Y BAN NHÂN DÂN THNH PH H CH MINH
TRƯNG ĐI HC SI GN



NGÔ VĂN CHƠN
LÊ TH MNG VÂN


XÂY DNG H THNG SNORT
IDS – IPS TRÊN CENTOS

KHA LUN TT NGHIP



NGNH: CÔNG NGH THÔNG TIN
TRNH Đ ĐO TO: ĐI HC


NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG

TP.H CH MINH, THNG 10 NĂM 2013
i


Y BAN NHÂN DÂN THNH PH H CH
MINH
TRƯNG ĐI HC SI GN



NGÔ VĂN CHƠN
LÊ TH MNG VÂN


XÂY DNG H THNG SNORT
IDS – IPS TRÊN CENTOS

KHA LUN TT NGHIP



NGNH: CÔNG NGH THÔNG TIN
TRNH Đ ĐO TO: ĐI HC


NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG
NGƯI PHN BIN: ThS. NGUYN MINH THI





TP.H CH MINH, THNG 10 NĂM 2013


Lời cam đoan - ii - Ngô Văn Chơn - Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
LI CAM ĐOAN

Tôi xin cam đoan đây l công trnh nghiên
cu ca riêng tôi, cc s liu v kt qu nghiên
cu nêu trong lun văn l trung thc, đưc cc
đng tc gi cho php s dng v chưa tng đưc
công b trong bt k mt công trnh no khc.

Tc gi lun văn






Ngô Văn Chơn Lê Th Mng Vân
Lời cm ơn - iii - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
LI CM ƠN



Trong suốt thời gian học tp tại Đại Học Sài Gòn, chúng em đã nhn được rất
nhiều sự quan tâm và tn tình chỉ bo của các thầy cô. Nhờ đó mà chúng em đã tiếp
thu được không ít các kiến thức cùng kinh nghiệm quý bu trong lĩnh vực Công nghệ
thông tin. Các kiến thức và kinh nghiệm này là một hành trang vững chắc cho chúng
em trong học tp cũng như trong công việc sau này.
Chúng em xin gửi lời cm ơn chân thành đến thầy PGS.TS Trần Công Hùng, mặc
dù hết sức bn rộn nhưng thầy vẫn dành thời gian để truyền đạt cho chúng em những
kiến thức bổ ích, chia sẻ những kinh nghiệm quý bu cũng như tn tình hướng dẫn
chúng em trong quá trình thực hiện Lun văn tốt nghiệp để giúp chúng em hoàn thành
bài Lun văn này.
Chúng em xin chân thành gửi đến quý Thầy Cô lời cm ơn sâu sắc nhất. Kính
chúc quý thầy cô dồi dào sức khỏe và đạt nhiều thành công trong công việc và cuộc
sống.
Trong quá trình thực hiện Lun văn này, dù đã cố hết sức nhưng không trnh khỏi
thiếu sót. Vì thế, chúng em rất mong nhn được các ý kiến góp ý cũng như những chỉ
bo để chúng em có thể hoàn thiện và phát triển đề tài này hơn nữa
TP.H Chí Minh, ngy 10 thng 10 năm 2013
Nhóm sinh viên thực hiện
Ngô Văn Chơn
Lê Thị Mộng Vân




Mục lục - 1- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng

MC LC

TRANG PH BÌA .…………………………………………………………… i
LI CAM ĐOAN ii
LI CM ƠN iii
DANH MC CÁC CM TỪ VIẾT TẮT 5
DANH MC CÁC BNG 7
DANH MC CÁC HÌNH VẼ 7
MỞ ĐU 8
CHƯƠNG I. TỔNG QUAN VỀ IDS 9
Giới thiệu về IDS. 9
Chức năng của IDS. 9
Các thành phần cơ bn của IDS. 10
Kiến trúc IDS. 10
Thành phần thu thp thông tin: 11
Thành phần phát hiện. 11
Thành phần phn ứng. 12
Phân loại IDS. 12
Network-Based IDS. 12
Host-Based IDS. 13
Distributed IDS. 14
Các loại IDS khác. 16
CHƯƠNG II. TỔNG QUAN VỀ IPS 17
Giới thiệu về IPS. 17
Kiến trúc IPS. 17
Module phân tch gói 17
Module pht hiện tấn công 17
Module phn ứng 19
Phân loại IPS 20
Mục lục - 2- Ngô Văn Chơn - Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Phân loại triển khai IPS 20
Promiscuous Mode IPS 20
In-line IPS. 21
Công nghệ ngăn chặn xâm nhp IPS. 22
Signature - Based IPS. 22
Anomaly-Based IPS. 22
Policy-Based IPS. 23
Protocol Analysis-Based IPS. 24
So snh IDS và IPS 24
CHƯƠNG III. FIREWALL 26
Các loại Firewall. 26
Firewall cứng 26
Firewall mềm 26
Chức năng của Firewall. 27
Nguyên lý hoạt động 27
Ưu điểm của Firewall 27
Nhược điểm của Firewall. 28
Sự khác nhau của Firewall và IDS. 28
CHƯƠNG IV. TM HIỂU VỀ SNORT 30
Giới thiệu về hệ thống Snort. 30
Kiến trúc của Snort: 31
Packet Decoder 32
Preprocessors 32
Detection Engine 34
Logging and Alerting System. 35
Output Modules. 35
Các chế độ hoạt động của Snort. 36

Sniffer mode. 36
Packet Logger mode. 38
Mục lục - 3- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Network Intrusion Detection System (NIDS) mode. 38
Inline mode. 40
Snort Rules. 41
Giới thiệu. 41
Cấu trúc lut của Snort. 41
CHƯƠNG V. CI ĐẶT VÀ CẤU HÌNH SNORT 63
Cài đặt Snort. 63
5.1.1. Cài đặt cc thư viện cần thiết cho việc cài đặt Snort: 63
Cài đặt libdnet: 64
Cài đặt DAQ: 64
Cài đặt Snort: 65
Cài đặt barnyard2: 68
Cấu hình mysql: 68
Cài đặt adodb5: 69
Cài đặt BASE: 69
Tùy chỉnh cấu hình Snort: 70
Cấu hình Snort và các phần bổ sung: 71
Các biến trong Snort: 71
Cấu hình Preprocessor: 73
Cấu hình Output Modules. 80
Cài đặt và cấu hình Swatch 82
CHƯƠNG VI. XÂY DNG H THNG, KIỂM TRA HOT ĐNG CA
SNORT IDS/IPS
Thiết kế hệ thống. 84

Kiểm tra hoạt động của Snort IDS/IPS. 84
Sử dụng BASE qun lý cnh báo bằng giao diện. 84
Sử dụng Snort phát hiện tấn công ARP Spoofing. 85
Sử dụng Snort phát hiện scan port vào hệ thống. 86
Sử dụng Snort phát hiện và ngăn chặn các cuộc tấn công từ chối dịch vụ
DoS. 87
Mục lục - 4- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Snort hiển thị cnh bo bằng email 90
KẾT LUN 91
Kết qu đạt được 91
Hạn chế và hướng phát triển 91
TÀI LIU THAM KHO 93
PH LC 94
CÁC KỸ THUT XỬ LÝ TRONG IDS. 94
1. Hệ thống Expert (Expert systems). 94
2. Phát hiện xâm nhp dựa trên lut (Rule-Based Intrusion Detection) 94
3. Phân biệt ý định người dùng (User intention Identification). 94
4. Phân tích trạng thái phiên (State-Transition Analysis). 95
5. Phương php phân tch thống kê (Statistical Analysis Approach) 95







Danh mục từ viết tắt - 5- Ngô Văn Chơn-Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
DANH MC CÁC CM TỪ VIẾT TẮT

API : Application Programming Interface
ARP : Address Resolution Protocol
ASCII : American Standard Code for Information Interchange
BASE : Basic Analysis and Security Engine
BSD : Berkeley Software Distribution
CPU : Central Processing Unit
DDoS : Distributed Denial of Service
DIDS : Distributed IDS
DMZ : Demilitarized Zone
DNS : Domain Name System
DoS : Denial of Service
FDDI : Fiber Distributed Data Interface
FTP : File Transfer Protocol
HIDS : Host-Based IDS
HIPS : Host-Based IPS
HTTP : Hypertext Transfer Protocol
ICMP : Internet Control Message Protocol
IDS : Intrusion Detection System
IP : Internet Protocol
IPS : Intrusion Prevention System
MTU : Maximum Transmission Unit
NAT : Network Address Translation
Danh mục từ viết tắt - 6- Ngô Văn Chơn-Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
NBAS : Network Behavior Analysis System
NetBIOS : Network Basic Input/Output System
NIDS : Network-Based IDS
NIPS : Network-Based IPS
OSI : Open Systems Interconnection
PPP : Point-to-Point Protocol
RFC : Request for Comments
RPC : Remote Procedure Call
SLIP : Serial Line Internet Protocol
SMB : Server Message Block
SMS : Short Message Service
SNMP : Simple Network Management Protocol
SQL : Structured Query Language
TCP : Transport Control Protocol
TELNET : Terminal Network
TTL : Time to Live
UDP : User Datagram Protocol
URL : Uniform Resource Locator
VPN : Virtual Private Network
WIDS : Wireless IDS
XML : Extensible Markup Language


