Triển khai hệ thống phát hiện và ngăn chặn xâm nhập cho công ty NovaAds Hà Nội

Triển khai hệ thống phát hiện và ngăn chặn xâm nhập cho công ty NovaAds Hà Nội MỤC LỤC LỜI CẢM ƠN 1 MỤC LỤC 3 LỜI NÓI ĐẦU 5 CHƯƠNG 1 : TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG 7 1.1 Hệ thống phát hiện xâm nhập 7 1.1.1 Khái niệm 7 1.1.2 Phát hiện xâm nhập 7 1.1.3 Chính sách của IDS 7 1.1.4 Kiến trúc của hệ thống phát hiện xâm nhập 8 1.1.5 Phân loại hệ thống phát hiện xâm nhập 11 1.2 Hệ thống ngăn chặn xâm nhập 15 1.2.1 Khái niệm 15 1.2.2 Kiến trúc của hệ thống ngăn chặn xâm nhập 16 1.2.3 Các kiểu IPS được triển khai trên thực tế 19 1.2.4 Công nghệ ngăn chặn xâm nhâp của IPS 21 1.3 Hiện trạng an ninh mạng tại Việt Nam hiện nay 25 CHƯƠNG 2 : NGHIÊN CỨU ỨNG DỤNG PHẦN MỀM MÃ NGUỒN MỞ SNORT TRONG IDSIPS VÀO NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP MẠNG 30 2.1 Giới thiệu về Snort 30 2.2 Kiến trúc của SNORT 30 2.2.1 Module giải mã gói tin 31 2.2.2 Module tiền xử lý 32 2.2.3 Module Phát hiện 34 2.2.4 Module log và cảnh báo 34 2.2.5 Module kết xuất thông tin 34 2.3 Bộ luật của Snort 35 2.3.1 Giới thiệu 35 2.3.2 Cấu trúc luật của Snort 36 2.4 Chế độ ngăn chặn của Snort : Snort – Inline 47 2.4.1 Tích hợp khả năng ngăn chặn vào Snort 47 2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode 47 CHƯƠNG 3: KHẢO SÁT HẠ TẦNG MẠNG VÀ TRIỂN KHAIHỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬPVỚI SNORT CHO NOVAADS 48 3.1 Khảo sát hạ tầng mạng NovaAds 48 3.1.1 Giới thiệu về NovaAds 48 3.1.2 Mô hình mạng triển khai trong NovaAds 49 3.1.3 Đưa ra giải pháp ngăn chặn và phát hiện xâm nhập cho môi trường mạng của NovaAds với phần mềm mã nguồn mở Snort 51 3.2 Triển khai cài đặt phần mềm SNORT trên các server của công ty NovaAds 52 3.2.1 Cái đặt các gói yêu cầu 52 3.3 Trải nghiệm khả năng phản ứng phát hiện và ngăn chặn xâm nhập của phần mềm Snort với NovaAds 59 KẾT LUẬN 63 TÀI LIỆU THAM KHẢO 65 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 66   TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG 1.1 Hệ thống phát hiện xâm nhập 1.1.1 Khái niệm Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng, phần mềm hay có sự kết hợp của cả hai để thực hiện giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác nhau. Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát, IDS là hệ thống phát hiện các dấu hiệu làm hại đến tính bảo mật, tính toàn vẹn và tính sẵn dùng của hệ thống máy tính hoặc hệ thống mạng, làm cơ sở cho đảm bảo an ninh hệ thống. 1.1.2 Phát hiện xâm nhập Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng để phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ. Hệ thống phát hiện xâm nhập phân thành hai loại cơ bản : Hệ thống phát hiện dựa trên dấu hiệu xâm nhập Hệ thống phát hiện các dấu hiệu bất thường Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiện bằng cách sử dụng phần mềm. Bằng cách tìm ra dữ liệu của gói tin mà có chứa bất kì dấu hiệu xâm nhập hoặc dị thường được biết đến. Dựa trên một tập hợp các dấu hiệu (signatures) hoặc các qui tắc (rules). Hệ thống phát hiện có thể dò tìm, ghi lại các hoạt động đáng ngờ này và đưa ra các cảnh báo. Anomalybased IDS thường dựa vào phần header giao thức của gói tin được cho là bất thường. Trong một số trường hợp các phương pháp có kết quả tốt hơn với Signaturebased IDS. Thông thường IDS sẽ bắt lấy các gói tin trên mạng và đối chiếu với các rule để tìm ra các dấu hiệu bất thường của gói tin. 1.1.3 Chính sách của IDS Trước khi cài đặt một hệ thống IDS lên hệ thống thì cần phải có một chính sách để phát hiện kẻ tấn công và cách xử lý khi phát hiện ra các hoạt động tấn công. Bằng cách nào đó chúng phải được áp dụng. Các chính sách cần chứa các phần sau : Ai sẽ giám sát hệ thống IDS? Tùy thuộc vào IDS, có thể có cơ chế cảnh báo để cung cấp thông tin về các hoạt động tấn công. Các cảnh báo này có thể ở hình thức văn bản đơn giản (simple text) hoặc chúng có thể ở dạng phức tạp hơn. Có thể được tích hợp vào các hệ thống quản lý mạng tập trung như HP Openview hoặc MySQL database. Cần phải có người quản trị để giám sát các hoạt động xâm nhập có thể được theo dõi và thông báo theo thời gian thực bằng cách sử dụng cửa sổ popup hoặc trên giao diện web. Các nhà quản trị phải có kiến thức về cảnh báo và mức độ an toàn của hệ thống. Ai sẽ điều hành IDS? Như với tất cả các hệ thống, IDS cần được bảo trì thường xuyên. Ai sẽ xử lý các sự cố và như thế nào? Nếu các sự cố không được xử lý thì IDS xem như vô tác dụng. Các cảnh báo có thể được tạo và hiển thị vào cuối ngày hoặc cuối tuần hoặc cuối tháng. Cập nhật các dấu hiệu. Các hacker thì luôn tạo ra các kỹ thuật mới để tấn công hệ thống. Các cuộc tấn công này được phát hiện bởi hệ thống IDS dựa trên các dấu hiệu tấn công. Các tài liệu thì rất cần thiết cho các dự án. Các chính sách IDS nên được mô tả dưới dạng tài liệu khi các cuộc tấn công được phát hiện. Các tài liệu có thể bao gồm các log đơn giản hoặc các văn bản. Cần phải xây dựng một số hình thức để ghi và lưu trữ tài liệu. Các báo cáo cũng là các tài liệu. 1.1.4 Kiến trúc của hệ thống phát hiện xâm nhập Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection) và thành phần phản hồi (respotion). Trong ba thành phần này, thành phần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thống phát hiện xâm nhập.

