4.2.1. Cài đặt và mô hình hệ thống
Ta cấu hình hệ thống snort trên để chạy như là một hệ thống ngăn chặn xâm nhập (NIPS) hay còn gọi là snort_inline trên hệ điều hành Ubuntu.
Snort_inline tạo ra một kết nối “trong suốt” giữa hai phân vùng mạng khác nhau. Khi hoạt động hệ thống sẽ nghe bắt gói tin trên mỗi phân vùng mạng và dựa vào những luật mà ta cấu hình sẽ quyết định loại bỏ (drop) gói tin hay là gửi chúng (forward) đến phân vùng khác mà không chỉnh sửa gì trên các gói tin đó. Ta có thể tạo nhiều phân vùng mạng khác nhau cho hệ thống snort_inline, nhưng chỉ có một kết nối duy nhất (bridges) giữa hai phân vùng. Ví dụ: ta có 4 phân vùng: eth0, eth1, eth2, eth3; trên 2 card mạng eth0 và eth1 được kết nối với nhau (bridges) thì các gói tin sẽ chỉ truyền đến được các phân vùng của eth0 và eth1; tương tự với eth3, eth4.
Cấu hình snort_inline:
- Cấu hình các bridges interface của hệ thống:
Định dạng “promiscuous”.
Tắt tính năng LRO và GRO.
Ta có thể cấu hình như sau:
# First bridged interface auto eth1
iface eth1 inet manual
up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on post-up ethtool -K $IFACE gro off post-up ethtool -K $IFACE lro off down ip link set $IFACE promisc off down ifconfig $IFACE down
# Second Bridged Interface auto eth2
iface eth2 inet manual
up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on
Nguyễn Quang Thắng - 2014ATTMMT Page 73
post-up ethtool -K $IFACE gro off post-up ethtool -K $IFACE lro off down ip link set $IFACE promisc off down ifconfig $IFACE down
- Cấu hình file snort.conf:
Chạy thử lệnh “snort --daq-list” để kiểm tra thư viện DAQ đã được cài đặt đầy đủ chưa.
Mở file snort.conf bật chế độ “inline” bằng cách khởi động afpacket: thêm 2 dòng sau vào file conf.
config daq: afpacket config daq_mode: inline
- Cấu hình xong ta tiến hành chạy thử bằng câu lệnh: sudo snort -T -c /etc/snort/snort.conf -Q -i eth1:eth2
flag Q: snort run in inline mode
-i eth1:eth2: bridge those two interfaces (to be inline between those two interfaces)
Chạy thử hệ thống snort_inline:
sudo /usr/local/bin/snort -A console -Q -c /etc/snort/snort.conf -i eth1:eth2 –N
Hình 34. Hình minh hoạ snort_inline đã được cài đặt thành công
Do không có điều kiện triển khai thử nghiệm hệ thống ngăn chặn xâm nhập snort_inline trên thực tế nên ta sử dụng môi trường ảo để thực nghiệm. Môi
Nguyễn Quang Thắng - 2014ATTMMT Page 74 trường ảo này đáp ứng được các tiêu chí về hiệu năng, khả năng ngăn chặn, đồ hình mạng gần sát nhất với thực tế.
Hình 35. Hình ảnh minh hoạ demo hệ thống ngăn chặn xâm nhập với snort_inline
Mô hình hệ thống thử nghiệm giả lập bao gồm những thành phần như hình 30 trên. Sơ đồ gồm 2 mạng LAN riêng biệt được kết nối với nhau và có snort_inline đứng giữa làm nhiệm vụ kiểm soát và kết nối đường truyền. Lưu lượng dữ liệu trao đổi giữa các mạng trực tiếp đi qua snort_inline và được chính nó quản lí. Ta sẽ thử nghiệm hệ thống ngăn chặn xâm nhập trên môi trường mô phỏng này.
Cấu hình máy ảo Kali: Debian 3.14.5-1kali1 (2014-06-07) x86_64 GNU/Linux.
Cấu hình Snort_inline: Version 2.9.8.3 GRE (Build 383), libpcap version 1.5.3, PCRE version: 8.31 2012-07-06, ZLIB version: 1.2.8, mod: inline.
Cấu hình máy ảo Window: Window XP SP3 64bit.