Danh mục các bng và hình vẽ - 7- Ngô Văn Chơn-Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
DANH MC CÁC BNG


STT
Tên Bảng
Trang
1
Bng 3.1 Sự khác nhau của Firewall và IDS
29
2
Bng 4.1 Cc tùy chọn trong chế độ Sniffer
36
3
Bng 4.2 Các tùy chọn cnh báo ở chế độ NIDS
39

DANH MC CÁC HÌNH VẼ

STT
Tên Hình Vẽ
Trang
1
Hình 1.1 Kiến trúc của hệ thống IDS
11
2
Hình 1.2 Network-Based IDS
13
3
Hình 1.3 Host-Based IDS
14
4
Hình 1.4 Distributed IDS
15

5
Hình 2.1 Hệ thống Promiscuous mode IPS
21
6
Hình 2.2 Hệ thống In-line IPS
21
7
Hình 2.3 Hệ thống Signature-Based IPS
22
8
Hình 2.4 Hệ thống Anomaly-Based IPS
23
9
Hình 2.5 Hệ thống Policy-Based IPS
24
10
Hình 4.1 Kiến trúc Snort
31
11
Hình 4.2 Quá trình gii mã gói tin Ethernet
32
12
Hình 4.3 Các thành phần của rules
41
13
Hình 4.4 Cấu trúc Rule header
41
14
Hình 6.1 Mô hình mạng
84

15
Hình 6.2 Giao diện BASE
85
16
Hình 6.3 Phát hiện ARP Spoofing
86
17
Hình 6.4 Phát hiện tấn công Scan port
87
18
Hình 6.5 Trước khi tấn công DoS
87
19
Hình 6.6 Tấn công DoS
88
20
Hình 6.7 Ngăn chặn Dos
89
21
Hình 6.8 Cnh bo tấn công Dos
89
22
Hình 6.9 Giao diện cnh bo qua email
90





Mở đầu - 8- Ngô Văn Chơn-Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng

MỞ ĐU

Trong bối cnh hiện nay, khi Internet phủ khắp toàn cầu và trực tiếp tc động đến
sự phát triển toàn diện của hầu hết cc lĩnh vực trong đời sống như: Kinh tế, chính
trị, văn hóa, xã hội, an ninh quốc phòng thì an ninh mạng và bo mt dữ liệu trở
thành một vấn đề mang tính chất “sống còn” của các quốc gia, tổ chức và doanh
nghiệp. Bên cạnh đó, cc cuộc tấn công mạng ngày càng gia tăng, với mức độ tinh vi
cũng như sức tàn phá mạnh hơn bao giờ hết. Chính vì thế đòi hỏi các quốc gia, tổ
chức, doanh nghiệp trên toàn thế giới cần phi đầu tư vào cc chnh sch an ninh và
bo mt mạng nhiều hơn nữa.
Triển khai một hệ thống mạng và xây dựng được cơ chế bo mt chặt chẽ, an
toàn là biện pháp duy nhất duy trì tính bền vững cho hệ thống của quốc gia, tổ chức,
doanh nghiệp đó.
Như đã đề cp đến, các cuộc tấn công mạng ngày càng tăng, tinh vi hơn, tàn ph
nghiêm trọng hơn và gây tổn thất nặng nề hơn. Vì thế, cần phi am hiểu các cách thức
tấn công và phát hiện một cách kịp thời để có thể tìm ra các biện pháp phòng chống
cũng như ngăn chặn, để làm gim các tổn thất gây ra ở mức thấp nhất. Đó là lý do để
nhóm chúng em thực hiện bài lun văn về “Xây dựng hệ thống Snort IDS-IPS trên
CentOS” này.









Chương I. Tổng quan về IDS - 9- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
CHƯƠNG I. TỔNG QUAN VỀ IDS
Giới thiệu về IDS.
IDS (Intrusion Detection System: Hệ thống phát hiện xâm nhp) là hệ thống an
ninh (có thể là phần mềm, phần cứng hoặc kết hợp c hai). Nó gim st, phân tch lưu
thông mạng và dữ liệu để nhn biết, cung cấp thông tin và đưa ra cnh báo khi có
những hành động kh nghi, xâm nhp tri phép cũng như khai thc tài nguyên bất
hợp pháp trên hệ thống mạng cho nhà qun trị bằng việc hiển thị cnh báo, ghi
logfile và phn ứng lại bằng cc hành động đã được thiết lp trước .Ngoài ra, IDS
còn có thể xc định được nguồn gốc của cc nguy cơ trên là từ bên ngoài hay là từ
bên trong hệ thống.
Trong một số trường hợp, do không hiểu rõ về bn chất cũng như cch thức hoạt
động của IDS nên nó thường bị nhầm lẫn với hệ thống kiểm tra lưu lượng mạng (được
sử dụng để phát hiện các cuộc tấn công DoS), các bộ quét bo mt (nhằm tìm ra các
lỗ hổng trong mạng), các phần mềm chống virus (phát hiện cc mã độc), tường lửa
Hoạt động của IDS nhìn chung rất đa dạng, nhưng mục đch cuối cùng của nó là
phát hiện, ngăn chặn kịp thời các hoạt động của kẻ tấn công trước khi chúng gây tổn
hại đến hệ thống.
Chức năng của IDS.
IDS có 3 chức năng quan trọng nhất là: giám sát, cnh báo và bo vệ.
- Giám sát: IDS gim st lưu lượng mạng, hoạt động của hệ thống và hành vi
của người dùng. Nhờ vào đó mà nó có thể phát hiện ra hành động kh nghi.
- Cảnh báo: Khi phát hiện ra những dấu hiệu bất thường, IDS sẽ đưa ra cc
cnh báo cho hệ thống hay người qun trị.

Chương I. Tổng quan về IDS - 10- Ngô Văn Chơn - Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Bảo vệ: IDS dùng những thiết lp mặc định và những cấu hình từ nhà qun trị
mà có những hành động thiết thực chống lại kẻ xâm nhp và phá hoại.
Ngoài ra IDS còn có những chức năng mở rộng như:
- Phân biệt cuộc tấn công vào hệ thống là từ bên trong hay bên ngoài.
- Phát hiện dựa vào sự so snh lưu lượng mạng hiện tại với các thông số chuẩn
của hệ thống và những dấu hiệu đã biết, IDS có thể phát hiện ra những dấu
hiệu bất thường và đưa ra cc cnh báo và bo vệ ban đầu cho hệ thống.
Các thành phần cơ bản của IDS.
IDS có các thành phần cơ bn sau:
- Sensor/ Agent: là các bộ cm biến được đặt trong hệ thống nhằm phát hiện
những xâm nhp hoặc dấu hiệu bất thường trên toàn mạng. Nhiệm vụ chính
của nó là giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho
dạng Network-Based IDS (NIDS) trong khi “Agent” thường được dùng cho
dạng Host-Based IDS (HIDS).
- Management Server: là một thiết bị trung tâm dùng thu nhn các thông tin từ
Sensor/ Agent và qun lý chúng.
- Database Server: dùng lưu trữ thông tin từ Sensor/ Agent hay Management
Server.
- Console: là chương trình cung cấp giao diện cho IDS users/ Admins. Có
thể cài đặt trên một my tnh bình thường dùng để phục vụ cho tác vụ qun trị,
hoặc để giám sát, phân tích.
Kiến trúc IDS.
Kiến trúc của IDS bao gồm các thành phần chính:
- Thành phần thu thp thông tin (Information Collection).
- Thành phần phát hiện (Detection).

