- Pfsểnsể lá# môt ựng dủng cô chực ná ng đinh tủyể'n vá#ô tựờ#ng lựámáng vá# miể+n phí dựá trển nể3n táng FrểểBSD FrểểBSD lá# môt hể điể3ủ há#nhkiểủ Ủnix đựờc phát triển tự# Ủnix thểô nh
TỔNG QUAN VỀ PFSENSE
Pfsense là gì?
Pfsense là một ứng dụng có chức năng ngăn định tuyến và tường lửa mạnh mẽ, được phát triển dựa trên nền tảng FreeBSD, một hệ điều hành kiểu Unix Pfsense được quản lý hoàn toàn qua giao diện web và đã trở thành một dự án bảo mật nổi bật từ năm 2004, khi Monowall mời gọi sự tham gia của cộng đồng Pfsense đã có hơn 1 triệu lượt tải xuống và được sử dụng để bảo vệ các mạng ở tất cả các kích cỡ, từ các mạng gia đình đến các mạng lớn của các công ty Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đáng chú ý, giúp cải thiện tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
Pfsểnsể được dựa trên FreeBSD và giá trị thực Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên hệ thống lựa chọn và một hệ thống tự động chuyển đổi dự phòng Ví dụ, hệ thống này có thể hoạt động hiệu quả trong các mạng diện rộng (WAN) để thực hiện việc cân bằng tải.
Firewall là một công cụ quan trọng giúp bảo vệ mạng và thiết bị khỏi các mối đe dọa Nó cho phép người dùng quản lý trạng thái và cấu hình dễ dàng trên các thiết bị router Mặc dù có nhiều tính năng miễn phí, nhưng cũng tồn tại một số hạn chế nhất định.
Pfsense hỗ trợ lọc địa chỉ nguồn, đích, cũng như port nguồn hay port đích, đồng thời cũng hỗ trợ định tuyến và có thể hoạt động trong chế độ bridge hay transparent, cho phép tái chế các thiết bị mạng mà không cần đổi hình bồ sung Pfsense cũng cấp chế độ NAT và tính năng chuyển tiếp công, tuy nhiên, việc sử dụng NAT vẫn cần một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
Để cài đặt và sử dụng phần mềm Pfsense, bạn chỉ cần một máy tính với cấu hình tối thiểu là CPU, RAM 128 MB và HDD 1GB Pfsense cho phép bạn thiết lập tường lửa cho các nguồn kết nối qua mạng WAN và LAN, và để tối ưu hóa hiệu suất, nên sử dụng ít nhất 2 card mạng.
Mô hình triển khai hệ thống với Pfsense cho doanh nghiệp vừa và nhỏ
Một số tính năng chính trong Pfsense
- Trông Pfsểnsể, firểwáll không thể cô 1 rủlể gô3m nhiể3ủ nhôm IP hôá c
Nhôm pôrt là một thành phần quan trọng trong việc tạo ra các địa chỉ URL, cho phép chuyển đổi giữa các hôst và dái máng Một Aliásểs có thể chứa nhiều thông tin, giúp tối ưu hóa việc quản lý và truy cập dữ liệu.
IP riêng biệt hay 1 nhôm port, URL, giúp ta kiểm soát phần lớn thời gian để bán sự dụng một cách chính xác Ví dụ, sự dụng hàng loạt quy tắc để thiết lập cho nhiều địa chỉ, ta có thể sử dụng một quy tắc duy nhất để gom nhôm lại.
Alias là một công cụ hữu ích trong việc quản lý mạng Một alias có thể định nghĩa được rất nhiều port cho một host có nhiều địa chỉ IP Ví dụ, để chặn IP Facebook – Facebook là một địa chỉ IP rất phức tạp, ta không thể tạo quy tắc trên Firewall để chặn Facebook, mà cần phải mất rất nhiều thời gian, gây khó khăn trong việc quản lý Chỉ cần tạo một alias có tên là IP_Facebook chứa một dải IP của Facebook Sau đó trên Firewall chỉ cần tạo một quy tắc để chặn alias này.
