BÁO cáo đề tài môn học AN TOÀN MẠNG đề tài SNORT

BẢNG THUẬT NGỮIDS Intrusion Detection Hệ thống phát hiện xâm nhập SystemSIEM Security information and Hệ thống bảo mật và quản lý sự event management kiệnIPS Intrusion Prevention Hệ thốn

HỌC VIỆN CÔNG NGHỆ BƯU

CHÍNH VIỄN THÔNG CƠ SỞ TẠI

TP HỒ CHÍ MINH 

BÁO CÁO ĐỀ TÀI MÔN HỌC: AN TOÀN MẠNG GIẢNG VIÊN HƯỚNG DẪN: ThS TRẦN THỊ DUNG

ĐỀ TÀI: SNORT

LỜI CẢM ƠN

Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Công nghê Bưu chínhViễn thông Cơ sở thành phố Hồ Chí Minh đã đưa học phần An Toàn Mạng vàotrương trình giảng dạy

Đặc biệt, chúng em xin chân thành cảm ơn Giảng viên Trần Thị Dung - giảng viênhọc phần An Toàn Mạng đã chỉ dạy, truyền đạt những kiến thức quý báu cho emtrong suốt thời gian học tập học phần vừa qua, giúp đỡ chúng em trong quá trìnhhọc tập và quá trình thực hiện đồ án này

Trong quá trình thực hiện đồ án, chúng em còn nhiều sót và kết quả chưa đạt được

kỳ vọng, rất mong cô và các bạn góp ý để đồ án được bổ sung, hoàn thiện một cáchđầy đủ và tốt nhất

Chúng em xin chân thành cảm ơn !

