MỤC LỤC DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO CÁC THUẬT NGỮ VIẾT TẮT LỜI GIỚI THIỆU PHẦN : TỔNG QUAN 1.1 Lý chọn đề tài 10 1.2 Phân tích trạng 10 1.3 Xác định yêu cầu 11 1.4 Giới hạn phạm vi nghiên cứu 12 1.5 Ý nghĩa thực tiễn đề tài 12 PHẦN : TÌM HIỂU IDS 13 2.1 Khái niệm 14 2.2 Các thành phần chức IDS 14 2.2.1 Thành phần thu thập gói tin 14 2.2.2 Thành phần phát gói tin 15 2.2.3 Thành phần phản hồi 15 2.3 Phân loại IDS 15 2.3.1 Network Base IDS (NIDS) 15 2.3.1.1 Lợi Network-Based IDS 16 2.3.1.2 Hạn chế Network-Based IDS 16 2.3.2 Host Base IDS (HIDS) 17 2.3.2.1 Lợi Host IDS 17 Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 2.3.2.2 Hạn chế Host IDS 18 2.4 Cơ chế hoạt động IDS 18 2.4.1 Phát dựa bất thường 18 2.4.2 Phát thông qua Protocol 18 2.4.3 Phát nhờ trình tự học 21 2.5 Các ứng dụng IDS phổ biến 21 PHẦN : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG 22 3.1 Các phương thức công 23 3.1.1 ARP Spoofing 23 3.1.2 Syn Flood 23 3.1.3 Zero Day Attacks 23 3.1.4 DOS - Ping Of Death 24 3.2 Các phương thức phòng chống 24 3.2.1 ARP Spoofing : mã hóa ARP Cache 24 3.2.2 Syn Flood 25 3.2.3 Zero Day Attacks 25 3.2.4 DOS – Ping Of Death 25 PHẦN : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP 26 4.1 Các bước thực 27 4.1.1 Mô hình mạng tổng quan 27 4.1.2 Máy Client 27 - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 4.1.3 Máy IDS 27 4.1.4 Máy Webserver 28 4.1.5 Máy Windows Server 2008 28 4.2 Cấu hình IDS 28 4.2.1 Mô hình mạng chi tiết 28 4.2.2 Các bước cấu hình cảnh báo ngăn chặn vài ứng dụng IDS Snort kết hợp Iptables 29 4.2.2.1 Tấn công phương thức Dos lỗi SMB 2.0 29 4.2.2.2 Truy cập Web trái phép theo IP tên miền 29 4.2.2.3 Truy cập Website vào cấm 29 4.2.2.4 Truy cập theo phương thức FTP 30 4.2.2.5 Tấn công theo phương thức Ping Of Death 30 4.2.2.6 Hành động chat với máy ip lạ 30 4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing 30 4.2.3 Cài đặt webmin quản lý Snort 31 4.2.4 Tạo CSDL Snort với MySQL 31 4.2.5 Cài đặt BASE 31 PHẦN : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT CỦA MỘT IDS 32 5.1 Inotify 33 5.2 Lập trình API kết hợp với Inotify 33 5.3 Sản phẩm 34 - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ PHẦN : TỔNG KẾT 35 6.1 Những vấn đề đạt 36 6.2 Những vấn đề chưa đạt 36 6.3 Hướng mở rộng đề tài 37 PHẦN : PHỤ LỤC 38 7.1 Tài liệu tham khảo 39 7.2 Phần mềm IDS-Snort 40 7.2.1 Giới thiệu Snort 40 7.2.2 Snort NIDS 41 7.3 Cấu hình Rules Snort Iptables 41 7.3.1 Rules Snort 41 7.3.1.1 Cảnh báo ping 41 7.3.1.2 Cảnh báo truy cập website 41 7.3.1.3 Cảnh báo truy cập FTP 41 7.3.1.4 Cảnh báo truy cập Telnet 41 7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn 42 7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 42 7.3.1.7 Cảnh báo chat với máy có IP lạ 42 7.3.1.8 Ngăn chặn trang Web có nội dung xấu 42 7.3.2 Rules Iptables 42 7.3.2.1 Ngăn chặn ping 42 7.3.2.2 NAT inbound NAT outbound 43 - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 7.3.2.3 Ngăn chặn truy cập website 43 7.3.2.4 Ngăn chặn truy cập FTP 44 7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 44 7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn 44 7.3.2.7 Ngăn chặn chat với máy có IP lạ 44 7.4 Hướng dẫn chi tiết cấu hình Snort 44 7.5 Thiết lập mạng cấu hình biến 46 7.6 Cấu hình option file Snort.conf 47 7.7 Cấu hình tiền xử lý (preprocessor) 48 7.8 Thiết Lập Snort khởi động hệ thống 50 7.9 Quản lý snort webmin 51 7.10 Tạo CSDL snort với MySQL 51 7.11 Cài đặt BASE ADODB 52 - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO Hình 1: Mô hình kiến trúc hệ thống phát xâm nhập (IDS) : Hình phần Hình 2: Network IDS : Hình phần Hình 3: Host base IDS : Hình phần Hình 4: Cấu trúc IP Header : Hình phần Hình 5: Cấu trúc TCP Header : Hình phần Hình 6: Xem ARP Cache : Hình phần Hình 7: Mô hình mạng tổng quan : Hình phần Hình 8: Mô hình mạng chi tiết : Hình