LỜI CẢM ƠN TRƯỜNG ĐẠI HỌC SPKT HƯNG YÊN CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA CƠNG NGHỆ THÔNG TIN Độc lập – Tự – Hạnh phúc ĐỀ TÀI ĐỒ ÁN Họ tên sinh viên: Quản Đức Thảo Trần Văn Phong Bùi Đăng Tân Ngành đào tạo: Công nghệ thông tin (NS:30/12/1989) (NS:) (NS:) Chun ngành: Mạng máy tính truyền thơng Khóa học: 2009 – 2013 Lớp: TK7.2 Lớp:TK7.2 Lớp:TK7.2 Tên đề tài: Tìm hiều triển khai hệ thống phát xâm nhập IDS cho trường ĐHSPKT Hưng Yên sở Mục tiêu đề tài: • Việc nghiên cứu giúp cho khả tự học ,tìm hiểu nghiên cứu độc lập sinh viên ngày tốt • Nghiên cứu, tìm hiểu hệ thống ngăn ngừa phát xâm nhập IDS • Có khả triển khai hệ thống phát xâm nhập IDS phù hợp với yêu cầu thực tế có điều kiện Nội dung cần hoàn thành: Phần thuyết minh: - Bản báo cáo viết kết thực nhiệm vụ đề tài Phần thực hành, cài đặt: - Cài đặt cấu hình phần mềm SNORT Sản phẩm - Xây dựng hệ thống phát xâm nhập cho trường ĐHSPKT Hưng Yên Thời gian thực hiện: Ngày giao: , ngày hoàn thành: Người hướng dẫn: Vi Hoài Nam Ký xác nhận:………………… Hưng Yên, ngày…….tháng… năm…… TRƯỞNG BỘ MÔN (Ký ghi rõ họ, tên) NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………… NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… …………… NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… …………… MỤC LỤC Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang PHẦN I: MỞ ĐẦU Lý chọn đề tài Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vơ quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an tồn cho thơng tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm sốt luồng thơng tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Trước nguy xâm nhập kẻ cơng nhằm tìm kiếm liệu mật cơng ty, doanh nghiệp,tổ chức, hay quốc gia hệ thống IDS(Intrusion Detection System ) đời để phát xâm nhập trái phép kẻ cơng thơng qua việc kiểm sốt lưu lượng giao thơng hệ thống mạng IDS kiểm tra thông báo hệ thống có bất thường trái với định nghĩa mà người dùng đặt cho hệ thống IDS thực việc ngăn chặn phát xâm nhập xảy Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hồn hảo, khơng có báo động giả làm giảm suất người dùng cuối khơng có từ chối sai tạo rủi ro mức bên môi trường Xuất phát từ sở khoa học sở thực tiễn trên, từ yêu cầu cấp thiết thực tế cần hệ thống mạng an toàn, tin cậy, bảo mật, chúng em xin thực đề tài :”Tìm hiều triển khai hệ thống phát xâm nhập – IDS cho trường ĐHSPKT Hưng Yên sở 2” Mục tiêu nghiên cứu đề tài Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang • Tìm hiểu nghiên cứu hệ thống phát xâm nhập – IDS • Triển khai hệ thống phát xâm nhập cho công ty, tổ chức, doanh nghiệp nhằm mục đích tăng độ tin cậy, bảo mật cho hệ thống mạng công ty, tổ chức, doanh nghiệp trước nguy xâm nhập kẻ cơng nhằm tìm kiếm liệu mật công ty, tổ chức, doanh nghiệp • Cung cấp giải pháp hồn chỉnh với kết hợp nhiều phần mềm khác như: Snort, Mysql, Barnyard2, BASE, Snortnotify… để xây dựng hệ thống phát xâm nhập hoạt động ổn định, tin cậy, không ảnh hưởng tới hoạt động liệu lưu thơng hệ thống mạng • Việc thực đề tài giúp cho sinh viên có khả tự học, tự nghiên