Trích Yếu

Intrusion Detection System (IDS) là hệ thống phòng chống và phát hiện xâm nhập thông minh nhất hiện nay. IDS phát hiện những tín hiệu, biểu hiện, hành vi của người xâm nhập trước khi có thể gây thiệt hại đến hệ thống mạng như làm cho dịch vụ mạng ngừng hoạt động hay mất dữ liệu. Từ đó chúng ta có thể ngăn chặn thông qua các biện pháp kỹ thuật khác nhau.

Đề tài của chúng tôi với mục tiêu là xây đựng một hệ thống Snort – IDS trên hệ điều hành Ubuntu, hệ thống này với mục đích phát hiện và phòng chống các hành động tấn công và thâm nhập trong mạng. Do đó đề tài tập trung nghiên cứu vào phương thức hoạt động và vận hành của hệ thống Snort – IDS đồng thời đưa ra cách cài đặt và thiết lập một hệ thống IDS hoàn chỉnh trên hệ điều hành Ubuntu. Bên cạnh đó chúng tôi đưa ra giải pháp nhằm tăng cường khả năng hoạt động và vận hành của hệ thống thông qua việc sử dụng barnyard để tăng cường khả năng ghi lại log của hệ thống và oinkmaster để tự động liên tục cập nhật rule.

Ngoài việc sử dụng hệ thống rule có sẵn, đề tài tìm hiểu cách tạo ra rule theo yêu cầu nhằm giám sát và kiểm tra đối với một luồng thông tin cụ thể khi mà hệ thống rule của snort không thể đáp ứng.

Thông qua việc nghiên cứu, đề tài của chúng tôi đưa một cái nhìn tổng quan về hệ thống Host-based IDS và Network-based IDS, về sự khác và giống nhau của hai hệ thống từ đó có thể ứng dụng trong mô hình mạng thực tế.

Mục Lục

Trích Yếu. ii

Mục Lục. ii

Lời Cảm Ơn. ii

Nhận Xét Của Người Hướng Dẫn. ii

Nhập Đề. 2

I. Nguyên Lý Hoạt Động Của Snort 2

1. Quá trình khởi động của snort 2

2. Xử lý gói tin trong snort 2

3. Detection Engine. 2

4. Khảo sát Detection Engine. 2

5. Snort Inline Mode. 2

II. Preprocessor. 2

1. Preprocessor frag3. 2

2. Preprocessor stream5. 2

3. Một số preprocessor khác. 2

III. Hệ Thống Rule Trong Snort 2

1. Tổng quan về rule trong snort 2

2. Cấu trúc rule. 2

3. Thứ tự các rule trong rule base của snort 2

4. Oinkmaster. 2

IV. Snort Output Plug-in. 2

1. Output log và alertvới tốc độ nhanh. 2

2. Output log và alert vào database. 2

3. Output log và alert vào Unix syslog. 2

4. Output log và alert vào một file cụ thể. 2

5. Output log và alert vào file CSV 2

6. Output log và alert ra nhiều dạng khác nhau. 2

V. Network-Based và Host-Based IDS. 2

1. Nework-Based IDS. 2

2. Host-Based IDS. 2

3. Triển Khai IDS Trong Mạng. 2

VI. Các Hình Thức Khai Thác Và Tấn Công Hệ Thống Phổ Biến. 2

1. Port scan. 2

2. DOS (Denial of Services). 2

3. ARP Spoofing. 2

VII. Cài Đặt Snort 2

1. Một số tùy chọn khi biên dịch snort 2

2. Cấu trúc database của snort 2

3. Cài đặt Snort với Snort Report (Single Snort Sensor). 2

4. Cài đặt Snort với BASE (Single Snort Sensor). 2

5. Cài đặt snort với BASE (Multiple SnortSensors). 2

6. Cài đặt Snort inline. 2

VIII. Lab Kiểm Tra Hoạt Động Của Snort 2

1. Rule để kiểm tra hoạt động của snort 2

2. Rule phát hiện truy cập web. 2

3. Phát hiện portscan trong Snort 2

4. Phát hiện DOS với snort 2

5. Phát hiện ARP attack. 2

Kết Luận. 2

Tài Liệu Tham Khảo. 2

Nhập Đề

Khái niệm tấn công một máy tính bằng việc tác động trực tiếp vào máy đó đã trở thành quá khứ khi mà ngày nay con người có thể truy cập vào một máy chủ ở cách xa mình nửa vòng trái đất để lấy thông tin website, mail Hacker cũng làm những công việc tương tự nhưng họ tận dụng những lỗ hỏng của hệ thống nhằm chiếm quyền sử dụng hay ngăn chặn sự truy cập của người dùng khác vào hệ thống đó.

Nhằm ngăn chặn những truy nhập trái phép vào hệ thống người ta sử dụng những thiết bị bảo mật như Firewall hay các thuật toán mã hóa. Thế nhưng đối với những máy chủ chạy những dịch vụ như web, mail thì những công cụ bảo mật này vẫn chưa hoàn hảo vì đây là những máy chủ được mọi người từ bên ngoài truy cập (public server). Hacker sẽ lợi dụng chính những dịch vụ này để tấn công vào hệ thống. Điều đó là nguyên nhân dẫn đến sự cần thiết sử dụng công cụ IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các hành vi lạm dụng đặc quyền để giám sát hệ thống mạng