TRƯỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tên đồ án: Ệ P Ố Ệ P - SNORT Sinh viên thực hiện: Dƣơng Xuân Linh – 1051078484 Lớp: 51K2 - CNTT Giáo viên hướng dẫn: hs ng H ng L nh Nghệ An, tháng 12 năm 2014 Đồ án tốt nghiệp đại học MỤC LỤC LỜI NÓI ẦU CHƢƠNG I: HIỂ CH NG Ề 1.1 Khái niệm 1.2 Kiến trúc bảo mật 1.3 Những mối đe dọa bảo mật 1.3.1 Mối đe dọa khơng có cấu trúc 1.3.2 Mối đe dọa có cấu trúc 1.3.3 Mối đe dọa từ bên 1.3.4 Mối đe dọa từ bên 1.4 Các phƣơng pháp xâm nhập hệ thống – Biện pháp phát ngăn ngừa 1.4.1 Phương thức ăn cắp thông tin Packet Sniffer 1.4.2 Phương thức công mật Password attack 1.4.3 Phương thức tân công Mail Relay 1.4.4 Phương thức công hệ thống DNS 1.5 Các phƣơng pháp bảo mật an toàn cho hệ thống 1.5.1 Bảo mật VPN 1.5.2 Firewall 1.5.3 Bảo mật IDS ( Hệ thống dị tìm phát xâm nhập) 10 CHƢƠNG II H H NG H HI N X NH ID 12 2.1 Giới thiệu hệ thống phát xâm nhập 12 2.2 Khái niệm phát xâm nhập 12 2.3 Lợi ích Hệ thống phát xâm nhập 13 2.4 Kiến trúc nguyên lý hoạt động IDS 14 2.4.1 Thành phần IDS 14 2.4.2 Nguyên lý hoạt động 15 2.4.3 Chức IDS 16 2.5 Phân loại IDS 17 2.5.1 Network based IDS – NIDS 17 2.5.2 Host based IDS – HIDS 19 Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học 2.5.3 Cơ chế hoạt động IDS 20 2.5.4 Mơ hình phát lạm dụng 22 2.5.5 Mơ hình phát bất thường 22 2.5.6 So sánh hai mơ hình 23 2.6 Cách phát kiểu công thông dụng IDS 24 2.6.1 Tấn công từ chối dịch vụ 24 2.6.2 Quét thăm dò ( Scanning Probe) 24 2.6.3 Tấn công vào mật mã 24 2.6.4 Chiếm đặc quyền ( Privilege – grabbing) 25 2.6.5 Cài đặt mã nguy hiểm 26 2.6.6 Hành động phá hoại máy móc 26 2.6.7 Tấn công hạ tầng bảo mật 26 CHƢƠNG III H NG IND IỂN E H I E NG DỤNG D D X N N NH NH T 27 3.1 Giới thiệu Snort 27 3.2 Thành phần chức Snort 27 3.3 Cơ chế hoạt động Snort 29 3.4 Demo 29 3.4.1 Giới thiệu kịch 29 3.4.1.1 Mô tả kịch 29 3.4.1.2 Đặt giải pháp 30 3.4.1.3 Yêu cầu 31 3.4.2 Thực 31 3.4.2.1 Cài đặt cấu hình 31 3.4.2.2 Sử dụng Snort 36 KẾT LU N 40 TÀI LI U THAM KH O 41 Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học LỜI NĨI ĐẦU Theo Mạng an tồn thơng tin VSEC (The VietNamese security Network), 70% website Việt Nam bị xâm nhập, 80% hệ thống mạng bị hacker kiểm sốt Điều cho thấy sách bảo mật hệ thống thông tin Việt Nam chưa quan tâm đầu tư mức Một hệ thống thông tin bị hacker cơng kiểm sốt hậu để lại khơng thể lường trước Có thể ảnh hưởng đến đến kinh tế lớn, hệ thống xung yếu Ngân hàng, hệ thống thương mại điện tử, hệ thống viễn thơng…Chính mà việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết.Trong lĩnh vực an ninh mạng, phát phòng chống cơng xâm nhập cho mạng máy tính vấn đề cần thiết Ngoài việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng việc chép liệu, nghe trộm việc truyền nhằm lấy liệu quan trọng Chính việc phát triển sử dụng hệ thống phát xâm nhập ngày trở nên phổ biến đóng vai trị quan trọng khơng thể thiếu sách bảo mật an tồn thơng tin hệ thống thơng tin Vì em chọn đề tài “Hệ thống phát xâm nhập IDS – SNORT” để nghiên cứu Trong thời gian làm đồ án, em cố gắng nhiều song kiến thức hạn chế, thời gian nghiên cứu đề tài có hạn nên đồ án cịn nhiều sai sót Em mong nhận