TRƢỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS TRIỂN KHAI SNORT TRÊN WINDOWS Sinh viên thực hiện: Bùi Văn Tường Mã số sinh viên: 1051070381 Lớp: 51K1 Giáo viên hướng dẫn: ThS Phạm Thị Thu Hiền Nghệ An, tháng 12 năm 2014 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS LỜI CẢM ƠN Để hoàn thành đề tài này, nổ lực cố gắng thân, em nhận đƣợc giúp đỡ nhiệt tình thầy giáo, giáo, gia đình bạn bè Em xin bày tỏ lời cảm ơn sâu sắc tới Th.S Phạm Thị Thu Hiền ngƣời tận tình hƣớng dẫn, giúp đỡ bảo suốt trình thực đề tài Em xin chân thành cảm ơn thầy cô giáo tổ Phƣơng pháp giảng dạy khoa CNTT Trƣờng Đại Học Vinh Mặc dù cố gắng tiếp thu ý kiến thầy, cô giáo hƣớng dẫn nổ lực nghiên cứu, song đề tài chắn khơng thể tránh sai sót Vì vậy, mong đƣợc góp ý thầy giáo bạn để em có đƣợc nhìn sâu sắc vấn đề nghiên cứu, hồn thiện đề tài, đạt chất lƣợng cao Em xin chân thành cảm ơn! Vinh, tháng 12 năm 2014 SV thực Bùi Văn Tường Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS MỤC LỤC LỜI MỞ ĐẦU CHƢƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS I KHÁI NIỆM II CHỨC NĂNG VÀ PHÂN LOẠI IDS .5 2.1 Chức .5 2.1 Phân loại III CƠ CHẾ HOẠT ĐỘNG CỦA IDS 3.1 Phát lạm dụng (Misuse Detection Model) 3.2 Phát bất thƣờng (Anomaly Detection Model) 3.3 So sánh hai mơ hình .9 IV SỰ CẦN THIẾT CỦA IDS 4.1 Sự giới hạn biện pháp đối phó 4.1 Những cố gắng việc hạn chế xâm nhập trái phép .11 V PHƢƠNG PHÁP PHÁT HIỆN TẤN CÔNG CỦA IDS 12 5.1 Tấn công từ chối dịch vụ (Denial of Service attack) 12 5.2 Quét thăm dò (Scanning Probe) 12 5.3 Tấn công vào mật mã (Password attack) 13 5.4 Chiếm đặc quyền (Privilege-grabbing) 13 5.5 Cài đặt mã nguy hiểm (Hostile code insertion) 14 5.6 Hành động phá hoại máy móc (Cyber vandalism) 14 CHƢƠNG II: TRIỂN KHAI ỨNG DỤNG DỊ TÌM XÂM NHẬP TRÊN HỆ THỐNG WINDOWS DỰA TRÊN SNORT 16 I GIỚI THIỆU VỀ SNORT 16 II BỘ LUẬT CỦA SNORT 21 III CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT 28 CHƢƠNG III CÀI ĐẶT VÀ MÔ PHỎNG 29 I GIỚI THIỆU KỊCH BẢN 29 1.1 Mô tả kịch 29 1.2 Tình đặt 29 II ĐẶT RA GIẢI PHÁP Error! Bookmark not defined Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS III YÊU CẦU Error! Bookmark not defined IV CÀI ĐẶT SNORT TRÊN WINDOWS SERVER 30 4.1 Cài đặt cấu hình .30 4.2 Chế độ NIDS 36 KẾT LUẬN 40 A Kết đạt đƣợc đề tài 40 B Hƣớng phát triển đề tài 41 Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS LỜI MỞ ĐẦU Hiện mạng Internet trở thành phần thiếu ngƣời Việc học tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin mạng trở thành hành động thƣờng ngày ngƣời Khả kết nối toàn giới mang lại thuận tiện cho tất ngƣời, nhƣng tiềm ẩn nguy khó lƣờng đe dọa tới mặt đời sống xã hội Việc trộm thông tin mạng gây ảnh hƣởng đến tính riêng tƣ cho cá nhân, vụ lừa đảo, công từ chối dịch vụ gây ảnh hƣởng lớn đến hoạt động kinh doanh cho cơng ty gây phiền tối cho ngƣời sử dụng Internet… làm cho vấn đề bảo mật mạng ln vấn đề nóng đƣợc quan tâm đến thời điểm Hệ thống phát xâm nhập trái phép IDS phƣơng pháp bảo mật có khả chống lại kiểu cơng mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phƣơng pháp bảo mật truyền thống Nó đƣợc nghiên cứu, phát triển ứng dụng từ lâu giới thể vai trò quan trọng sách bảo mật Tuy nhiên