phần Hình : Quản lý với Webmin : Hình phần Hình 10 : Quản lý BASE : Hình phần Hình 11 : Sản phẩm demo - Hình phần - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ CÁC THUẬT NGỮ VIẾT TẮT  IDS – Intrusion Detection System : Hệ thống phát xâm nhập  NIDS: Network Intrusion Detection System  HIDS: Host Intrusion Detection System  DIDS: Distributed Intrusion Detection System  ADOdb: thư viện mức trừu tượng dành cho PHP Python dựa khái niệm với ActiveX Data Objects Microsoft  DdoS – Distribute Denial of Service Từ chối dịch vụ phân tán  LAN – Local Area Network: mạng máy tính cục  Sensor: Bộ phần cảm biến IDS  Alert: Cảnh báo IDS  TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận  Slow Scan: tiến trình “quét chậm”  SSL – Secure Sockets Layer  SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng cách bảo mật  IPSec: IP Security  DMZ – demilitarized zone : Vùng mạng vật lý chứa dịch vụ bên tổ chức  CPU : Central Processing Unit- Đơn vị xử lý trung tâm  UNIX: Unix hay UNIX hệ điều hành máy tính  Host: Host không gian ổ cứng để lưu liệu dạng web truy cập từ xa  Protocol: Giao thức  Payload: Độ tải gói tin mạng  Attacker: Kẻ công - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ  ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối xứng  WLAN: Wireless Local Area – mạng cục không dây  Iptables : Hệ thống tường lửa linux  ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích liệu cho hệ thống phát xâm nhập  BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin  Software: Phần mềm  OS : Operating System : hệ điều hành  OSI : Open Systems Interconnection : mô hình tầng OSI - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ LỜI GIỚI THIỆU  Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành công việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống phát xâm nhập trái phép (IDS-Intrusion Detection System) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm tận tình hướng dẫn giúp chúng em hoàn thành đồ án tốt nghiệp Mặc dù cố gắng hoàn thành đề tài lĩnh vực lạ phát triển mạnh nên nhiều thiếu sót Chúng em mong tiếp nhận ý kiến, nhận xét từ quý thầy cô Chúng em xin chân thành cảm ơn Các sinh viên thực : Huỳnh Tiến Phát : Số điện thoại : 0986.440.748 Email: phathuynh@daihoc.com.vn Trần Quang Lâm : Số điện thoại : 0984.055.050 Email: lamtran@daihoc.com.vn - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ PHẦN : TỔNG QUAN - Trang - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ Các trang web: Tiếng Việt: Nước ngoài: http://www.hvaonline.net http://www.google.co.uk http://nhatnghe.com/forum http://www.snort.org http://quantrimang.com.vn http://www.openmaniak.com/inline.php http://forum.saobacdau-acad.vn http://sectools.org/ http://forum.t3h.vn http://linux.org/ http://ipmac.vn/forum http://ibm.com http://vnexperts.net http://support.microsoft.com http://kmasecurity.net http://www.winids.com 7.2 Phần mềm IDS-Snort 7.2.1 Giới thiệu Snort Snort cài đặt mạng làm nhiệm vụ giám sát packet vào hệ thống mạng Khi Snort phát công phản ứng nhiều cách khác tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin phát có bất thường gói tin Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Mỗi luật đại diện cho công File cấu hình Snort snort.conf Khi có packet đến hệ thống áp vào tập luật, có so trùng snort phản ứng Snort bao gồm nhiều cảm biến server sở liệu chính.Các cảm biến đặt trước sau firewall:  Giám sát công vào firewall hệ thống mạng  Có khả ghi nhớ vượt firewall thành công - Trang 40 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 7.2.2 Snort NIDS Khi sử dụng NIDS, Snort cung cấp khả phát xâm nhập gần thời gian thực Chúng ta xem nhiều cách mà Snort sử dụng NIDS tất tùy chọn cấu hình 7.3 Cấu hình Rules Snort Iptables 7.3.1 Rules Snort 7.3.1.1 Cảnh báo ping Alert icmp $EXTERNAL_NET any -> $HOME_NET (msg:"ICMP Pinger"; classtype:attempted-recon; sid:465;) - Trong