B GIÁO DC VÀ ĐÀO TO
TRƯỜNG ĐẠI HC BÁCH KHOA HÀ NI
---------------------------------------
NGUYN ĐỨC CƯỜNG
LUN VĂN THC SĨ KHOA HC
NGÀNH: X LÝ THÔNG TIN VÀ TRUYN THÔNG
H THNG
PHÁT HIN XÂM NHP MNG
X LÝ THÔNG TIN VÀ
TRUY THÔNG
NGUYN ĐỨC CƯỜNG
2006 - 2008
Hà Ni
2008 HÀ NI 2008
Master of Sience
Thesis title: “Warning and Protection System of Network Attacks”
Student: Nguyen Duc Cuong
Supervisor: Professor Dang Van Chuyet
Department of Information Technology
Hanoi University of Technoloogy
Email: cuongnd-linc@mail.hut.edu.vn
Year: 2008
Summary
During the last decade, the Internet has developed rapidly in terms of scale as well
as diversity. As a consequence, the network security has become more and more
urgent issues. Therefore, network administration has been incrementally
complicated and manually error handling is no longer sufficient. Due to that, the
automatic warning system of attacks is aimed to necessarily establish.
This thesis consists of the two parts as follows:
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
X lý Thông tin và Truyn Thông Nguyn Đức Cường
H thng phát hin xâm nhp mng
1
LI NÓI ĐẦU .................................................................................................. 3
CHƯƠNG I - TNG QUAN V IDS .............................................................6
1.1 Khái nim................................................................................................ 6
1.2. Chc năng .............................................................................................. 6
1.3 Cu trúc chung ........................................................................................ 7
1.4. Phân bit các mô hình IDS...................................................................11
NIDS........................................................................................................11
HIDS........................................................................................................12
1.5. Các phương pháp nhn biết tn công...................................................12
1.6 Các sn phm IDS trên th trường......................................................... 14
Intrust ......................................................................................................14
ELM ........................................................................................................ 15
GFI LANGUARD S.E.L.M .................................................................... 16
SNORT....................................................................................................17
Cisco IDS ................................................................................................18
Dragon.....................................................................................................19
CHƯƠNG II – KT NI MÁY PHÂN TÍCH VÀO H THNG SWITCH
CISCO ............................................................................................................. 20
2.1 Các kiến thc cơ s ca k thut phân tích thng kê cng - SPAN....20
2.1.1 Khái nim SPAN............................................................................ 20
2.1.2 Các thut ng.................................................................................22
2.1.3 Các đặc đim ca cng ngun........................................................ 24
2.1.4 Lc VLAN ..................................................................................... 24
2.1.5 Các đặc đim ca ngun VLAN ....................................................25
2.1.6 Các đặc đim ca cng đích........................................................... 26
2.1.7 Các đặc đim ca cng phn hi.................................................... 27
2.2. SPAN trên các dòng Switch Cisco.......................................................28
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000
Series chy CatOS................................................................................... 28
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
3560, 3560-E, 3750 and 3750-E Series .................................................. 52
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chy
phn mm h thng Cisco IOS ............................................................... 55
2.3 Hiu năng tác động ca SPAN trên các nn Switch Catalyst khác nhau
..................................................................................................................... 58
Các dòng Switch dưới Catalyst 4000 Series........................................... 58
Catalyst 4500/4000 Series....................................................................... 59
Catalyst 5500/5000 and 6500/6000 Series.............................................. 59
2.4 Các li thường gp khi cu hình ........................................................... 59
X lý Thông tin và Truyn Thông Nguyn Đức Cường
H thng phát hin xâm nhp mng
2
CHƯƠNG III – TRIN KHAI TÍCH HP H THNG IDS MM - SNORT
VÀO H THNG........................................................................................... 69
3.1. Các đặc đim chính .............................................................................. 69
3.1.1 H thng detection engine: ............................................................70
3.1.2 H thng Logging & alerting:........................................................70
3.1.3 Tp lut(RULES) ...........................................................................71
3.2 Các bước cài đặt Snort trên h điu hành Debian.................................72
3.2.1 Cài h điu hành Debian ................................................................ 72
3.2.2 Cài các phn mm cn thiết ........................................................... 73
3.2.3 Cài đặt và cu hình IPTABLES-BASED FIREWALL ................. 75
3.2.4 Cài đặt Snort................................................................................... 75
3.2.5 Cu hình MySQL Server................................................................ 77
3.2.6 Cu hình để SNORT bn alert vào MySQL .................................. 78
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78
3.2.8 Cài đặt và cu hình Basic Analysis và Sercurity Engine (Base) ... 79
3.2.9 Cp nht Rules vi Oinkmaster ..................................................... 81
3.2.10 Startup Script................................................................................82
3.2.11 To Acc truy cp vào Base .......................................................... 83
3.2.12 Cu hình SNMP Server................................................................ 83
3.2.13 To file index.php để định hướng trình duyt ............................. 84
3.2.14 Cài đặt phn mm qun tr Webmin ............................................ 84
3.3 Giao din h thng sau cài đặt ..............................................................85
3.3.1 Các thông tin cu hình cơ bn........................................................ 85
3.3.2 Hướng dn s dng SNORT..........................................................86
3.3.3. Hướng dn s dng công c phân tích (Base).............................. 89
3.3.4 Hướng dn s dng Webmin .......................................................101
KT LUN...................................................................................................108
DANH MC TÀI LIU THAM KHO......................................................109
X lý Thông tin và Truyn Thông Nguyn Đức Cường
H thng phát hin xâm nhp mng
3
LI NÓI ĐẦU
Khái nim phát hin xâm nhp đã xut hin qua mt bài báo ca James Anderson
cách đây khong 25 năm. Khi đó người ta cn h thng phát hin xâm nhp - IDS
(Intrusion Detection System) vi mc đích là dò tìm và nghiên cu các hành vi bt
thường và thái độ ca người s dng trong mng, phát hin ra các vic lm dng
đặc quyn để giám sát tài sn h thng mng. Các nghiên cu v h thng phát hin
xâm nhp được nghiên cu chính thc t năm 1983 đến năm 1988 trước khi được
s dng ti mng máy tính ca không lc Hoa K. Cho đến tn năm 1996, các khái
nim IDS vn chưa ph biến, mt s h thng IDS ch được xut hin trong các
phòng thí nghim và vin nghiên cu. Tuy nhiên trong thi gian này, mt s công
ngh IDS bt đầu phát trin da trên s bùng n ca công ngh thông tin. Đến năm
1997 IDS mi được biết đến rng rãi và thc s đem li li nhun vi s đi đầu ca
công ty ISS, mt năm sau đó, Cisco nhn ra tm quan trng ca IDS và đã mua li
mt công ty cung cp gii pháp IDS tên là Wheel.
Hin ti, các thng kê cho thy IDS đang là mt trong các công ngh an ninh được
s dng nhiu nht và vn còn phát trin.
Vào năm 2003, Gartner- mt công ty hàng đầu trong lĩnh vc nghiên cu và phân
tích th trường công ngh thông tin trên toàn cu- đã đưa ra mt d đoán gây chn
động trong lĩnh vc an toàn thông tin : “H thng phát hin xâm nhp (IDS) s
không còn na vào năm 2005”. Phát biu này xut phát t mt s kết qu phân tích
đánh giá cho thy h thng IDS khi đó đang đối mt vi vn đề là IDS thường
xuyên đưa ra rt nhiu báo động gi ( False Positives). H thng IDS còn có v
gánh nng cho qun tr an ninh h thng bi nó cn được theo dõi liên tc (24 gi
trong sut c 365 ngày ca năm). Kèm theo các cnh báo tn công ca IDS còn là
mt quy trình x lý an ninh rt vt v. Các IDS lúc này không có kh năng theo dõi
các lung d liu được truyn vi tc độ ln hơn 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhn xét này da trên nhiu phn ánh ca nhng khách hàng
đang s dng IDS rng qun tr vn hành h thng IDS là rt khó khăn, tn kém
và không đem li hiu qu tương xng so vi đầu tư.