Tải bản đầy đủ (.pdf) (55 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.28 MB, 55 trang )

MỤC LỤC
DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO ..................................................... 5
CÁC THUẬT NGỮ VIẾT TẮT .................................................................................... 6
LỜI GIỚI THIỆU .......................................................................................................... 8
PHẦN 1 : TỔNG QUAN ............................................................................................... 9
1.1 Lý do chọn đề tài ..................................................................................................... 10
1.2 Phân tích hiện trạng ................................................................................................. 10
1.3 Xác định yêu cầu .................................................................................................... 11
1.4 Giới hạn và phạm vi nghiên cứu ............................................................................. 12
1.5 Ý nghĩa thực tiễn của đề tài..................................................................................... 12

PHẦN 2 : TÌM HIỂU IDS ........................................................................................... 13
2.1 Khái niệm ................................................................................................................ 14
2.2 Các thành phần và chức năng của IDS ..................................................................... 14
2.2.1 Thành phần thu thập gói tin ............................................................................... 14
2.2.2 Thành phần phát hiện gói tin.............................................................................. 15
2.2.3 Thành phần phản hồi ......................................................................................... 15
2.3 Phân loại IDS........................................................................................................... 15
2.3.1 Network Base IDS (NIDS) ................................................................................ 15
2.3.1.1 Lợi thế của Network-Based IDS .................................................................. 16
2.3.1.2 Hạn chế của Network-Based IDS ................................................................ 16
2.3.2 Host Base IDS (HIDS)....................................................................................... 17
2.3.2.1 Lợi thế của Host IDS .................................................................................. 17

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

2.3.2.2 Hạn chế của Host IDS ................................................................................. 18
2.4 Cơ chế hoạt động của IDS ....................................................................................... 18


2.4.1 Phát hiện dựa trên sự bất thường........................................................................ 18
2.4.2 Phát hiện thông qua Protocol ............................................................................. 18
2.4.3 Phát hiện nhờ quá trình tự học ........................................................................... 21
2.5 Các ứng dụng IDS phổ biến hiện nay ....................................................................... 21

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG ....... 22
3.1 Các phương thức tấn công ....................................................................................... 23
3.1.1 ARP Spoofing ................................................................................................... 23
3.1.2 Syn Flood .......................................................................................................... 23
3.1.3 Zero Day Attacks ............................................................................................... 23
3.1.4 DOS - Ping Of Death ......................................................................................... 24
3.2 Các phương thức phòng chống................................................................................. 24
3.2.1 ARP Spoofing : mã hóa ARP Cache .................................................................. 24
3.2.2 Syn Flood ......................................................................................................... 25
3.2.3 Zero Day Attacks ............................................................................................... 25
3.2.4 DOS – Ping Of Death ........................................................................................ 25

PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP ........................... 26
4.1 Các bước thực hiện .................................................................................................. 27
4.1.1 Mô hình mạng tổng quan ................................................................................... 27
4.1.2 Máy Client......................................................................................................... 27
- Trang 1 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

4.1.3 Máy IDS ............................................................................................................ 27
4.1.4 Máy Webserver ................................................................................................. 28

4.1.5 Máy Windows Server 2008 ............................................................................... 28
4.2 Cấu hình IDS .......................................................................................................... 28
4.2.1 Mô hình mạng chi tiết ....................................................................................... 28
4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort
kết hợp Iptables .......................................................................................................... 29
4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 ............................................. 29
4.2.2.2 Truy cập Web trái phép theo IP và tên miền ................................................ 29
4.2.2.3 Truy cập Website vào giờ cấm. ................................................................... 29
4.2.2.4 Truy cập theo phương thức FTP .................................................................. 30
4.2.2.5 Tấn công theo phương thức Ping Of Death .................................................. 30
4.2.2.6 Hành động chat với các máy ip lạ. ............................................................... 30
4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. ..................... 30
4.2.3 Cài đặt webmin quản lý Snort ............................................................................ 31
4.2.4 Tạo CSDL Snort với MySQL ............................................................................ 31
4.2.5 Cài đặt BASE .................................................................................................... 31

PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT
CỦA MỘT IDS ............................................................................................................ 32
5.1 Inotify ...................................................................................................................... 33
5.2 Lập trình API kết hợp với Inotify ............................................................................ 33
5.3 Sản phẩm ................................................................................................................. 34
- Trang 2 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

PHẦN 6 : TỔNG KẾT ................................................................................................. 35
6.1 Những vấn đề đạt được ............................................................................................ 36

6.2 Những vấn đề chưa đạt được.................................................................................... 36
6.3 Hướng mở rộng đề tài .............................................................................................. 37

PHẦN 7 : PHỤ LỤC .................................................................................................... 38
7.1 Tài liệu tham khảo ................................................................................................... 39
7.2 Phần mềm IDS-Snort ............................................................................................... 40
7.2.1 Giới thiệu Snort ................................................................................................. 40
7.2.2 Snort là một NIDS ............................................................................................. 41
7.3 Cấu hình các Rules cơ bản của Snort và Iptables...................................................... 41
7.3.1 Rules Snort ........................................................................................................ 41
7.3.1.1 Cảnh báo ping. ............................................................................................ 41
7.3.1.2 Cảnh báo truy cập website. .......................................................................... 41
7.3.1.3 Cảnh báo truy cập FTP. ............................................................................... 41
7.3.1.4 Cảnh báo truy cập Telnet. ............................................................................ 41
7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. ................................................... 42
7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 .......................................................................... 42
7.3.1.7 Cảnh báo chat với các máy có IP lạ ............................................................. 42
7.3.1.8 Ngăn chặn các trang Web có nội dung xấu .................................................. 42
7.3.2 Rules Iptables .................................................................................................... 42
7.3.2.1 Ngăn chặn ping. .......................................................................................... 42
7.3.2.2 NAT inbound và NAT outbound ................................................................. 43
- Trang 3 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

7.3.2.3 Ngăn chặn truy cập website ......................................................................... 43
7.3.2.4 Ngăn chặn truy cập FTP .............................................................................. 44

7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 ....................................................................... 44
7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. ................................................. 44
7.3.2.7 Ngăn chặn chat với các máy có IP lạ ........................................................... 44
7.4 Hướng dẫn chi tiết cấu hình Snort ........................................................................... 44
7.5 Thiết lập mạng và cấu hình các biến ....................................................................... 46
7.6 Cấu hình option của file Snort.conf .......................................................................... 47
7.7 Cấu hình tiền xử lý (preprocessor) ......................................................................... 48
7.8 Thiết Lập Snort khởi động cùng hệ thống ................................................................ 50
7.9 Quản lý snort bằng webmin .................................................................................... 51
7.10 Tạo CSDL snort với MySQL ................................................................................. 51
7.11 Cài đặt BASE và ADODB .................................................................................... 52

- Trang 4 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO
Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) : Hình 1 trong phần 2
Hình 2: Network IDS : Hình 2 trong phần 2
Hình 3: Host base IDS : Hình 3 trong phần 2
Hình 4: Cấu trúc IP Header : Hình 4 trong phần 2
Hình 5: Cấu trúc TCP Header : Hình 5 trong phần 2
Hình 6: Xem ARP Cache : Hình 1 trong phần 3
Hình 7: Mô hình mạng tổng quan : Hình 1 trong phần 4
Hình 8: Mô hình mạng chi tiết : Hình 2 trong phần 4
Hình 9 : Quản lý với Webmin : Hình 1 trong phần 6
Hình 10 : Quản lý BASE : Hình 2 trong phần 6

Hình 11 : Sản phẩm demo - Hình 1 trong phần 5

- Trang 5 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

CÁC THUẬT NGỮ VIẾT TẮT
 IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập
 NIDS: Network Intrusion Detection System.
 HIDS: Host Intrusion Detection System.
 DIDS: Distributed Intrusion Detection System.
 ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên
cùng khái niệm với ActiveX Data Objects của Microsoft.
 DdoS – Distribute Denial of Service. Từ chối dịch vụ phân tán.
 LAN – Local Area Network: mạng máy tính cục bộ.
 Sensor: Bộ phần cảm biến của IDS.
 Alert: Cảnh báo trong IDS.
 TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận.
 Slow Scan: là tiến trình “quét chậm”.
 SSL – Secure Sockets Layer.
 SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật.
 IPSec: IP Security.
 DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngoài của
một tổ chức.
 CPU : Central Processing Unit- Đơn vị xử lý trung tâm.
 UNIX: Unix hay UNIX là một hệ điều hành máy tính.
 Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy

cập từ xa.
 Protocol: Giao thức
 Payload: Độ tải của một gói tin trên mạng.
 Attacker: Kẻ tấn công.

- Trang 6 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

 ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối
xứng.
 WLAN: Wireless Local Area – mạng cục bộ không dây.
 Iptables : Hệ thống tường lửa trong linux.
 ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích
dữ liệu cho hệ thống phát hiện xâm nhập
 BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin
 Software: Phần mềm
 OS : Operating System : hệ điều hành
 OSI : Open Systems Interconnection : mô hình 7 tầng OSI

- Trang 7 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ


LỜI GIỚI THIỆU

Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày
càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã
buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo
mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong
việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền
thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và
mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion
Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn
công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các
phương pháp bảo mật truyền thống.
Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp
chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài
nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều
thiếu sót.
Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Chúng em xin chân thành cảm ơn.
Các sinh viên thực hiện :
1. Huỳnh Tiến Phát : Số điện thoại : 0986.440.748
Email:
2. Trần Quang Lâm : Số điện thoại : 0984.055.050
Email:

- Trang 8 -

Sưu tầm bởi www.diendandaihoc.com



Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

PHẦN 1 : TỔNG QUAN

- Trang 9 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

1.1 Lý do chọn đề tài
Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc
trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo
mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được
một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực
tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến
nhà quản trị mà nó còn cung cấp những thông tin sau:


Các sự kiện tấn công.



Phương pháp tấn công.



Nguồn gốc tấn công.




Dấu hiệu tấn công.

Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết
kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt.
Một số lý do để thêm IDS cho hệ thống tường lửa là:


Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.



Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.



Làm cho nỗ lực tấn công bị thất bại.



Nhận biết các cuộc tấn công từ bên trong.

1.2 Phân tích hiện trạng
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua
455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.


- Trang 10 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm
một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống
virus không sử dụng IDS.
- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin
trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo
động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được
phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of
death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ
thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm
ngưng lại mọi hoạt động.
- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật.

1.3 Xác định yêu cầu
 Yêu cầu bắt buộc:
1. IDS là gì?

2. Các thành phần của IDS.
3. Các mô hình IDS.
4. Các ứng dụng IDS phổ biến hiện nay.
5. Triển khai mô hình IDS demo trong mạng LAN.
 Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của
một IDS.
- Trang 11 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

1.4 Giới hạn và phạm vi nghiên cứu
-

Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có

tham gia kết nối internet.
-

Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.

-

Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.

-

Tìm hiểu Snort IDS Software.


1.5 Ý nghĩa thực tiễn của đề tài
-

Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.

-

Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.

-

Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

nghiệp.

- Trang 12 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

PHẦN 2 : TÌM HIỂU IDS

- Trang 13 -

Sưu tầm bởi www.diendandaihoc.com



Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

2.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự
kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an
ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị.

2.2 Các thành phần và chức năng của IDS
IDS bao gồm các thành phần chính :


Thành phần thu thập thông tin gói tin.



Thành phần phát hiện gói tin.



Thành phần xử lý(phản hồi).

Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)
2.2.1 Thành phần thu thập gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng
đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói
tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào,
dịch vụ gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công.

- Trang 14 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

2.2.2 Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.

2.2.3 Thành phần phản hồi
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ
gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng.
Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn
cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn
chặn:
 Cảnh báo thời gian thực
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các
cuộc tấn công, các đặc điểm và thông tin về chúng.
 Ghi lại vào tập tin
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục
đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn công hoạt động.
 Ngăn chặn, thay đổi gói tin
Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa
bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình
thường.

2.3 Phân loại IDS
2.3.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.
- Trang 15 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

Hình 2: Network IDS
2.3.1.1 Lợi thế của Network-Based IDS
 Quản lý được cả một network segment (gồm nhiều host).
 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
 Tránh DOS ảnh hưởng tới một host nào đó.
 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
 Độc lập với OS.
2.3.1.2 Hạn chế của Network-Based IDS
 Có thể xảy ra trường hợp báo động giả.
 Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)
 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.

- Trang 16 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

 Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động được phát ra, hệ thống có thể đã bị tổn hại.
 Không cho biết việc tấn công có thành công hay không.
2.3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt
động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.

Hình 3: Host base IDS
2.3.2.1 Lợi thế của Host IDS
 Có khả năng xác định người dùng liên quan tới một sự kiện.
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra.

- Trang 17 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

2.3.2.2 Hạn chế của Host IDS
 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
 Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải được thiết lập trên từng host cần giám sát .
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…)
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.

 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
được trên UNIX và những hệ điều hành khác.
2.4 Cơ chế hoạt động của IDS
IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn
công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các
vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm
IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
2.4.1 Phát hiện dựa trên sự bất thường
Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì
một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt,
nghĩa là đã có sự xâm nhập.
Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công
ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một
điều bất thường.
2.4.2 Phát hiện thông qua Protocol
Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân
tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.
- Trang 18 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

Sau đây là cấu trúc của một gói tin:
IP Header

Hình 4: Cấu trúc IP Header
Thuộc tính Source Address và Destination Address giúp cho IDS biết được nguồn
gốc của cuộc tấn công.


- Trang 19 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

TCP Header

Hình 5: Cấu trúc TCP Header.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ
bản nền tảng sau:
 Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.
 Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động
nào là tấn công.
 Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên.
- Trang 20 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

2.4.3 Phát hiện nhờ quá trình tự học
Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công
sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động
bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã

thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.

2.5 Các ứng dụng IDS phổ biến hiện nay
Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì
khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn
công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong
công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cường sức
mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua
mạng. Cụ thể, IDS có thể cảnh báo những hành động sau:
 Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ.
 Hành động chat với các máy ip lạ.
 Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty
vẫn cố tình truy xuất.
 Hành động truy xuất các website vào giờ cấm.
 Hành động chống sniff sử dụng phương pháp ARP Spoofing.
 Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm.

- Trang 21 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN
CÔNG VÀ CÁCH PHÒNG CHỐNG

- Trang 22 -


Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

3.1 Các phương thức tấn công
3.1.1 ARP Spoofing
Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu
đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này
cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe
trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn
giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn
công.
3.1.2 Syn Flood
Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối
SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy
hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công
và trước khi nhận gói ACK.
3.1.3 Zero Day Attacks
Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của
ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa.
"Windows

Vista/7:SMB2.0

NEGOTIATE

PROTOCOL


REQUEST

Remote

B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa
lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System
Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và
Windows Server 2008. Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát
từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề
(header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26). Cuộc
tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối
lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ
(LAN) của Windows.

- Trang 23 -

Sưu tầm bởi www.diendandaihoc.com


Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

3.1.4 DOS - Ping Of Death
Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn
kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ
hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với
buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này
và sẽ reboot hoặc bị treo.
VD : ping 192.168.1.20 –l 65000
3.2 Các phương thức phòng chống
3.2.1 ARP Spoofing : mã hóa ARP Cache

Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP
request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy
chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào
ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở
nhắc lệnh và đánh vào đó lệnh arp –a.

Hình 7: Xem ARP Cache
Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s ADDRESS> <MAC ADDRESS>.
Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn
hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các
client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ
luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply.
- Trang 24 -

Sưu tầm bởi www.diendandaihoc.com


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×