HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

NGUYỄN MẠNH ĐOÀN

NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS
CHO MẠNG DOANH NGHIỆP

Chuyên ngành: KỸ THUẬT VIÊN THÔNG
Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI-2014
a


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS NGUYỄN TIẾN BAN
Phản biện 1: PGS. TS. TRƯƠNG VŨ BẰNG GIANG
Phản biện 2: TS. ĐẶNG ĐÌNH TRANG

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông.

b


MỞ ĐẦU
Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất cả
các nhu cầu về công việc cũng như cuộc sống. Đi kèm theo sự phát triển mạnh mẽ đó
là các yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ,... Trong đó bảo mật
là một trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ cũng như
người sử dụng, không chỉ đối với các cá nhân mà còn đặc biệt quan trọng trong các
nghành mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân hàng, tài chính…
Ngay từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất được chú trọng. Trải
qua cả một quá trình dài phát triển với rất nhiều thay đổi, các biện pháp bảo mật cũng
không ngừng phát triển và tiến bộ cả về số lượng và chất lượng: Firewall, VPN, mã
hóa, các phần mềm diệt virus,… Tùy theo các yêu cầu bảo mật cũng như các mối nguy
cơ bị tấn công mà có các biện pháp bảo mật tương ứng. Tuy nhiên để có sự an toàn
mạng cao nhất thì cần phải biết kết hợp các phương pháp bảo mật một các hiệu quả.
Luận văn đi sâu vào tìm hiểu và nghiên cứu về hệ thống phát hiện và ngăn chặn xâm
nhập trái phép IDS/IPS, qua đó đưa ra các giải pháp sử dụng IDS/IPS trong hệ thống
mạng. Đây là một phương pháp bảo mật rất quan trọng luôn được sử dụng trong một
hệ thống mạng. IDS/IPS phát hiện và ngăn chặn những xâm nhập trái phép cũng như
các trường hợp dùng sai quyền, nó khắc phục các vấn đề mà các phương pháp khác
như Firewall hay VPN chưa làm được.
Luận văn được chia làm 3 phần:
Chương 1: Tổng quan về phòng chống xâm nhập mạng.
Chương 2: Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS.
Chương 3: Xây dựng mô hình hệ thống IDS/IPS sử dụng cho mạng doanh
nghiệp.
Tác giả xin chân thành cảm ơn các thầy cô đặc biệt là PGS TS. NGUYỄN
TIẾN BAN đã nhiệt tình hướng dẫn tác giả hoàn thành luận văn này.
Do thời gian nghiên cứu có hạn, đồng thời kiến thức còn hạn chế, luận văn

không tránh khỏi những thiếu sót, tác giả rất mong được các thầy cô hướng dẫn và chỉ
dạy thêm. Tác giả xin được tiếp thu và cố gắng hoàn thành tốt nhất luận văn.
Học viên
NGUYỄN MẠNH ĐOÀN
1


CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP
MẠNG
1.1 Những mối đe dọa đối với bảo mật :
Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống, chúng
ta cần phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ nghiêm trọng
của chúng. Từ đó chúng ta có thể đưa ra các đánh giá chính xác và cách phòng chống
một cách hợp lý nhất. Những mối đe dọa được biết đến có thể phân chia dựa theo cấu
trúc hoặc vị trí tấn công :

1.1.1 Phân loại theo cấu trúc:
1.1.1.1 Những mối đe dọa không có cấu trúc:
Những mối đe dọa không có cấu trúc được gây ra bởi những kẻ tấn công ít có
khả năng lập trình và hầu hết chỉ sử dụng những công cụ hack và script được cung cấp
trên Internet.
1.1.1.2 Những mối đe dọa có cấu trúc:
Những mối đe dọa có cấu trúc được biết đến là những hành động cố ý, có động
cơ và kỹ thuật cao. Những kẻ tấn công có trình độ và kỹ năng để lập trình tạo ra các
cộng cụ mới, sử dụng các kỹ thuật hack phức tạp và hiện đại hoặc chỉnh sửa và sử
dụng các công cụ theo mong muốn của chúng.