phê bình, ý kiến đóng góp chân thành thầy bạn để đồ án hồn thiện Em xin gửi lời cảm ơn chân thành đến thầy cô giáo khoa Công nghệ thông tin, tổ Kỹ thuật máy tính, đặc biệt thầy giáo Th.S Đặng Hồng Lĩnh tận tình giúp đỡ hướng dẫn cho em hoàn thành đồ án Vinh, tháng 12 năm 2014 Sinh viên thực Dƣơng Xuân Linh Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học CHƢƠNG I: 1.1 HIỂ CH NG Ề hái niệm Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Hạn chế có nghĩa khơng thể triệt phá hết việc lạm dụng, cần sẵn sàng đề phịng khả xấu Ngồi ra, cần phải phân tích xác cơng, điểm yếu hệ thống tăng cường bảo mật vùng cần thiết để làm giảm thiệt hại gây nên từ công Khái niệm bảo mật thành lĩnh vực : - Bảo mật máy tính (Computer Security) – Là tiến trình ngăn chặn phát sử dụng không hợp pháp vào máy tính bạn cách lựa chọn cơng cụ thiết kế để bảo vệ liệu công hackers - Bảo mật mạng (Network Security) – Là phương pháp để bảo vệ liệu suốt trình chuyển động chúng - Bảo mật Internet (Internet Security) – Là phương pháp để bảo vệ liệu suốt trình vận chuyển chúng đến kết nối internet Trọng tâm chương quan tâm đến vấn đề tổng quát bảo mật mạng (Mạng Internet) Bao gồm giải pháp để ngăn chặn, phòng ngừa, phát hiệu chỉnh vi phạm bảo mật mà có liên quan đến trao đổi thơng tin 1.2 Kiến trúc bảo mật Các khía cạnh quan trọng bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: - Xác thực (Authentication): tiến trình xử lý nhằm xác định nhận dạng thực thể liên kết Thực thể người dùng độc lập hay tiến trình phần mềm - Ủy quyền (Authorization): luật xác định có quyền truy nhập vào tài nguyên hệ thống - Tính cẩn mật (Confidentiality): nhằm đảm bảo liệu bảo vệ khỏi nhóm khơng phép truy nhập Tính cẩn mật u cầu liệu máy liệu truyền mạng đọc nhóm phép Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học - Tính tồn vẹn (Integrity): hệ thống đảm bảo tính tồn vẹn liệu ngăn thay đổi liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa xem lại thơng điệp truyền - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính sẵn sàng nhóm phép Mục tiêu kiểu công từ chối dịch vụ DoS phá hoại tính sẵn sàng tài nguyên hệ thống, bao gồm tạm thời lâu dài Sự an toàn hệ thống mạng thể qua vấn đề : + Thơng tin – bí mật : Thông tin cung cấp tới người cách đáng có truy nhập hợp pháp tới + Thơng tin - Tồn vẹn : Thông tin điểu khiển (sửa đổi, thay v.v…) người quyền ủy thác + Thông tin - sẵn sàng : Thơng tin tiếp cận người mà cần có yêu cầu 1.3 Những đe dọa bảo mật 1.3.1 Mối đe dọa khơng có cấu trúc ( Untructured threat) Cơng cụ hack script có nhiều Internet, tị mị tải chúng sử dụng thử mạng nội mạng xa Cũng có người thích thú với việc xâm nhập vào máy tính hành động vượt khỏi tầm bảo vệ Hầu hết cơng khơng có cấu trúc gây Script Kiddies (những kẻ công sử dụng cơng cụ cung cấp, khơng có có khả lập trình) hay người có trình độ vừa phải Hầu hết cơng sở thích cá nhân, có nhiều cơng có ý đồ xấu Những trường hợp có ảnh hưởng xấu đến hệ thống hình ảnh cơng ty Mặc dù tính chun mơn cơng dạng khơng cao phá hoại hoạt động cơng ty mối nguy hại lớn Đôi cần chạy đoạn mã phá hủy chức mạng cơng ty Một Script Kiddies không nhận sử dụng đoạn mã công vào tất host hệ thống với mục đích truy nhập vào mạng, kẻ cơng tình cờ gây hỏng hóc cho vùng rộng hệ thống Hay trường hợp khác, có ý định thử nghiệm khả năng, cho dù khơng có mục đích xấu gây hại nghiêm trọng cho hệ thống Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học 1.3.2 Mối đe dọa có cấu trúc ( Structured threat) Structured threat hành động cố ý, có động kỹ thuật cao Không Script Kiddes, kẻ cơng có đủ kỹ để hiểu cơng cụ, chỉnh sửa cơng cụ tạo công cụ Những kẻ công hoạt động độc lập theo nhóm, họ hiểu, phát triển sử dụng kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu Động cơng có nhiều Một số yếu tố thường thấy tiền, hoạt động trị, tức giận hay báo thù Các tổ chức tội phạm, đối thủ cạnh tranh hay tổ chức sắc tộc thuê chuyên gia để thực công dạng structured threat Các cơng thường có mục đích từ trước, để lấy mã nguồn đối thủ cạnh tranh Cho dù động gì, cơng gây hậu nghiêm trọng cho hệ thống Một cơng structured thành cơng gây nên phá hủy cho toàn hệ thống 1.3.3 Mối đe dọa từ bên (External threat) External threat cơng tạo khơng có quyền hệ thống Người dùng toàn giới thơng qua Internet thực công Các hệ thống bảo vệ vành đai tuyến bảo vệ chống lại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta giảm tác động kiểu công xuống tối thiểu Mối đe dọa từ bên ngồi mối đe dọa mà cơng ty thường phải bỏ nhiều tiền thời gian để ngăn ngừ 1.3.4 Mối đe dọa từ bên (Internal threat) Thuật ngữ “Mối đe dọa từ bên trong” sử dụng để mô tả kiểu công thực từ người tổ chức có vài quyền truy cập mạng bạn Các cách công từ bên thực từ khu vực tin cậy mạng Mối đe dọa khó phịng chống nhân viên truy cập mạng liệu bí mật cơng ty Hầu hết cơng ty có tường lửa đường biên mạng, họ tin tưởng hoàn toàn vào ACL (Access Control Lists) quyền truy cập server để quy định cho bảo mật bên Quyền truy cập server thường bảo vệ tài ngun server khơng cung cấp bảo vệ cho mạng Mối đe dọa bên thường thực nhân viên bất bình, muốn “quay mặt” lại với cơng Dương Xn Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học ty Nhiều phương pháp bảo mật liên quan đến vành đai mạng, bảo vệ mạng bên khỏi kết nối bên ngoài, Internet Khi vành đai mạng bảo mật, phần tin cậy bên có khuynh hướng bị bớt nghiêm ngặt Khi kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp mạng, chuyện cịn lại thường đơn giản Đơi công dạng structured vào hệ thống thực với giúp đỡ người bên hệ thống Trong trường hợp đó, kẻ cơng trở thành structured internal threat, kẻ cơng gây hại nghiên trọng cho hệ thống ăn trộm tài nguyên quan trọng công ty Structured internel threat kiểu công nguy hiểm cho hệ thống 1.4 Các phƣơng pháp xâm nhập hệ thống – Biện pháp phát ngăn ngừa 1.4.1 hƣơng thức ăn cắp thông tin acket niffer Đây chương trình ứng dụng bắt giữ tất các gói lưu chuyển mạng (trên collision domain) Sniffer thường dùng cho troubleshooting network để phân tích traffic Tuy nhiên, số ứng dụng gởi liệu qua mạng dạng clear text (telnet, FTP, SMTP, POP3, ) nên sniffer công cụ cho hacker để bắt thông tin nhạy cảm username, password, từ truy xuất vào thành phần khác mạng + Biện pháp phát ngăn ngừa: - Authentication Kỹ thuật thực bao gồm hai yếu tố: Personal Identification number (PIN) để xác thực thiết bị phần mềm ứng dụng Token card thiết bị phần cứng phần mềm sản sinh thông tin cách ngẫu nhiên (password) thời điểm, thường 60 giây Khách hàng kết nối password với PIN để vào hệ thống Giả sử hacker học password kỹ thuật packet sniffers thơng tin khơng cịn giá trị hết hạn - Mã hóa Tất thơng tin lưu chuyển mạng mã hóa Khi đó, hacker dùng packet sniffer bắt gói liệu mã hóa Cisco dùng giao thức IPSec để mã hóa liệu… Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học 1.4.2 hƣơng thức công mật assword attack Các hacker công password số phương pháp như: brute – force attack, chương trình Trojan House, IP spoofing, packet sniffer Mặc dù dùng packet sniffer IP spoofing lấy user account password, hacker lại thường sử dụng brute – force để lấy user account Tấn công brute – force thực cách dùng chương trình chạy mạng, cố gắng login vào phần share server phương pháp “thử sai” password + Biện pháp phát ngăn ngừa: - Phương pháp giảm thiểu công password: giới hạn số lần login sai,đặt password sai - Cấm truy cập vào thiết bị, server từ xa thơng qua giao thức khơng an tồn FTP, Telnet… 1.4.3 hƣơng thức công ail elay Đây phương pháp phổ biến Email server cấu hình khơng chuẩn Username/ password user sử dụng mail bị lộ Hacker lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác Ngồi với hình thức gắn thêm đoạn script mail hacker gây công Spam lúc với khả công gián tiếp đến máy chủ Database nội công D.o.S vào mục tiêu + Biện pháp phát ngăn ngừa: - Giới hạn dung lượng Mail box - Sử dụng phương thức chống Relay Spam công cụ bảo mật cho SMTP server, đặt password cho SMTP - Sử dụng gateway SMTP riêng 1.4.4 hƣơng thức cơng irus rojan Horse Các nguy hiểm cho workstation end user công virus ngựa thành Trojan (Trojan horse) Virus phần mềm có hại, đính kèm vào chương trình thực thi khác để thực chức phá hại Trojan horse hoạt động khác Một ví dụ Trojan horse phần mềm ứng dụng để chạy game đơn giản máy workstation Trong người dùng mê chơi game, Trojan Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học horse gởi copy đến tất user address book Khi user khác nhận chơi trò chơi, lại tiếp tục làm vậy, gởi đến tất địa mail có address book user + Biện pháp phát ngăn ngừa: Có thể dùng phần mềm chống Virus để diệt Virus Trojan house luôn cập nhật chương trình 1.5 Các giải pháp bảo mật an toàn cho hệ thống 1.5.1 ảo mật N ( irtual rivate Network) Mạng riêng ảo phương pháp làm cho mạng công cộng hoạt động giống mạng cục bộ, có đặc tính bảo mật tính ưu tiên mà người dùng ưa thích VPN cho phép kết nối với người dùng xa, văn phịng chi nhánh bộ, cơng ty đối tác sử dụng mạng công cộng Định đường hầm chế dùng cho việc đóng gói giao thức vào giao thức khác Định đường hầm cho phép giao thức IPX, Apple Talk IP mã hóa sau đóng gói IP… VPN cịn cung cấp thỏa thuận chất lượng dịch vụ (QoS-Quality of Service), thuật ngữ dùng để chất lượng hệ thống truyền thông hay kết nối truyền thông mạng VPN Định đường hầm ảo mật Các thỏa thuận QoS + Ƣu điểm VPN - Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền Truy cập lúc nơi - Giảm chi phí đầu tư: khơng tốn chi phí đầu tư cho máy chủ, định tuyến cho mạng đường trục chuyển mạch phục vụ cho việc truy cập thiết bị nhà cung cấp dịch vụ quản lý làm chủ - Giảm chi phí quản lý hỗ trợ: với qui mô kinh tế, nhà cung cấp dịch vụ mang lại cho đơn vị sử dụng khoản tiết kiệm có giá trị so với việc tự quản lý mạng + Các loại mạng VPN: Có hai loại phổ biến VPN truy cập từ xa (RemoteAccess) VPN điểm nối điểm (site-to-site) Dương Xuân Linh – Lớp 51k2 – Khoa CNTT Đồ án tốt nghiệp đại học CHƢƠNG III IỂN H I NG DỤNG D X NH WINDOW SERVER 2008 D NH H NG N N 3.1 Giới thiệu nort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử dụng để quét liệu di chuyển mạng Cũng có hệ thống phát xâm nhập host-based, cài đặt host cụ thể để phát cơng nhắm đến host Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp luật để bắt giữ liệu Tìm dấu hiệu sử dụng chúng luật vấn đề đòi hỏi tinh tế, bạn sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu thực tế Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập bạn thêm vào luật bạn Bạn xóa vài luật tạo trước để tránh việc báo động sai 3.2 Thành phần chức Snort Snort bao gồm nhiều thành phần, với phần có chức riêng Các phần là: Internet Internet Packet Decoder Preprocessor Detection Engine Packet is dropped Logging and Alerting System Output Modules Output Alert Or Log to a file Hình 3.1 Mơ hình thành phần Snort Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 29 Đồ án tốt nghiệp đại học + Module giải mã gói tin (Packet Decoder): ộ phận giải mã gói lấy gói từ giao diện mạng khác chuẩn bị cho việc gói tin xử lí trước gửi cho phận phát + Module tiền xử lý (Preprocessors): ộ phận xử lí trước thành phần sử dụng với Snort để xếp chỉnh sửa gói liệu trước phận phát làm vài xử lý để tìm gói tin có sử dụng kẻ xâm nhập hay không Một vài phận xử lý trước thực thi việc phát cách tìm dấu hiệu bất thường header gói tin tạo cảnh báo ộ phận xử lí trước quan trọng IDS nào, chúng chuẩn bị cho gói liệu phân tích dựa luật phận phát Kẻ công sử dụng nhiều kĩ thuật khác để lừa IDS theo nhiều cách ộ phận xử lí trước sử dụng để tái hợp gói tin Trên IDS, trước áp dụng luật nào, bạn phải tái hợp gói tin lại để tìm dấu hiệu ộ phận xử lí trước Snort tái hợp gói tin, giải mã HTTP URI, ráp lại dịng TCP, v.v Những chức quan trọng hệ thống phát xâm nhập + Module phát (Detection Engine): Đây module quan trọng Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập từ xác định xem có xâm nhập xảy hay khơng Rồi thực số công việc ghi log, tạo thông báo kết xuất thông tin + Module log cảnh báo (Logging and Alerting System): Tùy thuộc vào việc module phát có nhận dạng đuợc xâm nhập hay khơng mà gói tin bị ghi log đưa cảnh báo Các file log file text liệu ghi nhiều định dạng khác chẳng hạn tcp, dump… + Module kết xuất thơng tin (Output Module): Module thực thao tác khác tùy theo việc bạn muốn lưu kết xuất Tùy theo việc cấu hình hệ thống mà thực cơng việc là: - Ghi log file Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 30 Đồ án tốt nghiệp đại học - Ghi syslog: syslog chuẩn lưu trữ file log sử dụng nhiều hệ thống Unix, Linux - Ghi cảnh báo vào sở liệu… 3.3 Các chế hoạt động nort + Sniffer mode: chế độ snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị + Packet Logger mode : lưu trữ gói tin tập tin log + Network instruction detect system (NIDS) : chế dộ họat động mạnh mẽ áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin ln chuyển mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus + Inline mode: triển khai snort linux cấu hình snort để phân tích gói tin từ iptables thay libpcap iptable drop pass gói tin theo snort rule 3.4 Demo 3.4.1 Giới thiệu kịch 3.4.1.1 ô tả kịch Công ty BHIP GL0BAL công ty hoạt động lĩnh vực phân phối sản phẩm hỗ trợ sức khỏe làm đẹp cho khách hàng nên việc hoạt động kinh doanh công ty chủ yếu thông qua Internet Hệ thống mạng công ty xây dựng lớn nên cần phải đảm bảo yêu cầu kỹ thuật hoạt động liên tục mức độ bảo mật an toàn cao Những yêu cầu bảo mật Công ty: + Đảm bảo an toàn giao dịch qua Internet + Giám sát trình làm việc nhân viên + Đảm bảo an toàn cho Server chạy ứng dụng phần mềm công ty, đảm bảo cho việc lưu, phục hồi liệu, tránh trường hợp bị hacker công vào Server Database Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 31 Đồ án tốt nghiệp đại học Mơ hình mạng hạ tầng cơng ty internet Firewall Hình 3.8 Mơ hình mạng Cơng Ty BHIP GLOBAL Tình đ t Khi nhân viên biểu bất thường mạng hay người Internet xâm nhập thăm dị mạng, qt tìm lỗi hệ thống mạng công ty, xây dựng sơ đồ mạng bảo đảm tính sẵn sàng cho hệ thống, đối phó với cơng từ ngồi nào? Làm phát kịp thời để có phòng ngừa ngăn chặn 3.4.1.2 t giải pháp Xây dựng mơ hình kết hợp với hệ thống dị tìm phát xâm nhập IDS phương pháp hiệu để giúp người quản trị luôn nắm trạng thái mạng, chọn hai mơ hình NIDS HIDS kết hợp hai lại với internet Firewall IDS Hình 3.9 Mơ hình giải pháp kết hợp IDS Khi bị công hệ thống Snort phát xâm nhập đưa cảnh báo cho người quản trị, thông tin công, lỗi hệ thống, tất thông tin lưu vào hệ thống sở liệu Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 32 Đồ án tốt nghiệp đại học 3.4.1.3 Yêu cầu Phần mềm IDS – Snort triển khai hệ thống mạng máy Windows Server 2008 Để cài đặt Snort, cần cài đặt phần mềm WinPcap tương ứng với phiên Snort triển khai Phần mềm cài Snort: Snort-2.9.7.0_Installer.exe Phần mềm cài Wincap: WinPcap_4_1_2.exe Chúng ta tiến hành cài đặt WinPcap trước cài đặt Snort Theo mặc định phần mềm Snort cài đặt C:\Snort 3.4.2 Thực 3.4.2.1 Cài đ t cấu hình Hình 3.10 Mơ hình Demo Download snort trang web www.Snort.org Chọn phiên Snort_2.9.7.0_Installer tải Hình 3.11 Giao diện trang www.snort.org Dương Xn Linh – Lớp 51k2 – Khoa CNTT 33 Đồ án tốt nghiệp đại học Hình 3.12 Giao diện Download Snort-2.9.7.0_ Installer Sau phải dowload Snortrules-snapshot-2970.tar Nhưng để dowload phải đăng ký Tải Winpcap từ trang http://winpcap.software.informer.com/4.1/ tiến hành cài đặt để đảm bảo tính tương thích Winpcap Snort Cài đặt Snort: Click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt Hình 3.13 Màn hình bước vào cài đặt Snort 2.9.7.0 Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 34 Đồ án tốt nghiệp đại học Hình 3.15 Sau cài đặt xong ta thư mục C:\Snort Sau cài đặt xong Snort tiến hành giải nén tập tin Snortrules-snapshot2970, copy tất file vào thư mục C:\Snort Để khởi động Snort thực công việc cần phải thiết lập tham số quan trọng biến: HOME_NET PATH_RULE, Classification, dynamicpreprocessor Chúng ta vào file snort.conf thư mục C:\Snort\etc HOME_NET (trong ví dụ HOME_NET lớp 192.168.1.0/24) Hình 3.17 Khai báo biến HOME_NET Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 35 Đồ án tốt nghiệp đại học Sau ta tiếp tục khai báo biến cho RULE_PATH Hình 3.18 Khai báo biến RULE_PATH Tiếp tục khai báo cho biến có tên include classification, reference cách thêm dịng C:\Snort\etc\snort.conf Hình 3.20 Khai báo biến include classification,reference Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 36 Đồ án tốt nghiệp đại học Tiếp theo khai báo dynamicpreprocessor, dynamicengine sau: dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll Hình 3.21 Khai báo biến dynamicpreprocessor dynamicengine Cuối chạy lệnh để kiểm tra độ ổn định: C:\Snort\bin> snort –c C:\snort\etc\snort.conf –L C:\Snort\log –A full Hình 3.22 Kết sau thực thi dòng lệnh Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 37 Đồ án tốt nghiệp đại học Như cấu hình xong Snort Snort sẵn sàng hoạt động chế độ khác 3.4.2.2 dụng nort  Chế độ niffer acket: Để tiến hành Sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính bạn có sử dụng nhiều card sử dụng lệnh snort-W Hình 3.23 Số card mạng Vậy có card mạng có mang số hiệu Bây tiến hành sniffer packet dùng lệnh: C:\snort\bin>snort –dev –ix (với x số hiệu card mạng) Trong trình chạy Snort, tiến hành Ping từ máy Win XP có địa IP 192.168.1.2 vào máy Window Server có địa IP 192.168.1.10 Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 38 Đồ án tốt nghiệp đại học Hình 3.24 Bắt phân tích gói tin Kết thu sau: Hình 3.25 Kết thu  Chế độ acket Logger Chúng ta lưu có gói liệu vào file log để xem lệnh: C:\snort\bin> snort –dev –i1 –l c:\snort\log Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 39 Đồ án tốt nghiệp đại học (dòng lệnh ghi log thông tin liệu tầng Datalink TCP/IP Hình 3.26 Bắt lưu gói liệu vào file Log Đọc Log phát trực tiếp: C:\snort\bin> Snort –dev –i1 Hình 3.27 Kiểm thử file Log ghi lại Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 40 Đồ án tốt nghiệp đại học  Chế độ NID Chúng ta tiến hành cài đặt cấu hình snort để tiến hành bắt giữ gói tin, xem nội dung chúng chưa biến snort thực trở thành hệ thống IDS – dị tìm xâm phạm trái phép Vì hệ thống cần có quy tắc (rule) hành động cảnh báo cho quản trị hệ thống xảy trùng khớp quy tắc Bây tiến hành cấu hình để xây dựng network IDS với Snort Trong ví dụ tiến hành tạo Rule ghi lại cảnh báo hoạt động người dùng + Sử dụng soạn thảo Notepad nhập nội dung: alert icmp $HOME_NET any -> 192.168.1.0/24 any (msg:"Tim thay hanh dong Ping vao he thong";SID:1000102;) Sau lưu nội dụng với tên demo.rules vào thư mục c:\snort\rules Vào file snort.conf thư mục C:\snort\etc để cập nhật thêm file demo.rules mà vừa tạo Sử dụng máy client WinXP có địa IP 192.168.1.2 ta ping vào WinServer 2008 mà ta cài snort có địa IP 192.168.1.10 Kết ghi vào file alert.ids thư mục C:\Snort\log Hình 3.28 Kết ghi File alert.ids Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 41 Đồ án tốt nghiệp đại học Ế L  N ết đạt đƣợc: Đề tài cho ta thấy rõ cần thiết bảo mật, hạn chế phương pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triển Hệ thống phát xâm nhập mạng (IDS) xuất sau đóng vai trị không phần quan trọng IDS giúp khám phá, phân tích nguy cơng Từ vạch phương án phịng chống góc độ tìm thủ phạm gây công Bài báo cáo giúp: + Nắm bắt khái niệm hệ thống phát xâm nhập + Triển khai hệ thống phát xâm nhập phổ biến Snort + Nắm bắt chế viết luật cho Snort thực thi Snort chế độ như: Sniffer Packet, Packet Logger, NIDS…  Hạn chế đề tài: Đề tài cịn nhiều thiếu sót Phần lý thuyết tổng quát sơ lược tóm tắt chưa sâu nghiên cứu vấn đề Phần thử nghiệm tìm hiểu chế độ đơn giản Sniffer Packet, Packet Logger, NIDS Và chế độ không phần quan trọng Inline mode Về vấn đề viết rule cho Snort để xử lý hệ thống luật viết có phần cịn đơn giản  Hƣớng khắc phục phát triển đề tài: Sau nắm hệ thống phát xâm nhập (IDS), ta thực nghiên cứu hệ thống phát ngăn chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ chức Nghiên cứu sử dụng Snort để phát hình thức cơng phát triển lên phương pháp phòng chống tiên tiến tương lai không xa Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 42 Đồ án tốt nghiệp đại học TÀI LI U THAM KH O Tài liệu tiếng Việt [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo dục, 1999 [2] Nguyễn Ngọc Tuấn, Công nghệ bảo mật, NXB Thống Kê, 2005 Tài liệu tiếng Anh [3] Earl Carter, Introduction to Network Security, Cisco Secure Intrusion Detection system, Cisco Press, 2000 [4] Rafeeq Rehman, Intrusion Detection with Snort, NXB Prentice Hall, 2003 [5] Martin Roesch, Chris Green ,Snort User Manual, The Snort Project, 2003 [6] Christopher Kruegel, Fredrik Valeur, Giovanni Vigna, Computer security and Intrusion Detection, Alert Corelation, Challenges and Solution,Springer, 2005 [7] Rafeeq Rehman, Intrusion Detection with Snort, NXB Prentice Hall, 2003 ài liệu Internet [8] https://help.ubuntu.com/10.04/serverguide/C/mysql.html [9] http://www.youtube.com/watch?v=FzKdaiUZUwM [10] http://shoptinhoc.com/diendan/tin-hoc-can-ban/40472-cach-noi-mang-giua-may-aosu-dung-vmware-voi-may-va-internet.html [11] http://quantrinet.com/forum/showthread.php?t=2855 [12] http://www.slideshare.net/phanleson/snort [13] http://rootbiez.blogspot.com/2009/08/hacking-he-thong-phat-hien-xam-nhap-ids.html [14] http://www.giaiphaphethong.net/bao-mat-mang/104-gioi-thieu-he-thong-tu-dong- phat-hien-xam-nhap-ids.html [15] http://www.ipmac.vn/forum/showthread.php?t=403 Dương Xuân Linh – Lớp 51k2 – Khoa CNTT 43 ... http://rootbiez.blogspot.com/2009/08/hacking-he-thong-phat-hien-xam-nhap -ids. html [14] http://www.giaiphaphethong.net/bao-mat-mang/104-gioi-thieu-he-thong-tu-dong- phat-hien-xam-nhap -ids. html [15] http://www.ipmac.vn/forum/showthread.php?t=403... http://shoptinhoc.com/diendan/tin-hoc-can-ban/40472-cach-noi-mang-giua-may-aosu-dung-vmware-voi-may-va-internet.html [11] http://quantrinet.com/forum/showthread.php?t=2855 [12] http://www.slideshare.net/phanleson /snort. .. công - Khi OS bị "hạ" công, đồng thời HIDS bị "hạ" - HIDS phải thiết lập host cần giám sát - HIDS khơng có khả phát dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên host để hoạt động - HIDS