Upload
nguyen-tuan-nghia
View
1.083
Download
0
Embed Size (px)
Citation preview
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 1/112
Luận văn Thạc sỹ
Tên đề tài: Hệ thống phát hiện xâm nhập mạng
Họ và tên HVCH : Nguyễn Đứ c Cườ ng
Ngườ i hướ ng dẫn khoa học: PGS.TS Đặng Văn Chuyết
Địa chỉ cơ quan nghiên cứ u: trườ ng Đại học Bách Khoa Hà Nội
Địa chỉ email: [email protected]
Năm: 2008
Tóm tắt
Hơ n một thậ p k ỷ qua, Internet đã phát triển mạnh mẽ cả về quy mô cũng như
sự phức tạ p. Trong quá trình phát triển này, vấn đề an ninh mạng ngày càng rõ r ệt.
Quản tr ị một mạng ngày càng tr ở nên phức tạ p, và không thể sửa lỗi một cách thủ
công như tr ướ c. Vì vậy hệ thống phát hiện xâm nhậ p tự động ra đờ i là r ất cất thiết
Đóng góp của luận văn bao gồm hai phần.
Phần 1, Khái niệm, cấu trúc một hệ thống phát hiện xâm nhậ p mạng (IDS),
các sản phẩm đang phát triển mạnh trên thị tr ườ ng.
Phần hai, bướ c đầu ứng dụng cài đặt IDS mềm vào mạng của tr ườ ng Đại
học Bách Khoa Hà Nội, cụ thể là ứng dụng mã nguồn mở SNORT, góp phần nâng
cao hiệu năng của hệ thống mạng tr ườ ng.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 2/112
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TR ƯỜ NG ĐẠI HỌC BÁCH KHOA HÀ NỘI---------------------------------------
N G
UYỄ N Đ Ứ C
C Ư Ờ N G
LUẬ N VĂ N THẠC SĨ KHOA HỌC
NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀ N THÔNG
HỆ THỐNGPHÁT HIỆN XÂM NHẬP MẠNG
X Ử L Ý T H Ô N G T I N VÀ
T R UYỀ T H Ô N G
NGUYỄ N ĐỨ C CƯỜ NG
2 0 0 6 -2 0 0 8
Hà Nội2008 HÀ NỘI 2008
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 3/112
Master of Sience
Thesis title: “Warning and Protection System of Network Attacks”
Student: Nguyen Duc Cuong
Supervisor: Professor Dang Van ChuyetDepartment of Information Technology
Hanoi University of Technoloogy
Email: [email protected]
Year: 2008
Summary
During the last decade, the Internet has developed rapidly in terms of scale as well
as diversity. As a consequence, the network security has become more and more
urgent issues. Therefore, network administration has been incrementally
complicated and manually error handling is no longer sufficient. Due to that, the
automatic warning system of attacks is aimed to necessarily establish.
This thesis consists of the two parts as follows:
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 4/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
1
LỜI NÓI ĐẦU .................................................................................................. 3CHƯƠ NG I - TỔ NG QUAN VỀ IDS ............................................................. 6
1.1 Khái niệm ................................................................................................ 6
1.2. Chức năng .............................................................................................. 61.3 Cấu trúc chung ........................................................................................ 71.4. Phân biệt các mô hình IDS...................................................................11
NIDS........................................................................................................11HIDS........................................................................................................12
1.5. Các phươ ng pháp nhận biết tấn công................................................... 121.6 Các sản phẩm IDS trên thị tr ườ ng.........................................................14
Intrust ...................................................................................................... 14ELM ........................................................................................................ 15GFI LANGUARD S.E.L.M .................................................................... 16
SNORT....................................................................................................17Cisco IDS ................................................................................................ 18Dragon.....................................................................................................19
CHƯƠ NG II – K ẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐ NG SWITCHCISCO ............................................................................................................. 20
2.1 Các kiến thức cơ sở của k ỹ thuật phân tích thống kê cổng - SPAN....202.1.1 Khái niệm SPAN............................................................................202.1.2 Các thuật ngữ .................................................................................222.1.3 Các đặc điểm của cổng nguồn........................................................242.1.4 Lọc VLAN ..................................................................................... 242.1.5 Các đặc điểm của nguồn VLAN .................................................... 252.1.6 Các đặc điểm của cổng đích...........................................................262.1.7 Các đặc điểm của cổng phản hồi....................................................27
2.2. SPAN trên các dòng Switch Cisco.......................................................282.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000Series chạy CatOS...................................................................................282.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,3560, 3560-E, 3750 and 3750-E Series .................................................. 522.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS ...............................................................55
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau.....................................................................................................................58
Các dòng Switch dướ i Catalyst 4000 Series........................................... 58Catalyst 4500/4000 Series.......................................................................59Catalyst 5500/5000 and 6500/6000 Series.............................................. 59
2.4 Các lỗi thườ ng gặ p khi cấu hình ........................................................... 59
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 5/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
2
CHƯƠ NG III – TRIỂ N KHAI TÍCH HỢP HỆ THỐ NG IDS MỀM - SNORTVÀO HỆ THỐ NG...........................................................................................69
3.1. Các đặc điểm chính..............................................................................69
3.1.1 Hệ thống detection engine: ............................................................ 703.1.2 Hệ thống Logging & alerting:........................................................703.1.3 Tậ p luật(RULES) ........................................................................... 71
3.2 Các bướ c cài đặt Snort trên hệ điều hành Debian................................. 723.2.1 Cài hệ điều hành Debian ................................................................ 723.2.2 Cài các phần mềm cần thiết ........................................................... 733.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL ................. 753.2.4 Cài đặt Snort...................................................................................753.2.5 Cấu hình MySQL Server................................................................773.2.6 Cấu hình để SNORT bắn alert vào MySQL .................................. 78
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 783.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) ... 793.2.9 Cậ p nhật Rules vớ i Oinkmaster ..................................................... 813.2.10 Startup Script................................................................................823.2.11 Tạo Acc truy cậ p vào Base .......................................................... 833.2.12 Cấu hình SNMP Server................................................................833.2.13 Tạo file index.php để định hướ ng trình duyệt ............................. 843.2.14 Cài đặt phần mềm quản tr ị Webmin ............................................ 84
3.3 Giao diện hệ thồng sau cài đặt ..............................................................853.3.1 Các thông tin cấu hình cơ bản........................................................ 853.3.2 Hướ ng dẫn sử dụng SNORT.......................................................... 863.3.3. Hướ ng dẫn sử dụng công cụ phân tích (Base) .............................. 893.3.4 Hướ ng dẫn sử dụng Webmin .......................................................101
K ẾT LUẬ N...................................................................................................108DANH MỤC TÀI LIỆU THAM KHẢO......................................................109
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 6/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
3
LỜ I NÓI ĐẦU
Khái niệm phát hiện xâm nhậ p đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó ngườ i ta cần hệ thống phát hiện xâm nhậ p - IDS(Intrusion Detection System) vớ i mục đích là dò tìm và nghiên cứu các hành vi bất
thườ ng và thái độ của ngườ i sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện
xâm nhậ p đượ c nghiên cứu chính thức từ năm 1983 đến năm 1988 tr ướ c khi đượ c
sử dụng tại mạng máy tính của không lực Hoa K ỳ. Cho đến tận năm 1996, các khái
niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ đượ c xuất hiện trong các
phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thờ i gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mớ i đượ c biết đến r ộng rãi và thực sự đem lại lợ i nhuận vớ i sự đi đầu của
công ty ISS, một năm sau đó, Cisco nhận ra tầm quan tr ọng của IDS và đã mua lại
một công ty cung cấ p giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh đượ c
sử dụng nhiều nhất và vẫn còn phát triển.
Vào năm 2003, Gartner- một công ty hàng đầu trong l ĩ nh vực nghiên cứu và phân
tích thị tr ườ ng công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn
động trong l ĩ nh vực an toàn thông tin : “Hệ thống phát hiện xâm nhậ p (IDS) sẽ
không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số k ết quả phân tích
và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt vớ i vấn đề là IDS thườ ng
xuyên đưa ra r ất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là
gánh nặng cho quản tr ị an ninh hệ thống bở i nó cần đượ c theo dõi liên tục (24 giờ
trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là
một quy trình xử lý an ninh r ất vất vả. Các IDS lúc này không có khả năng theo dõicác luồng dữ liệu đượ c truyền vớ i tốc độ lớ n hơ n 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng
đang sử dụng IDS r ằng quản tr ị và vận hành hệ thống IDS là r ất khó khăn, tốn kém
và không đem lại hiệu quả tươ ng xứng so vớ i đầu tư.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 7/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
4
Sau khi phát biểu này đượ c đưa ra, một số ý kiến phản đối cho r ằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con ngườ i quản tr ị là r ất quan tr ọng, cần phải đáp ứng đượ c các tiêu
chí sau:
- Thu thậ p và đánh giá tươ ng quan tất cả các sự kiện an ninh đượ c phát hiện bở i các
IDS, tườ ng lửa để tránh các báo động giả.
- Các thành phần quản tr ị phải tự động hoạt động và phân tích.
- K ết hợ p vớ i các biện pháp ngăn chặn tự động.
K ết quả là tớ i năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn
chặn xâm nhậ p IPS- đã dần khắc phục đượ c các mặt còn hạn chế của IDS và hoạt
động hiệu quả hơ n nhiều so vớ i thế hệ tr ướ c đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhậ p ( Intrusion Prevention System –
IPS) đượ c định ngh ĩ a là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhậ p và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS
có r ất nhiều điểm chung, do đó hệ thống IDS và IPS có thể đượ c gọi chung là hệ
thống IDP - Intrusion Detection and Prevention.Tr ướ c các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớ n như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,
một vấn đề đượ c đặt ra là làm sao có thể tự động ngăn chặn đượ c các tấn công chứ
không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của ngườ i quản tr ị hệ
thống. Hệ thống IPS đượ c ra đờ i vào năm 2003 và ngay sau đó, năm 2004 nó đượ c
phổ biến r ộng rãi.
K ết hợ p vớ i việc nâng cấ p các thành phần quản tr ị, hệ thống IPS xuất hiện đã dầnthay thế cho IDS bở i nó giảm bớ t đượ c các yêu cầu tác động của con ngườ i trong
việc đáp tr ả lại các nguy cơ phát hiện đượ c, cũng như giảm bớ t đượ c phần nào gánh
nặng của việc vận hành. Hơ n nữa trong một số tr ườ ng hợ p đặc biệt, một IPS có thể
hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhậ p.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 8/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
5
Ngày nay các hệ thống mạng đều hướ ng tớ i sử dụng các giải pháp IPS thay vì hệ
thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhậ p thì tr ướ c hết cần phải phát hiện
nó. Vì vậy khi nói đến một hệ thống IDS, trong thờ i điểm hiện tại, ta có thể hiểu đó
là một hệ thống tích hợ p gồm cả 2 hai chức năng IPS/IDS.
Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan tr ọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
tr ọng. Sau hơ n chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần đượ c
quan tâm đúng mức hơ n. Tr ướ c khi có một giải pháp toàn diện thì mỗi một mạng
phải tự thiết lậ p một hệ thống tích hợ p IDS của riêng mình. Trong luận văn này,
chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ
thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của
mình thay thế cho các IDS cứng đắt tiền.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 9/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
6
CHƯƠ NG I - TỔNG QUAN VỀ IDS
1.1 Khái niệm
Hệ thống phát hiện xâm nhậ p (Intrusion Detection System - IDS) là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà
quản tr ị .
Ngoài ra IDS cũng đảm nhận việc phản ứng lại vớ i các lưu thông bất thườ ng hay có
hại bằng cách thực hiện các hành động đã đượ c thiết lậ p tr ướ c như khóa ngườ i dùng
hay địa chỉ IP nguồn đó không cho truy cậ p hệ thống mạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại vớ i baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thườ ng.
1.2. Chứ c năng
Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhậ p mạng – IDS như sau :
Chức năng quan tr ọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát : lưu lượ ng mạng và các hoạt động khả nghi.
C ảnh báo: báo cáo về tình tr ạng mạng cho nhà quản tr ị.
Bảo vệ: Dùng những thiết lậ p mặc định và sự cấu hình từ nhà quản tr ị mà có những
hành động thiết thực chống lại k ẻ xâm nhậ p và phá hoại.
+ Chức năng mở r ộng
Phân biệt : các tấn công trong và ngoài mạng
Phát hiện: những dấu hiệu bất thườ ng dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượ ng mạng hiện tại vớ i baseline
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 10/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
7
1.3 Cấu trúc chung
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phươ ng pháp đượ c sử dụng để phát hiện
xâm nhậ p, các cơ chế xử lý khác nhau đượ c sử dụng đối vớ i một IDS. Mô hình cấu
trúc chung cho các hệ IDS là:
Hình 1.1 : Mô hình chung hệ thống IDS
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc
phát hiện các tấn công phụ thuộc vào số lượ ng và kiểu hành động thích hợ p. Để
ngăn chặn xâm phạm tốt cần phải k ết hợ p tốt giữa “bả và bẫy” đượ c sử dụng để xác
định các mối đe dọa. Việc làm lệnh hướ ng sự tậ p trung của k ẻ xâm nhậ p vào tài
nguyên đượ c bảo vệ cũng là một nhiệm vụ quan tr ọng. Cả hệ thống thực và hệ
thống bẫy cần phải đượ c kiểm tra một cách liên tục. Dữ liệu đượ c tạo ra bằng các hệ
thống phát hiện xâm nhậ p đượ c kiểm tra một cách cẩn thận (đây là nhiệm vụ chínhcho mỗi IDS) để phát hiện các dấu hiệu tấn công.
Khi một sự xâm nhậ p đượ c phát hiện, IDS đưa ra các cảnh báo đến các quản tr ị viên
hệ thống về sự việc này. Bướ c tiế p theo đượ c thực hiện bở i các quản tr ị viên hoặc
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 11/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
8
có thể là bản thân IDS bằng cách lợ i dụng các tham số đo bổ sung (các chức năng
khóa để giớ i hạn các session, backup hệ thống, định tuyến các k ết nối đến bẫy hệ
thống, cơ sở hạ tầng hợ p lệ,…) – theo các chính sách bảo mật của các tổ chức. Một
IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra k ẻ xâm nhậ p là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợ p để cho phép phát hiện các tấn công
trong tươ ng lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhậ p đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do tr ục tr ặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tậ p trung :
Hình 1.2 : Cấu trúc tậ p trung.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 12/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
9
Bộ cảm biến đượ c tích hợ p vớ i thành phần sưu tậ p dữ liệu – một bộ tạo sự kiện.
Cách sưu tậ p này đượ c xác định bở i chính sách tạo sự kiện để định ngh ĩ a chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấ p một số
chính sách thích hợ p cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng vớ i thông tin chính sách có thể đượ c lưu
trong hệ thống đượ c bảo vệ hoặc bên ngoài. Trong tr ườ ng hợ p nào đó, ví dụ, khi
luồng dữ liệu sự kiện đượ c truyền tải tr ực tiế p đến bộ phân tích mà không có sự lưu
dữ liệu nào đượ c thực hiện. Điều này cũng liên quan một chút nào đó đến các gói
mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tươ ngthích đạt đượ c từ các sự kiện liên quan vớ i hệ thống bảo vệ, vì vậy có thể phát hiện
đượ c các hành động nghi ngờ . Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát
hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành
vi thông thườ ng, các tham số cần thiết (ví dụ: các ngưỡ ng). Thêm vào đó, cơ sở dữ
liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông vớ i module đáp tr ả.
Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm
phức tạ p tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể đượ c sắ p đặt tậ p trung (ví dụ như đượ c tích hợ p vào trong tườ ng lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớ n, tất
cả chúng truyền thông vớ i nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc
một tác nhân, nơ i các module nhỏ đượ c tổ chức trên một host trong mạng đượ c bảo
vệ.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 13/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
10
Hình 1.3 : Cấu trúc đa tác nhân
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng đượ c
bảo vệ và phụ thuộc vào phươ ng pháp đượ c đưa ra – tạo phân tích bướ c đầu và
thậm chí đảm trách cả hành động đáp tr ả. Mạng các tác nhân hợ p tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan tr ọng của IDS.
IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơ n, đặc biệt đượ c trang bị sự
phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến ý ngh ĩ a bảo vệ liên quan đến các kiểu tấn công
mớ i. Các giải pháp dựa trên tác nhân IDS tạo cơ chế ít phức tạ p hơ n cho việc nâng
cấ p chính sách đáp tr ả.
Giải pháp kiến trúc đa tác nhân đượ c đưa ra năm 1994 là AAFID (các tác nhân tự tr ị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnhnào đó về các hành vi hệ thống ở một thờ i điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số không bình thườ ng các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi.
Các tác nhân có thể đượ c nhái và thay đổi bên trong các hệ thống khác (tính năng tự
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 14/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
11
tr ị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động đượ c kiểm soát bở i các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các k ết quả hoạt động của chúng đến bộ kiểm tra duy
nhất..
1.4. Phân biệt các mô hình IDS
Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)
NIDS
Đượ c đặt giữa k ết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượ ng vào ra. Có thể là một thiết bị phần cứng riêng biệt đượ c thiết lậ p sẵn
hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượ ng mạng đượ c sử
dụng. Tuy nhiên có thể xảy ra hiện tượ ng nghẽn cổ chai khi lưu lượ ng mạng hoạt
động ở mức cao.
Hình 1.4 : Mô hình NIDS
Một số sản phẩm NIDS :
-Cisco IDS
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 15/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
12
-Dragon® IDS/IPS
HIDS
Đượ c cài đặt cục bộ trên một máy tính làm cho nó tr ở nên linh hoạt hơ n nhiều so
vớ i NIDS. Kiểm soát lưu lượ ng vào ra trên một máy tính, có thể đượ c triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS có thể đượ c cài đặt trên nhiều dạng máy
tính khác nhau cụ thể như các máy chủ, máy tr ạm, máy tính xách tay. HIDS cho
phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể
thực hiện đượ c. Lưu lượ ng đã gửi tớ i máy tính HIDS đượ c phân tích và chuyển qua
nếu chúng không chứa mã nguy hiểm. HIDS đượ c thiết k ế hoạt động chủ yếu trên
hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng
dụng UNIX và nhiều hệ điều hành khác.
Hình 1.5 : Mô hình HIDS
1.5. Các phươ ng pháp nhận biết tấn công
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 16/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
13
Nhận biết qua tập sự kiện
Hệ thống này làm việc trên một tậ p các nguyên tắc đã đượ c định ngh ĩ a từ tr ướ c để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều đượ c k ết hợ p
vào cuộc kiểm định và đượ c dịch dướ i dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom & Sense và ComputerWatch (đượ c phát triển tại AT&T
Phát hiện xâm nhập dự a trên tập luật (Rule-Based Intrusion Detection):
Giống như phươ ng pháp hệ thống Expert, phươ ng pháp này dựa trên những hiểu
biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm
định thích hợ p. Như vậy, dấu hiệu tấn công có thể đượ c tìm thấy trong các bản ghi
(record). Một k ịch bản tấn công có thể đượ c mô tả, ví dụ như một chuỗi sự kiện
kiểm định đối vớ i các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy đượ c trong
cuộc kiểm định. Phươ ng pháp này sử dụng các từ tươ ng đươ ng tr ừu tượ ng của dữ
liệu kiểm định. Sự phát hiện đượ c thực hiện bằng cách sử dụng chuỗi văn bản
chung hợ p vớ i các cơ chế. Điển hình, nó là một k ỹ thuật r ất mạnh và thườ ng đượ c
sử dụng trong các hệ thống thươ ng mại (ví dụ như: Cisco Secure IDS, Emerald
eXpert-BSM(Solaris).
Phân biệt ý định ngườ i dùng (User intention identification):
K ỹ thuật này mô hình hóa các hành vi thông thườ ng của ngườ i dùng bằng một tậ p
nhiệm vụ mức cao mà họ có thể thực hiện đượ c trên hệ thống (liên quan đến chức
năng ngườ i dùng). Các nhiệm vụ đó thườ ng cần đến một số hoạt động đượ c điều
chỉnh sao cho hợ p vớ i dữ liệu kiểm định thích hợ p. Bộ phân tích giữ một tậ p hợ p
nhiệm vụ có thể chấ p nhận cho mỗi ngườ i dùng. Bất cứ khi nào một sự không hợ plệ đượ c phát hiện thì một cảnh báo sẽ đượ c sinh ra.
Phân tích trạng thái phiên (State-transition analysis):
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 17/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
14
Một tấn công đượ c miêu tả bằng một tậ p các mục tiêu và phiên cần đượ c thực hiện
bở i một k ẻ xâm nhậ p để gây tổn hại hệ thống. Các phiên đượ c trình bày trong sơ đồ
tr ạng thái phiên. Nếu phát hiện đượ c một tậ p phiên vi phạm sẽ tiến hành cảnh báo
hay đáp tr ả theo các hành động đã đượ c định tr ướ c.
Phươ ng pháp phân tích thống kê (Statistical analysis approach):
Đây là phươ ng pháp thườ ng đượ c sử dụng.
Hành vi ngườ i dùng hay hệ thống (tậ p các thuộc tính) đượ c tính theo một số biến
thờ i gian. Ví dụ, các biến như là: đăng nhậ p ngườ i dùng, đăng xuất, số tậ p tin truy
nhậ p trong một khoảng thờ i gian, hiệu suất sử dụng không gian đĩ a, bộ nhớ , CPU,…
Chu k ỳ nâng cấ p có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá tr ị
có ngh ĩ a cho mỗi biến đượ c sử dụng để phát hiện sự vượ t quá ngưỡ ng đượ c định
ngh ĩ a từ tr ướ c. Ngay cả phươ ng pháp đơ n giản này cũng không thế hợ p đượ c vớ i
mô hình hành vi ngườ i dùng điển hình. Các phươ ng pháp dựa vào việc làm tươ ng
quan thông tin về ngườ i dùng riêng lẻ vớ i các biến nhóm đã đượ c gộ p lại cũng ít có
hiệu quả.
Vì vậy, một mô hình tinh vi hơ n về hành vi ngườ i dùng đã đượ c phát triển bằng
cách sử dụng thông tin ngườ i dùng ngắn hạn hoặc dài hạn. Các thông tin này
thườ ng xuyên đượ c nâng cấ p để bắt k ị p vớ i thay đổi trong hành vi ngườ i dùng. Các
phươ ng pháp thống kê thườ ng đượ c sử dụng trong việc bổ sung
1.6 Các sản phẩm IDS trên thị trườ ng
Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại đượ c trong môi tr ườ ng hoạt động
kinh doanh. Vớ i khả năng tươ ng thích vớ i Unix, nó có một khả năng linh hoạt tuyệt
vờ i. Đưa ra vớ i một giao diện báo cáo vớ i hơ n 1. 000 báo cáo khác nhau, giúp kiểm
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 18/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
15
soát đượ c Nhậ p phức tạ p. Ngoài ra nó cũng hỗ tr ợ một giải pháp cảnh báo toàn diện
cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác.
1. Tính năng cảnh báo toàn diện
2. Tính năng báo cáo toàn diện
3. Hợ p nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng
4. Tr ả lại sự hỗ tr ợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ mỉ
5. Lọc dữ liệu cho phép xem lại một cách dễ dàng
6. Kiểm tra thờ i gian thực
7. Phân tích dữ liệu đã đượ c capture
8. Tuân thủ theo các chuẩn công nghiệ p
9. Sự bắt buộc theo một nguyên tắc
ELM
Phần mềm TNT là một phần mềm hỗ tr ợ các chức năng HIDS, đây là một sản phẩm
đượ c phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ tr ợ việc kiểm tra
thờ i gian thực, khả năng hoạt động toàn diện và phươ ng pháp báo cáo tỉ mỉ. Cơ sở
dữ liệu đượ c bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm đượ c an toàn.
Điều này có ngh ĩ a là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự
động tạo một cở sở dữ liệu tạm thờ i để lưu dữ liệu cho đến khi cở sở dữ liệu chínhonline tr ở lại. Dướ i đây là một số mô tả vắn tắt về ELM Enterprise Manager 3. 0
1. ELM hỗ tr ợ giao diện mô đun phần mềm MMC linh hoạt
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 19/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
16
2. Hỗ tr ợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các
bản ghi sự kiện và bộ đếm hiệu suất.
3. Hỗ tr ợ báo cáo wizard vớ i phiên bản mớ i có thể lậ p lịch trình, ngoài ra còn hỗ tr ợ
các báo cáo HTML và ASCII
4. Quan sát tậ p trung các bản ghi sự kiện trên nhiều máy chủ
5. Client đượ c chỉ đượ c kích hoạt Web trên trình duyệt hỗ tr ợ JavaScript và XML
6. Hỗ tr ợ giao diện kiến thức cơ sở
7. Hỗ tr ợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT.
8. Hỗ tr ợ cở sở dữ liệu SQL Server và Oracle.
9. Các truy vấn tươ ng thích WMI cho mục đích so sánh
10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhậ p
GFI LANGUARD S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơ n giản cho việc cài
đặt. Dướ i đây là những thông tin vắn tắt về GFI LANguard S.E.L.M.
1. Phân tích bảo mật tự động và r ộng rãi trong toàn mạng đối vớ i các bản ghi sự
kiện
2. Quản lý bản ghi sự kiện mạng
3. Phát hiện nâng cao các tấn công bên trong
4. Giảm TOC
5. Không cần đến phần mềm client hoặc các tác nhân
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 20/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
17
6. Không ảnh hưở ng đến lưu lượ ng mạng
7. Dễ cải tiến, thích hợ p vớ i các mạng hoạt động kinh doanh hoặc các mạng nhỏ
8. Bộ kiểm tra file mật
9. Kiểm tra bản ghi toàn diện
10. Phát hiện tấn công nếu tài khoản ngườ i dùng cục bộ bị sử dụng
SNORT
Snort là một sản phẩm tuyệt vờ i và nó đã chiến thắng khi đưa vào hoạt động trongmôi tr ườ ng UNIX. Sản phẩm mớ i nhất đượ c đưa ra gần đây đượ c hỗ tr ợ nền
Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm
này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại tr ừ thờ i gian
và băng tần cần thiết để tải nó. Giải pháp này đã đượ c phát triển bở i nhiều ngườ i và
nó hoạt động r ất tốt trên các phần cứng r ẻ tiền, điều đó đã làm cho nó có thể tồn tại
đượ c trong bất k ỳ tổ chức nào.
Dướ i đây là những thông tin vắn tắt về sản phẩm này:
1. Hỗ tr ợ cấu hình hiệu suất cao trong phần mềm
2. Hỗ tr ợ tốt cho UNIX
3. Hỗ tr ợ mã nguồn mở linh hoạt
4. Hỗ tr ợ tốt SNMP
5. Hỗ tr ợ mô đun quản lý tậ p trung
6. Hỗ tr ợ việc cảnh báo và phát hiện xâm phạm
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 21/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
18
7. Có các gói bản ghi
8. Phát hiện tấn công toàn diện
9. Các mô đun đầu ra tinh vi cung cấ p khả năng ghi chép toàn diện
10. Hỗ tr ợ ngườ i dùng trên các danh sách mail và qua sự tươ ng tác email
Cisco IDS
Giải pháp này là của Cisco, vớ i giải pháp này bạn thấy đượ c chất lượ ng, cảm nhận
cũng như danh tiếng truyền thống của nó.
Dướ i đây là những thông tin vắn tắt về thiết bị này:
1. Các tính năng phát hiện chính xác làm giảm đáng k ết các cảnh báo sai.
2. Khả năng nâng cấ p hoạt động kinh doanh giống như các sản phẩm của Cisco .
3. Hệ thống phát hiện xâm phạm thờ i gian thực, báo cáo và ngăn chặn các hành
động trái phép
4. Việc phân tích mẫu dùng để phát hiện đượ c thực hiện ở nhiều mức khác nhau
5. Cho hiệu suất mạng cao
6. Quản lý danh sách truy cậ p định tuyến động thích nghi k ị p thờ i vớ i hành vi của
k ẻ xâm nhậ p
7. Quản lý GUI tậ p trung
8. Quản lý từ xa
9. Email thông báo sự kiện.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 22/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
19
Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này r ất đa năng và có
các yêu cầu bảo mật cần thiết trong môi tr ườ ng hoạt động kinh doanh. Nó cũng hỗ
tr ợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát
IDS hoàn tất, đượ c thiết k ế hoàn hảo cùng vớ i việc kiểm tra tích hợ p. Tuy nhiên
điểm yếu của sản phẩm này là ở chỗ giá cả của nó. Dướ i đây là những thông tin vắn
tắt về Dragon (Phiên bản hoạt động kinh doanh).
1. Dragon hỗ tr ợ cả NIDS và HIDS
2. Hỗ tr ợ trên một loạt nền tảng Windows, Linux, Solaris và AIX
3. Đượ c mô đun hóa và có thể mở r ộng
4. Kiểm tra quản lý tậ p trung
5. Phân tích và báo cáo toàn diện
6. Khả năng tươ ng thích cao vớ i các chi tiết k ỹ thuật trong hoạt động kinh doanh
7. Kiểm tra bảo mật hiệu quả, tích hợ p các switche, firewall và router.
8. Quản lý biên dịch báo cáo
9. Có chu k ỳ cậ p nhật chữ k ỹ hoàn hảo.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 23/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
20
CHƯƠ NG II – K ẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG
SWITCH CISCO
Trong chươ ng này chúng ta sẽ khảo sát k ỹ thuật cho phép k ết nối hệ thống IDS váo
hệ thống switch của Cisco. Đó là k ỹ thuật phân tích thống kê cổng switch. K ỹ thuật
phân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi
đượ c gọi là k ỹ thuật tham chiếu cổng (port mirroring) hoặc giám sát cổng(port
monitoring), cho phép k ết nối máy phân tích vào Switch Cisco. Máy phân tích có
thể là một Cisco SwitchProbe hoặc một thiết bị theo dõi khảo sát từ xa Remote
Monitoring (RMON). Tr ướ c đây, SPAN là một tính năng k ỹ thuật tươ ng đối cơ bản
trên dòng Switch Cisco Catalysts. Tuy nhiên, các phiên bản mớ i của Catalyst OS
(CatOS) giớ i thiệu các tính năng nâng cao và nhiều khả năng mớ i đối vớ i ngườ i sử
dụng. Ta sẽ điểm qua các đặc điểm của SPAN. Đó là:
- SPAN là gì , cách cấu hình.
- Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên SPAN
xảy ra đồng thờ i), và yêu cầu hệ thống để chạy chúng.
- SPAN ảnh hưở ng thế nào đến khả năng thực thi của Switch
2.1 Các kiến thứ c cơ sở của k ỹ thuật phân tích thống kê cổng - SPAN
2.1.1 Khái niệm SPAN
Đặc điểm của SPAN đượ c giớ i thiệu khi phân biêt chức năng cơ bản khác biệt giữa
switch vớ i hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản
sao của gói tin đó đến tất cả các port còn lại tr ừ port mà hub nhận gói tin đến. Khimột switch khở i động, nó bắt đầu tạo nên một bảng chuyển tiế p (forwarding table )
Layer 2 dựa trên cơ sở địa chỉ MAC nguồn của các gói tin khác nhau mà switch
nhận đượ c. Sau khi bảng chuyển tiế p này đượ c xây dựng xong, Switch sẽ chuyển
tiế p luồng dữ liệu đến đúng cổng thích hợ p có địa chỉ MAC trong bảng.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 24/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
21
Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet đượ c gửi bở i máy A sang máy B
và cả hai đượ c nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng
khác sẽ “xem” đượ c lưu lượ ng từ máy A đến máy B
Hình 2.1 : Máy cần theo dõi gắn vào hub
Trên Switch, sau khi địa chỉ MAC máy B đượ c học, luồng dữ liệu đơ n nhất (traffic
unicast) từ máy A đến máy B đượ c chuyển tiế p duy nhất đến cổng (port switch) mà
máy B nối đến. Bở i vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phân
tích.
Hình 2.2 : Máy cần theo dõi gắn vào Switch
Trong mô hình này, máy phân tích chỉ nhận đượ c các luồng dữ liệu đượ c gửi đến tất
cả các cổng, như là :
- Luồng thông tin quảng bá (broadcast traffic)
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 25/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
22
- Luồng thông tin multicast vớ i CGMP hoặc Internet Group Management Protocol
(IGMP)
- Các luồng dữ liệu đơ n nhất (unicast traffic) không rõ ràng
Luồng thông tin đơ n nhất đượ c chuyển tiế p ra các cổng (flooding) khi switch không
có địa chỉ MAC đích trong bảng nhớ nội dung địa chỉ (CAM – Content-addressable
memory). Switch không biết địa chỉ cổng chính xác để gửi luồng dữ liệu đó. Đơ n
giản là nó sẽ đẩy các gói tin đến tất cả mọi cổng còn lại.
Một đặc điểm mở r ộng cần thiết là tạo một bản sao giả tạo các gói tin đơ n nhất
(unicast packets) để đưa đến cổng Switch gắn máy phân tích dữ liệu
Hình 2.3 : Dữ liệu đượ c tạo bản sao ở SwitchỞ cấu trúc trên, máy phân tích đượ c gắn vào cổng đượ c cấu hình để nhận một bản
sao của mọi gọi tin mà máy A gửi, cổng này đượ c gọi là cổng SPAN.
2.1.2 Các thuật ngữ
- Ingress traffic : luồng dữ liệu chạy vào switch
- Egress traffic : luồng dữ liệu đi ra khỏi switch
- Source (SPAN) port : cổng đượ c theo dõi (monitor) bằng việc sử dụng k ỹ thuậtSPAN
- Source (SPAN) VLAN : VLAN đượ c theo dõi
- Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thườ ng là khi
ở đây có một máy phân tích đượ c gắn vào
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 26/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
23
- Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN
- Monitor port : một cổng theo dõi cũng đồng thờ i là một cổng đích SPAN trong
Catalyst 2900XL/3500XL/2950
Hình 2.4 : Các thuật ngữ
- Local SPAN : đặc điểm SPAN này là cục bộ khi cổng đượ c theo dõi là đượ c đặt
trên cùng Switch như cổng đích. Đặc điểm này là tươ ng phản vớ i Remote SPAN
(RSPAN)
- Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch vớ i cổng
đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm
mang luồng thông tin đượ c theo dõi bở i SPAN giữa các Switch. RSPAN không hỗ
tr ợ trên tất cả các Switch. Kiểm tra ghi chú phát hành tươ ng ứng hoặc hướ ng dẫn
cấu hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai.
- Port-based SPAN (PSPAN) : Ngườ i sử dụng chỉ rõ một hoặc một vài cổng nguồn
trên Switch và một cổng đích.
- VLAN-based SPAN (VSPAN) : Trên một Switch, ngườ i sử dụng có thể chọn theodõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh.
- Administrative source : Một tậ p các cổng nguồn hoặc các VLAN đượ c cấu hình để
theo dõi.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 27/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
24
- Operational source : Một tậ p các cổng đượ c quản lý thực sự. Tậ p các cổng này có
thể khác nhau từ nguồn quản tr ị. Ví dụ, một cổng trong chế độ tắt có thể hiển thị tại
nguồn quản tr ị, nhưng nó không thực sự đượ c theo dõi.
2.1.3 Các đặc điểm của cổng nguồn
Một cổng nguồn, còn đượ c gọi là cổng đượ c theo dõi (monitored port), là một cổng
đượ c chuyển mạch hoặc đượ c định tuyến cho phép bạn theo dõi luồng dữ liệu trên
mạng. Trong một phiên cục bộ SPAN hoặc phiên nguồn RSPAN, bạn có thể theo
dõi lưu lượ ng cổng nguồn, như lưu lượ ngn nhận (Rx), gửi (Tx), hoặc cả hai hướ ng
(bidirectional). Switch hỗ tr ợ mọi cổng (trên switch) và mọi VLAN tồn tại trên đó
có thể là nguồn.
Một cổng nguồn có các đặc điểm :
• Nó có thể là bất k ỳ kiểu cổng nào, chẳng hạn như EtherChannel, Fast
Ethernet, Gigabit Ethernet, ….
• Nó có thể đượ c theo dõi trong nhiều phiên Span.
• Nó không thể là một cổng đích.
• Mỗi cổng nguồn có thể đượ c cấu hình vớ i một hướ ng (đi vào, đi ra, hoặc cả hai) để theo dõi. Vớ i nguồn EtherChannel, theo dõi và giám sát các hướ ng áp
dụng cho tất cả các cổng vật lý trong nhóm.
• Cổng nguồn có thể có ở trong cùng một hoặc nhiều VLANs khác nhau.
• Vớ i các VLAN Span nguồn, tất cả các cổng hoạt động trong các VLAN
nguồn đượ c bao gồm như cổng nguồn.
2.1.4 Lọc VLAN
Khi bạn theo dõi đườ ng trunk như là một cổng nguồn, tất cả các VLANs đang hoạt
động trên đườ ng trunk đượ c giám sát theo mặc định. Bạn có thể sử dụng lọc VLAN
để giớ i hạn lưu lượ ng SPAN giám sát trên đườ ng trunk cổng nguồn để chỉ rõ các
VLANs.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 28/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
25
• VLAN lọc chỉ áp dụng cho các đườ ng trunk hoặc cổng voice VLAN.
• VLAN lọc chỉ áp dụng cho các cổng nguồn dựa trên phiên và không đượ c
cho phép trong phiên vớ i VLAN nguồn.
• Khi một danh sách VLAN lọc đượ c xác định, chỉ có những VLANs trong
danh sách đượ c theo dõi và giám sát trên các cổng trunk hoặc trên cổng, truy
nhậ p voice VLAN .
• Lưư lượ ng Span truy cậ p đến từ các kiểu cổng khác không bị ảnh hưở ng bở i
VLAN lọc, điều đó có ngh ĩ a là tất cả các VLANs đều đượ c phép qua các
cổng khác.
• VLAN lọc chỉ ảnh hưở ng đến lưu lượ ng chuyển tiế p đến cổng đích Span và
không ảnh hưở ng tớ i việc chuyển mạch của lưu lượ ng truy cậ p bình thườ ng.
• Bạn không thể làm việc vớ i các VLAN nguồn và lọc cácVLAN trong một
phiên. Bạn có thể có các VLAN nguồn hoặc các VLAN lọc, nhưng không
làm cả hai cùng một lúc đượ c
2.1.5 Các đặc điểm của nguồn VLAN
VSPAN là giám sát lưu lượ ng mạng ở một hoặc nhiều VLANs. Span hay RSPAN
nguồn giao diện trong VSPAN là một VLAN ID, và lưu lượ ng đượ c theo dõi trên
tất cả các cổng thuộc về VLAN đó.
VSPAN có những đặc điểm:
• Tất cả các cổng hoạt động trong VLAN nguồn đượ c bao gồm như cổng
nguồn và có thể đượ c theo dõi ở một hoặc cả hai hướ ng.
• Trên một cổng, chỉ lưu lượ ng trên VLAN đượ c theo dõi đượ c gửi đến cổng
đích.
• Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại tr ừ khỏi danh
sách nguồn và không đượ c theo dõi và giám sát.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 29/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
26
• Nếu các cổng đượ c thêm hoặc xoá bỏ từ các VLANs nguồn, lưu lượ ng trên
các VLAN nguồn nhận đượ c bở i các cổng đượ c thêm vào hoặc xoá bỏ từ
nguồn đang theo dõi và giám sát.
• Bạn không thể sử dụng các VLANs lọc trong cùng một phiên vớ i VLAN
nguồn.
• Bạn có thể theo dõi duy nhất các Ethernet VLANs.
2.1.6 Các đặc điểm của cổng đích
Mỗi phiên cục bộ SPAN hay phiên đích RSPAN phải có một cổng đích(còn gọi là
cổng giám sát) nhận đượ c một bản sao lưu lượ ng truy cậ p từ các cổng nguồn và các
VLANs.
Một cổng đích có các đặc điểm :
• Một cổng đích phải trên cùng một Switch như cổng nguồn (cho một phiên
SPAN cục bộ).
• Một cổng đích có thể là bất k ỳ cổng Ethernet vật lý nào.
• Một cổng đích có thể tham gia vào duy nhất một phiên SPAN tại một thờ i
điểm. Một cổng đích trong một phiên SPAN không thể là một cổng đích cho
phiên SPAN thứ hai. Một cổng đích không thể là một cổng nguồn.
• Một cổng nguồn không thể là một nhóm EtherChannel.
• Một cổng đích có thể là một cổng vật lý trong một nhóm EtherChannel,
ngay cả khi nhóm EtherChannel đã đượ c xác định như là một nguồn SPAN.
The port is removed from the group while it is configured as a SPAN
destination port. Cổng đó đượ c gỡ bỏ khỏi nhóm trong khi nó đã đượ c cấu
hình như một cổng đích SPAN.
• Cổng đó không truyền tải bất k ỳ lưu lượ ng nào, ngoại tr ừ lưu lượ ng cho các
phiên SPAN thiết cho buổi học tậ p, tr ừ khi tiến trình tự học đượ c kích hoạt.
Nếu tiến trình tự học đượ c kích hoạt, cổng đó cũng truyền lưu lượ ng theo
hướ ng đến các máy tr ạm đã đượ c học trên cổng đích.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 30/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
27
• Tr ạng thái của cổng đích bật /tắt theo chế độ định sẵn. Giao diện hiển thị
cổng đó trong tr ạng thái này theo thứ tự rõ ràng các cổng hiện tại không thích
hợ p nhu cổng nguồn.
• Nếu lưu lượ ng chuyển tiế p đượ c cho phép cho một thiết bị bảo mật mạng.
Các cổng đích chuyển tiế p lưu lượ ng tại lớ p 2(DataLink).
• Một cổng đích không tham gia vào cây bao trùm trong khi các phiên SPAN
đang hoạt động.
• Khi đây là một cổng đích, nó không tham gia vào bất k ỳ giao thức lớ p 2 (EP,
VTP, CDP, DTP, PagP).
• Một cổng đíchthuộc về một nguồn VLAN của bất cứ phiên SPAN bị loại tr ừ
khỏi danh sách các nguồn và không đượ c giám sát.
• Một cổng đích nhận đượ c các bản sao của lưu lượ ng gửi và nhận của cổng
nguồn đượ c giám sát. Nếu một cổng đích hết thờ i gian truy nhậ p, nó có thể
dẫn đến xung đột. Điều này có thể ảnh hưở ng đến lưu lượ ng chuyển tiế p trên
một hoặc nhiều cổng nguồn.
2.1.7 Các đặc điểm của cổng phản hồi
Cổng phản hồi là cơ chế đưa các bản sao các gói lên một RSPAN VLAN. Cổng
phản hồi chuyển tiế p duy nhất những lưu lượ ng từ phiên RSPAN nguồn vớ i phiên
mà nó tr ực thuộc. Bất k ỳ thiết bị nào k ết nối đến một cổng đựoc đặt là cổng phản
hồi mất k ết nối chỉ khi phiên RSPAN nguồn bị vô hiệu hóa.
Cổng phản hồi có những đặc điểm :
• Là một cổng đặt ở chế độ loopback.
• Nó có thể không đượ c là một nhóm EtherChannel, không phải đườ ng trunk,
và nó không thể thực hiện giao thức lọc.
• Nó có thể là một cổng vật lý đượ c đặt trong một nhóm EtherChannel, ngay
cả khi nhóm EtherChannel đượ c xác định như là một SPAN nguồn. Cổng
đượ c bỏ khỏi nhóm trong khi nó đã đượ c cấu hình như một cổng phản hồi.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 31/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
28
• Một cổng đượ c sử dụng như là một cổng phản hồi không thể là một SPAN
nguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi cho
nhiều hơ n một phiên tại một thờ i điểm.
• Nó không nhìn thấy trong mọi VLANs.
• Native VLAN dành cho lưu lượ ng looped-back trên một cổng phản hồi là
RSPAN VLAN.
• Cổng phản hồi loops back không đánh dấu lưu lượ ng đi đến Switch. Lưu
lượ ng đặt trên RSPAN VLAN và đưa đến các cổng trunk bất k ỳ mang
RSPAN VLAN đó.
• Thuật toán cây bao trùm tự động bị vô hiệu trên một cổng phản hồi.
• Một cổng phản hồi nhận các bản sao của lưu lượ ng đã gửi và nhận cho tất cả
các nguồn đã giám sát..
2.2. SPAN trên các dòng Switch Cisco
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series
chạy CatOS
Lư u ý: Phần này chỉ đượ c áp dụng cho dòng Switch Cisco Catalyst 2900 Series :
• Cisco Catalyst 2948G-L2
• Cisco Catalyst 2948G-GE-TX
• Cisco Catalyst 2980G-A
Phần này đượ c áp dụng cho dòng Cisco Catalyst 4000 Series bao gồm:
• Modular Chassis Switches:o Cisco Catalyst 4003
o Cisco Catalyst 4006
• Fixed Chassis Switch:
o Cisco Catalyst 4912G
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 32/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
29
SPAN cục bộ
Các tính năng SPAN đượ c cậ p nhật lần lượ t đến CatOS, và cấu hình một SPAN bao
gồm một lệnh đơ n set SPAN . Hiện nay, một loạt các tuỳ chọn có sẵn cho lệnh :
switch (enable) set SPAN
Usage: set SPAN disable [dest_mod/dest_port|all]
set SPAN <src_mod/src_ports...|src_vlans...|sc0>
<dest_mod/dest_port> [rx|tx|both]
[inpkts <enable|disable>]
[learning <enable|disable>] [multicast <enable|disable>]
[filter <vlans...>]
[create]
Lượ c đồ mạng này giớ i thiệu những khả năng khác nhau SPAN tuỳ theo yêu cầu:
Hình 2.5 : K ết nối theo từ ng VLAN
Lượ c đồ này đại diện cho một phần của một dòng thẻ mà nằm ở slot 6 của Catalyst
6500/6000. Trong phần này:
• Ports 6/1 and 6/2 belong to VLAN 1
• Port 6/3 belongs to VLAN 2
• Ports 6/4 and 6/5 belong to VLAN 3
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 33/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
30
K ết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một
số tr ườ ng hợ p khác nhau.
PSPAN, VSPAN : Giám sát một số cổng hoặc toàn bộ một VLAN
Nhậ p mẫu đơ n giản nhất lệnh set SPAN để giám sát một cổng. Cú pháp là set
SPAN source_port destination_port .
Giám sát một cổng vớ i SPAN
Hình 2.6 : Giám sát sát một cổng
switch (enable) set SPAN 6/1 6/2
Destination : Port 6/2Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local
SPAN
session active for destination port 6/2
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 34/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
31
Vớ i cấu hình này, mỗi gói đượ c nhận hoặc gửi qua cổng 6/1 đượ c sao chép trên
cổng 6/2. Một mô tả rõ ràng lên đến khi bạn đưa vào cấu hình. Sử dụng show
SPAN để nhận đượ c một tóm tắt cấu hình SPAN hiện tại:
switch (enable) show SPAN
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local SPAN sessions: 1
Giám sát một số cổng vớ i SPAN
Hình 2.7 : Giám sát nhiều cổng
Câu lệnh set SPAN source_ports destination_port cho phép ngườ i sử dụng chỉ định
nhiều hơ n một cổng nguồn . Đơ n giản chỉ cần liệt kê tất cả các cổng trên mà bạn
muốn thực hiện SPAN, phân tách các cổng vớ i các dấu phẩy. Các thông dịch dòng
lệnh cũng cho phép bạn sử dụng gạch nối để xác định một dải các cổng. Ví dụ này
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 35/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
32
minh họa khả năng này để xác định nhiều hơ n một cổng. Ví dụ sử dụng SPAN trên
cổng 6/1 và một dải 3 cổng 6/3 đến 6/5:
Lư u ý: Hiện chỉ có thể xác định một cổng đích. Luôn luôn xác định cổng đích sau
nguồn SPAN .
switch (enable) set SPAN 6/1,6/3-5 6/2
2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local SPAN session
inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/1,6/3-5
Oper Source : Port 6/1,6/3-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local
span
session active for destination port 6/2
Lư u ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000,
5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau vớ icác phiên bản CatOS tr ướ c 5.1. Ở đây, các cổng giám sát đượ c gán cho các VLANs
1, 2, và 3.
Giám sát các VLANs vớ i SPAN
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 36/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
33
Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượ ng
cục bộ một VLAN. Cú pháp là set SPAN source_vlan(s) destination_port .
Sử dụng một danh sách của một hoặc nhiều VLANs như là một nguồn, thay vì một
danh sách các cổng:
Hình 2.8 : Sử dụng các VLAN như các nguồn cổng
switch (enable) set SPAN 2,3 6/2
2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local SPAN
session inactive
for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 2-3
Oper Source : Port 6/3-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:40:10 %SYS-5-
SPAN_CFGSTATECHG:local SPAN
session active for destination port 6/2
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 37/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
34
Vớ i cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 đượ c nhân bản
đến cổng 6/2.
Lư u ý: K ết quả là chính xác giống như nếu bạn thực hiện SPAN độc lậ p trên tất cả
các cổng thuộc các VLANs mà câu lệnh chỉ rõ. So sánh các tr ườ ng Oper Source và
tr ườ ng Admin Source . Tr ườ ng Admin Source liêt kê cơ bản tất cả các cổng cấu
hình cho phiên SPAN, và tr ườ ng Oper Source liệt danh sách các cổng sử dụng
SPAN.
Ingress/Egress SPAN
Ở ví dụ trong phần Monitor VLANs with SPAN, lưu lượ ng đi vào và đi ra khỏi các
cổng đượ c xác định đượ c giám sát. Các tr ườ ng hướ ng : truyền/nhận hiển thị lưu
lượ ng. Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để
thu thậ p chỉ các lưu lượ ng đi ra hoặc chỉ lưu lượ ng đi vào trên một cổng. Thêm vào
các từ khoá RX (nhận) hoặc tx (truyền) cuối dòng lệnh lệnh. Giá tr ị mặc định là
both (tx và RX).
set SPAN source_port destination_port [rx | tx | both]
In this example, the session captures all incoming traffic for VLANs 1 and 3 and
mirrors the traffic to port 6/2: Trong ví dụ này, phiên này lưu tất cả lưu lượ ng đến
các VLANs 1 và 3 và nhân bản lưu lượ ng đến cổng 6/2:
Hình 2.9 : Nhân bản lư u lượ ng đến cổng 6/2
switch (enable) set SPAN 1,3 6/2 rx
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 38/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
35
2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local SPAN
session
inactive for destination port 6/2
Destination : Port 6/2
Admin Source : VLAN 1,3
Oper Source : Port 1/1,6/1,6/4-5,15/1
Direction : receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:09:06 %SYS-5-
SPAN_CFGSTATECHG:local SPAN
session active for destination port 6/2
Thự c hiện SPAN trên một đườ ng Trunk
Các đườ ng Trunks là một tr ườ ng hợ p đặc biệt trong một Switch, vì các trunk mang
thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the
VLANs on this trunk is monitored. Nếu một đườ ng trunk đượ c chọn là một cổng
nguồn, lưu lượ ng truy cậ p tất cả các VLANs trên đườ ng trunk này đượ c giám sát.
Giám sát một tập nhỏ của các VLANs trên một đườ ng trunk
Trong Lượ c đồ này, cổng 6/5 hiện tại là một đườ ng trunk mang tất cả các VLANs.
Tưở ng tượ ng r ằng bạn muốn sử dụng SPAN trên lưu lượ ng truy cậ p trong VLAN
cho 2 cổng 6/4 và 6/5. Đơ n giản là dùng lệnh :
switch (enable) set SPAN 6/4-5 6/2
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 39/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
36
Hình 2.10 : Giám sát lư u lượ ng qua đườ ng trunk
Trong tr ườ ng hợ p này, lưu lượ ng đó đượ c nhận trên cổng SPAN là pha tr ộn của lưu
lượ ng truy cậ p mà bạn muốn và tất cả các VLANs mà đườ ng trunk 6/5 mang. Ví dụ,
không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN
2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ
VLAN 2:
switch (enable) set SPAN 2 6/2
Hình 2.11 : Thiết lập VLAN bị giám sát
Vớ i cấu hình này, ít nhất, bạn chỉ giám sát lưu lượ ng truy cậ p thuộc về VLAN 2 từ
đườ ng trunk đó. Vấn đề là hiện tại bạn cũng nhận đượ c lưu lượ ng truy cậ p mà bạn
không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựachọn một số VLANs để giám sát từ đườ ng trunk
switch (enable) set SPAN 6/4-5 6/2 filter 2
2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session
inactive
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 40/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
37
for destination port 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : 2
Status : active
Lệnh này đạt đượ c mục tiêu vì bạn chọn VLAN 2 trên tất cả các đườ ng trunks đượ c
theo dõi và giám sát. Bạn có thể chỉ định một số VLANs vớ i tùy chọn lọc.
Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst
6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is
available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ tr ợ trên
dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ tr ợ
tùy chọn lọc sẵn có vớ i câu lệnh set SPAN.
Trunking trên cổng đích
Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng
SPAN trên một vài VLANs trên một đườ ng trunk, bạn có thể muốn xác định VLAN
của một gói bạn nhận đượ c trên cổng SPAN đích . Điều này có thể đượ c xác định
là nếu bạn cho phép trunking trên cổng đích tr ướ c khi bạn cấu hình cổng cho
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 41/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
38
SPAN. Bằng cách này, tất cả các gói đượ c chuyển tiế p đến các Sniffer cũng đượ c
gắn thẻ của họ tươ ng ứng vớ i VLAN ID.
Note: Your sniffer needs to recognize the corresponding encapsulation.
Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tươ ng ứng.
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive for destination port 6/2
switch (enable) set trunk 6/2 nonegotiate isl
Port(s) 6/2 trunk mode set to nonegotiate.
Port(s) 6/2 trunk type set to isl.
switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has
becomeisl trunk
switch (enable) set span 6/4-5 6/2
Destination : Port 6/2
Admin Source : Port 6/4-5
Oper Source : Port 6/4-5
Direction : transmit/receive
Incoming Packets: disabledLearning : enabled
Multicast : enabled
Filter : -
Status : active
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 42/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
39
2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session
active for
destination port 6/2
Tạo ra các phiên làm việc đồng thờ i
Tr ướ c đây, chỉ có một phiên Span đã đượ c tạo ra. Mỗi lầng bạn nhậ p một lệnh mớ i
set span, cấu hình tr ướ c đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy
nhiều phiên đồng thờ i, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhậ p
lệnh set span source destination create để tạo thêm một phiên SPAN. Trong phiên
này, cổng 6/1 đến 6/2 đượ c giám sát, và cùng một thờ i điểm, VLAN 3 đến cổng 6/3
đượ c giám sát:
Hình 2.12 : Giám sát đồng thờ i
switch (enable) set span 6/1 6/2
2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/2
Destination : Port 6/2Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 43/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
40
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local
span
session active for destination port 6/2
switch (enable) set span 3 6/3 create
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:localspan
session active for destination port 6/3
Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thờ i điểm:
switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 44/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
41
Multicast : enabled
Filter : -
Status : active
------------------------------------------------------------------------
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 2
Các phiên thêm vào đượ c khở i tạo. Bạn muốn xoá một vài phiên. Câu lệnh là
set span disable {all | destination_port }
Bở i vì chỉ có thể có đượ c một cổng đích mỗi phiên, cổng đó xác định một phiên.
Xóa phiên đầu tiên đượ c khở i tạo, là phiên sử dụng port 6/2 là cổng đích:
switch (enable) set span disable 6/2
This command will disable your span session.
Do you want to continue (y/n) [n]?y
Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/2
Bạn có thể kiểm tra hiện tại có duy nhất một phiên duy trì :
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 45/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
42
switch (enable) show span
Destination : Port 6/3
Admin Source : VLAN 3
Oper Source : Port 6/4-5,15/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
Total local span sessions: 1
Nhậ p câu lệnh sau nếu muốn khoá tất cả các phiên hiện tại trong một bướ c :
switch (enable) set span disable all
This command will disable all span session(s).
Do you want to continue (y/n) [n]?y
Disabled all local span sessions
2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session
inactive
for destination port 6/3
switch (enable) show span
No span session configured
Các tuỳ chọn SPAN khác
Cú pháp của set span là :
switch (enable) set span
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 46/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
43
Usage: set span disable [dest_mod/dest_port|all]
set span <src_mod/src_ports...|src_vlans...|sc0>
<dest_mod/dest_port> [rx|tx|both]
[inpkts <enable|disable>]
[learning <enable|disable>]
[multicast <enable|disable>]
[filter <vlans...>]
[create]
Phần này giớ i thiệu ngắn gọn các tuỳ chọn mà tài liệu đề cậ p :
• sc0-Bạn chỉ rõ từ khóa sc0 khi cấu hình một Span khi bạn cần phải giám sát
lưu lượ ng truy cậ p vào giao diện quản lý sc0. Tính năng này có sẵn trên các
Catalyst 5500/5000 và 6500/6000, CatOS phiên bản 5.1 hoặc mớ i hơ n.
• inpkts enable/disable -Tùy chọn này là vô cùng quan tr ọng. Khi ở tuỳ chọn
này, một cổng mà bạn cấu hình là cổng Span đích vẫn thuộc về VLAN ban
đầu của nó. Các gói đượ c nhận trên một cổng đích sau đó đi vào VLAN đó,
nếu cổng này là một cổng truy nhậ p bình thườ ng. Động thái này có thể đượ c
mong muốn. Nếu bạn sử dụng một máy tính như là một Sniffer, bạn có thể
muốn máy PC hoàn toàn k ết nối vớ i VLAN đó. Tuy nhiên, các k ết nối có thể
đượ c gây nguy hiểm nếu bạn k ết nối cổng đích đến các thiết bị mạng khác ,
tạo loop trong mạng. Cổng SPAN đich, không chạy STP, và bạn có thể k ết
thúc trong một tình huống lặ p dữ liệu. Cấu hình mặc định của tùy chọn này
là vô hiệu hóa, điều đó có ngh ĩ a là cổng đích span bỏ qua các mà cổng nhận
đượ c. Điều này bảo vệ cổng khỏi tình tr ạng bridging "loop". Tùy chọn này
xuất hiện trong CatOS 4.2.• learning enable/disable — Tùy chọn này cho phép bạn vô hiệu hoá quá trình
học trên cổng đích. Theo mặc định, quá trình học đượ c kích hoạt và cổng
đích học các địa chỉ MAC từ các gói cổng nhận đượ c. Tính năng này xuất
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 47/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
44
hiện trong CatOS 5,2 trên Catalyst 4500/4000 và 5500/5000, và trong CatOS
5,3 trên Catalyst 6500/6000.
• Như tên gọi, tùy chọn này cho phép bạn để kích hoạt hoặc vô hiệu hóa việc
giám sát của các gói multicast. Mặc định là cho phép. Tính năng này có sẵn
trên các Catalyst 5500/5000 và 6500/6000, CatOS 5,1 và sau
• spanning port 15/1 —Trên Catalyst 6500/6000, bạn có thể sử dụng cổng
15/1 (hoặc 16/1) như là một SPAN nguồn. Cổng này có thể giám sát lưu
lượ ng truy cậ p đượ c gửi đến Multilayer Switch Feature Card (MSFC).. Cổng
bắt lưu lượ ng đượ c định tuyến-mềm hoặc đưa tớ i MSFC.
SPAN từ xa
Tổng quan về RSPAN
RSPAN cho phép bạn giám sát các cổng nguồn phân bố trên một mạng, không chỉ
cục bộ trên một Switch vớ i SPAN. Tính năng này xuất hiện trong CatOS 5.3 trong
dòng Catalyst 6500/6000 Series và đượ c cậ p nhật trong Catalyst 4500/4000 Series
trong CatOS 6.3 và sau đó.
Các chức năng hoạt động chính xác như là một phiên SPAN thông thườ ng. Lưu
lượ ng đượ c giám sát bở i SPAN không sao chép tr ực tiế p đến cổng đích, nhưng đẩy
vào một VLAN RSPAN đặc biệt. Các cổng đích có thể nằm bất cứ nơ i nào trong
này RSPAN VLAN. Thậm chí có thể có vài cổng đích.
Lượ c đồ dướ i miêu tả cấu trúc của một phiên RSPAN
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 48/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
45
Hình 2.3 : Giám sát từ xa
Trong ví dụ này, bạn cấu hình RSPAN để giám sát lưu lượ ng mà máy A gửi. Khi A
phát một frame đích đến là B, gói đượ c sao chép bở i một ứng dụng mạch tích hợ p
(ASIC) của Catalyst 6500/6000 Policy Feature Card (PFC) vào một RSPAN VLAN
đã xác định. Từ đó, các gói đượ c đẩy đến đến tất cả các cổng khác mà thuộc về
RSPAN VLAN đó. tất cả các liên k ết liên Switch đượ c vẽ ở trên là các đườ ng
trunks, đó là một yêu cầu cho RSPAN. Chỉ cổng truy cậ p là các cổng đích, nơ i các
máy phân tích đượ c k ết nối (ở đây, trên S4 và S5).
Có môt vài lưu ý trên thiết k ế này
• S1 đượ c gọi là một Switch nguồn. Các gói chỉ đi vào RSPAN VLAN trong
các Switch đượ c cấu hình như RSPAN nguồn. Hiện tại, một Switch chỉ có
thể là nguồn trong một phiên RSPAN, điều đó có ngh ĩ a là một Switch nguồn
chỉ có thể cho phép một RSPAN VLAN tại một thờ i điểm.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 49/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
46
• S2 và S3 là các Switch trung gian. Chúng không phải là các nguồn RSPAN
và không có các cổng đích. Một Switch có thể làm trung gian cho bất k ỳ
phiên RSPAN nào.
• S4 và S5 là các Switch đích. Một số cổng của chúng đượ c cấu hình làm cổng
đích cho một phiên RSPAN. Hiện tại, một Catalyst 6500/6000 có thể có tớ i
24 cổng đích RSPAN, cho một hoặc một vài phiên khác nhau. Bạn cũng có
thể nhận thấy r ằng cả S4 đồng thờ i là một Switch trung gian và Switch đích.
• Bạn có thể thấy các gói RSPAN đượ c làm ngậ p (flood) vào RSPAN VLAN.
Ngay cả các Switch không nằm trên đườ ng đi đến một cổng đích, chẳng hạn
như S2, nhận đượ c lưu lượ ng truy cậ p đến RSPAN VLAN. Bạn có thể làm
hiệu quả hơ n bằng cách lượ c bỏ VLAN này trên các liên k ết S1-S2
• Nhằm đạt đượ c việc làm ngậ p dữ liệu, quá trình học tậ p đượ c vô hiệu hóa
trên RSPAN VLAN
• Để ngăn ngừa việc lặ p dữ liệu, STP đượ c duy trì trên RSPAN VLAN. Vì
vậy, RSPAN không thể giám sát các BPDUs.
Cấu hình ví dụ RSPAN
Những thông tin trong phần này minh hoạ việc cấu hình các thành phần khác nhau
vớ i một thiết k ế r ất đơ n giản RSPAN. S1 và S2 là hai Switch Catalyst 6500/6000.
Để giám sát một số cổng S1 hoặc các VLANs từ S2, bạn phải thiết lậ p một đặc
tr ưng RSPAN VLAN. Phần còn lại của các lệnh có cú pháp tươ ng tự như một phiên
SPAN tiêu biểu.
Hình 2.14 : Giám sát từ xa qua đườ ng trunk
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 50/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
47
Đặt đườ ng trunk ISL giữ a hai Switch S1 và S2
Để bắt đầu, đặt cùng một tên miềnVLAN Trunk Protocol (VTP) trên mỗi Switch và
cấu hình mỗi bên trunking desirable. Đưa ra lệnh trên S1:
S1> (enable) set vtp domain cisco
VTP domain cisco modified
Đưa các lệnh trên S2:
S2> (enable) set vtp domain cisco
VTP domain cisco modifiedS2> (enable) set trunk 5/1 desirable
Port(s) 5/1 trunk mode set to desirable.
S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left
bridge
port 5/1
2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl
trunk
Tạo RSPAN VLAN
Một phiên RSPAN cần một RSPAN VLAN cụ thể . Bạn phải tạo VLAN này. Bạn
không thể chuyển đổi một VLAN hiện có thành một RSPAN VLAN. Ví dụ này sử
dụng VLAN 100:
S2> (enable) set vlan 100 rspan
Vlan 100 configuration successful
Đưa ra lệnh này trên một Switch đượ c cấu hình như một VTP server. Các thông tin
của RSPAN VLAN 100 đượ c tự động quảng bá trong toàn bộ miền VTP.
Cấu hình cổng 5/2 của S2 như một cổng đích RSPAN
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 51/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
48
S2> (enable) set rspan destination 5/2 100
Rspan Type : Destination
Destination : Port 5/2
Rspan Vlan : 100
Admin Source : -
Oper Source : -
Direction : -
Incoming Packets: disabled
Learning : enabled
Multicast : -
Filter : -
Status : active
2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span
destination session
active for destination port 5/2
Cấu hình một cổng nguồn RSPAN trên S1
Trong ví dụ này, lưu lượ ng đi vào vào S1 qua cổng 6/2 đượ c giám sát. Phát ra lệnh :
S1> (enable) set rspan source 6/2 100 rx
Rspan Type : Source
Destination : -
Rspan Vlan : 100
Admin Source : Port 6/2
Oper Source : Port 6/2Direction : receive
Incoming Packets: -
Learning : -
Multicast : enabled
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 52/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
49
Filter : -
Status : active
S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote
span
source session active for remote span vlan 100
Tất cả các gói tin đi vào qua cổng 6/2 đượ c đẩy ngậ p trên RSPAN VLAN 100 và
đến cổng đích đượ c cấu hình trên S1 qua đườ ng trunk.
Xác thự c cấu hình
lệnh show rspan để hiển thị cấu hình RSPAN hiện tại trên Switch. Nhắc lại, có duy
nhất một phiên RSPAN nguồn tại một thờ i điểm.
S1> (enable) show rspan
Rspan Type : Source
Destination : -
Rspan Vlan : 100
Admin Source : Port 6/2
Oper Source : Port 6/2
Direction : receive
Incoming Packets: -
Learning : -
Multicast : enabled
Filter : -
Status : activeTotal remote span sessions: 1
Các cấu hình khác có thể đặt vớ i lệnh set rspan
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 53/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
50
Xem phần set rspan để xem các tuỳ chọn của lệnh. Bạn sử dụng một vài dòng lệnh
để cấu hình nguồn và đích vớ i RSPAN. Ngoài khác biệt này, SPAN và RSPAN thự
sự hoạt động theo cùng một cách. Bạn thậm chí có thể sử dụng RSPAN cục bộ, trên
một Switch, nếu bạn muốn có một vài cổng SPAN đích
Liệt kê tính năng và giớ i hạn
Bảng này liệt kê các tính năng khác nhau đượ c giớ i thiệu và cung cấ p phiên bản tối
thiểu CatOS cần thiết để chạy các tính năng trên một dòng Switch chỉ rõ :
Tính năng
Catalyst
4500/4000
Catalyst
5500/5000
Catalyst
6500/6000
inpkts
enable/disable
(tuỳ chọn)
4.4 4.2 5.1
Đa phiên, các
cổng ở các
VLANs ≠
5.1 5.1 5.1
sc0 (tuỳ chọn) — 5.1 5.1
multicast
enable/disable
(tuỳ chọn)
— 5.1 5.1
learning
enable/disable
(tuỳ chọn)
5.2 5.2 5.3
RSPAN 6.3 — 5.3
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 54/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
51
Bảng này cung cấ p một tóm tắt các hạn chế hiện tại trên một số phiên SPAN có thể
xảy ra :
Tính
năng
Catalyst
4500/4000
Phạm vi
của các
Switch
Catalyst
5500/5000
Phạm vi
của các
Switch
Catalyst
6500/6000
Phạm vi
của các
Switch
Rx hoặc
cả hai
phiên
SPAN
5 1 2
Tx SPAN
sessions5 4 4
Mini
Protocol
Analyzer sessions
Không hỗ
tr ợ
Không hỗ
tr ợ
1
Rx, Tx,
hoặc cả
hai phiên
RSPAN
nguồn
5không hỗ
tr ợ
1
Supervisor
Engine 720
hỗ tr ợ 2
phiên
RSPAN
nguồn
RSPAN
đích5
không hỗ
tr ợ 24
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 55/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
52
Tổng các
phiên5 5 30
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
3560, 3560-E, 3750 and 3750-E Series
Đây là những nguyên tắc cấu hình tính năng SPAN trên các dòng Switch Catalyst
2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750, and 3750-E Series
• Các Switch Catalyst 2950 chỉ có duy nhất một phiên span hoạt động tại một
thờ i điểm và chỉ giám sát duy nhất các cổng nguồn. Các Switch không thể giám sát các VLANs
• Dòng Catalyst 2950 và 3550 có thể chuyển tiế p lưu lượ ng trên một cổng
nguồn SPAN ở các phiên bản Cisco IOS 12.1 (13) EA1 và mớ i hơ n.
