III. INFRASTRUCTURE SECURITY (AN NINH HẠ TẦNG)
10. Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS
Page | 100 Copyright by Tocbatdat
Kiểm tra Truy cập vào trang web: vnexperts.net và kết quả thật tuyệt vời
Trong bài viết này tôi giới thiệu với các bạn một giải pháp Bảo mật các kết nối Wi-Fi. Khi một hệ thống bao gồm các máy chủ với dữ liệu hết sức quan trọng nhiều doanh nghiệp không giám triển khai sử dụng giải pháp Wireless. Nhưng với ứng dụng VPN vào các kết nối Wireless hoàn toàn bạn có thể tin tưởng được bởi hệ thống đã được mã hóa hai tầng.
10. Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS
Page | 101 Copyright by Tocbatdat
Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:
- Decode bởi thành phần Decoders của Sourcefire
- Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors - Gói tin sẽ được so sánh với tập Rules được sử dụng
- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event
- Các Event đó có thể được lọc ra thành các dạng Event khác nhau. Từ các Event được phát sinh sẽ được thực hiện để làm một số tác vụ khác.
Hiểu về quá trình phân tích traffic network
Page | 102 Copyright by Tocbatdat Event sẽ có nội dung:
Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi ro của cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro nhất là mức độ Flag 1.
Quá trình xử lý gói tin và Decoding
Page | 103 Copyright by Tocbatdat
Quá trình này sẽ Decode gói tin từ Layer 2
Sau khi Decode thiết bị Sourcefire sẽ thực hiện tiếp quá trình Preprocessors và so sánh với tập Rules
Các Event sẽ được tạo ra từ các quá trình
Page | 104 Copyright by Tocbatdat
a. Cài đặt và cấu hình Snort làm IDS/IPS
Prepare install
Là bước chuẩn bị hệ điều hành, các thư viện, và bộ cài Install
Là bước tiến hành cài đặt, cấu hình các dịch vụ liên quan và snort.
NOTE_1: Bật máy ỏa Fedora Core 10, vào snapshot về Orgin. Đăng nhập vào Fedora với user: root và password: yeuemnhieu
NOTE_2: Đọc kỹ từng dòng, dòng nào có dấu "#" ở đầu là chỉ minh họa còn dòng không có dấu # là câu lệnh.
NOTE_3: Dòng nào là chữ in nghiêng là command line cần phải chạy NOTE_4: Sau khi logon hoặc khởi động lại phải đặt địa chỉ IP với câu lệnh:
ifconfig eth0 192.168.0.x/24 route add default gw 192.168.0.1
echo "nameserver 208.67.222.222" > /etc/resolv.conf
Page | 105 Copyright by Tocbatdat
Nếu không có eth0 thì sử dụng eth1 Prepare Install
Update OS bằng câu lệnh:
yum install update Cài đặt các thư viện cho Snort
yum install iptables-devel libpcap libpcap-devel pcre pcre-devel pcre-lib php php-common php-gd php-cli php-mysql flex bison mysql mysql-devel mysql-bench mysql-server gcc gcc-c++
Tạo thư mục chứa Snort trong hệ thống mkdir /etc/snort
mkdir /etc/snort/log
Copy các bộ cài lên thư mục /root/Desktop
Các bộ cài là: Snort-2.8.5.tar.gz, Snortrule...tar.gz; base-1.4.4.tar.gz, adodb vao thu muc /root/Desktop. Nếu logon có trên Desktop rồi thì ok
Page | 106 Copyright by Tocbatdat Cài đặt Snort
SELinux Disable
SELinux là dịch vụ tương tự như UAC trên windows, để thực hiện tự động nhiều câu lệnh một lúc yêu cầu cần phải Disable tính năng này của Fedora.
---> Vào System --> adminstration --> SELinux Management rồi disable làm theo các bước dưới đây:
- disable SElinux - restart lai may tinh - kiem tra SElinux OK - dat dia chi IP
Service
Để cài đặt Snort cần phải tắt và bật một số Service, ví dụ như IPTABLES nếu Enable thì sẽ không capture được dữ liệu thì sao làm IDS được. Các Service cần phải làm là:
- Stop iptables - start mysqld - start httpd
Câu lệnh cấu hình các dịch vụ này là:
/etc/init.d/iptables stop /etc/init.d/mysqld restart /etc/init.d/httpd restart Install Snort
Page | 107 Copyright by Tocbatdat Giải nén và cài đặt snort
Cài đặt Snort với câu lệnh dưới đây:
cd /root/Desktop
tar xzvf snort-2.8.5.tar.gz cd snort-2.8.5
./configure --with-mysql && make && make install cd /etc/snort
tar xzvf /root/Desktop/snortrules-snapshot-CURRENT.tar.gz Cấu hình Snort
Vào thư mục /etc/snort/etc copy tất cả các file ra ngoài thư mục /etc/snort Cấu hình file /etc/snort/snort.conf:
- Nhân đúp vào file đó sẽ ra giao diện Texteditor để edit file vào:
+ Dòng thứ 194 cấu hình: path rule là /etc/snort/rules
+ Dòng thứ 259,260: Thêm dấu # vào đầu dòng (Snort free chỉ hỗ trợ 1 Detection Option) + Dòng thứ 829: Bỏ dấu # ở đầu dòng. Thiết lập: user snort; passoword snort; database là snort; host là localhost (Dòng này cấu hình user đăng nhập vào MYSQL cho snort).
Cài đặt và cấu hình Database Mysql (user root cua toi password=123456) Câu lệnh cấu hình MYSQL:
mysql
grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
SET PASSWORD FOR snort@localhost=PASSWORD('snort');
Page | 108 Copyright by Tocbatdat
grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to root@localhost;
SET PASSWORD FOR root@localhost=PASSWORD('123456');
create database snort;
quit
cd /root/Desktop/snort-2.8.5/schemas mysql -p < create_mysql snort
Khi xuất hiện yêu cầu nhập password gõ: 123456 rồi enter Cài đặt BASE và ADODB
ADODB là dịch vụ móc dữ liệu từ MYSQL ra, BASE là Web APP hiển thị dữ liệu của ADODB.
Câu lệnh cài đặt:
cd /var/www/html
tar xzvf /root/Desktop/base-1.4.4.tar.gz cd /var/www/html/base-1.4.4
tar xzvf /root/Desktop/adodb4991.gz chmod 777 /var/www/html/base-1.4.4/
chown /var/www/html/base-1.4.4/
chown apache /var/www/html/base-1.4.4/
chgrp apache /var/www/html/base-1.4.4/
/etc/init.d/httpd restart
Page | 109 Copyright by Tocbatdat Truy cap cau hinh BASE qua web - Chỉnh sửa file /etc/php.ini
+ File php.ini là file cấu hình của PHP, để mặc định file này bị lỗi nên phải xóa đi và download lại bằng các câu lệnh dưới đây:
rm /etc/php.ini -f cd /etc
wget http://tocbatdat.googlepages.com/php.ini
+ Sau khi download vào thư mục /etc file php.ini sẽ bị thay đổi tên nên chúng ta cần phải thay đổi lại về php.ini
+ Khởi động lại dịch vụ web với câu lệnh:
/etc/init.d/httpd restart - Cấu hình Base
+ Vào firefox: http://localhost/base-1.4.4 Bước 1: Nhấn continue để tiếp tục
Bước 2: cấu hình Path của ADODB: /var/www/html/base-1.4.4/adodb Bước 3: cấu hình user đăng nhập vào SQL:
Database: snort Host: Localhost User: snort Pass: Snort
Bước 4: Cấu hình User quản trị là: User: snort; password: snort
Page | 110 Copyright by Tocbatdat Bước 5: Create BASE Bước 6: OK
- cau hinh tu buoc 1 -> 5 Run SNORT
Để test snort chạy hay không chúng ta download một file exploit.rule từ website của mình về bằng câu lệnh dưới đây:
Lưu ý download xong phải vào thư mục đó để đổi tên file:
rm /etc/snort/rules/exploit.rules -f cd /etc/snort/rules
wget http://tocbatdat.googlepages.com/exploit.rules
Sau khi download file exploit.rules bị thay đổi tên nên chúng ta cần phải thay đổi lại về php.ini Sau khi đổi tên tiến hành chạy Snort bằng câu lệnh:
snort -v -c /etc/snort/snort.conf -l /etc/snort/log 5. View và Test kết quả
Dùng Firefox truy cập địa chỉ:
http://localhost/base-1.4.4
Thử ping ra ngoài với gói tin lớn hơn 800 bằng câu lệnh ping 192.168.0.1 -s 888
Troubleshooting
Nếu không chạy được Snort: 1. Xem lại các NOTE. 2 thì kiểm tra lại từ Phần 1-5 của phần II cài đặt SNORT:
Page | 111 Copyright by Tocbatdat