Đồ án tốt nghiệp xây dựng hệ thống phát hiện – chống xâm nhập dựa vào firewall iptables và IDS snort

Ði đôi với sự phát triển này thì bảo mật mạng đang là một nhu cầu cấp thiết nhằmbảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập và thực hiện cáctrao đổi thông tin, giao

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN

-o0o -ĐỒ ÁN TỐT NGHIỆP

Đề tài

Xây dựng hệ thống phát hiện – chống xâm nhập dựa

vào Firewall Iptables và IDS Snort

Sinh viên thực hiện:

NGUYỄN NGỌC LONG - MSSV:08B1020185

THÀNH PHỐ HỒ CHÍ MINH NĂM 2010

LỜI NÓI ĐẦU

Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật CôngNghệ Tp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trongsuốt thời gian vừa qua

Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văntrong thời gian vừa qua Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyềnđạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để emhoàn thành được đồ án

Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trường Đại Học KỹThuật Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hànhtrang áp dụng vào cuộc sống

Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốtnghiệp

Nguyễn Ngọc Long

1.4 Các phương pháp nhận biết tấn công 20

1.4.1 Nhận biết qua tập sự kiện 20

1.4.2 Phát hiện dựa trên tập luật (Rule-Based ) 21

1.4.3 Phân biệt ý định người dùng (User intention identification) 21

1.4.4 Phân tích trạng thái phiên (State-transition analysis) 21

1.4.5 Phương pháp phân tích thống kê (Statistical analysis approach) 211.4.6 Phương thức phát hiện xâm nhập dựa vào chữ ký 22

1.4.7 Phương thức phát hiện xâm nhập dựa vào sự bất thường 23

1.5 Kiến trúc của một hệ thống phát hiện xâm nhập 23

1.5.1 Mô hình chung hệ thống IDS 23

1.5.2 Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung: 251.5.3 Cấu trúc đa tác nhân26

2.3.1 Các tính năng của Iptables 43

2.3.2 Cơ chế hoạt động Iptables 44

2.3.3 Jumps và Targets 45

2.3.4 Các tùy chọn để thao tác với luật 46

2.4 Tìm hiểu các câu lệnh và thiết lập luật trong Iptables 47

2.4.1 Sử dụng chain tự định nghĩa 47

2.4.2 Lưu và phục hồi lại những script cấu hình trong Iptables 47

2.4.3 Ý nghĩa của một số luật cơ bản trong Iptables 48

2.5 Firewall and Logging 49

2.5.1 The syslog protocol 49

2.5.2 Proprietary logging methods 51

2.6 Firewall log review and analysis 51

2.8.3 Bộ phát hiện (detection engine) 58

2.8.4 Hệ thống ghi và cảnh báo (Logging và alerting) 59

2.8.5 Cấu trúc của một luật 60

Chương 3 Thực Nghiệm Firewall Iptable và IDS Snort 62

3.1 Mô tả thực nghiệm 62

3.2 Hạ tầng mạng thực nghiệm 63

3.3 Các bước cài đặt Iptables và Snort trên hệ điều hành CentOS 64

3.3.1 Cài hệ điều hành CentOS 64

3.3.2 Cài phần mềm Iptables và cấu hình 64

3.3.3 Cài đặt và cấu hình Snort 66

3.3.4 Cấu hình MySQL server 68

3.3.5 Cấu hình để Snort thực hiện alert vào MySQL 68

3.3.6 Cài đặt và cấu hình Basic Analysis and Sercurity Engine (Base) 693.4 Giao diện hệ thống sau cài đặt 70

3.4.1 Các thông tin cấu hình cơ bản 70

3.4.2 Hướng dẫn sử dụng Snort 71

3.4.4 Kết quả thống kê thực nghiệm IDS Snort 74

3.5 Các cuộc tấn công và kết quả thống kê thực nghiệm 773.5.1 Tấn công và IDS Snort phát hiện 77

Danh mục từ viết tắt

DdoS Distributed Denial of Service Tấn công từ chối dịch vụ

FTP File Transfer Protocol Giao thức truyền dữ liệu

ICMP Internet Control Message Protocol Giao thức xử lý các thông

báo trạng thái cho IP

IDS Intrusion Detection System Hệ thống phát hiện xâm

nhập

IPS Intrusion Prention System Hệ thống phát hiện xâm nhập

IOS Internetwork Operating System

HIDS Host Intrusion Detection System

MAC Media Access Control Định danh được gán cho

thiết bị mạng

NBA Network Behavior Analysis

NIDS Network Intrusion Detection

System

OSI Open Systems Interconnection Mô Hình Mạng OS

SNMP Simple Network Management

WIDS Wireless Intrusion Detection

System

Danh mục hình minh họa

Hình 1-1 Phương thức nhiễm ARP cache 19

Hình 1-2 Tấn công trên máy đã bị nhiễm ARP cache 19

Hình 1-3 Mô hình chung hệ thống IDS 24

Hình 1-4 Cấu trúc tập trung 25

Hình 1-5 Cấu trúc đa tác nhân 27

Hình 1-6 Mô hình giám sát tích hợp 27

Hình 1-7 Mô hình NIDS 31

Hình 1-8 Mô hình WIDS tập trung 32

Hình 2-1 Mô hình Firewall 39

Hình 2-2 Packet filtering firewall 40

Hình 2-3 Circuit level gateway 41

Hình 2-4 Application level gateway 42

Hình 2-5 Stateful multilayer inspection firewall 42

Hình 2-6 Mô hình IDS Snort 55

Hình 2-7 Quá trình xử lý gói 57

Hình 2-8 Bộ phát hiện xâm nhập 58

Hình 2-9 Hệ thống ghi nhập file log và phát cảnh báo 59

Hình 3-1 Mô hình tổng quan 63

Hình 3-2 Mô hình thực nghiệm 64

Hình 3-3 Snort đang hoạt động 70

Hình 3-4 Không cho truy xuất vào trang web 72

Hình 3-5 Được phép truy xuất vào trang web 73

Hình 3-6 Giao diện chính của Base 74

Hình 3-7 Snort phát hiện Nmap đang scanport, truy cập ssh 75

Hình 3-8 Hiển thị các địa chỉ nghi vấn 75

Hình 3-9 Xem nội dung một packet 76

Hình 3-10 Thống kê theo ngày, giờ 76

Hình 3-11 Thống kê theo ngày 77 Hình 3-12 IDS Snort phát hiện các gói tin được gửi vào hệ thống 78

Danh mục bảng

Bảng 2-1 Bảng các chức năng của queue và chain 44

Bảng 2-2 Bảng mô tả về Iptables command switch 46

Bảng 2-3 Bảng danh sách các lệnh (Queue) 47

Bảng 2-4 Cấp độ logging facility của syslog 50

MỞ ĐẦU

1 Giới thiệu

Ngày nay, trên thế giới công nghệ thông tin phát triển rất nhanh, mang lại những lợiích thiết thực về nhiều mặt như: kinh tế, xã hội, chính trị, y tế, quân sự… những cuộchọp trong tổ chức, cơ quan, công ty hay những buổi hội thảo xuyên quốc gia, xuyênlục địa (Video Conference)

Mạng Internet ngày càng đóng vai trò quan trọng trong các hoạt động của conngười Với lượng thông tin ngày càng phong phú và đa dạng Không chỉ có ý nghĩa lànơi tra cứu tin tức sự kiện đang diễn ra trong đời sống hàng ngày, Internet còn đóngvai trò cầu nối liên kết con người với nhau ở mọi vùng địa lý Các khoảng cách về địa

lý hầu như không còn ý nghĩa, khi con người ở cách nhau nửa vòng trái đất họ vẫn cóthể trao đổi thông tin, chia sẻ dữ liệu cho nhau như những người trong cùng một vănphòng

Internet còn góp phần làm thay đổi phương thức hoạt động kinh doanh của cácdoanh nghiệp Ngoài các hoạt động kinh doanh truyền thống, giờ đây các doanhnghiệp có thêm một phương thức kinh doanh hiệu quả, đó là thương mại điện tử.Trong những năm gần đây, thương mại điện tử đã trở thành một bộ phận quan trọngtrong sự tăng trưởng, phát triển của xã hội, mang lại những lợi ích rất lớn cho cácdoanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho các ngành nghề khác, gópphần mang lại tính hiệu quả cho nền kinh tế của doanh nghiệp nói riêng và cho toàn xãhội nói chung

Ði đôi với sự phát triển này thì bảo mật mạng đang là một nhu cầu cấp thiết nhằmbảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập và thực hiện cáctrao đổi thông tin, giao dịch qua mạng được an toàn Về những giá trị lợi ích của côngnghệ thông tin mang lại, những kẻ xấu cũng lợi dụng công nghệ này gây ra không ítnhững khó khăn cho tổ chức, cơ quan cũng như những người áp dụng công nghệthông tin vào cuộc sống

Công nghệ nào cũng có ưu điểm và nhược điểm Người tấn công (Attacker) chúnglợi dụng những lỗ hổng của hệ thống để truy xuất bất hợp phát vào khai thác nhữngthông tin quan trọng, những dữ liệu có tính chất bảo mật, nhạy cảm, thông tin mật củaquốc phòng… Vì vậy chúng ta cần phải có biện pháp, phương pháp để phát hiện sựtruy nhập trái phép đó Để phát hiện sự truy nhập trái phép đó, hiện nay công nghệphát hiện chống xâm nhập hiệu quả được nhiều tổ chức, cơ quan, doanh nghiệp triểnkhai và áp dụng vào trong hệ thống mạng của ḿnh là công nghệ Snort IDS.

Cách đây gần 30 năm, qua một bài báo của James Anderson, khái niệm phát hiệnxâm nhập đã xuất hiện Khi đó nguời ta cần hệ thống phát hiện xâm nhập - IDS(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bấtthường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặcquyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâmnhập đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụng rộng rãi ởcác tổ chức, doanh nghiệp trên toàn thế giới

2 Nhiệm vụ đề tài

Công nghệ IDS cùng với sự phát triển và những lợi ích mà nó mang lại Có một số

tổ chức phát biểu xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thốngIDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất nhiều báo độnggiả (False Positives) Hệ thống IDS còn có vẻ là gánh nặng cho quản trị an ninh hệthống bởi nó cần được theo dõi liên tục

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thốngIDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việcquản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích góitin của IDS Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công

cụ, con nguời quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:

Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiệnbởi các IDS, tường lửa để tránh các báo động giả

Các thành phần quản trị phải tự động hoạt động và phân tích

Kết hợp với các biện pháp ngăn chặn tự động

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ

ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, mộtvấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ khôngchỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của nguời quản trị hệ thống Hệthống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biếnrộng rãi

Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệthống IDS Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó Vìvậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là một hệthống tích hợp gồm cả hai chức năng IPS/IDS

Cơ sở hạ tầng công nghệ thông tin càng phát triển, thì vấn đề phát triển mạng lạicàng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là mộtvấn đề rất quan trọng Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam

đã dần được quan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì mỗimột mạng phải tự thiết lập một hệ thống tích hợp IDS của riêng mình Trong luận vănnày, chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển

hệ thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng củamình thay thế cho các IDS cứng đắt tiền Với sự kết hợp của các phần mềm nguồn

mở Iptables và Snort Tạo ra một hệ thống giám sát mạng, có khả năng phát hiệnnhững xâm nhập, phòng chống tấn công mạng

3 Cấu trúc đề tài

Gồm 3 chương:

Chương 1: Tổng quan về hệ thống phát hiện xâm nhập

Giới thiệu về ứng dụng của hệ thống phát hiện và chống xâm nhập hiện nay và các

mô hình kiến trúc

Chương 2: Giới thiệu về Firewall Iptable và Snort

Giới thiệu về các tính năng firewall Iptables, IDS Snort, cách phối hợp giữaIptables và Snort để tạo ra phương pháp phát hiện và chống xâm nhập một cách hiệuquả

Chương 3: Thực nghiệm Iptables và Snort

Mô hình thực nghiệm và cài đặt

Chương 1 Tổng Quan Về Hệ Thống Phát Hiện Xâm Nhập

1.1 Giới thiệu

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) hiện nay, bao gồmIDS cứng và IDS mềm là hệ thống giám sát có chức năng tự động theo dõi các sự kiệnlưu thông trên hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề khả nghiliên quan đến an ninh và cảnh báo cho hệ thống, nhà quản trị

Tổng quan về chức năng mà các hệ IDS cung cấp, cách thức tích hợp và triển khaicác chức năng phát hiện xâm nhập với nền tảng bảo mật của tổ chức, cách thức quản

lý các thông tin xuất ra từ các hệ IDS

Trong hệ thống khi có sự lưu thông bất thường, IDS cũng đảm nhận việc phản ứnglại với các lưu thông bất thường hay có hại đó, bằng cách thực hiện các hành động đãđược thiết lập trước như khóa nguời dùng (user) hay địa chỉ IP nguồn đó không chotruy cập trong hệ thống mạng,… IDS cũng có thể phân biệt giữa những tấn công từbên trong hay tấn công từ bên ngoài

IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết haydựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệthống) để tìm ra các dấu hiệu khác thường

Một hệ thống IDS/IPS có thể phát hiện và phòng chống các cuộc tấn công xâmnhập mạng dựa vào các dấu hiệu tấn công được lưu trữ và cập nhập thường xuyên.Tuy nhiên cũng không tránh khỏi những trường hợp có những dạng tấn công mới mànhững dấu hiệu chưa được biết tới

Hệ thống giám sát lưu lượng hỗ trợ cho người quản trị mạng giám sát lưu lượngtrao đổi giữa các thiết bị mạng Nó hoạt động thời gian thực và thể hiện lưu lượng củacác giao tiếp mạng (các giao tiếp của Router, Switch, Server, ), hoạt động của CPU,RAM một cách trực quan thông qua những đồ thị, Ðiều này giúp người quản trịmạng có những phân tích tình trạng hoạt động của các thiết bị mạng trong hệ thống Ngoài ra, người quản trị có thể thiết lập những ngưỡng cảnh báo để kết hợp với hệthống báo động để giúp người quản trị nhanh chóng có được những thông tin vềnhững cuộc tấn công hay phát hiện những bất thường trong hệ thống

Ngoài ra còn có thành phần giám sát thiết bị và dịch vụ Hệ thống giám sát thiết bị

và dịch vụ có chức năng theo dõi trạng thái hoạt động của các thiết bị và các dịch vụtrong hệ thống mạng Ngoài ra, nó còn có thể giám sát các tài nguyên trên các thiết bịnhư dung lượng trống của các ổ cứng trên Server, kiểm tra trạng thái hoạt động củacác cổng trên các Switch trung tâm… Mọi hoạt động bất thường như có thiết bịngưng làm việc hay dịch vụ mạng ngưng hoạt động, hay dung lượng ổ cứng trên cácserver còn quá ít sẽ được gửi cảnh báo tới người quản trị mạng

1.2.2 Cảnh báo

Báo cáo về tình trạng mạng cho nhà quản trị Hệ thống báo động là một trongnhững thành phần quan trọng trong hệ thống giám sát mạng Hệ thống báo động giúpngười quản trị mạng nắm bắt được trạng thái hoạt động của hệ thống mạng Ðây cũng

là một yêu cầu lớn đặt ra cho hệ thống giám sát mạng

Cảnh báo cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên giabảo mật có thể xem lại Cảnh báo có thể, hiện trên màn hình, khi đăng nhập hoặc bằngemail và bằng nhiều cách khác

Hệ thống báo động kết hợp với hệ thống dò tìm xâm nhập, hệ thống giám sát thiết

bị và dịch vụ phát ra những tín hiệu cảnh báo đến người quản trị khi hệ thống có sự cố

xâm nhập hay sự cố bất thường khác… Những thông tin từ thiết bị phát hiện xâmnhập hay hệ thống phát hiện những dấu hiệu bất thường được chuyển tới hệ thống báođộng để phát cảnh báo tới người quản trị.

1.2.3 Bảo vệ

Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hànhđộng thiết thực chống lại kẻ xâm nhập và phá hoại

+ Chức năng mở rộng

Phân biệt: Các tấn công trong và ngoài mạng

Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline

1.3 Các kiểu tấn công mạng

1.3.1 Phân loại các lỗ hổng bảo mật

Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiếnhành những chính sách bảo mật có hiệu quả Những điểm yếu trong bảo mật mạnggồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật

Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao

thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,

Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra Lỗi này do các

thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sửdụng các cấu hình mặc định trên thiết bị như switch, router, modern…

Nếu dựa vào hành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:

1.3.2 Tấn công chủ động và tấn công bị động:

Tấn công chủ động: Kẻ tấn công thay đổi hoạt động của hệ thống và hoạt động của

mạng khi tấn công và làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữliệu

Tấn công bị động: Kẻ tấn công cố gắng thu thập thông tin từ hoạt động của hệ

thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu

Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hailoại Tấn công từ bên trong và tấn công từ bên ngoài:

Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng.

Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tinnhiều hơn quyền cho phép

Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các

kết nối truy cập từ xa

1.3.3 Các bước tấn công thường gặp

Bước 1: Khảo sát, thu thập thông tin Kẻ tấn công thu thập thông tin về nơi tấncông như phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng…

Bước 2: Dò tìm Kẻ tấn công sử dụng các thông tin thu thập được từ bước một đểtìm kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng Các công cụ thườngđược sử dụng cho quá trình này là các công cụ quét cổng (scanport), quét IP, dò tìm lỗhổng…

Buớc 3: Xâm nhập Các lỗ hổng được tìm thấy trong bước hai được kẻ tấn công sửdụng, khai thác để xâm nhập vào hệ thống Ở bước này, kẻ tấn công có thể dùng các

kỹ thuật như: Tràn bộ đệm, từ chối dịch vụ (DoS)…

Buớc 4: Duy trì xâm nhập Một khi kẻ tấn công đã xâm nhập được vào hệ thống,bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhậptiếp trong tương lai Một vài kỹ thuật như backboors, trojans… được sử dụng ở bướcnày Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra những nguy hạicho hệ thống hoặc đánh cắp thông tin Ngoài ra, chúng có thể sử dụng hệ thống này đểtấn công vào các hệ thống khác như loại tấn công DDoS

Bước 5: Che đậy, xóa dấu vết Một khi kẻ tấn công đã xâm nhập và cố gắng duy trìxâm nhập Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng

cứ pháp lí xâm nhập Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệthống phát hiện xâm nhập

Ở bước “Dò tìm” và “Xâm nhập”, kẻ tấn công thường làm lưu lượng kết nối mạng

thay đổi khác với lúc mạng bình thường rất nhiều Ðồng thời tài nguyên của hệ thống

máy chủ bị ảnh hưởng đáng kể Những dấu hiệu này rất có ích cho người quản trịmạng trong việc phân tích và đánh giá tình hình hoạt động của hệ thống mạng.

1.3.4 Cách thức tấn công

Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công

Kỹ thuật tấn công ARP:

Khi một máy tính A cần biết địa chỉ MAC từ một IP, nó sẽ gởi gói tin ARP có chứathông tin yêu cầu IP address ở dạng Broadcasting lên mạng Máy tính B khi nhậnđược gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do Agởi Nếu hai giá trị này trùng khớp thì B sẽ gởi gói tin reply có chứa thông tin địa chỉ

IP của B cho A Khi A nhận được gói tin do B reply, nó sẽ lưu địa chỉ MAC của Btrong ARP table ARP cache để dùng cho lần truyền tiếp theo

Kiểu tấn công Man-in-the-middle (MITM):

Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuấtvào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trênmạng

Ví dụ: Lây nhiễm ARP cache như sau:

Có hai máy tính A, B với địa chỉ IP và MAC tương ứng như sau:

A (IP = 10.1.1.2, MAC = AA:AA:AA:AA:AA:AA)

H sẽ gởi thông điệp ARP reply cho B nói rằng IP: 10.1.1.2 có địa chỉ MAC làHH:HH:HH:HH:HH:HH Lúc này ARP table của B sẽ là IP= 10.1.1.2– MAC=HH:HH:HH:HH:HH:HH

Hình 1-1 Phương thức nhiễm ARP cache

Khi A cần truyền thông điệp đến B, nó thấy trong ARP table B có địa chỉ Ethernet

là HH:HH:HH:HH:HH:HH nên nó sẽ gởi thông điệp đến cho H thay vì đến B H nhậnđược thông điệp này, xử lý và có thể truyền lại thông điệp đó đến B (tùy theo mụcđích tấn công)

Trường hợp B cần gởi thông điệp đến A thì quy trình cũng tương tự như trên Nhưvậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa A và B mà haihost này không hề hay biết H có thể thay đổi thông điệp trước khi truyền đến máyđích

Hình 1-2 Tấn công trên máy đã bị nhiễm ARP cache

Giải pháp phòng chống:

- Thường xuyên cập nhật các bản vá lỗi và update hệ thống

- Triển khai những dịch vụ hệ thống mạng cần thiết

- Xây dựng hệ thống IDS/IPS

- Tường lửa (Firewall)

- Chống virus

- Chính sách sử dụng, quản lý password

- Sử dụng các trình bảo mật để bảo vệ các tài liệu, tập tin quan trọng

- Thường xuyên back-up

1.4 Các phương pháp nhận biết tấn công

Hiện nay một số loại hệ thống phát hiện xâm nhập, được phân biệt bởi cách thứctheo dõi và phân tích Mỗi phương pháp có những lợi điểm và những hạn chế nhấtđịnh Tuy nhiên, mọi phương pháp đều có thể mô tả thông qua một mô hình tiến trìnhchung tổng quát cho hệ thống phát hiện xâm nhập Error! No index entries found

1.4.1 Nhận biết qua tập sự kiện

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để

miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp

vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví dụ

Wisdom và Sense và Computer Watch (được phát triển tại AT&T)

1.4.2 Phát hiện dựa trên tập luật (Rule-Based )

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểubiết về tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểmđịnh thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record) Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểmđịnh đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộckiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểmđịnh Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với

các cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các

hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM (Solaris))

1.4.3 Phân biệt ý định người dùng (User intention identification)

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tậpnhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chứcnăng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động được điềuchỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tập hợpnhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sự không hợp lệđược phát hiện th́ một cảnh báo sẽ được sinh ra

1.4.4 Phân tích trạng thái phiên (State-transition analysis)

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện

bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày trong sơ đồ

trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hayđáp trả theo các hành động đã được định trước

1.4.5 Phương pháp phân tích thống kê (Statistical analysis approach)

Đây là phương pháp thường được sử dụng Hành vi người dùng hay hệ thống (tập

các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến như là: Đăng

nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất

sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài

phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để pháthiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay cả phương pháp đơn giảnnày cũng không thể hợp được với mô hình hành vi người dùng điển hình Các phươngpháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm

đã được gộp lại cũng ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằngcách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn Các thông tin này thườngxuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng Các phươngpháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tinhành vi người dùng thông thường

1.4.6 Phương thức phát hiện xâm nhập dựa vào chữ ký

Phát hiện xâm nhập dựa vào chữ ký (Signature - Based Detection) để xác định một

sự kiện có phải là một mối nguy hiểm không Một số các trường hợp tiêu biểu:

+ Chương trình kết nối đến hệ thống sử dụng quyền root với tên truy cập là

“root”, có thể là một mối nguy hiểm đến các chính sách bảo mật của tổ chức

+ Email với tiêu để "Free Picture" file đính kèm "freepicture.exe", là đặc điểm

của một loại malware

Việc phát hiện xâm nhập dựa vào chữ ký hiệu quả với những mối đe dọa đã đượcbiết đến Tuy nhiên, cách này vô hiệu hóa đối với những mối đe dọa chưa được biếtđến, được che giấu bằng cách nào đó hoặc những biến thể của những mối đe dọa đãbiết Phát hiện dựa vào chữ ký là phương thức đơn giản nhất vì nó chỉ so sánh các đơn

vị hoạt động (gói tin hay file log) với danh sách các chữ ký, sử dụng phương thức so

sánh chuỗi Vì vậy nếu kẻ tấn công thay đổi tên từ "freepic.exe" thành "freepic2.exe"

thì phương thức này sẽ không thể phát hiện được đó là malware

Phương thức này không hiểu được nhiều giao thức hoạt động của mạng, giao thứchoạt động của các ứng dụng, không theo dõi và hiểu các trạng thái liên lạc phức tạp

1.4.7 Phương thức phát hiện xâm nhập dựa vào sự bất thường

Phương thức phát hiện xâm nhập dựa vào sự bất thường (Anomaly – BasedDetection) là quá trình so sánh các định nghĩa sự kiện được cho là bình thường với các

sự kiện được quan sát để xác định các vấn đề bất thường Sử dụng phương thức pháthiện xâm nhập dựa vào sự bất thường sử dụng các profile đại diện cho các trạng tháibình thường của người dùng, hoặc kết nối mạng hoặc ứng dụng Ví dụ khi profile đạidiện cho trạng thái bình thường của kết nối mạng chỉ ra rằng hoạt động truy cập web

tốn 16% băng thông mạng trong suốt thời gian làm việc IDS so sánh kết quả này với

băng thông mạng thật sự và nếu phát hiện ra việc sử dụng cao hơn, IDS sẽ cảnh báocho admin về sự bất thường này Các profile có thể được chỉnh cho phù hợp, ví dụnhư số lượng mail có thể gửi đi, số lần login sai, mức hoạt động của CPU…

Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi đểđạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó Ví dụ như khimalware xâm nhập vào máy tính, malware có thể tiêu thụ nhiều tài nguyên máy tính,gửi đi một lượng lớn email, tạo ra nhiều kết nối, ngốn băng thông mạng, và thực hiệnnhiều hành động bất thường so với những thông tin có trong profile

1.5 Kiến trúc của một hệ thống phát hiện xâm nhập

Nhu cầu về việc giám sát hệ thống mạng máy tính ngày càng cao Bên cạnh việctheo dõi mạng để phát hiện truy cập trái phép, phòng chống xâm nhập còn là việcgiám sát lưu lượng mạng, giám sát các thiết bị và dịch vụ mạng, giám sát nguồn tàinguyên trên hệ thống Bên cạnh đó, hệ thống báo động phải được cài đặt linh hoạt và

đa dạng

1.5.1 Mô hình chung hệ thống IDS

Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiệnxâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS Mô hình cấutrúc chung cho các hệ IDS:

Hình 1-3 Mô hình chung hệ thống IDS

Nhiệm vụ chính của các hệ thống phát hiện xâm nhập là phòng chống cho một hệthống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó Việcphát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Việc làmlệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ cũng là mộtnhiệm vụ quan trọng Cả hệ thống thực cần phải được kiểm tra một cách liên tục Dữliệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩnthận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công

Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trịviên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc

có thể là bản thân IDS bằng cách lợi dụng các tham số do bổ sung (các chức năngkhóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệthống, cơ sở hạ tầng hợp lệ…) theo các chính sách bảo mật của các tổ chức Một IDS

là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nhữngnhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tìnhtiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trongtương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ những vấn đề xảy

ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ

ký thông qua email

1.5.2 Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung:

Bộ cảm biến được tích hợp với thành phần thu thập dữ liệu, một bộ tạo sự kiện.Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọcthông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một sốchính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thốnghoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưutrong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ, khi luồng

dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệunào được thực hiện Ðiều này cũng liên quan một chút nào đó đến các gói mạng

Hình 1-4 Cấu trúc tập trung

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tươngthích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiệnđược các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách pháthiện cho mục này Ngoài ra còn có các thành phần: Dấu hiệu tấn công, hành vi thông

thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ cáctham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biếncũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm

ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cảchúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc mộttác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ

1.5.3 Cấu trúc đa tác nhân

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng đượcbảo vệ và phụ thuộc vào phương pháp được đưa ra, tạo phân tích bước đầu và thậmchí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đến máy chủphân tích trung tâm là một trong những thành phần quan trọng của IDS IDS có thể sửdụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấncông phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tínhroaming của nó trong các vị trí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dànhcho việc phát hiện dấu hiệu tấn công đã biết nào dó Ðây là một hệ số quyết định khinói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựa trêntác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tựtrị cho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra một khía cạnhnào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân có thểcho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra.Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Cáctác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất

cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộthu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất

Hình 1-5 Cấu trúc đa tác nhân

1.5.4 Mô hình giám sát mạng tích hợp

Trong hệ thống giám sát mạng với những tính năng kể trên, mô hình giám sát mạngtích hợp với các thành phần: thành phần phát hiện và phòng chống xâm nhập(IDS/IPS), thành phần giám sát lưu lượng, thành phần giám sát thiết bị và dịch vụmạng và thành phần báo động Các thành phần này được mô tả trong hình sau:

Hình 1-6 Mô hình giám sát tích hợp

Thành phần phát hiện và phòng chống xâm nhập mạng:

Hệ thống phát hiện xâm nhập (IDS) dùng để lắng nghe, dò tìm các gói tin qua hệthống mạng để phát hiện những dấu hiệu bất thường trong mạng Thông thườngnhững dấu hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhậpmạng IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng

Hệ thống phòng chống xâm nhập (IPS) là một phần mềm hoặc một thiết bị chuyêndụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấncông

Hệ thống phòng chống xâm nhập là một kỹ thuật an ninh mới, kết hợp các ưu điểmcủa kỹ thuật tường lửa với hệ thống phát hiện xâm nhập có khả năng phát hiện sự xâmnhập và tự động ngăn chặn các cuộc tấn công đó Hệ thống IDS/IPS thường được đặt

ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng

Có hai phương pháp được dùng trong việc phân tích các sự kiện để phát hiện các vụtấn công: Phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường

Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp

các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công

Phát hiện sự bất thường: Công cụ này thiết lập một hiện trạng các hoạt động bình

thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tốnày xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

Quá trình phát hiện có thể được mô tả bởi ba yếu tố cơ bản nền tảng sau:

 Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.

 Phân tích: Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là

tấn công

 Cảnh báo: Hành động cảnh báo cho sự tấn công được phân tích ở trên.

Thành phần giám sát lưu lượng:

Một hệ thống IDS/IPS có thể phát hiện và phòng chống các cuộc tấn công xâm

nhập mạng dựa vào các dấu hiệu tấn công được lưu trữ và cập nhập thường xuyên.Tuy nhiên cũng không tránh khỏi những trường hợp có những dạng tấn công mới mànhững dấu hiệu chưa được biết tới

Hệ thống giám sát lưu lượng hỗ trợ cho người quản trị mạng giám sát lưu lượngtrao đổi giữa các thiết bị mạng Nó hoạt động thời gian thực và thể hiện lưu lượng củacác giao tiếp mạng (các giao tiếp của Router, Switch, Server, ), hoạt động của CPU,RAM một cách trực quan thông qua những đồ thị, Ðiều này giúp người quản trịmạng có những phân tích tình trạng hoạt động của các thiết bị mạng trong hệ thống.Ngoài ra, người quản trị có thể thiết lập những ngưỡng cảnh báo để kết hợp với hệthống báo động để giúp người quản trị nhanh chóng có được những thông tin vềnhững cuộc tấn công hay phát hiện những bất thường trong hệ thống Những bấtthường ở đây như là lưu lượng trên một giao tiếp mạng hoạt động bất thường hayCPU hoạt động quá tải (đặt ngưỡng cảnh báo)

Thành phần giám sát thiết bị và dịch vụ:

Hệ thống giám sát thiết bị và dịch vụ có chức năng theo dõi trạng thái hoạt độngcủa các thiết bị và các dịch vụ trong hệ thống mạng Ngoài ra, nó còn có thể giám sátcác tài nguyên trên các thiết bị như là dung lượng trống của các ổ cứng trên Server,kiểm tra trạng thái hoạt động của các cổng trên các Switch trung tâm…

Mọi hoạt động bất thường như có thiết bị ngừng làm việc hay dịch vụ mạng ngưnghoạt động, hay dung lượng ổ cứng trên các server còn quá ít (thiết lập ngưỡng theodõi) sẽ được gửi cảnh báo tới người quản trị mạng

Thành phần báo động:

Hệ thống báo động là một trong những thành phần quan trọng trong hệ thống giámsát mạng Hệ thống báo động giúp người quản trị mạng nắm bắt được trạng thái hoạtđộng của hệ thống mạng Ðây cũng là một yêu cầu lớn đặt ra cho hệ thống giám sátmạng

Hệ thống báo động kết hợp với hệ thống dò tìm xâm nhập, hệ thống giám sát thiết

bị và dịch vụ phát ra những tín hiệu cảnh báo đến người quản trị khi hệ thống có sự cốxâm nhập hay sự cố bất thường khác… Những thông tin từ thiết bị phát hiện xâmnhập hay hệ thống phát hiện những dấu hiệu bất thường được chuyển tới hệ thống báođộng để phát cảnh báo tới người quản trị

1.6 Các loại hệ thống phát hiện và ngăn chặn xâm nhập

IDS chỉ phát hiện các hành vi xâm nhập có khả năng ảnh hưởng nguy hiểm cho hệthống, ghi nhận các hành vi đó, và gửi báo cáo cho admin IDS còn có khả năng thựchiện ngăn cản sự xâm nhập, sử dụng một số kỹ thuật để ngăn chặn sự tấn công từ bênngoài hay chỉnh sửa lại môi trường bảo mật (ví dụ như cấu hình lại chính sáchfirewall), hoặc thay đổi mục tiêu của cuộc tấn công IDS được chia thành bốn loại:

Ưu điểm :

Quản lý được cả một network segment (gồm nhiều host), “Trong suốt” đối với cảngười dùng lẫn kẻ tấn công, cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng,tránh DoS ảnh hưởng tới một host nào đó, có khả năng xác định lỗi ở tầng network(trong mô hình OSI), độc lập với hệ điều hành (OS)

Nhược điểm:

Có thể xảy ra hiện tượng nghẽn mạng khi mạng hoạt động ở mức độ cao, có thể xảy

ra hiện tượng báo động giả (false positive) tức không có xâm nhập (intrusion) màNIDS vẫn báo có intrusion, không thể phân tích các traffic đã được mã hóa (encrypt)

(VD: SSL, SSH, Ipsec…), NIDS đòi hỏi phải cập nhật các signature mới nhất để đảmbảo an toàn, có độ trễ giữa thời điểm bị tấn công và thời điểm báo động Khi báo độngphát ra hệ thống có thể đã bị tổn hại, không cho biết việc tấn công có thành công haykhông.

ở những vị trí thường hay xuất hiện những mạng wireless chưa được xác minh

Hình 1-8 Mô hình WIDS tập trung

1.6.3 Network Behavior Analysis (NBA)

NBA kiểm tra lưu lượng mạng để xác định các mối đe dọa có thể tạo ra luồng lưulượng bất thường, ví dụ như tấn công Ddos, malware… Hệ thống NBA thường triểnkhai để giám sát các lưu lượng trong nội mạng, hay vị trí có thể giám sát được lưulượng giữa nội mạng và ngoại mạng

1.6.4 Host – Based

Một Host-Based IDS chỉ làm nhiệm vụ giám sát và ghi lại log cho một máy chủ(host-system) Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khảnăng của host-system (bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộservice của máy chủ đó) Host-Based IDS có khả năng phát hiện các vấn đề nếu cácthông tin về máy chủ đó được giám sát và ghi lại Là thiết bị bảo mật cho phát hiệncác tấn công trực tiếp tới một máy chủ

Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều sovới NIDS Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trênnhiều máy tính trong hệ thống mạng HIDS có thể được cài đặt trên nhiều dạng máytính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay HIDS cho phépbạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện

được Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúngkhông chứa mã nguy hiểm HIDS được thiết kế hoạt động chủ yếu trên hệ điều hànhWindows, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng Unix và

nhiều hệ điều hành khác Một số dịch vụ cho phép admin theo dõi và giám sát như

Syslog, File Fingerprinting, System Integrity Check và Systrace

Ưu điểm:

Cài đặt trên nhiều dạng máy tính (PC, laptop, máy chủ…), phân tích lưu lượngmạng rồi mới forward, có khả năng xác định người dùng (user) liên quan tới sự kiện(event), HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDSkhông có khả năng này, có thể phân tích các dữ liệu đã mã hoá, cung cấp các thông tin

về host trong khi cuộc tấn công đang diễn ra trên host này

Nhược điểm:

Đa số chạy trên hệ điều hành Windows, tuy nhiên đã có một số chạy trên Unix vàcác hệ thống khác, thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vàohost này thành công, khi hệ điều hành (OS) bị vô hiệu hóa do tấn công thì HIDS cũng

bị vô hiệu hóa, HIDS phải được thiết kế trên từng host cần được giám sát, HIDSkhông có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat, …), HIDS cần tàinguyên trên Host để hoạt động, HIDS có thể không hiệu quả khi bị DoS

Hình 1-9 Mô hình HIDS

Network - based và Host - based phổ biến và đáng tin cậy hơn, đã được các tổchức, cơ quan… áp dụng nhiều hơn trong nhiều năm trong khi NBA xuất hiện saunày, một phần được phát triển để chống lại tấn công Ddos, một phần để giám sát hoạtđộng lưu lượng trong nội mang IDS wireless được phát triển sau khi công nghệwireless ra đời để quản lý lưu lượng trong mạng Wireless Local Area Network(WLAN) và để ngăn chặn các mối đe dọa xuất hiện trong mạng wireless Vì lý do đó,trong phạm vi luận văn này sẽ chỉ nghiên cứu sâu về hai loại IDS phổ biến nhất hiệnnay là Network - Based và Host - Based.

1.7 Các sản phẩm IDS trên thị trường

1.7.1 Intrust

Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt độngkinh doanh Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệtvời Ðưa ra với một giao diện báo cáo với hơn 1.000 báo cáo khác nhau, giúp kiểmsoát được Nhập phức tạp Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diệncho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác Dưới đây là một

số tính năng cơ bản của Instrust:

 Tính năng cảnh báo toàn diện

 Tính năng báo cáo toàn diện

 Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng

 Lọc dữ liệu cho phép xem lại một cách dễ dàng

 Kiểm tra thời gian thực

 Phân tích dữ liệu đã được capture

 Tuân thủ theo các chuẩn công nghiệp

 Sự bắt buộc theo một nguyên tắc

1.7.2 ELM

Là sản phẩm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân tích sosánh dựa trên ELM Enterprise Manager Nó hỗ trợ việc kiểm tra thời gian thực, khảnăng hoạt động toàn diện và phương pháp báo cáo chi tiết Cơ sở dữ liệu được bổ sung

thêm để bảo đảm cơ sở dữ liệu của phần mềm được an toàn Ðiều này có nghĩa là nếu

cơ sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạo một cơ sở dữ liệu tạmthời để lưu dữ liệu cho đến khi cơ sở dữ liệu chính online trở lại Dưới đây là một số

mô tả các tính năng về ELM Enterprise Manager 3.0

 ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt

 Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft NET bằng cách kiểm tracác bản ghi sự kiện và bộ đếm hiệu suất

 Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn

hỗ trợ các báo cáo HTML và ASCII

 Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ

 Client chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML

 Hỗ trợ giao diện kiến thức cơ sở

 Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT

 Hỗ trợ cơ sở dữ liệu SQL Server và Oracle

 Các truy vấn tương thích WMI cho mục đích so sánh

 Ðưa ra hành động sửa lỗi khi phát hiện xâm nhập

1.7.3 SNORT

Snort là một sản phẩm tuyệt vời và nó đã được nhiều tổ chức, cơ quan, doanhnghiệp đưa vào hoạt động trong môi trường Unix Sản phẩm mới nhất được đưa ra gầnđây được hỗ trợ nền Windows nhưng vẫn còn một số chọn lọc tinh tế Thứ tốt nhất cótrong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoạitrừ thời gian và băng tần cần thiết để tải nó Giải pháp này đã được phát triển bởinhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó

có thể tồn tại được trong bất kỳ tổ chức nào Dưới đây là những tính năng về sản phẩmnày:

 Hỗ trợ cấu hình hiệu suất cao trong phần mềm

 Hỗ trợ tốt cho Unix

 Hỗ trợ mã nguồn mở linh hoạt

 Hỗ trợ mô đun quản lý tập trung

 Hỗ trợ việc cảnh báo và phát hiện xâm nhập

 Có các gói bản ghi

 Phát hiện tấn công toàn diện

 Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện

 Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email

1.7.4 Cisco IDS

Giải pháp này là của Cisco, với giải pháp này chúng ta thấy được chất lượng, cảmnhận cũng như danh tiếng truyền thống của nó Dưới đây là những tính năng về thiết

bị này:

 Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai

 Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm củaCisco

 Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn cáchành động trái phép

 Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khácnhau

 Cho hiệu suất mạng cao

 Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vicủa kẻ xâm nhập

 Quản lý GUI tập trung

toàn diện, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp Tuy nhiên điểm yếucủa sản phẩm này là ở chỗ giá cả của nó Dưới đây là những tính năng về Dragon:

 Dragon hỗ trợ cả NIDS và HIDS

 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX

 Ðược mô đun hóa và có thể mở rộng

 Kiểm tra quản lý tập trung

 Phân tích và báo cáo toàn diện

 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinhdoanh

 Kiểm tra bảo mật hiệu quả, tích hợp các switch, firewall và router

 Quản lý biên dịch báo cáo

 Có chu kỳ cập nhật chữ ký hoàn hảo

Chương 2 Giới thiệu tổng quan về Firewall Iptable và IDS

Snort

2.1 Tổng quan về Firewall

Hiện nay internet ngày trở nên phổ biến và việc kết nối hầu như đã trở nên quenthuộc với nhiều người từ các máy tính đơn đến các hệ thống mạng của các tổ chức, cơquan, doanh nghiệp Vấn đề đặt ra là nếu các máy tính hệ thống này không được bảo

vệ thì sẽ trở thành mục tiêu cho hacker xâm nhập Do đó nhiều tính năng bảo mật đãđược phát triển nhằm hạn chế sự xâm nhập trái phép của hacker trong đó đáng chú ý

là Firewall

Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài vàomạng trong Hệ thống firewall thường bao gồm cả phần cứng và phần mềm Firewallthường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉkhác nhau, có chức năng quản lý lưu lượng thông tin giữa internet và hệ thống mạng

cá nhân Firewall có thể chia hệ thống mạng nội bộ thành hai hay nhiều phần khácnhau và điều khiển việc trao đổi dữ liệu giữa các vùng này

Các chức năng cơ bản của firewall:

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ(Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập.Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong.Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng Kiểm soát khả năng truy cập người

sử dụng giữa hai mạng Kiểm soát nội dung thông tin truyền tải giữa hai mạng Ngănngừa khả năng tấn công từ các mạng ngoài

Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soáthầu hết các dịch vụ, do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệmạng Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộgiao tiếp với mạng bên ngoài và ngược lại

Hình 2-9 Mô hình Firewall

2.2 Phân loại firewall

Có khá nhiều loại firewall, mỗi loại có những ưu và nhược điểm riêng Tuynhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm hai loại chính:Packet filtering và Application-proxy firewall

- Packet filtering: là hệ thống firewall cho phép chuyển thông tin giữa hệ thốngtrong và ngoài mạng có kiểm soát

- Application-proxy firewall: là hệ thống firewall thực hiện các kết nối thay cho

các kết nối trực tiếp từ máy khách yêu cầu

2.2.1 Packet Filtering

Firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI Firewall mứcmạng thường hoạt động theo nguyên tắc router, có nghĩa là tạo ra các luật cho phépquyền truy nhập mạng dựa trên mức mạng Mô hình này hoạt động theo nguyên tắclọc gói tin (packet filtering)

Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúngxuất phát Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật