Tải bản đầy đủ (.pdf) (71 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Bảo mật

báo cáo an toàn thông tin mạng xây dựng hệ thống ids snort trên nền hệ thống windows server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.3 MB, 71 trang )

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 1

MỤC LỤC

MỞ ĐẦU 4
Lí do chọn đề tài 4
Đối tượng và phương pháp nghiên cứu 4
Mục tiêu nghiên cứu 4
Ý nghĩa thực tiễn của đề tài 5
CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT 6
1.1. Giới thiệu về bảo mật 6
1.2. Khái niệm 6
1.3. Tính an toàn của hệ thống mật 7
1.4. Những nguy cơ đe dọa đối với bảo mật. 8
1.5. Các lỗ hổng loại C 8
1.6. Các lỗ hổng loại B 9
1.7. Các lỗ hổng loại A 9
1.8. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa. 10
1.8.1. Phương thức tấn công hệ thống DNS 10
1.8.2. Phương thức tấn công Virus và Trojan House 10
1.8.3. Phương thức tấn công để thăm dò mạng 10
1.8.4. Phương thức ăn cắp thông tin bằng Packet Sniffer 11
1.8.5. Phương thức tấn công bằng Mail Relay 11
1.8.6. Phương thức tấn công lớp ứng dụng 12
1.9. Các giải pháp bảo mật an toàn cho hệ thống 12
1.9.1. Bảo mật VPN (Virtual Private Network) 12
1.9.2. Firewall 14
1.10. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) 15
CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 17


2.1. Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS 17
2.1.1. Định nghĩa về IDS 17
2.1.2. Kiến trúc và nguyên lý hoạt động IDS 18
2.1.3. Chức năng của IDS 19
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 2
2.2. Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS. 20
2.2.1. Phân loại IDS 20
2.2.2. Network based IDS – NIDS 20
2.2.3. Host based IDS – HIDS 21
2.2.4. Cơ chế hoạt động của IDS 22
2.3. Cách phát hiện kiểu tấn công thông dụng của IDS. 24
2.3.1. Tấn công vào mật mã 24
2.3.2. Tấn công hạ tầng bảo mật 24
2.3.3. Cài đặt mã nguy hiểm 25
2.3.4. Quét và thăm dò 25
2.3.5. Tấn công từ chối dịch vụ 25
2.3.6. Chiếm đặc quyền 26
2.3.7. Hành động phát hoại trên máy móc 26
CHƯƠNG III: TRIỂN KHAI CÁC DỊCH VỤ 27
3.1. Chuẩn bị các gói phần mềm 27
3.2. Cài đặt WinPcap 27
3.3. Cài đặt và cấu hình Snort 27
3.4. Cấu hình Snort để khởi động hệ thống. 34
3.5. Cài đặt và cấu hình MySQL 35
3.6. Tạo cơ sở dữ liệu cho WinIDS 36
3.7. Tạo bảng cho cơ sở dữ liệu của WinIDS 37
3.8. Tạo các xác thực người dùng và truy cập cơ sở dữ liệu của WinIDS 38
3.9. Cài đặt Apache Web Server 40

3.10. Cài đặt và cấu hình PHP 41
3.11. Kiểm tra cài đặt Apache và PHP 41
3.12. Cài đặt ADODB 42
3.13. Cài đặt và cấu hình kiến trúc bảo mật của WinIDS 42
3.14. Thiết lập bảng cơ sở dữ liệu cho WinIDS 43
3.15. Cấu hình đồ họa cho WinIDS 44
3.16. An toàn cho WinIDS 45
3.17. Triển khai thử nghiệm hệ thống 46
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 3
CHƯƠNG IV: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ
THỐNG WINDOWS SERVER 48
4.1. Giới thiệu về Snort 48
4.2. Kiến trúc Snort 48
4.3. Thành phần và chức năng của Snort 49
4.3.1. Module giải mã gói tin (Packet Decoder) 50
4.3.2. Module tiền xử lý (Preprocessors) 50
4.3.3. Module phát hiện (Detection Engine) 51
4.3.4. Module log và cảnh báo (Logging and Alerting System) 52
4.3.5. Module kết xuất thông tin (Output Module) 52
4.4. Bộ luật Snort 53
4.4.1. Giới thiệu về bộ luật 53
4.4.2. Cấu trúc luật của Snort 53
4.4.3. Phần Header 54
4.4.4. Phần Option 56
4.5. Các cơ chế hoạt động của Snort 57
4.6. Demo triển khai 58
4.6.1. Mô hình triển khai: 58
4.6.2. Thiết lập bộ luật Snort cảnh báo 58

4.6.3. Triển khai IDScenter 64
TÀI LIỆU THAM KHẢO 70
KẾT LUẬN 71

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 4
MỞ ĐẦU
Lí do chọn đề tài
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan
tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng
của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp
thiết hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát triện và phòng chống tấn công xâm nhập cho
cách mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật
trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng
sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc
truyền nhằm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để nhằm hạn chế những vấn đề nói trên nhóm
chúng em đã chọn đề tài “Xây dựng hệ thống IDS Snort trên hệ thống Windows
Server” để nghiên cứu.
Đối tượng và phương pháp nghiên cứu
- Tìm hiểu về bảo mật
- Nghiên cứu những phương pháp xâm nhập hệ thống – biện pháo ngăn ngừa
- Nghiên cứu về hệ thống phát hiện xâm nhập IDS
- Nghiên cứu công cụ IDS – Snort
- Xây dựng hệ thống Snort – IDS trên Window Server
- Nghiên cứu và cài đặt Apache, MySQL, WebBase.
- Thu thập tài liệu liên quan đến các vấn đề về đề tài
Mục tiêu nghiên cứu

- Tìm hiểu thông tin về bảo mật
- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.
- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort
- Tìm hiểu và sử dụng tốt hệ điều hành Windows Server
- Tìm hiểu phương pháp và triển khai cài đặt IDS Center+Snort, Apache, MySQL,
WebBase.
- Tìm hiểu, cài đặt cách xây dựng và bổ sung các luật.
- Đưa ra một số nhận định và hướng phát triển đề tài.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 5
Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống
mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 6
CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT
1.1. Giới thiệu về bảo mật
Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả
mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi
mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính
riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn
đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên
mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm.
Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn
chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa

làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu
liên tụ cập nhật… Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi
cùng với sự gia tăng những vụ lạm dụng. Những điều ngày dẫn đến yêu cầu cần phải có
một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống. Hệ
thống IDS Snort trên hệ thống Windows Server là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công, các vụ lạm dụng…
Từ những vấn đề nêu trên, chúng em chọn đề tài này với mong muốn không chỉ
nghiên cứu những đặc trưng cơ bản của hệ thống IDS Snort trên hệ thống Windows
Server với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS nhằm đảm bảo
an toàn cho hệ thống và chất lượng dịch vụ cho người dùng…
1.2. Khái niệm
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tải sản. Hạn chế ở
đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng
đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn
công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để
làm giảm thiệt hại gây nên từ các cuộc tấn công.
Khái niệm bảo mật chia thành 3 lĩnh vực chính:
- Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và
phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa
chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 7
- Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ
liệu trong suốt quá trình chuyển động của chúng.
- Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ
liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối
internet.
Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về
bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng

ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi
thông tin.
1.3. Tính an toàn của hệ thống mật
Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính:
- Thông tin – bí mật: Thông tin chỉ cung cấp tới những người một cách
chính đáng khi có dự truy nhập hợp pháp tới nó.
- Thông tin – toàn vẹn: Thông tin chỉ được điều khiển (sửa đổi, thay thế
v,v…) bởi những người được ủy thác.
- Thông tin – sẵn sàng: Thông tin có thể tiếp cận đối với những người mà
cần nó khi có yêu cầu.
Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm
đến các khía cạnh sau:
- Xác thực (Authentication): là các tiến trình xử lý nhằm xác định nhận
dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến
trình của phần mềm.
- Ủy quyền (Anthorization): là các luật xác định ai có quyền truy nhập vào
các tài nguyên của hệ thống
- Tính bảo mật (Confidentiality): nhằm đảo bảm dữ liệu được bảo vệ khỏi
những nhóm không được phép truy nhập.
- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu,
ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa
và xem lại những thông điệp đã được truyền.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 8
Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đổi với
nhóm được ghép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại
tính sẵn sàng của tài nguyên hệ thống.
1.4. Những nguy cơ đe dọa đối với bảo mật.
Các nguy cơ an ninh xuất hiện từ những khả năng:

- Sự lạm dụng máy tính của bạn bởi những người làm phiền qua Internet.
- Đối mặt thường xuyên khi làm việc trên Internet.
- Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không hợp
lệ…
Chính các nguy cơ này làm bộc lộ những điểm trong các hệ thống máy tính (
chẳng hạn như các lỗ hổng) mà kẻ xấu có thể lợi dụng để truy nhập bất hợp pháp
hoặc hợp pháp vào máy tính của bạn. Các lỗ hổng này trên mạng là các yếu điểm
quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng
sinh ra trên mạng do các lỗ hổng này mang lại thường là: sự ngưng trệ của dịch vụ,
cấp thêm đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống.
Hiện nay trên thế giới có nhiều cách phân loại khác nhau về lỗ hổng của hệ
thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức
độ tác hại hệ thống.
1.5. Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS
(Denial of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới
chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng
dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao
thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng
hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi
tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả
là server đáp ứng chậm hoặc không thể đạp ứng các yêu cầu từ client gửi tới.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít
nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 9
thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt
được quyền truy nhập bất hợp pháp vào hệ thống.

1.6. Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tích hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy
hiểm ở mức độ trung bình. Những lổ hổng này thường có trong các ứng dụng trên
hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người
dùng sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế
được các lỗ hổng loại B.
1.7. Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ
thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ
thống. Các lỗ hổng loại A này đe dọa tính toàn vẹn và bảo mật của hệ thống.
Thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được
cấu hình mạng.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
sẽ có thể bỏ qua những điểm yếu này.
Tuy nhiên, không phải bất kì lỗ hổng bảo mật nào cũng nguy hiểm đến hệ
thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet,
hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ
thống.
Dựa vào kẻ hở của các lỗ hổng này, kẻ xấu sẽ xây dựng các hình thức tấn
công khác nhau nhằm khống chế và nắm quyền kiểm soát trên mạng. Cho đến nay,
các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác
nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào
Báo cáo An toàn thông tin mạng


Nhóm 20 Trang 10
một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ
thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi,
phá hủy dữ liệu. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó
phát hiện ra lỗi và để lại thông báo cho người quản trị, tệ hơn nữa là chúng cài
virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ.
1.8. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa.
1.8.1. Phương thức tấn công hệ thống DNS
DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn
công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng.
Biện pháp phát hiện và ngăn ngừa:
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS
1.8.2. Phương thức tấn công Virus và Trojan House
Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan
house.
Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi
khác để thực hiện một chức năng phá hoại nào đó.
Trojan house thì hoạt động khác hơn. Một ví dụ về Trojan house là một phần
mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation. Trong khi
người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả
các user trong address book. Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp
tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.
Biện pháp phát hiện và ngăn ngừa: Có thể dùng các phần mềm chống Virus để
diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới.
1.8.3. Phương thức tấn công để thăm dò mạng
Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng.

Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được
thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực
hiện bởi các công cụ như ping sweep, hay port scan.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 11
Biện pháp phát hiện và ngăn ngừa: Ta không thể ngăn chặn được hoàn toàn các
hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply,
khi đó có thể chặn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần
phải chẩn đoán lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động
thăm dò xảy ra trong mạng.
1.8.4. Phương thức ăn cắp thông tin bằng Packet Sniffer
Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên
mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào,
một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các
thông tin khác trao đổi trong mạng.
Biện pháp phát hiện và ngăn ngừa:
- Authentication : Kỹ thuật này được thực hiện bao gồm 2 yếu tố: Personal
Identificaiton number (PIN) để xác thực một thiết bị hoặc một phần mềm
ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra
thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60
giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống.
Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì
thông tin đó cũng không còn giá trị vì hết hạn.
- Mã hóa: Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó,
nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã
hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu.
1.8.5. Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không
chuẩn hoặc Username/password bị lộ. Hacker có thể lợi dụng email server để gửi

mail gây ngập mạng, phá hoại hệ thống email khác.
Biện pháp phát hiện và ngăn ngừa:
- Giới hạn dung lượng Mail box.
- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật
cho SMTP server, đặt password cho SMTP.
- Sử dụng gateway SMTP riêng.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 12
1.8.6. Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như
sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng
này là chúng sử dụng những port cho qua bởi Firewall.
Biện pháp phát hiện và ngăn ngừa:
- Lưu lại file log và thường xuyên phân tích file log.
- Luôn cập nhật các patch cho OS và các ứng dụng.
- Dùng IDS, có 2 loại IDS: HIDS, NIDS
1.9. Các giải pháp bảo mật an toàn cho hệ thống
1.9.1. Bảo mật VPN (Virtual Private Network)
Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống
như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa
thích. VPN cho phép kết nối với những người dùng ở xa, các văn phòng chỉ nhánh
của bộ, công ty và các đối tác đang sử dụng một mạng công cộng.
VPN cung cấp các thỏa thuận về chất lượng dịch vụ (QoS – Quality of Service)
là một thuật ngữ dùng để chỉ chất lượng của một hệ thống truyền thông hay một kết
nối truyền thông trong mạng.
Ưu điểm của VPN:
- Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường
truyền. Truy cập mọi lúc mọi nơi.

- Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập
vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ.
- Giảm chi phí quản lý và hỗ trợ: với quy mô kinh tết, các nhà cung cấp dịch
vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị
so với việc tự quản lý mạng.
Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa
(Remote - Access) và VPN điểm nối điểm (site-to-site)
- VPN truy cập từ xa (Remote - Access)
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
13


Hình 1. Mô hình VPN client to site
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết
nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên
cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa.
- VPN điểm nối điểm (site-to-site)

Hình 2. Mô hình VPN site-to-site
VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại
này có thể dựa trên Intranet hoặc Extranet.
 Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn
tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet

(VPN nội bộ) để nối LAN với LAN.
 Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với
công ty khác họ có thể xây dựng một VPN extranet (VPN mở rộng) kết
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
14

nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một
môi trường chung.
1.9.2. Firewall
Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm
nhập từ mạng kia. Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông
tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được
thiết lập.
Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một
thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính
năng như dự phòng trong trường hợp xảy ra lỗi hệ thống.

Hình 3. Mô hình tổng quát Firewall
Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ
dàng. Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ
thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng
của firewall như tính năng địa chỉ, gói tin.
- Các thành phần của Firewall: Một Firewall chuẩn bao gồm một hay nhiều
các thành phần sau:
 Bộ lọc packet.

 Cổng ứng dụng
 Cổng mạch
 Bộ lọc gói tin
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
15

- Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một
trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp
vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
- Hạn chế
 Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi
hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet,
các dạng packet header, vá các giá trị cụ thể mà họ có thể nhận trên
môi trường.
 Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet
không kiểm soát được nội dung thông tin của packet. Các packet
chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp
thông tin hay phá hoại của kẻ xấu.
1.10. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp
thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát
các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ
thống. Có 2 dạng chính đó là : Network bases-IDS và Host based-IDS.
IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát
các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an nình của

sự kiện cảm biến được cho là đáng báo động.

Hình 4. Hệ thống xâm nhập IDS
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 16
- Hệ thống phát hiện xâm nhập phần mềm (Snort): Để cài được Snort thì
đầu tiên phải xem xét quy mô của hệ thống mạng, yêu cầu để có thể cài đặt
Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh
báo, một máy chủ khá mạng. Người quản trị sẽ chọn cho mình một hệ điều
hành mà họ sử dụng thành thạo nhất. Snort có thể chạy trên các hệ điều
hành như window, linux…
- Hệ thống phát hiện xâm nhập phần cứng (Cisco): Cisco cung cấp nhiều
loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép
quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống
như: Cisco IDS 4235, Cisco IPS 4.200.

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 17
CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN
XÂM NHẬP IDS
2.1. Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS
2.1.1. Định nghĩa về IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống
phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám
sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà quản trị.
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một
cách hợp lí để nhận ra những mối nguy hại có thể tấn công. Chúng phát hiện những
hoạt động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động

xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system
call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ
bên ngoài. IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa
trên so sánh lưu thông mạng hiện tại với baseline để tìm ra các dấu hiệu khác
thường.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu
sau:
- Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm
dụng.
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực.
- Tính toàn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái
phép nào. Đây là một điều kiện khó có thể thỏa mãn được vì gần như
không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương
lai.
- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn
công.
- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng
thái xấu nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ
thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số
lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ
thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.
Hình minh họa các vị trí thường cài đặt IDS trong mạng:
Báo cáo An toàn thông tin mạng

