Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS

In document I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 1. Mục đích của tài liệu (Page 100-111)

III. INFRASTRUCTURE SECURITY (AN NINH HẠ TẦNG)

10. Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS

Page | 100 Copyright by Tocbatdat

Kiểm tra Truy cập vào trang web: vnexperts.net và kết quả thật tuyệt vời

Trong bài viết này tôi giới thiệu với các bạn một giải pháp Bảo mật các kết nối Wi-Fi. Khi một hệ thống bao gồm các máy chủ với dữ liệu hết sức quan trọng nhiều doanh nghiệp không giám triển khai sử dụng giải pháp Wireless. Nhưng với ứng dụng VPN vào các kết nối Wireless hoàn toàn bạn có thể tin tưởng được bởi hệ thống đã được mã hóa hai tầng.

10. Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS

Page | 101 Copyright by Tocbatdat

Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:

- Decode bởi thành phần Decoders của Sourcefire

- Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors - Gói tin sẽ được so sánh với tập Rules được sử dụng

- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event

- Các Event đó có thể được lọc ra thành các dạng Event khác nhau. Từ các Event được phát sinh sẽ được thực hiện để làm một số tác vụ khác.

Hiểu về quá trình phân tích traffic network

Page | 102 Copyright by Tocbatdat Event sẽ có nội dung:

Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi ro của cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro nhất là mức độ Flag 1.

Quá trình xử lý gói tin và Decoding

Page | 103 Copyright by Tocbatdat

Quá trình này sẽ Decode gói tin từ Layer 2

Sau khi Decode thiết bị Sourcefire sẽ thực hiện tiếp quá trình Preprocessors và so sánh với tập Rules

Các Event sẽ được tạo ra từ các quá trình

Page | 104 Copyright by Tocbatdat

a. Cài đặt và cấu hình Snort làm IDS/IPS

Prepare install

Là bước chuẩn bị hệ điều hành, các thư viện, và bộ cài Install

Là bước tiến hành cài đặt, cấu hình các dịch vụ liên quan và snort.

NOTE_1: Bật máy ỏa Fedora Core 10, vào snapshot về Orgin. Đăng nhập vào Fedora với user: root và password: yeuemnhieu

NOTE_2: Đọc kỹ từng dòng, dòng nào có dấu "#" ở đầu là chỉ minh họa còn dòng không có dấu # là câu lệnh.

NOTE_3: Dòng nào là chữ in nghiêng là command line cần phải chạy NOTE_4: Sau khi logon hoặc khởi động lại phải đặt địa chỉ IP với câu lệnh:

ifconfig eth0 192.168.0.x/24 route add default gw 192.168.0.1

echo "nameserver 208.67.222.222" > /etc/resolv.conf

Page | 105 Copyright by Tocbatdat

Nếu không có eth0 thì sử dụng eth1 Prepare Install

Update OS bằng câu lệnh:

yum install update Cài đặt các thư viện cho Snort

yum install iptables-devel libpcap libpcap-devel pcre pcre-devel pcre-lib php php-common php-gd php-cli php-mysql flex bison mysql mysql-devel mysql-bench mysql-server gcc gcc-c++

Tạo thư mục chứa Snort trong hệ thống mkdir /etc/snort

mkdir /etc/snort/log

Copy các bộ cài lên thư mục /root/Desktop

Các bộ cài là: Snort-2.8.5.tar.gz, Snortrule...tar.gz; base-1.4.4.tar.gz, adodb vao thu muc /root/Desktop. Nếu logon có trên Desktop rồi thì ok

Page | 106 Copyright by Tocbatdat Cài đặt Snort

SELinux Disable

SELinux là dịch vụ tương tự như UAC trên windows, để thực hiện tự động nhiều câu lệnh một lúc yêu cầu cần phải Disable tính năng này của Fedora.

---> Vào System --> adminstration --> SELinux Management rồi disable làm theo các bước dưới đây:

- disable SElinux - restart lai may tinh - kiem tra SElinux OK - dat dia chi IP

Service

Để cài đặt Snort cần phải tắt và bật một số Service, ví dụ như IPTABLES nếu Enable thì sẽ không capture được dữ liệu thì sao làm IDS được. Các Service cần phải làm là:

- Stop iptables - start mysqld - start httpd

Câu lệnh cấu hình các dịch vụ này là:

/etc/init.d/iptables stop /etc/init.d/mysqld restart /etc/init.d/httpd restart Install Snort

Page | 107 Copyright by Tocbatdat Giải nén và cài đặt snort

Cài đặt Snort với câu lệnh dưới đây:

cd /root/Desktop

tar xzvf snort-2.8.5.tar.gz cd snort-2.8.5

./configure --with-mysql && make && make install cd /etc/snort

tar xzvf /root/Desktop/snortrules-snapshot-CURRENT.tar.gz Cấu hình Snort

Vào thư mục /etc/snort/etc copy tất cả các file ra ngoài thư mục /etc/snort Cấu hình file /etc/snort/snort.conf:

- Nhân đúp vào file đó sẽ ra giao diện Texteditor để edit file vào:

+ Dòng thứ 194 cấu hình: path rule là /etc/snort/rules

+ Dòng thứ 259,260: Thêm dấu # vào đầu dòng (Snort free chỉ hỗ trợ 1 Detection Option) + Dòng thứ 829: Bỏ dấu # ở đầu dòng. Thiết lập: user snort; passoword snort; database là snort; host là localhost (Dòng này cấu hình user đăng nhập vào MYSQL cho snort).

Cài đặt và cấu hình Database Mysql (user root cua toi password=123456) Câu lệnh cấu hình MYSQL:

mysql

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;

SET PASSWORD FOR snort@localhost=PASSWORD('snort');

Page | 108 Copyright by Tocbatdat

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to root@localhost;

SET PASSWORD FOR root@localhost=PASSWORD('123456');

create database snort;

quit

cd /root/Desktop/snort-2.8.5/schemas mysql -p < create_mysql snort

Khi xuất hiện yêu cầu nhập password gõ: 123456 rồi enter Cài đặt BASE và ADODB

ADODB là dịch vụ móc dữ liệu từ MYSQL ra, BASE là Web APP hiển thị dữ liệu của ADODB.

Câu lệnh cài đặt:

cd /var/www/html

tar xzvf /root/Desktop/base-1.4.4.tar.gz cd /var/www/html/base-1.4.4

tar xzvf /root/Desktop/adodb4991.gz chmod 777 /var/www/html/base-1.4.4/

chown /var/www/html/base-1.4.4/

chown apache /var/www/html/base-1.4.4/

chgrp apache /var/www/html/base-1.4.4/

/etc/init.d/httpd restart

Page | 109 Copyright by Tocbatdat Truy cap cau hinh BASE qua web - Chỉnh sửa file /etc/php.ini

+ File php.ini là file cấu hình của PHP, để mặc định file này bị lỗi nên phải xóa đi và download lại bằng các câu lệnh dưới đây:

rm /etc/php.ini -f cd /etc

wget http://tocbatdat.googlepages.com/php.ini

+ Sau khi download vào thư mục /etc file php.ini sẽ bị thay đổi tên nên chúng ta cần phải thay đổi lại về php.ini

+ Khởi động lại dịch vụ web với câu lệnh:

/etc/init.d/httpd restart - Cấu hình Base

+ Vào firefox: http://localhost/base-1.4.4 Bước 1: Nhấn continue để tiếp tục

Bước 2: cấu hình Path của ADODB: /var/www/html/base-1.4.4/adodb Bước 3: cấu hình user đăng nhập vào SQL:

Database: snort Host: Localhost User: snort Pass: Snort

Bước 4: Cấu hình User quản trị là: User: snort; password: snort

Page | 110 Copyright by Tocbatdat Bước 5: Create BASE Bước 6: OK

- cau hinh tu buoc 1 -> 5 Run SNORT

Để test snort chạy hay không chúng ta download một file exploit.rule từ website của mình về bằng câu lệnh dưới đây:

Lưu ý download xong phải vào thư mục đó để đổi tên file:

rm /etc/snort/rules/exploit.rules -f cd /etc/snort/rules

wget http://tocbatdat.googlepages.com/exploit.rules

Sau khi download file exploit.rules bị thay đổi tên nên chúng ta cần phải thay đổi lại về php.ini Sau khi đổi tên tiến hành chạy Snort bằng câu lệnh:

snort -v -c /etc/snort/snort.conf -l /etc/snort/log 5. View và Test kết quả

Dùng Firefox truy cập địa chỉ:

http://localhost/base-1.4.4

Thử ping ra ngoài với gói tin lớn hơn 800 bằng câu lệnh ping 192.168.0.1 -s 888

Troubleshooting

Nếu không chạy được Snort: 1. Xem lại các NOTE. 2 thì kiểm tra lại từ Phần 1-5 của phần II cài đặt SNORT:

Page | 111 Copyright by Tocbatdat

In document I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 1. Mục đích của tài liệu (Page 100-111)