B Ộ GI Á O D Ụ C V À ĐÀO T Ạ O TR ƯỜ NG ĐẠ I H Ọ C HOA SEN KHOA KHOA H Ọ C V À CÔN G N GH Ệ Gi ả ng vi ê n h ướ ng d ẫ n : Nguy ễ n N g ọ c Nh ư H ằ ng Nh ó m s inh vi ê n t h ự c hi ệ n : Ng uy ễ n Qu ỳ nh MSSV: 070073 Ph ù S ử H ù n g MSSV: 070156 L ớ p : VT071 T h á ng 12 / n ă m 2010 PHI Ế U GIAO ĐỀ T À I KH Ó A LU Ậ N T Ố T NG HI Ệ P 1. M ỗ i si nh vi ê n ph ả i vi ế t ri ê n g m ộ t b á o c á o 2. Ph i ế u n à y ph ả i d á n ở tran g đầ u ti ê n c ủ a b á o c á o 1. Họ v à t ê n sinh vi ê n / nh ó m si nh vi ê n đượ c gi ao đề t à i (s ĩ s ố trong nh ó m : ) (1) MSSV: kh ó a: (2) MSSV: kh ó a: (3) MSSV: kh ó a: Chuy ê n ng à nh: M ạ n g m á y t í nh Khoa: Khoa H ọ c - C ô ng Ng h ệ 2. T ê n đề t à i: X â y d ự ng h ệ th ố ng ID S – S nort tr ê n h ệ đ i ề u h à nh L inux 3. C á c d ữ li ệ u b a n đầ u: S nort đượ c x â y d ự n g v ớ i m ụ c đí ch ph á t hi ệ n x â m nh ậ p v à o h ệ th ố ng . Snort c ó kh ả n ă ng ph á t hi ệ n m ộ t s ố l ượ n g l ớ n c á c k i ể u th ă m d ò , x â m nh ậ p k h á c nhau nh ư : buffer ov erflo w, ICMP, virus… Snort l à ph ầ n m ề m open source cu n g c ấ p cho nh à qu ả n tr ị c á c th ô ng tin c ầ n thi ế t để x ử l ý c á c s ự c ố k hi b ị x â m nh ậ p 4. C á c y ê u c ầ u đặ c b i ệ t : Hi ể u đượ c k h á i ni ệ m , c á ch ho ạ t độ ng c ủ a I D S - Snort. C à i đặ t, c ấ u h ì nh S nort tr ê n h ệ đ i ề u h à nh Ubuntu. Ki ể m ch ứ ng k ế t qu ả đạ t đượ c sau k hi c à i đặ t th à nh c ô ng 5. K ế t q u ả t ố i t h i ể u ph ả i c ó : 1. N ắ m r õ k h á i ni ệ m v ề I D S v à Sno rt 2. C à i đặ t, c ấ u h ì nh th à nh c ô ng S nor t tr ê n h ệ đ i ề u h à nh Ubuntu 3. 4. Ng à y g iao đề t à i:…… /………./………N g à y n ộ p b á o c á o: ……/…………/ H ọ t ê n GV h ướ ng d ẫ n 1: Ng uy ễ n N g ọ c Nh ư H ằ ng … …. ………Ch ữ k ý : H ọ t ê n GV h ướ ng d ẫ n 2: …………………. . .………………… Ch ữ k ý : Ng à y …. th á ng … n ă m… T r í c h Y ế u I ntrusio n Detection Syste m ( I D S) l à h ệ th ố ng ph ò n g ch ố n g v à ph á t hi ệ n x â m nh ậ p th ô ng m inh nh ấ t hi ệ n nay. I D S ph á t hi ệ n nh ữ n g t í n hi ệ u, bi ể u hi ệ n, h à nh v i c ủ a n g ườ i x â m nh ậ p tr ướ c khi c ó th ể g â y thi ệ t h ạ i đế n h ệ th ố ng m ạ n g nh ư l à m c ho d ị ch v ụ m ạ n g ng ừ n g ho ạ t độ n g hay m ấ t d ữ li ệ u. T ừ đó n g ườ i qu ả n tr ị m ạ n g c ó th ể n g ă n ch ặ n th ô n g qua c á c bi ệ n ph á p k ỹ thu ậ t k h á c nhau. Đề t à i c ủ a ch ú ng t ô i v ớ i m ụ c ti ê u l à x â y đự n g m ộ t h ệ th ố n g S nort – I D S tr ê n h ệ đ i ề u h à nh Ubuntu, h ệ th ố n g n à y v ớ i m ụ c đí ch p h á t hi ệ n v à ph ò n g ch ố n g c á c h à nh độ n g t ấ n c ô ng v à th â m nh ậ p trong m ạ n g. Do đó đề t à i t ậ p trung n g hi ê n c ứ u v à o ph ươ n g th ứ c ho ạ t độ ng v à v ậ n h à nh c ủ a h ệ th ố n g Sn ort – IDS đồ n g t h ờ i đư a ra c á ch c à i đặ t v à thi ế t l ậ p m ộ t h ệ th ố n g ID S ho à n ch ỉ nh tr ê n h ệ đ i ề u h à nh Ubuntu. B ê n c ạ nh đó ch ú n g t ô i đư a ra g i ả i ph á p nh ằ m t ă ng c ườ n g kh ả n ă n g ho ạ t độ ng v à v ậ n h à nh c ủ a h ệ th ố ng th ô ng qua vi ệ c s ử d ụ n g barnyard để t ă ng c ườ ng kh ả n ă n g g hi l ạ i lo g c ủ a h ệ th ố n g v à oinkm a ster để t ự độ ng li ê n t ụ c c ậ p nh ậ t rule. Ng o à i vi ệ c s ử d ụ n g h ệ th ố n g rule c ó s ẵ n, đề t à i t ì m hi ể u c á ch t ạ o ra rule theo y ê u c ầ u nh ằ m g i á m s á t v à k i ể m tra đố i v ớ i m ộ t lu ồ n g th ô n g tin c ụ th ể khi m à h ệ th ố n g rule c ủ a snort kh ô n g th ể đá p ứ ng . Th ô ng qua vi ệ c nghi ê n c ứ u, đề t à i c ủ a ch ú n g t ô i đư a m ộ t c á i nh ì n t ổ n g quan v ề h ệ th ố ng Host-based ID S v à Netw or k -based I D S, v ề s ự k h á c v à g i ố n g nhau c ủ a hai h ệ th ố ng t ừ đó c ó th ể ứ ng d ụ n g trong m ô h ì nh m ạ ng th ự c t ế . M ụ c L ụ c Tr í ch Y ế u iv M ụ c L ụ c v L ờ i C ả m Ơ n v ii Nh ậ n X é t C ủ a Ng ườ i H ướ ng D ẫ n v iii Nh ậ p Đề 9 1. Ng uy ê n L ý H o ạ t Độ n g C ủ a Sno rt 10 1.1 Qu á tr ì nh k h ở i độ ng c ủ a snort 10 1.2 X ử l ý g ó i tin trong snor t 11 1.3 Detection Eng ine 15 1.4 Kh ả o s á t Detection Eng ine 18 1.5 S nort I nline Mode 20 2. Preprocessor 22 2.1 Preprocessor frag3 23 2.2 Preprocessor strea m 5 25 3. H ệ Th ố ng Rule Trong Snort 31 3.1 T ổ ng qua n v ề rule trong snort 31 3.2 C ấ u tr ú c rule 31 3.3 Th ứ t ự c á c rule trong r ule base c ủ a snort 34 3.4 Oinkm a ster 34 4. S nort Output Plu g -in 35 4.1 Output log v à alert v ớ i t ố c độ nha nh 35 4.2 Output log v à alert v à o database 38 4.3 Output log v à alert v à o Unix syslog 38 4.4 Output log v à alert v à o m ộ t f ile c ụ th ể 39 4.5 Output log v à alert v à o file C S V 40 4.6 Output log v à alert ra nhi ề u d ạ ng kh á c nhau 41 5. Networ k -Based v à Host-Based I D S 41 5.1 Nework - Based ID S 41 5.2 Host-Based I D S 43 5.3 Tri ể n Khai I D S T rong M ạ n g 44 6. C á c H ì nh Th ứ c Khai Th á c V à T ấ n C ô ng H ệ T h ố ng Ph ổ Bi ế n 47 6.1 Port sc an 47 6.2 DOS (Denial of S er v ices) 50 6.3 A RP Spoofin g 53 7. C à i Đ ặ t S nort 54 7.1 M ộ t s ố t ù y c h ọ n k hi bi ê n d ị ch snort 54 7.2 C ấ u tr ú c database c ủ a snort 55 7.3 C à i đặ t S nort v ớ i S nort Report (S in gle S nort Sensor) 56 7.4 C à i đặ t S nort v ớ i BAS E (S in gle S nort S ensor) 62 7.5 C à i đặ t snort v ớ i BAS E (Multiple S nort S ensors) 72 7.6 C à i đặ t S nort inline 81 8. L ab Ki ể m Tra Ho ạ t Độ ng C ủ a S nort 91 8.1 Rule để k i ể m tr a ho ạ t độ ng c ủ a snort 91 8.2 Rule ph á t hi ệ n truy c ậ p web 92 8.3 Ph á t hi ệ n portscan trong S nort 93 8.4 Ph á t hi ệ n DOS v ớ i snort 94 8.5 Ph á t hi ệ n A RP attac k 96 K ế t L u ậ n 101 T à i L i ệ u Tha m Kh ả o 102 L ờ i C ả m Ơ n Ch ú ng t ô i xin ch â n th à nh c ả m ơ n c ô Ng uy ễ n Ng ọ c Nh ư H ằ n g - g i ả n g vi ê n tr ự c ti ế p h ướ ng d ẫ n nh ó m ch ú n g t ô i th ự c hi ệ n kh ó a lu ậ n t ố t n g hi ệ p n à y n à y, đã t ậ n t ì nh h ướ n g d ẫ n v à h ỗ tr ợ v à g i ú p ch ú n g t ô i g i ả i quy ế t kh ó kh ă n trong qu á tr ì n h n g hi ê n c ứ u đề t à i n à y. Ch ú ng t ô i ch â n th à nh c ả m ơ n s ự nhi ệ t t ì nh c ủ a c ô , c ô đã g i ú p ch ú ng t ô i g i ả i đá p nh ữ n g th ắ c m ắ c c ũ n g nh ư cung c ấ p nh ữ n g t à i li ệ u c ầ n thi ế t cho qu á tr ì nh n g hi ê n c ứ u đề t à i c ủ a ch ú ng t ô i. M ộ t l ầ n n ữ a xin c h â n th à n h c ả m ơ n c ô . Ch ú ng t ô i xin g ử i l ờ i c ả m ơ n đế n nh ữ n g g i ả n g vi ê n c ủ a n g à nh M ạ n g M á y T í nh tr ườ n g đạ i h ọ c Hoa S en đã t ậ n t ì nh g i ả n g d ạ y v à t ạ o đ i ề u k i ệ n cho ch ú n g t ô i h ọ c t ậ p, nghi ê n c ứ u. Để t ừ đó ch ú n g t ô i c ó đượ c m ộ t n ề n t ả ng k i ế n th ứ c v ữ n g ch ắ c l à m ti ề n đề g i ú p cho ch ú ng t ô i th ự c hi ệ n t ố t đề t à i t ố t nghi ệ p c ủ a m ì nh. vii X â y d ự ng h ệ th ố n g I D S – S nort tr ê n h ệ đ i ề u h à nh L inux [...]... khác nhau và snort không hề biết destination host của gói tin mà nó đang ráp mảnh là hệ điều hành gì Một gói tin có thể xem là bình thường với hệ điều hành này, nhưng nó có thể được xem là bất thường với một hệ điều hành khác Do đó frag3 đưa ra target-based với 7 loại policy dành cho nhựng OS như sau:  BSD  BSD-right  Linux  First  Last  Windows  Solaris Snort phân chia hệ điều hành theo policy... hướng dẫn ký tên viii Xây dựng hệ thống IDS – Snort trên hệ điều hành Linux Nhập Đề Khái niệm tấn công một máy tính bằng việc tác động trực tiếp vào máy đó đã trở thành quá khứ khi mà ngày nay con người có thể truy cập vào một máy chủ ở cách xa mình nửa vòng trái đất để lấy thông tin website, mail… Hacker cũng làm những công việc tương tự nhưng họ tận dụng những lỗ hỏng của hệ thống nhằm chiếm quyền... –enable-dynamicplugin khi biên dịch Khi đó khi chạy lệnh make install snort sẽ cài vào các share object module và xây dựng các share object rule Thêm vào đó người dùng phải cấu hình snort để load các engine và những module rule cần thiết  dynamic-engine-lib : load một dynamic engine từ một file chỉ định  dynamic-detection-lib : load dynamic rule từ một file  dynamic-detection-lib-dir... lý data, điều này giúp cho frag3 tăng khả năng dự báo và tăng tính quyết đoán của frag3 Khi môi trường mạng có nhiều gói tin bị phân mảnh thì frag3 sẽ hoạt động rất hiệu quả và giúp người quản trị quản trị dễ dàng hơn Preprocessor frag3 đưa ra khái niệm “target-base” IDS, tức là frag3 sẽ xây dựng lại gói tin bị phân mảnh dựa vào destination host mà gói tin sẽ đến Bởi vì mỗi hệ điều hành xây dựng lại... matcher là thành phần cốt lõi cho dectection engine ngày nay 1.4.2 Xây dựng pattern matcher Việc xây dựng pattern matcher bắt đầu mỗi rule tree, mục đích chính của rule tree là giảm số lượng rule cần được kiểm tra với gói tin, bằng cách giảm số lượng rule thì sẽ giảm được thời gian tìm kiếm trên rule đối với một gói tin Điều này sẽ làm giảm thời gian snort xử lý gói tin và tăng khả năng hoạt động trên những... để tấn công vào hệ thống Điều đó là nguyên nhân dẫn đến sự cần thiết sử dụng công cụ IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các hành vi lạm dụng đặc quyền để giám sát hệ thống mạng 1 Nguyên Lý Hoạt Động Của Snort 1.1 Quá trình khởi động của snort Quá trình khởi động của snort chia làm 3 giai đoạn... Logger mode: ở mode này snort chỉ log lại gói tin và ghi vào hệ thống đĩa  Network Intrusion Detection System (NIDS) mode: đây là mode phức tạp nhất của snort, ở mode này snort phân tích traffic trong mạng, từ đó phát hiện được những hành động thâm nhập hoặc tấn công trong mạng  Inline mode :trong mode này snort sẽ tiếp nhận gói tin từ iptables thay vì từ libpcap sau đó sẽ tiến hành xử lý gói tin (DROP,... option như sid (snort identifier), message…Khi rule được phân tích snort sẽ tiến hành xây dựng tất cả các rule theo dạng cây Phần header của rule dùng để tạo thành rule tree node (RTN) và phần option sẽ tạo thành option tree node (OTN) Một phần của OTN sẽ bao gồm các dection option Tất cả các OTN tương ứng với một header sẽ được nhóm lại dưới cùng một RTN 1.2 Xử lý gói tin trong snort Snort bắt đầu với... phần khác nhau của gói tin, điều này cho phép snort có thể truy xuất nhanh đến những thành phần trong gói tin Con trỏ này cho phép các thành phần của snort như preprocessor, detection engine và output-plugin có thực hiện công việc một cách dễ dàng sau này Trong sự phát triển và cải tiến của snort, một số con trỏ được thêm vào trong gói tin cho phép các thành phần khác nhau của snort có thể thông tin cho... chạy ở IDS mode) Khi chạy snort ở chế độ inline, vấn đề lúc này là không có thư viện nào tương đương với libpcap cho snort khi chạy ở Sniffer, Packages và Intrusion Detection mode.Tuy nhiên snort có thể tiếp nhận được gói tin trực tiếp từ iptables thay vì từ libpcap Nhưng do snort hoạt động trên nền tảng pcap, các gói tin sẽ được chuyển thành định dạng pcap sau đó sẽ gọi hàm PcapProcessPacket Khi snort . 5. Networ k -Based v à Host-Based I D S 41 5.1 Nework - Based ID S 41 5.2 Host-Based I D S 43 5.3 . Trong Snort 31 3.1 T ổ ng qua n v ề rule trong snort 31 3.2 C ấ u tr ú c rule 31 3.3 Th ứ t ự c á c rule trong r ule base c ủ a snort . kh ở i đ ộ n g c ủ a snort Qu á tr ì nh k h ở i độ ng c ủ a snort chia l à m 3 g iai đ o ạ n  C á c đố i s ố c ủ a comm an d-line đượ c ph â n t í ch