truy cập vào base http://127.0.0.1/ba se
Hình 29 : màn hình base
lúc này chưa có cảnh báo nào vì ta chưa khởi chạy snort. giả sử ta tạo một rules với dấu hiệu như sau:
Hình 30 : thêm rules cho snort
sau đó include nó vào file /etc/snort_inline/snort_inline.conf
và khởi chạy snort: # snort_inline -c /etc/snort_inline/snort_inline.conf -Q rồi từ một máy khác ping đến với địa chỉ của máy ping là 192.168.1.211
và địa chỉ của máy IDS là 192.168.1.105 ta có kết quả sau.
Hình 30 : Màn hình kết quả snort
- Tiếp theo chúng ta thử tính năng DROP ICMP của chương trình:
o Sử dụng Rules như sau:
Hình 31 : thêm rules cho snort
Hình 32 : thông báo snort
như vậy snort IDS đã hoạt động tốt, ta thử rules sau cho trường hợp phát hiện nmap scan cổng.
Hình 33 : Phát hiện Nmap
sau đó include scan.rules vào file /etc/snort_inline/snort_inline.conf
khởi động lại snort_inline. từ máy tấn công bật nmap và scan cổng ta nhận được kết quả. như vậy snort đã thể hiên là một IPS
Hình 33 : Thực thi Nmap vào máy snort và xem kết quả.
Hình 34 : hiển thị kết quả
4. Nhận xét
- Ưu Điểm
• Quản lý được cả một network segment (gồm nhiều host). • "Trong suốt" với người sử dụng lẫn kẻ tấn công
• Chi phí thấp, cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng. • Tránh DOS ảnh hưởng tới một host nào đó.
• Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI). • Độc lập với OS.
- Nhược điểm
• Có thể xảy ra trường hợp báo động giả.
• Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…). • cập nhật các rules mới nhất để thực sự an toàn.
• Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động.Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.
• Không cho biết việc tấn công có thành công hay không.
• Giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng thì khả năng dò cũng vậy.
5. Tài liệu tham khảo