Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System IPS

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, mộtvấn đề được đặt ra là làm

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN

-o0o -ĐỒ ÁN TỐT NGHIỆP

Đề tài

Xây dựng hệ thống chống xâm nhập dựa vào

Intrusion Prevention System - IPS

Sinh viên thực hiện:

TÔ THANH BÌNH – MSSV: 08B1020122

LỜI CẢM ƠN

Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công NghệTp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trong suốt thờigian vừa qua

Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thờigian vừa qua Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại nhữngkiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được

đồ án

Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ ThuậtCông Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang ápdụng vào cuộc sống

Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp

Tô Thanh Bình

Mục Lục

LỜI CẢM ƠN 1

Danh mục từ viết tắt 5

Danh mục hình minh họa 8

Danh mục bảng 10

MỞ ĐẦU 11 Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhập IPS 13

1.1 Giới thiệu hệ thống ngăn chặn xâm nhập 13

1.2 Sơ lược các kiểu tấn công và cách phòng chống 15

1.2.1 Các loại tấn công 15

1.2.2 Các bước tấn công thường gặp 17

1.2.3 Phương pháp tấn công 18

1.2.4 Giải pháp phòng chống 20

1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS 20

1.3.1 Nhận biết qua dấu hiệu - Signature Based 21

1.3.2 Nhận biết qua sự bất thường - Anomaly Based 22

1.3.3 Nhận biết qua chính sách - Policy Based 24

1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based 24

1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập 25

1.4.1 Modul phân tích gói tin 25

1.4.2 Modul phát hiện tấn công 25

1.4.3 Modul phản ứng 27

1.5 Phân loại hệ thống ngăn chặn xâm nhập 28

1.5.1 Network Base 28

1.5.2 Network Behavior Analysis System 30

1.5.3 Host Based 31

1.5.4 Wireless 32

1.7 Các sản phẩm trên thị trường hiện nay 35

Chương 2 Giới thiệu tổng quan thiết bị IOS IPS 36

2.1 Giới thiệu 36

2.1.1 Một vài định nghĩa 36

2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập 37

2.2 Mô hình của hệ thống ngăn chặn xâm nhập 40

2.2.1 IPS ngoài luồng - Promiscous Mode 41

2.2.2 IPS trong luồng - In-line mode 41

2.3 Cấu trúc của Cisco IOS IPS Sensor 42

2.3.1 Signature Definition File - SDF 42

2.3.2 Signature Micro Engine - SME 43

2.4 Các loại dấu hiệu và cảnh báo 43

2.4.1 Các loại dấu hiệu 43

2.4.2 Các loại cảnh báo 46

2.5 Phương pháp quản lý và hạn chế của hệ thống ngăn chặn xâm nhập 48

2.6 Các lệnh trong Cisco IOS IPS 49

2.6.1 Các mode của Command Line Interface 49

2.6.2 Tìm hiểu các luật của Cisco IOS IPS 51

2.7 Các lỗi thường gặp khi cấu hình bằng Comman - Line 55

Chương 3 Mô hình và thực nghiệm 57

3.1 Mô tả thực nghiệm 57

3.2 Hạ tầng mạng thực nghiệm 58

3.3 Một số phần mềm dùng để triển khai 59

3.3.1 Mô tả thiết bị 59

3.3.2 Phần mềm cho PC 59

3.3.3 Mô tả các kết nối 60

3.4 Cấu hình và kiểm thử 61

3.4.1 Cấu hình cho từng thiết bị 61

3.5 Các cuộc tấn công và kết quả thống kê thực nghiệm 76

3.5.1 Tấn công 76

3.5.2 Ngăn chặn 78

3.5.3 Kết quả thống kê thực nghiệm 79

KẾT LUẬN 82

TÀI LIỆU THAM KHẢO 83

Danh mục từ viết tắt

ACL Access Control List Danh sách các câu lệnh

ASDM Adaptive Security Device Manager Chương trình dùng để cấu hình Route CSA Cisco Security Agent Phần mềm bảo mật cho Cisco

AIC Application Inspection and Control

ARP Address Resolution Protocol Giao thức Address Resolution Protocol

IOS Internetwork Operating System

SDM Cisco Security Device Manager Chương trình dùng để cấu hình Cisco

CSM Cisco Security Manager

MARS Security Monitoring, Analysis, and

Response System

Chương trình dùng để cấu hình Cisco

CLI Command Line Interface Giao diện dòng lệnh

CSA Cisco Security Agent

DdoS Distributed Denial of Service Tấn công từ chối dịch vụ

DNS Domain Name System Hệ thống tên miền

DoS Denial-of-service Tấn công từ chối dịch vụ

NBA Network behavior anomaly Dựa trên các dấu hiệu dị thường

FRU Fragment Reassembly Unit Tập hợp các IP fragments

FTP File Transfer Protocol Giao thức truyền dữ liệu

GMT Time-zone-Tame Giờ GMT

HIPS Host-Based Intrusion Prevention

System

HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn bản

HTTPS Hypertext Transfer Protocol

Chương trình dùng để cấu hình IPS

IDP Intrusion Detection and Prevention Ngăn ngừa tấn công và phòng chống

IDS Intrusion Detection System Hệ thống phát hiện xâm nhập

MC Management Center Trung tâm quản lý

IDAPI Intrusion Detection Application

Programming Interface

IPS Intrusion Prention System Hệ thống phát hiện xâm nhập

LDAP Lightweight Directory Access

Protocol

Giao thức ứng dụng truy cập các cấutrúc thư mục

MAC Media Access Control Định danh được gán cho thiết bị mạng

VPN Virtual Path Mạng riêng ảo

NTP Network Time Protocol Nhận dạng kênh ảo trong tế bào

NIPS Network-Base Intrusion

Prevention System

NIC network interface Control

POP Post Office Protocol Giao thức dùng để nhận các thư điện tử

OSI Open Systems Interconnection Mô Hình Mạng OS

SDF Signature Definition file

SME Signature micro-enines

SNMP Simple Network Management

Protocol

Giao thức giám sát và điều khiển thiết

bị mạng

SMTP Simple Mail Transfer Protoco Giao thức truyền tải thư tín đơn giản

TFTP Trivial File Transfer Protoco Giao thức truyền tải file

TLS Transport Layer Security Giao thức bảo vệ và mã hóa dữ liệu

UDP User Datagram Protoco Giao thức cốt lõi của giao thức TCP/IP

UTM Unified Threat Management Quản lí Bảo mật Hợp nhất

VPN Virtual Private Network Mạng riêng ảo

WAN Wide Area Network Mạng diện rộng

WIPS Wireless Intrusion Prevention

System

Hệ thống phòng chống xâm nhập mạngkhông dây

XML eXtensible Markup Language Ngôn ngửi đánh dấu mở rộng

WIDS Wireless Intrusion Detection

System

Hệ thống phát hiện xâm nhập mạngkhông dây

Danh mục hình minh họa

Hình 1-1 Mô hình Snort kết hợp Firewall 14

Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng 15

Hình 1-3 Phương thức nhiễm ARP cache 18

Hình 1-4 Nhận và chuyển Packet 19

Hình 1-5 Sơ đồ tấn công DNS 20

Hình 1-6 Signature Based 21

Hình 1-7 Anomaly Based 23

Hình 1-8 Policy Based 24

Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập 25

Hình 1-10 Mô hình Network Base 28

Hình 1-11 Thành phần của Network Base 29

Hình 1-12 Mô hình Network Behavior Analysis System 31

Hình 1-13 Mô hình Host Based 32

Hình 1-14 Mô hình Wireless 33

Hình 1-15 Mô hình chung 34

Hình 2-1 Các thành phần của Cisco IPS 37

Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn xâm nhập 39

Hình 2-3 Promiscuos mode 41

Hình 2-4 Inline Mode 42

Hình 2-5 Các dấu hiệu Attack 44

Hình 2-6 Các dấu hiệu về giao thức 45

Hình 3-1 Mô hình thực nghiệm 57

Hình 3-2 Sơ đồ hệ thống cần mô phỏng 59

Hình 3-3 Bắt đầu cài GNS3 64

Hình 3-4 Cài WinpCap 64

Hình 3-5 Kết thúc trình cài đặt GNS3 65

Hình 3-6Giao diện chính của GNS3 65

Hình 3-9 SDM Laucher 67

Hình 3-10 Giao diện chính của SDM 68

Hình 3-11 Tính năng IPS trên router 68

Hình 3-12 Thông báo khi chạy IPS 69

Hình 3-13 Danh sách card mạng 69

Hình 3-14 Mô tả cách nạp signature 70

Hình 3-15 Kết thúc các quá trình cấu hình 70

Hình 3-16 Kết thúc quá trình cấu hình 71

Hình 3-17 Nạp file SDF cho IOS IPS 71

Hình 3-18 Card mạng IPS đang theo dõi 72

Hình 3-19 Định nghĩa hành động cho dấu hiệu 72

Hình 3-20 Chỉnh sửa dấu hiệu 73

Hình 3-21 Truy cập HTTP 76

Hình 3-22 Truy cập FTP 76

Hình 3-23 Nmap kiểm tra các port trên server 77

Hình 3-24 IPS bắt gói tin của Hacker 78

Hình 3-25 Chương trình Scanport 80

Hình 3-26 IPS chặn kết nối FTP 81

Danh mục bảng

Bảng 2-1 Tóm tắt các loại dấu hiệu 44

Bảng 2-2 Bảng mô tả chi tiết dấu hiệu 46

Bảng 2-3 Bộ nhớ các dấu hiệu 49

Bảng 2-4 Các dấu hiệu không hỗ trợ 49

MỞ ĐẦU

1 Giới thiệu

Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộcsống Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hếtcác công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày Tuy nhiên, sựphát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóngbỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triểnnhanh nhất trên toàn hành tinh Vì vậy, việc xây dựng một nền an ninh máy tính, thiết

kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sửdụng máy tính không thể thiếu ở nhiều lĩnh vực

Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập IntrusionDetection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường

và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền đểgiám sát tài sản hệ thống mạng Tuy nhiên, gần đây khái niệm ngăn chặn xâm nhập đãxuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhập Intrusion PreventionSystem – IPS đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụngrộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ

ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, mộtvấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ khôngchỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống, ngàynay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS,tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó

Cơ sở hạ tầng CNTT càng phát triển thì vấn đề phát triển mạng lại càng quan trọng,

mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quantrọng Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần đượcquan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì mỗi một mạng phải

tự thiết lập một hệ thống tích hợp IPS của riêng mình Trong luận văn này, chúng ta sẽ

tìm hiểu về cấu trúc một hệ thống IPS và đi sâu tìm hiểu phát triển hệ thống Cisco IPS

để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâmnhập và phòng chống tấn công mạng

2 Mục tiêu đề tài

Đề tài này nghiên cứu các kỹ thuật cơ bản liên quan đến việc xây dựng hệ thốngbảo mật ngăn ngừa xâm nhập dựa trên Cisco Intrusion Prevention System và triểnkhai được ở mức mô hình thực nghiệm

3 Hướng tiếp cận giải quyết

Để thực hiện được mục tiêu đặt ra, luận văn trình bày khá chi tiết công nghệ IPSnói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyêndụng hay trên Router Cisco hỗ trợ IPS

4 Bố cục luận văn

Với mục tiêu và định hướng trên, nội dung của đề tài này được chia làm 3 chương:

Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhập

Giới thiệu công nghệ IPS, các phương pháp và phòng chống tấn công, phân tích sựkhác biệt cơ bản giữa IPS và IDS, các mô hình của hệ thống IPS, cách hoạt động củaIPS và phân loại IPS để đưa ra những ứng dụng mà công nghệ IPS mạng lại

Chương 2 Giới thiệu chung về thiết bị IOS IPS

Trình bày các khái niệm của Cisco IPS, khả năng ứng dụng IPS, tìm hiểu các câulệnh và cách tạo luật trong IOS IPS và những khó khăn mắc phải khi triển khai IPS

Chương 3 Mô phỏng và thực nghiệm

Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏngtrên GNS3 và VMWare

Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhập IPS

1.1 Giới thiệu hệ thống ngăn chặn xâm nhập

Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chứcnăng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng,phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh Hệ thống ngănchặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết địnhliệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiệnhành động thích hợp để bảo vệ hệ thống mạng Trước các hạn chế của hệ thống pháthiện xâm nhập – Intrusion Detection System (IDS), một vấn đề được đặt ra là làm sao

hệ thống có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnhbáo nhằm giảm thiểu công việc của người quản trị Hệ thống ngăn ngừa xâm nhậpđược ra đời vào năm 2003, được phổ biến rộng rải cho đến ngày nay và đã dần dầnthay thế cho hệ thống phát hiện xâm nhập - IDS, bởi nó có thể giảm bớt các yêu cầutác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện cáccuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệthống, tuy nhiên một hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệthống IDS bằng việc ngắt bỏ tính năng ngăn chăn xâm nhập

Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phầncứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo chonhà quản trị biết về an ninh của hệ thống Một số IPS so sánh các gói tin nghe đượctrên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượngmạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thống này gọi

là Signature-Based IPS Đối với việc quan sát lưu lương của hệ thống theo thời gian

và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thốngnày gọi là anomaly-Based IPS Sau đây ta tìm hiểu từng loại hệ thống:

Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâmnhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn

chặn xâm nhập - IPS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiệnnhững cuộc tấn công Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thànhsản phẩm thương mại như Sourcefire, Astaro, …Để cài được snort thì đầu tiên xemxét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần khônggian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủkhá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thìngười quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạonhất Snort có thể chạy trên các hê điều hành như Window, Linux Snort chủ yếu làmột hệ thống phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text

có thể được chỉnh sửa bởi người quản trị, các luật được nhóm thành các kiểu và mỗiloại được lưu trong các file khác nhau

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết hợp Firewall

Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị pháthiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốtnhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp cácloại cảm biến sau đây:

Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sảnphẩm bao gồm Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM-

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhâp

cứng

Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện,phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phầnmềm quảng cáo virus mạng, và lạm dụng ứng dụng Sử dụng Cisco IPS SensorSoftware Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhậpnội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác

Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là mộtphần của giải pháp của Cisco IPS, nó hoạt động kết hợp với các thành phần khác đểbảo vệ dữ liệu

1.2 Sơ lược các kiểu tấn công và cách phòng chống

1.2.1 Các loại tấn công

Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiếnhành những chính sách bảo mật có hiệu quả Những điểm yếu trong bảo mật mạnggồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong cácgiao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,

Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra Lỗi này do cácthiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sửdụng các cấu hình mặc định trên thiết bị như switch, router, modem…Nếu dựa vàohành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:

Tấn công thụ động: Là phương pháp tấn công không tác động đến nội dung thông

điệp được truyền trên mạng mà chỉ lắng nghe và phân tích nội dung của thông điệp, từ

đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tấn công tiếptheo Đối với thông điệp không được mã hoá thì hacker có thể bắt và hiểu được đầy đủnội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với nhữngthông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệptrên đường truyền nhưng việc hiểu đúng nội dung packet không phải là dễ dàng, vì nộidung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nộidung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa Kết quả nhậnđược từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trênmạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dungthông điệp, khoá dùng để mã hóa cho thông điệp,…

Tấn công chủ động: Là phương pháp tấn công can thiệp vào nội dung của thông

điệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thể như các thiết bị,máy tính,… làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu

Có một số cách thức tấn công chủ động như sau:

 Giả mạo xác nhận quyền truy cập - Authentication Spoofing

 Thay đổi nội dung thông điệp - Message Modification

 Phương pháp tấn công qua người trung gian - Man-In-Middle Attack

Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hailoại Tấn công từ bên trong và tấn công từ bên ngoài:

Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng.

Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tinnhiều hơn quyền cho phép

Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các

kết nối truy cập từ xa

1.2.2 Các bước tấn công thường gặp

Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện cácmáy chủ, địa chỉ IP, các dịch vụ mạng, …

Bước 2: Kẻ tấn công sử dụng các thông tin thu thập được từ buớc 1 để tìm kiếmthêm thông tin về lỗ hổng và điểm yếu của hệ thống mạng, các công cụ thường được

sử dụng cho quá trình này là các công cụ quét cổng Scan port, quét IP, dò tìm lỗ hổng.Bước 3: Các lỗ hổng được tìm thấy trong bước 2, kẻ tấn công sử dụng nó để khaithác xâm nhập vào hệ thống, chúng có thể dùng các kỹ thuật như tràn bộ đệm, từ chốidịch vụ DoS

Bước 4: Một khi kẻ tấn công đã xâm nhập được vào hệ thống bước tiếp theo là làmsao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai nhưBackboors, Trojans… và khi đã làm chủ chúng có thể gây ra những nguy hại cho hệthống hoặc đánh cắp thông tin Ngoài ra, chúng có thể sử dụng hệ thống này để tấncông vào các hệ thống khác như tấn công DDoS

Bước 5: Khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập bước tiếp theo

là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ xâm nhập như xóa cáctập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập

Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên, làm sao để nhận biết

hệ thống mạng đang bị tấn công ngay từ hai bước đầu tiên là hết sức quan trọng, ởbước 2 và bước 3 kẻ tấn công thường làm lưu lượng kết nối thay đổi khác với lúcmạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ởbước 3 là xâm nhập thì không dễ dàng đối với kẻ tấn công Do vậy, khi không thể xâmnhập được vào hệ thống để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấncông từ chối dịch vụ DoS hay DDoS để ngăn không cho người dùng hợp lệ truy xuấttài nguyên hệ thống

1.2.3 Phương pháp tấn công

Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công

Kỹ thuật tấn công ARP

Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ gửi gói tin ARP có chứathông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận đượcgói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2giá trị này trùng khớp thì B sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B cho

A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP tableARP cache để dùng cho lần truyền tiếp theo

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache

Kỹ thuật tấn công Man-in-the-middle (MITM):

Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuấtvào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trênmạng

Ví dụ: Lây nhiễm ARP cache như sau:

Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:

A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)

B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)

Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet

H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC làHH:HH:HH:HH:HH:HH Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉMAC= HH:HH:HH:HH:HH:HH

H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC làHH:HH:HH:HH:HH:HH Lúc này ARP table của B sẽ là IP= 10.0.0.2– MAC=HH:HH:HH:HH:HH:HH Khi A cần truyền thông điệp đến B, nó thấy trong ARP table

B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho Hthay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đóđến B

Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên

Như vậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa A và B

mà hai host này không hề hay biết, H có thể thay đổi thông điệp trước khi truyền đếnmáy đích

Ping of Death:

Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qualệnh ping đến máy đích thì hệ thống của họ sẽ bị treo

VD : ping –l 65000

Tấn công từ chối dịch vụ DNS:

Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhânrồi chỉ đến một website B nào đó của hacker Khi máy khách truy cập đến Server A thìthay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chínhhacker tạo ra

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn công DNS

1.2.4 Giải pháp phòng chống

Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ

hệ thống mạng cần thiết, xây dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tườnglửa chống xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trìnhbảo mật để bảo vệ các tài liệu tập tin quan trọng, thường xuyên back-up dữ liệu tuynhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phươngpháp sau: cấu hình đúng tính năng của Antispoof trên router và tường lửa của hệthống, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router vàtường lửa, giới hạn việc đánh giá lưu lượng mạng

1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS

Hiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thứctheo dõi và phân tích Mỗi phương pháp có những lợi điểm và những hạn chế nhất

định Tuy nhiên, mỗi phương pháp đều có thể mô tả thông qua một mô hình tiến trìnhchung tổng quát cho hệ thống ngăn ngừa xâm nhập

1.3.1 Nhận biết qua dấu hiệu - Signature Based

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based

Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngănngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đãđược biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết

rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình MộtSignature Based là những dấu hiệu giám sát tất cả các lưu lượng và so sánh dữ liệuhiện có và đưa ra cảnh báo cho người quản trị biết Ngoài ra, một Signature Based làmột tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thôngthường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhaunhững nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật như các phần mềmdiệt virus

Lợi ích việc dùng dấu hiệu - Signature Based

Những file dấu hiệu được tạo nên từ những phương pháp tấn công đã biết chúngtheo dõi những hoạt động để tìm các dấu hiệu tấn công tương ướng đã được định dạngsẵn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựatrên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ

sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ

thống, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thể đượcngười quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo.Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiềuhạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa đượcbiết, hệ thống ngăn chặn xâm nhập phải biết trước những hoạt động tấn công để nó cóthể nhận ra cuộc tấn công đó, những dạng tấn công mới mà chưa từng được biết haykhám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiệnnhững sự thay đổi của cuộc tấn công đã biết Các File dấu hiệu được cung cấp kèmtheo thiết bị IPS vì thế hacker có thể sử dụng thiết bị đó để kiểm tra, một khi kẻ xâmnhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũngnhư các công cụ tấn công để đánh bại hệ thống ngăn chặn xâm nhập Ngoài ra, nhữngfile dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựatrên sự bất thường, nếu thay đổi cách tấn công kẻ xâm nhập có thể thực hiện cuộc xâmnhập mà không bị phát hiện, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS cái gì làmphát sinh cảnh báo, do đó trách nhiệm của người quản trị là bảo đảm file cơ sở dữ liệuluôn cập nhật thường xuyên.

1.3.2 Nhận biết qua sự bất thường - Anomaly Based

Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướnghay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sựkiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường,

ta có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả

sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như nhữnglưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụngnhư là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người

sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập

sẽ phát sinh cảnh báo Tóm lại, phát hiện dựa trên sự bất thường hay phân tích sơ lượcnhững hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấythì một tín hiệu cảnh báo sẽ được khởi phát

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based

Lợi ích của việc dùng Anomaly Based

Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi đểđạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó, với phương pháp này

kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm phátsinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở dữ liệu và dấuhiệu này luôn thay đổi Phát hiện bất thường có thể phát hiện tấn công từ bên trong, ví

dụ nếu một user nào đó trong hệ thống cố tình truy cập vào IPS để thi hành quản trị thì

hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Adminbiết và có thể khóa hoặc ngăn chặn user đó Ưu điểm lớn nhất của phát hiện dựa trênprofile hay sự bất thường là nó không dựa trên những dấu hiệu đã được định dạng haynhững cuộc tấn công đã biết trước, Profile có thể là động và có thể sử dụng trí tuệnhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc pháthiện những cuộc tấn công chưa được biết trước đây và được dùng để phát hiện nhữngphương pháp tấn công mới mà phương pháp phát hiện bằng dấu hiệu không phát hiệnđược

Hạn chế của việc dùng Anomaly Based

Những hệ thống dựa trên sự bất thường có thể gây ra nhiều cảnh báo nhầm bởi vìchúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việcđịnh nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốtkhi nó định nghĩa những hành động nào là bình thường hành động nào bất bìnhthường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đổi,

ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầucao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.

1.3.3 Nhận biết qua chính sách - Policy Based

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy Based

Policy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có nhữnghành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết

bị trong hệ thống mạng đưa ra các chính sách bảo mật tới hệ thống IPS một cáchchính xác và được phép truy cập vào hay không, một trong những tính năng quantrọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh báo sai.Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản trị hệ thốnggặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cấuhình và quản trị từ xa gặp nhiều hạn chế

1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based

Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhậpcũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giaothức trong gói tin Ví dụ một hacker bắt đầu chạy một chương trình tấn công tới mộtServer, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo mộtRFC

Protocol Analysis Based dò kiểu tấn công trên các giao thức:

 Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không

 Kiểm tra nội dung trong Payload

 Thực hiện cảnh báo những giao thức không bình thường

1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập

Một hệ thống ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa

ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và

chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tíchgói tin, modul phát hiện tấn công và modul phản ứng.

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-9 Kiến trúc chung của hệ thống

ngăn chặn xâm nhập

1.4.1 Modul phân tích gói tin

Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tinnày đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thìchúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từngtrường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các thôngtin này được chuyển đến modul phát hiện tấn công

1.4.2 Modul phát hiện tấn công

Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để pháthiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường

Phương pháp dò sự lạm dụng

Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giốngvới các mẫu tấn công đã biết trước các mẫu này gọi là các dấu hiệu tấn công, do vậyphương pháp này còn được gọi là phương pháp dò dấu hiệu, chúng có ưu điểm là pháthiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảmkhả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật

trong hệ thống Tuy nhiên, phương pháp này có nhược điểm là không phát hiện đượccác cuộc tấn công không có trong cơ sở dữ liệu hay các kiểu tấn công mới cho nên hệthống luôn phải cập nhật các mẫu tấn công thường xuyên.

Phương pháp dò sự không bình thường

Đây là kỹ thuật dò thông minh nhận dạng các hành động không bình thường củamạng cơ chế hoạt động của phương pháp này là tìm sự khác nhau so với các hoạt độngthông thường, ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thườngcủa hệ thống các cuộc tấn công sẽ có những hành động khác thường so với hành độngbình thường và phương pháp dò này có thể nhận dạng được chúng Có một số kỹ thuậtgiúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:

 Phát hiện mức ngưỡng: Kỹ thuật này đo đếm các hoạt động bình thường trên

mạng, nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượngcác tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức thì hệ thống có dấu hiệu bị tấn công

 Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước:

Khi bắt đầu thiết lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ramột hồ sơ, sau thời gian khởi tạo hệ thống sẽ chạy ở chế độ làm việc tiến hành theodõi phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiếtlập, chế độ tự học này có thể chạy song song với chế độ làm việc để cập nhật hồ sơcủa mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tớikhi cuộc tấn công kết thúc

 Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạtđộng của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ,

kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng đểthu thập thông tin của các hacker Phương pháp này rất hữu hiệu trong việc phát hiệncác cuộc tấn công kiểu từ chối dịch vụ, ưu điểm là có thể phát hiện ra các kiểu tấncông mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng,tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng các cảnh báo sai làm

1.4.3 Modul phản ứng

Khi có dấu hiệu của sự tấn công modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu

có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các dấu hiệuthực hiện chức năng ngăn chặn cuộc tấn công Ở modul này, nếu chỉ đưa ra các cảnhbáo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thốngphòng thủ bị động hay còn gọi là hệ thống phát hiện xâm nhập - IDS, modul phản ứngnày tùy theo hệ thống mà có các chức năng khác nhau, dưới đây là một số kỹ thuậtngăn chặn:

Terminate Session

Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin Reset thiết lập lại cuộc giao tiếpgiữa Client và Server, kết quả cuộc giao tiếp sẽ được bắt đầu lại các mục đích củahacker không đạt được và cuộc tấn công bị ngừng lại Tuy nhiên phương pháp này cómột số nhược điểm như thời gian gửi gói tin reset đến đích là quá lâu so với thời giangói tin của hacker đến được Victim dẫn đến reset quá chậm so với cuộc tấn công,phương pháp này không ứng với các giao thức hoạt động trên UDP như DNS, ngoài ragói Reset phải có trường Sequence number đúng với gói tin trước đó từ Client thìServer mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc độ nhanh và trườngSequence number thay đổi thì rất khó thực hiện được phương pháp này

Drop Attack

Kỹ thuật này dùng Firewall để hủy bỏ gói tin hoặc chặn đường một gói tin, mộtphiên làm việc hoặc một luồng thông tin giữa Hacker và Victim, kiểu phản ứng này là

an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ

Modify Firewall Polices

Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấncông xảy ra, sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy cập bởingười dùng

Real-time Alerting

Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết cáccuộc tấn công, các đặc điểm và thông tin về chúng

Log Packet

Các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các file log để các ngườiquản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul pháthiện tấn công hoạt động

Ba modul trên hoạt động theo tuần tự tạo nên một hệ thống IPS hoàn chỉnh, với các

ưu điểm này hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo mật

1.5 Phân loại hệ thống ngăn chặn xâm nhập

1.5.1 Network Base

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-10 Mô hình Network Base

Network Base Intrusion Prevention System viết tắt NIPS là hệ thống phát hiện tấncông dựa trên nền mạng thường được triển khai ở các vành đai mạng dùng để giám sátphân tích hoạt động hệ thống và phân tích các giao thức ứng dụng, nó có thể bắt giữcác gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánhchúng với các tín hiệu hiện có từ đó nhận diện các hoạt động khả nghi Ngoài ra, hệthống Network Base được triển khai trong một đoạn mạng phục vụ cho mục đích quảntrị hệ thống, trong trường hợp không có mạng quản trị riêng thì một mạng riêng ảo

chọn vị trí mạng phù hợp cho các thành phần của hệ thống Network Base, việc lựachọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khảnăng nhận diện của hệ thống Network Base.

Các hệ thống IPS kết hợp các tính năng tiêu chuẩn của một IDS, như một tường lửathông thường, Network Base có ít nhất hai card mạng một card nối với mạng nội bộ

và card còn lại được nối với bên ngoài, khi các gói tin đi qua card mạng thứ nhất lúcnày thiết bị IPS kiểm tra và phát hiện các gói tin độc hại xác định các gói tin này cónguy hiểm hay không nó sẽ loại bỏ các gói tin gây hại các gói tin còn lại tạo nên mộtphiên TCP đến các thiết bị IPS, còn gói tin hợp pháp được chuyển qua card mạng thứhai và đi tới điểm đích Một công dụng hữu ích của Network Base là bất kỳ những góitin bị phân mảnh hay các gói tin chồng chéo sẽ được kiểm tra trước khi chuyển tớimáy chủ và các gói tin bất hợp pháp được loại bỏ hoàn toàn, vì vậy khi một gói tinkhả nghi đã được phát hiện trước khi đi vào bên trong hệ thống nó sẽ được loại bỏkhông những thế mà các gói tin khả nghi tiếp theo có thể bị đánh rớt Các thành phầncủa Network Base:

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-11 Thành phần của Network Base

Packet Decode: Module thực hiện giải mã các gói tin mạng

Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thựchiện phát hiện các cuộc xâm nhập

Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộcxâm nhập trái phép

Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát hiện

có xâm nhập

Output modules: Đưa các thông tin cảnh báo ra một chương trình khác hoặc tới cácserver log.

Graphic Interface: Xây dựng các công cụ để phân tích và thống kê các dữ liệu bằnggiao diện đồ họa

1.5.2 Network Behavior Analysis System

Là hệ thống được triển khai trong hệ thống nhằm phát hiện tấn công dựa trên cácluồng lưu lượng bất thường Ví dụ người dùng có thể truy cập hợp pháp vào các ứngdụng của hệ thống tại một thời điểm nào đó nếu hệ thống phát hiện có sự truy cập một

số lượng lớn thì chúng sẽ bị nghi ngờ đó là một tấn công xâm nhập, nếu một ngườidùng truy cập vào một tập tập tin hay thư mục nào đó trong hệ thống và truy cập vàocác loại thông tin khác khi đó hệ thống ngăn chặn xâm nhập sẽ cảnh báo

Không giống như hệ thống dựa trên dấu hiệu các tấn công có thể bị phát hiện vì cáctấn công đó có dấu hiệu nhận diện hợp lệ với hệ thống xâm nhập dựa trên hành động

dị thường Tuy nhiên nhược điểm của các hệ thống này là phải được cấu hình cẩn thận

để nhận ra các mẫu tin không mong muốn, những cấu hình phải được cập nhật khi cácứng dụng mới được bổ sung hoặc các ứng dụng hiện tại được thay đổi Sự khác biệtgiữa Network Behavior và Network Base ở chổ là NBAS phân tích lưu lượng mạnghoặc các thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng bất thường

Hệ thống Network Behavior có thể được triển khai dưới hai dạng là thụ động và thẳnghàng Với kiểu thụ động hệ thống ngăn chặn xâm nhập được triển khai tại các vị trícần giám sát như ranh giới mạng, các đoạn mạng quan trọng Với kiểu thẳng hàng,tương tự như Network Base có thể triển khai cùng với Firewall thường là phía trước

để giảm thiểu số lượng các tấn công đến có thể làm quá tải Firewall

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-12 Mô hình Network Behavior

Analysis System

1.5.3 Host Based

Host Based Intrusion Prevention System viết tắt HIPS là một phần mềm được triểnkhai trên máy chủ quan trọng trong hệ thống như Public Servers, Sensitive DataServers, hoặc một dịch vụ quan trọng nào đó nhằm nhận diện các hoạt động khả nghi.Host Based này có thể được sử dụng dựa trên các quy tắc định trước hoặc hành vi tựhọc để ngăn chặn những hành động nguy hiểm, ngăn chặn kẻ tấn công, chỉnh sửaregistry hay viết lại thư viện liên kết động hoặc thông qua các phương tiện khác đểkiểm soát truy cập vào hệ thống Host Based có khả năng kiểm tra và ghi lại các logfiles, file systems, ưu điểm là có thể theo dõi các tiến trình của hệ điều hành và bảo vệcác tài nguyên quan trọng của hệ thống gồm cả các file chỉ tồn tại trên một host cụ thểbằng cách là triển khai hệ thống logging trên một máy tính cụ thể

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-13 Mô hình Host Based

Ngày nay, Host Based được cài đặt trên mỗi host để theo dõi các hoạt động để bảo

vệ các may tính và hệ thống mạng Một trong những lưu ý quan trọng trong việc triểnkhai hệ thống Host Based là cân nhắc giữa việc cài đặt agent lên host hay sử dụngagent-Based appliances, trên phương diện phát hiện và ngăn chặn xâm nhập việc càiđặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các đặc tính củahost và qua đó có thể phát hiện và ngăn chặn một cách hiệu quả hơn Tuy nhiên, doagent thường chỉ tương thích với một số hệ điều hành nhất định nên trong trường hợpnày người ta sử dụng thiết bị, một lý do khác để sử dụng thiết bị là việc cài đặt agentlên host có thể ảnh hưởng đến hiệu suất hoạt động của host Hệ thống Host Basedcung cấp các khả năng bảo mật như ghi lại log, phát hiện tấn công, phân tích hành vi,nhận diện buffer-overflow, giám sát danh sách ứng dụng và hàm thư viện, phân tích vàlọc lưu lượng mạng, kiểm tra tính toàn vẹn, thuộc tính truy cập của tập tin, giám sátcấu hình mạng, ngoài ra nó còn có khả năng ngăn chặn các loại mã độc hại các dịch

vụ hoặc giao thức không được phép

1.5.4 Wireless

Wireless Intrusion Prevention System viết tắt WIPS là hệ thống ngăn chặn tấn công

môi trường truyền là không khí các thiết bị hỗ trợ chuẩn 802.11 trong phạm vi phủsóng đều có thể truy cập vào mạng, do đó cần có sự giám sát cả bên trong lẩn bênngoài hệ thống mạng, WIPS có thể phát hiện các tấn công khai thác các lỗ hổng vàcung cấp thêm lớp bảo mật để bảo vệ cho hệ thống Wireless trong việc chống lại cácmối đe dọa không dây như giả mạo ARP, giám sát các tần số sóng, lỗi cấu hình củakiến trúc WLAN Hệ thống Wireless IPS giám sát toàn bộ WLAN chuyển tiếp lưulượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến sau đó phân tích lưulượng đã thu thập được nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo

sẽ được hiển thị

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-14 Mô hình Wireless

1.6 So sánh hệ thống phát hiện xâm nhậpvà ngăn chặn xâm nhập

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-15 Mô hình chung

Hệ thống phát hiện xâm nhập Intrusion Detection System viết tắt là IDS một giảipháp giám sát thụ động chỉ để cảnh báo cho người quản trị biết những nguy cơ có thểxảy ra tấn công, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàntoàn phụ thuộc vào người quản trị, vì vậy yêu cầu rất cao đối với nhà quản trị trongviệc xác định các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công, công nghệphát hiện xâm nhập - IDS của Cisco đã được thay thế bằng các giải pháp ngăn chặnxâm nhập - IPS, bởi vì với hệ thống IPS không những có thể xác định được các lưulượng khả nghi mà còn giảm thiểu được khả năng xác định sai các lưu lượng, do đócác cuộc tấn công sẽ bị loại bỏ ngay khi có dấu hiệu xâm nhập và nó hoạt động tuântheo một quy luật do nhà quản trị định sẵn, còn hệ thống phát hiện xâm nhập IDS chỉ

sử dụng từ một đến hai cơ chế để phát hiện tấn công, vì mỗi cuộc tấn công có các cơchế khác nhau của nó vì vậy cần có các cơ chế khác nhau để phân biệt, nên có thể dẫnđến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn,dẫn đến khả năng thành công cho các cuộc tấn công gây ảnh hưởng đến hệ thống,thêm vào đó, do các cơ chế của IDS tổng quát dẫn đến tình trạng cảnh báo nhầm làmtốn thời gian và công sức của nhà quản trị Với hệ thống IPS thì được xây dựng trênrất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp các dạng tấncông mới nên sẽ giảm được khả năng tấn công của mạng và độ chính xác của hệ thốngIPS cao hơn so với hệ thống IDS

Với hệ thống IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khigói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là gửi các yêucầu đến hệ thống Firewall để xoá các kết nối giữa máy tấn công và máy chủ, tuy nhiênviệc làm này đôi khi lại gây tác động phụ đến hệ thống Ví dụ nếu như Attacker giảmạo (sniffer) của một đối tác khác hay là khách hàng để tạo một cuộc tấn công từ chốidịch vụ thì IDS có thể chặn được cuộc tấn công từ chối dịch vụ, nhưng nó cũng sẽkhóa luôn cả IP của khách hàng, của ISP và của đối tác, như vậy thiệt hại vẫn tồn tại

và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công thất bại, nhưng

với IPS thì khác, nó sẽ phát hiện dấu hiệu của cuộc tấn công ngay từ và sau đó nókhóa ngay các gới tin này.

1.7 Các sản phẩm trên thị trường hiện nay

Tipping Point IPS: bao gồm chức năng bảo vệ tự động, kiểm soát truy cập và các

cuộc tấn công, không làm chậm hay nghẽn mạng, không đòi hỏi đầu tư nhân lực cho

hệ thống, có thể đặt in-line vào ngay trong mạng vận hành, giá thành hợp lý, hỗ trợ15G-20G và có thể có tối đa 11 segment/1 thiết bị phần cứng

Proventia:

Có hai model thiết bị phòng chống xâm nhập mới là Proventia G400 và G2000được thiết kế cho bảo vệ vành đai với khả năng bảo vệ nhiều phân vùng mạng giảipháp bảo vệ mạng một cách chủ động trước khi xảy ra tấn công giúp khách hàngđương đầu với các cuộc tấn công từ chối dịch vụ, các đoạn mã nguy hiểm, các dạngtấn công hỗn hợp hỗ trợ tính sẵn sàng cao, ngăn chặn các phần mềm gián điệp nhưspyware, cài đặt, quản trị và giám sát đơn giản dựa trên giao diện web và có thể giámsát bằng giao thức SNMP

Gải pháp chống xâm nhập Cyberoam – IPS

Là giải pháp tích hợp nhiều tính năng nhằm cung cấp việc bảo vệ hệ thống mạngtoàn diện như tường lửa, mạng riêng ảo, Gateway chống virus và spam, lọc nội dung,quản lý băng thông và chia tải, Cyberoam cung cấp giải phảp bảo mật UTM dựa trênđịnh danh, thiết bi có cơ sở dữ liệu riêng, cho phép người quản trị khai báo định danhtừng người dùng hay nhóm người dùng, hoặc có thể nhập từ Active Directory,Windows Domain, LDAP

CheckPoint IPS-1

Là một hệ thống phòng chống xâm nhập chuyên dụng cung cấp sự bảo vệ chonhững trường hợp quan trọng thiết yếu với khả năng quản lý và phân tích chứng cứđộc đáo và triển khai linh hoạt, toàn bộ các chức năng của IPS-1 được điều khiển bởi

hệ thống quản trị tập trung mạnh mẽ sẵn sàng hỗ trợ các hình thức triển khai từ nhỏđến lớn, được hỗ trợ bởi dịch vụ Smart Defense Services nhằm chống lại các nguy cơmới bằng cách cập nhật và cấu hình hệ thống bảo vệ theo thời gian thực

Chương 2 Giới thiệu tổng quan thiết bị IOS IPS

2.1 Giới thiệu

2.1.1 Một vài định nghĩa

Signature là những tập luật để kiểm tra và phát hiện ra sự xâm nhập trái phép cáccuộc tấn công hay một sự lạm dụng đến tài nguyên của hệ thống gây hại đến ngườidùng, thông thường những thiết bị IPS dựa trên những dấu hiệu này để xác định hànhđộng nào là xâm nhập hành động nào không xâm nhập, người quản trị phải thườngxuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra

Alert là những thông báo về những hành động xâm nhập bất hợp pháp khi hệ thốngngăn chặn xâm nhập phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trịbằng các tín hiệu báo động, các tín hiệu này hiện ngay trên màng hình theo dõi hoặcgữi bằng mail đến người quản trị và nhiều cách khác, và nó được lưu vào một filehoặc lưu vào cơ sở dữ liệu để người quản trị bảo mật có thể xem lại

Sensor là một yếu tố quan trọng trong một hệ thống IPS nó có trách nhiệm pháthiện các cuộc xâm nhập, thiết bị này được sử dụng như các giác quan trên mạng nócũng tương tự như các sensor trong các tài liệu kỹ thuật khác dùng để bắt tín hiệu âmthanh, màu sắc, áp xuất thì ở đây sensor sẽ bắt các tín hiệu có dấu hiệu của xâmnhập bất hợp pháp, Sensor nhận dữ liệu từ ba nguồn thông tin chính: kiến thức cơ bản(knowledge base) của IPS, Syslog và lịch sử hoạt động (audit trail), các thông tin nàytạo cơ sở cho quá trình phát hiện các cuộc tấn công của hacker

Các hệ thống Cisco IPS có thể được triển khai theo hai hướng là tập trung và phântán Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IPS cùng với cácthành phần an ninh khác như firewall để bảo vệ hệ thống, còn triển khai phân tán( distributed IDS ) là bao gồm nhiều hệ thống IPS trong một hệ thống mạng lớn đượckết nối với nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ranhững phản ứng thích hợp

Hình Giới thiệu tổng quan thiết bị IOS IPS-16 Các thành phần của Cisco IPS

Virtual Sensor có chức năng là nhận các gói tin, xử lý chúng và sau đó xác định cótạo ra cảnh báo hay không, mỗi Virtual Sensor IPS cung cấp khả năng chạy nhiềuSensor ảo trên cùng thiết bị, được cấu hình với các dấu hiệu khác nhau và lưu lượngđầu vào cũng khác nhau Các bộ xử lý nằm trên Virtual Sensor có một chức năng khácnhau như:

 Capture Producer: Nhận các gói tin và đẩy chúng đến các bộ xử lý khác

 Fragment Reassembly Unit - FRU: Tập hợp các IP fragments

 Database Handler: Là nơi lưu trữ cho việc theo dõi các luồng dữ liệu ra vào hệthống

 Stream Reassembly Unit - SRU: Tập hợp và chuyển dữ liệu đi

 Signature Handler: Điều khiển và chuyển gói tin đến các signature engines.Blocking là kỹ thuật dựa trên các dấu hiệu quyết định ngăn chặn đươc dựa trên cácthông số như địa chỉ nguồn, địa chỉ đích, cổng đích, và giao thức, chức năng ngănchặn này có thể khóa đăng nhập của các Profiles bất hợp pháp, hay khóa các thiết bịkhông cho người dùng truy cập vào, khóa định tuyến …

