Y BAN NHÂN DÂN THNH PH H CH MINH
TRƯNG ĐI HC SI GN
NGÔ VĂN CHƠN
LÊ TH MNG VÂN
XÂY DNG H THNG SNORT
IDS – IPS TRÊN CENTOS
KHA LUN TT NGHIP
NGNH: CÔNG NGH THÔNG TIN
TRNH Đ ĐO TO: ĐI HC
NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG
TP.H CH MINH, THNG 10 NĂM 2013
i
Y BAN NHÂN DÂN THNH PH H CH
MINH
TRƯNG ĐI HC SI GN
NGÔ VĂN CHƠN
LÊ TH MNG VÂN
XÂY DNG H THNG SNORT
IDS – IPS TRÊN CENTOS
KHA LUN TT NGHIP
NGNH: CÔNG NGH THÔNG TIN
TRNH Đ ĐO TO: ĐI HC
NGƯI HƯNG DN: PGS.TS TRN CÔNG HNG
NGƯI PHN BIN: ThS. NGUYN MINH THI
TP.H CH MINH, THNG 10 NĂM 2013
Lời cam đoan - ii - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
LI CAM ĐOAN
Tôi xin cam đoan đây l công trnh nghiên
cu ca riêng tôi, cc s liu v kt qu nghiên
cu nêu trong lun văn l trung thc, đưc cc
đng tc gi cho php s dng v chưa tng đưc
công b trong bt k mt công trnh no khc.
Tc gi lun văn
Ngô Văn Chơn Lê Th Mng Vân
Lời cm ơn - iii - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
LI CM ƠN
Trong suốt thời gian học tp tại Đại Học Sài Gòn, chúng em đã nhn được rất
nhiều sự quan tâm và tn tình chỉ bo của các thầy cô. Nhờ đó mà chúng em đã tiếp
thu được không ít các kiến thức cùng kinh nghiệm quý bu trong lĩnh vực Công nghệ
thông tin. Các kiến thức và kinh nghiệm này là một hành trang vững chắc cho chúng
em trong học tp cũng như trong công việc sau này.
Chúng em xin gửi lời cm ơn chân thành đến thầy PGS.TS Trần Công Hùng, mặc
dù hết sức bn rộn nhưng thầy vẫn dành thời gian để truyền đạt cho chúng em những
kiến thức bổ ích, chia sẻ những kinh nghiệm quý bu cũng như tn tình hướng dẫn
chúng em trong quá trình thực hiện Lun văn tốt nghiệp để giúp chúng em hoàn thành
bài Lun văn này.
Chúng em xin chân thành gửi đến quý Thầy Cô lời cm ơn sâu sắc nhất. Kính
chúc quý thầy cô dồi dào sức khỏe và đạt nhiều thành công trong công việc và cuộc
sống.
Trong quá trình thực hiện Lun văn này, dù đã cố hết sức nhưng không trnh khỏi
thiếu sót. Vì thế, chúng em rất mong nhn được các ý kiến góp ý cũng như những chỉ
bo để chúng em có thể hoàn thiện và phát triển đề tài này hơn nữa
TP.H Chí Minh, ngy 10 thng 10 năm 2013
Nhóm sinh viên thực hiện
Ngô Văn Chơn
Lê Thị Mộng Vân
Mục lục - 1- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
MC LC
TRANG PH BÌA .…………………………………………………………… i
LI CAM ĐOAN ii
LI CM ƠN iii
DANH MC CÁC CM TỪ VIẾT TẮT 5
DANH MC CÁC BNG 7
DANH MC CÁC HÌNH VẼ 7
MỞ ĐU 8
CHƯƠNG I. TỔNG QUAN VỀ IDS 9
Giới thiệu về IDS. 9
Chức năng của IDS. 9
Các thành phần cơ bn của IDS. 10
Kiến trúc IDS. 10
Thành phần thu thp thông tin: 11
Thành phần phát hiện. 11
Thành phần phn ứng. 12
Phân loại IDS. 12
Network-Based IDS. 12
Host-Based IDS. 13
Distributed IDS. 14
Các loại IDS khác. 16
CHƯƠNG II. TỔNG QUAN VỀ IPS 17
Giới thiệu về IPS. 17
Kiến trúc IPS. 17
Module phân tch gói 17
Module pht hiện tấn công 17
Module phn ứng 19
Phân loại IPS 20
Mục lục - 2- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Phân loại triển khai IPS 20
Promiscuous Mode IPS 20
In-line IPS. 21
Công nghệ ngăn chặn xâm nhp IPS. 22
Signature - Based IPS. 22
Anomaly-Based IPS. 22
Policy-Based IPS. 23
