Đang tải... (xem toàn văn)
Xây dựng hệ thống Snort IDS- IPS trên CentOS. HỆ thống IDS-IPS là hệ thống phát hiện và phòng chống xâm nhập vào máy chủ. Đây là giải pháp mã nguồn mở, tiết kiệm chi phí cho doanh nghiệp.
Y BAN NHÂN DÂN THNH PH H CH MINH TRƯNG ĐI HC SI GN NGÔ VĂN CHƠN LÊ TH MNG VÂN XÂY DNG H THNG SNORT IDS – IPS TRÊN CENTOS KHA LUN TT NGHIP NGNH: CÔNG NGH THÔNG TIN TRNH Đ ĐO TO: ĐI HC NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG TP.H CH MINH, THNG 10 NĂM 2013 i Y BAN NHÂN DÂN THNH PH H CH MINH TRƯNG ĐI HC SI GN NGÔ VĂN CHƠN LÊ TH MNG VÂN XÂY DNG H THNG SNORT IDS – IPS TRÊN CENTOS KHA LUN TT NGHIP NGNH: CÔNG NGH THÔNG TIN TRNH Đ ĐO TO: ĐI HC NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG NGƯI PHN BIN: ThS. NGUYN MINH THI TP.H CH MINH, THNG 10 NĂM 2013 Lời cam đoan - ii - Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng LI CAM ĐOAN Tôi xin cam đoan đây l công trnh nghiên cu ca riêng tôi, cc s liu v kt qu nghiên cu nêu trong lun văn l trung thc, đưc cc đng tc gi cho php s dng v chưa tng đưc công b trong bt k mt công trnh no khc. Tc gi lun văn Ngô Văn Chơn Lê Th Mng Vân Lời cm ơn - iii - Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng LI CM ƠN Trong suốt thời gian học tp tại Đại Học Sài Gòn, chúng em đã nhn được rất nhiều sự quan tâm và tn tình chỉ bo của các thầy cô. Nhờ đó mà chúng em đã tiếp thu được không ít các kiến thức cùng kinh nghiệm quý bu trong lĩnh vực Công nghệ thông tin. Các kiến thức và kinh nghiệm này là một hành trang vững chắc cho chúng em trong học tp cũng như trong công việc sau này. Chúng em xin gửi lời cm ơn chân thành đến thầy PGS.TS Trần Công Hùng, mặc dù hết sức bn rộn nhưng thầy vẫn dành thời gian để truyền đạt cho chúng em những kiến thức bổ ích, chia sẻ những kinh nghiệm quý bu cũng như tn tình hướng dẫn chúng em trong quá trình thực hiện Lun văn tốt nghiệp để giúp chúng em hoàn thành bài Lun văn này. Chúng em xin chân thành gửi đến quý Thầy Cô lời cm ơn sâu sắc nhất. Kính chúc quý thầy cô dồi dào sức khỏe và đạt nhiều thành công trong công việc và cuộc sống. Trong quá trình thực hiện Lun văn này, dù đã cố hết sức nhưng không trnh khỏi thiếu sót. Vì thế, chúng em rất mong nhn được các ý kiến góp ý cũng như những chỉ bo để chúng em có thể hoàn thiện và phát triển đề tài này hơn nữa TP.H Chí Minh, ngy 10 thng 10 năm 2013 Nhóm sinh viên thực hiện Ngô Văn Chơn Lê Thị Mộng Vân Mục lục - 1- Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng MC LC TRANG PH BÌA .…………………………………………………………… i LI CAM ĐOAN ii LI CM ƠN iii DANH MC CÁC CM TỪ VIẾT TẮT 5 DANH MC CÁC BNG 7 DANH MC CÁC HÌNH VẼ 7 MỞ ĐU 8 CHƯƠNG I. TỔNG QUAN VỀ IDS 9 Giới thiệu về IDS. 9 Chức năng của IDS. 9 Các thành phần cơ bn của IDS. 10 Kiến trúc IDS. 10 Thành phần thu thp thông tin: 11 Thành phần phát hiện. 11 Thành phần phn ứng. 12 Phân loại IDS. 12 Network-Based IDS. 12 Host-Based IDS. 13 Distributed IDS. 14 Các loại IDS khác. 16 CHƯƠNG II. TỔNG QUAN VỀ IPS 17 Giới thiệu về IPS. 17 Kiến trúc IPS. 17 Module phân tch gói 17 Module pht hiện tấn công 17 Module phn ứng 19 Phân loại IPS 20 Mục lục - 2- Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Phân loại triển khai IPS 20 Promiscuous Mode IPS 20 In-line IPS. 21 Công nghệ ngăn chặn xâm nhp IPS. 22 Signature - Based IPS. 22 Anomaly-Based IPS. 22 Policy-Based IPS. 23 Protocol Analysis-Based IPS. 24 So snh IDS và IPS 24 CHƯƠNG III. FIREWALL 26 Các loại Firewall. 26 Firewall cứng 26 Firewall mềm 26 Chức năng của Firewall. 27 Nguyên lý hoạt động 27 Ưu điểm của Firewall 27 Nhược điểm của Firewall. 28 Sự khác nhau của Firewall và IDS. 28 CHƯƠNG IV. TM HIỂU VỀ SNORT 30 Giới thiệu về hệ thống Snort. 30 Kiến trúc của Snort: 31 Packet Decoder 32 Preprocessors 32 Detection Engine 34 Logging and Alerting System. 35 Output Modules. 35 Các chế độ hoạt động của Snort. 36 Sniffer mode. 36 Packet Logger mode. 38 Mục lục - 3- Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Network Intrusion Detection System (NIDS) mode. 38 Inline mode. 40 Snort Rules. 41 Giới thiệu. 41 Cấu trúc lut của Snort. 41 CHƯƠNG V. CI ĐẶT VÀ CẤU HÌNH SNORT 63 Cài đặt Snort. 63 5.1.1. Cài đặt cc thư viện cần thiết cho việc cài đặt Snort: 63 Cài đặt libdnet: 64 Cài đặt DAQ: 64 Cài đặt Snort: 65 Cài đặt barnyard2: 68 Cấu hình mysql: 68 Cài đặt adodb5: 69 Cài đặt BASE: 69 Tùy chỉnh cấu hình Snort: 70 Cấu hình Snort và các phần bổ sung: 71 Các biến trong Snort: 71 Cấu hình Preprocessor: 73 Cấu hình Output Modules. 80 Cài đặt và cấu hình Swatch 82 CHƯƠNG VI. XÂY DNG H THNG, KIỂM TRA HOT ĐNG CA SNORT IDS/IPS Thiết kế hệ thống. 84 Kiểm tra hoạt động của Snort IDS/IPS. 84 Sử dụng BASE qun lý cnh báo bằng giao diện. 84 Sử dụng Snort phát hiện tấn công ARP Spoofing. 85 Sử dụng Snort phát hiện scan port vào hệ thống. 86 Sử dụng Snort phát hiện và ngăn chặn các cuộc tấn công từ chối dịch vụ DoS. 87 Mục lục - 4- Ngô Văn Chơn - Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Snort hiển thị cnh bo bằng email 90 KẾT LUN 91 Kết qu đạt được 91 Hạn chế và hướng phát triển 91 TÀI LIU THAM KHO 93 PH LC 94 CÁC KỸ THUT XỬ LÝ TRONG IDS. 94 1. Hệ thống Expert (Expert systems). 94 2. Phát hiện xâm nhp dựa trên lut (Rule-Based Intrusion Detection) 94 3. Phân biệt ý định người dùng (User intention Identification). 94 4. Phân tích trạng thái phiên (State-Transition Analysis). 95 5. Phương php phân tch thống kê (Statistical Analysis Approach) 95 Danh mục từ viết tắt - 5- Ngô Văn Chơn-Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng DANH MC CÁC CM TỪ VIẾT TẮT API : Application Programming Interface ARP : Address Resolution Protocol ASCII : American Standard Code for Information Interchange BASE : Basic Analysis and Security Engine BSD : Berkeley Software Distribution CPU : Central Processing Unit DDoS : Distributed Denial of Service DIDS : Distributed IDS DMZ : Demilitarized Zone DNS : Domain Name System DoS : Denial of Service FDDI : Fiber Distributed Data Interface FTP : File Transfer Protocol HIDS : Host-Based IDS HIPS : Host-Based IPS HTTP : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IDS : Intrusion Detection System IP : Internet Protocol IPS : Intrusion Prevention System MTU : Maximum Transmission Unit NAT : Network Address Translation Danh mục từ viết tắt - 6- Ngô Văn Chơn-Lê Thị Mộng Vân Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng NBAS : Network Behavior Analysis System NetBIOS : Network Basic Input/Output System NIDS : Network-Based IDS NIPS : Network-Based IPS OSI : Open Systems Interconnection PPP : Point-to-Point Protocol RFC : Request for Comments RPC : Remote Procedure Call SLIP : Serial Line Internet Protocol SMB : Server Message Block SMS : Short Message Service SNMP : Simple Network Management Protocol SQL : Structured Query Language TCP : Transport Control Protocol TELNET : Terminal Network TTL : Time to Live UDP : User Datagram Protocol URL : Uniform Resource Locator VPN : Virtual Private Network WIDS : Wireless IDS XML : Extensible Markup Language [...]... do để nhóm chúng em thực hiện bài luận văn về Xây dựng hệ thống Snort IDS -IPS trên CentOS này Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương I Tổng quan về IDS - 9- Ngô Văn Chơn - Lê Thị Mộng Vân CHƯƠNG I TỔNG QUAN VỀ IDS Giới thiệu về IDS IDS (Intrusion Detection System: Hệ thống phát hiện xâm nhập) là hệ thống an ninh (có thể là phần mềm, phần cứng hoặc... như IPS vì không phải là hệ thống nội tuyến Tuy nhiên vấn đề chính của IDS là thường đưa ra báo động giả Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương II Tổng quan về IPS - 25 - Ngô Văn Chơn - Lê Thị Mộng Vân Hệ thống IPS phát hiện và ngăn chặn các cuộc tấn công, là giải pháp hoàn chỉnh ngăn chặn tấn công IPS có thể ngắt kết nối của kẻ tấn công vào hệ thống. .. 15 16 17 18 19 20 21 22 Tên Hình Vẽ Hình 1.1 Kiến trúc của hệ thống IDS Hình 1.2 Network-Based IDS Hình 1.3 Host-Based IDS Hình 1.4 Distributed IDS Hình 2.1 Hệ thống Promiscuous mode IPS Hình 2.2 Hệ thống In-line IPS Hình 2.3 Hệ thống Signature-Based IPS Hình 2.4 Hệ thống Anomaly-Based IPS Hình 2.5 Hệ thống Policy-Based IPS Hình 4.1 Kiến trúc Snort Hình 4.2 Quá trình giải mã gói tin Ethernet Hình 4.3... triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng Anomaly-Based IPS Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương II Tổng quan về IPS - 23 - Ngô Văn Chơn - Lê Thị Mộng Vân Hình 2.4 Hệ thống Anomaly-based IPS Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng và lưu... Firewall và IDS Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương IV Tìm hiểu về Snort - 30 - Ngô Văn Chơn - Lê Thị Mộng Vân CHƯƠNG IV TÌM HIỂU VỀ SNORT Giới thiệu về hệ thống Snort Snort là một phần mềm IDS mã nguồn mở, được phát triển từ năm 1998 bởi Martin Roesch, người sáng lập của Sourcefire Với tốc độ ấn tượng, sức mạnh cũng như hiệu năng mà Snort đã đạt được đà... Policy – based IPS Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương II Tổng quan về IPS - 24 - Ngô Văn Chơn - Lê Thị Mộng Vân Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưa chuộng để ngăn chặn Protocol Analysis-Based IPS Giải pháp... và IPS IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vị trí này, Promiscuous Mode IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành động nghi ngờ Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương II Tổng quan về IPS - 21 - Ngô Văn Chơn - Lê Thị Mộng Vân Hình 2.1 Hệ thống Promiscuous mode IPS. .. Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương I Tổng quan về IDS - 16- Ngô Văn Chơn - Lê Thị Mộng Vân Các loại IDS khác Ngoài ra còn có một số dạng khác của IDS: - Wireless IDS (WIDS) - Network Behavior Analysis System (NBAS) - Honeypot IDS Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương II Tổng quan về IPS - 17 - Ngô Văn Chơn... luồng dữ liệu ra vào hệ thống mạng được hiển thị trên màn hình điều khiển - Packet Logger mode: cho phép ghi các logs dữ liệu vào đĩa lưu trữ Đề tài: Xây dựng hệ thống Snort IDS -IPS trên CentOS GVHD: PGS.TS Trần Công Hùng Chương IV Tìm hiểu về Snort - - 31 - Ngô Văn Chơn - Lê Thị Mộng Vân Network Intrusion Detection System (NIDS) mode: là cơ chế được cấu hình phức tạp nhất, cho phép Snort phân tích các... nhiều máy - HIPS (Host-Based IPS) : các phần mềm quản lý trung tâm được cài đặt trên mỗi máy chủ lưu trữ Các máy chủ được bảo vệ và báo cáo với trung tâm quản lý giao diện điều khiển HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và bảo vệ HIPS không đòi hỏi phần cứng đặc biệt Phân loại triển khai IPS Promiscuous Mode IPS Hệ thống IPS đứng trên firewall Như vậy luồng dữ liệu vào hệ thống mạng sẽ