đó: Alert: hành động cảnh báo Icmp: giao thức để bật cảnh báo $EXTERNAL_NET: địa đích công Người dùng định nghĩa (var $EXTERNAL_NET 192.168.1.0/24 ) Any: port mà gói tin qua (bất port nào) $HOME_NET: địa gói tin đến công Ta định nghĩa địa cho phù hợp với mạng nội mà ta quản lý 7: port mà lệnh ping gửi gói tin echo qua Msg: xuất câu thông báo log giao diện quản lý cảnh báo Classtype: dùng để phân loại cảnh báo Sid: số id câu rule cảnh báo, rule có sid khác 7.3.1.2 Cảnh báo truy cập website alert tcp $HOME_NET any -> 192.168.1.10 80(msg:"Vsic access" ;content:"vsic.com"; nocase; sid:5531;) 7.3.1.3 Cảnh báo truy cập FTP alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP login"; flow:from_server,established; sid:491;) 7.3.1.4 Cảnh báo truy cập Telnet alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"TELNET login"; flow:to_server,established; sid:500;) - Trang 41 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) 7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS Windows SMB process ID high"; flow:to_server, established; content:"|00 26|"; offset:5; depth:96; classtype:attempted-dos; sid:15930;) 7.3.1.7 Cảnh báo chat với máy có IP lạ alert tcp any any any 5101 (msg:"CHAT Yahoo IM message"; flow:established; content:"YMSG"; nocase; metadata:policy ; classtype:policyviolation; sid:2457) 7.3.1.8 Ngăn chặn trang Web có nội dung xấu alert tcp any any 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for children!"; react: block, msg, proxy 8000;) 7.3.2 Rules Iptables 7.3.2.1 Ngăn chặn ping -A RH-Firewall-1-INPUT -p icmp -m icmp icmp-type any -j DROP - Trong đó: RH-Firewall-1-INPUT: Người dùng định nghĩa ACCEPT: iptables chấp nhận chuyển data đến đích DROP: iptables khóa packet -A RH-Firewall-1-INPUT: gói tin vào từ firewall -p: protocol icmp -m icmp icmp-type: mô tả dạng icmp echo, request Any: port icmp - Trang 42 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ -j : jump – lệnh chuyển tới cấu lệnh DROP : cuối chặn gói tin -s: địa nguồn dport: cổng đích gói tin state state NEW: Kiểm tra trạng thái: ESTABLISHED: thiết lập connection NEW: bắt đầu thiết lập connection 7.3.2.2 NAT inbound NAT outbound - Nat in iptables -t nat -A PREROUTING -d 192.168.1.20 -i eth0 -p tcp -m tcp dport 80 -j DNAT to-destination 172.16.1.40:80 - Nat out echo '1' > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 172.16.1.40 -d 192.168.1.10 -o eth0 -j MASQUERADE 7.3.2.3 Ngăn chặn truy cập website - Theo port, host giao thức : dùng Iptables -A RH-Firewall-1-INPUT -s 192.168.1.10 -p tcp -m tcp dport 80 -j DROP - Chặn theo host : dùng Squid Proxy acl hostdeny src 192.168.1.10/24 http_access deny hostdeny - Chặn theo tên miền web : dùng Squid acl webdeny dstdomain vsic.com hay acl webdeny dstdomain "/etc/squid/webdeny" http_access deny webdeny - Theo : dùng Squid Proxy acl time_acl1 time MTWHF 8:00-10:00 - Trang 43 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ http_access deny webdeny time_acl1 7.3.2.4 Ngăn chặn truy cập FTP -A RH-Firewall-1-INPUT -p tcp -m state state NEW -m tcp dport 21 -j DROP 7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 A RH-Firewall-1-INPUT -p tcp -m state state ESTABLISHED -m string -hex-string "|00 26|" algo bm -m tcp dport 445 -j DROP 7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn A RH-Firewall-1-INPUT -p icmp icmp-type any -m length length 1000: -j DROP 7.3.2.7 Ngăn chặn chat với máy có IP lạ -A RH-Firewall-1-INPUT -p tcp -m state state ESTABLISHED -m string -string "YMSG" algo bm -m tcp dport 5101 -j DROP 7.4 Hướng dẫn chi tiết cấu hình Snort File cấu hình /etc/snort/snort.conf var HOME_NET 172.16.1.0/24 var EXTERNAL_NET !$HOME_NET var RULE_PATH /etc/snort/rules output database: log, mysql, user=snort password=123456 dbname=snort host=localhost Bước : Cài đặt Snort #./configure with-mysql enable-dynamicplugin #make & make install Bước : Cấu hình snort - Tạo thư mục hoạt động cho snort mkdir /etc/snort - Trang 44 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ mkdir /etc/snort/rules mkdir /var/log/snort - Chép file cấu hình cd etc/ cp * /etc/snort - Tạo nhóm & người dùng cho snort groupadd snort useradd -g snort snort -s /sbin/nologin - Set quyền sở hữu cho phép Snort ghi log vào thư mục chứa log chown snort:snort /var/log/snort/ Bước : Cấu hình phát xâm nhập 3.1 File báo động thư mục /var/log/Snort Ví dụ phân tích báo động Snort Đây tên báo động: [**] [1:1418:3] SNMP request tcp [**] Đây phần header thông tin packet nguyên nhân gây báo động: 03/24-15:07:35.827022 192.168.1.2:49641 -> 192.168.1.105:161 TCP TTL:44 TOS:0x0 ID:37753 IpLen:20 DgmLen:40 Seq: 0x4EB5A7C6 Ack: 0x0 Win: 0x400 TcpLen: 20 3.2 File Snort.conf File Snort.conf điều khiển thứ mà Snort thấy được, làm cách chống lại công, rules sử dụng thấy nghi ngờ, làm cách phát dấu hiệu nguy hiểm tìm tàng tín hiệu nhận dạng cụ thể để so sánh Ví dụ file Snort.conf • Thiết lập mạng cấu hình biến • Cấu hình phần giải mã (decoder) phát - Trang 45 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ • Cấu hình tiền xử lý (preprocessor) • Cấu hình phần output • File trỏ tới 7.5 Thiết lập mạng cấu hình biến Để chị định địa ip, đơn gian làm theo cách sau: Var HOME_NET 192.168.1.1 Var HOME_NET [192.168.1.1,192.168.14.1,10.0.0.2] Ta có cách khác để định mạng: Var HOME_NET 10.10.10.0/24 Hoặc gộp cách vào chung nhóm: Var HOME_NET [192.168.1.1,10.10.10.0/24,172.168.1.5/16,187.1.1.1/19] Nếu muốn định không dùng ip ngoại trừ … dùng thêm dấu “!” Var EXTERNAL_NET !$HOME_NET Để định cho port làm tương tự ví dụng Var ORACLE_PORTS 1521 Hoặc port port 80 Var SHELLcode_PORTS !80 Các biến mặc định Snort.conf HOME_NET : định địa mạng bảo vệ EXTERNAL_NET: mạng bên Các biến để định server chạy service phục vụ cho hệ thống DNS_SERVERS : địa máy DNS SMTP_SERVERS : địa máy Mail Server HTTP_SERVERS : địa máy Web server SQL_SERVERS : địa máy chứa sở liệu TELNET_SERVERS : địa máy làm telnet - Trang 46 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ Các port mặc định biến khác: HTTP_PORTS : Port 80 7.6 Cấu hình option file Snort.conf Option Mô tả config order: pass, alert, log, activation, or Thay đổi giá trị điều khỉên rules dynamic config alertfile: alerts Thiết lập output file báo động config decode_arp Bật chức arp decoding (Snort -a) config dump_chars_only Bật chức character dumps (Snort C) config dump_payload Hiện thông tin lớp application(Snort -d) config decode_data_link giải mã Layer2 headers (Snort -e) config bpf_file: filters.bpf Chỉ định dùng lọc BPF (Snort -F) config set_gid: 30 Thay đổi GID đến GID khác (Snort -g) config daemon Chạy Snort chế độ daemon (Snort -D) config interface: Thiết lập interface (Snort -i) config alert_with_interface_name Chỉ định interface cần báo động(Snort -I) config logdir: /var/log/Snort Thiết lập lại thư mục log (Snort -l) config umask: Thiết lập umask chạy (Snort -m) config pkt_count: N Thoát sau N packets (Snort -n) config nolog Tắt chế độ log (Snort -N) config verbose Sử dụng chế độ xem chi tiết (Snort -v) - Trang 47 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 7.7 Cấu hình tiền xử lý (preprocessor) Tiền xử lý phục vụ cho nhiều mục đích Nó “bình thường hoá” traffic cho services, để chắn liệu packet Snort theo dõi có hội tốt để so sánh với tín hiệu nhận dạng (signatures ) mà Snort đuợc trang bị Ví dụ : - preprocessor arpspoof - preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b - preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b - Ta cho Snort biết địa MAC máy LAN, bị công giả mạo địa MAC, Snort so sánh giá trị cảnh báo cho người quản trị  Flow Flow preprocessor có module flow-portscan Flow theo dõi tất traffic giữ track kết nối hệ thống port lạ, có flow lạ thông tin chuyển qua hash (làm cho track nhỏ , nhanh tracking địa IP PORTS) lưu trữ bảng nhớ dành sẵn Các option cho flow preprocessor  Frag Khi packet từ mạng qua mạng khác, thường cần phân mảnh thành packet nhỏ hơn, mạng thứ giới hạn kích thuớc packet tất nhiên nhỏ mạng Và tất packet nhỏ đuợc xếp lại đến nơi Một phương pháp attacker dùng packet nhỏ để lừa firewall IDS  Stream4 Stream4 thiết kế để bảo vệ Snort từ dạng công attacker tới NIDS sensor cách gửi tràn ngập packet chứa chuỗi liệu giống - Trang 48 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ rules để kích báo động, có nhiều tools dùng cho việc Snort có cách chống lại Stream4 có nhiệm vụ chính: sateful inspection ( kiểm tra tính nguyên vẹn ), awareness and session reassembly ( nhận biết xếp session )  Tiền xử lý http inspect Có nhiều cách thông tin định dạng sang http session có nhiều loại khác biểu diễn thông tin http session multimedia, xml, HTML, asp, php, java,….và kết Snort phải gửi lại nội dung HTTP conversation để định dạng lại data phục vụ cho trình phát tốt  Arpspoof Arpspoof thiết kế cho preprocessor dể detech hoạt động spoof arp bất hợp pháp local network Các hacker dùng tools man-in-the-middle attacks ettercap arpspoof để nghe trộm máy mạng nội để cấu hình administrator phải biết địa MAC card mạng, điều dễ dàng: Ví dụ: preprocessor arpspoof preprocessor arpspoof_detect_host: 192.168.1.1 F0:AB:GH:10:12:53  File Inclusion Trong file Snort.conf, câu lệnh include cho Snort đọc file sau từ include lưu filesystem Snort sensor, giống lập trình Ví dụ : include $RULE_PATH/bad-traffic.rules - Trang 49 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules Các rules ta download internet, down ta muốn phân nhóm chỉnh sửa,độ ưu tiên rules ta cấu hình file classification.config, file reference.config gồm links tới web site với thông tin cho tất alerts, include hữu tích , nhanh gọn Ví dụ: # include classification & priority settings # include classification.config # include reference systems include reference.config  Cài đặt tập rule cho SNORT tar -xzvf snortrules-snapshot-2.8.tar.gz cd rules cp * /etc/snort/rules 7.8 Thiết Lập Snort khởi động hệ thống Tạo liên kết mềm (symbolic link) file snort binary đến /usr/sbin/snort ln -s /usr/local/bin/snort /usr/sbin/snort cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort Đặt quyền lại cho file snort : chmod 755 /etc/init.d/snortd chkconfig snortd on service snortd start - Trang 50 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ 7.9 Quản lý snort webmin - Cài webmin : rpm –ivh webmin-1.400.noarch.rpm Log vào Webmin, chọn chức Webmin Modules, import thêm Snort module vào Webmin: 7.10 Tạo CSDL snort với MySQL #service mysqld start Trước tiên ta cần set password cho root MySQL #mysqladmin -u root password 123456 #mysql –p Tạo password cho tài khoản snort mysql> use mysql; mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; - Trang 51 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ Tạo CSDL cho snort mysql> create database snort; mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; mysql> flush privileges; mysql> exit Tạo table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql -p show databases; use snort; show tables; Quan sát tables 7.11 Cài đặt BASE ADODB Web server PHP cài đặt sẵn ta cần cài thêm vài gói pear cho PHP cd snort/snort-2.8.4.1 pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Cài đặt ADODB cp adodb480.tgz /var/www/html/ cd /var/www/html/ tar -xzvf adodb480.tgz Cài BASE #cp /snort/base-1.4.4.tar.gz /var/www/html/ #tar -zxvf base-1.4.4.tar.gz #mv base-1.4.4/ base/ - Trang 52 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ #cd base #cp base_conf.php.dist base_conf.php #vi base_conf.php Restart Snort #service snortd restart #service httpd restart - Trang 53 - Sưu tầm www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ THE END - Trang 54 - Sưu tầm www.diendandaihoc.com