Malicious TCP
CHƯƠNG 3: MƠ PHỎNG TẤN CƠNG VÀ PHỊNG THỦ 3.1.Giới thiệu mơ hình:
3.1. Giới thiệu mơ hình:
Hệ thống giả lập sẽ mơ phỏng mạng nội bộ bên trong bao gồm 3 máy: 1 máy cài hệ thống phát hiện và ngăn ngừa xâm nhập sử dụng công cụ là phần mềm
snort , 1 máy dùng để quản lý hệ thống snort, 1 máy dùng để mơ phỏng tấn cơng, dưới đây là mơ hình giả lập:
Hình 3.1. Mơ hình triển khai demo
Mơ hình gồm:
Hệ điều hành:
o Server snort: CentOS release 5.5 ( Final)
o Attacker: Win 7
o Manage snort: Win XP Professional
Các gói phần mềm hỗ trợ: o MySQL o Libdnet-1.12 o Libpcap-1.2.1 o Base-1.4.4 o Snort-2.8.6.1 o Adodb480 o Daq-0.3 o Snortrules-snapshot-2.8 3.1.1. Các bước thực hiện
3.1.1.1. Cài các gói phụ thuộc
Lần lượt cài các gói phụ thuộc dùng lệnh yum install package để cài đặt, trong đó package là tên các gói lần lượt dưới đây:
mysql
mysql-server mysql-devel yum-utils php-mysql php-gd gcc pcre-devel mod_ssl glib2-devel distcache-devel php php-pear iptables iptables-devel
- Biên dịch các gói từ nguồn
Một số gói cần thiết cho snort phải biên dịch từ nguồn như: libpcap, libdnet, libnet, daq.
Cài libpcap-1.2.1:
o Tải libpcap về:
# wgethttp://www.tcpdump.org/release/libpcap-1.2.1.tar.gz
o Biên dịch gói libpcap:
# tar -zxvf libpcap-1.2.1.tar.gz ( giải nén libpcap)
# cd libpcap-1.2.1 ( di chuyển tới thư mục libpcap-1.2.1)
# ./configure && make && make install ( kiểm tra cấu hình và biên dịch, dấu && có nghĩa là nếu câu lệnh trước thành cơng thì câu lệnh sau mới được thực hiện)
Cài libnet-1.0.2a
o Tải libnet-1.0.2a về:
# wgethttp://ips-builder.googlecode.com/files/libnet-1.0.2a.tar.gz
o Biên dịch gói libnet: # tar -zxvf libnet-1.0.2a.tar.gz # cd Libnet-1.0.2a
# ./configure && make && make install
Cài libdnet-1.12
o Tải libdnet-1.12 về:
# wgethttp://libdnet.googlecode.com/files/libdnet-1.12.tgz
o Biên dịch gói libdnet: # tar -zxvf libdnet-1.12.tgz # cd libdnet-1.12
# ./configure && make && make install
Cài daq
o Tải daq-0.3 về:
# wgethttp://www.procyonlabs.com/mirrors/snort/daq-0.3.tar.gz
o Biên dịch gói daq: # tar -zxvf daq-0.3.tar.gz # cd daq-0.3
# ./configure && make && make install - Cài đặt Snort
Giải nén Snort:
# tar -zxvf snort-2.8.6.1.tar.gz
Lần lượt thực hiện cài đặt Snort.
Hình 3.2. Kiểm tra mơi trường cài đặt Snort # make
Hình 3.3. Biên dịch Snort
# make install
Hình 3.4. Đưa cấu hình Snort vào các thư mục cần thiết cấu hình Snort
Tạo các thư mục hoạt động cho Snort # mkdir /etc/snort # mkdir /etc/snort/rules # mkdir /var/log/snort Chép các file cấu hình # cd etc/ # cp * /etc/snort
Tạo nhóm và người dùng cho Snort # groupadd snort
# useradd -g snort snort -s /sbin/nologin
Đặt quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log # chown snort:snort /var/log/snort/
Vào etc/snort và copy 2 file classification.config và reference.config vào /etc/snort/rules.
- Cài đặt tập luật cho Snort
# wgethttp://205.196.121.62/y39ohh3t1f6g/ogxnjygyyzz/snortrules-
snapshot-2.8.tar.gz
Giải nén tập luật
# tar -zxvf snortrules-snapshot-2.8.tar.gz # cd rules
# cp * /etc/snort/rules (copy tập luật vào thư mục rules )
Cấu hình file snort.conf
File cấu hình nằm ở : /etc/snort/snort.conf
Sửa dịng var RULE_PATH /etc/snort/drop-rules Thành var RULE_PATH /etc/snort/rules
Dưới dòng ### Logging alerts of outbound attacks thêm:
Output database: Alert, mysql, user=snort password=123456dbname=snort host=localhost
Sau đó lưu file snort.conf lại.
Tạo cơ sở dữ liệu snortvới mysql
# service mysqld start ( khởi động dịch vụ mysqld)
# mysqladmin -u root password 123456 (đặt password cho root là 123456 trong MySQL)
# mysql -p
Tạo password cho tài khoản snort: mysql> use mysql;
mysql> CREATE USER ‘snort’@’localhost’ IDENTIFIED BY ‘123456’; Tạo cơ sở dữ liệu cho Snort:
mysql> create database snort;
mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost;
mysql> flush privileges; mysql> exit
Tạo các table từ /snort/snort-2.8.6.1/schemas/create_mysql cho database của snort:
# mysql -u root -p < /root/snort-2.8.6.1/schemas/create_mysql snort # mysql –p
mysql> show databases; mysql> use snort; mysql> show tables; Quan sát các table:
Hình 3.5. Bảng Tables trong mysql Cài đặt Base và Adodb
Cài gói pear cho PHP: # cd root/snort-2.8.6.1
# pear instal Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman;
Cài đặt ADODB: Tải ADODB: # wgethttp://pkgs.fedoraproject.org/repo/pkgs/php- adodb/adodb480.tgz/942164adfc953173205231b9522304e0/adodb480.tgz # cp adodb480.tgz /var/www/html/ # cd /var/www/html/ # tar -zxvf adodb480.tgz Cài BASE Tải BASE: # wgethttp://sourceforge.net/projects/secureideas/files/BASE/base- 1.4.4/base-1.4.4.tar.gz/download # cp /root/base-1.4.4.tar.gz /var/www/html # tar -zxvf base-1.4.4.tar.gz # mv base-1.4.4/ base/ # cd base # cp base_conf.php.dist base_conf.php
Cấu hình file base_conf.php: # vi base_conf.php Sửa dịng 57 thành: $BASE_urlpath=’/base’; $Dblib_path=’/var/www/html/adodb’; $alert_dbname=’snort’; $alert_password=’123456’; $archive_exists=1; $archive_dbname=’snort’; $archive_user=’snort’; $archive_password=’123456’;
$external_whois_link=’index.php’; $external_dns_link=’index.php’; $external_all_link=’index.php’; Lưu file lại
Cài đặt web base Bật web browser Vào 192.168.1.10/base
Click vào Setup Page Create Base AG Vào 192.168.1.10/base/base_main.php