Protocol Analysis-Based IPS. 24
So snh IDS và IPS 24
CHƯƠNG III. FIREWALL 26
Các loại Firewall. 26
Firewall cứng 26
Firewall mềm 26
Chức năng của Firewall. 27
Nguyên lý hoạt động 27
Ưu điểm của Firewall 27
Nhược điểm của Firewall. 28
Sự khác nhau của Firewall và IDS. 28
CHƯƠNG IV. TM HIỂU VỀ SNORT 30
Giới thiệu về hệ thống Snort. 30
Kiến trúc của Snort: 31
Packet Decoder 32
Preprocessors 32
Detection Engine 34
Logging and Alerting System. 35
Output Modules. 35
Các chế độ hoạt động của Snort. 36
Sniffer mode. 36
Packet Logger mode. 38
Mục lục - 3- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Network Intrusion Detection System (NIDS) mode. 38
Inline mode. 40
Snort Rules. 41
Giới thiệu. 41
Cấu trúc lut của Snort. 41
CHƯƠNG V. CI ĐẶT VÀ CẤU HÌNH SNORT 63
Cài đặt Snort. 63
5.1.1. Cài đặt cc thư viện cần thiết cho việc cài đặt Snort: 63
Cài đặt libdnet: 64
Cài đặt DAQ: 64
Cài đặt Snort: 65
Cài đặt barnyard2: 68
Cấu hình mysql: 68
Cài đặt adodb5: 69
Cài đặt BASE: 69
Tùy chỉnh cấu hình Snort: 70
Cấu hình Snort và các phần bổ sung: 71
Các biến trong Snort: 71
Cấu hình Preprocessor: 73
Cấu hình Output Modules. 80
Cài đặt và cấu hình Swatch 82
CHƯƠNG VI. XÂY DNG H THNG, KIỂM TRA HOT ĐNG CA
SNORT IDS/IPS
Thiết kế hệ thống. 84
Kiểm tra hoạt động của Snort IDS/IPS. 84
Sử dụng BASE qun lý cnh báo bằng giao diện. 84
Sử dụng Snort phát hiện tấn công ARP Spoofing. 85
Sử dụng Snort phát hiện scan port vào hệ thống. 86
Sử dụng Snort phát hiện và ngăn chặn các cuộc tấn công từ chối dịch vụ
DoS. 87
Mục lục - 4- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Snort hiển thị cnh bo bằng email 90
KẾT LUN 91
Kết qu đạt được 91
Hạn chế và hướng phát triển 91
TÀI LIU THAM KHO 93
PH LC 94
CÁC KỸ THUT XỬ LÝ TRONG IDS. 94
1. Hệ thống Expert (Expert systems). 94
2. Phát hiện xâm nhp dựa trên lut (Rule-Based Intrusion Detection) 94
3. Phân biệt ý định người dùng (User intention Identification). 94
4. Phân tích trạng thái phiên (State-Transition Analysis). 95
5. Phương php phân tch thống kê (Statistical Analysis Approach) 95
Danh mục từ viết tắt - 5- Ngô Văn Chơn-Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
DANH MC CÁC CM TỪ VIẾT TẮT
API : Application Programming Interface
ARP : Address Resolution Protocol
ASCII : American Standard Code for Information Interchange
BASE : Basic Analysis and Security Engine
BSD : Berkeley Software Distribution
CPU : Central Processing Unit
DDoS : Distributed Denial of Service
DIDS : Distributed IDS
DMZ : Demilitarized Zone
DNS : Domain Name System
DoS : Denial of Service
FDDI : Fiber Distributed Data Interface
FTP : File Transfer Protocol
HIDS : Host-Based IDS
HIPS : Host-Based IPS
HTTP : Hypertext Transfer Protocol
ICMP : Internet Control Message Protocol
IDS : Intrusion Detection System
IP : Internet Protocol
IPS : Intrusion Prevention System
MTU : Maximum Transmission Unit
NAT : Network Address Translation
Danh mục từ viết tắt - 6- Ngô Văn Chơn-Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
NBAS : Network Behavior Analysis System
NetBIOS : Network Basic Input/Output System