Nh
óm 20


Trang
18


Hình 5. Các vị trí đặt IDS trong mạng
2.1.2. Kiến trúc và nguyên lý hoạt động IDS
a. Thành phần của IDS

Hình 6. Thành phần của IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần
thu thập gói tin (information collection), thành phần phân tích gói tin
(Dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là
một tấn công của tin tặc. Trong 3 thành phần này thì thành phần phân tích gói
tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định.
Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ
tạo sự kiện. Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự
kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng.
Vài trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
19

phát hiện được các hành động nghi ngờ. Bộ cảm biến cũng có cơ sở dữ liệu
riêng của nó, gồm dữ liệu lưu về các xâm nhập phức tạp tiềm ẩn.
b. Nguyên lý hoạt động


Hình 7. Hoạt động của IDS
Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
- Sư phân tích (analysis): Phân tích tất cả các gói tin đã thu thập để cho
biết hành động nào là tấn công.
- Xuất thông tin cảnh báo (response): Hành động cảnh báo cho sự tấn
công được phân tích ở trên nhờ bộ phận (thông báo).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ
sung.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính
pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện
các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ
thống. Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai.
2.1.3. Chức năng của IDS
- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ.
 Giám sát: lưu lượng mạng và các hoạt động khả nghi.
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản
trị
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
20


 Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà
quản trị mà có những hành động thiết thực để chống lại kẻ xâm
nhập và phá hoại.
- Chức năng mở rộng:
 Phân biệt: tấn công bên trong và tấn công bên ngoài.
 Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết
hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển
nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế
mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
2.2. Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS.
2.2.1. Phân loại IDS
- Network based IDS – NIDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu
thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để
phát hiện xâm nhập.
- Host based IDS – HIDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy
trạm đơn để phát hiện xâm nhập.
2.2.2. Network based IDS – NIDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên
toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu
lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.
Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi
ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh
báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn
những xâm nhập xa hơn.
Được đặt giữa kết nối hệ thống bên trong và bên ngoài để giám sát toàn bộ
lưu lượng vào ra. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.

Hình 8. Mô hình Network based IDS – NIDS

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 21
Ưu điểm:
- Quản lý được cả một network segment
- “Trong suốt” với người sử dụng lẫn kẻ tấn công.
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với OS (Operating System)
Nhược điểm:
- Có thể xảy ra trường hợp báo động giả.
- Không thể phân tích các traffic đã được encrypt.
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự
an toàn.
- Không cho biết việc attack có thành công hay không.
- Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng
phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó
cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của
đầu dò cũng vậy.
2.2.3. Host based IDS – HIDS
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và
những lưu lượng mạng thu thập được.
HIDS thương được cài đặt trên một máy tính nhất định. Nhiệm vụ chính
của HIDS là giám sát các thay đổi trên hệ thống, bao gồm:
- Các tiến trình.
- Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.

- Một vài thông số khác.
- Các thông số này khi vượt qua một ngưỡng định trước hoặc những
thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
22


Hình 9. Mô hình Host based IDS – HIDS
Ưu điểm
- Có khả năng xác định user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,
NIDS không có khả năng này.
- Có thể phân tích các dữ liệu mã hóa.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên
host này.
Nhược điểm
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào
host này thành công.
- Khi OS bị “hạ” do tấn công, đồng thời HIDS cũng bị “hạ”.
- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat,…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS
2.2.4. Cơ chế hoạt động của IDS

Có 2 cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:
- Phát hiện sự lạm dụng: Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm
kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến
hoặc các điểm dễ bị tấn công của hệ thống.
- Phát hiện sự bất thường: Hệ thống sẽ phát hiện các xâm nhập bằng cách
tìm kiếm các hành động khác với hành vi thông thường của người dùng
hay hệ thống.

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 23
a. Mô hình phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng
đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến
việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến,
mỗi cách thức này được mô tả như một mẫu.
Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành
động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò
ra kịch bản đang được tiến hành.
Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật để
mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một
lượng lớn tập luật được tích lũy dẫn đến khó có thể hiểu và sửa đổi bởi vì
chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản
xâm nhập.
Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu
diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu
diễn về phép biển đổi trạng thái. Hệ thống phải thường xuyên duy trì và cập
nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện.
b. Mô hình phát sự bất thường
Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể

chấp nhật của hệ thống để phân biệt chúng với các hành vi không mong muốn
hoặc bất thường, tìm ra các thay đổi, các hành vi bất hợp pháp.
Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân
biệt giữa những hiện tượng thông thường và hiện tượng bất thường.
Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của
đoạn mã và dữ liệu lưu trữ được định nghĩa rõ ràng, còn dnah giới giữa hành
vi hợp lệ và hành vi bất thường thì khó xác định hơn.
c. So sánh giữa hai mô hình
Phát hiện sự lạm dụng Phát hiện sự bất thường
Bao gồm:
- Cơ sở dữ liệu các dấu hiệu tấn
công.
- Tìm kiếm các hành động tương
ứng với kĩ thuật xâm nhập biết đến
Bao gồm:
- Cơ sở dữ liệu các hành động thông
thường.
- Tìm kiếm độ lệch của hành động
thực tế so với hành động thông
thường
Hiệu quả trong việc phát hiện các
dạng tấn công hay các biến thể của các
dạng tấn công đã biết. Không phát hiện
được các dạng tấn công mới
Hiệu quả trong việc phát hiện các
dạng tấn công mới mà một hệ thống
phát hiện sự lạm dụng bỏ qua.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 24

Dễ cấu hình hơn do đòi hỏi ít hơn về
thu thập dữ liệu, phân tích và cập nhật.
Khó cấu hình hơn vì đưa ra nhiều dữ
liệu hơn, phải có được một khái niệm
toàn diện về hành vi đã biết hay hành vi
được mong đợi của hệ thống.
Đưa ra kết luận dựa vào phép so khớp
mẫu.
Đưa ra kết quả dựa vào độ lệch giữa
thông tin thực tế và ngưỡng cho phép
Có thể kích hoạt một thông điệp cảnh
báo nhờ một dấu hiệu chắc chắn, hoặc
cung cấp dữ liệu hỗ trợ cho các dấu
hiệu khác.
Có thể hỗ trợ việc tự sinh thông tin hệ
thống một cách tự động nhưng cần có
thời gian và dữ liệu thu thập được phải
rõ ràng.
Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả
hai phương pháp trên trong cùng một hệ thống. Hệ thống kết hợp này sẽ cung cấp
khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
2.3. Cách phát hiện kiểu tấn công thông dụng của IDS.
2.3.1. Tấn công vào mật mã
- Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn
công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng.
- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force
bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. Với bẻ khóa,
kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật
mã để mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật
toán mã hóa có thể sử dụn được để xác định mã đúng.

- Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn
cố gắng đoán mã nhưng nó không có hiệu quả trong việc phát hiện truy
nhập trái phép tới file đã bị mã hóa. Trong khi đó Host-base IDS lại rất có
hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy
nhập trái phép tới file chứa mật mã.
2.3.2. Tấn công hạ tầng bảo mật
Có nhiều loại tấn công can thiệp vào việc điểu khiển cơ bản của có sở hạ tầng
bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay
router, hay thay đổi quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 25
nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống
hay mạng.
Giải pháp của IDS: Host-based IDS có thể bắt giữ các cuộc đăng nhập mà
thực hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và
firewall bị thay đổi một cách đang nghi.
2.3.3. Cài đặt mã nguy hiểm
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể
lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập
trái phép tiếp theo.
- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dấn đến một số hành
động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản
sao của file hệ thống, file của ứng dụng hay dữ liệu.
- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến
một số hành động tự động, thường có hại, nhưng không có mục đích nhân
bản.
- Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống
virus và các đoạn mã nguy hiểm lên gateway, server và workstation là
phương pháp hiệu quả nhất để giảm mức độ nguy hiểm.

2.3.4. Quét và thăm dò
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm
yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa,
nhưng hacker có thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và
thăm dò như: SATAN, ISS Internet Scanner…Việc thăm dò có thể được thực hiện
bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP, UDP để phát hiện
ra ứng dụng có những lỗi đã được biết đến. Vì vậy các công cụ này có thể là công
cụ đắc lực cho mục đích xâm nhập.
2.3.5. Tấn công từ chối dịch vụ
Mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích.
Cuối cùng mục tiêu trở nên không thể tiếp cận và không thể trả lời. DoS tấn công
vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×