cứu độc lập ngày tốt Đối tượng, khách thể nghiên cứu đề tài • Đối tượng nghiên cứu:  Khái niệm, chức năng, nguyên tắc hoạt động, kiến trúc hệ thống phát xâm nhập – IDS  Nghiên cứu ứng dụng Snort hệ thống phát xâm nhập IDS  Triển khai hệ thống phát xâm nhập – IDS cho công ty, tổ chức doanh nghiệp • Khách thể nghiên cứu:  Ứng dụng triển khai hệ thống phát xâm nhập hoàn chỉnh cho trường ĐHSPKT Hưng Yên sở  Mở rộng triển khai hệ thống mạng công ty, tổ chức, doanh nghiệp Xây dựng giả thuyết khoa học Trong đề tài chúng em tìm hiểu nghiên cứu hệ thống phát xâm nhập – IDS, xây dựng hệ thống phát xâm nhập hoàn chỉnh việc sử dụng phần mềm như: Snort, Mysql, Barnyard2, BASE, Snortnotify…Sau chúng em giả lập xâm nhập, công vào hệ thống mạng nhiều phương pháp khác để kiểm tra khả phát xâm nhập công hệ thống phát xâm nhập Qua đánh giá, kiểm tra khả phát xâm nhập, cách thức hoạt động, ổn đinh hệ thống Chỉ cần thiết hệ thống Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang phát xâm nhập hệ thống mạng nhằm đảm bảo an toàn, tin cậy, bảo mật liệu lưu thông hệ thống mạng công ty, tổ chức, doanh nghiệp Nhiệm vụ nghiên cứu đề tài • Xây dựng sở lý thuyết tổng quan hệ thống phát xâm nhập • Nghiên cứu ứng dụng phần mềm Snort vào hệ thống phát xâm nhập – IDS • Khảo sát thực trạng, phân tích hệ thống mạng trường ĐHSPKT Hưng Yên sở qua xây dựng hệ thống phát xâm nhập – IDS cho hệ thống mạng nhà trường • Đề xuất giải pháp ứng dụng hệ thống phát xâm nhập nhằm mục đích tăng cường tính bảo mật, độ tin cây, an tồn, ổn định cho hệ thống mạng công ty, tổ chức, doanh nghiệp Giới hạn đề tài • Thời gian thực hiện: 10 tuần • Nơi triển khai đề tài: trường ĐHSPKT Hưng Yên sở • Nghiên cứu, tìm hiểu, triển khai hệ thống phát xâm nhập – IDS Phương pháp nghiên cứu Để thực đề tài chúng em sử dụng phương pháp nghiên cứu lý thuyết để nghiên cứu tài liệu tác giả, chuyên gia lĩnh vực bảo mật qua tìm hiểu khái niệm, chức năng, nguyên lý hoạt động, kiến trúc hệ thống phát xâm nhập – IDS Bên cạnh để tăng tính thuyết phục đề tài chúng em sử dụng phương pháp giả lập để xây dựng hệ thống phát xâm nhập xâm nhập, công vào hệ thống mạng để kiếm tra,đánh giả khả hoạt động độ tin cậy hệ thống phát xâm nhập Trong trình thực đề tài chúng em có tham khảo ý kiến thầy, cô bạn khoa công nghệ thơng tin để đề tài hồn thiện Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang PHẦN II: NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP – IDS 1.1 NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT 1.1.1 Mối đe dọa khơng có cấu trúc ( Untructured threat) Cơng cụ hack script có nhiều Internet, tị mị tải chúng sử dụng thử mạng nội mạng xa Cũng có người thích thú với việc xâm nhập vào máy tính hành động vượt khỏi tầm bảo vệ Hầu hết cơng khơng có cấu trúc gây Script Kiddies (những kẻ công sử dụng công cụ cung cấp, có khả lập trình) hay người có trình độ vừa phải Hầu hết cơng sở thích cá nhân, có nhiều cơng có ý đồ xấu Những trường hợp có ảnh hưởng xấu đến hệ thống hình ảnh cơng ty Mặc dù tính chun môn công dạng không cao phá hoại hoạt động công ty mối nguy hại lớn Đôi cần chạy đoạn mã phá hủy chức mạng công ty Một Script Kiddies khơng nhận sử dụng đoạn mã công vào tất host hệ thống với mục đích truy nhập vào mạng, kẻ cơng tình cờ gây hỏng hóc cho vùng rộng hệ thống Hay trường hợp khác, có ý định thử nghiệm khả năng, cho dù khơng có mục đích xấu gây hại nghiêm trọng cho hệ thống 1.1.2 Mối đe dọa có cấu trúc ( Structured threat) Structured threat hành động cố ý, có động kỹ thuật cao Khơng Script Kiddes, kẻ cơng có đủ kỹ để hiểu cơng cụ, chỉnh sửa công cụ tạo công cụ Những kẻ công hoạt động độc lập theo nhóm, họ hiểu, phát triển sử dụng kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu Động cơng có nhiều Một số yếu tố thường thấy tiền, hoạt động trị, tức giận hay báo thù Các tổ chức tội phạm, đối thủ cạnh tranh hay tổ chức sắc tộc thuê chuyên gia để thực công dạng structured threat Các cơng thường có mục đích từ trước, để lấy mã nguồn đối thủ cạnh tranh Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 44 lúc chưa có cảnh báo ta chưa khởi chạy snort giả sử ta tạo rules với dấu hiệu sau: sau include vào file /etc/snort/snort.conf khởi chạy snort: # snort -c /etc/snort_inline/snort_inline.conf -Q từ máy khác ping đến với địa máy ping 192.168.1.121 địa máy IDS 192.168.1.111 ta có kết sau Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 45 snort IDS hoạt động tốt, ta thử rules sau cho trường hợp phát nmap scan cổng sau include scan.rules vào file /etc/snort_inline/snort_inline.conf Khởi động lại snort_inline từ máy công bật nmap scan cổng ta nhận kết snort thể hiên IPS vào mày snort xem kết Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 46 Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS CHƯƠNG 3: Trang 47 TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP – IDS CHO TRƯỜNG ĐHSPKT HƯNG YÊN 3.1 GIỚI THIỆU TỔNG QUAN TRƯỜNG ĐHSPKT HƯNG YÊN CƠ SỞ 3.1.1 Sơ lược trường ĐHSPKT Hưng Yên sở • Cơ sở - Trường Đại học Sư phạm Kỹ thuật Hưng Yên thành lập theo Quyết định số 492/QĐ-ĐHSPKTHY ngày 22 tháng năm 2009 Hiệu trưởng (có hiệu lực thực từ tháng 6/2008) đơn vị trực thuộc Trường ĐHSPKT Hưng Yên • Mọi hoạt động Cơ sở tuân thủ theo quy định hành trư¬ờng tổ chức, đào tạo, tài chính, hành quản trị quản lý sinh viên; chịu quản lý Ban Giám hiệu thông qua Phòng, Ban chức 3.1.2 Tổng quan hệ thống mạng trường ĐHSPKT Hưng Yên sở 3.1.2.1 Sơ đồ logic Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 48 Cấu trúc hệ thống mạng thiết kế theo mơ hình kiến trúc mạng lớp bao gồm: • Lớp mạng trục xương sống (Core Network) • Lớp mạng phân bố (Distribution Network) • Lớp mạng truy cập (Access Network) Theo cấu trúc việc phân bố thiết bị chuyển mạch đa lớp phân lớp mạng khác bao gồm thiết bị chuyển mạch lớp lớp truy cập mạng, thiết bị chuyển mạch lớp lớp trục phân bố, cung cấp khả hoạt động cao độ tin cậy việc cung cấp dịch vụ mạng • Các chức chuyển mạch lớp – cung cấp khả xử lý định tuyến lớp cho ứng dụng dịch vụ mạng, cung cấp tính tối ưu an ninh liệu, điều khiển luồng thông tin diện rộng (broadcast), khả phân cấp sách chất lượng dịch vụ mạng đến người dùng (QoS)… • Các chức chuyển mạch lớp – cung cấp chức truyền tải liệu tốc độ cao hệ thống thiết bị chuyển mạch lớp • Kết nối với băng thông cao: Khả cung cấp độ sẵn sàng băng thông cao đường truyền vật lý liên kết thiết bị Switch, Router Servers • Phân chia VLAN: Việc tạo nên hệ thống mạng LAN ảo cho phép việc phân vùng logic nhóm thiết bị đầu cuối mạng nhằm đảm bảo an ninh liệu phân bố chức hoạt động 3.1.2.2 Sơ đồ vật lý − − − − − Chiều dài 120m Chiều rộng 55m Hành lang rộng 3m Tịa nhà có tầng sử dụng để triển khai hệ thống mạng Hệ thống phòng học tòa nhà ĐH chia làm: phòng học lý thuyết, phòng thực hành, văn phòng khoa mơn, phịng hành − Hệ thống máy chủ đặt phịng ĐH303 sau từ để triển khai tầng khác Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 49 Sơ đồ vật lý tổng quan tầng Sơ đồ vật lý tổng quan tầng Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 50 Sơ đồ vật lý tổng quan tầng Sơ đồ vật lý tổng quan tầng Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 51 3.2 PHÂN TÍCH CÁC YÊU CẦU KHÁCH HÀNG LỰA CHỌN PHẦN MỀM SNORT 3.2.1 Yêu cầu khách hàng 3.2.1.1 Yêu cầu thứ Hệ thống mạng trường ĐHSPKT Hưng Yên gồm có PC Server( Web server, DNS) cần bảo vệ Mặc dù hệ thống mạng nhà trường có triển khai firewall để bảo vệ hệ thống mạng, để đảm bảo an toàn cho server PC nhà trường cần có hệ thống phát xâm nhập để phát sớm xâm nhập tiềm tàng Những xâm nhập, cơng hệ thống firewall không phát không đưa biện pháp cảnh báo kịp thời để người quản trị hệ thống có giải pháp phịng chống ngăn chặn xâm nhập cơng từ bên ngồi Nhà trường cần có hệ thống phát xâm nhập đáp ứng yêu cầu sau: • Phát sớm xâm nhập để chuẩn bị cho công quét mạng, thăm dị hệ thống… • Phát công vào web server nhà trường DDOS, SQL injection… • Đưa cảnh báo để người quản trị có biện pháp phịng chống ngăn chặn kịp thời • Mặt khác việc triển khai hệ thống phát xâm nhập không làm ảnh hưởng tới hiệu hoạt động server PC hệ thống mạng 3.2.1.2 Yêu cầu thứ hai Ngoài người quản trị hệ thống mạng nhà trường khơng phải lúc thường trực phịng quản trị hệ thống mạng giám sát hệ thống Để giảm bớt công việc người quản trị tạo điều kiện thuận lợi cho người quản trị giám sát xâm nhập vào hệ thống lúc, nơi Nhà trường yêu cầu hệ thống phát xâm nhập phải phát xâm nhập tiềm tàng đưa biện pháp cảnh bảo sớm tới người quản trị thông qua e-mail SMS qua điện thoại di động Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 52 3.2.2 Các giải pháp để đáp ứng yêu cầu khách hàng 3.2.2.1 Giải pháp thứ Để bảo vệ hệ thống mạng cho nhà trường đặc biệt Server, đảm bảo cho Server hoạt động ổn định, an tồn, có biện pháp phát xâm nhập, công từ hacker chúng em đưa giải pháp triển khai hệ thống phát xâm nhập – IDS với phần mềm Snort Hệ thống phát xâm nhập mà chúng em triển khai có tính sau: • Phần mềm Snort phát sớm xâm nhập để chuẩn bị cho công quét mạng, thăm dò hệ thống… dựa luật Snort việc phân tích gói tin phát dấu hiệu dị thường gói tin • Snort phát công vào web server nhà trường DDOS, SQL injection….bằng việc dựa vào luật Snort Các gói tin để thực công DDOS, Sql injection vi phạm luậ Snort đưa • Snort kết hợp với BASE đưa cảnh báo kịp thời giao diện quản trị Snort trực quan, thuận tiện giảm bớt cơng việc người quản trị • Snort lưu lại file log vào sở liệu để người quản trị phân tích file để đưa luật cho snort đưa biện pháp bảo vệ hệ thống, nâng cao an toàn cho hệ thống • Snort bắt gói tin phân tích gói tin khơng bỏ gói tin không làm ảnh hưởng tới hoạt động Server PC hệ thống mạng 3.2.2.2 Giải pháp thứ hai Để giảm bớt công việc người quản trị tạo điều kiện thuận lợi cho người quản trị giám sát xâm nhập vào hệ thống lúc, nơi Hệ thống phát xâm nhập chúng em triển khai với phần mẻm Snort Snortnotify đưa cảnh bảo dạng e-mail SMS qua điện thoại di động Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 53 3.3 MƠ HÌNH TRIỂN KHAI PHẦN MỀM CHO HỆ THỐNG MẠNG CỦA TRƯỜNG ĐHSPKT HƯNG YÊN 3.4 CÀI ĐẶT VÀ CẤU HÌNH PHẦN MỀM SNORT 3.4.1 Các cơng cụ cần thiết để cài đặt 3.4.1.1 Sử dụng Snort với MySQL MySQL sở liệu (CSDL) phổ biến ngày Snort làm việc với MySQL, Oracle hay sở liệu khác tương thích ODBC (Open Database Connectivity) Trong chương trước, biết output pluggin kết xuất thông tin lưu log alert vào sở liệu Việc ghi vào CSDL giúp ta giám sát liệu mang tính lịch sử để xem lại sau này, xuất báo cáo phân tích thơng tin Bằng cách sử dụng cơng cụ khác BASE (sẽ phân tích phần sau), bạn lấy nhiều thơng tin hữu ích từ CSDL Chẳng hạn ta lấy báo cáo 15 loại công sau cùng, thông tin máy công vào mạng, loại công phân tán giao thức khác nhau, v.v MySQL CSDL hồn tồn miễn phí làm việc tốt hệ thống Linux Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 54 hệ thống khác Ta cài đặt chạy MySQL máy chạy Snort hai máy khác Sau bước giúp Snort làm việc với MySQL: • Biên dịch Snort có hỗ trợ MySQL cài đặt Phải đảm bảo Snort làm việc cách thử tạo vài cảnh báo Để Snort làm việc với MySQL, yêu cầu cần phải thêm vào dịng with-mysql đoạn script cấu hình Snort • Cài đặt MySQL sử dụng MySQL client để kiểm tra CSDL có • Tạo sở liệu MYSQL Server cho Snort Tôi đặt tên sở liệu “snort”, nhiên đặt tên khác tùy ý thích • Tạo tài khoản mật (Username Password) CSDL Tài khoản Snort sử dụng ghi liệu vào CSDL • Chỉnh file cấu hình snort.conf phép ghi liệu vào CSDL Dùng username password • Khởi động lại Snort Nếu việc thực tốt Snort bắt đầu ghi liệu vào CSDL • Xuất vài cảnh báo xem chương trình mysql client xem Snort ghi Giả định sau cấu hình CSDL tạo bảng tài khoản, ta cần soạn thảo file snort.conf Những dòng sau cho phép ghi thông điệp log vào CSDL MySQL: Output database: log, mysql, user=root password=123456 dbname=snort host=localost Ý nghĩa dòng là: tên CSDL snort MySQL server chạy localhost Tài khoản sử dụng CSDL root, mật 123456 Nếu tài khoản khơng có mật khẩu, ta bỏ dòng: password=123456 Theo trên, CSDL chạy máy với Snort Nếu bạn có máy chủ CSDL riêng, bạn định tên máy chủ tập tin snort.conf Ví dụ, máy chủ CSDL khơng nằm máy có Snort chạy, sử dụng dòng lệnh sau: output database: log, mysql, user=root password=123456 dbname=snort host=192.168.1.222 Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 55 Máy chủ CSDL MySQL chạy máy 192.168.1.222 Tuy nhiên Snort sensor MySQL phải cài đặt nằm mạng với Máy chủ CSDL phải chạy trước khởi động Snort sensor Sau khởi động Snort sensor, bạn thấy thơng tin sau, điều chứng tỏSnort làm việc với MySQL khởi động Snort làm việc với MySQL 3.4.1.2 Sử dụng Snort với Barnyard2 Barnyard2 đươc viết nhằm mục đích đảm nhận tác vụ xử lý xuất để Snort dành nhiều tài nguyên cho việc xử lý gói tin Nó phụ trách phân tích xử lý log/alert unified2 Snort gửi chúng tới sở liệu Barnyard2 chạy độc lập với Snort, khơng cần phải phân tích xử lý log/alert thời gian thực, có nghĩa lúc Snort tạo chúng Barnyard2 cần theo dõi có log/alert thời gian định Phiên Barnyard2-1.8 có tính sau: • Phân tích gói tin unified2 • Sử dụng cú pháp cấu hình tương tự Snort để đơn giản hóa việc triển khai • Hỗ trợ tất plugin đầu Snort( trừ alert_sf_socke) Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 56 3.4.1.3 Sử dụng Snort với B.A.S.E Basic Analysis and Security Engine (BASE) cơng cụ phân tích kiểm duyệt liệu BASE dựa đoạn mã viết ngôn ngữ PHP, cung cấp giao diện trình suyệt Web (Web Browser) sở liệu Snort (như MySQL) BASE cung cấp tính sau: • Một giao diện (interface) dùng tìm kiếm sở liệu xây dụng bảng truy vấn Việc tìm kiếm thực tham số chẳng hạn địa IP attacker hay kiện thời gian, ngày tháng hay luật “ bẫy ” • Một trình duyệt gói tin, gói tin bắt giải mã thông tin lớp 3, thị cụ thể • Khả quản lý liệu bao gồm nhóm cảnh báo (nhóm kiện liên quan tới xâm nhập ), xóa cảnh báo hay kết xuất thông điệp đến hộp thư điện tử (e-mail) • Minh họa bẳng đồ thị trạng thái • BASE hồn tồn miễn phí BASE đơn giản giao diện Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 57 Giao diện BASE 3.4.1.4 Sử dụng Snort với Swatch Swatch công cụ tự động giám sát tập tin log Nó giúp ích việc gởi E-mail tình trang khẩn cấp Sử dụng Swatch sau ta tạo tập tin cấu hình đơn giản có tên /swatchrc: Tập tin cấu hình Swatch Giả sử tập tin /swatchrc nằm thư mục /root swatch cài đặt thư mục /usr/local/bin Thực dòng lệnh sau để khởi động swatch: /usr/local/bin/swatch –c /root/.swatchrc –t /var/log/snort/canhbao.txt Lựa chọn –c định vị trí tập tin cấu hình Swatch –t nói lên Swatch “nhìn” vào tập tin log mà giám sát Khi kiện bắt từ Snort, thông tin ghi vào tập tin canhbao.txt Swatch gửi thông điệp e-mail tương ứng tập tin cấu hình Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 58 3.4.2 Các bước cài đặt 3.4.3 Kết đạt PHẦN III: KẾT LUẬN Khoa CNTT Nhóm ... – IDS cho trường ĐHSPKT Hưng Yên sở 2? ?? Mục tiêu nghiên cứu đề tài Khoa CNTT Nhóm Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang • Tìm hiểu nghiên cứu hệ thống phát xâm nhập – IDS • Triển. .. nguyên tắc hoạt động, kiến trúc hệ thống phát xâm nhập – IDS  Nghiên cứu ứng dụng Snort hệ thống phát xâm nhập IDS  Triển khai hệ thống phát xâm nhập – IDS cho cơng ty, tổ chức doanh nghiệp •... Tìm hiểu triển khai hệ thống phát xâm nhập - IDS Trang 21 Hình 4: HIDS 1.9 CƠNG CỤ HỖ TRỢ IDS Có số công cụ hỗ trợ cho hệ thống xâm nhập IDS, phần đề cập đến bốn cơng cụ hỗ trợ đó: hệ thống phân