bao cao ids-ips

Shared at SinhVienIT.Net Thanks For hocLinux.Net

M C L C

L I NI U

CH NG I : T NG QUAN V IDS/IPS 1.1 Gi i thi u v IDS/IPS 1.1.1 nh ngha 1.1.2 S khc nhau gi a IDS v IPS 1.2 Phn lo i IDS/IPS & phn tch u nh c i m

1.2.1 Network based IDS NIDS 1.2.2 Host based IDS HIDS 1.3 C ch ho t ng c a h th ng IDS/IPS 1.3.1 M hnh pht hi n s l m d ng 1.3.2 M hnh pht hi n s b t th ng 1.3.2.1 Pht hi n tnh 1.3.2.2 Pht hi n ng 1.3.3 So snh gi a hai m hnh 1.4 M t s s n ph m c a IDS/IPS

CH NG II : NGHIN C U NG D NG SNORT TRONG IDS/IPS 2.1 Gi i thi u v snort 2.2 Ki n trc c a snort 2.2.1 Modun gi i m gi tin 2.2.2 M un ti n x l 2.2.3 M un pht hi n 2.2.4 M un log v c nh bo 2.2.5 M un k t xu t thong tin

2.3 B lu! t c a snort 2.3.1 Gi i thi u 2.3.2 C u trc lu! t c a Snort

2.3.2.1 Ph"n tiu 2.3.2.2 Cc ty ch#n

2.4 Ch ng$n ch%n c a Snort : Snort Inline


2.4.1 Tch h p kh n$ng ng$n ch%n vo Snort 2.4.2 Nh ng b& sung cho c u trc lu! t c a Snort h tr Inline mode CH NG III : CI ( T V C ) U HNH SNORT, TH* NGHI+M KH, N- NG PH, N NG C. A IDS/IPS 3.1 nh ngha cc bi n 3.2 C u hnh m un ti n x l 3.3C u hnh m un k t xu t thng tin

TI LI+U THAM KH , O


L I NI U

An ninh thng tin ni chung v an ninh m ng ni ring ang l v n c

quan tm khng ch/ 0 Vi t Nam m trn ton th gi i. Cng v i s pht tri n nhanh chng c a m ng Internet, vi c m b o an ninh cho cc h th ng thng tin cng tr0 nn c p thi t h n bao gi h t.

Trong lnh v c an ninh m ng, pht hi n v phng ch ng t n cng xm nh! p cho cc m ng my tnh l m t ti hay, thu ht c s ch c a nhi u nh nghin c1u v i nhi u h ng nghin c1u khc nhau. Trong xu h ng , 2 n th c t! p chuyn ngnh ny chng em mong mu n c th tm hi u, nghin c1u v pht hi n v phng ch ng xm nh! p m ng v i m c ch n3m b3t c cc gi i php, cc k4 thu! t tin ti n chu n b t t cho hnh trang c a mnh sau khi ra tr ng. M%c d c g3ng h t s1c nh ng do ki n th1c v kh n$ng nhn nh! n v n cn h n ch nn bi lm khng trnh kh5i thi u st, r t mong c s quan tm v gp thm c a th"y c v t t c cc b n.

c th hon thnh c 2 n ny , chng em xin g i l i c m n su s3c nh t t i th"y Nguy6n o Tr ng nhi t tnh h ng d7n, ch/ b o v cung c p cho chng em nhi u ki n th1c r t b& ch trong su t qu trnh lm 2 n. Nh s gip 8 t! n tm c a th"y, chng em m i c th hon thnh c 2 n ny.

M t l"n n a xin c m n th"y r t nhi u !

CH NG I : T NG QUAN V IDS/IPS 1.1 Gi i thi u v IDS/IPS 1.1.1 nh ngha


H th ng pht hi n xm nh! p (IDS) l h th ng c nhi m v theo di, pht hi n v (c th ) ng$n c n s xm nh! p, c9ng nh cc hnh vi khai thc tri php ti nguyn c a h th ng c b o v m c th d7n n vi c lm t&n h i n tnh b o m! t, tnh ton v: n v tnh s; n sng c a h th ng.

H th ng IDS s< thu th! p thng tin t= r t nhi u ngu2n trong h th ng c b o v sau ti n hnh phn tch nh ng thng tin theo cc cch khc nhau pht hi n nh ng xm nh! p tri php.

Khi m t h th ng IDS c kh n$ng ng$n ch%n cc nguy c xm nh! p m n pht hi n c th n c g#i l m t h th ng phng ch ng xm nh! p hay IPS.

Hnh sau minh ho cc v tr th ng ci %t IDS trong m ng :

Hnh : Cc v tr %t IDS trong m ng 1.1.2 S khc nhau gi a IDS v IPS C th nh! n th y s khc bi t gi a hai khi ni m ngay 0 tn g#i: pht hi n

v ng $n ch%n. Cc h th ng IDS c thi t k v i m c ch ch y u l pht hi n v c nh bo cc nguy c xm nh! p i v i m ng my tnh n ang b o v trong khi , m t h th ng IPS ngoi kh n$ng pht hi n cn c th t hnh ng ch ng l i cc nguy c theo cc quy nh c ng i qu n tr thi t l! p s; n.

Tuy v! y, s khc bi t ny trn th c t khng th! t s r rng. M t s h th ng IDS c thi t k v i kh n$ng ng$n ch%n nh m t ch1c n$ng ty ch#n. Trong khi m t s h th ng IPS l i khng mang " y ch1c n$ng c a m t h th ng phng ch ng theo ng ngha.

M t cu h5i c %t ra l l a ch#n gi i php no, IDS hay IPS? Cu tr l i ty thu c vo quy m, tnh ch t c a t=ng m ng my tnh c th c9ng nh chnh sch an ninh c a nh ng ng i qu n tr m ng. Trong tr ng h p cc m ng c quy m nh5, v i m t my ch an ninh, th gi i php IPS th ng c cn nh3c


nhi u h n do tnh ch t k t h p gi a pht hi n, c nh bo v ng$n ch%n c a n. Tuy nhin v i cc m ng l n h n th ch1c n$ng ng$n ch%n th ng c giao ph cho m t s n ph m chuyn d ng nh m t firewall ch>ng h n. Khi , h th ng c nh bo s< ch/ c"n theo di, pht hi n v g i cc c nh bo n m t h th ng ng$n ch%n khc. S phn chia trch nhi m ny s< lm cho vi c m b o an ninh cho m ng tr0 nn linh ng v hi u qu h n.

1.2 phn lo i IDS/IPS Cch thng th ng nh t phn lo i cc h th ng IDS (c9ng nh IPS) l

d a vo %c i m c a ngu2n d li u thu th! p c. Trong tr ng h p ny, cc h th ng IDS c chia thnh cc lo i sau:

Host-based IDS (HIDS): S d ng d li u ki m tra t= m t my tr m n pht hi n xm nh! p.

Network-based IDS (NIDS): S d ng d li u trn ton b l u thng m ng, cng v i d li u ki m tra t= m t ho%c m t vi my tr m pht hi n xm nh! p.

1.2.1 Network based IDS NIDS NIDS th ng bao g2m c hai thnh ph"n logic : B c m bi n Sensor : %t t i m t o n m ng, ki m sot cc cu c l u

thng nghi ng trn o n m ng . Tr m qu n l : nh! n cc tn hi u c nh bo t= b c m bi n v thng bo

cho m t i u hnh vin.

Hnh I : M hnh NIDS


M t NIDS truy n th ng v i hai b c m bi n trn cc o n m ng khc nhau cng giao ti p v i m t tr m ki m sot.

u i m Chi ph th p : Do ch/ c"n ci %t NIDS 0 nh ng v tr tr#ng y u l c th

gim st l u l ng ton m ng nn h th ng khng c"n ph i n p cc ph"n m m v qu n l trn cc my ton m ng.

Pht hi n c cc cu c t n cng m HIDS b5 qua: Khc v i HIDS, NIDS ki m tra header c a t t c cc gi tin v th n khng b 5 st cc d u hi u xu t pht t= y. V d : nhi u cu c t n cng DoS, TearDrop (phn nh5) ch/ b pht hi n khi xem header c a cc gi tin l u chuy n trn m ng.

Kh xo b5 d u v t (evidence): Cc thng tin l u trong log file c th b k? t nh! p s a & i che d u cc ho t ng xm nh! p, trong tnh hu ng ny HIDS kh c thng tin ho t ng. NIDS s d ng l u thng hi n hnh trn m ng pht hi n xm nh! p. V th , k? t nh! p khng th xo b5 c cc d u v t t n cng. Cc thng tin b3t c khng ch/ ch1a cch th1c t n cng m c thng tin h tr cho vi c xc minh v bu c t i k? t nh! p.

Pht hi n v i ph k p th i : NIDS pht hi n cc cu c t n cng ngay khi x y ra, v th vi c c nh bo v i ph c th th c hi n c nhanh h n. VD : M t hacker th c hi n t n cng DoS d a trn TCP c th b NIDS pht hi n v ng$n ch%n ngay b@ng vi c g i yu c"u TCP reset nh@m ch m d1t cu c t n cng tr c khi n xm nh! p v ph v8 my b h i.

C tnh c l! p cao: L i h th ng khng c nh h0 ng ng k no i v i cng vi c c a cc my trn m ng. Chng ch y trn m t h th ng chuyn d ng d6 dng ci %t; n thu"n ch/ m0 thi t b ra, th c hi n m t vi s thay & i c u hnh v c3m chng vo trong m ng t i m t v tr cho php n ki m sot cc cu c l u thng nh y c m.

Nh c i m B h n ch v i Switch: Nhi u l i i m c a NIDS khng pht huy c

trong cc m ng chuy n m ch hi n i. Thi t b switch chia m ng thnh nhi u ph"n c l! p v th NIDS kh thu th! p c thng tin trong ton m ng. Do ch/ ki m tra m ng trn o n m n tr c ti p k t n i t i, n khng th pht hi n m t cu c t n cng x y ra trn cc o n m ng khc.


V n ny d7n t i yu c"u t& ch1c c"n ph i mua m t l ng l n cc b c m bi n c th bao ph h t ton m ng gy t n km v chi ph ci %t.

H n ch v hi u n$ng: NIDS s< g%p kh kh$n khi ph i x l t t c cc gi tin trn m ng r ng ho%c c m! t l u thng cao, d7n n khng th pht hi n cc cu c t n cng th c hi n vo lc "cao i m". M t s nh s n xu t kh3c ph c b@ng cch c1ng ho hon ton IDS nh@m t$ng c ng t c cho n. Tuy nhin, do ph i m b o v m%t t c nn m t s gi tin c b5 qua c th gy l h&ng cho t n cng xm nh! p.

T$ng thng l ng m ng: M t h th ng pht hi n xm nh! p c th c"n truy n m t dung l ng d li u l n tr0 v h th ng phn tch trung tm, c ngha l m t gi tin c ki m sot s< sinh ra m t l ng l n t i phn tch. kh3c ph c ng i ta th ng s d ng cc ti n trnh gi m d li u linh ho t gi m b t s l ng cc l u thng c truy n t i. H# c9ng th ng thm cc chu trnh t ra cc quy t nh vo cc b c m bi n v s d ng cc tr m trung tm nh m t thi t b hi n th tr ng thi ho%c trung tm truy n thng h n l th c hi n cc phn tch th c t . i m b t l i l n s < cung c p r t t thng tin lin quan cho cc b c m bi n; b t kA b c m bi n no s< khng bi t c vi c m t b c m bi n khc d c m t cu c t n cng. M t h th ng nh v! y s< khng th d c cc cu c t n cng hi p 2 ng ho%c ph1c t p.

M t h th ng NIDS th ng g%p kh kh$n trong vi c x l cc cu c t n cng trong m t phin c m ho. L i ny cng tr0 nn tr"m tr#ng khi nhi u cng ty v t& ch1c ang p d ng m ng ring o VPN.

- M t s h th ng NIDS c9ng g%p kh kh$n khi pht hi n cc cu c t n cng m ng t= cc gi tin phn m nh. Cc gi tin nh d ng sai ny c th lm cho NIDS ho t ng sai v & v8.

1.2.2 Host based IDS HIDS Host-based IDS tm ki m d u hi u c a xm nh! p vo m t host c c b ;

th ng s d ng cc c ch ki m tra v phn tch cc thng tin c logging. N tm ki m cc ho t ng b t th ng nh login, truy nh! p file khng thch h p, b c leo thang cc %c quy n khng c ch p nh! n.

Ki n trc IDS ny th ng d a trn cc lu! t (rule-based) phn tch cc ho t ng. V d %c quy n c a ng i s d ng c p cao ch/ c th t c thng qua l nh su-select user, nh v! y nh ng c g3ng lin t c login vo account root c th c coi l m t cu c t n cng.

u i m


Xc nh c k t qu c a cu c t n cng: Do HIDS s d ng d li u log l u cc s ki n x y ra, n c th bi t c cu c t n cng l thnh cng hay th t b i v i chnh xc cao h n NIDS. V th , HIDS c th b& sung thng tin ti p theo khi cu c t n cng c s m pht hi n v i NIDS.

Gim st c cc ho t ng c th c a h th ng: HIDS c th gim st cc ho t ng m NIDS khng th nh : truy nh! p file, thay & i quy n, cc hnh ng th c thi, truy nh! p dch v c phn quy n. 2 ng th i n c9ng gim st cc ho t ng ch/ c th c hi n b0i ng i qu n tr. V th , h th ng host-based IDS c th l m t cng c c c m nh phn tch cc cu c t n cng c th x y ra do n th ng cung c p nhi u thng tin chi ti t v chnh xc h n m t h network-based IDS.

Pht hi n cc xm nh! p m NIDS b5 qua: ch>ng h n k? t nh! p s d ng bn phm xm nh! p vo m t server s< khng b NIDS pht hi n.

Thch nghi t t v i mi tr ng chuy n m ch, m ho: Vi c chuy n m ch v m ho th c hi n trn m ng v do HIDS ci %t trn my nn n khng b nh h0 ng b0i hai k4 thu! t trn.

Khng yu c"u thm ph"n c1ng: c ci %t tr c ti p ln h t"ng m ng c s; n (FTP Server, WebServer) nn HIDS khng yu c"u ph i ci %t thm cc ph"n c1ng khc.

Nh c i m Kh qu n tr : cc h th ng host-based yu c"u ph i c ci %t trn t t

c cc thi t b %c bi t m b n mu n b o v . y l m t kh i l ng cng vi c l n c u hnh, qu n l, c! p nh! t.

Thng tin ngu2n khng an ton: m t v n khc k t h p v i cc h th ng host-based l n h ng n vi c tin vo nh! t k m%c nh v n$ng l c ki m sot c a server. Cc thng tin ny c th b t n cng v t nh! p d7n n h th ng ho t ng sai, khng pht hi n c xm nh! p.

H th ng host-based t ng i 3 t : nhi u t& ch1c khng c ngu2n ti chnh b o v ton b cc o n m ng c a mnh s d ng cc h th ng host-based. Nh ng t& ch1c ph i r t th! n tr#ng trong vi c ch#n cc h th ng no b o v . N c th l i cc l h&ng l n trong m1c bao ph pht hi n xm nh! p. V d nh m t k? t n cng trn m t h th ng lng gi ng khng c b o v c th nh h i th y cc thng tin xc th c ho%c cc ti li u d6 b xm ph m khc trn m ng.


Chi m ti nguyn h th ng : Do ci %t trn cc my c"n b o v nn HIDS ph i s d ng cc ti nguyn c a h th ng ho t ng nh : b vi x l, RAM, b nh ngoi.

1.3 C ch ho t ng c a h th ng IDS/IPS C hai cch ti p c! n c b n i v i vi c pht hi n v phng ch ng xm

nh! p l : pht hi n s l m d ng (Misuse Detection Model): H th ng s< pht hi n cc

xm nh! p b@ng cch tm ki m cc hnh ng t ng 1ng v i cc k thu! t xm nh! p c bi t n (d a trn cc d u hi u - signatures) ho%c cc i m d6 b t n cng c a h th ng.

pht hi n s b t th ng (Anomaly Detection Model): H th ng s< pht hi n cc xm nh! p b@ng cch tm ki m cc hnh ng khc v i hnh vi thng th ng c a ng i dng hay h th ng.

1.3.1 pht hi n s l m d ng Pht hi n s l m d ng l pht hi n nh ng k? xm nh! p ang c g3ng t

nh! p vo h th ng m s d ng m t s k4 thu! t bi t. N lin quan n vi c m t %c i m cc cch th1c xm nh! p vo h th ng c bi t n, m i cch th1c ny c m t nh m t m7u. H th ng pht hi n s l m d ng ch/ th c hi n ki m sot i v i cc m7u r rng. M 7u c th l m t xu bit c nh (v d nh m t virus %c t vi c chn xu),dng m t m t t! p hay m t chu i cc hnh ng ng nghi ng .

B y, ta s d ng thu! t ng kch b n xm nh p (intrusion scenario). M t h th ng pht hi n s l m d ng i n hnh s< lin t c so snh hnh ng c a h th ng hi n t i v i m t t! p cc kch b n xm nh! p c g3ng d ra kch b n ang c ti n hnh. H th ng ny c th xem xt hnh ng hi n t i c a h th ng c b o v trong th i gian th c ho%c c th l cc b n ghi ki m tra c ghi l i b0i h i u hnh.

Cc k4 thu! t pht hi n s l m d ng khc nhau 0 cch th1c m chng m hnh ho cc hnh vi ch/ nh m t s xm nh! p. Cc h th ng pht hi n s l m d ng th h " u tin s d ng cc lu! t (rules) m t nh ng g m cc nh qu n tr an ninh tm ki m trong h th ng. M t l ng l n t! p lu! t c tch lu4 d7n n kh c th hi u v s a & i b0i v chng khng c t o thnh t=ng nhm m t cch h p l trong m t kch b n xm nh! p.


gi i quy t kh kh$n ny, cc h th ng th h th1 hai a ra cc bi u di6n kch b n xen k


c a cng xu bit c nh. B t kA s khc nhau no u l th hi n l i nh h5ng ph"n c1ng ho%c c xm nh ! p.

Bi u di6n tr ng thi tnh c th l cc xu bit th c t c ch#n nh ngha cho tr ng thi h th ng, tuy nhin i u kh t n km v l u tr c9ng nh v cc php ton so snh. Do v n c"n quan tm l vi c tm ra c s sai khc c nh bo xm nh! p ch1 khng ph i ch/ ra sai khc 0 u nn ta c th s d ng d ng bi u di6n c nn gi m chi ph. N l gi tr tm t 3t tnh c t= m t xu bit c s0. Php tnh ton ny ph i m b o sao cho gi tr tnh c t= cc xu bit c s0 khc nhau l khc nhau. C th s d ng cc thu! t ton checksums, message-digest (phn lo i thng i p), cc hm b$m.

M t s b pht hi n xm nh! p k t h p ch%t ch< v i meta-data (d li u m t cc i t ng d li u) ho%c thng tin v c u trc c a i t ng c ki m tra. V d , meta-data cho m t log file bao g2m kch c8 c a n. N u kch c8 c a log file t$ng th c th l m t d u hi u xm nh! p. 1.3.2.2 Pht hi n ng

Tr c h t ta a ra khi ni m hnh vi c a h th ng (behavior). Hnh vi c a h th ng c nh ngha l m t chu i cc s ki n phn bi t, v d nh r t nhi u h th ng pht hi n xm nh! p s d ng cc b n ghi ki m tra (audit record), sinh ra b0i h i u hnh nh ngha cc s ki n lin quan, trong tr ng h p ny ch/ nh ng hnh vi m k t qu c a n l vi c t o ra cc b n ghi ki m tra c a h i u hnh m i c xem xt.

Cc s ki n c th x y ra theo tr! t t nghim ng%t ho%c khng v thng tin ph i c tch lu4. Cc ng ng c nh ngha phn bi t ranh gi i gi a vi c s d ng ti nguyn h p l hay b t th ng.

N u khng ch3c ch3n hnh vi l b t th ng hay khng, h th ng c th d a vo cc tham s c thi t l! p trong su t qu trnh kh0i t o lin quan n hnh vi. Ranh gi i trong tr ng h p ny l khng r rng do c th d7n n nh ng c nh bo sai.

Cch th1c thng th ng nh t xc nh ranh gi i l s d ng cc phn lo i th ng k v cc l ch chu n. Khi m t phn lo i c thi t l! p, ranh gi i c th c v ch ra nh s d ng m t s l ch chu n. N u hnh vi n@m bn ngoi th s< c nh bo l c xm nh! p.

C th l: cc h th ng pht hi n ng th ng t o ra m t profile (d li u) c s0 m t %c i m cc hnh vi bnh th ng, ch p nh! n c. M t d li u bao


g2m t! p cc o l ng c xem xt v hnh vi, m i i l ng o l ng g2m nhi u chi u:

Lin quan n cc l a ch#n: th i gian $ng nh! p, v tr $ng nh! p, Cc ti nguyn c s d ng trong c qu trnh ho%c trn m t n v th i

gian: chi u di phin giao dch, s cc thng i p g i ra m ng trong m t n v th i gian,

Chu i bi u di6n cc hnh ng. Sau khi kh0i t o d li u c s0, qu trnh pht hi n xm nh! p c th c b3t

" u. Pht hi n ng lc ny c9ng gi ng nh pht hi n tnh 0 chng ki m sot hnh vi b@ng cch so snh m t %c i m hi n t i v hnh vi v i m t ban " u c a hnh vi c mong i (chnh l d li u c s0), tm ra s khc nhau. Khi h th ng pht hi n xm nh! p th c hi n, n xem xt cc s ki n lin quan n th c th ho%c cc hnh ng l thu c tnh c a th c th . Chng xy d ng thm m t d li u hi n t i.

Cc h th ng pht hi n xm nh! p th h tr c ph i ph thu c vo cc b n ghi ki m tra (audit record) b3t gi cc s ki n ho%c cc hnh ng lin quan. Cc h th ng sau ny th ghi l i m t c s0 d li u %c t cho pht hi n xm nh! p. M t s h th ng ho t ng v i th i gian th c, ho%c g"n th i gian th c, quan st tr c ti p s ki n trong khi chng x y ra h n l i h i u hnh t o ra b n ghi m t s ki n.

Kh kh $n chnh i v i cc h th ng pht hi n ng l chng ph i xy d ng cc d li u c s0 m t cch chnh xc, v sau nh ! n d ng hnh vi sai tri nh cc d li u.

Cc d li u c s0 c th xy d ng nh vi c gi ch y h th ng ho%c quan st hnh vi ng i dng thng th ng qua m t th i gian di.

1.3.3 So snh gi a hai m hnh

Pht hi n s l m d ng Pht hi n s b t th ng

Bao g2m: C s0 d li u cc d u hi u t n

cng. Tm ki m cc so kh p m7u

ng.

Bao g2m: C s0 d li u cc hnh ng

thng th ng. Tm ki m l ch c a hnh

ng th c t so v i hnh ng thng th ng.

Hi u qu trong vi c pht hi n cc Hi u qu trong vi c pht hi n cc


d ng t n cng bi t, hay cc bi n th (thay & i nh5) c a cc d ng t n cng bi t. Khng pht hi n c cc d ng t n cng m i.

d ng t n cng m i m m t h th ng pht hi n s l m d ng b5 qua.

D6 c u hnh h n do i h 5i t h n v thu th! p d li u, phn tch v c! p nh! t

Kh c u hnh h n v a ra nhi u d li u h n, ph i c c m t khi ni m ton di n v hnh vi bi t hay hnh vi c mong i c a h th ng

a ra k t lu! n d a vo php so kh p m7u (pattern matching).

a ra k t qu d a vo t ng quan b@ng th ng k gi a hnh vi th c t v hnh vi c mong i c a h th ng (hay chnh l d a vo l ch gi a thng tin th c t v ng8 ng cho php).

C th kch ho t m t thng i p c nh bo nh m t d u hi u ch3c ch3n, ho%c cung c p d li u h tr cho cc d u hi u khc.

C th h tr vi c t sinh thng tin h th ng m t cch t ng nh ng c"n c th i gian v d li u thu th! p c ph i r rng.

B ng So snh 2 m hnh pht hi n c c m t h th ng pht hi n xm nh! p t t nh t ta ti n hnh k t h p c

hai ph ng php trn trong cng m t h th ng. H th ng k t h p ny s< cung c p kh n$ng pht hi n nhi u lo i t n cng h n v hi u qu h n.

S 2 h th ng k t h p nh sau:


Hnh I : H th ng k t h p 2 m hnh pht hi n

1.4 M t s s n ph m c a IDS/IPS Ph"n ny gi i thi u m t s s n ph m IDS, IPS th ng m i c9ng nh mi6n

ph ph& bi n, nh ng s n ph m i n hnh trong lnh v c pht hi n v phng ch ng xm nh! p.

Cisco IDS-4235

Cisco IDS (cn c tn l NetRanger) l m t h th ng NIDS, c kh n$ng theo di ton b l u thng m ng v i snh t=ng gi tin pht hi n cc d u hi u xm nh! p.

Cisco IDS l m t gi i php ring bi t, c Cisco cung c p 2 ng b ph"n c1ng v ph"n m m trong m t thi t b chuyn d ng.

Gi i php k4 thu! t c a Cisco IDS l m t d ng lai gi a gi i m (decode) v i snh (grep). Cisco IDS ho t ng trn m t h th ng Unix c t i u ha v c u hnh v c giao di n t ng tc CLI (Cisco Command Line Interface) quen thu c c a Cisco.


ISS Proventia A201 Proventia A201 l s n ph m c a hng Internet Security Systems. V m%t b n

ch t, Proventia khng ch/ l m t h th ng ph"n m m hay ph"n c1ng m n l m t h th ng cc thi t b c tri n khai phn tn trong m ng c b o v . M t h th ng Proventia bao g2m cc thi t b sau:

Intrusion Protection Appliance: L trung tm c a ton b h th ng Proventia. N l u tr cc c u hnh m ng, cc d li u i snh c9ng nh cc quy nh v chnh sch c a h th ng. V b n ch t, n l m t phin b n Linux v i cc driver thi t b m ng c xy d ng t i u c9ng nh cc gi dch v c t i thi u ha.

Proventia Network Agent: ng vai tr nh cc b c m bi n (sensor). N c b tr t i nh ng v tr nh y c m trong m ng nh@m theo di ton b l u thng trong m ng v pht hi n nh ng nguy c xm nh! p ti m n.

SiteProtector: L trung tm i u khi n c a h th ng Proventia. y l n i ng i qu n tr m ng i u khi n ton b c u hnh c9ng nh ho t ng c a h th ng.

V i gi i php c a Proventia, cc thi t b s< c tri n khai sao cho ph h p v i c u hnh c a t=ng m ng c th c th t c hi u qu cao nh t.

NFR NID-310

NFR l s n ph m c a NFR Security Inc. C9ng gi ng nh Proventia, NFR NID l m t h th ng h ng thi t b (appliance-based). i m %c bi t trong ki n trc c a NFR NID l h# cc b c m bi n c kh n$ng thch 1ng v i r t nhi u m ng khc nhau t= m ng 10Mbps n cc m ng gigabits v i thng l ng r t l n.

M t i m %c s3c c a NFR NID l m hnh i u khi n ba l p. Thay v cc thi t b trong h th ng c i u khi n tr c ti p b0i m t giao di n qu n tr (Administration Interface AI) ring bi t, NFR cung c p m t c ch i u khi n t! p trung v i cc middle-ware lm nhi m v i u khi n tr c ti p cc thi t b.

SNORT

Snort l ph"n m m IDS m ngu2n m0, c pht tri n b0i Martin Roesh. Snort " u tin c xy d ng trn n n Unix sau pht tri n sang cc n n t ng khc. Snort c nh gi l IDS m ngu2n m0 ng ch nh t v i nh ng tnh n$ng r t m nh. Chi ti t v Snort s< c trnh by trong ph"n ch ng II c a ti .


CH NG II : NGHIN C U NG D NG SNORT TRONG

IDS/IPS 2.1 Gi i thi u v snort Snort l m t NIDS c Martin Roesh pht tri n d i m hnh m ngu2n

m0. Tuy Snort mi6n ph nh ng n l i c r t nhi u tnh n$ng tuy t v i m khng ph i s n ph m th ng m i no c9ng c th c c. V i ki n trc thi t k theo ki u module, ng i dng c th t t$ng c ng tnh n$ng cho h th ng Snort c a mnh b@ng vi c ci %t hay vi t thm m i cc module. C s0 d li u lu! t c a Snort ln t i 2930 lu! t v c c! p nh! t th ng xuyn b0i m t c ng 2 ng ng i s d ng. Snort c th ch y trn nhi u h th ng n n nh Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS.

Bn c nh vi c c th ho t ng nh m t 1ng d ng thu b3t gi tin thng th ng, Snort cn c th c c u hnh ch y nh m t NIDS. Snort h tr kh n$ng ho t ng trn cc giao th1c sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, v PF c a OpenBSD.

2.2 Ki n trc c a snort

Snort bao g2m nhi u thnh ph"n, v i m i ph"n c m t ch1c n$ng ring. Cc ph"n chnh l:

M un gi i m gi tin (Packet Decoder) M un ti n x l (Preprocessors) M un pht hi n (Detection Engine) M un log v c nh bo (Logging and Alerting System) M un k t xu t thng tin (Output Module) Ki n trc c a Snort c m t trong hnh sau:


Hnh IV : M hnh ki n trc h th ng Snort Khi Snort ho t ng n s< th c hi n vi c l3ng nghe v thu b3t t t c cc gi

tin no di chuy n qua n. Cc gi tin sau khi b b3t c a vo M un Gi i m gi tin. Ti p theo gi tin s< c a vo m un Ti n x l, r 2i m un Pht hi n. T i y ty theo vi c c pht hi n c xm nh! p hay khng m gi tin c th c b5 qua l u thng ti p ho%c c a vo m un Log v c nh bo x l. Khi cc c nh bo c xc nh m un K t xu t thng tin s< th c hi n vi c a c nh bo ra theo ng nh d ng mong mu n. Sau y ta s< i su vo chi ti t h n v c ch ho t ng v ch1c n$ng c a t=ng thnh ph"n.

2.2.1 Modun gi i m gi tin Snort s d ng th vi n pcap b3t m#i gi tin trn m ng l u thng qua

h th ng. Hnh sau m t vi c m t gi tin Ethernet s< c gi i m th no:

Hnh V: X l m t gi tin Ethernet


M t gi tin sau khi c gi i m s< c a ti p vo m un ti n x l. 2.2.2 M un ti n x l M un ti n x l l m t m un r t quan tr#ng i v i b t kA m t h th ng

IDS no c th chu n b gi d li u a v cho m un Pht hi n phn tch. Ba nhi m v chnh c a cc m un lo i ny l:

K t h p l i cc gi tin: Khi m t l ng d li u l n c g i i, thng tin s< khng ng gi ton b vo m t gi tin m ph i th c hi n vi c phn m nh, chia gi tin ban " u thnh nhi u gi tin r2i m i g i i. Khi Snort nh! n c cc gi tin ny n ph i th c hi n vi c ghp n i l i c c d li u nguyn d ng ban " u, t= m i th c hi n c cc cng vi c x l ti p. Nh ta bi t khi m t phin lm vi c c a h th ng di6n ra, s< c r t nhi u gi tin u c trao & i trong phin . M t gi tin ring l? s< khng c tr ng thi v n u cng vi c pht hi n xm nh! p ch/ d a hon ton vo gi tin s< khng em l i hi u qu cao. Module ti n x l stream gip Snort c th hi u c cc phin lm vi c khc nhau (ni cch khc em l i tnh c tr ng thi cho cc gi tin) t= gip t c hi u qu cao h n trong vi c pht hi n xm nh! p.

Gi i m v chu n ha giao th1c (decode/normalize): cng vi c pht hi n xm nh! p d a trn d u hi u nh! n d ng nhi u khi b th t b i khi ki m tra cc giao th1c c d li u c th c th hi n d i nhi u d ng khc nhau. V d : m t web server c th ch p nh! n nhi u d ng URL nh URL c vi t d i d ng m hexa/Unicode, URL ch p nh! n c d u \ hay / ho%c nhi u k t ny lin ti p cng lc. Ch>ng h n ta c d u hi u nh! n d ng scripts/iisadmin, k? t n cng c th v t qua c b@ng cch ty bi n cc yu c u g i n web server nh sau:

scripts/./iisadmin scripts/examples/../iisadmin scripts\iisadmin scripts/.\iisadmin Ho%c th c hi n vi c m ha cc chu i ny d i d ng khc. N u Snort ch/

th c hi n n thu"n vi c so snh d li u v i d u hi u nh! n d ng s< x y ra tnh tr ng b5 st cc hnh vi xm nh! p. Do v! y, m t s m un ti n x l c a Snort ph i c nhi m v gi i m v ch/nh s a, s3p x p l i cc thng tin " u vo ny thng tin khi a n m un pht hi n c th pht hi n c m khng b5 st. Hi n nay Snort h tr vi c gi i m v chu n ha cho cc giao th1c: telnet, http, rpc, arp.


Pht hi n cc xm nh! p b t th ng (nonrule /anormal): cc plugin ti n x l d ng ny th ng dng i ph v i cc xm nh! p khng th ho%c r t kh pht hi n c b@ng cc lu! t thng th ng ho%c cc d u hi u b t th ng trong giao th1c. Cc m un ti n x l d ng ny c th th c hi n vi c pht hi n xm nh! p theo b t c1 cch no m ta ngh ra t= t $ng c ng thm tnh n$ng cho Snort. V d , m t plugin ti n x l c nhi m v th ng k thng l ng m ng t i th i i m bnh th ng r2i khi c thng l ng m ng b t th ng x y ra n c th tnh ton, pht hi n v a ra c nh bo (pht hi n xm nh! p theo m hnh th ng k). Phin b n hi n t i c a Snort c i km hai plugin gip pht hi n cc xm nh! p b t th ng l portscan v bo (backoffice). Portcan dng a ra c nh bo khi k? t n cng th c hi n vi c qut cc c&ng c a h th ng tm l h&ng. Bo dng a ra c nh bo khi h th ng b nhi6m trojan backoffice v k? t n cng t= xa k t n i t i backoffice th c hi n cc l nh t= xa.

2.2.3 M un pht hi n y l m un quan tr#ng nh t c a Snort. N chu trch nhi m pht hi n

cc d u hi u xm nh! p. M un pht hi n s d ng cc lu! t c nh ngha tr c so snh v i d li u thu th! p c t= xc nh xem c xm nh! p x y ra hay khng. R2i ti p theo m i c th th c hi n m t s cng vi c nh ghi log, t o thng bo v k t xu t thng tin.

M t v n r t quan tr#ng trong m un pht hi n l v n th i gian x l cc gi tin: m t IDS th ng nh! n c r t nhi u gi tin v b n thn n c9ng c r t nhi u cc lu! t x l. C th m t nh ng kho ng th i gian khc nhau cho vi c x l cc gi tin khc nhau. V khi thng l ng m ng qu l n c th x y ra vi c b5 st ho%c khng ph n h2i c ng lc. Kh n$ng x l c a m un pht hi n d a trn m t s y u t nh : s l ng cc lu! t, t c c a h th ng ang ch y Snort, t i trn m ng. M t s th nghi m cho bi t, phin b n hi n t i c a Snort khi c t i u ha ch y trn h th ng c nhi u b vi x l v c u hnh my tnh t ng i m nh th c th ho t ng t t trn c cc m ng c8 Giga.

M t m un pht hi n c9ng c kh n$ng tch cc ph"n c a gi tin ra v p d ng cc lu! t ln t=ng ph"n no c a gi tin . Cc ph"n c th l:

IP header Header 0 t"ng giao v! n: TCP, UDP Header 0 t"ng 1ng d ng: DNS header, HTTP header, FTP header, Ph"n t i c a gi tin (b n c9ng c th p d ng cc lu! t ln cc ph"n d

li u c truy n i c a gi tin)


M t v n n a trong M un pht hi n l vi c x l th no khi m t gi tin b pht hi n b0i nhi u lu! t. Do cc lu! t trong Snort c9ng c nh th1 t u tin, nn m t gi tin khi b pht hi n b0i nhi u lu! t khc nhau, c nh bo c a ra s< l c nh bo 1ng v i lu! t c m1c u tin l n nh t.

2.2.4 M un log v c nh bo Ty thu c vo vi c m un Pht hi n c nh! n d ng u c xm nh! p hay khng

m gi tin c th b ghi log ho%c a ra c nh bo. Cc file log l cc file text d li u trong c th c ghi d i nhi u nh d ng khc nhau ch>ng h n tcpdump.

2.2.5 M un k t xu t thong tin M un ny c th th c hi n cc thao tc khc nhau ty theo vi c b n mu n

l u k t qu xu t ra nh th no. Ty theo vi c c u hnh h th ng m n c th th c hi n cc cng vi c nh l:

Ghi log file Ghi syslog: syslog v m t chu n l u tr cc file log c s d ng r t

nhi u trn cc h th ng Unix, Linux. Ghi c nh bo vo c s0 d li u. T o file log d ng xml: vi c ghi log file d ng xml r t thu! n ti n cho vi c

trao & i v chia s? d li u. C u hnh l i Router, firewall. G i cc c nh bo c gi trong gi tin s d ng giao th1c SNMP. Cc

gi tin d ng SNMP ny s< c g i t i m t SNMP server t= gip cho vi c qu n l cc c nh bo v h th ng IDS m t cch t! p trung v thu! n ti n h n.

G i cc thng i p SMB (Server Message Block) t i cc my tnh Windows.

N u khng hi lng v i cc cch xu t thng tin nh trn, ta c th vi t cc m un k t xu t thng tin ring tuA theo m c ch s d ng.

2.3 B lu! t c a snort 2.3.1 Gi i thi u

C9ng gi ng nh virus, h"u h t cc ho t ng t n cng hay xm nh! p u c cc d u hi u ring. Cc thng tin v cc d u hi u ny s< c s d ng t o nn cc lu! t cho Snort. Thng th ng, cc b7y (honey pots) c t o ra tm hi u xem cc k? t n cng lm g c9ng nh cc thng tin v cng c v cng


ngh chng s d ng. V ng c l i, c9ng c cc c s0 d li u v cc l h&ng b o m! t m nh ng k? t n cng mu n khai thc. Cc d ng t n cng bi t ny c dng nh cc d u hi u pht hi n t n cng xm nh! p. Cc d u hi u c th xu t hi n trong ph"n header c a cc gi tin ho%c n@m trong ph"n n i dung c a chng. H th ng pht hi n c a Snort ho t ng d a trn cc lu! t (rules) v cc lu! t ny l i c d a trn cc d u hi u nh! n d ng t n cng. Cc lu! t c th c p d ng cho t t c cc ph"n khc nhau c a m t gi tin d li u .

M t lu! t c th c s d ng t o nn m t thng i p c nh bo, log m t thng i p hay c th b5 qua m t gi tin.

2.3.2 C u trc lu! t c a Snort

Hy xem xt m t v d n gi n : alert tcp 192.168.2.0/24 23 -> any any (content:confidential; msg: Detected confidential)

Ta th y c u trc c a m t lu! t c d ng nh sau:

Hnh VI : C u trc lu! t c a Snort Di n gi i: T t c cc Lu! t c a Snort v logic u g2m 2 ph"n: Ph"n header v ph"n

Option. Ph"n Header ch1a thng tin v hnh ng m lu! t s< th c hi n khi

pht hi n ra c xm nh! p n@m trong gi tin v n c 9ng ch1a cc tiu chu n p d ng lu! t v i gi tin .

Ph"n Option ch1a m t thng i p c nh bo v cc thng tin v cc ph"n c a gi tin dng t o nn c nh bo. Ph"n Option ch1a cc tiu chu n ph thm i snh lu! t v i gi tin. M t lu! t c th pht hi n c m t hay nhi u ho t ng th$m d hay t n cng. Cc lu! t thng minh c kh n$ng p d ng cho nhi u d u hi u xm nh! p.

D i y l c u trc chung c a ph"n Header c a m t lu! t Snort:

Hnh VII : Header lu! t c a Snort

Action: l ph"n qui nh lo i hnh ng no c th c thi khi cc d u hi u c a gi tin c nh! n d ng chnh xc b@ng lu! t . Thng th ng,


cc hnh ng t o ra m t c nh bo ho%c log thng i p ho%c kch ho t m t lu! t khc.

Protocol: l ph"n qui nh vi c p d ng lu! t cho cc packet ch/ thu c m t giao th1c c th no . V d nh IP, TCP, UDP

Address: l ph"n a ch/ ngu2n v a ch/ ch. Cc a ch/ c th l m t my n, nhi u my ho%c c a m t m ng no . Trong hai ph"n a ch/ trn th m t s< l a ch/ ngu2n, m t s< l a ch/ ch v a ch/ no thu c lo i no s< do ph"n Direction -> qui nh.

Port: xc nh cc c&ng ngu2n v ch c a m t gi tin m trn lu ! t c p d ng.

Direction: ph"n ny s< ch/ ra u l a ch/ ngu2n, u l a ch/ ch. V d :

alert icmp any any -> any any (msg: Ping with TTL=100;ttl: 100;) Ph"n 1 ng tr c d u m0 ngo%c l ph"n Header c a lu! t cn ph"n cn l i l

ph"n Option. Chi ti t c a ph"n Header nh sau: Hnh ng c a lu! t 0 y l alert : m t c nh bo s< c t o ra n u nh

cc i u ki n c a gi tin l ph h p v i lu! t(gi tin lun c log l i m i khi c nh bo c t o ra).

Protocol c a lu! t 0 y l ICMP t 1c l lu ! t ch/ p d ng cho cc gi tin thu c lo i ICMP. B0i v! y, n u nh m t gi tin khng thu c lo i ICMP th ph"n cn l i c a lu! t s< khng c"n i chi u.

a ch/ ngu2n 0 y l any: t 1c l lu ! t s< p d ng cho t t c cc gi tin n t= m#i ngu2n cn c&ng th c9ng l any v i v i lo i gi tin ICMP th c&ng khng c ngh a. S hi u c&ng ch/ c ngh a v i cc gi tin thu c lo i TCP ho%c UDP thi.

Cn ph"n Option trong d u ng ngo%c ch/ ra m t c nh bo ch1a dng Ping with TTL=100 s< c t o khi tm th y i u ki n TTL=100. TTL l Time To Live l m t tr ng trong Header IP.

2.3.2.1 Ph"n tiu Nh ph"n trn trnh by, Header c a lu! t bao g2m nhi u ph"n. Sau

y, l chi ti t c th c a t=ng ph"n m t. Hnh ng c a lu t (Rule Action) L ph "n " u tin c a lu! t, ch/ ra hnh ng no c th c hi n khi m cc

i u ki n c a lu! t c tho mn. M t hnh ng c th c hi n khi v ch/ khi t t c cc i u ki n u ph h p. C 5 hnh ng c nh ngha nh ng ta


c th t o ra cc hnh ng ring tuA thu c vo yu c"u c a mnh. i v i cc phin b n tr c c a Snort th khi nhi u lu! t l ph h p v i m t gi tin no th ch/ m t lu! t c p d ng. Sau khi p d ng lu! t " u tin th cc lu! t ti p theo s< khng p d ng cho gi tin y n a. Nh ng i v i cc phin b n sau c a Snort th t t c cc lu! t s< c p d ng gi tin .

Pass: Hnh ng ny h ng d7n Snort b5 qua gi tin ny. Hnh ng ny ng vai tr quan tr#ng trong vi c t$ng c ng t c ho t ng c a Snort khi m ta khng mu n p d ng cc ki m tra trn cc gi tin nh t nh. V d ta s d ng cc b7y (%t trn m t my no ) nh cc hacker t n cng vo th ta ph i cho t t c cc gi tin i n c my . Ho %c l dng m t my qut ki m tra an ton m ng c a mnh th ta ph i b5 qua t t c cc gi tin n t= my ki m tra .

Log: Hnh ng ny dng log gi tin. C th log vo file hay vo c s0 d li u tuA thu c vo nhu c"u c a mnh.

Alert: G i m t thng i p c nh bo khi d u hi u xm nh! p c pht hi n. C nhi u cch g i thng i p nh g i ra file ho%c ra m t Console. T t nhin l sau khi g i thng i p c nh bo th gi tin s< c log l i.

Activate: s d ng t o ra m t c nh bo v kch ho t m t lu! t khc ki m tra thm cc i u ki n c a gi tin.

Dynamic: ch/ ra y l lu ! t c g#i b0i cc lu! t khc c hnh ng l Activate.

Cc hnh ng do ng i dng nh ngha: m t hnh ng m i c nh ngha theo c u trc sau: ruletype action_name { action definition }

ruletype l t= kho. Hnh ng c nh ngha chnh xc trong d u ngo%c nh#n: c th l m t

hm vi t b@ng ngn ng C ch>ng h n. V d nh :

ruletype smb_db_alert { type alert output alert_smb: workstation.list


output database: log, mysql, user=test password=test dbname=snort host = localhost }

y l hnh ng c tn l smb_db_alert dng g i thng i p c nh bo d i d ng c a s& pop-up SMB t i cc my c tn trong danh sch li t k trong file workstation.list v t i c s0 d li u MySQL tn l snort.

Protocols L ph "n th1 hai c a m t lu! t c ch1c n$ng ch/ ra lo i gi tin m lu ! t s< c

p d ng. Hi n t i Snort hi u c cc protocol sau : IP ICMP TCP UDP N u l IP th Snort s< ki m tra header c a l p lin k t xc nh lo i gi tin.

N u b t k giao th1c no khc c s d ng th Snort s d ng header IP xc nh lo i protocol. Protocol ch/ ng vai tr trong vi c ch/ r tiu chu n trong ph"n header c a lu! t. Ph"n option c a lu! t c th c cc i u ki n khng lin quan g n protocol.

Address C hai ph"n a ch/ trong m t lu! t c a Snort. Cc a ch/ ny c dng

ki m tra ngu2n sinh ra v ch n c a gi tin. a ch/ c th l a ch/ c a m t IP n ho%c l a ch/ c a m t m ng. Ta c th dng t= any p d ng lu! t cho t t c cc a ch/.

a ch/ c vi t ngay theo sau m t d u g ch cho v s bt trong subnet mask. V d nh a ch/ 192.168.2.0/24 th hi n m ng l p C 192.168.2.0 v i 24 bt c a subnet mask. Subnet mask 24 bt chnh l 255.255.255.0. Ta bi t r@ng :

N u subnet mask l 24 bt th l m ng l p C N u subnet mask l 16 bt th l m ng l p B N u subnet mask l 8 bt th l m ng l p A N u subnet mask l 32 bt th l a ch/ IP n. Trong hai a ch/ c a m t lu! t Snort th c m t a ch/ l a ch/ ngu2n v a

ch/ cn l i l a ch/ ch. Vi c xc nh u l a ch/ ngu2n, u l a ch/ ch th ph thu c vo ph"n h ng (direction).

V d nh lu! t :


alert tcp any any -> 192.168.1.10/32 80 (msg: TTL=100; ttl: 100;) Lu! t trn s< t o ra m t c nh bo i v i t t c cc gi tin t= b t k ngu2n no

c TTL = 100 i n web server 192.168.1.10 t i c&ng 80. Ng n ch n a ch hay lo i tr a ch Snort cung c p cho ta k thu! t lo i tr= a ch/ b@ng cch s d ng d u ph

nh (d u !). D u ph nh ny 1 ng tr c a ch/ s< ch/ cho Snort khng ki m tra cc gi tin n t= hay i t i a ch/ . V d , lu! t sau s< p d ng cho t t c cc gi tin ngo i tr= cc gi c ngu2n xu t pht t= m ng l p C 192.168.2.0. alert icmp ![192.168.2.0/24] any -> any any (msg: Ping with TTL=100; ttl: 100;)

Danh sch a ch Ta c th nh r ra danh sch cc a ch/ trong m t lu! t c a Snort. V d n u

b n mu n p d ng lu! t cho t t c cc gi tin tr= cc gi xu t pht t= hai m ng l p C 192.168.2.0 v 192.168.8.0 th lu! t c vi t nh sau: alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: Ping with TTL=100; ttl: 100;)

Hai d u [] ch/ c"n dng khi c d u ! 1 ng tr c. C ng (Port Number) S hi u c&ng dng p d ng lu! t cho cc gi tin n t= ho%c i n m t

c&ng hay m t ph m vi c&ng c th no . V d ta c th s d ng s c&ng ngu2n l 23 p d ng lu! t cho t t c cc gi tin n t= m t server Telnet. T= any c9ng c dng i di n cho t t c cc c&ng. Ch l s hi u c&ng ch/ c ngh a trong cc giao th1c TCP v UDP thi. N u protocol c a lu! t l IP hay ICMP th s hi u c&ng khng ng vai tr g c .

V d : alert tcp 192.168.2.0/24 23 -> any any (content: confidential; msg: Detected confidential;)

S hi u c&ng ch/ h u d ng khi ta mu n p d ng m t lu! t ch/ cho m t lo i gi tin d li u c th no . V d nh l m t lu! t ch ng hack cho web th ta ch/ c"n s d ng c&ng 80 pht hi n t n cng.

Dy c ng hay ph m vi c ng: Ta c th p d ng lu! t cho dy cc c&ng thay v ch/ cho m t c&ng no .

C&ng b3t " u v c&ng k t thc phn cch nhau b0i d u hai ch m :. V d :

alert udp any 1024:2048 -> any any (msg: UDP ports;)


Ta c9ng c th dn c&ng theo ki u c! n trn v c! n d i, t1c l ch/ s d ng c&ng b3t " u ho%c c&ng k t thc m thi. V d nh l 1024: ho %c l :2048

D u ph nh c9ng c p d ng trong vi c s d ng c&ng. V d sau s< log t t c cc gi tin ngo i tr= cc gi tin xu t pht t= c&ng 53. log udp any !53 -> any any log udp

Sau y l m t s c&ng thng d ng hay l cc c&ng c a cc dch v thng d ng nh t:

20 FTP data 21 FTP 22 SSH 23 Telnet 24 SMTP 53 DNS Server 80 HTTP 110 POP3 161 SNMP 443 HTTPS 3360 MySQL H ng Direction Ch/ ra u l ngu 2n u l ch, c th l -> hay


T kho ack Trong header TCP c ch1a tr ng Acknowledgement Number v i di 32

bit. Tr ng ny c ngh a l ch/ ra s th1 t ti p theo gi tin TCP c a bn g i ang c ch nh! n. Tr ng ny ch/ c ngh a khi m c ACK c thi t l! p.

Cc cng c nh Nmap s d ng %c i m ny ping m t my. V d , n c th g i m t gi tin TCP t i c&ng 80 v i c ACK c b! t v s th1 t l 0. B0i v! y, bn nh! n s< th y gi tin khng h p l v s< g i tr0 l i gi tin RST. Khi m Nmap nh! n c gi tin RST th t1c l a ch/ ch ang s ng. Ph ng php ny v7n lm vi c t t i v i cc my khng tr l i gi tin thu c d ng ping ICMP ECHO REQUEST.

V! y ki m tra lo i ping TCP ny th ta c th dng lu! t nh sau: alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: TCP ping detected)

T kho classtype Cc lu! t c th c phn lo i v gn cho m t s ch/ u tin no

nhm v phn bi t chng v i nhau. hi u r h n v t= kho ny ta " u tin ph i hi u c file classification.config ( c bao g2m trong file snort.conf s d ng t= kho include). M i dng trong file classification.config c c php nh sau: config classification: name, description, priority

trong : name: l tn dng phn lo i, tn ny s< c dng v i t= kho

classtype trong cc lu! t Snort. description: m t v lo i l p ny priority: l m t s ch/ u tin m%c nh c a l p ny. u tin ny c

th c i u ch/nh trong t= kho priority c a ph"n option trong lu! t c a Snort.

V d : config classification: DoS , Denial of Service Attack, 2

v trong lu! t: alert udp any any -> 192.168.1.0/24 6838 (msg:DoS; content: server; classtype: DoS;)


alert udp any any -> 192.168.1.0/24 6838 (msg:DoS; content: server; classtype: DoS; priority: 1;)

Trong cu l nh th1 2 th ta ghi ln gi tr priority m%c nh c a l p nh ngha.

T kho content M t %c tnh quan tr#ng c a Snort l n c kh n$ng tm m t m7u d li u bn

trong m t gi tin. M 7u ny c th d i d ng chu i ASCII ho%c l m t chu i nh phn d i d ng cc k t h 16. Gi ng nh virus, cc t n cng c9ng c cc d u hi u nh! n d ng v t= kho content ny dng tm cc d u hi u bn trong gi tin. V d : alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: GET; msg: GET match;)

Lu! t trn tm m7u GET trong ph"n d li u c a t t c cc gi tin TCP c ngu2n i t= m ng 192.168.1.0/24 v i n cc a ch/ khng thu c m ng . T= GET ny r t hay c dng trong cc t n cng HTTP.

M t lu! t khc c9ng th c hi n ng nhi m v gi ng nh l nh trn nh ng m7u d li u l i d i d ng h 16 l: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: |47 45 54|; msg: GET match;)

r @ng s 47 0 h 16 chnh l b@ng k t ASCII : G v t ng t 45 l E v 54 l T. Ta c th dng c hai d ng trn trong cng m t lu! t nh ng nh l ph i d ng th! p l c phn gi a c%p k t ||.

Tuy nhin khi s d ng t= kho content ta c"n nh r@ng: i snh n i dung s< ph i x l tnh ton r t l n v ta ph i h t s1c cn nh3c

khi s d ng nhi u lu! t c i snh n i dung. Ta c th s d ng nhi u t= kho content trong cng m t lu! t tm nhi u d u

hi u trong cng m t gi tin. i snh n i dung l cng vi c r t nh y c m. C 3 t= kho khc hay c dng cng v i t= kho content dng b& sung

thm cc i u ki n tm ki m l : offset: dng xc nh v tr b3t " u tm ki m (chu i ch1a trong t= kho

content ) l offset tnh t= " u ph"n d li u c a gi tin. V d sau s< tm chu i HTTP b 3t " u t= v tr cch " u o n d li u c a gi tin l 4 byte:


alert tcp 192.168.1.0/24 any -> any any (content: HTTP; offset: 4; msg: HTTP matched;)

dept : dng xc nh v tr m t= Snort s< d=ng vi c tm ki m.T= kho ny c9ng th ng c dng chung v i t= kho offset v=a nu trn.

V d : alert tcp 192.168.1.0/24 any -> any any (content: HTTP; offset: 4; dept: 40; msg: HTTP matched;).

T= kho ny s< gip cho vi c tiu t n th i gian tm ki m khi m o n d li u trong gi tin l kh l n.

content-list: c s d ng cng v i m t file. Tn file ( c ch/ ra trong ph"n tham s c a t= kho ny) l m t file text ch1a danh sch cc chu i c"n tm trong ph"n d li u c a gi tin. M i chu i n@m trn m t dng ring bi t. V d nh file test c d ng nh sau:

test Snort NIDS v ta c lu ! t sau:

alert tcp 192.168.1.0/24 any -> any any (content-list: test;msg: This is my Test;).

Ta c9ng c th dng k t ph nh ! tr c tn file c nh bo i v i cc gi tin khng tm th y m t chu i no trong file .

T kho dsize Dng i snh theo chi u di c a ph"n d li u. R t nhi u t n cng s

d ng l i trn b m b@ng cch g i cc gi tin c kch th c r t l n. S d ng t= kho ny, ta c th so snh l n c a ph"n d li u c a gi tin v i m t s no . alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: Goi tin co kich thuoc lon;)

T kho flags T= kho ny c dng pht hi n xem nh ng bit c flag no c b! t

(thi t l! p) trong ph"n TCP header c a gi tin. M i c c th c s d ng nh m t tham s trong t= kho flags. Sau y l m t s cc c s d ng trong t= kho flags:


Flag K t tham s dng trong lu! t c a Snort

FIN (Finish Flag) F SYN Sync Flag S RST Reset Flag R PSH Push Flag P ACK Acknowledge

Flag A

URG Urgent Flag U Reserved Bit 1 1 Reserved Bit 2 2 No Flag set 0

B ng Cc c s d ng v i t= kho flags Ta c th s d ng cc d u +, * v ! th c hi n cc php ton logic AND,

OR v NOT trn cc bit c mu n ki m tra. V d lu! t sau y s< pht hi n m t hnh ng qut dng gi tin TCP SYN-FIN: alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: SYNC-FIN packet detected;)

T kho fragbits Ph"n IP header c a gi tin ch1a 3 bit dng ch ng phn m nh v t&ng h p

cc gi tin IP. Cc bit l: Reserved Bit (RB) dng dnh cho t ng lai. Dont Fragment Bit (DF): n u bit ny c thi t l! p th t1c l gi tin

khng b phn m nh. More Fragments Bit (MF): n u c thi t l! p th t1c l cc ph"n khc

(gi tin b phn m nh) c a gi tin v7n ang cn trn ng i m ch a t i ch. N u bit ny khng c thi t l! p th c ngha l y l ph "n cu i cng c a gi tin (ho%c l gi duy nh t). i u ny xu t pht t= nguyn nhn: N i g i i ph i chia gi tin IP thnh nhi u o n nh5 do ph thu c vo n v truy n d li u l n nh t cho php (Maximum Transfer Units - MTU) trn ng truy n. Kch th c c a gi tin khng c php v t qu kch th c l n nh t ny. Do v! y, bit MF ny gip bn ch c th t&ng h p l i cc ph"n khc nhau thnh m t gi tin hon ch/nh.


i khi cc bit ny b cc hacker s d ng t n cng v khai thc thng tin trn m ng c a ta. V d , bit DF c th c dng tm MTU l n nh t v nh5 nh t trn ng i t= ngu2n xu t pht n ch n.

S d ng fragbits, ta c th ki m tra xem cc bit trn c c thi t l! p hay khng. V d lu! t sau s< pht hi n xem bit DF trong gi tin ICMP c c b! t hay khng: alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: Dont Fragment bit set;)

Trong lu! t ny , D dng cho bit DF, R cho bit d tr v M cho bit MF. Ta c9ng c th dng d u ph nh ! trong lu! t ny ki m tra khi bit khng c b! t: alert icmp any any -> 192.168.1.0/24 any (fragbits: !D; msg: Dont Fragment bit not set;) 2.4 Ch ng$n ch%n c a Snort : Snort Inline 2.4.1 Tch h p kh n$ng ng$n ch%n vo Snort

Snort-inline l m t nhnh pht tri n c a Snort do William Metcalf kh0i x ng v lnh o. n phin b n 2.3.0 RC1 c a Snort, inline-mode c tch h p vo b n chnh th1c do snort.org pht hnh. S ki n ny bi n Snort t= m t IDS thu"n ty tr0 thnh m t h th ng c cc kh n$ng c a m t IPS, m%c d ch ny v7n ch/ l ty ch#n ch1 khng ph i m%c nh.

t 0 ng chnh c a inline-mode l k t h p kh n$ng ng$n ch%n c a iptables vo bn trong snort. i u ny c th c hi n b@ng cch thay & i m un pht hi n v m un x l cho php snort t ng tc v i iptables. C th , vi c ch%n b3t cc gi tin trong Snort c th c hi n thng qua Netfilter v th vi n libpcap s< c thay th b@ng vi c s d ng ipqueue v th vi n libipq. Hnh ng ng$n ch%n c a snort-inline s< c th c hi n b@ng devel-mode c a iptables. 2.4.2 Nh ng b& sung cho c u trc lu! t c a Snort h tr Inline mode

h tr tnh n$ng ng$n ch%n c a Snort-inline, m t s thay & i v b& sung c a vo b lu! t Snort. l a thm 3 hnh ng DROP, SDROP, INJECT v thay & i trnh t u tin c a cc lu! t trong Snort. DROP

Hnh ng DROP yu c"u iptables lo i b5 gi tin v ghi l i thng tin nh hnh ng LOG.


SDROP Hnh ng SDROP c9ng t ng t nh hnh ng DROP, i u khc bi t l 0

ch Snort s< khng ghi l i thng tin nh hnh ng LOG. REJECT

Hnh ng REJECT yu c"u iptables t= ch i gi tin, c ngh a l iptables s< lo i b5 v g i l i m t thng bo cho ngu2n g i gi tin . Hnh ng REJECT khng ghi l i b t c thng tin g. Trnh t u tin c a cc lu! t

Trong cc phin b n g c, trnh t u tin c a cc hnh ng trong Snort l : activation->dynamic-> alert->pass->log

Trong inline-mode, trnh t u tin ny c thay & i nh sau : activation->dynamic->pass->drop->sdrop->reject->alert->log

CH NG III: CI ( T V C ) U HNH SNORT TRN N N CENTOS, TH* NGHI+M KH , N- NG PH, N NG C. A SNORT IDS/IPS

3.1 S LC C V QU` TRNH CI ( T 3.1.1 Ci cc gi yu c"u sau - L"n l t ci cc gi ph thu c: ( mysql, mysql-bench, mysql-server, mysql-devel, yum-utils, php-mysql,

httpd, gcc, pcre-devel, php-gd, gd, distcache-devel, mod_ssl, glib2-devel, gcc-c++, libpcap-devel, php, php-pear)

- dng l nh (yum install package) ci %t cho cc gi tin. - m t s gi c "n thi cho snort c"n ph i bin dch t= soure ( libnet, libdnet, daq, pcre, Snortinline, BASE, adodb ) # cd /tmp # wget http://www.filewatcher.com/m/libnet-.0.2a.tar.gz.140191.0.0.html # wget http://code.google.com/p/libdnet/downloads/detail?name=libdnet-

1.12.tgz&can=2&q= # wget http://sourceforge.net/projects/adodb/files/adodb-php-4-and-5/adodb-

4991-for-php/adodb4991.tgz/download


# wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.9.tar.gz download snort_inline http://snort-inline.sourceforge.net/download.html download base t= ngu2n http://sourceforge.net/projects/secureideas/files/ - sau khi download cc gi v ti n hnh bin dch cho cc gi + bin dch gi libnet cd /tmp (di chuy n vo th m c tmp) tar xvzf libnet-1.0.2a.tar.gz (gi nn libnet) cd Libnet-1.0.2a (di chuy n vo th m c Libnet-1.0.2a v a gi i nn) ./configure && make && make install (ki m tra cu hnh v bin dch libnet,

d u && c ngh a n u cu l nh tr c n thnh cng th m i th c hi n cu l nh 1 ng sau )

+ bin dch gi libdnet cd /tmp (di chuy n vo th m c tmp) tar libdnet-1.12.tgz cd libdnet-1.12 (di chuy n vo th m c libdnet-1.12 v a gi i nn) ./configure && make && make install (ki m tra cu hnh v bin dch

libdnet, d u && c ngh a n u cu l nh tr c n thnh cng th m i th c hi n cu l nh 1 ng sau )

+ bin dch gi daq cd /tmp (di chuy n n th m c tmp) tar zxvf daq-0.3.tar.gz (gi i nn daq) cd daq-0.3 (di chuy n n th m c daq-0.3 v a gi i nn c) ./configure && make && make install (ki m tra cu hnh v bin dch daq,


+ bin dch pcre cd /tmp tar xvzf pcre-7.9.tar.gz cd pcre-7.9 ./configure && make && make install (ki m tra cu hnh v bin dch pcre,


+ bin dch snort_inline cd /tmp


tar -xvf snort_inline-2.4.5a.tar.gz cd snort_inline ./configure --with-mysql && make && make install (ki m tra cu hnh v

bin dch snort, d u && c ngh a n u cu l nh tr c n thnh cng th m i th c hi n cu l nh 1 ng sau )

+ t o password cho ti kho n root trong mysql # mysqladmin -u root password new_root_password + t o database # mysql -u root -p >create database snort; + c p ton quy n cho ti kho n snort trong c s0 d li u snort grant all on snort.* to snortuser@localhost identified by snortpassword; + c u hnh cc c nh bo s< c xu t vo c s0 d li u mysql #nano /etc/snort_inline/snort_inline.conf ch/nh l i dng output database: log, mysql, user=snortuser password=snortpassword

dbname=snort host=localhost +sau khi c u hnh song snort_inline v! y l qu trnh ci %t snort_inline

song. gi mu n hi n th v qu n l cc c nh bo m t cch d6 dng ta ci %t thm base v adodb.

+ ci %t base # tar -xvzf base-1.4.5.tar.gz # mv /tmp/base-1.4.5 /var/www/html/base + ci %t adodb #tar -xvzf adodb490.tgz #mv /tmp/adodb490 /var/www/html/adodb + c u hnh base #mv /var/www/html/base/base_conf.php.dist

/var/www/html/base/base_conf.php c u hnh cc bi n nh sau $DBlib_path="./adodb"; $DBtype="mysql"; $alert_dbname = snort; $alert_host = localhost;


$alert_port = ""; $alert_user = snortuser; $alert_password = snortpassword; $archive_dbname = snort; $archive_host = localhost; $archive_port = ""; $archive_user = snortuser; $archive_password = snortpassword; + by gi ci %t thm c gi sau hi n th nh trn base #pear install --force Image_Color #pear install --force Image_Canvas #pear install --force Image_Graph + ci %t thm webmin d6 dng qu n l # yum install webmin sau khi ci %t song webmin ta kh0i ng cc dch v # services httpd start # services mysql start https://localhost.localdomain:10000


T t c cc thng tin c u hnh c a Snort c l u trong file snort.conf. File

snort.conf bao g2m 4 ph"n : nh ngha cc bi n xc nh c u hnh m ng. C u hnh m un ti n x l. C u hnh m un k t xu t thng tin. C u hnh b lu! t s d ng. Sau y l n i dung c th v ngh a c a cc thng tin trong snort.conf.

3.1 nh ngha cc bi n

Snort cho php nh ngha cc bi n xc nh cc thng s m ng theo nh d ng : var :

Cc bi n ny s< c s d ng trong ton b file c u hnh t= v sau. V d , n u nh ngha : var : MY_NET 192.168.1.0/24 th trong ton b file config hay cc file lu! t k hi u MY_NET s< c thay th b@ng gi tr 192.168.1.0/24.

3.2 C u hnh m un ti n x l

Cc thng tin c u hnh cho m un ti n x l c nh ngha nh sau : preprocessor :


Quy nh v name v options ty thu c vo t=ng plugin c a m un ti n x l. V d : c u hnh c a plugin Portscan detection do Patrick Mullen vi t nh sau : preprocessor portscan 192.168.0.1/24 5 7 /var/log/portscan.log

trong : 192.168.0.1/24 l m ng c theo di nguy c qut c&ng. 5 l s l ng c&ng truy c! p 2 ng th i trong qu trnh qut. 7 l th i gian theo di xc nh nguy c qut c&ng. /var/log/portscan.log l file ghi l i log c a qu trinh pht hi n.

3.3C u hnh m un k t xu t thng tin C u hnh cho m un k t xu t thng tin c9ng c nh ngha t ng t c u

hnh cho m un ti n x l. output :

V d , c u hnh cho Snort k t xu t thng tin c nh bo ra syslog c a m t my trong m ng nh sau : output alert_syslog: host=192.168.0.1:123, LOG_AUTH LOG_ALERT

Trong , host l ip v c &ng syslog c a my c ghi, LOG_AUTH v LOG_ALERT l cc lo i log c ghi l i.

Snort k t xu t thng tin ra c s0 d li u, c u hnh nh sau : database: , ,

Trong : log | alert : ch/ ra ghi l i thng tin g? Log hay alert ? database type : Lo i c s0 d li u. Snort h tr mysql, postgre sql v ms

sql server. Parameter list : danh sch tham s ph c v cho vi c k t n i v i c s0 d

li u. C th ty thu c vo t=ng lo i c s0 d li u c th . V d , parameter list c a mysql l nh sau : dbname=snort user=snort host=localhost password=xyz.

3.4 C u hnh b lu! t

Ph"n ny ch/ ra cc file lu! t c dng. C php nh sau : include RULE_PATH/RULE_FILE

V d : yu c"u Snort s d ng lu! t pht hi n ddos b@ng dng l nh sau : include $RULE_PATH/ddos.rules


Trong , $RULE_PATH l bi n ch/ n th m c ch1a cc file lu! t c nh ngha trong ph"n nh ngha cc bi n cn ddos.rules l file lu! t.

3.5 TH* NGHI+M KH, N- NG PH, N NG C. A SNORT IDS/IPS truy c! p vo base http://127.0.0.1/base

lc ny ch a c c nh bo no v ta ch a kh0i ch y snort. gi s ta t o m t rules v i d u hi u nh sau:

sau include n vo file /etc/snort_inline/snort_inline.conf v kh0i ch y snort: # snort_inline -c /etc/snort_inline/snort_inline.conf -Q r2i t= m t my khc ping n v i a ch/ c a my ping l 192.168.1.121 v a ch/ c a my IDS l 192.168.1.111 ta c k t qu sau.


nh v! y snort IDS ho t ng t t, ta th rules sau cho tr ng h p pht hi n nmap scan c&ng.

sau include scan.rules vo file /etc/snort_inline/snort_inline.conf


kh0i ng l i snort_inline. t= my t n cng b! t nmap v scan c&ng ta nh! n c k t qu . nh v! y snort th hin l m t IPS

vo my snort v xem k t qu .


TI LI+U THAM KH , O Ti li u ti ng Vi t :

[1] M ng my tnh v cc h th ng m0

Tc gi : GSTS Nguy6n Thc H i NXB Gio d c 1999

[2] L! p trnh LINUX t ! p 1 Tc gi : Nguy6n Ph ng Lan, Hong 1 c H i NXB Gio D c 2001

Ti li u ti ng Anh :

[3] Intrusion Detection with Snort Tc gi : Rafeeq Rehman NXB Prentice Hall 2003

[4] [5]

Snort User Manual Tc gi : Martin Roesch, Chris Green The Snort Project 2003 Snort 2.1 Intrusion Detection

Websites :

[6] http://www.snort.org

[7] http://snortinline.sourceforge.net http://hoclinux.net

bao cao ids-ips

Documents