TÌM HIỂU VÀ XÂY DỰNG IDSBẰNG SNORT TRÊN UBUNTU

Giáo viên hướng dẫn:Sinh viên thực hiện:

1

Nội dung

2. Nghiên cứu ứng dụng SNORT2. Nghiên cứu ứng dụng SNORT

1. Tổng quan về IDS1. Tổng quan về IDS

2

3. Cài đặt và thực hành3. Cài đặt và thực hành

Tổng quan về IDS

3

1. Định nghĩaLà hệ thống phát hiện:

việc sử dụng không hợp pháp tài nguyên hệ thống những hoạt động lạm dụng, tấn công vào hệ thống máy

tính hoặc mạng máy tính

Hệ thống IDS thu thập thông tin từ nhiều nguồn trong hệ

thống rồi tiến hành phân tích.

Tổng quan về IDS

4

2. Các thành phần

Tổng quan về IDS

5

3. Chức năngGiám sát:

các lưu lượng mạng các hành động bất thường các hoạt động khả nghi

Cảnh báo: tình trạng mạng khi biết các hoạt động bất thường

Bảo vệ : dùng những thiết lập mặc định cấu hình từ nhà quản trị

Tổng quan về IDS

6

4. Phân loạiNetwork Based IDS (NIDS)

đặt giữa kết nối mạng trong và bên ngoài để giám sát dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài

đặt trên toàn mạng, kiểm soát các cuộc lưu thông nghi

ngờ trên toàn mạng.

Tổng quan về IDS

7

4. Phân loạiHost Based IDS (HIDS)

cài đặt trên máy tính nhất định, thay vì giám sát hoạt động

trên network segment, HIDS chỉ giám sát một máy kiểm soát lưu lượng vào ra trên một hoặc nhiều máy tính

Tổng quan về IDS

8

5. Phát hiện xâm nhậpDấu hiệu xâm nhập:

So sánh các dấu hiệu của đối tượng quan sát với các dấu

hiệu của các mối nguy hại đã biết.

Dấu hiệu bất thường: So sánh định nghĩa của những hoạt động bình thường với

đối tượng quan sát nhằm xác định các độ lệch.

Trạng thái giao thức: So sánh các profile định trước tại hoạt động của mỗi giao

thức được coi là bình thường với đối tượng quan sát.

Tổng quan về IDS

9

6. Sản phẩm IDSCisco IDS-4235: khả năng theo dõi toàn bộ lưu thông mạng và

đối sánh từng gói tin để phát hiện các xâm nhập

ISS Proventia A201: là cả hệ thống các thiết bị phần cứng và

phần mềm được triển khai phân tán trong mạng

Intrusion Protection Appliance: là một phiên bản Linux với các

driver thiết bị mạng được xây dựng tối ưu

Proventia Network Agent: vai trò như bộ cảm biến Sensor

SiteProtector: là trung tâm điều khiển hệ thống proventia

NFR NID-310: nhiều bộ cảm biến thích ứng đa dạng

SNORT 1.6: phần mềm IDS mã nguồn mở phát triển bởi Martin Roesh đầu tiên được xây dựng trên Unix sau đó phát triển sang

các nền tảng khác được đánh giá là IDS mã nguồn mở đáng chú ý nhất

Nội dung

10

3. Cài đặt và thực hành3. Cài đặt và thực hành

2. Nghiên cứu ứng dụng SNORT2. Nghiên cứu ứng dụng SNORT

1. Tổng quan về IDS1. Tổng quan về IDS

NGHIÊN CỨU ỨNG DỤNG SNORT

11

1. Giới thiệu về SnortSnort là một NIDS được Martin Roesh phát triển dưới mô hình mã

nguồn mởNhiều tính năng tuyệt vời phát triển theo kiểu moduleCơ sở dữ liệu luật lên đến 2930 luậtSnort hỗ trợ hoạt động trên các giao thức: Ethernet, Token Ring,

FDDI, Cisco HDLC, SLIP, PPP, và PE của Open BDS

NGHIÊN CỨU ỨNG DỤNG SNORT

12

2. Kiến trúc SnortModun giải mã gói tin (Packet Decoder)Modun tiền xử lý (Preprocessors)Modun phát hiện (Detection Eng)Modun log và cảnh báo (Logging and Alerting System)Modun kết xuất thông tin (Output module)

NGHIÊN CỨU ỨNG DỤNG SNORT

13

3. Bộ luật của SnortGiới thiệuThông thường các tấn công hay xâm nhập đều để lại dấu hiệu riêng. Các

thông tin này được sử dụng để tạo nên các luật của Snort.

Cấu trúcTiêu đề: chứa thông tin về hành động mà luật đó sẽ thực hiệnCác tùy chọn: nằm ngay sau phần Rule Header được bao bọc trong dấu

ngoặc đơn. Nếu có nhiều option thì phân cách nhau bằng dấu “,” và các tùy

chọn này phải đồng thời thỏa mãn

Action Protocol Address Port Direction Address Port

DEMO

Apr 17, 2023 14

Vấn đề hoàn thiện

Rules Bảo mật cho acidbase Xây dựng thông báo qua email

Apr 17, 2023 15

Tài liệu tham khảo

https://www.snort.org/docsSnort FAQSnort Users ManualSnort 2.9.3.0 on Ubuntu 12.04 LTShttp://tailieu.vn/

Apr 17, 2023 16

The End.

Apr 17, 2023 17