Xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở luận văn thạc sĩ

Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó không chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên địa chỉ mạng phiên bản 4 – địa ch

MỤC LỤC

Trang phụ bìa

Lời cảm ơn

Lời cam đoan

Tóm tắt luận văn

Mục Lục - i

Danh mục các chữ viết tắt - iv

Danh mục hình vẽ - v

PHẦN MỞ ĐẦU - 1

1 Tính cấp thiết của đề tài - 1

2 Mục tiêu của đề tài - 2

3 Đối tượng phần mềm nghiên cứu - 2

4 Nội dung nghiên cứu đề tài - 3

5 Bố cục luận văn - 4

6 Các công trình nghiên cứu liên quan - 5

CHƯƠNG 1: TỔNG QUAN 1.1 Đánh giá tổng quan về bảo mật mạng máy tính - 6

1.2 Phân loại các mối đe dọa trong bảo mật - 8

1.2.1 Mối đe dọa bên trong - 8

1.2.2 Mối đe dọa từ bên ngoài - 9

1.2.3 Mối đe dọa không có cấu trúc - 9

1.2.4 Mối đe dọa có cấu trúc - 10

1.3 Phân loại một số lỗ hổng trong bảo mật - 10

1.3.1 Lỗ hổng bảo mật - 10

1.3.2 Phân loại lỗ hổng bảo mật - 10

1.4 Một số kiểu tấn công mạng - 14

1.5 Các giải pháp phát hiện và phòng chống tấn công mạng - 17

1.5.1 Các biện pháp phát hiện hệ thống bị tấn công - 17

1.5.2 Giải pháp phát hiện và phòng chống xâm nhập - 19

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP

2.1 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập 22

2.1.1 Lịch sử phát triển - 22

2.1.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập - 23

2.2 Đặc điểm, kiến trúc hệ thống của IDS/IPS - 24

2.2.1 Cơ sở hạ tầng của hệ thống IDS/IPS - 24

2.2.2 Kiến trúc hệ thống phát hiện xâm nhập - 25

2.3 Phân loại IDS/IPS - 29

2.3.1 Host-based IDS/IPS (HIDS) - 31

2.3.2 Network Base IDS/IPS (NIDS/IPS) - 32

2.3.3 Triển khai hệ thống IDS/IPS - 34

2.3.4 Khả năng phát hiện và phòng chống xâm nhập của IDS/IPS - 36

2.4 Hệ thống giám sát lưu lượng mạng - 37

2.5 Hệ thống báo động - 38

2.6 SNMP và hệ thống giám sát mạng - 39

CHƯƠNG 3: CÁC CÔNG CỤ MÃ NGUỒN MỞ HỖ TRỢ GIÁM SÁT, PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG 3.1 Giới thiệu - 41

3.2 Đặc điểm của Snort - 42

3.3 Vấn đề của Snort và khả năng triển khai - 45

3.3.1 Lợi ích của Snort - 45

3.3.2 Đánh giá tập luật của Snort - 46

3.4 Fwsnort chuyển đổi tập luật từ Snort sang Iptables - 46

3.5 Hệ thống giám sát trạng thái hoạt động thiết bị và dịch vụ - Nagios - 46

3.6 Hệ thống giám sát lưu lượng – Cacti - 50

3.7 Hệ thống báo động qua SMS – Gnokii - 53

3.8 Mô hình đề xuất kết hợp Snort, Fwsnort, Nagios, Cacti - 54

CHƯƠNG 4: PHÁT TRIỂN ỨNG DỤNG HỆ THỐNG GIÁM SÁT VÀ PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MÃ NGUỒN MỞ 4.1 Mô hình cài đặt thực nghiệm - 57

4.2 Cài đặt thực nghiệm - 57

4.2.1 Cài đặt Gnokii - 58

4.2.2 Cài đặt Snort - 59

4.2.4 Cài đặt Nagios - 63

4.2.5 Cài đặt Cacti - 65

4.3 Kết quả đạt được từ thực nghiệm - 71

CHƯƠNG 5: KẾT LUẬN, KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 5.1 Kết luận - 76

5.2 Kết quả đạt được - 77

5.3 Ý nghĩa khoa học và thực tiễn - 78

5.3.1 Ý nghĩa về mặt khoa học - 78

5.3.2 Về mặt thực tiễn - 78

5.4 Hướng phát triển cho đề tài - 78 TÀI LIỆU THAM KHẢO

PHỤ LỤC

PHỤ LỤC A: Hướng dẫn cấu hình GSM Gateway trên Linux

PHỤ LỤC B: Hướng dẫn cài đặt Snort

PHỤ LỤC C: Hướng dẫn cài đặt và cấu hình Naigos

PHỤ LỤC D: Hướng dẫn cài đặt và cấu hình Cacti

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Vào các thập niên 1960, 1980 và đến thập niên 1990, thuật ngữ mạng diện rộng được phổ biến rộng rãi khởi đầu từ Bộ quốc phòng Hoa Kỳ sau đó thuật ngữ mạng diện rộng – còn được gọi là WAN được biết đến rộng rãi trên toàn thế giới, WAN được định nghĩa đơn giản bao gồm sự kết nối của các máy tính đơn

lẻ trên toàn thế giới dựa trên một giao thức kết nối được gọi là TCP/IP

Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó không chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên địa chỉ mạng phiên bản 4 – địa chỉ IP là một bằng chứng cho thấy tốc độ phát triển của mạng máy tính nhanh chóng và trở thành một môi trường tốt phục vụ cho các hoạt động phát triển của nhân loại, song song với điều đó là sự phát triển mạnh mẽ của khoa học công nghệ và hệ thống các tri thức liên quan đến mạng máy tính, các thiết bị thông minh đã và đang ngày càng góp thêm phần phát triển mạnh mẽ và vượt trội của hệ thống mạng trên toàn thế giới Do vậy hệ thống mạng máy tính là một phần tất yếu và vô cùng quan trọng của một quốc gia, một doanh nghiệp hay đơn giản chỉ là một hộ gia đình nhỏ, chúng góp phần vào việc tạo nên những thành công đặc biệt đối với hệ thống mạng quốc gia và

hệ thống mạng của các doanh nghiệp vì phần lớn các công việc ngày nay từ giao dịch đến trao đổi thông tin đều dựa trên hệ thống mạng máy tính

Sự phát triển mạnh của hệ thống mạng máy tính cũng là một vùng đất có nhiều thuận lợi cho việc theo dõi và đánh cắp thông tin của các nhóm tội phạm tin học, việc xâm nhập bất hợp pháp và đánh cắp thông tin của các doanh nghiệp đang đặt ra cho thế giới vấn đề làm thế nào để có thể bảo mật được thông tin của doanh nghiệp mình Bảo mật thông tin hay an toàn an ninh mạng là những yếu

tố được quan tâm hàng đầu trong các doanh nghiệp Đã có

những doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thống mạng và bảo mật thông tin cho đơn vị mình, cũng có những doanh nghiệp đưa ra các kế hoạch tính toán chi phí cho việc mua sản phẩm phần mềm

để nhằm đáp ứng việc bảo mật của đơn vị mình Tuy nhiên đối với những giải pháp đó các doanh nghiệp đều phải thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao cho giải pháp an toàn thông tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thông tin trao đổi được an toàn, bảo vệ thông tin của đơn vị mình trước những tấn công của tội phạm công nghệ từ bên ngoài

do vậy mà đề tài xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở được phát triển giúp được phần nào yêu cầu của các doanh nghiệp về an toàn thông tin

và bảo mật hệ thống mạng

2 Mục tiêu của đề tài

Đề tài được thực hiện nhằm mục đích:

Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công

Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch, Server

… và một số dịch vụ mạng được sử dụng

Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS), Email, Web

3 Đối tượng phần mềm nghiên cứu

Đối tượng nghiên cứu trong bài luận văn là các chương trình phần mềm mã nguồn mở bao gồm:

+ Các chương trình phần mềm mở phát hiện xâm nhập

+ Các chương trình phần mềm mở phòng chống xâm nhập

+ Các chương trình phần mềm mở giám sát lưu lượng của hệ thống mạng

+ Các chương trình phần mềm mở giám sát thiết bị mạng và các dịch vụ mạng

4 Nội dung nghiên cứu đề tài

Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái phép và giám sát lưu lượng mạng bao gồm;

+ Nghiên cứu các khả năng tấn công mạng

+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống mạng + Nghiên cứu các khả năng phòng chống một số các phương thức tấn công mạng

+ Nghiên cứu các khả năng giám sát hoạt động các thiết bị mạng và dịch

vụ mạng trong toàn hệ thống mạng

Từ những vấn đề nêu trên đề xuất mô hình giám sát các hoạt động của các thiết

bị mạng, phát hiện và phòng chống xâm nhập được tích hợp từ các chương trình

như: Nagios, Snort, Cacti, Gnokii và sử dụng GSM/GPRS modem hoặc dùng điện thoại để thực nghiệm giải pháp Tạo ra một hệ thống giám sát mạng có khả năng phát hiện và cảnh báo những động thái xâm nhập mạng trái phép, phòng chống tấn công mạng, giám sát hoạt động của các thiết bị mạng trong đó có lưu lượng sử dụng trên thiết bị các thành phần phần cứng trong thiết bị, các dịch vụ được sử dụng trong hệ thống mạng

Dựa trên những giải pháp đó tác giả phát triển một hệ thống cảnh báo cho người quản trị hệ thống mạng bằng nhiều phương thức như: Email, SMS, Web mục đích hỗ trợ cho người quản trị một cách nhanh nhất có thể khắc phục và xử lý sự

cố liên quan đến hệ thống mạng đạt được hiệu quả cao

5 Bố cục luận văn

Phần bố cục của luận văn được trình bày thành 5 chương

Chương 1 : Tổng quan Giới thiệu bao quát về vấn đề bảo mật mạng và các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng

Chương 2: Hệ thống phát hiện và phòng chống xâm nhập mạng, ở chương này tác giả trình bày tổng quan về khả năng, vai trò và đặc điểm của chương trình phát hiện và phòng chống xâm nhập mạng, giám sát lưu lượng, giám sát dịch vụ mạng

Chương 3: Các công cụ hỗ trợ trong việc phát hiện và phòng chống xâm nhập mạng Trong chương này tác giả trình bày các đặc điểm của các phần mềm

mã nguồn mở sử dụng trong việc cài đặt thực nghiệm của luận văn Khả năng tích hợp chúng thành một hệ thống giám sát và phát hiện xâm nhập và cảnh báo thông tin tức thời qua SMS hoặc Email, Web

Chương 4: Trong chương này tác giả tập trung phát triển ứng dụng giám sát hệ thống mạng bằng các chương trình mã nguồn mở, đề xuất mô hình mạng

và cài đặt thực nghiệm dùng các chương trình mã nguồn mở đã nêu trong đề tài

Chương 5: Đánh giá những mặt đạt được, kết luận và hướng phát triển thêm của đề tài

6 Các công trình nghiên cứu liên quan

- Báo cáo luận văn thạc sĩ kỹ thuật máy tính đề tài “Xây dựng hệ thống hỗ trợ giám sát mạng” tác giả Nguyễn Đăng Bảo Phúc – Đại học Đà Nẵng tháng 3/2012 Nội dung của luận văn tác giả hướng dẫn cách cài đặt và cấu hình chương trình mã nguồn mở Nagios để theo dõi giám sát một hệ thống mạng kết hợp Gammu để gửi tin nhắn đến quản trị mạng

- Báo cáo tốt nghiệp kỹ sư đề tài “Nghiên cứu hệ thống giám sát quản trị mạng trên nền tảng mã nguồn mở Nagios” bài đăng trên website

http://www.hce.edu.vn/hsv/ năm 2008 Nội dung của bài khóa luận tác giả cũng tập trung vào việc hướng dẫn cài đặt và cấu hình chương trình theo dõi giám sát

hệ thống mạng dựa trên Nagios

- Báo cáo nghiên cứu khoa học đề tài “Xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở” tác giả nhóm sinh viên Khoa Công nghệ thông tin Đại học

Đà Lạt năm 2010 Nội dung báo cáo là những tìm hiểu ban đầu về cách thức hoạt động của chương trình Nagios và hướng dẫn cài đặt

- Báo cáo tốt nghiệp kỹ sư đề tài “ Nghiên cứu triển khai hệ thống giám sát quản trị mạng trên nền tảng mã nguồn mở Nagios” tháng 5/2009 của tác giả Phạm Hồng Khai, ngành Công nghệ thông tin Đại học Quốc gia Hà Nội Nội dung đề tài tác giả tập trung nghiên cứu mô hình giám sát mạng dựa trên Nagios, khai thác các tính ưu việt của chương trình để cài đặt và đưa vào giám sát hệ thống mạng và áp dụng Snort vào hệ thống

Các công trình nghiên cứu có liên quan, các tác giả tập trung nghiên cứu chủ yếu vào chương trình mã nguồn mở Nagios và Snort, sử dụng nền tảng mã nguồn

mở với mục đích xây dựng hệ thống giám sát mạng, chưa xây dựng một mô hình tổng thể với việc phát hiện và cảnh báo bằng SMS, email một cách trực quan giúp công tác quản lý điều hành của quản trị viên hiệu quả hơn

CHƯƠNG 1: TỔNG QUAN 1.1 Đánh giá tổng quan về bảo mật mạng máy tính

Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề quan trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo những thống

kê chưa đầy đủ của Tổng cục thống kê thì tính đến tháng 03/2012 số thuê bao sử dụng Internet vào khoảng 4,2 triệu thuê bao tăng 17,5% và tổng số người sử dụng Internet cũng tăng 15,3% tức vào khoảng 32,1 triệu người so với cùng thời điểm năm 2011 Số liệu trên cho thấy tình hình phát triển công nghệ thông tin tại Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác Một số doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các ứng dụng công nghệ mạng để quảng cáo hoặc cung cấp thông tin của doanh nghiệp mình trong thế giới số

Theo báo cáo về an toàn thông tin được công bố trong ngày “An toàn thông tin năm 2011” về vấn đền an toàn thông tin trong các tổ chức doanh nghiệp Việt Nam năm 2011, có đến:

- 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để ứng phó với những cuộc tấn công máy tính

- Tỷ lệ sử dụng những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số…chỉ chiếm 20%

- Đặc biệt tỷ lệ sử dụng những giải pháp cấp cao trong bảo mật an ninh mạng như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học chỉ chiếm 5% trong tất cả các giải pháp chống tấn công của tội phạm công nghệ cao.[1]

Nhận định về an toàn thông tin trong những năm qua, các chuyên gia bảo mật hàng đầu tại Việt Nam đều có chung một nhận định có nhiều biến động lớn và

mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các doanh nghiệp trong nước[2] Để giải quyết vấn đề này các công ty bảo mật hàng đầu trên thế giới và của Việt Nam vẫn tiếp tục nghiên cứu phát triển những gói giải pháp bảo mật bao gồm thiết bị phần cứng và các chương trình phần mềm phục vụ cho việc an toàn thông tin và bảo mật hệ thống mạng, các nhà cung cấp dịch vụ giải pháp bảo mật như Juniper (với các sản phẩm phần cứng tường lửa như NetScreen), Cisco với các thiết bị tường lửa như ASA, PIX hoặc như các thiết bị tường lửa tiên tiến hơn như Checkpoint, IPS của nhà cung cấp IBM là những thiết bị phần cứng liên quan đến bảo mật hệ thống mạng và an toàn thông tin liên tục được đưa ra trên thị trường, bên cạnh những thiết bị phần cứng còn phải kể đến những ứng dụng phần mềm được các nhà cung cấp giải pháp an toàn thông tin đưa ra nhằm phục vụ cho việc bảo mật hệ thống thông tin Có thể kể đến một vài tên tuổi nổi tiếng như: Symantec (với giải pháp phần mềm Anti Virut, Spam, Malware), Microsoft, Kaspersky, TrenPC, McAfee, SolarWin với những gói phần mềm khá hoàn hảo (theo đánh giá của các nhà cung cấp) trong việc bảo mật và an toàn thông tin

Những sản phẩm thương mại của các nhà cung cấp giải pháp an toàn thông tin được tung ra trên thị trường trong những năm gần đây được đánh giá cao về mức

độ bảo mật và hiệu năng hoạt động của nó, tuy nhiên vấn đề đầu tư các giải pháp bảo mật an toàn thông tin cho doanh nghiệp mang tính đầy đủ đem đến cho các doanh nghiệp vừa và nhỏ một chi phí đầu tư đáng kể so với hoạt động kinh doanh của doanh nghiệp

Theo các nghiên cứu hiện nay có tại Việt Nam cũng như trên thế giới về xây dựng một hệ thống IDS phát hiện và phòng chống xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu này có mức độ triển khai vào thực tế là chưa cao và còn là những bài toán lớn cho giải pháp bảo mật thông tin dựa trên phần mềm mã nguồn mở

1.2 Phân loại các mối đe dọa trong bảo mật

Như đã nêu trên, việc bảo mật đối với các doanh nghiệp là một vấn đề lớn hiện nay, việc một tội phạm tin học xâm nhập đã tạo ra rất nhiều cách khác nhau để

có thể thành công trong việc làm hư hỏng hoàn toàn một hệ thống mạng hoặc một dịch vụ ứng dụng Web của một doanh nghiệp Có nhiều phương pháp đã được triển khai nhằm giảm thiểu khả năng tấn công như phát triển hạ tầng mạng

và truyền thông trên internet, dùng tường lửa, mã hóa, mạng riêng ảo… Sự phát hiện xâm nhập cũng là một kỹ thuật gần giống với việc sử dụng tường lửa hay đại loại như thế Mục đích của một hệ thống phát hiện xâm nhập là thông báo cho nhà quản trị khi có một hành vi xâm nhập hoặc một sự tấn công được phát hiện Có thể có nhiều cách khác nhau để tấn công và hệ thống phát hiện xâm nhập cũng có nhiều cách để phát hiện Để làm rõ vấn đề phát hiện xâm nhập trước tiên cần hiểu rõ một số các mối đe dọa trong bảo mật một hệ thống mạng hoạt động ra sao Thông thường có 4 mối đe dọa cho việc bảo mật hệ thống được mô tả như sau:

1.2.1 Mối đe dọa bên trong

Thuật ngữ mối đe dọa bên trong được sử dụng để mô ta một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có quyền truy cập vào hệ thống mạng Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi

là vùng tin cậy trong hệ thống mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ truy cập vào mạng và dữ liệu bí mật của doanh nghiệp Phần lớn các doanh nghiệp hiện nay đều có tường lửa ở các đường biên mạng và họ tin tưởng hoàn toàn vào các ACL (Access Control List) và quyền truy cập vào server để qui định cho sự bảo mật bên trong Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên, tổ chức bất bình, muốn

“quay mặt” lại với doanh nghiệp Nhiều phương pháp bảo mật liên quan đến vành đai của hệ thống mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là truy cập Internet Khi vành đai của hệ thống mạng được bảo mật, các

phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của hệ thống mạng, mọi chuyện còn lại thường là rất đơn giản Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của mạng không dây Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ tầng dễ bị nguy hiểm hơn nhiều Vì vậy, các phương pháp mã hóa mạnh luôn được sử dụng trong mạng không dây

1.2.2 Mối đe dọa từ bên ngoài

Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ bên ngoài mạng của doanh nghiệp và bao gồm tất cả những người không có quyền truy cập vào mạng bên trong Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay số hoặc các kết nối Internet Mối

đe dọa ở bên ngoài là những gì mà các doanh nghiệp thường phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa

1.2.3 Mối đe dọa không có cấu trúc

Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một doanh nghiệp Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công DoS vào một hệ thống của một doanh nghiệp Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên các doanh nghiệp không được chuẩn bị Trong khi đây chỉ là trò chơi đối với các kiddie, các doanh nghiệp thường mất hàng triệu đô la cũng như

là sự tin tưởng của cộng đồng Nếu một web server của một doanh nghiệp bị tấn công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của doanh nghiệp

đó, trong khi thật ra các hacker chỉ tấn công được một chỗ yếu của server Các server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất

nhiều lớp bảo mật Cộng đồng thường không hiểu rằng phá vỡ một trang web của một doanh nghiệp thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của doanh nghiệp đó Cộng đồng phải tin tưởng rằng một doanh nghiệp rất giỏi trong việc bảo mật các thông tin riêng tư của nó

1.2.4 Mối đe dọa có cấu trúc

Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này Các hacker này biết các gói tin được tạo thành như thế nào và

có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức Họ cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập

Họ biết các phương pháp để tránh những cách bảo vệ này Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong Đây gọi là mối đe dọa có cấu trúc ở bên trong Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong

1.3 Phân loại một số lỗ hổng trong bảo mật

1.3.1 Lỗ hổng bảo mật

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự

ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép truy cập bất hợp pháp vào hệ thống Các lỗ hổng bảo mật có thể nằm ngay các dịch

vụ cung cấp như Web, Email, FTP, … Ngoài ra các chương trình ứng dụng hay dùng cũng chứa các lỗ hổng bảo mật như Word, các hệ cơ sở dữ liệu như SQL…

1.3.2 Phân loại lỗ hổng bảo mật

Thực hiện phân loại và hiểu được những phương thức bảo mật thực sự quan trọng trong việc xây dựng một hệ thống lọc và phân loại gói tin của tường lửa với mục đích phát hiện được những lỗ hổng trong việc bảo mật Hiện nay việc phân loại lỗ hổng bảo mật cơ bản được phân thành 03 loại

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, Web, Ftp … Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng mà người sử dụng thương xuyên sử dụng như Word processing, Các hệ databases…[6]

1.3.2.1 Loại C – Ít nguy hiểm

Các lỗ hổng bảo mật thuộc loại này thường cho phép thực hiện việc tấn công DoS DoS là một hình thức tấn công sử dụng các giao thức tầng ứng dụng trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ, tràn đệm dẫn đến tình trạng từ chối tất cả các yêu cầu của người sử dụng hợp pháp truy cập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống

Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu của hình thức tấn công này là sử dụng dịch vụ Web Với một hình thức tấn công đơn giản như cùng một lúc gửi nhiều yêu cầu truy cập, điều này

có thể làm treo hệ thống Đây cùng là một hình thức tấn công kiểu DoS Người

quản trị hệ thống Website trong trường hợp này chỉ có thể khởi động lại hệ thống.[6]

Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail

là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch

vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet

1.3.2.2 Loại B – Nguy hiểm

Các lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình

có mã nguồn viết bằng ngôn ngữ lập trình C Những chương trình viết bằng ngôn ngữ lập trình C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ

sử dụng để lưu dữ liệu trước khi xử lý Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự Do đó họ sẽ khai báo: char first_name [20];

Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký

tự Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt,

để thực thi một số lệnh đặc biệt trên hệ thống Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B.[6]

1.3.2.3 Loại A – Rất nguy hiểm

Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn

và bảo mật của hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server

là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các đoạn scripts là cgi-bin; trong đó tồn tại một đoạn scripts được viết sẵn để thử hoạt động của apache là test-cgi Đối với các phiên bản cũ của Apache (trước version 1.1), có dòng sau trong file test-cgi:

echo QUERY_STRING = $QUERY_STRING

Biến môi trường QUERY_STRING do không được đặt trong có dấu ” (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự “*”, web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi) Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này

Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger…[2]

Các loại bảo mật nêu trên có thể phân loại chung thành 03 mức độ

cơ bản của điểm yếu bảo mật như sau:

- Điểm yếu về kỹ thuật: bao gồm những kỹ thuật gồm có điểm yếu

trong các giao thức, hệ điều hành và các thiết bị phần cứng như Server, Router, Switch

- Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra,

lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với mật khẩu dễ dàng đoán biết, sử dụng các cấu hình mặc định trên thiết bị

- Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô tả việc

làm thế nào và ở đâu chính sách bảo mật được thực hiện Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất

1.4 Một số kiểu tấn công mạng

Có rất nhiều dạng tấn công mạng đang được biết đến hiện nay, dựa vào hành động tấn công của tội phạm mạng có thể phân làm 02 loại là chủ động và bị động

- Tấn công chủ động (active attack): Kẻ tấn công thay đổi hoạt động của hệ

thống và hoạt động của mạng khi tấn công và làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu

- Tấn công bị động (passive attack): Kẻ tấn công cố gắng thu thập thông tin

từ hoạt động của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu

Dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công thành 2 loại hình tấn công bao gồm: tấn công từ bên trong và tấn công từ bên ngoài, tấn công trực tiếp

- Tấn công bên trong bao gồm những hành vi mang tính chất xâm nhập hệ thống nhằm mục đích phá hoại Kẻ tấn công bên trong thường là những người nằm trong một hệ thống mạng nội bộ, lấy thông tin nhiều hơn quyền cho phép

- Tấn công bên ngoài là những tấn công xuất phát từ bên ngoài hệ thống như Internet hay các kết nối truy cập từ xa Tấn công bên ngoài có thể là những dạng tất công trực tiếp, các dạng tấn công này thông thường là sử dụng trong giai đoạn đầu để chiếm quyền truy cập Phổ biến nhất vẫn là cách dò tìm tên người sử dụng và mật khẩu Tội phạm mạng có thể sử dụng những thông tin liên quan đến chủ tài khoản như ngày tháng năm sinh, tên vợ (chồng) hoặc con cái hoặc số điện thoại để dò tìm thông tin tài khoản và mật khẩu với mục đích chiếm quyền điều khiển của một tài khoản, thông thường đối với những tài khoản có mật khẩu đơn giản thì tội phạm mạng chỉ dò tìm mật khẩu qua thông tin chủ tài khoản, một cách tiếp cận việc chiếm quyền truy nhập bằng cách tìm tài khoản và mật khẩu tài khoảng khác là dùng chương trình để dò tìm mật khẩu Phương pháp này trong một số khả năng hữu dụng thì có thể thành công đến 30% Một kiểu tấn công bên ngoài khác được đề cập đến nữa chính là hình thức nghe trộm, việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin này cũng có thể dễ dàng lấy được trên Internet

- Một số các lỗi khác liên quan đến con người, hệ thống cũng là những kiểu tấn công trực tiếp từ bên ngoài nhưng có mức độ phức tạp và khó khăn hơn, nguy hiểm nhất là yếu tố con người bởi nó là một trong nhiều điểm yếu nhất

trong bất kỳ hệ thống bảo mật nào[5] (trích website quantrimang.com)

- Khi một mạng máy tính bị tấn công, nó sẽ bị chiếm một lượng lớn tài nguyên trên máy chủ, mức độ chiếm lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của tội phạm mạng, đến một giới hạn nhất định khả năng cung cấp tài nguyên của máy chủ sẽ hết và như vậy việc từ chối các yêu cầu sử dụng dịch vụ của người dùng hợp pháp bị từ chối Việc phát động tấn công của tội phạm mạng còn tùy thuộc vào số lượng các máy tính ma mà tội phạm mạng đó đang kiểm soát, nếu khả năng kiểm soát lớn thì thời gian để tấn công và làm sập hoàn toàn một hệ thống mạng sẽ nhanh và cấp độ tấn công sẽ tăng nhanh hơn, tội phạm mạng có thể một lúc tấn công nhiều hệ thống mạng khác nhau tùy vào mức độ kiểm soát chi phối các máy tính ma như thế nào

Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều thực hiện qua các bước theo hướng mô tả sau:

+ Khảo sát thu thập thông tin về nơi chuẩn bị tấn công bằng các công cụ

để tìm hiểu đầy đủ về hệ thống mạng

+ Sau khi đã thu thập đủ thông tin, tội phạm mạng sẽ dò tìm những thông tin về lỗ hổng của bảo mật hệ thống dựa trên những thông tin đã tìm được, phân tích điểm yếu của hệ thống mạng, sử dụng các bộ công cụ để dò quét tìm lỗi trên

hệ thống mạng đó

+ Khi đã có trong tay những điểm yếu của hệ thống mạng, tội phạm mạng

sẽ tiến hành xâm nhập hệ thống mạng bằng các công cụ như làm tràn bộ đệm hoặc tấn công từ chối dịch vụ

+ Ở một số cuộc tấn công, người xâm nhập sau khi đã xâm nhập thành công và khai thác được hệ thống mạng rồi sẽ thực hiện việc duy trì xâm nhập

với mục đích khai thác và xâm nhập trong tương lai gần Tội phạm mạng có thể

sử dụng những thủ thuật như mở cửa sau (backdoor) hoặc cài đặt một trojan để nhằm mục đích duy trì sự xâm nhập của mình Việc duy trì và làm chủ một hệ thống mạng tạo cho tội phạm mạng có đủ những điều kiện để khai thác, phục vụ những nhu cầu về thông tin Ngoài ra, hệ thống mạng này khi bị chiếm quyền xâm nhập cũng sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng trong các cuộc tấn công khác mà cụ thể là tấn công từ chối dịch vụ đến một hệ thống mạng khác

+ Xóa dấu vết Khi một kẻ tấn công đã xâm nhập thành công sẽ cố gắng duy trì sự xâm nhập này Bước tiếp theo là chúng phải làm sao xóa hết dấu vết

để không còn chứng cứ pháp lí xâm nhập Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập

Ở các giai đoạn thu thập thông tin và dò tìm lỗ hổng trong bảo mật, kẻ tấn công thường làm lưu lượng kết nối mạng thay đổi khác với lúc mạng bình thường rất nhiều, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng đáng kể Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh giá tình hình hoạt động của hệ thống mạng Hầu hết các cuộc tấn công đều tiến hành tuần tự như các bước đã nêu trên Làm sao để nhận biết hệ thống mạng đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng Ở giai đoạn xâm nhập, bước này không dễ dàng đối với kẻ tấn công Do vậy, khi không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho người dùng hợp lệ truy xuất tài nguyên hệ thống

1.5 Các giải pháp phát hiện và phòng chống tấn công mạng

1.5.1 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Đứng trên góc độ người

quản trị hệ thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không Các biện pháp đó là:

- Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash bằng những thông báo lỗi không rõ ràng, khó xác định nguyên nhân hệ thống bị treo do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công

- Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản

lạ, nhất là uid của tài khoản đó là zero

- Kiểm tra xuất hiện các tập tin lạ Thường phát hiện thông qua cách đặt tên các tập tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo một mẫu nhất định để dễ dàng phát hiện tập tin lạ Thực hiện các lệnh liệt kê danh sách tập tin trong hệ thống để kiểm tra thuộc tính setuid và setgid đối với những tập tin đáng chú ý (đặc biệt là các tập tin scripts)

- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, sh hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …

- Kiểm tra hiệu năng của hệ thống Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …

- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp Chúng ta đã biết rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức tấn công DoS) Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhân trên hệ thống

- Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm sóat được

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như /etc/inetd.conf; bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dưới quyền root thì không chạy bằng các quyền yếu hơn

- Kiểm tra các phiên bản của sendmail, /bin/mail, ftp; tham gia các nhóm tin về bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống

1.5.2 Giải pháp phát hiện và phòng chống xâm nhập

Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp dùng để

dò tìm những hoạt động đáng nghi ngờ trên mạng Một hệ thống phát hiện xâm nhập được định nghĩa là một tập hợp các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh giá, và báo cáo hoạt động không được phép trên mạng

Phát hiện xâm nhập được xem là một tiến trình được quyết định khi một người không xác thực đang cố gắng để xâm nhập hệ thống mạng trái phép Hệ thống phát hiện xâm nhập sẽ kiểm tra tất cả các gói tin đi qua hệ thống và quyết định gói tin đó có vấn đề khả nghi hay không Hệ thống phát hiện xâm nhập đuợc trang bị hàng triệu tình huống để nhận dạng tấn công và đuợc cập nhật thường xuyên Chúng thực sự quan trọng và là lựa chọn hàng đầu để phòng thủ trong việc phát hiện và phòng chống xâm nhập mạng

Việc nghiên cứu xây dựng hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS) đang được phát triển mạnh và còn phát triển mạnh mẽ trong thời gian tới Các sản phẩm thương mại trên thị trường có chi phí rất lớn, vượt quá khả năng đầu tư của nhiều doanh nghiệp Bên cạnh đó, các nghiên cứu về mã nguồn

mở cũng đã được đầu tư nghiên cứu và triển khai Có nhiều đề tài trong nước nghiên cứu liên quan đến IDS/IPS bằng mã nguồn mở chủ yếu tập trung vào Snort Nhưng nhìn chung chưa được áp dụng rộng rãi, còn tồn tại nhiều hạn chế

như: do chương trình mã nguồn mở nên hầu hết không có giao diện thân thiện; thành phần báo động không được tích hợp sẵn, hoặc nếu có cũng chỉ qua giao diện console, hoặc qua giao diện Web chưa tạo được sự linh động và tiện dụng cho người quản trị mạng; phần mềm mang tính đơn lẻ (chỉ tập trung nghiên cứu

về Snort) trong khi nhu cầu tích hợp nhiều tính năng giám sát khác để nâng cao hiệu quả sử dụng chưa được chú trọng và phát triển Hơn nữa, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp đòi hỏi hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS) phải được thường xuyên cập nhật những dấu hiệu mới Người quản trị mạng còn có thể dựa vào những phân tích khác như những dấu hiệu bất thường về lưu lượng ra vào hệ thống, hoạt động của CPU, RAM

để có những phản ứng kịp thời Bên cạnh đó, hệ thống báo động cũng cần triển khai mang tính chất đa dạng nhiều hình thức, linh động, tiện dụng thực sự hỗ trợ thiết thực cho người quản trị mạng

Các nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi Việc nghiên cứu và triển khai một hệ thống giám sát mạng, phát hiện và phòng chống xâm nhập với các yếu tố: chính xác, nhanh chóng, trực quan, linh động và tiện lợi là vấn đề cấp thiết trong thực tế

Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như lưu lượng ra vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ,

… giúp người quản trị mạng có những phân tích để đưa ra ứng phó kịp thời

Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển khai để giúp phát hiện nhanh các cuộc tấn công mạng Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tấn công xâm nhập Tuy nhiên, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống phát hiện phải được thường xuyên cập nhật những dấu hiệu mới Để có thể phát hiện nhanh chóng các bất thường trên mạng, người quản trị mạng còn có thể dựa vào những đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời

Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị trong một số trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt động hay có tấn công mạng Hệ thống báo động có thể được triển khai qua nhiều hình thức để phát báo động như: bằng Web, E-mail hay qua tin nhắn SMS đến người quản trị mạng

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP

2.1 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập

2.1.1 Lịch sử phát triển

Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây

25 năm nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong các phòng thí nghiệm và các viện nghiên cứu mạng Đến năm 1997 hệ thống phát hiện xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập mạng

IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng

có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention

Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS là cần thiết, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như

giảm bớt được phần nào gánh nặng của việc vận hành Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an ninh mạng

2.1.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập

Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất thường trong mạng Thông thường những dấu hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng

Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập

và có thể ngăn chặn các nguy cơ mạng bị tấn công IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống phát hiện

và phòng chống xâm nhập (IDS/IPS)

Hệ thống IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công

đó Hệ thống IDS/IPS thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng

Một vài chức năng cơ bản của IDS/IPS:

+ Nhận diện các nguy cơ có thể xảy ra

+ Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ

+ Nhận diện các hoạt động thăm dò hệ thống

+ Nhận diện các yếu khuyết của chính sách bảo mật

+ Ngăn chặn vi phạm chính sách bảo mật

+ Lưu giữ thông tin liên quan đến các đối tượng quan sát

+ Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát + Ngăn chặn các tấn công (IPS)

+ Xuất báo cáo

2.2 Đặc điểm, kiến trúc hệ thống của IDS/IPS

2.2.1 Cơ sở hạ tầng của hệ thống IDS/IPS

Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp

Hình 2.1 Hoạt động của hệ thống IDS/IPS[13]

Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn

của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú

ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt (Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS) để phát hiện các cuộc tấn công có thể (xâm nhập)

Một khi xâm nhập đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS/IPS , bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức

Hệ thống IDS/IPS là một thành phần của chính sách bảo mật Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm

vụ cơ bản Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể

Hình 2.2 Cơ sở hạ tầng hệ thống IDS/IPS[7]

2.2.2 Kiến trúc hệ thống phát hiện xâm nhập

2.2.2.1 Cấu trúc

Sensor / Agent: Giám sát và phân tích các hoạt động “Sensor”

thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS

Management Server: Là 1 thiết bị trung tâm dùng thu nhận các

thông tin từ Sensor / Agent và quản lý chúng 1 số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent

và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện được

Database server: Dùng lưu trữ các thông tin từ Sensor / Agent hay

Management Server

Console: Là 1 chương trình cung cấp giao diện cho IDS/IPS users

/ Admins Có thể cài đặt trên một máy tính bình thường dùng để phục vụ cho tác

vụ quản trị, hoặc để giám sát, phân tích

2.2.2.2 Kiến trúc của hệ thống IDS/IPS

Hình 2.3 Hệ thống mẫu phát hiện xâm nhập[7]

Trong hệ thống phát hiện xâm nhập, sensor được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các

sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu

sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện Điều này cũng liên quan một chút nào đó đến các gói mạng

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

+ Thành phần thu thập thông tin (information collection)

+ Thành phần phân tích gói tin (Detection)

+ Thành phần phản hồi (response)

Hình 2.4 Thành phần của kiến trúc IDS[7]

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng

nhất và trong thành phần này sensor đóng vai trò quyết định Sensor được tích hợp với thành phần thu thập dữ liệu Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài

Vai trò của sensor là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau được gọi là cấu trúc đa tác nhân Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các

vị trí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyết định khi nói đến nghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựa trên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 Giải pháp này sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ như một tác nhân có thể cho biết một số thông tin không bình thường của các phiên Telnet bên trong hệ thống nó kiểm tra

Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Các tác nhân có thể được sao chép và thay đổi bên trong các hệ thống khác (tính năng tự trị) Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán Thêm vào đó, một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu

Hình 2.5 Các tác nhân tự trị cho việc phát hiện xâm nhập[7]

2.3 Phân loại IDS/IPS

Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các

vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai

+ Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện

hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công

+ Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt

động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố

cơ bản nền tảng sau:

- Thu thập thông tin (information collection): Kiểm tra tất cả các gói tin

trên mạng

- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho

biết hành động nào là tấn công

- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân

tích ở trên

Hình 2.6 Phân loại IDS/IPS[10]

2.3.1 Host-based IDS/IPS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi

OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host)

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính,

kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất

cả các phần mềm phát hiện khi đã có quyền truy cập vật lý

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (không phải là tất cả):

- Các tiến trình

- Các entry của Registry

Hình 2.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng

2.3.2 Network Base IDS/IPS (NIDS/IPS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và sensor cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những sensor thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm

quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng

để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn

cổ chai khi lưu lượng mạng hoạt động ở mức cao

Hình 2.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ

là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ

liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác

2.3.3 Triển khai hệ thống IDS/IPS

Thông thường có nhiều cách để triển khai một hệ thống IDS/IPS, tuy nhiên thường được dùng nhiều để triển khai trong một hệ thống mạng là 02 cách thức triển khai như sau:

+ In-line (thẳng hàng)

Hình 2.9 Mô hình triển khai theo kiểu thẳng hàng Người ta đặt một sensor thẳng hàng sao cho nó có thể giám sát được các lưu lượng mạng đi qua nó như trong trường hợp của firewall Thực tế là 1 số Sensor thẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS/IPS, một

số khác là NIDS thuần túy Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ) Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng Sensor thẳng

hàng có thể được triển khai ở những vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật, firewall mục đích để giảm tải cho các thiết bị này

Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn, với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IDS/IPS phải hoạt động theo thời gian thực Tốc độ hoạt động của hệ thống là một yếu tố rất quan trọng Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức

+ Passive (Thụ động)

Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 01 bản sao của các lưu lượng trên mạng Thường được triển khai giám sát các vị trí quan trọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng

ví dụ như Server farm hoặc DMZ Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer

Hình 2.10 Mô hình triển khai kiểu thụ động

Khả năng thu thập thông tin bao gồm nhận dạng các host, hệ điều hành, các ứng dụng, đặc điểm mạng Khả năng ghi log file Khả năng nhận diện những hoạt động thăm dò, vi phạm chính sách hoặc các dịch vụ ứng dụng không mong đợi Khả năng ngăn chặn của kiểu thụ động là ngắt phiên TCP hiện tại

Cần lưu ý khi triển khai hệ thống IDS/IPS là phải triển khai các Sensor ở dạng ẩn (Stealth mode) Trong dạng này, các giao diện của Sensor không được gán địa chỉ IP (trừ giao diện quản lý) để tránh việc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của kẻ tấn công

Điểm yếu của hệ thống NIDS/IPS chính là việc nó rất dễ bị ảnh hưởng bởi nhiều loại tấn công liên quan đến khối lượng lưu lượng mạng lớn ( large volume

of network traffic ) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳng hàng

2.3.4 Khả năng phát hiện và phòng chống xâm nhập của IDS/IPS

Hệ thống IDS/IPS hoạt động theo kiểu nhận dạng mẫu gói tin (packet)

Nó sẽ so sánh những gói tin trùng với gói tin mẫu tấn công mà nó có, nếu trùng khớp thì kết luận đây là loại gói tin tấn công và hệ thống sẽ phát cảnh báo hoặc gởi tín hiệu tới tường lửa để ngăn cản gói tin đi vào mạng bên trong Hiện nay

đa số IDS/IPS hoạt động theo kiểu này Tuy nhiên nếu kiểu tấn công mới thì IDS/IPS không nhận biết được, nên phải cập nhật các luật (dấu hiệu tấn công) thường xuyên giống như cập nhật virus Nếu hoạt động theo kiểu thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không và phản ứng lại Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm có nghĩa là không phải trường hợp tấn công mà vẫn gây báo động

Như vậy, sau khi hệ thống IDS đã phát hiện ra tấn công, xâm nhập thì có thể thực hiện các hành động sau:

+ Gửi tín hiệu đến tường lửa để ngăn chặn tấn công Trường hợp này gọi

là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS)

+ Chỉ đưa ra cảnh báo cho người quản trị mạng: hệ thống phát hiện xâm nhập trái phép (IDS)

Để phòng chống tấn công xâm nhập, có thể kết hợp hệ thống phát hiện với hệ thống tường lửa để ngăn cản những gói tin tấn công đi vào mạng bên trong Một trong những hệ thống tường lửa được sử dụng phổ biến trong các phần mềm nguồn mở là Iptables Có nhiều công cụ nguồn mở cho phép chuyển đổi các luật trong Snort thành các luật trong Iptables như Snort-inline, SnortSam, Fwsnort, … Trong luận văn này sẽ sử dụng Fwsnort để cài đặt thực nghiệm

2.4 Hệ thống giám sát lưu lượng mạng

Ngoài việc theo dõi những gói tin để phát hiện việc xâm nhập và phòng chống việc xâm nhập trái phép, việc theo dõi giám sát lưu lượng mạng, các dịch vụ mạng và thiết bị tham gia hoạt động trong hệ thống mạng cũng không kém phần quan trọng, việc giám sát bao gồm các lưu lượng mạng, hoạt động của CPU, RAM hay các trạng thái hoạt động của các máy chủ cung cấp các dịch vụ mạng Theo dõi hoạt động của các thiết bị mạng như Router, Switch cũng là những nhu cầu đang được quan tâm hiện nay nhằm mục đích nâng cao hoạt động của hệ thống mạng, đảm bảo ổn định và đem lại hiệu quả cao Việc giám sát lưu lượng mạng, các dịch vụ và thiết bị giúp cho quản trị viên nhanh chóng biết được vấn

đề cũng như tình hình hoạt động của hệ thống mạng mình đang quản lý, nhanh chóng đưa ra những phương án cụ thể nhằm tối ưu hóa hệ thống hay những chính sách nhằm khắc phục sự cố và tăng cường an ninh bảo mật cho hệ thống mạng

Hệ thống IDS/IPS đã nêu ở trên hoàn toàn có thể phát hiện được những hành vi xâm nhập mạng và có khả năng phòng chống việc những hành vi xâm nhập trái phép đó dựa vào các dấu hiệu nhận biết tấn công được lưu trữ và cập nhật thường xuyên Tuy nhiên hầu như các hệ thống phát hiện xâm nhập và phòng chống xâm nhập đều không hoàn toàn an toàn, ngành bảo mật luôn phải tìm ra giải pháp sau những cuộc xâm nhập trái phép trước đó và hệ thống phát hiện và