CÀI ĐẶT SNORT NIDS TRÊN WINDOWS 2K/XP/2K3 1.Download Snort: Download Snort ở trang web [Chỉ có thành viên mới thấy links này. ] This image has been resized. Click this bar to view the full image. The original image is sized 800x600.
Trang chủ www.snort.org
Hãy chọn thư mục binaries/ và thư mục tương ứng chứa Snort trên hệ điều hành windows hay linux. Ở đây chúng ta triển khai Snort trên hệ thống Windows nên sẽ chọn win32/ Sau đó hãy trở ra trang chủ và chọn RULES => DOWNLOAD RULES và tải về tập các quy tắc (rule) mới nhất. This image has been resized. Click this bar to view the full image. The original image is sized 799x261. Bây giờ chúng ta đã có thể tiến hành cài đặt Snort trên hệ thống Windows Server 2k3 hay Windows XP Pro của mình (cài trên máy thật). 2. Cài Đặt Snort: Trong bài viết này tôi trình bày phương pháp cài đặt Snort trên hệ thống Windows XP Pro. Chúng ta có thể tải winpcap từ [Chỉ có thành viên mới thấy links này. ] và Snort từ trang web [Chỉ có thành viên mới thấy links này. ] và chọn bản cài tren Windows.Trước và cài luôn WinPcap khi được yêu cầu để bảo đảm tính tương thích giữa winpcap và Snort. Sau đó click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt. Trên màn hình Installation Options có các cơ chế lưu trữ log file theo cơ sở dữ liệu SQL hay Oracle, tôi chỉ lưu trữ log trong Event Log nên sẽ chọn tùy chọn đầu tiên là “I do not plan to log to a database, or I am planing to log to one of the databse listed above” Sau khi đã cài đặt Snort chúng ta cần phải thiết lập các tham số quan trọng như HOME_NET và PATH_RULE mới có thể khởi động Snort và thực hiện các công việc tiếp theo. Đây là bước thường làm cho quá trình cài đặt và sử dụng Snort bị lỗi do khai báo sai. Lấy ví dụ, chúng ta triển khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24, vậy hã mở tập tin snort.conf trong thư mục C:\Snort\etc\ và tìm đến các biến HOME_NET và thiết lập như sau: Tiếp theo hãy khai báo đường dẫn đến nơi chứa các quy tắc snort rules và đặt RULE_PATH C:\Snort\rules
Khai báo các biến include classification.config và reference.config như hình dưới (sữa thành include C:\Snort\etc\classification.config và C:\Snort\etc\reference.config
Bây giờ, chúng ta có thể copy các rule được tạo sẳn (download từ net).Lưu ý chọn đúng phiên bản snort được triển khai), hãy giải nén và copy thư mục rules vào thư mục cài đặt Snort trên ổ C:\Snort
Copy thư mục rules vào C:\Snort
Như vậy quá trình chuẩn bị đã hòan tất This image has been resized. Click this bar to view the full image. The original image is sized 799x342. 3. SỬ DỤNG SNORT : Sử Dụng Snort Để Sniffer Packet: Để tiến hành sniffer chúng ta cần chọn card mạng để snort đặt vào chế độ promicous, nếu máy tính có nhiều card hãy sử lệnh snort –W để xác định:
Kết quả của snort –W cho chúng a xác định số hiệu card mạng Vậy card mạng có số hiệu là 4 Các bạn có thể chạy lệnh snort –h chúng ta sẽ thấy để tiến hành sniffer packet dùng lệnh snort –v –ix (với x là số hiệu của card mạng)
Cú pháp dòng lệnh sử dụng snort và các tùy chọn C:\Snort\bin\snort –v –i4 Với tùy chọn –v snort chỉ hiển thị IP và TCP/UDP/ICMP header, nếu muốn xem kết quả truyền thông của các ứng dụng hãy sử dụng tùy chọ -vd: C:\Snort\bin\snort –vd –i4 Để hiển thị thêm các header của gói tin tại tầng Data Link hãy sử dụng dòng lệnh: C:\Snort\bin\snort –vde –i4
Sau khi chạy dòng lệnh trên hãy mở cũa sổ mới và thử ping [Chỉ có thành viên mới thấy links này. ] rồi quan sát giao diện snort chúng ta sẽ thấy các tín hiệu như hình sau:
Để dừng tiến trình sniffing hãy nhấn tổ hợp phím Ctrl-C, Snort sẽ trình bày bản tóm tắt các gói tin bị bắt giữ theo từng giao thức như UDP, ICMP …
Như vậy chúng ta đã tiến hành cài đặt và cấu hình snort để tiến hành bắt giữ các gói tin, xem nội dung của chúng nhưng vẫn chưa biến snort thực sự trở thành 1 hệ thống IDS – dò tìm xâm phạm trái phép. Vì một hệ thống như vậy cần có các quy tắc (rule) cùng những hành động cảnh báo cho quản trị hệ thống khi xảy ra sự trùng khớp của những quy tắc này. Trong phần tiếp theo,chúng ta sẽ tiến hành cấu hình để xây dựng 1 network IDS với Snort.
Sử Dụng Snort Ở Chế Độ Network IDS: Tấc cả những hành động của Snort IDS đều họat động thông qua các rule, vì vậy chúng ta cần phải tạo mới hay chỉnh sữa những rule đã được tạo sẳn. Ở đây chúng ta sẽ tham khảo cả hai trường hợp này. Đầu tiên, các bạn hãy tham khảo dòng lệnh sau để áp dụng Snort ở NIDS:
trong dòng lệnh này có một tùy chọn mới là –c với giá trị là snort.conf. chúng ta đã biết snort.conf được lưu trữ trong thư mục C:\Snort\etc chứa các thông số điều khiển và cấu hình Snort như các biến HOME_NET xác định lớp mạng, biến RULE_PATH xác định đường dẫn đến nơi chứa các quy tắc để Snort áp dụng.
Còn về các rule thì các bạn có thể tự tạo rule cho mình hoặc download các rule trên mạng về nhé.
Tiếp .
Các bạn đã biết được cách cài đặt một hệ thống snort và cấu hình những tham số cần thiết như HOME_NET, RULE_PATH cũng như cách thực thi snort ở chế độ sniffer, hay áp dụng các quy tắc do chính mình tạo ra hoặc các quy tắc được thiết lập sẳn. Và để thuận tiện hơn trong q úa trình quản lý và vận hành Snort Netwrok IDS các bạnc ó thể cài đặt ứng dụng IDS Center, một ứng dụng miễn phí dùng để quản lý và vận hành snort rất hiệu quả.
Chạy file setup.exe
Trên màn hình tiếp theo click Next
3.Chọn Yes trên màn hình License Agreement để chấp nhận các quy định:
4.Chọn thư mục cài đặt với giá trị mặc định là C:\Program Files\IDScenter và nhấn Next :
Sau đó chọn các giá trị mặc định và hòan tất tiến trình cài đặt
Giao diện chính của chương trình:
các bạn tìm hiểu thêm nha.
Download winpcap: [Chỉ có thành viên mới thấy links này. ]
Download Snort: [Chỉ có thành viên mới thấy links này. ]
24/04/2009, 03:53 PM
This image has been resized. Click this bar to view the full image. The original image is sized 800x600.
Bài viết cùng chủ đề:
Linear Mode
