1. Mục tiêu mô phỏng:
Mục tiêu mô phỏng thấy được tính năng và thấy rõ được hoạt động của phần mềm Snort IDS trên hệ điều hành Linux. Quản lý phần mềm Snort qua giao diện Base. Dùng tập luật ping.rules để phát hiện máy khác đang thực hiện hành vi ping tới máy Snort. Kích hoạt Snort, Snort sẽ ghi nhận việc tấn công, được thể hiện trong phần ICMP của Base.
Dùng phần mềm Nmap quét port tới máy Snort. Kích hoạt Snort, Snort sẽ ghi nhận việc tấn công, được thể hiện trong phần Portscan Traffic của Base. Việc mô phỏng được thực hiện trên máy ảo (máy Snort ) và sử dụng máy Win 7( máy tấn công).
Máy Snort có địa chỉ IP là : 192.168.152.21 với Default Gateway là 192.168.152.22 Máy Win XP có địa chỉ IP là: 192.168.152.22 với Default Gateway là 192.168.152.21
3. Công cụ mô phỏng :
- Hệ điều hành Linux Centos.
- Phần mềm Snort. ( Download tại : http://snort.org). - Tập luật Rule. ( Download tại : http://snort.org). - Công cụ Nmap.( Download tại: http://nmap.org).
4. Các bước thực hiện :
- Cài đặt phần mềm Snort trên Centos.( Chi tiết xem phụ lục 1).
- Dùng máy window XP ping tới máy Snort hoặc dùng phần mềm nmap scan tới máy snort.
( Chi tiết xem phụ lục 1).
5. Kết quả :
Dùng Nmap quét port tới máy Snort, Base sẽ thể hiện Portcan Traffic tăng từ 0% lên 1%
Hệ thống phát hiện xâm nhập rất hiệu quả trong lĩnh vực bảo mật cho hệ thống mạng của các doanh nghiệp,tổ chức,công ty có nhu cầu bảo mật cao. Thông qua việc mô phỏng có thể thấy được cách cài đặt và sử dụng tính năng bảo mật trên hệ thống sẽ giúp cho việc quản trị tốt hơn.
CHƯƠNG 4 : TỔNG KẾT1: Những vấn đề đạt được: 1: Những vấn đề đạt được:
Thông qua quá trình tìm hiểu và nghiên cứu,em đã rút ra một số nhận xét sau:
Cho thấy được sự cần thiết của bảo mật, những hạn chế của các phương pháp bảo mật hiện tại, đồng thời nói lên sự cần thiết của hệ thống phát hiện xâm nhập trái phép.
Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. IDS giúp chúng ta khám phá, phân tích một nguy cơ tấn công mới. Từ đó vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công.
Qua bài báo cáo này:
Nắm bắt được những khái niệm cơ bản nhất về một hệ thống phát hiện xâm nhập. Triển khai được một hệ thống phát hiện xâm nhập phổ biến là Snort.
Nắm bắt được cơ chế viết luật cho Snort và đã viết được một số luật cơ bản.
Trình bày được một số hình thức xâm nhập tấn công cơ bản và sử dụng Snort để phát hiện các tấn công đó.
2: Những vấn đề chưa đạt được:
Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn công mới ngày càng trở nên tinh vi và phức tạp hơn.
Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như: Snort_inline, Fsnort(Firewall Snort),… chưa được áp dụng triệt để.
Tập luật của Snort ngày càng được phát triển nên cần phải cập nhật. Chưa kết hợp phần mềm Mod Security để bảo vệ Web server.
3 : Hướng mở rộng đề tài
Qua bài báo cáo, em có hướng tiếp tục nghiên cứu trong việc sử dụng các module xử lý và phát triển các rule để tăng cường khả năng ngăn chặn các cuộc tấn công, phát triển các hệ thống gửi cảnh báo tới người quản trị như SNMP, mail, sms…, phát triển snort để có thể hỗ trợ sử dụng các firewall phần cứng trong việc ngăn chặn xâm nhập như hệ thống snortsam, hoàn thiện và bổ sung script để hệ thống hoạt động hiệu quả hơn.
PHỤ LỤC
PHỤ LỤC I: Cài đặt Snort IDS