thêm vào option luật Snort để số revision luật Nếu bạn cập nhật luật, bạn sử dụng từ khóa để phân biệt phiên Các module output sử dụng số để nhận dạng số revision Rpc: < Số ứng dụng, Số thủ Từ khóa rpc đƣợc sử dụng để phát tục, Số phiên bản>; yêu cầu RPC Từ khóa chấp nhận số nhƣ đối số Sameip; Từ khóa sameip đƣợc sử dụng để kiểm tra địa nguồn đích có giống hay khơng Nó khơng có đối số Seq: ; Từ khóa seq luật Snort đƣợc sử dụng để kiểm tra số thứ tự sequence gói tin TCP Flow Từ khóa flow đƣợc sử dụng để áp dụng luật lên gói tin di chuyển theo hƣớng cụ thể Bạn sử dụng option với từ khóa để xác định hƣớng Các option sau đƣợc sử dụng với từ khóa này:  To_client  To_server  From_client  From_server Sinh viên: Nguyễn Thanh Liêm - 1051073777 26 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Session: [printable|all]; Từ khóa đƣợc sử dụng để gạt bỏ tất liệu từ phiên TCP Sid: < snort rules id>; Sử dụng SID, cơng cụ nhƣ ACID biểu diễn luật thật tạo cảnh báo cụ thể Tag:,, Từ khóa tag từ khóa quan trọng khác đƣợc sử dụng để ghi log liệu thêm vào từ (hoặc đến) host xâm nhập luật đƣợc kích hoạt Dữ liệu thêm vào đƣợc phân tích sau [, direction] cách chi tiết Tos: < number>; Từ khóa tos đƣợc sử dụng để phát giá trị cụ thể trƣờng TOS (Type of Service) header IP Ttl: < number>; Từ khóa ttl đƣợc sử dụng để phát giá trị Time to Live header IP gói tin Từ khóa đƣợc sử dụng với tất kiểu giao thức đƣợc xây dựng IP nhƣ ICMP, UCP TCP Sử dụng từ khóa ttl, bạn tìm có ngƣời cố gắng traceroute mạng bạn Vấn đề từ khóa cần giá trị TTL xác Uricontent: string"; [!] "content Từ khóa uricontent giống với từ khóa content ngoại trừ việc đƣợc sử dụng để tìm chuỗi phần URI gói tin Sinh viên: Nguyễn Thanh Liêm - 1051073777 27 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG III: CÀI ĐẶT VÀ MƠ PHỎNG 3.1 Mơ hình triển khai Hình 3.1 Mơ hình triển khai hệ thống Snort Ở mơ hình triển khai gồm máy chủ CentOS chạy Snort với card mạng Eth0 kết nối với mạng internet Eth1 kết nối với mạng nội Có thể dùng NAT out proxy iquid để cấu hình cho mạng nội net 3.2 Cài đặt Snort sever CentOS 6.5 Tiến hành hệ điều hành CentOS 6.5-x64 với phần cứng phần mềm ảo hoá VMware Workstation 10 3.2.1 Điều kiện tiên quyết:  Để cài đặt Snort CentOS ta cần cài gói bổ trợ : mysql-bench, mysql-server, mysql-devel, yum-utils, php-mysql, httpd, gcc, pcredevel, php-gd, gd , distcache-devel, mod_ssl, glib2-devel, gcc-c++, libpcap-devel, php, php-pear  Dùng lệnh: #yum install Sau cài xong gói bổ trợ:  Tạo thƣ mục chứa cài: #mkdir /usr/local/src/snort Sinh viên: Nguyễn Thanh Liêm - 1051073777 28 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC # cd /usr/local/src/snort # wget http://www.tcpdump.org/release/libpcap-1.3.0.tar.gz # tar zxvf libpcap-1.5.2.tar.gz # cd libpcap-* # /configure && make && make install  Tải cài đặt DAQ: # cd /usr/local/src/snortinstall # wget http://snort.org/downloads/2103 -O daq.tar.gz # tar zxvf daq.tar.gz # cd daq* # /configure && make && make install 3.2.2 Cài đặt Snort  Download Snort cài đặt Snort: # cd /usr/local/src/snort # wget http://snort.org/downloads/2112-O snort.tar.gz # tar zxvf snort.tar.gz # cd snort-2* # /configure enable-sourcefire prefix /usr/local/snort # make && make install  Tạo ngƣời dùng snort nhóm snort: # groupadd snort # useradd -g snort snort  Set quyền sở hữu cho phép Snort ghi log vào thƣ mục chứa log #chown snort:snort /var/log/snort/  Cài đặt tập rule cho SNORT Tải rule từ http://www.snort.org  Giải nén #tar -xzvf snortrules-snapshot-2.9.7.0.tar.gz #cd rules # cp * /etc/snort/rules Sinh viên: Nguyễn Thanh Liêm - 1051073777 29 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC  Cấu hình snort #File cấu hình /etc/snort/snort.conf  Sửa dịng 46 #var HOME_NET 192.168.1.0/24  Sửa dòng 49 #var EXTERNAL_NET !$HOME_NET  Sửa dòng: #110: var RULE_PATH /etc/snort/rules #688: output database: dbname=snort host=localhost log, mysql, user=snort password=123456  Save lại 3.2.3 Thiết Lập Snort khởi động hệ thống:  Tạo liên kết mềm (symbolic link) file snort binary đến /usr/sbin/snort #ln -s /usr/local/bin/snort /usr/sbin/snort  Snort cung cấp scrip để khởi động thƣ mục rpm/ ; (thƣ mục giải nén snort) #cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ #cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort  Đặt quyền lại cho file snortd : #chmod 755 /etc/init.d/snortd #chkconfig snortd on #service snortd start  Để khởi động snort chế độ debug bạn muốn kiểm tra lỗi: #/snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf 3.2.4 Tạo CSDL snort với MySQL #service mysqld start  Trƣớc tiên ta cần set password cho root MySQL #mysqladmin -u root password 123456 #mysql -p  Tạo password cho tài khoản snort Sinh viên: Nguyễn Thanh Liêm - 1051073777 30 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';  Tạo CSDL cho snort mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit  Tạo table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thƣ mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql -p show databases; use snort; show tables; Quan sát tables 3.2.5 Cài đặt BASE ADODB  Web server PHP cài đặt sẵn ta cần cài thêm vài gói pear cho PHP #cd snort/snort-2.8.4.1 #pear install Image_Graph-alpha Numbers_Roman ; (máy phải online) Image_Canvas-alpha Image_Color  Cài đặt ADODB Tải ADODB tại: http://nchc.dl.sourceforge.net/sourceforge/adodb/ #cp adodb480.tgz /var/www/html/ #cd /var/www/html/ #tar -xzvf adodb480.tgz  Cài BASE Tải BASE tại: http://nchc.dl.sourceforge.net/sourceforge/secureideas/base1.4.5.tar.gz Sinh viên: Nguyễn Thanh Liêm - 1051073777 31 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC #cp /snort/base-1.4.5.tar.gz /var/www/html/ #tar -zxvf base-1.4.5.tar.gz #mv base-1.4.5/ base/ #cd base #cp base_conf.php.dist base_conf.php #vi base_conf.php  Sửa dòng sau: 57 $BASE_urlpath = '/base'; 79 $DBlib_path = '/var/www/html/adodb'; 101 $alert_dbname = 'snort'; 105 $alert_password = '123456'; 108 $archive_exists = 1; # Set this to if you have an archive DB 109 $archive_dbname = 'snort'; 112 $archive_user 113 $archive_password = '123456'; 355 $external_whois_link = 'index.php'; 382 $external_dns_link = 'index.php'; 385 $external_all_link = 'index.php'; = 'snort';  Save khởi chạy #service snortd restart #service httpd restart #snort -v -c /etc/snort/snort.conf -l /var/log/snort  Sau cài xong vào trình duyệt máy moniter duyệt snort_ip_address/base/index.php bấm vào “setup page” click chọn “Create BASE AG” sau tiếp tục chọn “Main page” Sinh viên: Nguyễn Thanh Liêm - 1051073777 32 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.3 Cấu hình proxy cho client internet 3.3.1 Tiến hành cài Squid máy sever  Cài đặt Squid #yum install squid  Mở file cấu hình squid /etc/squid/squid.conf lên cấu hình: #vi /etc/squid/squid.conf  Thêm dòng với net phù hợp http_access allow LAN http_port 8080  Bỏ dấu # trƣớc dòng cache_dir ufs … Để cho phép cache  Nếu muốn tăng nhớ cache cho proxy ta bổ sung thêm dòng cache_mem 256 MB (Cho phép cache 256MB)  Save file cấu hình lại, start dịch vụ squid, cho phép squid khởi động hệ thống tắt tƣờng lửa # service squid start #chkconfig squid on #service iptables stop #chkconfig iptables off 3.3.2 Cấu hình cho máy client internet  Từ máy client đặt IP thích hợp: Hình 3.3.2.1 Đặt IP Sinh viên: Nguyễn Thanh Liêm - 1051073777 33 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC  Chỉnh cho phép truy cập internet qua proxy trình duyệt: Hình 3.3.2.2 Đặt proxy Vậy truy cập internet: Hình 3.3.2.3 Truy cập internet Sinh viên: Nguyễn Thanh Liêm - 1051073777 34 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.4 Mơ tình 3.4.1 Tình 1: Giả sử ngƣời sử dụng lệnh ping để ping lên máy server Viết rules cảnh báo ping: alert icmp 192.168.1.5 any -> 192.168.1.6 any (msg: “co nguoi ping”; sid:1000001) Từ máy thật ping vào địa server (máy ảo) 192.168.1.6 thu đƣợc kết quả: Hình 3.4.1.1 Cảnh báo thu tình Hình 3.4.1.2 Chi tiết cảnh báo Sinh viên: Nguyễn Thanh Liêm - 1051073777 35 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.4.2 Tình 2: Tạo rules cảnh báo có ngƣời truy cập vào trang web cấm Chỉ định trang web cấm tình trang web vinhuni.edu.vn : alert tcp any any -> 220.231.122.104 any (msg:”co nguoi truy cap web cam”; sid:1000001;) Từ máy client truy cập vào trang web vinhuni.edu.vn Snort bắt đƣợc: Hình 3.4.2.1 Cảnh báo thu tình Hình 3.4.2.2 Chi tiết cảnh báo Sinh viên: Nguyễn Thanh Liêm - 1051073777 36 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.4.3 Tình Giả sử ngƣời từ máy dùng n-map scan vào máy sever để tìm cổng mở nhằm khai thác cơng vào mạng nội với mục đích xấu Khi Snort bắt đƣợc lƣu lại cảnh báo Thực hiện: từ máy win dùng phần mềm nmap tiến hành quét đến máy sever có địa 192.168.1.105 Hình 3.4.3.1 Qt N-map thăm dị bảo mật Sinh viên: Nguyễn Thanh Liêm - 1051073777 37 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Khi máy sever Snort bắt đc cảnh báo: Hình 3.4.3.2 Cảnh báo thu tình Hình 3.4.3.3 Chi tiết cảnh báo Sinh viên: Nguyễn Thanh Liêm - 1051073777 38 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN Bất kỳ mạng có lỗ hổng mặt kỹ thuật, điểm mà kẻ cơng lợi dụng để thâm nhập vào hệ thống nhằm mục đích ăn cắp hay phá hoại Trên thực tế không dám cam đoan có hệ thống mạng đƣợc bảo mật tuyệt đối Do cần phải sử dụng nhiều kỹ thuật bảo mật để bảo vệ tính an tồn cho hệ thống mạng Ngồi việc sử dụng phƣơng pháp mã hoá để bảo vệ tính bí mật thơng tin nhƣ sử dụng chế chứng thực việc sử dụng hệ thống phát xâm nhập IDS để quản lý giám sát hệ thống mạng phƣơng pháp tốt Sau quảng thời gian tìm hiểu đề tài em đạt đƣợc điểm sau:  Đƣa đƣợc nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS  Tìm hiểu đƣợc thành phần, chế độ hoạt động hệ thống IDS Snort options module hệ thống IDS-Snort  Thực cài đặt thành công Snort hệ điều hành CentOS 6.5 Viết số luật đơn giản để thử nghiệm hệ thống Tuy nhiên trình tìm hiểu, em gặp số khó khăn nhƣ thiếu kiến thức lập trình hệ điều hành Linux nhƣ kiến thức an tồn bảo mật thơng tin khiến em nhiều thời gian tìm hiểu, nghiên cứu giải vấn đề Ngoài việc thực mơ hình ảo hố, khơng có sở hạ tầng thiết bị thực tế Cũng yếu tố dẫn đến hạn chế đồ án nhƣ:  Chƣa tập trung nghiên cứu chuyên sâu tìm cố lỗi  Chƣa kết hợp đƣợc với Iptables để hoạt động chế độ Inline  Về phần viết rules cịn đơn giản Nếu có điều kiện mở rộng đề tài nhƣ thiết bị cần thiết cho việc nghiên cứu, em tập trung nghiên cứu lỗi, cố tìm hƣớng khắc phục Cũng nhƣ kết hợp với tƣờng lửa Iptables để tiến hành ngăn chặn công xảy mạng Tiến tới triển khai cho hệ thống thực tế phát triển lên phƣơng pháp phòng chống tiên tiến tƣơng lai không xa Sinh viên: Nguyễn Thanh Liêm - 1051073777 39 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO  Tài liệu Tiếng Việt: Hà Quang Thuỵ - Nguyễn Trí Thành, Hệ điều hành UNIX – LINUX, Nhà xuất Giáo dục, Năm xuất 2009  Tài liệu Tiếng Anh: Andrew Baker - Jay Beale - Brian Caswell - Mike Poor, Snort 2.1 Intrusion Detection, Nhà xuất Syngress, Năm xuất 2004 Neil Archibald - Gilbert Ramirez - Noam Rathaus, Nessus snort and ethereal power tools, Nhà xuất Syngress, Năm xuất 2004  Trang web tham khảo: Http://www.nhatnghe.com/ Http://www.hvaonline.net/ Http://www.vnpro.org/ Http://manual.snort.org/ Sinh viên: Nguyễn Thanh Liêm - 1051073777 40 ... VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm Phát xâm nhập tập hợp kỹ thuật phƣơng pháp đƣợc sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ Hệ thống phát xâm nhập có loại bản: Phát xâm. .. gian tìm hiểu đề tài em đạt đƣợc điểm sau:  Đƣa đƣợc nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS  Tìm hiểu đƣợc thành phần, chế độ hoạt động hệ thống IDS Snort. .. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm 1.2 Cấu trúc hệ thống 1.3 Phân loại IDS CHƢƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 2.1