Đang tải... (xem toàn văn)
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ Việt nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống càng trở nên cấp thiết hơn bao giờ. Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên thì:”Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort” là một giải pháp hữu ích cho hệ thống.
BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: Triển khai hệ thống phát xâm nhập trái phép snort Giáo viên hướng dẫn: Th.s Trịnh Thị Lý Sinh viên thực : Vũ Văn Quyền Lớp : DH1C1 MSSV : DC00100541 Ngành/Chuyên ngành: Công nghệ Thông tin Năm học 2015 LỜI CẢM ƠN Được phân công Khoa Công nghệ thông tin trường Đại học Tài nguyên Môi trường Hà Nội đồng ý Cô giáo hướng dẫn Ths Trịnh Thị Lý em thực đề tài “Triển khai hệ thống phát xâm nhập trái phép snort” Để hoàn thành đồ án tốt nghiệp này, em xin chân thành cảm ơn thầy giáo trường tận tình hướng dẫn, giảng dạy, bảo em suốt trình học tập, nghiên cứu rèn luyện mái trường Đại học Tài nguyên Môi trường Hà Nội Đặc biệt em xin bày tỏ lòng kính trọng biết ơn sâu sắc tới cô giáo hướng dẫn Ths Trịnh Thị Lý tận tình chu đáo hướng dẫn, trực tiếp bảo để em hồn thành đồ án tốt nghiệp Cuối em xin gửi lời cảm ơn tới gia đình, bạn bè giúp đỡ, động viên em suốt trình học tập vừa qua MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦ CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Đặt vấn đề .2 1.2 Mục tiêu 1.3 Phạm vi đề tài 1.4 Phương pháp tiếp cận 1.5 Nội dung nghiên cứu .2 CHƯƠNG 2: CƠ SỞ LÝ THUYẾT .3 2.1 Hệ thống phát xâm nhập IDS 2.1.1 Giới thiệu IDS 2.1.2 Phân loại IDS phân tích ưu nhược điểm 2.1.3 Cơ chế hoạt động IDS 10 2.1.4 Cách phát kiểu công thông dụng IDS 12 2.2 Giới thiệu Snort 15 2.2.1 Giới thiệu Snort .15 2.2.2 Kiến trúc Snort 16 2.2.3 Thành phần chức Snort .16 2.2.4 Bộ luật Snort 20 2.2.5 Cơ chế hoạt động Snort 27 3.1 Mơ hình triển khai 28 3.2 Mô tả yêu cầu 28 3.3 Cài đặt Snort 29 3.4 Cấu hình Iptables chặn cơng DoS 38 3.5 Demo kết 38 CHƯƠNG KẾT LUẬN 44 4.1 Kết 44 4.1.1 Những phần nắm .44 4.1.2 Những chưa đạt .44 4.2 Hướng phát triển 45 TÀI LIỆU THAM KHẢO 46 DANH MỤC CÁC BẢNG Bảng 2.1 So sánh hai mơ hình phát .20 DANH MỤC CÁC HÌNH VẼ Hình 2.1 Thành phần IDS 11 Hình 2.2 Hoạt động IDS .12 Hình 2.3 Sơ đồ hệ thống NIDS 15 Hình 2.4 Sơ đồ hệ thống HIDS 17 Hình 2.5 Kiến trúc hệ thống Snort .25 Hình 2.6 Bộ tiền xử lý 26 Hình 2.7 Bộ phát 27 Hình 2.8 Bộ kết xuất thông tin 29 Hình 2.9 Cấu trúc luật Snort .30 Hình 2.10 Header luật Snort 31 Hình 3.1 Mơ hình triển khai hệ thống IDS-IPS với Snort Iptables .39 Hình 3.2 Hiển thị trang base 48 Hình 3.3 Tạo base 49 Hình 3.4 Thơng báo tạo thành công 49 Hình 3.5 Hệ thống yêu cầu password vào trang base 50 Hình 3.6 Chú thích phần rules Snort 51 Hình 3.7 Địa IP máy Client 53 Hình 3.8 Máy client ping đến địa IP Server Snort 54 Hình 3.9 Kết hệ thống báo có máy ping 54 Hình 3.10 Giao diện REMOTE DESKTOP 55 Hình 3.11 Kết hệ thống báo có máy REMOTE DESKTOP 56 Hình 3.12 Giao diện phần mềm công DoS 56 Hình 3.13 Giao diện trước công truy cập tới server bình thường 57 Hình 3.14 Giao diện công tắt iptables 57 Hình 3.15 Giao diện cơng bật firewall iptables .58 DANH MỤC CÁC TỪ VIẾT TẮT DoS Disk Operating System IDS Intrusion detection system IPS Intrusion Prevention system NIDS Network-based intrusion detection system HIDS Host-based intrusion detection system TTL Time To Live TOS Type of Service LỜI MỞ ĐẦU Cùng với phát triển công nghệ thông tin, công nghệ mạng máy tính phát triển mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thông tin cần bảo mật chặt chẽ Sự đời công nghệ An ninh mạng giúp cho việc bảo vệ thông tin đưa lên mạng Internet trước việc đánh cắp dùng sai mục đích gây nhiều hậu nghiêm trọng Đi với phát triển Internet thủ đoạn cơng mạng ngày đa dạng nguy hiểm Do hệ thống mạng cần thiết lập để hoạt động cách trơn tru, hiệu quả, đảm bảo tính tin cậy, xác tính sẵn dùng quan trọng cần thiết Dựa thực tế đó, em tìm hiểu đề tài “Triển khai hệ thống phát xâm nhập trái phép snort” Qua em xin gửi lời cảm ơn chân thành tới thầy cô giáo khoa Công nghệ thông tin, trường Đại học Tài nguyên Môi trường Hà nội tận tình dạy bảo, giúp đỡ em thời gian qua Đặc biệt em xin gửi lời cảm ơn sâu sắc tới cô Ths Trịnh Thị Lý bảo giúp đỡ em để hồn thành đồ án Tuy cố gắng tìm hiểu, phân tích kiến thức chun mơn thời gian nghiên cứu hạn chế nên khơng thể tránh khỏi sai sót Rất mong nhận góp ý thầy bạn Em xin chân thành cảm ơn! CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Đặt vấn đề An ninh thông tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống trở nên cấp thiết Trong lĩnh vực an ninh mạng, phát phòng chống cơng xâm nhập cho mạng máy tính vấn đề cần thiết Ngồi việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng chép liệu, nghe trộm việc truyền nhằm lấy liệu quan trọng Có nhiều giải pháp đưa để hạn chế vấn đề nói thì:”Triển khai hệ thống phát xâm nhập trái phép snort” giải pháp hữu ích cho hệ thống 1.2 Mục tiêu - Tìm hiểu thơng tin bảo mật - Tìm hiểu, tổng hợp phân tích hệ thống phát xâm nhập IDS - Tìm hiểu nghiên cứu vấn đề lien quan đến snort - Tìm hiểu phương pháp triển khai cài đặt snort linux - Đưa số nhận định phát triển đề tài 1.3 Phạm vi đề tài - Hệ thống phát xâm nhâp snort dùng thu thập thông tin cho q trình ngăn chặn cơng nhằm nâng cao tính bảo mật hệ thống - Sử dụng chương trình Snort tổng hợp kiến thức IDS sở liệu SQL hệ Đại học, ngành Công nghệ thông tin để xây dựng hệ thống 1.4 Phương pháp tiếp cận Hệ thống triển khai hệ điều hành linux CentOS 6.5 cài máy ảo VMWare 11.0 1.5 Nội dung nghiên cứu - Nghiên cứu lý thuyết phát xâm nhập thông qua tài liệu báo cáo - Tìm hiểu, tổng hợp phân tích hệ thống phát xâm nhập IDS - Nghiên cứu lý thuyết Snort thông qua tài liệu từ trang chủ Snort - Xây dựng hệ thống IDS- Snort linux - Thu thập tài liệu liên quan đén vấn đề đề tài CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Hệ thống phát xâm nhập IDS 2.1.1 Giới thiệu IDS a) Định nghĩa IDS Hệ thống phát xâm nhập (Intrusion Detection System – IDS) thiết bị phần cứng ứng dụng phần mềm theo dõi, giám sát thu thập thông tin từ hoạt động vào mạng Sau hệ thống phân tích để tìm dấu hiệu xâm nhập công hệ thống trái phép cảnh báo đến người quản trị hệ thống Nói cách khác, IDS hệ thống phát dấu hiệu có nguy làm tổn hại đến tính sẵn dung, tính tồn vẹn, tính bảo mật hệ thống mạng máy tính, làm sở để đảm bảo cho an ninh hệ thống Chúng xác định hoạt động xâm nhập việc kiểm tra lại mạng, host log, system call, khu vực khác phát dấu hiệu xâm nhập IDS phân biệt công từ bên (những người dùng mạng LAN) hay cơng từ bên ngồi (từ Hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống phân mềm diệt virus) hay dựa so sánh