Hệ thống Phát Hiện Xâm Nhập Mạng: Hướng Dẫn Triển Khai Snort

Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN .1 Khái niệm SPAN

Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà máy B nối đến. • Một cổng được sử dụng như là một cổng phản hồi không thể là một SPAN nguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi cho nhiều hơn một phiên tại một thời điểm.

SPAN trên các dòng Switch Cisco

Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN của một gói bạn nhận được trên cổng SPAN đích. Khi A phát một frame đích đến là B, gói được sao chép bởi một ứng dụng mạch tích hợp (ASIC) của Catalyst 6500/6000 Policy Feature Card (PFC) vào một RSPAN VLAN đã xác định. Hiện tại, một Switch chỉ có thể là nguồn trong một phiên RSPAN, điều đó có nghĩa là một Switch nguồn chỉ có thể cho phép một RSPAN VLAN tại một thời điểm.

Trong ví dụ trước một cổng đã được cấu hình như một cổng đích cho cả hai RSPAN và SPAN cục bộ để giám sát lưu lượng truy cập cho cùng một VLAN có trên cả hai Switch. Tuy nhiên, tất cả các gói được nhìn thấy trên cổng đích SPAN (kết nối với thiết bị phân tích hoặc PC) có một nhãn IEEE 802.1Q, mặc dù cổng nguồn SPAN(cổng giám sát) có thể không là một cổng trunk 802.1Q. Khi một Switch được cấu hình cho cả hai PIM và SPAN, các máy phân tích nối với cổng đích SPAN có thể xem các gói PIM không phải là một phần của cổng nguồn SPAN / lưu lượng truy cập VLAN.

Điều này cho phép tất cả lưu lượng truy cập đi đến egress SPAN được gửi một cơ cấu đến máy phân tích và sau đó đến cổng đích SPAN, có thể sử dụng hệ thống tài nguyên quan trọng và tác động đến lưu lượng truy cập người sử dụng.

Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau

Ingress SPAN sẽ được thực hiện trên các bộ phận ingress, vì vậy hiệu năng SPAN sẽ là tổng hợp của tất cả các phần sao chép. Trong kiến trúc này, một gói đi đến nhiều đích được lưu giữ trong bộ nhớ cho đến khi tất cả các bản sao được chuyển tiếp. Nếu cổng giám sát là 50 phần trăm tải duy trì một khoảng thời gian, các cổng có khả năng sẽ trở thành xung đột và giữ một phần của bộ nhớ chia sẻ.

Với việc sử dụng các tính năng SPAN, một gói phải được gửi cho hai cổng khác nhau, như trong ví dụ trong phần Kiến trúc tổng quan. Nếu cổng đích SPAN bị xung đột, các gói được xoá bỏ trong hàng đợi đầu ra và giải phóng chính xác khỏi bộ nhớ chia sẻ.

Các lỗi thường gặp khi cấu hình Các vấn đề kết nối do lỗi cấu hình SPAN

Người quản trị tạo một phiên SPAN giám sát toàn bộ VLAN 1 trên Switch trung tâm, và, để hợp nhất hai phiên, nối cổng đích vào cùng một hub (hoặc cùng Switch, với việc sử dụng các phiên SPAN khác). Tuy nhiên, vẫn còn là vấn đề này là vẫn tông tại trên Catalyst 2900XL/3500XL Series Lưu ý: Thậm chí khi tuỳ chọn inpkts ngăn việc xảy ra lặp, cấu hình phần này cho thấy rằng có thể gây ra một số vấn đề trong mạng. Cisco IOS tự động tạo ra một phiên Span cho các mô-đun dịch vụ VPN để xử lý các lưu lượng truy cập multicast Sử dụng lệnh sau để xoá phiên SPAN mà IOS tạo ra cho modul VPN dịch vụ : Switch(config)# no monitor session session_number service-module Lưu ý: Nếu bạn xoá phiên này, modul VPN dịch vụ ngắt lưu lượng multicast Tại sao bạn không thể bắt các gói tin lỗi với SPAN?.

Nếu dòng dữ liệu nguồn multicast đằng sau FWSM phải được nhân bản tại lớp 3 đến nhiều dòng mạch, các phiên tự động nhân bản lưu lượng truy cập đến máy phân tích thông qua một cơ cấu kênh. Nếu một phiên nguồn RSPAN được cấu hình với một RSPAN VLAN và một phiên đích RSPAN cho RSPAN VLAN đó được cấu hình trên cùng một Switch, thì cổng đích của phiên đích RSPAN đó cổng sẽ không truyền các gói bắt nguồn từ phiên nguồn RSPAN do hạn chế phần cứng.

Các đặc điểm chính

Vấn đề quan trọng đặt ra cho hệ thống này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu năng của SNORT giảm sút do “nghe sót”. Sở dĩ dựa trên các Header là vì đây là thành phần ít thay đổi của những rules được viết cho cùng một kiểu phát hiện xâm nhập và Option là thành phần dễ được sửa đổi nhất. Ví dụ: ta có 40 rules được viết cho kiểu thăm dò CGI-BIN, thực chất các rules này có chung IP source, IP đích, port source, port đích, tức là có chung Header.

Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ được tạo ra cùng với việc ghi nhận lại toàn bộ gói dữ liệu. Vùng địa chỉ IP trong các rules được viết dưới dạng CIDR block netmask, các port có thể được xác định riêng lẻ hoặc theo vùng, port bắt đầu và port kết thúc được ngăn cách bởi dấu “:”.

Các bước cài đặt Snort trên hệ điều hành Debian .1 Cài hệ điều hành Debian

1-dev 3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL Sử dụng phần mềm Shorewall để cấu hình iptables. BASE là một ứng dụng tuyệt vời cung cấp giao diện web để truy vấn và phân tích các snort alert. Click "Create BASE AG" which will: Adds tables to extend the Snort DB to support the BASE functionality.

- Cài đặt gói snmpd để monitor server có thể biết được các thông số về hệ thống phát hiện xâm nhập. (mặc định debian chỉ nghe trên localhost --> thêm vào interface để nghe trên ip của nó).

Giao diện hệ thồng sau cài đặt .1 Các thông tin cấu hình cơ bản

+ SNMP server (sử dụng cho Monitor server) - Các dịch vụ đang mở:. conf - Thư mục chứa tập luật: /etc/snort/rules/. - File log: /var/log/snort/alert Kích hoạt hoặc huỷ tiến trình - Để kớch hoạt SNORT, gừ lệnh:. d/snort start Hoặc. conf -l /var/log/snort. - Để huỷ tiến trỡnh SNORT, gừ lệnh:. File cấu hình SNORT. # Thông số về địa chỉ mạng đang được giám sát. Sử dụng OINKMASTER để cập nhật Rules. - Định kỳ update rules bằng cron vào lúc 0h00 mỗi ngày:. conf -o /etc/snort/rules -b /etc/snort/rulesbackup. - Chỉnh sửa file cấu hình oinkmaster. conf để cập nhật các rules như ý:. + Giữ nguyên rules, không muốn cập nhật, tìm đến mục. never update or check for changes) #. Alert “ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited “ xuất hiện rất nhiều (10092 lần, chiếm 23% tổng số ICMP) -> Cần phải ẩn rule 486. - Sau khi đọc các thông tin về alert này, ta thấy nhiều khả năng đây là alert sinh ra do “Slammer worm” phát tán trên Internet, đang cố gắng khai thác một lỗi buffer overflow trên MS SQL Server 2000 Resolution Service.

- Tính năng này đặc biệt rất hữu ích, cho phép IDS admin review lại được toàn bộ gói tin đã tạo ra alert, giúp cho quá trình tinh chỉnh các rules chính xác hơn, thuận tiện hơn. Để tìm kiếm một alert nào đó, bạn có thể click vào link “Search” và tìm kiếm theo rất nhiều tiêu chí khác nhau như: Sensor, Alert Group, Signature, Classification, Priority, Alert Time, rồi sắp xếp theo một vài tuỳ chọn có sẵn. Bên cạnh cách phân loại rules sẵn có của snort, để tiện lợi cho việc quản lý, người sử dụng có thể tạo ra các nhóm alert khác nhau, gán các alert vào từng nhóm phù hợp với quan điểm của mình.

BASE cung cấp một số cách hiển thị biểu đồ trực quan, cho phép người quản trị có thể cảm nhận nhanh chóng được các vấn đề của hệ thống, đưa ra được các phương án giải quyết kịp thời.