Tài liệu Thiết lập ids trên nền tảng snort

Trường CĐ Viễn Đông Window Group BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG CAO ĐẲNG VIỄN ĐÔNG ĐỒ ÁN MÔN HỌC BẢO MẬT MẠNG NÂNG CAO Thiết Lập IDS Trên Nền Tảng SNORT Giảng viên hướng dẫn: Giảng Viên: LÊ ĐÌNH NHÂN Sinh viên thực hiện: WINDOW GROUP 1. Võ Minh Khánh 2. Nguyễn Minh Kiệt 3. Hoàng Minh Nam TP. HỒ CHÍ MINH – NĂM 2016 Bảo Mật Mạng Nâng Cao Giảng Viên Lê Đình Nhân Trường CĐ Viễn Đông Window Group MỤC LỤC I. HỆ THỐNG IDS (INTRUSTION DETECTION SYSTEM):.................................................3 1. Tổng Quan về IDS :.............................................................................................................3 1.1. Khái Niệm IDS :..............................................................................................................3 1.2. Các Chức Năng Của Hệ Thống IDS:.............................................................................3 1.3. Những Rủi Ro Có Thể Xảy Ra Khi Không Có IDS:.....................................................4 2. Phân Loại Hệ Thống IDS:...................................................................................................5 2.1. HIDS (Host base intrustion detection system):..............................................................5 2.2. NIDS (Network base intruction detection system):.......................................................6 3. Các Phương Thức Để Phát Hiện Sự Xâm Nhập Trên IDS:.............................................8 3.1. Signature Detection: (phát hiện dựa trên dấu hiệu)......................................................8 3.2. Anomaly Detection: (phát hiện sự bất thường).............................................................8 4. Thiết Kế Mô Hình IDS......................................................................................................10 II. TRIỂN KHAI MÔ HÌNH IDS TRÊN NỀN TẢNG SNORT:............................................12 1. Giới Thiệu IDS Mã Nguồn Mở Snort :............................................................................12 2. Cấu Hình IDS Trên Nền Tảng SNORT...........................................................................14 2.1. Mô Hình :.......................................................................................................................14 2.2. Các Gói Cài Đặt Cần Thiết :.........................................................................................14 2.3. Cấu Hình IDS Trên Nền Tảng SNORT.......................................................................15 III. KIỂM TRA QUÁ TRÌNH HOẠT ĐỘNG VÀ KẾT QUẢ XUẤT FILE LOG CỦA SNORT :........................................................................................................................................27 1. Kiểm Tra Quá Trình Hoạt Động Của Snort Bằng Rule Ping:.......................................27 2. Kiểm Tra Quá Trình Hoạt Động Của Snort Với Rule Scan :........................................28 3. Kiểm Tra Quá Trình Hoạt Động Của Snort Với Sniffer :..............................................32 Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 1 Trường CĐ Viễn Đông Window Group Ngày nay, khi Internet được phổ biến rộng rãi, các tổ chức, cá nhân đều có nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các phiên giao dịch trực tuyến. Vấn đề nảy sinh là khi phạm vi ứng dụng của các ứng dụng như Web, Mail, FTP, …. Ngày càng mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao, và trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khả năng truy cập thông tin từ Internet, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo mật dữ liệu cho các máy tính được kết nối vào mạng Internet, lẫn máy tính bên trong hệ thống mạng nội bộ Intranet. Do số lượng xâm phạm ngày càng tăng, khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật CNTT. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây được đông đảo những người liên quan đến bảo mật khá quan tâm. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 2 Trường CĐ Viễn Đông I. HỆ THỐNG Window Group IDS (INTRUSTION DETECTION SYSTEM): 1. Tổng Quan về IDS : 1.1. Khái Niệm IDS : Hệ thống phát hiện xâm nhập – IDS (Intrustion Detection System ) là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường. 1.2. Các Chức Năng Của Hệ Thống IDS: IDS cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa những tấn công từ bên ngoài (hacker) vào hệ thống mạng và tạo nên sự tin cậy của hệ thống thông tin. Với các chức năng chính là:  Bảo vệ tính toàn vẹn (Integrity) của dữ liệu.  Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.  Bảo vệ tính riêng tư, đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp.  Giám sát lưu lượng mạng và các hoạt động khả nghi.  Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.  Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.  Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa… Ngoài ra hệ thống phát hiện xâm nhập IDS còn có các chức năng khác như: − Ngăn chặn sự gia tăng của những tấn công. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 3 Trường CĐ Viễn Đông Window Group − Bổ sung những điểm yếu mà các hệ thống khác chưa làm được. − Đánh giá chất lượng của việc thiết kế hệ thống mạng. 1.3. Những Rủi Ro Có Thể Xảy Ra Khi Không Có IDS:  Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên: − Bẻ khóa và vi phạm truy cập tài nguyên. − Trojan horses. − Quét cổng (scan port) và dịch vụ, gồm có quét ICMP (ping), UDP, TCP. − Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,… − Nghe gói tin mạng (capture hay niffer). − Lấy cắp thông tin bất hợp pháp. − Lạm dụng tính xác thực. − Các kết nối mạng trái phép. − Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập vào các trang có hoạt động không lành mạnh. − Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các quyền truy cập mức cao.  Thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập): − Thay đổi và xóa thông tin. − Truyền tải và tạo dữ liệu trái phép. − Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ .  Từ chối dịch vụ (DoS): − Làm tắc nghẽn lưu lượng hạn chế dịch vụ. − Ping (Smurf) – một số lượng lớn các gói ICMP được gửi đến một địa chỉ quảng bá. − Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các message trong một thời điểm ngắn. − SYN – khởi tạo một số lượng lớn các yêu cầu TCP và không tiến hành bắt tay hoàn toàn như được yêu cầu đối với một giao thức. − Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó. − Tràn bộ . Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 4 Trường CĐ Viễn Đông Window Group − Tắt hệ thống từ xa. 2. Phân Loại Hệ Thống IDS: 2.1. HIDS (Host base intrustion detection system): Hình 1.5.1 Mô hình HIDS HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host quan trọng, và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên. Ngoài ra, HIDS có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm: − Các tiến trình. − Các entry của Registry. − Mức độ sử dụng CPU. − Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. − Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. Lợi thế của HIDS: − Có khả năng xác định user liên quan tới một event. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 5 Trường CĐ Viễn Đông Window Group − HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. − Có thể phân tích các dữ liệu mã hoá. − Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này. Hạn chế của HIDS: − Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. − Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". − HIDS phải được thiết lập trên từng host cần giám sát. − HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…). − HIDS cần tài nguyên trên host để hoạt động. − HIDS có thể không hiệu quả khi bị DOS. 2.2. NIDS (Network base intruction detection system): Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 6 Trường CĐ Viễn Đông Window Group Hình 1.5.2 Mô hình NIDS Lợi thế của Network-Based IDS: − Quản lý được cả một network segment (gồm nhiều host). − Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng. − Tránh DOS ảnh hưởng tới một host nào đó. − Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI). − Độc lập với OS. Hạn chế của Network-Based IDS: − Có thể xảy ra trường hợp báo động giả. − Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…). − NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn. − Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. − Không cho biết việc attack có thành công hay không. − Giới hạn băng thông. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 7 Trường CĐ Viễn Đông Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Window Group Trang 8 Trường CĐ Viễn Đông Window Group 3. Các Phương Thức Để Phát Hiện Sự Xâm Nhập Trên IDS: 3.1. Signature Detection: (phát hiện dựa trên dấu hiệu) Phát hiện dựa trên dấu hiệu thông thường còn có tên khác là phát hiện sử dụng sai (signature detection). Signature detection đòi hỏi những file dấu hiệu để nhận dạng những hành động xâm nhập. Một file dấu hiệu là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Khi càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IDS phải cung cấp những bản cập nhật file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ. Khi đã cập nhật file dấu hiệu thì hệ thống IDS có thể phân tích tất cả các lưu lượng. Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo.  Những ích lợi của phương pháp signature detection: Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Signature detection sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Bởi vì signature detection dựa trên những dấu hiệu- không phải những mẫu lưu lượng - hệ thống IDS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức.  Những hạn chế của phương pháp signature detection: − Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết. − Khả năng quản trị cơ sở dữ liệu những dấu hiệu: tốn nhiều thời gian trong việc cập nhật và bảo mật cơ sở dữ liệu đó. − Những bộ cảm biến phải duy trì tình trạng thông tin: giống như tường lửa, bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn. 3.2. Anomaly Detection: (phát hiện sự bất thường) Anomaly Detection mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được phát đi. Sự bất thường là bất cứ sự khác biệt với những nguyên tắc thông thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles) và các permission tương ứng. Bản mô tả sơ lược nhóm người dùng Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 9 Trường CĐ Viễn Đông Window Group thể hiện ranh giới giữa cũng như quyền hạn (permission) lên từng tài nguyên tương ứng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.  Những lợi ích của phương pháp Anomaly Detection: - Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công. Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo. - IDS sử dụng phương pháp phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong khi một user truy cập lên tài nguyên của mạng một cách bất hợp pháp, không đúng so với permission của user đó tương ứng. - Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết. Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường. Nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó khác so với profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.  Những hạn chế của phương pháp Anomaly Detection: − Thời gian chuẩn bị ban đầu cao. − Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu. − Thường xuyên cập nhật profile khi chính sách người dùng thay đổi. − Khó khăn trong việc định nghĩa cách hành động thông thường. − Cảnh báo nhầm. − Khó hiểu, phức tạp. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 10 Trường CĐ Viễn Đông Window Group 4. Thiết Kế Mô Hình IDS Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt IDS tại các vị trí khác nhau để tận dụng tối đa khả năng của hệ thống này. Đặt giữa router và frewall Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả các lưu lượng trên cả 2 chiều. Khi triển khai theo cấu trúc này thì IDS phải chịu áp lực rất lớn về lượng, nhưng lại có khả năng giám sát toàn bộ lưu lượng của hệ thống mạng. Vì vậy, trong trường hợp này nên lựa chọn các thiết bị IDS có khả năng chịu tải cao để nâng cao hiệu năng. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 11 Trường CĐ Viễn Đông Window Group Đặt trong miềền DMZ Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng vào/ra trong miền DMZ. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 12 Trường CĐ Viễn Đông Window Group Đặt sau frewall Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng trao đổi phía sau firewall như: - Dữ liệu trao đổi trong LAN. - Dữ liệu từ LAN vào/ra DMZ và ngược lại. II. TRIỂN KHAI MÔ HÌNH IDS TRÊN NỀN TẢNG SNORT: 1. Giới Thiệu IDS Mã Nguồn Mở Snort : - Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó. - Có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và SNORT có thể đáp ứng rất tốt cả hai yêu cầu này. Đó là một phần mềm mà ta có thể tải về và sử dụng miễn phí theo các quy tắc GPL, cho nên yếu tố về chi phí hoàn toàn có thể yên tâm. - Ngoài ra SNORT còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật Snort Rules một cách nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 13 Trường CĐ Viễn Đông Window Group phù hợp với yêu cầu của mình. Vì vậy SNORT là phần mềm IDS mạnh mẽ và được yêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm nhập. Snort có 4 chế độ họat động khác nhau đó là: + Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị. +Packet Logger mode : lưu trữ các gói tin trong các tập tin log. + Network instruction detect system (NIDS) : đây là chế hoạt động mạnh mẽ và được áp dụng nhiều nhất, khi hoạt động ở NIDS mode Snort sẽ phân tích các gói tin luân chuyển trên mạng và so sánh với các thông tin được định nghĩa của người dùng để từ đó có những hành động tương ứng như thông báo cho quản trị mạng khi xảy ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh báo virus.. + Inline mode: khi triển khai snort trên linux thì chúng ta có thể cấu hình snort để phân tích các gói tin từ iptables thay vì Libpcap do đó Iptable có thể drop hoặc pass các gói tin theo snort rule. Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 14 Trường CĐ Viễn Đông Window Group 2. Cấu Hình IDS Trên Nền Tảng SNORT 2.1. Mô Hình : Mô hình mạng demo 2.2. - Các Gói Cài Đặt Cần Thiết : Hệ điều hành CENTOS-6.6-Desktop Các gói cài đặt như : Libpcap daq-2.0.0 snort-2.9.4.1 snortrules-snapshot-2941 Log-1.12.3 adodb base-1.4.5 emerging.rules Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 15 Trường CĐ Viễn Đông Window Group 2.3. Cấu Hình IDS Trên Nền Tảng SNORT 1. Chuẩn bị máy tính chạy hệ điều hành centos và đảm bảo có thể kết nối internet và cài đặt được ip cũng như các phần mềm cần thiết hỗ trợ cho việc cấu hình IDS. 2. Tiến Hành Cài Đặt Epel Reposistory : Có thể tải gói cài đặt từ internet về hoặc có thể cài đặt ngay trên máy nếu đã có source và cài đặt nó : - wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-68.noarch.rpm rpm -Uvh epel-release-6-8.noarch.rpm Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 16 Trường CĐ Viễn Đông Window Group 3. Cài Đặt Thư Viện Cần Thiết Cho Snort : - yum install libdnet libdnet-devel pcre pcre-devel gcc make flex byacc bison kernel-devel libxml2-devel wget Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 17 Trường CĐ Viễn Đông Window Group 4. Tạo Ra Thư Mục Chứa Source Snort Và Chuyển Vào Thư Mục Snort : - mkdir /usr/local/src/snort cd /usr/local/src/snort Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 18 Trường CĐ Viễn Đông Window Group 5. Cài Đặt Libpcap : Có thể tải gói cài đặt từ internet về hoặc có thể cài đặt ngay trên máy nếu đã có source, sau đó tiến hành giải nén và thực thi gói dữ liệu : - wget http://www.tcpdump.org/release/libpcap-1.3.0.tar.gz -O libpcap.tar.gz tar -xvf libpcap.tar.gz cd libpcap-1.3.0/ ./configure && make && make install Sau đó tiếp tục chạy các lệnh : - cd /usr/local/lib echo "/usr/local/lib" >> /etc/ld.so.conf Thiếết lập hệ thốếng IDS trến nếền tảng SNORT Trang 19