Tìm hiểu hệ thống phát hiện xâm nhập và xây dựng ứng dụng snort cho phòng máy trường đại học hòa bình

Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty v

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC HÒA BÌNH

NGUYỄN ANH TUẤN

TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY

TRƯỜNG ĐẠI HỌC HÒA BÌNH

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HÀ NỘI, 2022

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC HÒA BÌNH

NGUYỄN ANH TUẤN

TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY

i

LỜI CAM ĐOAN

Tôi xin cam đoan: Khoá luận tốt nghiệp với đề tài “TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY TRƯỜNG ĐẠI HỌC HÒA BÌNH” là công trình nghiên cứu của cá nhân tôi,

không sao chép của bất cứ ai

Mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cảm ơn và các thông tin trích dẫn trong luận văn đều được ghi rõ nguồn gốc

Hà Nội, tháng 05 năm 2022

TÁC GIẢ LUẬN VĂN

Nguyễn Anh Tuấn

LỜI CẢM ƠN

Khóa luận tốt nghiệp được hoàn thành tại trường Đại Học Hòa Bình Có được luận văn này, tôi xin bày tỏ lòng biết ơn chân thành và sâu sắc tới trường, khoacông nghệ thông tin và đặc biệt là thầy Nguyễn Đăng Minh đã trực tiếp hướng dẫn, dìu dắt, giúp đỡ tôi với những chỉ dẫn khoa học quý giá trong suốt quá trình triển khai, nghiên cứu và hoàn thành đề tài “Tìm hiểu hệ thống phát hiện xâm nhập và xây dựng ứng dụng Snort cho phòng máy Trường Đại Học Hòa Bình” Xin chân thành cảm ơn các thầy cô đã trực tiếp giảng dạy truyền đạt những kiến thức khoa học chuyên ngànhcông nghệ thông tin cho bản thân tôi trong những năm tháng qua Xin gửi tới trường Đại Học Hòa Bình lời cảm tạ sâu sắc vì đã tạo mọi điều kiện thuận lợi giúp tôi thu thập tài liệu nghiên cứu cần thiết liên quan tới đề tài tốt nghiệp Nhân đây tôi xin được bày tỏ lòng biết ơn sâu đậm, một lần nữa tôi xin chân thành cảm ơn các đơn vị và cá nhân đã hết lòng quan tâm tới sự nghiệp đào tạo đội ngũ cán bộ ngành công nghệ thông tin Tôi rất mong nhận được sự đóng góp, phê bình của quý thầy cô, các nhà khoa học, và các bạn

Tôi xin chân thành cảm ơn!

