Tìm hiểu hệ thống phát hiện xâm nhập ids – triển khai snort trên windows server 2008

Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản

005.8 TRƯỜNG ĐẠI HỌC VINH

KHOA CÔNG NGHỆ THÔNG TIN

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 1

LỜI CẢM ƠN

Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè

Với lòng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô ở khoa Công nghệ thông tin - Trường Đại học Vinh đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường Đặc biệt là các Thầy Cô trong tổ Kỹ thuật máy tính tạo mọi điều kiện tốt nhất để em có thể hoàn thành tốt Đồ án tốt nghiệp

Em xin chân thành cảm ơn Th.S Nguyễn Quang Ninh đã tận tâm hướng dẫn, chỉ bảo Nếu không có những lời hướng dẫn, dạy bảo của thầy thì em nghĩ Đồ án tốt nghiệp này rất khó có thể hoàn thiện được Một lần nữa, em xin chân thành cảm ơn thầy

Do nhiều yếu tố khách quan lẫn chủ quan nên không tránh khỏi những thiếu sót,

em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và các bạn học

để kiến thức của em trong lĩnh vực này được hoàn thiện hơn

Cuối cùng chúng em xin kính chúc các Thầy Cô trong Khoa Công nghệ thông tin

và Th.S Nguyễn Quang Ninh thật dồi dào sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao đẹp của mình đó là truyền đạt kiến thức cho thế hệ mai sau

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 2

MỤC LỤC Trang LỜI CẢM ƠN 1

LỜI MỞ ĐẦU 4

1.1 Giới thiệu về IDS 6

1.1.1 Định nghĩa về IDS 6

1.1.2 Lợi ích của IDS 8

1.1.3 Phân biệt những hệ thống không phải là IDS 8

1.1.4 Kiến Trúc và nguyên lý hoạt động IDS 9

1.2 Phân loại IDS 12

1.2.1 Network based IDS - NIDS 12

1.2.2 Host based IDS - HIDS 14

1.3 Cơ chế hoạt động của IDS 15

1.3.1 Mô hình phát hiện sự lạm dụng 16

1.3.2 Mô hình phát hiện sự bất thường 16

1.3.3 So sánh giữa hai mô hình 17

1.4 Cách phát hiện kiểu tấn công thông dụng của IDS 18

1.4.1 Tấn công từ chối dịch vụ (Denial of Service attack) 18

1.4.2 Quét và thăm dò (Scanning và Probe) 18

1.4.3 Tấn công vào mật mã (Password attack) 19

1.4.4 Chiếm đặc quyền (Privilege-grabbing) 19

1.4.5 Cài đặt mã nguy hiểm (Hostile code insertion) 20

1.4.6 Hành động phá hoại trên máy móc (Cyber vandalism) 20

1.4.7 Tấn công hạ tầng bảo mật (Security infrastructure attack) 20

CHƯƠNG II HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 22

2.1 Giới thiệu về snort 22

2.2 Kiến trúc snort 23

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 3

2.3 Thành phần và chức năng của snort 23

2.3.1 Bộ phận giải mã gói (Packet Decoder) 24

2.3.2 Bộ phận xử lý trước (Preprocessor) 24

2.3.3 Bộ phận phát hiện (Detection Engine) 25

2.3.4 Hệ thống ghi và cảnh báo (Logging and Alerting system) 25

2.3.5 Bộ phận đầu ra (output module) 26

2.4 Các chế độ làm việc của Snort 26

2.4.1 Chế độ “lắng nghe” mạng 26

2.4.2 Chế độ Packet logger 26

2.4.3 Chế độ phát hiện xâm nhập mạng (NIDS) 27

2.4.4 Inline Mode 27

2.5 Giới thiệu về bộ luật của Snort 27

2.5.1 Phần header 28

2.5.2 Phần Option 29

CHƯƠNG III CÀI ĐẶT VÀ MÔ PHỎNG SNORT TRÊN WINDOWS SERVER 2008 31

3.1 Giới thiệu kịch bản 31

3.1.1 Mô tả kịch bản 31

3.1.2 Đặt ra giải pháp 32

3.1.3 Yêu cầu 32

3.2 Thực hiện 33

3.2.1 Cài đặt và cấu hình 33

3.2.2 Download Snort: 33

3.2.3 Cài đặt Snort 34

3.2.4 Sử dụng Snort: 37

KẾT LUẬN 454

TÀI LIỆU THAM KHẢO 45

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 4

Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng

sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhàm lấy dữ liệu quan trọng

Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên em đã

chọn đề tài “Tìm hiểu hệ thống phát hiện xâm nhập IDS – Triển khai Snort trên Windows

Server 2008” để nghiên cứu

II Ý nghĩa của đề tài

- Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS

- Xây dựng bản Demo về việc phát hiện xâm nhập bằng Snort

III Đối tượng và phương pháp nghiên cứu

- Tìm hiểu về bảo mật

- Nghiên cứu những phương pháp xâm nhập hệ thống- biện pháp ngăn ngừa

- Nghiên cứu về hệ thống phát hiện xâm nhập IDS

- Nghiên cứu công cụ IDS – Snort

- Xây dựng hệ thống Snort - IDS trên Windows

- Thu thập tài liệu liên quan đến các vấn đề về đề tài

- Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập

IV Các mục tiêu của đề tài

- Tìm hiểu thông tin về bảo mật

- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 5

- Tìm hiếu và nghiên cứu các vấn đề liên quan đến chương trình snort

- Tìm hiểu và sử dụng tốt hệ điều hành Windows

- Tìm hiếu phương pháp và triển khai cài đặt Snort trên Windows

- Đưa ra một số nhận định và hướng phát triển đề tài

V Bố cục

Nội dung khóa luận tốt nghiệp gồm 3 chương:

 Chương I: Hệ thống phát hiện xâm nhập IDS

- Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS

- Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS

- Cách phát hiện kiểu tấn công thông dụng của IDS

 Chương II: Triển khai ứng dụng dò tìm xâm nhập trên hệ thống Window dựa trên Snort

- Kiến trúc Snort

- Bộ luật Snort

 Chương III: Cài đặt và Mô phỏng

- Cài đặt Snort lên hệ điều hành Windows Server 2008

- Mô phỏng tình huống để thử nghiệm công cụ Snort

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 6

CHƯƠNG I HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

1.1 Giới thiệu về IDS

Cách đây khá lâu, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành

vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên Wheel

Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được

sử dụng nhiều nhất và vẫn còn phát triển

1.1.1 Định nghĩa về IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà quản trị

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp lí để nhận ra những mối nguy hại có thê tấn công Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập

IDS cũng có thể phân biệt giữa những tấn công từ bên trong (những người trong công ty) hay tấn công từ bên ngoài (từ các Hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 7

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

- Tính chính xác (Accuracy): IDS không được coi những hành động thông

thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive)

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập

trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống)

phép nào (xâm nhập không bị phát hiện gọi là false negative) Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiên tại và tương lai

- Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại tấn công

- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái

xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện

Hình 1.1 Các vị trí đặt IDS trong mạng

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 8

1.1.2 Lợi ích của IDS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh bảo sai do định nghĩa quá chung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm

Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng

1.1.3 Phân biệt những hệ thống không phải là IDS

Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là

IDS:

- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng

- Các công cụ đánh giá lỗ hỗng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dich vụ mạng (các bộ quét bảo mật)

- Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiếm như virus, trojan horse, worm, Mặc dù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả

- Tường lửa - firewall

- Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 9

1.1.4 Kiến Trúc và nguyên lý hoạt động IDS

1.1.4.1 Thành phần của IDS

Hình 1.2 Thành phần của IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập

gói tin (Information Collection), thành phần phân tích gói tin (Dectection), thành phần phản hồi (Respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến đế hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào

Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biến cũng

có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra

từ nhiều hành động khác nhau)

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 10

1.1.4.2 Nguyên lý hoạt động

Hình 1.3 Hoạt động của IDS

Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:

(Intrustion Montorring)

- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết

hành động nào là tấn công (Intruction detection)

- Xuất thông tin cảnh báo (response): Hành động cảnh báo cho sự tấn công

được phân tích ở trên nhờ bộ phận (thông báo - Notification)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thế là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống,

cơ sở hạ tầng hợp lệ, ) - theo các chính sách bảo mật của các tố chức Một IDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 11

Phát hiện xâm nhập đôi khi có thế đưa ra các cảnh báo sai, ví dụ những vấn đề xảy

ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail

1.1.4.3 Chức năng của IDS

Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập và hữu ích cho họ, bổ sung những điếm yếu của hệ thống khác IDS có được chấp nhận là một thành phần thêm vào cho hệ thống an toàn không vẫn là câu hỏi của nhiều nhà quản trị hệ thống Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được và đây là vài lý do đưa ra tại sao chon IDS:

- Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu

- Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài

- Bảo vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp

- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp

phục, sửa chữa

Nói tóm lại có thể tóm tắt IDS như sau:

 Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ

- Giám sát: lưu lượng mạng và các hoạt động khả nghi

- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

- Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có những hành động thiết thực để chống lại kẻ xâm nhập và phá hoại

 Chức năng mở rộng:

- Phân biệt: tấn công bên trong và tấn công từ bên ngoài

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 12

1.2 Phân loại IDS

Cách thông thường nhất để phân loại các hệ thống IDS là dựa vào đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IDS được chia thành các loại sau:

- Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,

cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

- Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để

phát hiện xâm nhập

1.2.1 Network based IDS - NIDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu

hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensor

được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thế là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 13

Hình 1.4 Mô hình Network based IDS - NIDS

Ưu điểm

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Đôc lập với os (Operating System)

Nhược điểm

- Có thể xảy ra trường hợp báo động giả

- Không thể phân tích các traffìc đã được encrypt (vd: SSL, SSH, IPSec )

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn Có

độ trễ giữa thời điểm bị attack với thời điếm phát báo động Khi báo động được phát ra, hệ thống có thể đã bị tổn hại

- Không cho biết việc attack có thành công hay không

- Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy

Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào đế bảo đảm truyền thông và bảo mật tốt nhất

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 14

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cờ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tụ' của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thế sắp xếp lại những gói thông tin một cách chính xác

1.2.2 Host based IDS - HIDS

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các fíle log và những lưu lượng mạng thu thập được

Hệ thống dựa trên máy chủ cũng theo dõi os, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu

dò của mạng có thế phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không

HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đối trên hệ thống, bao gồm:

- Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay

đổi khả nghi trên hệ thống fíle sẽ gây ra báo động

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 15

Hình 1.5 Mô hình Host based IDS - HIDS

Ưu điểm

- Có khả năng xác đinh user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Nhƣợc điểm

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat )

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị DOS

1.3 Cơ chế hoạt động của IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:

các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm

dễ bị tấn công của hệ thống

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 16

hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông

thường của người dùng hay hệ thống

1.3.1 Mô hình phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào

hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điếm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng Mầu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu), dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Hệ thống này có thế xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để mô

tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép biến đổi trạng thái Điều này sẽ mang tính hiệu quả hon đối với người dùng hệ thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện

1.3.2 Mô hình phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của

hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm ra các thay đổi, các hành vi bất hợp pháp

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và

dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 17

Bao gồm:

- Cơ sở dữ liệu các dấu hiệu tấn công

- Tìm kiếm các hành động tương ứng

với các kĩ thuật xâm nhập biết đến (dựa

trên dấu hiệu - signatures)

Bao gồm:

- Cơ sở dữ liệu các hành động thông thường

- Tìm kiếm độ lệch của hành động

thực tế so với hành động thông thường

Hiệu quả trong việc phát hi.ện các

dạng tấn công hay các biến thế của các

dạng tấn công đã biết Không phát hiện

được các dạng tấn công mới

Hiệu quả trong việc phát hiện các dạng tấn công mới mà một hệ thống

phát hiện sự lạm dụng bỏ qua

Dễ cấu hình hơn do đòi hỏi ít hơn về

thu thập dữ liệu, phân tích và cập nhật

Khó cấu hình hơn vì đưa ra nhiều dữ liệu hơn, phải có được một khái niệm toàn diện về hành vi đã biết hay hành vi

được mong đợi của hệ thống

Đưa ra kết luận dựa vào phép so

khớp mẫu (pattern matching)

Đưa ra kêt quả dựa vào độ lệch giữa

thông tin thực tế và ngưỡng cho phép

Có thể kích hoạt một thông điệp

cảnh báo nhờ một dấu hiệu chắc chắn,

hoặc cung cấp dữ liệu hỗ trợ cho các

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 18

1.4 Cách phát hiện kiểu tấn công thông dụng của IDS

1.4.1 Tấn công từ chối dịch vụ (Denial of Service attack)

Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích Cuối cùng, mục tiêu trở nên không thể tiếp cận và không thể trả lời DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng

- Phá hoại Network: kiểu tấn công SYN flood là một dạng tấn công từ chối dịch

vụ, kẻ tấn công sẽ gửi các gói tin kết nối SYN đến hệ thống

- Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop các kiểu tấn công nhằm lợi dụng lỗ hống trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống Sự kiện này có thể xáy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước

- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web, Ví dụ như một email rất dài hay một số lượng email lớn có thể gây quá tải cho server của các ứng dụng đó

Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin

không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin

1.4.2 Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng hacker

có thể được sử dụng để gây hại cho hệ thống Các công cụ quét và thăm dò như: SATAN,

ISS Internet Scanner Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống

cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập

Giải Pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiếm

trước khi chúng xảy ra Host-based IDS cũng có thế có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 19

1.4.3 Tấn công vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack

- Kiếu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn công

có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng

Ví du về trộm mật mã: như nghe trộm mật mã gửi trên mạng, gửi thư, chương

trình có kèm keylogger, trojan cho người quản trị

- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã đế mong tìm được mật mã đúng Với bẻ khóa, kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay fìle chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng Với tốc độ máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điến), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị

Ví du đoán và bẻ khóa như: đoán từ tên, các thông tin cá nhân, từ các từ thông

dụng (có thể dùng khi biết usemame mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute íòrce, đoán mật mã đã mã hóa từ các từ trong tò điển

 Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố

gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới fíle đã bị mã hóa Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã

1.4.4 Chiếm đặc quyền (Privilege-grabbing)

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là

“Supervisor” Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:

- Đoán hay bẻ khóa của root hay administrator

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 20

 Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay

đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ

1.4.5 Cài đặt mã nguy hiểm (Hostile code insertion)

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp theo Ta có một số ví dụ về việc cài đặt mã nguy hiếm sau:

- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động

tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file

hệ thống, file của ứng dụng hay dữ liệu

- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, thường có hại, nhưng không có mục đích nhân bản Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống

Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các

đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm

1.4.6 Hành động phá hoại trên máy móc (Cyber vandalism)

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa

Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn

thận có thể xác định được tất cả các vấn đề liên quan đến Cyber vandalism based IDS thì có thế sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trang web

Network-1.4.7 Tấn công hạ tầng bảo mật (Security infrastructure attack)

Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của fìle Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 21

Giải pháp của IDS: Host-based IDS có thế bắt giữ các cuộc đăng nhập mà thực

hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT 22

Snort là một ứng dụng bảo mật hiện đại có ba chức năng chính: Nó có thể phục

vụ như là một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hoặc một hệ thống phát hiện xâm nhập mạng (NIDS) Bên cạnh đó có rất nhiều Add-on cho Snort để quản lý (ghi log, quản lý, tạo rules…) Tuy các thành phần này không phải là phần lõi của Snort nhưng nó lại một đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính năng của Snort

Đặc tính

 Nó hỗ trợ cho nhiều nhiều nền tảng hệ điều hành khác nhau như: Linux, OpenBSD, Solaris, Window…

 Có khả năng phát hiện một số lượng lớn các kiểu thăn dò, xâm nhập khác nhau

như: buffer oveflow, CGI-Atack, Scan, ICMP, Virus…

 Phát hiện nhanh các xâm nhập theo thời gian thực

 Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm nhập

 Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng

 Là phần mềm Open source và không tốn kém chi phí đầu tư Snort được xây dựng với mục đích thỏa mãn các tính năng cơ bản sau: Có hiệu năng cao hơn, đơn giản và có tính uyển chuyển cao