Thỉnh thoảng ta muốn chạy Snort trong chế độ Stealth. Trong chế độ này, những host khác không thể phát hiện ra sự có mặt của máy Snort. Nói cách khác, máy Snort không “hiện hình” trước kẻ xâm nhập hay những người khác. Có nhiều cách chạy Snort trong chế độ này. Một trong những phương pháp đó là chạy Snort trên một giao diện mạng, nơi mà không có địa chỉ IP nào chỉ định. Chạy Snort trên một giao diện mạng nằm ngoài IP address khả thi trong 2 cách sau:
Một Snort sensor chuẩn chỉ với một network adapter.
Một Snort sensor với 2 network adapter: một truy xuất từ một mạng riêng và cái kia kết nối đến mạng công cộng và chạy chế độ Stealth. Bạ sẽ thấy rõ hơn trong hình sau:
Hình 3.2. Chạy Snort trên một giao diện mạng
Khi ta muốn truy xuất đến bản thân của sensor, ta phải thông qua giao diện eth1, địa chỉ IP được cấu hình cho nó. Trạm quản trị trong hình trên có thể được sử dụng để kết nối đến sensor để thu thập dữ liệu hay ghi thông tin vào cơ sở dữ liệu trung tâm. Nếu nhiều sensor nằm trong một tổ chức, tất cả chúng được kết nối đến mạng riêng này để mà chúng có thể ghi thông tin vào cơ sở dữ liệu trung tâm chạy trên trạm quản trị hoặc vài máy chủ cơ sở dữ liệu khác kết nối với mạng riêng đó.
Địa chỉ No IP được cấu hình trên giao diện mạng eth0 để nó kết nối với internet. Giao diện eth0 giữ nguyên trong chế độ Stealth nhưng vẫn có thể lắng nghe lưu lượng mạng từ side của mạng này.
Trước khi start Snort trên eth0, ta phải mang nó lên. Trên hệ thống Linux, ta có thể thực hiện bằng dòng lệnh:
ifconfig eth0 up
Dòng lệnh tạo ra giao diện mà không chỉ định một địa chỉ IP nào cả. Sau đó, ta có thể start Snort trên giao diện này bằng cách dùng lệnh “-i eth0”như sau: snort -c /opt/snort/etc/snort.conf -i eth0 –D
Kết luận chung
Một máy tính cá nhân đã có rất nhiều dữ liệu cần bảo vệ và lưu trữ, huống chi là một mạng máy tính của một công ty, một trường học, một viện nghiên cứu .. có quy mô và mức độ quan trọng hơn nhiều. Họ cần có một hệ thống phát hiện xâm nhập IDS với sự kết hợp nhuần nhuyễn và khéo léo của các phần mềm chuyên nghành như một phần không thể thiếu để duy trì sự tồn tại và phát triển của môi trường cần bảo mật. Công việc quan trọng nhất của hệ thống mang tính cốt yếu này chính là có thể phát hiện những sự cố gắng đăng nhập vào hệ thống, cố tình truy nhập vào những vùng những vùng chia sẻ không được bảo vệ…Ngoài ra, chúng có thể quét lưu lượng mạng
để phát hiện những tín hiệu nghi ngờ và các gói dữ liệu xấu, đánh hơi các gói tin để phân tích và gỡ rối hệ thống…Thê váo đó, chúng là dụng cụ phân tích, sự tích hợp phân tích log, kiểm tra tính toàn vẹn của fie, giám sát đăng ký Window, củng cố chính sách tập trung, phát hiện rootkit, cảnh báo thời gian thực, và hồi đáp chủ động.
Sau khi tìm hiểu về các phần mềm phát hiện xâm nhập trái phép, cụ thể là hai phần mềm được đánh giá cao nhất hiện này: đó là phần mềm SNOT, và phần mềm OSSEC- hai phần mềm đại diện cho hai phương thức hoạt động tiêu biểu của IDS, chúng ta hoàn toàn có thể có thể hiểu được đặc điểm, cách thức cũng như môi trường tồn tại của chúng. Hơn thế nữa, hệ điều hành mở Linux lại một lần nữa được tìm hiểu sâu khi chúng ta đi tìm hiểu sâu về phần mềm Snort, một phần một được sử dụng nhiều nhất hiện nay bởi khả năng không thể phủ nhận cũng như việc sử dụng nó khá dễ dàng.
Tài liệu tham khảo
[1] Snort, IDS and IPS Toolkit - Raven Alder ,Dr. Everett F. (Skip) Carter, Jr James C. Foster , Matt Jonkman, Raffael Marty, Eric Seagren.
[2] OHBIDGuide- Andrew Hay, Daniel Cid, Rory Bray [3] www.google.com.vn.
[4] Tài liệu hướng dẫn thực hành an toàn hệ điều hành mạng - Ths. Hoàng Sỹ Tương- Khoa An toàn thông tin - Học viện Kỹ thuật Mật Mã.
