Đồ án tốt nghiệp Đại học 005.8 TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN NGUYỄN XUÂN TRƢỜNG BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tên đồ án: Tìm hiểu cài đặt hệ thống phát xâm nhập ids-snort centOS SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT i Đồ án tốt nghiệp Đại học LỜI CẢM ƠN Trên thực tế khơng có thành cơng mà khơng gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp ngƣời khác Trong suốt thời gian từ bắt đầu học tập giảng đƣờng đại học đến nay, chúng em nhận đƣợc nhiều quan tâm, giúp đỡ q Thầy Cơ, gia đình bạn bè Với lòng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô khoa Công nghệ thông tin - Trƣờng Đại Học Vinh với tri thức tâm huyết để truyền đạt vốn kiến thức quý báu cho chúng em suốt thời gian học tập trƣờng Đặc biệt Thầy Cô tổ Phƣơng pháp giảng dạy tạo điều kiện tốt để chúng em hồn thành tốt Đồ án tốt nghiệp Chúng em xin chân thành cảm ơn Th.S Phạm Thị Thu Hiền tận tâm hƣớng dẫn, bảo chúng em Nếu khơng có lời hƣớng dẫn, dạy bảo chúng em nghĩ Đồ án tốt nghiệp khó hoàn thiện đƣợc Một lần nữa, chúng em xin chân thành cảm ơn cô Cuốn Đồ án tốt nghiệp đƣợc thực vòng 14 tuần, thời gian tƣơng đối, nhiên nhiều yếu tố khách quan lẫn chủ quan nên không tránh khỏi thiếu sót điều chắn, chúng em mong nhận đƣợc ý kiến đóng góp quý báu quý Thầy Cô bạn học để kiến thức chúng em lĩnh vực đƣợc hoàn thiện Cuối chúng em xin kính chúc Thầy Cơ Khoa Công nghệ thông tin Th.S Phạm Thị Thu Hiền thật dồi sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Trân trọng! Nghệ An, ngày 10 tháng 12 năm 2014 SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT ii Đồ án tốt nghiệp Đại học Sinh viên Nguyễn Xuân Trƣờng MỤC LỤC MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm 1.1.1 Phát xâm nhập dựa dấu hiệu 1.1.2 Phát bất thƣờng 1.2 Cấu trúc hệ thống 1.2.1 Sensor / Agent 1.2.2 Management Server .3 1.2.3 Databaseserver .3 1.2.4 Console 1.3 Phân loại IDS 1.3.1 Network-based IDS (NIDS) 1.3.2 Host Base IDS (HIDS) CHƢƠNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 2.1 Tổng quan Snort .6 2.1.1 Khái niệm .6 2.1.2 Các đặc tính 2.2 Các thành phần Snort 2.2.1 Bộ phận giải mã gói .8 2.2.2 Bộ phận xử lí trƣớc 2.2.3 Bộ phận phát SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT iii Đồ án tốt nghiệp Đại học 2.2.4 Hệ thống ghi cảnh báo 10 2.2.5 Bộ phận đầu .10 2.3 Các chế độ làm việc Snort .11 2.3.1 Chế độ “lắng nghe” mạng .11 2.3.2 Chế độ Packet logger 12 2.3.3 Chế độ phát xâm nhập mạng (NIDS) 13 2.3.4 Inline Mode 13 2.4 Làm việc với tập luật Snort 14 2.4.1 Rule header 14 2.4.2 Rule option 16 CHƢƠNG CÀI ĐẶT VÀ MÔ PHỎNG 23 3.1 Mơ hình triển khai .23 3.2 Cài đặt Snort sever CentOS 6.5 23 3.2.1 Bƣớc 1: Điều kiện tiên quyết: 23 3.2.2 Bƣớc 2: Cài đặt Snort 24 3.2.3 Thiết Lập Snort khởi động hệ thống: 25 3.2.4 Tạo CSDL snort với MySQL .25 3.2.5 Cài đặt BASE ADODB 26 3.3 Mơ tình 27 3.3.1 Tình 27 3.3.2 Tình 29 3.3.3 Tình 30 KẾT LUẬN 32 TÀI LIỆU THAM KHẢO .33 SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT iv Đồ án tốt nghiệp Đại học SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT v Đồ án tốt nghiệp Đại học DANH MỤC CÁC HÌNH Hình 1.1: Mơ hình NIDS Hình 1.2: Mơ hình HIDS Hình 2.1 Sơ đồ khối hệ thống Snort .6 Hình 2.2: Thành phần xử lý gói tin snort .8 Hình 2.3: Preprocessor snort Hình 2.4: Dectection Engine snort Hình 2.5: Logging Alerting System snort 10 Hình 2.6: Tính sniffer 11 Hình 3.1 Mơ hình triển khai hệ thống Snort 23 Hình 3.2 Cảnh báo thu đƣợc tình 28 Hình 3.3 Chi tiết cảnh báo .28 Hình 3.4 Cảnh báo thu đƣợc tình 29 Hình 3.5 Chi tiết cảnh báo .29 Hình 3.6 Quét N-map thăm dò bảo mật 30 Hình 3.7 Cảnh báo thu đƣợc tình 30 Hình 3.8 Chi tiết cảnh báo .31 SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT vi Đồ án tốt nghiệp Đại học MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hịa vào mạng tồn cầu Internet An tồn bảo mật thơng tin vấn đề quan trọng hàng đầu, thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân nhƣ mạng nội đƣợc nghiên cứu triển khai Tuy nhiên, thƣờng xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,… gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn nhƣ Microsoft, IBM, trƣờng đại học quan nhà nƣớc, tổ chức quân sự, nhà băng,… số vụ cơng với quy mơ khổng lồ (có tới 100.000 máy tính bị cơng) Hơn số phần tảng băng trôi Một phần lớn vụ công không đƣợc thơng báo nhiều lý do, kể lo uy tín đơn giản ngƣời quản trị dự án không hay biết vụ công nhằm vào hệ thống họ Không vụ công tăng lên nhanh chóng mà phƣơng pháp cơng liên tục đƣợc hồn thiện Điều phần nhân viên quản trị hệ thống ngày đề cao cảnh giác Vì việc kết nối vào mạng Internet mà khơng có biện pháp đảm bảo an ninh đƣợc xem tự sát Một giải pháp đáp ứng tốt cho vấn đề triển khai hệ thống dị tìm xâm nhập trái phép Instruction Detect System (IDS) Có hai yêu cầu triển khai hệ thống IDS chi phí với khả đáp ứng linh hoạt trƣớc phát triển nhanh chóng Cơng nghệ thơng tin Snort phƣơng án giải tốt hai yêu cầu Nội dung đề tài gồm chƣơng nhƣ sau: Chƣơng 1: Tổng quan hệ thống phát xâm nhập IDS hệ thống Snort Chƣơng mô tả khái niệm, vai trị, mơ hình kiến trúc ƣu nhƣợc điểm hệ thống phát xâm nhập IDS SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp Đại học Chƣơng 2: Cấu trúc snort, chức snort, luật snort Nghiên cứu hệ thống Snort bao gồm: cấu trúc, thành phần, chế độ làm việc, tập luật Snort Chƣơng 3: Triển khai snort hệ thống mạng Phân tích đánh giá hoạt động Snort thông qua mô vài kiểu công mạng SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp Đại học CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1.1 Khái niệm Phát xâm nhập tập hợp kỹ thuật phƣơng pháp đƣợc sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ Hệ thống phát xâm nhập có loại bản: Phát xâm nhập dựa dấu hiệu Phát bất thƣờng 1.1.1 Phát xâm nhập dựa dấu hiệu Phƣơng pháp nhận dạng công cách so sánh dấu hiệu nhận đƣợc với tập hợp dấu hiệu biết trƣớc đƣợc xác định công 1.1.2 Phát bất thường Đây phƣơng pháp thiết