NIDS : Network-Based IDS
NIPS : Network-Based IPS
OSI : Open Systems Interconnection
PPP : Point-to-Point Protocol
RFC : Request for Comments
RPC : Remote Procedure Call
SLIP : Serial Line Internet Protocol
SMB : Server Message Block
SMS : Short Message Service
SNMP : Simple Network Management Protocol
SQL : Structured Query Language
TCP : Transport Control Protocol
TELNET : Terminal Network
TTL : Time to Live
UDP : User Datagram Protocol
URL : Uniform Resource Locator
VPN : Virtual Private Network
WIDS : Wireless IDS
XML : Extensible Markup Language
Danh mục các bng và hình vẽ - 7- Ngô Văn Chơn-Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
DANH MC CÁC BNG
STT
Tên Bảng
Trang
1
Bng 3.1 Sự khác nhau của Firewall và IDS
29
2
Bng 4.1 Cc tùy chọn trong chế độ Sniffer
36
3
Bng 4.2 Các tùy chọn cnh báo ở chế độ NIDS
39
DANH MC CÁC HÌNH VẼ
STT
Tên Hình Vẽ
Trang
1
Hình 1.1 Kiến trúc của hệ thống IDS
11
2
Hình 1.2 Network-Based IDS
13
3
Hình 1.3 Host-Based IDS
14
4
Hình 1.4 Distributed IDS
15
5
Hình 2.1 Hệ thống Promiscuous mode IPS
21
6
Hình 2.2 Hệ thống In-line IPS
21
7
Hình 2.3 Hệ thống Signature-Based IPS
22
8
Hình 2.4 Hệ thống Anomaly-Based IPS
23
9
Hình 2.5 Hệ thống Policy-Based IPS
24
10
Hình 4.1 Kiến trúc Snort
31
11
Hình 4.2 Quá trình gii mã gói tin Ethernet
32
12
Hình 4.3 Các thành phần của rules
41
13
Hình 4.4 Cấu trúc Rule header
41
14
Hình 6.1 Mô hình mạng
84
15
Hình 6.2 Giao diện BASE
85
16
Hình 6.3 Phát hiện ARP Spoofing
86
17
Hình 6.4 Phát hiện tấn công Scan port
87
18
Hình 6.5 Trước khi tấn công DoS
87
19
Hình 6.6 Tấn công DoS
88
20
Hình 6.7 Ngăn chặn Dos
89
21
Hình 6.8 Cnh bo tấn công Dos
89
22
Hình 6.9 Giao diện cnh bo qua email
90
Mở đầu - 8- Ngô Văn Chơn-Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
MỞ ĐU
Trong bối cnh hiện nay, khi Internet phủ khắp toàn cầu và trực tiếp tc động đến
sự phát triển toàn diện của hầu hết cc lĩnh vực trong đời sống như: Kinh tế, chính
trị, văn hóa, xã hội, an ninh quốc phòng thì an ninh mạng và bo mt dữ liệu trở
thành một vấn đề mang tính chất “sống còn” của các quốc gia, tổ chức và doanh
nghiệp. Bên cạnh đó, cc cuộc tấn công mạng ngày càng gia tăng, với mức độ tinh vi
cũng như sức tàn phá mạnh hơn bao giờ hết. Chính vì thế đòi hỏi các quốc gia, tổ
chức, doanh nghiệp trên toàn thế giới cần phi đầu tư vào cc chnh sch an ninh và
bo mt mạng nhiều hơn nữa.
Triển khai một hệ thống mạng và xây dựng được cơ chế bo mt chặt chẽ, an
toàn là biện pháp duy nhất duy trì tính bền vững cho hệ thống của quốc gia, tổ chức,
doanh nghiệp đó.
Như đã đề cp đến, các cuộc tấn công mạng ngày càng tăng, tinh vi hơn, tàn ph
nghiêm trọng hơn và gây tổn thất nặng nề hơn. Vì thế, cần phi am hiểu các cách thức
tấn công và phát hiện một cách kịp thời để có thể tìm ra các biện pháp phòng chống
cũng như ngăn chặn, để làm gim các tổn thất gây ra ở mức thấp nhất. Đó là lý do để
nhóm chúng em thực hiện bài lun văn về “Xây dựng hệ thống Snort IDS-IPS trên
CentOS” này.
Chương I. Tổng quan về IDS - 9- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
CHƯƠNG I. TỔNG QUAN VỀ IDS
Giới thiệu về IDS.
