Thiết kế và mô phỏng hệ thống phát hiện xâm nhập cho trường phổ thông dân tộc nội trú huyện tuần giáo

Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó không chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên địa chỉ mạng phiên bản 4 - địa ch

LỜI CAM ĐOAN

Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình

Em xin cam đoan đồ án tốt nghiệp này là công trình do chính sức lực bản thân em tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS Trần Duy Minh Em xin cam đoan đồ án này chưa từng được sử dụng để bảo

LỜI CẢM ƠN

Lời đầu tiên, Em xin chân thành cảm ơn Trường Đại Học Công Nghệ Thông Tin và Truyền Thông, Đại Học Thái Nguyên đã tạo điều kiện thuận lợi cho phép em thực hiện đồ án Tốt nghiệp

Đặc biệt, Em xin chân thành cảm ơn tới thầy ThS Trần Duy Minh đã rất tận tình hướng dẫn, chỉ bảo em trong suốt thời gian thực hiện đề tài vừa qua

Em cũng xin chân thành cảm ơn tất cả các thầy, các cô trong bộ môn Mạng

và Truyền Thông và khoa Công nghệ thông tin đã luôn nhiệt tình nhắc nhở, đốc thúc em làm việc chăm chỉ, thầy chỉ bảo và gửi em nhiều bài báo cáo để em tham khảo và hoàn thành đề tài Thầy đã có những góp ý về cả nội dung và trình bày để

em có thẻ hoàn thành báo cáo một cash tốt nhất

Mặc dù em đã cố gắng, nhưng với trình độ còn hạn chế, trong quá trình làm

đề tài không tránh khỏi những thiếu sót Em hy vọng sẽ nhận được những ý kiến nhận xét, góp ý của các thầy cô giáo và bạn bè về những vấn đề được triển khai trong đề tài

Em xin chân thành cảm ơn !

Thái Nguyên, ngày tháng 06 năm 2016

Sinh viên

CHƯƠNG I TỔNG QUAN VỀ ĐỀ TÀI 9

1.1 Tính cấp thiết của đề tài 9

1.2 Mục tiêu của đề tài 10

1.3 Đối tượng phần mềm nghiên cứu 10

1.4 Nội dung nghiên cứu đề tài 10

1.5 Bố cục luận văn 11

1.6 Các công trình nghiên cứu liên quan 12

CHƯƠNG II: CƠ SỞ LÝ THUYẾT 13

2.1 Tổng quan về vấn đề an ninh an toàn mạng máy tính 132.1.1 Đe doạ an ninh từ đâu 13

2.1.2 Các giải pháp cơ bản đảm bảo an ninh 15

2.2 Vấn đề bảo mật trong mạng máy tính 16

2.2.1 Các vấn đề chung về bảo mật hệ thống và mạng 16

2.2.2 Một số khái niệm và lịch sử bảo mật hệ thống 17

2.2.3 Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu.182.3 Tổng quan về hệ thống phát hiện xâm nhập 22

2.3.1 Lịch sử phát triển 22

2.3.2 Kiến trúc hệ thống của IDS/IPS 23

2.3.3 Phân loại IDS/IPS 28

CHƯƠNG III: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ ĐÈ XUẤT GIẢI PHÁP PHÁT HIỆN XÂM NHẬP CHO HỆ THỐNG MẠNG TẠI TRƯỜNG PHỔ THÔNG DÂN TỘC NỘI TRÚ HUYỆN TUẦN GIÁO 33

3.1 Khảo sát thực tế 33

3.1.1 Giới thiệu về trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo 333.1.2 Tình hình tổ chức trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo34

3.1.3 Cơ sở hạ tầng của Phổ thông Dân tộc Nội trú huyện Tuần Giáo 363.1.4 Khảo sát mô hình mạng của Phổ thông Dân tộc Nội trú huyện Tuần Giáo37

3.2 Đặt vấn đề, đánh giá hiện trạng 41

3.3 Lựa chọn giải pháp và xây dựng quy trình phát hiện xâm nhập cho trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo – Điện Biên 42

3.3.1 Lựa chọn giải pháp 42

3.3.2 Thiết kế hệ thống mạng sử dụng IDS Snort 45

3.3.3 Thiết lập các luật trên Snort 47

CHƯƠNG IV: XÂY DỰNG VÀ CÀI ĐẶT CHƯƠNG TRÌNH MÔ PHỎNG

48

4.1 Mô hình triển khai 48

4.2 Xây dựng demo sử dụng IDS Snort cho hệ thống mạng trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo 49

4.2.1 Giám sát các thiết bị trong hệ thống mạng 494.2.2 Phát hiện attack gửi các gói tin đến server 534.2.3 Scan port 55

4.2.4 Phát hiện tấn công từ chối dịch vụ 56

KẾT LUẬN 58

1 Kết quả đạt được 59

2 Hướng phát triển của đề tài 60

TÀI LIỆU THAM KHẢO 61

DANH MỤC HÌNH VẼ

Hình 2.1 Hoạt động của hệ thống IDS/IPS 23

Hình 2.2 Cơ sở hạ tầng hệ thống IDS/IPS24

Hình 2.3 Hệ thống mẫu phát hiện xâm nhập 25

Hình 2.4 Thành phần của kiến trúc IDS 26

Hình 2.5 Các tác nhân tự trị cho việc phát hiện xâm nhập 28

Hình 2.6 Phân loại IDS/IPS29

Hình 2.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng 30

Hình 2.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng 31

Hình 3.1 Sơ đồ tổ chức của trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo

35

Hình 3.2 Sơ đồ mặt bằng tầng 1 của nhà hiệu hộ 36

Hình 3.3 Sơ đồ mặt bằng tầng 2 của nhà hiệu hộ 36

Hình 3.4 Sơ đồ mặt bằng tầng 3 của nhà hiệu hộ 37

Hình 3.5: Sơ đồ logic hệ thống mạng trường PTDTNT huyện Tuần Giáo 37Hình 3.6: Sơ đồ vật lý tầng 1 nhà hiệu bộ 38

PTDTNT huyện Tuần Giáo 48

Hình 4.2: Màn hình Cacti được tích hợp các tính năng theo dõi 49Hình 4.3: Theo dõi hoạt động của Switch Cisco bằng giao diện 50Hình 4.4: Theo dõi trạng thái các thiết bị 50

Hình 4.5: Các cảnh báo chi tiết trên Snort giao diện Web 51

Hình 4.6: Một số dịch vụ chạy trên 1 host52

Hình 4.7: Theo dõi trực quan lưu lượng mạng 52

Hình 4.8: Đồ thị lưu lượng kết nối mạng 53

Hình 4.9: Từ máy hacker ping đến máy chủ 53

Hình 4.10: Các file log được ghi lại server 54

Hình 4.11: Từ máy hacker tiến hành ping đến máy server 54

Hình 4.12: Từ máy hacker scan đến máy chủ 55

Hình 4.13: Các file log được ghi lại tại server 55

Hình 4.14: Máy hacker gửi các gói tin làm nghẽn hệ thống mạng 56Hình 4.15: Các file log được ghi lại server 57

DANH MỤC TỪ VIẾT TẮT

IDS Intrusion Detection System

NIDS Network-base Intrusion Detection SystemHIDS Host-base Intrusion Detection SystemTCP Transmission Control Protocol

UDP User Datagram Protocol

DIDS Distributed Intrusion Detection System

DDOS Distribute deny of service

ICMP Internet Control Message Protocol

PKI Public Key Infrastructure

SDM Security Device Manager

PIN Pesonal Identification Number

SMTP Simple Mail Transfer Protocol

DNS Domain Name System

LỜI NÓI ĐẦU

Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị,

cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn

Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu trước khi đi xây dựng một hệ thống mạng cho người sử dụng Vậy nên việc sử dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an toàn mạng là rất cần thiết Nhằm ngăn chặn các kết nối không mong muốn, giảm nguy

cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình và mã độc hại

Trong bài báo cáo này em xin được trình bày về vấn đề: Thiết kế và mô

phỏng hệ thống phát hiện xâm nhập cho trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo Dù đã cố gắng rất nhiều trong quá trình tìm hiểu và viết báo

cáo, nhưng chắc chắn không thể tránh khỏi những sai lầm và thiếu sót Em rất mong nhận được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cô giáo giúp em hoàn thiện bài hơn

