6. Bố cục của luận văn
2.3.3.2. Nguyên lý hoạt động của inline mode
Snort inline nhận gói tin trực tiếp từ iptables thay vì nhận gói tin từ libpcap và sử dụng rules để giúp iptables drop hoặc pass gói tin dựa vào Snort rules.
Có 3 loại rule trong Snort inline:
- drop: Rule này sẽ dùng iptables để drop gói tin và log lại.
- reject: Rule này sẽ dùng iptables để drop gói tin, log lại sau đó dùng TCP reset gửi lại nếu protocol là TCP hoặc ICMP unreachable nếu protocol là UDP.
- sdrop: Rule này sẽ drop gói tin và không có gì đƣợc log lại.
- Khi sử dụng reject rule, có 2 option đƣợc sử dụng đối với TCP reset:
- Sử dụng RAW socket, loại này chỉ đƣợc dùng trong trƣờng hợp interface nhận đƣợc gói tin phải đƣợc gán IP. Nếu trong trƣờng hợp interface không có địa chỉ IP thì Snort chỉ log lại gói tin nhƣng sẽ không thể gửi reset.
Sử dụng iptables để reset ở địa chỉ layer 2, khi sử dụng option này ta không cần sử dụng IP trên bridge interface, đề làm đƣợc nhƣ vậy ta cần cấu hình “config layer2_resets” trong file Snort.conf:
Ví dụ: config layer2resets
Cấu hình trên sẽ chỉ định rằng Snort sẽ dùng MAC của bridge interface làm địa chỉ source để reset gói tin.
config layer2resets:
Cấu hình trên sẽ chỉ định Snort dùng địa chỉ MAC 00:06:76:DD:5F:E3 làm địa chỉ Snort để reset gói tin.
Thứ tự các rule trong Snort inline
Activation > dynamic > pass > drop > sdrop > reject > alert > log Thay thế nội dung gói tin với Snort inline
Với Snort inline ta có thể dùng rule để thay thế nội dung gói tin:
alert udp any any <> asny 53 (msg: "udp replace"; content: "yahoo"; replace: "mail")
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Tổng kết chƣơng 2
Cacti thu thập dữ liệu SNMP và các dữ liệu khác nhau (chẳng hạn nhƣ tải của hệ thống, tình trạng liên kết mạng, không gian đĩa cứng, đăng nhập ngƣời dùng vv) thành một RRD. Là một hệ thống để lƣu trữ và hiển thị thời gian, dữ liệu, băng thông mạng, nhiệt độ, và trung bình tại máy chủ.
So với Firewall, IDS/ IPS đã thể hiện đƣợc nhiều tính năng ƣu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết đƣợc trạng thái tầng ứng dụng (chỉ có thể nhận biết đƣợc các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
Snort là một sản phẩm đƣợc phát triển dƣới mô hình mã nguồn mở. Tuy Snort miễn phí nhƣng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phầm thƣơng mại nào cũng có thể có đƣợc. Với kiến trúc thiết kế theo kiểu module, ngƣời dùng có thể tự tăng cƣờng tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module.
Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và đƣợc cập nhật thƣờng xuyên bởi một cộng đồng ngƣời sử dụng. Snort có thể chạy trên nhiều hệ thống nền Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS…
Mã nguồn mở Cacti, Snort thích hợp cho việc theo dõi, giám sát, chống tấn công mạng cỡ trung bình của một trƣờng hay doanh nghiệp.
Từ những cơ sở phân tích ở trên, học viên đã lựa chọn mã nguồn mở Cacti và Snort để nghiên cứu và triển khai thử nghiệm.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ CHƢƠNG 3. NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ
SNORT