Triển khai hệ thống phát hiện xâm nhập mạng

Một phần của tài liệu Xây dựng hệ thống phát hiện xâm nhập mạng áp dụng cho hệ thống mạng Bộ Khoa học và Công nghệ (Trang 76)

2. 9 Phòng ngừa và ngăn chặn spoofing

3.3.2 Triển khai hệ thống phát hiện xâm nhập mạng

Cài đặt IDS

 Giải nén IDS:

# tar -zxvf ids.tar.gz

 Cài đặt vào thư mục www của Apache:

# cd www

# mkdir /var/www/html/ids # cp –R * /var/www/html/ids

# cd /var/www/html/ids # gksudo gedit config.php

Chỉnh sửa các thông số cấu hình:

$DBlib_path = “../adodb” // Đường dẫn đến thư viện adodb

$DB_user = “root” // Username kết nối mySQL

$DB_password=”XXX” // Mật khẩu kết nối mySQL

$hidden_key_num = “XXX” // Chuỗi ngẫu nhiên để mã hóa

 Tạo cơ sở dữ liệu chứa thông tin cho IDS:

# mysql –u root –p

mysql> CREATE DATABASE ids; mysql> CREATE DATABASE idslog; mysql> exit

 Truy cập IDS:

http://localhost/ids Username: admin

Mật khẩu: change (ngầm định)

Sau khi truy cập, sử dụng GUI của IDS để tạo đầu ra kiểu cơ sở dữ liệu, trỏ đến cơ sở dữ liệu idslog và bật đầu ra này để IDS có thể sử dụng cơ sở dữ liệu để ghi log các dữ liệu.

Cài đặt IDS Sensor

 Giải nén mã nguồn Snort

# tar zxvf snort-2.8.2.1.tar.gz

 Build mã thực thi từ mã nguồn Snort:

Chú ý: Trước khi build cần có đầy đủ các thư viện C++ và các công cụ build. Các thành phần này có thể được cài đặt thông qua câu lệnh sudo apt-get install

essential) hoặc từ Synaptic Package Manager (nằm tại mục Administration trong menu System).

Hình 15 - Cửa sổ Sysnaptic Package Manager

Cấu hình mã nguồn Snort để hỗ trợ mySQL:

# ./configure --with-mysql=/usr

Thực hiện việc build và cài đặt Snort bằng các câu lệnh sau:

# make

# make install

 Tạo thư mục chứa các tệp tin cấu hình

# mkdir /etc/snort

 Tạo thư mục chứa các tệp tin log

# mkdir /var/log/snort

 Giải nén IDS Agent

# mkdir /opt/idsagent/

# cp ids-agent-v1.0-RC1.tar.gz /opt/idsagent # cd /opt/idsagent

 Chạy script cấu hình cho IDS Agent

# cd sensor # ./setup.sh

 Lần lượt trả lời các câu hỏi của script cấu hình:

Config File Directory = /etc/snort

Log File Directory = /var/log/snort

Perl = <ENTER> // Dùng giá trị ngầm định

Snort = <ENTER> // Dùng giá trị ngầm định

Snort Rule Config File = /etc/snort

Port = <ENTER> // Dùng giá trị ngầm định

IP Address = eth0 // Interface cần quản lý Login Name = <ENTER> // Dùng giá trị ngầm định

Password = XXX // Mật khẩu đăng nhập

Confirm Password = XXX Host = <ENTER>

SSL = N // Nếu dùng phải cài SSL Allow IP = XXX // Địa chỉ IP IDS Start on Boot = Y

 Sau khi cài Snort và IDS Agent để quản lý, truy cập IDS để định nghĩa thông tin về cảm biến này. Thông qua các thông tin đó, IDS có thể kiểm soát IDS Agent để điều khiển và lấy các dữ liệu log của Snort.

Đăng nhập

Hình 16 - Đăng nhập Hệ thống phát hiện xâm nhập

Nhập ‘Tên đăng nhập’ và ‘Mật khẩu’ của bạn. Hãy nhớ, lần đầu tiên đăng nhập, tên đăng nhập mặc định sẽ là ‘admin’ và mật khẩu là ‘change’.