1.1.2 Phân loại theo vị trí tấn công:
1.1.2.1 Những mối đe dọa từ bên ngoài:
Đây là những mối đe dọa phổ biến, các cuộc tấn công được gây ra bởi những kẻ

không có quyền nào trong hệ thống mục tiêu thông qua Internet. Những mối đe dọa
loại này thường được các doanh nghiệp đặc biệt chú ý và đề phòng.
1.1.2.2 Những mối đe dọa từ bên trong:
Khi những kẻ tấn công có một hoặc một vài quyền trong hệ thống và thực hiện
cuộc tấn công từ một khu vực tin cậy trong mạng thì ta gọi đó là những cuộc tấn công
từ bên trong.

1.2 Các phương thức xâm nhập và phòng chống:
1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS):
2


Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và
DDoS(Distributed Denial of Service).
1.2.1.1 DoS:
DoS là cuộc tấn công từ một người hoặc một nhóm người nào đó nhằm làm tê
liệt hệ thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay thực
hiện bất kỳ một công việc nào.DoS không cho phép ủy quyền truy cập đến máy hoặc
dữ liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ.
1.2.1.2 DDoS:
DDoS được tiến hành từ một hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET. Đây là
dạng tấn công cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều địa
chỉ trên Internet. Khi cuộc tấn công DdoS xảy ra, rất khó có thể ngưng lại vì Firewall
có thể ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết nối
Internet.
Một số phương pháp phòng chống tấn công DDoS :
-

Phòng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm yếu

trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm dứt. Các
lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ của Windows,
các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá là một trong
những yêu cầu quan trọng cho việc phòng ngừa.

-

Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng.

-

Giới hạn số lượng kết nối từ một nguồn cụ thể tới server.

-

Phát hiện và ngăn chặn tấn công tới hạn tố độ thiết lập kết nối: Có thể áp dụng
bộ lọc để giới hạn số lượng kết nối trung bình. Bộ lọc sẽ xác định ngưỡng tốc
độ kết nối cho từng đối tượng mạng.

1.2.2 Sniffers:
Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thông tin
quan trọng từ giao thông mạng đến một địa chỉ riêng với mục đích tích cực hoặc tiêu
cực.
Chúng ta có thể ngăn ngừa xâm phạm trái phép sử dụng sniffers bằng các cách
sau :

3


Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố: personal


-

identification number(PIN) và token card để xác thực một thiêt bị hoặc một
phần mềm ứng dụng.
Dùng switch thay vì dùng bridge, hup nhằm hạn chế các gói được broadcast

-

trong mạng và làm giảm ảnh hưởng của sniffers mặc dù không thể ngăn chặn
hoàn toàn sniffers.
Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì chỉ

-

có thể bắt được các gói dữ liệu đã mã hóa.

1.2.3 Port scan:
Scan port la phương pháp thường được thực hiện trực tiếp trên một host hoặc
một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Hacker có thể
dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó.
Để hạn chế và khắc phục loại tấn công này, có thể sử dụng Firewall hoặc
IDS/IPS nhằm phát hiện, cảnh báo, và ngăn chặn thăm dò và sau đó là xâm nhập
mạng.

1.2.4 ARP Spoofing
ARP là một giao thức của lớp 2, chức năng của nó dùng để định vị một host
trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC.ARP thực
hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng,
gói tin đó chứa địa chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được

gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới
trả lời lại, còn lại sẽ tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu
của giao thức này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không
biết được ai gửi các gói tin đó. Người tấn công sẽ giả các gói tin ARP reply với địa chỉ
IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn
công. Như vậy máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác
của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch trong việc
gửi/nhận thông tin.

1.3 Nhu cầu sử dụng IDS/IPS
1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:
1.3.1.1 Firewall:

4


Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không
mong muốn vào hệ thống. Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết
hợp cả hai.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong
tới một số địa chỉ nhất định trên Internet.
Firewall chuẩn gồm một hay nhiều các thành phần sau đây :
•

Bộ lọc packet (packet- filtering router)

•


Cổng ứng dụng (application-level gateway hay proxy server)

•

Cổng mạch (circuite level gateway)