CHƯƠNG I TỔNG QUAN VỀ ĐỀ TÀI

 Tính cấp thiết của đề tài

Vào các thập niên 1960, 1980 và đến thập niên 1990, thuật ngữ mạng diện rộng được phổ biến rộng rãi khởi đầu từ Bộ quốc phòng Hoa Kỳ sau đó thuật ngữ mạng diện rộng - còn được gọi là WAN được biết đến rộng rãi trên toàn thế giới, WAN được định nghĩa đơn giản bao gồm sự kết nối của các máy tính đơn lẻ trên toàn thế giới dựa trên một giao thức kết nối được gọi là TCP/IP

Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó không chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên địa chỉ mạng phiên bản 4 - địa chỉ IP là một bằng chứng cho thấy tốc độ phát triển của mạng máy tính nhanh chóng và trở thành một môi trường tốt phục vụ cho các hoạt động phát triển của nhân loại, song song với điều đó là sự phát triển mạnh mẽ của khoa học công nghệ và hệ thống các tri thức liên quan đến mạng máy tính, các thiết bị thông minh đã và đang ngày càng góp thêm phần phát triển mạnh mẽ và vượt trội của hệ thống mạng trên toàn thế giới Do vậy hệ thống mạng máy tính là một phần tất yếu và vô cùng quan trọng của một quốc gia, một doanh nghiệp hay đơn giản chỉ là một hộ gia đình nhỏ, chúng góp phần vào việc tạo nên những thành công đặc biệt đối với hệ thống mạng quốc gia và hệ thống mạng của các doanh nghiệp vì phần lớn các công việc ngày nay từ giao dịch đến trao đổi thông tin đều dựa trên hệ thống mạng máy tính

Sự phát triển mạnh của hệ thống mạng máy tính cũng là một vùng đất có nhiều thuận lợi cho việc theo dõi và đánh cắp thông tin của các nhóm tội phạm tin học, việc xâm nhập bất hợp pháp và đánh cắp thông tin của các doanh nghiệp đang đặt ra cho thế giới vấn đề làm thế nào để có thể bảo mật được thông tin của doanh nghiệp mình Bảo mật thông tin hay an toàn an ninh mạng là những yếu tố được

quan tâm hàng đầu trong các doanh nghiệp Đã có những doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thống mạng và bảo mật thông tin cho đơn vị mình, cũng có những doanh nghiệp đưa ra các kế hoạch tính toán chi phí cho việc mua sản phẩm phần mềm để nhằm đáp ứng việc bảo mật của đơn vị mình Tuy nhiên đối với những giải pháp đó các doanh nghiệp đều phải thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao cho giải pháp an toàn thông tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thông tin trao đổi được an toàn, bảo vệ thông tin của đơn vị mình trước những tấn công của tội phạm công nghệ từ bên ngoài do vậy mà đề tài xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở được phát triển giúp được phần nào yêu cầu của các doanh nghiệp về an toàn thông tin và bảo mật hệ thống mạng.

 Mục tiêu của đề tài

Đề tài được thực hiện nhằm mục đích:

Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công

Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch, Server

và một số dịch vụ mạng được sử dụng

 Đối tượng phần mềm nghiên cứu

Đối tượng nghiên cứu trong bài đồ án là các chương trình phần mềm mã nguồn mở bao gồm:

+ Các chương trình phần mềm mở phát hiện xâm nhập

+ Các chương trình phần mềm mở phòng chống xâm nhập

+ Các chương trình phần mềm mở giám sát lưu lượng của hệ thống mạng.+ Các chương trình phần mềm mở giám sát thiết bị mạng và các dịch vụ mạng.

 Nội dung nghiên cứu đề tài

Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái phép và giám sát lưu lượng mạng bao gồm;

+ Nghiên cứu các khả năng tấn công mạng

+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống mạng.+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn công mạng.+ Nghiên cứu các khả năng giám sát hoạt động các thiết bị mạng và dịch vụ mạng trong toàn hệ thống mạng

Từ những vấn đề nêu trên đề xuất mô hình giám sát các hoạt động của các thiết bị mạng, phát hiện và phòng chống xâm nhập được tích hợp từ các chương trình mã nguồn mở

Tiến hành xây dựng mô phỏng việc cài đặt giải pháp giám sát hoạt động của các thiết bị mạng, dịch vụ mạng và phát hiện, phòng chống xâm nhập trái phép dựa trên cơ sở các chương trình mã nguồn mở

Trong phần nội dung của bài đồ án tốt nghiệp này, em tập trung nghiên cứu các chương trình phần mềm được cung cấp bằng mã nguồn mở để dựa vào các phần mềm này em xây dựng giải pháp tổng thể việc theo dõi giám sát hệ thống

mạng, các dịch vụ mạng và các dấu hiệu bất thường trong hệ thống mạng nhằm cung cấp cho người quản trị hệ thống mạng có cái nhìn tổng quan về phát hiện và phòng chống xâm nhập mạng trái phép Cụ thể, em đề xuất sử dụng chương trình

mã nguồn mở được cung cấp rộng rãi là Snort để thực nghiệm giải pháp Tạo ra một hệ thống giám sát mạng có khả năng phát hiện và cảnh báo những động thái xâm nhập mạng trái phép, phòng chống tấn công mạng, giám sát hoạt động của các thiết bị mạng trong đó có lưu lượng sử dụng trên thiết bị các thành phần phần cứng trong thiết bị, các dịch vụ được sử dụng trong hệ thống mạng

 Bố cục đồ án

Phần bố cục của luận văn được trình bày thành 4 chương

Chương 1: Phần mở đầu Khái quát chung về tính cấp thiết, mục tiêu của đề tài, các đối tượng và nội dung phần mềm nghiên cứu

Chương 2: Cở sở lý thuyết Giới thiệu bao quát về vấn đề bảo mật mạng và các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng

Chương 3: Khảo sát, đánh giá hiện trạng và đề xuất giải pháp phát hiện xâm nhập hệ thống mạng tại trường phổ thông dân tộc nội trú huyện tuần giáo Đánh giá hiện trạng hệ thống mạng đang sử dụng, các trang thiết bị, cơ sở hạ tầng mạng

và đưa ra giải pháp giúp hệ thống mạng bảo mật tốt hơn, phát hiện các hành vi tấn công mạng nhằm gây tắc nghẽn thông tin trên hệ thống mạng của trường phổ thông dân tộc nội trú huyện tuần giáo

Chương 4: Trong chương này em tập trung phát triển ứng dụng giám sát hệ thống mạng bằng các chương trình mã nguồn mở, đề xuất mô hình mạng và cài đặt

mô phỏng dùng các chương trình mã nguồn mở đã nêu trong đề tài

Đánh giá những mặt đạt được, kết luận và hướng phát triển thêm của đề tài.

 Các công trình nghiên cứu liên quan

 Báo cáo luận văn thạc sĩ kỹ thuật máy tính đề tài “Xây dựng hệ thống hỗ trợ

giám sát mạng” tác giả Nguyễn Đăng Bảo Phúc - Đại học Đà Nẵng tháng 3/2012 Nội dung của luận văn tác giả hướng dẫn cách cài đặt và cấu hình chương trình mã nguồn mở Nagios để theo dõi giám sát một hệ thống mạng kết hợp Gammu để gửi tin nhắn đến quản trị mạng

 Báo cáo tốt nghiệp kỹ sư đề tài “Nghiên cứu hệ thống giám sát quản trị mạng trên nền tảng mã nguồn mở Nagios” bài đăng trên website http://www.hce.edu.vn/hsv/ năm 2008 Nội dung của bài khóa luận tác giả cũng tập trung vào việc hướng dẫn cài đặt và cấu hình chương trình theo dõi giám sát hệ thống mạng dựa trên Nagios

 Báo cáo nghiên cứu khoa học đề tài “Xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở” tác giả nhóm sinh viên Khoa Công nghệ thông tin Đại học

Đà Lạt năm 2010 Nội dung báo cáo là những tìm hiểu ban đầu về cách thức hoạt động của chương trình Nagios và hướng dẫn cài đặt

Báo cáo tốt nghiệp kỹ sư đề tài “ Nghiên cứu triển khai hệ thống giám sát quản trị mạng trên nền tảng mã nguồn mở Nagios” tháng 5/2009 của tác giả Phạm Hồng Khai, ngành Công nghệ thông tin Đại học Quốc gia Hà Nội Nội dung đề tài tác giả tập trung nghiên cứu mô hình giám sát mạng dựa trên

Nagios, khai thác các tính ưu việt của chương trình để cài đặt và đưa vào giám sát hệ thống mạng và áp dụng Snort vào hệ thống.

CHƯƠNG II: CƠ SỞ LÝ THUYẾT

2.1 Tổng quan về vấn đề an ninh an toàn mạng máy tính.

2.1.1 Đe doạ an ninh từ đâu

Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không tách rời, chúng luôn phủ định nhau Có biết bao nhiêu người muốn hướng tới cái chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác lại làm cho cái ác nảy sinh, lấn lướt cái thiện Sự giằng co giữa cái thiện và cái ác

ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại luôn nảy sinh theo thời gian Mạng máy tính cũng vậy, có những người phải mất biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau

Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an ninh cho tổ chức rất rõ ràng Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc khác nhau Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình,

để thoả mãn thói hư ích kỷ Loại người này thường làm hại người khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự của họ Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của người khác như việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng

để chuyển trộm tiền Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào

mạng máy tính toàn cầu đều có một lượng lớn các thông tin kết nối trực tuyến Trong lượng lớn các thông tin ấy, có các thông tin bí mật như: các bí mật thương mại, các kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính hay các thông tin về nhân sự, bí mật riêng tư Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng.

Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện được mục đích của mình Chúng cần phải có thời gian, những sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng Và để thực hiện được điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm

Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn Như thế, cả hai mặt tích cực và tiêu cực ấy đều được thực hiện bởi bàn tay khối óc của con người, không có máy móc nào có thể thay thế được Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con người

Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người

có trí tuệ không nhằm mục đích vụ lợi, xấu xa Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin

bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng Sự phá hoại ấy đã gây

ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm Theo số liệu thống kê của CERT (Computer Emegency Response Team) thì số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994 Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà băng Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng Một phần lớn các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công

Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng Đe doạ bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây

ra Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống.Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lường trước được

Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và

an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo

vệ đảm bảo an ninh, mà trước hết là cho chính mình

2.1.2 Các giải pháp cơ bản đảm bảo an ninh.

Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau:

 Giải pháp về phần cứng

 Giải pháp về phần mềm

 Giải pháp về con người

Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho

tổ chức mình.

Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường đi kèm với nó

là hệ thống phần mềm điều khiển tương ứng Đây là một giải pháp không phổ biến,

vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và chi phí rất cao

Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể các giải pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa, Các phương pháp xác thực và

mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá dưới dạng mà những kẻ“nhòm trộm” không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế phát hiện sự sửa đổi đó Còn phương pháp sửdụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác Bằng cách thiết lập các luật tại một điểm đặc biệt (thường gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật - hay là Internet), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng

Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được Vì như phần trên đã thấy, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết

Ở đây, hành lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà

nước, các văn bản dưới luật, Còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng Các quy định có thể như: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm, Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người.

Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính

mà nó đòi hỏi cả vấn đề chính sách về con người Và vấn đề này cần phải được thực hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảy sinh theo thời gian Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắc chắn hơn

2.2 Vấn đề bảo mật trong mạng máy tính.

2.2.1 Các vấn đề chung về bảo mật hệ thống và mạng.

Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng

Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu

2.2.2 Một số khái niệm và lịch sử bảo mật hệ thống.

 Đối tượng tấn công mạng (intruder)

Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng

và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu

và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép

Một số đối tượng tấn công mạng như:

Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên

Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức…

 Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp…

Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau.Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ

hệ thống hoặc phá hủy hệ thống

 Chính sách bảo mật

Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng

Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng.

2.2.3 Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu.

 Các loại lỗ hổng

Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt

Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:

 Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống

Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này

vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung

đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này

 Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trung bình

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp

pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý.

Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ khi viết chương trình nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:Char first_name; Khai báo này cho phép người sử dụng nhập tối đa 20 ký tự Khi nhập

dữ liệu ban đầu dữ liệu được lưu ở vùng đệm Khi người sử dụng nhập nhiều hơn

20 ký tự sẽ tràn vùng đệm Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến

ta không thể kiểm soát được Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương trình

 Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng

có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của

các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger

 Các hình thức tấn công mạng phổ biến

 Scanner

Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu

về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa.Một kẻ phá hoại sửdụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù ở xa

Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó.Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện

ra Từ đó nó có thể tìm ra điểm yếu của hệ thống

Những yếu tố để một Scanner hoạt động như sau:

+ Yêu cầu thiết bịvà hệ thống: Môi trường có hỗ trợTCP/IP

+ Hệ thống phải kết nối vào mạng Internet

+ Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng

Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu

dưới dạng text Mật khẩu text thông thường sẽ được ghi vào một file Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn.

Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - từ đó "bắt" được thông tin

Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast (quảng bá) các gói tin trong mạng Ethernet

Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer

Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng

Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động

ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp

Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:

+ Không cho người lạ truy nhập vào các thiết bị trên hệ thống

+ Quản lý cấu hình hệ thống chặt chẽ

+ Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá

 Trojans

Trojans là một chương trình chạy không hợp lệ trên một hệ thống Với vai trò như một chương trình hợp pháp Trojans này có thể chạy được là do các chương trình hợp pháp đã bị thay đổi mã của nó thành mã bất hợp pháp.

Ví dụ như các chương trình virus là loại điển hình của Trojans Những chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp pháp Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu

sẽ thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: ăn cắp mật khẩu hoặc copy file mà người sử dụng như ta thường không hay biết

Một chương trình Trojans sẽ thực hiện một trong những công việc sau

+Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó

+ Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những Thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống

Ngoài ra còn có các chương trình Trojan có thể thực hiện đựợc cả hai chức năng này Có chương trình Trojan còn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên ổ cứng Nhưng ngày nay các Trojans kiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng

Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua Trojans và kẻ tấn công lấy được quyền root trên

hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệthống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống

 Tổng quan về hệ thống phát hiện xâm nhập

 Lịch sử phát triển

Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây 25 năm nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về

hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong các phòng thí nghiệm và các viện nghiên cứu mạng Đến năm

1997 hệ thống phát hiện xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập mạng

IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention

Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS

là cần thiết, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an

ninh mạng

 Kiến trúc hệ thống của IDS/IPS

 Cơ sở hạ tầng của hệ thống IDS/IPS

Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp

Hình 2.1 Hoạt động của hệ thống IDS/IPS

Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt (Honeypot IDS), cả hai hệ thống thực và giả lập được

liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS) để phát hiện các cuộc tấn công có thể (xâm nhập)

Một khi xâm nhập đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS/IPS , bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức

Hệ thống IDS/IPS là một thành phần của chính sách bảo mật Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể

Hình 2.2 Cơ sở hạ tầng hệ thống IDS/IPS

2.3.2.2 Kiến trúc hệ thống phát hiện xâm nhập

a) Cấu trúc

Sensor / Agent: Giám sát và phân tích các hoạt động “Sensor” thường

được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS

Management Server: Là 1 thiết bị trung tâm dùng thu nhận các thông tin

từ Sensor / Agent và quản lý chúng 1 số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện được

Database server: Dùng lưu trữ các thông tin từ Sensor / Agent hay

Management Server

Console: Là 1 chương trình cung cấp giao diện cho IDS/IPS users /

Admins Có thể cài đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích

b) Kiến trúc của hệ thống IDS/IPS

Hình 2.3 Hệ thống mẫu phát hiện xâm nhập

Trong hệ thống phát hiện xâm nhập, sensor được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện Điều này cũng liên quan một chút nào đó đến các gói mạng

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

+ Thành phần thu thập thông tin (information collection)

+ Thành phần phân tích gói tin (Detection)

+ Thành phần phản hồi (response)

Hình 2.4 Thành phần của kiến trúc IDS

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất

và trong thành phần này sensor đóng vai trò quyết định Sensor được tích hợp với thành phần thu thập dữ liệu Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài

Vai trò của sensor là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành

vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả

Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau được gọi là cấu trúc đa tác nhân Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo

vệ Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các

vị trí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyết định khi nói đến nghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựa trên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 Giải pháp này sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ như một tác nhân có thể cho biết một số thông tin không bình thường của các phiên Telnet bên trong hệ thống nó kiểm tra

Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Các tác nhân có thể được sao chép và thay đổi bên trong các hệ thống khác (tính năng tự trị) Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host

cụ thể nào đó Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến

bộ kiểm tra duy nhất Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán Thêm vào đó, một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu

Hình 2.5 Các tác nhân tự trị cho việc phát hiện xâm nhập

 Phân loại IDS/IPS

Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai

+ Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện

hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là

tấn công

+ Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt

động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép

và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố

Hình 2.6 Phân loại IDS/IPS

 Host-based IDS/IPS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công

có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised

host)

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất

cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập

có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (không phải là tất cả):

Hình 2.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng

 Network Base IDS/IPS (NIDS/IPS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và sensor cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những sensor thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ

lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao

Hình 2.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp

hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích

cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thành vấn

đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác