Tìm hiểu và cài đặt hệ thống phát hiện xâm nhập ids snort trên centos

Một phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn

LỜI CẢM ƠN

Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, chúng em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè

Với lòng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô ở khoa Công nghệ thông tin - Trường Đại Học Vinh đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường Đặc biệt là các Thầy Cô trong tổ Phương pháp giảng dạy tạo mọi điều kiện tốt nhất để chúng em có thể hoàn thành tốt Đồ án tốt nghiệp

Chúng em xin chân thành cảm ơn Th.S Phạm Thị Thu Hiền đã tận tâm hướng dẫn, chỉ bảo chúng em Nếu không có những lời hướng dẫn, dạy bảo của cô thì chúng

em nghĩ cuốn Đồ án tốt nghiệp này rất khó có thể hoàn thiện được Một lần nữa, chúng

em xin chân thành cảm ơn cô

Cuốn Đồ án tốt nghiệp này được thực hiện trong vòng 14 tuần, một thời gian cũng tương đối, tuy nhiên do nhiều yếu tố khách quan lẫn chủ quan nên không tránh khỏi những thiếu sót là điều chắc chắn, chúng em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và các bạn học để kiến thức của chúng em trong lĩnh vực này được hoàn thiện hơn

Cuối cùng chúng em xin kính chúc các Thầy Cô trong Khoa Công nghệ thông tin và Th.S Phạm Thị Thu Hiền thật dồi dào sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao đẹp của mình đó là truyền đạt kiến thức cho thế hệ mai sau

Trân trọng!

Nghệ An, ngày 10 tháng 12 năm 2014

Sinh viên

Nguyễn Xuân Trường

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 3

1.1 Khái niệm 3

1.1.1 Phát hiện xâm nhập dựa trên dấu hiệu 3

1.1.2 Phát hiện sự bất thường 3

1.2 Cấu trúc hệ thống 3

1.2.1 Sensor / Agent 3

1.2.2 Management Server 3

1.2.3 Databaseserver 3

1.2.4 Console 3

1.3 Phân loại IDS 3

1.3.1 Network-based IDS (NIDS) 4

1.3.2 Host Base IDS (HIDS) 5

CHƯƠNG 2 HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 6

2.1 Tổng quan về Snort 6

2.1.1 Khái niệm 6

2.1.2 Các đặc tính 6

2.2 Các thành phần của Snort 7

2.2.1 Bộ phận giải mã gói 8

2.2.2 Bộ phận xử lí trước 8

2.2.4 Hệ thống ghi và cảnh báo 10

2.2.5 Bộ phận đầu ra 10

2.3 Các chế độ làm việc của Snort 11

2.3.1 Chế độ “lắng nghe” mạng 11

2.3.2 Chế độ Packet logger 12

2.3.3 Chế độ phát hiện xâm nhập mạng (NIDS) 13

2.3.4 Inline Mode 13

2.4 Làm việc với tập luật của Snort 14

2.4.1 Rule header 14

2.4.2 Rule option 16

CHƯƠNG 3 CÀI ĐẶT VÀ MÔ PHỎNG 23

3.1 Mô hình triển khai 23

3.2 Cài đặt Snort trên sever CentOS 6.5 23

3.2.1 Bước 1: Điều kiện tiên quyết: 23

3.2.2 Bước 2: Cài đặt Snort 24

3.2.3 Thiết Lập Snort khởi động cùng hệ thống: 25

3.2.4 Tạo CSDL snort với MySQL 25

3.2.5 Cài đặt BASE và ADODB 26

3.3 Mô phỏng tình huống 27

3.3.1 Tình huống 1 27

3.3.2 Tình huống 2 29

3.3.3 Tình huống 3 30

KẾT LUẬN 32

TÀI LIỆU THAM KHẢO 33

DANH MỤC CÁC HÌNH

Hình 1.1: Mô hình NIDS 4

Hình 1.2: Mô hình HIDS 5

Hình 2.1 Sơ đồ khối của hệ thống Snort 6

Hình 2.2: Thành phần xử lý gói tin của snort 8

Hình 2.3: Preprocessor của snort 8

Hình 2.4: Dectection Engine của snort 9

Hình 2.5: Logging và Alerting System của snort 10

Hình 2.6: Tính năng sniffer 11

Hình 3.1 Mô hình triển khai hệ thống Snort 23

Hình 3.2 Cảnh báo thu đƣợc tình huống 1 28

Hình 3.3 Chi tiết cảnh báo 28

Hình 3.4 Cảnh báo thu đƣợc tình huống 2 29

Hình 3.5 Chi tiết cảnh báo 29

Hình 3.6 Quét N-map thăm dò bảo mật 30

Hình 3.7 Cảnh báo thu đƣợc ở tình huống 3 30

Hình 3.8 Chi tiết cảnh báo 31

MỞ ĐẦU

Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu Internet An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với Internet Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,… gây nên những hậu quả vô cùng nghiêm trọng

Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của các công ty lớn như Microsoft, IBM, các trường đại học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng,… một số vụ tấn công với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công) Hơn nữa những con số này chỉ là phần nổi của tảng băng trôi Một phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ

Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác Vì vậy việc kết nối vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát

Một trong những giải pháp có thể đáp ứng tốt nhất cho vấn đề này là triển khai

hệ thống dò tìm xâm nhập trái phép Instruction Detect System (IDS) Có hai yêu cầu chính khi triển khai một hệ thống IDS đó là chi phí cùng với khả năng đáp ứng linh hoạt trước sự phát triển nhanh chóng của Công nghệ thông tin và Snort là phương án

có thể giải quyết tốt cả hai yêu cầu này

Nội dung chính của đề tài gồm 3 chương như sau:

Chương 1: Tổng quan về hệ thống phát hiện xâm nhập IDS và hệ thống Snort

Chương này mô tả khái niệm, vai trò, mô hình kiến trúc và những ưu nhược điểm của các hệ thống phát hiện xâm nhập IDS

Chương 2: Cấu trúc snort, chức năng snort, luật snort

Nghiên cứu về hệ thống Snort bao gồm: cấu trúc, các thành phần, chế độ làm

việc, tập luật của Snort

Chương 3: Triển khai snort trên một hệ thống mạng

Phân tích và đánh giá hoạt động của Snort thông qua mô phỏng một vài kiểu tấn công mạng

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

1.1 Khái niệm

Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp được sử dụng để phát hiện những hành vi đáng ngờ ở cấp độ mạng và máy chủ Hệ thống phát hiện xâm nhập có 2 loại cơ bản: Phát hiện xâm nhập dựa trên dấu hiệu và Phát hiện sự bất thường

1.1.1 Phát hiện xâm nhập dựa trên dấu hiệu

Phương pháp này nhận dạng cuộc tấn công bằng cách so sánh dấu hiệu nhận được với một tập hợp các dấu hiệu đã biết trước được xác định là sự tấn công

1.1.2 Phát hiện sự bất thường

Đây là phương pháp thiết lập và ghi nhận trạng thái hoạt động ổn định của hệ thống rồi so sánh với trạng thái đang hoạt động hiện hành để kiểm tra sự chênh lệch Nếu nhận thấy một sự chênh lệch lớn thì có khả năng đã xảy ra một cuộc tấn công

1.2.2 Management Server

Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng Một số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện được

1.3 Phân loại IDS

IDS được chia thành: Host-based IDS (HIDS) và Network-based IDS (NIDS)

1.3.1 Network-based IDS (NIDS)

Hình 1.1: Mô hình NIDS

NIDS là hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của các gói tin lưu thông trên các phương tiện truyền dẫn như (cables, wireless) bằng cách sử dụng các card giao tiếp Khi một gói dữ liệu phù hợp với qui tắc của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file log được lưu vào cơ sở dữ liệu

1.3.1.1 Ưu điểm của NIDS:

 Quản lý được một phân đoạn mạng (networksegment)

 Trong suốt với người sử dụng và kẻ tấn công

 Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng

 Tránh được việc bị tấn công dịch vụ đến một host cụ thể

 Có khả năng xác định được lỗi ở tầng network

 Phải luôn cập nhật các dấu hiệu tấn công mới nhất để thực sự an toàn

 Không thể cho biết việc mạng bị tấn công có thành công hay không, để người quản trị tiến hành bảo trì hệ thống

1.3.2 Host Base IDS (HIDS)

Hình 1.2: Mô hình HIDS

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một Network segment, HIDS chỉ giám sát các hoạt động trên một máy tính

1.3.2.1 Ưu điểm của HIDS

 Có khả năng xác định các user trong hệ thống liên quan đến sự kiện

 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy

 Có khả năng phân tích các dữ liệu được mã hóa

 Cung cấp các thông tin về hót trong lúc cuộc tấn công diễn ra

 HIDS phải được thiết lập trên từng host cần giám sát

 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

 HIDS cần tài nguyên trên host để hoạt động

 HIDS có thể không hiệu quả khi bị DOS

 Đa số là chạy trên hệ điều hành Window Tuy nhiên cũng có số ít chạy được trên Linux và Unix

 Có khả năng phát hiện một số lượng lớn các kiểu thăn dò, xâm nhập khác

nhau như: buffer oveflow, CGI-Atack, Scan, ICMP, Virus…

 Phát hiện nhanh các xâm nhập theo thời gian thực

 Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm nhập

 Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng

 Là phần mềm Open source và không tốn kém chi phí đầu tư Snort được xây dựng với mục đích thỏa mãn các tính năng cơ bản sau: Có hiệu năng cao hơn, đơn giản và có tính uyển chuyển cao

Hình 2.1 Sơ đồ khối của hệ thống Snort

Sơ đồ khối của một hệ thống phát hiện xâm nhập bao gồm Snort, MySQL, Apache, ACID, BASE, PHP, thư viện GD và PHPLOT Theo hình trên, dữ liệu được thu thập và phân tích bởi Snort Sau đó, Snort lưu trữ dữ liệu trong cơ sở dữ liệu MySQL bằng cách dùng output plug-in Web server Apache với ACID, PHP, thư viện

GD và PHPLOT sẽ biểu diễn dữ liệu này trên trình duyệt khi một người dùng kết nối đến server Người dùng có tạo nhiều kiểu truy vấn khác nhau để phân tích dữ liệu

Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại

để phát hiện sự bất thường trong các header của giao thức

Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị Các luật được nhóm thành các kiểu Các luật thuộc về mỗi loại được lưu trong các file khác nhau File cấu hình chính của Snort là Snort.conf Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật

để bắt giữ dữ liệu Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì ta càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập và ta cũng có thể thêm vào các luật của chính ta Ta cũng có thể xóa một vài luật đã được tạo trước để tránh việc báo động sai

2.2 Các thành phần của Snort

Snort được chia thành nhiều thành phần Những thành phần này làm việc với nhau để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:

Bộ phận giải mã gói (Packet Decoder)

Bộ phận tiền xử lí (Preprocessor)

Bộ phận phát hiện (Dectection Engine)

Hệ thống ghi và cảnh báo (Logging và Alerting System)

Bộ phận đầu ra (Output Modules)

Hình 2.2: Thành phần xử lý gói tin của snort

Bộ phận xử lí trước là những thành phần được sử dụng với Snort để sắp xếp hoặc chỉnh sửa gói dữ liệu trước khi bộ phận phát hiện làm một vài xử lý để tìm ra gói tin có được sử dụng bởi kẻ xâm nhập hay không Một vài bộ phận xử lý trước cũng thực thi việc phát hiện bằng cách tìm các dấu hiệu bất thường trong header của gói tin

và tạo ra các cảnh báo Bộ phận xử lí trước là rất quan trọng trong bất kì IDS nào, chúng chuẩn bị cho các gói dữ liệu được phân tích dựa trên các luật trong bộ phận phát hiện Kẻ tấn công sử dụng nhiều kĩ thuật khác nhau để lừa IDS theo nhiều cách Bộ phận xử lí trước cũng được sử dụng để tái hợp các gói tin Trên IDS, trước khi áp dụng bất kì luật nào, bạn phải tái hợp các gói tin lại để tìm ra các dấu hiệu Bộ phận xử lí trước trong Snort có thể tái hợp các gói tin, giải mã HTTP URI, ráp lại các dòng TCP,v.v Những chức năng này rất quan trọng trong hệ thống phát hiện xâm nhập

2.2.3 Bộ phận phát hiện

Hình 2.4: Dectection Engine của snort

Đây là phần quan trọng nhất của Snort Trách nhiệm của nó là phát hiện có sự xâm nhập tồn tại trong gói tin hay không Bộ phận phát hiện sử dụng các luật của Snort cho mục đích này Nếu một gói tin không giống với bất kì gói tin bình thường nào thì một hành động tương ứng sẽ được thực hiện Những gói tin có dấu hiện bất thường bị phát hiện, hành động phát hiện được mô tả băng những biểu thức bao gồm các toán tử và các toán hang hay so sánh dùng để nhận dạng ra xâm nhập

2.2.4 Hệ thống ghi và cảnh báo

Hình 2.5: Logging và Alerting System của snort

Phụ thuộc những đặc tính mà bộ phận phát hiện tìm thấy trong gói tin, gói tin

có thể được sử dụng để ghi lại các hành vi hoặc tạo ra một cảnh báo Các thông tin ghi lại được giữ trong các file text đơn giản hoặc các dạng khác

Bộ phận này rất quan trọng nó không chỉ đảm nhận nhiệm vụ Mà còn có thể cho chúng ta xem được các hành vi khi sự kiện được ghi lại, từ đó có thể để ý

và thấy sự bất thường ở những lần kế tiếp Bộ phận này giúp ích cho những người làm quản trị

2.2.5 Bộ phận đầu ra

Module đầu ra hoặc plug-in có thể hoạt động theo nhiều cách phụ thuộc vào việc bạn muốn lưu các output được tạo ra bằng hệ thống ghi và tạo cảnh báo như thế nào

Tuỳ thuộc vào cấu hình, Output Modules có thể làm việc giống như:

Ghi nhật ký vào file /var/log/Snort/alerts

Gửi ra SNMP traps

Ghi vào cơ sở dữ liệu giống như MySQL or Oracle

2.3 Các chế độ làm việc của Snort

2.3.1 Chế độ “lắng nghe” mạng

Hình 2.6: Tính năng sniffer

Các công cụ sniffer mạng như tcpdump, ethereal, và Tethereal có đầy đủ các đặc tính và phân tích gói tin một cách xuất sắc, tuy nhiên, có lúc ta cần xem lưu lượng mạng trên bộ cảm biến Snort Trong trường hợp này, sử dụng Snort như là một sniffer

là khả thi Kết quả xuất của chế độ Snort sniffer hơi khác so với các sniffer dòng lệnh

Nó rất dễ để đọc và ta có thể thấy thích khả năng bắt giữ gói tin nhanh của nó Một đặc tính hay của chế độ này là việc tóm tắt lưu lượng mạng khi kết thúc việc bắt giữ gói tin Thỉnh thoảng, nó có thể là một công cụ gỡ rối hữu dụng cho nhà quản trị

Bật chế độ sniffer cho Snort bằng cờ -v:

# Snort –v

Trong lúc khởi động, Snort hiển thị chế độ, thư mục ghi log, và các giao diện

mà nó đang lắng nghe Khi việc khởi động hoàn tất, Snort bắt đầu xuất các gói tin ra màn hình Kết quả xuất này khá cơ bản: nó chỉ hiển thị các header IP,TCP/UDP/ICMP

và một số cái khác Để thoát chế độ sniffer, sử dụng Ctrl-C Snort thoát bằng cách tạo

ra một bản tóm tắt các gói tin được bắt giữ, bao gồm các giao thức, thống kê phân mảnh và tái hợp gói tin Để xem dữ liệu ứng dụng, sử dụng cờ -d Tùy chọn này cung

# Snort –vd

Dữ liệu ứng dụng có thể thấy được và ta có thể nhìn thấy các plain text trong gói tin Trong trường hợp này, văn bản gửi từ một server DNS được thể hiện dưới dạng plain text Để xem được chi tiết hơn, bao gồm các header lớp liên kết dữ liệu, sử dụng cờ -e Việc sử dụng cả hai tùy chọn –d và –e sẽ cho hiển thị hầu như tất cả các dữ liệu trong gói tin:

# Snort –vde

Các chuỗi thập lục phân hiển thị nhiều dữ liệu hơn Có địa chỉ MAC và địa chỉ

IP Khi thực hiện kiểm tra trên một mạng hoặc bắt giữ dữ liệu bằng Snort, việc bật –vde cung cấp nhiều thông tin nhất

Để lưu lại trong logfile thay vì xuất ra console, sử dụng Snort -dve > temp.log Tóm lại, đây là các tùy chọn có thể sử dụng với chế độ sniffer của Snort

2.3.2 Chế độ Packet logger

Bước tiếp theo sau khi sniffing các gói tin là ghi log chúng Việc ghi log chỉ đơn

giản bằng cách thêm tùy chọn –l, theo sau đó là thư mục mà ta muốn lưu trữ các log Thư mục mặc định trong Snort là /var/log/Snort Nếu ta xác định một thư mục không tồn tại thì Snort sẽ báo một thông điệp lỗi Ta có thể sử dụng các tùy chọn –d, -a và –e

để điều khiển số lượng thông tin sẽ được ghi log cho mỗi gói tin Trong ví dụ sau đây, thư mục log được thiết lập là /usr/local/log/Snort, và các logfile bao gồm các payload gói tin

Ví dụ: # Snort -l /usr/local/log/Snort –d

Khi chạy trong chế độ này, Snort thu thập mỗi gói tin nó thấy và lưu chúng trong thư mục log theo kiểu phân cấp Nói cách khác, một thư mục mới được tạo ra cho mỗi địa chỉ được bắt giữ và dữ liệu liên quan đến địa chỉ này được lưu trong thư mục đó Snort lưu các gói tin thành các file ASCII, với tên file được tạo ra từ giao thức

và số cổng Cách tổ chức này làm cho nhà quản trị có thể dễ dàng thấy được ai đang kết nối với mạng, số cổng và giao thức họ đang sử dụng (sử dụng ls –R để liệt kê thư mục log) Hãy nhớ xác định biến mạng (trong file cấu hình hoặc sử dụng -h) để xác định chỉ ghi log cho mạng

Cách tổ chức phân cấp này hữu dụng khi một số giới hạn các host được quan tâm hoặc ta muốn xem thoáng qua các địa chỉ IP của các host được bắt giữ Tuy nhiên, thư mục log có thể ngày càng nhiều vì sự gia tăng thư mục và các file Nếu ta ghi log tất cả lưu lượng trên một mạng lớn thì có thể sẽ bị tràn inodes (Unix giới hạn tổng số file trong một file hệ thống) trước khi bị tràn bộ nhớ Nếu một người nào đó thực hiện

việc quét mạng của ta và ánh xạ tất cả 65536 cổng TCP cũng nhƣ 65536 cổng UDP, ta

sẽ đột ngột có hơn 131000 file trong một thƣ mục đơn Sự bùng nổ file này có thể là một thử thách lớn cho bất kì một máy nào, và rất dễ trở thành cách tấn công DoS Việc ghi log theo kiểu nhị phân có thể đọc đƣợc bởi Snort, tcpdump hoặc ethereal Cách này làm tăng tốc độ và khả năng vận chuyển của việc bắt giữ gói tin Hầu hết các hệ thống

có thể bắt giữ và ghi log với tốc độ 100 Mbps mà không có vấn đề gì Để ghi log các gói tin theo kiểu nhị phân, sử dụng lựa chọn –b

2.3.3 Chế độ phát hiện xâm nhập mạng (NIDS)

Snort là một công cụ phát hiện xâm nhập tuyệt vời Khi đƣợc sử dụng nhƣ là một NIDS, Snort cung cấp khả năng phát hiện xâm nhập gần nhƣ là thời gian thực Chúng ta sẽ xem rất nhiều cách mà Snort có thể đƣợc sử dụng nhƣ là một NIDS và tất

cả các tùy chọn cấu hình có thể Trong chế độ cảnh báo, Snort cần một file cấu hình (thật ra, chỉ cần xác định vị trí của file Snort.conf là đặt Snort trong chế độ này)

Vị trí mặc định của file này là /etc/Snort.conf Nếu ta muốn đặt ở một vị trí khác, ta phải sử dụng khóa –c kèm với vị trí đặt file Các cảnh báo đƣợc đặt trong file alert trong thƣ mục log (mặc định là /var/log/Snort) Snort sẽ thoát ra với với một lỗi nếu file cấu hình hoặc thƣ mục log không tồn tại

Các cài đặt mặc định cho hầu nhƣ tất cả các mục trong file này là khá tốt (mặc dù sẽ có các cảnh báo nhầm) Biến duy nhất chúng ta mới thiết lập là biến RULE_PATH, chỉ cho Snort nơi của các file luật File cảnh báo nằm trong thƣ mục /var/log/Snort File này chứa các cảnh báo đƣợc tạo ra khi Snort đang chạy Các cảnh báo Snort đƣợc phân loại theo kiểu cảnh báo Một luật Snort cũng xác định một mức độ ƣu tiên cho một cảnh báo Điều này cho phép ta lọc các cảnh báo có độ

ƣu tiên thấp

2.3.4 Inline Mode

Inline Mode là một nhánh cơ chế hoạt động của Snort Snort Inline kết hợp khả