Tải bản đầy đủ (.doc) (64 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Tìm hiều và triển khai hệ thống phát hiện xâm nhập IDS cho trường ĐHSPKT Hưng Yên cơ sở 2

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.74 MB, 64 trang )

LỜI CẢM ƠN


TRƯỜNG ĐẠI HỌC SPKT HƯNG YÊN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

KHOA CÔNG NGHỆ THÔNG TIN
Độc lập – Tự do – Hạnh phúc
ĐỀ TÀI ĐỒ ÁN 5
Họ và tên sinh viên:
1. Quản Đức Thảo
2. Trần Văn Phong
3. Bùi Đăng Tân
Ngành đào tạo:
Cơng nghệ thơng tin

(NS:30/12/1989)
(NS:)
(NS:)

Chun ngành:

Mạng máy tính và truyền thơng

Khóa học:

2009 – 2013

Lớp: TK7.2
Lớp:TK7.2


Lớp:TK7.2

Tên đề tài: Tìm hiều và triển khai hệ thống phát hiện xâm nhập IDS cho trường
ĐHSPKT Hưng Yên cơ sở 2.
Mục tiêu đề tài:
• Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập của
sinh viên ngày càng tốt hơn.
• Nghiên cứu, tìm hiểu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS.
• Có khả năng triển khai hệ thống phát hiện xâm nhập IDS phù hợp với yêu cầu
thực tế khi có điều kiện.
Nội dung cần hoàn thành:
1. Phần thuyết minh:
-

Bản báo cáo viết về kết quả thực hiện các nhiệm vụ của đề tài.

2. Phần thực hành, cài đặt:
-

Cài đặt và cấu hình phần mềm SNORT.

3. Sản phẩm chính
-

Xây dựng được hệ thống phát hiện xâm nhập cho trường ĐHSPKT Hưng Yên.

Thời gian thực hiện: Ngày giao: , ngày hoàn thành:
Người hướng dẫn: Vi Hồi Nam
Ký xác nhận:…………………..
Hưng n, ngày…….tháng…...năm……

TRƯỞNG BỘ MƠN
(Ký và ghi rõ họ, tên)

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN


………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………

………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 1


………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………

………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
…………….

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2


………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………

………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
…………….

MỤC LỤC



Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 1

PHẦN I: MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vơ cùng
quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an tồn cho
thơng tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức,

các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi
hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh
mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm sốt luồng thơng tin ra
vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu
phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là
các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Trước các nguy cơ xâm nhập của những kẻ tấn cơng nhằm tìm kiếm dữ liệu mật
của cơng ty, doanh nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống
IDS(Intrusion Detection System ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn
công thông qua việc kiểm sốt lưu lượng giao thơng của hệ thống mạng. IDS chỉ kiểm
tra và thơng báo khi hệ thống có sự bất thường hoặc trái với một định nghĩa mà người
dùng đặt ra cho hệ thống IDS không thể thực hiện việc ngăn chặn ngay khi phát hiện
xâm nhập xảy ra. Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài
nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng
việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt
động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hồn hảo, khơng có những
báo động giả nào làm giảm năng suất người dùng cuối và khơng có những từ chối sai
nào tạo ra rủi ro quá mức bên trong môi trường.
Xuất phát từ cơ sở khoa học và cơ sở thực tiễn trên, từ những yêu cầu cấp thiết
trong thực tế cần một hệ thống mạng an toàn, tin cậy, bảo mật, chúng em xin được
thực hiện đề tài :”Tìm hiều và triển khai hệ thống phát hiện xâm nhập – IDS cho
trường ĐHSPKT Hưng Yên cơ sở 2”.

2. Mục tiêu nghiên cứu đề tài
Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.


Trang 2

• Tìm hiểu và nghiên cứu về hệ thống phát hiện xâm nhập – IDS.
• Triển khai hệ thống phát hiện xâm nhập cho các công ty, tổ chức, doanh nghiệp
nhằm mục đích tăng độ tin cậy, bảo mật cho hệ thống mạng của công ty, tổ
chức, doanh nghiệp trước các nguy cơ xâm nhập của những kẻ tấn cơng nhằm
tìm kiếm những dữ liệu mật của các cơng ty, tổ chức, doanh nghiệp.
• Cung cấp một giải pháp hoàn chỉnh với sự kết hợp của nhiều phần mềm khác
nhau như: Snort, Mysql, Barnyard2, BASE, Snortnotify… để xây dựng được
một hệ thống phát hiện xâm nhập hoạt động ổn định, tin cậy, không ảnh hưởng
tới sự hoạt động cũng như dữ liệu lưu thông trên hệ thống mạng.
• Việc thực hiện đề tài giúp cho sinh viên có khả năng tự học, tự nghiên cứu độc
lập ngày càng tốt hơn.
3. Đối tượng, khách thể nghiên cứu của đề tài.
• Đối tượng nghiên cứu:
 Khái niệm, chức năng, nguyên tắc hoạt động, kiến trúc của hệ thống phát
hiện xâm nhập – IDS.
 Nghiên cứu ứng dụng Snort trong hệ thống phát hiện xâm nhập IDS.
 Triển khai hệ thống phát hiện xâm nhập – IDS cho một công ty, tổ chức
doanh nghiệp.
• Khách thể nghiên cứu:
 Ứng dụng và triển khai hệ thống phát hiện xâm nhập hoàn chỉnh cho trường
ĐHSPKT Hưng Yên cơ sở 2.
 Mở rộng triển khai trên các hệ thống mạng của các công ty, tổ chức, doanh
nghiệp.
4. Xây dựng giả thuyết khoa học.
Trong đề tài này chúng em sẽ tìm hiểu và nghiên cứu hệ thống phát hiện xâm nhập
– IDS, xây dựng một hệ thống phát hiện xâm nhập hoàn chỉnh bằng việc sử dụng các
phần mềm như: Snort, Mysql, Barnyard2, BASE, Snortnotify…Sau đó chúng em sẽ

giả lập các cuộc xâm nhập, tấn công vào hệ thống mạng bằng nhiều phương pháp khác
nhau để kiểm tra khả năng phát hiện các cuộc xâm nhập và tấn công trên của hệ thống
phát hiện xâm nhập. Qua đó sẽ đánh giá, kiểm tra khả năng phát hiện xâm nhập, cách
thức hoạt động, sự ổn đinh của hệ thống. Chỉ ra được sự cần thiết của một hệ thống

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 3

phát hiện xâm nhập trong mỗi hệ thống mạng nhằm đảm bảo an toàn, tin cậy, bảo mật
của dữ liệu lưu thông trên hệ thống mạng của công ty, tổ chức, doanh nghiệp.
5. Nhiệm vụ nghiên cứu đề tài.
• Xây dựng cơ sở lý thuyết tổng quan về hệ thống phát hiện xâm nhập.
• Nghiên cứu ứng dụng phần mềm Snort vào hệ thống phát hiện xâm nhập – IDS.
• Khảo sát thực trạng, phân tích hệ thống mạng trường ĐHSPKT Hưng Yên cơ
sở 2 qua đó xây dựng hệ thống phát hiện xâm nhập – IDS cho hệ thống mạng
của nhà trường.
• Đề xuất những giải pháp ứng dụng hệ thống phát hiện xâm nhập nhằm mục
đích tăng cường tính bảo mật, độ tin cây, an tồn, ổn định cho hệ thống mạng
của các cơng ty, tổ chức, doanh nghiệp.
6. Giới hạn của đề tài.
• Thời gian thực hiện: 10 tuần.
• Nơi triển khai đề tài: trường ĐHSPKT Hưng n cơ sở 2.
• Nghiên cứu, tìm hiểu, triển khai hệ thống phát hiện xâm nhập – IDS.
7. Phương pháp nghiên cứu.

Để thực hiện đề tài này chúng em sử dụng phương pháp nghiên cứu lý thuyết để
nghiên cứu tài liệu của các tác giả, chuyên gia trong lĩnh vực bảo mật qua đó tìm hiểu
được các khái niệm, chức năng, nguyên lý hoạt động, kiến trúc hệ thống phát hiện xâm
nhập – IDS. Bên cạnh đó để tăng tính thuyết phục của đề tài chúng em sử dụng
phương pháp giả lập để xây dựng hệ thống phát hiện xâm nhập và các cuộc xâm nhập,
tấn công vào hệ thống mạng để kiếm tra,đánh giả khả năng hoạt động cũng như độ tin
cậy của hệ thống phát hiện xâm nhập. Trong quá trình thực hiện đề tài chúng em có
tham khảo ý kiến của các thầy, cơ và các bạn trong khoa công nghệ thông tin để đề tài
được hoàn thiện hơn.

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 4

PHẦN II: NỘI DUNG.
CHƯƠNG 1:

TỔNG QUAN VỀ HỆ THỐNG

PHÁT HIỆN

XÂM NHẬP – IDS.

1.1. NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT.
1.1.1. Mối đe dọa khơng có cấu trúc ( Untructured threat).

Cơng cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tị mị có thể
tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người
thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu
hết tấn công khơng có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công
chỉ sử dụng các công cụ được cung cấp, khơng có hoặc có ít khả năng lập trình) hay
những người có trình độ vừa phải. Hầu hết các cuộc tấn cơng đó vì sở thích cá nhân,
nhưng cũng có nhiều cuộc tấn cơng có ý đồ xấu. Những trường hợp đó có ảnh hưởng
xấu đến hệ thống và hình ảnh của cơng ty. Mặc dù tính chuyên môn của các cuộc tấn
công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là
một mối nguy hại lớn. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng
mạng của cơng ty. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn
công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn
cơng đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống. Hay trường hợp khác, chỉ
vì ai đó có ý định thử nghiệm khả năng, cho dù khơng có mục đích xấu nhưng đã gây
hại nghiêm trọng cho hệ thống.
1.1.2. Mối đe dọa có cấu trúc ( Structured threat).
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như
Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các cơng cụ, có thể chỉnh
sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt
động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức
tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn cơng này thì có rất nhiều.
Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các
tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các
chuyên gia để thực hiện các cuộc tấn cơng dạng structured threat. Các cuộc tấn cơng
này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh.
Khoa CNTT

Nhóm 1



Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 5

Cho dù động cơ là gì, thì các cuộc tấn cơng như vậy có thể gây hậu quả nghiêm trọng
cho hệ thống. Một cuộc tấn công structured thành cơng có thể gây nên sự phá hủy cho
tồn hệ thống.
1.1.3. Mối đe dọa từ bên ngoài (External threat).
External threat là các cuộc tấn công được tạo ra khi khơng có một quyền nào
trong hệ thống. Người dùng trên tồn thế giới thơng qua Internet đều có thể thực hiện
các cuộc tấn công như vậy. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên
chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm
tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngồi là mối đe dọa
mà các cơng ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa.
1.1.4. Mối đe dọa từ bên trong ( Internal threat ).
Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của
bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này có thể khó phịng chống hơn vì các nhân viên có thể truy cập
mạng và dữ liệu bí mật của cơng ty. Hầu hết các cơng ty chỉ có các tường lửa ở đường
biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và
quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server
thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho
mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình,
muốn “quay mặt” lại với cơng ty. Nhiều phương pháp bảo mật liên quan đến vành đai
của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành
đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt
nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của
mạng, mọi chuyện cịn lại thường là rất đơn giản. Đơi khi các cuộc tấn công dạng
structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống.

Trong trường hợp đó, kẻ tấn cơng trở thành structured internal threat, kẻ tấn cơng có
thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty.
Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống.

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 6

1.2. KHÁI NIỆM VỀ BẢO MẬT.
1.2.1. Khái niệm.
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các
khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các
cuộc tấn cơng, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những
vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.
1.2.2. Kiến trúc về bảo mật.
Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm
gia tăng độ an tồn cho hệ thống:
• Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng
của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình
của phần mềm.
• Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các
tài nguyên của hệ thống.
• Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những
nhóm khơng được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ
liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.

• Tính tồn vẹn (Integrity): hệ thống đảm bảo tính tồn vẹn của dữ liệu nếu nó
ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và
xem lại thơng điệp đã được truyền.
• Tính sẵn sàng (Availability): u cầu tài sản hệ máy tính là sẵn sàng đối với
nhóm được phép. Mục tiêu của kiểu tấn cơng từ chối dịch vụ DoS là phá hoại
tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.
1.3. CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG VÀ PHÒNG CHỐNG.
1.3.1. Các phương pháp xâm nhập hệ thống.
1.3.1.1. Phương thức ăn cắp thống tin bằng Packet Sniffers.
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển
trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting
network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua
mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công
cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có
thể truy xuất vào các thành phần khác của mạng.
Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 7

1.3.1.2. Phương thức tấn công mật khẩu Password attack.
Các hacker tấn công password bằng một số phương pháp như: brute-force
attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet
sniffer và IP spoofing có thể lấy được user account và password, như hacker lại
thường sử dụng brute-force để lấy user account hơn. Tấn công brute-force được thực
hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần

share trên server băng phương pháp “thử và sai” passwork.
1.3.1.3. Phương thức tấn công bằng Mail Relay.
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình khơng chuẩn
hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email
server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngồi ra với hình
thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam
cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các
cuộc tấn công D.o.S vào một mục tiêu nào đó.
1.3.1.4. Phương thức tấn cơng hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng
là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền
điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ
hoạt động của hệ thống truyền thông trên mạng. Hạn chế tối đa các dịch vụ khác trên
hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Ln cập nhật
phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.3.1.5. Phương thức tấn công Man-in-the-middle attack.
Dạng tấn cơng này địi hỏi hacker phải truy nhập được các gói mạng của mạng.
Một ví dụ về tấn cơng này là một người làm việc tại ISP, có thể bắt được tấc cả các gói
mạng của cơng ty khách hàng cũng như tất cả các gói mạng của các cơng ty khác th
Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng
riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet
sniffer
1.3.1.6. .Phương thức tấn cơng để thăm dị mạng.
Thăm dị mạng là tất cả các hoạt động nhằm mục đích lấy các thơng tin về
mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được

Khoa CNTT

Nhóm 1



Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 8

thông tin về mạng càng nhiều càng tốt trước khi tấn cơng. Điều này có thể thực hiện
bởi các công cụ như DNS queries, ping sweep, hay port scan.

1.3.1.7. Phương thức tấn công Trust exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy
đối với mạng. Một ví dụ cho tấn cơng kiểu này là bên ngồi firewall có một quan hệ
tin cậy với hệ thống bên trong firewall. Khi bên ngồi hệ thống bị xâm hại, các hacker
có thể lần theo quan hệ đó để tấn cơng vào bên trong firewall.
1.3.1.8. Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã
đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có
thể truy nhập được một host trên DMZ, nhưng khơng thể vào được host ở inside. Host
ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được
host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ
host outside đến host inside.
1.3.1.9. Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như
sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này
là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn cơng Web
server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.
1.3.1.10.

Phương thức tấn Virus và Trojan Horse


Các nguy hiểm chính cho các workstation và end user là các tấn công virus và
ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào
một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan
horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng
để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê
chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book.
Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các
địa chỉ mail có trong address book của user đó.

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 9

1.3.2. Các phương pháp ngăn ngừa và phát hiện xâm nhập.
1.3.2.1. .Phương thức ăn cắp thống tin bằng Packet Sniffers
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của
mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet
sniffer bằng một số cách như sau:
• Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type
password (OTPs). Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal
identification number ( PIN ) và token card để xác thực một thiết bị hoặc một
phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh
ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60
giây. Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password
duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet

sniffers, thơng tin đó cũng khơng có giá trị vì nó đã hết hạn.
• Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong
mạng. Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường
mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm
nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ
thuật này khơng làm ngăn chặn hồn tồn packet sniffer nhưng nó có thể giảm
được tầm ảnh hưởng của nó.
• Các cơng cụ Anti-sniffer: cơng cụ này phát hiện sự có mặt của packet siffer trên
mạng.
• Mã hóa: Tất cả các thơng tin lưu chuyển trên mạng đều được mã hóa. Khi đó,
nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.
Cisco dùng giao thức IPSec để mã hoá dữ liệu.
1.3.2.2. Phương thức tấn công mật khẩu Password attack.
Phương pháp giảm thiểu tấn công password:
• Giới han số lần login sai.
• Đặt password dài.
• Cấm truy cập vào các thiết bị, serever từ xa thơng qua các giao thức khơng an
tồn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 10

1.3.2.3. .Phương thức tấn công bằng Mail Relay
Phương pháp giảm thiểu:

• Giới hạn dung lương Mail box.
• Sử dụng các phương thức chống Relay Spam bằng các cơng cụ bảo mật cho
SMTP server, đặt password cho SMTP.
• Sử dụng gateway SMTP riêng.
1.3.2.4. .Phương thức tấn công hệ thống DNS.
Phương pháp hạn chế:
• Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS.
• Cài đặt hệ thống IDS Host cho hệ thống DNS
• Ln cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.3.2.5. Phương thức tấn công Man-in-the-middle attack
Tấn cơng dạng này có thể hạn chế bằng cách mã hố dữ liệu được gởi ra. Nếu
các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
1.3.2.6. Phương thức tấn cơng để thăm dị mạng.
Ta khơng thể ngăn chặn được hồn tồn các hoạt độ thăm dị kiểu như vậy. Ví
dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep,
nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS
giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.
1.3.2.7. Phương thức tấn cơng Trust exploitation
Có thể giới hạn các tấn cơng kiểu này bằng cách tạo ra các mức truy xuất khác
nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài
nguyên nào của mạng.
1.3.2.8. Phương thức tấn công Port redirection
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.
HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó
1.3.2.9. Phương thức tấn công lớp ứng dụng
Một số phương cách để hạn chế tấn cơng lớp ứng dụng:
• Lưu lại log file, và thường xun phân tích log file.
• Ln cập nhật các patch cho OS và các ứng dụng.
• Dùng IDS, có 2 loại IDS:
Khoa CNTT


Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 11

 HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn
công lên server đó.
 NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó
thấy có một packet hay một chuỗi packet giống như bị tấn cơng, nó có
thể phát cảnh báo, hay cắt session đó. Các IDS phát hiện các tấn công
bằng cách dùng các signature. Signature của một tấn cơng là một profile
về loại tấn cơng đó. Khi IDS phát hiện thấy traffic giống như một
signature nào đó, nó sẽ phát cảnh báo.
1.3.2.10.

Phương thức tấn Virus và Trojan Horse

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và
luôn luôn cập nhật chương trình chống virus mới.
1.3.3. Sự cần thiết của IDS.
1.3.3.1. Sự giới hạn của các biện pháp đối phó
Hiện nay có nhiều cơng cụ nhằm gia tăng tính bảo mật cho hệ thống. Các cơng
cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng
làm hệ thống vẫn có nguy cơ bị tấn cơng cao. Firewall bảo vệ hệ thống Firewall là một
công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngồi (khơng
đáng tin cậy) và cung cấp cơ chế phịng thủ từ vành đai. Nó hạn chế việc truyền thông
của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống. Đây

là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên,
Firewall cũng có những điểm yếu sau:
• Firewall khơng quản lý các hoạt động của người dùng khi đã vào được hệ
thống, và không thể chống lại sự đe dọa từ trong hệ thống.
• Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này
có thể cho phép việc thăm dị điểm yếu.
• Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều
này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn cơng.
• Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy
nhập một cách tin cậy và loại bỏ được cơ chế firewall.
• Firewall khơng ngăn được việc sử dụng các modem khơng được xác thực hoặc
khơng an tồn gia nhập hoặc rời khỏi hệ thống

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 12

• Firewall khơng hoạt động ở tốc độ có lợi cho việc triển khai Intranet. Việc sử
dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông
đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa cơng
khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ
chối, sự tin cậy và tồn vẹn dữ liệu.
Mơ hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên, các dữ liệu có
mã hóa chỉ an tồn với những người khơng được xác thực. Việc truyền thông sẽ trở
nên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng. PKI

có vai trị như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mã
hóa cơng khai để bảo đảm an tồn cho dữ liệu. Nó cũng tự động xử lý để xác nhận và
chứng thực người dùng hay ứng dụng. PKI cho phép ứng dụng ngăn cản các hành
động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự
án thí điểm và một số dự án có quy mơ lớn áp dụng) vì những lý do sau:
• Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống
chứng chỉ khơng đồng nhất.
• Có q ít ứng dụng có sử dụng chứng chỉ. Các phương thức trên cung cấp
khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được
cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được định nghĩa
là “một ứng dụng hay tiến trình dùng để quản lý mơi trường cho mục đích
xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
1.3.3.2. Những cố gắng trong việc hạn chế xâm nhập trái phép
Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng
quy mơ lớn vẫn cịn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể
biết chúng ta an tồn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?”
Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản
kiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật. Ngày nay, hầu hết
các hệ điều hành, ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra.
Tư tưởng cơ bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi.
Trong khi đó trong thực tế, q trình xử lý thủ cơng đó khơng thể ứng dụng được với
quy mơ lớn, sức người có hạn không thể kiểm tra lại được tất cả các log để tìm điểm
nghi vấn. Ví dụ như vào năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là
AUDIT, có nhiệm vụ tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn.
Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.


Trang 13

Vào năm 1987, một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford
Research Institute thực hiện đọc audit trail và tạo ra khn mẫu những hành động
thơng thường, sau đó gửi thơng báo về những hành động lệch so với khuôn mẫu đó.
Trong suốt những năm đầu của thập kỷ 90, cố gắng phát hiện xâm nhập trái phép tập
trung vào việc phân tích các sự kiện có trong audit trail. Tuy nhiên, hầu hết các công ty
không thể sử dụng được phương pháp phân tích log này vì hai lý do chính. Thứ nhất là
cơng cụ đó khá nặng, phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu của
người dùng. Với sự tăng trưởng của số người dùng, hệ điều hành, ứng dụng, cơ sở dữ
liệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi
từ chối dịch vụ. Do đó, các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay
vơ hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và duy trì đủ hiệu suất. Nửa
cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới để
quản lý, như router, network traffic monitor, và firewall. Tuy hệ phương pháp IDS đã
phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta an
toàn với sự dùng sai, và làm sao để theo dõi và phản ứng khi ta bị tấn cơng?” Scanner,
các cơng cụ thăm dị và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảo
mật trước khi bị tấn cơng. Chúng có thể làm được điều đó dựa trên việc tìm khiếm
khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, những hệ
thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung. Các cơng cụ này
có thể trả lời được câu hỏi “độ an tồn của môi trường trước sự dùng sai”, chúng cung
cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. Chúng
có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của
công ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các
scanner chỉ báo cáo lại về lỗ hổng bảo mật và u cầu chỉnh sửa tình trạng đó một
cách thủ cơng. Hơn nữa, nó u cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều
hành, server hay ứng dụng mới vào mạng. Cũng như các công cụ kiểm tra biên bản,
scanner và các công cụ thăm dị, đánh giá chính sách khơng thể mở rộng quy mô do

dựa trên hoạt động của con người và các ràng buộc bảo mật có tính chun mơn cho
một tổ chức. Ta có một chân lý là “nếu ta khơng thể đo được nó thì ta khơng thể quản
lý được nó”. Một lợi ích quan trọng khác của cơng cụ đánh giá bảo mật là cho phép
quản lý cả với độ lệch trong bảo mật và biểu đồ thông tin. Nó có thể được sử dụng để
xác định hiệu quả thực tế của bảo mật và dự đoán hiện tại cũng như tương lai.
Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 14

1.4. KHÁI NIỆM IDS.
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống
phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạt
động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa
những tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn công
từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy
cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để
phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.5. CHỨC NĂNG IDS.
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi
những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.
Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho
các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ
khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những
điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho

mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.
Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa
ra vài lý do tại sao nên sử dụng hệ thống IDS:
• Bảo vệ tính tồn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp
pháp hoặc phá hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi. Bảo vệ tính khả
dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thơng tin của
người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy cập thơng tin bất hợp pháp.
• Cung cấp thơng tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi
phục, sửa chữa…
Nói tóm lại có thể tóm tắt IDS như sau:
-

Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ:

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 15

Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
-

Chức năng mở rộng: Phân biệt: "thù trong giặc ngồi" tấn cơng bên trong và tấn
cơng bên ngồi. Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết
hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.
Thông tin

Thiết lập

Hệ

sự kiện

sự kiện

phân tích

Chính sách

Hệ

thu

thơng tin

thập

thống


thống

Hệ thống đáp
trả

Chính sách

Chính sách

phát hiện

phản ứng

thơng tin

Thu thập thơng tin

Phản ứng
Phát hiện

Hình 1: Chức năng IDS
Ngoài ra hệ thống phát hiện xâm nhập IDS cịn có chức năng:
-

Ngăn chặn sự gia tăng của những tấn công.