LỜI CẢM ƠN

Đầu tiên em xin chân thành cảm ơn các thầy cô trong Bộ môn Mạng MáyTính và Truyền Thông cùng toàn thể các thầy cô trong Trường đã dạy dỗ vàtruyền đạt cho em những kiến thức quý giá trong suốt những năm học vừa qua

Em xin gửi lời cảm ơn sâu sắc nhất tới thầy bộ môn Mạng Máy Tính vàTruyền Thông, người đã tận tình hướng dẫn, giúp đỡ, chỉ bảo em trong suốt quátrình thực hiện đồ án

Do thời gian thực hiện và phạm vi kiến thức còn hạn chế, em đã rất cốgắng để hoàn thành đồ án một cách tốt nhất Song, chắc chắn sẽ không tránh khỏinhững thiếu sót Em kính mong nhận được sự cảm thông và những ý kiến đónggóp của quý thầy cô và các bạn

Em xin chân thành cảm ơn!!!

LỜI CAM ĐOAN

Em xin cam đoan:

Những nội dung trong đồ án này là do em thực hiện dưới sự hướng dẫntrực tiếp của thầy giáo hướng dẫn

Toàn bộ nội dung đồ án này là do em tự tìm hiểu và nghiên cứu Từ đó em

thực hiện đồ án tốt nghiệp với đề tài: “Triển khai hệ thống phát hiện và ngăn

chặn xâm nhập cho công ty NovaAds Hà Nội” dưới sự hướng dẫn của thầy.

Mọi tham khảo dùng trong đồ án đều được trích dẫn rõ ràng tác giả, têncông trình, thời gian, địa điểm công bố

Em xin chịu trách nhiệm với lời cam đoan của mình

MỤC LỤC

LỜI CẢM ƠN 1

MỤC LỤC 3

LỜI NÓI ĐẦU 5

CHƯƠNG 1 : TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG 7

1.1 Hệ thống phát hiện xâm nhập 7

1.1.1 Khái niệm 7

1.1.2 Phát hiện xâm nhập 7

1.1.3 Chính sách của IDS 7

1.1.4 Kiến trúc của hệ thống phát hiện xâm nhập 8

1.1.5 Phân loại hệ thống phát hiện xâm nhập 11

1.2 Hệ thống ngăn chặn xâm nhập 15

1.2.1 Khái niệm 15

1.2.2 Kiến trúc của hệ thống ngăn chặn xâm nhập 16

1.2.3 Các kiểu IPS được triển khai trên thực tế 19

1.2.4 Công nghệ ngăn chặn xâm nhâp của IPS 21

1.3 Hiện trạng an ninh mạng tại Việt Nam hiện nay 25

CHƯƠNG 2 : NGHIÊN CỨU ỨNG DỤNG PHẦN MỀM MÃ NGUỒN MỞ SNORT TRONG IDS/IPS VÀO NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP MẠNG 30

2.1 Giới thiệu về Snort 30

2.2 Kiến trúc của SNORT 30

2.2.1 Module giải mã gói tin 31

2.2.2 Module tiền xử lý 32

2.2.3 Module Phát hiện 34

2.2.4 Module log và cảnh báo 34

2.2.5 Module kết xuất thông tin 34

2.3 Bộ luật của Snort 35

2.3.1 Giới thiệu 35

2.3.2 Cấu trúc luật của Snort 36

2.4 Chế độ ngăn chặn của Snort : Snort – Inline 47

2.4.1 Tích hợp khả năng ngăn chặn vào Snort 47

2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode 47

CHƯƠNG 3: KHẢO SÁT HẠ TẦNG MẠNG VÀ TRIỂN KHAIHỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬPVỚI SNORT CHO NOVAADS 48

3.1 Khảo sát hạ tầng mạng NovaAds 48

3.1.1 Giới thiệu về NovaAds 48

3.1.2 Mô hình mạng triển khai trong NovaAds 49

3.1.3 Đưa ra giải pháp ngăn chặn và phát hiện xâm nhập cho môi trường mạng của NovaAds với phần mềm mã nguồn mở Snort 51

3.2 Triển khai cài đặt phần mềm SNORT trên các server của công ty NovaAds 52

3.2.1 Cái đặt các gói yêu cầu 52

3.3 Trải nghiệm khả năng phản ứng phát hiện và ngăn chặn xâm nhập của phần mềm Snort với NovaAds 59

KẾT LUẬN 63

TÀI LIỆU THAM KHẢO 65

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 66

DANH MỤC HÌNH ẢNH

Hình 1.1 kiến trúc của một hệ thống phát hiện xâm nhập 9

Hình 1.2 Giải pháp kiến trúc đa tác nhân 11

Hình 1.3 Network-based IDS 12

Hình 1.4 Host-based IDS 14

Hình 1.5 promiscuous mode IPS 19

Hình 1.6 Inline mode IPS 20

Hình 1.7 signature-based IPS 21

Hình 1.8 Một website của Việt Nam bị hacker tấn công 26

Hình 1.9 Nhiều website của Việt Nam gần đây bị hacker tấn công 29

Hình 2.1 Kiển trúc Snort 31

Hình 2.2 Xử lý một gói tin Ethernet 32

Hình 3.1 Sơ đồ mạng công ty NovaAds 49

Hình 3.2 Giái pháp mô hình mạng đề xuất cho công ty Novaads 52

Hình 3.3 Giao diện Webmin 56

Hình 3.4 Giao diện base 59

Hình 3.5 Tạo rules 60

Hình 3.6 Kết quả trên IDS 60

Hình 3.7 IDS đưa ra cảnh báo 61

Hình 3.8 Tạo rules scan.rules 61

Hình 3.9 Kết quả của IDS khi có quét cổng 62

Hình 3.10 Kết quả text của IDS khi có quét cổng 62

Hình 3.11 Quét cổng Nmap bị IPS drop gói tin 62

LỜI NÓI ĐẦU

Càng ngày Internet càng phổ biến và lợi ích nó đem lại cho cuộc sống hiệnđại là không hề nhỏ Xong vấn đề nảy sinh đi kèm theo đó là mối đe dọa tấn côngmạng, lấy cắp thông tin cá nhân, tổ chức đang được báo động Chính vì thế màviệc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn baogiờ hết

Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâmnhập cho các máy tính là một đề tài hay, thu hút sự chú ý của nhiều nhà nghiêncứu với nhiều hướng nghiên cứu khác nhau Trong xu hướng đó, đồ án tốt nghiệpnày tôi muốn tìm hiểu, nghiên cứu về phát hiện và ngăn chặn xâm nhập mạng vớimục đích nắm bắt được các giải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt chohành trang của mình sau khi ra trường Mặc dù đã cố gắng hết sức nhưng do thờigian ngắn nên đồ án không tránh khỏi nhiều thiếu sót, rất mong được sự quantâm và góp ý thêm của thầy cô và tất cả các bạn

Để có thể hoàn thành đồ án này, tôi xin gửi lời cảm ơn sâu sắc đến thầyNguyễn Đức Bình và anh Tạ Tuấn Dũng đã nhiệt tình hướng dẫn, chỉ bảo vàcung cấp cho tôi nhiều kiến thức thực tế rất bổ ích trong suốt quá trình làm đồ án.Nhờ sự giúp đỡ tận tình của thầy và anh nên tôi mới hoàn thành được đồ án này

Một lần nữa xin cảm ơn thầy và anh rất nhiều !

Trần Văn Thọ

CHƯƠNG 1 : TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN

VÀ NGĂN CHẶN XÂM NHẬP MẠNG 1.1 Hệ thống phát hiện xâm nhập

1.1.1 Khái niệm

Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng, phần mềm hay có

sự kết hợp của cả hai để thực hiện giám sát, theo dõi và thu thập thông tin từnhiều nguồn khác nhau Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhậphay tấn công hệ thống và thông báo đến người quản trị hệ thống Nói một cáchtổng quát, IDS là hệ thống phát hiện các dấu hiệu làm hại đến tính bảo mật, tínhtoàn vẹn và tính sẵn dùng của hệ thống máy tính hoặc hệ thống mạng, làm cơ sởcho đảm bảo an ninh hệ thống

1.1.2 Phát hiện xâm nhập

Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng

để phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ Hệ thống pháthiện xâm nhập phân thành hai loại cơ bản :

Hệ thống phát hiện dựa trên dấu hiệu xâm nhập

Hệ thống phát hiện các dấu hiệu bất thường

Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiện bằngcách sử dụng phần mềm Bằng cách tìm ra dữ liệu của gói tin mà có chứa bất kìdấu hiệu xâm nhập hoặc dị thường được biết đến Dựa trên một tập hợp các dấuhiệu (signatures) hoặc các qui tắc (rules) Hệ thống phát hiện có thể dò tìm, ghilại các hoạt động đáng ngờ này và đưa ra các cảnh báo Anomaly-based IDSthường dựa vào phần header giao thức của gói tin được cho là bất thường Trongmột số trường hợp các phương pháp có kết quả tốt hơn với Signature-based IDS.Thông thường IDS sẽ bắt lấy các gói tin trên mạng và đối chiếu với các rule đểtìm ra các dấu hiệu bất thường của gói tin

1.1.3 Chính sách của IDS

Trước khi cài đặt một hệ thống IDS lên hệ thống thì cần phải có một chínhsách để phát hiện kẻ tấn công và cách xử lý khi phát hiện ra các hoạt động tấncông Bằng cách nào đó chúng phải được áp dụng Các chính sách cần chứa cácphần sau :

Ai sẽ giám sát hệ thống IDS? Tùy thuộc vào IDS, có thể có cơ chế cảnhbáo để cung cấp thông tin về các hoạt động tấn công Các cảnh báo này có thể ởhình thức văn bản đơn giản (simple text) hoặc chúng có thể ở dạng phức tạp hơn

Có thể được tích hợp vào các hệ thống quản lý mạng tập trung như HP Openviewhoặc MySQL database Cần phải có người quản trị để giám sát các hoạt độngxâm nhập có thể được theo dõi và thông báo theo thời gian thực bằng cách sửdụng cửa sổ pop-up hoặc trên giao diện web Các nhà quản trị phải có kiến thức

về cảnh báo và mức độ an toàn của hệ thống

Ai sẽ điều hành IDS? Như với tất cả các hệ thống, IDS cần được bảo trìthường xuyên

Ai sẽ xử lý các sự cố và như thế nào? Nếu các sự cố không được xử lý thìIDS xem như vô tác dụng

Các cảnh báo có thể được tạo và hiển thị vào cuối ngày hoặc cuối tuầnhoặc cuối tháng

Cập nhật các dấu hiệu Các hacker thì luôn tạo ra các kỹ thuật mới để tấncông hệ thống Các cuộc tấn công này được phát hiện bởi hệ thống IDS dựa trêncác dấu hiệu tấn công

Các tài liệu thì rất cần thiết cho các dự án Các chính sách IDS nên được

mô tả dưới dạng tài liệu khi các cuộc tấn công được phát hiện Các tài liệu có thểbao gồm các log đơn giản hoặc các văn bản Cần phải xây dựng một số hình thức

để ghi và lưu trữ tài liệu Các báo cáo cũng là các tài liệu

1.1.4 Kiến trúc của hệ thống phát hiện xâm nhập

Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: thànhphần thu thập gói tin (information collection), thành phần phân tích gói tin(detection) và thành phần phản hồi (respotion) Trong ba thành phần này, thành

quyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thốngphát hiện xâm nhập.

Hình 1.1 kiến trúc của một hệ thống phát hiện xâm nhập

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu, bộ tạo sự kiện.Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độlọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấpmột số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiệncủa hệ thống hoặc các gói tin mạng Số chính sách này cùng với thông tin chínhsách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thểphát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệuchính sách phát hiện cho mục này Ngoài ra còn có các thành phần : dấu hiệu tấncông, profile hành vi thông thường, các tham số cần thiết ( ví dụ: các ngưỡng).Thêm vào đó, cơ sở dữ liệu giữa các tham số cấu hình, gồm có các chế độ truyềnthông với module đáp trả Bộ cảm biến cũng có sơ sở dữ liệu của riêng nó, gồm

dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khácnhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trongtường lửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một

mạng lớn, tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theonguyên lý cấu trúc tác nhân, nơi các module nhỏ được tổ chức trên một hosttrong mạng được bảo vệ