lưu thông mạng với baseline(thông số đặc chuẩn hệ thống) để tìm dấu hiệu khác thường Một hệ thống phát xâm nhập trái phép cần phải thỏa mãn yêu cầu sau: - Tính xác(Accuracy): IDS không coi hành động thông thường hệ thống hành động bất thường hay lạm dụng (hành động thông thường bị coi bất thường gọi false positive) - Hiệu (Performance): Hiệu IDS phải đủ để phát xâm nhập trái phép thời gian thực (thời gian thực nghĩa hành động xâm nhập trái phép phải phát trước xảy tổn thương nghiêm trọng tới hệ thống) - Tính trọn vẹn (Completeness): IDS khơng bỏ qua xâm nhập trái phép (xâm nhập không bị phát gọi false negative) Đây điều kiện khó thỏa mãn gần khơng thẻ có tất thơng tin công từ khứ, tương lai - Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả chống lại cơng - Khả mở rộng (Scalability): IDS phải có khả sử lý trọng thái xấu không bỏ xót thơng tin u cầu có liên quan đến hệ thống mà kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với phát triển mạnh mẽ nhanh chóng mạng máy tính, hệ thống bị q tải tăng trưởng số lượng kiện b) Lợi ích IDS Lợi hệ thống phát cơng chưa biết trước Tuy nhiên, hệ thống lại sinh nhiều cảnh báo sai định nghĩa chung công Thống kê cho thấy hệ thống hầu hết cảnh báo cảnh báo sai, có nhiều cảnh báo từ hành động bình thường, có vài hành động có ý đồ xấu, vấn đề chỗ hầu hết hệ thống có khả giới hạn cảnh báo nhầm c) Phân biệt hệ thống IDS Các thiết bị bảo mật không coi hệ thống IDS: - Hệ thống đăng nhập mạng sử dụng để phát lỗ hổng vấn đề công từ chối dịch vụ (DoS) mạng Ở có hệ thống kiểm tra lưu lượng mạng - Các công cụ đánh giá lỗ hổng kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng (các quét bảo mật) - Các sản phẩm chống virus, Trojan hose, worm,… Mặc dù tính mặc định giống IDS thường cung cấp công cụ phát lỗ hổng bảo mật hiệu - Tường lửa – Firewall - Các hệ thống bảo mật, mật mã như: SSI, Kerberos, VPN,… d) Kiến trúc nguyên lý hoạt động IDS - Thành phần IDS Hình 2.1 Thành phần IDS [root@localhost ~]# nano /etc/snort/snort.conf Trong file snort.conf sửa: var RULE_PATH /rules thành var RULE_PATH /etc/snort//rules Thêm dòng: var SO_RULE_PATH etc/snort/so_rules Tiếp tục sửa: # output database: log, mysql, user=root password=test dbname=db host=localhost # output database: alert, postgresql, user=snort dbname=snort # output database: log, odbc, user=snort dbname=snort # output database: log, mssql, dbname=snort user=snort password=test # output database: log, oracle, dbname=snort user=snort password=test Thành: output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost Thêm dòng Thêm dòng # unified: Snort unified binary format alerting and logging: output unified2: filename snort.log, limit 128 - Cấu hình MySQL [root@localhost ~]# mysql Đặt mật cho tài khoản root database: mysql> set password for root@localhost=password('123456'); Tạo database snort: mysql> create database snort; mysql> exit Chèn table cho “snort” lấy từ /root/snortinstall/snort-2.8.4.1/schemas/create_mysql [root@localhost ~]# mysql -u root -p -D snort < /root/snortinstall/snort2.8.4.1/schemas/create_mysql Sau nhập password: 123456 [root@localhost ~]# mysql –p Nhập tiếp password: 123456 mysql> grant create, insert on root.* to snort@localhost; mysql> set password for snort@localhost=password('123456'); 33 mysql> grant create, select, insert, delete, update on snort.* to snort@localhost; mysql> show databases; mysql> exit - Cài đặt PEAR [root@localhost ~]# wget http://pear.php.net/go-pear.phar [root@localhost ~]# php -q go-pear.phar Chọn để cài đặt Đánh nơi lưu trữ: Installation base ($prefix) [/usr] : /usr/local Sau enter chọn y(yes) enter tiếp [root@localhost ~]# pear install Numbers_Roman-1.0.2 Numbers_Words0.16.1 Image_Color-1.0.3 Image_Canvas-0.3.2 Image_GraphViz1.3.0RC3 Image_Graph-0.7.2 Log-1.12.0 - Cài Adodb511 base-1.4.5 [root@localhost ~]# cd snortinstall/ [root@localhost snortinstall]# ls Giải nén adodb511.tgz vào thư mục /var/www/ [root@localhost snortinstall]# cd /var/www [root@localhost www]# tar zxvf /root/snortinstall/adodb511.tgz Đổi tên adodb5 thành adodb: [root@localhost www]# mv adodb5/ adodb/ Giải nén base-1.3.9.tar.gz vào thư mục /var/www/html [root@localhost www]# cd html [root@localhost html]# tar zxvf /root/snortinstall/base-1.3.9.tar.gz Đổi tên base-1.3.9 thành base [root@localhost html]# mv base-1.3.9/ base/ [root@localhost html]# cd base/ Copy: [root@localhost base]# cp base_conf.php.dist base_conf.php [root@localhost base]# nano base_conf.php Tại base_conf.php sửa: $BASE_urlpath = ''; thành $BASE_urlpath = '/base'; $DBlib_path = ''; thành $DBlib_path = '/var/www/adodb'; Sửa: $alert_dbname = 'snort_log'; $alert_host = 'localhost'; $alert_port = ''; 34 $alert_user = 'snort'; $alert_password = 'mypassword'; /* Archive DB connection parameters */ $archive_exists = 0; # Set this to if you have an archive DB $archive_dbname = 'snort_archive'; $archive_host = 'localhost'; $archive_port = ''; $archive_user = 'snort'; $archive_password = 'mypassword'; Thành: $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user = 'snort'; $alert_password = '123456'; /* Archive DB connection parameters */ $archive_exists = 1; # Set this to if you have an archive DB $archive_dbname = 'snort'; $archive_host = 'localhost'; $archive_port = ''; $archive_user = 'snort'; $archive_password = '123456'; Sau lưu lại Rồi restart httpd [root@localhost base]# service httpd restart Sau xong vào Firefox kiểm tra xem cài base thành công hay chưa Trên địa đánh localhost/base: 35 Hình 3.2Hiển thị trang base Hình 3.3 Tạo base 36 Hình 3.4 Thơng báo tạo thành cơng - Đặt mật cho việc truy cập vào trang BASE [root@localhost base]# mkdir /var/www/passwords [root@localhost base]# /usr/bin/htpasswd -c /var/www/passwords/passwords base Đánh hai lần password vừa đặt [root@localhost base]# nano /etc/httpd/conf/httpd.conf Trong file httpd.conf sửa: Thành: AuthType Basic AuthName "Snort" AuthUserFile /var/www/passwords/passwords Require user base Rồi lưu lại Restart httpd [root@localhost base]# service httpd restart Truy cập vào base theo đường dẫn: localhosst/base “địa IP/base” 37 Hình 3.5 Hệ thống yêu cầu password vào trang base - Tạo quy tắc cho Snort: Tạo quy tắc thông báo có người ping đến server: [root@localhost base]# nano /etc/snort/rules/ping.rules Trong file ping.rules thêm nội dung vào sau: alert icmp any any any any (msg: "Co nguoi dang ping"; sid:10000001;) Sau lưu lại Hình 3.6 Chú thích phần rules Snort Tương tự ta tạo quy tắc có máy Remote Desktop [root@localhost base]# nano /etc/snort/rules/rdesktop.rules Thêm nội dung quy tắc Remote Desktop alert tcp any any any 3389 (msg: "REMOTE DESKTOP"; sid:10000002;) Ở quy tắc Remote Desktop, giao thức TCP cổng đích 3389 38 - Khai báo quy tắc vào snort.conf [root@localhost base]# nano /etc/snort/snort.conf Khai báo quy tắc cuối file: include $RULE_PATH/ping.rules include $RULE_PATH/rdesktop.rules include $RULE_PATH/webaccess.rules Lưu lại khởi động Snort [root@localhost base]# snort -c /etc/snort/snort.conf -i eth0 3.4 Cấu hình Iptables chặn công DoS Mặc định iptables cài sẵn hệ điều hành Linux cụ thể hệ điều hành CentOS 6.5 Ở bước cài đặt Snort, phần cấu hình firewall system service bật chế độ iptables Để thiết lập cho iptables có chức cơng DoS chỉnh sửa file cấu hình iptables [root@localhost ~]# nano /etc/sysconfig/iptables Thêm vào dóng sau: -A INPUT -m state state RELATED,ESTABLISHED -m limit limit 5/sec -limit-burst -j ACCEPT -A INPUT -p icmp -m limit limit 1/sec -j ACCEPT -A INPUT -p tcp -m tcp dport 80 -m state state NEW -m limit limit 5/s limit-burst -j ACCEPT -A INPUT –j LOG -A INPUT –j DROP -A FORWARD –j DROP Ở thiết lập iptables hạn chế cho tốc độ truyền gói tin trung bình tối đa 5/sec (giây) (-limit 5/sec) số lượng gói tin khởi tạo tối đa phép (-limit-burst 5) Sau lưu lại khởi động lại dịch vụ Web httpd iptables: [root@localhost ~]# service httpd restart [root@localhost ~]# service iptables restart 3.5 Demo kết a Demo hệ thống cảnh báo Snort có máy ping đến Máy Client với địa IP 192.168.1.20 ping đến Server Snort có địa IP 192.168.1.2 39 Hình 3.7 Địa IP máy Client Hình 3.8 Máy client ping đến địa IP Server Snort Hệ thống Snort phát có máy ping đến server thơng báo có máy ping tới Server Với nội dung thông báo, ngày giờ, địa máy bị ping server với ip 192.168.1.2, địa máy ping với ip 192.168.1.20 giao thức ICMP 40 Hình 3.9 Kết hệ thống báo có máy ping b Demo hệ thống cảnh báo Snort có máy Remote Desktop Máy Client với địa IP 192.168.1.20 (máy bị Remote Desktop) Hệ thống Snort phát có máy bị Remote Desktop thơng báo có máy Remote Desktop Với nội dung thông báo, ngày giờ, địa máy bị Remote Desktop với ip 192.168.1.20, địa máy ping với ip 192.168.1.3 giao thức TCP 41 Hình 3.10 Giao diện REMOTE DESKTOP Hình 3.11 Kết hệ thống báo có máy REMOTE DESKTOP c Demo firewall Iptables chống công DoS Máy client chuẩn bị cơng cụ để cơng DoS “HTTP attack version 3.6” 42 Hình 3.12 Giao diện phần mềm công DoS Kịch công công cụ HTTP attack version 3.6 gửi thật nhiều yêu cầu kết nối tới Server hệ thống, thử với khoảng 1000 yêu cầu kết nối tới địa IP 192.168.1.2 Khi tắt firewall Iptables cơng cụ HTTP attack làm hệ thống tạm thời bị ngưng trệ hồi đáp yêu cầu client Máy client trước cơng vào trang base từ Server Hình 3.13 Giao diện trước cơng truy cập tới server bình thường Khi công cụ HTTP Attack 3.6 công vào địa IP server cách gửi 1000 yêu cầu kết nối, có 428 yêu cầu kết nối gửi thành công trang base server hồi đáp máy client báo truy cập 43 Hình 3.14 Giao diện cơng tắt iptables Tiếp theo bật firewall Iptables lệnh “service iptables start” lên công lại Kết gửi 1000 yêu cầu kết nối tới server có 171 u cầu kết nối thành cơng lại bị firewall Iptables chặn lại client truy cập vào trang base Hình 3.15Giao diện công bật firewall iptables CHƯƠNG KẾT LUẬN 4.1 Kết Sau thời gian nghiên cứu đồ án thực hoàn chỉnh theo đề cương đặt Về mặt lý thuyết đề tài nêu vấn đề hệ thống phát phòng chống xâm nhập Bên cạnh đề tài tìm 44 hiểu xây dựng thành công hệ thống thực tế triển khai hiệu đánh giá cao Snort Iptables Do thời gian có hạn nên hệ thống xây dựng triển khai phân đoạn mạng nhỏ nên chưa thể đánh giá hết hiệu suất hệ thống vấn đề công mạng gặp phải thực tế Ngoài ra, hệ thống Snort Iptables chưa đáp ứng cho mơ hình mạng lớn quy mô 4.1.1 Những phần nắm Đề tài cho ta thấy rõ cần thiết bảo mật, hạn chể phương pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triển Hệ thống phát xâm nhập mạng (IDS) xuất sau đóng vai trò khơng phần quan trọng IDS giúp khám phá, phân tích nguy cơng Từ vạch phương án phòng chống, góc độ tìm thù phạm gây công Bài báo cáo giúp: - Nắm bắt khái niệm hệ thống phát xâm nhập - Triến khai hệ thống phát xâm nhập phổ biến Snort - Nắm bắt chế viết luật cho Snort thực thi Snort chế độ như: SniíTer Packet, Packet Logger, NIDS 4.1.2 Những chưa đạt Đề tài nhiều thiếu sót Phân lý thuyết tổng quát sơ lược tóm tắt chưa sâu nghiên cứu vấn đề Phần thử nghiệm tìm hiểu chế độ đơn giàn Sniffer Packet, Packet Logger, NIDS Và chế độ không phần quan trọng Inline mode Về vấn đề viết rule cho Snort để xử lý hệ thống luật viết có phần đơn giản 45 4.2 Hướng phát triển Triển khai hệ thống xây dựng đưa vào thực tế để đánh giá hết hiệu vấn đề gặp phải, từ tìm biện pháp để khắc phục hồn thiện hệ thống Tìm hiểu thêm loại hình cơng mạng để từ xây dựng thêm quy tắc phù hợp góp phần cho cộng đồng mã nguồn mở Snort hoạt động hiệu quả, kịp thời Tìm hiểu thêm hệ thống phát phòng chống xâm nhập khác triển khai mơ hình mạng lớn quy mô triển khai chúng thực tế Xây dựng tools để thêm quy tắc thân thiện với người dùng TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Nguyễn Thúc Hải, Mạng máy tỉnh hệ thống mở, NXB Giáo dục, 1999 [2] Nguyễn Ngọc Tuấn, Công nghệ bảo mật,NXB Thống Kê, 2005, Tài liệu tiếng Anh [3] Earl Carter, ỉntroductỉon to Netvvork Security, Cisco Secure Intrusion Detection System, Cisco Press, 2000 [4] Raieeq Rehman, Intrusion Detection with Snort, NXB Prentice Hall, 2003 [5] Martin Roesch, Chris Green ,Snort User Manual,The Snort Project, 2003 [6] Christopher Kruegel, Hredrik Valeur, Giovanni Vigna, Computer securitỵ and Intmsỉon Detection, Aỉert Corelation, Challenges and Solution,Springer, 2005 [7] Raíeeq Rehman, Intrusìon Detection vvith Snort, NXB Prentice Hall, 2003 Tài liệu Internet [8] https://help.ubuntu.eom/10.04/serverguide/c/mysql.html [9] http://www.youtube.com/watch?v=FzKdaiUZUwM [10] http://shoptmhoc.com/diendan/tin-hoc-can-ban/40472-cach-noi-manggiua- may-ao-su-dun g-vmware-voi-may-va-internet.html [11] http://quantrinet.com/forum/showthread.php?t=2855 [12] http://www.slideshare.net/phanleson/snort [13] http://rootbiez.blogspot.com/2009/08/hacking-he-thong-phat-hienxam-nhap- ids.html [14] http://www.giaiphaphethong.net/bao-mat-mang/104-gioi-thieu-hethong-tu- dong-phat-hien-xam-nhap-ids.html 46 47 ... nói thì: Triển khai hệ thống phát xâm nhập trái phép snort giải pháp hữu ích cho hệ thống 1.2 Mục tiêu - Tìm hiểu thơng tin bảo mật - Tìm hiểu, tổng hợp phân tích hệ thống phát xâm nhập IDS... Intrusion Detection System (NIDS): Hệ thống phát xâm nhập hướng mạng - Host-based Intrusion Detection System (HIDS): Hệ thống phát xâm nhập máy chủ a) Hệ thống phát xâm nhập hướng mạng (NIDS) NIDS (Network-based... Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống a) Mơ hình phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống