1. Trang chủ
  2. » Thể loại khác

HỆ THỐNG PHÁT HIỆN và NGĂN CHẶN xâm NHẬP IDS, IPS

33 47 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 33
Dung lượng 3,38 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDS/IPS (6)
    • I. Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System) (7)
      • 1. Tổng quan về IDS (7)
      • 2. Thành phần cấu tạo (7)
      • 3. Một IDS cần phải thỏa mãn những yêu cầu sau (8)
      • 4. Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent (8)
      • 5. Ưu điểm và nhược điểm của IDS (8)
      • 6. Phân loại IDS (9)
    • II. Hệ thống ngăn ngừa xâm nhập – IPS (10)
      • 1. Tổng quan về IPS (10)
      • 2. Lý do cần triển khai IPS (10)
      • 3. IPS có thể ngăn chặn những loại tấn công nào? (11)
      • 4. Phân loại (11)
      • 5. Cách thức IPS hoạt động (11)
      • 6. Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập (13)
      • 7. IDS/IPS và tường lửa có gì khác nhau (13)
      • 8. Thiết kế mô hình mạng (14)
      • 9. Một số tiêu chí triển khai (16)
  • PHẦN 2: Demo Cài đặt thử nghiệm trên hệ thống Linux/Windows (17)
    • I. Giới thiệu tống quan về Snort (18)
    • II. Thực nghiệm chạy demo trên máy ảo (19)
      • 1. Hệ thống demo (19)
      • 2. Cài đăt hệ thống (19)
        • 2.1 Cài đặt máy ảo (19)
        • 2.2 Cài đặt Snort trên Snort trên Windows Sever 2012 (19)
          • 2.2.1: Cài đặt Snort (19)
          • 2.2.2: Giải nén file snortrules-snapshot-29111.tar (20)
          • 2.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file) (20)
          • 2.2.4: Mở cửa sổ Command Prompt (cmd) (24)
          • 2.2.5: Chạy Snort ở chế độ Detect Intrusion (IDS) (27)
          • 2.2.6: Tạo luật cảnh báo PING và demo kết quả (28)
          • 2.2.7: Demo với luật cảnh báo Ping of Death (29)
  • Kết Luận (31)

Nội dung

Ngày nay, mạng internet đã và đang trở nên phổ biến hơn trên toàn thế giới. Nó đem lại cho con người một cách tiếp cận thông tin hoàn toàn mới. Đồng thời, ngoài những lợi ích to lớn đem lại, mạng internet còn ẩn chứa những mối nguy hiểm tiềm tàng như: lây nhiễm viruss, sâu mạng, trojan, sniffer,... . Các giải pháp phát hiện và ngăn chặn việc xâm nhập trái phép mạng máy tính cũng được ra đời từ đó, như một phần tất yếu của mạng máy tính toàn cầu. An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Với một hệ thống mạng máy tính, việc đảm bảo an toàn cho hệ thống thoát khỏi những nguy cơ, hiểm họa đe dọa rất được chú trọng và đề cao. Trong bản báo cáo này, nhóm em xin trình bày về một hệ thông bảo mật an toàn hệ thống qua đề tài: “ Hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS ”. Mục tiêu của bản báo cáo sẽ gồm 2 phần:Giới thiệu tổng quan hệ thống IDSIPSDemo Cài đặt thử nghiệm trên hệ thống LinuxWindows NHẬN XÉT CỦA GIẢNG VIÊN MỤC LỤCLỜI MỞ ĐẦU2NHẬN XÉT CỦA GIẢNG VIÊN3MỤC LỤC4DANH MỤC HÌNH ẢNH5PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDSIPS6I.Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)71.Tổng quan về IDS:7 2. Thành phần cấu tạo:73.Một IDS cần phải thỏa mãn những yêu cầu sau:84.Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent85.Ưu điểm và nhược điểm của IDS:86.Phân loại IDS9II.Hệ thống ngăn ngừa xâm nhập – IPS101.Tổng quan về IPS102.Lý do cần triển khai IPS103.IPS có thể ngăn chặn những loại tấn công nào?114.Phân loại115.Cách thức IPS hoạt động116.Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập137.IDSIPS và tường lửa có gì khác nhau:138.Thiết kế mô hình mạng149.Một số tiêu chí triển khai16PHẦN 2: Demo Cài đặt thử nghiệm trên hệ thống LinuxWindows17I.Giới thiệu tống quan về Snort18II.Thực nghiệm chạy demo trên máy ảo:191.Hệ thống demo:192.Cài đăt hệ thống:192.1Cài đặt máy ảo:192.2Cài đặt Snort trên Snort trên Windows Sever 2012192.2.1: Cài đặt Snort192.2.2: Giải nén file snortrulessnapshot29111.tar:202.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file)202.2.4: Mở cửa sổ Command Prompt (cmd):242.2.5: Chạy Snort ở chế độ Detect Intrusion (IDS):272.2.6: Tạo luật cảnh báo PING và demo kết quả:282.2.7: Demo với luật cảnh báo Ping of Death29Kết Luận31Một số tài liệu tham khảo33DANH MỤC HÌNH ẢNHHình 1 Sự khác nhau giữa IDS và IPS14Hình 2 Đặt IPS trước Firewall14Hình 3 Đặt IPS giữa firewall và miền DMZ15Hình 4 IPS trong giải pháp UTM15Hình 5 Cài đặt Snort20Hình 6 Sau khi đã copy toàn bộ thư mục giải nén vô thư mục Snort20Hình 7 Kiểm tra IP máy ảo21Hình 8 Chỉnh sửa file cấu hình21Hình 9 Chỉnh sửa file cấu hình22Hình 10 Chỉnh sửa file cấu hình22Hình 11 Chèn Dynamicpreprocessor23Hình 12 Thêm luật vào config24Hình 13 Gõ lệnh trong CMD24Hình 14 Chạy snortm25Hình 15 Lệnh Ping từ client sang server25Hình 16 Snort phát hiện và cảnh báo26Hình 17 Chế độ Packet Log26Hình 18 Cài đặt Snort trong Service26Hình 19 Cài đặt Snort trong Service27Hình 20 Kiểm tra Snort đã chạy trong Computer managerment chưa27Hình 21 Hoàn tất khởi chạy Snort ở chế độ IDS28Hình 22 Máy attacker đang ping28Hình 23 Kết quả được ghi lại29Hình 24 Thêm luật báo vào snort.com29Hình 25 Attacker đang ping gói 1300 byte tới Server30Hình 26 Kết quả được ghi lại30PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDSIPSI.Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)1.Tổng quan về IDS:Khái niệm: IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn côngMục đích: •IDS phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng. IDS cũng có thể phân biệt giữa những cuộ tấn công nội bộ (từ chính nhân viên hoặc khách hàng trong tổ chức) và tấn công bên ngoài (từ hacker). Trong một số trường hợp, IDS có thể phản ứng lại với các traffic bất thườngđộc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.•IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đoán được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn ra (Active response).2.Thành phần cấu tạo: •Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lưu lượng trên mạng.•Nguồn thông tin khác để phát hiện dấu hiệu xâm nhập (signature)•Signature database là cơ sở dữ liệu chứa dấu hiệu của các tấn công đã được phát hiện và phân tích. Cơ chế làm việc của signature database giống như virus database trong các chuơng trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhận thường xuyên cơ sở dữ liệu này.3.Một IDS cần phải thỏa mãn những yêu cầu sau:•Tính chính xác : không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (false positive).•Hiệu năng : phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng)•Tính trọn vẹn: IDS không được bỏ qua xâm nhập trái phép nào ( false negative). Đây là một điều kiện khó có thể thỏa mãn được.•Chịu lỗi (Fault Tolerance): yêu cầu bản thân IDS phải có khả năng chống lại tấn công.•Khả năng mở rộng (Scalability)4.Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent5.Ưu điểm và nhược điểm của IDS:•Ưu điểmThích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều tra và ứng cứu sự cốĐem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mạngLà công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng.•Nhược điểmCần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầmKhả năng phân tích traffic mã hóa tương đối thấpChi phí phát triển và vận hành hệ thống tương đối cao.•Nhược điểm khi sử dụng IDS tại mạng DMZ: Số lượng các xác nhận sai mà nó có thể ghi lại.Nếu IDS được cấu hình để cảnh báo cho quản trị mạng (SMS) có thể bị quá tải với những cảnh báo như vậy và cuối cùng bỏ qua tất cả SMS của IDS.Ngoài ra, để tiếp tục bảo vệ chống lại các mối đe dọa mới, phần mềm IDS phải được cập nhật và các quy tắc phát hiện phải được đánh giá lại một cách thường xuyên.6.Phân loại IDSTheo phạm vi giám sát: •Networkbased IDS (NIDS): Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau tường lửa. Hình 1 mô tả một NIDS điển hình.’•Hostbased IDS (HIDS): Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngòai lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit).Theo kỹ thuật thực hiện: •Signaturebased IDS: Signaturebased IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới.•Anomalybased IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao tiếp mạng của server là vào khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS. Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động của hệ thống trong điều kiện bình thường để ghi nhận các thông số hoạt động, đây là cơ sở để phát hiện các bất thường về sau.II.Hệ thống ngăn ngừa xâm nhập – IPS1.Tổng quan về IPSIPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập): là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Hệ thống IPS liên tục giám sát lưu lượng mạng, đặc biệt là ở các gói riêng lẻ, để tìm kiếm bất kỳ cuộc tấn công nguy hiểm nào có thể xảy ra. Nó thu thập thông tin về các gói tin này và báo cáo cho quản trị viên hệ thống, nhưng nó cũng thực hiện những động thái phòng ngừa của riêng mình. Nếu phát hiện phần mềm độc hại tiềm ẩn hoặc loại tấn công khác, IPS sẽ chặn các gói đó truy cập vào mạng.IPS cũng có thể thực hiện các bước khác, chẳng hạn như đóng những lỗ hổng bảo mật của hệ thống có thể bị khai thác liên tục. IPS có thể đóng các điểm truy cập vào mạng, cũng như cấu hình tường lửa thứ cấp để phát hiện những loại tấn công này trong tương lai, bổ sung thêm các lớp bảo mật cho hệ thống phòng thủ của mạng.2.Lý do cần triển khai IPSMỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:oTheo dõi các hoạt động bất thường đối với hệ thống.oXác định ai đang tác động đến hệ thống và cách thức như thế nào, các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.oTương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động thâm nhập hệ thống.3.IPS có thể ngăn chặn những loại tấn công nào?Các hệ thống phòng chống xâm nhập có thể tìm kiếm và bảo vệ chống lại nhiều loại tấn công nguy hiểm tiềm ẩn. Chúng có khả năng phát hiện và chặn các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit, worm, virus máy tính và những loại phần mềm độc hại khác.4.Phân loạiHệ thống ngăn ngừa xâm nhập mạng (NIPS – Networkbased Intrusion Prevention) thường được triển khai trước hoặc sau firewall. Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với firewall. Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong. Hệ thống ngăn ngừa xâm nhập host (HIPS – Hostbased Intrusion Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.5.Cách thức IPS hoạt động•Phòng ngừaIPS thường nằm ngay sau tường lửa và cung cấp một lớp phân tích bổ sung, lựa chọn tiêu cực cho nội dung nguy hiểm. Không giống như người tiền nhiệm của nó, Hệ thống phát hiện xâm nhập (IDS) là một hệ thống thụ động quét lưu lượng và báo cáo lại các mối đe dọa.IPS được đặt nội tuyến (trong đường dẫn liên lạc trực tiếp giữa nguồn và đích), chủ động phân tích và thực hiện các hành động tự động trên tất cả luồng lưu lượng truy cập vào mạng. Cụ thể, những hành động này bao gồm:Gửi một báo động cho quản trị viên (như sẽ thấy trong IDS)Bỏ các gói độc hạiChặn lưu lượng truy cập từ địa chỉ nguồnĐặt lại kết nốiLà một thành phần bảo mật nội tuyến, IPS phải hoạt động hiệu quả để tránh làm giảm hiệu suất mạng. Nó cũng phải hoạt động nhanh vì khai thác có thể xảy ra trong thời gian gần. IPS cũng phải phát hiện và phản hồi chính xác, để loại bỏ các mối đe dọa và dương tính giả (các gói hợp pháp bị đọc nhầm thành các mối đe dọa).•Phát hiệnIPS có một số phương pháp phát hiện để tìm kiếm khai thác, nhưng phát hiện dựa trên chữ ký và phát hiện dựa trên thống kê là hai cơ chế chi phối.Phát hiện dựa trên chữ ký được dựa trên một từ điển các mẫu (hoặc chữ ký) duy nhất trong mã của mỗi khai thác. Khi khai thác được phát hiện, chữ ký của nó được ghi lại và lưu trữ trong một từ điển chữ ký phát triển liên tục.Phát hiện chữ ký cho IPS được chia thành hai loại:Chữ ký đối diện khai thác xác định các khai thác riêng lẻ bằng cách kích hoạt các mẫu duy nhất của một nỗ lực khai thác cụ thể. IPS có thể xác định các khai thác cụ thể bằng cách tìm kết quả khớp với chữ ký đối diện khai thác trong luồng lưu lượngChữ ký dễ bị tổn thương là chữ ký rộng hơn nhắm vào lỗ hổng cơ bản trong hệ thống đang được nhắm mục tiêu. Những chữ ký này cho phép các mạng được bảo vệ khỏi các biến thể của một khai thác có thể không được quan sát trực tiếp trong tự nhiên, nhưng cũng làm tăng nguy cơ dương tính giả.Phát hiện bất thường thống kê lấy các mẫu lưu lượng mạng một cách ngẫu nhiên và so sánh chúng với mức hiệu suất cơ sở được tính toán trước. Khi mẫu hoạt động lưu lượng mạng nằm ngoài các tham số về hiệu suất cơ sở, IPS sẽ hành động để xử lý tình huống.

