ids - snort
Post on 23-Oct-2015
90 Views
Preview:
DESCRIPTION
TRANSCRIPT
TÌM HIỂU VÀ XÂY DỰNG IDSBẰNG SNORT TRÊN UBUNTU
Giáo viên hướng dẫn:Sinh viên thực hiện:
1
Nội dung
2. Nghiên cứu ứng dụng SNORT2. Nghiên cứu ứng dụng SNORT
1. Tổng quan về IDS1. Tổng quan về IDS
2
3. Cài đặt và thực hành3. Cài đặt và thực hành
Tổng quan về IDS
3
1. Định nghĩaLà hệ thống phát hiện:
việc sử dụng không hợp pháp tài nguyên hệ thống những hoạt động lạm dụng, tấn công vào hệ thống máy
tính hoặc mạng máy tính
Hệ thống IDS thu thập thông tin từ nhiều nguồn trong hệ
thống rồi tiến hành phân tích.
Tổng quan về IDS
4
2. Các thành phần
Tổng quan về IDS
5
3. Chức năngGiám sát:
các lưu lượng mạng các hành động bất thường các hoạt động khả nghi
Cảnh báo: tình trạng mạng khi biết các hoạt động bất thường
Bảo vệ : dùng những thiết lập mặc định cấu hình từ nhà quản trị
Tổng quan về IDS
6
4. Phân loạiNetwork Based IDS (NIDS)
đặt giữa kết nối mạng trong và bên ngoài để giám sát dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài
đặt trên toàn mạng, kiểm soát các cuộc lưu thông nghi
ngờ trên toàn mạng.
Tổng quan về IDS
7
4. Phân loạiHost Based IDS (HIDS)
cài đặt trên máy tính nhất định, thay vì giám sát hoạt động
trên network segment, HIDS chỉ giám sát một máy kiểm soát lưu lượng vào ra trên một hoặc nhiều máy tính
Tổng quan về IDS
8
5. Phát hiện xâm nhậpDấu hiệu xâm nhập:
So sánh các dấu hiệu của đối tượng quan sát với các dấu
hiệu của các mối nguy hại đã biết.
Dấu hiệu bất thường: So sánh định nghĩa của những hoạt động bình thường với
đối tượng quan sát nhằm xác định các độ lệch.
Trạng thái giao thức: So sánh các profile định trước tại hoạt động của mỗi giao
thức được coi là bình thường với đối tượng quan sát.
Tổng quan về IDS
9
6. Sản phẩm IDSCisco IDS-4235: khả năng theo dõi toàn bộ lưu thông mạng và
đối sánh từng gói tin để phát hiện các xâm nhập
ISS Proventia A201: là cả hệ thống các thiết bị phần cứng và
phần mềm được triển khai phân tán trong mạng
Intrusion Protection Appliance: là một phiên bản Linux với các
driver thiết bị mạng được xây dựng tối ưu
Proventia Network Agent: vai trò như bộ cảm biến Sensor
SiteProtector: là trung tâm điều khiển hệ thống proventia
NFR NID-310: nhiều bộ cảm biến thích ứng đa dạng
SNORT 1.6: phần mềm IDS mã nguồn mở phát triển bởi Martin Roesh đầu tiên được xây dựng trên Unix sau đó phát triển sang
các nền tảng khác được đánh giá là IDS mã nguồn mở đáng chú ý nhất
Nội dung
10
3. Cài đặt và thực hành3. Cài đặt và thực hành
2. Nghiên cứu ứng dụng SNORT2. Nghiên cứu ứng dụng SNORT
1. Tổng quan về IDS1. Tổng quan về IDS
NGHIÊN CỨU ỨNG DỤNG SNORT
11
1. Giới thiệu về SnortSnort là một NIDS được Martin Roesh phát triển dưới mô hình mã
nguồn mởNhiều tính năng tuyệt vời phát triển theo kiểu moduleCơ sở dữ liệu luật lên đến 2930 luậtSnort hỗ trợ hoạt động trên các giao thức: Ethernet, Token Ring,
FDDI, Cisco HDLC, SLIP, PPP, và PE của Open BDS
NGHIÊN CỨU ỨNG DỤNG SNORT
12
2. Kiến trúc SnortModun giải mã gói tin (Packet Decoder)Modun tiền xử lý (Preprocessors)Modun phát hiện (Detection Eng)Modun log và cảnh báo (Logging and Alerting System)Modun kết xuất thông tin (Output module)
NGHIÊN CỨU ỨNG DỤNG SNORT
13
3. Bộ luật của SnortGiới thiệuThông thường các tấn công hay xâm nhập đều để lại dấu hiệu riêng. Các
thông tin này được sử dụng để tạo nên các luật của Snort.
Cấu trúcTiêu đề: chứa thông tin về hành động mà luật đó sẽ thực hiệnCác tùy chọn: nằm ngay sau phần Rule Header được bao bọc trong dấu
ngoặc đơn. Nếu có nhiều option thì phân cách nhau bằng dấu “,” và các tùy
chọn này phải đồng thời thỏa mãn
Action Protocol Address Port Direction Address Port
DEMO
Apr 17, 2023 14
Vấn đề hoàn thiện
Rules Bảo mật cho acidbase Xây dựng thông báo qua email
Apr 17, 2023 15
Tài liệu tham khảo
https://www.snort.org/docsSnort FAQSnort Users ManualSnort 2.9.3.0 on Ubuntu 12.04 LTShttp://tailieu.vn/
Apr 17, 2023 16
The End.
Apr 17, 2023 17
top related