2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập

Chức năng giám sát:Hệ thống ngăn chặn xâm nhập cung cấp khả năng giám sát lưu

lượng mạng và các hoạt động khả nghi, tìm các thông tin nào có dấu hiệu tấn công hệ

thống, nếu có tấn công thì hệ thống IPS sẽ nhanh chóng tương tác và loại bỏ các nguy

cơ trước khi nó gây ảnh hưởng không tốt đến hệ thống, tuy nhiên nó có thể kiểm soátđược tất cả các lưu lượng nội bộ do đó nó có thể phát hiện được các cuộc tấn công từbên trong nếu có IOS IPS này được tích hợp trong hệ điều hành Cisco IOS bằng đặctính Cisco Firewall, các tính năng này có những đặc điểm như lưu trữ hơn 700 dấuhiệu tấn công, có thể bổ sung hoặc chỉnh sửa những dấu hiệu hiện có và quét đồngthời các dấu hiệu song song, có khả năng hỗ trợ ACL để có những hành động thiếtthực chống lại kẻ xâm nhập một cách tự động và ngăn chặn các lưu lượng bất thường,các phần mềm gián điệp như Spyware, tấn công từ chối dịch vụ (DoS), Trojan,backdoor, các luồng http độc hại và các file đính kèm e-mail Các dấu hiệu để nhậndạng ra một cuộc tấn công được chia làm 4 loại:

 Khai thác: Là một hành động nắm quyền truy xuất vào hệ thống hay các tàinguyên mạng

 Từ chói dịch vụ DoS: Là hành động gửi một lượng lớn các yêu cầu đến một hệthống hay các tài nguyên mạng với ý định gây ngưng trệ làm tổn hại đến các hoạtđộng bình thường

 Dò thám: Là quá trình thu thập thông tin để tập hợp dữ liệu trên hệ thống và cáctài nguyên mạng để biến chúng thành các mục tiêu cho các cuộc tấn công sau này

 Sử dụng không đúng: Là những hành động vi phạm đến chính sách của hệ thống.Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau :

 Đơn lẻ: Các dấu hiệu đơn lẻ kích hoạt hệ thống IPS, những loại dấu hiệu này sửdụng ít bộ nhớ vì IPS không cần thu thập dữ liệu nhiều

 Kết hợp: các loại dữ liệu này đòi hỏi IPS thu thập và so sánh với số lượng lớn dữliệu sau đó mới kích hoạt sự kiện

Cơ chế nhận dạng tấn công của hệ thống ngăn chặn xâm nhập là dựa trên các dấuhiệu để phát hiện các hoạt động động nghi ngờ bất bình thường, xác định các giaothức bằng cách so sánh các sự kiện với những cấu hình được định trước nhờ vào cácphần mềm được hổ trợ trong IPS như Event Store lưu trử tất cả các sự kiện, Intrusion

Detection Application Programming Interface (IDAPI) là chương trình ứng dụng tìm

ra sự xâm nhập, SensorApp có nhiệm vụ bắt gói tin và phân tích chúng

Hình Giới thiệu tổng quan thiết bị IOS IPS-17 Cơ chế hoạt động của hệ thống ngăn chặn

xâm nhập

Hình trên minh họa cho ta thấy cách thức hoạt động của Cisco IOS IPS đáp ứngvới một tấn công, quá trình phát hiện có thể được mô tả bởi 3 yếu tố sau: Thu thậpthông tin kiểm tra tất cả các gói tin trên mạng và phân tích tất cả các gói tin đã thuthập để biết hành động nào là tấn công sau đó đưa ra cảnh báo cho sự tấn công đượcphân tích ở trên và đưa ra quyết định có loại bỏ các gói tin độc hại hay không, khi cáctraffic có khả năng gây hại được nhận dạng thì IOS IPS gửi một cảnh báo đến cácServer Syslog và Server Monitor quản lý để loại bỏ traffic hay reset lại kết nối Hệthống ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độmạng và các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhậpgồm các thành phần sau:

Chức năng cảnh báo và phát hiện xâm nhập

Mục đích là giám sát và kiểm tra tính hợp pháp và báo cáo các hoạt động của mạng,

nó giám sát các gói tin được cho phép thông qua một thiết bị kiểm soát Bản chất của

hệ thống phát hiện xâm nhập là phân tích các lưu lượng gói tin để nhận ra các cuộc tấncông quen biết thông qua các dấu hiệu (singature), những biến thiên trong lưu lượng

và phương hướng sử dụng những quy tắc và phân tích thống kê phức tạp Hệ thốngbáo động là một trong những thành phần quan trọng trong hệ thống giám sát mạng Hệthống báo động giúp người quản trị mạng nắm bắt được trạng thái hoạt động của hệthống mạng đây cũng là một yêu cầu lớn đặt ra cho hệ thống giám sát mạng Nhữngcảnh báo cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảomật có thể xem lại Cảnh báo có thể, hiện trên màng hình, khi đăng nhập hoặc bằngemail và bằng nhiều cách khác Hệ thống báo động kết hợp với hệ thống dò tìm xâmnhập, hệ thống giám sát thiết bị và dịch vụ phát ra những tín hiệu cảnh báo đến ngườiquản trị khi hệ thống có sự cố xâm nhập hay sự cố bất thường khác… Những thông tin

từ thiết bị phát hiện xâm nhập hay hệ thống phát hiện những dấu hiệu bất thường đượcchuyển tới hệ thống báo động để phát cảnh báo tới người quản trị

Chức năng ngăn chặn xâm nhập: Các giải pháp ngăn ngừa xâm nhập nhằm mục

đích bảo vệ tài nguyên và dữ liệu, chúng làm giảm bớt những mối đe doạ tấn côngbằng việc loại bỏ những lưu lượng mạng có hại mà không có những báo động giả nàolàm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi roquá mức bên trong Điều này có nghĩa là các giải pháp này được đặt vào đúng vị trí đểphục vụ cho việc bảo mật, những cuộc tấn công Trojan horse nhằm vào các mạng vàcác ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sáchđiều khiển truy nhập (access control lists), hay các gói tin tấn công giống như nhữnggói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao Sự lạmdụng giao thức và những hành động lảng tránh, các tấn công từ chối dịch vụ(DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các thuật toán lọcdựa trên cơ sở ngưỡng Sự lạm dụng các ứng dụng và những giao thức, các cuộc tấncông đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP v.v qua việc sử dụngnhững quy tắc giao thức ứng dụng và chữ ký và những cuộc tấn công quá tải