BÁO cáo bài tập lớn môn an ninh và bảo mật dữ liệu đề tài tìm hiểu về hệ thống xâm nhập IDS sensor của cisco

Hacker và Intruder kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem bán nhiều thông tin có giá trị IDS – Instruction Detection System : hệ thống phát hiện

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN

-BÁO CÁO BÀI TẬP LỚN Môn: An ninh và bảo mật dữ liệu

Đề tài: Tìm hiểu về hệ thống xâm nhập IDS Sensor của Cisco

Giảng viên hướng dẫn: Trần Duy Hùng

Sinh viên thực hiện: Phan Văn Hào – 1810A01

Nguyễn Quang Hợp – 1810A01

Đỗ Tiến Đại– 1810A01

Năm 2021

Mục lục

1 Khái niệm về IDS 3

2 Lịch sử ra đời của IDS 4

3 Chức năng của IDS 4

4 Kiến trúc của IDS 5

5 IDS Sensor của Cisco 6

6 Cisco IDS 4.x chạy trên hệ điều hành Linux 9

1 Khái niệm về IDS

Ngày này, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành điều vô cùng quan trọng trong mọi hoạt động xã hội Bảo mật trở thành một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem bán nhiều thông tin có giá trị

IDS – Instruction Detection System : hệ thống phát hiện xâm nhập là một hệ

thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị

IDS cũng có thể phát hiện những tấn công từ bên trong (từ nhân viên công ty) hoặc từ bên ngoài (từ các hacker)

IDS phát hiện dựa trên các dấu hiệu đặc biệt từ các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hoặc dựa trên các so sánh mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi khác thường

2 Lịch sử ra đời của IDS

 Khái niệm phát hiện xâm nhập xuất hiện đầu tiên qua 1 bài báo của James Anderson

 Các nghiên cứu IDS được nghiên cứu chính thức từ 1983- 1988

 Cho đến năm 1996 các khái niệm IDS vẫn chưa phổ biến Một số hệ thống chỉ được xuất hiện trong các phòng thí nghiệm và các viện nghiên cứu

 Năm 1997 IDS mới thực sự được biết đến và đem lại lợi nhuận với sự đi đầu của công ty ISS

 Năm 1998 Cisco nhận ra tầm quan trọng của IDS và đã mua lại 1 công

ty cung cấp giải pháp IDS tên là Wheel

 Hiện tại, các thống kê cho thấy IDS/IPS đang là 1 trong các công nghệ

an ninh được sử dụng nhiều nhất và vẫn còn phát triển

3 Chức năng của IDS

 Chức năng quan trọng nhất của IDS là giám sát và cảnh báo:

o Giám sát: giám sát lưu lượng mạng và các hoạt động khả nghi

o Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

Chức năng chính của IDS được cụ thể bởi các hành động như:

o Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống

đã được cài đặt từ trước

o Phân tích thống kê những luồng traffic không bình thường

o Đánh giá và kiểm tra tính toàn vẹn của các file được xác định

o Thống kê và phân tích các user, hệ thống đang hoạt động

o Phân tích luồng traffic

o Phân tích Event log (ghi chú sự kiện)

4 Kiến trúc của IDS

Một IDS bao gồm: trung tâm điều khiển (The Command Console), bộ càm biến (Sensor), bộ phân tích gói tin (The Netword Tap), thành phần cảnh báo (Alert Notification)

Trung tâm điều khiển (The Command Console):

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lý Nó duy trì kiểm soát thông qua các thành phần của IDS và trung tâm điều khiển

có thể được truy cập từ bất cứ nơi nào Tóm lại, trung tâm điều khiển duy trì một số kênh mở giữa bộ cảm biến qua một đường mã hóa và nó là một máy chuyên dụng

 Bộ cảm biến (Sensor):

Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy chuyên dụng thông qua các đường truyền mạng thiết yếu Bộ cảm biến

có một vai trò quan trọng vì có tới hàng nghìn mục tiêu cần được giám sát trên mạng

 Bộ phân tích gói: đây là chương trình giám sát xâm nhập, gửi cảnh báo cho quản trị viên khi có hành động xâm nhập bất thường

 Thành phần cảnh báo: bao gồm các phương pháp gửi cảnh báo đến cho quản trị viên hệ thống như SMS, email, popupm SNMP

5 IDS Sensor của Cisco

- Các yếu tố ảnh hưởng đến quyết định khi chọn Sensor cho giải pháp Cisco IDS:

 Network media: Việc chọn lựa Sensor bị ảnh hưởng bởi môi trường mạng

 Intrusion detection analysis performance: Hiệu năng của Sensor được tính bằng tỉ lệ số bit /s mà nó có thể capture và phân tích chính xác Hiệu năng của Cisco IDS Sensor nằm từ 45Mbps đến 1000 Mbps

 Network enviroment: Cisco IDS sensor thích hợp cho các mạng mà

có tốc độ mạng nằm từ 10/100BASE-T Ethernet đến Gigabit Ethernet

- Yêu cầu thiết kế khi triển khai giải pháp Cisco IDS:

 Số lượng Sensor: Các kiến thức về topo mạng sẽ giúp xác định có bao nhiêu IDS appliance cần thiết, cấu hình phần cứng cho từng IDS appliance (ví dụ như kích thước và các loại NIC) và có bao nhiêu trạm quản lý IDS cần thiết

 Kích thước và sự phức tạp của mạng

 Các kết nối giữa mạng cá nhân và các mạng khác, bao gồm cả Internet

 khối lượng và các loại traffic ở trên mạng

 Nơi đặt Sensor: người ta khuyên rằng Sensor nên đc đặt ở những network entry (điểm đi vào mạng) và exit point (điểm đi ra) mà cung cấp đầy đủ toàn bộ intrusion detection

 Các tuỳ chọn quản lý và giám sát: xem lại các tuỳ chọn quản lý và giám sát để chọn ra cái thích hợp nhất

 Giao tiếp với các Sensor bên ngoài: traffic ở trên port giao tiếp giữa Sensors và hẹ thống bên ngoài phải đc cho phép bởi firewall, để đảm bảo nó thực hiện chức năng của mình

- Những vị trí mà cần được bảo vệ khi các thiết bị IDS chuyên dụng yêu cầu kết nối:

- Internet protection: một Sensor giữa gateway mạng cá nhân và internet kết hợp với firewall và VPN bằng các giám sát traffic cho những hoạt động xâm phạm

- Extranet protection: một Sensor giữa mạng cá nhân và các kết nối extranet như các kết nối với các đối tác kinh doanh, giám sát traffic nơi

mà sự tin tưởng ko đc dám chắc

- Intranet and internal protection: bảo vệ dữ liệu tập trung và các hệ thống quan trọng từ những nguồn tấn công bên trong

- Remote access protection: một Sensor đc sử dụng để giám sát những traffic gửi đến NAS (Network acess server) để bảo vệ các truy cập từ xa

- Server farm protection: các công ty đang triển khai các Server public ở trên vùng DMZ Những server này đưa ra các dịch vụ mạng như : Web access, DNS, FTP, và SMTP Các CSA Agent đc cài trên những server này CSAMC đc cài trên mạng internal.

- Vị trí đặt sensor

 Sensor nằm ở trước firewall:

- Nhìn thấy tất cả các traffic được gửi đến

- Có khả năg cao hơn về những false possitive

- Không detect được các tấn công bên trong

Sensor nằm ở sau firewall

- Nhìn thấy chỉ những traffic đã đc cho phép bởi firewall=> bảo vệ IDS sensor khỏi những sự vi phạm mà firewall đã lọc

- Có khả năng thấp hơn về những false positive

- Alarm yêu cầu các đáp ứng ngay lập tức

6 Cisco IDS 4.x chạy trên hệ điều hành Linux

 Các hoạt động tương tác

- cidWebServer: webserver của Sensor WebServer có khả năng giao tiếp

cả HTTP và HTTPs Nó cung cấp nhiều hơn các web tĩnh Nó cung cấp front-end server cho IDS Device Manager (IDM) IDM chạy như một

“servlet” ở bên trong webserver WebServer sử dụng một vài “servelet”

để cung cấp các dịch vụ IDS Những “servlet” này đc chia sẻ các thư viện

mà đc load đến cidWebServer xử lý ở thời gian chạy những điểm dưới đây miêu tả các “servlet”

 IDM: cung cấp IDM web-based management interface (giao diện quản lý trên web)

 EvenServe: được sử dụng để phục vụ các sự kiện cho các ứng dụng quản lý như IDS Event Viewer (IEV)

 TransactionSever: cho phép các ứng dụng quản lý như Management Center cho các IDS Sensor (IDS MC) để khởi tạo các giao dịch quản lý với Sensor Các giao dịch quản lý này đc sử dụng để cấu hình và điều khiển các Sensor

 IPLogServer: được sử dụng để phục vụ các IP logs chocác hệ thống bên ngoài

- mainApp: chịu trách nhiệm cho cấu hình các cấu hình của hệ điều hành như IP Address mainApp cũng start và stop tất cả các ứng dụng khác của Cisco IDS

- logApp: ghi tất cả những log message của ứng dụng đến log file logApp cũng ghi những tin nhắn lỗi của ứng dụng đến Eventstore

- Authentication: cấu hình và quản lý authentication ở trên Sensor ứng dụng authentication xác định trạng thái authentication của user và vai trò dựa trên username và password Mỗi một user được gán một vai trò trên Sensor Vai trò của user xác định hoạt động mà user được cho phép để thực hiện

- Network Access Controller (NAC): được sử dụng để khởi tạo blocking trên các thiết bị mạng

- ctlTransSource: Cho phép Sensor giao tiếp các giao dịch điều khiển với các thiết bị khác

- sensorApp: sensing engine thực sự sensor App sẽ xử lý các signature và phát ra các alert events dựa trên cấu hình của nó và IP của traffic SensorApp, giống như các ứng dụng khác, lưu trữ events (sự kiện) của nó vào EventStore

 VirtualSensor:Nhận các packet, xử lý chúng và sau đó xác định có tạo ra alarm hay ko Các bộ xử lý khác nhau nằm trên Virtual Sensor, mỗi một cái có một chức năng riêng

 VirtualAlarm (alarm channel): chịu trách nhiệm cho đầu ra của alarm đến IDS Eventstore và thực hiện các EventAction

- EventStore: 4Gb, đc chia sẽ, các file đc ánh xạ nơi mà các sự kiện đc lưu trữ Sensor App là ứng dụng duy nhất mà ghi các alert events lên EventStore Tất cả các ứng dụng khác có thể ghi log, status và các error event lên EventStore

- cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu khi một user log in vào Sensor một cidCLI độclập sẽ đc load cho mỗi CLI shell

Ở CiscoIDS 4.x sự truy cập vào OS shell đc thay thế bởi CLI,cái mà thực hiện hầu hết các nhiệm vụ Sử dụng CLI cho các ứng dụng quản lý thích hợp để cấu hình và gỡ rối Sự truy cập Shell cho cấu hình ko còn đc hỗ trợ

 Các phương pháp quản lý Sensor:

Cổng điều khiển: yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với Sensor) và một chương trình giả lập thiết bị đầu cuối như HyperTerminal

 Monitor và keyboard: yêu cầu kết nối một màn hình và một bàn phím trực tiếp đến Sensor

 Telnet: yêu cầu địa chỉ IP mà được gán cho command and control interface qua CLI setup command

 Secure shell (SSH): yêu cầu một địa chỉ IP mà đc gán đến command and control interface qua CLI setup commandvà sử dụng một client

có hỗ trợ SSH

 HTTPS: yêu cầu một IP mà đc gán đến command and control interface qua CLI setup command và sử dụng một trình duyệt web

 Khởi tạo cho Sensor:

• Gán cho Sensor một hostname:

• Gán IP address và subnet mask cho command and control interface

• Gán một default route

• Enable hay disable chức năng telnet server

• Xác định cụ thể web server port

• Add hoặc remove ACL (access control list) entry mà xác định host nào được cho phép kết nối đến Sensor

• Set ngày và giờ

• Thường đc thực hiện qua setup command

 Command line mode:

IDS 4.1 software bao gồm một CLI đầy đủ CLI cho IDS version 4.1 là giao diện người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH

và kết nối serial Sử dụng SSH version 1.5 clien để truy cập đến CLI qua mạng

Các đặc điểm của CLI:

 Trợ giúp: enter ? sau câu lệnh để thể hiện những câu lệnh sẵn có ở mode hiện tại

 Tab completion: Enter Tab để hoàn thành câu lệnh

 Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến

ví dụ chỉ cần gõ sh ver thay vì show version

 Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để gọi lại các câu lệnh vừa đc enter

 User interface prompts: CLI thể hiện dấu nhắc tương tác người dùng khi hệ thống thể hiện một câu hỏi và đợi đầu vào (input) của user

Nhiệm vụ của CLI:

- Khởi tạo Sensor

- Cấu hình : tuning signature engine (điều chỉnh signature engine)

- Quản trị : Back up và restore file cấu hình

- Gỡ rối: xác minh những số liệu thống kê và các setting

 Một số câu lệnh cơ bản:

 Tạo user account để truy cập đến Sensor cho quản lý và giám sát (qua CLI hoặc management console)

Cú pháp:

sensor(config)# usename name [password] [privilege]

vd: sensor(config)# username Admin password Adminpass privilege administrator

=> tạo quản trị viên Admin với cấp quản trị viên đặc quyền và mật khẩu là Adminpass

 Tạo Service account Đây là một account có vai trò đặc biệt cho phép login vào OS shell thay vì CLI shell, account không hỗ trợ cho việc cấu hình

nhưg hỗ trợ cho việc gỡ rối, mặc định nó không tồn tại trên Sensor và phải tạo nó

Cú pháp:

sensor(config)# username name [password] [privilege]

vd: sensor(config)# username myserviceacct password serpass privilege service

=> tạo 1 tài khoản dịch vụ có tên myserviceacct với mật khẩu serpass

 Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần một user có thể cố gắng xác thực trước khi nó bị disable

Cú pháp:

sensor(config-Authentication-gen)# attemptLimit Limit

vd: sensor(config-Authentication-gen)# attemptLimit 3

=> đặt số lần thử xác thực tối đa thành ba

 Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho một user đang tồn tại hoặc enable trở lại cho một user đã bị khoá

Cú pháp:

sensor(config)# [name [newpassword] ]

 Thay đổi vai trò (đặc quyền):

Sử dụng câu lệnh privilege để thay đổi vai trò của account Chỉ administrator mới có thể làm điều này

 Cấu hình các truy cập qua mạng:

Sử dụng accessList để chỉnh sửa ACLs cho phép truy cập từ xa Câu lệnh

này giúp thiết lập IP của host (hoặc mạng) mà đc phép thiết lập phiên kết nối TCP đến Sensor

Cú pháp:

sensor(config-Host-net)# accessList ipAddress ip_Address [netmask]