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trongvùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra Tạo phân tíchbước đầu và thậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tácbáo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quantrọng của IDS.IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệtđược trang bị sự phát hiện các tấn công phân tán Các vai trò khác của tác nhânliên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý.Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấncông đã biết nào đó Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệliên quan đến các kiểu tấn công mới

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tácnhân tự trị cho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tramột khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ:một tác nhân có thể cho biết một số không bình thường các telnet session bêntrong hệ thống nó kiểm tra Tác nhân có khả năng đưa ra một cảnh báo khi pháthiện một sự kiện khả khi Các tác nhân có thể được nhái và thay đổi bên trongcác hệ thống khác(tính năng tự trị ) Một phần trong các tác nhân, hệ thống có thể

có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi cáctác nhân ở một host cụ thể nào đó Các bộ thu nhận luôn luôn gửi các kết quảhoạt động của chúng đến bộ kiểm tra duy nhất Các bộ kiểm tra nhận thông tin từcác mạng (không chỉ từ một host), điều đó có nghĩa là chúng có thể tương quanvới thông tin phân tán Thêm vào đó một số bộ lọc có thể được đưa ra để chọnlọc và thu thập dữ liệu

Hình 1.2 Giải pháp kiến trúc đa tác nhân

1.1.5 Phân loại hệ thống phát hiện xâm nhập

Có 2 loại cơ bản là : Network-based IDS và Host-based IDS

Network-base IDS (NIDS)

NIDS là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu củacác gói tin lưu thông trên các phương tiện truyền dẫn như (cables, wireless) bằngcách sử dụng các card giao tiếp Khi một gói dữ liệu phù hợp với qui tắc của hệthống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file logđược lưu vào sơ sở dữ liệu

Ưu điểm của NIDS

Quản lý được một phân đoạn mạng (network segment)

Trong suốt với người sử dụng và kẻ tấn công

Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến một host cụ thể

Có khả năng xác định được lỗi ở tầng network

Độc lập với hệ điều hành

Nhược điểm của NIDS

Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bấtthường mà IDS vẫn báo

Không thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSec,

NIDS đòi hỏi phải luôn cập nhật các dấu hiệu tấn công mới nhất để thực

sự hoạt động hiệu quả

Không thể cho biết việc mạng bị tấn công có thành công hay không, đểngười quản trị tiến hành bảo trì hệ thống

Giới hạn băng thông Những bộ thu thập dữ liệu phải thu thập tất cả lưulượng mạng, sắp xếp lại và phân tích chúng Khi tốc độ mạng tăng lên thì khảnăng của bộ thu thập thông tin cũng vậy Một giải pháp là phải đảm bảo chomạng được thiết kế chính xác

Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệthống IDS là phân mảnh dữ liệu gói tin Mỗi giao thức có một kích cỡ gói dữ liệu

có hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì dữ liệu bị phânmảnh Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu Thứ tự sắp xếp khôngthành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp lạichúng

Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phânmảnh chồng chéo Một bộ cảm biến không phát hiện được các hoạt động xâmnhập nếu không sắp xếp gói tin lại một cách chính xác

Host-based IDS (HIDS)

HIDS là hệ thống phát hiện xâm nhập được cài đặt trên các máy tính(host) HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việchoặc máy notebook HIDS cho phép thực hiện một cách linh hoạt trên các phânđoạn mạng mà NIDS không thực hiện được Lưu lượng đã gửi đến host đượcphân tích và chuyển qua host nếu chúng không tiềm ẩn các mã nguy hiểm HIDS

cụ thể hơn với các nền ứng dụng và phục vụ mạnh mẽ cho hệ điều hành Nhiệm

vụ chính của HIDS là giám sát sự thay đổi trên hệ thống HIDS bao gồm cácthành phần chính:

Ưu điểm của HIDS

Có khả năng xác định các user trong hệ thống liên quan đến sự kiện

HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,NIDS không có khả năng này

Có khả năng phân tích các dữ liệu đã được mã hóa

Cung cấp các thông tin về host trong lúc cuộc tấn công đang diễn ra trên hostHạn chế của NIDS:

Thông tin từ HIDS sẽ không còn đáng tin cậy ngay sau khi cuộc tấn côngvào host này thành công

Khi hệ điều hành bị thỏa hiệp tức là HIDS cũng mất tác dụng

HIDS phải được thiết lập trên từng host cần giám sát

HIDS không có khả năng phát hiện việc thăm dò mạng (Nmap, Netcat…)HIDS cần tài nguyên trên host để hoạt động

HIDS có thể không phát huy được hiệu quả khi bị tấn công từ chối dịch vụDoS

Do đó HIDS phải cung cấp đầy đủ khả năng cảnh báo Trong môi trườnghỗn tạp điều này có thể trở thành vấn đề nếu HIDS phải tương thích với nhiều hệđiều hành Do đó, lựa chọn HIDS cũng là vấn đề quan trọng

Hình 1.4 Host-based IDS

So sánh giữa NIDS và HIDS

Bảo vệ mạng LAN **** **** Cả hai đều bảo vệ user khi

hoạt động trong mạng LAN Bảo vệ ngoài

mạng LAN

Dễ dàng cho việc

quản trị

**** **** Tương đương như nhau xét về

bối cảnh quản trị chung

Giá thành **** * HIDS là hệt thống tiết kiệm

cầu trong LAN rộng,còn HIDS thì không

Băng tần cần yêu

cầu(internet)

** ** Cả hai đều cần băng tần

Internet để cập nhật kịp thờicác file mẫu

Quản lý tập trung ** *** NIDS chiếm ưu thế hơn

Khả năng vô hiệu

hóa các hệ số rủi

ro

* **** NIDS có hệ số rủi ro nhiều

hơn so với HIDS

Loại bỏ gói tin - **** Chỉ các tính năng NIDS mới

cóCác nút phát hiện

nhiều đoạn mạng

LAN

theo nhiều đoạn mạng toàndiện hơn

1.2 Hệ thống ngăn chặn xâm nhập

1.2.1 Khái niệm

Hệ thống ngăn chặn xâm nhập IPS là một kỹ thuật an ninh mới, kết hợpcác ưu điểm của kỹ thuật firewall và hệ thống phát hiện xâm nhập IDS Có khảnăng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó

IPS không đơn giản là dò các cuộc tấn công, chúng có khả năng ngăn chặnhoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện cácbước để ngăn chặn tấn công Phần lớn các hệ thống IPS được đặt ở vành đaimạng, đủ khả năng bảo vệ tất cả các thiết bịtrong mạng