1.3.1.2 An toàn thông tin bằng mật mã:
Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền
thông tin bí mật. Mật mã bao gồm: lập mã và phá mã. Lập mã bao gồm hai quá trình:
mã hóa và giải mã.
Để bảo vệ thông tin trên đường truyền, thông tin được biến đổi từ dạng nhận
thức được sang dạng không nhân thức được trước khi truyền trên mạng, quá trình này
được gọi là mã hóa thông tin(encryption). Ở đích đến thông tin được biến đổi ngược
lại quá trình mã hóa, gọi là quá trình giải mã.
1.3.1.3 VPN:
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở
hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật
giống như mạng cục bộ.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính
an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra
một đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối “point-topoint” trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được
mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu là thông tin về đường đi cho
phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu
được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công
5


cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ
liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN

thường được gọi là đường ống VPN (VPN Tunnel).

1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS:
Các phương pháp nhằm đảm bảo an toàn cho thông tin mạng và hệ thống kể
trên đều có các ưu điểm và các nhiệm vụ nhất định. Tuy nhiên câu hỏi đặt ra là làm thế
nào để có thể phát hiện các cuộc tấn công, sự dùng sai quyền hạn trong hệ thống?
IDS/IPS là giải pháp hợp lý và là câu trả lời cho câu hỏi đó.

1.4 Kết luận
Chương 1 của luận văn đã nêu tổng quan về phòng chống xâm nhập mạng: những
mối đe dọa đối với bảo mật, các phương thức xâm nhập và phòng chống xâm nhập phổ
biến (DoS, Sniffers, Port Scan, ARP Spoofing). Đồng thời tác giả cũng nêu khái quát
các phương pháp bảo mật trong an ninh mạng hiện nay: Fire wall, VPN, mã hóa…,
qua đó đưa ra được nhu cầu cấp thiết trong việc sử dụng hệ thống IDS/IPS.

6


CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM
NHẬP TRÁI PHÉP IDS/IPS
2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập:
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống
máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp
pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại
đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ
chế bảo mật của hệ thống máy tính hay mạng đó.
Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng.
Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng
mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục
đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm

năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức
bên trong môi trường.
Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định
nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm
nhập và có thể ngăn chặn các nguy cơ gây mất an ninh.
IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi
chung là IDP-Intrusion Detection and Prevention. Luận văn đi sâu vào nghiên cứu hệ
thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS(IDP). Nội dung của chương
sẽ được trình bày theo 2 phần chính: Intrusion Detection và Intrusion Prevention

2. 2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên
dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không
phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện
nó.

2. 2.1 Chức năng:
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
9 Giám sát: lưu lượng mạng và các hoạt động khả nghi.
9 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
9 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
7


Chức năng mở rộng:
Phân biệt: tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline.
2. 2.2 Phân loại:

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):
a. Host Based IDS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, HIDS dựa trên
máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu
lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc
gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy
chủ.
Lợi thế của HIDS:
9 Có khả năng xác đinh user liên quan tới một event.
9 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
9 Có thể phân tích các dữ liệu mã hoá.
9 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
9 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
9 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
9 HIDS phải được thiết lập trên từng host cần giám sát .
9 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
9 HIDS cần tài nguyên trên host để hoạt động.
9 HIDS có thể không hiệu quả khi bị DOS.
9 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được
trên UNIX và những hệ điều hành khác.

8


b. Network Base IDS (NIDS)

Hình2.1 NIDS

Hệ thống NIDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với
những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu
nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu
lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể
được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập
nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với
với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Lợi thế của Network-Based IDS:
-

Quản lý được cả một network segment (gồm nhiều host)

-

"Trong suốt" với người sử dụng lẫn kẻ tấn công

-

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

-

Tránh DOS ảnh hưởng tới một host nào đó.

-

Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
9



-

Độc lập với OS

Hạn chế của Network-Based IDS:
-

Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion
mà NIDS báo là có intrusion.

-

Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

-

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

-

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.

-

Không cho biết việc attack có thành công hay không.Một trong những hạn chế
là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng
mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng.


2. 2.3 Kiến trúc và nguyên lý hoạt động:
IDS/IPS bao gồm các thành phần chính:
• Thành phân thu thập gói tin.
• Thành phần phát hiện gói tin.
• Thành phần xử lý gói tin.
a. Thành phần thu thập gói tin: Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến
mạng. Thông thường các gói tin có địa chỉ đích không phải là của một card mạng thì
sẽ bị card mạng đó hủy bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất
cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường
thông tin. Bộ thu thập gói tin sẽ đọc thông tin từng trường trong gói tin, xác định
chúng thuốc kiểu gói tin nào, dịch vụ gì…Các thông tin này được chuyển đến thành
phần phát hiện.
b. Thành phần phát hiện gói tin: Bộ cảm biến đóng vai trò quyết định trong thành phần
này. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng
dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu
nào được thực hiện.
10


Phương thức phát hiện
™ Misuse – based system
Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu
tấn công, đó là knowledge-based và signature-based.
Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về
các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của

cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng
với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng.
Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả
về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô
tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung
các gói tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở
dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình
xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau
thì hệ sẽ tạo ra cảnh báo.
™ Anomaly – based system
Anomaly–based system dựa trên giả thiết là những hành động không bình
thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường
của hệ thống rồi mới xác định các hành động không bình thường (như những hành
động không phù hợp với mẫu hành động đã cho).
c. Thành phần phản hồi: Khi có dấu hiệu của sự tấn công hoặc xâm nhập, thành phần
phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến thành
phần phản ứng.
-

Khi đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn
chặn cuộc tấn công, hay cảnh báo tới người quản trị:

-

Cảnh báo thời gian thực: gửi các cảnh báo thời gian thực đến người quản trị để
họ nắm được chi tiết các cuộc tấn công, đặc điểm thông tin về chúng.

-

Ghi lại vào tập tin: Các dứ liệu của các gói tin sẽ được lưu trữ trong hệ thống

các tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng
thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.

-

Hỗ trợ Firewall: Thông báo cho tường lửa ngăn chặn, từ chối, xóa bỏ hoặc thay
đổi nội dung gói tin.
11


2. 3 IPS
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc
tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất
cả các thiết bị trong mạng.
2. 3.1 Kiến trúc chung của các hệ thống IPS:
• Module phân tích luồng dữ liệu:
• Modul phát hiện tấn công:
• Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ
gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó
modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công
hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các
người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp
ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:
-

Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin
nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số
nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc

bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp.

-

Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn
đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công.
Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các
gói tin hợp lệ.

-

Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị
cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm
thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong
khi cảnh báo tới người quản trị.

-

Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để
họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.

-

Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống
các tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông
tin và là nguồn thông tin giúp cho modul phát hiện tấn cônghoạtđộng.
12


2. 3.2 Các kiểu hệ thống IPS

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
a) IPS ngoài luồng: Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ
liệu. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể
kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn
công.
b)IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức
tường lửa.

2.4 Cách phát hiện và ngăn chặn các kiểu tấn công thông dụng của hệ thống
IDS/IPS
™ Denial of Service attack (Tấn công từ chối dịch vụ)
Giải pháp của IDP: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin
không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn
công dạng gói tin.
™ Scanning và Probe (Quét và thăm dò)
Giải pháp của IDP: Network-based IDP có thể phát hiện các hành động nguy hiểm
trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp này
để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại. Host-based IDS cũng
có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp
dựa trên mạng.
™ Password attack (Tấn công vào mật mã)
Giải pháp của IDP: Một Network-based IDP có thể phát hiện và ngăn chặn cố gắng
đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có
hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy
các chương trình bẻ khóa. Trong khi đó Host-based IDP lại rất có hiệu quả trong việc
phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật
mã.
™ Privilege-grabbing (Chiếm đặc quyền)
Giải pháp của IDP: Cả Network và Host-based IDP đều có thể xác định việc thay đổi

đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ.
Do Host-based IDP có thể tìm kiếm được những người dùng không có đặc quyền đột
13


nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDP
có thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành
và ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Networkbased IDP nhằm ngăn chặn việc tấn công xảy ra.
™ Hostile code insertion (Cài đặt mã nguy hiểm)
Giải pháp của IDP: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các
đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất
để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDP có thể
đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển.
Kết hợp với các sự kiện khác, IDP có thể xác định được cố gắng cài đoạn mã nguy
hiểm, ví dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng
một backdoor. Network-based IDP cũng có thể được chỉ thị để quản lý hệ thống và file
ảnh cho mục đích kiểm tra tính toàn vẹn.
™ Cyber vandalism (Hành động phá hoại trên máy móc)
Giải pháp của IDP: Đối với giải pháp của Host-based IDP, cài đặt và cấu hình cẩn
thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như
mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà
trang web nằm trên đó. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang
web, Host-based IDP còn có thể thực hiện các hành động đối phó, là những hành động
được Security Administrator cấu hình. Network-based IDP thì có thể sử dụng dấu hiệu
tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ
điều hành, ứng dụng cũng như xóa file và thay đổi trang web.
™ Proprietary data theft (Ăn trộm dữ liệu quan trọng)
Giải pháp của IDP: Mô hình Host-based IDP thực hiện việc quản lý các dữ liệu quan
trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp IDP
có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi biên

bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp đó,
Host-based IDP cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Còn
Network-based IDP có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan
trọng và xác định việc truyền thông có chứa key word. Trong một số trường hợp rất
khó có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDP trên host

14


đó có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc
tuyền thông.
™ Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)
Giải pháp của IDP: Network-based IDP có thể được thay đổi nhằm ngăn các URL,
tuy nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể
hoạt động hiệu quả hơn, có thể duy trì một danh sách URL động và chính sách lạm
dụng dựa trên USERID. Host-based IDP có thể thực thi một chính sách do công ty đặt
ra, các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua
host-based IDP cũng như network-based IDP. Bất cứ thay đổi có thể ngay lâp tức được
ghi trong biên bản hệ thống, agent có thể dễ dàng theo dõi các hành động đó.

™ Audit trail tampering (Can thiệp vào biên bản)
Giải pháp của IDP: Host-based IDP agent có thể quản lý việc can thiệp vào biên bản
(xóa, ngừng hay sửa đổi) và thực hiện các hành động phù hợp. Network-based IDP có
thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi.
™ Security infrastructure attack (Tấn công hạ tầng bảo mật)
Giải pháp của IDP: Các hành động quản trị mạng thường là đăng nhập vào audit trail
trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX. Hostbased IDP có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như đưa
thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi.
Còn network-based IDPcó thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng.


2.5 Kết luận
Trong chương 2, tác giả đã đưa ra các khái niệm rất chi tiết và cụ thể về xâm
nhập trái phép, phát hiện và ngăn chặn xâm nhập trái phép. Các hệ thống phát hiện và
ngăn chặn xâm nhập trái phép cũng được trình bày cụ thể về cấu trúc, chức năng, vị trí
và nguyên tắc hoạt động nhằm đưa ra các nhìn trực diện và rõ ràng nhất.

15


CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG IDS/IPS CHO
MẠNG DOANH NGHIỆP
3.1 Giới thiệu các giải pháp ngăn chặn và phòng chống xâm nhập :
Có thể phân chia các giải pháp ngăn chặn và phòng chống xâm nhập trái phép
làm 2 dạng chính: giải pháp phần mềm, giải pháp phần cứng.

3.1.1 Giải pháp phần mềm:
Tiêu biểu cho giải pháp phần mềm là Snort. Snort là một hệ thống phát hiện
xâm nhập mạng mã nguồn mở miễn phí. Dữ liệu được thu thập và phân tích bởi Snort.
Sau đó, Snort lưu trữ dữ liệu trong cơ sở dữ liệu MySQL bằng cách dùng output plugin. Web server Apache với ACID, PHP, thư viện GD và PHPLOT sẽ biểu diễn dữ liệu
này trên trình duyệt khi một người dùng kết nối đến server.
Người dùng có tạo nhiều kiểu truy vấn khác nhau để phân tích dữ liệu. Snort
chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện
sự bất thường trong các header của giao thức.
Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa
bởi người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại
được lưu trong các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort
đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật
để bắt giữ dữ liệu. Snort có một tập hợp các luật được định nghĩa trước để phát hiện
các hành động xâm nhập và quản trị viên cũng có thể thêm vào các luật.