Chương I. Tổng quan về IDS - 11- Ngô Văn Chơn - Lê Thị Mộng Vân



Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Thành phần phn ứng (Response)

Hnh 1.1 Kin trúc ca h thng IDS.
Thành phần thu thập thông tin:

Thành phần bao gồm 3 bộ phn: Chính sách thu thp thông tin (Infomation
Collection Policy), Thông tin sự kiện (Event Generator) và Thiết lp sự kiện (Set of
Event: bao gồm Syslogs, System Status, Network Packets). Nhiệm vụ của nó là lấy
tất c cc gói tin đi đến mạng. Mỗi gói tin đi đến mạng đều được sao chụp, xử lý,
phân tích từng trường thông tin. Sau khi phân tích xong, các thông tin này sẽ được
chuyển đến thành phần phát hiện.
Thành phần phát hiện.
Thành phần này cũng bao gồm 3 bộ phn: Hệ thống phân tích (Analyzer: bao
gồm các Sensor), Hệ thống thông tin (System Information) và Chính sách phát hiện
(Detection Policy). Đây là thành phần quan trọng nhất, trong đó cc Sensor đóng vai
trò quyết định. Nó có trách nhiệm lọc và loại bỏ các dữ liệu không tương thch có
được từ các sự kiện không liên quan đến hệ thống bo vệ, do vy nó có thể phát hiện
ra những hành động đng ngờ. Khi phát hiện ra dấu hiệu của tấn công hay xâm nhp,
thành phần phát hiện sẽ gửi tín hiệu cnh bo đến thành phần phn ứng.

Chương I. Tổng quan về IDS - 12- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Thành phần phản ứng.
Thành phần này bao gồm: Hệ thống đp tr (Reponse Module) và Chính sch đp
tr (Respone Policy). Khi nhn được tín hiệu cnh báo của thành phần phát hiện,

thành phần phn ứng sẽ cnh bo đến người qun trị hệ thống hoặc có những hành
động cụ thể chống lại hành vi tấn công hay xâm nhp (dùng những thiết lp mặc định
và cấu hình từ người qun trị).
Phân loại IDS.
Có nhiều cách phân loại hệ thống IDS, dựa vào phạm vi giám sát có 3 loại chính:
- Network-Based IDS (NIDS).
- Host-Based IDS (HIDS).
- Distributed IDS (DIDS).
Network-Based IDS.
NIDS là một loại IDS phổ biến, nó giám st lưu lượng mạng ở tất c các tầng của
mô hình OSI. NIDS sử dụng cc Sensor đặt ở cc phân đoạn mạng cần qun lý, giám
sát mọi luồng thông tin, dữ liệu ra vào trên phân đoạn mạng đó. Khi có dấu hiệu nghi
ngờ, Sensor sẽ phát ra cnh báo gửi về trạm qun lý, trạm qun lý sẽ phân tích gói tin
và thực hiện theo các kịch bn đã được thiết lp sẵn.
Ưu điểm:
- Chi phí thấp.
- Kh năng pht hiện cc nguy cơ cao hơn HIDS.
- Khó xóa bỏ dấu vết tấn công trong NIDS.
- Phát hiện và đối phó kịp thời khi bị tấn công.
- Có tính độc lp cao.

Chương I. Tổng quan về IDS - 13- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng

Hnh 1.2 Network-Based IDS
Nhược điểm:
- Hạn chế trên từng phân đoạn mạng.
- Hiệu năng không cao.

- Không hiệu qu với các phiên làm việc được mã hóa.
Host-Based IDS.
Host-based IDS tìm kiếm dấu hiệu của xâm nhp vào một host cục bộ; thường sử
dụng cc cơ chế kiểm tra và phân tch cc thông tin được logging. Nó tìm kiếm các
hoạt động bất thường như login, truy nhp file không thích hợp, bước leo thang các
đặc quyền không được chấp nhn.
Kiến trúc IDS này thường dựa trên các lut (rule-based) để phân tích các hoạt
động. Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnh
su-superuser, như vy những cố gắng liên tục để login vào tài khon root có thể được
coi là một cuộc tấn công.

Chương I. Tổng quan về IDS - 14- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng

Hnh 1.3 Host-based IDS
Ưu điểm:
- Xc định được kết qu của cuộc tấn công.
- Gim st được các hoạt động trên hệ thống.
- Có thể phân tích các dữ liệu đã được mã hóa.
- Không yêu cầu thêm phần cứng
Nhược điểm:
- Qun trị phức tạp.
- Có thể cnh báo sai.
- Chi phí cao.
- Chiếm tài nguyên hệ thống.
Distributed IDS.
DIDS là dạng kết hợp của HIDS và NIDS, sử dụng các Sensor HIDS, NIDS hoặc
kết hợp c hai. Cc Sensor được đặt từ xa và báo cáo với một trạm qun lý tp trung,

logfile ghi các cuộc tấn công định kỳ được gửi lên các trạm qun lý và có thể được
lưu trữ trong một cơ sở dữ liệu trung tâm.

