(TIỂU LUẬN) tìm HIỂU hệ THỐNG PHÁT HIỆN và NGĂN CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.97 MB, 120 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
Đề tài thực tập cơ sở
TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN
CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT
Cán bộ hướng dẫn: Lê Đức Thuận
Sinh viên thực hiện:
Trịnh Văn Dũng
Đào Thu Hường
Lớp: L02
HÀ NỘI 2016
1
Tieu luan
BÁO CÁO THỰC TẬP CƠ
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CƠNG NGHỆ THƠNG TIN
Đề tài thực tập cơ sở
TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN
CHẶN THÂM NHẬP THỬ NGHIỆM TRÊN SNORT
Nhận xét của cán bộ hướng dẫn: ......................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
Điểm chuyên cần: .............................................................................................................
Điểm báo cáo:...................................................................................................................
Xác nhận của cán bộ hướng dẫn
2
Tieu luan
BÁO CÁO THỰC TẬP CƠ
MỤC LỤC
BẢNG KÝ HIỆU.......................................................................................................... 5
DANH MỤC BẢNG BIỂU.......................................................................................... 6
DANH MỤC HÌNH VẼ............................................................................................... 6
LỜI NÓI ĐẦU.............................................................................................................. 7
PHẦN 1 : TỔNG QUAN ĐỀ TÀI............................................................................... 8
1.1. Lý do chọn đề tài................................................................................................ 8
1.2. Phân tích hiện trạng........................................................................................... 8
1.3. Nợi dung nghiên cứu.......................................................................................... 9
1.4. Ý nghĩa thực tiễn của đề tài............................................................................... 9
PHẦN 2 : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS................................................... 10
2.1. Giới thiệu về IDS/IPS....................................................................................... 10
2.1.1. Định nghĩa................................................................................................... 10
2.1.3. Sự khác nhau giữa IDS và IPS..................................................................... 11
2.2. Phân loại IDS/IPS............................................................................................. 12
2.2.1. Network based – NIDS/NIPS/NIPS.............................................................. 12
2.2.2. Host based - HIDS/HIPS............................................................................. 14
2.3. Cơ chế hoạt động của hệ thống IDS/IPS......................................................... 15
2.3.1. Phát hiện sự lạm dụng.................................................................................. 15
2.3.2. Phát hiện sự bất thường............................................................................... 16
2.3.3. So sánh giữa hai mơ hình............................................................................. 18
2.3.4. Phát hiện thông qua Protocol....................................................................... 20
2.4. Một số sản phẩm của IDS/IPS......................................................................... 21
PHẦN 3 : TỔNG QUAN VỀ SNORT - IDS/IPS...................................................... 23
3.1. Giới thiệu về snort............................................................................................ 23
3.2. Kiến trúc của Snort.......................................................................................... 23
3.2.1. Modun giải mã gói tin.................................................................................. 24
3.2.2. Mơ đun tiền xử lý......................................................................................... 24
3.2.3. Module phát hiện......................................................................................... 25
3.2.4. Module log và cảnh báo............................................................................... 26
3.2.5. Mô đun kết xuất thông tin............................................................................ 26
3.3. Bộ luật của snort............................................................................................... 27
3.3.1. Giới thiệu..................................................................................................... 27
3
Tieu luan
BÁO CÁO THỰC TẬP CƠ
3.3.2. Cấu trúc luật của Snort................................................................................ 27
3.4. Tổng quan về Iptables...................................................................................... 37
3.4.1. Iptables là gì ?............................................................................................. 37
3.4.2. Cơ chế xử lý gói tin trong iptables............................................................... 37
3.4.3. Các target..................................................................................................... 39
3.4.4. Các tham số chuyển mạch quan trọng của Iptables..................................... 40
3.5. Chế độ ngăn chặn của Snort : Snort – Inline mode kết hợp iptables...........40
3.5.1. Tích hợp khả năng ngăn chặn vào Snort...................................................... 40
3.5.2. Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode...................41
3.5.3. Chế độ Inline mode (Snort IPS)................................................................... 41
PHẦN 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN THÂM
NHẬP THỬ NGHIỆM TRÊN SNORT.................................................................... 43
4.1. Mơ hình thử nghiệm......................................................................................... 43
4.2. Thử nghiệm phát hiện và ngăn chặn của snort.............................................. 43
4.2.1. Ping Of Death attack prevent....................................................................... 43
4.2.2. Port scan Nmap Attack Prevent................................................................... 45
PHẦN 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN................................................ 47
PHẦN 6: PHỤ LỤC.................................................................................................... 48
6.1. Tài liệu thao khảo............................................................................................. 48
6.2. Cài đặt và cấu hình chi tiết Snort IDS/IPS..................................................... 48
6.2.1. Cài đặt snort IDS......................................................................................... 48
6.2.2. Cài đặt snort IPS: snort inline mode............................................................ 53
6.3. Cài đặt BASE quản lý phân tích Snort Log trên web.................................... 55
6.4. Mợt số phương thức tấn cơng và cách phịng chống...................................... 60
6.4.1. ARP Spoofing Attack.................................................................................... 60
6.4.2. SYN Flood Attack......................................................................................... 61
6.4.3. Zero Day Attack........................................................................................... 62
6.4.4. DOS - Ping Of Death Attack........................................................................ 62
4
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
BẢNG KÝ HIỆU
IDS - Intrusion Detection System: Hệ thống phát hiện xâm nhập
IPS - Intrusion Prevention Systems: Hệ thống ngăn chặn xâm nhập
VPN - Virtual Private Network: Mạng riêng ảo
DMZ - Demilitarized Zone: Vùng mạng vật lý chứa các dịch vụ bên ngoài của một tổ
chức
UTM - Unified Threat Management: Giải pháp bảo mật toàn diện
HIDS - Host Intrusion Detection System: Hệ thống phát hiện xâm nhập host
NIDS - Network Intrusion Detection System: Hệ thống phát hiện xâm nhập mạng
HIPS - Host-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập host
NIPS - Network-based Intrusion Prevention: Hệ thống ngăn ngừa xâm nhập mạng
DDOS - Distributed Denial of Service: Từ chối dịch vụ phân tán
FTP - File Transfer Protocol: Giao thức truyền tập tin
FDDI - Fiber Distributed Data Interface: Công nghệ mạng cao tốc
SLIP - Serial Line Internet Protocol: Giao thức truyền thông internet
PPP - Point-to-Point Protocol: Giao thức liên kết dữ liệu
TCP - Transmission Control Protocol: Giao thức điều khiển truyền vận
UDP - User Datagram Protocol: Giao thức truyền vận không tin cậy
DNS - Domain Name System: Hệ thống phân giải tên miền
SNMP - Simple Network Management Protocol: Giao thức quản lý mạng đơn giản
IP - Internet Protocol: Giao thức kết nối internet
ICMP - Internet Control Message Protocol: Giao thức điều khiển gói tin trên mạng
SSH - Secure Shell: Giao thức kết nối bảo mật
5
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
DANH MỤC BẢNG BIỂU
Bảng 1. So sánh giữa hai mơ hình phát hiện
Bảng 2. Các cờ sử dụng với từ khoá flags
Bảng 3. Các loại queues và chain cùng chức năng của nó
Bảng 4. Miêu tả các target mà iptables thường dùng nhất
Bảng 5. Các tham số chuyển mạch (switching) quan trọng của Iptables
DANH MỤC HÌNH VẼ
Hình 1. Đặt trước Firewall
Hình 2. Đặt giữa Firewall và DMZ
Hình 3. Là một module trong giải pháp UTM
Hình 4. Hệ thống kết hợp hai mơ hình phát hiện
Hình 5: Cấu trúc IP Header
Hình 6: Cấu trúc TCP Header
Hình 7. Mơ hình kiến trúc hệ thống Snort
Hình 8. Xử lý một gói tin Ethernet
Hình 9. Cấu trúc luật của Snort
Hình 10. Header luật của Snort
Hình 11. Mơ hình tấn cơng thử nghiệm Snort IDS/IPS
Hình 12. Snort IDS đã phát hiện Ping Of Dead từ Attacker
Hình 13. Snort IPS đã phát hiện và chặn thành cơng Ping Of Dead từ Attacker
Hình 14. Snort IDS đã phát hiện thành cơng các gói tin có giao thức TCP SYN
FIN scan từ Attacker Hình 15. Snort IDS đã hoạt động thành cơng
Hình 16. Snort IDS đã phát hiện Ping icmp từ địa chỉ nguồn 192.168.11.10 tới
địa chỉ đích là 192.168.10.13
Hình 17. Snort IPS đã phát hiện và chặn (DROP) các gói PING icmp từ
Attacker
Hình 18. Các gói tin có giao thức ICMP đã bị chặn (drop) trên máy của
Attacker
Hình 19. Giao diện chính của BASE trên web
Hình 20. Xem ARP Cache
6
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
LỜI NÓI ĐẦU
Năm 2015 và quý 1/2016, tình hình an ninh mạng trên thế giới tiếp tục diễn biến
phức tạp, liên tục phát hiện các vụ tấn cơng, xâm nhập vào hệ thống máy tính của các
cơ quan chính phủ, tổ chức chính trị, các ngành công nghiệp, kinh tế mũi nhọn, các
hãng hàng không lớn, cơ quan truyền thông, tổ chức y tế, giáo dục... của nhiều quốc
gia nhằm phá hoại, đánh cắp dữ liệu, thu thập thơng tin tình báo liên quan đến chính
sách về kinh tế, chính trị, an ninh, quốc phịng và đối ngoại. Nổi lên là các vụ tấn công
vào hệ thống thư điện tử của Bộ Ngoại giao, hệ thống máy tính của Nhà Trắng, Cơ
quan quản lý nhân sự Chính phủ Mỹ…
Trong khi đó, tình hình an ninh mạng ở Việt Nam cũng diễn biến phức tạp không
kém. Nổi bật lên trong thời gian gần đây đó là cuộc tấn công vào hệ thống Vietnam
Airlines hôm 29/07 vừa qua. Do số lượng xâm phạm ngày càng tăng khi Internet và
các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các
vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm
tra các lỗ hổng về bảo mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có
thể thành cơng trong việc làm sập một mạng hoặc dịch vụ Web của một công ty. Nhiều
phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên
Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng
ảo(VPN). Hệ thống phát hiện và ngăn chặn thâm nhập trái phép (IDS/IPS) là một
phương pháp bảo mật có khả năng chống lại các kiểu tấn cơng mới, các vụ lạm dụng
xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật
truyền thống.
Chúng em chân thành cảm ơn thầy Lê Đức Thuận đã tận tình hướng dẫn giúp
chúng em hồn thành thực tập cơ sở chuyên ngành này. Mặc dù đã cố gắng hoàn thành
đề tài nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên cịn
nhiều thiếu sót. Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy
cô. Chúng em xin chân thành cảm ơn.
Sinh viên thực hiện :
1. Trịnh Văn Dũng: SĐT : 01646568864
Email:
2. Đào Thu Hường: SĐT : 0972773240
Email:
7
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
PHẦN 1 : TỔNG QUAN ĐỀ TÀI
1.1. Lý do chọn đề tài
Chúng em thực hiện báo cáo này với mong muốn nghiên cứu những đặc trưng cơ
bản của hệ thống phát hiện và ngăn chặn thâm nhập trái phép với vai trò là phương
pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, có thể ứng dụng
vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho
người dùng.
IDS/IPS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh
báo đến người quản trị mà nó cịn cung cấp những thông tin sau:
Các sự kiện tấn công.
Phương thức tấn công.
Nguồn gốc tấn công.
Dấu hiệu tấn công.
Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn
thiết kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng
biệt. Một số lý do để thêm IDS/IPS cho hệ thống tường lửa là:
Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.
Ngăn chặn các cuộc tấn cơng được cho phép thông qua tường lửa.
Làm cho nỗ lực tấn công bị thất bại.
Nhận biết các cuộc tấn công từ bên trong.
1.2. Phân tích hiện trạng
- Trên 90% các mạng được kết nối đang sử dụng IDS/IPS để phát hiện lỗ hổng bảo
mật hệ thống.
- Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng vì các cuộc tấn cơng
mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng do sự xâm
nhập…
- Nếu sử dụng một phần mềm chống virus thì cần phải xem xét đến việc bổ sung thêm
một IDS/IPS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần
mềm chống virus không sử dụng IDS/IPS.
- Ngày nay do cơng nghệ ngày càng phát triển nên khơng có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về cơng nghệ thơng
tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm
“báo động đỏ” của an ninh mạng tồn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng
được phát hiện, hình thức tấn cơng thay đổi và có nhiều cuộc tấn cơng của giới tội
phạm cơng nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Lấy ví dụ về cuộc tấn cơng mạng chiều 29/07/2016 vào công tác phục vụ bay của các
sân bay lớn Nội Bài, Tân Sơn Nhất… là cuộc tấn cơng mạng có chuẩn bị cơng phu (sử
dụng mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả
chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu
8
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng
miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự
kiện kinh tế, chính trị.
- Hệ thống phát hiện xâm nhập và ngăn chặn trái phép IDS/IPS là một phương pháp
bảo mật có khả năng chống lại các kiểu tấn cơng mới, các vụ lạm dụng, dùng sai xuất
phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền
thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể
hiện vai trị quan trọng trong các chính sách bảo mật, an tồn thơng tin.
1.3. Nợi dung nghiên cứu
Tổng quan về đề tài
Tìm hiểu tổng quan về IDS/IPS
Tổng quan về Snort
Triển khai hệ thống phát hiện và ngăn chặn, thử nghiệm trên Snort
Kết luận và hướng phát triển
1.4. Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập và tấn công trái phép đối với hệ
thống mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp…
9
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
PHẦN 2 : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS
2.1. Giới thiệu về IDS/IPS
2.1.1 Định nghĩa
Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và
(có thể) ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên
của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính
tồn vẹn và tính sẵn sàng của hệ thống.
Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thống được bảo vệ
sau đó tiến hành phân tích những thơng tin đó theo các cách khác nhau để phát hiện
những xâm nhập trái phép. Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ
xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm
nhập hay IPS. Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ
các thơng tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối
cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
2.1.2. Vị trí đặt IDS/IPS trong mơ hình mạng
Hình 1. Đặt trước Firewall
Hình 2. Đặt giữa Firewall và DMZ
1
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
Hình 3. Là một module trong giải pháp UTM
2.1.3. Sự khác nhau giữa IDS và IPS
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt
động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất
là hệ thống IPS ngoài khả năng theo dõi, giám sát thì cịn có chức năng ngăn chặn kịp
thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập luật tương tự
như hệ thống IDS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và
“ngăn chặn”. Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và
cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó,
một hệ thống IPS ngồi khả năng phát hiện cịn có thể tự hành động chống lại các
nguy cơ theo các quy định được người quản trị thiết lập sẵn.
Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS
được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó một
số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo
đúng nghĩa.
Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy
thuộc vào quy mơ, tính chất của từng mạng máy tính cụ thể cũng như chính sách an
ninh của những người quản trị mạng. Trong trường hợp các mạng có quy mơ nhỏ, với
một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất
kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó. Tuy nhiên với các mạng lơn
hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng
như một firewall chẳng hạn. Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện
1
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
và gửi các cảnh báo đến một hệ thống ngăn chặn khác. Sự phân chia trách nhiệm này
sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quả hơn.
2.2. Phân loại IDS/IPS
Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựa vào
đặc điểm của nguồn dữ liệu thu thập được. Trong trường hợp này, các hệ thống IDS
được chia thành các loại sau:
• Host-based (HIDS/HIPS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để
phát hiện xâm nhập.
• Network-based (NIDS/NIPS): Sử dụng dữ liệu trên tồn bộ lưu thơng mạng,
cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập.
2.2.1. Network based – NIDS/NIPS
NIDS/NIPS thường bao gồm có hai thành phần logic:
• Bộ cảm biến – Sensor: đặt tại một đoạn mạng, kiểm soát các cuộc lưu thơng
nghi ngờ trên đoạn mạng đó.
• Trạm quản lý: nhận các tín hiệu cảnh báo từ bộ cảm biến và thơng báo cho một
điều hành viên.
Hình 2.2.1. Mơ hình NIDS/NIPS
Một NIDS/NIPS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau
cùng giao tiếp với một trạm kiểm soát.
1
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
Ưu điểm
• Chi phí thấp: Do chỉ cần cài đặt NIDS/NIPS ở những vị trí trọng yếu là có thể
•
•
•
•
giám sát lưu lượng tồn mạng nên hệ thống không cần phải nạp các phần mềm
và quản lý trên các máy toàn mạng.
Phát hiện được các cuộc tấn công mà HIDS/HIPS bỏ qua: Khác với
HIDS/HIPS, NIDS/NIPS kiểm tra header của tất cả các gói tin vì thế nó khơng
bỏ sót các dấu hiệu xuất phát từ đây. Ví dụ: nhiều cuộc tấn cơng DoS, TearDrop
(phân nhỏ) chỉ bị phát hiện khi xem header của các gói tin lưu chuyển trên
mạng.
Khó xố bỏ dấu vết (evidence): Các thơng tin lưu trong log file có thể bị kẻ đột
nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này
HIDS/HIPS khó có đủ thơng tin để hoạt động. NIDS/NIPS sử dụng lưu thông
hiện hành trên mạng để phát hiện xâm nhập. Vì thế, kẻ đột nhập khơng thể xố
bỏ được các dấu vết tấn cơng. Các thông tin bắt được không chỉ chứa cách thức
tấn công mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập.
Phát hiện và ngăn chặn kịp thời: NIDS/NIPS phát hiện các cuộc tấn công ngay
khi xảy ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn.
VD : Một hacker thực hiện tấn cơng DoS dựa trên TCP có thể bị NIDS/NIPS
phát hiện và ngăn chặn ngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt
cuộc tấn công trước khi nó xâm nhập và phá vỡ máy bị hại.
Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể nào đối với
công việc của các máy trên mạng. Chúng chạy trên một hệ thống chuyên dụng
dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu
hình và cắm chúng vào trong mạng tại một vị trí cho phép nó kiểm sốt các
cuộc lưu thơng nhạy cảm.
Nhược điểm:
• Bị hạn chế với Switch: Nhiều lợi điểm của NIDS/NIPS không phát huy được
trong các mạng chuyển mạch hiện đại. Thiết bị switch chia mạng thành nhiều
phần độc lập vì thế NIDS/NIPS khó thu thập được thơng tin trong tồn mạng.
Do chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó khơng thể phát
hiện một cuộc tấn công xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu
cầu tổ chức cần phải mua một lượng lớn các bộ cảm biến để có thể bao phủ hết
tồn mạng gây tốn kém về chi phí cài đặt.
• Hạn chế về hiệu năng: NIDS/NIPS sẽ gặp khó khăn khi phải xử lý tất cả các
gói tin trên mạng rộng hoặc có mật độ lưu thơng cao, dẫn đến không thể phát
hiện các cuộc tấn công thực hiện vào lúc "cao điểm". Một số nhà sản xuất đã
khắc phục bằng cách cứng hố hồn tồn IDS nhằm tăng cường tốc độ cho nó.
Tuy nhiên, do phải đảm bảo về mặt tốc độ nên một số gói tin được bỏ qua có
thể gây lỗ hổng cho tấn cơng xâm nhập.
• Tăng thơng lượng mạng: Một hệ thống phát hiện và ngăn chặn xâm nhập có thể
cần truyền một dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có
1
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
BÁO CÁO THỰC TẬP CƠ
•
•
nghĩa là một gói tin được kiểm soát sẽ sinh ra một lượng lớn tải phân tích. Để
khắc phục người ta thường sử dụng các tiến trình giảm dữ liệu linh hoạt để
giảm bớt số lượng các lưu thông được truyền tải. Họ cũng thường thêm các chu
trình tự ra các quyết định vào các bộ cảm biến và sử dụng các trạm trung tâm
như một thiết bị hiển thị trạng thái hoặc trung tâm truyền thơng hơn là thực hiện
các phân tích thực tế. Điểm bất lợi là nó sẽ cung cấp rất ít thơng tin liên quan
cho các bộ cảm biến; bất kỳ bộ cảm biến nào sẽ không biết được việc một bộ
cảm biến khác dị được một cuộc tấn cơng. Một hệ thống như vậy sẽ khơng thể
dị được các cuộc tấn công hiệp đồng hoặc phức tạp.
Một hệ thống NIDS/NIPS thường gặp khó khăn trong việc xử lý các cuộc tấn
cơng trong một phiên được mã hoá. Lỗi này càng trở nên trầm trọng khi nhiều
công ty và tổ chức đang áp dụng mạng riêng ảo VPN.
Một số hệ thống NIDS/NIPS cũng gặp khó khăn khi phát hiện các cuộc tấn
cơng mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm
cho NIDS/NIPS hoạt động sai và đổ vỡ.
2.2.2. Host based - HIDS/HIPS
Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ, thường sử
dụng các cơ chế kiểm tra và phân tích các thơng tin được logging. Nó tìm kiếm các
hoạt động bất thường như login, truy nhập file khơng thích hợp, bước leo thang các
đặc quyền không được chấp nhận. Kiến trúc IDS này thường dựa trên các luật (rulebased) để phân tích các hoạt động. Ví dụ ặc quyền của người sử dụng cấp cao chỉ có
thể đạt được thông qua lệnh su-select user, như vậy những cố gắng liên tục để login
vào account root có thể được coi là một cuộc tấn cơng.
Ưu điểm
• Xác định được kết quả của cuộc tấn công: Do HIDS/HIPS sử dụng dữ liệu log
•
•
•
lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất
bại với độ chính xác cao hơn NIDS/NIPS. Vì thế, HIDS/HIPS có thể bổ sung
thơng tin tiếp theo khi cuộc tấn công được sớm phát hiện với NIDS/NIPS.
Giám sát được các hoạt động cụ thể của hệ thống: HIDS/HIPS có thể giám sát
các hoạt động mà NIDS/NIPS không thể như: truy nhập file, thay đổi quyền,
các hành động thực thi, truy nhập dịch vụ được phân quyền. Đồng thời nó cũng
giám sát các hoạt động chỉ được thực hiện bởi người quản trị. Vì thế, hệ thống
host-based IDS/IPS có thể là một cơng cụ cực mạnh để phân tích các cuộc tấn
cơng có thể xảy ra do nó thường cung cấp nhiều thơng tin chi tiết và chính xác
hơn một hệ network-based IDS.
Phát hiện các xâm nhập mà NIDS/NIPS bỏ qua: chẳng hạn kẻ đột nhập sử dụng
bàn phím xâm nhập vào một server sẽ khơng bị NIDS/NIPS phát hiện.
Thích nghi tốt với mơi trường chuyển mạch, mã hố: Việc chuyển mạch và mã
hoá thực hiện trên mạng và do HIDS/HIPS cài đặt trên máy nên nó khơng bị
ảnh hưởng bởi hai kỹ thuật trên.
1
Tieu luan
(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT(TIEU.LUAN).tim.HIEU.he.THONG.PHAT.HIEN.va.NGAN.CHAN.THAM.NHAP.THU.NGHIEM.TREN.SNORT
