Xây Dựng Hệ Thống Snort IDS/IPS Trên CentOS: Hướng Dẫn Chi Tiết

Tài liệu nghiên cứu Xây dựng hệ thóng snort idsips trên centos, tổng hợp lý thuyết và thực hành, cung cấp kiến thức chuyên sâu về kỹ thuật.

Chuyên ngành

Điện – Điện Tử

Người đăng

Ẩn danh

Thể loại

Luận Văn Tốt Nghiệp

2013

64
8
1

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

1. CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS

1.1. Giới thiệu về IDS/IPS

1.2. Sự khác nhau giữa IDS và IPS

1.3. Phân loại IDS/IPS

1.3.1. Network based IDS – NIDS

1.3.2. Host based IDS – HIDS

1.3.3. IDS lai – Distributed (Hybrid) IDS

1.4. Cơ chế hoạt động của hệ thống IDS/IPS

1.4.1. Mô hình phát hiện sự lạm dụng

1.4.2. Mô hình phát hiện sự bất thường

1.4.2.1. Phát hiện tĩnh
1.4.2.2. Phát hiện động

1.4.3. So sánh giữa hai mô hình

1.4.4. Một số sản phẩm của IDS/IPS

2. CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS

2.1. Giới thiệu về Snort

2.2. Kiến trúc của Snort

2.2.1. Mô đun giải mã gói tin

2.2.2. Mô đun tiền xử lý

2.2.3. Mô đun phát hiện

2.2.4. Mô đun log và cảnh báo

2.2.5. Mô đun kết xuất thông tin

2.3. Bộ luật của Snort

2.3.1. Cấu trúc luật của Snort

2.4. Chế độ ngăn chặn của Snort: Snort – Inline

2.4.1. Tích hợp khả năng ngăn chặn vào Snort

2.4.2. Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode

3. CHƯƠNG 3: CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN CENTOS, THỬ NGHIỆM KHẢ NĂNG PHẢN ỨNG CỦA IDS

3.1. Quá trình cài đặt Snort -2.3 trên hệ thống đã cài đặt sẵn CentOS-6

3.2. Định nghĩa các biến

3.3. Cấu hình Module Tiền xử lý

3.3.1. udp, icmp, ip

3.4. Cấu hình Module Kết xuất thông tin

3.5. Cấu hình bộ luật sử dụng

3.6. Demo các dạng tấn công phổ biến và kiểm tra hoạt động của Snort IDS/IPS

3.6.1. Sử dụng giao diện BASE (Basic Analysis and Security Engine) để quản lý cảnh báo xâm nhập mạng

3.6.2. Hiển thị cảnh báo bằng cửa sổ Terminal

3.6.2.1. Phát hiện Ping vào hệ thống
3.6.2.2. Ngăn chặn Ping vào hệ thống
3.6.2.3. Phát hiện truy cập web
3.6.2.4. Ngăn chặn truy cập web
3.6.2.5. Phát hiện scan Nmap
3.6.2.6. Scan TCP Null

3.6.3. Đánh giá Demo

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Hướng Dẫn Xây Dựng Hệ Thống Snort IDS IPS Trên CentOS

Hệ thống Snort IDS/IPS là một trong những giải pháp bảo mật mạng hiệu quả nhất hiện nay. Việc xây dựng hệ thống này trên CentOS không chỉ giúp bảo vệ mạng mà còn nâng cao khả năng phát hiện và ngăn chặn các cuộc tấn công. Bài viết này sẽ hướng dẫn chi tiết từng bước để thiết lập và cấu hình Snort trên CentOS.

1.1. Giới thiệu về Snort IDS và Snort IPS

Snort là một phần mềm mã nguồn mở được sử dụng để phát hiện và ngăn chặn xâm nhập. Snort IDS tập trung vào việc phát hiện các cuộc tấn công, trong khi Snort IPS có khả năng ngăn chặn các cuộc tấn công ngay khi chúng xảy ra.

1.2. Lợi ích của việc sử dụng Snort trên CentOS

Việc triển khai Snort trên CentOS mang lại nhiều lợi ích như tính ổn định, khả năng tùy biến cao và hỗ trợ tốt cho các tính năng bảo mật. CentOS cũng là một hệ điều hành phổ biến trong môi trường máy chủ, giúp dễ dàng tích hợp với các công cụ khác.

II. Các Vấn Đề Thường Gặp Khi Cài Đặt Snort Trên CentOS

Trong quá trình cài đặt Snort trên CentOS, có thể gặp phải một số vấn đề như thiếu thư viện, cấu hình không chính xác hoặc xung đột với các dịch vụ khác. Việc nhận diện và khắc phục những vấn đề này là rất quan trọng để đảm bảo hệ thống hoạt động hiệu quả.