1.2.2 Kiến trúc của hệ thống ngăn chặn xâm nhập

Một hệ thống IPS gồm có 3 module chính:

Module phân tích gói tin

Module phát hiện tấn công

Module phản ứng

Module phân tích gói tin

Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin NICCard của máy tính được giám sát được đặt ở chế độ promiscuous mode, tất cả cácgói tin qua chúng đều được sao chép lại và chuyển lên lớp trên Bộ phân tích góitin đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gì, dịch vụ

gì, sử dụng loại giao thức nào…Các thông tin này được chuyển lên module pháthiện tấn công

Module phát hiện tấn công

Đây là module quan trọng nhất của hệ thống phát hiện xâm nhập, có khảnăng phát hiện ra các cuộc tấn công Có một số phương pháp để phát hiện ra cácdấu hiệu xâm nhập hoặc các kiểu tấn công (signature-based IPS, anomally-basedIPS…)

Phương pháp dò sự lạm dụng :

Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sựkiện giống với các mẫu tấn công đã biết trước Các mẫu tấn công này được gọi làdấu hiệu tấn công Do vậy phương pháp này còn gọi là phương pháp dò dấu hiệu

Phương pháp này có ưu điểm là phát hiện các cuộc tấn công nhanh vàchính xác, không đưa ra các cảnh báo sai dẫn đến làm giảm khả năng hoạt độngcủa mạng và giúp cho người quản trị xác định các lỗ hổng bảo mật trong hệthống của mình Tuy nhiên phương pháp này có nhược điểm là không phát hiệnđược các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, dovậy hệ thống phải luôn luôn được cập nhật các kiểu tấn công mới

Phương pháp dò sự không bình thường:

Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bìnhthường của mạng Quan niệm của phương pháp này về các cuộc tấn công là khácvới các hoạt động bình thường Ban đầu chúng sẽ lưu trữ các mô tả sơ lược vềcác hoạt động bình thường của hệ thống Các cuộc tấn công sẽ có những hànhđộng khác so với bình thường và phương pháp này có thể nhận dạng ra Có một

số kỹ thuật dò sự không bình thường của các cuộc tấn công:

Phát hiện mức ngưỡng: kỹ thuật này nhấn mạnh việc đo điểm các hoạtđộng bình thường trên mạng Các mức ngưỡng về các hoạt động bình thườngđược đặt ra Nếu có sự bất thường nào đó, ví dụ như đăng nhập vào hệ thống quá

số lần qui định, số lượng một loại gói tin được gửi quá mức…Thì hệ thống chorằng có dấu hiệu của sự tấn công

Phát hiện nhờ quá trình tự học: kỹ thuật này bao gồm hai bước, khi bắtđầu thiết lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo hồ sơ vềcách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệthống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bấtthường của mạng bằng cách so sánh với hồ sơ đã được tạo

Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ

sơ của mình nhưng nếu dò ra các dấu hiệu của tấn công thì chế độ tự học phảidừng lại cho đến khi cuộc tấn công kết thúc

Pháp hiện sự không bình thường của giao thức:

Kỹ thuật này căn cứ vào hoạt động của giao thức, các dịch vụ của hệthống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấuhiệu của sự xâm nhập Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hìnhthức quét mạng, quét cổng để thu thập thông tin hệ thống của hacker

Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trongviệc phát hiện các kiểu tấn công từ chối dịch vụ DoS Ưu điểm của phương phápnày là có thể phát hiện các kiểu tấn công mới, cung cấp thông tin hữu ích bổ sungcho phương pháp dò sự lạm dụng Tuy nhiên, chúng có nhược điểm là thườnggây ra các cảnh báo sai làm giảm hiệu suất hoạt động của mạng

Module phản ứng

Khi có dấu hiệu của sự tấn công hoặc xâm nhập, module phát hiện tấncông sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phảnứng Lúc đó module phản ứng sẽ kích hoạt firewall thực hiện chức năng ngănchặn cuộc tấn công Tại module này, nếu chỉ đưa ra các cảnh báo tới các ngườiquản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị

động Module phản ứng này tùy theo hệ thống mà có các chức năng khác nhau.Dưới đây là một số kỹ thuật ngăn chặn:

Terminate session:

Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập lại cuộcgiao tiếp tới cả client và server Kết quả cuộc giao tiếp sẽ được bắt đầu lại, cácmục đích của hacker không đạt được, cuộc tấn công bị dừng lại Tuy nhiênphương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích

là quá lâu so với thời gian gói tin của hacker đến được victim, dẫn đến reset quáchậm so với cuộc tấn công, phương pháp này không hiệu ứng với các giao thứchoạt động trên UDP như DNS, ngoài ra gói Reset phải có trường sequencenumber (so với gói tin trước đó từ client) thì server mới chấp nhận, do vậy nếuhacker gửi các gói tin với tốc độ nhanh và trường sequence number thay đổi thìrất khó thực hiện được phương pháp này

Drop attack

Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói tinđơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và victim Kiểuphản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tinhợp lệ

Modify firewall polices

Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khicuộc tấn công xảy ra Sự cấu hình lại là tạm thời thay đổi các chính sách điềukhiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị

Real-time Alerting

Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chitiết các cuộc tấn công, các đặc điểm và thông tin về chúng

Log packet

Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log.Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồnthông tin giúp cho module phát hiện tấn công hoạt động

Ba module trên hoạt động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thựchiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thônglượng cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo

Các kiểu tấn công mới ngày càng phát triển đe dọa đến sự an toàn của các

hệ thống mạng Với các ưu điểm của mình, hệ thống IPS dần trở thành không thểthiếu trong các hệ thống bảo mật

1.2.3 Các kiểu IPS được triển khai trên thực tế

Trên thực tế có hai kiểu triển khai IPS là : Promisscuous mode IPS và line IPS

In-Promiscuous mode IPS

Một IPS đứng trên firewall Như vậy luồng dữ liệu vào hệ thống mạng sẽcùng đi qua firewall và IPS IPS có thể kiểm soát luồng dữ liệu vào, phân tích vàphát hiện các dấu hiệu xâm nhập, tấn công Với vị trí này, promiscuous mode IPS

có thể quản lý firewall, chỉ dẫn firewall ngăn chặn các hành động đáng ngờ

Hình 1.5 promiscuous mode IPS

In-line mode IPS

Vị trí IPS đặt trước firewall, luồng dữ liệu phải đi qua chúng trước khi đếnđược firewall Điểm khác chính so với promiscuous mode IPS là có thêm chứcnăng traffic-blocking Điều này làm cho IPS có thể ngăn chặn luồng giao thôngnguy hiểm nhanh hơn promiscuous mode IPS Tuy nhiên khi đặt ở vị trí này làmcho tốc độ luồng thông tin ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt độngtheo thời gian thực Tốc độ hoạt động của hệ thống là một yếu tố vô cùng quantrọng Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộctấn công ngay tức thì Nếu không đáp ứng được điều này thì các cuộc tấn công đãthực hiện xong Hệ thống IPS trở nên vô dụng

Hình 1.6 Inline mode IPS

1.2.4 Công nghệ ngăn chặn xâm nhâp của IPS

Signature-based IPS

Hình 1.7 signature-based IPS

Là tạo ra các Rule gắn liền với những hoạt động xâm nhập tiêu biểu Việctạo ra các signature-based yêu cầu người quản trị phải thật rõ các kỹ thuật tấncông, những mối nguy hại và cần phải biết phát triển những signature để có thể

dò tìm những cuộc tấn công và các mối nguy hại cho hệ thống của mình

Signature-based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện

có Nếu không có sẽ đưa ra những cảnh báo cho người quản trị biết về cuộc tấncông đó Để xác định được một dấu hiệu tấn công thì phải cần biết cấu trúc củakiểu tấn công, signature-based IPS sẽ xem header của gói tin hoặc phần payloadcủa dữ liệu Một signature-based là một tập những nguyên tắc sử dụng để xácđịnh những hoạt động xâm nhập thông thường Những nghiên cứu về những kỹthuật nhằm tìm ra dấu hiệu tấn công, những mẫu và phương pháp để viết ra cácdấu hiệu tấn công Khi càng nhiều phương pháp tấn công và phương pháp khaithác được khám phá, những nhà sản xuất cung cấp bản cập nhật file dấu hiệu.Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả lưu lượngtrên mạng Nếu có dấu hiệu nào trùng với file dấu hiệu thì các cảnh báo đượckhởi tạo

Ưu điểm của Signature-based IPS:

Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấncông đã biết, do đó nếu có sự trùng lặp thì xác suất xảy ra một cuộc tấn công làrất cao Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm hơn kiểu phát hiện sự bấtthường Phát hiện dựa trên dấu hiệu theo dõi những mẫu lưu lượng hay tìm kiếmnhững sự bất thường Thay vào đó nó theo dõi những hoạt động đơn giản để tìm

sự tương xứng với bất kỳ dấu hiệu nào đã được định dạng

Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu, khôngphải những mẫu lưu lượng Hệ thống IPS có thể được định dạng và có thể bắtđầu bảo vệ mạng ngay lập tức Những dấu hiệu trong cơ sở dữ liệu chứa nhữnghoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này Mỗi dấu hiệutrong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độcảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể đượcđịnh dạng cho những dấu hiệu riêng biệt Phát hiện sử dụng sai dễ hiểu cũng như

dễ định dạng hơn những hệ thống phát hiện sự bất thường

File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành độngnào phải được tương xứng cho một tín hiệu cảnh báo Người quản trị bảo mật cóthể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng vàxem xem có cảnh báo nào không

Chính vì phát hiện sử dụng sai dễ hiểu, bổ sung, kiểm tra, do đó nhà quảntrị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thốngIPS của họ

Những nhược điểm của Signature-based IPS :

Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biếtKhông có khả năng phát hiện những sự thay đổi của những cuộc tấn công

đã biết: Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi vớimột vài hệ thống dựa trên sự bất thường Bằng cách thay đổi cách tấn công, một

kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện

Khả năng quản trị cơ sở dữ liệu những dấu hiệu: trách nhiệm của nhà quảntrị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành Đây là côngviệc mất nhiều thời gian cũng như khó khăn.

Những bộ cảm biến phải duy trì tình trạng thông tin: giống như firewall, bộcảm biến phải duy trì trạng thái dữ liệu Hầu hết những bộ cảm biến giữ trạng tháithông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn

Anomaly-based IPS

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạtđộng của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khitìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường

là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thôngthường Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trịbảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường Nhà quảntrị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ranhững bản mô tả sơ lược nhóm người dùng

Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới những hoạt độngcũng như những lưu lượng mạng trên một nhóm người dùng cho trước Nhữngnhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiệnnhững chức năng công việc chung Một cách điển hình, những nhóm sử dụng nênđược chia theo những hoạt động cũng như nguồn tài nguyên mà nhóm đó sử dụng

Một web-server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web,tương tự như đối với mail server Bạn chắc chắn không mong đợi lưu lượngtelnet với web server của mình cũng như không muốn lưu lượng SSH đến mailserver Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau chomỗi dạng dịch vụ có trên mạng của bạn Đa dạng những kỹ thuật được sử dụng

để xây dựng những bản mô tả sơ lược người dùng và nhiều hệ thống IPS có thểđược định dạng để xây dựng những profile của chúng Những phương pháp điểnhình nhằm xây dựng bản mô tả sơ lược nhóm người dùng là lấy mẫu thống kêdựa trên những nguyên tắc và những mạng neural

Một số sản phẩm của IDS/IPS:

Cisco IDS-4235:

Cisco IDS (còn có tên là NetRanger) là một hệ thống NIDS, có khả năngtheo dõi toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện các dấuhiệu xâm nhập

Cisco IDS là một giải pháp riêng biệt, được Cisco cung cấp đồng bộ phầncứng và phần mềm trong một thiết bị chuyên dụng

Giải pháp kỹ thuật của Cisco IDS là một dạng lai giữa giải mã (decode) vàđối sánh (grep) Cisco IDS hoạt động trên một hệ thống Unix được tối ưu hóa vềcấu hình và có giao diện tương tác CLI (Cisco Command Line Interface) quenthuộc của Cisco

ISS Proventia A201:

Proventia A201 là sản phẩm của hãng Internet Security Systems Về mặtbản chất, Proventia không chỉ là một hệ thống phần mềm hay phần cứng mà nó làmột hệ thống các thiết bị được triển khai phân tán trong mạng được bảo vệ Một

hệ thống Proventia bao gồm các thành phần sau:

Instrusion Protection Appliance: Là trung tâm toàn bộ hệ thống Proventia

Nó lưu trữ các cấu hình mạng, các dữ liệu đối sánh cũng như các quy định vềchính sách hệ thống Về bản chất, nó là một phiên bản Linux với các driver thiết

bị mạng được xây dựng tối ưu cũng như các gói dịch vụ được tối ưu hóa

Proventia Network Agent: đóng vai trò như các bộ cảm biến (sensor) Nóđược bố trí tại những vị trí nhạy cảm trong mạng nhằm theo dõi toàn bộ lưuthông mạng và phát hiện những nguy cơ xâm nhập tiềm ẩn

SiteProventia: Là trung tâm điều khiển của hệ thống Proventia Đây là nơingười quản trị mạng điều khiển toàn bộ cấu hình cũng như hoạt động của hệ thống

Với giải pháp của Proventia, các thiết bị sẽ được triển khai sao cho phùhợp với cấu hình của từng mạng cụ thể để có thể đạt được hiệu quả cao nhất

NFR NID-310:

NFR là sản phẩm của NFR Security Inc Cũng giống như Proventia, NFRNID là một hệ thống hướng thiết bị (appliance-based) Điểm đặc biệt trong kiếntrúc của NFR NID là họ các bộ cảm biến có khả năng thích ứng với rất nhiềumạng khác nhau từ mạng 10Mbps đến các mạng gigabits với thông lượng rất lớn

Một điểm đặc sắc của NFR NID là mô hình điều khiển ba lớp Thay vì cácthiết bị trong hệ thống được điều khiển trực tiếp bởi một giao diện quản trị riêngbiệt,NFR cung cấp một cơ chế điều khiển tập trung với các middle-ware làmnhiệm vụ điều khiển trực tiếp các thiết bị

Snort:

Snort là phần mềm IDS mã nguồn mở, được phát triển bới Martin Roesh.Snort đầu tiên được xây dựng trên nền Unix sau đó phát triển sang các nền tảngkhác Snort được đánh giá là IDS mã nguồn mở đáng chú ý nhất với những tínhnăng rất mạnh

1.3 Hiện trạng an ninh mạng tại Việt Nam

Vấn đề bảo đảm an toàn, an ninh thông tin trên môi trường mạng ở ViệtNam ngày càng trở nên nóng bỏng trong bối cảnh việc phổ cập và ứng dụngInternet vào công tác chỉ đạo, quản lý, điều hành và các hoạt động kinh tế-xã hộingày càng cao

Theo thống kê của Trung tâm An ninh mạng BKAV, trong năm 2014 cótới 3.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủyếu thông qua các lỗ hổng trên hệ thống mạng So với năm 2013 (có 2.945website bị tấn công), con số này hầu như không giảm

Thực trạng này cho thấy, an ninh mạng vẫn chưa thực sự được quan tâmtại các cơ quan doanh nghiệp Theo nhận định của các chuyên gia, đa số cơ quandoanh nghiệp của Việt Nam chưa bố trí được nhân sự phụ trách an ninh mạnghoặc năng lực và nhận thức của đội ngũ này chưa tương xứng với tình hình thựctế

Gần đây nhất, đầu năm 2013, tại Mỹ hàng loạt các công ty công nghệ hàngđầu cũng đã bị hacker tấn công như Apple, Facebook, Microsoft Bên cạnh đó,

nhiều tòa báo lớn của Mỹ cũng đã bị hacker liên tiếp tấn công nhắm đánh cắp dữliệu Tại Việt Nam, gần đây nhất là nhiều cuộc tấn công của các hacker vào hàngtrăm website nước nhà.

Hình 1.8 Một website của Việt Nam bị hacker tấn công

Sự việc một lần nữa rung lên hồi chuông báo động về thực trạng mất antoàn an ninh mạng của các cơ quan doanh nghiệp tại Việt Nam, đặc biệt trong bốicảnh thế giới luôn tiềm ẩn nguy cơ một cuộc chiến tranh mạng có thể xảy ra

Thực tế cho thấy hầu như các cuộc tấn công đều gây bất ngờ cho các bên

bị hại, thậm chí có nhiều cuộc tấn công xâm nhập vào hệ thống mà vài tháng saumới bị phát hiện Chính vì vậy, không chỉ Việt Nam mà hầu hết các quốc gia đều

sẽ gặp khó khăn khi gặp phải những cuộc tấn công mạng ở mức độ tinh vi Đểđảm bảo cho một hệ thống được an toàn, cần phải có các yếu tố công nghệ, quytrình và con người Tuy nhiên, thực tế cho thấy, hiện nay các cơ quan doanhnghiệp của Việt Nam gần như không có đầy đủ các yếu tố này khiến xuất hiện rấtnhiều lỗ hổng để tin tặc khai thác, lợi dụng

Trước hết, các cuộc tấn công mạng sẽ ngày càng gia tăng về tính chất,mức độ và sự tinh vi Đối với hệ thống thông tin của các cơ quan, tổ chức hầu hết

phí đầu tư cho lĩnh vực này còn chưa được quan tâm đúng mức và còn bị hạn chế

về nhiều mặt

Mặt khác, nguồn nhân lực quản trị, an ninh, an toàn thông tin cũng đangthiếu hụt trầm trọng, không thể đối phó với lực lượng hacker “hùng mạnh” đượctrang bị “vũ khí tấn công” ngày càng tinh vi, nguy hiểm hơn Đặc biệt là, nhậnthức của người đứng đầu cơ quan doanh nghiệp về vấn đề này còn mơ hồ, chủquan, mất cảnh giác; chưa quan tâm chỉ đạo và đặt vấn đề đảm bảo an ninh, antoàn thông tin vào đúng vị trí vốn có của nó

Để các hệ thống thông tin được an toàn hơn, trước hết, các đơn vị cần phảithay đổi nhận thức về tầm quan trọng của an ninh mạng, từ đó xây dựng kế hoạch

và kinh phí đầu tư cho hệ thống từ quy trình, công nghệ và nâng cao trình độnguồn nhân lực

Về mặt quản lí, Nhà nước cần có tiêu chuẩn bắt buộc về đảm bảo an ninh,

an toàn thông tin để đảm bảo bí mật Nhà nước không bị lộ, lọt, đặc biệt là trongbối cảnh nước ta đang trong quá trình xây dựng "Chính phủ điện tử" Theo đó,yêu cầu tất cả các hệ thống thông tin điện tử của cơ quan Nhà nước, các tổ chứckinh tế, chính trị, xã hội nhạy cảm về an ninh thông tin phải vượt qua bài kiểmtra về an toàn, an ninh mạng do một cơ quan có thẩm quyền xác nhận Từ đó, các

tổ chức sẽ có các hướng dẫn thực hiện theo tiêu chuẩn này để đạt được một mức

an toàn nhất định, hạn chế các lỗ hổng không đáng có để hacker lợi dụng tấncông

Bên cạnh đó, Nhà nước cần có chính sách ưu tiên đầu tư kinh phí, pháttriển nguồn nhân lực an ninh mạng và thúc đẩy các nghiên cứu cũng như sảnphẩm an ninh mạng của Việt Nam

Một trong những xu hướng đáng chú ý trong năm 2014 là sự gia tăng dạngthức tấn công mạng do các chính phủ thù địch nhau tài trợ, kéo theo nguy cơ xảy

ra chiến tranh mạng,đặc biệt là cuộc chiến tranh mạng do Việt Nam và TrungQuốc đang ở mức đáng báo động Công ty Websense đã đưa ra dự báo về 7 xuhướng an toàn bảo mật sẽ diễn ra trong năm tới như sau:

Thứ nhất, các cuộc tấn công sẽ tiếp tục khai thác nền tảng web hợp pháp,bao gồm hàng trăm hệ thống quản lí nội dung mới và nền tảng dịch vụ mới chứkhông chỉ dừng ở các nền tảng IIS và Apache như thời gian qua.

Thứ hai, sẽ có thêm nhiều mối đe dọa liên quan đến các thiết bị di động.Động lực để gia tăng các mối đe dọa này là sự tăng trưởng mạnh ứng dụng đámmây và các công nghệ khác

Thứ ba, cửa hàng trực tuyến, kho ứng dụng (appstore) sẽ chứa nhiều mãđộc hơn, trở thành một “nguồn” phát tán mã độc

Thứ tư, nhận thức về an toàn bảo mật của các tổ chức, doanh nghiệp đượcnâng cao hơn sẽ giúp giảm sự cố do bị tấn công, giảm thiểu nhiều hơn việc phạmsai lầm, nâng cao khả năng phòng tránh các cuộc tấn công

Thứ năm, các dạng tấn công do chính phủ tài trợ sẽ gia tăng ở nhữngchính phủ thù địch nhau, kéo theo nguy cơ xảy ra chiến tranh mạng

Thứ sáu, tội phạm mạng sẽ tấn công nhiều hơn vào môi trường ảo hóa.Thứ bảy, tấn công nhằm vào email sẽ phát triển lên tầm cao mới, bùngphát mạnh phương thức gửi email có chứa liên kết web nhúng, thực chất là cáctrang web giả mạo để người dùng nhầm lẫn, cung cấp các thông tin nhạy cảm chotin tặc Tần suất các cuộc tấn công email dạng này xuất hiện nhiều nhất vào thứ 2

và thứ 6 hàng tuần

Hình 1.9 Nhiều website của Việt Nam gần đây bị hacker tấn công

CHƯƠNG 2 : NGHIÊN CỨU ỨNG DỤNG PHẦN MỀM MÃ NGUỒN MỞ SNORT TRONG IDS/IPS VÀO NGĂN CHẶN VÀ PHÁT HIỆN

XÂM NHẬP MẠNG 2.1 Giới thiệu về Snort

Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn

mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà khôngphải sản phẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theokiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort củamình bằng việc cài đặt hay viết thêm mới các module Cơ sở dữ liệu luật củaSnort đã lên tới hơn 3000 luật và được cập nhật thường xuyên bởi một cộng đồngngười sử dụng Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tinthông thường,Snort còn có thể được cấu hình để chạy như một NIDS

2.2 Kiến trúc của SNORT

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng.Các phần chính đó là:

Module giải mã gói tin (Packet Decoder)

Module tiền xử lý (Preprocessors)

Module phát hiện (detection Engine)

Module log và cảnh báo (Logging and Alerting System)

Module kết xuất thông tin (Output module)

Kiến trúc của Snort được mô tả trong hình sau:

xử lý Khi các cảnh báo được xác định module Kết xuất thông tin sẽ thực hiệnviệc đưa cảnh báo ra theo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vàochi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.

2.2.1 Module giải mã gói tin

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệthống Hình sau mô tả việc một gói tin Ethernet sẽ được giải mã thế nào:

Hình 2.2 Xử lý một gói tin Ethernet

2.2.2 Module tiền xử lý

Module tiền xử lý là một module rất quan trọng đối với bất kỳ một hệthống IDS nào để có thể chuẩn bị gói dữ liệu đưa và cho module Phát hiện phântích

Ba nhiệm vụ chính của các module loại này là:

Kết hợp lại các gói tin: khi một lượng dữ liệu lớn được gửi đi, thông tin sẽkhông đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chiagói tin ban đầu thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các góitin này nó phải thực hiện được các công việc xử lý tiếp.Như ta đã biết khi mộtphiên làm việc của hệ thống diễn ra, sẽ có rất nhiều gói tin được trao đổi trongphiên đó Một gói tin riêng lẻ sẽ không có trạng thái và nếu công việc phát hiệnxâm nhập chỉ dựa hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao.Module tiền xử lý stream giúp Snort có thể hiểu được các phiên làm việc khácnhau từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiện xâm nhập

Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiệnxâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao

server có thể chấp nhận nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URL chấp nhận cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc.Chẳng hạn ta có dấu hiệu nhận dạng “script/iisadmin”, kẻ tấn công có thể vượtqua được bằng cách tùy biến các yêu cầu gửi đến web server như sau:

Phát hiện các xâm nhập bất thường (nonrule /anormal) : các plugin tiền xử

lý dạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khóphát hiện được bằng các luật thông thường hoặc các dấu hiệu bất thường tronggiao thức Các module tiền xử lý dạng này có thể thực hiện việc phát hiện xâmnhập theo bất cứ cách nào mà ta nghĩ ra từ đó tăng cường tính năng cho Snort Ví

dụ, một plugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểmbình thường để rồi khi có thông lượng mạng bất thường xảy ra nó có thể tínhtoán, phát hiện và đưa ra cảnh báo Phiên bản hiện tại của Snort có đi kèm haiplugin giúp phát hiện các xâm nhập bất thường đó là portscan và bo(backboffice) Portscan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việcquét cổng của hệ thống để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống

đã bị nhiễm Trojan backoffice và kẻ tấn công từ xa kết nối tới backoffice thựchiện các lệnh từ xa