BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
N
G
U
Y
ỄN
Đ
Ứ
C
C
Ư
Ờ
N
G
LUẬN VĂN THẠC SĨ KHOA HỌC
NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG
HỆ THỐNG
PHÁT HIỆN XÂM NHẬP MẠNG
X
Ử
LÝ
TH
Ô
N
G
TIN
V
À
TR
U
Y
Ề TH
Ô
N
G
NGUYỄN ĐỨC CƯỜNG
2006 - 2008
Hà Nội
2008 HÀ NỘI 2008
Master of Sience
Thesis title: “Warning and Protection System of Network Attacks”
Student: Nguyen Duc Cuong
Supervisor
111 trang |
Chia sẻ: huyen82 | Lượt xem: 2040 | Lượt tải: 2
Tóm tắt tài liệu Hệ thống phát hiện xâm nhập mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
: Professor Dang Van Chuyet
Department of Information Technology
Hanoi University of Technoloogy
Email: cuongnd-linc@mail.hut.edu.vn
Year: 2008
Summary
During the last decade, the Internet has developed rapidly in terms of scale as well
as diversity. As a consequence, the network security has become more and more
urgent issues. Therefore, network administration has been incrementally
complicated and manually error handling is no longer sufficient. Due to that, the
automatic warning system of attacks is aimed to necessarily establish.
This thesis consists of the two parts as follows:
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
1
LỜI NÓI ĐẦU .................................................................................................. 3
CHƯƠNG I - TỔNG QUAN VỀ IDS ............................................................. 6
1.1 Khái niệm ................................................................................................ 6
1.2. Chức năng .............................................................................................. 6
1.3 Cấu trúc chung ........................................................................................ 7
1.4. Phân biệt các mô hình IDS................................................................... 11
NIDS........................................................................................................ 11
HIDS........................................................................................................ 12
1.5. Các phương pháp nhận biết tấn công................................................... 12
1.6 Các sản phẩm IDS trên thị trường......................................................... 14
Intrust ...................................................................................................... 14
ELM ........................................................................................................ 15
GFI LANGUARD S.E.L.M .................................................................... 16
SNORT.................................................................................................... 17
Cisco IDS ................................................................................................ 18
Dragon..................................................................................................... 19
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH
CISCO ............................................................................................................. 20
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN .... 20
2.1.1 Khái niệm SPAN............................................................................ 20
2.1.2 Các thuật ngữ ................................................................................. 22
2.1.3 Các đặc điểm của cổng nguồn........................................................ 24
2.1.4 Lọc VLAN ..................................................................................... 24
2.1.5 Các đặc điểm của nguồn VLAN .................................................... 25
2.1.6 Các đặc điểm của cổng đích........................................................... 26
2.1.7 Các đặc điểm của cổng phản hồi.................................................... 27
2.2. SPAN trên các dòng Switch Cisco....................................................... 28
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000
Series chạy CatOS................................................................................... 28
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
3560, 3560-E, 3750 and 3750-E Series .................................................. 52
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy
phần mềm hệ thống Cisco IOS ............................................................... 55
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau
..................................................................................................................... 58
Các dòng Switch dưới Catalyst 4000 Series ........................................... 58
Catalyst 4500/4000 Series....................................................................... 59
Catalyst 5500/5000 and 6500/6000 Series.............................................. 59
2.4 Các lỗi thường gặp khi cấu hình ........................................................... 59
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
2
CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT
VÀO HỆ THỐNG........................................................................................... 69
3.1. Các đặc điểm chính .............................................................................. 69
3.1.1 Hệ thống detection engine: ............................................................ 70
3.1.2 Hệ thống Logging & alerting:........................................................ 70
3.1.3 Tập luật(RULES) ........................................................................... 71
3.2 Các bước cài đặt Snort trên hệ điều hành Debian................................. 72
3.2.1 Cài hệ điều hành Debian ................................................................ 72
3.2.2 Cài các phần mềm cần thiết ........................................................... 73
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL ................. 75
3.2.4 Cài đặt Snort................................................................................... 75
3.2.5 Cấu hình MySQL Server................................................................ 77
3.2.6 Cấu hình để SNORT bắn alert vào MySQL .................................. 78
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) ... 79
3.2.9 Cập nhật Rules với Oinkmaster ..................................................... 81
3.2.10 Startup Script................................................................................ 82
3.2.11 Tạo Acc truy cập vào Base .......................................................... 83
3.2.12 Cấu hình SNMP Server................................................................ 83
3.2.13 Tạo file index.php để định hướng trình duyệt ............................. 84
3.2.14 Cài đặt phần mềm quản trị Webmin ............................................ 84
3.3 Giao diện hệ thồng sau cài đặt .............................................................. 85
3.3.1 Các thông tin cấu hình cơ bản........................................................ 85
3.3.2 Hướng dẫn sử dụng SNORT.......................................................... 86
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) .............................. 89
3.3.4 Hướng dẫn sử dụng Webmin ....................................................... 101
KẾT LUẬN................................................................................................... 108
DANH MỤC TÀI LIỆU THAM KHẢO...................................................... 109
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
3
LỜI NÓI ĐẦU
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS
(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất
thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện
xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được
sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái
niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các
phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của
công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại
một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển.
Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân
tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn
động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ
không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích
và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường
xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là
gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ
trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là
một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi
các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng
đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém
và không đem lại hiệu quả tương xứng so với đầu tư.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
4
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu
chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các
IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động.
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn
chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt
động hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS
có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ
thống IDP - Intrusion Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,
một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ
không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ
thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được
phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần
thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong
việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh
nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể
hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
5
Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ
thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện
nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó
là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS.
Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng
phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này,
chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ
thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của
mình thay thế cho các IDS cứng đắt tiền.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
6
CHƯƠNG I - TỔNG QUAN VỀ IDS
1.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà
quản trị .
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có
hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng
hay địa chỉ IP nguồn đó không cho truy cập hệ thống mạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.2. Chức năng
Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau :
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những
hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng
Phân biệt: các tấn công trong và ngoài mạng
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
7
1.3 Cấu trúc chung
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện
xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu
trúc chung cho các hệ IDS là:
Hình 1.1 : Mô hình chung hệ thống IDS
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc
phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để
ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác
định các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài
nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ
thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ
thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính
cho mỗi IDS) để phát hiện các dấu hiệu tấn công.
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên
hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
8
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng
khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ
thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một
IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :
Hình 1.2 : Cấu trúc tập trung.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
9
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi
luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu
dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói
mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát
hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành
vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ
liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả.
Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm
phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất
cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc
một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo
vệ.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
10
Hình 1.3 : Cấu trúc đa tác nhân
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.
IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự
phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả
năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công
mới. Các giải pháp dựa trên tác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng
cấp chính sách đáp trả.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi.
Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
11
trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy
nhất..
1.4. Phân biệt các mô hình IDS
Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)
NIDS
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn
bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn
hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử
dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt
động ở mức cao.
Hình 1.4 : Mô hình NIDS
Một số sản phẩm NIDS :
-Cisco IDS
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
12
-Dragon® IDS/IPS
HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so
với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy
tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho
phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể
thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua
nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên
hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng
dụng UNIX và nhiều hệ điều hành khác.
Hình 1.5 : Mô hình HIDS
1.5. Các phương pháp nhận biết tấn công
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
13
Nhận biết qua tập sự kiện
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp
vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom & Sense và ComputerWatch (được phát triển tại AT&T
Phát hiện xâm nhập dựa trên tập luật (Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu
biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm
định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi
(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện
kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong
cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ
liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản
chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được
sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald
eXpert-BSM(Solaris).
Phân biệt ý định người dùng (User intention identification):
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều
chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp
nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp
lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
Phân tích trạng thái phiên (State-transition analysis):
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
14
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo
hay đáp trả theo các hành động đã được định trước.
Phương pháp phân tích thống kê (Statistical analysis approach):
Đây là phương pháp thường được sử dụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến
thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy
nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,…
Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị
có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định
nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với
mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương
quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có
hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng
cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này
thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các
phương pháp thống kê thường được sử dụng trong việc bổ sung
1.6 Các sản phẩm IDS trên thị trường
Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động
kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt
vời. Đưa ra với một giao diện báo cáo với hơn 1. 000 báo cáo khác nhau, giúp kiểm
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
15
soát được Nhập phức tạp. Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện
cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác.
1. Tính năng cảnh báo toàn diện
2. Tính năng báo cáo toàn diện
3. Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng
4. Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ mỉ
5. Lọc dữ liệu cho phép xem lại một cách dễ dàng
6. Kiểm tra thời gian thực
7. Phân tích dữ liệu đã được capture
8. Tuân thủ theo các chuẩn công nghiệp
9. Sự bắt buộc theo một nguyên tắc
ELM
Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩm
được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra
thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ. Cơ sở
dữ liệu được bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm được an toàn.
Điều này có nghĩa là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự
động tạo một cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở dữ liệu chính
online trở lại. Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3. 0
1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
16
2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các
bản ghi sự kiện và bộ đếm hiệu suất.
3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ
các báo cáo HTML và ASCII
4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML
6. Hỗ trợ giao diện kiến thức cơ sở
7. Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT.
8. Hỗ trợ cở sở dữ liệu SQL Server và Oracle.
9. Các truy vấn tương thích WMI cho mục đích so sánh
10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập
GFI LANGUARD S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài
đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M.
1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự
kiện
2. Quản lý bản ghi sự kiện mạng
3. Phát hiện nâng cao các tấn công bên trong
4. Giảm TOC
5. Không cần đến phần mềm client hoặc các tác nhân
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
17
6. Không ảnh hưởng đến lưu lượng mạng
7. Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ
8. Bộ kiểm tra file mật
9. Kiểm tra bản ghi toàn diện
10. Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng
SNORT
Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trong
môi trường UNIX. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ nền
Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm
này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian
và băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi nhiều người và
nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại
được trong bất kỳ tổ chức nào.
Dưới đây là những thông tin vắn tắt về sản phẩm này:
1. Hỗ trợ cấu hình hiệu suất cao trong phần mềm
2. Hỗ trợ tốt cho UNIX
3. Hỗ trợ mã nguồn mở linh hoạt
4. Hỗ trợ tốt SNMP
5. Hỗ trợ mô đun quản lý tập trung
6. Hỗ trợ việc cảnh báo và phát hiện xâm phạm
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
18
7. Có các gói bản ghi
8. Phát hiện tấn công toàn diện
9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện
10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
Cisco IDS
Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận
cũng như danh tiếng truyền thống của nó.
Dưới đây là những thông tin vắn tắt về thiết bị này:
1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai.
2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco .
3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành
động trái phép
4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau
5. Cho hiệu suất mạng cao
6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của
kẻ xâm nhập
7. Quản lý GUI tập trung
8. Quản lý từ xa
9. Email thông báo._. sự kiện.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
19
Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có
các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ
trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát
IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên
điểm yếu của sản phẩm này là ở chỗ giá cả của nó. Dưới đây là những thông tin vắn
tắt về Dragon (Phiên bản hoạt động kinh doanh).
1. Dragon hỗ trợ cả NIDS và HIDS
2. Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX
3. Được mô đun hóa và có thể mở rộng
4. Kiểm tra quản lý tập trung
5. Phân tích và báo cáo toàn diện
6. Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh
7. Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router.
8. Quản lý biên dịch báo cáo
9. Có chu kỳ cập nhật chữ kỹ hoàn hảo.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
20
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG
SWITCH CISCO
Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo
hệ thống switch của Cisco. Đó là kỹ thuật phân tích thống kê cổng switch. Kỹ thuật
phân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi
được gọi là kỹ thuật tham chiếu cổng (port mirroring) hoặc giám sát cổng(port
monitoring), cho phép kết nối máy phân tích vào Switch Cisco. Máy phân tích có
thể là một Cisco SwitchProbe hoặc một thiết bị theo dõi khảo sát từ xa Remote
Monitoring (RMON). Trước đây, SPAN là một tính năng kỹ thuật tương đối cơ bản
trên dòng Switch Cisco Catalysts. Tuy nhiên, các phiên bản mới của Catalyst OS
(CatOS) giới thiệu các tính năng nâng cao và nhiều khả năng mới đối với người sử
dụng. Ta sẽ điểm qua các đặc điểm của SPAN. Đó là:
- SPAN là gì , cách cấu hình.
- Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên SPAN
xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng.
- SPAN ảnh hưởng thế nào đến khả năng thực thi của Switch
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN
2.1.1 Khái niệm SPAN
Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữa
switch với hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản
sao của gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến. Khi
một switch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table )
Layer 2 dựa trên cơ sở địa chỉ MAC nguồn của các gói tin khác nhau mà switch
nhận được. Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển
tiếp luồng dữ liệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
21
Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B
và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng
khác sẽ “xem” được lưu lượng từ máy A đến máy B
Hình 2.1 : Máy cần theo dõi gắn vào hub
Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic
unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà
máy B nối đến. Bởi vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phân
tích.
Hình 2.2 : Máy cần theo dõi gắn vào Switch
Trong mô hình này, máy phân tích chỉ nhận được các luồng dữ liệu được gửi đến tất
cả các cổng, như là :
- Luồng thông tin quảng bá (broadcast traffic)
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
22
- Luồng thông tin multicast với CGMP hoặc Internet Group Management Protocol
(IGMP)
- Các luồng dữ liệu đơn nhất (unicast traffic) không rõ ràng
Luồng thông tin đơn nhất được chuyển tiếp ra các cổng (flooding) khi switch không
có địa chỉ MAC đích trong bảng nhớ nội dung địa chỉ (CAM – Content-addressable
memory). Switch không biết địa chỉ cổng chính xác để gửi luồng dữ liệu đó. Đơn
giản là nó sẽ đẩy các gói tin đến tất cả mọi cổng còn lại.
Một đặc điểm mở rộng cần thiết là tạo một bản sao giả tạo các gói tin đơn nhất
(unicast packets) để đưa đến cổng Switch gắn máy phân tích dữ liệu
Hình 2.3 : Dữ liệu được tạo bản sao ở Switch
Ở cấu trúc trên, máy phân tích được gắn vào cổng được cấu hình để nhận một bản
sao của mọi gọi tin mà máy A gửi, cổng này được gọi là cổng SPAN.
2.1.2 Các thuật ngữ
- Ingress traffic : luồng dữ liệu chạy vào switch
- Egress traffic : luồng dữ liệu đi ra khỏi switch
- Source (SPAN) port : cổng được theo dõi (monitor) bằng việc sử dụng kỹ thuật
SPAN
- Source (SPAN) VLAN : VLAN được theo dõi
- Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thường là khi
ở đây có một máy phân tích được gắn vào
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
23
- Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN
- Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trong
Catalyst 2900XL/3500XL/2950
Hình 2.4 : Các thuật ngữ
- Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là được đặt
trên cùng Switch như cổng đích. Đặc điểm này là tương phản với Remote SPAN
(RSPAN)
- Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch với cổng
đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm
mang luồng thông tin được theo dõi bởi SPAN giữa các Switch. RSPAN không hỗ
trợ trên tất cả các Switch. Kiểm tra ghi chú phát hành tương ứng hoặc hướng dẫn
cấu hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai.
- Port-based SPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn
trên Switch và một cổng đích.
- VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọn theo
dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh.
- Administrative source : Một tập các cổng nguồn hoặc các VLAN được cấu hình để
theo dõi.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
24
- Operational source : Một tập các cổng được quản lý thực sự. Tập các cổng này có
thể khác nhau từ nguồn quản trị. Ví dụ, một cổng trong chế độ tắt có thể hiển thị tại
nguồn quản trị, nhưng nó không thực sự được theo dõi.
2.1.3 Các đặc điểm của cổng nguồn
Một cổng nguồn, còn được gọi là cổng được theo dõi (monitored port), là một cổng
được chuyển mạch hoặc được định tuyến cho phép bạn theo dõi luồng dữ liệu trên
mạng. Trong một phiên cục bộ SPAN hoặc phiên nguồn RSPAN, bạn có thể theo
dõi lưu lượng cổng nguồn, như lưu lượngn nhận (Rx), gửi (Tx), hoặc cả hai hướng
(bidirectional). Switch hỗ trợ mọi cổng (trên switch) và mọi VLAN tồn tại trên đó
có thể là nguồn.
Một cổng nguồn có các đặc điểm :
• Nó có thể là bất kỳ kiểu cổng nào, chẳng hạn như EtherChannel, Fast
Ethernet, Gigabit Ethernet, ….
• Nó có thể được theo dõi trong nhiều phiên Span.
• Nó không thể là một cổng đích.
• Mỗi cổng nguồn có thể được cấu hình với một hướng (đi vào, đi ra, hoặc cả
hai) để theo dõi. Với nguồn EtherChannel, theo dõi và giám sát các hướng áp
dụng cho tất cả các cổng vật lý trong nhóm.
• Cổng nguồn có thể có ở trong cùng một hoặc nhiều VLANs khác nhau.
• Với các VLAN Span nguồn, tất cả các cổng hoạt động trong các VLAN
nguồn được bao gồm như cổng nguồn.
2.1.4 Lọc VLAN
Khi bạn theo dõi đường trunk như là một cổng nguồn, tất cả các VLANs đang hoạt
động trên đường trunk được giám sát theo mặc định. Bạn có thể sử dụng lọc VLAN
để giới hạn lưu lượng SPAN giám sát trên đường trunk cổng nguồn để chỉ rõ các
VLANs.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
25
• VLAN lọc chỉ áp dụng cho các đường trunk hoặc cổng voice VLAN.
• VLAN lọc chỉ áp dụng cho các cổng nguồn dựa trên phiên và không được
cho phép trong phiên với VLAN nguồn.
• Khi một danh sách VLAN lọc được xác định, chỉ có những VLANs trong
danh sách được theo dõi và giám sát trên các cổng trunk hoặc trên cổng, truy
nhập voice VLAN .
• Lưư lượng Span truy cập đến từ các kiểu cổng khác không bị ảnh hưởng bởi
VLAN lọc, điều đó có nghĩa là tất cả các VLANs đều được phép qua các
cổng khác.
• VLAN lọc chỉ ảnh hưởng đến lưu lượng chuyển tiếp đến cổng đích Span và
không ảnh hưởng tới việc chuyển mạch của lưu lượng truy cập bình thường.
• Bạn không thể làm việc với các VLAN nguồn và lọc cácVLAN trong một
phiên. Bạn có thể có các VLAN nguồn hoặc các VLAN lọc, nhưng không
làm cả hai cùng một lúc được
2.1.5 Các đặc điểm của nguồn VLAN
VSPAN là giám sát lưu lượng mạng ở một hoặc nhiều VLANs. Span hay RSPAN
nguồn giao diện trong VSPAN là một VLAN ID, và lưu lượng được theo dõi trên
tất cả các cổng thuộc về VLAN đó.
VSPAN có những đặc điểm:
• Tất cả các cổng hoạt động trong VLAN nguồn được bao gồm như cổng
nguồn và có thể được theo dõi ở một hoặc cả hai hướng.
• Trên một cổng, chỉ lưu lượng trên VLAN được theo dõi được gửi đến cổng
đích.
• Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại trừ khỏi danh
sách nguồn và không được theo dõi và giám sát.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
26
• Nếu các cổng được thêm hoặc xoá bỏ từ các VLANs nguồn, lưu lượng trên
các VLAN nguồn nhận được bởi các cổng được thêm vào hoặc xoá bỏ từ
nguồn đang theo dõi và giám sát.
• Bạn không thể sử dụng các VLANs lọc trong cùng một phiên với VLAN
nguồn.
• Bạn có thể theo dõi duy nhất các Ethernet VLANs.
2.1.6 Các đặc điểm của cổng đích
Mỗi phiên cục bộ SPAN hay phiên đích RSPAN phải có một cổng đích(còn gọi là
cổng giám sát) nhận được một bản sao lưu lượng truy cập từ các cổng nguồn và các
VLANs.
Một cổng đích có các đặc điểm :
• Một cổng đích phải trên cùng một Switch như cổng nguồn (cho một phiên
SPAN cục bộ).
• Một cổng đích có thể là bất kỳ cổng Ethernet vật lý nào.
• Một cổng đích có thể tham gia vào duy nhất một phiên SPAN tại một thời
điểm. Một cổng đích trong một phiên SPAN không thể là một cổng đích cho
phiên SPAN thứ hai. Một cổng đích không thể là một cổng nguồn.
• Một cổng nguồn không thể là một nhóm EtherChannel.
• Một cổng đích có thể là một cổng vật lý trong một nhóm EtherChannel,
ngay cả khi nhóm EtherChannel đã được xác định như là một nguồn SPAN.
The port is removed from the group while it is configured as a SPAN
destination port. Cổng đó được gỡ bỏ khỏi nhóm trong khi nó đã được cấu
hình như một cổng đích SPAN.
• Cổng đó không truyền tải bất kỳ lưu lượng nào, ngoại trừ lưu lượng cho các
phiên SPAN thiết cho buổi học tập, trừ khi tiến trình tự học được kích hoạt.
Nếu tiến trình tự học được kích hoạt, cổng đó cũng truyền lưu lượng theo
hướng đến các máy trạm đã được học trên cổng đích.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
27
• Trạng thái của cổng đích bật /tắt theo chế độ định sẵn. Giao diện hiển thị
cổng đó trong trạng thái này theo thứ tự rõ ràng các cổng hiện tại không thích
hợp nhu cổng nguồn.
• Nếu lưu lượng chuyển tiếp được cho phép cho một thiết bị bảo mật mạng.
Các cổng đích chuyển tiếp lưu lượng tại lớp 2(DataLink).
• Một cổng đích không tham gia vào cây bao trùm trong khi các phiên SPAN
đang hoạt động.
• Khi đây là một cổng đích, nó không tham gia vào bất kỳ giao thức lớp 2 (EP,
VTP, CDP, DTP, PagP).
• Một cổng đíchthuộc về một nguồn VLAN của bất cứ phiên SPAN bị loại trừ
khỏi danh sách các nguồn và không được giám sát.
• Một cổng đích nhận được các bản sao của lưu lượng gửi và nhận của cổng
nguồn được giám sát. Nếu một cổng đích hết thời gian truy nhập, nó có thể
dẫn đến xung đột. Điều này có thể ảnh hưởng đến lưu lượng chuyển tiếp trên
một hoặc nhiều cổng nguồn.
2.1.7 Các đặc điểm của cổng phản hồi
Cổng phản hồi là cơ chế đưa các bản sao các gói lên một RSPAN VLAN. Cổng
phản hồi chuyển tiếp duy nhất những lưu lượng từ phiên RSPAN nguồn với phiên
mà nó trực thuộc. Bất kỳ thiết bị nào kết nối đến một cổng đựoc đặt là cổng phản
hồi mất kết nối chỉ khi phiên RSPAN nguồn bị vô hiệu hóa.
Cổng phản hồi có những đặc điểm :
• Là một cổng đặt ở chế độ loopback.
• Nó có thể không được là một nhóm EtherChannel, không phải đường trunk,
và nó không thể thực hiện giao thức lọc.
• Nó có thể là một cổng vật lý được đặt trong một nhóm EtherChannel, ngay
cả khi nhóm EtherChannel được xác định như là một SPAN nguồn. Cổng
được bỏ khỏi nhóm trong khi nó đã được cấu hình như một cổng phản hồi.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
28
• Một cổng được sử dụng như là một cổng phản hồi không thể là một SPAN
nguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi cho
nhiều hơn một phiên tại một thời điểm.
• Nó không nhìn thấy trong mọi VLANs.
• Native VLAN dành cho lưu lượng looped-back trên một cổng phản hồi là
RSPAN VLAN.
• Cổng phản hồi loops back không đánh dấu lưu lượng đi đến Switch. Lưu
lượng đặt trên RSPAN VLAN và đưa đến các cổng trunk bất kỳ mang
RSPAN VLAN đó.
• Thuật toán cây bao trùm tự động bị vô hiệu trên một cổng phản hồi.
• Một cổng phản hồi nhận các bản sao của lưu lượng đã gửi và nhận cho tất cả
các nguồn đã giám sát..
2.2. SPAN trên các dòng Switch Cisco
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series
chạy CatOS
Lưu ý: Phần này chỉ được áp dụng cho dòng Switch Cisco Catalyst 2900 Series :
• Cisco Catalyst 2948G-L2
• Cisco Catalyst 2948G-GE-TX
• Cisco Catalyst 2980G-A
Phần này được áp dụng cho dòng Cisco Catalyst 4000 Series bao gồm:
• Modular Chassis Switches:
o Cisco Catalyst 4003
o Cisco Catalyst 4006
• Fixed Chassis Switch:
o Cisco Catalyst 4912G
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
29
SPAN cục bộ
Các tính năng SPAN được cập nhật lần lượt đến CatOS, và cấu hình một SPAN bao
gồm một lệnh đơn set SPAN . Hiện nay, một loạt các tuỳ chọn có sẵn cho lệnh :
switch (enable) set SPAN
Usage: set SPAN disable [dest_mod/dest_port|all]
set SPAN
[rx|tx|both]
[inpkts ]
[learning ] [multicast ]
[filter ]
[create]
Lược đồ mạng này giới thiệu những khả năng khác nhau SPAN tuỳ theo yêu cầu:
Hình 2.5 : Kết nối theo từng VLAN
Lược đồ này đại diện cho một phần của một dòng thẻ mà nằm ở slot 6 của Catalyst
6500/6000. Trong phần này:
• Ports 6/1 and 6/2 belong to VLAN 1
• Port 6/3 belongs to VLAN 2
• Ports 6/4 and 6/5 belong to VLAN 3
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
30
Kết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một
số trường hợp khác nhau.
PSPAN, VSPAN : Giám sát một số cổng hoặc toàn bộ một VLAN
Nhập mẫu đơn giản nhất lệnh set SPAN để giám sát một cổng. Cú pháp là set
SPAN source_port destination_port.
Giám sát một cổng với SPAN
Hình 2.6 : Giám sát sát một cổng
switch (enable) set SPAN 6/1 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local
SPAN
session active for destination port 6/2
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
31
Với cấu hình này, mỗi gói được nhận hoặc gửi qua cổng 6/1 được sao chép trên
cổng 6/2. Một mô tả rõ ràng lên đến khi bạn đưa vào cấu hình. Sử dụng show
SPAN để nhận được một tóm tắt cấu hình SPAN hiện tại:
switch (enable) show SPAN
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local SPAN sessions: 1
Giám sát một số cổng với SPAN
Hình 2.7 : Giám sát nhiều cổng
Câu lệnh set SPAN source_ports destination_port cho phép người sử dụng chỉ định
nhiều hơn một cổng nguồn . Đơn giản chỉ cần liệt kê tất cả các cổng trên mà bạn
muốn thực hiện SPAN, phân tách các cổng với các dấu phẩy. Các thông dịch dòng
lệnh cũng cho phép bạn sử dụng gạch nối để xác định một dải các cổng. Ví dụ này
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
32
minh họa khả năng này để xác định nhiều hơn một cổng. Ví dụ sử dụng SPAN trên
cổng 6/1 và một dải 3 cổng 6/3 đến 6/5:
Lưu ý: Hiện chỉ có thể xác định một cổng đích. Luôn luôn xác định cổng đích sau
nguồn SPAN .
switch (enable) set SPAN 6/1,6/3-5 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local SPAN session
inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3-5
Oper Source : Port 6/1,6/3-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local
span
session active for destination port 6/2
Lưu ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000,
5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau với
các phiên bản CatOS trước 5.1. Ở đây, các cổng giám sát được gán cho các VLANs
1, 2, và 3.
Giám sát các VLANs với SPAN
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
33
Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượng
cục bộ một VLAN. Cú pháp là set SPAN source_vlan(s) destination_port.
Sử dụng một danh sách của một hoặc nhiều VLANs như là một nguồn, thay vì một
danh sách các cổng:
Hình 2.8 : Sử dụng các VLAN như các nguồn cổng
switch (enable) set SPAN 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local SPAN
session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-
SPAN_CFGSTATECHG:local SPAN
session active for destination port 6/2
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
34
Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản
đến cổng 6/2.
Lưu ý: Kết quả là chính xác giống như nếu bạn thực hiện SPAN độc lập trên tất cả
các cổng thuộc các VLANs mà câu lệnh chỉ rõ. So sánh các trường Oper Source và
trường Admin Source . Trường Admin Source liêt kê cơ bản tất cả các cổng cấu
hình cho phiên SPAN, và trường Oper Source liệt danh sách các cổng sử dụng
SPAN.
Ingress/Egress SPAN
Ở ví dụ trong phần Monitor VLANs with SPAN, lưu lượng đi vào và đi ra khỏi các
cổng được xác định được giám sát. Các trường hướng : truyền/nhận hiển thị lưu
lượng. Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để
thu thập chỉ các lưu lượng đi ra hoặc chỉ lưu lượng đi vào trên một cổng. Thêm vào
các từ khoá RX (nhận) hoặc tx (truyền) cuối dòng lệnh lệnh. Giá trị mặc định là
both (tx và RX).
set SPAN source_port destination_port [rx | tx | both]
In this example, the session captures all incoming traffic for VLANs 1 and 3 and
mirrors the traffic to port 6/2: Trong ví dụ này, phiên này lưu tất cả lưu lượng đến
các VLANs 1 và 3 và nhân bản lưu lượng đến cổng 6/2:
Hình 2.9 : Nhân bản lưu lượng đến cổng 6/2
switch (enable) set SPAN 1,3 6/2 rx
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
35
2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local SPAN
session
inactive for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 1,3
Oper Source : Port 1/1,6/1,6/4-5,15/1
Direction : receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:09:06 %SYS-5-
SPAN_CFGSTATECHG:local SPAN
session active for destination port 6/2
Thực hiện SPAN trên một đường Trunk
Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mang
thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the
VLANs on this trunk is monitored. Nếu một đường trunk được chọn là một cổng
nguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát.
Giám sát một tập nhỏ của các VLANs trên một đường trunk
Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs.
Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN
cho 2 cổng 6/4 và 6/5. Đơn giản là dùng lệnh :
switch (enable) set SPAN 6/4-5 6/2
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
36
Hình 2.10 : Giám sát lưu lượng qua đường trunk
Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu
lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang. Ví dụ,
không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN
2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ
VLAN 2:
switch (enable) set SPAN 2 6/2
Hình 2.11 : Thiết lập VLAN bị giám sát
Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từ
đường trunk đó. Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạn
không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựa
chọn một số VLANs để giám sát từ đường trunk
switch (enable) set SPAN 6/4-5 6/2 filter 2
2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session
inactive
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
37
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : 2
Status : active
Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được
theo dõi và giám sát. Bạn có thể chỉ định một số VLANs với tùy chọn lọc.
Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst
6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is
available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên
dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ trợ
tùy chọn lọc sẵn có với câu lệnh set SPAN.
Trunking trên cổng đích
Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng
SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN
của một gói bạn nhận được trên cổng SPAN đích . Điều này có thể được xác định
là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
38
SPAN. Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được
gắn thẻ của họ tương ứng với VLAN ID.
Note: Your sniffer needs to recognize the corresponding encapsulation.
Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng.
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
switch (enable) set trunk 6/2 nonegotiate isl
Port(s) 6/2 trunk mode set to nonegotiate.
Port(s) 6/2 trunk type set to isl.
switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has
become
isl trunk
switch (enable) set span 6/4-5 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
39
2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session
active for
destination port 6/2
Tạo ra các phiên làm việc đồng thời
Trước đây, chỉ có một phiên Span đã được tạo ra. Mỗi lầng bạn nhập một lệnh mới
set span, cấu hình trước đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy
nhiều phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhập
lệnh set span source destination create để tạo thêm một phiên SPAN. Trong phiên
này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3
được giám sát:
Hình 2.12 : Giám sát đồng thời
switch (enable) set span 6/1 6/2
2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
40
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local
span
session active for destination port 6/2
switch (enable) set span 3 6/3 create
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local
span
session active for destination port 6/3
Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
41
Multicast : enabled
Filter : -
Status : active
------------------------------------------------------------------------
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 2
Các phiên thêm vào được khởi tạo. Bạn muốn xoá một vài phiên. Câu lệnh là
set span disable {all | destination_port }
Bởi vì chỉ có thể có được một cổng đích mỗi phiên, cổng đó xác định một phiên.
Xóa phiên đầu tiên được khởi tạo, là phiên sử dụng port 6/2 là cổng đích:
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/2
Bạn có thể kiểm tra hiện tại có duy nhất một phiên duy trì :
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
42
switch (enable) show span
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
Nhập câu lệnh sau nếu muốn khoá tất cả các phiên hiện tại trong một bước :
switch (enable) set span disable all
This command will disable all span session(s).
Do you want to continue (y/n) [n]?y
Disabled all local span sessions
2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/3
switch (enable) show span
No span session configured
Các tuỳ chọn SPAN khác
Cú pháp của set span là :
switch (enable) set span
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
43
Usage: set span disable [dest_mod/dest_port|all]
set span
[rx|tx|both]
[inpkts ]
[learning ]
[multicast ]
[filter ]
[create]
Phần này giới thiệu ngắn gọn các tuỳ chọn mà tài liệu đề cập :
• sc0-Bạn chỉ rõ từ khóa sc0 khi cấu hình một Span khi bạn cần phải giám sát
lưu lượng truy cập vào giao diện quản lý sc0. Tính năng này có sẵn trên các
Catalyst 5500/5000 và 6500/6000, CatOS phiên bản 5.1 hoặc mới hơn.
