Trường ĐH CNTT Khoa MMT&TT CẤU HÌNH HỆ THỐNG IDS Nhóm 19: Nguyễn Thế Anh 07520512 Nguyễn Trọng Đăng Trình 07520371 Nguyễn Tuấn Anh 07520011 Nguyễn Anh Linh 07520193 Trương Đình Huy 07520 151 Ứng dụng TT &ANTT Snort Fundamentals Snort bao gồm 4 thành phần chính. • Packet capture, thực hiện bởi LibPcap hoặc WinPcap • Preprocessor nhiệm vụ là xem xét các gói tin trước khi chuyển tới engine phát hiện thật sự • Detection Engine – Tại đây cái rules sẽ được áp dụng lên các gói tin • Output – xuất ra kết quả, thông báo. snort.conf Là file chính lưu trữ toàn bộ cấu hình lõi của Snort File gồm các phần chính:  Variables  Preprocessors  Output Plug-ins  Rulesets Vài chỉnh sửa cần thiết sau khi cài đặt snort  Variable HOME_NET : chỉnh về địa chỉ mạng hiện tại ví dụ 192.168.1.0/24  Các đường dẫn sau đây (lưu ý : $SnortInstallationPath là đường dẫn tới thư mục cài đặt snort, mặc định là C:\Snort)  include classification.config => include SnortInstallationPath\etc\classification.config  include reference.conf => include $SnortInstallationPath\etc\reference.config Snort Installation Một số thư viện và chương trình yêu cầu trước khi cài đặt Snort WinPcap http://www.winpcap.org/install/default.htm Snort https://www.snort.org/snort-downloads? (chọn bản binary .exe cho windows).  Cài đặt Snort như các chương trình thông thường, cứ để mặc định.  Sau khi cài đặt, tạo folder “log” trong thư mục $SnortInstallationPath\bin  Trong thư mục vừa tạo tạo thêm 1 file alert.ids 1. Mở file snort.config và chỉnh sửa (lưu ý, nên lưu lại 1 bản backup đề phòng chỉnh sửa xong gặp lỗi). 2. Chỉnh sửa 1 số biến Cấu hình và thực thi Snort var HOME_NET var HOME_NET địa chỉ mạng var EXTERNAL_NET var EXTERNAL_NET !$HOME_NET var include reference var include F:\Snort\etc\reference.config var RULE_PATH….\rules var RULE_PATH F:\Snort\rules # include threshold.conf var F:\Snort\etc\threshold.conf dynamicpreprocessor directory …. dynamicpreprocessor directory F:\Snort\lib\snort_dynamicpreprocessor dynamicengine F:\Snort\lib\snort_dynamicengine\sf_engine.dll 3. Chạy thử snort  Từ F:\Snort\bin gõ lệnh snort –W  Để thử bắt gói tin ta sẽ sử dụng lệnh sau: snort –ix –v  Mục đích của việc này là để bạn ghi lại toàn bộ hoạt động để dễ dàng kiểm tra lại khi cần thiết  Sử dụng thêm option –l trong câu lệnh snort snort –ix –dev –l \snort\log LogGing với Snort [...]... tcp Một số rule ví dụ đơn giản:  Log tất cả các traffic đang cố kết nối tới port telnet: log tcp any any -> 10.0.10.0/2 23  Log ICMP traffic tới mạng 10.0.10.0: log icmp any any -> 10.0.10.0/24 any  Cho phép tất cả các truy cập web đi qua, không log: pass tcp any 80 -> any 80  Tạo một cảnh báo với thông điệp bất kỳ: alert tcp any any -> any 23 (msg: “Telnet Connection Attemp”;)  … Snort rule ID... >=1,000,001: dùng cho các rule nội bộ Tạo một ruleset đơn giản  B1: mở notepad và gõ vào: Log tcp any any -> any any (msg: “TCP Traffic Logged”; sid: 10000001;) Alert icmp any any -> any any (msg: “ICMP Traffic Alerted”; sid: 10000002) Alert tcp any any -> any any (content: “password”; msg: “Possible Password Transmitted”; sid: 10000003;)  B2: Lưu file với đường dẫn: C:\snort\rules\”myrule.rules” Các tùy... lựa chọn của rule: là các thông điệp cảnh báo và các đặc tả xác định gói tin Rule Header Rule Options alert tcp any any -> any 80 (content: “adult”; msg: “Adult Site Access”) Header của rule: Rule Action Protocol Source IP Source Port Direction Destination IP Destination Port alert tcp any any -> any 80 1.Định nghĩa rule action Rule action là hành động sẽ xảy ra khi một gói tin khớp với các điều kiện... mọi port: Log tcp ! 172.16.40.50/32 any -> 10.0.10.0/24 any Log toàn bộ traffic từ mọi host trên mọi port tới tới mạng 10.0.10.0/24 đang làm việc trên các port ngoài port 23: Log tcp any any -> 10.0.10.0/24 ! 23 “->” là kí hiệu dùng để xác định hướng kiểm tra gói tin của snort “” để snort kiểm tra gói tin từ cả 2 hướng: Log tcp 10.0.10.0/2 any 172.16.30.0/24 23 Rule Option  Thể hiện tính linh...SNORT LÀM VIỆC NHƯ MỘT HỆ THỐNG IDS  Đối với một hệ thống IDS, rule là tất cả Snort sử dụng các rule để kiểm tra chữ ký và các vi phạm Những rule này có thể được tạo ra hoặc điều chỉnh để sử dụng trong ứng dụng Ví dụ cách sử dụng Snort như là một hệ thống IDS: %systemroot%\snort\snort –dev -1 \snort\log –c snort.conf Các rule của snort bao... mạng 10.0.10.0/24: Log tcp any any -> 10.0.10.0/24 1:1024 Log toàn bộ traffic từ mọi địa chỉ IP có port nhỏ hơn hoặc bằng 1024 tới mọi host trên mạng 10.0.10.0/24 có port lớn hơn hoặc bằng 1024: Log tcp any :1024 -> 10.0.10.0/24 1024: Log toàn bộ traffic từ mọi host trừ (ta dùng dấu: “!”) host 172.16.40.50 trên mọi port tới mọi host trong mạng 10.0.10.0/24 trên mọi port: Log tcp ! 172.16.40.50/32 any... uricontent:".ida"; nocase; reference:arachnids,552; reference:bugtraq,1065; reference:cve,20000071; classtype:web-application-activity; sid:1242; rev:10;)  Đây là rule dùng để phát hiện worm Code Red trong hệ thống WebServer IIS Cấu hình Snort để sử dụng với Cơ sở dữliệu Cấu hình Snort liên kết database Ta phải khai báo database cho Snort và đưa cho nó thông tin cần thiết để tạo kết nối Hiệu chỉnh File... list Alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any (content: “Password”; msg: “Password Tranfer Possible!”;) 4 Xác định port cho snort kiểm tra  Các port như 80, 23…  nếu để “any”  snort sẽ kiểm tra trên tất cả các port đối với địa chỉ IP  Vd các kiểu định nghĩa port Log tất cả traffic từ tất cả địa chỉ IP trên tất cả các port tới port 23 của mạng 10.0.10.0/24: Log tcp any any -> 10.0.10.0/24... keyword thông dụng: Keyword Mô tả msg In ra một thông điệp ttl Chỉ định điều kiện về giá trị Time To Live của IP header của gói tin mà rule muốn capture id Chỉ định điều kiện về giá trị phân mảnh của một IP header cụ thể của gói tin mà rule muốn capture flags Chỉ định điều kiện về các cờ tcp của gói tin ack Chỉ định điều kiện về TCP ack của gói tin content Chỉ định điều kiện về phần nội dung của gói tin. .. Attempted information leak Medium Suspicuous-login An attempted login using a suspicious user name detected Medium Successful-dos Denial-of-service attack Medium Unusual-client-port-connection A network client was using an unusual port Medium Icmp-activity Generic ICMP event Low Network-scan Detection of a network scan Low Các rule được thiết lập sẵn:  Một số IDS rule cơ bản đã được thiết lập sẵn và cho . MMT&TT CẤU HÌNH HỆ THỐNG IDS Nhóm 19: Nguyễn Thế Anh 07520512 Nguyễn Trọng Đăng Trình 07520371 Nguyễn Tuấn Anh 07520011 Nguyễn Anh Linh 07520193 Trương Đình Huy 07520 151 Ứng dụng TT &ANTT Snort. ứng dụng. Ví dụ cách sử dụng Snort như là một hệ thống IDS: %systemroot%snortsnort –dev -1 snortlog –c snort.conf SNORT LÀM VIỆC NHƯ MỘT HỆ THỐNG IDS Các rule của snort bao gồm 2 phần:  Rule. IP Source Port Direction Destination IP Destination Port alert tcp any any -> any 80 1.Định nghĩa rule action. Rule action là hành động sẽ xảy ra khi một gói tin khớp với các điều kiện định