Company
LOGO
TÌM HIỂU VỀ HỆ THỐNG IDS.
TRIỄN KHAI ỨNG DỤNG TRÊN PHẦN MỀM SNORT
GVHD :
SVTH :
MSSV :
May 16, 2014
1
TRƯỜNG ĐẠI HỌC DUY TÂN
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO
KHÓA LUẬN TỐT NGHIỆP

Néi Dung
May 16, 2014 2
22
CÀI ĐẶT VÀ CẤU HÌNH SNORT
NGHIÊN CỨU ƯNG DỤNG SNORT
TRONG IDS
TỔNG QUAN VỀ IDS & WIDS
NGHIÊN CỨU ỨNG DỤNG SNORT
TRONG IDS
3.CÀI ĐẶT VÀ CẤU HÌNH SNORT
TRÊN WinServer2X3
1.Tổng quan về IDS
May 16, 2014 3
1.1 Định nghĩa
IDS Là hệ thống giám sát lưu lượng trên hệ thống mạng nhằm phát hiện
xâm nhập trái phép từ đó thông báo đến người quản trị.
Trong một vài trường hợp IDS có thể hoạt động một cách tích cực như

1.Tổng quan về IDS
1.4.3 So sánh giữa 2 mô
hình phương pháp dò dấu
hiệu và phương pháp dò
Sự bất thường
May 16, 2014 8
Phương pháp dò dấu hiệu Phương pháp dò sự bất thường
Bao gồm:
•
Cơ sở dữ liệu các dấu hiệu tấn công.
•
Tìm kiếm các so khớp mẫu đúng.
Bao gồm:
•
Cơ sở dữ liệu các hành động thông
thường.
•
Tìm kiếm độ lệch của hành động thực
tế so với hành động thông thường.
Hiệu quả trong việc phát hiện các dạng
tấn công đã biết, hay các biến thể (thay đổi
nhỏ) của các dạng tấn công đã biết. Không
phát hiện được các dạng tấn công mới.
Hiệu quả trong việc phát hiện các dạng
tấn công mới mà một hệ thống phát hiện sự
lạm dụng bỏ qua.
Dễ cấu hình hơn do đòi hỏi ít hơn về thu
thập dữ liệu, phân tích và cập nhật
Khó cấu hình hơn vì đưa ra nhiều dữ
liệu hơn, phải có được một khái niệm toàn

cảm
•
SiteProtector: là trung tâm điều khiển hệ thống proventia
•
NFR NID-310: NFR là sản phẩm của NFR Security. Gồm nhiều bộ cảm biến thích
ứng với nhiều mạng khác nhau
1.6 Tương lai của hệ thống IDS
•
Hệ thống nhúng
•
Ngăn chắn các dấu hiệu bất thương được phát hiện thấy
1.Tổng quan về IDS
May 16, 2014 10
2.1 Giới thiệu về Snort
2.2 Kiến trúc của Snort
2.3 Bộ luật của Snort
2.4 Chế độ ngăn chặn của Snort: Snort - Inline
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
May 16, 2014 11
2.1 Giới thiệu về Snort
•
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở
•
Nhiều tính năng tuyệt vời phát triển theo kiểu module
•
Cơ sở dữ liệu luật lên đến 2930 luật
•
Snort hỗ trợ hoạt động trên các giao thức: Ethernet, Token Ring, FDDI, Cisco
HDLC, SLIP, PPP, và PE của Open BDS
2.2 Kiến trúc của một Snort

2.2.3 Modun phát hiện:
•
Phát hiện các dấu hiệu xâm nhập. Nó sử dụng các luật được định nghĩa trước để so
sánh với dữ liệu thu thập được
•
Có khả năng tách các thành của gói tin ra và áp dụng lên từng phần

NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
May 16, 2014 13
2.2.4: Modun log và cảnh báo:
Tùy thuộc vào modun phát hiện có nhận dạng được hay không mà gói tin có thể bị
ghi vào log hoặc đưa ra cảnh báo
2.2.5: Modun kết xuất thông tin
Thực hiện các thao tác khác nhau tùy thuộc vào việc bạn muốn lưu kết quả kết xuất
ra như thế nào. Nó có thể thực hiện nhiều công việc:
•
Ghi log file
•
Ghi syslog: là chuẩn lưu trữ các file log
•
Ghi cảnh báo vào cơ sở dữ liệu
•
Tạo file log dạng xml
•
Cấu hình lại Router, Firewall
•
Gửi các cảnh báo được gói trong các gói tin sử dụng giao thức SNMP
•
Gửi các thông điệp SMB
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS

Dynamic: đây là luật được gọi bởi các luật khác có hành động là Activate

Protocols: Chỉ ra loại gói tin mà luật sẽ áp dụng
•
IP
•
ICMP
•
TCP/UDP
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
May 16, 2014 16
2.3.2.1 Phần tiêu đề
•
Address: có địa chỉ nguồn và địa chỉ đích. Địa chỉ có thể là 1 địa chỉ IP đơn hoặc
địa chỉ của một mạng. Ta dùng từ any để áp luật cho tất cả các địa chỉ
alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;)
•
Ngăn chặn địa chỉ hay loại trừ địa chỉ: sử dụng dấu (!) ở trước sẽ chỉ cho Snort
không kiểm tra gói tin đến hoặc đi từ địa chỉ đó
alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with
TTL=100”; ttl: 100;)
•
Danh sách địa chỉ
alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg:
“Ping with TTL=100”; ttl: 100;)
•
Cổng (Port number): áp dụng luật cho gói tin đến hoặc đi từ 1 cổng hay phạm vi
cổng
alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”;

alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;)
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
May 16, 2014 18
2.3.2.2 Các tùy chọn
•
Từ khóa flags: phát hiện những bit cờ flag nào được bật
alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;)
•
Từ khóa fragbits: phần IP header của gói tin chứa 3bit dùng để chống phân mảnh
•
Reserved Bit (RB): dùng để dành cho tương lai
•
Don’t Fragment Bit (DF): bit này được thiết lập thì gói tin đó không bị phân mảnh
•
More Fragments Bit (MF): bit này được thiết lập thì các phần khác của gói tin đang
trên đường đi mà chưa tới đích. Nếu bit này không được thiết lập thì có nghĩa đây là phần cuối
cùng của gói tin(gói tin duy nhất)
alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;)
May 16, 2014 19
2.4 Chế độ ngăn chặn của Snort:
2.4.1 Sử dụng Snort ở Sniff packet mode
Chúng ta sẽ sử dụng Snort để Sniff packet. Để tiến hành Sniffing, chúng ta
cần để Card mạng ở chế độ Promiscuous, chế độ này cho phép card mạng có thể
nghe thấy tất cả các gói tin đang lưu chuyển trên phân mạng của nó.
2.4.2 Sử dụng Snort ở NIDS mode
NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS
3.CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN WinServer2X3
May 16, 2014 20
Mời thầy giáo và các bạn cùng theo dõi phần demo