lập ghi nhận trạng thái hoạt động ổn định hệ thống so sánh với trạng thái hoạt động hành để kiểm tra chênh lệch Nếu nhận thấy chênh lệch lớn có khả xảy công 1.2 Cấu trúc hệ thống Các thành phần gồm: 1.2.1 Sensor / Agent Giám sát phân tích hoạt động “Sensor” thƣờng đƣợc dùng cho dạng Network-base IDS/IPS “Agent” thƣờng đƣợc dùng cho dạng Host-base IDS/IPS 1.2.2 Management Server Là thiết bị trung tâm dùng thu nhận thông tin từ Sensor / Agent quản lý chúng Một số Management Server thực việc phân tích thơng tin việc đƣợc cung cấp Sensor / Agent nhận dạng đƣợc kiện dù Sensor / Agent đơn lẻ nhận diện đƣợc 1.2.3 Databaseserver Lƣu trữ thông tin từ Sensor / Agent hay Management Server 1.2.4 Console Là chƣơng trình cung cấp giao diện cho IDS users /Admins Có thể cài đặt máy tính bình thƣờng dùng để phục vụ cho tác vụ quản trị, để giám sát, phân tích 1.3 Phân loại IDS IDS đƣợc chia thành: Host-based IDS (HIDS) Network-based IDS (NIDS) SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp Đại học 1.3.1 Network-based IDS (NIDS) Hình 1.1: Mơ hình NIDS NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lƣu thông phƣơng tiện truyền dẫn nhƣ (cables, wireless) cách sử dụng card giao tiếp Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo đƣợc tạo để thông báo đến nhà quản trị file log đƣợc lƣu vào sở liệu 1.3.1.1 Ưu điểm NIDS:  Quản lý đƣợc phân đoạn mạng (networksegment)  Trong suốt với ngƣời sử dụng kẻ công  Cài đặt bảo trì đơn giản, khơng làm ảnh hƣởng đến mạng  Tránh đƣợc việc bị cơng dịch vụ đến host cụ thể  Có khả xác định đƣợc lỗi tầng network  Độc lập với hệ điều hành 1.3.1.2 Hạn chế NIDS:  Có thể xảy trƣờng hợp báo động giả, tức khơng có dấu hiệu bất thƣờng mà IDS báo  Khơng thể phân tích đƣợc lƣu lƣợng đƣợc mã hóa nhƣ SSH, IPSec, SSL…  Phải cập nhật dấu hiệu công để thực an tồn  Khơng thể cho biết việc mạng bị cơng có thành cơng hay khơng, để ngƣời quản trị tiến hành bảo trì hệ thống SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp Đại học Icmp_id: < number>; Icmp_seq: < hex_value>; Option icmp_id đƣợc sử dụng để phát ID cụ thể đƣợc sử dụng với gói tin ICMP Option icmp_seq giống nhƣ từ khóa icmp_id Header ICMP nằm sau header IP chứa trƣờng type Itype: < number>; Từ khóa itype đƣợc sử dụng để phát cách công sử dụng trƣờng type header ICMP gói tin Trong gói tin ICMP, header ICMP sau header IP Icode: < number>; Nó chứa trƣờng code Từ khóa icode đƣợc sử dụng để phát trƣờng code header gói tin ICMP Từ khóa id đƣợc sử dụng để đối chiếu trƣờng Id: < number>; fragment ID header gói tin IP Mục đích phát cách công sử dụng số ID cố định Header IPv4 dài 20 byte Bạn thêm tùy chọn vào header cuối Chiều dài phần tùy chọn lên đến 40 byte Các tùy chọn đƣợc sử dụng cho mục đích khác nhau, bao gồm: Ipopts: < ip_option>;  Record Route (rr)  Time Stamps (ts)  Loose Source Routing (lsrr)  Strict Source Routing (ssrr) Từ khóa ip_proto sử dụng plug-in IP Proto để xác Ip_proto: [!] < name or định số giao thức header IP Từ khóa cần number>; số giao thức đối số Bạn sử dụng tên giao thức phân giải file SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 19 Đồ án tốt nghiệp Đại học /etc/protocols Logto: < file_name>; Từ khóa logto đƣợc sử dụng để ghi log gói tin vào file đặc biệt Từ khóa msg đƣợc sử dụng để thêm chuỗi kí tự Msg:< sample message>; vào việc ghi log cảnh báo Bạn thêm thơng điệp hai dấu ngoặc kép sau từ khóa Priority:; React: ; Từ khóa priority gán độ ƣu tiên cho luật Từ khóa react đƣợc sử dụng với luật để kết thúc phiên, khóa vài vị trí dịch vụ Không phải tất option với từ khóa hoạt động Để sử dụng từ khóa react, bạn nên biên dịch Snort với lệnh enable-flexresp script cấu hình Từ khóa reference thêm tham khảo đến thông tin tồn hệ thống khác mạng Nó khơng đóng vai trị chế phát Reference:,; Có nhiều hệ thống để tham khảo nhƣ CVE Bugtraq Những hệ thống giữ thông tin thêm kiểu công đƣợc biết Bằng việc sử dụng từ khóa này, bạn kết nối đến thông tin thêm thông điệp cảnh báo Từ khóa resp từ khóa quan trọng Nó đƣợc sử dụng để đánh bại hành vi hacker cách gửi gói tin trả lời cho host mà tạo Resp gói tin thỏa luật Từ khóa đƣợc biết nhƣ Flexible Response (FlexResp) đƣợc dựa FlexResp plug-in Plug-in nên đƣợc biên dịch vào Snort, sử dụng lệnh ( with-flexresp)trong script cấu hình SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 20 Đồ án tốt nghiệp Đại học Từ khóa rev đƣợc thêm vào option luật Snort để Rev: < revision integer>; số revision luật Nếu bạn cập nhật luật, bạn sử dụng từ khóa để phân biệt phiên Các module output sử dụng số để nhận dạng số revision Rpc: < Số ứng dụng, Số thủ tục, Số phiên bản>; Sameip Từ khóa rpc đƣợc sử dụng để phát yêu cầu RPC Từ khóa chấp nhận số nhƣ đối số Từ khóa sameip đƣợc sử dụng để kiểm tra địa nguồn đích có giống hay khơng Nó khơng có đối số Seq: ; Từ khóa seq luật Snort đƣợc sử dụng để kiểm tra số thứ tự sequence gói tin TCP Từ khóa flow đƣợc sử dụng để áp dụng luật lên gói tin di chuyển theo hƣớng cụ thể Bạn sử dụng option với từ khóa để xác định hƣớng Các option sau đƣợc sử dụng với từ Flow khóa này:  To_client  To_server  From_client  From_server Session: [printable|all]; Sid: < snort rules id>; Từ khóa đƣợc sử dụng để gạt bỏ tất liệu từ phiên TCP Sử dụng SID, cơng cụ nhƣ ACID biểu diễn luật thật tạo cảnh báo cụ thể Tag:, Từ khóa tag từ khóa quan trọng khác count>,[, direction] đƣợc sử dụng để ghi log liệu thêm vào từ SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 21 Đồ án tốt nghiệp Đại học (hoặc đến) host xâm nhập luật đƣợc kích hoạt Dữ liệu thêm vào đƣợc phân tích sau cách chi tiết Tos: < number>; Từ khóa tos đƣợc sử dụng để phát giá trị cụ thể trƣờng TOS (Type of Service) header IP Từ khóa ttl đƣợc sử dụng để phát giá trị Time to Live header IP gói tin Từ khóa Ttl: < number>; đƣợc sử dụng với tất kiểu giao thức đƣợc xây dựng IP nhƣ ICMP, UCP TCP Sử dụng từ khóa ttl, bạn tìm có ngƣời cố gắng traceroute mạng bạn Vấn đề từ khóa cần giá trị TTL xác Uricontent: [!] "content string"; Từ khóa uricontent giống với từ khóa content ngoại trừ việc đƣợc sử dụng để tìm chuỗi phần URI gói tin SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 22 Đồ án tốt nghiệp Đại học CHƢƠNG CÀI ĐẶT VÀ MƠ PHỎNG 3.1 Mơ hình triển khai Hình 3.1 Mơ hình triển khai hệ thống Snort Ở mơ hình triển khai gồm máy chủ CentOS chạy Snort với card mạng Eth0 kết nối với mạng internet Eth1 kết nối với mạng nội Có thể dùng NAT out proxy iquid để cấu hình cho mạng nội net 3.2 Cài đặt Snort sever CentOS 6.5 Tiến hành hệ điều hành CentOS 6.5-x64 với phần cứng phần mềm ảo hoá VMware Workstation 10 3.2.1 Bước 1: Điều kiện tiên quyết:  Để cài đặt Snort CentOS ta cần cài gói bổ trợ : mysql-bench, mysql-server, mysql-devel, yum-utils, php-mysql, httpd, gcc, pcredevel, php-gd, gd , distcache-devel, mod_ssl, glib2-devel, gcc-c++, libpcap-devel, php, php-pear  Dùng lệnh: #yum install Sau cài xong gói bổ trợ: SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 23 Đồ án tốt nghiệp Đại học  Tạo thƣ mục chứa cài: #mkdir /usr/local/src/snort # cd /usr/local/src/snort # wget http://www.tcpdump.org/release/libpcap-1.3.0.tar.gz # tar zxvf libpcap-1.5.2.tar.gz # cd libpcap-* # /configure && make && make install  Tải cài đặt DAQ: # cd /usr/local/src/snortinstall # wget http://snort.org/downloads/2103 -O daq.tar.gz # tar zxvf daq.tar.gz # cd daq* # /configure && make && make install 3.2.2 Bước 2: Cài đặt Snort  Download Snort cài đặt Snort: # cd /usr/local/src/snort # wget http://snort.org/downloads/2112-O snort.tar.gz # tar zxvf snort.tar.gz # cd snort-2* # /configure enable-sourcefire prefix /usr/local/snort # make && make install  Tạo ngƣời dùng snort nhóm snort: # groupadd snort # useradd -g snort snort  Set quyền sở hữu cho phép Snort ghi log vào thƣ mục chứa log #chown snort:snort /var/log/snort/  Cài đặt tập rule cho SNORT Tải rule từ http://www.snort.org  Giải nén #tar -xzvf snortrules-snapshot-2.9.7.0.tar.gz #cd rules SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 24 Đồ án tốt nghiệp Đại học # cp * /etc/snort/rules  Cấu hình snort #File cấu hình /etc/snort/snort.conf  Sửa dòng 46 #var HOME_NET 192.168.1.0/24  Sửa dòng 49 #var EXTERNAL_NET !$HOME_NET  Sửa dòng: #110: var RULE_PATH /etc/snort/rules #688: output database: dbname=snort host=localhost log, mysql, user=snort password=123456  Save lại 3.2.3 Thiết Lập Snort khởi động hệ thống:  Tạo liên kết mềm (symbolic link) file snort binary đến /usr/sbin/snort #ln -s /usr/local/bin/snort /usr/sbin/snort  Snort cung cấp scrip để khởi động thƣ mục rpm/; (thƣ mục giải nén snort) #cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ #cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort  Đặt quyền lại cho file snortd : #chmod 755 /etc/init.d/snortd #chkconfig snortd on #service snortd start  Để khởi động snort chế độ debug bạn muốn kiểm tra lỗi: #/snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf 3.2.4 Tạo CSDL snort với MySQL #service mysqld start  Trƣớc tiên ta cần set password cho root MySQL #mysqladmin -u root password 123456 #mysql -p SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 25 Đồ án tốt nghiệp Đại học  Tạo password cho tài khoản snort mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';  Tạo CSDL cho snort mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit  Tạo table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thƣ mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql -p show databases; use snort; show tables; Quan sát tables 3.2.5 Cài đặt BASE ADODB  Web server PHP cài đặt sẵn ta cần cài thêm vài gói pear cho PHP #cd snort/snort-2.8.4.1 #pear install Image_Graph-alpha Numbers_Roman; (máy phải online) Image_Canvas-alpha Image_Color  Cài đặt ADODB Tải ADODB tại: http://nchc.dl.sourceforge.net/sourceforge/adodb/ #cp adodb480.tgz /var/www/html/ #cd /var/www/html/ #tar -xzvf adodb480.tgz  Cài BASE Tải BASE tại: http://nchc.dl.sourceforge.net/sourceforge/secureideas/base1.4.5.tar.gz #cp /snort/base-1.4.5.tar.gz /var/www/html/ #tar -zxvf base-1.4.5.tar.gz SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 26 Đồ án tốt nghiệp Đại học #mv base-1.4.5/ base/ #cd base #cp base_conf.php.dist base_conf.php #vi base_conf.php  Sửa dòng sau: 57 $BASE_urlpath = '/base'; 79 $DBlib_path = '/var/www/html/adodb'; 101 $alert_dbname = 'snort'; 105 $alert_password = '123456'; 108 $archive_exists = 1; # Set this to if you have an archive DB 109 $archive_dbname = 'snort'; 112 $archive_user = 'snort'; 113 $archive_password = '123456'; 355 $external_whois_link = 'index.php'; 382 $external_dns_link = 'index.php'; 385 $external_all_link = 'index.php'; Save khởi chạy #service snortd restart #service httpd restart #snort -v -c /etc/snort/snort.conf -l /var/log/snort  Sau cài xong vào trình duyệt máy moniter duyệt snort_ip_address/base/index.php bấm vào “setup page” click chọn “Create BASE AG” sau tiếp tục chọn “Main page” 3.3 Mơ tình 3.3.1 Tình Giả sử ngƣời sử dụng lệnh ping để ping lên máy server Viết rules cảnh báo ping: alert icmp 192.168.1.5 any -> 192.168.1.6 any (msg: “co nguoi ping”; sid:1000001) SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 27 Đồ án tốt nghiệp Đại học Từ máy thật ping vào địa server (máy ảo) 192.168.1.6 thu đƣợc kết quả: Hình 3.2 Cảnh báo thu tình Hình 3.3 Chi tiết cảnh báo SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 28 Đồ án tốt nghiệp Đại học 3.3.2 Tình Tạo rules cảnh báo có ngƣời truy cập vào trang web cấm Chỉ định trang web cấm tình trang web www.facebook.com : alert tcp any any -> any (msg:”co nguoi truy cap web cam”; sid:1000001;) Từ máy client truy cập vào trang web vinhuni.edu.vn Snort bắt đƣợc: Hình 3.4 Cảnh báo thu tình Hình 3.5 Chi tiết cảnh báo SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 29 Đồ án tốt nghiệp Đại học 3.3.3 Tình Giả sử ngƣời từ máy dùng n-map scan vào máy sever để tìm cổng mở nhằm khai thác Khi Snort bắt đƣợc lƣu lại cảnh báo Thực hiện: từ máy win dùng phần mềm nmap tiến hành quét đến máy sever