HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - TRẦN TUẤN ANH TRẦN TUẤN ANH HỆ THỐNG THÔNG TIN NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT LUẬN VĂN THẠC SĨ KỸ THUẬT 2012 – 2013 HÀ NỘI 2014 HÀ NỘI - 2014 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - TRẦN TUẤN ANH NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC TS HOÀNG XUÂN DẬU HÀ NỘI - 2014 i LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng hướng dẫn TS Hoàng Xuân Dậu, kết đạt luận văn sản phẩm riêng cá nhân, không chép lại người khác Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Hà Nội, tháng 11 năm 2013 Tác giả luận văn Trần Tuấn Anh MỤC LỤC LỜI CAM ĐOAN MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH SÁCH HÌNH VẼ vi DANH SÁCH CÁC BẢNG vi MỞ ĐẦU CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 1.1 Khái niệm công đột nhập mạng 1.2 Các dạng công 1.2.1 Tấn công mã độc 1.2.2 Tấn công vào mật 1.2.3 Tấn công từ chối dịch vụ 1.2.4 Tấn công giả mạo địa chỉ, nghe trộm 1.2.5 Tấn công kiểu phát lại người đứng 1.2.6 Tấn công bom thư thư rác 1.2.7 Tấn công sử dụng cổng hậu 1.2.8 Tấn công kiểu Social Engineering 1.2.9 Tấn công Pharming 1.3 Các phương pháp phát công đột nhập mạng 1.3.1 Phát công đột nhập dựa dấu hiệu 1.3.2 Phương pháp phát dựa bất thường 1.3.3 Phương pháp phát dựa phân tích trạng thái giao thức 1.4 Các hệ thống phát công đột nhập mạng 1.4.1 Khái niệm hệ thống phát xâm nhập 1.4.2 Chức IDS 1.4.3 Phân loại IDS 1.4.4 Giới thiệu số hệ thống IDS 13 1.5 Kết chương 15 CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG 17 2.1 Kiến trúc hệ thống phát đột nhập mạng 17 2.1.1 Thành phần thu thập gói tin (Information collection) 17 iii 2.1.2 Thành phần phân tích gói tin (Detection) 17 2.1.3 Thành phần phản hồi (Response) 18 2.2 Các kỹ thuật thu thập liệu 18 2.2.1 Giới thiệu chung thu thập liệu 18 2.2.2 Thu thập liệu cho HIDS 18 2.2.3 Thu thập liệu cho NIDS 20 2.2.4 Thu thập liệu dựa ứng dụng 22 2.2.5 Thu thập liệu cho IDS tích hợp với ứng dụng 22 2.2.6 Thu thập liệu lai 23 2.3 Tiền xử lý liệu 23 2.4 Các kỹ thuật phát đột nhập mạng 24 2.4.1 Các kỹ thuật dựa phương pháp phát lạm dụng 24 2.4.2 Các kỹ thuật dựa phương pháp phát bất thường 27 2.4.3 Kỹ thuật phát dựa đặc trưng 30 2.4.4 Kỹ thuật phát lai 31 2.5 Kết chương 31 CHƯƠNG 3: XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT 32 3.1 Giới thiệu hệ thống phát xâm nhập mạng Snort 32 3.1.1 Giới thiệu chung Snort 32 3.1.2 Kiến trúc chế hoạt động Snort 32 3.1.3 Bộ luật Snort 37 3.2 Xây dựng mô hình phát xâm nhập Snort cho công ty PAMA 48 3.2.1 Yêu cầu hệ thống 48 3.2.2 Giải pháp đề xuất cho hệ thống phát xâm nhập 48 3.2.3 Mô hình hệ thống 49 3.2.4 Các công cụ sử dụng hệ thống Snort 51 3.3 Thử nghiệm số kịch phát xâm nhập 54 3.3.1 Mô hình thử nghiệm 54 3.3.2 Kịch 55 3.3.3 Kịch 56 3.4 Kết chương 59 KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 iv DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt IDS Intrusion Detection System Hệ thống phát xâm nhập NIDS Network Intrusion Detection System Hệ thống phát xâm nhập cho mạng HIDS Host Intrusion Detection System Hệ thống phát xâm nhập cho máy trạm SMTP Simple Network Management Protocol Giao thức quản lý mạng đơn giản DNS Domain Name System Hệ thống tên miền FPT File Transfer Protocol Giao thức truyền tải file IP Internet Protocol Giao thức mạng Internet Transmission Control Protocol/ TCP/IP Internet Protocol Bộ giao thức Internet TCP/IP ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển Internet UDP User Datagram Protocol Giao thức gói liệu người dùng MIB Management Information Base Thông tin quản lý sở MIDAS Multics Intrusion Detection and Alerting System Hệ thống đa phát xâm nhập cảnh báo IDES Intrusion Detection Expert System Hệ chuyên gia phát xâm nhập Autonomous Agents For Intrusion AAFID Detection Next-Generation Intrusion Detection NIDES FDDI Tác nhân tự trị phát xâm nhập Expert System Hệ chuyên gia phát xâm nhập hệ Fiber Distributed Data Interface Giao diện phân tán liệu quang v HDLC High-Level Data Link Control Giao thức điều khiển liên kết liệu SLIP Serial Line Internet Protocol Giao thức Internet qua đường moderm PPP Point to Point Protocol Giao thức điểm điểm PF Packet Filter RB Reserved Bit DF Don’t Fragment Bit MF More Fragments Bit MTU Maximum Transmission Unit TTL Time To Live Lọc gói tin Bít dự phòng Bit không bị phân mảnh Bít bị phân mảnh Đơn vị truyền tối đa Thời gian sống vi DANH SÁCH HÌNH VẼ Hình 1.1: Mô hình chức IDS Hình 1.2: Các HIDS hệ thống mạng 12 Hình 1.3: Các NIDS hệ thống mạng 13 Hình 1.5: Các bước xử lý Cisco IDS 14 Hình 2.1: Kiến trúc IDS 17 Hình 2.2: Một mô hình phát lạm dụng điển hình 24 Hình 2.3:Mô hình phát bất thường 27 Hình 3.1: Kiến trúc Snort 33 Hình 3.2: Giải mã gói tin Ethernet 34 Hình 3.3: Cấu trúc luật Snort 38 Hình 3.4: Header luật Snort 38 Hình 3.5: Mô hình hệ thống phát xâm nhập Snort công ty PAMA 49 Hình 3.6: Khởi động Snort làm việc với MySQL 53 Hình 3.7: Mô hình thử nghiệm 54 Hình 3.8: Cảnh báo ScanPort Base 55 Hình 3.9: Chi tiết cảnh báo ScanPort 56 Hình 3.10: Mail gửi cảnh báo ScanPort 56 Hình 3.11: Cảnh báo Alert từ Snort thông qua BASE 57 Hình 3.12: Cảnh báo có công UDP FLOOD 57 Hình 3.13: Chi tiết cảnh báo UDP FLOOD 58 Hình 3.14: Các cảnh báo gửi email 58 Hình 3.15: Cảnh báo UDP FLOOD gửi email 59 DANH SÁCH CÁC BẢNG Bảng 3.2: Các cờ sử dụng với từ khoá Flags 46 MỞ ĐẦU Hiện với phát triển mạnh mẽ mạng internet, đảm bảo an toàn thông tin trở thành yêu cầu quan trọng, thiết yếu lĩnh vực phát triển công nghệ thông tin hoạt động kinh tế xã hội Để đảm bảo an toàn cho thông tin, hệ thống mạng, phát đột nhập mạng khâu quan trọng lớp giải pháp Khác với phát đột nhập cho host, phát đột nhập mạng thường sử dụng nguồn thông tin từ mạng, chẳng hạn chặn bắt gói tin truyền qua nút mạng, định tuyến cầu nối Do lưu lượng mạng thường lớn tính phức tạp dạng công, đột nhập nên hệ thống phát đột nhập mạng gặp nhiều thách thức Đề tài luận văn "Nghiên cứu kỹ thuật phát đột nhập mạng xây dựng mô hình ứng dụng dựa Snort" tập trung nghiên cứu các kỹ thuật phát đột nhập mạng xây dựng mô hình ứng dụng phát đột nhập cho hệ thống mạng công ty PAMA dựa hệ thống Snort Snort hệ thống phát ngăn chặn đột nhập mạng mã mở sử dụng rộng rãi Do Snort cung cấp theo dạng mã mở nên người sử dụng tự sửa đổi cải tiến theo yêu cầu Ngoài ra, Snort hoàn toàn miễn phí nên tiết kiệm chi phí triển khai ban đầu Luận văn gồm chương với nội dung sau: Chương – Tổng quan phát đột nhập mạng giới thiệu khái quát công đột nhập mạng, phương pháp phát công đột nhập mạng hệ thống phát đột nhập mạng Chương – Kiến trúc hệ thống kỹ thuật phát đột nhập mạng trình bày kiến trúc hệ thống phát đột nhập mạng, kỹ thuật thu thập liệu kỹ thuật phát đột nhập mạng Chương – Xây dựng mô hình ứng dụng dựa Snort giới thiệu hệ thống phát xâm nhập mạng Snort, phân tích yêu cầu xây dựng hệ thống từ đó xuất mô hình hệ thống phát xâm nhập mạng dựa Snort cho công ty Pama Luận văn tiến hành cài mô hình phát xâm nhập Snort xây dựng thử nghiệm số kịch phát công sử dụng Snort CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 1.1 Khái niệm công đột nhập mạng Tấn công, đột nhập mạng hành vi công xâm nhập vào mạng để truy cập trái phép vào thông tin hệ thống, lạm dụng tài nguyên mạng Việc lạm dụng dẫn đến hậu khiến cho tài nguyên mạng trở nên không đáng tin cậy không sử dụng Hầu hết công xâm nhập mạng máy tính vượt qua lớp bảo mật hệ thống theo phương thức cụ thể nhằm phá vỡ thuộc tính bảo mật thông tin hệ thống Ví dụ số công nhằm đọc, đánh cắp thông tin không thay đổi thành phần hệ thống; Một số công lại tắt làm ngừng hoạt động thành phần hệ thống; Hoặc công khác lại có khả chiếm toàn quyền điều khiển phá huỷ hệ thống Chung quy lại chúng thường gây nên tổn thương đến thuộc tính bảo mật thông tin hệ thống: tính bí mật, tính toàn vẹn tính khả dụng 1.2 Các dạng công 1.2.1 Tấn công mã độc Tấn công mã độc gồm số định dạng lợi dụng lỗ hổng lập trình, lỗ hổng cấu hình hệ thống để chèn thực mã độc hệ thống nạn nhân lừa người sử dụng tải, cài đặt thực phần mềm độc hạị phần mềm Spyware, Virus Trojan Mã độc tập mã thực thi tự chủ không đòi hỏi can thiệp Hacker Khi thực hiện, mã độc giúp tin tặc đánh cắp thông tin nhạy cảm, truy nhập trái phép vào tài nguyên hệ thống, làm hệ thống hỏng hóc ngừng hoạt động 1.2.2 Tấn công vào mật Các hacker công vào mật (password) số phương pháp như: công brute-force, sử dụng chương trình Trojan Horse, IP spoofing, packet sniffer Tấn công brute-force thực cách dùng chương trình chạy mạng, cố gắng login vào phần share server băng phương pháp “thử sai” password 47 No Flag set Ta sử dụng dấu +, * ! để thực phép toán logic AND, OR NOT bit cờ muốn kiểm tra Ví dụ luật sau phát hành động quét dùng gói tin TCP SYN-FIN: alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) f) Từ khoá fragbits Phần IP header gói tin chứa bit dùng để chống phân mảnh tổng hợp gói tin IP Các bit là:  Reserved Bit (RB) dùng để dành cho tương lai  Don’t Fragment Bit (DF): bit thiết lập tức gói tin không bị phân mảnh  More Fragments Bit (MF): thiết lập tức phần khác (gói tin bị phân mảnh) gói tin đường mà chưa tới đích Nếu bit không thiết lập có nghĩa là phần cuối gói tin (hoặc gói nhất) Điều xuất phát từ nguyên nhân: Nơi gửi phải chia gói tin IP thành nhiều đoạn nhỏ phụ thuộc vào Đơn vị truyền liệu lớn cho phép (Maximum Transfer Units - MTU) đường truyền Kích thước gói tin không phép vượt kích thước lớn Do vậy, bit MF giúp bên đích tổng hợp lại phần khác thành gói tin hoàn chỉnh Đôi bit bị hacker sử dụng để công khai thác thông tin mạng ta Ví dụ, bit DF dùng để tìm MTU lớn nhỏ đường từ nguồn xuất phát đến đích đến Sử dụng fragbits, ta kiểm tra xem bit có thiết lập hay không Ví dụ luật sau phát xem bit DF gói tin ICMP có bật hay không: alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) Trong luật này, D dùng cho bit DF, R cho bit dự trữ M cho bit MF Ta dùng dấu phủ định ! luật để kiểm tra bit không bật: 48 alert icmp any any -> 192.168.1.0/24 any (fragbits: !D; msg: “Dont Fragment bit not set”;) 3.2 Xây dựng mô hình phát xâm nhập Snort cho công ty PAMA 3.2.1 Yêu cầu hệ thống Hệ thống mạng công ty PAMA gồm có PC Server (Web server, DNS) cần bảo vệ Mặc dù hệ thống mạng công ty có triển khai firewall để bảo vệ hệ thống mạng, để đảm bảo an toàn cho server PC công ty cần có hệ thống phát xâm nhập để phát sớm xâm nhập tiềm tàng Những xâm nhập, công hệ thống firewall không phát không đưa biện pháp cảnh báo kịp thời để người quản trị hệ thống có giải pháp phòng chống ngăn chặn xâm nhập công từ bên Công ty cần có hệ thống phát xâm nhập đáp ứng yêu cầu sau:  Phát sớm xâm nhập để chuẩn bị cho công quét mạng, thăm dò hệ thống…  Phát công vào web server nhà trường DDOS, SQL injection…  Đưa cảnh báo để người quản trị có biện pháp phòng chống ngăn chặn kịp thời  Mặt khác việc triển khai hệ thống phát xâm nhập không làm ảnh hưởng tới hiệu hoạt động server PC hệ thống mạng Ngoài ra, người quản trị hệ thống mạng công ty thường trực phòng quản trị hệ thống mạng giám sát hệ thống 24/24 hàng ngày, nên NIDS cần thiết để giảm bớt công việc người quản trị tạo điều kiện thuận lợi cho người quản trị giám sát xâm nhập vào hệ thống lúc, nơi Yêu cầu hệ thống phát xâm nhập phải phát xâm nhập tiềm tàng đưa biện pháp cảnh bảo sớm tới người quản trị thông qua e-mail 3.2.2 Giải pháp đề xuất cho hệ thống phát xâm nhập Để bảo vệ hệ thống mạng cho công ty đặc biệt Server, đảm bảo cho Server hoạt động ổn định, an toàn, có biện pháp phát 49 xâm nhập, công từ hacker luận văn đưa giải pháp triển khai hệ thống phát xâm nhập – IDS với phần mềm Snort Snort có tính ưu việt sau:  Snort phát sớm hành vi xâm nhập để chuẩn bị cho công quét mạng, thăm dò hệ thống… dựa luật Snort việc phân tích gói tin phát dấu hiệu dị thường gói tin  Snort phát công vào web server công ty DDoS, SQL injection….bằng việc dựa vào luật Snort Các gói tin để thực công DDoS, Sql injection vi phạm luậ Snort đưa  Snort kết hợp với BASE đưa cảnh báo kịp thời giao diện quản trị Snort trực quan, thuận tiện giảm bớt công việc người quản trị  Snort lưu lại file log vào sở liệu để người quản trị phân tích file để đưa luật cho snort đưa biện pháp bảo vệ hệ thống, nâng cao an toàn cho hệ thống  Snort bắt gói tin phân tích gói tin không loại bỏ gói tin không làm ảnh hưởng tới hoạt động Server PC hệ thống mạng 3.2.3 Mô hình hệ thống Hình 3.5: Mô hình hệ thống phát xâm nhập Snort công ty PAMA Hệ thống phát xâm nhập công IDS – Snort cài đặt máy tính độc lập chạy hệ điều hành Centos Snort sử dụng file cấu hình cho 50 lần chạy Thường tên file cấu hình có tên snort.conf Để chạy Snort tần cần cấu hình phần sau :  Định nghĩa biến xác định cấu hình mạng  Cấu hình môđun tiền xử lý  Cấu hình môđun kết xuất thông tin  Cấu hình luật sử dụng Sau nội dung cụ thể ý nghĩa thông tin snort.conf 3.2.3.1 Định nghĩa biến Snort cho phép định nghĩa biến xác định thông số mạng theo định dạng: var : Các biến sử dụng toàn file cấu hình từ sau Ví dụ, định nghĩa: “var : MY_NET 192.168.1.0/24” toàn file config hay file luật ký hiệu MY_NET thay giá trị 192.168.1.0/24 3.2.3.2 Cấu hình Modul tiền xử lý Các thông tin cấu hình cho môđun tiền xử lý định nghĩa sau: preprocessor : Quy định name options tùy thuộc vào plugin môđun tiền xử lý Ví dụ: cấu hình plugin Portscan detection Patrick Mullen viết sau: preprocessor portscan 192.168.0.1/24 /var/log/portscan.log Trong : 192.168.0.1/24 mạng theo dõi nguy quét cổng số lượng cổng truy cập đồng thời trình quét thời gian theo dõi đê xác định nguy quét cổng /var/log/portscan.log file ghi lại log trinh phát 3.2.3.3 Cấu hình Modul kết xuất thông tin Cấu hình cho môđun kết xuất thông tin định nghĩa tương tự cấu hình cho môđun tiền xử lý output : Ví dụ: cấu hình cho Snort kết xuất thông tin cảnh báo syslog máy mạng sau: 51 output alert_syslog: host=192.168.0.1:123, LOG_AUTH LOG_ALERT Trong đó: host ip cổng syslog máy ghi, LOG_AUTH LOG_ALERT loại log ghi lại Để Snort kết xuất thông tin sở liệu, cấu sau : database: , , Trong :  log | alert : ghi lại thông tin Log hay alert  database type : Loại sở liệu Snort hỗ trợ mysql, postgre sql ms sql server  Parameter list : danh sách tham số phục vụ cho việc kết nối với sở liệu Cụ thể tùy thuộc vào loại sở liệu cụ thể Ví dụ, parameter list mysql sau : dbname=snort user=snort host=localhost password=xyz 3.2.3.4 Cấu hình luật Phần file luật dùng Cú pháp sau: include RULE_PATH/RULE_FILE Ví dụ : yêu cầu Snort sử dụng luật phát ddos dòng lệnh sau: include $RULE_PATH/ddos.rules Trong đó, $RULE_PATH biến đến thư mục chứa file luật định nghĩa phần định nghĩa biến ddos.rules file luật 3.2.4 Các công cụ sử dụng hệ thống Snort 3.2.4.1 Cài đặt Snort với Mysql MySQL sở liệu (CSDL) phổ biến ngày Snort làm việc với MySQL [8], Oracle hay sở liệu khác tương thích với ODBC (Open Database Connectivity) Trong chương trước, biết output pluggin kết xuất thông tin lưu log alert vào sở liệu Việc ghi vào sở liệu giúp ta giám sát liệu mang tính lịch sử để xem lại sau này, xuất báo cáo phân tích thông tin Bằng cách sử dụng công cụ khác BASE (sẽ phân tích phần sau), lấy nhiều thông tin hữu ích từ CSDL Chẳng hạn ta lấy báo cáo 15 loại công sau cùng, thông tin máy công vào mạng, loại công phân tán giao thức khác nhau, v.v 52 MySQL hệ quản trị CSDL hoàn toàn miễn phí làm việc tốt hệ thống Linux hệ thống khác Ta cài đặt chạy MySQL máy chạy Snort hai máy khác Sau bước giúp Snort làm việc với MySQL:  Biên dịch Snort có hỗ trợ MySQL cài đặt Phải đảm bảo Snort làm việc cách thử tạo vài cảnh báo Để Snort làm việc với MySQL, yêu cầu cần phải thêm vào dòng with-mysql đoạn script cấu hình Snort  Cài đặt MySQL sử dụng MySQL client để kiểm tra CSDL có  Tạo sở liệu MYSQL Server cho Snort Tôi đặt tên sở liệu “snort”, nhiên đặt tên khác tùy ý thích  Tạo tài khoản mật (Username Password) CSDL Tài khoản Snort sử dụng ghi liệu vào CSDL  Chỉnh file cấu hình snort.conf phép ghi liệu vào CSDL Dùng username password  Khởi động lại Snort Nếu việc thực tốt Snort bắt đầu ghi liệu vào CSDL  Xuất vài cảnh báo xem chương trình mysql client xem Snort ghi Giả định sau cấu hình CSDL tạo bảng tài khoản, ta cần soạn thảo file snort.conf Những dòng sau cho phép ghi thông điệp log vào CSDL MySQL: Output database: log, mysql, user=root password=123456 dbname=snort host=localost Ý nghĩa dòng là: tên CSDL snort MySQL server chạy localhost Tài khoản sử dụng CSDL root, mật 123456 Nếu tài khoản mật khẩu, ta bỏ dòng: password=123456 Theo trên, CSDL chạy máy với Snort Nếu bạn có máy chủ CSDL riêng, bạn định tên máy chủ tập tin snort.conf Ví dụ, máy chủ CSDL không nằm máy có Snort chạy, sử dụng dòng lệnh sau: 53 output database: log, mysql, user=root password=123456 dbname=snort host=192.168.1.222 Máy chủ CSDL MySQL chạy máy 192.168.1.222 Tuy nhiên Snort sensor MySQL phải cài đặt nằm mạng với Máy chủ CSDL phải chạy trước khởi động Snort sensor Sau khởi động Snort sensor, bạn thấy thông tin sau, điều chứng tỏSnort làm việc với MySQL Hình 3.6: Khởi động Snort làm việc với MySQL 3.2.4.2 Cài đặt Snort với Barnyard2 Barnyard2 [8] viết nhằm mục đích đảm nhận tác vụ xử lý xuất để Snort dành nhiều tài nguyên cho việc xử lý gói tin Nó phụ trách phân tích xử lý log/alert unified2 Snort gửi chúng tới sở liệu Barnyard2 chạy độc lập với Snort, không cần phải phân tích xử lý log/alert thời gian thực, có nghĩa lúc Snort tạo chúng Barnyard2 cần theo dõi có log/alert thời gian định Phiên Barnyard2-1.8 có tính sau:  Phân tích gói tin unified2  Sử dụng cú pháp cấu hình tương tự Snort để đơn giản hóa việc triển khai.Hỗ trợ tất plugin đầu Snort( trừ alert_sf_socket) 54 3.2.4.3 Cài đặt Snort với Base Basic Analysis and Security Engine (BASE) [8] công cụ phân tích kiểm duyệt liệu BASE dựa đoạn mã viết ngôn ngữ PHP, cung cấp giao diện trình suyệt Web (Web Browser) sở liệu Snort (như MySQL) BASE cung cấp tính sau:  Một giao diện (interface) dùng tìm kiếm sở liệu xây dụng bảng truy vấn Việc tìm kiếm thực tham số chẳng hạn địa IP attacker hay kiện thời gian, ngày tháng hay luật “ bẫy ”  Một trình duyệt gói tin, gói tin bắt giải mã thông tin lớp 3, thị cụ thể  Khả quản lý liệu bao gồm nhóm cảnh báo (nhóm kiện liên quan tới xâm nhập ), xóa cảnh báo hay kết xuất thông điệp đến hộp thư điện tử (e-mail)  Minh họa bẳng đồ thị trạng thái  BASE hoàn toàn miễn phí 3.3 Thử nghiệm số kịch phát xâm nhập 3.3.1 Mô hình thử nghiệm Mô hình thử nghiệm phát xâm nhập minh họa hình 3.7 Trong đó, Snort giám sát toàn lưu lượng mạng đến máy chủ để phát hành vi xâm nhập Luận văn xây dựng kịch phát hành vi xâm nhập cung cấp số kết bước đầu Hình 3.7: Mô hình thử nghiệm 55 3.3.2 Kịch Để công hệ thống kẻ công cần quét cổng (Scan Port) để nắm bắt trạng thái cổng dịch vụ chạy cổng Trong đó, Nmap công cụ hỗ trợ Scan Port mạnh kẻ công sử dụng phổ biến Và kịch công sau:  Bước 1: Cài Nmap máy tính công Hacker thực Scan Port đến máy chủ Webserver  Bước 2: Cấu hình luật tiền xử lý liệu Procensors Snort  Bước 3: Truy cập giao diện BASE để kiểm tra hệ thống phát xâm nhập Snort Truy cập email để kiểm tra cảnh báo Snort gửi qua email Hình 3.8: Cảnh báo ScanPort Base 56 Hình 3.9: Chi tiết cảnh báo ScanPort Hình 3.10: Mail gửi cảnh báo ScanPort 3.3.3 Kịch Tấn công gây ngập lụt Flood Attack kiểu công nguy hiểm phổ biến thường gây cạn kiệt tài nguyên băng thông sử dụng Kịch mô công gầy gập lụt cách gửi liên tục số lượng lớn gói tin UDP tới máy chủ Web Server Công cụ thực công Flood UDP phần mềm UDP Flooder Kịch công sau:  Bước 1: Cài đặt phần mềm Flooder 2.0 máy công Hacker  Bước 2: Xây dựng luật rule cho Snort 57  Bước 3: Thực công từ máy tính Hacker đến máy chủ Webserver  Bước 4: Kiểm tra giao diện Base hệ thống phát xâm nhập công Snort email Hình 3.11: Cảnh báo Alert từ Snort thông qua BASE Hình 3.12: Cảnh báo có công UDP FLOOD 58 Hình 3.13: Chi tiết cảnh báo UDP FLOOD Hình 3.14: Các cảnh báo gửi email 59 Hình 3.15: Cảnh báo UDP FLOOD gửi email 3.4 Kết chương Snort hệ thống mở cho phép phát cảnh báo sớm công xâm nhập tới hệ thống mạng dựa tập luật Bên cạnh đó, hệ thống phát xâm nhập mạng Snort xây dựng cài đặt máy tính độc lập hệ thống mạng theo dõi lưu lượng vào mạng mà không làm ảnh hưởng đến hiệu hoạt động mạng Chương mô tả việc xây dựng mô hình ứng dụng Snort cho hệ thống phát xâm nhập mạng công ty Pama thử nghiệm số kịch công để kiểm tra khả phát Snort 60 KẾT LUẬN Các hệ thống phát xâm nhập mạng nhằm phát cảnh báo sớm hành vi công tới hệ thống mạng giải pháp hữu hiệu đảm bảo an toàn cho hệ thống mạng Luận văn sâu nghiên cứu kiến trúc kỹ thuật phát công, đột nhập mạng, đồng thời xây dựng thử nghiệm mô hình phát hệ thống mạng thực Cụ thể, luận văn thực nội dung sau:  Nghiên cứu tổng quan phát xâm nhập mạng;  Nghiên cứu kiến trúc hệ thống kỹ thuật phát xâm nhập mạng;  Nghiên cứu sâu hệ thống phát xâm nhập mạng Snort;  Phân tích yêu cầu đề xuất giải pháp xây dựng mô hình hệ thống phát xâm nhập mạng cho công ty Pama;  Cài đặt thử nghiệm mô hình phát xâm nhập mạng dựa Snort ;  Xây dựng thử nghiệm th n h c ô n g số kịch phát công dựa Snort Trong tương lai, luận văn phát triển theo hướng sau:  Triển khai thiết kế cài đặt mô hình phát xâm nhập mạng nhằm bảo vệ toàn hệ thống mạng cho công ty Pama  Đi sâu nghiên cứu phương pháp phát đột nhập lai có khả kết hợp nhiều nguồn liệu kỹ thuật phát hiện, phương pháp có nhiều triển vọng 61 TÀI LIỆU THAM KHẢO [1] Ali A Ghorbani, Wei Lu and Mahbod Tavallaee, Network Intrusion Detection and Prevention: Concepts and Techniques, Springer Publishing, Canada, 2010 [2] Stephen Northcutt, Judy Novak, Network Intrusion Detection, Third Edition, New Riders Publishing, United States of America, 2004 [3] Carl Endorf, Eugene Schultz and Jim Mellander, Intrusion Detection and Prevention, McGraw-Hill Osborne Media, United States of America, 2003 [4] Window Security, Địa chỉ: http://www.windowsecurity.com/articlestutorials/intrusion_detection/Intrusion_Detection_Systems_IDS_Part_I network_i ntrusions_attack_symptoms_IDS_tasks_and_IDS_architecture.html, Truy c ậ p tháng 11 năm 2013 [5] Kerry Cox and Christopher Gerg, Managing Security with Snort and IDS tools, O’Reilly Media, United States of America, 2004 [6] Cisco, Địa chỉ: http://www.ciscopress.com/articles/article.asp?p=24696, Truy cập tháng 11 năm 2013 [7] Trần Hữu Phước Blog, Địachỉ:http://nixmicrosoft.blogspot.com/2011/05/snortbarnyard2-base-tren-centos.html, Truy cập tháng 11 năm 2013 [8] Nhất Nghệ, Địa chỉ:http://ngoc.nhatnghe.vn/snort/snort.htm,Truy cập tháng 11năm 2013 [9] Jay Beale, Snort.2.1 Intrusion Detection Second Edition, Syngress Publishing, Inc., United States of America, May 2004 [10] Jack Koziol, Intrusion Detection with Snort, Sams Publishing, United States of America, 2003