IDS thuần túy trở thành một hệ thống có các khả năng của một IPS, mặc dù chế độ này vẫn chỉ là tùy chọn chứ không phải mặc định. Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trong snort. Điều này được thực hiện bằng cách thay đổi môđun phát hiện và môđun xử lý cho phép snort tương tác với iptables. Cụ thể, việc chặn bắt các gói tin trong Snort được thực hiện thông qua Netfilter và thư viện libpcap sẽ được thay thế bằng việc sử dụng ipqueue và thư viện libipq. Hành động ngăn chặn của snort- inline sẽ được thực hiện bằng devel-mode của iptables.
2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode
Để hỗ trợ tính năng ngăn chặn của Snort-inline, một số thay đổi và bổ sung đã được đưa vào bộ luật Snort. Đó là đưa thêm 3 hành động DROP, SDROP, INJECT và thay đổi trình tự ưu tiên của các luật trong Snort. DROP Hành động DROP yêu cầu iptables loại bỏ gói tin và ghi lại thơng tin như hành động LOG. SDROP Hành động SDROP cũng tương tự như hành động DROP, điều khác biệt là ở chỗ Snort sẽ không ghi lại thông tin như hành động LOG. REJECT Hành động REJECT yêu cầu iptables từ chối gói tin, có nghĩa là iptables sẽ loại bỏ và gửi lại một thông báo cho nguồn gửi gói tin đó. Hành động REJECT khơng ghi lại bất cử thơng tin gì. Trình tự ưu tiên của các luật Trong các phiên bản gốc, trình tự ưu tiên của các hành động trong Snort là : activation-dynamic- alert-pass-log Trong inline-mode, trình tự ưu tiên này được thay đổi như sau : activation-dynamic-pass-drop-sdrop-reject-alert-log Page 33
CHƯƠNG III:CÀI ĐẶT VÀ CẤU HÌNH SNORT TRÊN NỀN CENTOS
Cài đặt apache, php,mysql và các gói phụ thuộc : -Sử dụng lệnh yum install packet iptables-devel pcre pcre-devel pcre- lib php php-common php-gd php-cli php-mysql flex bison mysql mysql-devel mysql-bench mysql-server gcc gcc-c++ - Cấu hình để Apache chạy cùng hệ thống chkconfig --levels 235 httpd on khởi động Apache: etcinit.dhttpd start Để MySQL khởi động cùng hệ thống, chạy các lệnh: chkconfig --levels 235 mysqld on etcinit.dmysqld start 1. -Download các gói cần thiết cho snort cần phải biên dịch từ source sau đó biên dịch các gói đó: adodb511.zip daq-0.5.tar.gz snort-2.9.0.2.tar.gz barnyard2-1.9.tar.gz libdnet-1.11.tar.gz snortrules-snapshot-2900.tar.gz base-1.4.5.tar.gz libpcap-1.0.0.tar.gz cdsnort wget http:nchc.dl.sourceforge.netprojectadodbadodb-php5-onlyadodb- 511-for-php5adodb511.zip wget http:fossies.orglinuxmiscdaq-0.5.tar.gz wget http:s3.amazonaws.comsnort-orgwwwsnort- current20111214snort-2.9.2.tar.gz? AWSAccessKeyId=AKIAJJSHU7YNPLE5MKOQExpires=1324798537 Signature=XO42owafXuKnyWR6o9nNXoFWsMs3D wget http:www.securixlive.combarnyard2download.php wget http:jaist.dl.sourceforge.netprojectlibdnetlibdnetlibdnet- 1.11libdnet-1.11.tar.gz wget http:www.snort.orgsnort-rules wget http:www.ziddu.comdownload11876999base-1.4.5.tar.gz.html wget http:www.ziddu.comdownload11876999base-1.4.5.tar.gz.html - Biên dịch các gói sau khi download: + Biên dịch lipdnet: tar xvzf libdnet-1.11.tar.gz giải libdnet-1.11.tar.gz Cd libdnet-1.11.tar.gz di chuyển vào file libdnet-1.11.tar.gz Page 34
