2. 9 Phòng ngừa và ngăn chặn spoofing
3.3.2Triển khai hệ thống phát hiện xâm nhập mạng
Cài đặt IDS
Giải nén IDS:
# tar -zxvf ids.tar.gz
Cài đặt vào thư mục www của Apache:
# cd www
# mkdir /var/www/html/ids # cp –R * /var/www/html/ids
# cd /var/www/html/ids # gksudo gedit config.php
Chỉnh sửa các thông số cấu hình:
$DBlib_path = “../adodb” // Đường dẫn đến thư viện adodb
$DB_user = “root” // Username kết nối mySQL
$DB_password=”XXX” // Mật khẩu kết nối mySQL
$hidden_key_num = “XXX” // Chuỗi ngẫu nhiên để mã hóa
Tạo cơ sở dữ liệu chứa thông tin cho IDS:
# mysql –u root –p
mysql> CREATE DATABASE ids; mysql> CREATE DATABASE idslog; mysql> exit
Truy cập IDS:
http://localhost/ids Username: admin
Mật khẩu: change (ngầm định)
Sau khi truy cập, sử dụng GUI của IDS để tạo đầu ra kiểu cơ sở dữ liệu, trỏ đến cơ sở dữ liệu idslog và bật đầu ra này để IDS có thể sử dụng cơ sở dữ liệu để ghi log các dữ liệu.
Cài đặt IDS Sensor
Giải nén mã nguồn Snort
# tar zxvf snort-2.8.2.1.tar.gz
Build mã thực thi từ mã nguồn Snort:
Chú ý: Trước khi build cần có đầy đủ các thư viện C++ và các công cụ build. Các thành phần này có thể được cài đặt thông qua câu lệnh sudo apt-get install
essential) hoặc từ Synaptic Package Manager (nằm tại mục Administration trong menu System).
Hình 15 - Cửa sổ Sysnaptic Package Manager
Cấu hình mã nguồn Snort để hỗ trợ mySQL:
# ./configure --with-mysql=/usr
Thực hiện việc build và cài đặt Snort bằng các câu lệnh sau:
# make
# make install (adsbygoogle = window.adsbygoogle || []).push({});
Tạo thư mục chứa các tệp tin cấu hình
# mkdir /etc/snort
Tạo thư mục chứa các tệp tin log
# mkdir /var/log/snort
Giải nén IDS Agent
# mkdir /opt/idsagent/
# cp ids-agent-v1.0-RC1.tar.gz /opt/idsagent # cd /opt/idsagent
Chạy script cấu hình cho IDS Agent
# cd sensor # ./setup.sh
Lần lượt trả lời các câu hỏi của script cấu hình:
Config File Directory = /etc/snort
Log File Directory = /var/log/snort
Perl = <ENTER> // Dùng giá trị ngầm định
Snort = <ENTER> // Dùng giá trị ngầm định
Snort Rule Config File = /etc/snort
Port = <ENTER> // Dùng giá trị ngầm định
IP Address = eth0 // Interface cần quản lý Login Name = <ENTER> // Dùng giá trị ngầm định
Password = XXX // Mật khẩu đăng nhập
Confirm Password = XXX Host = <ENTER>
SSL = N // Nếu dùng phải cài SSL Allow IP = XXX // Địa chỉ IP IDS Start on Boot = Y
Sau khi cài Snort và IDS Agent để quản lý, truy cập IDS để định nghĩa thông tin về cảm biến này. Thông qua các thông tin đó, IDS có thể kiểm soát IDS Agent để điều khiển và lấy các dữ liệu log của Snort.
Đăng nhập
Hình 16 - Đăng nhập Hệ thống phát hiện xâm nhập
Nhập ‘Tên đăng nhập’ và ‘Mật khẩu’ của bạn. Hãy nhớ, lần đầu tiên đăng nhập, tên đăng nhập mặc định sẽ là ‘admin’ và mật khẩu là ‘change’.
Tạo mới cảm biến agent
Hình 17 - Tạo mới cảm biến
Hình 18 - Tạo cảm biến
Nhập toàn bộ thông tin cần thiết (‘Cửa sổ lệnh snort’ có thể không cần nhập, IDS sẽ tự động tạo cho bạn). ‘Ghép nối cần theo dõi’ sẽ là cổng giao tiếp mà IDS kết nỗi với agent cảm biến (ví dụ eth0, eth1…). Sau đó nhấn nút ‘Lưu lại’.
Hình 19 - Lựa chọn Places/Computer
Hình 20 - Chọn thư mục Snort (adsbygoogle = window.adsbygoogle || []).push({});
Chọn ‘File System/etc/snort’
Hình 21 - Chọn file khởi động Snort
Hình 22 - Khởi động Snort
Chọn ‘Run’.
Theo dõi cảm biến agent
Hình 23 - Theo dõi cảm biến Agent
Trong cửa sổ của IDS, chọn menu ‘Điều khiển cảm biến/Xem cảm biến’
Hình 24 - Giao diện xem cảm biến
Ta sẽ thấy cảm biến sẽ có màu xanh như hình trên.
Hình 25 - Tạo đầu ra cho các cảm biến
Chọn ‘Tài nguyên\Đầu ra gắn liền\Tạo đầu ra gắn liền’
Hình 26 - Chọn đầu ra gắn liền
Chọn ‘Database (Ghi ra biến của cơ sở dữ liệu)’.
Hình 27 - Chọn database của đầu ra gắn liền
Hình 28 - Giao diện điền thông tin của Database được chọn
Điền thông tin và chọn ‘Cập nhật’
Xem đầu ra gắn liền
Hình 29 - Menu xem đầu ra gắn liền
Chọn ‘Tài nguyên/Đầu ra gắn liền/Xem đầu ra gắn liên’
Tạo mới Mẫu quy tắc
Hình 31 - Menu tạo mẫu quy tắc
Chọn ‘Tài nguyên/Tạo mẫu quy tắc’
Hình 32 - Đặt tên Mẫu quy tắc
Điền tên mẫu và mô tả mẫu, sau đó nhấn ‘Lưu lại’
Hình 33 - Menu tạo Quy tắc
Chọn ‘Tài nguyên/Quy tắc/Tạo Qtắc’
Hình 34 - Điền thông tin cho việc tạo quy tắc
Tạo mới Biến
Hình 35 - Menu tạo biến
Chọn ‘Tài nguyên/Các biến/Tạo biến’ (adsbygoogle = window.adsbygoogle || []).push({});
Hình 36 - Đặt tên và giá trị biến
Điền thông tin cho ‘Tên biến’ và ‘Giá trị biến’ rồi nhấn ‘Lưu lại’
Hình 37 - Menu tạo tiền xử ly
Chọn ‘Tài nguyên/Tiền xử lý/Tạo tiền xử lý’
Hình 38 - Chọn tiền xử lý
Chọn một tiền xử lý để tạo rồi nhấn ‘Chọn’
Điền thông tin khóa giải mã mặc định rồi nhấn ‘Cập nhật’
Tạo mới Kiểu Quy tắc
Hình 40 - Menu tạo kiểu quy tắc
Chọn ‘Tài nguyên/Kiểu Quy tắc/Tạo Kiểu Qtắc’
Hình 41 - Thiết lập kiểu quy tắc
Nhập thông tin kiểu quy tắc và nhấn ‘Lưu lại’
Hình 42 - Menu tạo phân lớp
Chọn ‘Tài nguyên/Phân lớp/Tạo Phân lớp’
Hình 43 - Đặt tên cho Phân lớp
Điền thông tin và nhấn ‘Lưu lại’.
Tạo mới Tham chiếu
Hình 44 - Menu tạo tham chiếu
Hình 45 - Đặt tên tham chiếu
KẾT LUẬN
Trên thế giới, các công trình nghiên cứu về lĩnh vực an ninh, an toàn thông tin được tiến hành bởi các trường đại học về khoa học máy tính, công nghệ thông tin, nhưng những công trình nổi bật và được ứng dụng rộng rãi là những công trình nghiên cứu được tiến hành bởi các công ty bảo mật. Một số công ty bảo mật hàng đầu phát triển các bộ giải pháp về an ninh mạng có thể kể đến là: Cisco System, Juniper Network, TrendMicro.. Sản phẩm của nghiên cứu mà các công ty bảo mật tiến hành có thể là những sản phẩm riêng rẽ như Cisco IDS, Juniper IPS, TrendMicro Server Protect, hoặc cũng có thể là cả một bộ giải pháp với nhiều sản phẩm phần cứng phần mềm khác nhau.
Về việc nghiên cứu phát triển các hệ thống phát hiện xâm nhập, có một số xu hướng nghiên cứu về lĩnh vực này đã được thực hiện. Đó là phát hiện xâm nhập dựa trên dấu hiệu xâm nhập; phát hiện xâm nhập dựa vào khả năng tự học của hệ thống; phát hiện xâm nhập bằng cách kết hợp cả hai phương pháp trên. Đối với mỗi phương pháp phát hiện xâm nhập sẽ dẫn đến rất nhiều nghiên cứu, như những nghiên cứu về trí tuệ nhân tạo, hệ chuyên gia, nghiên cứu về phương pháp đặt luật so sánh trong phân tích lưu thông mạng.
Như vậy, an ninh thông tin là lĩnh vực ngày càng có thêm nhiều công trình nghiên cứu cũng như các sản phẩm được tạo ra từ các công trình đó, bởi trình độ của các hacker cũng ngày càng tiến bộ. Tuy rằng các sản phẩm an ninh thông tin mà các công ty nước ngoài phát triển hoạt động hiệu quả, nhưng các sản phẩm này có mức giá cao và hàng năm phải tốn chi phí để cập nhật. Việc áp dụng các sản phẩm này một cách thụ động cũng là một nhược điểm. Vì khi đó đội ngũ quản trị mạng sẽ không thực sự hiểu bản chất hệ thống hoạt động như thế nào, hệ thống phân tích những gì ở mức dưới của hệ thống thông tin, dẫn đến việc không linh hoạt trong nghiệp vụ quản trị bảo mật.
Với việc hoàn thành các sản phẩm của luận văn là hệ thống phát hiện xâm nhập mạng dựa trên nền tảng mã nguồn mở và bộ quy trình phòng ngừa và ngăn chặn xâm nhập mạng, hy vọng rằng việc ứng dụng các sản phẩm này sẽ góp phần cải thiện những điểm yếu trong hệ thống an ninh thông tin của Bộ Khoa học và Công nghệ. Bên cạnh đó, nó sẽ mở ra những hướng phát triển tiếp theo trong nghiên cứu và ứng dụng hệ thống phát hiện xâm nhập mạng, giúp nền công nghệ
thông tin nước ta có những bước tiến trong ứng dụng và làm chủ những sản phẩm công nghệ về an ninh thông tin.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Trịnh Nhật Tiến (2008), Giáo trình an toàn dữ liệu, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội.
2. Nhà xuất bản Lao động - Xã hội (2007), Tấn công Web thông qua lỗi bảo mật,
Hà Nội.
Tiếng Anh (adsbygoogle = window.adsbygoogle || []).push({});
3. Jay Beale (2004), Snort.2.1 Intrusion Detection Second Edition May 2004 eBook, Syngress Publishing, Inc., United States of America.
4. Kerry Cox and Christopher Gerg (2004), Managing Security with Snort and IDS tools, ’Reilly Media, Inc., United States of America.
5. Carl Endorf, Eugene Schultz and Jim Mellander (2003), Intrusion Detection and Prevention, McGraw-Hill Osborne Media, United States of America.
6. Alex Lucatsky (2002), Protect your information with Instrusion Detection System, A-List Publishing, United States of America.
7. Stephen NorthCutt and Judy Novak (2002), Network Intrusion Detection, Sams, United States of America.
8. Gunter Ollmann (2007), The Phishing Guide - Understanding and Preventing Phishing Attacks, IBM Internet Security Systems, United States of America.
9. ISO/IEC 27002:2005 (2005), Information Technology - Security Techniques - Code of practice for information security management, International Organization for Standardization and International Electrotechnical Commission.