IDS (Intrusion Detection System: Hệ thống phát hiện xâm nhp) là hệ thống an
ninh (có thể là phần mềm, phần cứng hoặc kết hợp c hai). Nó gim st, phân tch lưu
thông mạng và dữ liệu để nhn biết, cung cấp thông tin và đưa ra cnh báo khi có
những hành động kh nghi, xâm nhp tri phép cũng như khai thc tài nguyên bất
hợp pháp trên hệ thống mạng cho nhà qun trị bằng việc hiển thị cnh báo, ghi
logfile và phn ứng lại bằng cc hành động đã được thiết lp trước .Ngoài ra, IDS
còn có thể xc định được nguồn gốc của cc nguy cơ trên là từ bên ngoài hay là từ
bên trong hệ thống.
Trong một số trường hợp, do không hiểu rõ về bn chất cũng như cch thức hoạt
động của IDS nên nó thường bị nhầm lẫn với hệ thống kiểm tra lưu lượng mạng (được
sử dụng để phát hiện các cuộc tấn công DoS), các bộ quét bo mt (nhằm tìm ra các
lỗ hổng trong mạng), các phần mềm chống virus (phát hiện cc mã độc), tường lửa
Hoạt động của IDS nhìn chung rất đa dạng, nhưng mục đch cuối cùng của nó là
phát hiện, ngăn chặn kịp thời các hoạt động của kẻ tấn công trước khi chúng gây tổn
hại đến hệ thống.
Chức năng của IDS.
IDS có 3 chức năng quan trọng nhất là: giám sát, cnh báo và bo vệ.
- Giám sát: IDS gim st lưu lượng mạng, hoạt động của hệ thống và hành vi
của người dùng. Nhờ vào đó mà nó có thể phát hiện ra hành động kh nghi.
- Cảnh báo: Khi phát hiện ra những dấu hiệu bất thường, IDS sẽ đưa ra cc
cnh báo cho hệ thống hay người qun trị.
Chương I. Tổng quan về IDS - 10- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Bảo vệ: IDS dùng những thiết lp mặc định và những cấu hình từ nhà qun trị
mà có những hành động thiết thực chống lại kẻ xâm nhp và phá hoại.
Ngoài ra IDS còn có những chức năng mở rộng như:
- Phân biệt cuộc tấn công vào hệ thống là từ bên trong hay bên ngoài.
- Phát hiện dựa vào sự so snh lưu lượng mạng hiện tại với các thông số chuẩn
của hệ thống và những dấu hiệu đã biết, IDS có thể phát hiện ra những dấu
hiệu bất thường và đưa ra cc cnh báo và bo vệ ban đầu cho hệ thống.
Các thành phần cơ bản của IDS.
IDS có các thành phần cơ bn sau:
- Sensor/ Agent: là các bộ cm biến được đặt trong hệ thống nhằm phát hiện
những xâm nhp hoặc dấu hiệu bất thường trên toàn mạng. Nhiệm vụ chính
của nó là giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho
dạng Network-Based IDS (NIDS) trong khi “Agent” thường được dùng cho
dạng Host-Based IDS (HIDS).
- Management Server: là một thiết bị trung tâm dùng thu nhn các thông tin từ
Sensor/ Agent và qun lý chúng.
- Database Server: dùng lưu trữ thông tin từ Sensor/ Agent hay Management
Server.
- Console: là chương trình cung cấp giao diện cho IDS users/ Admins. Có
thể cài đặt trên một my tnh bình thường dùng để phục vụ cho tác vụ qun trị,
hoặc để giám sát, phân tích.
Kiến trúc IDS.
Kiến trúc của IDS bao gồm các thành phần chính:
- Thành phần thu thp thông tin (Information Collection).
- Thành phần phát hiện (Detection).
Chương I. Tổng quan về IDS - 11- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Thành phần phn ứng (Response)
Hnh 1.1 Kin trúc ca h thng IDS.
Thành phần thu thập thông tin:
Thành phần bao gồm 3 bộ phn: Chính sách thu thp thông tin (Infomation
Collection Policy), Thông tin sự kiện (Event Generator) và Thiết lp sự kiện (Set of
Event: bao gồm Syslogs, System Status, Network Packets). Nhiệm vụ của nó là lấy
tất c cc gói tin đi đến mạng. Mỗi gói tin đi đến mạng đều được sao chụp, xử lý,
phân tích từng trường thông tin. Sau khi phân tích xong, các thông tin này sẽ được
chuyển đến thành phần phát hiện.
