CHƯƠNG 2 THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG
2.2. Tạo rules cho snort_inline:
2.2.1. Tạo rules cho snort sử dụng perl-script Oinkmaster:
- Sau khi cài đặt xong snort, ta phải cài đặt các snort signature rules và đảm bảo chúng còn được cập nhập thường xuyên.
- Tình cờ, có một kịch bản perl mà sẽ cung cấp cho chúng tôi một số trợ giúp rất hữu ích: Oinkmaster.
- Cài đặt: #apt-get install oinkmaster
- Dowload snort rules từ snort website: www.snort.org
- Thay đổi url cài đặt trong file /etc/oinkmaster.conf như bên dưới
url = http://www.snort.org/pub-bin/oinkmaster.cgi/code/snortrules- snapshot-2.4.tar.gz
- Thay đổi alert type của snort trong file /etc/oinkmaster.conf, thêm vào dòng
modifysid * "^alert" | "drop"
- Tạo một backup folder
#mkdir /etc/snort_inline/backup
- Tạo user để thực thi việc update rules (không nên thực thi việc update với quền root)
#useradd oinkmaster
- Thay đổi một số permistion để user oinkmaster có thể chạy phần mềm Oinkmaster
#chown -R oinkmaster /etc/snort_inline/backup #chown -R oinkmaster /etc/snort_inline/rules #chown -R oinkmaster /var/run/oinkmaster #chmod 644 /etc/snort_inline/snort_inline.conf
- Chạy scrip oinkmaster với user o oinkmaster:
33
#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1
- Khi ta gọi Oinkmaster perl-script, ta đặt tất cả các rules trong folder /etc/snort_inline/rules. nếu có sự thay đổi một rules mới, folder rules hiện tại /etc/snort_inline/rules sẽ được sao lưu dự phịng trong /etc/snort_inline/backup.
2.2.2. Cấu hình iptable để chạy snort_inline:
- Chạy ip_queue kernel và kiểm tra nó được cài đặt hay chưa:
#modprobe ip_queue #lsmod | grep ip_queue
- Cấu hình iptable: Bây giờ ta sẽ thực hiện một số xét nghiệm để xem nếu tất cả mọi thứ đang làm việc. Chúng tôi cần đầu tiên để cấu hình Netfilter với cơng cụ Iptables Chúng tôi thiết lập dưới một quy tắc Netfilter để gửi tất cả lưu lượng truy cập đến để xếp hàng, nơi nó sẽ được phân tích chống lại các quy tắc Snort_Inline.
#iptables -A INPUT -j QUEUE
- Chạy snort_inline
#snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l /var/log/snort_inline
- Kiểm tra xem thử snort_inline có chạy thành cơng hay khơng.
2.3. Cài đặt BASE
- Web server và PHP đã cài đặt sẵn ta cần cài thêm vài gói pear cho PHP.
#pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman
# apt-get install php-pear
- Cài đặt ADODB
# cp adodb508a.tgz /var/www/ # cd /var/www/
34 - Cài BASE: # cp base-1.4.2.tar.gz /var/www/ # cd /var/www/ # tar -xzvf base-1.4.2.tar.gz # rm -rf base-1.4.2.tar.gz # cd base-1.4.2/ # cp base_conf.php.dist base_conf.php vi base_conf.php
35 - Sửa lại đường dẫn cho BASE: # mv base-1.4.2/ /base/
$DBlib_path = '/var/www/adodb5'; $DBtype = 'mysql'; $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user = 'snort'; $alert_password = '123456';
$archive_exists = 1; # Set this to 1 if you have an archive DB $archive_dbname = 'snort'; $archive_host = 'localhost'; $archive_port = ''; $archive_user = 'snort'; $archive_password = '123456'; /* Whois query */ $external_whois_link = ''; /* DNS query */ $external_dns_link = ''; /* SamSpade "all" query */ $external_all_link = '';
36
Chương 3. TRIỂN KHAI VÀ ĐÁNH GIÁ KẾT QUẢ KẾT QUẢ
3.1. Môi trường triển khai
Dịch vụ phát hiện và chống xâm nhập snort_inline được cài đặt trên hệ điều hành Ubuntu 10.10 , chạy trên máy ảo VMware Workstation 9.0.
3.2. Một số kết quả các chức năng của chương trình
Các bước triển khai snort_inline
Bước 1: Cài đặt Ubuntu trên máy ảo vmware
Bước 2 : Cài đặt Iptables trên máy Ubuntu và kiểm tra hoặt động của iptables
Cài đặt iptables
apt-get install iptables-dev
Máy thật (Win 7) Firewall (iptable) Snort_inline (Ubuntu)
37 - Kết quả khi ping thành công từ máy thật (win 7 ) đến máy ảo ubuntu
Thêm luật để iptables chặn các gói ICMP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
- Kết quả: ping không thành công từ win 7 đến Ubuntu do iptables đã chặn các gói icmp đến
38 Cài dặt snort_inline và thiết lập các luật
- Tạo luật icmp.rules cho snort_inline với nội dung như sau:
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
- Lưu lại với tên icmp.rules: /etc/snort_inline/rules/
- Chỉnh lại file cấu hình của snort_inline trỏ tới rules icmp.rules
nano /etc/snort_inline/snort_inline.conf
- Thêm vào dòng sau: include /etc/snort_inline/rules/icmp.rules
Chạy snort_inline:
snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l /var/log/snort_inline
39 - Ta thay đổi luật icmp.rules /etc/snort_inline/rules
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
- Thay đổi thành
drop icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
40 Cài đặt BASE
41 3.3. Đánh giá và nhận xét
Đã cài đặt thành công hệ thống phát hiện và chống xâm nhập Snort_inline chạy trên hệ điều hành Ubuntu.
Hệ thống Snort_inline với các chức năng:
Phát hiện sự xâm nhập từ bên ngoài vào hệ thống.
Thể hiện các Log cảu snort qua giao diện Base.
Lưu trữ thời gian, địa chỉ ip … của hệ thống xâm nhập qua các bảng cơ sở dữ liệu của snort trong phpmyadmin.
Tuy nhiên, hệ thống chỉ được cài đặt trên máy ảo WM ware. Các chức năng của snort chưa khai thác hết.
42
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
1. Những kết quả đạt được
Qua nghiên cứu tìm hiểu lý thuyết và ứng dụng lý thuyết chúng em đã hiểu rõ hơn về hoạt động hệ điều hành Ubuntu. Hiểu rõ hơn về một số dịch vụ phát hiện và chống xâm nhập mạng đặc biệt là dịch vụ Snort /Snort_inline.
2. Những vấn đề tồn tại
Snort_inline là một phiên bản của snort được bổ sung Netfilter mà cụ thẻ ở đây là iptables. Hiện nay snort_inline khơng cịn được phát triển nên việc cài đặt gặp một số khó khăn trong việc tương thích với các phiên bản hệ điều hành linux, các bộ thư viện cần thiết.
3. Hướng phát triển
Nghiên cứu sâu hơn về cách thức hoạt động của snort/snort_inlnet và các IPS tương tự. Tiến hành cài đặt snort_inline trên máy chủ, chạy và kiểm thử quá trinh phát hiện và chống xâm nhậm của snort trên máy chủ…
43
TÀI LIỆU THAM KHẢO
[1] http://www.snort.org/
[2] http://en.wikipedia.org/wiki/Snort_%28software%29
[3] http://www.download.com.vn/security+firewall+tools/22939_snort-for- linux.aspx