2.1. Các lỗi phổ biến trong quá trình cài đặt

Một số lỗi thường gặp bao gồm thiếu các gói phần mềm cần thiết, cấu hình sai địa chỉ IP hoặc không đủ quyền truy cập. Những lỗi này có thể gây ra sự cố trong quá trình cài đặt và vận hành Snort.

2.2. Cách khắc phục sự cố cài đặt Snort

Để khắc phục các lỗi cài đặt, cần kiểm tra lại các gói phần mềm đã cài đặt, đảm bảo rằng tất cả các thư viện cần thiết đều có mặt. Ngoài ra, việc kiểm tra quyền truy cập và cấu hình mạng cũng rất quan trọng.

III. Phương Pháp Cấu Hình Snort Trên CentOS Để Tối Ưu Hóa Bảo Mật

Cấu hình Snort đúng cách là yếu tố quyết định đến hiệu quả của hệ thống IDS/IPS. Việc tối ưu hóa cấu hình giúp Snort phát hiện và ngăn chặn các cuộc tấn công một cách hiệu quả hơn.

3.1. Cấu hình các module cần thiết cho Snort

Snort có nhiều module khác nhau, bao gồm module phát hiện, module log và module cảnh báo. Cần cấu hình các module này để đảm bảo Snort hoạt động hiệu quả và chính xác.

3.2. Tạo và quản lý các luật Snort

Luật Snort là các quy tắc xác định cách thức phát hiện các cuộc tấn công. Việc tạo và quản lý các luật này là rất quan trọng để đảm bảo rằng Snort có thể phát hiện các mối đe dọa mới nhất.

IV. Ứng Dụng Thực Tiễn Của Snort IDS IPS Trong Bảo Mật Mạng

Snort không chỉ là một công cụ phát hiện xâm nhập mà còn có thể được sử dụng để giám sát và phân tích lưu lượng mạng. Việc ứng dụng Snort trong thực tiễn giúp nâng cao khả năng bảo mật cho các hệ thống thông tin.

4.1. Giám sát lưu lượng mạng với Snort

Snort có khả năng giám sát lưu lượng mạng theo thời gian thực, giúp phát hiện các hành vi bất thường và cảnh báo kịp thời. Điều này rất quan trọng trong việc bảo vệ hệ thống khỏi các cuộc tấn công.

4.2. Phân tích và báo cáo sự cố với Snort

Snort cung cấp các công cụ phân tích và báo cáo mạnh mẽ, giúp người quản trị dễ dàng theo dõi và phân tích các sự cố bảo mật. Việc này giúp cải thiện khả năng phản ứng với các mối đe dọa.

V. Kết Luận Về Hệ Thống Snort IDS IPS Trên CentOS

Snort là một giải pháp mạnh mẽ cho việc phát hiện và ngăn chặn xâm nhập trên mạng. Việc triển khai Snort trên CentOS không chỉ giúp bảo vệ hệ thống mà còn nâng cao khả năng quản lý và giám sát an ninh mạng.

5.1. Tương lai của Snort trong bảo mật mạng

Với sự phát triển không ngừng của các mối đe dọa mạng, Snort sẽ tiếp tục được cải tiến để đáp ứng nhu cầu bảo mật ngày càng cao. Việc cập nhật thường xuyên các luật và tính năng mới sẽ giúp Snort duy trì vị thế của mình trong lĩnh vực bảo mật.

5.2. Lời khuyên cho người dùng Snort

Người dùng nên thường xuyên theo dõi và cập nhật các luật Snort, cũng như tham gia vào cộng đồng để chia sẻ kinh nghiệm và nhận được sự hỗ trợ. Điều này sẽ giúp tối ưu hóa hiệu quả của hệ thống bảo mật.

25/07/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu về IDS/IPS 1.1 Định nghĩa Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện, cảnh báo các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà các hành vi này có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống. Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thống được bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép. Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm nhập hay IPS. Hình sau minh hoạ các vị trí thường cài đặt IDS trong mạng : Hình 1.1: Các vị trí đặt IDS trong mạng 1.2 Sự khác nhau giữa IDS và IPS Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và “ngăn chặn”.

Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính mà nó đang bảo vệ trong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn. Sinh viên: Nguyễn Thanh Nhàn Trang 1 Xây dựng hệ thống Snort IDS-IPS trên CENTOS GVHD: Trần Công Hùng Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó một số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng nghĩa.

Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của những người quản trị mạng. Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó. Tuy nhiên với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng như một firewall chẳng hạn. Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác.

Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quả hơn.2 Phân loại IDS/IPS Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựa vào đặc điểm của nguồn dữ liệu thu thập được. Trong trường hợp này, các hệ thống IDS được chia thành các loại sau: • Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập. • Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập. • Hệ thống lai (Hybrid IDS – Distributed IDS): Kết hợp giữa HIDS và NIDS.

