Tải bản đầy đủ (.pdf) (33 trang)
  1. Trang chủ
    2. >>
  2. Thể loại khác
    3. >>
  3. Tài liệu khác

HỆ THỐNG PHÁT HIỆN và NGĂN CHẶN xâm NHẬP IDS, IPS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.38 MB, 33 trang )

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP.HỒ CHÍ MINH
KHOA HỆ THỐNG THƠNG TIN QUẢN LÝ
--------------

BÁO CÁO THỰC HÀNH NHĨM MƠN HỌC AN TOÀN BẢO MẬT
Đề tài:
HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP (IDS/IPS)
LỚP: ITS307_202_D04
GVHD: ThS. Nguyễn Phương Nam

Thành phố Hồ Chí Minh, tháng 04 năm 2021


LỜI MỞ ĐẦU
Ngày nay, mạng internet đã và đang trở nên phổ biến hơn trên tồn thế giới. Nó
đem lại cho con người một cách tiếp cận thơng tin hồn tồn mới. Đồng thời, ngồi
những lợi ích to lớn đem lại, mạng internet còn ẩn chứa những mối nguy hiểm tiềm tàng
như: lây nhiễm viruss, sâu mạng, trojan, sniffer,... . Các giải pháp phát hiện và ngăn chặn
việc xâm nhập trái phép mạng máy tính cũng được ra đời từ đó, như một phần tất yếu của
mạng máy tính tồn cầu. An ninh thơng tin nói chung và an ninh mạng nói riêng đang là
vấn đề được quan tâm khơng chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát
triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin
càng trở nên cấp thiết hơn bao giờ hết. Với một hệ thống mạng máy tính, việc đảm bảo an
tồn cho hệ thống thoát khỏi những nguy cơ, hiểm họa đe dọa rất được chú trọng và đề
cao. Trong bản báo cáo này, nhóm em xin trình bày về một hệ thơng bảo mật an toàn hệ
thống qua đề tài: “ Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS ”. Mục tiêu của
bản báo cáo sẽ gồm 2 phần:


− Giới thiệu tổng quan hệ thống IDS/IPS

− Demo Cài đặt thử nghiệm trên hệ thống Linux/Windows

2


NHẬN XÉT CỦA GIẢNG VIÊN
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................

3


MỤC LỤC
LỜI MỞ ĐẦU ...............................................................................................................................................................2
NHẬN XÉT CỦA GIẢNG VIÊN .................................................................................................................................3
MỤC LỤC .....................................................................................................................................................................4
DANH MỤC HÌNH ẢNH .............................................................................................................................................5
PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDS/IPS ......................................................................................................6

I.

Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System) .......................................................................7
1.

Tổng quan về IDS:............................................................................................................................................7

2.

Thành phần cấu tạo: ..........................................................................................................................................7

3.

Một IDS cần phải thỏa mãn những yêu cầu sau: ..............................................................................................8

4.

Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent ....................................................................8

5.

Ưu điểm và nhược điểm của IDS: ....................................................................................................................8

6.

Phân loại IDS....................................................................................................................................................9
Hệ thống ngăn ngừa xâm nhập – IPS ............................................................................................................. 10

II.
1.


Tổng quan về IPS ........................................................................................................................................... 10

2.

Lý do cần triển khai IPS ................................................................................................................................. 10

3.

IPS có thể ngăn chặn những loại tấn cơng nào? ............................................................................................. 11

4.

Phân loại ......................................................................................................................................................... 11

5.

Cách thức IPS hoạt động ................................................................................................................................ 11

6.

Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập................................................................................. 13

7.

IDS/IPS và tường lửa có gì khác nhau: .......................................................................................................... 13

8.

Thiết kế mơ hình mạng ................................................................................................................................... 14


9.

Một số tiêu chí triển khai ................................................................................................................................ 16

PHẦN 2: Demo Cài đặt thử nghiệm trên hệ thống Linux/Windows ........................................................................... 17
I.

Giới thiệu tống quan về Snort ............................................................................................................................. 18
Thực nghiệm chạy demo trên máy ảo:............................................................................................................ 19

II.
1.

Hệ thống demo: .............................................................................................................................................. 19

2.

