Trường CĐ Viễn Đông
Window Group
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG CAO ĐẲNG VIỄN ĐÔNG
ĐỒ ÁN MÔN HỌC
BẢO MẬT MẠNG NÂNG CAO
Thiết Lập IDS Trên Nền Tảng SNORT
Giảng viên hướng dẫn:
Giảng Viên: LÊ ĐÌNH NHÂN
Sinh viên thực hiện:
WINDOW GROUP
1. Võ Minh Khánh
2. Nguyễn Minh Kiệt
3. Hoàng Minh Nam
TP. HỒ CHÍ MINH – NĂM 2016
Bảo Mật Mạng Nâng Cao
Giảng Viên Lê Đình Nhân
Trường CĐ Viễn Đông
Window Group
MỤC LỤC
I.
HỆ THỐNG IDS (INTRUSTION DETECTION SYSTEM):.................................................3
1. Tổng Quan về IDS :.............................................................................................................3
1.1.
Khái Niệm IDS :..............................................................................................................3
1.2.
Các Chức Năng Của Hệ Thống IDS:.............................................................................3
1.3.
Những Rủi Ro Có Thể Xảy Ra Khi Không Có IDS:.....................................................4
2. Phân Loại Hệ Thống IDS:...................................................................................................5
2.1.
HIDS (Host base intrustion detection system):..............................................................5
2.2.
NIDS (Network base intruction detection system):.......................................................6
3. Các Phương Thức Để Phát Hiện Sự Xâm Nhập Trên IDS:.............................................8
3.1.
Signature Detection: (phát hiện dựa trên dấu hiệu)......................................................8
3.2.
Anomaly Detection: (phát hiện sự bất thường).............................................................8
4. Thiết Kế Mô Hình IDS......................................................................................................10
II.
TRIỂN KHAI MÔ HÌNH IDS TRÊN NỀN TẢNG SNORT:............................................12
1. Giới Thiệu IDS Mã Nguồn Mở Snort :............................................................................12
2. Cấu Hình IDS Trên Nền Tảng SNORT...........................................................................14
2.1.
Mô Hình :.......................................................................................................................14
2.2.
Các Gói Cài Đặt Cần Thiết :.........................................................................................14
2.3.
Cấu Hình IDS Trên Nền Tảng SNORT.......................................................................15
III. KIỂM TRA QUÁ TRÌNH HOẠT ĐỘNG VÀ KẾT QUẢ XUẤT FILE LOG CỦA
SNORT :........................................................................................................................................27
1. Kiểm Tra Quá Trình Hoạt Động Của Snort Bằng Rule Ping:.......................................27
2. Kiểm Tra Quá Trình Hoạt Động Của Snort Với Rule Scan :........................................28
3. Kiểm Tra Quá Trình Hoạt Động Của Snort Với Sniffer :..............................................32
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 1
Trường CĐ Viễn Đông
Window Group
Ngày nay, khi Internet được phổ biến rộng rãi, các tổ chức, cá nhân đều có
nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các
phiên giao dịch trực tuyến. Vấn đề nảy sinh là khi phạm vi ứng dụng của các ứng
dụng như Web, Mail, FTP, …. Ngày càng mở rộng thì khả năng xuất hiện lỗi và bị
tấn công càng cao, và trở thành đối tượng cho nhiều người tấn công với các mục
đích khác nhau.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet,
số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các
phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khả năng truy cập
thông tin từ Internet, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề
bảo mật dữ liệu cho các máy tính được kết nối vào mạng Internet, lẫn máy tính bên
trong hệ thống mạng nội bộ Intranet.
Do số lượng xâm phạm ngày càng tăng, khi Internet và các mạng nội bộ càng
ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm
mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng
về bảo mật CNTT. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây
được đông đảo những người liên quan đến bảo mật khá quan tâm.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 2
Trường CĐ Viễn Đông
I.
HỆ
THỐNG
Window Group
IDS
(INTRUSTION
DETECTION
SYSTEM):
1. Tổng Quan về IDS :
1.1.
Khái Niệm IDS :
Hệ thống phát hiện xâm nhập – IDS (Intrustion Detection System ) là một hệ thống
giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái
xâm nhập phép và hệ thống. Một tính năng chính của hệ thống này là cung cấp
thông tin nhận biết về những hành động không bình thường và đưa ra các báo cảnh
thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó
công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ
chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ
hacker).
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách
các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus)
hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn
của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu
hiệu khác thường.
1.2.
Các Chức Năng Của Hệ Thống IDS:
IDS cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa những tấn
công từ bên ngoài (hacker) vào hệ thống mạng và tạo nên sự tin cậy của hệ thống
thông tin. Với các chức năng chính là:
Bảo vệ tính toàn vẹn (Integrity) của dữ liệu.
Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Bảo vệ tính riêng tư, đảm bảo cho người sử dụng khai thác tài nguyên của hệ
thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thông tin bất hợp pháp.
Giám sát lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ
thống bảo mật hoàn chỉnh.
Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có các chức năng khác như:
− Ngăn chặn sự gia tăng của những tấn công.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 3
Trường CĐ Viễn Đông
Window Group
− Bổ sung những điểm yếu mà các hệ thống khác chưa làm được.
− Đánh giá chất lượng của việc thiết kế hệ thống mạng.
1.3.
Những Rủi Ro Có Thể Xảy Ra Khi Không Có IDS:
Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên:
− Bẻ khóa và vi phạm truy cập tài nguyên.
− Trojan horses.
− Quét cổng (scan port) và dịch vụ, gồm có quét ICMP (ping), UDP, TCP.
− Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các gói cụ
thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,…
− Nghe gói tin mạng (capture hay niffer).
− Lấy cắp thông tin bất hợp pháp.
− Lạm dụng tính xác thực.
− Các kết nối mạng trái phép.
− Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập
vào các trang có hoạt động không lành mạnh.
− Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các
quyền truy cập mức cao.
Thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập):
− Thay đổi và xóa thông tin.
− Truyền tải và tạo dữ liệu trái phép.
− Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ .
Từ chối dịch vụ (DoS):
− Làm tắc nghẽn lưu lượng hạn chế dịch vụ.
− Ping (Smurf) – một số lượng lớn các gói ICMP được gửi đến một địa chỉ
quảng bá.
− Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các message trong một
thời điểm ngắn.
− SYN – khởi tạo một số lượng lớn các yêu cầu TCP và không tiến hành
bắt tay hoàn toàn như được yêu cầu đối với một giao thức.
− Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó.
− Tràn bộ .
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 4
Trường CĐ Viễn Đông
Window Group
− Tắt hệ thống từ xa.
2. Phân Loại Hệ Thống IDS:
2.1.
HIDS (Host base intrustion detection system):
Hình 1.5.1 Mô hình HIDS
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
HIDS thường được đặt trên các host quan trọng, và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên. Ngoài ra, HIDS có thể ghi nhận những việc
mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Nhiêm vụ
chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm:
− Các tiến trình.
− Các entry của Registry.
− Mức độ sử dụng CPU.
− Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
− Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả
nghi trên hệ thống file sẽ gây ra báo động.
Lợi thế của HIDS:
− Có khả năng xác định user liên quan tới một event.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 5
Trường CĐ Viễn Đông
Window Group
− HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,
NIDS không có khả năng này.
− Có thể phân tích các dữ liệu mã hoá.
− Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host
này.
Hạn chế của HIDS:
− Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.
− Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
− HIDS phải được thiết lập trên từng host cần giám sát.
− HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…).
− HIDS cần tài nguyên trên host để hoạt động.
− HIDS có thể không hiệu quả khi bị DOS.
2.2.
NIDS (Network base intruction detection system):
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm
biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một
mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và
có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.
NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong
mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay
không. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 6
Trường CĐ Viễn Đông
Window Group
Hình 1.5.2 Mô hình NIDS
Lợi thế của Network-Based IDS:
− Quản lý được cả một network segment (gồm nhiều host).
− Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
− Tránh DOS ảnh hưởng tới một host nào đó.
− Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
− Độc lập với OS.
Hạn chế của Network-Based IDS:
− Có thể xảy ra trường hợp báo động giả.
− Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH,
IPSec…).
− NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an
toàn.
− Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo
động được phát ra, hệ thống có thể đã bị tổn hại.
− Không cho biết việc attack có thành công hay không.
− Giới hạn băng thông.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 7
Trường CĐ Viễn Đông
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Window Group
Trang 8
Trường CĐ Viễn Đông
Window Group
3. Các Phương Thức Để Phát Hiện Sự Xâm Nhập Trên IDS:
3.1.
Signature Detection: (phát hiện dựa trên dấu hiệu)
Phát hiện dựa trên dấu hiệu thông thường còn có tên khác là phát hiện sử dụng sai
(signature detection). Signature detection đòi hỏi những file dấu hiệu để nhận dạng
những hành động xâm nhập. Một file dấu hiệu là một tập những nguyên tắc sử dụng
để xác định những hoạt động xâm nhập thông thường. Khi càng nhiều phương pháp
tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IDS
phải cung cấp những bản cập nhật file dấu hiệu, giống như những nhà cung cấp
phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm
của họ. Khi đã cập nhật file dấu hiệu thì hệ thống IDS có thể phân tích tất cả các lưu
lượng. Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo.
Những ích lợi của phương pháp signature detection:
Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã
được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao.
Signature detection sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện
sự bất thường. Bởi vì signature detection dựa trên những dấu hiệu- không phải
những mẫu lưu lượng - hệ thống IDS có thể được định dạng và có thể bắt đầu bảo
vệ mạng ngay lập tức.
Những hạn chế của phương pháp signature detection:
− Không có khả năng phát hiện những cuộc tấn công mới hay chưa được
biết.
− Khả năng quản trị cơ sở dữ liệu những dấu hiệu: tốn nhiều thời gian trong
việc cập nhật và bảo mật cơ sở dữ liệu đó.
− Những bộ cảm biến phải duy trì tình trạng thông tin: giống như tường
lửa, bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ
trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì
giới hạn.
3.2.
Anomaly Detection: (phát hiện sự bất thường)
Anomaly Detection mô tả sơ lược phân tích những hoạt động của mạng máy tính và
lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín
hiệu cảnh báo sẽ được phát đi. Sự bất thường là bất cứ sự khác biệt với những
nguyên tắc thông thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động
bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user
group profiles) và các permission tương ứng. Bản mô tả sơ lược nhóm người dùng
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 9
Trường CĐ Viễn Đông
Window Group
thể hiện ranh giới giữa cũng như quyền hạn (permission) lên từng tài nguyên tương
ứng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong
profile, hệ thống IDS sẽ phát sinh cảnh báo.
Những lợi ích của phương pháp Anomaly Detection:
- Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không
phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để
phát hiện những cuộc tấn công. Chính vì phát hiên bất thường không sử dụng những
cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác
cái gì gây ra cảnh báo.
- IDS sử dụng phương pháp phát hiện bất thường có thể nhanh chóng phát hiện một
cuộc tấn công từ bên trong khi một user truy cập lên tài nguyên của mạng một cách
bất hợp pháp, không đúng so với permission của user đó tương ứng.
- Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không
dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã
được biết. Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định
những hoạt động bình thường. Nó thực sự phù hợp cho việc phát hiện những cuộc
tấn công chưa hề được biết trước đây miễn là nó khác so với profile bình thường.
Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công
mới mà phát hiện bằng dấu hiệu không phát hiện được.
Những hạn chế của phương pháp Anomaly Detection:
− Thời gian chuẩn bị ban đầu cao.
− Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
− Thường xuyên cập nhật profile khi chính sách người dùng thay đổi.
− Khó khăn trong việc định nghĩa cách hành động thông thường.
− Cảnh báo nhầm.
− Khó hiểu, phức tạp.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 10
Trường CĐ Viễn Đông
Window Group
4. Thiết Kế Mô Hình IDS
Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt IDS tại các vị trí khác
nhau để tận dụng tối đa khả năng của hệ thống này.
Đặt giữa router và frewall
Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả các lưu lượng trên cả 2 chiều.
Khi triển khai theo cấu trúc này thì IDS phải chịu áp lực rất lớn về lượng, nhưng lại
có khả năng giám sát toàn bộ lưu lượng của hệ thống mạng. Vì vậy, trong trường
hợp này nên lựa chọn các thiết bị IDS có khả năng chịu tải cao để nâng cao hiệu
năng.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 11
Trường CĐ Viễn Đông
Window Group
Đặt trong miềền DMZ
Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng vào/ra trong miền
DMZ.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 12
Trường CĐ Viễn Đông
Window Group
Đặt sau frewall
Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng trao đổi phía sau
firewall như:
- Dữ liệu trao đổi trong LAN.
- Dữ liệu từ LAN vào/ra DMZ và ngược lại.
II.
TRIỂN KHAI MÔ HÌNH IDS TRÊN NỀN TẢNG
SNORT:
1. Giới Thiệu IDS Mã Nguồn Mở Snort :
- Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ
thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám
sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện
bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình
mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị
hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
- Có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp
ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và
SNORT có thể đáp ứng rất tốt cả hai yêu cầu này. Đó là một phần mềm mà ta có thể
tải về và sử dụng miễn phí theo các quy tắc GPL, cho nên yếu tố về chi phí hoàn
toàn có thể yên tâm.
- Ngoài ra SNORT còn là một sản phẩm mã nguồn mở và có một cộng đồng phát
triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới
được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật Snort
Rules một cách nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 13
Trường CĐ Viễn Đông
Window Group
phù hợp với yêu cầu của mình. Vì vậy SNORT là phần mềm IDS mạnh mẽ và được
yêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm nhập.
Snort có 4 chế độ họat động khác nhau đó là:
+ Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó
sẽ trình bày kết quả trên giao diện hiển thị.
+Packet Logger mode : lưu trữ các gói tin trong các tập tin log.
+ Network instruction detect system (NIDS) : đây là chế hoạt động mạnh mẽ và
được áp dụng nhiều nhất, khi hoạt động ở NIDS mode Snort sẽ phân tích các gói tin
luân chuyển trên mạng và so sánh với các thông tin được định nghĩa của người dùng
để từ đó có những hành động tương ứng như thông báo cho quản trị mạng khi xảy
ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh báo virus..
+ Inline mode: khi triển khai snort trên linux thì chúng ta có thể cấu hình snort để
phân tích các gói tin từ iptables thay vì Libpcap do đó Iptable có thể drop hoặc pass
các gói tin theo snort rule.
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 14
Trường CĐ Viễn Đông
Window Group
2. Cấu Hình IDS Trên Nền Tảng SNORT
2.1. Mô Hình :
Mô hình mạng demo
2.2.
-
Các Gói Cài Đặt Cần Thiết :
Hệ điều hành CENTOS-6.6-Desktop
Các gói cài đặt như :
Libpcap
daq-2.0.0
snort-2.9.4.1
snortrules-snapshot-2941
Log-1.12.3
adodb
base-1.4.5
emerging.rules
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 15
Trường CĐ Viễn Đông
Window Group
2.3. Cấu Hình IDS Trên Nền Tảng SNORT
1. Chuẩn bị máy tính chạy hệ điều hành centos và đảm bảo có thể kết nối
internet và cài đặt được ip cũng như các phần mềm cần thiết hỗ trợ cho việc
cấu hình IDS.
2. Tiến Hành Cài Đặt Epel Reposistory :
Có thể tải gói cài đặt từ internet về hoặc có thể cài đặt ngay trên máy nếu đã có
source và cài đặt nó :
-
wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-68.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 16
Trường CĐ Viễn Đông
Window Group
3. Cài Đặt Thư Viện Cần Thiết Cho Snort :
-
yum install libdnet libdnet-devel pcre pcre-devel gcc make flex byacc
bison kernel-devel libxml2-devel wget
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 17
Trường CĐ Viễn Đông
Window Group
4. Tạo Ra Thư Mục Chứa Source Snort Và Chuyển Vào Thư Mục
Snort :
-
mkdir /usr/local/src/snort
cd /usr/local/src/snort
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 18
Trường CĐ Viễn Đông
Window Group
5. Cài Đặt Libpcap :
Có thể tải gói cài đặt từ internet về hoặc có thể cài đặt ngay trên máy nếu đã có
source, sau đó tiến hành giải nén và thực thi gói dữ liệu :
-
wget http://www.tcpdump.org/release/libpcap-1.3.0.tar.gz -O
libpcap.tar.gz
tar -xvf libpcap.tar.gz
cd libpcap-1.3.0/
./configure && make && make install
Sau đó tiếp tục chạy các lệnh :
-
cd /usr/local/lib
echo "/usr/local/lib" >> /etc/ld.so.conf
Thiếết lập hệ thốếng IDS trến nếền tảng SNORT
Trang 19
- Xem thêm -