II. GIỚI THIỆU CHUNG VỀ SNORT
2.Cài đặt và cấu hình căn bản
2.1. Các bước cài đặt và cấu hình Snort:
Trong báo cáo này, tôi cài đặt Snort trên Windows Vista. Chúng ta có thể cài trọn bộ cài đặt Winpcap và Snort từ trang http://www.winsnort.com hoặc từ trang http://www.snort.org cùng các rules mới được cập nhập.
Sau khi cài Winpcap, chúng ta click vào tập tin chương trình Snort_Istaller để bắt đầu tiến trình cài đặt. Trên màn hình Installation Options có các cơ chế lưu trữ log file theo cơ sở dữ liệu SQL hay Oracle, trong mô hình này tôi chỉ lưu trữ log trong Event Log nên sẽ chọn tùy chọn đầu tiên là: “I do not plan to log to a database, or I am planning to log to one of the database listed above”
Cài đặt xong Snort, chúng ta cần phải thiết lập các thông số quan trọng như HOME_NET và PATH_RULE mới có thể khởi động Snort và thực hiện các công việc tiếp theo.
Giả sử trong mô hình, chúng ta triển khai Snort trên lớp mạng C với dãy địa chỉ 192.168.0.0/24 nên ta thiết lập biến HOME_NET trong file snort.conf trong thư mục c:\snort\etc\ như sau:
Tiếp theo ta khai báo biến PATH_RULE là đường dẫn tới thư mục chứa snort rules.
Cấu hình đường dẫn dynamic loaded libraries
Khai báo các biến include classification.config và reference.config
Sau khi download các rules được cung cấp sẵn trên http://www.snort.org (lưu ý chọn đúng phiên bản triển khai), giải nén và copy vào thư mục snort rule ta có thể bắt đầu tiến hành chạy snort.
Sử dụng lệnh cd c:\snort\bin để bắt đầu chạy snort. Trước khi tiến hành sniffer chúng ta cần chọn card mạng để snort đặt vào chế độ promicous, nếu máy tính có nhiều card hãy sử dụng lệnh snort –W để xác định các card mạng đang được sử dụng nhằm thuận tiện cho người dùng lựa chọn card mạng dùng sniffer.
Để kiểm tra file snort.conf đã được cấu hình hoàn chỉnh chưa ta sử dụng lệnh sau: snort –c c:\snort\etc\snort.conf –i3 (i3 cho biết ta sửu dụng card mạng thứ 3 để thực hiện sniffer)
2.2. Các chế độ hoạt động:
Snort có 4 chế độ hoạt động khác nhau: Sniffer mode, Packet Logger mode, Network Instruction Detection System và Inline mode (trên Linux) Ta sẽ tiến hành chạy thử Snort ở từng chế độ:
Sniffer mode: Snort lắng nghe và đọc các gói tin trên mạng sau đó trình bày kết quả trên giao diện hiển thị.
Lệnh sử dụng: Snort –v –ix (x là số thứ tự của card mạng muốn sử dụng) Cảnh báo được hiển thị trên console:
Packet Logger mode: Lưu trữ các gói tin trong các tập tin log. Ngoài việc xem các gói tin trên mạng chúng ta còn có thể lưu trữ chúng trong
thư mục c:\snort\log với tùy chọn –l
Lệnh sử dụng: Snort –dev –ix –l c:\snort\log
Để xem lại sử dụng lệnh snort –dvr c:\snort\log\snort.log.<nhãn thời gian>
NIDS mode: sử dụng file snort.conf, áp dụng các luật trong file và tiến hành ghi ra file cảnh báo alert.ids
Lệnh sử dụng:
- Ghi file alert.ids: Snort –i3 –l c:\snort\log –c c:\snort\\etc\snort.conf –A full