b. Dữ liệu từ các giao thức quản trị mạng
3.2.1 Cài Đặt Snort
Snort dùng một card mạng ở chế độ promocous mode để lưu giữ các gói tin trước khi phân tích chúng cho nên tốt nhất là các máy tính chạy Snort nên đặt ở các colision domain hay trên các máy chủ tập tung các truyền thông trên mạng như router hay gateway hoặc kết nối vào các cổng SPAN của Switch, ta có thể đặt Snort trước hoặc sau một hệ thống firewall tùy yêu cầu bảo mật của tổ chức. Và nếu hệ thống mạng có nhiều phân đọan mạng thì mỗi subnet (lớp mạng con) phải có một máy chủ Snort được cài đặt, không như các sản phẩm thương mại khác ngoài tính năng chi phí bản quyền cao thì thường đòi hỏi cấu hình phần cứng mạng.
Snort hoạt động như một network sniffer lắng nghe và lưu giữ các packet trên mạng sau đó so sánh các nội dung (payload) hoặc header của chúng với một tập các qui tắc đã được định nghĩa gọi là các Snort rule và khi một sự trùng khớp giữa Rule và các Packet thì những hành động của Rule sẽ được tiến hành tùy theo định nghĩa. Một điểm thuận lợi là các Rule này luôn được cập nhật nhanh chóng bởi cộng đồng phát triển cho nên khả năng đáp ứng của Snort trước các dạng tấn công hiện đại rất cao.
Snort sử dụng ba thành phần: Packet decoder, Detect engineer, Logging và alert system để tiến hành công việc của mình.
Bước 1: Click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt. Khi đó Trên màn hình Installation Options có các cơ chế lưu trữ log file theo cơ sở dữ liệu SQL hay Oracle, ở đây ta lưu trữ bằng log trong Event Log nên sẽ chọn tùy chọn đầu tiên là “I do not plan to log
to a database, or I am planing to log to one of the databse listed above”
Sau khi đã cài đặt Snort ta cần phải thiết lập các tham số quan trọng như HOME_NET và PATH_RULE mới có thể khởi động Snort và thực hiện các công việc tiếp theo. Đây là bước thường làm cho quá trình cài đặt
Xét ví dụ, chúng ta triển khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24, tiếp đến mở tập tin snort.conf trong thư mục C:\Snort\etc\ và tìm đến các biến HOME_NET và thiết lập như sau:
Tiếp theo khai báo đường dẫn đến nơi chứa các quy tắc snort rules và đặt RULE_PATH C:\Snort\rules
Khai báo các biến include classification.config và reference.config như hình dưới(sửa thành include C:\Snort\etc\classification.config và C:\Snort\etc\ reference.config
Tiếp đến, chúng ta có thể copy các rule được tạo sẵn rồi đưa vào thư mục rules vào thư mục cài đặt Snort trên ổ C:\Snort
Đến đây quá trình chuẩn bị đã hòan tất, trước khi có thể Start Snort để tiến hành Sniffer hay lắng nghe các tín hiệu khả nghi các ta sẽ chỉ định thư mục chứa log file cho Snort IDS. Ta chạy lệnh sau đây:
C:\Snort\bin\snort -l C:\Snort\log -c C:\Snort\etc\snort.conf -A console
Kết quả sau khi thực thi dòng lệnh như sau: