Tải bản đầy đủ (.pdf) (35 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Xây dựng tường lửa và ids

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.04 MB, 35 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA VIỄN THƠNG I

BÀI TẬP LỚN AN NINH MẠNG THÔNG TIN
XÂY DỰNG TƯỜNG LỬA VÀ IDS ĐỂ BẢO VỆ
MẠNG CÓ DÂY CHO MỘT DOANH NGHIỆP
Giảng viên :Phạm Anh Thư

Tên SV

Mã SV

Nguyễn Anh Tuấn

B19DCVT342

Ngô Thanh Thái

B19DCVT369

Nguyễn Mạnh Việt

B19DCVT433

Nguyễn Trường Sơn

B19DCVT309

Đào Trung Nam

B19DCVT262



Hà Nội – 10/2022


Bài tập nhóm Internet và các giao thức
MỤC LỤC
MỞ ĐẦU .........................................................................................................................4
DANH MỤC TỪ VIẾT TẮT ..........................................................................................5
DANH MỤC HÌNH ẢNH ...............................................................................................6
I.

TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG ...................................7
1.1

Những mối đe dọa đối với bảo mật....................................................................7

1.1.1

Phân loại theo cấu trúc ................................................................................7

1.1.2

Phân loại theo vị trí tấn cơng.......................................................................7

1.2

Các phương thức xâm nhập và phòng chống .....................................................8

1.2.1


Denial of Service – DoS ..............................................................................8

1.2.2

Sniffers ........................................................................................................8

1.2.3

Port scan ......................................................................................................9

1.2.4

ARP Spoffing ..............................................................................................9

1.3

Nhu cầu sử dụng Firewall và IDS hiện nay .......................................................9

1.3.1

Tổng quan các phương pháp bảo mật trong an ninh mạng: ........................9

1.3.2

Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS .......................11

1.4

Kết luận ............................................................................................................11


II.
FIREWALL VÀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP
TRÁI PHÉP IDS ............................................................................................................11
2.1

Firewall ............................................................................................................11

2.1.1

Tổng quan về Firewall ..............................................................................11

2.1.2

Những thiết kế cơ bản của Firewall ..........................................................16

2.2

Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS .............................18

2.2.1

Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập ......................18

2.2.2

IDS (Intrusion Detection System) .............................................................19

2.2.3
IDS


Cách phát hiện và ngăn chặn các cuộc tấn công thông dụng của hệ thống
22

2.3

Kết luận ............................................................................................................24

III. XÂY DỰNG FIREWALL VÀ IDS ĐỂ BẢO VỆ MẠNG CÓ DÂY CHO MỘT
DOANH NGHIỆP .........................................................................................................24
3.1
NHĨM 2

Xây dựng mạng có dây cho doanh nghiệp .......................................................24

2


Bài tập nhóm Internet và các giao thức
3.2

Các tiêu chí khi thiết kế một mơ hình mạng bảo mật cho doanh nghiệp .........26

3.2.1

Các bước xây dựng hệ thông mạng cho một doanh nghiệp ......................27

3.2.2

Một số mơ hình mạng nội bộ phổ biến .....................................................27


3.3

Kịch bản xây dựng ...........................................................................................29

3.3.1
3.4

Xác nhận yêu cầu từ doanh nghiệp ...........................................................29

Triển khai .........................................................................................................30

3.4.1

Khảo sát hệ thống mạng doanh nghiệp .....................................................30

3.4.2

Đánh giá và đưa ra giải pháp.....................................................................30

3.4.3

Mơ hình mạng logic cho hệ thống mạng doanh nghiệp ............................32

3.4.4

Tham khảo một số thiết bị cho doanh nghiệp ...........................................32

KẾT LUẬN ...................................................................................................................34
TÀI LIỆU THAM KHẢO .............................................................................................35


NHÓM 2

3


Bài tập nhóm Internet và các giao thức
MỞ ĐẦU
Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất cả các nhu
cầu về công việc cũng như cuộc sống. Đi kèm theo sự phát triển mạnh mẽ đó là các
yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ… Trong đó bảo mật là một
trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ cũng như người
sử dụng, không chỉ đối với các cá nhân mà cịn đặc biệt quan trọng trong các nghành
mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân hàng, tài chính… Ngay
từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất được chú trọng. Trải qua cả
một quá trình dài phát triển với rất nhiều thay đổi, các biện pháp bảo mật cũng không
ngừng phát triển và tiến bộ cả về số lượng và chất lượng: Firewall, VPN, mã hóa, các
phần mềm diệt virus,… Tùy theo các yêu cầu bảo mật cũng như các mối nguy cơ bị
tấn cơng mà có các biện pháp bảo mật tương ứng. Tuy nhiên để có sự an tồn mạng
cao nhất thì cần phải biết kết hợp các phương pháp bảo mật một các hiệu quả. Bài tập
lớn của nhóm em sẽ đi sâu vào tìm hiểu và nghiên cứu Firewall và hệ thống phát hiện
và ngăn chặn xâm nhập trái phép IDS, qua đó đưa ra các giải pháp xây dựng Filewall
và IDS để bảo vệ mạng có dây cho một doanh nghiệp. Đây là một phương pháp bảo
mật rất quan trọng luôn được sử dụng trong một hệ thống mạng. IDS phát hiện và ngăn
chặn những xâm nhập trái phép cũng như các trường hợp dùng sai quyền, nó khắc
phục các vấn đề mà các phương pháp khác như Firewall hay VPN chưa làm được.

Bài tập lớn được chia làm 3 phần:
I, Tổng quan về phòng chống xâm nhập mạng
II, Firewall và hệ thống phát hiện và ngăn chặn trái xâm nhập trái phép IDS
III, Xây dựng Firewall và IDS để bảo vệ mạng có dây cho một doanh nghiệp


Do thời gian nghiên cứu có hạn, đồng thời kiến thức của chúng em cịn hạn chế, bài
tập lớn này không thể tránh được những thiếu sót, chúng em rất mong muốn được cơ
hướng dẫn và chỉ dạy thêm. Chúng em xin được tiếp thu và cố gắng hồn thành tốt
nhất bài tập lớn này.

NHĨM 2

4


Bài tập nhóm Internet và các giao thức
DANH MỤC TỪ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

ACK

Acknowledgement

Xác nhận

ARP

Address Resolution Protocol

Giao thức mạng được dùng để tìm ra địa

chỉ phần cứng

DDoS

Distributed Denial of Service

Từ chối dịch vụ phân tán

DNS

Domain Name System

Hệ Thống Tên Miền

DoS

Denial of Service

Từ chối dịch vụ

FTP

File Transfer Protocol

Giao thức truyền tập tin

HIDS

Host Based IDS


Hệ thống phát hiện xâm phạm máy chủ

ICMP

Internet Control Message
Protocol

Giao thức xử lý các thông báo trạng thái
cho địa chỉ IP

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IP

Internet Protocol

Giao thức Internet

IPS

Intrusion Prevention Systems

Hệ thống ngăn chặn xâm nhập

IPSec


Internet Protocol Security

Giao thức mật mã bảo vệ lưu lượng dữ liệu
qua mạng IP

ISS

Internet Security Systems

Hệ thống An ninh Internet

MAC

Media Access Control

Kiểm soát truy cập phương tiện

NAT

Network Address Translate

Biên dịch ảnh hưởng mạng

NFS

Network File System

Hệ thống tệp mạng

NIDS


Network Based IDS

Hệ thống phát hiện xâm phạm mạng

PIN

Personal Identification Number

Số nhận dạng cá nhân

SMNP

Simple Network Monitoring
Protocol

Giao thức giám sát mạng đơn giản

SMTP

Simple Mail Transfer Protocol

Giao thức truyền tải thư tín đơn giản hóa

SSH

Secure Socket Shell

Mơi trường an tồn


NHĨM 2

5


Bài tập nhóm Internet và các giao thức
SSL

Secure Sockets Layer

Lớp cửa bảo mật

SYN

The Synchronous Idle
Character

Ký tự đồng bộ hoá

TCP

Transmission Control Protocol

Giao thức điều khiển truyền vận

UDP

User Datagram Protocol

Giao thức dữ liệu người dùng


VPN

Virtual Private Network

Mạng riêng ảo

DANH MỤC HÌNH ẢNH
Hình 2-1 Mơ hình Firewall............................................................................................12
Hình 2-3 Ứng dụng của Firewall ..................................................................................15
Hình 2-4 Kiến trúc Dual-homed Host ...........................................................................16
Hình 2-5 Kiến trúc Screened Host.................................................................................17
Hình 2-6 Kiến trúc Screened Subnet Host .....................................................................17
Hình 2-7 Kiến trúc sử dụng nhiều Bastion Host ...........................................................18
Hình 2-8 Kiến trúc ghép chung router trong và router ngồi.......................................18
Hình 2-9 Mơ hình Network Base IDS (NIDS) ...............................................................20
Hình 3-1 Sơ đồ kiểm tra tin nhắn trái phép...................................................................25
Hình 3-2 Một chương trình đơn giản để phát hiện một thơng báo khơng hợp lệ .........26
Hình 3-3 Mơ hình 1 cho mạng phổ biến hiện nay .........................................................28
Hình 3-4 Mơ hình 2 cho mạng phổ biến hiện nay .........................................................28
Hình 3-5 Mơ hình 3 cho mạng phổ biến hiện nay .........................................................29
Hình 3-6 Mơ hình mạng tham khảo cho doanh nghiệp .................................................32

NHÓM 2

6


Bài tập nhóm Internet và các giao thức
I.


TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG

1.1 Những mối đe dọa đối với bảo mật
Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống, chúng ta cần
phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ nghiêm trọng của
chúng. Từ đó chúng ta có thể đưa ra các đánh giá chính xác và cách phòng chống một
cách hợp lý nhất. Những mối đe dọa được biết đến có thể phân chia dựa theo cấu trúc
hoặc vị trí tấn cơng. [1]
1.1.1 Phân loại theo cấu trúc
1.1.1.1 Những mối đe dọa khơng có cấu trúc
Những mối đe dọa khơng có cấu trúc được gây ra bởi những kẻ tấn cơng ít có khả
năng lập trình và hầu hết chỉ sử dụng những công cụ hack và script được cung cấp trên
Internet. Chúng thường có tính chun mơn khơng cao và chủ yếu là do tính tị mị
cũng như những sở thích cá nhân, tuy nhiên vẫn gây ra những nguy hại cho nạn nhân:
phá hủy các chức năng mạng của hệ thống, gây gián đoạn thơng tin, …
1.1.1.2 Những mối đe dọa có cấu trúc
Những mối đe dọa có cấu trúc là những hành động cố ý, có động cơ và kỹ thuật cao.
Những kẻ tấn cơng có trình độ và kỹ năng để lập trình tạo ra các cộng cụ mới, sử dụng
các kỹ thuật hack phức tạp và hiện đại hoặc chỉnh sửa và sử dụng các công cụ theo
mong muốn của chúng. Tấn cơng kiểu có cấu trúc thường do động cơ chính trị, tiền
bạc hoặc báo thù… và có mục đích trước. Gây tổn thất nặng nề và các hậu quả nghiêm
trọng cho hệ thống mục tiêu.
1.1.2 Phân loại theo vị trí tấn cơng
1.1.2.1 Những mối đe dọa từ bên ngồi
Thường là những mối đe dọa phổ biến, gây ra bởi những kẻ khơng có quyền nào trong
hệ thống mục tiêu thông qua Internet. Những mối đe dọa loại này thường được các
doanh nghiệp đặc biệt chú ý và đề phòng. Để hạn chế tổn thất cho hệ thống từ những
mối đe dọa bên ngoài chúng ta sử dụng các hệ thống bảo vệ vành đai (Firewall).
1.1.2.2 Những mối đe dọa từ bên trong

Khi những kẻ tấn cơng có một hoặc một vài quyền trong hệ thống và thực hiện cuộc
tấn cơng từ một khu vực tin cậy trong mạng thì ta gọi đó là những cuộc tấn cơng từ
bên trong. Kẻ tấn cơng có thể chính là thành viên hoặc được sự giúp đỡ từ thành viên
trong hệ thống. Khi một kẻ xâm nhập vượt qua vành đai bảo vệ của hệ thống thì mọi
chuyện cịn lại thường rất đơn giản vì các phần tin cậy bên trong mạng thường có xu
hướng bớt nghiêm ngặt hơn. Các cuộc tấn cơng dạng này thường khó phịng chống
hơn và gây ra những tổn thất rất nghiêm trọng.
NHÓM 2

7


Bài tập nhóm Internet và các giao thức
1.2 Các phương thức xâm nhập và phòng chống
1.2.1 Denial of Service – DoS
Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và DDoS
(Distributed Denial of Service).
1.2.1.1 DoS
DoS là cuộc tấn cơng từ một người hoặc một nhóm người nào đó nhằm làm tê liệt hệ
thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay thực hiện bất
kỳ một công việc nào. DoS không cho phép ủy quyền truy cập đến máy hoặc dữ liệu,
ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ.
1.2.1.2 DDoS
DDoS được tiến hành từ một hệ thống các máy tính cực lớn trên Internet, và thường
dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET. Đây là dạng tấn
cơng cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều địa chỉ trên
Internet. Khi cuộc tấn cơng DDoS xảy ra, rất khó có thể ngưng lại vì Firewall có thể
ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết nối Internet.
Một số phương pháp phịng chống tấn cơng DDoS :



Phịng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm yếu
trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm dứt.
Các lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ của
Windows, các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá là
một trong những yêu cầu quan trọng cho việc phòng ngừa.



Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng.



Giới hạn số lượng kết nối từ một nguồn cụ thể tới server.



Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối: Có thể áp
dụng bộ lọc để giới hạn số lượng kết nối trung bình. Bộ lọc sẽ xác định
ngưỡng tốc độ kết nối cho từng đối tượng mạng.

1.2.2

Sniffers

Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thơng tin quan trọng
từ giao thông mạng đến một địa chỉ riêng với mục đích tích cực hoặc tiêu cực.
Chúng ta có thể ngăn ngừa xâm phạm trái phép sử dụng sniffers bằng các cách sau:



Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố: personal
identification number(PIN) và token card - thiết bị phần cứng hoặc phần mềm
sản sinh ra thông tin(password) một cách ngẫu nhiên tại một thời điểm. Khách
hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Dù

NHÓM 2

8


Bài tập nhóm Internet và các giao thức
hacker có học được thơng tin về password thơng qua sniffers thì chúng cũng
khơng có giá trị vì đã q hạn.


Dùng switch thay cho bridge, hup nhằm hạn chế các gói được broadcast trong
mạng và làm giảm ảnh hưởng của sniffers mặc dù khơng thể ngăn chặn hồn tồn
sniffers.



Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì chỉ có
thể bắt được các gói dữ liệu đã mã hóa.

1.2.3 Port scan
Scan port – Quét cổng thường được thực hiện trực tiếp trên một host hoặc một mạng
nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Hacker có thể dựa trên
thơng tin thu nhận được để tìm cách tấn cơng, khai thác vào server đó. Để hạn chế và
khắc phục loại tấn cơng này, có thể sử dụng Firewall hoặc IDS/IPS nhằm phát hiện,
cảnh báo, và ngăn chặn thăm dị và sau đó là xâm nhập mạng.

1.2.4 ARP Spoffing
Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là
Media Access Control (MAC) - địa chỉ của card mạng gắn vào bên trong thiết bị, nó là
duy nhất và một địa chỉ Internet Protocol (IP) - có thể thay đổi theo người sử dụng tùy
vào mơi trường mạng. ARP là một giao thức của lớp 2, chức năng của nó dùng để định
vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC
thơng qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó
chứa địa chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó
và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại,
cịn lại sẽ tự động drop. Kỹ thuật ARP Spoffing lợi dụng điểm yếu của giao thức này
đó là khơng có sự xác thực khi gửi các gói tin ARP, tức là khơng biết được ai gửi các
gói tin đó. Người tấn cơng sẽ giả các gói tin ARP reply với địa chỉ IP là của một máy
trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công. Như vậy
máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác của mình có địa
chỉ MAC do người tấn cơng gửi đến dẫn đến sai lệch trong việc gửi/nhận thông tin.
1.3 Nhu cầu sử dụng Firewall và IDS hiện nay
1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:
1.3.1.1 Firewall – Tường lửa
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái
phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả
hai.

NHÓM 2

9


Bài tập nhóm Internet và các giao thức
Firewall cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng ý

hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng. Firewall có thể được sử
dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như
họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng. Firewall còn được sử
dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh
khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài
nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời cịn có thể hạn chế lưu lượng
và điều khiển chỉ cho phép chúng đến những nơi chúng được phép đến.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ
chức, ngành hay một quốc gia và Internet. Vai trị chính là bảo mật thơng tin, ngăn
chặn sự truy nhập khơng mong muốn từ bên ngồi và cấm truy nhập từ bên trong tới
một số địa chỉ nhất định trên Internet.
Firewall chuẩn gồm một hay nhiều các thành phần sau:


Bộ lọc packet ( packet - filtering router)



Cổng ứng dụng (application-level gateway hay proxy server)



Cổng mạch (circuite level gateway)

1.3.1.2 An tồn thơng tin bằng mật mã
Mật mã là một nghành khoa học chuyên nghiên cứu các phương pháp truyền thông tin
bí mật. Mật mã bao gồm: lập mã và phá mã. Lập mã bao gồm hai q trình: mã hóa và
giải mã.
Để bảo vệ thông tin trên đường truyền, thông tin được biến đổi từ dạng nhận thức
được sang dạng không nhân thức được trước khi truyền trên mạng, quá trình này được

gọi là mã hóa thơng tin(encryption). Ở đích đến thơng tin được biến đổi ngược lại q
trình mã hóa, gọi là q trình giải mã.
1.3.1.3 VPN
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng
mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như
mạng cục bộ.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an tồn
và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một
đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối “point-to-point”
trên mạng riêng. Dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói
dữ liệu là thơng tin về đường đi cho phép nó có thể đi đến đích thơng qua mạng cơng
cộng một cách nhanh chóng. Dữ liệu được mã hóa một cách cẩn thận do đó nếu các
packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì

NHĨM 2

10


Bài tập nhóm Internet và các giao thức
khơng có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói là kết nối
VPN. Các đường kết nối VPN thường được gọi là đường ống VPN( VPN tunel).
1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyển dụng để
phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế khơng phải với
mục đích thay thế các phương pháp bảo một truyền thống, mà để hoàn thiện nó.
Một hệ thống IDS bao gồm ba thành phần logic chính:


Bộ cảm biến (Sensor): có nhiệm vụ thu thập dữ liệu. Đầu vào của bộ cảm biến

có thể là bất kỳ phần nào của hệ thống có thể chứa bằng chứng về sự xâm
nhập



Bộ phân tích: bộ phân tích nhận đầu vào từ một hoặc nhiều bộ cảm biến hoặc
từ bộ phân tích khác. Bộ phân tích có trách nhiệm xác định xem có sự xâm
nhập xảy ra hay khơng.



Giao diện người dùng: Giao diện người dùng tới hệ thống IDS cho phép người
dùng xem đầu ra từ hệ thống hoặc điều khiển hành vi của hệ thống

1.4 Kết luận
Chương 1 đã nêu tổng quan về phòng chống xâm nhập mạng: những mối đe dọa đối
với bảo mật, các phương thức xâm nhập và phòng chống xâm nhập phổ biến (DoS,
Sniffers, Port Scan, ARP Spoofing). Đồng thời, nêu được khái quát các phương pháp
bảo mật trong an ninh mạng như hiện nay : Firewall, VPN, mã hóa, IDS/IPS… Các
phương pháp nhằm đảm bảo an tồn cho thơng tin mạng và hệ thống kể trên đều có ưu
điểm và nhiệm vụ nhất định. Tuy nhiên câu hỏi đặt ra là làm thế nào để có thể phát
hiện các cuộc tấn cơng, bảo vệ mạng có dây cho một hệ thống? Firewall và IDS là giải
pháp hợp lý và câu trả lời cho câu hỏi đó. [1]

II. FIREWALL VÀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP TRÁI PHÉP IDS
2.1 Firewall
2.1.1 Tổng quan về Firewall
2.1.1.1 Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn

chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập khơng mong muốn vào hệ thống. Firewall được

NHĨM 2

11


Bài tập nhóm Internet và các giao thức
miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm sốt tất cả các luồng
lưu thơng nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.

Hình II-1 Mơ hình Firewall
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ
liệu bên trong người ta thường dùng Firewall. Firewall có cách nào đó để cho phép
người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ. Firewall có thể
là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết
hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho
mạng mà nó bảo vệ, một cho mạng bên ngồi. Firewall có thể là gateway hoặc điểm
nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là
Internet. Các firewall đầu tiên là các router đơn giản. [2]
2.1.1.2 Chức năng
Chức năng chính của Firewall là kiểm sốt luồng thông tin từ giữa Intranet và Internet.
Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng bên trong (Intranet) và mạng
Internet. Cụ thể là:


Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).




Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).



Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.



Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.



Kiểm soát người sử dụng và việc truy nhập của người sử dụng.



Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng.

2.1.1.3 Phân loại
➢ Firewall cứng
Tường lửa phần cứng là một lựa chọn hợp lý nếu bạn đang dùng các phiên bản
Windows trước đây. Nhiều điểm truy cập (access point) không dây sử dụng cho các
mạng gia đình đều được đóng gói dưới dạng tổng hợp tất cả trong một, tích hợp các
tường lửa phần cứng với các broadband router. Việc dùng một tường lửa cho hệ thống
mạng của bạn có thể đơn giản như việc thêm một máy trả lời vào đường dây điện thoại

NHÓM 2


12


Bài tập nhóm Internet và các giao thức
của bạn. Bạn chỉ cần đặt tường lửa vào kết nối Ethernet giữa modem cáp/DSL và máy
tính của bạn. (Đúng với hầu hết các loại tưởng lửa).

Hình II-2 Mơ hình Firewall cứng
Đặc điểm của Firewall cứng:


Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm).



Có thể quản lý tập trung.



Đơn giản, dễ lắp đặt, cấu hình, quản lý.



Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport).




Firewall cứng không thể kiểm tra được nột dung của gói tin.

Ví dụ Firewall cứng: NAT (Network Address Translate).
➢ Firewall mềm
Có rất nhiều nhà cung cấp Firewall bằng phần mềm mà bạn có thể sử dụng nếu bạn
dùng các phiên bản Windows trước đây. Danh sách một số nhà cung cấp:


Internet Security Systems (ISS): BlackICE PC Protection.



Network Associates: McAfee Personal Firewall.



Symantec: Norton Personal Firewall.



Tiny Software: Tiny Personal Firewall.



Zone Labs: ZoneAlarm.

Đặc điểm của Firewall mềm:


Tính linh hoạt cao như là có thể thêm, bớt các quy tắc, các chức năng.




Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)



Firewal mềm có thể kiểm tra được nội dung của gói tin (thơng qua các từ
khóa).

Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall.
2.1.1.4 Các thành phần của Firewall


NHĨM 2

Bộ lọc gói ( Packet Filtering)

13


Bài tập nhóm Internet và các giao thức
Bộ lọc gói tin cho phép hay từ chối packet mà nó nhận được. Nó kiểm tra tồn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các
số các rules hay không.


Cổng ứng dụng (Application – level Gateway)
Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt động của nó

dựa trên cách thức gọi là proxy service - các bộ code đặc biệt cài đặt trên cổng
ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng khơng cài đặt proxy
service cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp
và do đó khơng thể chuyển thơng tin qua firewall. Ngồi ra, proxy code có thể
được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người
quản trị cho là chấp nhận được trong khi từ chối những đặc điểm khác.



Cổng vòng ( Circuit – level gateway)
Circuit Level Gateway – cổng vòng – là một chức năng đặc biệt có thể thực
hiện bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ là chuyển tiếp các kết
nối TCP mà khơng thực hiện bất kì một hành động xử lý hay lọc gói nào.

2.1.1.5 Nguyên lý hoạt động
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật
toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn
là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các
gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng,
tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các
packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi
packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ
liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc
packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép
truyền các packet đó ở trên mạng. [1] Bao gồm:


Địa chỉ IP nơi xuất phát (Source)




Địa chỉ IP nơi nhận (Destination)



Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel ...)



Cổng TCP/UDP nơi xuất phát



Cổng TCP/UDP nơi nhận



Dạng thông báo ICMP



Giao diện packet đến



Giao diện packet đi

NHÓM 2

14



Bài tập nhóm Internet và các giao thức
Nếu packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet đó
được chuyển qua, nếu khơng thỏa mãn thì sẽ bị loại bỏ. Việc kiểm sốt các cổng làm
cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới
vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header
của các packet nên bộ lọc khơng kiểm sốt được nội dung thơng tin của packet. Các
packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin
hay phá hoại của kẻ xấu.
2.1.1.6 Ứng dụng của Firewall

Hình II-3 Ứng dụng của Firewall
Nếu máy tính của bạn khơng được bảo vệ, khi bạn kết nối Internet, tất cả các giao
thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và
lấy cắp thơng tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để
tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính của bạn để tấn cơng
một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có
thể giúp bạn thốt khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn.
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :


Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu về tính bảo
mật, tính tồn vẹn và tính kịp thời.



Tài nguyên hệ thống.




Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.

FireWall là hệ thống bảo vệ chống lại những sự tấn cơng từ bên ngồi như:


Tấn công trực tiếp



Nghe trộm



Gỉa mạo địa chỉ IP



Vô hiệu hóa các chức năng của hệ thống



Lỗi người quản trị hệ thống

NHÓM 2

15


Bài tập nhóm Internet và các giao thức

2.1.2 Những thiết kế cơ bản của Firewall
2.1.2.1 Dual-homed Host
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed
host. Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network
interface, nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do
đó máy tính này đóng vai trị là router mềm. Kiến trúc dual - homed host rất đơn giản,
máy dual - homed host ở giữa, một bên được nối với internet và bên còn lại nối với
mạng nội bộ (mạng cần được bảo vệ).
Gồm có các đặc điểm sau:


Phải disable chức năng routing của dual-homed host để cấm hòan tồn lưu
thơng IP từ ngịai vào



Các hệ thống bên trong và bên ngồi dual-homed host chỉ có thể liên lạc
với dual-homed host mà chúng không liên lạc trực tiếp được với nhau.



Dual-homed host cung cấp dịch vụ thông qua proxy server hoặc login trực
tiếp vào dual-homed host

Hình II-4 Kiến trúc Dual-homed Host
2.1.2.2 Kiến trúc Screened Host
Trong kiến trúc này chức năng bảo mật chính được cấp bởi chức năng packet filtering
tại screening router. Packet filtering trên screening router được setup sao cho bastion
host là máy duy nhất trong internal network mà các host trên internet có thể mở kết nối
đến.Packet filtering cũng cho phép bastion host mở các kết nối (hợp pháp) ra bên

ngoài (external network).
Thường Packet filtering thực hiện các cơng việc như sau :


NHĨM 2

Cho phép các internal hosts mở kết nối đến các host trên internet đối với
một số dịch vụ được phép.

16


Bài tập nhóm Internet và các giao thức


Cấm tất cả kết nối từ các internal hosts .

Khi hacker đã tấn cơng được vào bastion host thì khơng cịn một rào chắn nào cho các
internal hosts.

Hình II-5 Kiến trúc Screened Host
2.1.2.3 Kiến trúc Screened Subnet Host
Thêm một perimeter network để cô lập internal network với internet. Như vậy dù
hacker đã tấn cơng được vào bastion host vẫn cịn một rào chắn nữa phải vượt qua là
interior router. Các lưu thông trong internal network được bảo vệ an toàn cho dù
bastion đã bị“chiếm”. Các dịch vụ nào ít tin cậy và có khảnăng dễ bị tấn cơng thì nên
để ở perimeter network. Bastion host là điểm liên lạc cho các kết nối từ ngồi vào như:
SMTP, FTP, DNS. Cịn đối với việc truy cập các dịch vụ từ internal clients đến các
server trên internet thì được điều khiển như sau :



Setup packet filtering trên cả hai exterior và interior router để cho phép
internal clients truy cập các servers bên ngoài một cách trực tiếp.



Setup proxy server trên baotion host để cho phép internal clients truy cập
các servers bên ngoài một cách gián tiếp.

Hình II-6 Kiến trúc Screened Subnet Host
NHĨM 2

17


Bài tập nhóm Internet và các giao thức
2.1.2.4 Sử dụng nhiều Bastion Host
Với mơ hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)
một phần nào đó khơng bị ảnh hưởng bởi những hoạt động của người sử dụng bên
ngồi mạng (external user).

Hình II-7 Kiến trúc sử dụng nhiều Bastion Host
2.1.2.5 Kiến trúc ghép chung router trong và router ngoài
Router phải cho phép áp dụng các luật cho dịng packet đi vơ và đi ra trên mỗi
interface. Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi
lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router
ngoài nằm ở giữa kiến trúc Screened host và Screened Subnet host.

Hình II-8 Kiến trúc ghép chung router trong và router ngoài
2.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS

2.2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập
Phát hiện xâm nhập: là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy
tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp

NHÓM 2

18


Bài tập nhóm Internet và các giao thức
pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại
đến tính tồn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ
chế bảo mật của hệ thống máy tính hay mạng đó.
Ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ
làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có
hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở
đây là một hệ thống hồn hảo – khơng có báo động giả nào làm giảm năng suất người
dùng cuối và khơng có từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường.
2.2.2 IDS (Intrusion Detection System)
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để
phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải với
mục đích thay thế các phương pháp bảo mật truyền thống, mà để hồn thiện nó.
2.2.2.1 Chức năng
Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ


Giám sát: lưu lượng mạng và các hoạt động khả nghi.




Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị



Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Chức năng mở rộng:



Phân biệt: tấn công bên trong và tấn cơng bên ngồi



Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lượng mạng hiện tại với baseline

2.2.2.2 Phân loại
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)
a. Host Based IDS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, HIDS dựa trên máy chủ
quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng
thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống,
lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ.
Ưu điểm của HIDS

Nhược điểm của HIDS

- Có khả năng xác định user liên quan - Thông tin từ HIDS là không đáng tin
tới một event.

cậy ngay khi sự tấn công vào host này
- Có khả năng phát hiện các cuộc tấn thành cơng.

NHĨM 2

19


Bài tập nhóm Internet và các giao thức
cơng diễn ra trên một máy, NIDS không - Khi OS bị "hạ" do tấn cơng, đồng thời
có khả năng này.
HIDS cũng bị "hạ".
- Có thể phân tích các dữ liệu mã hố.

- Phải được thiết lập trên từng host cần
- Cung cấp các thông tin về host trong giám sát .
lúc cuộc tấn cơng diễn ra trên host này.
- Khơng có khả năng phát hiện các cuộc
dò quét mạng (Nmap, Netcat...).
- Cần tài ngun trên host để hoạt động.
- Có thể khơng hiệu quả khi bị DOS.
- Đa số chạy trên hệ điều hành Window,
số ít chạy được trên những hệ điều hành
khác.

b. Network Base IDS (NIDS)

Hình II-9 Mơ hình Network Base IDS (NIDS)
Hệ thống NIDS dựa trên mạng sử dụng bộ dị và bộ cảm biến cài đặt trên tồn mạng.
Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những

mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và
phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay
dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình
nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor
NHÓM 2

20


Bài tập nhóm Internet và các giao thức
được đặt ở tồn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã
được định nghĩa để phát hiện đó là tấn cơng hay khơng.
Ưu điểm của NIDS

Nhược điểm của NIDS

- Quản lý được cả một network segment - Có thể xảy ra trường hợp báo động giả
(gồm nhiều host)
(false positive).
- "Trong suốt" với người sử dụng lẫn kẻ - Khơng thể phân tích các traffic đã được
tấn cơng
encrypt (vd: SSL, SSH, IPSec...)
- Cài đặt và bảo trì đơn giản, khơng ảnh
hưởng tới mạng

- Địi hỏi được cập nhật các signature mới
nhất để thực sự an toàn

- Tránh DOS ảnh hưởng tới một host nào - Có độ trễ giữa thời điểm bị attack với
đó.

thời điểm phát báo động.
- Có khả năng xác định lỗi ở tầng - Khơng cho biết việc attack có thành
Network (trong mơ hình OSI)
công hay không.
- Độc lập với OS
2.2.2.3 Kiến trúc và nguyên lý hoạt động
IDS/IPS bao gồm các thành phần chính:
a. Thành phần thu thập gói tin
Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến mạng. Thơng thường các gói
tin có địa chỉ đích khơng phải là của một card mạng thì sẽ bị card mạng đó hủy bỏ
những card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua
chúng đều được sao chụp, xử lý, phân tích đến từng trường thơng tin. Bộ thu thập gói
tin sẽ đọc thơng tin từng trường trong gói tin, xác định chúng thuốc kiểu gói tin nào,
dịch vụ gì...Các thơng tin này được chuyển đến thành phần phát hiện.
b. Thành phần phát hiện gói tin
Bộ cảm biến đóng vai trị quyết định trong thành phần này. Bộ cảm biến được tích hợp
với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định
bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện
(hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện,
có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này
cùng với thơng tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên
ngồi. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực
tiếp đến bộ phân tích mà khơng có sự lưu dữ liệu nào được thực hiện.
Phương thức phát hiện:

NHÓM 2

21



Bài tập nhóm Internet và các giao thức


Misuse - based system

Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn
cơng, đó là knowledge-based và signature-based.
Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng
tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ
liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện khơng trùng với bất cứ
dạng tấn cơng nào thì được coi là những hành động chính đáng.
Hệ signature-based sử dụng định nghĩa trừu tượng để mô tả về tấn cơng gọi là dấu
hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn cơng. Ví
dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên
quan đến kiểu tấn cơng đã biết. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh
trực tiếp với thơng tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so
sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh
báo.


Anomaly – based system

Anomaly-based system dựa trên giá thiết là những hành động không bình thường là có
ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống
rồi mới xác định các hành động khơng bình thường (như những hành động không phù
hợp với mẫu hành động đã cho).
c. Thành phần phản hồi
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, thành phần phát hiện tấn cơng sẽ gửi
tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Khi đó
thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn

công, hay cảnh báo tới người quản trị:


Cảnh báo thời gian thực: gửi các cảnh báo thời gian thực đến người quản trị
để họ nắm được chi tiết các cuộc tấn công, đặc điểm thông tin về chúng.



Ghi lại vào tập tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ
thống các tập tin log. Mục đích là để những người quản trị có thể theo dõi
các luồng thơng tin và là nguồn thông tin giúp cho module phát hiện tấn
công hoạt động.



Hỗ trợ Firewall: Thông báo cho tường lửa ngăn chặn, từ chối, xóa bỏ hoặc
thay đổi nội dung gói tin.

2.2.3 Cách phát hiện và ngăn chặn các cuộc tấn cơng thơng dụng của hệ thống IDS


NHĨM 2

Denial of Service attack (Tấn công từ chối dịch vụ)

22


Bài tập nhóm Internet và các giao thức
Giải pháp của IDP: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói

tin khơng mong muốn từ bên ngồi, tuy nhiên Network IDS có thể phát hiện
được các tấn cơng dụng gói tin.


Scanning và Probe (Qt và thăm dị)
Giải pháp của IDP: Network-based IDP có thể phát hiện các hành động nguy
hiểm trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong
trường hợp này để có thể chống các kiểu tấn cơng như vậy trước khi có thiệt
hại. Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này, nhưng
không hiệu quả bằng giải pháp dựa trên mạng.



Password attack (Tấn công vào mật mã)
Giải pháp của IDP: Một Network-based IDP có thể phát hiện và ngăn chặn cố
gắng đốn mã (có thể ghi nhận sau một số lần thử khơng thành cơng), nhưng
nó khơng có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa
chứa mật mã hay chạy các chương trình bẻ khóa. Trong khi đó Host-based
IDP lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát
hiện truy nhập trái phép tới file chứa mật mã.



Privilege-grabbing (Chiếm đặc quyền)
Giải pháp của IDP: Cả Network và Host-based IDP đều có thể xác định việc
thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra
trên thiết bị chủ. Do Host-based IDP có thể tìm kiếm được những người dùng
khơng có đặc quyền đột nhiên trở thành có đặc quyền mà khơng qua hệ thống
thơng thường, Host-based IDP có thể ngừng hành động này. Ngoài ra hành
động chiếm đặc quyền của hệ điều hành và ứng dụng có thể được định nghĩa

trong tập các dấu hiệu tấn công của Networkbased IDP nhằm ngăn chặn việc
tấn công xảy ra.



Hostile code insertion (Cài đặt mã nguy hiểm)
Giải pháp của IDP: Cài đặt các phần mềm bảo mật có tác dụng chống virus và
các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp
hiệu quả nhất để giảm mức độ nguy hiểm. Các file quan trọng được quản lý
bằng Host IDP có thể đảm bảo rằng chương trình và file quan trọng của hệ
điều hành không bị điều khiển. Kết hợp với các sự kiện khác, IDP có thể xác
định được cố gắng cài đoạn mã nguy hiểm, ví dụ như nó có thể phát hiện được
ai đó định thay chương trình ghi log bằng một backdoor. Network-based IDP
cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục đích kiểm tra
tính tồn vẹn.



NHĨM 2

Cyber vandalism (Hành động phá hoại trên máy móc)

23


Bài tập nhóm Internet và các giao thức
Giải pháp của IDP: Đối với giải pháp của Host-based IDP, cài đặt và cấu hình
cần thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism.
Ví dụ như mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm
kê của thiết bị mà trang web nằm trên đó. Khơng chỉ được cấu hình để quản lý

mọi thay đổi trên trang web, Host-based IDP cịn có thể thực hiện các hành
động đối phó, là những hành động được Security Administrator cấu hình.
Network-based IDP thì có thể sử dụng dấu hiệu tấn cơng được định nghĩa
trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng
dụng cũng như xóa file và thay đổi trang web.
2.3 Kết luận
Trong chương 2 đã đưa ra các khái niệm rất chi tiết và cụ thể về Firewall và xâm nhập
trái phép, phát hiện, ngăn chặn xâm nhập trái phép. Các hệ thống Firewall và IDS cũng
được trình bày cụ thể về cấu trúc, chức năng, vị trí và nguyên tắc hoạt động nhằm đưa
ra cái nhìn trực diện và rõ ràng nhất.

III. XÂY DỰNG FIREWALL VÀ IDS ĐỂ BẢO VỆ MẠNG CÓ
DÂY CHO MỘT DOANH NGHIỆP
3.1 Xây dựng mạng có dây cho doanh nghiệp
Mạng có dây hoặc Ethernet có thể truyền dữ liệu từ 10 Mbps đến 1000 Mbps, tùy
thuộc vào loại cáp bạn sử dụng. Gigabit Ethernet cung cấp tốc độ truyền nhanh nhất
lên đến 1 gigabit mỗi giây (1000 Mbps).
➢ Thuận lợi :


Mạng Ethernet có độ an tồn cao và nhanh chóng.



Mạng Ethernet an tồn hơn mạng khơng dây vì chúng được chứa đầy đủ.



Mạng Ethernet không bị ảnh hưởng bởi sự can thiệp của các vật thể hoặc
bức tường.


➢ Hạn chế :


Phải chạy cáp Ethernet giữa mỗi thiết bị và một trung tâm, bộ chuyển mạch
hoặc bộ định tuyến. Có thể tốn nhiều thời gian và khó khăn khi các thiết bị
ở các phịng khác nhau.



Phần cứng đắt hơn.

Quy trình kiểm tra một gói tin của IDS trong một doanh nghiệp :


NHĨM 2

Một host tạo ra một gói tin mạng

24


Bài tập nhóm Internet và các giao thức


Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho
nó có thể đọc tất cả các gói tin).




Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào
có dấu hiệu vi phạm hay khơng. Khi có dấu hiệu vi phạm thì một cảnh báo
sẽ được tạo ra và gửi đến giao diện điều khiển.



Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thơng báo cho
một người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa
sổ popup, trang web v.v…).



Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.



Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ
hoặc trên cơ sở dữ liệu).



Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.



Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là
cuộc tấn cơng hay khơng.

Ví dụ: Khi một khung dữ liệu được gửi bởi một ECU trên bus, bất kì ECU trong cùng

một miền có thể nhận và kiểm tra. Sau khi nhận được thông điệp bởi nút IDS, cần
được phân loại theo ID. Với ID thơng báo được nhận diện bởi các thuộc tính và hành
vi của thông báo. Thông báo được trải qua một số lần kiểm tra với thuật toán xây
dựng, nếu vượt qua sẽ không bị gắn cờ. Trong trường hợp phát hiện thơng tin báo xấu
có, hệ thống sẽ ghi lại.

Hình III-1 Sơ đồ kiểm tra tin nhắn trái phép

NHÓM 2

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×