Nghiên cứu công nghệ IDSIPS và ứng dụng đảm bảo website tại Trung tâm thông tin tư liệu Môi trường

MỤC LỤC LỜI CẢM ƠN 4 DANH MỤC VIẾT TẮT 5 DANH MỤC HÌNH ẢNH 6 CHƯƠNG 1 : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 7 1. Cơ sở thực tiễn của đề tài 7 1.1. Cơ sở khoa học của đề tài 7 1.2. Ý nghĩa thực tiễn của đề tài: 8 2. Nội dung nghiên cứu chính 8 2.1. Mục tiêu của đề tài: 8 2.2. Nội dung của đề tài: 9 3. Phương pháp nghiên cứu 9 3.1. Phương pháp lý thuyết 9 3.2. Phương pháp thực nghiệm 9 4. Phạm vi nghiên cứu 10 CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC TẬP 11 1. Vị trí và chức năng 11 2. Nhiệm vụ và quyền hạn 11 3. Cơ cấu tổ chức 13 CHƯƠNG 3 : GIỚI THIỆU CHUNG VỀ MẠNG MÁY TÍNH VÀ CÁC KIỂU TẤN CÔNG MẠNG THƯỜNG GẶP 15 1. Lịch sử phát triển của mạng máy tính 15 2. Một số kiểu tấn công mạng máy tính phổ biến hiện nay 17 2.1. Tấn công bị động 17 2.2. Tấn công rải rác 17 2.3. Tấn công nội bộ 17 2.4. Tấn công phishing 18 2.5. Tấn công của không tặc 18 2.6. Tấn công bằng mật khẩu 18 2.7. Khai thác lỗ hổng tấn công 18 2.8. Buffer overflow ( Lỗi tràn bộ đệm ) 18 2.9. Lỗi quản trị hệ thống 18 CHƯỜNG 4: NGHIÊN CỨU THÂM NHẬP TRÁI PHÉP VỀ IDSIPS VÀ GIẢI PHÁP PHÒNG CHỐNG 19 1. IDS 19 1.1. Sự ra đời của IDS 19 1.2. Khái niệm 20 1.3. Chức năng 20 1.4. Các loại tấn công 20 1.5. Phân loại IDS 22 1.5.1. Hệ thống phát hiện xâm nhập HostBased( Hostbased IDS). 22 1.5.2. Hệ thống phát hiện xâm nhập NetworkBased( Networkbased IDS) 23 1.5.3. So sánh HIDS và NIDS. 26 1.6. Kiến trúc IDS 29 1.7. Kỹ thuật xử lý dữ liệu IDS 31 2. IPS 32 2.1. Khái niệm 32 2.2. Phát hiện và ngăn ngừa xâm nhập 33 2.2.1. Phát hiện xâm nhập 33 2.2.2. Ngăn ngừa xâm nhập 34 2.2.3. Yêu cầu của IPS trong tương lai 34 2.3. So sánh về IDS và IPS 35 CHƯƠNG 5 : XÂY DỰNG HỆ THỐNG IDSSNORT TRÊN HỆ ĐIỀU HÀNH LINUX 37 1. Giới thiệu chung về hệ thống IDSSnort 37 2. Mô hình hoạt động 38 2.1. Network Intrusion Detection System (NIDS) 38 2.2. Host Intrusion Detection System (HIDS) 39 3. Cấu trúc Snort 39 4. Cài đặt và cấu hình Snort 40

MỤC LỤC

LỜI CẢM ƠN 4

DANH MỤC VIẾT TẮT 5

DANH MỤC HÌNH ẢNH 6

CHƯƠNG 1 : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 7

1 Cơ sở thực tiễn của đề tài 7

1.1 Cơ sở khoa học của đề tài 7

1.2 Ý nghĩa thực tiễn của đề tài: 8

2 Nội dung nghiên cứu chính 8

2.1 Mục tiêu của đề tài: 8

2.2 Nội dung của đề tài: 9

3 Phương pháp nghiên cứu 9

3.1 Phương pháp lý thuyết 9

3.2 Phương pháp thực nghiệm 9

4 Phạm vi nghiên cứu 10

CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC TẬP 11

1 Vị trí và chức năng 11

2 Nhiệm vụ và quyền hạn 11

3 Cơ cấu tổ chức 13

CHƯƠNG 3 : GIỚI THIỆU CHUNG VỀ MẠNG MÁY TÍNH VÀ CÁC KIỂU TẤN CÔNG MẠNG THƯỜNG GẶP 15

1 Lịch sử phát triển của mạng máy tính 15

2 Một số kiểu tấn công mạng máy tính phổ biến hiện nay 17

2.1 Tấn công bị động 17

2.2 Tấn công rải rác 17

2.3 Tấn công nội bộ 17

2.4 Tấn công phishing 18

2.5 Tấn công của không tặc 18

2.6 Tấn công bằng mật khẩu 18

2.7 Khai thác lỗ hổng tấn công 18

2.8 Buffer overflow ( Lỗi tràn bộ đệm ) 18

2.9 Lỗi quản trị hệ thống 18

CHƯỜNG 4: NGHIÊN CỨU THÂM NHẬP TRÁI PHÉP VỀ IDS/IPS VÀ GIẢI PHÁP PHÒNG CHỐNG 19

1 IDS 19

1.1 Sự ra đời của IDS 19

1.2 Khái niệm 20

1.3 Chức năng 20

1.4 Các loại tấn công 20

1.5 Phân loại IDS 22

1.5.1 Hệ thống phát hiện xâm nhập Host-Based( Host-based IDS) 22

1.5.2 Hệ thống phát hiện xâm nhập Network-Based( Network-based IDS) .23

1.5.3 So sánh HIDS và NIDS 26

1.6 Kiến trúc IDS 29

1.7 Kỹ thuật xử lý dữ liệu IDS 31

2 IPS 32

2.1 Khái niệm 32

2.2 Phát hiện và ngăn ngừa xâm nhập 33

2.2.1 Phát hiện xâm nhập 33

2.2.2 Ngăn ngừa xâm nhập 34

2.2.3 Yêu cầu của IPS trong tương lai 34

2.3 So sánh về IDS và IPS 35

CHƯƠNG 5 : XÂY DỰNG HỆ THỐNG IDS-SNORT TRÊN HỆ ĐIỀU HÀNH LINUX 37

1 Giới thiệu chung về hệ thống IDS-Snort 37

2 Mô hình hoạt động 38

2.1 Network Intrusion Detection System (NIDS) 38

2.2 Host Intrusion Detection System (HIDS) 39

3 Cấu trúc Snort 39

4 Cài đặt và cấu hình Snort 40

LỜI CẢM ƠN

Để hoàn thành được đề tài thực tập tốt nghiệp này, trước hết em xin gửi

lời cảm ơn chân thành nhất đến các Cán bộ tại Trung Tâm Thông Tin và Tư

Liệu Môi Trường đã tận tình chỉ bảo và truyền đạt kiến thức cho em Đồng thời

em xin gửi lời cảm ơn đặc biệt về sự chỉ dạy, hướng dẫn tận tình của ThS Trần

Thị Yến đã luôn tận tình hướng dẫn, giúp đỡ em trong suốt thời gian thực hiện

đề tài thực tập

Em cũng xin gửi lời cảm ơn tới Khoa Công nghệ Thông tin – Trường Đại

Học Tài nguyên Môi trường Hà Nội đã luôn quan tâm và tạo điều kiện giúp em

hoàn thành đề tài thực tập tốt nghiệp này Ngoài ra, em xin cảm ơn những người

bạn đã giúp đỡ và trao đổi thêm nhiều thông tin về đề tài trong quá trình thực

hiện đề tài này

Cuối cùng em vô cùng biết ơn gia đình và bạn bè, những người đã luôn

luôn ở bên cạnh em, động viên, chia sẻ với em trong suốt thời gian thực đề tài

thực tập tốt nghiệp “ Nghiên cứu công nghệ IDS/IPS và ứng dụng đảm bảo

website tại Trung tâm thông tin tư liệu Môi trường ”.

Do kiến thức còn hạn chế, bài báo cáo của em không tránh khỏi những sai

sót Rất mong nhận được những lời góp ý từ quý Thầy cô để đề tài thực tập tốt

nghiệp của em được hoàn thiện và giúp em có thêm những kinh nghiệm quý

báu

Cuối cùng, em xin kính chúc các Cán bộ tại Trung Tâm Thông Tin và Tư

Liệu Môi Trường nói chung, các thầy cô khoa công nghệ thông tin Trường đại

học tài nguyên và môi trường nói riêng dồi dào sức khỏe và thành công trong sự

nghiệp cao quý

Hà Nội, tháng 3 năm 2017

Sinh viên thực hiện NGUYỄN VĂN TRƯỜNG

DANH MỤC VIẾT TẮT

IDS Intrusion detection

system

Hệ thống phát hiện xâmphạm

IPS Intrusion Prevention

System

Hệ thống chống xâm nhập

HIDS Host-based IDS Hệ thống phát hiện xâm

nhập Host-BasedNIDS Network-based IDS Hệ thống phát hiện xâm

LAN Local Area Network Mạng máy tính cục bộ

PL Packet Logger Ghi log các gói tin và bộ

nhớInline Nhận các gói tin

DANH MỤC HÌNH ẢNH

Hình 1.1 : Sơ đồ trên biểu diễn kịch bản NIDS điển hình……… 26

Hình 1.2 : Sơ đồ trên biểu diễn HIDS điển hình……….27

Hình 1.3 : Kiến trúc của một hệ thống phát hiện xâm nhập IDS.……… 29

Hình 1.4 : Quá trình hoạt động của hệ thống IDS……… 30

Hình 2.1 : Mô hình triển khai của NIDS……….38

Hình 2.2 : Cấu trúc của Snort……… 39

CHƯƠNG 1 : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU

1 Cơ sở thực tiễn của đề tài

1.1 Cơ sở khoa học của đề tài

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đềđược quan tâm không chỉ ở Việt Nam mà trên toàn thế giới Cùng với sự pháttriển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thốngthông tin càng trở nên cấp thiết hơn bao giờ hết

Trong đó, cần phải nhắc đến là hệ thống phát hiện xâm nhập và hệ thốngngăn chặn xâm nhập mà cách đây hơn 30 năm, khái niệm phát hiện xâm nhậpxuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS vớimục đích là dò tìm, nghiên cứu các hành vi bất thường và thái độ của người sửdụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản

hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiêncứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạngmáy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫnchưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thínghiệm và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệIDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm

1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầucủa công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đãmua lại một công ty cung cấp giải pháp IDS tên là Wheel

Vào năm 2003, Gartner một công ty hàng đầu trong lĩnh vực nghiên cứu

và phân tích thị trường công nghệ thông tin trên toàn cầu đã đưa ra một dự đoángây chấn động trong lĩnh vực an toàn thông tin: “Hệ thống phát hiện xâm nhập(IDS) sẽ không còn nữa vào năm 2005” Phát biểu này dựa trên nhiều phản ánh

là rất khó khăn, tốn kém, không đem lại hiệu quả tương xứng so với đầu tư vàxuất phát từ một số kết quả phân tích, đánh giá cho thấy hệ thống IDS khi đóđang đối mặt với các vấn đề như: IDS thường xuyên đưa ra rất nhiều báo độnggiả (False Positives); là gánh nặng cho quản trị an ninh hệ thống bởi nó cầnđược theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm); kèm theo cáccảnh báo tấn công là một quy trình xử lý an ninh rất vất vả; không có khả năngtheo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trêngiây.

Trước những hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộctấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn

đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ khôngchỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống.Thế hệ sau của IDS là hệ thống tự động phát hiện và ngăn chặn xâm nhập IPSđược ra đời vào năm 2003, ngay sau đó, năm 2004 nó được phổ biến rộng rãi.Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đãdần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con ngườitrong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phầnnào gánh nặng của việc vận hành Hơn nữa trong một số trường hợp đặc biệt,một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặnxâm nhập

Ngày nay, Hệ thống phát hiện và phòng chống xâm nhập (IDPS) đã trởthành một sự bổ sung cần thiết cho cơ sở hạ tầng an ninh của gần như tất cả các

tổ chức

Từ những vấn đề trên, em đã chọn đề tài “Nghiên cứu công nghệ

IDS/IPS và ứng dụng đảm bảo website tại Trung tâm thông tin tư liệu Môi trường ” để làm báo cáo thực tập tốt nghiệp.

1.2 Ý nghĩa thực tiễn của đề tài:

- Làm rõ được bức tranh an toàn mạng hiện nay

- Hiểu được các phương pháp tấn công mạng máy tính hiện nay.

- Giải pháp giúp đơn vị an toàn mạng trong quá trình hoạt động khi thamgia mạng internet toàn cầu

- Có thể là tài liệu tham khảo cho sinh viên các khóa chuyên ngành CNTT

có học tập tại Trường

2 Nội dung nghiên cứu chính

2.1 Mục tiêu của đề tài:

- Nghiên cứu môi trường mạng máy tính

- Nghiên cứu một số phương pháp khai thác mạng và ngăn ngừa mạngphổ biến hiện nay

-Nghiên cứu hệ thống IDS/IPS

- Nghiên cứu một số mã nguồn mở trong triển khai hệ thống IDS/IPS

- Triển khai hệ thống IDS/IPS và ứng dụng tại trung tâm thông tin tư liệuMôi trường

2.2 Nội dung của đề tài:

- Khái quát tổng quan về môi trường an ninh mạng máy tính

- Một số kiểu tấn công mạng máy tính phổ biến hiện nay

-Tổng quan về IDS/IPS

-Kiến trúc hệ thống phát hiện xâm nhập IDS/IPS

-Một số giải pháp phát hiện và ngăn chặn xâm nhập trái phép

-Nghiên cứu mã nguồn mở Snort trong triển khai IDS/IPS

-Xây dựng thực nghiệm áp dụng cụ thể vào trung tâm thông tin tư liệu môi trường

- Đánh giá, tổng kết và hướng đề xuất phát triển của đề tài

3 Phương pháp nghiên cứu

3.1 Phương pháp lý thuyết

- Sau đó tổng hợp, phân tích, tìm ra các ưu nhược điểm của các giải pháprồi lựa chọn vào những giải pháp có hiệu quả.

- Xây dựng một số giải pháp phòng chống và ngăn chặn xâm nhập mạng

3.2 Phương pháp thực nghiệm

- Khảo sát, thu thập, phân tích hiện trạng hệ thống mạng tại trung tâm

- Ứng dụng một số mã nguồn mở như snort, cacti trong việc triển khaiIDS/IPS

- Xây dựng các giải pháp IDS/IPS tại trung tâm

- Đánh giá, kiểm tra kết quả đạt được

4 Phạm vi nghiên cứu

- Nghiên cứu hệ thống IDS/IPS và ứng dụng tại trung tâm thông tin tư liệuMôi trường

CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC

1.2 Trung tâm Thông tin và Tư liệu môi trường có tư cách

Nhà nước và Ngân hàng theo quy định của pháp luật và các quyđịnh hiện hành.

2 Nhiệm vụ và quyền hạn

1.3 Thực hiện thu thập, xây dựng, tích hợp, lưu trữ, thống

kê, quản lý, cập nhật, khai thác, xử lý thông tin, dữ liệu, tư liệu,

cơ sở dữ liệu, thư viện giấy và điện tử, hệ thống thông tin môitrường quốc gia và phát triển ứng dụng công nghệ thông tin và

cơ sở hạ tầng công nghệ thông tin của Tổng cục phục vụ nhiệm

vụ quản lý nhà nước về môi trường

1.4 Thực hiện tổng hợp, cập nhật và cung cấp thông tin,

tư liệu môi trường, công bố thông tin về danh mục dữ liệu môitrường theo quy định của pháp luật và sự phân công của TổngCục trưởng

1.5 Thực hiện việc thiết kế, xây dựng kiến trúc tổng thểcho hệ thống thông tin và cơ sở dữ liệu môi trường, danh mục,chuẩn, cấu trúc cơ sở dữ liệu môi trường; xây dựng chiến lược,quy hoạch phát triển, kế hoạch dài hạn, 5 năm và hàng năm vềứng dụng công nghệ thông tin, xây dựng hệ thống cơ sở dữ liệu,

hệ thống thông tin, thư viện, tư liệu môi trường của Tổng cục

1.6 Tham gia xây dựng báo cáo hiện trạng môi trườngquốc gia, báo cáo chuyên đề về môi trường, báo cáo nhanh hiệntrạng, biến động môi trường và nhận định xu hướng phát triển

về tài nguyên môi trường

1.7 Thực hiện xây dựng quy định, định mức kinh tế - kỹthuật trong lĩnh vực thông tin, tư liệu, thư viện, hệ thống thôngtin, cơ sở dữ liệu, phát triển ứng dụng công nghệ thông tin môitrường

1.8 Kiểm tra, thu nhận sản phẩm các dự án, nhiệm vụ, đềtài triển khai ứng dụng công nghệ thông tin thuộc phạm vi quản

lý của Tổng cục

1.9 Thực hiện các chương trình, đề án, dự án, đề tàinghiên cứu, ứng dụng khoa học công nghệ thuộc lĩnh vực thôngtin, hệ thống thông tin, cơ sở dữ liệu, thư viện, tư liệu, ứng dụngcông nghệ viễn thám phục vụ quản lý nhà nước về môi trườngcủa Tổng cục

1.10 Tổ chức, thực hiện kết nối mạng thông tin, hệ thốngthông tin, cơ sở dữ liệu, thư viện và tư liệu môi trường; đầu mốicung cấp các dịch vụ, tổ chức tập huấn, hướng dẫn nghiệp vụ

kỹ thuật về thông tin, tư liệu, hệ thống thông tin, cơ sở dữ liệumôi trường đối với các đơn vị trực thuộc Tổng cục và các Bộ,ngành và địa phương

1.11 Nghiên cứu và triển khai thực hiện các ứng dụngcông nghệ viễn thám, công nghệ thông tin, hệ thống thông tinđịa lý (GIS), thành lập Atlas, bản đồ, cơ sở dữ liệu, xây dựng cáclớp thông tin môi trường phục vụ nhiệm vụ giám sát tình hìnhbảo vệ môi trường và đa dạng sinh học của Tổng cục

2.10 Tham gia công tác điều tra, khảo sát, thống kê, đánhgiá môi trường, dự báo tình trạng và sức chịu tải của các thànhphần môi trường, cung cấp thông tin về ảnh hưởng của ô nhiễm

và suy thoái môi trường đến con người, sinh vật, nghiên cứu cơ

sở khoa học, pháp lý và thực tiễn phục vụ việc xây dựng cácvăn bản quy phạm pháp luật, chính sách, chiến lược, chươngtrình, quy hoạch, kế hoạch quốc gia về bảo vệ môi trường theokhu vực và vùng trên phạm vi cả nước theo sự phân công củaTổng Cục trưởng

2.11 Tham gia điều tra, nghiên cứu cơ sở khoa học, pháp

lý và thực tiễn phục vụ việc xây dựng các văn bản quy phạmpháp luật, chính sách, chiến lược, chương trình, quy hoạch, kếhoạch quốc gia về bảo vệ môi trường theo sự phân công củaTổng Cục trưởng

2.12 Đầu mối giúp Tổng Cục trưởng về công nghệ thôngtin, ứng dụng công nghệ viễn thám trong môi trường, lập chiếnlược, chính sách, quy hoạch tổng thể mạng lưới thông tin và tưliệu môi trường; thu thập, thu nhận, lưu trữ và quản lý thốngnhất tư liệu, dữ liệu, số liệu điều tra thông tin môi trường, cáckết quả thực hiện đề tài, dự án và nhiệm vụ liên quan đến côngtác bảo vệ môi trường; quản lý hệ thống thông tin, cơ sở dữ liệumôi trường quốc gia, thư viện giấy và điện tử của Tổng cục

2.13 Tham gia hợp tác quốc tế trong các lĩnh vực thôngtin, dữ liệu, tư liệu, công nghệ thông tin, viễn thám, GIS môitrường, mạng lưới cung cấp thông tin và giám sát môi trườngtoàn cầu, ứng phó môi trường, biến đổi khí hậu toàn cầu và cáclĩnh vực khác theo sự phân công của Tổng Cục trưởng

2.14 Thực hiện, tham gia cung cấp các dịch vụ sản xuất,

tư vấn, chuyển giao công nghệ và đào tạo trong các lĩnh vực:công nghệ viễn thám, công nghệ GIS, công nghệ thông tin, xâydựng cơ sở dữ liệu và hệ thống thông tin, tư liệu môi trường chocác tổ chức, cá nhân trong và ngoài nước theo quy định củapháp luật

2.15 Giúp Tổng cục trưởng chỉ đạo và hướng dẫn thựchiện xây dựng, quy trình, quy phạm, quản lý và kiểm tra thựchiện các chương trình, dự án liên quan đến thông tin, hệ thốngthông tin, cơ sở dữ liệu, phần mềm, các quy định về giao nộp,

lưu trữ, thống kê, cung cấp, chia sẻ thông tin và tư liệu môitrường của các cơ quan, tổ chức liên quan.

2.16 Hỗ trợ về kỹ thuật và chuyên môn về ứng dụng côngnghệ thông tin, tư liệu, thông tin, xây dựng cơ sở dữ liệu, hệthống thông tin môi trường, ứng dụng viễn thám trong môitrường, thành lập bản đồ chuyên đề cho các đơn vị trực thuộcTổng cục qua hình thức cử chuyên gia tư vấn và biệt phái cán

bộ tham gia các nhiệm vụ công tác của Tổng cục

2.17 Tổ chức thực hiện cải cách hành chính theo chươngtrình, kế hoạch cải cách hành chính của Tổng cục và phân côngcủa Tổng Cục trưởng

2.18 Quản lý tài chính, tài sản thuộc Trung tâm; thực hiện nhiệm vụ của đơn vị dự toán cấp III trực thuộc Tổng cục theo quy định của pháp luật

2.19 Quản lý tổ chức, biên chế, viên chức, lao động hợpđồng theo quy định

2.20 Thống kê, báo cáo định kỳ và đột xuất tình hình thựchiện nhiệm vụ được giao

2.21 Thực hiện các nhiệm vụ khác do Tổng Cục trưởnggiao

3 Cơ cấu tổ chức

3.1.Văn phòng

3.2.Phòng Thông tin môi trường

3.3.Phòng Tư liệu môi trường

3.4.Phòng Ứng dụng công nghệ viễn thám

3.5.Phòng Cơ sở dữ liệu môi trường

CHƯƠNG 3 : GIỚI THIỆU CHUNG VỀ MẠNG MÁY TÍNH VÀ

CÁC KIỂU TẤN CÔNG MẠNG THƯỜNG GẶP

1 Lịch sử phát triển của mạng máy tính

Vào giữa những năm 50 khi những thế hệ máy tính đầutiên được đưa vào hoạt động thực tế với những bóng đèn điện

tử thì chúng có kích thước rất cồng kềnh và tốn nhiều nănglượng Hồi đó việc nhập dữ liệu vào các máy tính được thôngqua các tấm bìa mà người viết chương trình đã đục lỗ sẵn Mỗitấm bìa tương đương với một dòng lệnh mà mỗi một cột của nó

có chứa tất cả các ký tự cần thiết mà người viết chương trìnhphải đục lỗ vào ký tự mình lựa chọn Các tấm bìa được đưa vàomột "thiết bị" gọi là thiết bị đọc bìa mà qua đó các thông tinđược đưa vào máy tính (hay còn gọi là trung tâm xử lý) và saukhi tính toán kết quả sẽ được đưa ra máy in Như vậy các thiết

bị đọc bìa và máy in được thể hiện như các thiết bị vào ra (I/O)đối với máy tính Sau một thời gian các thế hệ máy mới đượcđưa vào hoạt động trong đó một máy tính trung tâm có thểđược nối với nhiều thiết bị vào ra (I/O) mà qua đó nó có thể thựchiện liên tục hết chương trình này đến chương trình khác

Cùng với sự phát triển của những ứng dụng trên máy tínhcác phương pháp nâng cao khả năng giao tiếp với máy tínhtrung tâm cũng đã được đầu tư nghiên cứu rất nhiều Vào giữanhững năm 60 một số nhà chế tạo máy tính đã nghiên cứuthành công những thiết bị truy cập từ xa tới máy tính của họ.Một trong những phương pháp thâm nhập từ xa được thực hiệnbằng việc cài đặt một thiết bị đầu cuối ở một vị trí cách xa trungtâm tính toán, thiết bị đầu cuối này được liên kết với trung tâm

bằng việc sử dụng đường dây điện thoại và với hai thiết bị xử lýtín hiệu (thường gọi là Modem) gắn ở hai đầu và tín hiệu đượctruyền thay vì trực tiếp thì thông qua dây điện thoại.

Vào giữa những năm 1970, các thiết bị đầu cuối sử dụngnhững phương pháp liên kết qua đường cáp nằm trong một khuvực đã được ra đời Với những ưu điểm từ nâng cao tốc độtruyền dữ liệu và qua đó kết hợp được khả năng tính toán củacác máy tính lại với nhau Để thực hiện việc nâng cao khả năngtính toán với nhiều máy tính các nhà sản xuất bắt đầu xây dựngcác mạng phức tạp Vào những năm 1980 các hệ thống đườngtruyền tốc độ cao đã được thiết lập ở Bắc Mỹ và Châu Âu và từ

đó cũng xuất hiện các nhà cung cấp các dịnh vụ truyền thôngvới những đường truyền có tốc độ cao hơn nhiều lần so vớiđường dây điện thoại Với những chi phí thuê bao chấp nhậnđược, người ta có thể sử dụng được các đường truyền này đểliên kết máy tính lại với nhau và bắt đầu hình thành các mạngmột cách rộng khắp Ở đây các nhà cung cấp dịch vụ đã xâydựng những đường truyền dữ liệu liên kết giữa các thành phố vàkhu vực với nhau và sau đó cung cấp các dịch vụ truyền dữ liệucho những người xây dựng mạng Người xây dựng mạng lúc này

sẽ không cần xây dựng lại đường truyền của mình mà chỉ cần

sử dụng một phần các năng lực truyền thông của các nhà cungcấp

Vào năm 1974 công ty IBM đã giới thiệu một loạt cácthiết bị đầu cuối được chế tạo cho lĩnh vực ngân hàng và thươngmại, thông qua các dây cáp mạng các thiết bị đầu cuối có thểtruy cập cùng một lúc vào một máy tính dùng chung Với việcliên kết các máy tính nằm ở trong một khu vực nhỏ như một tòa

nhà hay là một khu nhà thì tiền chi phí cho các thiết bị và phầnmềm là thấp Từ đó việc nghiên cứu khả năng sử dụng chungmôi trường truyền thông và các tài nguyên của các máy tínhnhanh chóng được đầu tư.

Vào năm 1977, công ty Datapoint Corporation đã bắt đầubán hệ điều hành mạng của mình là "Attached ResourceComputer Network” (hay gọi tắt là Arcnet) ra thị trường MạngArcnet cho phép liên kết các máy tính và các trạm đầu cuối lạibằng dây cáp mạng, qua đó đã trở thành là hệ điều hành mạngcục bộ đầu tiên

Từ đó đến nay đã có rất nhiều công ty đưa ra các sảnphẩm của mình, đặc biệt khi các máy tính cá nhân được sửdụng một cánh rộng rãi Khi số lượng máy vi tính trong một vănphòng hay cơ quan được tăng lên nhanh chóng thì việc kết nốichúng trở nên vô cùng cần thiết và sẽ mang lại nhiều hiệu quảcho người sử dụng

Ngày nay với một lượng lớn về thông tin, nhu cầu xử lýthông tin ngày càng cao Mạng máy tính hiện nay trở nên quáquen thuộc đối với chúng ta, trong mọi lĩnh vực như khoa học,quân sự, quốc phòng, thương mại, dịch vụ, giáo dục Hiện nay

ở nhiều nơi mạng đã trở thành một nhu cầu không thể thiếuđược Người ta thấy được việc kết nối các máy tính thành mạngcho chúng ta những khả năng mới to lớn như:

Sử dụng chung tài nguyên: Những tài nguyên của mạng(như thiết bị, chương trình, dữ liệu) khi được trở thành các tàinguyên chung thì mọi thành viên của mạng đều có thể tiếp cậnđược mà không quan tâm tới những tài nguyên đó ở đâu

Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàngbảo trì máy móc và lưu trữ (backup) các dữ liệu chung và khi cótrục trặc trong hệ thống thì chúng có thể được khôi phục nhanhchóng Trong trường hợp có trục trặc trên một trạm làm việc thìngười ta cũng có thể sử dụng những trạm khác thay thế.

Nâng cao chất lượng và hiệu quả khai thác thông tin: Khithông tin có thể được sữ dụng chung thì nó mang lại cho người

sử dụng khả năng tổ chức lại các công việc với những thay đổi

về chất như:

Đáp ứng những nhu cầu của hệ thống ứng dụng kinhdoanh hiện đại

Cung cấp sự thống nhất giữa các dữ liệu

Tăng cường năng lực xử lý nhờ kết hợp các bộ phận phântán

Tăng cường truy nhập tới các dịch vụ mạng khác nhauđang được cung cấp trên thế giới

Với nhu cầu đòi hỏi ngày càng cao của xã hội nên vấn đề

kỹ thuật trong mạng là mối quan tâm hàng đầu của các nhà tinhọc Ví dụ như làm thế nào để truy xuất thông tin một cáchnhanh chóng và tối ưu nhất, trong khi việc xử lý thông tin trênmạng quá nhiều đôi khi có thể làm tắc nghẽn trên mạng và gây

ra mất thông tin một cách đáng tiếc

Hiện nay việc làm sao có được một hệ thống mạng chạythật tốt, thật an toàn với lợi ích kinh tế cao đang rất được quantâm Một vấn đề đặt ra có rất nhiều giải pháp về công nghệ,một giải pháp có rất nhiều yếu tố cấu thành, trong mỗi yếu tố

có nhiều cách lựa chọn Như vậy để đưa ra một giải pháp hoàn

chỉnh, phù hợp thì phải trải qua một quá trình chọn lọc dựa trênnhững ưu điểm của từng yếu tố, từng chi tiết rất nhỏ.

2 Một số kiểu tấn công mạng máy tính phổ biến hiện nay

2.1 Tấn công bị động

Trong một cuộc tấn công bị động, các hacke sẽ kiểm soát traffic khôngđược mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password),các thông tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác Cáccuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếpkhông được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xácthực như mật khẩu

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấncông có thể xem xét các hành động tiếp theo Kết quả của các cuộc tấn công bịđộng là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà ngườidùng không hề hay biết

2.2 Tấn công rải rác

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door,với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiềucông ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phầnmềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối, Cáccuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản phẩmnhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chứcnăng trên hệ thống

2.3 Tấn công nội bộ

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trongcuộc, chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,…các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sửdụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin

2.4 Tấn công phishing

Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giảtrông “giống hệt” như các trang web phổ biến Trong các phần tấn công phising,các hacker sẽ gửi một email để người dùng click vào đó và điều hướng đến trangweb giả mạo Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker

sẽ lưu lại tên người dùng và mật khẩu đó lại

2.5 Tấn công của không tặc

Trong các cuộc tấn công của không tặc, các hacker sẽ giành quyền kiểmsoát và ngắt kết nối cuộc nói chuyện giữa bạn và một người khác

2.8 Buffer overflow ( Lỗi tràn bộ đệm )

Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới mộtứng dụng nhiều hơn so với dự kiến Và kết quả của cuộc tấn công buffer attack

là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell

CHƯỜNG 4: NGHIÊN CỨU THÂM NHẬP TRÁI PHÉP

VỀ IDS/IPS VÀ GIẢI PHÁP PHÒNG CHỐNG

1 IDS

1.1 Sự ra đời của IDS

- Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện quamột bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dòtìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trongmạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thốngmạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chínhthức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính củakhông lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa đượcphổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm vàviện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầuphát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mớiđược biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công tyISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại mộtcông ty cung cấp giải pháp IDS tên là Wheel

- Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các côngnghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển

- Tại sao Gartner nói: IDS is dead? Vào năm 2003, Gartner- một công tyhàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tintrên toàn cầu- đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toànthông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm2005” Phát biểu này của xuất phát từ một số kết quả phân tích và đánh giá chothấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau:

IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives)

Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liêntục (24 giờ trong suốt cả 365 ngày của năm).

Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả.Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớnhơn 600 Megabit trên giây.Nhìn chung Gartner đưa ra nhận xét này dựa trênnhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vậnhành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tươngxứng so với đầu tư

- Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc

hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồntại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểmsoát và phân tích gói tin của IDS Cụ thể, để cho một hệ thống IDS hoạt độnghiệu quả, vai trò của các công cụ, con người quản trị là rất quan trọng, cần phảiđáp ứng được các tiêu chí sau:

Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiệnbởi các IDS, tường lửa để tránh các báo động giả

Các thành phần quản trị phải tự động hoạt động và phân tích

- Kết hợp với các biện pháp ngăn chặn tự độngKết quả là tới năm 2005,thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đãdần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơnnhiều so với thế hệ trước đó

1.2 Khái niệm

- Intrusion detection system (IDS) - Hệ thống phát hiện xâm phạm: là một

hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng.Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn

đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như sưutập, quét các cổng Một tính năng chính của hệ thống này là cung cấp thông tinnhận biết về những hành động không bình thường và đưa ra các báo cảnh thôngbáo cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó

công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong

tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công

từ hacker)

1.3 Chức năng

- Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ

Giám sát : lưu lượng mạng

Cảnh báo : lưu lượng mạng , các hoạt động khả nghi

Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng :

Phân biệt : “ thù trong giặc ngoài ”

Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặcnhờ vào sự so sánh thông lượng mạng hiện tại với baseline

1.4 Các loại tấn công

- Các loại tấn công được phân thành hai loại như sau:

Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm nhậpvào hệ thống mà không cần đến sự đồng ý của tài nguyên CNTT)

Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tàinguyên CNTT)

- Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn côngđược chia thành:

Bên trong, những tấn công này đến từ chính các nhân viên của công ty,đối tác làm ăn hoặc khách hàng

Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet

- Các loại tấn công có thể bị phát hiện bởi công cụ IDS Các loại tấn côngdưới đây có thể được phân biệt:

Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên Việc bẻ khóa và sự vi phạm truy cập

Trojan horses

Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh chặnthường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống

Sự giả mạo

Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP

Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các gói cụthể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,…

Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát hiện nhưngđôi khi vẫn có thể)

Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về quyền sở hữuLạm dụng tính xác thực; một loại hình tấn công bên trong, ví dụ: nghi ngờsự truy cập của một người dùng xác thực có thuộc tính kỳ lạ (đến từ một địa chỉkhông mong muốn)

Các kết nối mạng trái phép

Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập vàocác trang có hoạt động không lành mạnh

Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc cácquyền truy cập mức cao

Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập)Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền quản trị viên hệthống

Thay đổi và xóa thông tin

Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các sốthẻ tín dụng đã bị mất cắp trên một máy tính của chính phủ

Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ mạng (máychủ)

Từ chối dịch vụ (DoS)