HỌC PHẦN AN TOÀN MẠNG NÂNG CAO BÀI THỰC HÀNH 2 Triển khai hệ thống honeypot kết hợp IDS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.56 MB, 20 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
HỌC PHẦN: AN TỒN MẠNG NÂNG CAO
BÀI THỰC HÀNH 2: Triển khai hệ thống honeypot kết hợp IDS
Giảng viên hướng dẫn: Đặng Minh Tuấn
Sinh viên thực hiện: Vũ Viết Duy
Mã sinh viên: B18DCAT043
Lớp: D18DCAT03-B
Nhóm mơn học: 03
Hà Nội, 2022
An tồn mạng nâng cao
Mục Lục
CÀI ĐẶT, CẤU HÌNH HONEYD TRÊN UBUNTU VÀ PHÁT HIỆN TẤN CÔNG MẠNG
BẰNG HONEYD ...................................................................................................................... 3
1. Chuẩn bị môi trường ........................................................................................................ 3
2. Các bước thực hiện .......................................................................................................... 3
CÀI ĐẶT VÀ CẤU HÌNH SNORT ..................................................................................... 10
1. Chuẩn bị môi trường ...................................................................................................... 10
2. Các bước thực hiện ........................................................................................................ 11
Vũ Viết Duy-B18DCAT043
2
An tồn mạng nâng cao
CÀI ĐẶT, CẤU HÌNH HONEYD TRÊN UBUNTU VÀ PHÁT HIỆN
TẤN CÔNG MẠNG BẰNG HONEYD
1. Chuẩn bị môi trường
-
Chuẩn bị đối tượng:
o Máy ảo hệ điều hành Linux để tấn công.
o Máy ảo hệ điều hành Ubuntu để cài Honeyd.
-
Mơ hình mạng:
2. Các bước thực hiện
-
Cài đặt honeyd trên ubuntu:
o Tải git client về máy: $ sudo apt-get install git
Vũ Viết Duy-B18DCAT043
3
An toàn mạng nâng cao
o Tải mã nguồn:
$ git clone ~/Desktop/honeyd
o Cài đặt các gói thư viện yêu cầu:
Vũ Viết Duy-B18DCAT043
4
An toàn mạng nâng cao
$ sudo apt-get install libevent-dev libdumbnet-dev libpcap-dev libpcre3-dev
libedit-dev bison flex libtool automake
-
Tiến hành cài đặt:
o $ cd ~/Desktop/honeyd
Vũ Viết Duy-B18DCAT043
5
An toàn mạng nâng cao
o $ ./autogen.sh
o $ ./configure
Vũ Viết Duy-B18DCAT043
6
An toàn mạng nâng cao
o $ make
o $ sudo make install
Vũ Viết Duy-B18DCAT043
7
An tồn mạng nâng cao
-
Cấu hình Honeyd:
o Thiết lập file cấu hình honeyd.conf
$ cd ~/Desktop
$ nano honeyd.conf
Vũ Viết Duy-B18DCAT043
8
An toàn mạng nâng cao
-
Sử dụng honeyd để phát hiện tấn công:
o Khởi động Honeyd: Tại máy chủ honeyd gõ lệnh
$ sudo ~/Desktop/honeyd/honeyd -d -f ~/Desktop/honeyd.conf
o Đã tạo thành công 3 máy ảo với ip lan 192.168.11.111, 192.168.11.222 và
192.168.11.233
o Mở Nmap trên máy thật và rà quét dải mạng 192.168.10.0/24 . Nmap quét và thấy
4 máy
▪ 1 máy có địa chỉ ip: 192.168.11.1
▪ 1 máy có địa chỉ ip: 192.168.11.111
▪ 1 máy có địa chỉ ip: 192.168.11.222
▪ 1 máy có địa chỉ ip: 192.168.11.333
o Mở máy chủ Honeyd. Hệ thống honeyd phát hiện mạng đang bị rà quét => tìm biện
pháp đối phó.
Vũ Viết Duy-B18DCAT043
9
An tồn mạng nâng cao
CÀI ĐẶT VÀ CẤU HÌNH SNORT
1. Chuẩn bị môi trường
-
Chuẩn bị đối tượng:
o Máy thật Windows 11.
o Máy ảo Kali Linux cài snort.
-
Mơ hình mạng:
Vũ Viết Duy-B18DCAT043
10
An toàn mạng nâng cao
2. Các bước thực hiện
-
Cài đặt Snort trên ubuntu:
o Cài đặt các gói thư viện cần thiết:
sudo apt install -y gcc libpcre3-dev zlib1g-dev libpcap-dev openssl
libssl-dev libnghttp2-dev libdumbnet-dev bison flex libdnet
o Tạo thư mục snort ở Desktop để chứa mã nguồn:
mkdir ~/Desktop/snort
cd ~/Desktop/snort/
o Dowload module daq:
wget />
Vũ Viết Duy-B18DCAT043
11
An toàn mạng nâng cao
o Giải nén module vừa tải được:
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
o Cài đặt module:
./configure && make && sudo make install
Vũ Viết Duy-B18DCAT043
12
An toàn mạng nâng cao
o Dowload source snort về thư mục snort:
wget />
Vũ Viết Duy-B18DCAT043
13
An toàn mạng nâng cao
o Giải nén file vừa tải về:
tar -xvzf snort-2.9.11.1.tar.gz
Vũ Viết Duy-B18DCAT043
14
An toàn mạng nâng cao
o Cài đặt snort:
cd snort-2.9.11.1/
./configure --enable-sourcefire && make && sudo make install
Vũ Viết Duy-B18DCAT043
15
An toàn mạng nâng cao
-
Cài đặt, thử nghiệm luật ping và xem log
o Khởi tạo rule với alert khi có gói tin ping (ICMP) đến máy chạy snort
▪
Tạo file snort.conf
touch ~/Desktop/snort.conf
▪ Copy rule vào trong file snort.conf
alert icmp any any -> 192.168.10.209 any (msg:”ICMP
test”; sid:1000001; rev:1;)
▪ Tạo thư mục chưa file log
mkdir ~/Desktop/log
▪ Khởi động snort với rule vừa tạo
sudo
snort
-dev
-p
-c
~/Desktop/snort.conf
-l
~/Desktop/log -K ascii -k none
Vũ Viết Duy-B18DCAT043
16
An toàn mạng nâng cao
o Ping tử máy thật sang máy ảo ubuntu chạy snort, sử dụng tham số t:
Ping 192.168.11.147
Vũ Viết Duy-B18DCAT043
17
An tồn mạng nâng cao
o Trên màn hình console thấy xuất hiện gói tin ping:
o Tiến hành phân tích alert:
cat ~/Desktop/log/alert
-
Tạo luật cảnh báo khi có tấn cơng icmp flood
o Viết thêm luật cảnh báo ping với gói tin > 500 vào file snort.conf:
alert icmp any any -> any any (msg:”ping voi goi tin lon”; dsize:>500;
sid:1000001; rev:1;)
Vũ Viết Duy-B18DCAT043
18
An toàn mạng nâng cao
o Khởi động lại snort:
sudo snort -dev -p -c ~/Desktop/snort.conf -l ~/Desktop/log -K ascii -k none
o Tiến hành thử nghiệm ping với gói tin lớn hơn vào máy honeypot:
o Từ máy thật, tiến hành ping vào 1 trong 2 máy honeypot với kích
thước gói tin >500.
ping 192.168.11.111 -l 1000 –t
o Tiến hành phân tích log:
cat ~/Desktop/log/alert
Vũ Viết Duy-B18DCAT043
19
An toàn mạng nâng cao
Phát hiện ping vào máy honeypot thành công.
Vũ Viết Duy-B18DCAT043
20