Sinh viên: Nguyễn Thanh Nhàn Trang 2 Xây dựng hệ thống Snort IDS-IPS trên CENTOS GVHD: Trần Công Hùng 1.1 Network based IDS – NIDS Hình 1.2 : Mô hình NIDS NIDS thường bao gồm có hai thành phần logic : • Bộ cảm biến – Sensor : đặt tại một đoạn mạng, kiểm soát các cuộc lưu thông nghi ngờ trên đoạn mạng đó. • Trạm quản lý : nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo cho một điều hành viên. Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát. Ưu điểm • Chi phí thấp : Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám sát lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lý trên các máy toàn mạng.

• Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu Sinh viên: Nguyễn Thanh Nhàn Trang 3 Xây dựng hệ thống Snort IDS-IPS trên CENTOS GVHD: Trần Công Hùng xuất phát từ đây. Ví dụ: nhiều cuộc tấn công DoS, TearDrop (phân nhỏ) chỉ bị phát hiện khi xem header của các gói tin lưu chuyển trên mạng. • Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ đột nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó có đủ thông tin để hoạt động. NIDS sử dụng lưu thông hiện hành trên mạng để phát hiện xâm nhập.

Vì thế, kẻ đột nhập không thể xoá bỏ được các dấu vết tấn công. Các thông tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập. • Phát hiện và đối phó kịp thời : NIDS phát hiện các cuộc tấn công ngay khi xảy ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn. VD : Một hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và ngăn chặn ngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trước khi nó xâm nhập và phá vỡ máy bị hại.

• Có tính độc lập cao: Lỗi hệ thống không có ảnh hưởng đáng kể nào đối với công việc của các máy trên mạng. Chúng chạy trên một hệ thống chuyên dụng dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trong mạng tại một vị trí cho phép nó kiểm soát các cuộc lưu thông nhạy cảm. Nhược điểm • Bị hạn chế với Switch: Nhiều lợi điểm của NIDS không phát huy được trong các mạng chuyển mạch hiện đại. Thiết bị switch chia mạng thành nhiều phần độc lập vì thế NIDS khó thu thập được thông tin trong toàn mạng.

Do chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua một lượng lớn các bộ cảm biến để có thể bao phủ hết toàn mạng gây tốn kém về chi phí cài đặt. • Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộc tấn công thực hiện vào lúc "cao điểm". Một số nhà sản xuất đã khắc phục bằng cách cứng hoá hoàn toàn IDS nhằm tăng cường tốc độ cho nó.

Tuy nhiên, do phải đảm bảo về mặt tốc độ nên một số gói tin được bỏ qua có thể gây lỗ hổng cho tấn công xâm nhập. • Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một gói tin được kiểm soát sẽ sinh ra một lượng lớn tải phân tích. Để khắc Sinh viên: Nguyễn Thanh Nhàn Trang 4 Xây dựng hệ thống Snort IDS-IPS trên CENTOS GVHD: Trần Công Hùng phục người ta thường sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các lưu thông được truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng thái hoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế.

Điểm bất lợi là nó sẽ cung cấp rất ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biến nào sẽ không biết được việc một bộ cảm biến khác dò được một cuộc tấn công. Một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc phức tạp. • Một hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn công trong một phiên được mã hoá. Lỗi này càng trở nên trầm trọng khi nhiều công ty và tổ chức đang áp dụng mạng riêng ảo VPN.

• Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIDS hoạt động sai và đổ vỡ.2 Host based IDS – HIDS Hình 1.3 : Mô hình HIDS Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường sử dụng các cơ chế kiểm tra và phân tích các thông tin được logging. Nó tìm kiếm Sinh viên: Nguyễn Thanh Nhàn Trang 5 Xây dựng hệ thống Snort IDS-IPS trên CENTOS GVHD: Trần Công Hùng các hoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang các đặc quyền không được chấp nhận. Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt động.

Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnh su-select user, như vậy những cố gắng liên tục để login vào account root có thể được coi là một cuộc tấn công. Ưu điểm • Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độ chính xác cao hơn NIDS. Vì thế, HIDS có thể bổ sung thông tin tiếp theo khi cuộc tấn công được sớm phát hiện với NIDS. • Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền, các hành động thực thi, truy nhập dịch vụ được phân quyền.

Đồng thời nó cũng giám sát các hoạt động chỉ được thực hiện bởi người quản trị. Vì thế, hệ thống host-based IDS có thể là một công cụ cực mạnh để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấp nhiều thông tin chi tiết và chính xác hơn một hệ network-based IDS. • Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào một server sẽ không bị NIDS phát hiện. • Thích nghi tốt với môi trường chuyển mạch, mã hoá: Việc chuyển mạch và mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởng bởi hai kỹ thuật trên.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