Hà Nội, tháng 05 năm 2022

TÁC GIẢ LUẬN VĂN

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

DANH MỤC HÌNH ẢNH vi

DANH MỤC TỪ VIẾT TẮT viii

LỜI MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ BẢO MẬT VÀ HỆ THỐNG IDS (INTRUSTION DETECTION SYSTEM) 3

1.1 Khái niệm bảo mật 3

1.2.Tính an toàn của hệ thống 6

1.3.Những mối đe dọa với hệ thống 7

1.3.1.Mối đe dọa không có cấu trúc (Untructured threat) 7

1.3.2 Mối đe dọa có cấu trúc (Structured threat) 9

1.3.3.Mối đe dọa từ bên ngoài (External threat) 9

1.3.4 Mối đe dọa từ bên trong (Internal threat) 9

1.4 Khái niệm về xâm nhập 10

1.5 Các hình thức phát hiện xâm nhập 11

1.5.1 Phát hiện dựa trên sự bất thường 11

1.5.2.Phát hiện thông qua Protocol 11

1.5.3 Phát hiện nhờ quá trình tự học 11

1.6 Hệ Thống IDS(INTRUSTION DETECTION SYSTEM) 12

1.6.1 Tổng quan về IDS 12

a.Giới thiệu 12

b Khái niệm 13

c Lợi ích 14

d Những hệ thống không phải là IDS 15

1.6.2 Thành phần và nguyên lý hoạt động của IDS 15

a.Thành phần chính 15

b Nguyên lý hoạt động 17

c Chức năng 18

1.6.3 Phân loại IDS 19

a Network-based IDS (NIDS) 19

b Host-based IDS (HIDS) 21

1.6.4 Cơ chế hoạt động của IDS 22

a Mô hình phát hiện sự lạm dụng 23

b Mô hình phát hiện sự bất thường 23

c Cách phát hiện kiểu tấn công thông dụng của IDS 23

KẾT LUẬN CHƯƠNG 1 29

CHƯƠNG 2.ỨNG DỤNG SNORT 30

2.1 Giới thiệu về Snort 30

2.2.Kiến trúc của Snort 31

2.2.1 Module giải mã gói tin (Packet Decoder) 32

2.2.2 Module tiền xử lý (Preprocessors) 32

2.2.3 Module phát hiện (Detection Engine) 33

2.2.4 Module log và cảnh báo (Logging and Alerting System) 33

2.2.5 Module kết xuất thông tin (Output Module) 33

2.3 Bộ luật của Snort 34

2.3.1 Cấu trúc luật của Snort 34

2.3.2 Các cơ chế hoạt động của Snort 38

2.3.3 Các cơ chế hoạt động của Snort 39

2.3.4 Một số công cụ, phần mềm phát hiện và chống xâm nhập 39

2.3.4.1 Tường lửa (Firewall) 39

2.3.4.2 Hệ thống phòng chống xâm nhập IPS 40

KẾT LUẬN CHƯƠNG 2 42

CHƯƠNG 3.TRIỂN KHAI ỨNG DỤNG SNORT 43

3.1.Download Snort 44

3.2.Tiến hành cài đặt Snort 45

3.3.Sử dụng Snort 61

3.3.1.Chế độ Sniffer Packet: 61

3.3.2.Chế độ Packet Logger 64

3.3.3.Chế độ NIDS 65

3.3.4.Kịch bản phát hiện xâm nhập 68

KẾT LUẬN 72

Những phần nắm được 72

Những gì chưa đạt được 73

Định hướng mở rộng 73

DANH MỤC TÀI LIỆU THAM KHẢO 74

Tiếng Việt: 74

Tài liệu Internet: 74

Trích dẫn tài liệu: 74

DANH MỤC HÌNH ẢNH

Hình 1.1 Tổng quan về bảo mật 3

Hình 1.2: Hệ thống Virus & threat protection trên win 10 4

Hình 1.3: Hệ thống mạng riêng ảo 5

Hình 1.4: hình ảnh mã hóa file zip 6

Hình 1.5: Công cụ hack Metasploit Penetration Testing Software 8

Hình 1.6 các hình thức xâm nhập 10

Hình 1.7 Hệ thống IDS 12

Hình 1.8 Nguyên lý hoạt động 17

Hình 1.9: Hình ảnh minh họa 2 hệ thống IDS 19

Hình 1.10: Xác minh danh tính captcha website đăng ký ts ETU 24

Hình 2.1 Kiến trúc Snort 31

Hình 3.1: Hệ thống sơ đồ phòng máy 43

Hình 3.2 Giao diện chính của trang https://snort.org/ 44

Hình 3.3 Giao diện download Rules 44

Hình 3.4: Cài đặt wincap 47

Hình 3.4a: Cài đặt wincap bước tiếp theo 48

Hình 3.4b: Kết thúc cài đặt wincap 49

Hình 3.5 Màn hình License Agreement 50

Hình 3.6: Cài đặt notepad++ 54

Hình 3.6a: Cài đặt notepad++ bước tiếp theo 54

Hình 3.6b: Cài đặt notepad++ bươc tiếp 55

Hình 3.6c: chọn tiếp tục cài đặt notepad++ 56

Hình 3.6d: Chọn cài đặt 56

Hình 3.7: Khai báo biến HOME_NET 57

Hình 3.8: Khai báo biến RULE_PATH 58

Hình 3.9: Khai báo biến classification, và reference 59

Hình 3.10: Đặt dấu # trước các preprocessor 59

Hình 3.11: Khai báo dynamicpreprocessor và dynamicengine 60

Hình 3.12:Kết quả thu được 61

Hình 3.16: Địa chỉ IP máy Client 66