Thành phần phát hiện.
Thành phần này cũng bao gồm 3 bộ phn: Hệ thống phân tích (Analyzer: bao
gồm các Sensor), Hệ thống thông tin (System Information) và Chính sách phát hiện
(Detection Policy). Đây là thành phần quan trọng nhất, trong đó cc Sensor đóng vai
trò quyết định. Nó có trách nhiệm lọc và loại bỏ các dữ liệu không tương thch có
được từ các sự kiện không liên quan đến hệ thống bo vệ, do vy nó có thể phát hiện
ra những hành động đng ngờ. Khi phát hiện ra dấu hiệu của tấn công hay xâm nhp,
thành phần phát hiện sẽ gửi tín hiệu cnh bo đến thành phần phn ứng.
Chương I. Tổng quan về IDS - 12- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Thành phần phản ứng.
Thành phần này bao gồm: Hệ thống đp tr (Reponse Module) và Chính sch đp
tr (Respone Policy). Khi nhn được tín hiệu cnh báo của thành phần phát hiện,
thành phần phn ứng sẽ cnh bo đến người qun trị hệ thống hoặc có những hành
động cụ thể chống lại hành vi tấn công hay xâm nhp (dùng những thiết lp mặc định
và cấu hình từ người qun trị).
Phân loại IDS.
Có nhiều cách phân loại hệ thống IDS, dựa vào phạm vi giám sát có 3 loại chính:
- Network-Based IDS (NIDS).
- Host-Based IDS (HIDS).
- Distributed IDS (DIDS).
Network-Based IDS.
NIDS là một loại IDS phổ biến, nó giám st lưu lượng mạng ở tất c các tầng của
mô hình OSI. NIDS sử dụng cc Sensor đặt ở cc phân đoạn mạng cần qun lý, giám
sát mọi luồng thông tin, dữ liệu ra vào trên phân đoạn mạng đó. Khi có dấu hiệu nghi
ngờ, Sensor sẽ phát ra cnh báo gửi về trạm qun lý, trạm qun lý sẽ phân tích gói tin
và thực hiện theo các kịch bn đã được thiết lp sẵn.
Ưu điểm:
- Chi phí thấp.
- Kh năng pht hiện cc nguy cơ cao hơn HIDS.
- Khó xóa bỏ dấu vết tấn công trong NIDS.
- Phát hiện và đối phó kịp thời khi bị tấn công.
- Có tính độc lp cao.
Chương I. Tổng quan về IDS - 13- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Hnh 1.2 Network-Based IDS
Nhược điểm:
- Hạn chế trên từng phân đoạn mạng.
- Hiệu năng không cao.
- Không hiệu qu với các phiên làm việc được mã hóa.
Host-Based IDS.
Host-based IDS tìm kiếm dấu hiệu của xâm nhp vào một host cục bộ; thường sử
dụng cc cơ chế kiểm tra và phân tch cc thông tin được logging. Nó tìm kiếm các
hoạt động bất thường như login, truy nhp file không thích hợp, bước leo thang các
đặc quyền không được chấp nhn.
Kiến trúc IDS này thường dựa trên các lut (rule-based) để phân tích các hoạt
động. Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnh
su-superuser, như vy những cố gắng liên tục để login vào tài khon root có thể được
coi là một cuộc tấn công.
Chương I. Tổng quan về IDS - 14- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Hnh 1.3 Host-based IDS
Ưu điểm:
- Xc định được kết qu của cuộc tấn công.
- Gim st được các hoạt động trên hệ thống.
- Có thể phân tích các dữ liệu đã được mã hóa.
- Không yêu cầu thêm phần cứng
Nhược điểm:
- Qun trị phức tạp.
- Có thể cnh báo sai.
- Chi phí cao.
- Chiếm tài nguyên hệ thống.
Distributed IDS.
DIDS là dạng kết hợp của HIDS và NIDS, sử dụng các Sensor HIDS, NIDS hoặc
kết hợp c hai. Cc Sensor được đặt từ xa và báo cáo với một trạm qun lý tp trung,
logfile ghi các cuộc tấn công định kỳ được gửi lên các trạm qun lý và có thể được
lưu trữ trong một cơ sở dữ liệu trung tâm.
