Hệ thống phát hiện xâm nhập

ường truyền và hiệu quả các cuộc tấn công ngày càng tăng, nên việc tạo ra các cảnh báo chính xác 
ngày càng trở nên khó khăn. Lượng dữ liệu cảnh báo được tạo nên bởi IDS cps thể nhanh chóng 
overwhelm thao tác của con người. Thật không may, việc lọc dữ liệu cho con người thường sử dụng hạn 
chế những hiệu quả của nó. 
Một giải pháp cho vấn đề này liên quan đến kỹ thuật phát triển visualization đồng thời được coi là hiển thị 
geometric dữ liệu. Con người hiểu được geometric shapes intuitively, bởi loại hiển thị này thường là cách 
dễ nhất để hiển thị một liượng dữ liệu (massive). Khi một theo tác cảm thấy 1 dấu hiệu bất thường trong 
màn hình đồ họa, nó có thể drill down muộn hơn để giải quyết vấn đề. Ví dụ, cho những ứng dụng bên 
trong, Airscanner Corporation mã hóa điều khiển linh hoạt ActiveX mà mimics a real-time human 
electrocardiogram (EKG). Tốc độ và giai điệu (màu sắc hoặc âm thanh) của dao động "heartbeat" trên màn 
hình để đáp trả lại sự thay đổi trên mạng. Giám sát giống như những người y tá trong bệnh viện đối với 
cardiac telemetry floor, Người quản trị mạng Airscanner có thể dễ dàng giám sát LAN bằng cách để ý đến 
màn hình. 
19.5 Nghiên cứu Snort IDS 
Phần này sẽ trình bày 1 ví dụ phát triển Snort IDS ( Snort thường được gọi là 
"lightweight IDS," nhưng nó có tên gọi đó tại thời điểm đó chứ không liên quan gì đến lightweight.. Snort chỉ 
nên được gọi là lightweight nếu nó đề cập đến công cụ phát hiện hiệu quả và dung lượng nhớ các dấu hiệu 
nhỏ. Nó là 1 bộ dịch IDS đầy đủ mà có thể phát triển theo hướng tốc độ xử lý cao và cấu hình phân bổ mà 
có thể đạt được đến tốc độ hàng giga bit. 
Thiết bị phát hiện xâm nhập được đề cập đến trong phần này xây dựng trên hệ điều hành Linux, cơ sở dữ 
liệu MySQL và một môi trường phân tích ACID. Tất cả mọi phiên bản Linux như Red Hat hoặc Debian đều 
có thể sử dụng. Bạn nên xây dựng 1 hệ thống Linux nhỏ nhất từ scratch (giống như những nhà bán phần 
mềm IDS thương mại bán IDS dựa trên Unix). Đối với việc phát triển những mạng nhỏ, bạn nên từ bỏ 
những biến Linux quá canned. Hệ thống phải được nhỏ gọn nhất và nhiều tính năng (tất cả những phần 
mềm không cần thiết đều nên gỡ bỏ). 
Bạn nên có ít nhất 2 card mạng trên máy tính phát triển Snort. Bởi vì giao diện sniffing (để phát hiện những 
cuộc tấn công) và giao diện quản lý (sử dụng để quản lý dữ liệu các sự kiện nhạy cảm, cập nhật các quy 
định và những thay đổi cấu hình) phải được đặt riêng rẽ. Lý do chính đó là giao diện sniffing không có địa 
chỉ IP. Trong môi trường Linux, rất là dễ để kích hoạt một giao diện mạng mà không cần địa chỉ IP mà chỉ 
cần sử dụng lệnh như ifconfig eth1 up. Mặc dù không cung cấp 1 biện pháp an toàn tổng thể (bằng định 
nghĩa), nhưng biện pháp này tốt hơn là sử dụng một giao diện thông thường để phát hiện xâm nhập. 
Snort và cơ sở dữ liệu có thể được cài đặt trên 1 máy, tuy nhiên trong trường hợp tốc độ truyền thông cao, 
bạn nên cài đặt cơ sở dữ liệu, Snort, và webserver trên những máy tính khác nhau. Tốt nhất là Snort trên 1 
máy, còn cơ sở dữ liệu và webserver trên máy còn lại 
Trong trường hợp cài đặt trên nhiều máy, các thành phần của IDS được kết nối với nhau qua mạng và do 
đó, các biện pháp an toàn phải được thực thi. Để bảo vệ đường truyền giữa thiết bị phân tích với cơ sở dữ 
liệu, chúng ta phải sử dụng kết nối SSL. Để hạn chế các truy cập bàp bàn điều khiển dựa trên ACID, chúng 
ta sẽ sử dụng những đặc chuẩn của Apache webserver, phương pháp xác thực HTTP cơ bản qua 
.htpasswd. Truyền thông giữa cảm biến snort với cơ sở dữ liệu có thể được tunneled qua SSL hoặc SSH. 
19.5.1 Cài đặt hệ thống: 
Đầu tiên bạn phải thiết lập 1 Linux hardened. Đối với Red Hat Linux, có thể chọn Custom Install từ những 
bộ cài đặt CD chính thức hoặc không chính thức, hoặc thu gọn các tùy chọn cài đặt của nó bằng cách gỡ 
bỏ các thành phần đồ họa . Phải chắc chắn rằng tất cả các gói tin MySQL server (có sẵn trên Red Hat CDs) 
được cài đặt. Câu lệnh: 
# rpm -U /mnt/cdrom/RedHat/RPMS/mysql*rpm 
sẽ quan tâm đến điều này, được cung cấp bởi Linux CD. 
Trong trường hợp môi trường Linux sử dụng là Red Hat, rất nhiều gói phần mềm Snort RPM (Red Hat 
Package Manager) có thể download từ website Snort.org . Bạn cần gói Snort và Snort-mysql cho những cài 
đặt trên. Cài đặt chúng lên trên hệ thống của bạn. Nếu RPM đòi hỏi sự độc lập, hãy download gói cài đặt 
thích hợp cho nó (có thể sẽ cần thư viện libpcap) . 
Cài đặt thêm phần mềm quan sát sự kiện ACID-IDS vào hệ thống. Trang chủ ACID có chứa tất cả các phần 
mềm và hướng dẫn cài đặt ( Các gói cài đặt ACID đòi hỏi phải được giải nén 
ở 1 thư mục có thể nhìn thấy được từ webserver (ví dụ trên Red Hat là /var/www/html). Bởi vậy ACID có thể 
được phát triển trên /var/www/html/acid. File cấu hình acid_conf.php là nơi chứa tất cả các sắp đặt cấu 
hình. Không có điều khiển truy cập nào được thiết lập bên trong, do đó bạn cần phải tạo.htpasswd trong 
/var/www/html/acid. 
Nếu trong lựa chọn phát triển (chẳng hạn như cài đặt RedHat) không có web server thì 1 Apache web 
server cần được cài đặt trên môi trường đó thông qua CD. 
# rpm -U /mnt/cdrom/RedHat/RPMS/apache*rpm 
Sau khi tất cả các thành phần đã được cài đặt, đến lượt chúng ta thiết lập cấu hình cho IDS. Đầu tiên, Snort 
phải được cấu hình để có thể log vào cơ sở dữ liệu. Sau đây là một số chỉ dẫn để làm điều đó: 
1. Khởi động cơ sở dữ liệu MySQL : 
# /etc/init.d/mysql start 
2. Tạo cơ sở dữ liệu Snort: 
# echo "CREATE DATABASE Snort_db;" | mysql -u root -p 
3. Tạo người sử dụng để sử dụng cơ sở dữ liệu: 
# adduser Snort 
4. Tạo các quyền cho người sử dụng này để thêm các dữ liệu cảnh báo vào trong cơ sở dữ liệu: 
# echo "grant INSERT,SELECT on Snort_db.* to Snort@localhost;" | mysql -u root -p 
5. Sử dụng các script có sẵn trong nguồn của Snort (không đi kèm cùng với gói nhị phân RPM) để tạo cấu 
trúc dữ liệu: 
# cat ./contrib/create_mysql | mysql Snort_db 
6. Thay đổi file cấu hình Snort để log vào cơ sở dữ liệu. Nói cách khác thay đổi /etc/Snort.conf như sau:: 
output database: log, mysql, user=Snort dbname=Snort_db host=localhost 
7. Thay đổi script khởi tạo Snort (/etc/init.d/Snortd) để snort thực hiện lệnh sau: 
/usr/sbin/Snort -D -l /var/log/Snort -i $INTERFACE -c /etc/Snort/Snort.conf 
Định vị trí để các log của snort có thể được đánh giá ở đây. 
Bây giờ, Snort có thể bắt đầu bằng lệnh: 
# /etc/rc.d/init.d/Snortd start 
IDS đã được cấu hình và có thể log tới cơ sở dữ liệu. Hãy kiểm tra chúng như sau: 
1. Kiểm tra rằng tiến trình đang chạy: 
# ps ax| grep Snort | grep -v grep 
Nếu kết quả khả quan,bạn sẽ thấy dữ liệu trả về không trống. 
Trên Linux, tồn tại 1 lệnh đơn giản tương tự: 
# ps u `pidof Snort` 
2. Kiểm tra rằng Snort phát hiện thấy tấn công trên lynx  và 
sau đó chạy lệnh: 
# tail /var/log/Snort/alert 
Nếu có kết quả tốt, bạn sẽ nhìn thấy 1 thông điệp cảnh báo chỉ rằng có 1 tấn công IIS web. Đừng chạy 
bước kiểm tra này thông qua 1 kết nối URL từ xa mà hãy thử nó trên máy cục bộ của bạn. Phải chắc chắn 
rằng cảm biến có thể cảm nhận được cuộc tấn công (kết nối này được thiết lập thông qua mạng được giám 
sát bởi Snort). 
Phương pháp quét cổng sử dụng nmap là 1 bước thử Snort hiệu quả, điều này đảm bảo cho việc phát hiện 
quét cổng được bật và được cấu hình chính xác. Trong thực tế, có tồn tại nhiều phương pháp để kiểm tra 1 
IDS. Nhiều người thích sử dụng những gói tin ICMP lớn (có thể thực hiện bằng 1 lệnh ping đơn giản) hoặc 
là những phương pháp khác. 
3. Kiểm tra logging cơ sở dữ liệu: 
# echo "SELECT count(*) FROM event" | mysql Snort_db -u root -p 
Nếu tốt, bạn sẽ nhìn thấy một lượng khác rỗng dữ liệu được chứa trong cơ sở dữ liệu. 
19.5.2 Cài đặt công cụ cảnh báo: 
Bây giờ, hãy thiết lập công cụ cảnh báo qua ACID. ACID (Trung tâm phân tích dữ liệu xâm nhập) là 1 ứng 
dụng được xây dựng trên PHP mà cho phép phân tích dữ liệu Snort được chứa trong cơ sở dữ liệu. 
ACID phải được phép truy cập vào cơ sở dữ liệu. Sử dụng lệnh sau để thực hiện điều này: 
# echo "grant CREATE,INSERT,SELECT,UPDATE,DELETE on Snort_db.* to acid@localhost;" | 
mysql -u root -p 
Để an toàn hơn, nên sử dụng SSL để quan sát cảnh báo. Hãy phát triển các gói SSL từ đĩa cài Red Hat: 
# rpm -U /mnt/cdrom/RedHat/RPMS/mod-ssl*rpm 
và khởi động lại Apache thông qua /etc/init.d/httpd restart. 
Để an toàn hơn nữa, chỉ những kết nối SSH mới được phép. Một host firewall script for the iptables Linux 
firewall có thể được sử dụng để chỉ cho phép TCP port 443 (HTTPS) và không cho phép TCP port 80 
(HTTP). 
Bây giờ, khởi động Apache web server và chỉ browser tới giao diện quản lý IP (hoặc địa chỉ 127.0.0.1 nếu 
chạy trên local browser). Địa chỉ đúng là:  Phàn mềm ACID sẽ hướng 
dẫn bạn lựa chọn khởi tạo cài đặt, cung cấp cho bạn theo những hướng dẫn trên. ACID có thể được sử 
dụng để quan sát các cảnh báo của Snort IDS trong những chế độ khác nhau, thực hiện việc tìm kiếm, và 
truy cập gói tin payload đầy đủ. 
Nếu cài đặt cơ sở dữ liệu không đúng, bạn đơn giản chỉ cần chuyển tiếp những cảnh báo tới syslog và sau 
đó sử dụng công cụ phân tích syslog để giải quyết nó. Những công cụ như Snortsnarf tồn tại để tổng kết và 
quan sát các sự kiện Snort. 
19.5.3 Điều chỉnh các quy tắc của IDS : 
Thảo luận đầy đủ về việc điều chỉnh các quy tắc của IDS được đưa ra trong cốt lõi của chương này. Tuy 
nhiên, một khi chúng ta tiến tới việc khởi tạo các quy tắc, chúng ta sẽ mất rất nhiều thời gian cho những 
cảnh báo, phân tích chúng và theo đó giảm bớt các quy tắc. Công đoạn này thích hợp hơn đối với việc phát 
triển 1 NIDS nội bộ và mạng nhỏ. Một giải pháp khác đó là thu hẹp các bộ quy tắc để giám sát chỉ những 
dịch vụ đang bị nguy hiểm. Công việc này tốt hơn khi cài đặt DMZ với độ an toàn cao trong đó các thiết bị 
đều được thống kê một cách cẩn thận và vững chắc. Trong trường hợp này, cảnh báo CodeRed sẽ gia tăng 
một cách tuyệt đối bởi vì Unix web server sẽ không bị tổn thương bởi những đe dọa tầm thường đó.