TÌM HIỂU về IDS và IPS

Danh sách các kí hiệu và chữ viết tắt 1 MỞ ĐẦU 2 CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG 3 1. Tổng quan về bảo mật : 3 1.2. Lỗ hổng bảo mật và phương thức tấn công mạng. 4 2. Sự cần thiết của bảo mật: 6 3. Những mối đe dọa: 6 4. Các phương thức tấn công (Attack methods): 7 CHƯƠNG II : TỔNG QUAN VỀ IDSIPS 13 1. Giới thiệu về IDSIPS 13 2. Phân loại IDSIPS 14 3. Cơ chế hoạt động của hệ thống IDSIPS 18 4. Một số sản phẩm của IDSIPS 22 CHƯƠNG III : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDSIPS 24 1. Giới thiệu về snort 24 2. Kiến trúc của snort 24 3. Bộ luật của snort 27 4. Chế độ ngăn chặn của Snort : Snort – Inline 35 Kết Luận 36 Danh sách các kí hiệu và chữ viết tắt Kí hiệu và viết tắt Giải thích IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IPS Intrusion Prevention System Hệ thống chống xâm nhập HIDS Hostbased IDS NIDS Networkbased IDS IDP Intrusion Detection and Prevention. MỞ ĐẦU An toànthông tinnói chungvà anninhmạngnói riêng đang làvấn đềđược quantâmkhôngchỉ ở Việt Nammà trên toàn thế giới.Cùng vớisựphát triển nhanhchóng củamạng Internet, việcđảm bảoan ninh cho các hệthốngthôngtin càngtrởnêncấp thiếthơn bao giờhết. Trong lĩnhvựcan ninhmạng,phát hiện và phòngchống tấncông xâmnhập cho cácmạngmáytính làmột vấn đề rất quan trọng, ảnh hưởng trực tiếp đến an toàn an ninh thông tin trong mạng.Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng. Vì vậy, với đề tài này chúng em mongmuốn cóthể tìmhiểu,nghiên cứu về pháthiện và phòng chống xâm nhậpmạng vớimục đíchnắm bắt được cácgiảipháp, các kỹ thuậttiên tiến để nâng cao kiến thức về vấn đề an ninh mạng. Mặc dù đã cốgắnghếtsứcnhưngdokiếnthứcvà khảnăng nhìnnhậnvấnđềcòn hạn chế nênbàilàm không tránhkhỏi thiếusót,rấtmongđượcsự quantâm và gópý thêm của thầy côvàtất cảcác bạn. CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm anninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. 1. Tổng quan về bảo mật: Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. 1.1. Khái niệm về bảo mật mạng hệ thống a). Đối tượng tấn công mạng (intruder): Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một sốđối tượng tấn công mạng như: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhưăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủđịnh, hoặc có thểđó là những hành động vôý thức… b). Các lỗ hổng bảo mật: Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. c). Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 1.2. Lỗ hổng bảo mật và phương thức tấn công mạng. a). Các loại lỗ hổng: Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau: Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kếở tầng Internet (IP) nói riêng và bộ giao thức TCPIP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống . Có mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Để hạn chếđược các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương trình. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nóđã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger... b) Các hình thức tấn công mạng phổ biến: Scanner: Là một chương trình tựđộng rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những cổng TCPUDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từđó nó có thể tìm ra điểm yếu của hệ thống. Các chương trình Scanner có vai trò quan trọng trong một hệthống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng. Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoáđể tạo ra một danh sách khác theo một logic của chương trình. Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text . Mật khẩu text thông thường sẽđược ghi vào một file. Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật

Trang 1

NHÓM 9_AT8B

Trang 2

NỘI DUNG TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

Trang 3

I.TỔNG QUAN VỀ AN NINH MẠNG TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

1 BẢO MẬT HỆ THỐNG

 Các khía cạnh quan trọng của bảo mật mà ta cần phải quan

tâm đến nhằm gia tăng độ an toàn cho hệ thống:

Trang 4

I.TỔNG QUAN VỀ AN NINH MẠNG TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

2 Những mối đe dọa

- Mối đe dọa không có cấu trúc (Untructured threat)

- Mối đe dọa có cấu trúc ( Structured threat)

- Mối đe dọa từ bên ngoài (External threat)

- Mối đe dọa từ bên trong ( Internal threat )

17-9-2014

4

Trang 5

I TỔNG QUAN VỀ AN NINH MẠNG TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

3 Các phương thức tấn công ( Attack methods):

 Thăm dò (Reconnaisance)

 Truy nhập (Access)

 Từ chối dịch vụ ( Denial of Service)

 Tấn công qua ứng dụng web.

17-9-2014

5

Trang 6

II TỔNG QUAN VỀ IDS/ IPS TÌM HIỂU VỀ IDS/ IPS Nhóm 9_ AT8B

1 Định nghĩa:

 Hệ thống phát hiện xâm nhập (Intrusion Detection

System- IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện

sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống

 Hệ thống chống xâm nhập (Intrusion Prevention

System - IPS) được định nghĩa là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn

17-9-2014

6

Trang 7

II TỔNG QUAN VỀ IDS/ IPS

 Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm nhập hay IPS

 IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS

và IPS có thể được gọi chung là IDP - Intrusion Detection and Prevention.

TÌM HIỂU VỀ IDS/ IPS

Nhóm 9_ AT8B

17-9-2014

7

Trang 8

II TỔNG QUAN VỀ IDS/ IPS

2 Sự khác nhau giữa IDS và IPS

Nhóm 9 _ AT8B

• Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát

hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính

nó đang bảo vệ

• Một số hệ thống IDS được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn

 IDS :

 IPS: • một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành

động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn.

• đó một số hệ thống IPS lại không mang đầy đủ chức năng của

một hệ thống phòng chống theo đúng nghĩa.

17-9-2014

8

Trang 9

II TỔNG QUAN VỀ IDS/ IPS TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

3 Những ưu điểm và hạn chế của hệ thống.

17-9-2014

9

Trang 10

TỔNG QUAN VỀ IDS/ IPS TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

 Host Based IDS (HIDS)

 Ưu điểm:

• Xác định được kết quả của cuộc tấn công

• Giám sát được các hoạt động cụ thể của hệ thống

• Phát hiện các xâm nhập mà NIDS bỏ qua

• Thích nghi tốt với môi trường chuyển mạch, mã hoá

• Không yêu cầu thêm phần cứng

 Nhược điểm:

• Khó quản trị

• Thông tin nguồn không an toàn

• Hệ thống host-based tương đối đắt

• Chiếm tài nguyên hệ thống

17-9-2014

10

Trang 11

Network Based IDS (NIDS)

NIDS thường bao gồm có hai thành phần logic :

• Bộ cảm biến – Sensor : đặt tại một đoạn mạng, kiểm soát các cuộc lưu thông nghi ngờ trên đoạn mạng đó.

• Trạm quản lý : nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo cho một điều hành viên.

17-9-2014

11

Trang 12

 Network Based IDS (NIDS)

 Ưu điểm:

• Chi phí thấp

• Phát hiện được các cuộc tấn công mà HIDS bỏ qua:

• Khó xoá bỏ dấu vết (evidence)

• Phát hiện và đối phó kịp thời

• Có tính độc lập cao

 Nhược điểm:

• Bị hạn chế với Switch

• Hạn chế về hiệu năng

• Tăng thông lượng mạng

• Gặp khó khăn khi phát hiện xử lý các cuộc tấn công bị mã hóa

17-9-2014

12

Trang 13

So sánh giữa hệ thống HIDS và NIDS

17-9-2014

13

Trang 14

3 Cơ chế hoạt động của hệ thống IDS/IPS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là :

 Phát hiện sự lạm dụng (Misuse Detection Model):

Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống

Trang 15

 Phát hiện sự bất thường (Anomaly Detection Model):

Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay

Trang 16

Bảng So sánh 2 mô hình phát hiện

17-9-2014

16

Trang 17

Hệ thống kết hợp 2 mô hình phát hiện

17-9-2014

17

Trang 18

4 Một số sản phẩm của IDS/IPS

• Cisco IDS-4235

• ISS Proventia A201

• Intrusion Protection Appliance

• NFR NID-310

• SNORT :

- phần mềm IDS mã nguồn mở phát triển bởi Martin Roesh

- đầu tiên được xây dựng trên Unix sau đó phát triển sang các nền tảng khác

17-9-2014

18

Trang 19

III ỨNG DỤNG SNORT

1 Giới thiệu về Snort

• Snort là một NIDS được Martin Roesh phát triển dưới

mô hình mã nguồn mở

• Nhiều tính năng tuyệt vời phát triển theo kiểu module

• Cơ sở dữ liệu luật lên đến 2930 luật

• Snort hỗ trợ hoạt động trên các giao thức: Ethernet,

Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PE của Open BDS

Nhóm 9 _ AT8B

17-9-2014

19

Trang 20

III ỨNG DỤNG SNORT TÌM HIỂU VỀ IDS/ IPS

2 Kiến trúc Snort

• Modun giải mã gói tin (Packet Decoder)

• Modun tiền xử lý (Preprocessors)

• Modun phát hiện (Detection Eng)

• Modun log và cảnh báo (Logging and Alerting System)

• Modun kết xuất thông tin (Output module)

Nhóm 9 _ AT8B

17-9-2014

20

Trang 21

III ỨNG DỤNG SNORT TÌM HIỂU VỀ IDS/ IPS Nhóm 9 _ AT8B

3 Bộ luật của snort

Tất cả các Luật của Snort về logic đều gồm 2 phần:

 Phần Header : chứa thông tin về hành động mà luật đó sẽ

thực hiện khi phát hiện ra có xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó.

Cấu trúc chung của phần Header của một luật Snort:

17-9-2014

21

Trang 22

 Phần Option: chứa một thông điệp cảnh báo và các thông

tin về các phần của gói tin dùng để tạo nên cảnh báo Nó chứa các tiêu chuẩn phụ thêm để đối sánh luật với gói tin

- Phần Rule Option nằm ngay sau phần Rule Header và được bao bọc trong dấu ngoặc đơn.

- Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng dấu chấm phẩy ”,”.

- Nếu nhiều option được sử dụng thì các option này phải đồng thời được thoã mãn tức là theo logic các option này liên kết với nhau bằng AND

Trang 23

Trang 24

Nhóm 9 _ AT8B

III ỨNG DỤNG SNORT

4 Chế độ ngăn chặn của Snort :

 Tích hợp khả năng ngăn chặn vào Snort

 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode .

độ này vẫn chỉ là tùy chọn chứ không phải mặc định.

- Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trong snort

- Đó là đưa thêm 3 hành động: DROP, SDROP, INJECT và thay đổi trình tự ưu tiên của các luật trong Snort

17-9-2014

24

Trang 25

Thank You !

Định dạng
Số trang	25
Dung lượng	2,7 MB