Việt Nam hệ thống phát xâm nhập trái phép đƣợc nghiên cứu, chƣa đƣợc ứng dụng vào thực tế Nguyên nhân việc hệ thống IDS phức tạp, tốn thời gian đào tạo để sử dụng, hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dƣỡng, không phù hợp với điều kiện hệ thống Việt Nam Từ vấn đề nói nên em chọn đề tài “ Tìm hiểu hệ thống phát xâm nhập IDS-Snort” để nghiên cứu Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHƯƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS KHÁI NIỆM IDS (Intrusion Detection System hệ thống phát xâm nhập) thống giám sát lƣu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị I Ngoài IDS đảm nhận việc phản ứng lại với lƣu thông bất thƣờng hay có hại cách hành động đƣợc thiết lập trƣớc nhƣ khóa ngƣời dùng hay địa IP nguồn truy cập hệ thống mạng,… IDS phân biệt cơng bên từ bên (từ ngƣời công ty) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống nhƣ cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lƣu thông mạng với baseline(thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thƣờng II 2.1 CHỨC NĂNG VÀ PHÂN LOẠI IDS Chức Chức quan trọng : Giám sát, cảnh báo bảo vệ Giám sát: Lƣu lƣợng mạng, hoạt động khả nghi Cảnh bảo: Báo cáo tình trạng mạng cho hệ thống ngƣời quản trị - Bảo vệ: Dùng thiết lập mặc định sử dụng cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Chức mở rộng: Phân biện phát - Phân biệt: phân biệt kẻ công từ bên hay bên - Phát hiện: Những dấu hiệu bất thƣờng dựa biết nhờ vào so sánh thông lƣợng mạng với baseline - Phân loại Có loại IDS Network Based IDS(NIDS) Host Based IDS (HIDS): - Network Based (NIDS): Đƣợc đặt kết nối hệ thống mạng bên mạng bên để giám sát tồn lƣu lƣợng vào Có thể thiết bị phần cứng riêng biệt đƣợc thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lƣu lƣợng mạng đƣợc sử dụng.Tuy nhiên xảy tƣợng nghẽn cổ chai lƣu lƣợng mạng hoạt động mức cao 2.1 Ví trí : mạng bên mạng bên ngồi Loại : hardware (phần cứng) software (phần mềm) Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Nhiệm vụ : chủ yếu giám sát lƣu lƣợng vào mạng Nhƣợc điểm : Có thể xảy tƣợng nghẽn lƣu lƣợng mạng hoạt động mức cao Một số sản phẩm NIDS: + Cisco IDS + Dragon® IDS/IPS - Host Based IDS (HIDS): Đƣợc cài đặt cục máy tính làm cho trở nên linh hoạt nhiều so với NIDS Kiểm soát lƣu lƣợng vào máy tính, đƣợc triển khai nhiều máy tính hệ thống mạng HIDS đƣợc cài đặt nhiều dạng máy tính khác cụ thể nhƣ máy chủ, máy trạm, máy tính xách tay HIDS cho phép bạn thực cách linh hoạt đoạn mạng mà NIDS thực đƣợc Lƣu lƣợng gửi tới máy tính HIDS đƣợc phân tích chuyển qua chúng khơng chứa mã nguy hiểm HIDS đƣợc thiết kế hoạt động chủ yếu hệ điều hành Windows , có sản phẩm hoạt động ứng dụng UNIX nhiều hệ điều hành khác Ví trí : cài đặt cục máy tính dạng máy tính => linh hoạt NIDS Loại : software (phần mềm) Nhiệm vụ : phân tích lƣu lƣợng vào mạng chuyển tới máy tính cài đặt HIDS Ƣu điểm: + Cài đặt nhiều dạng máy tính : xách tay, PC,máy chủ + Phân tích lƣu lƣợng mạng forward Nhƣợc điểm : Đa số chạy hệ điều hành Windows Tuy nhiên có số chạy đƣợc Unix hệ điều hành khác Một số sản phẩm HIDS: + Snort(Miễn phí_ open source) + GFI EventsManager + ELM 5.0 TNT software Các kỹ thuật xử lý liệu đƣợc sử dụng hệ thống phát xâm nhập phụ thuộc vào kiểu phƣơng pháp đƣợc sử dụng để phát xâm nhập, chế xử lý khác đƣợc sử dụng cho liệu IDS Hệ thống Expert (Expert systems): Hệ thống làm việc tập nguyên tắc đƣợc định nghĩa từ trƣớc để miêu tả công Tất kiện có liên quan đến bảo mật đƣợc kết hợp vào kiểm định đƣợc dịch dƣới dạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense ComputerWatch (đƣợc phát triển AT&T) Phát xâm nhập dựa luật(Rule-Based Intrusion Detection): Giống nhƣ phƣơng pháp hệ thống Expert, phƣơng pháp dựa hiểu biết công Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Chúng biến đổi mô tả cơng thành định dạng kiểm định thích hợp Nhƣ vậy, dấu hiệu cơng đƣợc tìm thấy ghi(record) Một kịch công đƣợc mơ tả, ví dụ nhƣ chuỗi kiện kiểm định công mẫu liệu tìm kiếm lấy đƣợc kiểm định Phƣơng pháp sử dụng từ tƣơng đƣơng trừu tƣợng liệu kiểm định Sự phát đƣợc thực cách sử dụng chuỗi văn chung hợp với chế Điển hình, kỹ thuật mạnh thƣờng đƣợc sử dụng hệ thống thƣơng mại (ví dụ nhƣ: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)) Phân biệt ý định ngƣời dùng(User intention identification): Kỹ thuật mơ hình hóa hành vi thơng thƣờng ngƣời dùng tập nhiệm vụ mức cao mà họ thực đƣợc hệ thống (liên quan đến chức ngƣời dùng) Các nhiệm vụ thƣờng cần đến số hoạt động đƣợc điều chỉnh cho hợp với liệu kiểm định thích hợp Bộ phân tích giữ tập hợp nhiệm vụ chấp nhận cho ngƣời dùng Bất khơng hợp lệ đƣợc phát cảnh báo đƣợc sinh Phân tích trạng thái phiên (State-transition analysis): Một công đƣợc miêu tả tập mục tiêu phiên cần đƣợc thực kẻ xâm nhập để gây tổn hại hệ thống Các phiên đƣợc trình bày sơ đồ trạng thái phiên Nếu phát đƣợc tập phiên vi phạm tiến hành cảnh báo hay đáp trả theo hành động đƣợc định trƣớc Phƣơng pháp phân tích thống kê (Statistical analysis approach): Đây phƣơng pháp thƣờng đƣợc sử dụng hành vi ngƣời dùng hay hệ thống (tập thuộc tính) đƣợc tính theo số biến thời gian Ví dụ, biến nhƣ là: đăng nhập ngƣời dùng, đăng xuất, số tập tin truy nhập khoảng thời gian, hiệu suất sử dụng không gian đĩa, nhớ, CPU,… Chu kỳ nâng cấp thay đổi từ vài phút đến tháng Hệ thống lƣu giá trị có nghĩa cho biến đƣợc sử dụng để phát vƣợt ngƣỡng đƣợc định nghĩa từ trƣớc Ngay phƣơng pháp đơn giản khơng hợp đƣợc với mơ hình hành vi ngƣời dùng điển hình Các phƣơng pháp dựa vào việc làm tƣơng quan thông tin ngƣời dùng riêng lẻ với biến nhóm đƣợc gộp lại có hiệu Vì vậy, mơ hình tinh vi hành vi ngƣời dùng đƣợc phát triển cách sử dụng thông tin ngƣời dùng ngắn hạn dài hạn Các thông tin thƣờng xuyên đƣợc nâng cấp để bắt kịp với thay đổi hành vi ngƣời dùng Các phƣơng pháp thống kê thƣờng đƣợc sử dụng việc bổ sung IDS dựa thông tin hành vi ngƣời dùng thông thƣờng Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS III CƠ CHẾ HOẠT ĐỘNG CỦA IDS Có hai cách tiếp cận việc phát phòng chống xâm nhập là: Phát lạm dụng, Phát bất thƣờng 3.1 Phát lạm dụng (Misuse Detection Model) Hệ thống phát xâm nhập bàng cách tìm kiếm hành động tƣơng ứng với kĩ thuật xâm nhập đƣợc biết đến (dựa dấu hiệu - signatures) điểm dễ bị cơng hệ thống - Mơ hình phát hiệnsự lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mơ tả đặc điếm cách thức xâm nhập vào hệ thống đƣợc biết đến, cách thức đƣợc mô tả nhƣ mẫu Hệ thống phát lạm dụng thực kiểm soát mẫu rõ ràng Mẫu xâu bit cố định (ví dụ nhƣ virus đặc tả việc chèn xâu), dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch đƣợc tiến hành Hệ thống xem xét hành động hệ thống đƣợc bảo vệ thời gian thực ghi kiểm tra đƣợc ghi lại hệ điều hành Các hệ thống phát lạm dụng hệ sử dụng luật (rules) để mơ tả mà nhà quản trị an ninh tìm kiếm hệ thống Một lƣợng lớn tập luật đƣợc tích luỹ dẫn đến khó hiểu sửa đổi chúng khơng đƣợc tạo thành nhóm cách hợp lý kịch xâm nhập Để giải khó khăn này, hệ thống hệ thứ hai đƣa biểu diễn kịch xen kẽ, bao gồm tổ chức luật dựa mơ hình biểu diễn phép biến đổi trạng thái Điều mang tính hiệu ngƣời dùng hệ thống cần đến biểu diễn hiểu rõ ràng kịch Hệ thống phải thƣờng xuyên trì cập nhật để đƣơng đầu với kịch xâm nhập đƣợc phát Phát bất thường (Anomaly Detection Model) Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thƣờng ngƣời dùng hay hệ thống - Mơ hình phát bất thƣờng: Dựa việc định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi không mong muốn bất thƣờng, tìm thay đổi, hành vi bất hợp pháp 3.2 Nhƣ vậy, phát khơng bình thƣờng phải có khả phân biệt tƣợng thông thƣờng tƣợng bất thƣờng Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Ranh giới dạng thức chấp nhận đƣợc dạng thức bất thƣờng đoạn mã liệu lƣu trữ đƣợc định nghĩa rõ ràng (chỉ cần bit khác nhau), ranh giới hành vi hợp lệ hành vi bất thƣờng khó xác định 3.3 So sánh hai mơ hình Bảng 1.1 So sánh mơ hình phát Phát bất thƣờng (Anomaly Detection Model) Phát lạm dụng (Misuse Detection Model) Bao gồm:- Cơ sở liệu dấu hiệu Bao gồm: - Cơ sở liệu hành động cơng thơng thƣờng - Tìm kiếm hành động tƣơng ứng với - Tìm kiếm độ lệch hành động thực tế kĩ thuật xâm nhập biết đến (dựa so với hành động thông thƣờng dấu hiệu - signatures) Hiệu việc phát dạng Hiệu việc phát dạng công hay biến dạng tấn công mà hệ thống phát công biết lạm dụng bỏ qua Không phát đƣợc dạng cơng Dễ cấu hình địi hỏi thu Khó cấu hình đƣa nhiều liệu thập liệu, phân tích cập nhật hơn, phải có đƣợc khái niệm tồn diện hành vi biết hay hành vi đƣợc mong đợi hệ thống Đƣa kêt luận dựa vào phép so khớp Đƣa kêt dựa vào độ lệch mẫu (pattern matching) thông tin thực tế ngƣỡng cho phép Có thể kích hoạt thơng điệp cảnh báo Có thể hỗ trợ việc tự sinh thông tin hệ nhờ dấu hiệu chắn, cung thống cách tự động nhƣng cần có thời cấp liệu hỗ trợ cho dấu hiệu khác gian liệu thu thập đƣợc phải rõ ràng Để có đƣợc hệ thống phát xâm nhập tốt ta tiến hành kết hợp hai phƣơng pháp hệ thống Hệ thống kết hợp cung cấp khả phát nhiều loại công hiệu SỰ CẦN THIẾT CỦA IDS Sự giới hạn biện pháp đối phó Hiện có nhiều cơng cụ nhằm gia tăng tính bảo mật cho hệ thống Các cơng cụ hoạt động có hiệu quả, nhiên chúng có hạn chế riêng IV 4.1 làm hệ thống có nguy bị cơng cao Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS alert udp any any  192.168.1.0/24 “server”; classtype: DoS;) 6838 (msg: ”DoS”; content: alert udp any any  192.168.1.0/24 6838 (msg: ”DoS”; content: “server”; classtype: DoS;priority: 1;) Trong câu lệnh thứ ta ghi đè lên giá trị priority mặc định lớp định nghĩa  Từ khoá content: Một đặc tính quan trọng Snort có khả tìm mẫu liệu bên gói tin Mẫu dƣới dạng chuỗi ASCII chuỗi nhị phân dƣới dạng kí tự hệ 16 Giống nhƣ virus, cơng có dấu hiệu nhận dạng từ khoá content dùng để tìm dấu hiệu bên gói tin Ví du: alert tcp 192.168.1.0/24 any  ![192.168.1.0/24] any (content: “GET”; msg: “GET match ”;) Luật tìm mẫu “GET” phần liệu tất gói tin TCP có nguồn từ mạng 192.168.1.0/24 đến địa khơng thuộc mạng Từ “GET” hay đƣợc dùng công HTTP Ví du: alert tcp 192.168 1.0/24 any  ![192.168.1.0/24] any (content: “\47 45 54\ msg: “GET match ”;) Tuy nhiên sử dụng từ khoá content ta cần nhớ rằng: Đối sánh nội dung phải xử lý tính tốn lớn ta phải cân nhắc sử dụng nhiều luật có đối sánh nội dung Ta sử dụng nhiều từ khố content luật để tìm nhiều dấu hiệu gói tin Đối sánh nội dung cơng việc nhạy cảm Có từ khố khác hay đƣợc dùng với từ khoá content dùng để bổ sung thêm điều kiện để tìm kiếm là: - offset : dùng đế xác định vị trí bắt đầu tìm kiếm (chuỗi chứa từ khố content) offset tính từ đầu phần liệu gói tin Ví du: Tìm chuỗi “HTTP” vị trí cách đầu đoạn liệu gói tin byte: alert tcp 192.168.1.0/24 any  any any (content: “HTTP”; offset: 4; msg: “HTTP matched”;) - dept: dùng để xác định vị trí mà từ Snort dừng việc tìm kiếm.Từ khố thƣờng đƣợc dùng chung với từ khoá offset vừa nêu Ví du: alert tcp 192.168.1.0/24 any  any any (content: “HTTP”; offset: 4; dept: 40; msg: “HTTP matched”;) Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 27 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Từ khoá giúp cho việc tiêu tốn thời gian tìm kiếm mà đoạn liệu gói tin lớn - content-list : đƣợc sử dụng với file Tên file (đƣợc phần tham số từ khoá này) file text chứa danh sách chuỗi cần tìm phần liệu gói tin Mỗi chuỗi nằm dịng riêng biệt Ví du: alert tcp 192.168.1.0/24 any  any any (content-list: “test”;msg: “This is my Test”;) Ta dùng kí tự phủ định ! trƣớc tên file đế cảnh báo gói tin khơng tìm thấy chuỗi file - Từ khố dsize Dùng để đối sánh theo chiều dài phần liệu Rất nhiều công sử dụng lỗi tràn đệm cách gửi gói tin có kích thƣớc lớn Sử dụng từ khố này, ta so sánh độ lớn phần liệu gói tin với số Ví du: alert ip any any  192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon ”;) III CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT - Sniffer mode: chế độ snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị - Packet Logger mode : lƣu trữ gói tin tập tin log - Network instructỉon detect system (NIDS) : chế độ họat động mạnh mẽ đƣợc áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin luân chuyến mạng so sánh với thông tin đƣợc định nghĩa ngƣời dùng để từ có hành động tƣơng ứng nhƣ thơng báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 28 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHƯƠNG III CÀI ĐẶT VÀ MÔ PHỎNG I 1.1 GIỚI THIỆU KỊCH BẢN Mô tả kịch Công ty Thiên Phú công ty bán hàng trực truyến nên việc hoạt động kinh doanh công ty chủ yếu thông qua Internet Hệ thống mạng công ty đƣợc xây dựng lớn nên cần phải đảm bảo đƣợc yêu cầu kỹ thuật nhƣ hoạt động liên tục mức độ bảo mật an toàn cao Tuy nhiên bên cạnh phát triển nhanh chóng đạt đƣợc yêu cầu đặt mong muốn hệ thống xảy nhiều rủi ro nhƣ không tuân thủ nghiêm ngặt quy định nhƣ luật sở hữu, quyền phần mềm Nên ngƣời quản trị cần phải tăng cƣờng khả an toàn thông tin để khỏi bị mát liệu lỗ hổng bảo mật hay bị hacker, virus, trojan công Những yêu cầu bảo mật Công ty:  Đảm bảo an toàn giao dịch qua Internet  Giám sát đƣợc trình làm việc nhân viên  Đảm bảo an toàn cho Server chạy ứng dụng phần mềm công ty, đảm bảo cho việc lƣu, phục hồi liệu, tránh trƣờng hợp bị hacker công vào Server Database Mô hình mạng hạ tầng cơng ty Hình 3.1 Mơ hình mạng Cơng Ty Thiên Phú 1.2 Tình đặt Khi nhân viên biểu bất thƣờng mạng hay ngƣời ngồi Internet xâm nhập thăm dị mạng, qt tìm lỗi hệ thống mạng cơng ty, xây dựng sơ đồ Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 29 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS mạng bảo đảm tính sẵn sàng cho hệ thống, đối phó với cơng từ ngồi nhƣ nào? Làm phát kịp thời để có phịng ngừa ngăn chặn 1.3 Đặt giải pháp Xây dựng mơ hình kết hợp với hệ thống dị tìm phát xâm nhập IDS phƣơng pháp hiệu để giúp ngƣời quản trị luôn nắm đƣợc trạng thái mạng, chọn hai mơ hình NIDS HIDS kết hợp hai lại với Hình 3.2 Mơ hình giải pháp kết hợp IDS Khi bị công hệ thống Snort phát xâm nhập đƣa cảnh báo cho ngƣời quản trị, nhƣ thông tin công, lỗi hệ thống, tất thông tin đƣợc lƣu vào hệ thống sở liệu Yêu cầu Phần mềm IDS - Snort đƣợc triển khai hệ thống mạng máy Windows Server 2008 Để cài đặt đƣợc Snort, cần cài đặt phần mềm WinPcap tƣơng ứng với phiên Snort triến khai 1.4 Phần mềm cài Snort: Snort_2_9_7_0_Installer.exe Phần mềm cài Wincap: Winpcap-4.1.3.exe Chúng ta tiến hành cài đặt WinPcap trƣớc cài đặt Snort Theo mặc định phần mềm Snort đƣợc cài đặt C:\Snort II CÀI ĐẶT SNORT TRÊN WINDOWS SERVER 2.1 Cài đặt cấu hình Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 30 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 2.10 Mơ hình Demo Download Snort: Download snort trang web http://www.Snort.org Chọn Downloads  Chọn phiên Snort_2_9_7_0_Installer.exe Tập Rules tải Hình 3.4 Giao diện trang Web Trƣớc tiên tải Winpcap từ http://www.iltiloi.com Snort từ trang http://www.snort.org nhƣ trình bày Trƣớc cài ln Winpcap đƣợc u cầu để đảm bảo tính tƣơng thích Winpcap Snort Click vào tập tin chƣơng trình Snort_Installer để bắt đầu tiến trình cài đặt Sau copy rules đƣợc tạo sẵn (download từ https://snort.org/) sau giải nén copy thƣ mục Rules vào thƣ mục cài đặt snort chứa C:\Snort Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 31 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.5 Thư mục Rule Sau cài đặt Snort cần phải thiết lập tham số quan trọng biến HOME_NET PATH_RULE, classification, dynamicpreprocessor khởi động Snort thực công việc Khai báo biến fíle Snort.conf foder C:\Snort\etc HOME_NET (trong trƣờng hợp HOME_NET lớp 172.16.10.0/24) ta bỏ hết chữ ip chữ “ipvar” Hình 3.6 Khai báo biến HOME NET Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 32 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Sau ta tiếp tục khai báo biến cho RULE PATH Hình 3.7 Khai báo biến RULE PATH Tiếp tục khai báo cho biến có tên include classifìcation, reference cách thêm dịng c:\snort\etc\ Hình 3.8 Khai báo biến include classification, reference Tiếp theo ta khai báo dynamicpreprocessor, dynamicengine, dynamicdetection nhƣ sau: dynamicpreprocessor directory c :\snort\lib\snort_dynamicpreprocessor dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll dynamicdetection directory c:\snort\lib\snort_dynamicrules Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 33 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.9 Khai báo biến dynamicpreprocessor, dynamicengine, dynamicdetection Cuối chạy lệnh để kiểm tra độ ổn định: Snort –l c:\snort\log -c c:\snort\etc\snort.conf -A console Hình 3.10 Kết sau thực thi dịng lệnh Nhƣ cấu hình xong Snort.conf Snort sẵn sàng hoạt động dƣới chế độ khác Sử dụng Snort:  Chế độ Sniffer Packet: Để tiến hành Sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính bạn có sử dụng nhiều card sử dụng lệnh snort-W Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 34 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.11 Số Card mạng Vậy card mạng có số hiệu Bây tiến hành sniffer packet dùng lệnh: snort -dev -ix (với X số hiệu card mạng) Trong trình chạy Snort, tiến hành Ping IP 172.16.10.10 vào máy Window Server 172.16.10.1) Hình 3.14 Bắt phân tích gói tin Hình 3.15 Kết thu Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 35 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Chế độ Packet Logger: Chúng ta lƣu gói liệu vào fíle log để xem lệnh: snort -dev -il -1 C:\snort\log (dòng lệnh ghi log thông tin liệu tầng Datalink TCP/IP) Hình 3.14 Bắt lưu gói liệu vào file Log Đọc log ghi lại: snort -dvr C:\Snort\log\snort.log.NHÃN THỜI GIAN Hình 3.15 Kiểm thử file Log ghi lại 2.2 Chế độ NIDS Ví dụ: Tạo cảnh báo với thông điệp kèm theo : Alert tcp any any -> any 23 (msg: "Telnet Connection -> Attempt";) Dị tìm tiến trình qt mạng TCP NULL: Alert tcp any any -> detected"; Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 36 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS >= 10.0.10.0/24 any (msg: "NULL scan flags: 0;) Dị tìm tiến trình OS fingerprinting; Alert tcp any any -> 10.0 10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12;) Tiến hành lọc nội dung : Alert tcp any $HOME_NET-> !$HOME_NET cmy (content: => "Hello"; msg:"Heỉlo Packet";) Nhƣ tiến hành cài đặt cấu hình snort để tiến hành bắt giữ gói tin, xem nội dung chúng nhƣng chƣa biến snort thực trở thành hệ thống IDS - dò tìm xâm phạm trái phép Vì hệ thống nhƣ cần có quy tắc (rule) hành động cảnh báo cho quản trị hệ thống xảy trùng khớp quy tắc Trong phần tiếp theo,chúng ta tiến hành cấu hình để xây dựng network IDS với Snort Trong thử nghiệm này, tiến hành tạo Rule ghi lại cảnh báo hoạt động ngƣời dùng Sử dụng trình sọan thảo Notepad nhập vào nội dung: alert icmp any any -> 172.16.10.1/24 any (msg: "Co nguoi dang Ping vao he thong";SID:8521468;) alert tcp any any -> 172.16.10.1/24 80 (msg: "Co nguoi dang tien hanh truy cap Website";SID:1597538;) Để thử nghiệm luật trƣớc hết ta tạo trang Web có nội dung Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 37 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.16 Website tạo Sau viết rule xong, việc ta phải Setup lại Snort để Snort cập nhật lại rule ta vừa tạo Snort –l c:\snort\log -c c:\snort\etc\snort.conf -A console Hình 3.17 Chạy Snort để cập nhật rule vừa khởi tạo Ngồi việc theo dõi cách xác ghi lại tất hoạt động ngƣời sử dụng nội ngƣời sử dụng trái phép bên ngồi ngƣời quản trị sử dụng dịng lệnh để log nhật ký hệ thống: C:Snort\bin>snort -c C:\Snort\etc\snort.conf -1 C:\Snort\log Thí nghiệm Rule 1) ta Ping từ máy Client 172.16.10.10  172.16.10.1 Hình 3.18 Máy 172.16.10.10  172.16.10.1 Thí nghiệm Rule 2) từ máy Client 172.16.10.10/24 ta truy cập Website với địa ip 172.16.10.1 http://doantotnghiep.com Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 38 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.19 Website truy cập từ máy Client Cuối ta xem lại cảnh báo đƣợc IDS - Snort ghi lại file alert.ids nhƣ sau: Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 39 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS Hình 3.20 Kết sau thực KẾT LUẬN Kết đạt đề tài Đề tài cho ta thấy rõ đƣợc cần thiết bảo mật, hạn chế phƣơng pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triến Bài báo cáo giúp: Nắm bắt đƣợc khái niệm hệ thống phát xâm nhập A Triển khai đƣợc hệ thống phát xâm nhập phổ biến Snort nắm bắt đƣợc chế viết luật cho Snort viết đƣợc số luật Trình bày đƣợc số hình thức xâm nhập công sử dụng Snort để phát cơng Những hạn chế đề tài: Đề tài nhiều thiếu sót Phần lý thuyết tổng quát sơ lƣợc tóm tắt chƣa sâu nghiên cứu vấn đề Phần thử nghiệm tìm hiếu chế độ đon giản Sniffer Packet, Packet Logger, NIDS Và chế độ không phần quan trọng Inline mode vấn đề viết rule cho Snort để xử lý hệ thống luật viết có phần cịn đơn giản Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 40 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS B Hướng phát triển đề tài Sau nắm Hệ thống phát xâm nhập (IDS), ta thực nghiên cứu Hệ thống phát chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ chức Nghiên cứu cách sử dụng Snort để phát hình thức cống phát triển lên phƣơng pháp phòng chống tiên tiến tƣơng lai không xa TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, Nxb Giáo dục, 1999 [2] Nguyễn Ngọc Tuấn, Công nghệ bảo mật, Nxb Thống Kê, 2005 [3] Tô Thanh Hải, Quản Trị Windows Server 2008, Tập 1, Nxb Phƣơng Đông, 2010 [4] Tô Thanh Hải, Quản Trị Windows Server 2008, Tập 2, Nxb Phƣơng Đông, 2010 [5] Vũ Đình Cƣờng, Phương Pháp Cấu Hình Và Thiết Lập Bảo Mật Trên Windows Server 2003 Đối Với Mạng Doanh Nghiệp, Nxb Giao Thông Vận Tải, 2005 Tài liệu tiếng Anh [6] Earl Carter, Introduction to Netwơrk Security, Cisco Secure Intrusion Detection system, Cisco Press, 2000 [7] Rafeeq Rehman, Intrusion Detection with Snơrt, Nxb Prentice Hall, 2003 Bùi Văn Tường – Lớp 51K1 – Khoa CNTT 41 ... tài “ Tìm hiểu hệ thống phát xâm nhập IDS- Snort? ?? để nghiên cứu Bùi Văn Tường – Lớp 51K1 – Khoa CNTT HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHƯƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS KHÁI NIỆM IDS (Intrusion... Khoa CNTT 40 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS B Hướng phát triển đề tài Sau nắm Hệ thống phát xâm nhập (IDS) , ta thực nghiên cứu Hệ thống phát chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ... thống phát chống xâm nhập trái phép công nghệ thông tin phát triến Bài báo cáo giúp: Nắm bắt đƣợc khái niệm hệ thống phát xâm nhập A Triển khai đƣợc hệ thống phát xâm nhập phổ biến Snort nắm bắt