Tải bản đầy đủ (.docx) (27 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Hệ thống phát hiện xâm nhập IDS (intrusion detection system)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.15 MB, 27 trang )

MỤC LỤC

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày
nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào
mạng công ty và đem ra ngồi rất nhiều thơng tin giá trị. Đã có nhiều phương pháp được
phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall,
encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập.
Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành
động khả nghi trên cả host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất
hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập,
sử dụng thơng tin từ những loại tấn cơng đã biết để tìm ra một ai đó cố gắng tấn cơng
vào mạng hayvào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử
dụng làm cho mạng chúng ta an tồn hơn, nó hồn tồn hợp pháp. Sản phẩm thương mại
và mã nguồn mở đều sẵn có cho mục đích này.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo
mật có khả năng phát hiện và chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng
sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật
truyền thống. Nó đã được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể
hiện vai trị quan trọng trong các chính sách bảo mật. Mặc dù các phương pháp phát hiện
xâm nhập còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu)
ngày nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các
bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà cịn có thể giúp các bạn
tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng
dụng rộng rải trong thực tiển
CHƯƠNG II: TỔNG QUAN VỀ IDS/IPS
I. GIỚI THIỆU CƠ BẢN VỀ IDS/IPS
1. Định nghĩa
1



- Intrusion Detection system ( IDS ): Là một hệ thống giám sát hoạt động trên hệ thống
mạng và phân tích để tìm ra các dấu hiệu tấn cơng, đột nhập.
Hình sau minh họa các vị trí thường cài đặt IDS trong mạng :

- Intrusion Prevention system ( IPS ): Là một hệ thống bao gồm cả chức năng phát hiện
xâm nhập (Intrusion Detection–ID) và khả năng ngăn chặn các xâm nhập trái phép
2. Chức năng
Các ứng dụng cơ bản của hệ IDS:
- Nhận diện các nguy cơ có thể xảy ra
- Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ
- Nhận diện các hoạt động thăm dò hệ thống
- Nhận diện các yếu khuyết của chính sách bảo mật
- Ngăn chặn vi phạm chính sách bảo mật

2


Các tính năng chính của hệ IDS:
- Lưu giữ thơng tin liên quan đến các đối tượng quan sát
- Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát
- Xuất báo cáo.
3. Sự khác nhau giữa IDS và IPS
Name :
IDS(Hệ thống phát hiện xâm nhập)
IPS(Hệ thống phát hiện & ngăn chặn xâm nhập)
Chức năng:
- IDS( phát hiện và báo cáo xâm nhập)
- IPS(Phát hiện ,báo cáo & ngăn chặn)
Thuộc vào quy mơ, tính chất của từng mạng máy tính
Trong trường hợp các mạng có quy mơ nhỏ, với một máy chủ an ninh, thì giải pháp IPS

là hợp lý nhất
Với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm
chuyên dụng(firewall..)
4. Cơ chế hoạt động của hệ thống IDS /IPS
Có hai cách tiếp cận cơ bản đói với việc phát triển và phòng chống xâm nhập là :
Phát hiện sự lạm dụng (Misuse Detection Model) : Hệ thống sẽ phát hiện các xâm nhập
bằng cách tìm kiếm các hành động tương ứng với các kỷ thuật xâm nhập đã được biết đến
hoặc các điểm dễ bị tấn công của hệ thống.

3


Phát hiện sự bất thường (Anomaly Detection Model ): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiểm các hành động khác với hành vi thông thường của người dùng
hay hệ thống.

CHƯƠNG III. SNORT TRONG HỆ THỐNG IDS/IPS
1. Giới thiệu


SNORT là một phần mềm IDS mã nguồn mở kiểu signature-based . Kết hợp lợi
ích của dấu hiệu, giao thức và dấu hiệu bất thường, Snort là công nghệ IDS/IPS
được triển khai rộng rãi trên tồn thế giới.



Snort là một ứng dụng bảo mật hiện đại có ba chức năng chính: nó có thể phục vụ
như một bộ phận lắng nghe gói tin, lưu lại thơng tin gói tin hoặc một hệ thống phát
hiện xâm nhập mạng (NIDS).




Snort chủ yếu phân tích và cảnh báo trên giao thức TCP/IP.

2. Đặc điểm chính


Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để
phát hiện sự bất thường trong các header của giao thức



Dữ liệu được thu thập và phân tích bởi Snort, sau đó Snort lưu trữ dữ liệu và
database để phân tích sau này



Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi
người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại
được lưu trong các file khác nhau

3. Kiến trúc của Snort


Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng. Cách
thành phần chính đó là:
 Module giải mã gói tin (Packet Decoder)
4



 Module tiền xử lý (Preprocessors)
 Module phát hiện (Detection Engine)
 Module log và cảnh báo (Logging and Alerting System)
 Module kết xuất thông tin (Output Module)

3.1 Modun giải mã gói tin
Packet decoder (Bộ phận giải mã gói) lấy những gói từ những loại khác nhau của
giao diện mạng và chuẩn bị đưa chúng vào preprocessor hoặc gửi nó qua
detection engine.
3.2 Modun tiền xử lý
Preprocessors (Bộ phận xử lí trước) là những thành phần hay những plug-in được
sử dụng cùng với Snort để sắp xếp và thay đổi những gói dữ liệu trước khi
detection engine thực hiện cơng việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm.
Một vài preprocessor cịn có thể thực hiện tìm ra những dấu hiệu bất thường trong
tiêu đề gói và sinh ra cảnh báo.
Preprocessor rất quan trọng đối với IDS nhằm chuẩn bị những gói dữ liệu để phân
tích cho việc thiết lập rule trong detection engine

5


3.3 Modun phát hiện
Detection engine là thành phần quan trọng nhất trong Snort. Nó chịu trách
nhiệm phát hiện nếu có hành vi xâm nhập trong một gói.
Detection engine tận dụng những rule Snort để làm việc này. Những rule được đọc
trong cấu trúc dữ liệu bên trong hay buộc chặt chúng vào nơi mà chúng sẽ so khớp
với tất cả các gói. Nếu một gói nào đó khớp với rule, hành động thích hợp sẽ sinh
ra, chẳng hạn gói đó sẽ bị hủy. Những hành động đó có thể là ghi gói hay sinh
cảnh báo.
*


Sự vận hành của Detection engine phụ thuộc vào các yếu tố sau:
• Số rule trên đó.
• Sức mạnh của hệ thống trên đó có Snort đang chạy.
• Thơng lượng bên trong đó.
• Lưu lượng trên mạng
3.4 Modun log và cảnh báo
Phụ thuộc vào detection engine tìm trong gói, gói có thể được dùng để ghi hành
động hay sinh cảnh báo. Việc ghi lưu trong những text file đơn giản, loại file
tcpdump hay những hình thức ghi khác. Mặc định tất cả những log file
được lưu trong /snort/log/. Bạn có thể sử dụng dịng lệnh “–l” để thay đổi vị trí
sinh log file hay cảnh báo. Có nhiều lựa chọn dịng lệnh sẽ được thảo luận trong
phần sau và chi tiết thông tin về cách ghi log file hay cảnh báo.
3.5 Modun kết xuất thông tin
Output modules có thể làm những việc sau:
• Đơn giản chỉ ghi vào snort/log/ hay những thư mục khác
• Gửi SNMP traps
• Gửi thơng điệp đến syslog.
6


• Ghi vào cơ sở dữ liệu như MySQL hay Oracle.
• Sinh ra dẫn xuất eXtensible Markup Language (XML)
• Bổ sung cấu hình trên router và firewall.
• Gửi thơng điệp Server Message Block (SMB) đến hệ thống Microsoft Window.
Những công cụ khác cũng có thể gửi cảnh báo trong những định dạng khác như e-mail
hay qua giao diện web.
4. Tập luật (rulesets) trong Snort
Giống như virus, hầu hết hành động xâm nhập có vài loại signature. Thơng tin về những
signature này dùng để tạo Snort rules.

4.1 Cấu trúc của một rule
*

Tất cả các rule đều có 2 phần logic: rule header và rule options.

Cấu trúc Rule
*

Rule header :chứa thông tin về hoạt động mà rule để lấy. Nó cũng chứa tiêu chuẩn
cho việc so sánh một luật dựa vào gói dữ liệu. Rule option thường chứa một thông
điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để phát sinh cảnh báo.

*

Rule option :cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu.
Một rule có thể phát hiện một loại hay nhiều loại hành vi xâm nhập. Rule “thơng
minh” là rule có thể áp dụng lên nhiều dấu hiệu xâm nhập.

Cấu trúc chung của rule header như sau:
*

Action dùng để xác định loại hành động mà nó lấy về khi tiêu chuẩn gặp được và
một rule được so sánh chính xác một gói dữ liệu. Những hoạt động điển hình là
sinh ra một cảnh báo hoặc ghi thông điệp hoặc diện chứng cho rule khác

*

Protocol dùng để áp dụng rule lên gói chỉ với một giao thức riêng.

7



*

Trong giao thức TCP/UDP, port xác định cổng nguồn và đích của gói khi rule áp
dụng lên đó. Trong trường hợp những giao thức lớp network như IP và
ICMP, port numbers khơng có ý nghĩa.

Rule Option:
*

Rule option theo sau rule header và được đặt trong cặp dấu ngoặc đơn. Có thể một
lựa chọn hay nhiều lựa chọn truyền vào cùng dấu. Nếu bạn sử dụng nhiều lựa
chọn, dạng lựa chọn này là AND. Hành động trong rule header chỉ được gọi
khi tất cả những tiêu chuẩn trong lựa chọn là đúng. Bạn đã sử dụng option như
msg và ttl trong ví dụ trước rồi đó. Tất cả những lựa chọn được định nghĩa bởi từ
khóa. Những Rule option chứa các đối số. Thường thì những lựa chọn có 2 phần:
một từ khóa và một đối số. Những đối số truyền vào từ lựa chọn từ khóa bằng một
dấu “:”. Chẳng hạn như:msg: "Detected confidential“

Lựa chọn msg là từ khóa và “Detected confidential” là đối số cho từ khóa này.Sau đây
là những từ khóa thơng dụng . Nó hoạt động trên những giao thức riêng, cho nên có ý
nghĩa khác nhau đi theo giao thức.
CHƯƠNG IV. HONYPORT TRONG HỆ THỐNG IDS/IPS
1. Giới thiệu
- Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng
đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng,
ngăn không cho chúng tiếp xúc với hệ thống thật.
- Hệ thống tài nguyên thơng tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy chủ
tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ

trực tiếp tương tác với tin tặc và tìm cách khai thác thơng tin về tin tặc như hình thức tấn
cơng, cơng cụ tấn cơng hay cách thức tiến hành thay vì bị tấn công.
8


2. Các loại hình của Honeypot
Gồm hai loại chính: Tương tác thấp và tương tác cao
+ Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi ro
thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
+ Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu
thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và
có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác
được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt hơn
BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì
specter bị giới hạn số dịch vụ và cũng khơng linh hoạt.
-Honeyd:
+ Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được
9


thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn
công với vai trị một hệ thống nạn nhân.
+ Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.
+ Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ điều
hành.
+ Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd có
nhược điểm là khơng thể cung cấp một hệ điều hành thật để tương tác với tin tặc và

khơng có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm.
3. Cơ chế hoạt động
3.1.Cơ chế kiểm sốt dữ liệu.
• Việc kiếm soát dữ liệu được thực hiện ngay tại Gateway(Honeywall), và dựa trên
cơ chế là:
- Một là giới hạn số lượng kế nối ra bên ngồi.
- Hai là lọc gói tinđộc hại – Packer Scrubbed.
A. GIỚI HẠN SỐ LƯỢNG KẾ NỐI RA BÊN NGỒI
• Cơ chế này cho phép bất kỳ kết nối nào đi vào nhưng lại giới hạn kiểm sốt số
lượng kết nối ra bên ngồi và khi đặt tới giới hạn thì tất cả các kết nối ra bên ngoài
về sau sẽ bị chặn lại. Việc giới hạn được thiết lập bởi người quản trị. Nếu tăng số
lượng kết nối ra bên ngoài sẽ cho phép hoạt động tấn cơng của hacker diễn ra
nhiều hơn từ đó chúng ta thu thập được nhiều thông tin song cũng gây ra nhiều
nguy hiểm hơn. Cịn nếu cho phép ít hoặc khơng cho phép kết nối ra bên ngồi thì
sẽ giảm được nguy cơ nhưng sẽ gây ra nghi ngờ cho kẻ tấn cơng và có thể phát
hiện ra chúng đang tương tác với hệ thống Honeynet.
B. LỌC GÓI TIN ĐỘC HẠI(PACKER SCRUBBED)
• Cơ chế này có nhiệm vụ phát hiện ra những luồng dữ liệu gây nguy hiểm cho hệ
thống. Cơ chế lọc gói tin độc hại thường được thực hiện bởi hệ thống ngăn chặn
xâmnhập mức mạng NIPS (Network Intrustion Prevention Systems), cụ thể ở đây
là hệ thốngIDS-Snort


Mục đích của NIPS là để phát hiện và ngăn chặn những tấn công đã biết được đinh
nghĩa trong tập các luật (Rule) của NIPS. NIPS thực hiện công việc này bằng
phương pháp thanh tra mỗi gói tin khi nó đi qua gateway, nó thực hiện so sánh nội
dunggói tin với cơ sở dữ liệu mẫu tấn cơng có sẵn (Các Rule) nhằm phát hiện ra
dấu hiệu tấn công. NIPS thực hiện ngăn chặn bằng việc thực hiện hai biện pháp
sau :
10



Thứ 1 là loại bỏ gói tin : thực hiện hủy bỏ gói tin chứa nội dung độc hại khơngcho
đi ra bên ngồi (chặn cuộc tấn cơng). Biện pháp này thực hiện đơn giản song
kémlinh hoạt dễ gây nghi ngờ cho hacker
• Thứ 2 là thay thế, sửa chữa gói tin : thay vì loại bỏ gói tin thì NIPS sẽ thực
hiệnthay thế nội dung bên trong gói tin khiến nó vơ hại đối với hệ thống bên ngồi
(vơ hiệu hóa cuộc tấn cơng). NIPS sẽ thay đổi một vài byte bên trong đoạn mã
khai thác, làm mất hiệu lực chức năng của nó và cho phép nó tiếp tục đi ra ngồi.
Hacker sẽ thấy cuộc tấn cơng được phát động như ý muốn. Biện pháp này cho
phép chúng ta giành được quyền kiểm soát hành vi của kẻ tin tặc tốt hơn đồng thời
nó cũng hết sức linh hoạt khiến hacker khó phát hiện hơn
C. CƠ CHẾ THU NHẬN DỮ LIỆU
• Thu nhận dữ liệu từ Firewall
• Địa chỉ IP nguồn của gói tin (có thể địa chỉ IP của máy tính Hacker).
• Địa chỉ IP đích của gói tin (thường là địa chỉ của các Honeypot)
• Giao thức truyền thông được sử dụng (thường là các giao thức truyền thông của
cácdich vụ mạng mà Honeypot được xây dựng để Hacker tấn cơng)
• Cổng nguồn của gói tin
• Cổng đích của gói tin ( thường là số cổng của các giao thức mạng mà Honeynet
mở để cho phép Hacker tấn cơng)
• Thời điểm diễn ra cuộc tấn cơng

D. THU NHẬN DỮ LIỆU TỪ LUỒNG DỮ LIỆU MẠNG
• Thu nhận dữ liệu từ luồng dữ liệu mạng thực hiện thu nhận mọi gói tin với đầy đủ
nội dung payload của gói tin đi vào hay đi ra hệ thống Honeynet.
– Thu nhận dữ liệu từ hoạt động trên các Honeypot

Hoạt động mức mạng


Hoạt động mức hệ thống

Hoạt động mức ứng dụng

Hoạt động mức người dùng
E. CƠ CHẾ PHÂN TÍCH DỮ LIỆU
• Honeynet hỗ trợ hai cơng cụ sau để thực hiện q trình phân tích dữ liệu :
• * Một là Hflow: có khả năng tự động kết hợp dữ liệu
• Hai là Walleye: có khả năng báo cáo, thống kê thơng qua giao diện web thânthiện
với người dùng
• Hflow có nhiệm vụ kết hợp dữ liệu từ module thu nhận dữ liệu gửi về, chuẩn hóa
dữliệu sau đó lưu vào cơ sở dữ liệu (ở đây là My SQL).Hflow tự động xác định :Hệ điều hành khởi tạo kết nối mạng.- Sự kiện IDS liên quan đến kết nối mạng.- Sự


11





kiện IDS liên quan đến tiến trình và người dùng trên Honetpot.- Danh sách các tệp
liên quan đến cuộc tấn cơng.
Walleye :
Walleye có nhiệm vụ lấy dữ liệu thu thập được đã được Hflow chuẩn hóa trong Cơ
sơ dữ liệu để cung cấp cho người phân tích thơng qua giao diện web.Nhờ vậy, mà
người phân tích có thể nắm được khung cảnh chung các hoạt động hệ thống, nắm
được chi tiếtcác hoạt động trong mạng

4. Đôi chút về Honetnet
4.1 Giới thiệu

- Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet là
một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường. Honeynet cung
cấp các hệ thống, ứng dụng, các dịch vụ thật.
- Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa honeypots và mạng bên ngồi. Nó hoạt động ở tầng 2 như là Bridged.
Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.
4.2. Mơ hình kiến trúc honeynet (GenII)
• a. Điều khiển dữ liệu:
- Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động.
- Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngồi thì sẽ bị
hạn chế.
b. Thu nhận dữ liệu:
Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính
phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc.
.

12


c. Phân tích dữ liệu: Mục đích chính của honey net chính là thu thập thơng tin. Khi đã có
thơng tin thì người dùng cần phải có khả năng để phân tích các thơng tin này.
d. Thu thập dữ liệu: Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp
dụng cho các tổ chức có nhiều honeynets. Đa số các tổ chức chỉ có một honeynet

CHƯƠNG V. DEMO SNORT GIÁM SÁT THEO DÕI HỆ THỐNG MẠNG
1.Mô Hình

2. Các bước thực hiện và kết quả đạt được
Cài đặt các gói cầnthiết
13



#yum install -y mysql-bench
mysql-server
mysql-devel
yum-utils
php-mysql
httpdgcc
pcre-devel
php-gd
gd
distcache-devel
mod_ssl
glib2-devel
gcc-c++
php
php-pear
#yum --disablerepo=\*--enablerepo=c5-media groupinstall "Development Tools"
#yum --disablerepo=\*--enablerepo=c5-media groupinstall "Development Libraries"
#yum --disablerepo=\*--enablerepo=c5-media groupinstall "MySQL Database"
Cài đặt các gói Pear
#pear install Numbers_Roman-1.0.2 Numbers_Words-0.16.1 Image_Color-1.3
Image_Canvas-0.3.2 Image_GraphViz-1.3.0RC3 Image_Graph-0.7.2 Log-1.12.0
Tắt các dịch vụ không cần thiết và bật dịch vụ httpd và mysql
#service iptables stop

Sau đó khởi động lại dịch vụ httpd và mysql
#chkconfig httpd on (để khởi động khi khởi động máy)
#chkconfig mysqld on (để khởi động khi khởi động máy)
#service httpd start


14


#service mysqld start

Download cácgóikháctrênmạngchovào /root/snort/
• adodb480.gz
• base-1.4.4.tar.gz
• daq-1.1.1.tar.gz
• libdnet-1.12.tgz
• libpcap-1.0.0.tar.gz
• snort-1.1.wbm
• snort-2.8.4.1.tar.gz
• snortrules-snapshot-2.8.tar.gz
• webmin-1.400-1.noarch.rpm
-Càiđăt daq-1.1.1.tar.gz , libdnet-1.12.tgz , libpcap-1.0.0.tar.gz , snort-2.8.4.1.tar.gz
Giảinéncác filedaq-1.1.1.tar.gz , libdnet-1.12.tgz , libpcap-1.0.0.tar.gz , snort2.8.4.1.tar.gz
-Vàothưmục libdnet-1.12
#cd snort/libdnet-1.12
#./configure && make && make install
15


Tươngtựvới libpcap-1.0.0 , daq-1.1.1

Càiđặt Snort
Vàothưmụcsnort-2.8.4.1
#cd snort/snort-2.8.4.1
# ./configure --with-mysql-libraries=/usr/lib64/mysql --enable-dynamicplugin


16


#make && make install

17


-Tạo thư mục làm việc snort,rules, so_rules, log.
#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /var/log/snort
#mkdir /etc/snort/so_rules
-Coppy tất cả file cấu hình trong /root/snort/snort-2.8.4.1/etc tới /etc/snort
#cp /root/snort/snort-2.8.4.1/etc/* /etc/snort/
-Giảinén snortrules-snapshot-2.8.tar.gz và copy filetrongso_rulesđến /etc/snort/so_rules
#cp /root/snort/snortrules-snapshot-2.8.tar.gz_FILES/so_rules/precompiled/CentOS5.0/x86-64/2.8.5.1/* /etc/snort/so_rules/
-Copy file trong rules đến /etc/snort/rules
#cp /root/snort/snortrules-snapshot-2.8.tar.gz_FILES/rules/* /etc/snort/rules
-

Sửa file snort.conftrong /etc/snort/snort.conf

110 varRULE_PATH /etc/snort/rules
688 Output database: alert, mysql, user=snort password=123456 dbname=snort
host=localhost
ThiếtLập Snort khởiđộngcùnghệthống:
Tạomộtliênkếtmềm (symbolic link) của file snort binary đến /usr/sbin/snort
#ln -s /usr/local/bin/snort /usr/sbin/snort

Snort cungcấpcác scrip đểkhởiđộngtrongthưmục rpm/ ; (thưmụcgiảinén snort)
#cp snort/snort-2.8.4.1/rpm/snortd /etc/init.d/
#cp snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort
Tạonhóm&ngườidùngcho snort
#groupadd snort
#useradd -g snort snort -s /sbin/nologin
Set quyềnsởhữuvàchophép Snort ghi log vàothưmụcchứa log
#chownsnort:snort /var/log/snort/
-Đặtquyềnlạichofile snortd :
#chmod 755 /etc/init.d/snortd
#chkconfig snortd on
#service snortd start
Đểkhởiđộng snort ở chếđộ debug nếubạnmuốnkiểmtralỗi:
#snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf

18


-Quảnlý snort bằngwebmin:
Cài webmin

-

Vào localhost:10000 đăng nhập với tài khoản root để vàoweb min

- Tích hợp snort vàoweb min:chọnWebmin Config>

Webmin modules >

19



From uploaded file chỉ đường dẫn đến snort-1.1.wbm > Install Module

Tạo CSDL snort với MySQL:
#chkconfigmysqld on
#service mysqld start
Trướctiên ta cần set password cho root trong MySQL.
#mysqladmin -u root password 123456
20


#mysql -p
Tạo password cho tài khoản snort.
mysql> use mysql;
mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';
Tạo CSDL cho snort.
mysql> create database snort;
mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to
snort@localhost;
mysql> flush privileges;
mysql> exit
Tạocác table từsnort/snort-2.8.4.1/schemas/create_mysqlcho database snort (thưmụcgảinén
snort)
#mysql -u root -p #mysql -p
mysql>show databases;

21



mysql>use snort;
mysql>show tables

22


;
Cài Đặt BASE và ADODB
-Chép base-1.4.4.gz và adodb.gz vào /var/www/html
-Giảinén 2 file trên
-Đổithửmục base-1.4.4 thành base
#cd /var/www/html
#mv base-1.4.4 /base
-Coppy gói base_conf.php.disttrongthưmục basevàđổitênthành base_conf.php
#cd /var/www/html/base
#cp base_conf.php.dist base_conf.php
-Cấu hình base sửa file base_conf.php
Sửa các thông tin trong file base như sau:
57 $BASE_urlpath =’/base’;
79 $DBlib_path = ‘/var/www/html/adodb’;
101 $alert_dbname=’snort’;
23


104 $alert_user =’snort’;
105 $alert_passwords=’123456’;
108 $archive_exists =1; #set this to 1 if you have an archive DB
109 $archive_dbname =’snort’;
112 $archive_user=’snort’;

113 $archive_password=’123456’;
-Set quyềncho base
#chownapache:apache /var/www/html/base
-Tạo rules
Tạoping.rulestrong /etc/snort/rules vớinội dung
Alert icmp any any <> any any (msg:”Co nguoi Ping may minh”; sid:1000000001 ;)
Sau đó save lại và vi đến file snort_conf
#vi /etc/snort/snort.conf
Trỏ xuống chỉ mục #site specific rules
809 include $RULE_PATH/ping.rules
Khởiđộnglại Http và snort
#service snortd restart
#service httpd restart
Đểkhởiđộng snort ở chếđộ debug
#snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf
Kiểmtra:
Tại máy Client chạy Nmap, nhập địa chỉ máy Linux để tiến hành do thám

24


Dùng trình duyệt web trên centos vàolocalhost/base chọn Setup page

Create BASE AG

Vào lại localhost/base xem lưu lượng chạy qua( chú ý cần phải chạy snort ở chế độ debug)

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×