Hình 3.17: Máy client ping đến địa chỉ IP của Server Snort 66

Hình 3.18: Máy Client truy cập hệ thống mạng qua google 67

DANH MỤC TỪ VIẾT TẮT

1

LỜI MỞ ĐẦU

Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người nhất là đang trong tình hình dịch covid 19 đang diễn ra nếu không có mạng Internet mọi hoạt động về kinh tế và giáo dục… có thể đình trệ và không hoạt động Việc học tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty

và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống

mà những phương pháp bảo mật truyền thống không chống được Những điều đó dẫn đến yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống

Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống

Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào tạo để sử dụng, cũng có thể do nó là những

hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay

Từ những vấn đề nêu trên, tôi thực hiện luận văn này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các

hệ thống và chất lượng dịch vụ cho cơ quan của tôi

CHƯƠNG 1 TỔNG QUAN VỀ BẢO MẬT VÀ HỆ THỐNG IDS

(INTRUSTION DETECTION SYSTEM)

1.1 Khái niệm bảo mật

Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đềphòng mọi khả năng xấu Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công.1

Khái niệm bảo mật thành 3 lĩnh vực chính

1 Bảo mật – Wikipedia tiếng Việt

bảo an toàn nhất cho máy tính, ngoài tường lửa hệ thống Windows hiện nay đã tích hợp sẵn Windows Defender là phần mềm chống vi-rút có khả năng phát hiện và chặn vi-rút Hình ảnh dưới đây là khi hệ thống phát hiện và ngăn chặn file có chưa vi-rút ngay khi bắt đầu giải nén và hiện thông báo các file có chứa vi-rút

Hình 1.2: Hệ thống Virus & threat protection trên win 10

 Bảo mật mạng riêng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng Tùy điều kiện mà các công ty có thể mua các phần mềm bảo mật mạng, hoặc có thể cài đặt sử dụng các mạng riêng

ảo như VPN để bảo vệ đường mạng…

Ví dụ hệ thống mạng riêng ảo VPN của Viettel được Bộ GDĐT sử dụng trong các hệ thống tuyển sinh các năm 2018, 2019, 2020 Hình ảnh dưới đây minh họa quá trình sử dụng mạng riêng ảo khi bắt đầu được khởi động hệ thông mạng chỉ cho phép truyền tải dữ liệu trên địa chỉ mạng đã được cấp và không cho phép truy cập bất kỳ các địa chỉ nào khác để đảm bảo bảo mật trong quá trình truyền tải dữ liệu

Hình 1.3: Hệ thống mạng riêng ảo

 Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet Đối với bảo mật tập tin thường thì tệp tin sẽ được đặt mật khẩu mở tệp tin hoặc mã hóa Một số

ví dụ về bảo mật tập tin:

Hình 1.4: hình ảnh mã hóa file zip

1.2.Tính an toàn của hệ thống

Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính

 Thông tin bí mật: Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó

 Thông tin toàn vẹn: Thông tin chỉ được điểu khiển (sửa đổi, thay thế…) bởi những người được quyền ủy thác

 Thông tin sẵn sàng: Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu

Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau:

 Xác thực (Authentication): là các tiền trình xử lý nhằm xác định nhận dạng

thực thể liên kết Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm

 Ủy quyền (Authorization): là các luật xác định ai có quyền truy nhập vào các

tài nguyên của hệ thống

 Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi

những nhóm không được phép truy nhập

 Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn

sự thay đổi dữ liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền

 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với

nhóm được phép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống.2

1.3.Những mối đe dọa với hệ thống

1.3.1.Mối đe dọa không có cấu trúc (Untructured threat)

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải Hầu hết các cuộc tấn công đó

vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu Những trường hợp đó có ảnh hưởng xấu đến hệ thống và hình ảnh của công ty

Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của

hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống

2Đỗ Trung Tuấn, An toàn cơ sở dữ liệu, NXB ĐHQG Hà Nội, 2018

Một số công cụ hack miễn phí phổ biến hiện nay: Nmap (Network Mapper) | Miễn phí, Metasploit Penetration Testing Software | Miễn phí & trả tiền, John The Ripper | Miễn phí, THC Hydra | Miễn phí, OWASP Zed | Miễn phí …

Ví dụ: Metasploit Penetration Testing Software | Miễn phí & trả tiền

Hình 1.5: Công cụ hack Metasploit Penetration Testing Software

Công cụ này được sử dụng cho khai thác (tận dụng điểm yếu của hệ thống để làm một "backdoor") lỗ hổng (điểm yếu) trên mạng Công cụ này có cả phiên bản miễn phí và trả tiền và nguồn tài liệu không mở Phiên bản miễn phí phù hợp với khai thác bình thường nhưng thâm nhập sâu đòi hỏi phiên bản trả tiền cung cấp một bộ đầy đủ các tính năng

Metasploit Project là một công cụ kiểm tra hệ thống cực kỳ phổ biến (thâm nhập thử nghiệm) hay công cụ hack được sử dụng bởi các chuyên gia an ninh mạng

và hacker có đạo đức Metasploit cơ bản là một dự án bảo mật máy tính cung cấp thông tin về các lỗ hổng bảo mật được biết đến và giúp xây dựng thâm nhập thử nghiệm và IDS kiểm tra

1.3.2 Mối đe dọa có cấu trúc (Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Không như Kiddies, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạp xâm nhập vào mục tiêu

Động cơ của các cuộc tấn công này thì có rất nhiều Một số yếu tố thường thấy

có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat Các cuộc tấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh Cho dù động cơ là

gì, thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọng cho hệ thống Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống

1.3.3.Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa

1.3.4 Mối đe dọa từ bên trong (Internal threat)

Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong

Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản.3

1.4 Khái niệm về xâm

nhập

Hình 1.6 các hình thức xâm nhập

Phát hiện xâm nhập là tiến trình giám sát các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp” Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sằng, tính có thể tin cậy hay sự

cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó Việc xâm nhập có thể xuất phát từ một kẻ nào đó trên mạng internet nhằm giành

3Trần Thanh-Điệp IT_C, Tự học quản trị mạng, NXB Lao Động, 2009

quyền truy nhập hệ thống, hay cũng có thể là một người dùng được phép trong

hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát

1.5 Các hình thức phát hiện xâm nhập

1.5.1 Phát hiện dựa trên sự bất thường

Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tố này xuất hiện

sự khác biệt, nghĩa là đã có sự xâm nhập

Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một điều bất thường

1.5.2.Phát hiện thông qua Protocol

Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiệnmột sự

phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép

và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu

tố cơ bản nền tảng sau:

 Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng

 Sự phântích: Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công

 Cảnh báo: hành động cảnh báo cho sự tấn công được phân tích ở trên

1.5.3 Phát hiện nhờ quá trình tự học

Kỹ thuật này bao gồm hai bước Khi bắt đầu thiết lập, hệ thốngphát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế

độ làm việc, tiến hành giám sát, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc

1.6 Hệ Thống IDS(INTRUSTION DETECTION SYSTEM)

Hình 1.7 Hệ thống IDS

Một trong những giải pháp bảo vệ hệ thống mạng là triển khai hệ thống dò tìm xâm nhập trái phép – Instruction Detect System (IDS) Với IDS các nhà Quản trị mạng hay Chuyên gia bảo mật hệ thống sẽ nâng cao hơn khả năng an toàn thông tin cho mạng máy tính của mình, biết được khi nào hệ thống đang bị tấn công hay có

kẻ xấu đang tiến hành các hoạt động khả nghi để đưa ra được giải pháp hiệu quả, nhanh chóng

1.6.1 Tổng quan về IDS

a.Giới thiệu

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò

tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm

và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công

ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel 4

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ

an ninh được sử dụng nhiều nhất và vẫn còn phát triển

IDS cũng có thể phân biệt giữa những tấn công từ bên trong (những người trong công ty) hay tấn công từ bên ngoài (từ các Hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh

4 Bài báo của James Anderson nguồn internet

lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

 Tính chính xác (accuracy):IDS không được coi những hành động thông

thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive)

 Hiệu năng (performance): Hiệu năng của IDS phải đủ để phát hiện xâm

nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống)

 Tính trọn vẹn (completeness): IDS không được bỏ qua một xâm nhập trái

phép nào (xâm nhập không bị phát hiện gọi là false negative) Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiên tại và tương lai

 Chịu lỗi (fault tolerance): bản thân IDS phải có khả năng chống lại tấn

công

 Khả năng mở rộng (scalability): IDS phải có khả năng sử lý trong trạng

thái xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống

mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện

c Lợi ích

Hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh bảo sai do định nghĩa quá chung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm

Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp

Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng

d Những hệ thống không phải là IDS

Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải

là IDS:

 Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn

đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng

 Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dich vụ mạng (các bộ quét bảo mật)

 Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus, trojan horse, worm,…Mặc dù những tính năng mặc định

có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả

 Tường lửa – firewall

 Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN

1.6.2 Thành phần và nguyên lý hoạt động của IDS

a.Thành phần chính

Trung tâm điều khiển (The Command Console): là nơi mà IDS được giám sát và

quản lí Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều khiển có thể được truy cập từ bất cứ nơi nào Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã hóa, và nó

là một máy chuyên dụng

Bộ cảm biến (Network Sensor): là chương trình chạy trên các thiết bị mạng hoặc

máy chuyên dụng trên các đường mạng thiết yếu Bộ cảm biến có một vai trò quan

trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng

Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên bất kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên hub, và có thể phát hiện ra các luồng traffic bất thường Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin đến chính xác địa chỉ cần gửi trên từng port Để giải quyết vấn đề này, một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng (expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta kết nối IDS vào port này Port này được gọi là Switched Port Analyzer (SPAN) port SPAN port cần được cấu hình bởi các chuyên gia bảo mật để nhân bản mọi luồng dữ liệu của switch

Bộ phân tích gói tin(Network Trap): là một thiết bị phần cứng được kết nối trên

mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo khi phát hiện ra hành động xâm nhập

Thành phần cảnh báo (Alert Notification): Thành phần cảnh báo có chức năng

gửi những cảnh báo tới người quản trị Trong các hệ thống IDS hiện đại, lời cảnh

báo có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP

Vị trí đặt IDS: Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế

vị trí cũng như kiến trúc của IDS khác nhau

b Nguyên lý hoạt động

Hình 1.8 Nguyên lý hoạt động

Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:

 Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng (intrustion montorring)

 Sự phân tích (analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công (intruction detection)

 Xuất thông tin cảnh báo (respose): hành động cảnh báo cho sự tấn công được phân tích ở trên nhờ bộ phận (thông báo - notification)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức Một IDS là một thành phần nằm trong chính sách bảo mật Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những

vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail.5

c Chức năng

 Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu

 Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài

 Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp

 Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp

 Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa

 Chức năng quan trọng nhất là: giám sát– cảnh báo – bảo vệ

 Giám sát: lưu lượng mạng và các hoạt động khả nghi

 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

 Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà

có những hành động thiết thực để chống lại kẻ xâm nhập và phá hoại

 Chức năng mở rộng

 Phân biệt: tấn công bên trong và tấn công từ bên ngoài

 Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ

vào sự so sánh thông lượng mạng hiện tại với baseline

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu

5 Hệ thống phát hiện xâm nhập – Wikipedia tiếng Việt

1.6.3 Phân loại IDS

Cách thông thường nhất để phân loại các hệ thống IDS là dựa vào đặc

điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IDS

được chia thành các loại sau:

 Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông

mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm

nhập

 Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn

để phát hiện xâm nhập

Hình 1.9: Hình ảnh minh họa 2 hệ thống IDS

a Network-based IDS (NIDS)

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để

giám sát toàn bộ lưu lượng vào ra.Có thể là một thiết bị phần cứng riêng biệt

được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu

lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai

khi lưu lượng mạng hoạt động ở mức cao

Ưu điểm: Chi phí thấp: NIDS có thể được triển khai cho mỗi phân đoạn

mạng Một hệ thống IDS giám sát lưu lượng mạng trên tất cả các hệ thống trong

một phân đoạn mạng, giúp chúng ta không cần phải nạp các phần mềm tại các

host trong toàn mạng Điều này làm giảm chi phí quản lý

- Dễ dàng triển khai: NIDS không ảnh hưởng đến hệ thống cơ sở hạ tầng hiện tại Các hệ thống NIDS hoạt động độc lập, bộ cảm biến của NIDS sẽ lắng nghe tất

cả các cuộc tấn công vào một phân đoạn mạng không phụ thuộc vào kiểu của hệ điều hành máy chủ đang chạy

- Phát hiện được các tấn công mà HIDS bỏ qua: NIDS kiểm tra tất cả các header của gói tin cho nên nó không bỏ qua các nguy cơ từ đây

- Khó xóa bỏ dấu vết: Các thông tin trong file log có thể bị hacker thay đổi hoặc loại bỏ để che giấu dấu vết sau khi chúng xâm nhập trái phép NIDS sử dụng lưu thông hiện hành trên mạng để phát hiện xâm nhập nên hacker không thể sửa đổi được file log

- Phát hiện và đối phó kịp thời: NIDS có khả năng phát hiện và xử lý rất nhanh chóng nên có thể phát hiện các dấu hiệu xâm nhập trái phép khi xảy ra Dựa trên các cảm biến được cấu hình sẵn, các cuộc tấn công sẽ bị ngừng lại trước khi có thể truy cập được đến máy chủ

- Phát hiện các cuộc tấn công thất bại: Các bộ cảm biến sẽ không thấy được những tấn công thất bại bên ngoài tường lửa, tuy nhiên NIDS được triển khai bên ngoài các bức tường lửa có thể phát hiện thấy chúng, điều này rất hữu ích để phân tích những cuộc tấn công đó mặc dù chúng thất bại

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

Nhược điểm: Gặp khó khăn khi phân tích các lưu lượng đã được mã hóa

như SSH, IPSec, SSL,…

- NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để hoạt động thực sự hiệu quả

- Hạn chế về hiệu năng: NIDS gặp khó khăn khi phải xử lý tất cả các gói tin trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện được các cuộc tấn công thực hiện vào lúc “cao điểm”

- Găp khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh Các gói tin định dạng này có thể làm cho NIDS hoạt động sai

- Có thể xảy ra trường hợp báo động giả

- Một trong những hạn chế là giới hạn băng thông

b Host-based IDS (HIDS)

Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay HIDS cho phép thực hiện một cách linh hoạt trong các đoạn mạng

mà NIDS không thể thực hiện được Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm HIDS được thiết

kế hoạt động chủ yếu trên hệ điều hành Windows, mặc dù vậy vẫn có các sản

phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác

Ưu điểm: Xác định được kết quả của cuộc tấn công: HIDS sử dụng hệ

thống ghi lại file log chứa các sự kiện đã xảy ra, nó có thể xác định được một cuộc tấn công đã xảy ra hay không với độ chính xác cao và ít sai hơn đối với NIDS NIDS dựa trên bộ cảm biến, mặc dù chúng xử lý nhanh hơn HIDS nhưng

có rất nhiều những cảnh báo giả được tạo ra

- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền truy cập file, các hành động thực thi,… HIDS cũng có thể giám sát được các hành động chỉ được thực hiện bởi người quản trị Vì vậy HIDS rất thuận lợi để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấp rất nhiều thông tin chi

tiết và chính xác hơn NIDS

- Phát hiện các cuộc tấn công mà NIDS bỏ qua: HIDS có thể phát hiện các cuộc tấn công mà NIDS bỏ qua Ví dụ, nếu một người truy cập trái phép điều khiển trực tiếp làm thay đổi file hệ thống, loại tấn công này không bị NIDS phát

hiện

- Không yêu cầu thêm phần cứng: HIDS được cài đặt trực tiếp lên hạ tầng

mạng có sẵn nên sẽ không yêu cầu phải cài đặt thêm các phần cứng khác

- Có khả năng xác định user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,

NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hoá

-

Nhược điểm:

-

-

-

1.6.4 Cơ chế hoạt động của IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:

- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện

các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống

- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát

hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống 7

6

viblo.asia

a Mô hình phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Hệ thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành

b Mô hình phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm ra các thay đổi, các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn

mã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

c Cách phát hiện kiểu tấn công thông dụng của IDS

 Tấn công từ chối dịch vụ (Denial of Service attack - DoS)

Denial of Service (DoS) attack làcuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ/mạng đó.Cuối

7 [Network] Tìm hiểu cơ chế, cách hoạt động của IDS (phần 1) (viblo.asia)

cùng, mục tiêu trở nên không thể truy cập và không thể trả lời Các hacker có thể tấn công vào mục tiêu bao gồm mạng, hệ thống và ứng dụng

Phá hoại Network: ví dụ dễ hiểukhi nhập vào URL của một website vào trình

duyệt, lúc đó đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ

có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu không được xử lý Đây là kiểu “từ chối dịch vụ” vì nó làm cho không thể truy cập đến trang đó

.

đó, là con người hay chỉ là máy tính Nói cách khác, CAPTCHA là phiên bản được nâng cấp từ các bài Test Turing - nhằm xác định "tính con người" của người thực hiện bài kiểm tra đó Như trong ví dụ dưới đây để tránh bị tấn công trang web tuyển sinh của trường ĐH Hòa bình có thêm phần xác minh danh tính khi đăng ký tuyển

sinh:

Hình 1.10: Xác minh danh tính captcha website đăng ký ts ETU

Phá hoại hệ thống: Kiểu tấn công nhằm lợi dụng lỗ hống trên hệ điều hành

nhằm phá hoại, gây quá tải hệ thống Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng có thểđược tạo ra bằng các công cụ tấn công được lập trình trước

Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sỡ dữ

liệu, email, trang web, Ví dụ như một email rất dài hay một số lượng email lớn có thế gây quá tải cho server cùa các ứng dụng đó

Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các

gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin

 Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu Tuy các công cụ này được thiết kế cho mục đích phân tích đề phòng ngừa, nhưng hacker có thể được sử dụng để gây hại cho hệ thống Các công cụ quét và thăm dò như: SATAN, ISS Internet Scanner Việc thăm dò có thể được thực hiện bằngcách ping đến hệ thống cũng như kiềm tra các cổng TCP và UDP để phát hiện

ra ứng dụng có những lỗi đã được biết đến Vỉ vậy các công cụ này có thể là công

cụ đắc lực cho mục đích xâm nhập

Giải pháp của ỊDS: Network-based IDS cỏ thể phát hiện các hành động

nguy hiểm trước khi chúng xảy ra Host-based TDS cũng có thể có tác dụng đối với

kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng

 Tấn công vào mật mã (Password attack)

Tấn công vào mật mã là tìm cách để lấy mật khẩu (mật khẩu ngân hàng, mật

khẩu hệ thống….)

- Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền kiểm soát hệ thốngcho kẻ tấn công có thể lấy thông tin, tiền, các dữ liệu quan trọng hoặc sửa đổi

mã hóa những thông tin quan trọng để tống tiền

Ví dụ: như nghe trộm mật mã gửi trên mạng, gửi thư, chương trình có kèm keỵlogger, trojan cho người quản trị

- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng Với bẻ khóa, kè tấn công cẩn truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử đụng được để xác định mã đúng Với tốc độ máy tính hiện nay, việc bẽ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điển), bất cứ mã nào nhò hơn

6 ký tự, tên thông dụng và các phép hoán vị

Ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể

dùng khi biết usemame mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa

từ các từ trong từ điển…

Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công),nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file đã bị mã hóa Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật

mã cũng như phát hiện truy nhập trái phép tới fĩle chứa mật mã

 Chiếm quyền kiểm soát hệ thống (Privilege-grabbing)

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ởWindows NT là “Administrator”, trên NetWare là “Supervisor” Dưới đây là một số kỹ thuật thường dùng cho việc chiếm quyền

- Đoán hay bè khóa của root hay administrator " Gâytràn bộ đệm

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thăm dò fíle, scrip hay các lỗi của hệ điều hành và ứng dựng

Giải pháp của ỊDS: Cả Network và Host-based IDS đều có thể xác định

việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ

 Cài đặt mã nguy hiểm (Hostile code insertion)

Khi người dùng sử dụng mạng internet trong quá trình sử dụng có thể click vào những đường link lạ chứa mã độc hoặc cài đặt phần mềm có chứa mã độc Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa fiie, hay tạo backdoor cho lần truy nhập trái phép tiếp theo… Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:

- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file

hệ thống, file của ứng dụng hay dữ liệu

- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một

số hành động tự động, thường có hại, nhưng không có mục đích nhân bản Thường thì Trojan Horseđược đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ

thống

Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus

và các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để giám mức độ nguy hiểm

 Hành động phá hoại trên máy móc (Cyber vandalism)

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa…

Giải pháp củaIDS Đối với giải pháp của Host-based IDS, cài đặt và cấu

hình cẩn thận có thể xác định được tât cả các vấn đề liên quan, Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi

trang web

 Tấn công hạtầng bảo mật

Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản cùa người dùng hay router, hay thay đối quyền cùa file Tấn công vào cơ sở hạ tầng cho phép kẻ xâm

nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng

Giải pháp của IDS: Host-based IDS có thể bắt giữ các cuộc đăng nhập mà

thực hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và fĩrewall bị thay đổi một cách đáng nghi

KẾT LUẬN CHƯƠNG 1

Trong chương 1 này, trên cơ sở trình bày các khái niệm như: Bảo mật, Tính an toán của hệ thống, Những mối đe dọa với hệ thống, Các hình thức phát hiện xâm nhập, Tổng, Hệ thống IDS, Thành phần và nguyên lý hoạt động, Cơ chế hoạt động của IDS Từ những khái niệm chung về bảo mật đưa ra những khái niệm về hệ thống IDS là một hệ thống phát hiện xâm nhập giải pháp bảo mật được các chuyên gia đánh giá rất cao từ đó để đi tìm hiểu hệ thống Snort là một phần mềm thuộc hệ thống phát hiện xâm nhập

CHƯƠNG 2.ỨNG DỤNG SNORT

2.1 Giới thiệu về Snort

Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để giám sát những gói tin ra vào hệ thống

Snort là một sản phẩm được phát triển dưới mô hình mã nguồn mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được

Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS