6. Bố cục của luận văn
3.2. Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công mạng
3.2.1. Mô hình mạng trường
Hình 3.1. Mô hình mạng hiện tại - Router: Kết nối Internet cho toàn hệ thống.
- Switch: Switch tổng cho cả trƣờng, thực hiện chuyển mạch và phân bổ thông tin tới các tầng chỉ định.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ - Các Switch1,2…6: Switch tổng cuả các tầng kết nối với các máy trạm.
- Đƣờng truyền cáp quang với 100MB kênh thuê riêng của VNPT dùng chia sẻ Internet.
- 160 máy tính đa số cài hệ điều hành Windows XP ngang hàng.
Hiện tại mạng trƣờng chƣa có máy chủ, chƣa có Switch Cisco do vậy việc quản lý mạng bị phân tán gây khó khăn cho ngƣời quản lý.
+ Lây lan virus trên mạng rất nhanh và khó kiểm soát. + Tắc nghẽn đƣờng truyền xảy ra thƣờng xuyên. + Độ bảo mật thông tin chƣa tin cậy.
+ Các địa chỉ IP hay bị xung đột.
+ Việc kiểm tra và khắc phục sự cố trên thiết bị đầu cuối rất khó khăn.
Do đó trƣờng cần có một hệ thống mạng ổn định, hệ thống giám sát và quản trị tốt để đảm bảo hệ thống luôn ổn định phục vụ công tác đào tạo và nghiên cứu khoa học đƣợc tốt.
Qua tìm hiểu và khảo sát học viên đã sử dụng mô hình giám sát, phát hiện và phòng chống xâm nhập mạng dựa trên phần mềm mã nguồn mở Cacti và Snort để triển khai trên mô hình thử nghiệm.
3.2.2. Đề xuất mô hình
Với kiến trúc hệ thống mạng hiện tại, qua khảo sát thực tế học viên xin đề xuất mô hình cụ thể nhƣ sau:
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Xây dựng hệ thống máy chủ Ubuntu có cài đặt Cacti, Snort kết nối với hệ thống mạng hiện tại để triển khai giám sát toàn bộ hệ thống mạng.
3.2.3. Mô hình mạng thử nghiệm.
Mô hình gồm: 01 server Ubuntu có cài đặt Cacti, các máy PC tên máy là may2 và may7 cài đặt hệ điều hành Windows XP, kết nối với mạng LAN thông qua switch, nhiệm vụ của Server Cacti sẽ thực hiện chức năng quản lý các thiết bị và các thông số trong mạng trên hệ thống.
Hình 3.3. Mô hình thử nghiệm
3.2.4. Triển khai thử nghiệm giám sát mạng
A. Cài đặt.
Môi trƣờng cài đặt: Hệ điều hành ubuntu 12.04 Cài đặt các gói cần thiết trƣớc khi cài đặt Cacti
Bước 1: Cài SNMP và SNMPd trên máy chủ Ubuntu.
Ta sử dụng lệnh: sudo apt-get install snmp snmpd (có kết nối Internet)
Bước 2: Cài các gói Lamp server (Apache, Msql, PHP)
sudo apt-get install apache2 mysql-server php5 libapache2-mod-php5
Bước 3: Cài đặt công cụ RRDTOOL.
RRDTool là chuẩn công nghiệp mã nguồn mở, hiệu suất cao ghi dữ liệu và hệ thống đồ họa cho dữ liệu theo chuỗi thời gian thực. RRDTool có thể dễ dàng tích hợp trong các ứng dụng TCL(Tool Command Language).
Ta sử dụng lệnh: sudo apt-get install rrdtool
Sau khi đã cài đặt các gói cho môi trƣờng ta tiến hành cài đặt phần mềm quản trị, giám sát mạng Cacti.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Bước 4: Cài đặt Cacti và Spine
sudo apt-get -y install cacti cacti-spine
Tiếp theo nó sẽ yêu cầu cấu hình cơ sở dữ liệu Cacti. Đặt mật khẩu gốc trong cơ sở dữ liệu MySQL.
Trƣớc khi chúng ta bắt đầu phần cấu hình web, chúng ta cần phải bắt đầu dịch vụ snmpd.
sudo /etc/init.d/snmpd start
Bướ 5: Tiến hành cài đặt Cacti trên giao diện web.