TỔNG QUAN VỀ HỆ THỐNG IDS/IPS

Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)

Hệ thống phát hiện xâm nhập (IDS) là công nghệ được thiết kế để nhận diện các dấu hiệu của cuộc tấn công mạng, đồng thời có khả năng khởi động các hành động trên các thiết bị khác nhằm ngăn chặn các cuộc tấn công đó.

Hệ thống phát hiện xâm nhập (IDS) có khả năng phát hiện và ngăn chặn các hành động gây hại cho bảo mật hệ thống, bao gồm các hành động trong quá trình tấn công như dò tìm và quét cổng IDS cũng có thể phân biệt giữa các cuộc tấn công nội bộ từ nhân viên hoặc khách hàng và các cuộc tấn công bên ngoài từ hacker Trong một số trường hợp, IDS có thể phản ứng với các lưu lượng truy cập bất thường hoặc độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập vào mạng.

Hệ thống phát hiện xâm nhập (IDS) chỉ có khả năng tạo ra cảnh báo khi một cuộc tấn công đang diễn ra hoặc sau khi nó đã kết thúc Tuy nhiên, với sự phát triển của nhiều kỹ thuật mới, IDS hiện nay đã có khả năng dự đoán các cuộc tấn công và phản ứng một cách chủ động đối với các mối đe dọa đang xảy ra.

• Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lưu lượng trên mạng

• Nguồn thông tin khác để phát hiện dấu hiệu xâm nhập (signature)

Cơ sở dữ liệu chữ ký (signature database) lưu trữ các dấu hiệu của các cuộc tấn công đã được phát hiện và phân tích Cách hoạt động của cơ sở dữ liệu chữ ký tương tự như cơ sở dữ liệu virus trong các chương trình diệt virus Do đó, để duy trì hiệu quả cho hệ thống IDS, việc cập nhật thường xuyên cơ sở dữ liệu này là rất quan trọng.

3 Một IDS cần phải thỏa mãn những yêu cầu sau:

• Tính chính xác : không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (false positive)

Hiệu năng của hệ thống bảo mật cần đảm bảo khả năng phát hiện xâm nhập trái phép trong thời gian thực, nhằm ngăn chặn các tổn thương nghiêm trọng trước khi chúng xảy ra.

• Tính trọn vẹn: IDS không được bỏ qua xâm nhập trái phép nào ( false negative) Đây là một điều kiện khó có thể thỏa mãn được

• Chịu lỗi (Fault Tolerance): yêu cầu bản thân IDS phải có khả năng chống lại tấn công

• Khả năng mở rộng (Scalability)

4 Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent

5 Ưu điểm và nhược điểm của IDS:

- Thích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều tra và ứng cứu sự cố

- Đem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mạng

- Là công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng

- Cần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầm

- Khả năng phân tích traffic mã hóa tương đối thấp

- Chi phí phát triển và vận hành hệ thống tương đối cao

• Nhược điểm khi sử dụng IDS tại mạng DMZ:

- Số lượng các xác nhận sai mà nó có thể ghi lại

Nếu IDS được cấu hình để gửi cảnh báo cho quản trị mạng qua SMS, có thể dẫn đến tình trạng quá tải với nhiều thông báo, khiến quản trị viên bỏ qua tất cả các cảnh báo từ IDS.

Để đảm bảo an ninh mạng hiệu quả, phần mềm IDS cần được cập nhật thường xuyên và các quy tắc phát hiện cũng phải được đánh giá định kỳ nhằm bảo vệ chống lại những mối đe dọa mới.

- Theo phạm vi giám sát:

• Network-based IDS (NIDS): Là những IDS giám sát trên toàn bộ mạng

Nguồn thông tin chính của Hệ thống phát hiện xâm nhập mạng (NIDS) là các gói dữ liệu đang lưu thông trên mạng NIDS thường được triển khai tại các điểm truy cập của mạng, có thể nằm trước hoặc sau tường lửa Hình 1 minh họa một NIDS điển hình.

Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) giám sát hoạt động của từng máy tính riêng lẻ HIDS không chỉ theo dõi lưu lượng dữ liệu ra vào máy chủ mà còn khai thác thông tin từ hệ thống nhật ký và kiểm tra hệ thống để đảm bảo an ninh.

- Theo kỹ thuật thực hiện:

Hệ thống phát hiện xâm nhập dựa trên chữ ký (Signature-based IDS) phát hiện các hành vi xâm nhập thông qua việc phân tích lưu lượng mạng và nhật ký hệ thống Kỹ thuật này yêu cầu duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập, và cần được cập nhật thường xuyên để phản ánh những hình thức và kỹ thuật xâm nhập mới.

Hệ thống phát hiện xâm nhập dựa trên bất thường (Anomaly-based IDS) hoạt động bằng cách so sánh hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường có thể là dấu hiệu của xâm nhập Chẳng hạn, nếu lưu lượng mạng của một server trong điều kiện bình thường chỉ chiếm khoảng 25% băng thông tối đa, nhưng đột ngột tăng lên 50% hoặc hơn, điều này có thể chỉ ra rằng server đang bị tấn công từ chối dịch vụ (DoS) Để đảm bảo hoạt động hiệu quả, IDS loại này cần trải qua quá trình "học", tức là giám sát hoạt động của hệ thống trong điều kiện bình thường để ghi nhận các thông số, từ đó làm cơ sở cho việc phát hiện các bất thường trong tương lai.

Hệ thống ngăn ngừa xâm nhập – IPS

- IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập): là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn

Hệ thống IPS liên tục giám sát lưu lượng mạng, đặc biệt là các gói tin riêng lẻ, nhằm phát hiện các cuộc tấn công nguy hiểm Nó thu thập thông tin từ các gói này và báo cáo cho quản trị viên hệ thống, đồng thời thực hiện các biện pháp phòng ngừa Khi phát hiện phần mềm độc hại hoặc các loại tấn công khác, IPS sẽ chặn các gói tin đó trước khi chúng có thể truy cập vào mạng.

Hệ thống IPS không chỉ đóng vai trò phát hiện mà còn thực hiện các biện pháp bảo vệ bằng cách khắc phục lỗ hổng bảo mật có thể bị khai thác Nó có khả năng chặn các điểm truy cập trái phép vào mạng và cấu hình tường lửa thứ cấp nhằm phát hiện các loại tấn công trong tương lai, từ đó tăng cường thêm các lớp bảo mật cho hệ thống phòng thủ mạng.

2 Lý do cần triển khai IPS

Mỗi thành phần trong kiến trúc mạng đều có chức năng và điểm mạnh, điểm yếu khác nhau, vì vậy việc sử dụng đúng mục đích sẽ mang lại hiệu quả cao Hệ thống IPS đóng vai trò quan trọng trong bảo vệ hệ thống, giúp theo dõi các hoạt động bất thường, xác định nguồn gốc và phương thức tác động đến hệ thống, cũng như vị trí xảy ra các hoạt động xâm nhập trong cấu trúc mạng Ngoài ra, IPS còn tương tác với hệ thống firewall để ngăn chặn kịp thời các hoạt động thâm nhập.

3 IPS có thể ngăn chặn những loại tấn công nào?

Hệ thống phòng chống xâm nhập có khả năng phát hiện và ngăn chặn nhiều loại tấn công mạng nguy hiểm, bao gồm tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit, worm, virus máy tính và các phần mềm độc hại khác, giúp bảo vệ an toàn cho hệ thống.

− Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion

Hệ thống ngăn chặn xâm nhập (IPS) có thể được triển khai trước hoặc sau firewall để bảo vệ an ninh mạng Khi đặt IPS trước firewall, toàn bộ hệ thống bên trong, bao gồm cả firewall và vùng DMZ, sẽ được bảo vệ, đồng thời giảm thiểu nguy cơ bị tấn công từ chối dịch vụ Ngược lại, nếu triển khai IPS sau firewall, hệ thống vẫn có khả năng phòng tránh một số kiểu tấn công bằng cách khai thác điểm yếu trên các thiết bị di động kết nối vào mạng nội bộ qua VPN.

Hệ thống ngăn ngừa xâm nhập host (HIPS) được thiết kế để phát hiện và ngăn chặn kịp thời các hoạt động xâm nhập trên các máy chủ HIPS sử dụng công nghệ tương tự như các giải pháp antivirus nhằm ngăn chặn các cuộc tấn công ngay từ đầu Bên cạnh việc phát hiện và ngăn chặn các hoạt động xâm nhập, HIPS còn có khả năng phát hiện sự thay đổi của các tập tin cấu hình, giúp tăng cường bảo mật cho hệ thống.

5 Cách thức IPS hoạt động

IPS thường được đặt ngay sau tường lửa, cung cấp thêm một lớp phân tích và lựa chọn tiêu cực cho nội dung nguy hiểm Khác với Hệ thống phát hiện xâm nhập (IDS) trước đây, IPS hoạt động chủ động, không chỉ quét lưu lượng mà còn ngăn chặn các mối đe dọa ngay lập tức.

IPS hoạt động trong đường dẫn liên lạc trực tiếp giữa nguồn và đích, chủ động phân tích và thực hiện các hành động tự động trên tất cả luồng lưu lượng truy cập vào mạng Những hành động này bao gồm việc phát hiện và ngăn chặn các mối đe dọa, bảo vệ hệ thống khỏi các cuộc tấn công và đảm bảo an toàn cho dữ liệu.

+ Gửi một báo động cho quản trị viên (như sẽ thấy trong IDS) + Bỏ các gói độc hại

+ Chặn lưu lượng truy cập từ địa chỉ nguồn + Đặt lại kết nối

Là một thành phần bảo mật nội tuyến, Hệ thống phát hiện xâm nhập (IPS) cần hoạt động hiệu quả để không làm giảm hiệu suất mạng Nó phải có khả năng phản ứng nhanh chóng trước các cuộc tấn công có thể xảy ra trong thời gian ngắn Đồng thời, IPS cần phát hiện và phản hồi chính xác để loại bỏ các mối đe dọa, đồng thời tránh được tình trạng dương tính giả, nơi các gói hợp pháp bị nhầm lẫn là mối đe dọa.

Hệ thống IPS sử dụng nhiều phương pháp để phát hiện các hoạt động khai thác, trong đó hai cơ chế chính là phát hiện dựa trên chữ ký và phát hiện dựa trên thống kê.

Phát hiện khai thác dựa trên chữ ký được thực hiện thông qua một từ điển chứa các mẫu độc nhất trong mã của từng khai thác Khi một khai thác được xác định, chữ ký của nó sẽ được ghi lại và lưu trữ trong một từ điển chữ ký đang phát triển liên tục.

- Phát hiện chữ ký cho IPS được chia thành hai loại:

Chữ ký đối diện khai thác giúp xác định các khai thác riêng lẻ bằng cách kích hoạt các mẫu duy nhất trong nỗ lực khai thác cụ thể Hệ thống IPS có khả năng nhận diện các khai thác cụ thể thông qua việc tìm kiếm kết quả khớp với chữ ký đối diện khai thác trong luồng lưu lượng.

Chữ ký dễ bị tổn thương là những chữ ký rộng, nhằm vào lỗ hổng cơ bản trong hệ thống mục tiêu Chúng giúp bảo vệ mạng khỏi các biến thể của khai thác mà có thể không được phát hiện trong thực tế, nhưng cũng làm tăng nguy cơ dương tính giả.

Phát hiện bất thường trong thống kê mạng được thực hiện bằng cách lấy mẫu lưu lượng một cách ngẫu nhiên và so sánh với mức hiệu suất cơ sở đã được tính toán trước Khi lưu lượng mạng vượt qua các tham số hiệu suất cơ sở, hệ thống IPS sẽ can thiệp để xử lý tình huống.

6 Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập

• Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống

• Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết

• Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể không cho phép các truy cập hợp lệ tới hệ thống

7 IDS/IPS và tường lửa có gì khác nhau:

Có khả năng ngăn chặn phát tán dựa vào nội dung của các xâm nhập

IPS là các hệ thống dựa trên dữ liệu những mối đe dọa đã được biết đến IPS có thể tự ngăn chặn các mối nguy này

Hệ thống IDS yêu cầu con người hoặc các hệ thống khác đánh giá kết quả và quyết định hành động tiếp theo cần thực hiện, tùy thuộc vào khối lượng lưu lượng mạng hàng ngày, điều này có thể trở thành một công việc toàn thời gian.

Demo Cài đặt thử nghiệm trên hệ thống Linux/Windows

Giới thiệu tống quan về Snort

Snort là phần mềm IDS mã nguồn mở do Martin Roesh phát triển, ban đầu được thiết kế cho hệ điều hành Unix và sau đó mở rộng sang nhiều nền tảng khác như Windows, Linux, OpenBSD, FreeBSD và Solaris Phần mềm này được công nhận với khả năng phát hiện xâm nhập xuất sắc.

Snort là một công cụ miễn phí với nhiều tính năng nổi bật Nhờ vào kiến trúc module, người dùng có khả năng tự nâng cao và mở rộng các tính năng cho hệ thống Snort của mình.

Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt:

Module giải mã gói tin của Snort sử dụng thư viện pcap để bắt mọi gói tin lưu thông trên mạng Sau khi được giải mã, các gói tin sẽ được chuyển tiếp vào module tiền xử lý để xử lý tiếp.

• Module tiền xử lý: Gồm 3 nhiệm vụ chính:

+ Kết hợp lại các gói tin + Giải mã và chuẩn hóa giao thức (decode/normalize) + Phát hiện các xâm nhập bất thường (nonrule/anormal)

Module phát hiện là phần quan trọng nhất của Snort, chịu trách nhiệm phát hiện các dấu hiệu xâm nhập Nó sử dụng các luật đã được định nghĩa trước để so sánh với dữ liệu thu thập được, từ đó xác định xem có sự xâm nhập xảy ra hay không.

Module log và cảnh báo có khả năng ghi lại hoặc thông báo khi phát hiện xâm nhập Các file log, được tạo ra dưới nhiều định dạng khác nhau như tcpdump, chứa dữ liệu quan trọng về các sự kiện mạng.

• Module kết xuất thông tin: Module này thực hiện các thao tác khác nhau tùy thuộc vào việc cấu hình lưu kết quả xuất ra như thế nào.

Thực nghiệm chạy demo trên máy ảo

• Hệ thống demo bao gồm: VMware 16, Window Server 2012 R2, Snort

Bước 1: Tiến hành khởi động phần mềm Vmware Workstation

Bước 2: Ctrl + N để mở trình tạo máy ảo mới -> Typical (recommended) -> Next

Bước 3: Installer disc_imge file (iso) -> Browse đến nơi lưu file iso hệ điều hành ->Next Bước 4: Nhập Windows product key và pass (có thể bỏ qua) -> Next

Bước 5: Đặt tên cho máy ảo và vị trí lưu trữ máy ảo

Bước 6: Phân vùng dung lượng ổ cứng cho máy ảo (để 40 GB là được) -> Next

Bước 8: Bước vào trình cài đặt windows, ta làm tương tự như khi cài đặt win máy thật

2.2 Cài đặt Snort trên Snort trên Windows Sever 2012

- Link download: https://snort.org/downloads#snort-downloads

- Download snortrules-snapshot-29111.tar.gaz tại mục Rules của https://snort.org/ (Bắt buộc phải đăng ký tài khoản)

- Double click vào file Snort_2_9_11_1_Installer và tiến hành cài đặt Snort vào ổ C:\

2.2.2: Giải nén file snortrules-snapshot-29111.tar:

- Sau đó copy toàn bộ thư mục giải nén được vào thư mục cài đặt snort (Mặc định C:\Snort), chọn Yes to All để dán đè

Hình 6 Sau khi đã copy toàn bộ thư mục giải nén vô thư mục Snort

2.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file)

- Trước tiên cần dùng lệnh ipconfig trong cmd để kiểm tra ip của máy ảo

Hình 7 Kiểm tra IP máy ảo

- IP của máy ảo là: 192.168.133.134

- Mở file C:\Snort\etc\snort.conf bằng Notepad++ để tiến hành chỉnh sửa file cấu hình từng bước như sau:

- Sửa dòng: ipvar HOME_NET any thành ipvar HOME_NET 192.168.133.134/24

Hình 8 Chỉnh sửa file cấu hình

- Sửa vị trí các thư mục rule (mặc định là c:\snort\) bằng cách:

Sửa 3 dòng : var RULE_PATH /rules var SO_RULE_PATH /so_rules

22 var PREPROC_RULE_PATH /preproc_rules Thành : var RULE_PATH c:\Snort\rules var SO_RULE_PATH c:\Snort\so_rules var PREPROC_RULE_PATH c:\Snort\preproc_rules

Hình 9 Chỉnh sửa file cấu hình

- Sửa dòng: include classification.config include reference.config Thành: include C:\Snort\etc\classification.config include C:\Snort\etc\reference.config

Hình 10 Chỉnh sửa file cấu hình

To enhance Snort's capabilities, you need to insert the following dynamic preprocessors: `sf_dce2.dll`, `sf_dnp3.dll`, `sf_dns.dll`, `sf_ftptelnet.dll`, `sf_gtp.dll`, `sf_imap.dll`, `sf_modbus.dll`, `sf_pop.dll`, `sf_reputation.dll`, `sf_sdf.dll`, `sf_sip.dll`, `sf_smtp.dll`, `sf_ssh.dll`, and `sf_ssl.dll` These files are located in the directory `c:\Snort\lib\snort_dynamicpreprocessor\`.

- Thêm luật vào file config:

+ include $RULE_PATH/.rules

+ include $RULE_PATH/white_list.rules

+ include $RULE_PATH/demo.rules

Hình 12 Thêm luật vào config

2.2.4: Mở cửa sổ Command Prompt (cmd):

- Gõ lệnh: cd C:\snort\bin

- Sau đó ta tiến hành kiểm tra card mạng bằng cách gõ lệnh Snort –W

Hình 13 Gõ lệnh trong CMD

- Ở đây số hiệu card mạng là 1 Bây giờ chúng ta tiến hành sniffer packet dùng lệnh: Snort –dev –i1

- Trong quá trình chạy snort chúng ta tiến hành ping từ client sang server

Hình 15 Lệnh Ping từ client sang server

- Ta thấy Snort đã phát hiện và đưa ra cảnh báo có máy đang ping, máy đó có địa chỉ ip là 192.168.133.1

Hình 16 Snort phát hiện và cảnh báo

Chế độ Packet Log cho phép lưu trữ các gói dữ liệu vào file log, giúp người dùng dễ dàng theo dõi thông tin Để thực hiện điều này, hãy sử dụng lệnh: snort -dev –i1 -l c:\snort\log, lệnh này sẽ ghi lại các thông tin dữ liệu tại tầng Datalink và TCP/IP.

Hình 17 Chế độ Packet Log

• Cài đặt Snort trong Service:

- Tại dấu nhắt lệnh gõ: Snort /SERVICE /INSTALL –c c:\snort\etc\snort.conf -l c:\snort\log –K ascii -i1

Hình 18 Cài đặt Snort trong Service

- Thực hiện tiếp lệnh: sc config snortsvc start= auto

Hình 19 Cài đặt Snort trong Service

- Khởi động lại Windows Server

- Sau khi khởi động lại Windows, vào Service để kiểm tra Snort được start thành công hay chưa

Hình 20 Kiểm tra Snort đã chạy trong Computer managerment chưa

2.2.5: Chạy Snort ở chế độ Detect Intrusion (IDS):

Để phát hiện, ghi nhận và cảnh báo trên các loại traffic mạng, bạn cần chỉ định thư mục chứa log file cho Snort IDS Chạy lệnh sau: snort –de –l c:\snort\log –c c:\snort\etc\snort.conf.

Hình 21 Hoàn tất khởi chạy Snort ở chế độ IDS

2.2.6: Tạo luật cảnh báo PING và demo kết quả:

- Dùng notepad++ tạo một file có tên demo, đuôi rules (demo.rules)

- Trong file viết luật phát hiện ping với nội dung như sau: alert icmp any any ->

$HOME_NET any (msg:”Canh bao co may dang ping”; sid:1234;) Save file vào đường dẫn C:\Snort\rules

- Nếu luật này chưa được include vào file snort.conf thì ta include vào, ở đây ta đã include file demo.rules ở bước 3 rồi nên không cần include nữa

- Dùng máy attacker tạo lệnh ping vào máy ảo như sau: ping 192.168.133.134 –t

Hình 22 Máy attacker đang ping

- Snort phát hiện ping và kiểm tra lại kết qua ở file alert.ids (C:\Snort\log)

Hình 23 Kết quả được ghi lại

2.2.7: Demo với luật cảnh báo Ping of Death

- Tương tự như bước 6, tạo file luật test.rules với lệnh: alert icmp any any ->

$HOME_NET any (msg: “Co Ping size lon”; dsize: > 1000; sid:222) Thêm luật vào snort.conf

Hình 24 Thêm luật báo vào snort.com

- Start lại chế độ IDS

- Tạo lệnh ping ở máy attacker như sau: ping –l 1300 –f 192.168.92.128 –t

Hình 25 Attacker đang ping gói 1300 byte tới Server

- Kiểm tra file aler.ids (c:\snort\log)

Hình 26 Kết quả được ghi lại

- Như vậy hệ thống IDS Phát hiện xâm nhập bằng Snort đã hoạt động ổn

Ngày đăng: 24/07/2021, 16:14

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w