IP_Fácểbôôk thí# sể% blôck đựờc fácểbôôk.côm.
- Để vá#ô Aliásểs củá Pfsểnsể, tá vá#ô Firểwáll -> Aliásểs Các thá#nh phá3n trông Aliásểs:
+ Hôst: táô nhôm các điá chí IP
+ Nểtwôrk: táô nhôm các máng
+ Pôrt: Chô phểp gôm nhôm các pôrt nhựng không chô phểp táô nhôm các prôtôcôl Các prôtôcôl đựờc sự dủng trông các rủlể b, Firewall Rules
Để quản lý các luật trong Firewall, bạn cần truy cập vào phần Rules Mỗi Firewall đều có các quy tắc riêng để kiểm soát lưu lượng mạng, vì vậy bạn phải tạo các luật để quản lý mạng một cách hiệu quả.
- Môt sô' lựá chôn trông Dểstinátiôn vá# Sôủrcể.
+ Singlể hôst ôr áliás: Môt điá chí ip hôá c lá# môt bí dánh.
+ Lán sủbnểt: Đựờ#ng máng Lán
+ Lán áddrểss: Tá't cá điá chí máng nôi bô
+ Wán áddrểss: Tá't cá điá chí máng bển ngôá#i
+ PPTP cliểnts: Các cliểnts thực hiển kể't nô'i VPN sự dủng giáô thực PPTP
+ PPPôỀ cliểnts: Các cliểnts thực hiển kể't nô'i VPN sự dủng giáô thực PPPôỀ c, NAT:
NAT static 1:1 là phương pháp chuyển đổi địa chỉ IP, trong đó mỗi địa chỉ IP công cộng tương ứng với một địa chỉ IP riêng tư Để thực hiện NAT 1:1, cần cấu hình để đảm bảo rằng địa chỉ IP riêng tư luôn được ánh xạ với địa chỉ IP công cộng và các cổng cũng được ánh xạ tương ứng trên địa chỉ IP công cộng.
Pfsense hỗ trợ NAT Outbound mặc định với cấu hình Automatic outbound NAT rule generation Để cấu hình thủ công, bạn cần sử dụng Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) và xóa các quy tắc mặc định của Pfsense, đồng thời cấu hình thêm các quy tắc outbound.
- Ngôá#i 3 kiểủ NAT: pôrt fôrwárd, 1:1 vá# ôủtbôủnd, Pfsểnsể cô#n hô+ trờ NAT Npt Phựờng thực ná#y thực hiển NAT đô'i vời Ipv6. d, Traffic shaper:
Đáy lá là một yếu tố quan trọng giúp quản trị mạng một cách chính xác, tối ưu hóa đường truyền trong hệ thống Trong hệ thống này, một đường truyền bao gồm nhiều thành phần khác nhau Có 7 loại thành phần trong hệ thống này.
Hàng ACK là các gói xác nhận trong giao thức TCP, được sử dụng chủ yếu trong các ứng dụng như HTTP và SMTP Lượng thông tin ACK thường xuyên được gửi đi là cần thiết để duy trì tốc độ truyền thông hiệu quả.
+ Há#ng qVôIP: dá#nh chô nhự%ng lôái lựủ thông cá3n đám báô đô trể+ nghiểm ngá t, thựờ#ng dựời 10ms nhự VôIP, vidểô cônfểrểncểs.
+ Há#ng qGámểs: dá#nh chô nhự%ng lôái lựủ thông cá3n đám báô đô trể+ rá't chá t chể%, thựờ#ng dựời 50ms nhự SSH, gámể ônlinể …
Hệ thống mạng hiện đại yêu cầu các giao thức như NTP, DNS và SNMP để đảm bảo tính ổn định và hiệu suất cao Việc sử dụng các giao thức này giúp đáp ứng nhanh chóng và hiệu quả trong việc quản lý và giám sát mạng.
+ Há#ng qOthểrsDểfáủlt: dá#nh chô các giáô thực ựng dủng qủán trông cô tính tựờng tác vự#á, cá3n đô đáp ựng nhá't đinh nhự HTTP, IMAP …
+ Há#ng qOthểrsLôw: dá#nh chô các giáô thực ựng dủng qủán trông nhựng cô tính tựờng tác thá'p nhự SMTP, POP3, FTP
+ Há#ng qP2P: dá#nh chô chô các ựng dủng không tựờng tác, không cá3n đáp ựng nhánh nhự bittôrrểnt
- Má c đinh trông pfsểnsể, các há#ng sể% cô đô ựủ tiển tự# thá'p để'n cáô: qP2P < qOthểrsLôw < qOthểrsDểfáủlt < qOthểrsHigh < qGámểs < qACK < qVôIP.
Tăng cường khả năng lái xe chính là ưu tiên hàng đầu, giúp nâng cao hiệu suất sử dụng băng thông Điều này đảm bảo rằng các hàng chiếm lĩnh có thể tối ưu hóa băng thông và cải thiện trải nghiệm người dùng.
- Pfsểnsể củ%ng hô+ trờ giời hán tô'c đô dôwnlôád/ủplôád củá 1 IP hôá c
Một ngày IP với tác thiết lập thông số tái phân limiter Firewall PFsense hỗ trợ chặn những ứng dụng chạy trên layer 7 – ứng dụng trong mô hình OSI như SIP, FTP, HTTP… trong phần Layer 7 e, VPN:
VPN (Mạng Riêng Ảo) là một công nghệ cho phép các máy tính kết nối với nhau qua một môi trường an toàn trên Internet, bảo vệ tính riêng tư và bảo mật dữ liệu Để duy trì kết nối an toàn giữa các máy tính, thông tin được mã hóa và gửi qua các đường ống riêng biệt gọi là tunnel Điều này giúp bảo vệ dữ liệu khỏi những kẻ xâm nhập và đảm bảo tính riêng tư trong môi trường mạng Chức năng này của VPN được đánh giá là rất tốt.
- Pfsểnsể củ%ng hô+ trờ VPN qủá 4 giáô thực: IPSểc, L2TP, PPTP vá# OpểnVPN. f, Monitor băng thông:
- Pfsểnsể cô rá't nhiể3ủ plủgin hô+ trờ mônitôr bá ng thông Sáủ đáy lá# 1 sô' plủgin thông dủng:
Đáy lá tôôl má c đinh cô sá_n khi cá#i pfsểnsể Với RRD gráphs, tá cô thể hiện trạng thái của server như mêmôry, prôcểss và băng thông của các đường truyền LAN, WAN.
+ Môt nhựờc điểm củá RRD Gráphs lá# không thểô dô%i đựờc dủng lựờng tự#ng IP.
+ Lightsqủid lá# páckágể hô+ trờ xểm rểpôrt trển pfsểnsể sáủ khi đá% cá#i gôi sqủid.
+ Vời Lightsqủid, tá cô thể chểck dủng lựờng mô+i IP sự dủng thểô ngá#y Tông dủng lựờng ngá#y hôm đô sự dủng háy các tráng wểb đá% vá#ô …
+ 1 plủgin nự%á cô thể mônitôr dủng lựờng sự dủng củá IP lá#
+ BándwidthD thô'ng kể dự% liểủ thểô tự#ng IP, dủng lựờng gựi, nhán, các giáô thực sự dủng nhự FTP, HTTP …
Plugin thường được sử dụng là Ntôp Với Ntôp, người dùng có thể theo dõi và hiển thị thông tin địa chỉ IP một cách hiệu quả, giúp quản lý tài nguyên công nghệ thông tin một cách tốt nhất, kể cả khi kết nối với internet.
Cài đặt Pfsense
Yêu cầu cấu hình tối thiểu để cài đặt Pfsense là: CPU 600 MHz, RAM 512 MB, ổ cứng 4 GB và có USB boot hoặc đĩa CD/DVD để cài đặt phần mềm.
+ Tá thực há#nh cá#i đá t Pfsểnsể trển VMWárể Wôrkstátiôn vời cá'ủ hí#nh RAM 2048MB, ô cựng 35GB, 2 côrể CPỦ, 2 cárd máng.
- Vá#ô VMwárể Wôrkstátiôn Prô vá# chôn File rô3i chôn New Virtual
- Chôn Typical rô3i chôn Nểxt, chôn tủ#y chôn I will install the operating system later rô3i chôn Nểxt
- Trông mủc tiể'p thểô chôn Other trông Gủểst ôpểráting systểm rô3i chôn Vểrsiôn FreeBSD 11 64-bit
- Trông mủc tiể'p thểô điể3n tển máy áô vá# chôn nời lựủ máy áô
- Trông mủc tiể'p thểô chôn tủ#y chôn Store virtual disk as a single files vá# chôn dủng lựờng lá# 35Gb
- Tủ#y chôn củô'i củ#ng chôn Finish Sáủ đô tá phái cá'ủ hí#nh lái máy áô ná#y Chôn Edit virtual machine settings
- Trông phá3n Memory điể3n trông Memory for this virtual machine lá# 2048Mb
- Trông phá3n Prôcểssôrs chôn Nủmbểr ôf prôcểssôrs lá# 2
- Trông phá3n CD/DVD (IDỀ) tá chôn Ủsể ISO imágể filể vá# Brôwsể để'n filể isô củá Pfsểnsể
- Trông phá3n Nểtwôrk Adáptểr chôn tủ#y chôn Bridgểd
- Dô Pfsểnsể phái cô tô'i thiểủ 2 cárd máng nển tá phái Add thểm môt Nểtwôrk Adáptểr nự%á, chôn tủ#y chôn củá Nểtwôrk Adáptểr mời lá# NAT
Cá'ủ hí#nh củô'i củ#ng củá Pfsểnsể
- Bát Pfsểnsể lển vá# báGt đá3ủ cá#i đá t
Nhá'n Ềntểr để báGt đá3ủ cá#i đá t.
Chôn Instáll để cá#i đá t PfsSểnsể.
- Sáủ đô tá tiể'p tủc chôn thểô má c đinh các tủ#y chôn bá#n phím, phán vủ#ng ô cựng, đời qủá trí#nh cá#i đá t hôá#n tá't vá# rểbôôt:
Hôá#n tá't cá#i đá t vá# khời đông lái máy áô Pfsểnsể.
- Sáủ khi đá% khời đông xông, tá tủ#y chính các thông sô' nhự gán intểrfácể, đá t IP chô các intểrfácể thểô nhủ cá3ủ sự dủng:
Giáô diển Pfsểnsể khi khời đông.
- Nháp 2 (Sểt intểrfácể(s) IP áddrểss) để đá t lái IP chô các Intểrfácể: Đá t IP chô các intểrfácể báNng viểc chôn phím 2.
- Cá'ủ hí#nh lái máng LAN, chôn phím 2 Sáủ đô nháp điá chí IP mời lá#
192.168.154.100; trông phá3n new LAN IPv4 subnet bit count điể3n 24; trông phá3n new LAN IPv4 upstream gateway address nháp
192.168.154.2 Chôn nô (n) ờ 2 tủ#y chôn tiể'p thểô, tá đá% cá'ủ hí#nh thá#nh công máng LAN
- Lá#m tựờng tự vời cá'ủ hí#nh máng WAN vời điá chí 192.168.0.113
Giáô diển sáủ khi cá'ủ hí#nh xông
- Tá thực hiển ping thự rá Intểrnểt để kiểm trá kể't nô'i máng củá Pfsểnsể Chôn phím 7 rô3i điể3n gôôglể.côm để thực hiển ping
Ping thự rá Intểrnểt thá#nh công, Pfsểnsể đá% cô kể't nô'i máng
- Sáủ đô tá chủyển sáng máy Káli (đá% đựờc cá'ủ hí#nh tự# trựờc:
Nểtwôrk Adáptểr sử dụng NAT với địa chỉ IP 192.168.154.128, kết nối với IP LAN của Pfsense Để truy cập, người dùng cần đăng nhập vào tài khoản admin với mật khẩu đã định sẵn là pnminh2001 Sau khi đăng nhập, có thể cập nhật một số thông tin như DNS và cấu hình firewall theo yêu cầu.
Dáshbôárd Pfsểnsể khi vự#á cá#i đá t bán đá3ủ xông.
- Nhự váy qủá trí#nh cá#i đá t firểwáll mể3m pfSểnsể đá% hôá#n tá't.
Các công ty nước ngoài thực hiện tại Việt Nam đang triển khai hệ thống Pfsense cho nhiều khách hàng với mô hình ví dụ như dự án đáy, bao gồm một server cài đặt Pfsense làm OpenVPN server Zabbix được sử dụng để giám sát hệ thống và các server nội bộ trong mạng LAN của Pfsense.
Lợi ích của Pfsense
Hôá#n tôá#n miể+n phí, giá cá lá# ựủ thể' vựt trôi củá tựờ#ng lựá Pfsểnsể Tủy nhiển, rể không cô nghí%á lá# kểm chá't lựờng, tựờ#ng lựá Pfsểnsể hôát đông cực ky# ôn đinh vời hiểủ ná ng cáô, đá% tô'i ựủ hôá má% ngủô3n vá# cá hể điể3ủ há#nh Củ%ng chính ví# thể', Pfsểnsể không cá3n nể3n táng phá3n cựng mánh.
Nể'ủ dôánh nghiểp không cô đựờ#ng trủyể3n tô'c đô cáó, tựờ#ng lựá Pfsểnsể chí cá3n cá#i đá t lển môt máy tính cá nhán lá# cô thể báGt đá3ủ hôát đông Điể3ủ đô cá#ng gôp phá3n lá#m giám chi phí triển khái, đô3ng thờ#i táô nển sự linh hôát, tính mờ rông/sá_n sá#ng chự#ng cô, khi dôánh nghiểp mủô'n cô nhiể3ủ hờn môt tựờ#ng lựa.
Không chỉ là một tựa đề, Pfsểnsể hoạt động như một thiết bị mang tổng hợp với đầy đủ môi tính năng toàn diện sáng bắt cực lực Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đáng kể, doanh nghiệp có thể kết hợp các tính năng đáng giá trên Pfsểnsể để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.
Không kiểm soát phần quyền trong đô la khá nặng nề Tự tưởng lựa chọn phần mềm để quản trị một cách dễ dàng, trong sáng qua giao diện web.
Tự tưởng lựa chọn Pfsểnsể là sự kết hợp hoàn hảo giữa mánh mẽ và điểm mạnh, nhằm tạo ra sự hợp lý cho các nhà tài chính và tăng cường sự tin tưởng cho các nhà quản trị.
GIỚI THIỆU VỀ IDS SNORT
Giới thiệu về IDS Snort
Snort là một hệ thống phát hiện xâm nhập (IDS) được phát triển bởi Martin Roesch, có khả năng giám sát lưu lượng mạng IDS hoạt động như một công cụ để phát hiện và phân tích các gói tin trong hệ thống mạng Khi một cuộc tấn công được phát hiện, Snort có thể phản ứng bằng nhiều cách khác nhau, bao gồm việc gửi thông điệp cảnh báo đến nhà quản trị hoặc loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
Snôrt bán đá3ủ được xây dựng trên nền tảng Ủnix, mang lại sự phát triển vượt bậc so với các nền tảng khác Snôrt được đánh giá cao về khả năng phát triển ứng dụng Với kiến trúc mô-đun, người dùng có thể tự tăng cường tính năng cho hệ thống Snôrt của mình Snôrt có khả năng tương thích với nhiều hệ thống khác nhau.
Windôws, Linủx, OpểnBSD, FrểểBSD, Sôláris …
- Bển cánh viểc cô thể hôát đông nhự môt ựng dủng báGt gôi tin thông thựờ#ng, Snôrt cô#n đựờc cá'ủ hí#nh để cháy nhự môt NIDS.
Ví dủ vể3 1 mô hí#nh máng sự dủng Snôrt trông thực tể'
Kiến trúc của Snort
- Snôrt báô gô3m nhiể3ủ thá#nh phá3n, mô+i phá3n cô môt chực ná ng riểng biểt:
+ Môdủlể giái má% gôi tin + Môdủlể tiể3n xự ly + Môdủlể phát hiển + Môdủlể lôg vá# cánh báô + Môdủlể kể't xủá't thông
- Kiể'n trủc củá Snôrt đựờc thể hiển qủá mô hí#nh sáủ:
Khi Snôrt hoạt động, nó sẽ gửi các gói tin nội dung di chuyển qua nó Các gói tin sau khi bị bắt sẽ được đưa vào mô-đun giải mã Tiếp theo, nó sẽ vào mô-đun tiền xử lý và mô-đun phát hiện Tái đáy tủy và việc cô phát hiện được xám nháp hay không mà gói tin có thể bỏ qua để lựu thông tin tiếp hóa được vào mô-đun Lôg và cánh báo để xử lý Khi các cánh báo được xác định, mô-đun kết xuất thông tin sẽ thực hiện việc đưa ra cánh báo theo đúng định dạng mong muốn.
Mô-đun giải mã gói tin sử dụng thủ tục viễn thông để bảo mật gói tin trên mạng lưới thông qua hệ thống Bảo mật các gói dữ liệu các nhà cung cấp mạng (Internet, SLIP, PPP…).
- Môt gôi tin sáủ khi đựờc giái má% sể% đựờc đựá tiể'p vá#ô môdủlể tiể3n xự ly. b, Môdủlể tiể3n xự ly:
Mô-đun này rất quan trọng trong việc chuẩn bị dữ liệu cho mô-đun phát hiện phân tích với ba nhiệm vụ chính.
Khi một dự liệu được gửi đi, thông tin sẽ không được gộp toàn bộ vào một gói tin mà thực hiện phân mảnh thành nhiều gói tin nhỏ hơn để gửi đi Khi Snôrt nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin hoàn chỉnh Mô-đun xử lý giúp Snôrt có thể hiểu được các phiên làm việc khác nhau.
Giải mã và chuẩn hóa giá trị thực là công việc phát hiện các mẫu dữ liệu dựa trên hình dạng nhiều khi thất bại trong việc kiểm tra các giá trị có dữ liệu có thể được biểu diễn dưới nhiều dạng khác nhau Ví dụ, một web server có thể nhận nhiều dạng URL: URL viết dưới dạng hex/Unicode hay URL chấp nhận dữ liệu Nền tảng Snort thực hiện việc so sánh dữ liệu với các mẫu hình dạng để xác định tính chính xác trong hành vi dữ liệu Do vậy, một số mô-đun tiên tiến của Snort phải kiểm tra giá trị và chính sửa, sắp xếp lại các thông tin đã có.
Phát hiện các xám nháp bất thường (anomalies) là một nhiệm vụ quan trọng trong việc xử lý dữ liệu Các plugin này thường được sử dụng để phát hiện các xám nháp không thể được phát hiện bằng các luật thông thường Phiên bản mới của Snort cung cấp hai plugin giúp phát hiện xám nháp bất thường, bao gồm Pôrtscán và Bô Pôrtscán được sử dụng để phát hiện các hoạt động đáng ngờ khi thực hiện quy trình tìm kiếm lỗ hổng, trong khi Bô giúp phát hiện các hoạt động bất thường trong môi trường mạng.
Mô-đun quản trông nhạt của Snort chịu trách nhiệm phát hiện các dữ liệu hiển thị xám nháp Mô-đun này phát hiện sự vi phạm các luật được định nghĩa trước để so sánh với dữ liệu thủ tháp, tự động xác định xem có xám nháp xảy ra hay không.
Mô hình phát hiện và xử lý thông tin thường gặp phải nhiều thách thức khi lượng dữ liệu quá lớn, dẫn đến việc bão hòa thông tin Điều này có thể gây ra sự chậm trễ trong việc phản hồi Hiệu suất của mô hình phát hiện phụ thuộc vào nhiều yếu tố, bao gồm số lượng các luật, tốc độ xử lý và khả năng truyền tải thông tin.
- Môt môdủlể phát hiển cô khá ná ng tách các phá3n củá gôi tin rá vá# áp dủng lủát lển tự#ng phá3n củá gôi tin:
+ Hểádểr ờ tá3ng tránspôrt: TCP, ỦDP
+ Hểádểr ờ tá3ng ápplicátiôn: DNS, HTTP, FTP …
+ Phá3n tái củá gôi tin
Dô các lủát trông Snôrt được đánh số thứ tự ưu tiên, một gói tin khi bị phát hiện bởi nhiều lủát khác nhau, cần báo được đánh giá theo lủát có mức ưu tiên cao nhất Mô-đun logic và cách báo.
Tủy thủôc váo môdủlể phát hiển cô nhán dáng đựờc xám nháp háy không má gôi tin cô thể bi ghi lôg háy đựá rá cánh báô Các filể lôg lá các filể dự% liểủ cô thể ghi dựời nhiể3ủ đinh dáng khác nháủ nhự tcpdủmp ể, môdủlể kể't xủá't thông tin.
- Môdủlể ná#y thực hiển các tháô tác khác nháủ tủ#y thủôc vá#ô viểc cá'ủ hí#nh lựủ kể't qủá xủá't rá nhự thể' ná#ô.
+ Ghi cánh báô vá#ô cờ sờ dự% liểủ
+ Cá'ủ hí#nh lái Rôủtểr, firểwáll
+ Gựi các cánh báô đựờc gôi trông gôi tin sự dủng giáô thực SNMP
Tập luật của Snort
Snôrt chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu nhận diện được đầy đủ các dấu hiệu (signature) của các cuộc tấn công đó Dựa vào điểm này, các hacker "cáo thủ" có thể điều chỉnh các cuộc tấn công để thay đổi dấu hiệu của cuộc tấn công Tương tự như virus, hành động của hacker thường diễn ra âm thầm với các loại dấu hiệu Do đó, các cuộc tấn công này có thể "qua mặt" được sự giám sát của Snôrt.
Nhự váy có thể thấy rằng, để Snôrt hoạt động một cách hiệu quả, một trong những yếu tố quan trọng là các luật viết cho Snôrt Khi Snôrt hoạt động, nó sẽ đọc các tập luật, giám sát lượng dữ liệu cháy quá hệ thống và sẽ phản ứng nếu có bất kỳ lượng dữ liệu nào không phù hợp với tập luật của nó, đồng thời phát ra một thông điệp cảnh báo Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quyệt công.
Quá trình scanning và fingerprinting là những phương pháp mà hacker sử dụng để tìm hiểu cách chiếm quyền hệ thống Những kỹ thuật này có thể được thực hiện bởi người dùng có ý định xấu nhằm truy cập trái phép vào hệ thống của Snort để lấy thông tin.
- Táp lủát củá Snôrt báô gô3m:
+ Cờ sờ dự% liểủ các điá chí IP, tển miể3n đôc hái, các dá'ủ hiểủ má't ATTT dô ngựờ#i phát triển tự đinh nghí%á;
+ Cờ sờ dự% liểủ dá'ủ hiểủ đá c biểt vể3 nhự%ng củôc tá'n công (smủrf áttáck, bủffểr ôvểrfôllôw, pákểt sniffểrs,…)
- Cá'ủ trủc táp lủát củá Snôrt: Tá thá'y cá'ủ trủc cô dáng sáủ:
Phần Header chứa thông tin về hành động mà luật đô sẽ thực hiện khi phát hiện ra các lỗi trong gói tin và nội dung chứa tiêu chuẩn để áp dụng luật với gói tin đó.
Phần Option chứa thông tin cần thiết về các phần của gói tin dùng để tạo nên cảnh báo Phần này bao gồm các tiêu chuẩn phủ thểm để so sánh với gói tin.
Ví dủ: álểrt tcp 192.168.0.0/22 23 -> ány ány (côntểnt:”cônfidểntiál”; msg: “Dểtểctểd cônfidểntiál”)
3.1 Cấu trúc của phần Header:
Actiôn| Prôtôcôl| Addrểss| Pôrt| Dirểctiôn| Addrểss| Pôrt| | Alểrt| TCP| 192.168.0.0/22| 23| ->| Any| Any
Hành động là phần quan trọng trong quy trình thực thi, thường liên quan đến việc thực hiện các hành động một cách rõ ràng và hiệu quả Những hành động này thường được thực hiện để truyền đạt thông điệp hoặc kích hoạt một luật lệ khác.
+ Prôtôcôl: giáô thực củ thể
+ Addrểss: điá chí ngủô3n vá# điá chí đích
+ Pôrt: xác đinh các công ngủô3n, công đích củá môt gôi tin
+ Dirểctiôn: phá3n ná#y sể% chí rá điá chí ngủô3n vá# điá chí đích á, Actiôn:
- Cô 5 lủát đựờc đinh nghí%á:
+ Páss: chô phểp Snôrt bô qủá gôi tin ná#y
+ Lôg: dủ#ng để lôg gôi tin Cô thể lôg vá#ô filể háy vá#ô CSDL
+ Alểrt: gựi thông điểp cánh báô khi dá'ủ hiểủ xám nháp đựờc phát hiển
+ Activátể: táô rá cánh báô vá# kích hôát thểm các lủát khác để kiểm trá thểm điể3ủ kiển củá gôi tin
+ Dynámic: đáy lá# lủát đựờc gôi bời các lủát khác cô há#nh đông lá# Activátể b, Prôtôcôl:
- Chí rá lôái gôi tin má# lủát đựờc áp dủng:
Snort sử dụng địa chỉ IP để kiểm tra và xác định loại gói tin trong mạng Khi phát hiện gói tin không hợp lệ, Snort sẽ áp dụng các quy tắc để phân loại và xử lý chúng.
- Cô 2 phá3n lá# điá chí đích vá# điá chí ngủô3n Nô cô thể lá# 1 IP đờn hôá c
1 dái máng Nể'ủ lá# “ány” thí# áp dủng chô tá't cá điá chí trông máng Chủ y: nể'ủ lá# môt hôst thí# cô dáng: IP-áddrểss/32 VD: 192.168.0.1/32
- Snôrt củng cá'p phựờng pháp để lôái trự# điá chí IP báNng cách sự dủng dá'ủ “!” VD: álểrt icmp ![192.168.0.0/22] ány -> ány ány (msg: “Ping with TTL0”; ttl: 100;)
* Chú ý: dá'ủ “[]” chí cá3n dủ#ng khi đáNng trựờc cô “!” d, Pôrt:
- Pôrt chí áp dủng chô 2 giáô thực lá# TCP vá# ỦDP, xác đinh công ngủô3n vá# đích củá môt gôi tin má# lủát đựờc áp dủng
- Để sự dủng 1 dá%y các Pôrt thí# tá phán biểt bời dá'ủ “:” VD: álểrt ủdp ány 1024:8080 -> ány ány (msg: “ỦDP pôrt” ể, Dirểctiôn:
- Chí rá đáủ lá# ngủô3n, đáủ lá# đích Cô thể lá# -> háy