« Home « Kết quả tìm kiếm

Hệ thống phát hiện xâm nhập mạng

Tóm tắt Xem thử

- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 1LỜI NÓI ĐẦU.
- 59 2.4 Các lỗi thường gặp khi cấu hình Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 2CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG.
- 109 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 3LỜI NÓI ĐẦU Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm.
- Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 4Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói tin của IDS.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 5Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 6CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị .
- Chức năng Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau : Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi.
- Chức năng mở rộng Phân biệt: các tấn công trong và ngoài mạng Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 71.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS.
- Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công.
- Bước tiếp theo được thực hiện bởi các quản trị viên hoặc Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 8có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ.
- Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung : Hình 1.2 : Cấu trúc tập trung.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 9Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 10 Hình 1.3 : Cấu trúc đa tác nhân Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả.
- Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 11trị).
- Hình 1.4 : Mô hình NIDS Một số sản phẩm NIDS : -Cisco IDS Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 12-Dragon® IDS/IPS HIDS Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS.
- Các phương pháp nhận biết tấn công Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 13Nhận biết qua tập sự kiện Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công.
- Phân tích trạng thái phiên (State-transition analysis): Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 14Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống.
- 000 báo cáo khác nhau, giúp kiểm Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 15soát được Nhập phức tạp.
- ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 162.
- Không cần đến phần mềm client hoặc các tác nhân Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 176.
- Hỗ trợ việc cảnh báo và phát hiện xâm phạm Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 187.
- Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành động trái phép 4.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 19Dragon Một giải pháp toàn diện cho hoạt động kinh doanh.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 20 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo hệ thống switch của Cisco.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 21Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub.
- Luồng thông tin quảng bá (broadcast traffic) Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 22- Luồng thông tin multicast với CGMP hoặc Internet Group Management Protocol (IGMP.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 24- Operational source : Một tập các cổng được quản lý thực sự.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 25• VLAN lọc chỉ áp dụng cho các đường trunk hoặc cổng voice VLAN.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 26• Nếu các cổng được thêm hoặc xoá bỏ từ các VLANs nguồn, lưu lượng trên các VLAN nguồn nhận được bởi các cổng được thêm vào hoặc xoá bỏ từ nguồn đang theo dõi và giám sát.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 27• Trạng thái của cổng đích bật /tắt theo chế độ định sẵn.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 28• Một cổng được sử dụng như là một cổng phản hồi không thể là một SPAN nguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi cho nhiều hơn một phiên tại một thời điểm.
- Modular Chassis Switches: o Cisco Catalyst 4003 o Cisco Catalyst 4006 • Fixed Chassis Switch: o Cisco Catalyst 4912G Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 29SPAN cục bộ Các tính năng SPAN được cập nhật lần lượt đến CatOS, và cấu hình một SPAN bao gồm một lệnh đơn set SPAN .
- Ports 6/1 and 6/2 belong to VLAN 1 • Port 6/3 belongs to VLAN 2 • Ports 6/4 and 6/5 belong to VLAN 3 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 30Kết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một số trường hợp khác nhau.
- Status : active switch (enable) 2000 Sep SYS-5-SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 31 Với cấu hình này, mỗi gói được nhận hoặc gửi qua cổng 6/1 được sao chép trên cổng 6/2.
- Ví dụ này Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 32minh họa khả năng này để xác định nhiều hơn một cổng.
- Giám sát các VLANs với SPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 33Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượng cục bộ một VLAN.
- Status : active switch (enable) 2000 Sep SYS-5- SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 34Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản đến cổng 6/2.
- Đơn giản là dùng lệnh : switch (enable) set SPAN 6/4-5 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 36 Hình 2.10 : Giám sát lưu lượng qua đường trunk Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang.
- CatOS bao gồm một từ khóa khác mà cho phép bạn lựa chọn một số VLANs để giám sát từ đường trunk switch (enable) set SPAN 6/4-5 6/2 filter 2 2000 Sep SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 37 for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : 2 Status : active Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được theo dõi và giám sát.
- Điều này có thể được xác định là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 38SPAN.
- Status : active Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 39 2000 Sep SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 Tạo ra các phiên làm việc đồng thời Trước đây, chỉ có một phiên Span đã được tạo ra.
- Trong phiên này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 được giám sát: Hình 2.12 : Giám sát đồng thời switch (enable) set span Sep SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 40 Learning : enabled Multicast : enabled Filter.
- Status : active switch (enable) 2000 Sep SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/3 Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 41 Multicast : enabled Filter.
- Tính năng này xuất Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 44hiện trong CatOS 5,2 trên Catalyst 4500/4000 và và trong CatOS 5,3 trên Catalyst 6500/6000.
- Lược đồ dưới miêu tả cấu trúc của một phiên RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 45 Hình 2.3 : Giám sát từ xa Trong ví dụ này, bạn cấu hình RSPAN để giám sát lưu lượng mà máy A gửi.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 46• S2 và S3 là các Switch trung gian.
- Hình 2.14 : Giám sát từ xa qua đường trunk Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 47Đặt đường trunk ISL giữa hai Switch S1 và S2 Để bắt đầu, đặt cùng một tên miềnVLAN Trunk Protocol (VTP) trên mỗi Switch và cấu hình mỗi bên trunking desirable.
- Cấu hình cổng 5/2 của S2 như một cổng đích RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 48S2> (enable) set rspan destination 5/2 100 Rspan Type : Destination Destination : Port 5/2 Rspan Vlan : 100 Admin Source.
- Multicast : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 49 Filter.
- Status : active Total remote span sessions: 1 Các cấu hình khác có thể đặt với lệnh set rspan Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 50Xem phần set rspan để xem các tuỳ chọn của lệnh.
- Bạn có thể cấu hình SPAN, như trong ví dụ này: C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastethernet 0/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 53.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 54Trên Switch ở xa , sử dụng cấu hình c3750_remote(config)#monitor session 1 source vlan 5.
- Với Cisco IOS 12.1(11) EA1 và mới hơn, bạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 55có thể kích hoạt và vô hiệu hoá tính năng gắn thẻ của các gói tại cổng đích SPAN.
- 2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 56Các tính năng SPAN được hỗ trợ trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS.
- Type : Local Session Source Ports : Both : Fa4/2 Destination Ports : Fa4/3 4507R# Tóm tắt tính năng và giới hạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 57Bảng dưới tóm tắt các tính năng khác nhau đã được giới thiệu và cho biết phiên bản tối thiểu của Cisco IOS cần thiết để chạy các tính năng trên dòng Switch đó.
- 2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau Các dòng Switch dưới Catalyst 4000 Series Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 59Để giám sát một số cổng với SPAN, một gói phải được sao chép từ bộ đệm dữ liệu đến một vệ tinh một lần cập nhật.
- Với những phiên bản này, chỉ duy nhất một phiên SPAN diễn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 60ra.
- Tương tự, một cấu hình lỗi có thể dẫn đến lỗi Đây là một ví dụ của phần này: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 61 Hình 2.15 : Lỗi lặp cầu dữ liệu Có hai Switch trung tâm được liên kết bởi một đường trunk.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 62 Hình 2.16 : Lặp cầu dữ liệu diễn ra Lưu ý: Vì các giới thiệu về tùy chọn inpkts (đầu vào các gói) trên CatOS, một cổng đích SPAN ngắt bất kỳ các gói theo mặc định, nó ngăn lỗi này không xảy ra.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 63Bạn có thể có một vài phiên SPAN chạy cùng một thời điểm? Trên Catalyst 2900XL/3500XL Series, số lượng các cổng đích có trên Switch là giới hạn số lượng các phiên SPAN.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 65Cổng phản hồi xoá các gói tin Một cổng phản hồi nhận các bản sao lưu lượng gửi và nhận của tất cả các cổng cổng giám sát nguồn.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 66Một phiên Span và một RSPAN có thể có cùng ID trong cùng một Switch? Không, không thể sử dụng cùng một ID phiên cho một phiên SPAN thông thường và phiên đích RSPAN.
- Một phiên nguồn RSPAN và phiên đích có thể tồn tại trên cùng Catalyst Switch? Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 67Không, RSPAN không hoạt động khi phiên nguồn RSPANvà phiên đích RSPAN trên cùng một Switch.
- Khi cả hai Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 68ingress và một trunk encapsulation được chỉ rõ trên một cổng đích SPAN, cổng chuyển tiếp tất cả các VLANs hoạt động.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 69 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG Trong chương này chúng ta sẽ cài đặt sử dụng hệ IDS mềm có tên là SNORT.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 70Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp Application theo thứ tự của Protocol Stack.
- Các dạng logging, được chọn khi chạy SNORT: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 71- Dạng decoded: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích hợp với dân Pro.
- Một rule khác có chứa Option: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 72alert tcp any any.
- 3.2 Các bước cài đặt Snort trên hệ điều hành Debian 3.2.1 Cài hệ điều hành Debian Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 73- Tên hệ điều hành:Debian GNU/Linux 4.
- 1 libfontconfig1 libfreetype6 libgd2-xpm libjpeg62 libpng12-0 libssp0 libt1-5 libx11-6 libx11-data libxau6 libxdmcp6 libxml2 libxpm4 php-db php-http php-mail php-net-smtp php-net-socket php-pear php-xml-parser php5-cli php5-common ttf-dejavu vim-runtime x11-common Configuring libphp-adodb Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 75WARNING: include path for php has changed! libphp-adodb is no longer installed in /usr/share/adodb.
- gz Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 76# cd snort-2.
- 80/28 var EXTERNAL_NET !$HOME_NET var RULE_PATH /etc/snort/rules - Tạo một luật đơn giản để test snort Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 77# vi /etc/snort/rules/local.
- mysql> exit Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 78 - Import the schema that comes with the snort program.
- so in /etc/php4/apache/php.ini # vi /etc/php4/apache/php.ini Bỏ comment dòng sau: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 79extension=mysql.so - Khởi động lại apache # /etc/init.
- ini vì pear command line sử dụng php-cli để kiểm tra các dependencies: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 81# vi /etc/php4/cli/php.
- conf /usr/local/etc - Tạo thư mục temp Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 82# mkdir /tmp/oinkmaster - Tạo thư mục lưu rule-backup # mkdir /etc/snort/rulesbackup - Tạo thư mục temp # mkdir /tmp/oinkmaster - Chỉnh sửa file cấu hình # vi /usr/local/etc/oinkmaster.
- d snort defaults 95 Reboot and see if it works! Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 833.2.11 Tạo Acc truy cập vào Base # cd /etc/apache-ssl.
- com2sec local localhost dhbk Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 84com2sec localnet 203.
- list Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 85deb http://download.
- Iptables / Shorewall Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 86+ Snort 2.
- pkill snort Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 87File cấu hình SNORT # vi /etc/snort/snort.
- SIDs to modify after each update (only for the Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 88skilled/stupid/brave.
- Chuyển lần xuất hiện đầu tiên EXTERNAL_NET thành HOME_NET Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 89+ Không muốn update một luật nào đó, tìm đến mục # SIDs that we don't want to update.
- Hướng dẫn sử dụng công cụ phân tích (Base) Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 90Đăng nhập vào trang quản trị - Account quản trị: admin/base2008 - Địa chỉ đăng nhập: https .
- Màn hình đăng nhập: Hình 3.1 : Trang quản trị Base - Sau khi đăng nhập thành công, hiển thị giao diện quản trị: Hình 3.2 : Giao diện quản trị Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 91Tinh chỉnh các Rules Xác định các alert có tần suất nhiều nhất.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 92#alert icmp any any.
- php Hình 3.3 : Giao diện chính của Base - Click vào mục “Unique” thuộc dòng “Today’s Alerts” để xem tần suất các alert xuất hiện trong ngày hôm nay Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 93 Hình 3.4 : Tần suất các Alert - Click tiếp vào.
- để xem thông tin chi tiết Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 94 Hình 3.6 : Thông tin chi tiêt một Alert - Trên bảng “Summary Statistics”, click vào link “Destination” ở hàng “Unique addresses” để xem các địa chỉ đích bị tấn công.
- org Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 95 Hình 3.8 : Tra thông tin chi tiết về Alert nghi vấn - Sau khi đọc các thông tin về alert này, ta thấy nhiều khả năng đây là alert sinh ra do “Slammer worm” phát tán trên Internet, đang cố gắng khai thác một lỗi buffer overflow trên MS SQL Server 2000 Resolution Service.
- Thực hiện trên firewall của hệ thống.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 96+ Cập nhật bản vá cho các dịch vụ MS SQL đã public từ URL: www.
- Click vào “Alert Group Management” để thao tác với các nhóm: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 98 Hình 3.13 : Quản lý Alert theo nhóm Bạn có thể tạo nhóm mới (Create), xem alert tương ứng với các nhóm (View), sửa 1 nhóm (Edit), xoá 1 nhóm(Delete) và reset 1 nhóm (Clear).
- Graph Alert Data Click vào "Graph Alert Data" để xem biểu đồ về dữ liệu alert: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 99 Hình 3.14 : Chọn biểu đồ dữ liệu Có rất nhiều tham số cho phép xây dựng biểu đồ, bao gồm.
- Kích thước đồ thị - Lề đồ thị: trái, phải, trên, dưới - Kiểu vẽ: bar, line, pie - Thời gian bắt đầu, thời gian kết thúc Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 100 Hình 3.15 : Đồ thị trực quan Graph Alert Detection Time Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể hiện tần suất các alert theo giờ, ngày hoặc theo tháng.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 101Hình 3.16 : Đồ thị tần suất Alert 3.3.4 Hướng dẫn sử dụng Webmin Đăng nhập trang quản trị - Account quản trị WEBMIN: root/root2008 - Địa chỉ đăng nhập: https .
- Màn hình đăng nhập Hình 3.17 : Màn hình đăng nhập Webmin - Sau khi đăng nhập thành công, màn hình xuất hiện cửa sổ sau: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 102Hình 3.18 : Đăng nhập thành công Quản trị Webmin Phần này cho phép thay đổi các thông tin cấu hình của Webmin, bao gồm các mục.
- Network configuration - PPP Dial in server - Shorewall firewall Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 105 Hình 3.22 : Các dịch vụ mạng có thể quản trị Quản trị phần cứng Webmin đã cấu hình để có thể thay đổi các thông tin cấu hình phần cứng sau.
- Grub boot loader - Partitions on Local disks - System time Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 106 Hình 3.23 : Quản trị phần cứng Quản trị các vấn đề khác Ngoài ra, webmin có thể quản trị một số ứng dụng khác.
- Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 109DANH MỤC TÀI LIỆU THAM KHẢO [1] Patrick S

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt