Tải bản đầy đủ (.docx) (86 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tìm hiểu và triển khai hệ thống phát hiện xâm nhập ids snort tại các doanh nghiệp vừa và nhỏ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.52 MB, 86 trang )

TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

LỜI CẢM ƠN

Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn, khoa Công nghệ thông
tin, trường Đại Học Duy Tân Đà Nẵng , đã tạo điều kiện cho em thực hiện đồ án
chuyên ngành. Xin chân thành cảm ơn thầy giáo ThS. Nguyễn Minh Nhật đã tận
tình hướng dẫn, giúp đỡ em hoàn thành đồ án này.
Cuối cùng, em xin bày tỏ lịng biết ơn đến gia đình và bạn bè đã giúp đỡ, động
viên em rất nhiều trong suốt quá trình học tập và làm đồ án đã giúp đỡ và chia sẻ
cho em những kinh nghiệm rất q giá trong q trình em thực tập tại cơng ty để
em hồn thành
Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc
chắn đồ án này cịn có nhiều thiếu sót. Em rất mong nhận được những ý kiến đóng
góp quý báu từ thầy cơ và các bạn.
Cuối cùng tơi kính chúc quý Thầy, Cô sức khỏe và đạt được nhiều thành
công tốt đẹp trong cuộc sống.

Trang 1


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ AN NINH
MẠNG VÀ HỆ THỐNG PHÁT HIỆN XÂM
NHẬP

-LỜI CẢM ƠN


MỤC LỤC
DANH MỤC CÁC TỪ VIẾT
TẮT

1.1. BẢO MẬT HỆ THỐNG

DANH MỤC HÌNH

1.1.1. Khái niêm về bảo mật
1.1.2. Sự cần thiết của bảo mật

LỜI NÓI ĐẦU

1.3.1. Mối đe dọa khơng có cấu trúc

( Untructured threat)
1.3.2. Mối đe dọa có cấu trúc ( Structured threat)
1.3.3. Mối đe dọa từ bên ngoài (External threat)
1.3.4. Mối đe dọa từ bên trong( Internal threat )
1.2. GIỚI THIỆU VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (IDS –
INTRUSION DETECTION SYSTEM)
1.2.1. Định nghĩa hệ thống phát hiện xâm nhập – IDS
1.2.2.Lợi ích và tầm quan trọng của hệ thống IDS
1.2.3.1. Lợi ích của hệ thống IDS
1.2.3.2. Tầm quan trọng của hệ thống IDS
1.2.3.PHÂN LOẠI
1.2.4.1. NIDS (Netword Intrusion Detection System)
1.2.4.1.HIDS (Host Intrusion Detection System)
1.2.5.KIẾN TRÚC CỦA IDS
1.2.5.1.Các nhiệm vụ thực hiện

1.2.5.2. Kiến trúc của hệ thống phát hiện xâm nhập IDS
1.2.6. NGUYÊN LÝ HOẠT ĐỘNG
1.2.6.1. Sơ lượt về hoạt động của hệ thống
1.2.6.2. Xử lý kiểm định Online
1.2.6.3. Phát hiện dấu hiệu khơng bình thường
1.2.6.4. Các mẫu hành vi thông thường- phát hiện bất thường
Trang 2


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

1.2.6.5. Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
1.2.6.6. Tương quan các mẫu tham số
1.2.7. CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA
IDS
1.5.1.Denial of Service attack (Tấn công từ chối dịch vụ)
1.5.2.Scanning và Probe (Quét và thăm dị)
1.5.3.Password attack (Tấn cơng vào mật mã)
1.5.4.Privilege-grabbing (Chiếm đặc quyền)
1.5.5.Hostile code insertion (Cài đặt mã nguy hiểm)
1.5.6.Cyber vandalism (Hành động phá hoại trên máy móc)
1.5.7.Proprietary data theft (Ăn trộm dữ liệu quan trọng)
1.5.8.Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)
1.5.9.Audit trail tampering (Can thiệp vào biên bản)
1.5.10.Security infrastructure attack (Tấn công hạ tầng bảo mật)
CHƯƠNG II: HỆ THỐNG
SNORT

2.1. SNORT VÀ NGUYÊN LÝ HOẠT

ĐỘNG

2.1.1. Tổng quan về SNORT
2.1.2. Nguyên lý hoạt động
2.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG
2.2.1. Bộ giải mã gói (Packet Decoder)
2.2.2. Bộ tiền xử lý (Preprocessor)
2.2.3. Bộ phát hiện (Detection Engine)
2.2.4. Hệ thống ghi và cảnh báo (Logging và Alerting System)
2.2.5. Bộ phận đầu ra (Output Modules)
2.3. BỘ LUẬT CỦA SNORT
2.3.1. Giới thiệu
2.3.2. Cấu trúc luật của Snort
2.4. CHẾ ĐỘ NGĂN CHẶN CỦA SNORT: SNORT – INLINE
2.4.1. Tích hợp khả năng ngăn chặn vào Snort
Trang 3


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

2.4.2. Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode
2.5. CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT
2.5.1. Sniffer
2.5.2. Packet logger
2.5.3. NIDS
2.6. NHỮNG ĐIỀU CẦN LƯU Ý
2.6.1. Vị trí của bộ cảm biến
2.6.2. Các hệ thống và mạng phải giám sát
2.6.3. Tạo các điểm kết nối

2.6.4. Lưu lượng mã hóa
2.6.5. Bảo mật bộ cảm biến Snort
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG
SNORT

3.1. GIỚI THIỆU KỊCH
BẢN

3.2. THỰC HIỆN
3.2.1. Cài đặt và cấu hình
3.2.2. CÀI SNORT VÀ GĨI BỔ TRỢ
3.3. DEMO SNORT

Trang 4


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

KẾT LUẬN

DANH MỤC CÁC TỪ VIẾT TẮT

TÀI LIỆU THAM
KHẢO
Cụm từ

Ý nghĩa

IDS

NIDS
DoS
HIDS
OSI
OS
SSL
SSH
DMZ
CPU
PIDS

Intrusion Detection System
Network Base Intrusion Detection System
Denial of Service
Host Base Intruction Detection System
Open Systems Interconnection
Operating System
Secure Socket Layer
Secure Shell
demilitarized zone
Central Processing Unit
Protocol based Intrucsion Detection System
Application Protocol Based Intrusion

APIDS
HTTP
URL
TCP
SNMP
UDP


Detection System
Hypertext Transfer Protocol
Uniform Resource Locator
Transmission Control Protocol
Simple Network Management Protocol
User Datagram Protocol

Trang 5


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

DANH MỤC HÌNH VẼ

Trang 6


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

LỜI NÓI ĐẦU
1. GIỚI THIỆU

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh
nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong
việc xâm nhập vào mạng công ty và đem ra ngồi rất nhiều thơng tin giá trị. Đã có
nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên
Internet như: Sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)…trong

đó có hệ thống phát triển xâm nhập.
Phát hiện xâm nhập là một tập những công nghệ và phương thức dung để
phát hiện hành động khả nghi trên cả host và mạng. Các phương pháp phát hiện
xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện
xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện
xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã biết để
tìm ra một ai đó cố gắng tấn cơng vào mạng hay máy cá nhân. Thông tin thu thập
theo cách này có thể sử dụng cho mạng chúng ta an tồn hơn, nó hồn tồn hợp
pháp, sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một
phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới,
các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với
các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển, ứng
dụng từ lâu trên thế giới và đã thể hiện vai trị quan trọng trong các chính sách bảo
mật. Mặc dù các phương pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vị
trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không
chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà cịn
có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu
sử dụng và có thể ứng dụng rộng rãi trong thực tiễn.
Trang 7


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

2. Ý NGHĨA CỦA ĐỀ TÀI
Hiện nay các vụ vi phạm bảo mật ngày càng tinh vi hơn cùng với sự gia
tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phương
pháp bảo mật truyền thống không chống được.

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không
chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép
với vai trị là phương pháp dị tìm và phát hiện xâm nhập mạng trên SNORT bổ
sung cho những phương pháp bảo mật hiện tại, mà cịn có thể ứng dụng vào thực
tiễn nhằm nâng cao tính bảo mật, đảm bảo sự an toàn cho các hệ thống và chất
lượng dịch vụ cho người dùng.
3. MỤC TIÊU CỦA ĐỀ TÀI
- Tìm hiểu, tổng hợp và phân tích những vấn đề liên quan đến hệ thống dị tìm
và phát hiện xâm nhập IDS.
- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort.
- Tìm hiểu phương pháp và triển khai thử nghiệm cài đặt Snort NIDS trên hệ
linux.
4. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
- Hệ thống dị tìm và phát hiện xâm nhập IDS
- Hệ thống HIDS Snort
- Xây dựng hệ thống snort IDS trên linux
5. PHƯƠNG PHÁP NGHIÊN CỨU
Đề tài sử dụng các phương pháp nghiên cứu sau :
- Tổng hợp các kết quả nghiên cứu từ các tư liệu liên quan.
- Phân tích đánh giá phương pháp và đưa ra các giải pháp lựa chọn.
- Xây dựng thử nghiệm mơ hình.

Trang 8


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ HỆ THỐNG PHÁT
HIỆN XÂM NHẬP

1.1. BẢO MẬT HỆ THỐNG
1.1.1. Khái niêm về bảo mật
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu
các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính
xác các cuộc tấn cơng, phân tích các điểm yếu của hệ thống và tăng cường bảo mật
những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn cơng. Sau
đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia
tăng độ an toàn cho hệ thống:
- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận
dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình
của phần mềm.
- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào
các tài nguyên của hệ thống.
- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi
những nhóm khơng được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy
và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.
- Tính tồn vẹn (Integrity): hệ thống đảm bảo tính tồn vẹn của dữ liệu nếu
nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và
xem lại thơng điệp đã được truyền.
- Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối
với nhóm được phép. Mục tiêu của kiểu tấn cơng từ chối dịch vụ DoS là phá hoại
tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.

Trang 9


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

1.1.2. Sự cần thiết của bảo mật

Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất
cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùng
với việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn
cơng trên Internet. Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho
những kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm
việc tốt mà khơng cần lo lắng quá về việc tăng nguy cơ bị tấn cơng.
1.3.1. Mối đe dọa khơng có cấu trúc ( Untructured threat)
Hầu hết tấn cơng khơng có cấu trúc đều được gây ra bởi Script Kiddies
(những kẻ tấn công chỉ sử dụng các cơng cụ được cung cấp, khơng có hoặc có ít
khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn
cơng đó vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn cơng có ý đồ xấu.
Mặc dù tính chun mơn của các cuộc tấn cơng dạng này khơng cao nhưng
nó vẫn là một mối nguy hại lớn.
1.3.2. Mối đe dọa có cấu trúc ( Structured threat)
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Khơng
như Script Kiddes, những kẻ tấn cơng này có đủ kỹ năng để hiểu các cơng cụ, có
thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các cơng cụ mới. Động cơ
thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các cuộc tấn
cơng này thường có mục đích từ trước. Các cuộc tấn công như vậy thường gây hậu
quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành công có thể
gây nên sự phá hủy cho tồn hệ thống.

Trang 10


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

1.3.3. Mối đe dọa từ bên ngoài (External threat)
External threat là các cuộc tấn cơng được tạo ra khi khơng có một quyền

nào trong hệ thống. Người dùng trên tồn thế giới thơng qua Internet đều có thể
thực hiện các cuộc tấn cơng như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external
threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của
kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các
công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa.
1.3.4. Mối đe dọa từ bên trong( Internal threat )
Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy
trong mạng. Mối đe dọa này khó phịng chống hơn vì các nhân viên có thể truy cập
mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện
bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp
bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối
bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy
bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt
qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện cịn lại thường là rất đơn
giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với
sự giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở
thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ
thống và ăn trộm tài nguyên quan trọng của công ty. Structured internel threat là
kiểu tấn công nguy hiểm nhất cho mọi hệ thống.

Trang 11


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

1.2. GIỚI THIỆU VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (IDS –
Intrusion Detection System)

1.2.1. Định nghĩa hệ thống phát hiện xâm nhập – IDS
Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là hệ
thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra
trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,
bảo mật.
IDS cũng có thể phân biệt giữa những tấn cơng từ bên trong (từ những
người trong công ty, trong hệ thống) hay tấn cơng từ bên ngồi (từ các hacker).
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như
cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt
virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc
chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.2.2. Lịch sử ra đời và phát triển
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một
bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dị tìm và
nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát
hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các
nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm
1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của khơng lực Hoa
Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ
thống IDS chỉ được xuất hiện trong các phịng thí nghiệm và viện nghiên cứu. Tuy
nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự
bùng nổ của công nghệ thông tin.
Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi
nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan
trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Trang 12


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ


Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an
ninh được sử dụng nhiều nhất và vẫn cịn phát triển.
Vào năm 2003, Gartner- một cơng ty hàng đầu trong lĩnh vực nghiên cứu và
phân tích thị trường cơng nghệ thơng tin trên tồn cầu- đã đưa ra một dự đốn gây
chấn động trong lĩnh vực an tồn thông tin : “Hệ thống phát hiện xâm nhập (IDS)
sẽ khơng cịn nữa vào năm 2005”. Phát biểu này của xuất phát từ một số kết quả
phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đề
sau:
-

IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives).

-

Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi
liên tục (24 giờ trong suốt cả 365 ngày của năm).

-

Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất
vả.

-

Khơng có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ
lớn hơn 600 Megabit trên giây.

Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những
khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó

khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư.
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ
thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại
trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm sốt
và phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả,
vai trị của các cơng cụ, con người quản trị là rất quan trọng, cần phải đáp ứng
được các tiêu chí sau:
-

Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát
hiện bởi các IDS, tường lửa để tránh các báo động giả.

-

Các thành phần quản trị phải tự động hoạt động và phân tích.
Trang 13


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

-

Kết hợp với các biện pháp ngăn chặn tự động.

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện
và ngăn chặn xâm nhập IPS, đã dần khắc phục được các mặt còn hạn chế của
IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó.
1.2.2.


Lợi ích và tầm quan trọng của hệ thống IDS
1.2.3.1. Lợi ích của hệ thống IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa
biết trước. Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng,
lợi ích mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an tồn trước những
nguy cơ tấn cơng, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được
những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp.
Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ
hổng về bảo mật trong môi trường mạng.
Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá
chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh
báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình
thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ
thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
1.2.3.2. Tầm quan trọng của hệ thống IDS
a. Sự giới hạn của các biên pháp đối phó
Hiện nay có nhiều cơng cụ nhằm gia tăng tính bảo mật cho hệ thống. Các
cơng cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế
riêng làm hệ thống vẫn có nguy cơ bị tấn công cao.
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và
Internet bên ngoài, cung cấp cơ chế phòng thủ từ vành đai, hạn chế việc truyền
thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ
thống.
Trang 14


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

Hình 1. . Định nghĩa hệ thống phát hiện xâm nhập – IDS

Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể.
Tuy nhiên Firewall cũng có những điểm yếu sau:
- Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ
thống, và không thể chống lại sự đe dọa từ trong hệ thống.
- Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc
này có thể cho phép việc thăm dị điểm yếu.
- Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi
trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn cơng.
- Hacker có thể sử dụng phương thức tác động đến yếu tố con người để
được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall.
- Firewall không ngăn được việc sử dụng các modem khơng được xác thực
hoặc khơng an tồn gia nhập hoặc rời khỏi hệ thống.
VPN và cơ chế mã hóa cung cấp khả năng bảo mật cho việc truyền thông
đầu cuối các dữ liệu quan trọng. Tuy nhiên, các dữ liệu có mã hóa chỉ an tồn với
những người không được xác thực. Việc truyền thông sẽ trở nên mở, không được
bảo vệ và quản lý với những hành động của người dùng.

Trang 15


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

Hình 1. . Mơ hình sử dụng chứng chỉ để đảm bảo tính tin cậy
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy
nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm
nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý
mơi trường cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay
có ý đồ xấu”.
b. Sự cần thiết của hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu
hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho
họ, bổ sung những điểm yếu của hệ thống khác…
Hệ thống phát hiện xâm nhập giúp giám sát lưu thông mạng, các hoạt động
khả nghi và cảnh báo cho hệ thống, nhà quản trị. Nó cũng có thể phân biệt giữa
những tấn công bên trong từ bên trong (từ những người trong cơng ty) hay tấn
cơng từ bên ngồi (từ các hacker).

Trang 16


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên quan trọng,
nhưng nó có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an
tồn hay khơng vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.

Hình 1.3. Mơ hình hệ thống

1.2.3.

PHÂN LOẠI
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát

hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường.
Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.

-

Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện
hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định
nghĩa là tấn công.

-

Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt
động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ
thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm
nhập.
Trang 17


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

-

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái
phép và những hành động dị thường.

Quá trình phát hiện có thể được mơ tả bởi 3 yếu tố cơ bản nền tảng sau:
-

Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.

-


Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho
biết hành động nào là tấn công.

-

Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân
tích ở trên.

1.2.4.1 . NIDS (Netword Intrusion Detection System)

Hình 1.4. Mơ hình NIDS
Hệ thống IDS dựa trên mạng sử dụng bộ dị và bộ bộ cảm biến cài đặt trên
tồn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng
trùng với những mơ tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ
bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận
được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm
Trang 18


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm
nhập xa hơn. NIDS là tập nhiều sensor được đặt ở tồn mạng để theo dõi những
gói tin trong mạng so sánh với mẫu đã được định nghĩa để phát hiện đó là tấn cơng
hay khơng.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng

được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng
mạng hoạt động ở mức cao
a. Lợi thế của Network-Based IDS
-

Quản lý được cả một network segment (gồm nhiều host) "Trong suốt"
với người sử dụng lẫn kẻ tấn cơng.

-

Cài đặt và bảo trì đơn giản, khơng ảnh hưởng tới mạng.

-

Tránh DOS ảnh hưởng tới một host nào đó.

-

Có khả năng xác định lỗi ở tầng Network (trong mơ hình OSI).

-

Độc lập với OS.

b. Hạn chế của Network-Based IDS
-

Có thể xảy ra trường hợp báo động giả (false positive), tức khơng có
xâm nhập mà NIDS báo là có xâm nhập.


-

Khơng thể phân tích các traffic đã được encrypt (vd: SSL, SSH,
IPSec…)

-

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an
tồn Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi
báo động được phát ra, hệ thống có thể đã bị tổn hại.

Khơng cho biết việc attack có thành công hay không. Một trong những hạn
chế là giới hạn băng thơng. Những bộ dị mạng phải nhận tất cả các lưu lượng
Trang 19


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng
tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng
được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dị. Khi mà mạng
phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và
bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi
gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thơng tin của họ. Mỗi
giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn
kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá
trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành
vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân

mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều
hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh
chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ
cảm biến khơng thể sắp xếp lại những gói thơng tin một cách chính xác.

1.2.4.1.

HIDS (Host Intrusion Detection System)

Trang 20


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

HIDS

Hình 1.5. Mơ hình HIDS
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên
máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu
lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những
cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ
thống máy chủ. Trong khi những đầu dị của mạng có thể phát hiện một cuộc tấn
cơng, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn cơng
có thành cơng hay khơng. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận
những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised
host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách
giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ
xâm nhập có thể tấn cơng một hệ thống hay dữ liệu mà không cần phải tạo ra bất

cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể
phát hiện các cuộc tấn cơng mà không đi qua đường public hay mạng được theo
dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có

Trang 21


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần
mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các
kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các
phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát
hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một
máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server
trong vùng DMZ, thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của
HIDS là giám sát các thay đổi trên hệ thống, bao gồm:
-

Các tiến trình.

-

Các entry của Registry.

-


Mức độ sử dụng CPU.

-

Kiểm tra tính tồn vẹn và truy cập trên hệ thống file.

-

Một vài thông số khác.

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi
khả nghi trên hệ thống file sẽ gây ra báo động.
a. Lợi thế của HIDS
-

Có khả năng xác đinh user liên quan tới một event.

-

HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,
NIDS khơng có khả năng này.

-

Có thể phân tích các dữ liệu mã hố.

-

Cung cấp các thơng tin về host trong lúc cuộc tấn công diễn ra trên host
này.


b. Hạn chế của HIDS

Trang 22


TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

-

Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.

-

Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".

-

HIDS phải được thiết lập trên từng host cần giám sát .

-

HIDS khơng có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…).

-

HIDS cần tài nguyên trên host để hoạt động.


-

HIDS có thể không hiệu quả khi bị DOS.

-

Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có một số
chạy được trên UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt
trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi
nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành cơng việc
tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy
chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể
phát hiện những tấn cơng thăm dị thơng thường được thực hiện nhằm chống lại
một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không
phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port
scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hồn tồn có
thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì
các máy chủ sẽ khơng thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung
cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này
có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác
nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và
chạy được trên tất cả các hệ điều hành.
1.2.5.

KIẾN TRÚC CỦA IDS
Trang 23



TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc
phân tích và kiểm tra khác nhau của các hệ thống. Một hệ thống IDS được xem là
thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra
các thơng báo hợp lý, phân tích được tồn bộ thơng lượng, cảm biến tối đa, ngǎn
chặn thành cơng và chính sách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểm
cũng như khuyết điểm riêng nhưng các hệ thống có thể được mơ tả dưới mơ hình
tổng qt chung như sau:
1.2.5.1.

Các nhiệm vụ thực hiện

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn
công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm
phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu
các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên
được bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được
kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập
được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát
hiện các dấu hiệu tấn cơng (sự xâm phạm).

Hình 1.6. Quy trình hoạt động của IDS

Trang 24



TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PHÁT TRIỂN XÂM NHẬP IDS-SNORT TẠI CÁC DOANH
NGHIỆP VỪA VÀ NHỎ

-

Prevention ( phòng và ngăn chặn được tấn công), Simulation (mô

-

phỏng)
Intrustion Monitoring ( giám sát biết được chuyện gì đang xảy ra của kẻ

-

xâm nhập), Analysis (phân tích)
Intruction detection (phát hiện xâm nhập ), Notification (thơng báo)
Respose (Phản ứng)

Hình 1.7. Cơ sở hạ tầng IDS
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ
sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các
kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật
của các tổ chức (Hình1.7 ) Một IDS là một thành phần nằm trong chính sách bảo
mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp
lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn

cơng trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.

Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×