Tìm hiều và triển khai hệ thống phát hiện xâm nhập IDS cho trường ĐHSPKT Hưng Yên cơ sở 2

Trong đề tài này chúng em sẽ tìm hiểu và nghiên cứu hệ thống phát hiện xâm nhập– IDS, xây dựng một hệ thống phát hiện xâm nhập hoàn chỉnh bằng việc sử dụng cácphần mềm như: Snort, Mysql,

Trang 2

KHOA CÔNG NGHỆ THÔNG TIN Độc lập – Tự do – Hạnh phúc

ĐỀ TÀI ĐỒ ÁN 5

Họ và tên sinh viên:

Ngành đào tạo: Công nghệ thông tin

Chuyên ngành: Mạng máy tính và truyền thông

Tên đề tài: Tìm hiều và triển khai hệ thống phát hiện xâm nhập IDS cho trường

ĐHSPKT Hưng Yên cơ sở 2

Mục tiêu đề tài:

 Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập củasinh viên ngày càng tốt hơn

 Nghiên cứu, tìm hiểu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS

 Có khả năng triển khai hệ thống phát hiện xâm nhập IDS phù hợp với yêu cầuthực tế khi có điều kiện

Nội dung cần hoàn thành:

- Xây dựng được hệ thống phát hiện xâm nhập cho trường ĐHSPKT Hưng Yên

Thời gian thực hiện: Ngày giao: , ngày hoàn thành:

Người hướng dẫn: Vi Hoài Nam

Trang 3

………

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 1

Trang 4

………

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2

Trang 5

………

MỤC LỤC

Trang 8

 Mở rộng triển khai trên các hệ thống mạng của các công ty, tổ chức, doanhnghiệp.

4 Xây dựng giả thuyết khoa học.

Trong đề tài này chúng em sẽ tìm hiểu và nghiên cứu hệ thống phát hiện xâm nhập– IDS, xây dựng một hệ thống phát hiện xâm nhập hoàn chỉnh bằng việc sử dụng cácphần mềm như: Snort, Mysql, Barnyard2, BASE, Snortnotify…Sau đó chúng em sẽgiả lập các cuộc xâm nhập, tấn công vào hệ thống mạng bằng nhiều phương pháp khácnhau để kiểm tra khả năng phát hiện các cuộc xâm nhập và tấn công trên của hệ thốngphát hiện xâm nhập Qua đó sẽ đánh giá, kiểm tra khả năng phát hiện xâm nhập, cáchthức hoạt động, sự ổn đinh của hệ thống Chỉ ra được sự cần thiết của một hệ thốngphát hiện xâm nhập trong mỗi hệ thống mạng nhằm đảm bảo an toàn, tin cậy, bảo mậtcủa dữ liệu lưu thông trên hệ thống mạng của công ty, tổ chức, doanh nghiệp

5 Nhiệm vụ nghiên cứu đề tài.

 Xây dựng cơ sở lý thuyết tổng quan về hệ thống phát hiện xâm nhập

 Nghiên cứu ứng dụng phần mềm Snort vào hệ thống phát hiện xâm nhập – IDS

 Khảo sát thực trạng, phân tích hệ thống mạng trường ĐHSPKT Hưng Yên cơ

sở 2 qua đó xây dựng hệ thống phát hiện xâm nhập – IDS cho hệ thống mạngcủa nhà trường

 Đề xuất những giải pháp ứng dụng hệ thống phát hiện xâm nhập nhằm mụcđích tăng cường tính bảo mật, độ tin cây, an toàn, ổn định cho hệ thống mạngcủa các công ty, tổ chức, doanh nghiệp

6 Giới hạn của đề tài.

 Thời gian thực hiện: 10 tuần

 Nơi triển khai đề tài: trường ĐHSPKT Hưng Yên cơ sở 2

 Nghiên cứu, tìm hiểu, triển khai hệ thống phát hiện xâm nhập – IDS

7 Phương pháp nghiên cứu.

Để thực hiện đề tài này chúng em sử dụng phương pháp nghiên cứu lý thuyết đểnghiên cứu tài liệu của các tác giả, chuyên gia trong lĩnh vực bảo mật qua đó tìm hiểuđược các khái niệm, chức năng, nguyên lý hoạt động, kiến trúc hệ thống phát hiện xâmnhập – IDS Bên cạnh đó để tăng tính thuyết phục của đề tài chúng em sử dụngphương pháp giả lập để xây dựng hệ thống phát hiện xâm nhập và các cuộc xâm nhập,tấn công vào hệ thống mạng để kiếm tra,đánh giả khả năng hoạt động cũng như độ tin

Trang 9

cậy của hệ thống phát hiện xâm nhập Trong quá trình thực hiện đề tài chúng em cótham khảo ý kiến của các thầy, cô và các bạn trong khoa công nghệ thông tin để đề tàiđược hoàn thiện hơn.