• Dòng Catalyst 3550, 3560, 3750 có thể hỗ tr ợ tối đa hai phiên SPAN tại một
thờ i điểm và có thể giám sát các cổng nguồn cũng như các VLANs
• Các dòng Catalyst 2970, 3560, 3750 không yêu cầu cấu hình của một cổng
phản hồi khi bạn cấu hình một phiên RSPAN
• Dòng Catalyst 3750 hỗ tr ợ phiên cấu hình vớ i việc sử dụng các cổng nguồn
và đích nằm trên bất k ỳ một Switch thành viên của stack
• Mỗi một cổng đích cho phép một phiên SPAN, và cùng một cổng không thể
là một cổng đích cho nhiều phiên SPAN. Vì vậy, bạn có thể không có hai
phiên SPAN sử dụng cùng một cổng đích.
Các câu lệnh cấu hình tính năng Span tươ ng tự trên Catalyst 2950 và Catalyst 3550.
Tuy nhiên, Catalyst 2950 không thể giám sát VLANs. Bạn có thể cấu hình SPAN,như trong ví dụ này:
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastethernet 0/2
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 56/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
53
!--- C ấ u hình cổ ng Fast Ethernet 0/2 là cổ ng nguồn.
C2950(config)#monitor session 1 destination interface fastethernet 0/3
!--- C ấ u hình cổ ng Fast Ethernet 0/3 là cổ ng đ ích.
C2950(config)#
C2950#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/2
Destination Ports: Fa0/3
C2950#
Bạn cũng có thể cấu hình một cổng như là một đích cho các SPAN cục bộ và
RSPAN cho cùng lưu lượ ng truy cậ p một VLAN. Để giám sát lưu lượ ng truy cậ p
cho một VLAN nằm trên 2 Switch k ết nối tr ực tiế p, cấu hình các lệnh trên Switch
có cổng đích. Trong ví dụ này, chúng ta giám sát lưu lượ ng từ VLAN 5 đi qua hai
Switch:
c3750(config)#monitor session 1 source vlan < Remote RSPAN VLAN ID > c3750(config)#monitor session 1 source vlan 5
c3750(config)#monitor session 1 destination fastethernet 0/3
!--- C ấ u hình cổ ng FastEthernet 0/3 là cổ ng đ ích.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 57/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
54
Trên Switch ở xa , sử dụng cấu hình
c3750_remote(config)#monitor session 1 source vlan 5
!--- Chỉ rõ VLAN 5 là Vlan đượ c giám sát.
c3750_remote(config)#monitor session 1 destination remote vlan <Remote vlan
id>
Trong ví dụ tr ướ c một cổng đã đượ c cấu hình như một cổng đích cho cả hai RSPAN
và SPAN cục bộ để giám sát lưu lượ ng truy cậ p cho cùng một VLAN có trên cả hai
Switch.
Lưu ý: Không như dòng 2900XL và 3500XL Series, dòng Catalyst 2940, 2950,
2955, 2960, 2970, 3550, 3560, E-3560, 3750, 3750 và E-Series hỗ tr ợ SPAN trên
lưu lượ ng truy cậ p cổng nguồn theo duy nhất chiều Rx ( Rx SPAN hay ingress
Span), theo chiều chỉ Tx (Tx Span hay egress SPAN), hoặc cả hai.
Lưu ý: Các lệnh trong cấu hình không hỗ tr ợ trên Catalyst 2950 vớ i Cisco IOS 12.0
(5.2) WC (1) hoặc bất k ỳ phiên bản nào tr ướ c Cisco IOS 12.1(6) EA2. Tham khảo
phần Enabling Switch Port Analyzer của Managing Switches để cấu hình SPAN
trên một Catalyst 2950 vớ i phiên bản tr ướ c Cisco IOS 12.1 (6) EA2.
Lưu ý: Catalyst 2950 sử dụng Cisco IOS 12.1.(9) EA1d và các phiên bản tr ướ c
trong Cisco IOS 12.1 hướ ng dẫn hỗ tr ợ SPAN. Tuy nhiên, tất cả các gói đượ c nhìn
thấy trên cổng đích SPAN (k ết nối vớ i thiết bị phân tích hoặc PC) có một nhãn
IEEE 802.1Q, mặc dù cổng nguồn SPAN(cổng giám sát) có thể không là một cổngtrunk 802.1Q. Nếu thiết bị giám sát hoặc card mạng PC (NIC), không hiểu các gói
đượ c đánh nhãn 802.1Q, máy phân tích có thể ngắt các gói hoặc gặ p khó khăn khi
nó cố gắng giải mã các gói. Khả năng các khung đượ c đánh nhãn 802.1Q chỉ khi
cổng nguồn SPAN là một cổng trunk. Vớ i Cisco IOS 12.1(11) EA1 và mớ i hơ n, bạn
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 58/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
55
có thể kích hoạt và vô hiệu hoá tính năng gắn thẻ của các gói tại cổng đích SPAN.
Sử dụng lệnh monitor session session_number destination interface interface_id
encapsulation dot1q để kích hoạt mã của gói tại cổng nguồn. Nếu bạn không nêu
từ khóa encapsulation , các gói đượ c gửi không đánh nhãn, đó là mặc định trong
Cisco IOS 12.1 (11) EA1 và sau đó.
Tính năng Catalyst 2950/3550
Ingress (inpkts)
enable/disable tuỳ chọn
Cisco IOS Software
Release 12.1(12c)EA1
RSPAN Cisco IOS SoftwareRelease 12.1(12c)EA1
Tính năng
Catalyst 29401,
2950, 2955, 2960,
2970, 3550, 3560,
3750
Rx or both SPAN sessions 2
Tx SPAN sessions 2
Rx, Tx, or both RSPAN
source sessions2
RSPAN destination 2
Total sessions 2
1 Catalyst 2940 chỉ hỗ tr ợ SPAN cục bộ. RSPAN không hỗ tr ợ trong dòng Switchnày.
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần
mềm hệ thống Cisco IOS
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 59/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
56
Các tính năng SPAN đượ c hỗ tr ợ trên Catalyst 4500/4000 và Catalyst 6500/6000
Series chạy phần mềm hệ thống Cisco IOS. Cả hai dòng Switch này sử dụng các
giao diện lệnh giống nhau (CLI), và cấu hình tươ ng tự
Cấu hình ví dụ
Bạn có thể cấu hình SPAN, như ví dụ dướ i
4507R#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
4507R(config)#monitor session 1 source interface fastethernet 4/2
!--- C ấ u hình cổ ng Fast Ethernet 4/2 là cổ ng nguồn.
4507R(config)#monitor session 1 destination interface fastethernet 4/3
!--- C ấ u hình cổ ng Fast Ethernet 0/3 là cổ ng đ ích.
4507R#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa4/2
Destination Ports : Fa4/3
4507R#
Tóm tắt tính năng và giớ i hạn
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 60/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
57
Bảng dướ i tóm tắt các tính năng khác nhau đã đượ c giớ i thiệu và cho biết phiên bản
tối thiểu của Cisco IOS cần thiết để chạy các tính năng trên dòng Switch đó.
Tính năngCatalyst4500/4000
(Cisco IOS)
Catalyst6500/6000
(Cisco IOS)
Ingress (inpkts)
enable/disable
tuỳ chọn
Cisco IOS
Software
Release
12.1(19)EW
Hiện tại
không hỗ
tr ợ 1
RSPAN
Cisco IOSSoftware
Release
12.1(20)EW
Cisco IOSSoftware
Release
12.1(13)E
1 Các tính năng hiện tại không có , và tính khả dụng của các tính năng này thườ ng
không đượ c công bố cho đến khi chính thức phát hành
Lưu ý: Tính năng SPAN của dòng Switch Cisco Catalyst 6500/6000 Series có một
giớ i hạn đối vớ i việc truy vấn giao thức PIM . Khi một Switch đượ c cấu hình cho cả
hai PIM và SPAN, các máy phân tích nối vớ i cổng đích SPAN có thể xem các gói
PIM không phải là một phần của cổng nguồn SPAN / lưu lượ ng truy cậ p VLAN .
Vấn đề này xảy ra do một giớ i hạn trong phần chuyển tiế p gói tin của Switch. Cổng
đích SPAN không thực hiện bất k ỳ kiểm tra để xác thực nguồn gốc của các gói. Vấn
đề này đượ c nêu trong của Cisco bug ID CSCdy57506 ( registered chỉ dành cho
khách hàng)
Bảng dướ i cung cấ p một tóm tắt các giớ i hạn hiện tại trên một số phiên SPAN và
RSPAN :
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 61/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
58
Tính năngCatalyst 4500/4000 (Cisco
IOS)
Các phiên SPAN Rxhoặc cả hai
2
Các phiên SPAN Tx 4
Các phiên nguồn
RSPAN Rx, Tx,
hoặc cả hai
2 (Rx, Tx hoặc cả hai), và
lên 4 vớ i duy nhất Tx
RSPAN đích 2Tổng các phiên 6
Tham khảo Local SPAN, RSPAN, and ERSPAN Session Limits dành cho Catalyst
6500/6000 chạy Cisco IOS
Trong dòng Catalyst 6500 Series, điều quan tr ọng phải lưu ý egress Span đượ c thực
hiện trên sự giám sát. Điều này cho phép tất cả lưu lượ ng truy cậ p đi đến egress
SPAN đượ c gửi một cơ cấu đến máy phân tích và sau đó đến cổng đích SPAN, có
thể sử dụng hệ thống tài nguyên quan tr ọng và tác động đến lưu lượ ng truy cậ p
ngườ i sử dụng. Ingress SPAN sẽ đượ c thực hiện trên các bộ phận ingress, vì vậy
hiệu năng SPAN sẽ là tổng hợ p của tất cả các phần sao chép. Hiệu năng của các tính
năng SPAN phụ thuộc vào kích thướ c gói và các kiểu ASIC có trong các bộ phận
sao chép.
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khácnhau
Các dòng Switch dướ i Catalyst 4000 Series
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 62/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
59
Để giám sát một số cổng vớ i SPAN, một gói phải đượ c sao chép từ bộ đệm dữ liệu
đến một vệ tinh một lần cậ p nhật. Những tác động trên cơ chế chuyển mạch tốc độ
cao là không đáng k ể.
Cổng giám sát nhận các bản sao của lưu lượ ng gửi và nhận của tất cả các cổng đượ c
giám sát. Trong kiến trúc này, một gói đi đến nhiều đích đượ c lưu giữ trong bộ nhớ
cho đến khi tất cả các bản sao đượ c chuyển tiế p. Nếu cổng giám sát là 50 phần tr ăm
tải duy trì một khoảng thờ i gian, các cổng có khả năng sẽ tr ở thành xung đột và giữ
một phần của bộ nhớ chia sẻ. Có một khả năng mà một hoặc nhiều của các cổng đó
đượ c giám sát cũng chậm lại.
Catalyst 4500/4000 Series
Vớ i việc sử dụng các tính năng SPAN, một gói phải đượ c gửi cho hai cổng khác
nhau, như trong ví dụ trong phần Kiến trúc tổng quan. Việc gửi gói tin cho hai
cổng không phải là một vấn đề, vì cơ cấu chuyển mạch là không khoá. Nếu cổng
đích SPAN bị xung đột, các gói đượ c xoá bỏ trong hàng đợ i đầu ra và giải phóng
chính xác khỏi bộ nhớ chia sẻ. Vì vậy, không có tác động ảnh hưở ng đến hoạt động
Switch.
Catalyst 5500/5000 and 6500/6000 Series
Dù là một hoặc một vài cổng cuối truyền tải các gói hoàn toàn không có ảnh hưở ng
hoạt động Switch. Vì vậy, khi bạn xem xét kiến trúc này, tính năng SPAN không
tác động hiệu suất.
2.4 Các lỗi thườ ng gặp khi cấu hình
Các vấn đề k ết nối do lỗi cấu hình SPAN
Lỗi k ết nối xảy ra vì việc cấu hình SPAN sai xảy ra thườ ng xuyên trong các phiên
bản CatOS tr ướ c 5.1. Vớ i những phiên bản này, chỉ duy nhất một phiên SPAN diễn
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 63/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
60
ra. Phiên này lưu trong cấu hình, thậm chí khi bạn vô hiệu hóa SPAN. Vớ i việc sử
dụng lệnh set span enable, ngườ i sử dụng kích hoạt lại phiên SPAN đượ c lưu.
Những hành động thườ ng xuyên xảy ra vì một lỗi in, ví dụ, nếu ngườ i dùng muốn
kích hoạt STP. Lỗi k ết nối tr ầm tr ọng có thể xảy ra nếu các cổng đích đượ c sử dụng
để chuyển tiế p lưu lượ ng truy cậ p ngườ i dùng.
Lư u ý: vấn đề này vẫn còn trong thực thi hiện tại của CatOS. Hãy r ất cẩn thận các
cổng mà bạn chọn làm một cổng đích SPAN.
Cổng đích SPAN Up/Down
Khi các cổng đượ c triển khai SPAN cho công tác giám sát, tr ạng thái các cổng là
UP / DOWN.
Khi bạn cấu hình một phiên SPAN để giám sát các cảng, giao diện cổng đích cho
thấy tr ạng thái DOWN (giám sát), theo thiết k ế. Giao diện hiển thị cổng trong tr ạng
thái này để làm cho nó hiển nhiên r ằng cổng hiện tại không khả thi như cổng sản
xuất. Cổng trong tr ạng thái UP/DOWN giám sát là bình thườ ng.
Tại sao phiên SPAN tạo ra lỗi lặp cầu
Lỗi lặ p cầu thườ ng xuyên xảy ra khi ngườ i quản tr ị cố mô phỏng các tính năng
RSPAN. Tươ ng tự, một cấu hình lỗi có thể dẫn đến lỗi
Đây là một ví dụ của phần này:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 64/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
61
Hình 2.15 : Lỗi lặp cầu dữ liệu
Có hai Switch trung tâm đượ c liên k ết bở i một đườ ng trunk. Trong dụ này, mỗi
Switch có một số máy chủ, máy tr ạm, hoặc các cầu nối k ết nối vớ i nó. Ngườ i quản
tr ị muốn giám sát VLAN 1, xuất hiện trên một số cầu nối vớ i SPAN. Ngườ i quản tr ị
tạo một phiên SPAN giám sát toàn bộ VLAN 1 trên Switch trung tâm, và, để hợ p
nhất hai phiên, nối cổng đích vào cùng một hub (hoặc cùng Switch, vớ i việc sử
dụng các phiên SPAN khác)
Ngườ i quản tr ị đạt đượ c mục tiêu. Mỗi một gói tin mà một Switch trung tâm nhận
trên VLAN 1 đượ c nhân bản trên cổng SPAN và chuyển đi lên vào hub. Một máy
phân tích cuối cùng bắt lưu lượ ng truy cậ p.
lưu lượ ng cũng đi lần nữa vào Switch 2 qua cổng đích SPAN. Lưu lượ ng này đi vào
Switch 2 tạo ra một lặ p cầu nối trong VLAN 1. Nên nhớ r ằng một cổng đích SPAN
không chạy STP và không có khả năng ngăn chặn lặ p dữ liệu.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 65/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
62
Hình 2.16 : Lặp cầu dữ liệu diễn ra
Lư u ý: Vì các giớ i thiệu về tùy chọn inpkts (đầu vào các gói) trên CatOS, một cổng
đích SPAN ngắt bất k ỳ các gói theo mặc định, nó ngăn lỗi này không xảy ra. Tuy
nhiên, vẫn còn là vấn đề này là vẫn tông tại trên Catalyst 2900XL/3500XL Series
Lưu ý: Thậm chí khi tuỳ chọn inpkts ngăn việc xảy ra lặ p, cấu hình phần này cho
thấy r ằng có thể gây ra một số vấn đề trong mạng. Các lỗi có thể xảy ra bở i vì quá
trinh học địa chỉ MAC đượ c k ết hợ p vớ i quá trình học đã kích hoạt trên cổng đích.
Bạn có thể cấu hình SPAN trên một cổng EherChannel?
Một EtherChannel không hoạt động chuẩn nếu một trong số các cổng trong đó là
một cổng đích SPAN. Nếu bạn cố gắng cấu hình SPAN trong tình huống này ,
Switch sẽ cảnh báo :
Channel port cannot be a Monitor Destination PortFailed to configure span feature
Bạn có thể sử dụng một cổng trong một cụm EtherChannel như một cổng nguồn
SPAN.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 66/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
63
Bạn có thể có một vài phiên SPAN chạy cùng một thờ i điểm?
Trên Catalyst 2900XL/3500XL Series, số lượ ng các cổng đích có trên Switch là
giớ i hạn số lượ ng các phiên SPAN.
Trên Catalyst 2950 Series, bạn chỉ có thể khai báo một cổng giám sát bất k ỳ lúc
nào. Nếu bạn chọn một cổng khác như cổng giám sát, cổng giám sát tr ướ c bị vô
hiệu hóa, và cổng mớ i đượ c lựa chọn tr ở thành cổng giám sát.