3.1.2 Giải pháp phần cứng:
Giải pháp phần cứng khá đa dạng với sản phẩm của các hãng nổi tiếng như:
Cisco, ISS, … Tuy nhiên trong Luận văn này sẽ giới thiệu về sản phẩm của Cisco và
sử dụng chúng trong quá trình mô phỏng.
Một số dòng sản phẩm IPS của Cisco nổi bật như:
Cisco IPS 4200 Series Sensors:
Catalyst 6500
Cisco ASA 5500 Series
Kiến trúc phần mềm của IPS Cisco:
Phần mềm cảm biến Cisco chạy trên tất cả các nền tảng cảm biến, cung cấp khả
năng phân tích lưu lượng, phát hiện xâm nhập, và các chức năng quản lý thiết bị. Như
đã nêu ở cuối chương 2, có nhiều cách tiếp cận khác nhau để phân tích lưu lượng truy
16


cập. Trong các cách đó, các sản phẩm của Cisco chủ yếu sử dụng phương pháp phân
tích Signature để phân tích lưu lượng, cơ sở dữ liệu của sản phẩm rất lớn và thường
xuyên được cập nhật để phát hiện và ngăn chặn các cuộc tấn công trên mạng. Các công
cụ hỗ trợ phân tích đơn giản nhưng rất linh hoạt và sáng tạo nhằm đạt hiệu quả lớn
nhất và hạn chế báo động sai.
Các sản phẩm IPS của Cisco cũng hỗ trợ các phương pháp phân tích dựa trên sự bất
thường. các tính năng xác minh giao thức, kiểm tra lưu lượng mạng dựa trên sự tuân
thủ các giao thức. Người quản trị có thể tự cấu hình các ngưỡng lưu lượng để có thể
phát hiện các cuộc tấn công.
Lưu lượng được kiểm tra thông qua các cảm biến IPS Cisco theo các bước sau đây :
1 . Đầu tiên cảm biến IPS Cisco áp dụng tiền xử lý cho lưu lượng đi vào cảm biến .
Cảm biến ảo thích hợp được chọn trên cơ sở giao diện hoặc lưu lượng VLAN truy cập
vào các bộ cảm biến .
2 . IPS lọc, chặn truy cập vào địa chỉ IP bị đánh cắp " zombie" trên mạng. Lưu lượng
truy cập từ các địa chỉ IP xấu bị từ chối.

3 . Lưu lượng được kiểm tra theo các thông tin có trong dữ liệu theo phương pháp
Signature.
4 . Phát hiện bất thường của lưu lượng và giao thức ( nếu được kích hoạt trên các cảm
biến IPS ) .
5 . Kiểm tra mối tương quan toàn cầu làm tăng khả năng đánh giá rủi ro của các sự
kiện, cho phép những chặn một nguy cơ mà không cần dấu hiệu tiêu cực .
6 . Cảm biến áp dụng các hành động phù hợp với lưu lượng trong bước cuối cùng
trong phân tích lưu lượng và xử lý. Kết quả từ một vài dấu hiệu quyết định các hành
động cảm biến .

3.2 Xây dựng mô hình IDS/IPS cho mạng doanh nghiệp:
Như đã trình bày trong chương 1, IDS/IPS không phải là một giải pháp bảo mật
riêng biệt nhằm thay thế các giải pháp bảo mật truyền thống mà là một trong các giải
pháp được kết hợp một cách hợp lý nhằm tăng cường và nâng cao khả năng bảo mật.

17


Một hệ thống bảo mật có thể bao gồm nhiều thành phần bảo mật tùy thuộc vào các yếu
tố: quy mô, mô hình hệ thống cần bảo mật, mục đích, các yêu cầu cụ thể của từng hệ
thống, các thiết bị được sử dụng trong hệ thống …
Bên cạnh việc quan tâm đến mô hình hệ thống cũng như các thiết bị bảo mật
khác trong hệ thống, chúng ta cũng cần hiểu rõ về các loại IDS/IPS cũng như vị trí của
chúng trong mạng đã được nêu rất chi tiết trong chương 2.
Tóm lại, để có thể xây dựng mô hình IDS/IPS nói riêng và mô hình bảo mật nói
chung cho một hệ thống mạng thì cần phải có một sự hiểu biết sâu , rộng về mô hình
mạng, các thiết bị mạng, các thiết bị bảo mật, cũng như cần phải có một sự kết hợp hài
hòa các thiết bị kể trên. Trong chương này, tác giả xin phép đưa ra một mô hình thể
hiện giải pháp bảo mật cho một công ty chứng khoán trong đó có sử dụng IDS/IPS.
Năm phân vùng trong mô hình bảo mật tổng thể là:

¾ Vùng mạng LAN bên trong toà nhà của công ty Chứng khoán, vùng này bao
gồm:
o

Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ
tư vấn tài chính, môigiới mua bán chứng khoán.

o

Hệ thống tổng đài IP phục vụ liên lạc của công ty Chứng khoán

¾ Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua
Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online
OTC…
¾ Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống
quản lý các giao dịch chứng khoán.
¾ Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của
công ty, vùng này bao gồm:
o

Nhân viên của công ty chứng khoán hoạt động tại 2 trung tâm GDCK Hà
Nội và tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của công
ty.

o

Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khoán trực tuyến
(Online Brokerage, Online OTC) của công ty.

18



¾ Vùng các đại lư, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào
hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ công ty
Chứng khoán tới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai
Hầu hết các doanh nghiệp đều có nhu cầu về bảo mật, đăc biệt là trong tình
trạng hiện nay, có rất nhiều cuộc tấn công nhằm vào các doanh nghiệp của cả nhà nước
và tư nhân. Không ít thì nhiều các doanh nghiệp đều sẽ bị ảnh hưởng khi hệ thống
mạng cũng như cơ sở dữ liệu của mình bị xâm nhập và tấn công. Rất khó để có thể đưa
ra một mô hình bảo mật chung cho các doanh nghiệp, vi vậy trong chương này, tác giả
xin phép đưa ra một mô hình thể hiện giải pháp bảo mật cho một công ty chứng khoán
trong đó có sử dụng IDS/IPS.Lý do tác giả lựa chọn công ty chứng khoán vì yêu cầu
bảo mật của công ty chứng khoán rất cao và có đầy đủ hầu hết các vị trí cần bảo mật
của các doanh nghiệp khác, việc lựa chon mô hình bảo mật của các doanh nghiệp khác
có thể sử dụng mô hình bảo mật của công ty chứng khoán để tham khảo.
Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ
bên trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể được đề xuất như sau:
™ Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:
•

Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email,
các ứng dụng Online Brokerage, Online OTC…

•

Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL
khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn
bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khoán.


•

Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống thông tin IP.
Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall

sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch
vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine,
ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và
cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp
lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong
19


mạng vào các vùng servers. Cụ thể trong hệ thống tường lửa của mô hình, tác giả đề
xuất sử dụng 2 tường lửa của 2 hãng khác nhau: firewall 1 và router(Gateway) sẽ được
tích hợp trong thiết bị ASA5520-BUN-K9 và firewall2 sử dụng firewall Juniper SSG
520.
Việc sử dụng 2 firewall của đảm bảo mô hình bảo mật phân tách mạng ra làm
các phân đoạn mạng : Internet, DMZ, khu vực dữ liệu quan trọng. Firewall1 có nhiệm
vụ quản lý lưu lượng và các truy cập mạng giữa 2 khu vực Internet và DMZ, ngoài ra
thiết bị ASA5520-BUN-K9 còn hỗ trợ tích hợp gateway và IPSec VPN. Firewall
Juniper SSG 520 có nhiệm vụ kiểm soát các yêu cầu truy nhập từ khu vực LAN và bên
ngoài Internet (thông qua DMZ) vào khu vực database và application server. Sử dụng
firewall của 2 hãng khác nhau làm đa dạng khả năng bảo mật của mô hình mạng.
™ Thiết lập và bảo vệ các kết nối VPN.
Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng
thiết bị Firewall VPN chuyên dụng. Thiết bị này có đầy đủ tính năng Firewall và thiết
lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô hình này, hệ
thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra
tính an toàn trước khi cho phép thiết lập kênh kết nối.

Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các
TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng
bằng nhiều phương thức như Certificate, Token, Smartcard… trước khi cho phép kết
nối.
Kết nối VPN được thực hiện thông qua gateway tích hợp IPSec VPN và tường lửa
ASA5520-BUN-K9 của Cisco. Ngoài ra ASA5520-BUN-K9 còn có chức năng cân
bằng tải nâng cao khả năng điều khiển lưu lượng.
Cisco ASA 5520 cung cấp một loạt các dịch vụ an ninh với tính sẵn sàng cao và
kết nối Gigabit Ethernet cho các mạng doanh nghiệp vừa và nhỏ, hiệu suất cao. Sử
dụng 4 giao diện Ethernet Gigabit và hỗ trợ lên đến 25 VLAN, doanh nghiệp có thể dễ
dàng triển khai các dịch vụ an ninh thành nhiều khu vực trong hệ thống.
™ Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan
trọng.
20


Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở
dữ liệu và máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin của
công ty chứng khoán. Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt
động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống
Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ sung hệ thống
phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng này. Khác
với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng
ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall
không phát hiện được. Hệ thống phải đảm bảo được tốc độ xử lý để không làm nghẽn
luồng thông tin được trao đổi với mật độ cao.
IPS cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc
tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và
file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị
IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như

SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn
công.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ
các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ
sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update
theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay.
Cisco ASA 5520 tích hợp cả IDS/IPS nên được sử dụng để cài đặt IPS luôn cho khu
vực DMZ nhằm phát hiện những dấu hiệu tấn công vào khu vực này.Thiết bị IPS được
đề xuất sử dụng tại khu vực database và application server là Cisco IPS 4270 Sensor
với đầy đủ các chức năng HIPS: phát hiện và ngăn chặn xâm nhập trái phép , bên cạnh
đó nó cũng phù hợp cho quy mô bảo mật của doanh nhiệp chứng khoán.
™ Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.
Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty
chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên
ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao
thì cần phòng và chống Virus và Spyware tại cả 4 lớp mạng : gateway, mailserver,
server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được
21


cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware
lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với
các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn.

3.3 Kết luận
Chương 3 giới thiệu một số giải pháp phát hiện và ngăn chặn xâm nhập: Snort(
phần mềm), các sản phẩm phần cứng của Cisco, ISS…Bên cạnh đó tác giả cũng trình
bày giải pháp sử dụng IDS/IPS trong một hệ thống bảo mật của một trường hợp cụ
thể(hệ thống an toàn thông tin của một công ty chứng khoán). Nhằm làm tăng thêm
tính thực tế và rõ ràng, tác giả trình bày phần mô phỏng hệ thống IDS/IPS(của Cisco)

trên GNS3 trong phần mục lục ở cuối luận văn.

22


KẾT LUẬN
Chúng ta có thể thấy rằng không thể có một biện pháp bảo mật hoàn hảo và
toàn vẹn nào có thể giải quyết hết tất cả các vấn đề về bảo mật của một mạng máy
tính. Để có một sự an toàn cao nhất cho mạng máy tình cần phải sử dụng một hệ thống
bảo mật bao gồm nhiều biện pháp bảo mật và phải biết kết hợp chúng một cách hợp lý
và hiệu quả nhất.. Luận văn đã tìm hiểu và đi sâu vào nghiên cứu IDS/IPS và đã trình
bày được các khái niệm , đăc điểm, cấu trúc, chức năng và các giải pháp để sử dụng
IDS/IPS một cách hiệu quả nhất, đồng thời tác giả cũng mô phỏng IDS/IPS của Cisco
thông qua GNS3 nhằm đưa ra cái nhìn trực quan về IDS/IPS. IDS/IPS là một biện
pháp hiệu quả nhằm phát hiện và ngăn chặn xâm nhập trái phép cũng như sự dùng sai
quyền. IDS/IPS là một lựa chọn phù hợp khi muốn phòng chống Dos cũng như để bảo
vệ các server ứng dụng và dữ liệu quan trong trong vùng DMZ. Bên cạnh các biện
pháp bảo mật khác như: Firewall , VPN,…thì IDS/IPS là một biện pháp không thể
thiếu của một hệ thống an ninh mạng. Tùy vào từng mô hình mạng cũng như các yêu
cầu về bảo mật mà chúng ta có các phương pháp sử dụng IDS/IPS cho hợp lý và hiệu
quả.
Luận văn là nền tảng cho các nghiên cứu tiếp theo về hệ thống an ninh mạng
nói chung cũng như hệ thống ngăn chặn xâm nhập nói riêng.

23