Chương I. Tổng quan về IDS - 15- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Hnh 1.4 Distributed IDS
Mạng liên lạc giữa các Sensor và trạm qun lý có thể là mạng riêng hoặc đường
truyền mạng có sẵn. Khi thông tin truyền đi trên mạng chung sẽ được mã hóa hoặc
sử dụng mạng riêng o (Virtual Private Network) để đm bo vấn đề an ninh.
Ưu điểm:
- Có thể giám sát toàn hệ thống, thm chí với những hệ thống lớn.
- Có kh năng gim st từ xa đối với các mạng lớn.
Nhược điểm:
- Đòi hỏi kh năng cài đặt, qun lý, cấu hình phức tạp nên chi phí triển khai và
vn hành cao.
- Thông tin liên lạc giữa các Sensor và trạm qun lý dưới dạng Cleartext, nếu bị
hacker lấy được, thay đổi thông tin sẽ làm cnh báo sai hoặc có thể bị vô hiệu
hóa.
Chương I. Tổng quan về IDS - 16- Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Các loại IDS khác.
Ngoài ra còn có một số dạng khác của IDS:
- Wireless IDS (WIDS).
- Network Behavior Analysis System (NBAS).
- Honeypot IDS.
Chương II. Tổng quan về IPS - 17 - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
CHƯƠNG II. TỔNG QUAN VỀ IPS
Giới thiệu về IPS.
Một hệ thống chống xâm nhp (Intrusion Prevention System – IPS) là một phần
mềm hoặc một thiết bị chuyên dụng có kh năng phát hiện sự xâm nhp, cc cuộc tấn
công và tự động ngăn chặn cc cuộc tấn công. Phần lớn hệ thống IPS được đặt ở vành
đai mạng, đủ kh năng bo vệ tất c cc thiết bị trong mạng.
Kiến trc IPS.
Kiến trúc của IPS gồm 3 module chnh:
Module phân tch gi
Module này có nhiệm vụ phân tch cấu trúc thông tin trong cc gói tin. Thông
thường card mạng sẽ hủy bỏ gói tin không phi địa chỉ của card mạng đó, nhưng card
mạng của IPS được đặt ở chế độ thu nhn tất c cc gói tin qua chúng đều được sao
chép lại và chuyển lên lớp trên. Bộ phân tch gói đọc thông tin từng trường trong gói
tin, xc định kiểu gói tin, xc định gói tin thuộc dịch vụ nào. Sau đó cc thông tin này
được chuyển tới Module pht hiện tấn công.
Module pht hiện tn công
Đây là Module quan trọng nhất trong hệ thống, có kh năng pht hiện các cuộc
tấn công. Có hai phương php để phát hiện các cuộc tấn công, xâm nhp là dò tìm sự
lạm dụng (Signature-Based) và sự không bình thường (Anomaly-Based).
Phương php d s lạm dng.
Phân tch cc hoạt động của hệ thống, tìm kiếm cc sự kiện giống với cc mẫu
tấn công đã biết trước. Cc mẫu tấn công đã biết này gọi là cc dấu hiệu tấn công. Do
vy phương php này còn gọi là phương php dò dấu hiệu.
Chương II. Tổng quan về IPS - 18 - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Ưu điểm của phương php này là giúp pht hiện cc cuộc tấn công nhanh và
chnh xc, không đưa ra cc cnh bo sai làm gim kh năng hoạt động của mạng,
giúp người qun trị xc định cc lỗ hổng bo mt trong hệ thống. Tuy nhiên lại không
thể pht hiện được cc cuộc tấn công mới, không có trong cơ sở dữ liệu, vì vy phi
luôn cp nht cc kiểu tấn công mới.
Phương php d s không bình thường.
Đây là kỹ thut dò thông minh, nhn dạng ra cc hành động không bình thường
của mạng. Quan niệm của phương php này về các cuộc tấn công là khác so với các
hoạt động thông thường. Ban đầu, chúng lưu trữ các mô t sơ lược về các hoạt động
bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình
thường và phương php dò này có thể nhn dạng. Một số kỹ thut giúp thực hiện dò
sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thut này nhấn mạnh việc đo đếm các hoạt động
bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được
đặt ra. Nếu có sự bất thường nào đó như đăng nhp với số lần qu quy định,
số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi
vượt quá mức thì hệ thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình t học: Kỹ thut này bao gồm hai bước. Khi bắt đầu
thiết lp, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ
sơ về cch cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi
tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt
động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lp. Chế độ tự
học có thể chạy song song với chế độ làm việc để cp nht hồ sơ của mình
nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phi dừng lại cho tới
khi cuộc tấn công kết thúc.
- Phát hiện s không bình thường của các giao thức: Kỹ thut này căn cứ
vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói
tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhp,
Chương II. Tổng quan về IPS - 19 - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
tấn công. Kỹ thut này rất hiệu qu trong việc ngăn chặn các hình thức quét
mạng, quét cổng để thu thp thông tin của các tin tặc.
Phương php dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát
hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương php này là có thể
phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho
phương php dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số
lượng các cnh báo sai làm gim hiệu suất hoạt động của mạng. Phương php này sẽ
là hướng được nghiên cứu nhiều hơn, khắc phục cc nhược điểm còn gặp, gim số
lần cnh bo sai để hệ thống chạy chuẩn xc hơn.
Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhp, module phát hiện tấn công sẽ
gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhp đến module phn ứng. Lúc đó
module phn ứng sẽ kích hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công.
Tại module này, nếu chỉ đưa ra cc cnh báo tới cc người qun trị và dừng lại ở đó
thì hệ thống này được gọi là hệ thống phòng thủ bị động. Module phn ứng này tùy
theo hệ thống mà có các chức năng khc nhau. Dưới đây là một số kỹ thut ngăn
chặn:
- Terminate session: Cơ chế của kỹ thut này là hệ thống IPS gửi gói tin reset,
thiết lp lại cuộc giao tiếp tới c client và server. Kết qu cuộc giao tiếp sẽ được
bắt đầu lại, các mục đch của hacker không đạt được, cuộc tấn công bị ngừng lại.
- Drop attack: Kỹ thut này dùng firewall để hủy bỏ gói tin hoặc chặn đường một
gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn
nhân.
- Modify firewall polices: Kỹ thut này cho phép người qun trị cấu hình lại chính
sách bo mt khi cuộc tấn công xy ra. Sự cấu hình lại là tạm thời thay đổi các
chính sách điều khiển truy cp bởi người dùng đặc biệt trong khi cnh báo tới
người qun trị.
Chương II. Tổng quan về IPS - 20 - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
- Real-time Alerting: Gửi các cnh báo thời gian thực đến người qun trị để họ
lắm được chi tiết các cuộc tấn công, cc đặc điểm và thông tin về chúng.
- Log packet: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file
log. Mục đch để cc người qun trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho module phát hiện tấn công hoạt động. Ba module trên
họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh. Một hệ thống IPS được
xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác,
đưa ra cc thông bo hợp lý, phân tch được toàn bộ thông lượng, cm biến tối
đa, ngăn chặn thành công và chính sách qun lý mềm dẻo.
Phân loại IPS
- NIPS (Network-Based IPS): thiết bị cm biến được kết nối với cc phân đoạn
mạng để giám sát nhiều máy.
- HIPS (Host-Based IPS): các phần mềm qun lý trung tâm được cài đặt trên
mỗi máy chủ lưu trữ. Các máy chủ được bo vệ và báo cáo với trung tâm qun
lý giao diện điều khiển. HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và
bo vệ. HIPS không đòi hỏi phần cứng đặc biệt.
Phân loại triển khai IPS
Promiscuous Mode IPS
Hệ thống IPS đứng trên firewall. Như vy luồng dữ liệu vào hệ thống mạng sẽ
cùng đi qua firewall và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát
hiện các dấu hiệu của sự xâm nhp, tấn công.
Với vị trí này, Promiscuous Mode IPS có thể qun lý firewall, chỉ dẫn nó chặn
lại các hành động nghi ngờ.
Chương II. Tổng quan về IPS - 21 - Ngô Văn Chơn - Lê Thị Mộng Vân
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
Hình 2.1 H thng Promiscuous mode IPS
In-line IPS.
Hình 2.2 H thng In-line IPS
Vị trí IPS nằm trước Firewall, luồng dữ liệu phi đi qua chúng trước khi tới firewall.
Điểm khác chính so với Promiscuous Mode IPS là có thêm chức năng traffic-
blocking. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh
hơn so với Promiscuous Mode IPS. Tuy nhiên vị trí này sẽ làm cho tốc độ luồng
thông tin qua ra vào mạng chm hơn.