PHẦN II: NỘI DUNG.

1.1 NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT.

1.1.1 Mối đe dọa không có cấu trúc ( Untructured threat).

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thểtải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng có những ngườithích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ Hầuhết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn côngchỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) haynhững người có trình độ vừa phải Hầu hết các cuộc tấn công đó vì sở thích cá nhân,nhưng cũng có nhiều cuộc tấn công có ý đồ xấu Những trường hợp đó có ảnh hưởngxấu đến hệ thống và hình ảnh của công ty Mặc dù tính chuyên môn của các cuộc tấncông dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và làmột mối nguy hại lớn Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năngmạng của công ty Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấncông vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấncông đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống Hay trường hợp khác, chỉ

vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gâyhại nghiêm trọng cho hệ thống

Trang 10

1.1.2 Mối đe dọa có cấu trúc ( Structured threat).

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Không nhưScript Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnhsửa các công cụ hiện tại cũng như tạo ra các công cụ mới Những kẻ tấn công này hoạtđộng độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phứctạp nhằm xâm nhập vào mục tiêu Động cơ của các cuộc tấn công này thì có rất nhiều.Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các

tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê cácchuyên gia để thực hiện các cuộc tấn công dạng structured threat Các cuộc tấn côngnày thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh.Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọngcho hệ thống Một cuộc tấn công structured thành công có thể gây nên sự phá hủy chotoàn hệ thống

1.1.3 Mối đe dọa từ bên ngoài (External threat).

External threat là các cuộc tấn công được tạo ra khi không có một quyền nàotrong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiệncác cuộc tấn công như vậy Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiênchống lại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảmtác động của kiểu tấn công này xuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa

mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa

1.1.4 Mối đe dọa từ bên trong ( Internal threat ).

Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn côngđược thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng củabạn Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trongmạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cậpmạng và dữ liệu bí mật của công ty Hầu hết các công ty chỉ có các tường lửa ở đườngbiên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) vàquyền truy cập server để quy định cho sự bảo mật bên trong Quyền truy cập serverthường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào chomạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình,muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đaicủa mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet Khi vành

Trang 11

đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớtnghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó củamạng, mọi chuyện còn lại thường là rất đơn giản Đôi khi các cuộc tấn công dạngstructured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống.Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công cóthể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty.Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống.

1.2 KHÁI NIỆM VỀ BẢO MẬT.

1.2.1 Khái niệm.

Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu cáckhái niệm về bảo mật Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác cáccuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật nhữngvùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống

1.2.2 Kiến trúc về bảo mật.

Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằmgia tăng độ an toàn cho hệ thống:

 Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạngcủa thực thể liên kết Thực thể đó có thể là người dùng độc lập hay tiến trìnhcủa phần mềm

 Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào cáctài nguyên của hệ thống

 Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi nhữngnhóm không được phép truy nhập Tính cẩn mật yêu cầu dữ liệu trên máy và dữliệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép

 Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nóngăn sự thay đổi dữ liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa vàxem lại thông điệp đã được truyền

 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối vớinhóm được phép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoạitính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài

Trang 12

1.3 CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG VÀ PHÒNG CHỐNG 1.3.1 Các phương pháp xâm nhập hệ thống.

1.3.1.1.Phương thức ăn cắp thống tin bằng Packet Sniffers.

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyểntrên mạng (trên một collision domain) Sniffer thường được dùng cho troubleshootingnetwork hoặc để phân tích traffic Tuy nhiên, do một số ứng dụng gởi dữ liệu quamạng dưới dạng clear text (telnet, FTP, SMTP, POP3, ) nên sniffer cũng là một công

cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó cóthể truy xuất vào các thành phần khác của mạng

1.3.1.2.Phương thức tấn công mật khẩu Password attack.

Các hacker tấn công password bằng một số phương pháp như: brute-forceattack, chương trình Trojan Horse, IP spoofing, và packet sniffer Mặc dù dùng packetsniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường

sử dụng brute-force để lấy user account hơn Tấn công brute-force được thực hiệnbằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần sharetrên server băng phương pháp “thử và sai” passwork

1.3.1.3.Phương thức tấn công bằng Mail Relay.

Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình không chuẩnhoặc Username/ password của user sử dụng mail bị lộ Hacker có thể lợi dụng emailserver để gửi mail gây ngập mạng , phá hoại hệ thống email khác Ngoài ra với hìnhthức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spamcùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc cáccuộc tấn công D.o.S vào một mục tiêu nào đó

1.3.1.4.Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng

là hệ thống quan trọng nhất trong hệ thống máy chủ Việc tấn công và chiếm quyềnđiều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộhoạt động của hệ thống truyền thông trên mạng Hạn chế tối đa các dịch vụ khác trên

hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhậtphiên bản mới có sửa lỗi của hệ thống phần mềm DNS

Trang 13

1.3.1.5.Phương thức tấn công Man-in-the-middle attack.

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng.Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các góimạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuêLeased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạngriên của công ty khách hàng Tấn công dạng này được thực hiện nhờ một packetsniffer

1.3.1.6..Phương thức tấn công để thăm dò mạng.

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin vềmạng khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập đượcthông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiệnbởi các công cụ như DNS queries, ping sweep, hay port scan

1.3.1.7.Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậyđối với mạng Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệtin cậy với hệ thống bên trong firewall Khi bên ngoài hệ thống bị xâm hại, các hacker

có thể lần theo quan hệ đó để tấn công vào bên trong firewall

1.3.1.8.Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã

đã bị đột nhập đi qua firewall Ví dụ, một firewall có 3 inerface, một host ở outside cóthể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside Host

ở DMZ có thể vào được host ở inside, cũng như outside Nếu hacker chọc thủng đượchost trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từhost outside đến host inside

1.3.1.9.Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trongnhững cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm nhưsendmail, HTTP, hay FTP Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này

Trang 14

là chúng sử dụng những port cho qua bởi firewall Ví dụ các hacker tấn công Webserver bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.

1.3.1.10. Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus vàngựa thành Trojan (Trojan horse) Virus là một phần mềm có hại, được đính kèm vàomột chương trình thực thi khác để thực hiện một chức năng phá hại nào đó Trojanhorse thì hoạt động khác hơn Một ví dụ về Trojan horse là một phần mềm ứng dụng

để chạy một game đơn giản ở máy workstation Trong khi người dùng đang mãi mêchơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book.Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả cácđịa chỉ mail có trong address book của user đó

1.3.2 Các phương pháp ngăn ngừa và phát hiện xâm nhập.

1.3.2.1..Phương thức ăn cắp thống tin bằng Packet Sniffers

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment củamạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN Ta có thể cấm packetsniffer bằng một số cách như sau:

 Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-typepassword (OTPs) Kỹ thuật này được thực hiện bao gôm hai yếu tố: personalidentification number ( PIN ) và token card để xác thực một thiết bị hoặc mộtphần mềm ứng dụng Token card là thiết bị phần cứng hoặc phần mềm sản sinh

ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60giây Khách hàng sẽ kết nối password đó với một PIN để tạo ra một passwordduy nhất Giả sử một hacker học được password đó bằng kỹ thuật packetsniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn

 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trongmạng Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trườngmạng Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâmnhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến Kỹ thuậtnày không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm đượctầm ảnh hưởng của nó

 Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trênmạng

Trang 15

 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa Khi đó,nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.Cisco dùng giao thức IPSec để mã hoá dữ liệu.

1.3.2.2.Phương thức tấn công mật khẩu Password attack.

Phương pháp giảm thiểu tấn công password:

 Giới han số lần login sai

 Đặt password dài

 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không antoàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa

1.3.2.3..Phương thức tấn công bằng Mail Relay

Phương pháp giảm thiểu:

 Giới hạn dung lương Mail box

 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật choSMTP server, đặt password cho SMTP

 Sử dụng gateway SMTP riêng

1.3.2.4..Phương thức tấn công hệ thống DNS.

Phương pháp hạn chế:

 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

 Cài đặt hệ thống IDS Host cho hệ thống DNS

 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

1.3.2.5.Phương thức tấn công Man-in-the-middle attack

Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra Nếucác hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa

1.3.2.6.Phương thức tấn công để thăm dò mạng.

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy Ví

dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep,nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu NIDS và HIDSgiúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng

Trang 16

1.3.2.7.Phương thức tấn công Trust exploitation

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khácnhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tàinguyên nào của mạng

1.3.2.8.Phương thức tấn công Port redirection

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó

1.3.2.9.Phương thức tấn công lớp ứng dụng

Một số phương cách để hạn chế tấn công lớp ứng dụng:

 Lưu lại log file, và thường xuyên phân tích log file

 Luôn cập nhật các patch cho OS và các ứng dụng

 Dùng IDS, có 2 loại IDS:

 HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấncông lên server đó

 NISD: xem xét tất cả các packet trên mạng (collision domain) Khi nóthấy có một packet hay một chuỗi packet giống như bị tấn công, nó cóthể phát cảnh báo, hay cắt session đó Các IDS phát hiện các tấn côngbằng cách dùng các signature Signature của một tấn công là một profile

về loại tấn công đó Khi IDS phát hiện thấy traffic giống như mộtsignature nào đó, nó sẽ phát cảnh báo

1.3.2.10. Phương thức tấn Virus và Trojan Horse

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse vàluôn luôn cập nhật chương trình chống virus mới

1.3.3 Sự cần thiết của IDS.

1.3.3.1.Sự giới hạn của các biện pháp đối phó

Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Các công

cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riênglàm hệ thống vẫn có nguy cơ bị tấn công cao Firewall bảo vệ hệ thống Firewall là mộtcông cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (khôngđáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai Nó hạn chế việc truyền thôngcủa hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống Đây

Trang 17

là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể Tuy nhiên,Firewall cũng có những điểm yếu sau:

 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệthống, và không thể chống lại sự đe dọa từ trong hệ thống

 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này

có thể cho phép việc thăm dò điểm yếu

 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điềunày cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truynhập một cách tin cậy và loại bỏ được cơ chế firewall

 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặckhông an toàn gia nhập hoặc rời khỏi hệ thống

 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet Việc sửdụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thôngđầu cuối các dữ liệu quan trọng Nhóm mã hóa với việc xác thực khóa côngkhai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối,

sự tin cậy và toàn vẹn dữ liệu

Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên, các dữ liệu có

mã hóa chỉ an toàn với những người không được xác thực Việc truyền thông sẽ trởnên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng PKI

có vai trò như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mãhóa công khai để bảo đảm an toàn cho dữ liệu Nó cũng tự động xử lý để xác nhận vàchứng thực người dùng hay ứng dụng PKI cho phép ứng dụng ngăn cản các hànhđộng có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự

án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:

 Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thốngchứng chỉ không đồng nhất

 Có quá ít ứng dụng có sử dụng chứng chỉ Các phương thức trên cung cấpkhả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện đượccuộc tấn công đang tiến hành Phát hiện xâm nhập trái phép được định nghĩa

là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đíchxác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”

Trang 18

1.3.3.2.Những cố gắng trong việc hạn chế xâm nhập trái phép

Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạngquy mô lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thểbiết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?”

Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bảnkiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật Ngày nay, hầu hếtcác hệ điều hành, ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra

Tư tưởng cơ bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi.Trong khi đó trong thực tế, quá trình xử lý thủ công đó không thể ứng dụng được vớiquy mô lớn, sức người có hạn không thể kiểm tra lại được tất cả các log để tìm điểmnghi vấn Ví dụ như vào năm 1984, hệ thống Clyde Digital phát triển một sản phẩm làAUDIT, có nhiệm vụ tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn.Vào năm 1987, một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại StanfordResearch Institute thực hiện đọc audit trail và tạo ra khuôn mẫu những hành độngthông thường, sau đó gửi thông báo về những hành động lệch so với khuôn mẫu đó.Trong suốt những năm đầu của thập kỷ 90, cố gắng phát hiện xâm nhập trái phép tậptrung vào việc phân tích các sự kiện có trong audit trail Tuy nhiên, hầu hết các công tykhông thể sử dụng được phương pháp phân tích log này vì hai lý do chính Thứ nhất làcông cụ đó khá nặng, phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu củangười dùng Với sự tăng trưởng của số người dùng, hệ điều hành, ứng dụng, cơ sở dữliệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi

từ chối dịch vụ Do đó, các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay

vô hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và duy trì đủ hiệu suất Nửacuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới đểquản lý, như router, network traffic monitor, và firewall Tuy hệ phương pháp IDS đãphát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta antoàn với sự dùng sai, và làm sao để theo dõi và phản ứng khi ta bị tấn công?” Scanner,các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảomật trước khi bị tấn công Chúng có thể làm được điều đó dựa trên việc tìm khiếmkhuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, những hệthống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung Các công cụ này

có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cung

Trang 19

cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng Chúng

có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật củacông ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết cácscanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cáchthủ công Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành,server hay ứng dụng mới vào mạng Cũng như các công cụ kiểm tra biên bản, scanner

và các công cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do dựa trênhoạt động của con người và các ràng buộc bảo mật có tính chuyên môn cho một tổchức Ta có một chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý đượcnó” Một lợi ích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cảvới độ lệch trong bảo mật và biểu đồ thông tin Nó có thể được sử dụng để xác địnhhiệu quả thực tế của bảo mật và dự đoán hiện tại cũng như tương lai

1.4 KHÁI NIỆM IDS.

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thốngphần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạtđộng khả nghi và cảnh báo cho hệ thống, nhà quản trị IDS cũng có thể phân biệt giữanhững tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn công

từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy

cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt đểphát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

1.5 CHỨC NĂNG IDS.

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏinhững đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi chocác nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừkhi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung nhữngđiểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào chomọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống

Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa

ra vài lý do tại sao nên sử dụng hệ thống IDS:

Trang 20

 Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệutrong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợppháp hoặc phá hoại dữ liệu.

 Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài Bảo vệ tính khảdụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin củangười dùng hợp pháp

 Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của

hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy cập thông tin bất hợp pháp

 Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa…

Nói tóm lại có thể tóm tắt IDS như sau:

- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ:

Giám sát: lưu lượng mạng và các hoạt động khả nghi

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấncông bên ngoài Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết

hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.

Phát hiệnHình 1: Chức năng IDS

Chính sách phát hiện

Hệ thống thông tin

Hệ thống đáp trả

phân tích

Trang 21

Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:

- Ngăn chặn sự gia tăng của những tấn công

- Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

- Đánh giá chất lượng của việc thiết kế hệ thống

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng

1.6 NGUYÊN TẮC HOẠT ĐỘNG CỦA IDS

1.7 KIẾN TRÚC IDS.

Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thànhphần thu thập gói tin (information collection), thành phần phân tích gói tin

(detection) và thành phần phản hồi (respotion) Trong ba thành phần này, thành

phần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quanquyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thống

phát hiện xâm nhập

Hình 2: Kiến trúc IDS

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu Bộ tạo sự kiện.Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọcthông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một sốchính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thốnghoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu

Trang 22

trong hệ thống được bảo vệ hoặc bên ngoài.

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không

tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể

phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chínhsách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công,

profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó,

cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với

module đáp trả Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu vềcác xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường

lửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn,tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu

trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng đượcbảo vệ

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong

vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra Tạo phân tích bướcđầu và thậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáođến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của

IDS DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang

bị sự phát hiện các tấn công phân tán Các vai trò khác của tác nhân liên quan đếnkhả năng lưu động và tính roaming của nó trong các vị trí vật lý Thêm vào đó, cáctác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó.Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấncông mới

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác

nhân tự trị cho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra mộtkhía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác

nhân có thể cho biết một số không bình thường các telnet session bên trong hệ

thống nó kiểm tra Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sựkiện khả nghi Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống

khác (tính năng tự trị) Một phần trong các tác nhân, hệ thống có thể có các bộ phậnthu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một

Trang 23

host cụ thể nào đó Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúngđến bộ kiểm tra duy nhất Các bộ kiểm tra nhận thông tin từ các mạng (không chủ

từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán.Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu

1.8 PHÂN LOẠI IDS.

Có hai loại cơ bản là: Network-based IDS và Host-based IDS

1.8.1 Network-base IDS (NIDS)

NIDS là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của cácgói tin lưu thông trên các phương tiện truyền dẫn như (cables, wireless) bằng cách sử dụng các card giao tiếp Khi một gói dữ liệu phù hợp với qui tắc của hệ thống,

một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file log được lưu vào

cơ sở dữ liệu

 Lợi thế của NIDS:

 Quản lý được một phân đoạn mạng (network segment)