Tạo mới cảm biến agent

Hình 17 - Tạo mới cảm biến

Hình 18 - Tạo cảm biến

Nhập toàn bộ thông tin cần thiết (‘Cửa sổ lệnh snort’ có thể không cần nhập, IDS sẽ tự động tạo cho bạn). ‘Ghép nối cần theo dõi’ sẽ là cổng giao tiếp mà IDS kết nỗi với agent cảm biến (ví dụ eth0, eth1…). Sau đó nhấn nút ‘Lưu lại’.

Hình 19 - Lựa chọn Places/Computer

Hình 20 - Chọn thư mục Snort

Chọn ‘File System/etc/snort’

Hình 21 - Chọn file khởi động Snort

Hình 22 - Khởi động Snort

Chọn ‘Run’.

Theo dõi cảm biến agent

Hình 23 - Theo dõi cảm biến Agent

Trong cửa sổ của IDS, chọn menu ‘Điều khiển cảm biến/Xem cảm biến’

Hình 24 - Giao diện xem cảm biến

Ta sẽ thấy cảm biến sẽ có màu xanh như hình trên.

Hình 25 - Tạo đầu ra cho các cảm biến

Chọn ‘Tài nguyên\Đầu ra gắn liền\Tạo đầu ra gắn liền’

Hình 26 - Chọn đầu ra gắn liền

Chọn ‘Database (Ghi ra biến của cơ sở dữ liệu)’.

Hình 27 - Chọn database của đầu ra gắn liền

Hình 28 - Giao diện điền thông tin của Database được chọn

Điền thông tin và chọn ‘Cập nhật’

Xem đầu ra gắn liền

Hình 29 - Menu xem đầu ra gắn liền

Chọn ‘Tài nguyên/Đầu ra gắn liền/Xem đầu ra gắn liên’

Tạo mới Mẫu quy tắc

Hình 31 - Menu tạo mẫu quy tắc

Chọn ‘Tài nguyên/Tạo mẫu quy tắc’

Hình 32 - Đặt tên Mẫu quy tắc

Điền tên mẫu và mô tả mẫu, sau đó nhấn ‘Lưu lại’

Hình 33 - Menu tạo Quy tắc

Chọn ‘Tài nguyên/Quy tắc/Tạo Qtắc’

Hình 34 - Điền thông tin cho việc tạo quy tắc

Tạo mới Biến

Hình 35 - Menu tạo biến

Chọn ‘Tài nguyên/Các biến/Tạo biến’

Hình 36 - Đặt tên và giá trị biến

Điền thông tin cho ‘Tên biến’ và ‘Giá trị biến’ rồi nhấn ‘Lưu lại’

Hình 37 - Menu tạo tiền xử ly

Chọn ‘Tài nguyên/Tiền xử lý/Tạo tiền xử lý’

Hình 38 - Chọn tiền xử lý

Chọn một tiền xử lý để tạo rồi nhấn ‘Chọn’

Điền thông tin khóa giải mã mặc định rồi nhấn ‘Cập nhật’

Tạo mới Kiểu Quy tắc

Hình 40 - Menu tạo kiểu quy tắc

Chọn ‘Tài nguyên/Kiểu Quy tắc/Tạo Kiểu Qtắc’

Hình 41 - Thiết lập kiểu quy tắc

Nhập thông tin kiểu quy tắc và nhấn ‘Lưu lại’

Hình 42 - Menu tạo phân lớp

Chọn ‘Tài nguyên/Phân lớp/Tạo Phân lớp’

Hình 43 - Đặt tên cho Phân lớp

Điền thông tin và nhấn ‘Lưu lại’.

Tạo mới Tham chiếu

Hình 44 - Menu tạo tham chiếu

Hình 45 - Đặt tên tham chiếu

KẾT LUẬN

Trên thế giới, các công trình nghiên cứu về lĩnh vực an ninh, an toàn thông tin được tiến hành bởi các trường đại học về khoa học máy tính, công nghệ thông tin, nhưng những công trình nổi bật và được ứng dụng rộng rãi là những công trình nghiên cứu được tiến hành bởi các công ty bảo mật. Một số công ty bảo mật hàng đầu phát triển các bộ giải pháp về an ninh mạng có thể kể đến là: Cisco System, Juniper Network, TrendMicro.. Sản phẩm của nghiên cứu mà các công ty bảo mật tiến hành có thể là những sản phẩm riêng rẽ như Cisco IDS, Juniper IPS, TrendMicro Server Protect, hoặc cũng có thể là cả một bộ giải pháp với nhiều sản phẩm phần cứng phần mềm khác nhau.

Về việc nghiên cứu phát triển các hệ thống phát hiện xâm nhập, có một số xu hướng nghiên cứu về lĩnh vực này đã được thực hiện. Đó là phát hiện xâm nhập dựa trên dấu hiệu xâm nhập; phát hiện xâm nhập dựa vào khả năng tự học của hệ thống; phát hiện xâm nhập bằng cách kết hợp cả hai phương pháp trên. Đối với mỗi phương pháp phát hiện xâm nhập sẽ dẫn đến rất nhiều nghiên cứu, như những nghiên cứu về trí tuệ nhân tạo, hệ chuyên gia, nghiên cứu về phương pháp đặt luật so sánh trong phân tích lưu thông mạng.

Như vậy, an ninh thông tin là lĩnh vực ngày càng có thêm nhiều công trình nghiên cứu cũng như các sản phẩm được tạo ra từ các công trình đó, bởi trình độ của các hacker cũng ngày càng tiến bộ. Tuy rằng các sản phẩm an ninh thông tin mà các công ty nước ngoài phát triển hoạt động hiệu quả, nhưng các sản phẩm này có mức giá cao và hàng năm phải tốn chi phí để cập nhật. Việc áp dụng các sản phẩm này một cách thụ động cũng là một nhược điểm. Vì khi đó đội ngũ quản trị mạng sẽ không thực sự hiểu bản chất hệ thống hoạt động như thế nào, hệ thống phân tích những gì ở mức dưới của hệ thống thông tin, dẫn đến việc không linh hoạt trong nghiệp vụ quản trị bảo mật.

Với việc hoàn thành các sản phẩm của luận văn là hệ thống phát hiện xâm nhập mạng dựa trên nền tảng mã nguồn mở và bộ quy trình phòng ngừa và ngăn chặn xâm nhập mạng, hy vọng rằng việc ứng dụng các sản phẩm này sẽ góp phần cải thiện những điểm yếu trong hệ thống an ninh thông tin của Bộ Khoa học và Công nghệ. Bên cạnh đó, nó sẽ mở ra những hướng phát triển tiếp theo trong nghiên cứu và ứng dụng hệ thống phát hiện xâm nhập mạng, giúp nền công nghệ

thông tin nước ta có những bước tiến trong ứng dụng và làm chủ những sản phẩm công nghệ về an ninh thông tin.

TÀI LIỆU THAM KHẢO Tiếng Việt

1. Trịnh Nhật Tiến (2008), Giáo trình an toàn dữ liệu, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội.

2. Nhà xuất bản Lao động - Xã hội (2007), Tấn công Web thông qua lỗi bảo mật,

Hà Nội.

Tiếng Anh

3. Jay Beale (2004), Snort.2.1 Intrusion Detection Second Edition May 2004 eBook, Syngress Publishing, Inc., United States of America.

4. Kerry Cox and Christopher Gerg (2004), Managing Security with Snort and IDS tools, ’Reilly Media, Inc., United States of America.

5. Carl Endorf, Eugene Schultz and Jim Mellander (2003), Intrusion Detection and Prevention, McGraw-Hill Osborne Media, United States of America.

6. Alex Lucatsky (2002), Protect your information with Instrusion Detection System, A-List Publishing, United States of America.

7. Stephen NorthCutt and Judy Novak (2002), Network Intrusion Detection, Sams, United States of America.

8. Gunter Ollmann (2007), The Phishing Guide - Understanding and Preventing Phishing Attacks, IBM Internet Security Systems, United States of America.

9. ISO/IEC 27002:2005 (2005), Information Technology - Security Techniques - Code of practice for information security management, International Organization for Standardization and International Electrotechnical Commission.

Một phần của tài liệu Xây dựng hệ thống phát hiện xâm nhập mạng áp dụng cho hệ thống mạng Bộ Khoa học và Công nghệ (Trang 76)

Tải bản đầy đủ (PDF)

(96 trang)