Chương I. Tổng quan về IDS - 15- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng

Hnh 1.4 Distributed IDS
Mạng liên lạc giữa các Sensor và trạm qun lý có thể là mạng riêng hoặc đường
truyền mạng có sẵn. Khi thông tin truyền đi trên mạng chung sẽ được mã hóa hoặc
sử dụng mạng riêng o (Virtual Private Network) để đm bo vấn đề an ninh.
Ưu điểm:
- Có thể giám sát toàn hệ thống, thm chí với những hệ thống lớn.
- Có kh năng gim st từ xa đối với các mạng lớn.
Nhược điểm:
- Đòi hỏi kh năng cài đặt, qun lý, cấu hình phức tạp nên chi phí triển khai và
vn hành cao.
- Thông tin liên lạc giữa các Sensor và trạm qun lý dưới dạng Cleartext, nếu bị
hacker lấy được, thay đổi thông tin sẽ làm cnh báo sai hoặc có thể bị vô hiệu
hóa.

Chương I. Tổng quan về IDS - 16- Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Các loại IDS khác.
Ngoài ra còn có một số dạng khác của IDS:
- Wireless IDS (WIDS).
- Network Behavior Analysis System (NBAS).

- Honeypot IDS.


Chương II. Tổng quan về IPS - 17 - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
CHƯƠNG II. TỔNG QUAN VỀ IPS
Giới thiệu về IPS.
Một hệ thống chống xâm nhp (Intrusion Prevention System – IPS) là một phần
mềm hoặc một thiết bị chuyên dụng có kh năng phát hiện sự xâm nhp, cc cuộc tấn
công và tự động ngăn chặn cc cuộc tấn công. Phần lớn hệ thống IPS được đặt ở vành
đai mạng, đủ kh năng bo vệ tất c cc thiết bị trong mạng.
Kiến trc IPS.
Kiến trúc của IPS gồm 3 module chnh:
Module phân tch gi
Module này có nhiệm vụ phân tch cấu trúc thông tin trong cc gói tin. Thông
thường card mạng sẽ hủy bỏ gói tin không phi địa chỉ của card mạng đó, nhưng card
mạng của IPS được đặt ở chế độ thu nhn tất c cc gói tin qua chúng đều được sao
chép lại và chuyển lên lớp trên. Bộ phân tch gói đọc thông tin từng trường trong gói
tin, xc định kiểu gói tin, xc định gói tin thuộc dịch vụ nào. Sau đó cc thông tin này
được chuyển tới Module pht hiện tấn công.
Module pht hiện tn công
Đây là Module quan trọng nhất trong hệ thống, có kh năng pht hiện các cuộc
tấn công. Có hai phương php để phát hiện các cuộc tấn công, xâm nhp là dò tìm sự
lạm dụng (Signature-Based) và sự không bình thường (Anomaly-Based).
Phương php d s lạm dng.
Phân tch cc hoạt động của hệ thống, tìm kiếm cc sự kiện giống với cc mẫu
tấn công đã biết trước. Cc mẫu tấn công đã biết này gọi là cc dấu hiệu tấn công. Do
vy phương php này còn gọi là phương php dò dấu hiệu.


Chương II. Tổng quan về IPS - 18 - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Ưu điểm của phương php này là giúp pht hiện cc cuộc tấn công nhanh và
chnh xc, không đưa ra cc cnh bo sai làm gim kh năng hoạt động của mạng,
giúp người qun trị xc định cc lỗ hổng bo mt trong hệ thống. Tuy nhiên lại không
thể pht hiện được cc cuộc tấn công mới, không có trong cơ sở dữ liệu, vì vy phi
luôn cp nht cc kiểu tấn công mới.
Phương php d s không bình thường.
Đây là kỹ thut dò thông minh, nhn dạng ra cc hành động không bình thường
của mạng. Quan niệm của phương php này về các cuộc tấn công là khác so với các
hoạt động thông thường. Ban đầu, chúng lưu trữ các mô t sơ lược về các hoạt động
bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình
thường và phương php dò này có thể nhn dạng. Một số kỹ thut giúp thực hiện dò
sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thut này nhấn mạnh việc đo đếm các hoạt động
bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được
đặt ra. Nếu có sự bất thường nào đó như đăng nhp với số lần qu quy định,
số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi
vượt quá mức thì hệ thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình t học: Kỹ thut này bao gồm hai bước. Khi bắt đầu
thiết lp, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ
sơ về cch cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi
tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt
động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lp. Chế độ tự
học có thể chạy song song với chế độ làm việc để cp nht hồ sơ của mình
nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phi dừng lại cho tới
khi cuộc tấn công kết thúc.

- Phát hiện s không bình thường của các giao thức: Kỹ thut này căn cứ
vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói
tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhp,

Chương II. Tổng quan về IPS - 19 - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
tấn công. Kỹ thut này rất hiệu qu trong việc ngăn chặn các hình thức quét
mạng, quét cổng để thu thp thông tin của các tin tặc.
Phương php dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát
hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương php này là có thể
phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho
phương php dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số
lượng các cnh báo sai làm gim hiệu suất hoạt động của mạng. Phương php này sẽ
là hướng được nghiên cứu nhiều hơn, khắc phục cc nhược điểm còn gặp, gim số
lần cnh bo sai để hệ thống chạy chuẩn xc hơn.
Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhp, module phát hiện tấn công sẽ
gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhp đến module phn ứng. Lúc đó
module phn ứng sẽ kích hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công.
Tại module này, nếu chỉ đưa ra cc cnh báo tới cc người qun trị và dừng lại ở đó
thì hệ thống này được gọi là hệ thống phòng thủ bị động. Module phn ứng này tùy
theo hệ thống mà có các chức năng khc nhau. Dưới đây là một số kỹ thut ngăn
chặn:
- Terminate session: Cơ chế của kỹ thut này là hệ thống IPS gửi gói tin reset,
thiết lp lại cuộc giao tiếp tới c client và server. Kết qu cuộc giao tiếp sẽ được
bắt đầu lại, các mục đch của hacker không đạt được, cuộc tấn công bị ngừng lại.
- Drop attack: Kỹ thut này dùng firewall để hủy bỏ gói tin hoặc chặn đường một
gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn

nhân.
- Modify firewall polices: Kỹ thut này cho phép người qun trị cấu hình lại chính
sách bo mt khi cuộc tấn công xy ra. Sự cấu hình lại là tạm thời thay đổi các
chính sách điều khiển truy cp bởi người dùng đặc biệt trong khi cnh báo tới
người qun trị.

Chương II. Tổng quan về IPS - 20 - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Real-time Alerting: Gửi các cnh báo thời gian thực đến người qun trị để họ
lắm được chi tiết các cuộc tấn công, cc đặc điểm và thông tin về chúng.
- Log packet: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file
log. Mục đch để cc người qun trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho module phát hiện tấn công hoạt động. Ba module trên
họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh. Một hệ thống IPS được
xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác,
đưa ra cc thông bo hợp lý, phân tch được toàn bộ thông lượng, cm biến tối
đa, ngăn chặn thành công và chính sách qun lý mềm dẻo.
Phân loại IPS
- NIPS (Network-Based IPS): thiết bị cm biến được kết nối với cc phân đoạn
mạng để giám sát nhiều máy.
- HIPS (Host-Based IPS): các phần mềm qun lý trung tâm được cài đặt trên
mỗi máy chủ lưu trữ. Các máy chủ được bo vệ và báo cáo với trung tâm qun
lý giao diện điều khiển. HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và
bo vệ. HIPS không đòi hỏi phần cứng đặc biệt.
Phân loại triển khai IPS
Promiscuous Mode IPS
Hệ thống IPS đứng trên firewall. Như vy luồng dữ liệu vào hệ thống mạng sẽ
cùng đi qua firewall và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát

hiện các dấu hiệu của sự xâm nhp, tấn công.
Với vị trí này, Promiscuous Mode IPS có thể qun lý firewall, chỉ dẫn nó chặn
lại các hành động nghi ngờ.

Chương II. Tổng quan về IPS - 21 - Ngô Văn Chơn - Lê Thị Mộng Vân


Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng


Hình 2.1 H thng Promiscuous mode IPS
In-line IPS.


Hình 2.2 H thng In-line IPS
Vị trí IPS nằm trước Firewall, luồng dữ liệu phi đi qua chúng trước khi tới firewall.
Điểm khác chính so với Promiscuous Mode IPS là có thêm chức năng traffic-
blocking. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh
hơn so với Promiscuous Mode IPS. Tuy nhiên vị trí này sẽ làm cho tốc độ luồng
thông tin qua ra vào mạng chm hơn.