 Trong suốt với người sử dụng và kẻ tấn công

 Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng

 Tránh được việc bị tấn công dịch vụ đến một host cụ thể

 Có khả năng xác định được lỗi ở tầng network

Trang 24

Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệthống IDS là phân mảnh dữ liệu gói tin Mỗi giao thức có một kích cỡ gói dữ liệu cóhạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu

bị phân mảnh Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu Thứ tự sắp xếp

không thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợplại chúng

Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân

mảnh chồng chéo Một bộ cảm biến không phát hiện được các hoạt động xâm nhậpnếu không sắp xếp gói tin lại một cách chính xác

Hình 3: NIDS

1.8.2 Host-base IDS (HIDS)

HIDS là hệ thống phát hiện xâm nhập được cài đặt trên các máy tính (host).HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việc hoặc máynotebook HIDS cho phép thực hiện một cách linh hoạt trên các phân đoạn mạng

mà NIDS không thực hiện được Lưu lượng đã gửi đến host được phân tích và

chuyển qua host nếu chúng không tiềm ẩn các mã nguy hiểm HIDS cụ thể hơn với

Trang 25

các nền ứng dụng và phục vụ mạnh mẽ cho hệ điều hành Nhiệm vụ chính của

HIDS là giám sát sự thay đổi trên hệ thống HIDS bao gồm các thàng phần chính:

 Ưu điểm của HIDS

 Có khả năng xác định các user trong hệ thống liên quan đến sự kiện

 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

 Có khả năng phân tích các dữ liệu đã được mã hóa

 Cung cấp các thông tin về host trong lúc cuộc tấn công đang diễn ra trênhost

 Hạn chế của HIDS

 Thông tin từ HIDS sẽ không còn đáng tin cậy ngay sau khi cuộc tấn côngvào host này thành công

 Khi hệ điều hành bị thỏa hiệp tức là HIDS cũng mất tác dụng

 HIDS phải được thiết lập trên từng host cần giám sát

 HIDS không có khả năng phát hiện việc thăm dò mạng (Nmap,

Netcat…)

 HIDS cần tài nguyên trên host để hoạt động

 HIDS có thể không phát huy được hiệu quả khi bị tấn công từ chối dịch

vụ DoS

 Đa số được phát triển trên hệ điều hành Window Tuy nhiên cũng có mộtsố

chạy trên Linux hoặc Unix

Vì HIDS cần được cài đặt trên các máy chủ nên sẽ gây khó khăn cho nhà

quản trị khi phải nâng cấp phiên bản, bảo trì phần mềm và cấu hình Gây mất nhiềuthời gian và phứt tạp Thường hệ thống chỉ phân tích được những lưu lượng trên

Trang 26

máy chủ nhận được, còn các lưu lượng chống lại một nhóm máy chủ, hoặc các hànhđộng thăm dò như quét cổng thì chúng không phát huy được tác dụng Nếu máy chủ

bị thỏa hiệp hacker có thể tắt được HIDS trên máy đó Khi đó HIDS sẽ bị vô hiệuhóa

Do đó HIDS phải cung cấp đầy đủ khả năng cảnh báo Trong môi trường hỗntạp điều này có thể trở thành vấn đề nếu HIDS phải tương thích với nhiều hệ điềuhành Do đó, lựa chọn HIDS cũng là vấn đề quan trọng

Hình 4: HIDS

1.9 CÔNG CỤ HỖ TRỢ IDS.

Có 1 số công cụ hỗ trợ cho hệ thống xâm nhập IDS, trong phần này sẽ đề cậpđến bốn công cụ hỗ trợ đó: hệ thống phân tích tổn thương, bộ kiểm tra toàn vẹn dữliệu, honey pots, Padded cell Những thành phần này có thể tăng cường, hỗ trợ, tổ chứcnhư thế nào với hệ thống phát hiện xâm nhập IDS sẽ được làm rõ ở những mục dướiđây

1.9.1 Hệ thống phân tích đánh giá tổn thương

Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị tổnthương) là công cụ kiểm tra xác định liệu có phải một mạng hay host có thể bị tổn

Trang 27

thương tới những sự tấn công được biết Sự đánh giá tổn thương đại diện cho một trường hợp đặc biệt của quá trình phát hiện xâm nhập Những thông tin bao gồm tình trạng hệ thống và hậu qủa của những tấn công được phân tích đánh giá Những thông tin này được tổng hợp phân tích tại tại bộ cảm biến

Sự phân tích đánh giá tổn thương là một kỹ thuật quản lý an toàn rất mạnh và là sự bổ sung thích hợp tới việc sử dụng IDS, không phải như một sự thay thế Cần phải có một

tổ chức tin cậy quản lý những công cụ phân tích đánh giá tổn thương để theo dõi những hệ thống này

 Quá trình phân tích đánh giá tổn thương

Quá trình phân tích đánh giá tồn thương bao gồm những bước sau:

 Lấy 1 mẫu bao gồm tập hợp các thuộc tính của hệ thống

 Kết quả của việc lấy mốc được cất vào một chỗ an toàn

 Kết quả này được so sánh với ít nhất một mẫu trước đó hoặc một mẫu lý tưởng trước đó

 Bất kỳ sự khác nhau giữa hai tập hợp được tổng hợp và báo cáo

 Các kiểu phân tích đánh giá tổn thương

Có hai kiểu phân tích đánh giá tổn thương dành cho Netword-based và host-based:

 Host-based: phân tích đánh giá tổn thương chính là việc đánh giá dữ liệu

của hệ thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác

 Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa

tới hệ thống đích Công việc đánh giá bao gồm ghi chú lại sự phản hồi của

hệ thống hay đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống

1.10 CÁC KỸ THUẬT XỬ LÝ TRONG IDS.

Những bộ kiểm tra toàn vẹn dữ liệu là những công cụ an toàn mà bổ sung IDSs.Chúng tóm lược thông báo hay kiểm tra giải mã cho những dữ liệu và những đối tượngphê bình, so sánh nó với những giá trị tham khảo và việc đặt những dấu hiệu cho sự khác nhau hay thay đổi Việc kiểm tra giải mã sẽ giúp biết nội dung của dữ liệu có bị thay đổi bởi tin tặc hay không Việc thay đổi nội dung có nhiều kỹ thuật nhưng mục đích của tin tặc là gắn những thành phần vào nội dung để làm cầu nối trao đổi thông tin giữa hệ thống và máy của tin tặc hoặc là với mục đích phá hoại

Trang 28

Mặc dù việc kiểm tra những thành phần thay đổi trong nội dung của dữ liệu haycòn gọi là sâu thường xuyên được sự hỗ trợ cập nhật từ những hãng chống virut,

spyware hay trojan nhưng việc cập nhật còn quá chậm so với sự phát triển của những thành phần này

TRONG IDS.

2.1 GIỚI THIỆU CHUNG VỀ SNORT.

Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở.Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sảnphẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theo kiểu module,người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc càiđặt hay viết thêm mới các module Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật vàđược cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thể chạy trênnhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-

UX, AIX, IRIX, MacOS

Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông thường,Snort còn có thể được cấu hình để chạy như một NIDS Snort hỗ trợ khả năng hoạtđộng trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP,PPP, và PF của OpenBSD

2.2 KIẾN TRÚC VÀ CƠ CHẾ HOẠT ĐỘNG CỦA SNORT.

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Cácphần chính đó là:

 Môđun giải mã gói tin (Packet Decoder)

 Môđun tiền xử lý (Preprocessors)

 Môđun phát hiện (Detection Engine)

 Môđun log và cảnh báo (Logging and Alerting System)

 Môđun kết xuất thông tin (Output Module)

Kiến trúc của Snort được mô tả trong hình sau:

Trang 29

Hình 5: Kiến trúc của SnortKhi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tinnào di chuyển qua nó Các gói tin sau khi bị bắt được đưa vào Môđun Giải mã gói tin.Tiếp theo gói tin sẽ được đưa vào môđun Tiền xử lý, rồi môđun Phát hiện Tại đây tùytheo việc có phát hiện được xâm nhập hay không mà gói tin có thể được bỏ qua để lưuthông tiếp hoặc được đưa vào môđun Log và cảnh báo để xử lý Khi các cảnh báođược xác định môđun Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúngđịnh dạng mong muốn Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động vàchức năng của từng thành phần.

2.2.1 Môđun giải mã gói tin (Packet Decoder)

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệthống Hình sau mô tả việc một gói tin Ethernet sẽ được giải mã thế nào:

Trang 30

Hình 6: Giải mã gói tinMột gói tin sau khi được giải mã sẽ được đưa tiếp vào môđun tiền xử lý.

2.2.2 Môđun tiền xử lý (Preprocessors)

Môđun tiền xử lý là một môđun rất quan trọng đối với bất kỳ một hệ thống IDSnào để có thể chuẩn bị gói dữ liệu đưa và cho môđun Phát hiện phân tích Ba nhiệm vụchính của các môđun loại này là:

Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽkhông đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia gói tinban đầu thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này nóphải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu, từ đó mớithực hiện được các công việc xử lý tiếp Như ta đã biết khi một phiên làm việc của hệthống diễn ra, sẽ có rất nhiều gói tin đuợc trao đổi trong phiên đó Một gói tin riêng lẻ

sẽ không có trạng thái và nếu công việc phát hiện xâm nhập chỉ dựa hoàn toàn vào góitin đó sẽ không đem lại hiệu quả cao Module tiền xử lý stream giúp Snort có thể hiểu

Trang 31

được các phiên làm việc khác nhau (nói cách khác đem lại tính có trạng thái cho cácgói tin) từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiện xâm nhập.

Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâmnhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao thức có

dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau Ví dụ: một web server có thểchấp nhận nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URLchấp nhận cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc Chẳng hạn ta có dấuhiệu nhận dạng “scripts/iisadmin”, kẻ tấn công có thể vượt qua được bằng cách tùybiến các yêu cấu gửi đến web server như sau:

Phát hiện các xâm nhập bất thường (nonrule /anormal): các plugin tiền xử lýdạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khó phát hiệnđược bằng các luật thông thường hoặc các dấu hiệu bất thường trong giao thức Cácmôđun tiền xử lý dạng này có thể thực hiện việc phát hiện xâm nhập theo bất cứ cáchnào mà ta nghĩ ra từ đó tăng cường thêm tính năng cho Snort Ví dụ, một plugin tiền

xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểm bình thường để rồi khi cóthông lượng mạng bất thường xảy ra nó có thể tính toán, phát hiện và đưa ra cảnh báo(phát hiện xâm nhập theo mô hình thống kê) Phiên bản hiện tại của Snort có đi kèmhai plugin giúp phát hiện các xâm nhập bất thường đó là portscan và bo (backoffice).Portcan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việc quét các cổng của hệthống để tìm lỗ hổng Bo dùng để đưa ra cảnh báo khi hệ thống đã bị nhiễm trojanbackoffice và kẻ tấn công từ xa kết nối tới backoffice thực hiện các lệnh từ xa

Trang 32

2.2.3 Môđun phát hiện (Detection Engine)

Đây là môđun quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện cácdấu hiệu xâm nhập Môđun phát hiện sử dụng các luật được định nghĩa trước để sosánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không Rồitiếp theo mới có thể thực hiện một số công việc như ghi log, tạo thông báo và kết xuấtthông tin

Một vấn đề rất quan trọng trong môđun phát hiện là vấn đề thời gian xử lý cácgói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rất nhiềucác luật xử lý Có thể mất những khoảng thời gian khác nhau cho việc xử lý các gói tinkhác nhau Và khi thông lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặc khôngphản hồi được đúng lúc Khả năng xử lý của môđun phát hiện dựa trên một số yếu tốnhư: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải trên mạng Một số thửnghiệm cho biết, phiên bản hiện tại của Snort khi được tối ưu hóa chạy trên hệ thống

có nhiều bộ vi xử lý và cấu hình máy tính tương đối mạnh thì có thể hoạt động tốt trên

cả các mạng cỡ Giga

Một môđun phát hiện cũng có khả năng tách các phần của gói tin ra và áp dụngcác luật lên từng phần nào của gói tin đó Các phần đó có thể là:

 IP header

 Header ở tầng giao vận: TCP, UDP

 Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, …

 Phần tải của gói tin (bạn cũng có thể áp dụng các luật lên các phần dữ liệu được truyền đi của gói tin)

Một vấn đề nữa trong Môđun phát hiện đó là việc xử lý thế nào khi một gói tin

bị phát hiện bởi nhiều luật Do các luật trong Snort cũng được đánh thứ tự ưu tiên, nênmột gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra sẽ là cảnhbáo ứng với luật có mức ưu tiên lớn nhất

2.2.4 Môđun log và cảnh báo (Logging and Alerting System)

Tùy thuộc vào việc môđun Phát hiện có nhận dạng đuợc xâm nhập hay không

mà gói tin có thể bị ghi log hoặc đưa ra cảnh báo Các file log là các file text dữ liệutrong đó có thể được ghi dưới nhiều định dạng khác nhau chẳng hạn tcpdump

Định dạng
Số trang	64
Dung lượng	13,7 MB