• inpkts enable/disable -Tùy chọn này là vô cùng quan trọng. Khi ở tuỳ chọn
này, một cổng mà bạn cấu hình là cổng Span đích vẫn thuộc về VLAN ban
đầu của nó. Các gói được nhận trên một cổng đích sau đó đi vào VLAN đó,
nếu cổng này là một cổng truy nhập bình thường. Động thái này có thể được
mong muốn. Nếu bạn sử dụng một máy tính như là một Sniffer, bạn có thể
muốn máy PC hoàn toàn kết nối với VLAN đó. Tuy nhiên, các kết nối có thể
được gây nguy hiểm nếu bạn kết nối cổng đích đến các thiết bị mạng khác ,
tạo loop trong mạng. Cổng SPAN đich, không chạy STP, và bạn có thể kết
thúc trong một tình huống lặp dữ liệu. Cấu hình mặc định của tùy chọn này
là vô hiệu hóa, điều đó có nghĩa là cổng đích span bỏ qua các mà cổng nhận
được. Điều này bảo vệ cổng khỏi tình trạng bridging "loop". Tùy chọn này
xuất hiện trong CatOS 4.2.
• learning enable/disable — Tùy chọn này cho phép bạn vô hiệu hoá quá trình
học trên cổng đích. Theo mặc định, quá trình học được kích hoạt và cổng
đích học các địa chỉ MAC từ các gói cổng nhận được. Tính năng này xuất
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
44
hiện trong CatOS 5,2 trên Catalyst 4500/4000 và 5500/5000, và trong CatOS
5,3 trên Catalyst 6500/6000.
• Như tên gọ._.t
position to search through.
14. msg: Sets the message to be sent when a packet generates an event.
SNORT có thể chạy tốt trên các platform mà LIBPCAP hổ trợ.
3.2 Các bước cài đặt Snort trên hệ điều hành Debian
3.2.1 Cài hệ điều hành Debian
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
73
- Tên hệ điều hành:Debian GNU/Linux 4. 0 r0 "Etch"
- Kernel: Linux IDS 2. 6. 18-4-686
- Tài khoản
+ user:root
+ pass:root
3.2.2 Cài các phần mềm cần thiết
- Sửa lại file /etc/apt/sources. list như sau
deb debian. org/ etch/updates main contrib
deb-src debian. org/ etch/updates main contrib
Trỏ link source qua máy chủ đặt trong mạng giáo dục TEIN2
deb stable main
deb-src stable main
#Backports
deb backports. org/debian etch-backports main contrib non-free
- Thêm GPG key của repo:
# wget -O - key | apt-key add -
- Cập nhật danh sách các gói
# apt-get -y update
- Cài đặt các tools tiện ích:
# apt-get -y install wget tcpdump mc tethereal
- Cài đặt các gói cần thiết
# apt-get -y install apache-ssl apache-common libapache-mod-php4
Các gói cài theo:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
74
apache2-utils libapr1 libaprutil1 libexpat1 libmagic1 libpq4 libsqlite3-0
libzzip-0-12 lynx mime-support openssl perl perl-modules php4-common ssl-cert
ucf
Cấu hình SSL Certificate
+ Country: VN
+ State or Province Name: Hanoi
+ Locality: Hanoi
+ Organisation Name: DHBK
+ Organisation Unit Name: DHBK
+ Email Address: cuongnd-linc@mail. hut. edu. vn
# apt-get -y install mysql-server mysql-common mysql-client php4-mysql
Các gói cài theo:
libdbd-mysql-perl libdbi-perl libmysqlclient15off libnet-daemon-perl
libplrpc-perl mysql-client-5. 0 mysql-server-5. 0 psmisc
# apt-get -y install libpcap0. 8 libpcap0. 8-dev libmysqlclient15-dev
Các gói cài theo: libc6-dev linux-kernel-headers zlib1g-dev
# apt-get -y install php4-gd php4-pear libphp-adodb vim gcc make
Các gói cài theo: binutils cpp cpp-4. 1 defoma file fontconfig-config gcc-4. 1
libfontconfig1
libfreetype6 libgd2-xpm libjpeg62 libpng12-0 libssp0 libt1-5 libx11-6
libx11-data libxau6 libxdmcp6 libxml2 libxpm4 php-db php-http php-mail
php-net-smtp php-net-socket php-pear php-xml-parser php5-cli php5-common
ttf-dejavu vim-runtime x11-common
Configuring libphp-adodb
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
75
WARNING: include path for php has changed!
libphp-adodb is no longer installed in /usr/share/adodb. New installation path is now
/usr/share/php/adodb.
Please update your php. ini file. Maybe you must also change your web-server
configuraton.
# apt-get -y install php4-cli libtool libssl-dev gcc-4. 1 g++
Các gói cài theo: autotools-dev g++-4. 1 libstdc++6-4. 1-dev
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL
Sử dụng phần mềm Shorewall để cấu hình iptables
# apt-get install shorewall iproute libatm1 shorewall-doc iproute-doc
Cấu hình SHOREWALL có thể thực hiện qua Webmin
3.2.4 Cài đặt Snort
- Cài đặt PCRE
# cd /usr/local/src
# apt-get source libpcre3
apt-get download về 3 file sau: pcre3_6. 7-1. diff. gz, pcre3_6. 7-1. dsc, pcre3_6. 7.
orig. tar. gz
# tar xzvf pcre3_6. 7. orig. tar. gz
# cd pcre-6. 7
# . /configure && make && make install
- Cài đặt Snort 2. 7
# cd /usr/local/src
# wget -c org/dl/current/snort-2. 7. 0. 1. tar. gz
# tar zxvf snort-2. 7. 0. 1. tar. gz
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
76
# cd snort-2. 7. 0. 1
# . /configure --with-mysql --enable-dynamicplugin
# make && make install
- Cấu hình SNORT
# mkdir /etc/snort
# mkdir /var/log/snort
# groupadd snort
# useradd -g snort snort
# chown snort:snort /var/log/snort
Download snort-rules
+ Đăng ký một account tại snort. org và download "registered-user" rules
snortrules-snapshot-CURRENT. tar. gz
+ Bạn sẽ nhận được một OINKCODE để update snort-rules mỗi khi có các rule mới
Ví dụ OINKCODE = a7a0ac0d6e14a691882eab106f27be4bc76fa28f
# cd /etc/snort
# tar zxvf snortrules-snapshot-CURRENT. tar. gz
# cp /usr/local/src/snort-2. 7. 0. 1/etc/*. conf* .
# cp /usr/local/src/snort-2. 7. 0. 1/etc/*. map .
- Sửa file cấu hình /etc/snort/snort. conf
# vi /etc/snort/snort. conf
var HOME_NET 203. 128. 246. 80/28
var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
- Tạo một luật đơn giản để test snort
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
77
# vi /etc/snort/rules/local. rules
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; dsize:8; itype:8;
sid:10000001;)
alert tcp any any -> any any (msg:"TCP test"; sid:10000002;)
- Khởi tạo snort lần đầu tiên:
# /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf
- Kiểm tra /var/log/snort để thấy dòng thông báo tương tự như sau:
snort[1731]: Snort initialization completed successfully (pid=1731)
- Kiểm tra /var/log/messages để thấy dòng thông báo tương tự như sau:
Aug 12 19:25:38 IDS kernel: device eth0 left promiscuous mode
Aug 12 19:25:38 IDS kernel: audit(1186921538. 186:5): dev=eth0 prom=0
old_prom=256 auid=4294967295
3.2.5 Cấu hình MySQL Server
- Thiết lập mysql root password bằng lệnh sau:
# mysqladmin -u root password "mysql2008"
- Đăng nhập vào mysql command
# mysql -u root -p
- Tạo CSDL snort
mysql> create database snort;
- Tạo snort user và privileges
mysql> grant create, insert, select, delete, update on snort. * to snort@localhost;
- Thiết lập snort user password cho CSDL snort
mysql> set password for snort@localhost=password('snort2008');
mysql> exit
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
78
- Import the schema that comes with the snort program:
# cd /usr/local/src/snort-2. 7. 0. 1/schemas/
# mysql -u root -p < create_mysql snort
- Đăng nhập vào mysql server và xem các bảng đã được tạo:
# mysql -u root -p
mysql> use snort;
mysql> show tables;
3.2.6 Cấu hình để SNORT bắn alert vào MySQL
- Lets get snort logging alerts into the mysql database by configuring
the output plugin for database logging:
# vi /etc/snort/snort.conf
- Tìm dòng dưới đây, bỏ chú thích ở đầu dòng và chỉnh sửa các giá trị cho phù hợp:
output database: log, mysql, user=root password=mysql2008 dbname=snort
host=localhost
- Khởi động lại snort và kiểm tra xem snort đã ghi log vào database hay chưa:
# mysql –uroot -p"mysql2008" -D snort -e "select count(*) from event"
3.2.7 Cài đặt Apache-ssl Web Server
- Sửa file cấu hình apache-ssl
# vi /etc/apache-ssl/httpd. conf
- Bỏ comment của 2 dòng sau:
AddType application/x-httpd-php . php
AddType application/x-httpd-php-source .phps
- Enable extension=mysql. so in /etc/php4/apache/php.ini
# vi /etc/php4/apache/php.ini
Bỏ comment dòng sau:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
79
extension=mysql.so
- Khởi động lại apache
# /etc/init. d/apache-ssl restart
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base)
BASE là một ứng dụng tuyệt vời cung cấp giao diện web để truy vấn và phân tích
các snort alert
BASE 1. 3. 8 was just released.
- Cài đặt BASE:
# cd /var/www
# rm index. html
# wget dl. sourceforge. net/sourceforge/secureideas/base-1. 3. 6. tar. gz
# tar xvzf base-1.3.6.tar.gz
# mv base-1.3.6 base
# chmod 777 base (just for now)
- Open a browser and go to: https://203. 128. 246. 100/base/index.html
+ Continue
+ Step 1 of 5
Pick a language: english
Path to ADODB: /usr/share/php/adodb
Submit query
+ Step 2 of 5
Pick a database type: MySQL
Database name: snort
Database host: localhost
Database Port: Leave blank for default! blank
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
80
Database User Name: snort
Database Password: snort
Bỏ qua phần "Use Archive Database"
Submit query
+ Step 3 of 5
Admin username: snortadmin
Password: snort2008
Fullname: Snort Admin
+ Step 4 of 5
Click "Create BASE AG" which will: Adds tables to extend the Snort DB to
support the BASE functionality
Now continue to step 5 to login
+ Hiện ra màn hình quản trị của BASE
- You should be all setup now. I see thousands of events from my very
noisy rule. Now I will disable the rule, restart snort, delete all
these events from Base, and carry of with tuning my system.
- Go back and chmod 755 the base directory in /var/www
# cd /var/www
# chmod 755 base
- Với bản Debian Testing hiện thời, cần phải cấu hình thêm như sau để
BASE hiển thị được đồ thị:
+ Kết nối php trên Debian tới php4, như sau:
# rm /etc/alternatives/php
# ln -s /usr/bin/php4 /etc/alternatives/php
+ Rồi thực hiện lệnh sau:
# pear config-set preferred_state alpha
+ Sau đó uncomment extension=gd. so trong file /etc/php4/cli/php. ini
vì pear command line sử dụng php-cli để kiểm tra các dependencies:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
81
# vi /etc/php4/cli/php. ini
Uncomment dòng sau:
extension=gd. so
+ Sau đó chạy các lệnh:
# pear install Image_Color
# pear install Image_Canvas
# pear install Log
# pear install Numbers_Roman
# pear install Numbers_Words
# pear install Image_Graph
+ Khởi động lại dịch vụ apache-ssl trước khi click lên các link vẽ biểu đồ:
# /etc/init. d/apache-ssl restart
+ Install signatures into BASE install
o Create a directory named signature/ in the BASE install directory
o Copy any signature txt file you would like into that directory
3.2.9 Cập nhật Rules với Oinkmaster
- Cài đặt cơ bản:
# cd /usr/local/src
# wget dl. sourceforge. net/sourceforge/oinkmaster/oinkmaster-2. 0. tar.
gz
# tar xvzf oinkmaster-2. 0. tar. gz
# cd oinkmaster-2. 0
# cp oinkmaster. pl /usr/local/bin
# mkdir /usr/local/etc
# cp oinkmaster. conf /usr/local/etc
- Tạo thư mục temp
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
82
# mkdir /tmp/oinkmaster
- Tạo thư mục lưu rule-backup
# mkdir /etc/snort/rulesbackup
- Tạo thư mục temp
# mkdir /tmp/oinkmaster
- Chỉnh sửa file cấu hình
# vi /usr/local/etc/oinkmaster. conf
url = snort. org/pub-bin/oinkmaster.
cgi/a7a0ac0d6e14a691882eab106f27be4bc76fa28f/snortrules-snapshot-CURRENT.
tar. gz
- Chạy oinkmaster để update rules vào 0h:00 mỗi ngày:
# vi /etc/crontab
0 0 * * * root /usr/local/bin/oinkmaster. pl -C
/usr/local/etc/oinkmaster. conf -o /etc/snort/rules -b /etc/snort/rulesbackup
3.2.10 Startup Script
- Tạo startup script:
# vi /etc/init. d/snort
====
#!/bin/bash
/sbin/ifconfig eth1 up
/usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort. conf -l
/var/log/snort
====
- Make it executable:
# chmod +x /etc/init. d/snort
- The command update-rc. d will set up links between files in the directories rc?. d
# update-rc. d snort defaults 95
Reboot and see if it works!
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
83
3.2.11 Tạo Acc truy cập vào Base
# cd /etc/apache-ssl/
# htpasswd -b -c /etc/apache-ssl/passwdBase admin basedhbk082007
# htpasswd -b /etc/apache-ssl/passwdBase viewer viewerdhbk082007
# htdigest -b -c conf. d/passwdBase realm admin basedhbk082007
# htdigest -b conf. d/passwdBase realm viewer viewerdhbk082007
- Administration
- Create user:
+ Login: snortadmin
+ Fullname: Snort Admin
+ Password: snort2008
+ Role: admin
+ Login: snortviewer
+ Fullname: Snort Viewer
+ Password: viewer2008
+ Role: user
3.2.12 Cấu hình SNMP Server
- Cài đặt gói snmpd để monitor server có thể biết được các thông số về
hệ thống phát hiện xâm nhập
# apt-get -y install snmpd
- Sửa file cấu hình /etc/snmp/snmpd. conf
# vi /etc/snmp/snmpd. conf
===
com2sec local localhost dhbk
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
84
com2sec localnet 203. 128. 246. 0/24 dhbk
group MyROGroup v1 localnet
group MyROGroup v1 local
view all included . 1 80
view system included . iso. org. dod. internet. mgmt. mib-2. system
access MyROGroup "" any noauth exact all none none
- Cấu hình file /etc/default/snmpd. conf
(mặc định debian chỉ nghe trên localhost --> thêm vào interface để nghe trên ip của
nó)
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd. pid 127. 0.
0. 1 203. 128. 246. 91' // thêm vào ip đằng sau
- Khởi động lại dịch vụ SNMP
# /etc/init. d/snmpd restart
3.2.13 Tạo file index.php để định hướng trình duyệt
https://192.168.40.12
# vi /var/www/index. php
===
<?php
header('Location: ' . "https://192.168.40.12/base/");
?>
===
3.2.14 Cài đặt phần mềm quản trị Webmin
- Thêm vào /etc/apt/source. list
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
85
deb webmin. com/download/repository sarge contrib
# apt-get -y update
# apt-get install webmin
Các gói sau sẽ được cài thêm vào hệ thống:
libauthen-pam-perl libio-pty-perl libmd5-perl libnet-ssleay-perl
- URL đăng nhập: https://192.168.40.12:10000/
3.3 Giao diện hệ thồng sau cài đặt
3.3.1 Các thông tin cấu hình cơ bản
Thông tin về vị trí vật lý của IDS
IDS gồm có 2 network interface, hiện đang được cắm như sau:
+ eth0 cắm vào port thuộc Vlan40, dùng để quản trị
+ eth1 cắm vào port 20, để sniff các traffic từ DMZ
Thông tin về hệ điều hành Debian
- Account quản trị: root/root
- Eth0 interface
+ IP: 192.168.40.12/24
+ Netmask: 255.255.255.0
+ Network: 192.168.40.0/24
+ Broadcast: 192.168.40.255
+ Gateway: 192.168.40.1
+ DNS: 208. 67. 222. 222 (Open DNS server)
- Các phần mềm đã cài đặt:
+ Iptables / Shorewall
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
86
+ Snort 2. 7
+ MySQL Server
+ PHP 4. 4. 4-8+etch4
+ Apache-ssl 1. 3. 34
+ Basic Analysis and Security Engine 1. 3. 6
+ Oinkmaster 2. 0
+ Webmin
+ SNMP server (sử dụng cho Monitor server)
- Các dịch vụ đang mở:
+ 22/tcp ssh
+ 443/tcp https (BASE)
+ 3306/tcp mysql
+ 10000/tcp https (WENMIN)
+ 161/udp snmp
3.3.2 Hướng dẫn sử dụng SNORT
- File cấu hình: /etc/snort/snort. conf
- Thư mục chứa tập luật: /etc/snort/rules/
- File log: /var/log/snort/alert
Kích hoạt hoặc huỷ tiến trình
- Để kích hoạt SNORT, gõ lệnh:
# /etc/init. d/snort start
Hoặc
# /sbin/ifconfig eth1 up
# /usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort. conf -l
/var/log/snort
- Để huỷ tiến trình SNORT, gõ lệnh:
# pkill snort
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
87
File cấu hình SNORT
# vi /etc/snort/snort. conf
---
# Thông số về địa chỉ mạng đang được giám sát
var HOME_NET [203. 128. 246. 80/28,203. 128. 246. 96/29,172. 168. 2. 0/24]
Sử dụng OINKMASTER để cập nhật Rules
- Định kỳ update rules bằng cron vào lúc 0h00 mỗi ngày:
# vi /etc/crontab
0 0 * * * root /usr/local/bin/oinkmaster. pl -C
/usr/local/etc/oinkmaster. conf -o /etc/snort/rules -b /etc/snort/rulesbackup
- Chỉnh sửa file cấu hình oinkmaster. conf để cập nhật các rules như ý:
# vi /usr/local/etc/oinkmaster. conf
+ Giữ nguyên rules, không muốn cập nhật, tìm đến mục
# Files to totally skip (i. e. never update or check
for changes) #
# Syntax: skipfile filename
#
# or: skipfile filename1, filename2, filename3, . .
#
Ví dụ:
skipfile local. rules # không tự động cập nhật file local. rules
skipfile deleted. rules # không tự động cập nhật file deleted. rules
skipfile snort. conf # không tự động cập nhật file snort. conf
+ Thay đổi nội dung luật sau khi update, tìm đến mục:
# SIDs to modify after each update (only for the
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
88
skilled/stupid/brave).
#
# Syntax:
#
# modifysid SID "replacethis" | "withthis"
#
# or:
#
# modifysid SID1, SID2, SID3, . . . "replacethis" |
"withthis"
#
# or:
#
# modifysid file "replacethis" | "withthis"
#
# or:
#
# modifysid * "replacethis" | "withthis"
#
Ví dụ:
modifysid 1325 "^#alert" | "alert" # Bỏ comment luật alert 1325
modifysid 1325 "^#" | "" # Bỏ comment luật 1325
modifysid 1325 "sid:1325;" | "sid:1325; tag: host, src, 300, seconds;"
# Thêm vào thẻ tag cho luật 1325
modifysid 1378 "^alert" | "drop"
# Chuyển luật 1378 từ alert thành drop
modifysid 302 "\$EXTERNAL_NET" | "\$HOME_NET"
# Chuyển lần xuất hiện đầu tiên EXTERNAL_NET thành HOME_NET
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
89
+ Không muốn update một luật nào đó, tìm đến mục
# SIDs that we don't want to update.
#
# Syntax: localsid SID
#
# or: localsid SID1, SID2, SID3, . . .
#
Ví dụ:
localsid 1325 # Không bao giờ update luật 1325
+ Hiện 1 luật sau khi update, tìm đến mục
# SIDs to enable after each update.
#
# Syntax: enablesid SID
#
# or: enablesid SID1, SID2, SID3, . . .
#
Ví dụ:
enablesid 1325 # Bỏ comment cho luật 1325
+ Ẩn 1 luật sau khi update, tìm đến mục
# SIDs to comment out, i. e. disable, after each update by placing a #
# Syntax: disablesid SID
#
# or: disablesid SID1, SID2, SID3, . . .
#
Ví dụ:
disablesid 1324 # Comment luật 1324
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base)
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
90
Đăng nhập vào trang quản trị
- Account quản trị: admin/base2008
- Địa chỉ đăng nhập: https://192.168.40.12/
- Màn hình đăng nhập:
Hình 3.1 : Trang quản trị Base
- Sau khi đăng nhập thành công, hiển thị giao diện quản trị:
Hình 3.2 : Giao diện quản trị
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
91
Tinh chỉnh các Rules
Xác định các alert có tần suất nhiều nhất -> Cần phải tinh chỉnh các rules để giảm
bớt alert không có nhiều ý nghĩa hoặc không có dấu hiệu nguy hiểm.
a. Alert “ICMP PING CyberKit 2. 2 Windows“ xuất hiện rất nhiều (19771 lần,
chiếm 46% tổng số ICMP) -> Cần phải ẩn rule 483
+ Ẩn rule 483 trong icmp. rules
# vi /etc/snort/rules/icmp. rules
---
# Đặt chú thích chu luật có sid:483
#alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING
CyberKit 2. 2 Windows"; itype:8; content:"|AA AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA|"; depth:32; reference:arachnids,154; classtype:misc-
activity; sid:483; rev:6;)
+ Ẩn rule 483 khi thực hiện update
# vi /usr/local/etc/oinkmaster. conf
---
# Disable SID 483 ICMP PING CyberKit 2. 2 Windows
disablesid 483
b. Alert “ICMP Destination Unreachable Communication with Destination Host is
Administratively Prohibited “ xuất hiện rất nhiều (10092 lần, chiếm 23% tổng số
ICMP) -> Cần phải ẩn rule 486
+ Ẩn rules 486 trong icmp. rules
# vi /etc/snort/rules/icmp. rules
---
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
92
#alert icmp any any -> any any (msg:"ICMP Destination Unreachable
Communication with Destination Host is Administratively Prohibited"; icode:10;
itype:3; classtype:misc-activity; sid:486; rev:5;)
+ Ẩn rule 486 khi thực hiện update
# vi /usr/local/etc/oinkmaster. conf
---
# Disable SID 486 ICMP Destination Unreachable Communication with
# Destination Host is Administratively Prohibited
disablesid 486
c. Vào giao diện chính của BASE
https://192.168.40.12/base/base_main. php
Hình 3.3 : Giao diện chính của Base
- Click vào mục “Unique” thuộc dòng “Today’s Alerts” để xem tần suất các alert
xuất hiện trong ngày hôm nay
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
93
Hình 3.4 : Tần suất các Alert
- Click tiếp vào “>” cột “Total #” để sắp thứ tự các alert theo tần suất từ nhiều đến
ít.
Hình 3.5 : Sắp xếp tần suất các Alert theo độ lặp
- Quan sát, ta thấy alert “MS-SQL Worm propagation attemp” xuất hiện nhiều nhất,
click vào link “368” tương ứng cột để xem thông tin chi tiết
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
94
Hình 3.6 : Thông tin chi tiêt một Alert
- Trên bảng “Summary Statistics”, click vào link “Destination” ở hàng “Unique
addresses” để xem các địa chỉ đích bị tấn công.
Hình 3.7 : Hiển thị các địa chỉ nghi vấn
- Trên bảng cho thấy, IP range 80-100 là đối tượng bị khai thác. Click tiếp vào link
“[snort]” để xem các thông tin về alert này trên “Signature database” của site www.
snort. org
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
95
Hình 3.8 : Tra thông tin chi tiết về Alert nghi vấn
- Sau khi đọc các thông tin về alert này, ta thấy nhiều khả năng đây là alert sinh ra
do “Slammer worm” phát tán trên Internet, đang cố gắng khai thác một lỗi buffer
overflow trên MS SQL Server 2000 Resolution Service.
Hình 3.9 : Xác định thông tin Alert
- Tiếp tục đọc kỹ các thông tin về alert này, ta thấy ngay cách xử lý đối với alert này
ở phần “Corrective Action”
+ Cấm truy cập từ ngoài vào các dịch vụ MS SQL trên cổng 1433 and 1434. Thực
hiện trên firewall của hệ thống.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
96
+ Cập nhật bản vá cho các dịch vụ MS SQL đã public từ URL: www.
microsoft. com/technet/security/bulletin/MS02-039. asp
Xem Payload các packets
Để xem payload một packet, click vào cột ID tương ứng của alert,
Hình 3.10 : Xem Payload một packet
- Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tương ứng
Hình 3.11 : Xem nội dung một packet
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
97
- Tính năng này đặc biệt rất hữu ích, cho phép IDS admin review lại được toàn
bộ gói tin đã tạo ra alert, giúp cho quá trình tinh chỉnh các rules chính xác hơn,
thuận tiện hơn.
Tìm kiếm
Để tìm kiếm một alert nào đó, bạn có thể click vào link “Search” và tìm kiếm theo
rất nhiều tiêu chí khác nhau như: Sensor, Alert Group, Signature, Classification,
Priority, Alert Time, rồi sắp xếp theo một vài tuỳ chọn có sẵn.
Hình 3.12 : Tìm kiếm Alert
Quản lý các nhóm Alert
Bên cạnh cách phân loại rules sẵn có của snort, để tiện lợi cho việc quản lý,
người sử dụng có thể tạo ra các nhóm alert khác nhau, gán các alert vào từng nhóm
phù hợp với quan điểm của mình.
Click vào “Alert Group Management” để thao tác với các nhóm:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
98
Hình 3.13 : Quản lý Alert theo nhóm
Bạn có thể tạo nhóm mới (Create), xem alert tương ứng với các nhóm (View), sửa 1
nhóm (Edit), xoá 1 nhóm(Delete) và reset 1 nhóm (Clear).
Đồ thị trực quan
BASE cung cấp một số cách hiển thị biểu đồ trực quan, cho phép người quản trị có
thể cảm nhận nhanh chóng được các vấn đề của hệ thống, đưa ra được các phương
án giải quyết kịp thời.
Graph Alert Data
Click vào "Graph Alert Data" để xem biểu đồ về dữ liệu alert:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
99
Hình 3.14 : Chọn biểu đồ dữ liệu
Có rất nhiều tham số cho phép xây dựng biểu đồ, bao gồm:
- Kiểu đồ thị (Chart title):
+ Thời gian (theo giờ) và Số lượng alert
+ Thời gian (theo ngày) và Số lượng alert
+ Thời gian (theo tháng) và số lượng alert
+ …
- Chu kỳ đồ thị (Chart period)
+ 7 ngày (1 tuần)
+ 24 giờ (1 ngày)
+ 168 giờ (24 x 7)
- Kích thước đồ thị
- Lề đồ thị: trái, phải, trên, dưới
- Kiểu vẽ: bar, line, pie
- Thời gian bắt đầu, thời gian kết thúc
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
100
Hình 3.15 : Đồ thị trực quan
Graph Alert Detection Time
Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể hiện tần
suất các alert theo giờ, ngày hoặc theo tháng.
Dạng biểu đồ này rất hữu ích, cho phép xác định những thời điểm bất thường, qua
đó giúp định hướng người quản trị tập trung vào những điểm quan trọng.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
101
Hình 3.16 : Đồ thị tần suất Alert
3.3.4 Hướng dẫn sử dụng Webmin
Đăng nhập trang quản trị
- Account quản trị WEBMIN: root/root2008
- Địa chỉ đăng nhập: https://192.168.40.12:10000/
- Màn hình đăng nhập
Hình 3.17 : Màn hình đăng nhập Webmin
- Sau khi đăng nhập thành công, màn hình xuất hiện cửa sổ sau:
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
102
Hình 3.18 : Đăng nhập thành công
Quản trị Webmin
Phần này cho phép thay đổi các thông tin cấu hình của Webmin, bao gồm các mục:
- Backup Configuration Files
- Change language and theme
- Webmin Actions logs
- Webmin configuration
- Webmin server index
- Webmin users
Hình 3.19 : Giao diện công cụ quản trị
Quản trị hệ thống
Hiện tại Webmin quản trị đã cấu hình để quản trị các thông tin hệ thống sau (vào
mục System)
- Bootup and Shutdown
- Change Passwords
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
103
- Disk and Network file systems
- File system backups
- Log file rotation
- MIME type programs
- PAM Authentication
- Running processes
- Scheduled Commands
- Scheduled Cron jobs
- Software packages
- SysV Init Configuration
- System Documentation
- System logs
- Users and Groups
Hình 3.20 : Các thông tin có thể quản trị
Quản trị Server
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
104
Hiện tại, webmin đã cấu hình để có thể quản trị các dịch vụ sau:
- Apache webserver
- MySql server
- SSH server
Hình 3.21 : Các thông tin được quản trị
Quản trị các dịch vụ mạng
Hiện tại, webmin đã cấu hình để có thể thay đổi các thông tin cấu hình mạng sau:
- Internet services and protocols
- Linux firewall (IPTables)
- Network configuration
- PPP Dial in server
- Shorewall firewall
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
105
Hình 3.22 : Các dịch vụ mạng có thể quản trị
Quản trị phần cứng
Webmin đã cấu hình để có thể thay đổi các thông tin cấu hình phần cứng sau:
- Grub boot loader
- Partitions on Local disks
- System time
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
106
Hình 3.23 : Quản trị phần cứng
Quản trị các vấn đề khác
Ngoài ra, webmin có thể quản trị một số ứng dụng khác:
- Command shell
- Custom commands
- File manager
- Http tunnel
- PHP configuration
- PERL Modules
- Protected web directories
- SSH/Telnet login
- System and server status
- Upload and download
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
107
Hình 3.24 : Quản trị các ứng dụng khác
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
108
KẾT LUẬN
Bất cứ một mạng nào, đều có những lỗ hổng về mặt kỹ thuật cho phép tin tặc có thể
xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại và do đó trên thực tế sẽ
không có một mạng nào có thể được xem là bảo mật tuyệt đối. Vì vậy, người ta
thường phải sử dụng nhiều kỹ thuật bảo mật đi kèm với các mạng để bảo đảm tính
an toàn cho mạng. Ngoài việc sử dụng các phương pháp mã hóa để bảo đảm tính bí
mật của thông tin, sử dụng các cơ chế chứng thực để kiểm tra tính hợp pháp của
người dùng, thì việc sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ
mạng là rất cần thiết. Mặc dù việc triển khai IDS cho một mạng một cách toàn diện
có nhiều khó khăn tuy nhiên những lợi ích mà nó đem lại là rất lớn. Một mặt nó
giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà
quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân
tích và báo cáo được IDS cung cấp. Từ đó, hệ thống có tích hợp IDS có thể góp
phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường
mạng.
Bằng cách sử dụng các giải pháp IDS mềm thay thế cho các IDS cứng do vấn đề
kinh phí, hệ thống mạng của chúng ta đã giảm thiểu được tương đối các nguy cơ tấn
công tiềm ẩn và nâng cao độ an toàn. Với những tham khảo áp dụng triển khai một
hệ thống IDS mềm tích hợp vào mạng, ta có thể thấy một hệ thống IDS mềm cũng
hoàn toàn thực hiện được những tính năng như một IDS cứng, do thời gian triển
khai phần mềm ngắn nên việc hoàn thiện các module gắn thêm cho hệ thống IDS là
chưa có. Nếu tiếp tục phát triển, ta hoàn toàn có thể tích hợp hệ thống IDS tương tác
với các phần còn lại của mạng, để khi có tấn công xảy ra, IDS sẽ tự động báo tin
đến người quản trị, và tự động đưa ra phương án thích hợp để vô hiệu hoá tấn công
đó.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
109
DANH MỤC TÀI LIỆU THAM KHẢO
[1] Patrick S. Harper, Oinkmaster Installation and Configuration Guide
[2] Andy Firman, Debian, Snort, Barnyard, BASE, & Oinkmaster Setup Guide
[3]
186a008015c612.shtml
[4] Mark Cooper, Stephen Northcutt, Matt Fearnow, Karen Frederick, Intrusion
Signatures and Analysis
[5] Angela D. Orebaugh, Simon Biles, Jacob Babbin, “Snort Cookbook “
[6] Roman Danyliw, “ACID: Installation and Configuration”
[7] Chris Vespermann, “Snort, MySQL 5, Apache, and BASE for Gentoo Linux”
[8] Brian Laing, ISS, “How To Guide: Intrusion Detection Systems”
[9] Patrick S. Harper, “Snort, Apache, SSL, PHP, MySQL, and BASE Install on
CentOS 4, RHEL 4 or Fedora Core (updated for Snort 2.6.0. and NTOP)”
[10]Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal
Intrusions”
._.
Các file đính kèm theo tài liệu này:
- LA3223.pdf