-

Bổ sung những điểm yếu mà các hệ thống khác chưa làm được


-

Đánh giá chất lượng của việc thiết kế hệ thống.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển

nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng
cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA IDS
1.7. KIẾN TRÚC IDS.
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thành
phần thu thập gói tin (information collection), thành phần phân tích gói tin
(detection) và thành phần phản hồi (respotion). Trong ba thành phần này, thành
phần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quan
Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 16

quyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thống
phát hiện xâm nhập

Hình 2: Kiến trúc IDS
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu. Bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số

chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thơng tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngồi.
Vai trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó,
cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với
module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về
các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường
lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn,
tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu
trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 17

bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong
vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra. Tạo phân tích bước
đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo
đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của

IDS. DIDS có thể sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt được trang
bị sự phát hiện các tấn cơng phân tán. Các vai trị khác của tác nhân liên quan đến
khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các
tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó.
Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn
công mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác
nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một
khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác
nhân có thể cho biết một số khơng bình thường các telnet session bên trong hệ
thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự
kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống
khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận
thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một
host cụ thể nào đó. Các bộ thu nhận ln ln gửi các kết quả hoạt động của chúng
đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (khơng chủ
từ một host), điều đó có nghĩa là chúng có thể tương quan với thơng tin phân tán.
Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.
1.8. PHÂN LOẠI IDS.
Có hai loại cơ bản là: Network-based IDS và Host-based IDS
1.8.1. Network-base IDS (NIDS)
NIDS là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của các
gói tin lưu thơng trên các phương tiện truyền dẫn như (cables, wireless) bằng cách sử
dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui tắc của hệ thống,
một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file log được lưu vào
cơ sở dữ liệu.
 Lợi thế của NIDS:
Khoa CNTT

Nhóm 1



Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 18

 Quản lý được một phân đoạn mạng (network segment).
 Trong suốt với người sử dụng và kẻ tấn cơng.
 Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.
 Tránh được việc bị tấn cơng dịch vụ đến một host cụ thể.
 Có khả năng xác định được lỗi ở tầng network
 Độc lập với hệ điều hành.
 Hạn chế của NIDS:
 Có thể xảy ra trường hợp báo động giả, tức là khơng có dấu hiệu bất
thường mà IDS vẫn báo.
 Khơng thể phân tích được các lưu lượng đã được mã hóa như SSH,
IPSec, SSL…
 NIDS địi hỏi phải ln được cập nhật các dấu hiệu tấn công mới nhất để
thực sự hoạt động hiệu quả.
 Không thể cho biết việc mạng bị tấn cơng có thành cơng hay khơng, để
người quản trị tiến hành bảo trì hệ thống.
 Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập dữ
liệu phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích chúng.
Khi tốc độ mạng tăng lên thì khả năng của bộ thu thập thông tin cũng
vậy. Một giải pháp là phải đảm bảo cho mạng được thiết kế chính xác.
Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệ
thống IDS là phân mảnh dữ liệu gói tin. Mỗi giao thức có một kích cỡ gói dữ liệu có
hạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu
bị phân mảnh. Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu. Thứ tự sắp xếp
không thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp

lại chúng.
Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân
mảnh chồng chéo. Một bộ cảm biến không phát hiện được các hoạt động xâm nhập
nếu khơng sắp xếp gói tin lại một cách chính xác.

Khoa CNTT

Nhóm 1


Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.

Trang 19

Hình 3: NIDS
1.8.2. Host-base IDS (HIDS)
HIDS là hệ thống phát hiện xâm nhập được cài đặt trên các máy tính (host).
HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việc hoặc máy
notebook. HIDS cho phép thực hiện một cách linh hoạt trên các phân đoạn mạng
mà NIDS không thực hiện được. Lưu lượng đã gửi đến host được phân tích và
chuyển qua host nếu chúng không tiềm ẩn các mã nguy hiểm. HIDS cụ thể hơn với
các nền ứng dụng và phục vụ mạnh mẽ cho hệ điều hành. Nhiệm vụ chính của
HIDS là giám sát sự thay đổi trên hệ thống. HIDS bao gồm các thàng phần chính:
• Các tiến trình
• Các entry của registry
• Mức độ sử dụng CPU.
• Kiểm tra tính tồn vẹn và truy cập trên file hệ thống.
• Một vài thơng số khác.
Các thơng số này vượt qua một ngưỡng định trước hoặc thay đổi khả nghi trên
hệ thống sẽ gây ra cảnh báo.

Khoa CNTT

Nhóm 1


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×