có địa 192.168.1.105 Hình 3.6 Qt N-map thăm dị bảo mật Khi máy sever Snort bắt đc cảnh báo: Hình 3.7 Cảnh báo thu tình SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 30 Đồ án tốt nghiệp Đại học Hình 3.8 Chi tiết cảnh báo SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 31 Đồ án tốt nghiệp Đại học KẾT LUẬN Bất kỳ mạng có lỗ hổng mặt kỹ thuật, điểm mà kẻ công lợi dụng để thâm nhập vào hệ thống nhằm mục đích ăn cắp hay phá hoại Trên thực tế khơng dám cam đoan có hệ thống mạng đƣợc bảo mật tuyệt đối Do cần phải sử dụng nhiều kỹ thuật bảo mật để bảo vệ tính an tồn cho hệ thống mạng Ngoài việc sử dụng phƣơng pháp mã hố để bảo vệ tính bí mật thơng tin nhƣ sử dụng chế chứng thực việc sử dụng hệ thống phát xâm nhập IDS để quản lý giám sát hệ thống mạng phƣơng pháp tốt Sau quảng thời gian tìm hiểu đề tài em đạt đƣợc điểm sau:  Đƣa đƣợc nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS  Tìm hiểu đƣợc thành phần, chế độ hoạt động hệ thống IDS Snort options module hệ thống IDS-Snort  Thực cài đặt thành công Snort hệ điều hành CentOS 6.5 Viết số luật đơn giản để thử nghiệm hệ thống Tuy nhiên trình tìm hiểu, em gặp số khó khăn nhƣ thiếu kiến thức lập trình hệ điều hành Linux nhƣ kiến thức an tồn bảo mật thơng tin khiến em nhiều thời gian tìm hiểu, nghiên cứu giải vấn đề Ngoài việc thực mơ hình ảo hố, khơng có sở hạ tầng thiết bị thực tế Cũng yếu tố dẫn đến hạn chế đồ án nhƣ:  Chƣa tập trung nghiên cứu chuyên sâu tìm cố lỗi  Chƣa kết hợp đƣợc với Iptables để hoạt động chế độ Inline  Về phần viết rules cịn đơn giản Nếu có điều kiện mở rộng đề tài nhƣ thiết bị cần thiết cho việc nghiên cứu, em tập trung nghiên cứu lỗi, cố tìm hƣớng khắc phục Cũng nhƣ kết hợp với tƣờng lửa Iptables để tiến hành ngăn chặn cơng xảy mạng Tiến tới triển khai cho hệ thống thực tế phát triển lên phƣơng pháp phịng chống tiên tiến tƣơng lai khơng xa SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 32 Đồ án tốt nghiệp Đại học TÀI LIỆU THAM KHẢO Andrew Baker - Jay Beale - Brian Caswell - Mike Poor, Snort 2.1 Intrusion Detection, Nhà xuất Syngress, Năm xuất 2004 Neil Archibald - Gilbert Ramirez - Noam Rathaus, Nessus snort and ethereal power tools, Nhà xuất Syngress, Năm xuất 2004 Trang Web tham khảo Http://www.nhatnghe.com/ Http://www.hvaonline.net/ Http://www.vnpro.org/ Http://manual.snort.org/ Http://nachum234.no-ip.org/ SVTH: Nguyễn Xuân Trường – Lớp 51K2 – Khoa CNTT 33 ... Đại học CHƢƠNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 2.1 Tổng quan Snort 2.1.1 Khái niệm Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS) , đƣợc sử... gian tìm hiểu đề tài em đạt đƣợc điểm sau:  Đƣa đƣợc nhìn tổng quan hệ thống phát xâm nhập IDS, phân loại, so sánh hệ thống HIDS NIDS  Tìm hiểu đƣợc thành phần, chế độ hoạt động hệ thống IDS Snort. .. chƣơng nhƣ sau: Chƣơng 1: Tổng quan hệ thống phát xâm nhập IDS hệ thống Snort Chƣơng mô tả khái niệm, vai trị, mơ hình kiến trúc ƣu nhƣợc điểm hệ thống phát xâm nhập IDS SVTH: Nguyễn Xuân Trường –