Messages posted by: quangteospk

Ping dùng giao thức ICMP còn truy cập bằng web browser thì dùng giao thức http (80). Người ta vẫn có thể chặn ping mà vẫn truy cập thông qua giao thức http được, chuyện này chẳng có gì lạ.

Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; )

Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm.

TMDTHBC wrote:

Thưa các member,
Tôi - học hỏi về bảo mật - nhưng chưa tìm được cách phòng chống Cain and Abel vì hàng ngày tôi phải vào công ty ở vị trí sale manager nhưng tôi vẫn bị sniff thông tin từ bộ phận IT. Tôi cũng có chút ít kiến thức nên laptop win7 tôi đã turn on firewall, tắt Netbios và khi vào web bao giờ cũng là https:// ....

Vui lòng tư vấn cho tôi làm sao để phòng sniff từ bộ phận IT khi tôi muốn vào FB hay bất kỳ trang web thông tin nào khác.

Cảm ơn đã tư vấn.
Best Regards.

Thứ 1: Nếu chính sách của doanh nghiệp đã không cho người dùng truy cập vào các website đó thì bạn buộc phải tuân thủ các chính sách đó.

Thứ 2: Nếu IT chỉ phát hiện bạn xài facebook thì chưa chắc đã cần thiết phải sniffer mới biết được, họ có nhiều cách khác hơn thế nhiều.

Thứ 3: Nếu phòng IT thực sự sniffer nhằm mục đích lấy các thông tin cá nhân từ các website mà bạn được phép truy cập, tôi nghĩ cái này bạn phải yêu cầu giải trình trực tiếp từ phía bên IT.

Thứ 4: Bạn là sale manager thì bạn không có quyền can thiệp vào hệ thống mạng, nghĩa là bạn không thể chống được mà bạn chỉ có thể phát hiện được. Tôi không nhớ rõ lắm nhưng hình như phần mềm đó tên dạng như ARP-Swatch gì đó, khi có bất cứ sự thay đổi gì về địa chỉ MAC của modem giao tiếp với Internet, chương trình sẽ hiện một pop-up cảnh báo.

Không phải tất cả mọi ứng dụng trên Windows đều có thể cài thông qua wine được. Nhất là các phần mềm chuyên dụng. Bạn nên cho mọi người biết bạn muốn cài phần mềm gì, và nhu cầu sử dụng của bạn ra sao đối với phần mềm đó.

Theo ý kiến cá nhân của mình thì nếu bạn không thường xuyên sử dụng thì:

1. Bạn cố gắng học và sử dụng các phần mềm thay thế.

2. Cách mình thường làm, cài máy ảo Windows và cài ứng dụng cần xài trên đó.

Đọc kỹ vài lần thì em cũng nắm rõ được vấn đề giữa Snort và iptables rồi.

Nhưng điểm thắc mắc của em là, user từ ngoài truy cập vô IP mặt ngoài của iptables, iptables NAT vô Snort và từ chỗ này làm sao đi tiếp vô Web, điểm em thấy lạ là chẳng lẽ mình lại phải dùng iptables trên con snort này và NAT thêm lần nữa chăng.

Hôm qua có đọc lại mấy quyển ebook thì có nhắc tới khái niệm steath mode (no IP) để Snort như trong suốt trong hệ thống mạng hoặc cấu hình 2 card mạng của Snort như một Bridge nhưng em vẫn chưa hình dung được điều này đúng hay không?

vd_ wrote:

drop source chứ đâu có drop 1.1.1.1 đâu mà bạn lo

bạn đã dựng vm và test thử lý thuyết của bạn chưa?

Dạ, cám ơn anh chủ đề nào cũng vô giúp đỡ em smilie

Vấn đề là nếu để inline thì em chưa hình dùng được iptables sẽ phải NAT như thế nào để qua snort, rồi tới được web server phía trong.

Như cái chủ đề em để trên thì anh hoakhanh cũng có nói là "liệu có phải NAT 2 lần" hay không đó ạ.

Em có theo dõi chủ đề: Sự khác nhau giữa snort và snort_inline
/hvaonline/posts/list/34001.html
Hiện tại sau khi đọc kỹ vài lần em thấy mình có một điểm thắc mắc giống với anh hoakhanh281 trong chủ đề đó nhưng chưa được giải đáp.

1. Theo như post đầu tiên của anh conmale:

snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

Thì snort (snort_inline) ở đây phải ở chế độ inline thì mới gửi alert cho iptables block luồng "code_red" được. Nếu vậy thì nếu để snort ở chế độ passive thì có phải là snort_inline + iptables không thể trở thành IPS và block các luồng đó?