Trên Catalyst 4500/4000, 5500/5000, 6500/6000 vớ i CatOS 5.1 về sau, bạn có thể
có một số phiên SPAN tồn tại đồng thờ i.
Lỗi "% Local Session Limit Has Been Exceeded"
Engine: Thông báo đưa ra khi phiên SPAN thực thi quá giớ i hạn của thành phần
giám sát
% Local Session limit has been exceeded
Không thể xoá một phiên SPAN trên module VPN dịch vụ, vớ i lỗi “%Session
[Session No:] Used by Service Module”
Vớ i vấn đề này, các mạng riêng ảo (VPN), môđun đưa vào trong một khuung, nơ i
một môđun cơ cấu chuyển mạch đã đượ c đưa vào. Cisco IOS tự động tạo ra một
phiên Span cho các mô-đun dịch vụ VPN để xử lý các lưu lượ ng truy cậ p multicast
Sử dụng lệnh sau để xoá phiên SPAN mà IOS tạo ra cho modul VPN dịch vụ :
Switch(config)# no monitor session session_number service-module
Lư u ý: Nếu bạn xoá phiên này, modul VPN dịch vụ ngắt lưu lượ ng multicast
Tại sao bạn không thể bắt các gói tin lỗi vớ i SPAN?
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 67/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
64
Bạn không thể bắt các gói tin lỗi vớ i SPAN, vì cách mà Switch thực hiện chung.
Khi một gói đi qua một Switch, có những vấn đề sau:
1. Các gói tớ i đượ c cổng ingress.
2. Các gói đượ c lưu trong ít nhất một bộ đệm.
3. Các gói cuối cùng đượ c truyền trên cổng egress.
Hình 2.17 : Hàng đợ i bộ đệm trong
Nếu Switch nhận đượ c một gói hỏng, các cổng ingress xoá gói tin đó. Vì thế, bạn
không nhìn thấy trên gói tin đó trên cổng egress. Một Switch không hoàn toàn đứng
sau đối vớ i việc bắt lưu lượ ng truy cậ p. Tươ ng tự, khi bạn thấy một gói hỏng trên
máy phân tíchcủa bạn trong ví dụ trong phần này, bạn biết r ằng các lỗi đã đượ c tạo
ra tại bướ c 3, trên phân đoạn đi ra.
Nếu bạn cho r ằng một thiết bị gửi các gói tin lỗi, bạn có thể đặt máy gửi tin và thiết
bị phân tích trên một hub. Hub đó không tiến hành kiểm tra bất k ỳ lỗi nào. Bở i vậy,
không như Switch, hub không ngắt các gói tin, bằng cách này bạn có thể hiển thị
các gói tin.
Lỗi : %Session 2 used by service module
Nếu một modul dịch vụ Firewall (FWSM) đã đượ c cài đặt, ví dụ, đã cài đặt và gỡ
bỏ sau đó, trong CAT6500, nó tự động kích hoạt các tính năng SPAN phản hồi. Các
tính năng SPAN phản hồi sử dụng một phiên SPAN trong Switch. Nếu bạn không
sử dụng nữa, bạn phải nhậ p lệnh no monitor session service module từ chế độ cấu
hình của CAT6500, và sau đó ngay lậ p tức nhậ p cấu hình SPAN cần thiết.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 68/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
65
Cổng phản hồi xoá các gói tin
Một cổng phản hồi nhận các bản sao lưu lượ ng gửi và nhận của tất cả các cổng cổng
giám sát nguồn. Nếu một cổng phản hồi quá tải, nó có khả năng dẫn đến xung đột.
Điều này có thể ảnh hưở ng đến lưu lượ ng chuyển tiế p trên một hoặc nhiều cổng
nguồn. Nếu băng thông của cổng phản hồi không đủ cho khối lượ ng lưu lượ ng truy
cậ p tươ ng ứng từ cổng nguồn, các gói đi ra bị huỷ bỏ. Một cổng 10/100 phản hồi ở
mức 100 Mbps. Một cổng Gigabit phản hồi từ 1 Gbps.
Phiên SPAN luôn sử dụng Vớ i một FWSM trong Catalyst 6500 Chassis
Khi bạn sử dụng Supervisor Engine 720 vớ i một FWSM trong cấu trúc chạy Native
Cisco IOS, theo mặc định một phiên SPAN đượ c sử dụng. Nếu bạn kiểm tra các
phiên không sử dụng vớ i show monitor ,phiên 1 đượ c sử dụng:
Cat6K#show monitor
Session 1
---------
Type : Service Module Session
Khi một phần tườ ng lửa có trong Catalyst 6500 chassis, phiên này tự động cài đặt
để hỗ tr ợ nhân bản multicast phần cứng vì một FWSM không thể nhân bản dòng
multicast . Nếu dòng dữ liệu nguồn multicast đằng sau FWSM phải đượ c nhân bản
tại lớ p 3 đến nhiều dòng mạch, các phiên tự động nhân bản lưu lượ ng truy cậ p đến
máy phân tích thông qua một cơ cấu kênh.
Nếu bạn có một nguồn multicast tạo ra một dòng multicast từ phía sau FWSM, bạncần phải có bộ phản hồi SPAN. Nếu bạn đặt nguồn multicast bên ngoài VLAN, bộ
phản hồi SPAN là không cần thiết. Bộ phản hồi SPAN không tươ ng thích vớ i cấu
nối BPDUs thông qua FWSM. Bạn có thể sử dụng lệnh no monitor session service
module để vô hiệu hoá bộ phản hồi SPAN.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 69/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
66
Một phiên Span và một RSPAN có thể có cùng ID trong cùng một Switch?
Không, không thể sử dụng cùng một ID phiên cho một phiên SPAN thông thườ ng
và phiên đích RSPAN. Mỗi phiên RSPAN và SPAN phải có ID phiên khác nhau.
Một phiên RSPAN có thể hoạt động qua tên miền VTP khác?
Có. một phiên RSPAN có thể hoạt động qua tên miền VTP khác. Nhưng chắc chắn
r ằng các RSPAN VLAN tồn tại trong cơ sở dữ liệu của các tên miền VTP này.
Ngoài ra, hãy chắc chắn r ằng không có thiết bị Lớ p 3 hiện diện trong đườ ng dẫn của
phiên nguồn đến phiên đích.
RSPAN có thể là một phiên làm việc qua WAN hoặc các mạng khác?
Không, phiên RSPAN không thể xuyên qua bất k ỳ thiết bị Lớ p 3 như RSPAN là
một LAN (lớ p 2) tính năng. Để giám sát lưu lượ ng truy cậ p qua WAN hoặc mạng
khác, sử dụng Encapsulated Remote SwitchPort Analyser (ERSPAN). Các tính
năng ERSPAN hỗ tr ợ các cổng nguồn, nguồn VLANs, và các cổng đích trên các
Switch khác nhau, hỗ tr ợ giám sát từ xa của nhiều Switch qua mạng của bạn.
ERSPAN bao gồm một phiên nguồn ERSPAN , bảng định tuyến lưu lượ ng
ERSPAN GRE-encapsulated , và một phiên đích ERSPAN . Bạn cấu hình riêng r ẽ
phiên nguồn ERSPAN và phiên đích trên các Switch khác nhau.
Hiện tại, các tính năng ERSPAN đượ c hỗ tr ợ trong:
• Supervisor 720 vớ i PFC3B hay PFC3BXL chạy Cisco IOS 12.2(18) SXE tr ở
lên.
• Supervisor PFC3A vớ i 720 có phần cứng phiên bản 3.2 tr ở lên và chạy Cisco
IOS 12.2(18)SXE tr ở lên.
Một phiên nguồn RSPAN và phiên đích có thể tồn tại trên cùng Catalyst
Switch?
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 70/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
67
Không, RSPAN không hoạt động khi phiên nguồn RSPANvà phiên đích RSPAN
trên cùng một Switch.
Nếu một phiên nguồn RSPAN đượ c cấu hình vớ i một RSPAN VLAN và một phiên
đích RSPAN cho RSPAN VLAN đó đượ c cấu hình trên cùng một Switch, thì cổng
đích của phiên đích RSPAN đó cổng sẽ không truyền các gói bắt nguồn từ phiên
nguồn RSPAN do hạn chế phần cứng. Vấn đề này không hỗ tr ợ trên 4500 Series và
3750 Series. Vấn đề này đượ c lưu trong tài liệu Cisco bug ID CSCeg08870
Đây là một ví dụ :
monitor session 1 source interface Gi6/44
monitor session 1 destination remote vlan 666
monitor session 2 destination interface Gi6/2
monitor session 2 source remote vlan 666
Máy phân tích/thiết bị bảo mật nối vớ i cổng đích SPAN không tớ i đượ c
Các đặc tính cơ bản của một cổng đích SPAN là nó không truyền tải bất k ỳ lưu
lượ ng truy cậ p nào, ngoại tr ừ các lưu lượ ng truy cậ p cần thiết cho phiên SPAN. Nếu
bạn cần truy nhậ p (IP reachability) máy phân tich / thiết bị bảo mật qua cổng đích
SPAN, bạn cần kích hoạt lưu lượ ng ingress chuyển tiế p.
Khi ingress đượ c kích hoạt, cổng đích span chấ p nhận các gói đi vào, nó là khả
năng dán nhãn phụ thuộc chế độ đóng gói chỉ rõ, và các Switch hoạt động bình
thườ ng. Khi bạn cấu hình một cổng đích SPAN, bạn có thể chỉ rõ có hoặc không
tính năng ingress đượ c kích hoạt và VLAN gì để sử dụng để Switch xoá nhãn gói
ingress. Các đặc điểm k ỹ thuật của một ingress VLAN là không cần thiết khi đóng
gói đượ c cấu hình, khi mọi gói đóng gói ISL có thẻ VLAN. Mặc dù cổng là chuyển
tiế p STP, nó không tham gia trong STP, nên sử dụng thận tr ọng khi bạn cấu hình
tính năng này vì có thể xảy ra spanning-tree loop đã đượ c giớ i thiệu. Khi cả hai
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 71/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
68
ingress và một trunk encapsulation đượ c chỉ rõ trên một cổng đích SPAN, cổng
chuyển tiế p tất cả các VLANs hoạt động. Cấu hình của một VLAN không tồn tại
như một ingress VLAN là không đượ c phép.
monitor session session_number destination interface interface [encapsulation
{isl | dot1q}] ingress [vlan vlan_IDs]
Ví dụ này cho biết làm thể nào để cấu hình một cổng đích vớ i giao thức đóng gói
802.1q và các gói đi vào bằng việc sử dụng native Vlan 7
Switch(config)#monitor session 1 destination interface fastethernet 5/48
encapsulation dot1q ingress vlan 7
Vớ i cấu hình này, lưu lượ ng truy cậ p từ phiên nguồn span liên k ết vớ i phiên 1 đượ c
sao chép ra các giao diện Fast Ethernet 5/48 vớ i chuẩn 802.1q. Lưu lượ ng đi vào
đượ c chấ p nhận và chuyển mạch, vớ i các gói không nhãn đượ c phân loại vào
VLAN 7.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 72/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
69
CHƯƠ NG III – TRIỂN KHAI TÍCH HỢ P HỆ THỐNG IDS MỀM -
SNORT VÀO HỆ THỐNG
Trong chươ ng này chúng ta sẽ cài đặt sử dụng hệ IDS mềm có tên là SNORT. Hệ
thống Snort đượ c chọn vớ i lý do chính đây là phần mềm Open Source , tài liệu cài
đặt đầy đủ , yêu cầu hệ thống không quá cao và đã qua một thờ i gian phát triển.
3.1. Các đặc điểm chính
Snort là công cụ phát hiện xâm nhậ p khá phổ biến và đượ c gọi là light-weight
Instrution Detection System, vớ i một số đặc tính sau:
-Hỗ tr ợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows,…
-Kích thướ c tươ ng đối nhỏ: phiên bản hiện tại 2. 6. 1. 5 có kích thướ c 3. 55 MBytes.
- Có khả năng phát hiện một số lượ ng lớ n các kiểu thăm dò, xâm nhậ p khác nhau
như : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,…
- Phát hiện nhanh các xâm nhậ p theo thờ i gian thực.
- Cung cấ p cho nhà quản tr ị các thông tin cần thiết để xử lý các sự cố khi bị xâm
nhậ p.
- Giúp ngườ i quản tr ị tự đặt ra các dấu hiệu xâm nhậ p mớ i một cách dễ dàng.
- Là phần mềm Open Source và không tốn kém chi phí đầu tư.
Snort đượ c xây dựng vớ i mục đích thoả mãn các tính năng cơ bản sau: Có hiệu
năng cao, đơ n giản và có tính uyển chuyển cao.
Ba thành phần chính của Snort gồm có: hệ thống packet decoder, hệ thống detection
engine và hệ thống logging & alerting. Ba thành phần này dựa trên cơ sở của thư
viện LIBPCAP, là thư viện cung cấ p khả năng lắng nghe và lọc packet trên mạng.
Hệ thống Packet decoder: Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ
liệu thô bắt đượ c trên mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớ p
application, làm input cho hệ thống dectection engine.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 73/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
70
Quá trình phục hồi gói dữ liệu đượ c tiến hành từ lớ p Datalink cho tớ i lớ p
Application theo thứ tự của Protocol Stack. Vấn đề quan tr ọng đặt ra cho hệ thống
này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu năng của
SNORT giảm sút do “nghe sót”
3.1.1 Hệ thống detection engine:
SNORT dùng các rules để phát hiện ra các xâm nhậ p trên mạng. Xem rules sau:
alert tcp !172. 16. 1. 0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”; )
Một rules có hai thành phần: Header và Option,
Header:
alert tcp !172. 16. 1. 0/24 any -> any any
Option:
(flags: SF; msg: “SYN-FIN Scan”; )
Mỗi dấu hiệu xâm nhậ p sẽ đượ c thể hiện bằng một rule. Vậy SNORT quản lý tậ p
các rules như thế nào? SNORT dùng cấu trúc dữ liệu để quản lý các rules gọi là
Chain Headers và Chain Options. Cấu trúc dữ liệu này bao gồm một dãy các Header
và mỗi Header sẽ liên k ết đến dãy các Option. Sở d ĩ dựa trên các Header là vì đây là
thành phần ít thay đổi của những rules đượ c viết cho cùng một kiểu phát hiện xâm
nhậ p và Option là thành phần dễ đượ c sửa đổi nhất.
Ví dụ: ta có 40 rules đượ c viết cho kiểu thăm dò CGI-BIN, thực chất các rules này
có chung IP source, IP đích, port source, port đích, tức là có chung Header.
Mỗi packet sẽ đượ c so trùng lần lượ t trong các dãy cho đến khi tìm thấy mẫu đầu
tiên thì hành động tươ ng ứng sẽ đượ c thực hiện.
3.1.2 Hệ thống Logging & alerting:
Dùng để thông báo cho quản tr ị mạng và ghi nhận lại các hành động xâm nhậ p hệ
thống. Hiện tại có 3 dạng logging và 5 kiểu alerting.
Các dạng logging, đượ c chọn khi chạy SNORT:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 74/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
71
- Dạng decoded: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích hợ p
vớ i dân Pro.
- Dạng nhị phân tcpdump: theo dạng tươ ng tự như tcpdump và ghi vào đĩ a nhanh
chóng, thích hợ p vớ i những hệ thống đòi hỏi performance cao
- Dạng cây thư mục IP: Sắ p sế p hệ thống log theo cấu trúc cây thư mục IP, dễ hiểu
đối vớ i ngườ i dùng.
Các d ạng alerting:
- Ghi alert vào syslog
- Ghi alert vào trong file text
- Gửi thông điệ p Winpopup dùng chươ ng trình smbclient
- Full alert: ghi lại thông điệ p alert cùng vớ i nội dung gói dữ liệu.
- Fast alert: chỉ ghi nhận lại header của gói dữ liệu. Cách này thườ ng dùng trong các
hệ thống cần performance cao.
3.1.3 Tập luật(RULES)
Tậ p luật của Snort đơ n giản để ta hiểu và viết, nhưng cũng đủ mạnh để có thể phát
hiện tất cả các hành động xâm nhậ p trên mạng.
Có 3 hành động chính đượ c SNORT thực hiện khi so trùng 1 packet vớ i các mẫu
trong rules:
- Pass: loại bỏ packet mà SNORT bắt đượ c
- Log: tuỳ theo dạng logging đượ c chọn mà packet sẽ đượ c ghi nhận theo dạng đó.
- Alert: sinh ra một alert tùy theo dạng alert đượ c chọn và log toàn bộ packet dùng
dạng logging đã chọn.
Dạng cơ bản nhất của một rule bao gồm protocol, chiều của gói dữ liệu và port cần
quan tâm, không cần đến phần Option:log tcp any any -> 172. 16. 1. 0/24 80
Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 172. 16. 1. 0/24 ở port 80.
Một rule khác có chứa Option:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 75/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
72
alert tcp any any -> 172. 16. 1. 0/24 80 (content: "/cgi-bin/phf"; msg: "PHF
probe!"; )
Rule này sẽ phát hiện các truy cậ p vào dịch vụ PHF trên web server và alert sẽ đượ c
tạo ra cùng vớ i việc ghi nhận lại toàn bộ gói dữ liệu.
Vùng địa chỉ IP trong các rules đượ c viết dướ i dạng CIDR block netmask, các port
có thể đượ c xác định riêng lẻ hoặc theo vùng, port bắt đầu và port k ết thúc đượ c
ngăn cách bở i dấu “:”
alert tcp any any -> 172. 16. 1. 0/24 6000:6010 (msg: "X traffic"; )
Các option phổ biến của SNORT:
1. content: Search the packet payload for the a specified pattern.
2. flags: Test the TCP flags for specified settings.
3. ttl: Check the IP header's time-to-live (TTL) field.
4. itype: Match on the ICMP type field.
5. icode: Match on the ICMP code field.
6. minfrag: Set the threshold value for IP fragment size.
8. ack: Look for a specific TCP header acknowledgement number.
9. seq: Log for a specific TCP header sequence number.
10. logto: Log packets matching the rule to the specified filename.11. dsize: Match on the size of the packet payload.
12. offset: Modifier for the content option, sets the offset into the packet payload to
begin the content search.
13. depth: Modifier for the content option, sets the number of bytes from the start
position to search through.
14. msg: Sets the message to be sent when a packet generates an event.
SNORT có thể chạy tốt trên các platform mà LIBPCAP hổ tr ợ .
3.2 Các bướ c cài đặt Snort trên hệ điều hành Debian
3.2.1 Cài hệ điều hành Debian
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 76/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
73
- Tên hệ điều hành:Debian GNU/Linux 4. 0 r0 "Etch"
- Kernel: Linux IDS 2. 6. 18-4-686
- Tài khoản
+ user:root
+ pass:root
3.2.2 Cài các phần mềm cần thiết
- Sửa lại file /etc/apt/sources. list như sau
deb http://security. debian. org/ etch/updates main contrib
deb-src http://security. debian. org/ etch/updates main contrib
Tr ỏ link source qua máy chủ đặt trong mạng giáo dục TEIN2
deb http://debian.nctu.edu.tw/debian stable main
deb-src http://debian.nctu.edu.tw/debian stable main
#Backports
deb http://www. backports. org/debian etch-backports main contrib non-free
- Thêm GPG key của repo:
# wget -O - http://backports.org/debian/archive. key | apt-key add -
- Cậ p nhật danh sách các gói
# apt-get -y update
- Cài đặt các tools tiện ích:
# apt-get -y install wget tcpdump mc tethereal
- Cài đặt các gói cần thiết
# apt-get -y install apache-ssl apache-common libapache-mod-php4
Các gói cài theo:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 77/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
74
apache2-utils libapr1 libaprutil1 libexpat1 libmagic1 libpq4 libsqlite3-0
libzzip-0-12 lynx mime-support openssl perl perl-modules php4-common ssl-cert
ucf
Cấu hình SSL Certificate
+ Country: VN
+ State or Province Name: Hanoi
+ Locality: Hanoi
+ Organisation Name: DHBK
+ Organisation Unit Name: DHBK
+ Email Address: cuongnd-linc@mail. hut. edu. vn
# apt-get -y install mysql-server mysql-common mysql-client php4-mysql
Các gói cài theo:
libdbd-mysql-perl libdbi-perl libmysqlclient15off libnet-daemon-perl
libplrpc-perl mysql-client-5. 0 mysql-server-5. 0 psmisc
# apt-get -y install libpcap0. 8 libpcap0. 8-dev libmysqlclient15-devCác gói cài theo: libc6-dev linux-kernel-headers zlib1g-dev
# apt-get -y install php4-gd php4-pear libphp-adodb vim gcc make
Các gói cài theo: binutils cpp cpp-4. 1 defoma file fontconfig-config gcc-4. 1
libfontconfig1
libfreetype6 libgd2-xpm libjpeg62 libpng12-0 libssp0 libt1-5 libx11-6
libx11-data libxau6 libxdmcp6 libxml2 libxpm4 php-db php-http php-mail php-net-smtp php-net-socket php-pear php-xml-parser php5-cli php5-common
ttf-dejavu vim-runtime x11-common
Configuring libphp-adodb
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 78/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
75
WARNING: include path for php has changed!
libphp-adodb is no longer installed in /usr/share/adodb. New installation path is now
/usr/share/php/adodb.
Please update your php. ini file. Maybe you must also change your web-server
configuraton.
# apt-get -y install php4-cli libtool libssl-dev gcc-4. 1 g++
Các gói cài theo: autotools-dev g++-4. 1 libstdc++6-4. 1-dev
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL
Sử dụng phần mềm Shorewall để cấu hình iptables
# apt-get install shorewall iproute libatm1 shorewall-doc iproute-doc
Cấu hình SHOREWALL có thể thực hiện qua Webmin
3.2.4 Cài đặt Snort
- Cài đặt PCRE
# cd /usr/local/src
# apt-get source libpcre3
apt-get download về 3 file sau: pcre3_6. 7-1. diff. gz, pcre3_6. 7-1. dsc, pcre3_6. 7.
orig. tar. gz
# tar xzvf pcre3_6. 7. orig. tar. gz
# cd pcre-6. 7
# . /configure && make && make install
- Cài đặt Snort 2. 7
# cd /usr/local/src
# wget -c http://snort. org/dl/current/snort-2. 7. 0. 1. tar. gz
# tar zxvf snort-2. 7. 0. 1. tar. gz
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 79/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
76
# cd snort-2. 7. 0. 1
# . /configure --with-mysql --enable-dynamicplugin
# make && make install
- Cấu hình SNORT
# mkdir /etc/snort
# mkdir /var/log/snort
# groupadd snort
# useradd -g snort snort
# chown snort:snort /var/log/snort
Download snort-rules
+ Đăng ký một account tại snort. org và download "registered-user" rules
snortrules-snapshot-CURRENT. tar. gz
+ Bạn sẽ nhận đượ c một OINKCODE để update snort-rules mỗi khi có các rule mớ i
Ví dụ OINKCODE = a7a0ac0d6e14a691882eab106f27be4bc76fa28f
# cd /etc/snort# tar zxvf snortrules-snapshot-CURRENT. tar. gz
# cp /usr/local/src/snort-2. 7. 0. 1/etc/*. conf* .
# cp /usr/local/src/snort-2. 7. 0. 1/etc/*. map .
- Sửa file cấu hình /etc/snort/snort. conf
# vi /etc/snort/snort. conf
var HOME_NET 203. 128. 246. 80/28var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
- Tạo một luật đơ n giản để test snort
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 80/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
77
# vi /etc/snort/rules/local. rules
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; dsize:8; itype:8;
sid:10000001;)
alert tcp any any -> any any (msg:"TCP test"; sid:10000002;)
- Khở i tạo snort lần đầu tiên:
# /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf
- Kiểm tra /var/log/snort để thấy dòng thông báo tươ ng tự như sau:
snort[1731]: Snort initialization completed successfully (pid=1731)
- Kiểm tra /var/log/messages để thấy dòng thông báo tươ ng tự như sau:
Aug 12 19:25:38 IDS kernel: device eth0 left promiscuous mode
Aug 12 19:25:38 IDS kernel: audit(1186921538. 186:5): dev=eth0 prom=0
old_prom=256 auid=4294967295
3.2.5 Cấu hình MySQL Server
- Thiết lậ p mysql root password bằng lệnh sau:
# mysqladmin -u root password "mysql2008"
- Đăng nhậ p vào mysql command
# mysql -u root -p
- Tạo CSDL snort
mysql> create database snort;
- Tạo snort user và privilegesmysql> grant create, insert, select, delete, update on snort. * to snort@localhost;
- Thiết lậ p snort user password cho CSDL snort
mysql> set password for snort@localhost=password('snort2008');
mysql> exit
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 81/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
78
- Import the schema that comes with the snort program:
# cd /usr/local/src/snort-2. 7. 0. 1/schemas/
# mysql -u root -p < create_mysql snort
- Đăng nhậ p vào mysql server và xem các bảng đã đượ c tạo:
# mysql -u root -p
mysql> use snort;
mysql> show tables;
3.2.6 Cấu hình để SNORT bắn alert vào MySQL
- Lets get snort logging alerts into the mysql database by configuring
the output plugin for database logging:
# vi /etc/snort/snort.conf
- Tìm dòng dướ i đây, bỏ chú thích ở đầu dòng và chỉnh sửa các giá tr ị cho phù hợ p:
output database: log, mysql, user=root password=mysql2008 dbname=snort
host=localhost
- Khở i động lại snort và kiểm tra xem snort đã ghi log vào database hay chưa:
# mysql –uroot -p"mysql2008" -D snort -e "select count(*) from event"
3.2.7 Cài đặt Apache-ssl Web Server
- Sửa file cấu hình apache-ssl
# vi /etc/apache-ssl/httpd. conf
- Bỏ comment của 2 dòng sau:
AddType application/x-httpd-php . php
AddType application/x-httpd-php-source .phps
- Enable extension=mysql. so in /etc/php4/apache/php.ini
# vi /etc/php4/apache/php.ini
Bỏ comment dòng sau:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 82/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
79
extension=mysql.so
- Khở i động lại apache
# /etc/init. d/apache-ssl restart
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base)
BASE là một ứng dụng tuyệt vờ i cung cấ p giao diện web để truy vấn và phân tích
các snort alert
BASE 1. 3. 8 was just released.
- Cài đặt BASE:
# cd /var/www
# rm index. html
# wget http://jaist. dl. sourceforge. net/sourceforge/secureideas/base-1. 3. 6. tar. gz
# tar xvzf base-1.3.6.tar.gz
# mv base-1.3.6 base
# chmod 777 base (just for now)
- Open a browser and go to: https://203. 128. 246. 100/base/index.html
+ Continue
+ Step 1 of 5
Pick a language: english
Path to ADODB: /usr/share/php/adodb
Submit query
+ Step 2 of 5
Pick a database type: MySQL
Database name: snort
Database host: localhost
Database Port: Leave blank for default! blank
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 83/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
80
Database User Name: snort
Database Password: snort
Bỏ qua phần "Use Archive Database"
Submit query
+ Step 3 of 5
Admin username: snortadmin
Password: snort2008
Fullname: Snort Admin
+ Step 4 of 5
Click "Create BASE AG" which will: Adds tables to extend the Snort DB to
support the BASE functionality
Now continue to step 5 to login
+ Hiện ra màn hình quản tr ị của BASE
- You should be all setup now. I see thousands of events from my very
noisy rule. Now I will disable the rule, restart snort, delete all
these events from Base, and carry of with tuning my system.
- Go back and chmod 755 the base directory in /var/www
# cd /var/www# chmod 755 base
- Vớ i bản Debian Testing hiện thờ i, cần phải cấu hình thêm như sau để
BASE hiển thị đượ c đồ thị:
+ K ết nối php trên Debian tớ i php4, như sau:
# rm /etc/alternatives/php
# ln -s /usr/bin/php4 /etc/alternatives/php+ R ồi thực hiện lệnh sau:
# pear config-set preferred_state alpha
+ Sau đó uncomment extension=gd. so trong file /etc/php4/cli/php. ini
vì pear command line sử dụng php-cli để kiểm tra các dependencies:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 84/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
81
# vi /etc/php4/cli/php. ini
Uncomment dòng sau:
extension=gd. so
+ Sau đó chạy các lệnh:
# pear install Image_Color
# pear install Image_Canvas
# pear install Log
# pear install Numbers_Roman
# pear install Numbers_Words
# pear install Image_Graph
+ Khở i động lại dịch vụ apache-ssl tr ướ c khi click lên các link vẽ biểu đồ:
# /etc/init. d/apache-ssl restart
+ Install signatures into BASE install
o Create a directory named signature/ in the BASE install directory
o Copy any signature txt file you would like into that directory
3.2.9 Cập nhật Rules vớ i Oinkmaster
- Cài đặt cơ bản:
# cd /usr/local/src
# wget http://nchc. dl. sourceforge. net/sourceforge/oinkmaster/oinkmaster-2. 0. tar.
gz
# tar xvzf oinkmaster-2. 0. tar. gz
# cd oinkmaster-2. 0
# cp oinkmaster. pl /usr/local/bin# mkdir /usr/local/etc
# cp oinkmaster. conf /usr/local/etc
- Tạo thư mục temp
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 85/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
82
# mkdir /tmp/oinkmaster
- Tạo thư mục lưu rule-backup
# mkdir /etc/snort/rulesbackup
- Tạo thư mục temp
# mkdir /tmp/oinkmaster
- Chỉnh sửa file cấu hình
# vi /usr/local/etc/oinkmaster. conf
url = http://www. snort. org/pub-bin/oinkmaster.
cgi/a7a0ac0d6e14a691882eab106f27be4bc76fa28f/snortrules-snapshot-CURRENT.
tar. gz
- Chạy oinkmaster để update rules vào 0h:00 mỗi ngày:
# vi /etc/crontab
0 0 * * * root /usr/local/bin/oinkmaster. pl -C
/usr/local/etc/oinkmaster. conf -o /etc/snort/rules -b /etc/snort/rulesbackup
3.2.10 Startup Script
- Tạo startup script:
# vi /etc/init. d/snort
====
#!/bin/bash
/sbin/ifconfig eth1 up
/usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort. conf -l
/var/log/snort
====
- Make it executable:# chmod +x /etc/init. d/snort
- The command update-rc. d will set up links between files in the directories rc?. d
# update-rc. d snort defaults 95
Reboot and see if it works!
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 86/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
83
3.2.11 Tạo Acc truy cập vào Base
# cd /etc/apache-ssl/
# htpasswd -b -c /etc/apache-ssl/passwdBase admin basedhbk082007
# htpasswd -b /etc/apache-ssl/passwdBase viewer viewerdhbk082007
# htdigest -b -c conf. d/passwdBase realm admin basedhbk082007
# htdigest -b conf. d/passwdBase realm viewer viewerdhbk082007
- Administration
- Create user:+ Login: snortadmin
+ Fullname: Snort Admin
+ Password: snort2008
+ Role: admin
+ Login: snortviewer
+ Fullname: Snort Viewer + Password: viewer2008
+ Role: user
3.2.12 Cấu hình SNMP Server
- Cài đặt gói snmpd để monitor server có thể biết đượ c các thông số về
hệ thống phát hiện xâm nhậ p
# apt-get -y install snmpd- Sửa file cấu hình /etc/snmp/snmpd. conf
# vi /etc/snmp/snmpd. conf
===
com2sec local localhost dhbk
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 87/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
84
com2sec localnet 203. 128. 246. 0/24 dhbk
group MyROGroup v1 localnet
group MyROGroup v1 local
view all included . 1 80
view system included . iso. org. dod. internet. mgmt. mib-2. system
access MyROGroup "" any noauth exact all none none
- Cấu hình file /etc/default/snmpd. conf
(mặc định debian chỉ nghe trên localhost --> thêm vào interface để nghe trên ip của
nó)
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd. pid 127. 0.
0. 1 203. 128. 246. 91' // thêm vào ip đằng sau
- Khở i động lại dịch vụ SNMP
# /etc/init. d/snmpd restart
3.2.13 Tạo file index.php để định hướ ng trình duyệt
https://192.168.40.12
# vi /var/www/index. php
===
<?php
header('Location: ' . "https://192.168.40.12/base/");
?>===
3.2.14 Cài đặt phần mềm quản trị Webmin
- Thêm vào /etc/apt/source. list
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 88/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
85
deb http://download. webmin. com/download/repository sarge contrib
# apt-get -y update
# apt-get install webmin
Các gói sau sẽ đượ c cài thêm vào hệ thống:
libauthen-pam-perl libio-pty-perl libmd5-perl libnet-ssleay-perl
- URL đăng nhậ p: https://192.168.40.12:10000/
3.3 Giao diện hệ thồng sau cài đặt
3.3.1 Các thông tin cấu hình cơ bản
Thông tin về vị trí vật lý của IDS
IDS gồm có 2 network interface, hiện đang đượ c cắm như sau:
+ eth0 cắm vào port thuộc Vlan40, dùng để quản tr ị
+ eth1 cắm vào port 20, để sniff các traffic từ DMZ
Thông tin về hệ điều hành Debian
- Account quản tr ị: root/root
- Eth0 interface
+ IP: 192.168.40.12/24
+ Netmask: 255.255.255.0
+ Network: 192.168.40.0/24
+ Broadcast: 192.168.40.255
+ Gateway: 192.168.40.1
+ DNS: 208. 67. 222. 222 (Open DNS server)
- Các phần mềm đã cài đặt:
+ Iptables / Shorewall
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 89/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
86
+ Snort 2. 7
+ MySQL Server
+ PHP 4. 4. 4-8+etch4
+ Apache-ssl 1. 3. 34
+ Basic Analysis and Security Engine 1. 3. 6
+ Oinkmaster 2. 0
+ Webmin
+ SNMP server (sử dụng cho Monitor server)
- Các dịch vụ đang mở :
+ 22/tcp ssh
+ 443/tcp https (BASE)
+ 3306/tcp mysql
+ 10000/tcp https (WENMIN)
+ 161/udp snmp
3.3.2 Hướ ng dẫn sử dụng SNORT
- File cấu hình: /etc/snort/snort. conf
- Thư mục chứa tậ p luật: /etc/snort/rules/
- File log: /var/log/snort/alert
Kích hoạt hoặc huỷ tiến trình
- Để kích hoạt SNORT, gõ lệnh:
# /etc/init. d/snort start
Hoặc
# /sbin/ifconfig eth1 up
# /usr/local/bin/snort -Dq -u snort -g snort -i eth1 -c /etc/snort/snort. conf -l
/var/log/snort
- Để huỷ tiến trình SNORT, gõ lệnh:
# pkill snort
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 90/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
87
File cấu hình SNORT
# vi /etc/snort/snort. conf
---
# Thông số về địa chỉ mạng đang đượ c giám sát
var HOME_NET [203. 128. 246. 80/28,203. 128. 246. 96/29,172. 168. 2. 0/24]
Sử dụng OINKMASTER để cập nhật Rules
- Định k ỳ update rules bằng cron vào lúc 0h00 mỗi ngày:
# vi /etc/crontab
0 0 * * * root /usr/local/bin/oinkmaster. pl -C
/usr/local/etc/oinkmaster. conf -o /etc/snort/rules -b /etc/snort/rulesbackup
- Chỉnh sửa file cấu hình oinkmaster. conf để cậ p nhật các rules như ý:
# vi /usr/local/etc/oinkmaster. conf
+ Giữ nguyên rules, không muốn cậ p nhật, tìm đến mục
# Files to totally skip (i. e. never update or check
for changes) ## Syntax: skipfile filename
#
# or: skipfile filename1, filename2, filename3, . .
#
Ví dụ:
skipfile local. rules # không tự động cậ p nhật file local. rules
skipfile deleted. rules # không tự động cậ p nhật file deleted. rulesskipfile snort. conf # không tự động cậ p nhật file snort. conf
+ Thay đổi nội dung luật sau khi update, tìm đến mục:
# SIDs to modify after each update (only for the
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 91/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
88
skilled/stupid/brave).
#
# Syntax:
#
# modifysid SID "replacethis" | "withthis"
#
# or:
#
# modifysid SID1, SID2, SID3, . . . "replacethis" |
"withthis"
#
# or:
#
# modifysid file "replacethis" | "withthis"
#
# or:
#
# modifysid * "replacethis" | "withthis"#
Ví dụ:
modifysid 1325 "^#alert" | "alert" # Bỏ comment luật alert 1325
modifysid 1325 "^#" | "" # Bỏ comment luật 1325
modifysid 1325 "sid:1325;" | "sid:1325; tag: host, src, 300, seconds;"
# Thêm vào thẻ tag cho luật 1325
modifysid 1378 "^alert" | "drop"# Chuyển luật 1378 từ alert thành drop
modifysid 302 "\$EXTERNAL_NET" | "\$HOME_NET"
# Chuyển lần xuất hiện đầu tiên EXTERNAL_NET thành HOME_NET
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 92/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
89
+ Không muốn update một luật nào đó, tìm đến mục
# SIDs that we don't want to update.
#
# Syntax: localsid SID
#
# or: localsid SID1, SID2, SID3, . . .
#
Ví dụ:
localsid 1325 # Không bao giờ update luật 1325
+ Hiện 1 luật sau khi update, tìm đến mục
# SIDs to enable after each update.
#
# Syntax: enablesid SID
#
# or: enablesid SID1, SID2, SID3, . . .
#
Ví dụ:enablesid 1325 # Bỏ comment cho luật 1325
+ Ẩn 1 luật sau khi update, tìm đến mục
# SIDs to comment out, i. e. disable, after each update by placing a #
# Syntax: disablesid SID
#
# or: disablesid SID1, SID2, SID3, . . .#
Ví dụ:
disablesid 1324 # Comment luật 1324
3.3.3. Hướ ng dẫn sử dụng công cụ phân tích (Base)
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 93/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
90
Đăng nhập vào trang quản trị
- Account quản tr ị: admin/base2008
- Địa chỉ đăng nhậ p: https://192.168.40.12/
- Màn hình đăng nhậ p:
Hình 3.1 : Trang quản trị Base
- Sau khi đăng nhậ p thành công, hiển thị giao diện quản tr ị:
Hình 3.2 : Giao diện quản trị
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 94/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
91
Tinh chỉnh các Rules
Xác định các alert có tần suất nhiều nhất -> Cần phải tinh chỉnh các rules để giảm
bớ t alert không có nhiều ý ngh ĩ a hoặc không có dấu hiệu nguy hiểm.
a. Alert “ICMP PING CyberKit 2. 2 Windows“ xuất hiện r ất nhiều (19771 lần,
chiếm 46% tổng số ICMP) -> Cần phải ẩn rule 483
+ Ẩn rule 483 trong icmp. rules
# vi /etc/snort/rules/icmp. rules
---# Đặt chú thích chu luật có sid:483
#alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING
CyberKit 2. 2 Windows"; itype:8; content:"|AA AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA|"; depth:32; reference:arachnids,154; classtype:misc-
activity; sid:483; rev:6;)
+ Ẩn rule 483 khi thực hiện update# vi /usr/local/etc/oinkmaster. conf
---
# Disable SID 483 ICMP PING CyberKit 2. 2 Windows
disablesid 483
b. Alert “ICMP Destination Unreachable Communication with Destination Host is
Administratively Prohibited “ xuất hiện r ất nhiều (10092 lần, chiếm 23% tổng số
ICMP) -> Cần phải ẩn rule 486
+ Ẩn rules 486 trong icmp. rules
# vi /etc/snort/rules/icmp. rules
---
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 95/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
92
#alert icmp any any -> any any (msg:"ICMP Destination Unreachable
Communication with Destination Host is Administratively Prohibited"; icode:10;
itype:3; classtype:misc-activity; sid:486; rev:5;)
+ Ẩn rule 486 khi thực hiện update
# vi /usr/local/etc/oinkmaster. conf
---
# Disable SID 486 ICMP Destination Unreachable Communication with
# Destination Host is Administratively Prohibited
disablesid 486
c. Vào giao diện chính của BASE
https://192.168.40.12/base/base_main. php
Hình 3.3 : Giao diện chính của Base
- Click vào mục “Unique” thuộc dòng “Today’s Alerts” để xem tần suất các alert
xuất hiện trong ngày hôm nay
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 96/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
93
Hình 3.4 : Tần suất các Alert
- Click tiế p vào “>” cột “Total #” để sắ p thứ tự các alert theo tần suất từ nhiều đến
ít.
Hình 3.5 : Sắp xếp tần suất các Alert theo độ lặp- Quan sát, ta thấy alert “MS-SQL Worm propagation attemp” xuất hiện nhiều nhất,
click vào link “368” tươ ng ứng cột < Total #> để xem thông tin chi tiết
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 97/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
94
Hình 3.6 : Thông tin chi tiêt một Alert- Trên bảng “Summary Statistics”, click vào link “Destination” ở hàng “Unique
addresses” để xem các địa chỉ đích bị tấn công.
Hình 3.7 : Hiển thị các địa chỉ nghi vấn
- Trên bảng cho thấy, IP range 80-100 là đối tượ ng bị khai thác. Click tiế p vào link “[snort]” để xem các thông tin về alert này trên “Signature database” của site www.
snort. org
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 98/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
95
Hình 3.8 : Tra thông tin chi tiết về Alert nghi vấn- Sau khi đọc các thông tin về alert này, ta thấy nhiều khả năng đây là alert sinh ra
do “Slammer worm” phát tán trên Internet, đang cố gắng khai thác một lỗi buffer
overflow trên MS SQL Server 2000 Resolution Service.
Hình 3.9 : Xác định thông tin Alert
- Tiế p tục đọc k ỹ các thông tin về alert này, ta thấy ngay cách xử lý đối vớ i alert này
ở phần “Corrective Action”
+ Cấm truy cậ p từ ngoài vào các dịch vụ MS SQL trên cổng 1433 and 1434. Thực
hiện trên firewall của hệ thống.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 99/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
96
+ Cậ p nhật bản vá cho các dịch vụ MS SQL đã public từ URL: www.
microsoft. com/technet/security/bulletin/MS02-039. asp
Xem Payload các packets
Để xem payload một packet, click vào cột ID tươ ng ứng của alert,
Hình 3.10 : Xem Payload một packet
- Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tươ ng ứng
Hình 3.11 : Xem nội dung một packet
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 100/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
97
- Tính năng này đặc bi ệ t r ấ t hữ u ích, cho phép IDS admin review l ại đượ c toàn
bộ gói tin đ ã t ạo ra alert, giúp cho quá trình tinh chỉ nh các rules chính xác hơ n,
thuận ti ệ n hơ n.
Tìm kiếm
Để tìm kiếm một alert nào đó, bạn có thể click vào link “Search” và tìm kiếm theo
r ất nhiều tiêu chí khác nhau như: Sensor, Alert Group, Signature, Classification,
Priority, Alert Time, r ồi sắ p xế p theo một vài tuỳ chọn có sẵn.
Hình 3.12 : Tìm kiếm Alert
Quản lý các nhóm Alert
Bên cạnh cách phân loại rules sẵn có của snort, để tiện lợ i cho việc quản lý,
ngườ i sử dụng có thể tạo ra các nhóm alert khác nhau, gán các alert vào từng nhóm
phù hợ p vớ i quan điểm của mình.
Click vào “Alert Group Management” để thao tác vớ i các nhóm:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 101/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
98
Hình 3.13 : Quản lý Alert theo nhóm
Bạn có thể tạo nhóm mớ i (Create), xem alert tươ ng ứng vớ i các nhóm (View), sửa 1
nhóm (Edit), xoá 1 nhóm(Delete) và reset 1 nhóm (Clear).
Đồ thị trự c quan
BASE cung cấ p một số cách hiển thị biểu đồ tr ực quan, cho phép ngườ i quản tr ị có
thể cảm nhận nhanh chóng đượ c các vấn đề của hệ thống, đưa ra đượ c các phươ ng
án giải quyết k ị p thờ i.
Graph Alert Data
Click vào "Graph Alert Data" để xem biểu đồ về dữ liệu alert:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 102/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
99
Hình 3.14 : Chọn biểu đồ dữ liệu
Có r ất nhiều tham số cho phép xây dựng biểu đồ, bao gồm:
- Kiểu đồ thị (Chart title):
+ Thờ i gian (theo giờ ) và Số lượ ng alert
+ Thờ i gian (theo ngày) và Số lượ ng alert
+ Thờ i gian (theo tháng) và số lượ ng alert
+ …- Chu k ỳ đồ thị (Chart period)
+ 7 ngày (1 tuần)
+ 24 giờ (1 ngày)
+ 168 giờ (24 x 7)
- Kích thướ c đồ thị
- Lề đồ thị: trái, phải, trên, dướ i
- Kiểu vẽ: bar, line, pie- Thờ i gian bắt đầu, thờ i gian k ết thúc
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 103/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
100
Hình 3.15 : Đồ thị trự c quan
Graph Alert Detection Time
Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể hiện tần
suất các alert theo giờ , ngày hoặc theo tháng.
Dạng biểu đồ này r ất hữu ích, cho phép xác định những thờ i điểm bất thườ ng, qua
đó giúp định hướ ng ngườ i quản tr ị tậ p trung vào những điểm quan tr ọng.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 104/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
101
Hình 3.16 : Đồ thị tần suất Alert
3.3.4 Hướ ng dẫn sử dụng Webmin
Đăng nhập trang quản trị
- Account quản tr ị WEBMIN: root/root2008
- Địa chỉ đăng nhậ p: https://192.168.40.12:10000/
- Màn hình đăng nhậ p
Hình 3.17 : Màn hình đăng nhập Webmin
- Sau khi đăng nhậ p thành công, màn hình xuất hiện cửa sổ sau:
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 105/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
102
Hình 3.18 : Đăng nhập thành công
Quản trị Webmin
Phần này cho phép thay đổi các thông tin cấu hình của Webmin, bao gồm các mục:
- Backup Configuration Files
- Change language and theme
- Webmin Actions logs
- Webmin configuration
- Webmin server index
- Webmin users
Hình 3.19 : Giao diện công cụ quản trị
Quản trị hệ thống
Hiện tại Webmin quản tr ị đã cấu hình để quản tr ị các thông tin hệ thống sau (vào
mục System)
- Bootup and Shutdown
- Change Passwords
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 106/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
103
- Disk and Network file systems
- File system backups
- Log file rotation
- MIME type programs
- PAM Authentication
- Running processes
- Scheduled Commands
- Scheduled Cron jobs
- Software packages
- SysV Init Configuration
- System Documentation
- System logs
- Users and Groups
Hình 3.20 : Các thông tin có thể quản trị
Quản trị Server
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 107/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
104
Hiện tại, webmin đã cấu hình để có thể quản tr ị các dịch vụ sau:
- Apache webserver
- MySql server
- SSH server
Hình 3.21 : Các thông tin đượ c quản trị
Quản trị các dịch vụ mạng
Hiện tại, webmin đã cấu hình để có thể thay đổi các thông tin cấu hình mạng sau:
- Internet services and protocols
- Linux firewall (IPTables)
- Network configuration
-
PPP Dial in server - Shorewall firewall
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 108/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
105
Hình 3.22 : Các dịch vụ mạng có thể quản trị
Quản trị phần cứ ng
Webmin đã cấu hình để có thể thay đổi các thông tin cấu hình phần cứng sau:
- Grub boot loader
-
Partitions on Local disks- System time
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 109/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
106
Hình 3.23 : Quản trị phần cứ ng
Quản trị các vấn đề khác
Ngoài ra, webmin có thể quản tr ị một số ứng dụng khác:
- Command shell
- Custom commands
- File manager
- Http tunnel
- PHP configuration
- PERL Modules
- Protected web directories
- SSH/Telnet login
- System and server status- Upload and download
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 110/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
107
Hình 3.24 : Quản trị các ứ ng dụng khác
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 111/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
108
K ẾT LUẬN
Bất cứ một mạng nào, đều có những lỗ hổng về mặt k ỹ thuật cho phép tin tặc có thể
xâm nhậ p vào hệ thống để ăn cắ p thông tin hay phá hoại và do đó trên thực tế sẽ
không có một mạng nào có thể đượ c xem là bảo mật tuyệt đối. Vì vậy, ngườ i ta
thườ ng phải sử dụng nhiều k ỹ thuật bảo mật đi kèm vớ i các mạng để bảo đảm tính
an toàn cho mạng. Ngoài việc sử dụng các phươ ng pháp mã hóa để bảo đảm tính bí
mật của thông tin, sử dụng các cơ chế chứng thực để kiểm tra tính hợ p pháp của
ngườ i dùng, thì việc sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ
mạng là r ất cần thiết. Mặc dù việc triển khai IDS cho một mạng một cách toàn diệncó nhiều khó khăn tuy nhiên những lợ i ích mà nó đem lại là r ất lớ n. Một mặt nó
giúp hệ thống an toàn tr ướ c những nguy cơ tấn công, mặt khác nó cho phép nhà
quản tr ị nhận dạng và phát hiện đượ c những nguy cơ tiềm ẩn dựa trên những phân
tích và báo cáo đượ c IDS cung cấ p. Từ đó, hệ thống có tích hợ p IDS có thể góp
phần loại tr ừ đượ c một cách đáng k ể những lỗ hổng về bảo mật trong môi tr ườ ng
mạng.
Bằng cách sử dụng các giải pháp IDS mềm thay thế cho các IDS cứng do vấn đề kinh phí, hệ thống mạng của chúng ta đã giảm thiểu đượ c tươ ng đối các nguy cơ tấn
công tiềm ẩn và nâng cao độ an toàn. Vớ i những tham khảo áp dụng triển khai một
hệ thống IDS mềm tích hợ p vào mạng, ta có thể thấy một hệ thống IDS mềm cũng
hoàn toàn thực hiện đượ c những tính năng như một IDS cứng, do thờ i gian triển
khai phần mềm ngắn nên việc hoàn thiện các module gắn thêm cho hệ thống IDS là
chưa có. Nếu tiế p tục phát triển, ta hoàn toàn có thể tích hợ p hệ thống IDS tươ ng tác
vớ i các phần còn lại của mạng, để khi có tấn công xảy ra, IDS sẽ tự động báo tin
đến ngườ i quản tr ị, và tự động đưa ra phươ ng án thích hợ p để vô hiệu hoá tấn công
đó.
5/11/2018 LABK0009 - slidepdf.com
http://slidepdf.com/reader/full/labk0009 112/112
Xử lý Thông tin và Truyền Thông Nguyễn Đứ c Cườ ng
Hệ thống phát hiện xâm nhập mạng
109
DANH MỤC TÀI LIỆU THAM KHẢO
[1] Patrick S. Harper, Oinkmaster Installation and Configuration Guide
[2] Andy Firman, Debian, Snort, Barnyard, BASE, & Oinkmaster Setup Guide
[3]http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09
186a008015c612.shtml
[4] Mark Cooper, Stephen Northcutt, Matt Fearnow, Karen Frederick, Intrusion
Signatures and Analysis
[5] Angela D. Orebaugh, Simon Biles, Jacob Babbin, “Snort Cookbook “
[6] Roman Danyliw, “ACID: Installation and Configuration”
[7] Chris Vespermann, “Snort, MySQL 5, Apache, and BASE for Gentoo Linux”[8] Brian Laing, ISS, “How To Guide: Intrusion Detection Systems”
[9] Patrick S. Harper, “Snort, Apache, SSL, PHP, MySQL, and BASE Install on
CentOS 4, RHEL 4 or Fedora Core (updated for Snort 2.6.0. and NTOP)”
[10]Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal
Intrusions”