MỤC LỤC

L I C M N ỜI CẢM ƠN ẢM ƠN ƠN 3

B NG THU T NG ẢM ƠN ẬT NGỮ Ữ 5

I KI N TH C T NG QUAN ẾN THỨC TỔNG QUAN ỨC TỔNG QUAN ỔNG QUAN 6

1 Giới thiệu về IDS/IPS 6

a T ng quan ổng quan 6

b Phân lo i IDS ại IDS 7

2 Giới thiệu về Snort 9

a Gi i thi u chung ới thiệu chung ệu chung 9

b Ki n trúc c a Snort ến trúc của Snort ủa Snort 10

3 Cấu hình snort – snort configuration: 25

II C U HÌNH TH C NGHI M ẤU HÌNH THỰC NGHIỆM ỰC NGHIỆM ỆM 26

1 Mô hình Snort cài đặt chung với Web Server DVWA 26

a Mô hình m ng ại IDS 26

b Các b ưới thiệu chung ấu hình và demo c c u hình và demo 26

2 Mô hình Snort cài đặt riêng với Web Server DVWA 33

a Mô hình m ng ại IDS 33

b Các b ưới thiệu chung ấu hình và demo c c u hình và demo 34

3 So sánh rule tự tạo và bộ rule của Snort 49

BẢNG THUẬT NGỮ

IDS Intrusion Detection Hệ thống phát hiện xâm nhập

SystemSIEM Security information and Hệ thống bảo mật và quản lý sự

event management kiệnIPS Intrusion Prevention Hệ thống ngăn chặn xâm nhập

SystemHIDS Host-based IDS Hệ thống ngăn chặn xâm nhập trên

hostNIDS Network-based IDS Hệ thống ngăn chặn xâm nhập trên

toàn mạngURL Uniform Resource Locator Định vị tài nguyên thống nhất

TCP Transmission Control Giao thức điều khiển truyền vận

ProtocolUDP User Datagram Protocol Giao thức dữ liệu người dùng

HTTP Hyper Text Transfer Giao thức Truyền tải Siêu Văn Bản

ProtocolFTP File Transfer Protocol Giao thức truyền tải tập tin

Capture DataDAQ Data Acquisition library Thư viện thu thập dữ liệu

PCRE Perl compatible regular Thư viện cho phép các rule được

DMZ Demilitarized Zone Vùng biên – vùng ranh giới giữa

mạng nội bộ và vùng Internet

CVE Common Vulnerabilities danh sách các lỗi bảo mật máy tính

I KIẾN THỨC TỔNG QUAN

1 Gi i thi u v IDS/IPS ới thiệu về IDS/IPS ệu về IDS/IPS ề IDS/IPS a Tổng quan

- IDS là một thiết bị hoặc ứng dụng phần mềm giám sát mạng, hệ thống máy

tính có nhiệm vụ theo dõi, phát hiện và có thể ngăn cản sự xâm nhập, cũng như các

hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đếnviệc làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống Bất

kỳ hoạt động hoặc vi phạm nào được phát hiện thường báo cáo cho quản trị viênhoặc thu thập tập trung bằng hệ thống SIEM Một hệ thống SIEM kết hợp các kếtquả đầu ra từ nhiều nguồn và sử dụng các kỹ thuật lọc báo động để phân biệt hoạtđộng ác ý từ các báo động sai lầm

- IPS có các chức năng của một IDS, ngoài ra bổ sung thêm khả năng ngănngừa các hoạt động xâm nhập không mong muốn Khi một hệ thống IDS có khảnăng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi làmột IPS

- Tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của người quản trị mạng

- Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thìgiải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện,cảnh báo và ngăn chặn của nó

- Tuy nhiên với các mạng lớn hơn thì chức năng ngăn chặn thường được giaophó cho một sản phẩm chuyên dụng Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi,phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác Sự phân chia tráchnhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệuquả hơn

Hình 1 Mô tả chức năng của IDS và IPS trong hệ thống.

b Phân loại IDS

- Thông thường phân loại các hệ thống IDS dựa vào đặc điểm của nguồn dữliệu thu thập được Trong trường hợp này, hệ thống IDS được chia thành các loạisau:

Giám sát hoạt động của từng máy tính riêng biệt được cài đặt trên các máytính(host) HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạmlàm việc hoặc máy notebook HIDS cho phép thực hiện một cách linh hoạttrên các đoạn mạng mà NIDS không thực hiện được Nguồn thông tin chủyếu của HIDS ngoài lưu lượng đến và đi trên máy chủ còn có hệ thống dữliệu system log và system audit

Lưu lượng đã gửi đến host được phân tích và chuyển qua host nếu chúngkhông tiềm ẩn các mã nguy hiểm HIDS cụ thể hơn với các nền ứng dụng vàphục vụ mạnh mẽ cho hệ điều hành

Nhiệm vụ chính của HIDS là giám sát sự thay đổi trên hệ thống:

 Các tiến trình – process

 Các entry của registry

 Mức độ sử dụng của CPU

 Các thông số vượt ngưỡng cho phép trên hệ thông file

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ,

thông tin được logging, lịch sử audit log Tìm kiếm các hoạt động bất thườngnhư login, truy nhập file không thích hợp, bước leo thang các đặc quyềnkhông được chấp nhận.

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sáthoạt động của một Network segment, HIDS chỉ giám sát các hoạt động trênmột máy tính Nó thường được đặt trên các Host xung yếu của tổ chứcvà cácserver trong vùng DMZ

Hình 2 Mô hình hệ thống HIDS trong mạng

Giám sát trên toàn bộ mạng Nguồn thông tin chủ yếu của NIDS là các gói

dữ liệu đang lưu thông trên mạng như (cables, wireless) bằng cách sử dụngcác card giao tiếp

NIDS xác định các truy cập trái phép bằng việc giám sát các hoạt động mạngđược tiến hành trên toàn bộ các phân mạng của hệ thống, NIDS sử dụng bộ

dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trênmạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược đượcđịnh nghĩa hay là những dấu hiệu

Khi một gói dữ liệu phù hợp với qui tắc phát hiện xâm nhập của hệ thống

Bộ cảm biến gửi tín hiệu cảnh báo đến trung tâm điều khiển và có thể đượccấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn hay đơn

giản là phát đi một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file log được lưu vào cơ sở dữ liệu.

NIDS thường được lắp đặt tại ngõ vào của mạng (Inline), có thể đứng trước hoặc sau firewall

Hình 3 Mô hình NIDS trong mạng

2 Gi i thi u v Snort ới thiệu về IDS/IPS ệu về IDS/IPS ề IDS/IPS a Giới thiệu chung

- Được viết bởi Martin Roesch vào năm 1998 Hiện tại, Snort được phát triểnbởi Sourcefire, nơi mà Roesch đang là người sáng lập và CTO, được sở hữu bởiCisco từ năm 2013

- Snort là một kiểu IDS/IPS, thực hiện giám sát các gói tin ra vào hệ thống

- Là một mã nguồn mở miễn phí với nhiều tính năng trong việc bảo vệ hệ thống bên trong, phát hiện sự tấn công từ bên ngoài vào hệ thống

b Kiến trúc của Snort

Hình 4 Mô hình kiến trúc NIDS của Snort

Theo mô hình kiến trúc trên, Snort được chia làm các phần:

 Module Packet Decoder: Xử lý giải mã các gói tin

 Module Preprocessors: Tiền xử lý

 Module Detection Engine: Phát hiện xâm nhập và ngăn chặn.

 Module Logging and Alerting System: Cảnh báo xâm nhập

 Output Alert or Log to a File: Kết xuất thông tin.

Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tínhnăng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới cácmodule Cơ sở dữ liệu luật của Snort đã lên tới hàng ngàn luật và được cập nhậtthường xuyên bởi một cộng đồng người sử dụng Snort có thể chạy trên nhiều

hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris,

HP-UX, AIX, IRIX, MacOS

- Module Decoder – Giải mã:

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống Gói tin sau khi được giải mã sẽ đưa vào Module tiền xử lý

- Module Preprocessors – Tiền xử lý:

Hình 5 Cấu trúc cấu hình Preprocessor trong snort

Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói

dữ liệu đưa vào cho Module phát hiện phân tích Tiền xử lý có 03 nhiệm vụchính là:

 Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thông tin sẽkhông đóng gói toàn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiềugói tin rồi mới gửi đi Khi Snort nhận được các gói tin này, nó phải thực hiện kếtnối lại để có gói tin ban đầu Module tiền xử lý giúp Snort có thể hiểu được cácphiên làm việc khác nhau

 Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiệnxâm nhập dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giaothức có dữ liệu có thể được biểu diễn dưới nhiều dạng khác nhau Ví dụ: một Webserver có thể nhận nhiều dạng URL: URL viết dưới dạng hexa/unicode hay URLchấp nhận dấu / hay Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu vớidấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót hành vi xâm nhập Do vậy, 1 sốModule tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại cácthông tin đầu vào

 Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạngnày thường để xử lý với các xâm nhập không thể hoặc rất khó phát hiện bằng cácluật thông thường Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiệnxâm nhập bất thường đó là portscan và bo (backoffice) Portscan dùng để đưa racảnh báo khi kẻ tấn công thực hiện quét cổng để tìm lỗ hổng Bo dùng để đưa racảnh báo khi hệ thống nhiễm trojan backoffice

- Module Detection Engine – Phát hiện xâm nhập

Đây là module quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện các

dấu hiệu xâm nhập Module sử dụng các luật (rule) được định nghĩa từ trước để

so sánh với dữ liệu thu thập được, từ đó xác định xem có xâm nhập xảy ra haykhông

Một vấn đề quan trọng đối với module detection engine là thời gian xử lý góitin: một IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật

xử lý Khi lưu lượng mạng quá lớn thì có thể xảy ra việc bỏ sót hoặc không phảnhồi đúng lúc Khả năng xử lý của module phát hiện phụ thuộc vào nhiều yếu tố:

số lượng các luật, tốc độ hệ thống, băng thông mạng,…

Module detection engine có khả năng tách các phần của gói tin ra và áp dụngluật lên tưng phần của gói tin:

 IP HEADER

 Header ở tầng transport: TCP, UDP

 Header ở tầng application: DNS, HTTP, FTP, …

 Payload - Phần tải của gói tin.

Do các luật trong Snort được đánh số thứ tự ưu tiên nên một gói tin khi bị pháthiện bởi nhiều luật khác nhau, cảnh báo được đưa ra theo luật có mức ưu tiêncao nhất

Hình 6 Thứ tự ưu tiên của các luật theo chiều giảm dần của header action

- Module Logging and Alerting System – Ghi lại log và cảnh báo:

Tùy thuộc vào cấu hình mà module phát hiện (detection engine) nhận dạng được xâm nhập hay không mà gói tin có thể bị ghi log hay đưa ra cảnh báo Output Alert or Log to a File:

Ghi các log ở Module Logging and Alerting System Các file log là các file dữliệu có thể ghi dưới nhiều định dạng khác nhau như tcpdump, xml, syslog, logfile

- Module Output Alert or Log to a File – Kết xuất thông tin

Mô-đun đầu ra cho phép snort chuyển đầu ra đã tạo tới cơ sở dữ liệu như Mysqlhoặc gửi tin nhắn đến máy chủ Syslog Mô-đun đầu ra hoặc plugin có thể kiểmsoát loại đầu ra được tạo bởi hệ thống ghi nhật ký và cảnh báo

c Snort Mode

- Snort có thể hoạt động theo 3 chế độ khác nhau:

Inline mode – Chế độ nội tuyến:

Khi ở chế độ này, Snort hoạt động như một IPS cho phép kích hoạt các hoạtđộng ngăn chặn

Hình 7 Snort inline mode với options –Q và cấu hình policy_mode:inline

Passive Mode – Chế độ bị động:

Ở chế độ bị động, nó hoạt động theo bản năng là một IDS

Hình 8 Snort passive mode với cấu hình policy_mode:tap

Inline-test Mode – Chế độ nội tuyến thử nghiệm:

Chế độ này cho phép đánh giá các hoạt động trong luồng mạng trước khiđưa ra hành động tiếp theo Có thể thực hiện các hành động tương tự IDS làcảnh báo và IPS (có thể ngăn chặn)

Hình 9 Snort inline-test mode với cấu hình

Hình 10 Các rule option tương ứng với snort mode

Hình 11 Chi tiết các tham số và hoạt động của các rule option

Lưu ý: Không thể thực hiện với tham số -Q –enable-inline-test

d Snort rule

Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rule) và các luật này lạiđược dựa trên các dấu hiệu nhận dạng tấn công Các luật có thể được áp dụng chotất cả các phần khác nhau của một gói tin dữ liệu các hoạt động tấn công hay xâmnhập đều có các dấu hiệu riêng Các thông tin về các dấu hiệu này sẽ được sử dụng

để tạo lên các luật cho snort

Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một thôngđiệp hay có thể bỏ qua một gói tin

Cấu trúc rule của Snort: Gồm 2 phần như sau

Hình 12 Cấu trúc cơ bản của Rule

Phần Header chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát hiện ra

có xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật vớigói tin đó

Hình 13 Các thành phần trong Rule header

- Action: Qui định loại hành động nào được thực thi khi các dấu hiệu của gói

tin được nhận dạng Có 3 hành động mặc định có sẵn trong Snort là alert, log, pass Ngoài ra, nếu đang chạy Snort ở chế độ inline, có các tùy chọn bổ sung bao gồm

drop, reject, sdrop.

sau đó ghi lại log

 Pass: Cho phép bỏ qua gói tin này.

 Drop: Chặn gói tin này và ghi lại log.

 Reject: Chặn gói tin, ghi lại log và sau đó gửi thiết lập lại TCP nếu giao

thức là TCP hoặc thông báo không thể truy cập, cổng ICMP nếu giao thức là UDP

- Protocol: Là phần thứ hai của một luật có chức năng chỉ ra loại gói tin mà

luật sẽ được áp dụng Protocols qui định việc áp dụng luật cho các packet chỉ thuộcmột giao thức cụ thể nào đó: IP, ICMP, TCP, UDP

- Address: Là phần địa chỉ nguồn và địa chỉ đích Các địa chỉ có thể là một

máy đơn, nhiều máy hoặc của một mạng nào đó Trong hai phần địa chỉ trên

thì một sẽ là địa chỉ nguồn, một sẽ là địa chỉ đích và địa chỉ nào thuộc loại nào sẽ do phần Direction ký hiệu là “->” qui định.

- Port: Xác định các cổng nguồn và đích của một gói tin mà trên đó luật được

áp dụng Số hiệu cổng dùng để áp dụng luật cho các gói tin đến hoặc đi đến mộtcổng hay một phạm vi cổng cụ thể nào đó

- Direction: Chỉ ra đâu là nguồn đâu là đích, có thể là -> hay <- hoặc <>

Trường hợp ký hiệu <> là khi ta muốn kiểm tra cả Client và Server

Phần Option chứa một thông điệp cảnh báo và các thông tin về các phần của gói

tin dùng để tạo nên cảnh báo Phần Option chứa các tiêu chuẩn phụ thêm để đốisánh luật với gói tin Một luật có thể phát hiện được một hay nhiều hoạt động thăm

dò hay tấn công

Các tùy chọn được ngăn cách với nhau bởi dấu chấm phẩy (;) và được ngăn cáchvới tham số bởi dấu hai chấm (:)

Các tùy chọn cho rule phân thành 4 loại chính như sau:

- General: Các tùy chọn này cung cấp thông tin về quy tắc nhưng không có bất

kỳ ảnh hưởng nào trong quá trình phát hiện

- Payload: Tất cả các tùy chọn này đều tìm kiếm dữ liệu bên trong tải payload

của gói và có thể liên quan đến nhau

- Non-payload: Các tùy chọn này tìm kiếm dữ liệu không phải payload

- Post-detection: Các tùy chọn này là các trình kích hoạt quy tắc cụ thể xảy ra

sau khi quy tắc đã kích hoạt

General rule option:

Hình 14 Một số general rule option thông dụng

 Msg (message): Tùy chọn quy tắc thông báo bằng một lời nhắn cho bộ máy

ghi nhật ký và cảnh báo tin nhắn, nó sẽ cùng với kết xuất gói tin hoặc cảnh báo

Hình 15 Format của msg

 flow: chỉ thị cho biết liệu nội dung mà chúng ta sắp xác định là tín hiệu của

chúng ta có cần xuất hiện trong giao tiếp với máy chủ ("to_server") hay với máykhách ("to_client") hay không

 Reference: phép các quy tắc bao gồm các tham chiếu đến các hệ thống nhận

dạng tấn công từ bên ngoài

Hình 16 Format references

 Established: chỉ thị này sẽ khiến Snort giới hạn việc tìm kiếm các gói phù

hợp với các dấu hiệu phù hợp ở các gói chỉ là một phần của các kết nối đã thiết lập,giúp giảm thiểu lượng traffic truyền trên Snort

 Gid (generate id): sử dụng để xác định phần nào của Snort tạo ra sự

kiện/hoạt động khi một quy tắc trong bộ rules cụ thể mà ta cài đặt được kích hoạt

Hình 17 Format của gid

 Sid (signature id): thuộc tính siêu dữ liệu cho biết ID( duy nhất) của tín hiệu

của luật mà ta tạo ra hoặc sử dụng một bộ luật với cái sid được xây dựng sẵn,nhằm xác định tín hiệu vi phạm và tra cứu thông tin một cách nhanh nhất

Hình 21 Các loại classtype với mức priority tương ứng

 Priority: chỉ định mức độ nghiêm trọng cho các quy tắc Quy tắc classtype chỉ

định mức ưu tiên mặc định Priority có thể ghi đè

Hình 22 Format priority

 Metadata: cho phép quản trị viên viết quy tắc(rules) nhúng thông tin bổ sung

về quy tắc, thường ở định dạng khóa-giá trị( key- value).Các khóa và giá trị siêu dữliệu nhất định có ý nghĩa đối với Snort và được liệt kê

Hình 23 Metadata format

Metadata chỉ có nghĩa khi bảng thuộc tính máy chủ được cung

cấp(host attribute table)

Hình 24 Snort metadata key-value

Payload Detection rule option :

Hình 25 Một số payload detection rule option thông dụng

 Content: một trong những tính năng quan trọng của Snort Nó cho phép

người dùng thiết lập các quy tắc tìm kiếm nội dung cụ thể trong trọng tảigói(payload packet) và kích hoạt phản hồi dựa trên dữ liệu đó Sử dụng hàm sosánh Boyer-Moore để kiểm tra nội dung gói Với các content modifier

(hình 26) :

 Content modifier

 Rawbytes: cho phép các quy tắc xem xét dữ liệu gói thô, bỏ qua bất kỳ giải mã

nào được thực hiện bởi các bộ tiền xử lý

Hình 27 Rawbytes format

 Depth: cho phép người viết quy tắc chỉ định khoảng cách mà Snort nên tìm

kiếm mẫu được chỉ định

Hình 28 Depth format

 Offset: cho phép người viết quy tắc chỉ định nơi bắt đầu tìm kiếm một mẫu

trong gói Từ khóa này cho phép các giá trị từ -65535 đến 65535.Giá trị cũng có thểđược đặt thành giá trị chuỗi tham chiếu đến một biến được trích xuất bởi từ khóatrích xuất byte trong cùng một luật

Hình 29 Offset format

 Distance: cho phép người viết quy tắc chỉ định khoảng cách vào một gói mà

Snort nên bỏ qua trước khi bắt đầu tìm kiếm mẫu được chỉ định liên quan đến kếtthúc của đối sánh mẫu ở mục content

Hình 30 Distance format

 Within: một công cụ sửa đổi nội dung đảm bảo rằng tối đa N byte nằm giữa

khoảng cách(distance) các đối sánh mẫu bằng content

Hình 31 Within format

 Isdataat: Xác minh rằng payload có dữ liệu tại một vị trí được chỉ định, tùy

chọn tìm kiếm dữ liệu liên quan đến phần cuối của phần trước phù hợp nội dung

Hình 32 Isdataat format

 Pcre: Từ khóa pcre cho phép các quy tắc được viết bằng cách sử dụng các biểu

thức chính quy tương thích với perl

Hình 33 Prce format

Non - Payload Detection option:

Hình 34 Non –payload detection rule option thông dụng

Post Detection rule option:

Hình 35 Post detection rule option thông dụng

3 C u hình snort – snort configuration: ấu hình snort – snort configuration:

Các bước để tiến hành cấu hình snort:

• Bước 1: Set the network variables – cấu hình các thành phần của mạng

• Bước 2: Configure the decoder : cấu hình thành phần module giải mã

• Bước 3: Configure the base detection engine - công cụ phát hiện cơ sở.

• Bước 4: Configure dynamic loaded libraries - thư viện được tải động

• Bước 5: Configure preprocessors – Cấu hình tiền sử lý

• Bước 6: Configure output plugins – cấu hình các plugin đầu ra

• Bước 7: Customize your rule set – cấu hình luật

• Bước 8: Customize preprocessor and decoder rule set – Cấu hình luật tiền xử lý

và luật bộ giải mã

• Bước 9: Customize shared object rule set – cấu hình bộ luật đối tượng chia sẻ