Ở máy trạm truy cập có phần mềm duyệt web nhƣ Firefox, IE, Chrome ta nhập địa chỉ tên máy Ubuntu. Một màn hình thông báo về phần mềm và sở hữu bản quyền theo chuẩn mã nguồn mở:
Hình 3.4. Màn hình giao diện Cacti khởi động cài đặt
Chọn Next hệ thống sẽ kiểm tra các công cụ vừa cài đặt ở lần trƣớc xem có đúng không, nếu không có báo lỗi gì chọn Next để tiếp tục cài đặt
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hình 3.5. Màn hình giao diện Cacti kiểm tra các công cụ
Trên trình duyệt Web nhập địa chỉ http://192.168.0.104/cacti Cacti bắt thiết lập Use Name: admin và Password: cdnl1234
Hình 3.6. Màn hình đăng nhập hệ thống
B. Cấu hình Cacti.
Bước 1: Thêm mới 1 thiết bị
- create devices for network
- Chọn menu Devices và bấm chọn nút add để thêm 1 thiết bị cần giám sát vào dữ liệu Cacti, thiết bị đó phải đƣợc kích hoạt chức năng SNMP.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ - Cấu hình snmp trên windows xp: Start -> Run -> services.msc -> enter -> snmp service.
Hình 3.7. File SNMP services
Hình 3.8. Đặt cấu hình SNMP services
Trong Tab Security ta đặt tên truy cập cho SNMP và cấu hình quyền cho dịch vụ này. Sau khi đã cấu hình xong ta quay lại phần giao diện web của Cacti để thêm thiết bị này vào hệ thống giám sát qua SNMP và chọn “add” (thêm thiết bị mới):
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hinh 3.9. Thêm thiết bị máy client vào cacti
Tiếp theo, chúng ta thiết lập tham số của thiết bị.
Hình 3.10. Thêm thiết bị máy 2 vào Cacti
Description : Nhập tên thiết bị: “may2”
- Hostname: IP máy trạm là: “192.168.0.105” - Hosttemplate: chọn là : “Windows 2000/XP Host”
- Downed Device Detection: phƣơng pháp đƣợc Cacti sử dụng để lấy thông tin là: SNMP version: “version1”.
- SNMP Community: đƣợc setup trên SNMP Service của host với tên: ”may2” . Sau khi chọn những dữ liệu mà cần add vào danh sách, Click Save để hoàn tất quá trình add new devices.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hình 3.11. Danh sách các nội dung cần giám sát.
Bước 2: Tạo đồ thị cho thiết bị mới:
Học viên tạo đồ thị cho máy 2 sau khi thêm xong thiết bị mới học viên chọn
Device vừa tạo đƣợc.
- Add các Data Query: Thêm các dạng truy vấn cho host mới “ may2”.
- Add các Graph Template Name: Tên các mẫu đồ thị cho host mới
“may2”, cuối cùng nhấn Create để hoàn thành.
- Màn hình thể hiện Device “may2” click chọn Create Graphs for this Host để tạo Graphs cho những Data của “may2” .
- Host: lựa chọn thiết bị muốn tạo đồ thị.
- Graph Types: chọn đồ thị hiển thị dữ liệu (thông tin này đƣợc lấy từ việc thêm
các dữ liệu truy vấn).
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hình 3.12. Lựa chọn thiết bị muốn tạo đồ thị
- Host: Thể hiện máy 2 đƣợc chọn và IP: 192.168.0.105 “may2 (192.168.0.105)” - Click vào Graph title bất kỳ để xem đồ thị đƣợc tạo ra. Màn hình sẽ đƣợc hiển thị nhƣ hình 3.1.3.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Bước 3: Lập danh sách các thiết bị đƣợc giám sát (quản lý cơ bản hệ thống )
- Sau khi có các Divicescủa hệ thống mạng học viên cần phải xây dựng sơ đồ
hình tree để thể hiện tất cả các dữ liệu thu thập hệ thống .
- Trong cửa sổ Web Console chọn mục Graph Tree để xây dựng sơ đồ hình cây cho các dữ liệu Graph của hệ thống.
- Tùy theo tính năng và cách thiết kế hệ thống mà học viên cần xây dựng sơ đồ Tree cho hệ thống.
- Ở đây học viên chỉ thử nghiệm với 1 máy chủ Ubuntu và 2 máy trạm là máy 2 và máy 7 .
+ Click Graph tree chọn add + Click Defaul tree
Hình 3.14. Danh sách các máy có trong cây đồ thị
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Hình 3.15. Tình trạng thiết bị trên cây đồ thị (máy 2)
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
* Ƣu điểm của Cacti
- Ưu điểm:
Quản lý tập trung log, từ đó đƣa ra những cảnh báo sớm (bằng email hoặc tin nhắn) gửi cho quản trị mạng khi có sự cố xảy ra (nhƣ đứt đƣờng truyền, chết dịch vụ, hỏng ổ cứng, hỏng card mạng, quá tải RAM, quá tải CPU, …)
Dễ dàng mở rộng và quản lý đến hàng vài ngàn thiết bị. Miễn phí, chỉ mất chi phí triển khai trên máy tính. Chạy trên linux nên hiệu năng rất cao.
Có sẵn nhiều mẫu Template đƣợc viết sẵn cho các loại thiết bị mạng, máy chủ và các hệ điều hành khác nhau.
Dễ dàng tạo các Templates cho các thiết bị.
Cho phép bổ sung nhiều chƣơng trình plugin tiện ích, cho phép triển khai nhanh chóng hệ thống quản lý tài nguyên mạng với chi phí hợp lý.
Hãy thử và cảm nhận đƣợc sự khác biệt.
- Nhược điểm:
Cacti giám sát bắt buộc ngƣời chịu trách nhiệm phải check log thƣờng xuyên nên chƣa tự động hóa đƣợc.
3.2.5. Triển khai thử nghiệm chống tấn công mạng.3.2.5.1. Cấu hình Snort 3.2.5.1. Cấu hình Snort
Ta tiến hành cài đặt snort trên môi trƣờng linux. Cụ thể ở đây là hệ điều hành CentOS 5.4
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Cài đặt Snort:
cd /usr/local/
tar –zxvf /Download/snort-2.9.2.1.tar.gz cd snort-2.9.2.1/
./configure --enable-dynamicplugin --with-mysql make && make install
mkdir /etc/snort mkdir /var/log/snort cd /etc/snort/ tar -zxvf /Download/snortrules-snapshot-2.9.2.1.tar.gz cp etc/* /etc/snort ln -s /usr/local/bin/snort /usr/sbin/snort cd /etc/snort/so_rules/precompiled/CentOS-5-4/i386/2.9.2.1/ cp * /usr/local/lib/snort_dynamicrules/ Cài đặt daq: tar zxvf daq-2.0.1.tar.gz cd daq-2.0.1
./configure && make && make install
Cài đặt barnyard
tar -zxvf /Download/barnyard2-1.8.tar.gz cd barnyard2-1.8/
./configure --with-mysql make && make istall
cp etc/barnyard2.conf /etc/snort/ mkdir /var/log/barnyard2
vim /etc/snort/barnyard2.conf
config hostname: localhost config interface: eth0
output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost
touch /var/log/snort/barnyard.waldo
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
groupadd snort
useradd -g snort snort
chown snort:snort /var/log/snort
Khởi động service mysqld:
service mysqld start
Cấu hình database cho Snort:
mysql
set password for root@localhost=password('123'); create database snort;
grant create, insert, select, delete, update on snort.* to snort@localhost; set password for snort@localhost=password('123456');
exit
cd /usr/local/snort-2.9.2.1/schemas/ mysql -p < create_mysql snort
Kiểm tra CSDL của Snort:
mysql show databases; use snort; show tables; Cài đặt base: touch /var/log/snort/alert
chown snort:snort /var/log/snort/alert chmod 600 /var/log/snort/alert
cd /var/www/html
tar -zxvf /Download/adodb4991.gz tar -zxvf /Download/base-1.4.5.tar.gz chown apache base-1.4.5
chgrp apache base-1.4.5/ vim /etc/php.ini
Bỏ dấu “#”trên dòng #error_reporting = E_ALL & ~E_NOTICE và lƣu lại
service httpd restart
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Bƣớc 1: Điền đƣờng dẫn file adodb: /var/www/html/adodb , nhấn Continue
Bƣớc 2: Database Name = snort Database Host = localhost Database User = snort
Database Password = 123456, nhấn Continue Bƣớc 3: Tích vào “Use Authenication System” Admin User name = snort -> Password = 123456 Fullname = snort , nhấn Continue
Bƣớc 4: Nhấn “Create Base AG”
Quá trình cài đặt thành công nếu giao diện hiển thị các dòng successful… màu đỏ giao diện Base sau khi cấu hình xong và login:
Hình 3.18. Giao diện Base Tạo file black_list.rules và white_list.rules
touch /etc/snort/rules/ black_list.rules touch /etc/snort/rules/ white_list.rules
module tiền xử lý sfportscan: proto { all } scan_type { all } memcap { 10000000 } sense_level { low }
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ module tiền xử lý arpspoof
module tiền xử lý arpspoof_detect_host: 192.168.92.150 00:0C:29:09:E5:3A output unified2: filename snort.log, limit 128, nostamp, mpls_event_types, vlan_event_types
output database: log, mysql, user=snort password=123456 dbname=snort host=localhost
Khởi động barnyard2:
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/etc/gen-msg.map -S /etc/snort/etc/sid-msg.map -d /var/log/snort/alert -f alert -w
/var/log/snort/barnyard.waldo
Khởi động Snort:
snort -c /etc/snort/etc/snort.conf -i eth0
3.2.5.2. Chương trình Snort
Ngoài những luật mặc định của snort nằm trong các file *.rules của thƣ mục/etc/snort/rules/, ngƣời dùng có thể thêm các luật vào trong các file trên nhằm tối ƣu hóa bộ luật. Thông thƣờng, nên thêm các luật vào file local.rules
Khởi động Snort với lệnh snort -c /etc/snort/etc/snort.conf -i eth0
* Thực nghiệm 1: Tiến hành ping từ máy ảo Back Track
Vào máy ảo CentOS bật trình duyệt vào địa chỉ http://localhost/base-1.4.5/ và tiến hành đăng nhập
Kiểm tra hoạt động của Snort với lệnh ping đơn giản, thêm luật
alert icmp any any -> !$HOME_NET any (msg:"pinging from other computer";sid:1000001;)
Kết quả
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
* Thực nghiệm 2: Phát hiện truy cập web
Thêm luật
alert tcp 192.168.92.150 any -> any 80 (msg:"internet access alert";sid:1111110;)
Bật trình duyệt vào địa chỉ bất kì, chẳng hạn http://snort.org Vào địa chỉ http://localhost/base-1.4.5/ và tiến hành đăng nhập
Kết quả
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
* Thực nghiệm 3: Phát hiện truy cập trang web với ip cụ thể
Ví dụ trang web cần theo dõi là http://www.vn-zoom.com/
Tiến hành ping tới trang web ta biết đƣợc ip của trang là 123.30.139.68 Thêm các luật
alert tcp 192.168.92.150 any ->123.30.139.68 (msg:"vn-zoom.com access";sid:1011019;)
Bật trình duyệt vào trang web http://www.vn-zoom.com/ Vào địa chỉ http://localhost/base-1.4.5/và tiến hành đăng nhập
Kết quả
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
* Thực nghiệm 4: Phát hiện DDOS
Thêm luật
alert tcp any any -> 192.168.92.150 80 (msg:"DDoS detected";sid:11111111;) Từ máy ảo Back Track download tool DDOS Slowloris tại địa chỉ
http://ha.ckers.org/slowloris/slowloris.pl Thêm quyền thực thi cho file
chmod +x slowloris.pl
Tiến hành DDOS vào máy ảo CentOS
./slowloris.pl –dns 192.168.92.150
Hình 3.22. Tiến hành DDOS vào máy ảo Centos
Vào máy ảo CentOS bật trình duyệt, vào địa chỉ http://localhost/base-1.4.5/và tiến hành đăng nhập
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Kết quả
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
* Thực nghiệm 5. Phát hiện portscan
Cụ thể ở đây là phát hiện kiểu portscan là NULL Thêm các luật
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN NULL"; flow:stateless;flags:0;sid:1000002;)
Từ máy ảo Back Track chạy công cụ nmap tiến hành scan các port đang bật trên máy ảo CentOS.
nmap –sN 192.168.92.150
Vào máy ảo CentOS bật trình duyệt, vào địa chỉ http://localhost/base-1.4.5/và tiến hành đăng nhập.
Kết quả
Hình 3.24. Phát hiện tấn công PORTSCAN * Ƣu điểm, nhƣợc điểm của Snort – IDS/IPS
- Ƣu điểm:
+ Hệ thống hoạt động theo kiểu nhận dạng mẫu gói tin (packet). Nó sẽ so sánh những gói tin trùng với gói tin mẫu tấn công mà nó có, nếu trùng khớp thì kết luận
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ đây là loại gói tin tấn công và hệ thống sẽ phát cảnh báo hoặc gởi tín hiệu tới tƣờng lửa để ngăn cản gói tin đi vào mạng bên trong.
+ Gửi tín hiệu đến tƣờng lửa để ngăn chặn tấn công. Trƣờng hợp này gọi là hệ