Tải bản đầy đủ (.docx) (79 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.07 MB, 79 trang )

LỜI CẢM ƠN
Em xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học Công Nghệ Thông Tin và
Truyền Thông - Đại học Thái Nguyên đã tận tình dạy bảo cho em những kiến thức thật hay và bổ
ích trong suốt thời gian học tập tại trường cũng như đã tạo điều kiện cho em thực hiện báo cáo đồ án
tốt nghiệp này. Đặc biệt, em xin được gửi lời cảm ơn sâu sắc đến thầy giáo Ths. Lê Tuấn Anh đã
tận tình định hướng, chỉ bảo em trong suốt thời gian thực hiện đề tài.
Mặc dù em đã cố gắng hoàn thành đề tài nhưng chắc chắn sẽ không tránh khỏi những thiếu
sót, em rất mong nhận được sự góp ý của các thầy cô giáo.
Một lần nữa, em xin chân thành cảm ơn!

Thái Nguyên, tháng 6 năm 2012
Sinh Viên

Phạm Hồng Hoàng

1


LỜI CAM ĐOAN
Em xin cam đoan: nội dung báo cáo của em không sao chép nội dung của bất kỳ đồ án nào
khác. Và đồ án là sản phẩm của chính bản thân em nghiên cứu xây dựng lên. Mọi thông tin và nội
dung sai lệch em xin chịu hoàn toàn trách nhiệm trước hội đồng bảo vệ.
Thái Nguyên, tháng 6 năm 2012
Sinh viên thực hiên

Phạm Hồng Hoàng

2


MỤC LỤC



Danh sách từ viết tắt từ tiếng anh
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

IDS(Intrusion Detection System ): hệ thống phát hiện xâm nhập
Reconnaissance attack : trinh sát
access control attack : điều khiển truy cập
Denial of service (DoS) attacks : từ chối dịch vụ
Dumpster diving : truy cập vật lý
Eavesdropping : nghe trộm
Snooping : giả mạo
Interception : can thiệp
Resource Overload : tài nguyên quá tải
Unsolicited Commercial E-mail (UCE ) :từ chối thương mại điện tử
Fragmentation or Impossible Packets : phân mảnh các gói tin
Internet Control Message Protocol : thông điệp điều khiển giao thức mạng
IP fragment overlay : phân mảnh lớp phủ IP


3


14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.

41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.

Signature-based IDS: phát hiện dựa trên chữ kí
anomaly-based IDS: phát hiện dựa trên sự bất thường
Adaptive Security Appliance: công cụ thích ứng bảo mật
Spyware: phần mềm dán điệp
Advance Integration Module: phiên bản tích cực nâng cao
Sensor : bộ cảm biến
Firewall: tường lửa
Attacker : kẻ tấn công
Sniffer: giả mạo
Baseline: thông số đo đạc chuẩn của hệ thống
Integrity: tính toàn vẹn
Prevention: ngăn chặn
Simulation: mô phỏng
Intruction monitoring: giám sát xâm nhập

Analysis: phân tích
Instruction detection: kiểm tra xâm nhập
Notification: thông báo
Response: trả lời
Additional IDS Infrastructure cơ sở hạ tầng IDS
information collection: thu thập gói tin
Dectection: phân tích
Session: phiên
false positive: báo động giả
audit log: lịch sử sổ sách
compromised: tấn công
network traffic: lưu lượng mạng
ping sweep and port scans: quét ping và dò cổng
honey pots: cạm bẫy
Padded Cell: theo dõi
Expert system : hệ chuyên gia
User intention identification: Phân biệt ý định người dung
State-transition analysis: phân tích trạng thái phiên
Colored Petri Nets: phân tích đồ họa
Computer immunology Analogies : Hệ suy diễn
Machine learning: nghiên cứu cơ chế
Profile: hồ sơ cá nhân
IPS (intrusion prevention system): hệ thống ngăn chặn xâm nhập.
Misuse detection: phát hiện sự lạm dụng
Policy-Based IPS: Chính sách cơ bản
Protocol Analysis-Based IPS: phân tích giap thức
Micro-Engines: xem xét chữ kí
Signature Alarms: chữ kí cảnh báo

4



Danh sách các hình ảnh:
1. Hình 1: hệ thống phát hiện
2. Hình 2:. Quá trình của IDS
3. Hình 3: Mô tả chính sách bảo mật
4. Hình 4: Quá trình của IPS
5. Hình5: Mô hình thực hiện của hệ thống
6. Hình 6 : Biểu đồ phân cấp chức năng của hệ thống.
7. Hình 7: Mô hình phân tích.
8. Hình 8: Mô hình mô phỏng GNS3.
9. Hình 9: Chỉnh IP và default getway
10. Hình 10: IP của router chạy SDM
11. Hình 11: cho phép chạy pop up
12. Hình 12: cảnh báo
13. Hình 13: chứng thực username & password
14. Hình 14: cảnh báo secure của IE
15. Hình 15: cảnh báo
16. Hình 16: quá trình nạp SDM
17. Hình 17 : yêu cầu chứng thực username & password
18. Hình 18 : quá trình nạp cấu hình từ router tới lên sdm
19. Hình 19: hiện thỉ các tính năng có trên router
20. hình 20: Tính năng IPS trên router
21. Hình 21: thông báo khi chạy ips
22. Hình 22: hướng dẫn các bước cấu hình
23. Hình 23: mô tả cách nạp signature
24. Hình 24: chọn vị trí signature
25. Hình 25: kết thúc các quá trình cấu hình
26. Hình 26: hiễn thị các signature được nạp và cấu hình signature
27. Hình 27: Lệnh cho thấy các ngưỡng giá trị mặc định

28. Hình 28: Lệnh xem vị trí chứ file *.sdf
29. Hình 29:Lệnh xem ips được áp trên interface nào
30. Hình 30: ping kiểm tra.

5


LỜI NÓI ĐẦU

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được
quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh
chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở
nên cấp thiết hơn bao giờ hết.Trong lĩnh vực an ninh mạng, phát hiện và phòng
chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự
chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác nhau. Trong xu
hướng đó, thực tập chuyên ngành này chúng em mong muốn có thể tìm hiểu, nghiên
cứu về phát hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các
giải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra
trường. Mặc dù đã cố gắng hết sức nhưng do kiến thức và khã năng nhìn nhận vấn

6


đề còn hạn chế nên bài làm không tránh khỏi thiếu sót, rất mong được sự quan tâm
và góp ý thêm của thầy cô và tất cả các bạn.
Để có thể hoàn thành đươc đồ án này , em xin gửi lời cảm ơn sâu sắc nhất tới
các thầy, cô giáo trong bộ môn mạng và truyền thông và đặc biệt là thầy Lê Tuấn
Anh nhiệt tình hướng dẫn, chỉ bảo và cung cấp cho chúng em nhiều kiến thức rất bổ
ích trong suốt quá trình làm đồ án. Nhờ sự giúp đỡ tận tâm của thầy, chúng em mới
có thể hoàn thành được đồ án này.

Một lần nữa xin cảm ơn thầy rất nhiều !

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ
PHÁT HIỆN XÂM NHẬP
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô
cùng quan trọng trong mọi hoạt động của xã hội. . Vấn đề bảo đảm an ninh, an toàn
cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ
chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng
tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an
ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng
thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố
định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. Trước các
nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công ty,
doanh nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống IDS(Intrusion Detection

7


System ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn công thông qua việc
kiểm soát lưu lượng giao thông của hệ thống mạng.
IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với một định
nghĩa mà người dùng đặt ra cho hệ thống , IDS không thể thực hiện việc ngăn chặn
ngay khi phát hiện xâm nhập xảy ra để thực hiện an ninh cho hệ thống mạng thì IPS
ra đời.
Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợp
các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả
nǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó.
1.1. Giới thiệu sơ các phương pháp xâm nhập vào hệ thống
Các khả năng xâm nhập vào hệ thống mạng là:





Trinh sát(Reconnaissance attack)
Điều khiển truy cập(access control attack)
Từ chối dịch vụ(Denial of service (DoS) attacks)
Trinh sát(Reconnaissance):Để khởi động có hiệu quả một số loại tấn công,

một kẻ tấn công thường có nhu cầu hiểu biết về mô hình mạng và các phần cứng
đang dược sử dụng. Kỹ thuật thu thập loại thông tin này được gọi là trinh sát. Trinh
sát trên một đối tượng trong môi trường, không phải là một mối đe dọa, nhưng kết
quả của việc trinh sát thường được sử dụng sau này để tấn công một hệ thống hoặc
mạng. Vì vậy, sự đe dọa của các cuộc tấn công một trinh sát chủ yếu là một trong
những gián tiếp: sau khi mạng đã được quét, thông tin này sau đó được sử dụng cho
các cuộc tấn công. Thông thường các cuộc tấn công trinh sát đi mà không bị phát
hiện vì thường là chúng không có tác hại cho hệ thống mạng.cách tốt nhất để phát
hiện là xem trong tập tin đăng nhập, nhưng thường củng không thể thấy trong tập tin
đăng nhập này.Việc trinh sát này được xem là một phương án khả thi có thể nói lá
“tàn hình” để thu thập thông tin một cách tốt nhất cho các kẻ tấn công tìm năng .
Các phương pháp dùng cho tấn công trinh sát:



Bằng dòng lệnh hoặc các tiện ích quản lý, nslookup, ping, telnet, finger....
Các công cụ hack như NMAP, Nessus, custom script…

8



Thực hiện trinh sát đòi hỏi phải biết sử dụng các dòng lệnh hoặc các tiện ích
quản lý như là sử dụng tiện ích nslookup để xem một địa chỉ ip của một trang
web.Kẻ tấn công có thể dễ dàng xác định không gian địa chỉ IP được chỉ định cho
một công ty cho hay một tổ chức. Lệnh ping cho phép kẻ tấn công biết rằng một địa
chỉ IP còn sống trên mạng.
Các công cụ tấn công được sử dụng để thực hiện trinh sát, những công cụ này
giúp kẻ tấn công ít hiểu biết có thể dễ trinh sát khi chọn tự động quá trình thông qua
giao diện than thiện mà bất cứ ai củng có thể sử dụng.
Điều khiển truy cập (access control attack): Tấn công xảy ra khi một cá nhân
hoặc một nhóm các cá nhân nỗ lực để truy cập, sửa đổi hoặc thiệt hại một trường và
tài nguyên hệ thống. Tấn công truy cập là một cố gắng truy cập vào thông tin mà
những kẻ tấn công không có quyền :
Phương pháp truy cập vật lý: Dumpster diving
Tấn công truy cập trên mạng:




Nghe trộm (Eavesdropping).
Giả mạo (Snooping).
Can thiệp (Interception).
Từ chối dịch vụ (Denial of service (DoS) attacks):Cuộc tấn công DoS khác

với hầu hết các cuộc tấn công khác, vì chúng không đạt được mục tiêu truy cập tìm
kiếm bất kỳ thông tin nào trong hệ thống. Thực hiện cuộc tấn công bằng cách này là
nhắm vào tính khả dụng (Availability) của hệ thống, mục đích là ngăn chặn hoạt
động bình thường của hệ thống,đặc biệt là đối với hệ thống phục vụ nhiều người như
web server,mail server…
Các phương thức tấn công DoS:










Làm cho tài nguyên quá tải(Resource Overload)
Sức chứa của đĩa cứng,băng thông và bộ đệm
Làm tràn các gói ping hay syn hoặc là liên tục đánh bom UDP
Unsolicited Commercial E-mail (UCE)
Fragmentation or Impossible Packets
Phát tán gói ICMP làm tắc nghẽn.
IP fragment overlay
Same Source and Destination IP packet

9


1.2. Các phương pháp phát hiện và ngăn ngừa xâm nhập
Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ
liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ
những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp
pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo, không có những báo động
giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo
ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết
để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều
này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí và có
khả năng sau:

Mạng lưới trinh sát không thể được ngăn chặn hoàn toàn. IDS ở cấp độ mạng
và máy chủ lưu trữ có thể thông báo cho quản trị viên khi một trinh sát tập hợp tấn
công (ví dụ: ping và quét cổng). Nếu ICMP echo hỏi và echo-trả lời được tắt trên
router bìa thì hạn chế được tắc nghẽn. Một IDS ở mức độ mạng và máy chủ quản lý
sẽ thông báo cho người quản trị viên biết rằng có cuộc tấn công trinh sát đang được
tiến hành. Điều này giúp cho nhà quản tri viên có thể chuẩn bị tốt hơn cho lần tấn
công sắp tới hoặc thông báo cho ISP quản lý của người tung ra cuộc tấn công trinh
sát.
Các mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba
phương pháp sau đây:


Tính năng Antispoof: cấu hình đúng của antispoof trên router và tường lửa

của hệ thống.
• Tính năng Anti-DoS :cấu hình đúng của Anti-DoS chống tính năng DoS trên


router và tường lửa.
Giới hạn việc đánh giá lưu lượng mạng

10


1.3. Sự đa dạng của IDS và IPS
IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của
IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viên
biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Một số IDS so
sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi tấn
công đã biết trước hay chữ ký. Khi mà lưu lượng mạng được xem xét cho là phù hợp

với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signaturebased IDS. Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét
các tình huống mà không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS này
gọi là anomaly-based IDS.
Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo
mật. Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho
các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS
cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập
từ các máy chủ nghi ngờ. Cách tiếp cận phản ứng này không ngăn chặn lưu lượng
cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS có thể
chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu.
1.3.1 Hệ thống phát hiện xâm nhập mềm(Snort)
Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu
cầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghi
lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ điều
hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một
hệ điều hành mà họ sử dụng một cách thành thạo nhất. Snort có thể chạy trên các hê
điều hành như window, linux.
1.3.2 Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến
cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống.
Cisco cung cấp các nền tảng cảm biến sau đây:
Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch
vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiên

11


tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năng bảo mật cao,
chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống tiên tiến-x
dịch vụ, được xác định như chống virus và spyware. Cisco ASA AIP SSM sản phẩm

bao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASA
AIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun.
Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn bằng
cách giúp phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần
mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng
Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ
công tác phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện
tính chính xác. Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có
nguy cơ giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả
năng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục hồi, và
vv.
Phiên bản Cisco 6.500 Intrusion Detection System Services Module (IDSM2): 6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS. Nó hoạt
động kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ sở
hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được các giải
pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ cao
của bảo vệ. thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạt
động tốn kém cho việc phát hiện xâm nhập.
Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các
giải pháp IPS; Cisco IPS AIM cho Cisco 1841 dịch vụ tích hợp Router và Cisco
2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừa kinh
doanh và các môi trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy
trên Cisco IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đáp
ứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh. Cisco IPS AIM
có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạng
WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là

12


chạy trên dành riêng cho CPU của nó, vì thế không chiếm CPU của router. Đồng

thời, sự tích hợp của IPS lên một dịch vụ tích hợp Router Cisco giữ chi phí thấp và
giải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ.
1.4. So sánh giữa IPS và IDS
Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu
như hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho
người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên có thể thấy rằng,
nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc
thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào
người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các
lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và
dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không
nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn
giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ
bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà
Quản trị định sẵn. IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn. Vì
mỗi cuộc tấn công lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác
nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng
không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả
năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó,
do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo
nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng
trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với
các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng,
thêm đó, độ chính xác của IPS là cao hơn so với IDS.Nên biết rằng với IDS, việc
đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công
đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy
của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin

13



thông báo đến tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy
nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu kẻ tấn
công (Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo
một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được
cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng,
của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS
thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác
nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các
lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.

14


CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN IDS

2.1. Định nghĩa IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống
phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các
hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân
biệt giữa những tấn công vào hệ thống từ bên trong (từ những người trong công ty)
hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc
biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các
dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng
hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu
khác thường.
Phân biệt những hệ thống không phải là IDS
Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là
IDS:
• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề

tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống
kiêm tra lưu lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy
hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có
thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát
hiện lỗ hổng bảo mật hiệu quả.

15


• Tường lửa các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,
Kerberos, Radius .
2.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi
cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm
nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ
sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần
thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà
quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm
được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS:
Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ
liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp
pháp hoặc phá hoại dữ liệu.
Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả
dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người
dùng hợp pháp.

Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thông tin bất hợp pháp.
Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Nói tóm lại có thể tóm tắt IDS như sau:
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

16


Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Chức năng mở rộng:
Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline.

Thông tin
sự kiện

Thiết lập sự kiện

Hệ thống phân tích

Hệ thống đáp trả

Chính sách thu thập thông tin


tin sách phát hiệnChính sách phản ứng
Thu thập thông tinHệ thống thôngChính
Phản ứng
Phát hiện
Hình 1: hệ thống phát hiện
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:





Ngăn chặn sự gia tăng của những tấn công
Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển

nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng
cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
2.3. Kiến trúc hệ thống IDS
Ngày nay phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và
kiểm tra khác nhau của các hệ thống. Mỗi hệ thống có những ưu điểm cũng như
khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát
chung như sau:
2.3.1 Các nhiệm vụ thực hiện
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn
công phụ thuộc vào số lượng và kiểu hành động thích hợp ( Hình 3.1.a). Để ngăn

17



chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc
nghiên cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào
tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải
được kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm
nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát
hiện các dấu hiệu tấn công (sự xâm phạm).

Giám sát xâm nhập(instruction
monitoring)
Phân tích(Analysis)
Kiểm tra xâm nhập(Intruction
detection)
Thông báo(notification)
Trả Lời(response)
Hình 2:. Quá trình của IDS

Additional IDS Infrastructure
18


Respons
Hình 3: Mô tả chính sách bảo mật
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung
(các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết
nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) ,theo các chính sách bảo mật của các
tổ chức (Hình 3.1b). Một IDS là một thành phần nằm trong chính sách bảo mật.

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý
các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua mail.
2.3.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu
thập gói tin (information collection), thành phần phân tích gói tin(Dectection), thành
phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc.
Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở
thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích
bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế
nào.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự
kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế
độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp
một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của
hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể
được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví
dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có

19


sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các
gói mạng
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát

hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách
phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile
hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ
sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp
trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm
phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường
lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn,
tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu
trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được
bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng
được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.
DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự
phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả
năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công
mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 (các tác nhân tự trị cho
việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào
đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho
biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra.
Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các

20



tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).
Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất
cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ
thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất.
Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có
nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc
có thể được đưa ra để chọn lọc và thu thập dữ liệu. Ngoài ra còn có 1 số điểm chú ý
sau:
Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh
nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.
Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc
kiểm soát , kiểm tra thông tin đầu vào đầu ra:
Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra,
phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:
Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi
về báo cáo về vị trí trung tâm.
Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính
trực tiếp điều khiển các thao tác giám sát, kiểm tra báo cáo.
2.4. Phân loại IDS
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện
các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản
phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc
tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn
công.
Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động
bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai
yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.

21



Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép
và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố
cơ bản nền tảng sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công.
Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở
trên.
2.4.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên
toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng
trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ
cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được
một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản
trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa
hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong
mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay
không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng
hoạt động ở mức cao.
2.4.1.1








Lợi thế của Network-Based IDSs:
Quản lý được cả một network segment (gồm nhiều host)
"Trong suốt" với người sử dụng lẫn kẻ tấn công
Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
Tránh DOS ảnh hưởng tới một host nào đó.
Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
Độc lập với OS

22


2.4.1.2 Hạn chế của Network-Based IDSs:


Có thể xảy ra trường hợp báo động giả (false positive), tức không có

intrusion mà NIDS báo là có intrusion.
• Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
• NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
• Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
• Không cho biết việc attack có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải
nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích
chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là
bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò.

Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền
thông và bảo mật tốt nhất.
Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của họ
khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi
giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn
kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá
trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành
vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân
mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều
hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh
chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ
cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
2.4.2 Host Based IDS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên
máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu
lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những
cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ

23


thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn
công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công
có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận
những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành
quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm
nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu
lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện
các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay

thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có
kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện
khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu
tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân
mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng
DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám
sát các thay đổi trên hệ thống, bao gồm (not all):
Các tiến trình.





Các mục của danh bạ.
Mức độ sử dụng CPU.
Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi

khả nghi trên hệ thống file sẽ gây ra báo động.
2.4.2.1 Lợi thế của HIDS:


Có khả năng xác đinh user liên quan tới một sự kiện (event).

24





HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS




không có khả năng này.
Có thể phân tích các dữ liệu mã hoá.
Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

2.4.2.2 Hạn chế của HIDS:


Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này





thành công.
Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
HIDS phải được thiết lập trên từng host cần giám sát .
HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,






Netcat…).
HIDS cần tài nguyên trên host để hoạt động.
HIDS có thể không hiệu quả khi bị DOS.
Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được
trên UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt

trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi
nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc
tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ
chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện
những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ
hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được
những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy
chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS
hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không
thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp
đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể
là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau.
Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy
được trên tất cả các hệ điều hành.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×