Hacker và Intruder kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem bán nhiều thông tin có giá trị IDS – Instruction Detection System : hệ thống phát hiện
Trang 1TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
-BÁO CÁO BÀI TẬP LỚN Môn: An ninh và bảo mật dữ liệu
Đề tài: Tìm hiểu về hệ thống xâm nhập IDS Sensor của Cisco
Giảng viên hướng dẫn: Trần Duy Hùng
Sinh viên thực hiện: Phan Văn Hào – 1810A01
Nguyễn Quang Hợp – 1810A01
Đỗ Tiến Đại– 1810A01
Năm 2021
Trang 2Mục lục
1 Khái niệm về IDS 3
2 Lịch sử ra đời của IDS 4
3 Chức năng của IDS 4
4 Kiến trúc của IDS 5
5 IDS Sensor của Cisco 6
6 Cisco IDS 4.x chạy trên hệ điều hành Linux 9
Trang 31 Khái niệm về IDS
Ngày này, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành điều vô cùng quan trọng trong mọi hoạt động xã hội Bảo mật trở thành một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem bán nhiều thông tin có giá trị
IDS – Instruction Detection System : hệ thống phát hiện xâm nhập là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị
IDS cũng có thể phát hiện những tấn công từ bên trong (từ nhân viên công ty) hoặc từ bên ngoài (từ các hacker)
IDS phát hiện dựa trên các dấu hiệu đặc biệt từ các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hoặc dựa trên các so sánh mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi khác thường
Trang 42 Lịch sử ra đời của IDS
Khái niệm phát hiện xâm nhập xuất hiện đầu tiên qua 1 bài báo của James Anderson
Các nghiên cứu IDS được nghiên cứu chính thức từ 1983- 1988
Cho đến năm 1996 các khái niệm IDS vẫn chưa phổ biến Một số hệ thống chỉ được xuất hiện trong các phòng thí nghiệm và các viện nghiên cứu
Năm 1997 IDS mới thực sự được biết đến và đem lại lợi nhuận với sự đi đầu của công ty ISS
Năm 1998 Cisco nhận ra tầm quan trọng của IDS và đã mua lại 1 công
ty cung cấp giải pháp IDS tên là Wheel
Hiện tại, các thống kê cho thấy IDS/IPS đang là 1 trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn còn phát triển
3 Chức năng của IDS
đã được cài đặt từ trước
Trang 5o Thống kê và phân tích các user, hệ thống đang hoạt động
4 Kiến trúc của IDS
Một IDS bao gồm: trung tâm điều khiển (The Command Console), bộ càm biến (Sensor), bộ phân tích gói tin (The Netword Tap), thành phần cảnh báo (Alert Notification)
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lý Nó duy trì kiểm soát thông qua các thành phần của IDS và trung tâm điều khiển
có thể được truy cập từ bất cứ nơi nào Tóm lại, trung tâm điều khiển duy trì một số kênh mở giữa bộ cảm biến qua một đường mã hóa và nó là một máy chuyên dụng
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy chuyên dụng thông qua các đường truyền mạng thiết yếu Bộ cảm biến
có một vai trò quan trọng vì có tới hàng nghìn mục tiêu cần được giám sát trên mạng
cho quản trị viên khi có hành động xâm nhập bất thường
quản trị viên hệ thống như SMS, email, popupm SNMP
Trang 65 IDS Sensor của Cisco
Cisco IDS:
Network media: Việc chọn lựa Sensor bị ảnh hưởng bởi môi trường mạng
Intrusion detection analysis performance: Hiệu năng của Sensor được tính bằng tỉ lệ số bit /s mà nó có thể capture và phân tích chính xác Hiệu năng của Cisco IDS Sensor nằm từ 45Mbps đến 1000 Mbps Network enviroment: Cisco IDS sensor thích hợp cho các mạng mà
có tốc độ mạng nằm từ 10/100BASE-T Ethernet đến Gigabit Ethernet
Số lượng Sensor: Các kiến thức về topo mạng sẽ giúp xác định có bao nhiêu IDS appliance cần thiết, cấu hình phần cứng cho từng IDS appliance (ví dụ như kích thước và các loại NIC) và có bao nhiêu trạm quản lý IDS cần thiết
Kích thước và sự phức tạp của mạng
Các kết nối giữa mạng cá nhân và các mạng khác, bao gồm cả Internet khối lượng và các loại traffic ở trên mạng
Nơi đặt Sensor: người ta khuyên rằng Sensor nên đc đặt ở những network entry (điểm đi vào mạng) và exit point (điểm đi ra) mà cung cấp đầy đủ toàn bộ intrusion detection
Trang 7Các tuỳ chọn quản lý và giám sát: xem lại các tuỳ chọn quản lý và giám sát để chọn ra cái thích hợp nhất
Giao tiếp với các Sensor bên ngoài: traffic ở trên port giao tiếp giữa Sensors và hẹ thống bên ngoài phải đc cho phép bởi firewall, để đảm bảo nó thực hiện chức năng của mình
cầu kết nối:
kết hợp với firewall và VPN bằng các giám sát traffic cho những hoạt động xâm phạm
extranet như các kết nối với các đối tác kinh doanh, giám sát traffic nơi mà sự tin tưởng ko đc dám chắc
Trang 8quan trọng từ những nguồn tấn công bên trong.
traffic gửi đến NAS (Network acess server) để bảo vệ các truy cập từ xa
trên vùng DMZ Những server này đưa ra các dịch vụ mạng như : Web access, DNS, FTP, và SMTP Các CSA Agent đc cài trên những server này CSAMC đc cài trên mạng internal
sensor khỏi những sự vi phạm mà firewall đã lọc
Trang 96 Cisco IDS 4.x chạy trên hệ điều hành Linux
cả HTTP và HTTPs Nó cung cấp nhiều hơn các web tĩnh Nó cung cấp front-end server cho IDS Device Manager (IDM) IDM chạy như một “servlet” ở bên trong webserver WebServer sử dụng một vài “servelet” để cung cấp các dịch vụ IDS Những “servlet” này đc chia sẻ các thư viện mà đc load đến cidWebServer xử lý ở thời gian chạy những điểm dưới đây miêu tả các “servlet”
IDM: cung cấp IDM web-based management interface (giao diện quản lý trên web)
EvenServe: được sử dụng để phục vụ các sự kiện cho các ứng dụng quản lý như IDS Event Viewer (IEV)
TransactionSever: cho phép các ứng dụng quản lý như Management Center cho các IDS Sensor (IDS MC) để khởi tạo các giao dịch quản lý với Sensor Các giao dịch quản lý này đc sử dụng để cấu hình và điều khiển các Sensor
IPLogServer: được sử dụng để phục vụ các IP logs chocác hệ thống bên ngoài
như IP Address mainApp cũng start và stop tất cả các ứng dụng khác của Cisco IDS
cũng ghi những tin nhắn lỗi của ứng dụng đến Eventstore
dụng authentication xác định trạng thái authentication của user và vai trò dựa trên username và password Mỗi một user được gán một vai trò trên Sensor Vai trò của user xác định hoạt động mà user được cho phép để thực hiện
Trang 10- Network Access Controller (NAC): được sử dụng để khởi tạo blocking trên các thiết bị mạng
các thiết bị khác
phát ra các alert events dựa trên cấu hình của nó và IP của traffic SensorApp, giống như các ứng dụng khác, lưu trữ events (sự kiện) của nó vào EventStore
VirtualSensor:Nhận các packet, xử lý chúng và sau đó xác định có tạo ra alarm hay ko Các bộ xử lý khác nhau nằm trên Virtual Sensor, mỗi một cái có một chức năng riêng
VirtualAlarm (alarm channel): chịu trách nhiệm cho đầu ra của alarm đến IDS Eventstore và thực hiện các EventAction
trữ Sensor App là ứng dụng duy nhất mà ghi các alert events lên EventStore Tất
cả các ứng dụng khác có thể ghi log, status và các error event lên EventStore
user log in vào Sensor một cidCLI độclập sẽ đc load cho mỗi CLI shell
hiện hầu hết các nhiệm vụ Sử dụng CLI cho các ứng dụng quản lý thích hợp để cấu hình và gỡ rối Sự truy cập Shell cho cấu hình ko còn đc hỗ trợ
Cổng điều khiển: yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với Sensor) và một chương trình giả lập thiết bị đầu cuối như HyperTerminal
trực tiếp đến Sensor
interface qua CLI setup command
10
Trang 11 Secure shell (SSH): yêu cầu một địa chỉ IP mà đc gán đến command and control interface qua CLI setup commandvà sử dụng một client có hỗ trợ SSH
interface qua CLI setup command và sử dụng một trình duyệt web
được cho phép kết nối đến Sensor
IDS 4.1 software bao gồm một CLI đầy đủ CLI cho IDS version 4.1 là giao diện người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH
và kết nối serial Sử dụng SSH version 1.5 clien để truy cập đến CLI qua mạng
Các đặc điểm của CLI:
hiện tại
Trang 12 Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến
ví dụ chỉ cần gõ sh ver thay vì show version
gọi lại các câu lệnh vừa đc enter
thống thể hiện một câu hỏi và đợi đầu vào (input) của user
Nhiệm vụ của CLI:
Tạo user account để truy cập đến Sensor cho quản lý và giám sát (qua CLI hoặc management console)
Cú pháp:
sensor(config)# usename name [password] [privilege]
vd: sensor(config)# username Admin password Adminpass privilege administrator
=> tạo quản trị viên Admin với cấp quản trị viên đặc quyền và mật khẩu
là Adminpass
Tạo Service account Đây là một account có vai trò đặc biệt cho phép login vào OS shell thay vì CLI shell, account không hỗ trợ cho việc cấu hình
Trang 13nhưg hỗ trợ cho việc gỡ rối, mặc định nó không tồn tại trên Sensor và phải tạo nó
Cú pháp:
sensor(config)# username name [password] [privilege]
vd: sensor(config)# username myserviceacct password serpass privilege service
=> tạo 1 tài khoản dịch vụ có tên myserviceacct với mật khẩu serpass
Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần một user có thể cố gắng xác thực trước khi nó bị disable
Cú pháp:
sensor(config-Authentication-gen)# attemptLimit Limit
vd: sensor(config-Authentication-gen)# attemptLimit 3
=> đặt số lần thử xác thực tối đa thành ba
Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho một user đang tồn tại hoặc enable trở lại cho một user đã bị khoá
Cú pháp:
sensor(config)# [name [newpassword] ]
Thay đổi vai trò (đặc quyền):
Sử dụng câu lệnh privilege để thay đổi vai trò của account Chỉ
administrator mới có thể làm điều này
Cấu hình các truy cập qua mạng:
Sử dụng accessList để chỉnh sửa ACLs cho phép truy cập từ xa Câu lệnh
Trang 14này giúp thiết lập IP của host (hoặc mạng) mà đc phép thiết lập phiên kết nối TCP đến Sensor
Cú pháp:
sensor(config-Host-net)# accessList ipAddress ip_Address [netmask]