2. Giả sử em có mô hình như sau.

<internet>-----------<1.1.1.1><iptables><192.168.x.x>-------<192.168.x.x><snortsam><10.0.0.x>--------<10.0.0.x><web server>

Lúc này <iptables> và <snortsam> sẽ đóng vai trò như một IPS. Nếu snortsam match một gói với luật, gửi alert tới iptables và iptables sẽ DROP luồng đó.

Vấn đề là iptables em cấu hình NAT Inbound, để mỗi khi bên ngoài truy cập vào địa chỉ mặt ngoài của iptables <1.1.1.1> port 80 thì forward vô webserver.

Điểm thắc mắc của em là nếu để snortsam ở chế độ inline như vậy thi làm sao iptables có thể forward vô được webserver phía trong.

Nếu để snortsam ở chế độ passive như ở ý [1] thì nó lại không đảm nhiệm được chức năng IPS.

Nhờ mọi người tư vấn dùm smilie

Bồ dịch câu đó ra là sẽ hiểu.

Thông tin bạn đưa ra quá mơ hồ. Làm ơn chi tiết hơn?

Ví dụ, ifconfig không hiện ra địa chỉ, chỉ hiện ra dòng lệnh liên quan đến bash --> vui lòng gửi dòng thông báo liên quan đến bash lên đây.

Em gõ lệnh vi /etc/sysconfig/network-script/icfg-eth0 nó cũng k hiện ra để cho mình sửa --> bạn vui lòng nhấn tab mỗi lần di chuyển để đảm bảo tập tin đó có tồn tại, chỗ màu đỏ sai rồi nhé.

Bạn kiểm tra địa chỉ IP bằng lệnh nào? gõ iptables -L có thông báo gì hiện ra.

Kiến thức về Linux của bạn hình như chưa được tốt lắm, nên dành thời gian để tìm hiểu về Linux trước khi làm về iptables

MD5 là hash function làm gì có khái niệm Encrypt với Decrypt mà tìm hiểu.

Có lẽ thay vì trả lời topic này, bạn nên cài ngay và tức thì đi.

P/S: Bạn đã tải và cài chưa?

NHtrongnghia wrote:

Cho e hỏi. Ubuntu, sao em thấy rất có nhiều người sử dụng bản này trên rất nhiều diễn đàn. Nó có lợi như thế nào ạ ?
Anh có thể phân tích cho em biết mỗi phiên bản nhằm vào mục đích sử dụng như thế nào không ạ ?

Triết lý của Ubuntu là bản phân phối dành cho người dùng cuối, phát hành liên tục (6 tháng 1 lần), ứng dụng nhiều công nghệ mới, thiết kế dễ sử dụng, và giao diện đẹp. Bởi vậy distro này thích hợp cho những người dùng mới bắt đầu hơn.

Về bản chất các distro không khác nhau nhiều, như bạn đã đề cập cái khác nhau đầu tiên đó là "mục đích sử dụng" hay "đối tượng mà distro đó hướng tới".

Ngoài ra trong quá trình tìm hiểu bạn sẽ gặp các Distro khác như CentOS hay Red Hat, Debian, các bản phân phối này thường đc sử dụng cho mục đích máy chủ. Vì máy chủ thì cần tính ổn định hơn là những công nghệ mới chưa ổn định, thời gian phát hành và hỗ trợ lâu (từ 3-7 năm).

Nói chung, khi bắt đầu bạn đừng quá quan tâm lựa chọn distro nào, cái quan trọng là "khi nào" bạn mới bắt đầu cài và sử dụng.

Để hiểu về lệnh thì bạn làm theo anh quanta đã chỉ đó. Tìm hiểu lệnh `man` là gì rồi sau này sử dụng nó thường xuyên.

Theo mình thấy đọc các trang web mà bạn không sử dụng thì cũng không nhớ dai được đâu. Ngày xưa mình bắt đầu thì mình in mấy tờ này ra, lâu lâu lôi ra đọc để biết những lệnh cơ bản trước.

[1] The One Page Linux Manual --> Bạn search y chang từ khoá đó là ra.

[2] Tờ ghi nhớ Ubuntu --> Lúc đầu mình sử dụng Distro Ubuntu nên in luôn cả tờ này.

2 cái trên chỉ là những lệnh cơ bản và thường gặp thôi, sau này khi sử dụng nhiều, bạn sẽ tập được thói quen đọc `man và search trên Internet.

BichPham wrote:

em đã tìm hiểu về các trình soạn thảo trong linux. Nhóm em đang làm đồ án về iptables. Nhưng nhóm e chưa biết rõ mình phải làm những j yêu cầu ra sao. rất mong anh em chỉ bảo thêm ạ. Tks !

Câu hỏi của bạn chung chung qúa, trước tiên bạn phải hiểu firewall làm được gì và không làm được gì? Xây dựng một mô hình mạng mà bạn muốn đặt iptables trong đó. Hình thành các chính sách truy cập rồi lúc đó bạn mới chuyển hóa các chính sách đó thành các rule trong iptables được.

Xài nó hàng ngày, mỗi lần gõ một lệnh gì nên tìm hiểu xem nó có ý nghĩa như thế nào? tại sao lại phải sử dụng nó.

Thân chào mọi người.

Em đã đọc và tìm hiểu kỹ về mô hình TCP/IP nhưng có vài điểm sau đây em vẫn chưa hiểu rõ được. Mong nhận đc giúp đỡ từ mọi người.

1. Em đọc trong một tài liệu tiếng Việt có gì. Tầng Transport đảm nhiệm chức năng chia các gói tin lớn thành các gói tin nhỏ trước khi truyền đi, đánh số và đảm bảo truyền đúng thứ tự (kiểm soát lỗi).

Nghĩa là:
[application data ] -> [header + tcp segment 1], [header + tcp segment 2], [header + tcp segment 3]

Em tạm gói quá trình này là Segmentation. Vấn đề em chưa rõ là kích thước tối đã của mỗi TCP Segment này là bao nhiêu. Có phải gía trị đó là MSS (TCP Maximum Segment Size) không ạ.

Nếu vậy chỗ này em tạm hiểu kích thước tối đa là 1460 bytes (RFC1323 0) hoặc 1448 bytes (RFC1323 1).

2. Tiếp xuống tầng Internet, có tiếp một quá trình phân mảnh nữa. Đó là Ip Fragmention.
Quá trình này là do gói dữ liệu ở tầng Internet có kích thước tối đa là 65.535 bytes trong khi khung Ethernet có kích thước tối đa là MTU 1500 bytes.

Vấn đề của em là:

1. Tại sao kích thước tối đa ở tầng Transport là MSS là 1460 bytes mà dưới mô tả ở tầng Internet lại nói kích thước tối đa lại lên tới 65.535 bytes ạ.
Theo em thì gắn thêm 20 bytes TCP Header + 20 bytes IP Header thì kích thước cũng không tới mức đó, vậy tại sao lại có quá trình phân mảnh đầu tiên này và kích thước tối đa thực sự của TCP Segment là bao nhiêu?

2. Quá trình IP Fragmentation được hiện trước hay sau khi gắn IP Header? Theo em hiểu thì quá trình này thực thi sau khi gắn IP Header, kiểm tra nếu > MTU thì phân mảnh.Nhưng lại vướng một vấn đề đó là nếu fragmention sau, thì tất cả các "mảnh" đều có phần IP Header.

3. Hai quá trình này khác nhau như thế nào và tại sao lại phải có 2 quá trình cùng phân mảnh một gói tin lớn -> nhỏ như vậy?

Mong giải đáp từ phía các anh chị.

Bạn mount bằng command gì?

Em thấy cái font Terminus này nếu để cỡ chữ nhỏ quá thì sẽ thấy rất xấu, chữ chỗ dính chỗ cách nhau và mờ mờ, nhưng để cỡ to một xíu (12) thì nhìn đẹp (em hay để cỡ 10).

Thực ra vẫn thích xài Consolas nhất, nhưng lâu lâu đổi thì lại thấy hợp mắt hơn smilie

vd_ wrote:

1. thư mục /var/log/snort có file unified2 nào không? => đảm bảo snort đã capture được[code]

Dạ, đã có log dạng snort.log.xxx rồi. Và đã có thông tin trong đó luôn

vd_ wrote:

2. file waldo là barnyard2.waldo hay là barnyard2waldo?

Chỗ này em paste nhầm, command chạy đúng là file baryard2.waldo.

Snort sẽ gửi output tới fw thông qua port 898 bạn kiểm tra trên firewall đã mở port này chưa. Nếu chưa thì phải mở port này. Firewall của bạn là loại gì?

Em trình bày lại cách em cài đặt Barnyard2 như sau.

Code:

# ./configure --with-mysql –with-mysql-libraries=/usr/lib64/mysql && make && make install
# cp etc/barnyard2.conf /etc/snort # Copy tập tin cấu hình của Barnyard2 đặt vào thư mục cấu hình của Snort.
# mkdir /var/log/barnyard2
# chmod 666 /var/log/barnyard2
# touch /var/log/snort/barnyard2.waldo
# cp sid-msg.map /etc/snort -> file này nằm trong tập luật tải về.

Tập tin cấu hình của Barnyard2 như sau:
Code:

config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
config logdir: /var/log/barnyard2
config hostname: localhost
config interface: eth0
config waldo_file: /var/log/snort/barnyard2.waldo
#output alert_fast: stdout
output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost

Sau đó em chạy snort và barnyard2 với 2 command sau
Code:

# snort –u snort –g snort-c /etc/snort/snort.conf –i eth0
# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /var/log/snort/barnyard2waldo

Và kết quả là Barnyard2 không record đc packet nào.

vd_ wrote:

barnyard2 đã đưa được vào mysql chưa?
snort -> unified2 -> barnyard2 -> mysql
BASE chỉ đọc từ mysql nên bạn phải chắc barnyard2 đã out ra được mysql

Vấn đề của mình chính là chỗ này, hôm qua khi xem mình cứ nghĩ là do permision của thư mục chứa log mà BASE ko thể đọc được.

Sau đó mình thử kiểm tra lại tất cả cấu hình và các file config, sau đó start lại Snort và start lại Barnyard2 và thấy log có tạo ra đúng thuộc sở hữu của Snort.

Sau đó mình để ý thấy một điều lại là Barnyard2 không record bất cứ gói tin nào. Dù bên Snort vẫn báo có khoảng bao nhiêu % gói tin TCP, ICMP...

Vấn đề mình đã xác định được là do Barnyard2 ko record đc, nhưng kiểm tra đi kiểm tra lại vấn chưa thấy lỗi ở đâu.

Sau khi search lại trên diễn đàn thì hình như vấn đề của em là BASE không đủ thẩm quyền để đọc các file log của Snort. Vì BASE đang chạy với user apache và chown của thư mục /var/log/snort thuộc về snort:snort.

Sau đó em

Code:

chmod 755 -R /var/log/snort

Và test lại thử nhưng BASE vẫn chưa thể đọc được log của Snort.

Chào mọi người. Vấn đề của em là em cài BASE để theo dõi các cảnh báo từ Snort. Nhưng lại không nhận được bất cứ cảnh báo nào cũng như BASE ko có bất cứ dữ liệu gì.

Mô hình của em là các cảnh báo sau khi được phát hiện --> Barnyard2 --> lưu xuống MySQL --> và BASE sẽ đọc những log này.

Barnyard em đã build với --with-mysql thành công.

file config của Snort phần output là:

Code:

output unified2: filename snort.log, limit 128

file config của Barnyard là:
Code:

config logdir: /var/log/barnyard2
config hostname: localhost
config interface: eth0
config waldo_file: /var/log/snort/barnyard2.waldo
output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost

Các file, thư mục cần thiết em đã đều tạo rồi, cơ sở dữ liệu cũng đã tạo

fie base_conf.php

Code:

$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_port = '';
$alert_user = 'snort';
$alert_password = 'snortpass';

Sau đó em viết thử một rule để test trong local.rules như sau
Code:

alert icmp any any -> any any (msg:"ICMP Testing Rule"; sid:1000001;)
alert tcp any any -> any 80 (msg:"TCP Testing Rule"; sid:1000002;)
alert udp any any -> any any (msg:"UDP Testing Rule"; sid:1000003;)

Start snort và barnyard2
Code:

# snort -c /etc/snort/snort.conf -A console
# barnyard2 -c /etc/snort/barnyard2 -d /var/log/barnard2/ -f snort.log -w /var/log/snort/barnyard2.waldo

Sau đó em thử ping tử một máy khác thì các cảnh báo đã hiển ra console.

Nhưng khi truy cập vô BASE thì lại không thấy bất cứ cái gì, log trong /var/log/snort cũng đã được tạo ra.

Em không biết sai chỗ nào, nhở mọi người giúp đỡ với ạ

Dạ, rất cám ơn anh đã phản hồi lại. Đúng là em mới chỉ "đọc" chứ chưa bắt tay vào triển khai, có lẽ em nên thử triển khai trước đã rồi xem xét lại các nhận định của mình. smilie

Dạ, rất cám ơn anh đã phản hồi lại. Đúng là em mới chỉ "đọc" chứ chưa bắt tay vào triển khai, có lẽ em nên thử triển khai trước đã rồi xem xét lại các nhận định của mình. smilie

LNH wrote:

Đây là một câu hỏi rất ngay ngô, thế bạn nghĩ nếu để Snort ở trước Firewall thì bạn cần SnortSam để làm gì ?

Snort cung cấp các tính năng phân tách và đối soát dữ liệu lưu thông trên mạng cao hơn Firewall, và nó dùng để phát hiện (và ngăn chặn) các hành động "tinh vi" hơn là những "bất thường" của network.

Do đó việc đặt Snort trước FW sẽ làm cho Snort phải chịu tải lớn không cần thiết, và quá trình "kiểm tra cái thứ đã biết rồi" đó cứ lặp đi lặp lại, đáng không ? Đổi lại nếu FW ở trước lọc một phần các dữ liệu bất hợp lệ, sau đó Snort phát hiện các "thủ đoạn tinh vi" và gởi đến FW để chặn ngay từ đầu. Đến giờ mình cũng chưa thấy TH nào đặt Snort trước FW cả

Ý anh ở đây có phải là fw phía trước sẽ lọc bớt những traffic không đáng có, đến Snort sẽ detect ra xâm nhập (nếu có) và gửi lại cho fw phía trên để fw block IP ở những lần sau phải không a?

Em nghĩ đặt Snort trước Fw là do SnortSam chỉ làm nhiệm vụ phân tích và gửi command tới fw và việc chặn IP nào là trách nhiệm của IP. Nếu đặt Snort sau thì liệu cuộc xâm nhập "đã thành công rồi" và SnortSam lúc này chỉ có thể "alert" thôi mà ko thể gửi cảnh báo để fw chặn được nữa, vậy liệu chức năng Active Response có còn tác dụng nữa hay ko a?

Câu trả lời là được. Tuy nhiên cần tỉnh táo khi xử lí trên các interface và routing data

Ý em ở đây là trong mô hình test, nhưng qua những phân tích của anh thì có lẽ em nên tách FW ra riêng và Snort ra riêng.

Chào các anh chị. Hiện tại em đang nghiên cứu về giải pháp phát hiện xâm nhập. Kết hợp với SnortSam để active response. Tuy nhiên em vẫn chưa hình dung ra được mô hình mạng trong thực tế triển khai như thế nào cũng như khi test thử hệ thống thì bố trí ra sao.

Đây là mô hình em vẽ, các chấm đỏ là các vị trí có thể đặt Snort sensor.

1. Trong mô hình test thử (chỉ có Snort) em định bố trị như sau:

(web server)-------(snort)----------(iptables)----------(internet)
(client)-----------------|

2. Trong mô hình test thử có SnortSam em chưa hình dung ra được phải bố trí ra sao.

Theo em đọc hiểu thì SnortSam gồm 2 phần: 1 phần chạy trên firewall và một phần chạy trên Snort (nếu mô hình có cả fw và Snort). Phần agent chạy trên fw sẽ nhận các command từ output-log của Snort gửi nên và block các IP đó.

Tuy nhiên như trong mô hình (1) thì Snort đứng sau iptables, các packet khi tới Snort thì đã đi qua iptables mất rồi. Liệu có phải trong trường hợp này em nên bố trí Snort ở phía trước iptables không ạ. Và trong mô hình test thử em có thể bố trí (snort, snortsam, iptables) chung trên một máy ảo được không ạ.

SnortSam em đọc vẫn chưa thông suốt được, nên không biết nhận định có chính xác hay không.

Hị vọng được anh chị giúp đỡ. smilie

Cần nếu cần và không cần nếu không cần.

Thực sự khi sử dụng Linux bạn sẽ có một cái thói quen đó là "cần trọng" trước mọi thứ. Không như Windows thường có thói quen tải linh tinh các phần mềm về để cài thử mà không cần chú ý nó có cài cắm gì trong đó hay không.

Phần mềm trên Linux cũng ko có quăng lung tung trên các host linh như mediafire, fshare, mà người dùng Windows thì thường ko có thói quen vô trang chủ down vì chậm. Chẳng biết trong đó có đúng là bản gốc hay không.

Nói chung, do cách bạn xài máy tính, nếu bạn "nghi ngờ" bất cứ thứ gì, luôn cẩn trọng thì Linux chẳng cần AntiVirus làm gì cho mệt.