PHẦN 1: Công cụ Snort – Tìm hiểu , Cài đặt1.1 : Giới thiệu chung về Snort1.2 : Triển khai hệ thốngPHẦN 2: Cơ sở lý thuyết Scan port2.1 : Nguyên tắc và phương thức Scan Port2.2 : Công cụ NmapPHẦN 3 : xây dựng kịch bản – triển khai thử nghiệmKịch bản 1Kịch bản 2Kịch bản 3GiỚI THIỆU CHUNG VỀ SNORTSnort được phát triển năm 1998 bởi Sourcefire và CTO Martin RoeschPhần mềm miễn phí mã nguồn mởKhả năng phát hiện và phòng chống xâm nhập trái phép, phân tích thời gian thực lưu lượng mạng, và ghi log gói tin trên nền mạng IP.Công nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất hiện naySnort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó phát hiện nhiều kiểu thăm dò và tấn công
Trang 1AN NINH MẠNG
SCAN PORT
Trang 2NỘI DUNG TRÌNH BÀY
PHẦN 1: Công cụ Snort – Tìm hiểu , Cài đặt
1.1 : Giới thiệu chung về Snort1.2 : Triển khai hệ thống
PHẦN 2: Cơ sở lý thuyết Scan port
2.1 : Nguyên tắc và phương thức Scan Port2.2 : Công cụ Nmap
PHẦN 3 : xây dựng kịch bản – triển khai thử nghiệm
Kịch bản 1Kịch bản 2Kịch bản 3
Trang 3PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Snort được phát triển năm 1998 bởi Sourcefire và CTO Martin Roesch
Phần mềm miễn phí mã nguồn mở
Khả năng phát hiện và phòng chống xâm nhập trái phép, phân tích thời gian thực lưu lượng mạng, và ghi log gói tin trên nền mạng IP.
Công nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất hiện nay
Snort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó phát hiện nhiều kiểu thăm dò và tấn công
Trang 5PHẦN 1: CÔNG CỤ SNORT
Trang 6 GiỚI THIỆU CHUNG VỀ SNORT
Trang 9PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 3: Detection Engine:
Là thành phần quan trọng nhất trong hệ thống IDS
Chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói
Áp dụng các rules cho gói tin
Trang 10PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 4 Logging và Alerting System:
Thông báo cho quản trị mạng và ghi nhận lại các hành động xâm nhập hệ thống
Hiện tại có 3 dạng logging và 5 kiểu alerting
Trang 11 Output modules có thể làm những việc sau:
• Ghi vào file /log hay những file khác
• Gửi thông điệp đến syslog
• Ghi vào cơ sở dữ liệu như MySQL hay Oracle
• Sinh ra dẫn xuất eXtensible Markup Language (XML)
• Bổ sung cấu hình trên router và firewall.
Trang 12PHẦN 1 : GiỚI THIỆU SNORT
TRIỂN KHAI HỆ THỐNG SNORT
Môi trường : Linux – Centos
Các bước cài đặt:
• Cài đặt Mysql
• Cài đặt thư viện libpcap
• Cài đặt pcre
• Cài đặt và cấu hình gói Snort
• Cài đặt gói Snort rules
• Cài đặt các gói đồ họa.
• Cài đặt và cấu hình Base
• Viết tập lệnh cho snort
Trang 13CHƯƠNG 2: SCAN PORT
CÁC NGUYÊN TẮC VÀ PHƯƠNG THỨC SCAN PORT
Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có
nghĩa nó sẽ có từ 1 – 65535 cổng Các cổng cổng thường chia
thành 3 phạm Vi
Well Known Ports (0 – 1023): các cổng phổ biến, đã biết, nó
thường đi kèm với các chuẩn dịch vụ trên hệ thống Ví dụ:
telnet (23/tcp), www-http (80/tcp), ftp (21), ssh (22/tcp)…
Registered Ports (1024 – 49151): Các cổng được sử dụng
riêng cho từng chương trình, dịch vụ cụ thể Radius - RADIUS Authentication Protocol (1812), Microsoft Internet Name Server
Dynamic and/or Private Ports (49152 – 65535): Các cổng
động hoặc không công khai.
Trang 14CHƯƠNG 2: SCAN PORT
Dựa vào các nguyên tắc truyền thông tin của TCP
SYN Scan
FIN Scan
NULL Scan Sure
XMAS Scan Sorry
TCP Connect
ACK Scan
Trang 15CHƯƠNG 2: SCAN PORT
UDP Scan
Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ luôn được truyền tới đích Gói tin truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữ liệu nhanh với các gói tin nhỏ
UDP không chứa các thông số Flag, cho nên không thể sử dụng các phương thức Scan port của TCP sử dụng cho UDP được
Trang 16CHƯƠNG 2: SCAN PORT
2.2 CÔNG CỤ NMAP
Nmap là một tool scan port rất mạnh và đã nổi danh
từ lâu được giới hacker tin dùng
hỗ trợ toàn bộ các phương thức scan port, ngoài ra
nó còn hỗ trợ các phương thức scan hostname,
service chạy trên hệ thống đó…
Trang 17CHƯƠNG 2: SCAN PORT
Các dạng Scan nmap hỗ trợ.
Nmap –sT: trong đó chữ s – là Scan, còn chữ T là dạng
TCP scan
Nmap –sU: đó là sử dụng UDP Scan
Nmap –sP: sử dụng Ping để scan
Nmap –sF: sử dụng FIN Scan
Nmap –sX: sử dụng phương thức XMAS Scan
Nmap –sN: sử dụng phương thức NULL Scan
Nmap –sV: sử dụng để Scan tên các ứng dụng và version của nó
Nmap –SR /I RPC sử dụng để scan RPC
Trang 18CHƯƠNG 2: SCAN PORT
Các option cao cấp kết hợp với các dạng Scan trong Nmap
O: sử dụng để biết hệ điều hành chạy trên máy chủ ví như ta dùng Nmap sử dụng phương thức scan là
XMAS Scan và đoán biết hệ điều hành
P: giải port sử dụng để scan
F: Chỉ những port trong danh sách scan của Nmap
V: Sử dụng Scan hai lần nhằm tăng độ tin cậy và hiệu quả của phương thức scan nào ta sử dụng
6: Scan IPv6
Trang 19CHƯƠNG 2: SCAN PORT
Scan port là một trong những bước đầu tiên để tấn công vào một hệ thống, để hiểu được các phương thức scan chúng ta có thể dùng nmap để thực hiện Sau đó cách chúng ta cấm Scan đó là sử dụng các thiết bị chuyên dụng như IPS, IDS để detect và ngăn chặn tấn công
Ngoài ra nmap còn cho chúng ta những options để output kết quả ra nhiều định dạng file khác nhau.
Trang 20CHƯƠNG 3: THỬ NGHIỆM
3.1 XÂY DỰNG KỊCH BẢN
Kịch bản 1 : Sử dụng ping các gói tin
Ping từ một máy trong mạng Lan đến máy cài snort
Từ máy 192.168.192.1: ping 192.168.192.128
Từ máy 192.168.192.1 ping các gói tin có kích thước lớn hơn 50byte
Trang 21CHƯƠNG 3: THỬ NGHIỆM
Trang 22 Kết quả Snort bắt được các gói tin, sau khi áp dụng các rules vào gói tin thì đưa kết quả ra base
Trang 23CHƯƠNG 3: THỬ NGHIỆM
Kịch bản 2 : Sử dụng tool Dos tấn công vào hệ thống Snort để kiểm tra
Tool sử dụng: LOIC
Trang 24CHƯƠNG 3: THỬ NGHIỆM
Kết quả Snort bắt được gói tin và đưa ra phản hồi
Trang 25CHƯƠNG 3: THỬ NGHIỆM
Kịch bản 3: Sử dụng Nmap để quét cổng
Trang 26CHƯƠNG 3: THỬ NGHIỆM
Snort bắt được và đưa ra cảnh báo:
Trang 27CHƯƠNG 3: THỬ NGHIỆM
3.3 KẾT LUẬN
Hệ thống Snort tương đối hoạt động tốt
Đã xử lý ( đưa ra cảnh báo ) với các kịch bản đề ra Tuy nhiên hạn chế là các tập rules tự viết còn hạn chế về số lượng , và chất lượng kiểm soát các gói tin
Hệ thống chạy trên máy ảo nên các chức năng của snort chưa được khai thác hết
Nghiên cứu , xây dựng bổ sung hỗ trợ bảo mật mạng