Cài đăt hệ thống:............................................................................................................................................. 19
2.1

Cài đặt máy ảo: ...................................................................................................................................... 19

2.2

Cài đặt Snort trên Snort trên Windows Sever 2012 ............................................................................... 19

2.2.1: Cài đặt Snort ............................................................................................................................................. 19
2.2.2: Giải nén file snortrules-snapshot-29111.tar: ............................................................................................. 20
2.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file) ....................................................................................... 20

2.2.4: Mở cửa sổ Command Prompt (cmd):........................................................................................................ 24
2.2.5: Chạy Snort ở chế độ Detect Intrusion (IDS): ............................................................................................ 27
2.2.6: Tạo luật cảnh báo PING và demo kết quả: ............................................................................................... 28
2.2.7: Demo với luật cảnh báo Ping of Death ..................................................................................................... 29
Kết Luận ...................................................................................................................................................................... 31
Một số tài liệu tham khảo ............................................................................................................................................ 33

4


DANH MỤC HÌNH ẢNH
Hình 1 Sự khác nhau giữa IDS và IPS .......................................................................................... 14
Hình 2 Đặt IPS trước Firewall ...................................................................................................... 14
Hình 3 Đặt IPS giữa firewall và miền DMZ ................................................................................. 15
Hình 4 IPS trong giải pháp UTM .................................................................................................. 15
Hình 5 Cài đặt Snort ..................................................................................................................... 20
Hình 6 Sau khi đã copy tồn bộ thư mục giải nén vơ thư mục Snort ........................................... 20
Hình 7 Kiểm tra IP máy ảo ........................................................................................................... 21
Hình 8 Chỉnh sửa file cấu hình ..................................................................................................... 21
Hình 9 Chỉnh sửa file cấu hình ..................................................................................................... 22
Hình 10 Chỉnh sửa file cấu hình ................................................................................................... 22
Hình 11 Chèn Dynamicpreprocessor ............................................................................................ 23
Hình 12 Thêm luật vào config ...................................................................................................... 24
Hình 13 Gõ lệnh trong CMD ........................................................................................................ 24
Hình 14 Chạy snortm .................................................................................................................... 25
Hình 15 Lệnh Ping từ client sang server ....................................................................................... 25
Hình 16 Snort phát hiện và cảnh báo ............................................................................................ 26
Hình 17 Chế độ Packet Log .......................................................................................................... 26
Hình 18 Cài đặt Snort trong Service ............................................................................................. 26
Hình 19 Cài đặt Snort trong Service ............................................................................................. 27

Hình 20 Kiểm tra Snort đã chạy trong Computer managerment chưa.......................................... 27
Hình 21 Hoàn tất khởi chạy Snort ở chế độ IDS .......................................................................... 28
Hình 22 Máy attacker đang ping ................................................................................................... 28
Hình 23 Kết quả được ghi lại ........................................................................................................ 29
Hình 24 Thêm luật báo vào snort.com .......................................................................................... 29
Hình 25 Attacker đang ping gói 1300 byte tới Server .................................................................. 30
Hình 26 Kết quả được ghi lại ........................................................................................................ 30

5


PHẦN 1: TỔNG QUAN VỀ HỆ
THỐNG IDS/IPS

6


I.

Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)

1. Tổng quan về IDS:
− Khái niệm: IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập,
đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn
cơng
− Mục đích:
• IDS phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc
những hành động trong tiến trình tấn cơng như dị tìm, qt các cổng. IDS
cũng có thể phân biệt giữa những cuộ tấn công nội bộ (từ chính nhân viên
hoặc khách hàng trong tổ chức) và tấn cơng bên ngồi (từ hacker). Trong

một số trường hợp, IDS có thể phản ứng lại với các traffic bất thường/độc
hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.
• IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc
thậm chí sau khi tấn cơng đã hồn tất. Càng về sau, nhiều kỹ thuật mới
được tích hợp vào IDS, giúp nó có khả năng dự đốn được tấn cơng
(prediction) và thậm chí phản ứng lại các tấn cơng đang diễn ra (Active
response).
2. Thành phần cấu tạo:
• Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lưu lượng trên
mạng.
• Nguồn thơng tin khác để phát hiện dấu hiệu xâm nhập (signature)
• Signature database là cơ sở dữ liệu chứa dấu hiệu của các tấn công đã được
phát hiện và phân tích. Cơ chế làm việc của signature database giống như
virus database trong các chuơng trình antivirus, do vậy, việc duy trì một hệ
thống IDS hiệu quả phải bao gồm việc cập nhận thường xuyên cơ sở dữ
liệu này.

7


3. Một IDS cần phải thỏa mãn những yêu cầu sau:
• Tính chính xác : khơng được coi những hành động thông thường trong môi
trường hệ thống là những hành động bất thường hay lạm dụng (false
positive).
• Hiệu năng : phải đủ để phát hiện xâm nhập trái phép trong thời gian thực
(nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy
ra tổn thương nghiêm trọng)
• Tính trọn vẹn: IDS khơng được bỏ qua xâm nhập trái phép nào ( false
negative). Đây là một điều kiện khó có thể thỏa mãn được.
• Chịu lỗi (Fault Tolerance): yêu cầu bản thân IDS phải có khả năng chống

lại tấn cơng.
• Khả năng mở rộng (Scalability)
4. Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent
5. Ưu điểm và nhược điểm của IDS:
• Ưu điểm
-

Thích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều
tra và ứng cứu sự cố

-

Đem đến cái nhìn bao qt, tồn diện về tồn bộ hệ thống mạng

-

Là cơng cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng.

• Nhược điểm
-

Cần được cấu hình hợp lý, nếu khơng sẽ gây ra tình trạng báo động nhầm

-

Khả năng phân tích traffic mã hóa tương đối thấp

-

Chi phí phát triển và vận hành hệ thống tương đối cao.


• Nhược điểm khi sử dụng IDS tại mạng DMZ:
-

Số lượng các xác nhận sai mà nó có thể ghi lại.

-

Nếu IDS được cấu hình để cảnh báo cho quản trị mạng (SMS) có thể bị quá
tải với những cảnh báo như vậy và cuối cùng bỏ qua tất cả SMS của IDS.

8


-

Ngoài ra, để tiếp tục bảo vệ chống lại các mối đe dọa mới, phần mềm IDS
phải được cập nhật và các quy tắc phát hiện phải được đánh giá lại một
cách thường xuyên.

6. Phân loại IDS
-

Theo phạm vi giám sát:
• Network-based IDS (NIDS): Là những IDS giám sát trên tồn bộ mạng.
Nguồn thơng tin chủ yếu của NIDS là các gói dữ liệu đang lưu thơng trên
mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước
hoặc sau tường lửa. Hình 1 mơ tả một NIDS điển hình.’
• Host-based IDS (HIDS): Là những IDS giám sát hoạt động của từng máy
tính riêng biệt. Do vậy, nguồn thơng tin chủ yếu của HIDS ngịai lưu lượng

dữ liệu đến và đi từ máy chủ cịn có hệ thống dữ liệu nhật ký hệ thống
(system log) và kiểm tra hệ thống (system audit).

-

Theo kỹ thuật thực hiện:
• Signature-based IDS: Signature-based IDS phát hiện xâm nhập dựa trên
dấu hiệu của hành vi xâm nhập, thơng qua phân tích lưu lượng mạng và
nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các
dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập
nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới.
• Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính
thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để
phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ,
trong điều kiện bình thường, lưu lượng trên một giao tiếp mạng của server
là vào khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm
nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể
giả định rằng server đang bị tấn cơng DoS. Để hoạt động chính xác, các
IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động
của hệ thống trong điều kiện bình thường để ghi nhận các thông số hoạt
động, đây là cơ sở để phát hiện các bất thường về sau.
9


II.

Hệ thống ngăn ngừa xâm nhập – IPS

1. Tổng quan về IPS
-


IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm
nhập): là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập
không mong muốn.

-

Hệ thống IPS liên tục giám sát lưu lượng mạng, đặc biệt là ở các gói riêng
lẻ, để tìm kiếm bất kỳ cuộc tấn cơng nguy hiểm nào có thể xảy ra. Nó thu
thập thơng tin về các gói tin này và báo cáo cho quản trị viên hệ thống,
nhưng nó cũng thực hiện những động thái phịng ngừa của riêng mình. Nếu
phát hiện phần mềm độc hại tiềm ẩn hoặc loại tấn công khác, IPS sẽ chặn
các gói đó truy cập vào mạng.

-

IPS cũng có thể thực hiện các bước khác, chẳng hạn như đóng những lỗ
hổng bảo mật của hệ thống có thể bị khai thác liên tục. IPS có thể đóng các
điểm truy cập vào mạng, cũng như cấu hình tường lửa thứ cấp để phát hiện
những loại tấn công này trong tương lai, bổ sung thêm các lớp bảo mật cho
hệ thống phòng thủ của mạng.

2. Lý do cần triển khai IPS
− Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh,
điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao.
IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ
thống. Khi triển khai có thể giúp hệ thống:
o Theo dõi các hoạt động bất thường đối với hệ thống.
o Xác định ai đang tác động đến hệ thống và cách thức như thế nào, các hoạt
động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.

o Tương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động thâm
nhập hệ thống.

10


3. IPS có thể ngăn chặn những loại tấn cơng nào?
Các hệ thống phịng chống xâm nhập có thể tìm kiếm và bảo vệ chống lại nhiều
loại tấn công nguy hiểm tiềm ẩn. Chúng có khả năng phát hiện và chặn các cuộc tấn công
từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit,
worm, virus máy tính và những loại phần mềm độc hại khác.
4. Phân loại
− Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion
Prevention) thường được triển khai trước hoặc sau firewall. Khi triển khai IPS
trước firewall là có thể bảo vệ được tồn bộ hệ thống bên trong kể cả firewall,
vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với
firewall. Khi triển khai IPS sau firewall có thể phịng tránh được một số kiểu tấn
công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết
nối vào bên trong.
− Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention)
thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt
động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử
dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện
ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi
các tập tin cấu hình.
5. Cách thức IPS hoạt động
• Phịng ngừa
- IPS thường nằm ngay sau tường lửa và cung cấp một lớp phân tích bổ sung,
lựa chọn tiêu cực cho nội dung nguy hiểm. Khơng giống như người tiền
nhiệm của nó, Hệ thống phát hiện xâm nhập (IDS) là một hệ thống thụ

động quét lưu lượng và báo cáo lại các mối đe dọa.
-

IPS được đặt nội tuyến (trong đường dẫn liên lạc trực tiếp giữa nguồn và
đích), chủ động phân tích và thực hiện các hành động tự động trên tất cả
luồng lưu lượng truy cập vào mạng. Cụ thể, những hành động này bao gồm:

11


+ Gửi một báo động cho quản trị viên (như sẽ thấy trong IDS)
+ Bỏ các gói độc hại
+ Chặn lưu lượng truy cập từ địa chỉ nguồn
+ Đặt lại kết nối
-

Là một thành phần bảo mật nội tuyến, IPS phải hoạt động hiệu quả để tránh
làm giảm hiệu suất mạng. Nó cũng phải hoạt động nhanh vì khai thác có thể
xảy ra trong thời gian gần. IPS cũng phải phát hiện và phản hồi chính xác,
để loại bỏ các mối đe dọa và dương tính giả (các gói hợp pháp bị đọc nhầm
thành các mối đe dọa).

• Phát hiện
- IPS có một số phương pháp phát hiện để tìm kiếm khai thác, nhưng phát
hiện dựa trên chữ ký và phát hiện dựa trên thống kê là hai cơ chế chi phối.
-

Phát hiện dựa trên chữ ký được dựa trên một từ điển các mẫu (hoặc chữ ký)
duy nhất trong mã của mỗi khai thác. Khi khai thác được phát hiện, chữ ký
của nó được ghi lại và lưu trữ trong một từ điển chữ ký phát triển liên tục.


-

Phát hiện chữ ký cho IPS được chia thành hai loại:
+ Chữ ký đối diện khai thác xác định các khai thác riêng lẻ bằng cách kích
hoạt các mẫu duy nhất của một nỗ lực khai thác cụ thể. IPS có thể xác
định các khai thác cụ thể bằng cách tìm kết quả khớp với chữ ký đối
diện khai thác trong luồng lưu lượng
+ Chữ ký dễ bị tổn thương là chữ ký rộng hơn nhắm vào lỗ hổng cơ bản
trong hệ thống đang được nhắm mục tiêu. Những chữ ký này cho phép
các mạng được bảo vệ khỏi các biến thể của một khai thác có thể khơng
được quan sát trực tiếp trong tự nhiên, nhưng cũng làm tăng nguy cơ
dương tính giả.

-

Phát hiện bất thường thống kê lấy các mẫu lưu lượng mạng một cách ngẫu
nhiên và so sánh chúng với mức hiệu suất cơ sở được tính tốn trước. Khi
mẫu hoạt động lưu lượng mạng nằm ngoài các tham số về hiệu suất cơ sở,
IPS sẽ hành động để xử lý tình huống.
12


6. Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập
• Ưu điểm:
• Cung cấp giải pháp bảo vệ tồn diện hơn đối với tài ngun hệ thống.
• Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.
• Hạn chế:
• Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể khơng cho
phép các truy cập hợp lệ tới hệ thống.

7. IDS/IPS và tường lửa có gì khác nhau:
IPS

IDS

Tường lửa

Hệ thống Ngăn chặn

IDS yêu cầu con người hoặc hệ thống

Tường lửa được cấu

Xâm nhập.

khác xem xét kết quả và xác định hành

hình để chặn tất cả

Có khả năng ngăn

động nào cần thực hiện tiếp theo, đây

truy cập, sau đó bạn

chặn phát tán dựa vào có thể là cơng việc tồn thời gian tùy

sẽ cài đặt để cho

nội dung của các xâm thuộc vào lượng lưu lượng truy


phép một số loại truy

nhập.

cập mạng được tạo ra mỗi ngày.

cập nhất định.

IPS là các hệ thống

IDS làm cho một công cụ pháp y sau

dựa trên dữ liệu

khám nghiệm tử thi tốt hơn để CSIRT

những mối đe dọa đã

sử dụng như một phần của các cuộc

được biết đến. IPS có

điều tra sự cố an ninh của họ.

thể tự ngăn chặn các
mối nguy này.
 Tốt nhất nên kết hợp tường lửa, IDS/IPS

13



Hình 1 Sự khác nhau giữa IDS và IPS

8. Thiết kế mơ hình mạng
• Đặt IPS trước firewall:

Hình 2 Đặt IPS trước Firewall

14




Đặt IPS giữa firewall và miền DMZ

Hình 3 Đặt IPS giữa firewall và miền DMZ

• IPS là một module trong giải pháp UTM

Hình 4 IPS trong giải pháp UTM
15


9. Một số tiêu chí triển khai
• Xác định cơng nghệ IDS/IPS đã, đang hoặc dự định triển khai.
• Xác định các thành phần của IDS/IPS.
• Thiết đặt và cấu hình an tồn cho IDS/IPS.
• Xác định vị trí hợp lý để đặt IDS/IPS.
• Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật (rule).



Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc khơng
cảnh báo khi có xâm nhập (false negative).

16


PHẦN 2: Demo Cài đặt thử nghiệm
trên hệ thống Linux/Windows

17


I.

Giới thiệu tống quan về Snort

Snort là phần mềm IDS được phát triển bởi Martin Roesh dưới dạng mã nguồn mở.
Snort ban đầu được xây dựng trên nền Unix nhưng sau đó phát triển sang các nền tảng
khác như . Windows, Linux, OpenBSD, FreeBSD, Solaris … Snort được đánh giá rất cao
về khả năng phát hiện xâm nhập.
Tuy snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời. Với kiến trúc kiểu
module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình.
Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt:
• Module giải mã gói tin: Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin
trên mạng lưu thơng qua hệ thống. Một gói tin sau khi được giải mã sẽ đưa
tiếp vào module tiền xử lý.
• Module tiền xử lý: Gồm 3 nhiệm vụ chính:
+ Kết hợp lại các gói tin

+ Giải mã và chuẩn hóa giao thức (decode/normalize)
+ Phát hiện các xâm nhập bất thường (nonrule/anormal)
-

Module phát hiện: Đây là module quan trọng nhất của Snort. Nó chịu
trách nhiệm phát hiện các dấu hiệu xâm nhập. Module phát hiện sử dụng
các luật được định nghĩa trước để so sánh với dữ liệu thu thập được, từ đó
xác định xem có xâm nhập xảy ra hay khơng.

• Module log và cảnh báo: Tùy thuộc vào module phát hiện có nhận dạng
được xâm nhập hay khơng mà gói tin có thể bị ghi log hay đưa ra cảnh báo.
Các file log là các file dữ liệu có thể ghi dưới nhiều định dạng khác nhau
như tcpdump

18


• Module kết xuất thông tin: Module này thực hiện các thao tác khác nhau
tùy thuộc vào việc cấu hình lưu kết quả xuất ra như thế nào.
II.

Thực nghiệm chạy demo trên máy ảo:

1. Hệ thống demo:
• Hệ thống demo bao gồm: VMware 16, Window Server 2012 R2, Snort
2.9.11.1 + Rule cho Snort, WinPcap 4.1.3.
2. Cài đăt hệ thống:
2.1 Cài đặt máy ảo:
Bước 1: Tiến hành khởi động phần mềm Vmware Workstation
Bước 2: Ctrl + N để mở trình tạo máy ảo mới -> Typical (recommended) -> Next

Bước 3: Installer disc_imge file (iso) -> Browse đến nơi lưu file iso hệ điều hành ->Next
Bước 4: Nhập Windows product key và pass (có thể bỏ qua) -> Next
Bước 5: Đặt tên cho máy ảo và vị trí lưu trữ máy ảo
Bước 6: Phân vùng dung lượng ổ cứng cho máy ảo (để 40 GB là được) -> Next
Bước 7: Finish.
Bước 8: Bước vào trình cài đặt windows, ta làm tương tự như khi cài đặt win máy thật.
2.2 Cài đặt Snort trên Snort trên Windows Sever 2012
2.2.1: Cài đặt Snort
-

Link download: />
-

Download Snort_2_9_11_1_Installer.exe

-

Download snortrules-snapshot-29111.tar.gaz tại mục Rules của (Bắt
buộc phải đăng ký tài khoản)

-

Double click vào file Snort_2_9_11_1_Installer và tiến hành cài đặt Snort vào ổ C:\

19


Hình 5 Cài đặt Snort

2.2.2: Giải nén file snortrules-snapshot-29111.tar:

-

Sau đó copy toàn bộ thư mục giải nén được vào thư mục cài đặt snort (Mặc định
C:\Snort), chọn Yes to All để dán đè.

Hình 6 Sau khi đã copy tồn bộ thư mục giải nén vơ thư mục Snort

2.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file)
-

Trước tiên cần dùng lệnh ipconfig trong cmd để kiểm tra ip của máy ảo.

20


Hình 7 Kiểm tra IP máy ảo

-

IP của máy ảo là: 192.168.133.134
Mở file C:\Snort\etc\snort.conf bằng Notepad++ để tiến hành chỉnh sửa file cấu
hình từng bước như sau:
Sửa dịng: ipvar HOME_NET any thành ipvar HOME_NET 192.168.133.134/24

Hình 8 Chỉnh sửa file cấu hình

• Vị trí sửa:
- Sửa vị trí các thư mục rule (mặc định là c:\snort\) bằng cách:
Sửa 3 dòng : var RULE_PATH ../rules
var SO_RULE_PATH ../so_rules

21


var PREPROC_RULE_PATH ../preproc_rules
Thành :
var RULE_PATH c:\Snort\rules
var SO_RULE_PATH c:\Snort\so_rules
var PREPROC_RULE_PATH c:\Snort\preproc_rules

Hình 9 Chỉnh sửa file cấu hình

-

Sửa dịng:

include classification.config
include reference.config

Thành:
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config

Hình 10 Chỉnh sửa file cấu hình
22


-

Chèn Dynamicpreprocessor:
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll

dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_dnp3.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_gtp.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_imap.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_modbus.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_pop.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_reputation.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_sip.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicpreprocesscor c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dll

Hình 11 Chèn Dynamicpreprocessor

-

Thêm luật vào file config:
+ include $RULE_PATH/<name>.rules
+ include $RULE_PATH/white_list.rules
+ include $RULE_PATH/demo.rules

23


Hình 12 Thêm luật vào config

2.2.4: Mở cửa sổ Command Prompt (cmd):
- Gõ lệnh: cd C:\snort\bin

- Sau đó ta tiến hành kiểm tra card mạng bằng cách gõ lệnh Snort –W

Hình 13 Gõ lệnh trong CMD

-

Ở đây số hiệu card mạng là 1. Bây giờ chúng ta tiến hành sniffer packet dùng lệnh:
Snort –dev –i1

24


Hình 14 Chạy snortm

-

Trong quá trình chạy snort chúng ta tiến hành ping từ client sang server.

Hình 15 Lệnh Ping từ client sang server

-

Ta thấy Snort đã phát hiện và đưa ra cảnh báo có máy đang ping, máy đó có địa
chỉ ip là 192.168.133.1

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×