Tải bản đầy đủ (.docx) (49 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Nghiên cứu công nghệ IDSIPS và ứng dụng đảm bảo website tại Trung tâm thông tin tư liệu Môi trường

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (505.37 KB, 49 trang )

MỤC LỤC

1


LỜI CẢM ƠN
Để hoàn thành được đề tài thực tập tốt nghiệp này, trước hết em xin gửi
lời cảm ơn chân thành nhất đến các Cán bộ tại Trung Tâm Thông Tin và Tư Liệu
Môi Trường đã tận tình chỉ bảo và truyền đạt kiến thức cho em. Đồng thời em
xin gửi lời cảm ơn đặc biệt về sự chỉ dạy, hướng dẫn tận tình của ThS. Trần Thi
Yến đã luôn tận tình hướng dẫn, giúp đỡ em trong suốt thời gian thực hiện đề tài
thực tập.
Em cũng xin gửi lời cảm ơn tới Khoa Công nghệ Thông tin – Trường Đại
Học Tài nguyên Môi trường Hà Nội đã luôn quan tâm và tạo điều kiện giúp em
hoàn thành đề tài thực tập tốt nghiệp này. Ngoài ra, em xin cảm ơn những người
bạn đã giúp đỡ và trao đổi thêm nhiều thông tin về đề tài trong quá trình thực
hiện đề tài này.
Cuối cùng em vô cùng biết ơn gia đình và bạn bè, những người đã luôn
luôn ở bên cạnh em, động viên, chia sẻ với em trong suốt thời gian thực đề tài
thực tập tốt nghiệp “ Nghiên cứu công nghệ IDS/IPS và ứng dụng đảm bảo
website tại Trung tâm thông tin tư liệu Môi trường ”.
Do kiến thức còn hạn chế, bài báo cáo của em không tránh khỏi những sai
sót. Rất mong nhận được những lời góp ý từ quý Thầy cô để đề tài thực tập tốt
nghiệp của em được hoàn thiện và giúp em có thêm những kinh nghiệm quý
báu.
Cuối cùng, em xin kính chúc các Cán bộ tại Trung Tâm Thông Tin và Tư
Liệu Môi Trường nói chung, các thầy cô khoa công nghệ thông tin Trường đại
học tài nguyên và môi trường nói riêng dồi dào sức khỏe và thành công trong sự
nghiệp cao quý.
Hà Nội, tháng 3 năm 2017
Sinh viên thực hiện


NGUYỄN VĂN TRƯỜNG

2


DANH MỤC VIẾT TẮT
Chữ viết tắt

Tên tiếng anh

Nghĩa tiếng việt

IDS

Hệ thống phát hiện xâm
phạm
Hệ thống chống xâm nhập

HIDS

Intrusion detection
system
Intrusion Prevention
System
Host-based IDS

NIDS

Network-based IDS


Dos

Disk Operating
System
Transmission
Control Protocol
User Datagram
Protocol

IPS

TCP
UDP
SNORT
LAN
PL

Local Area
Network
Packet Logger
Inline

3

Hệ thống phát hiện xâm
nhập Host-Based
Hệ thống phát hiện xâm
nhập Network-Based
Hệ điều hành Dos
Giao thức kiểm soát

truyền tải
Giao thức cốt lõi của giao
thức TCP/IP
Một hệ thống phát hiện
xâm nhập mạng mã nguồn
mở
Mạng máy tính cục bộ
Ghi log các gói tin và bộ
nhớ
Nhận các gói tin


DANH MỤC HÌNH ẢNH
Hình 1.1 : Sơ đồ trên biểu diễn kich bản NIDS điển hình……………………..26
Hình 1.2 : Sơ đồ trên biểu diễn HIDS điển hình……………………………….27
Hình 1.3 : Kiến trúc của một hệ thống phát hiện xâm nhập IDS.……………...29
Hình 1.4 : Quá trình hoạt động của hệ thống IDS……………………………...30
Hình 2.1 : Mô hình triển khai của NIDS……………………………………….38
Hình 2.2 : Cấu trúc của Snort…………………………………………………..39

4


CHƯƠNG 1 : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1. Cơ sở thực tiễn của đề tài
1.1. Cơ sở khoa học của đề tài

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề
được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát
triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống

thông tin càng trở nên cấp thiết hơn bao giờ hết.
Trong đó, cần phải nhắc đến là hệ thống phát hiện xâm nhập và hệ thống
ngăn chặn xâm nhập mà cách đây hơn 30 năm, khái niệm phát hiện xâm nhập
xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS với
mục đích là dò tìm, nghiên cứu các hành vi bất thường và thái độ của người sử
dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản
hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên
cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng
máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn
chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí
nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ
IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu
của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã
mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Vào năm 2003, Gartner một công ty hàng đầu trong lĩnh vực nghiên cứu
và phân tích thi trường công nghệ thông tin trên toàn cầu đã đưa ra một dự đoán
gây chấn động trong lĩnh vực an toàn thông tin: “Hệ thống phát hiện xâm nhập
(IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này dựa trên nhiều phản ánh
của những khách hàng đang sử dụng IDS rằng quản tri, vận hành hệ thống IDS
là rất khó khăn, tốn kém, không đem lại hiệu quả tương xứng so với đầu tư và
xuất phát từ một số kết quả phân tích, đánh giá cho thấy hệ thống IDS khi đó
5


đang đối mặt với các vấn đề như: IDS thường xuyên đưa ra rất nhiều báo động
giả (False Positives); là gánh nặng cho quản tri an ninh hệ thống bởi nó cần
được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm); kèm theo các
cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả; không có khả năng
theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây.

Trước những hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc
tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn
đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không
chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản tri hệ thống.
Thế hệ sau của IDS là hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS
được ra đời vào năm 2003, ngay sau đó, năm 2004 nó được phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản tri, hệ thống IPS xuất hiện đã
dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người
trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần
nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt,
một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn
xâm nhập.
Ngày nay, Hệ thống phát hiện và phòng chống xâm nhập (IDPS) đã trở
thành một sự bổ sung cần thiết cho cơ sở hạ tầng an ninh của gần như tất cả các
tổ chức.
Từ những vấn đề trên, em đã chọn đề tài “Nghiên cứu công nghệ
IDS/IPS và ứng dụng đảm bảo website tại Trung tâm thông tin tư liệu Môi
trường ” để làm báo cáo thực tập tốt nghiệp.
1.2. Ý nghĩa thực tiễn của đề tài:
- Làm rõ được bức tranh an toàn mạng hiện nay
- Hiểu được các phương pháp tấn công mạng máy tính hiện nay.
- Giải pháp giúp đơn vi an toàn mạng trong quá trình hoạt động khi tham gia
mạng internet toàn cầu.

6


- Có thể là tài liệu tham khảo cho sinh viên các khóa chuyên ngành CNTT có học
tập tại Trường
2. Nội dung nghiên cứu chính


2.1. Mục tiêu của đề tài:
- Nghiên cứu môi trường mạng máy tính.
- Nghiên cứu một số phương pháp khai thác mạng và ngăn ngừa mạng
phổ biến hiện nay
-Nghiên cứu hệ thống IDS/IPS
- Nghiên cứu một số mã nguồn mở trong triển khai hệ thống IDS/IPS
- Triển khai hệ thống IDS/IPS và ứng dụng tại trung tâm thông tin tư liệu
Môi trường
2.2. Nội dung của đề tài:
- Khái quát tổng quan về môi trường an ninh mạng máy tính
- Một số kiểu tấn công mạng máy tính phổ biến hiện nay
-Tổng quan về IDS/IPS
-Kiến trúc hệ thống phát hiện xâm nhập IDS/IPS
-Một số giải pháp phát hiện và ngăn chặn xâm nhập trái phép
-Nghiên cứu mã nguồn mở Snort trong triển khai IDS/IPS
-Xây dựng thực nghiệm áp dụng cụ thể vào trung tâm thông tin tư liệu
môi trường
- Đánh giá, tổng kết và hướng đề xuất phát triển của đề tài
3. Phương pháp nghiên cứu

3.1. Phương pháp lý thuyết
- Tìm và đọc tài liệu liên quan đến vấn đề IDS/IPS.
- Sau đó tổng hợp, phân tích, tìm ra các ưu nhược điểm của các giải pháp
rồi lựa chọn vào những giải pháp có hiệu quả.
- Xây dựng một số giải pháp phòng chống và ngăn chặn xâm nhập mạng.
3.2. Phương pháp thực nghiệm
- Khảo sát, thu thập, phân tích hiện trạng hệ thống mạng tại trung tâm.
7



- Ứng dụng một số mã nguồn mở như snort, cacti trong việc triển khai
IDS/IPS.
- Xây dựng các giải pháp IDS/IPS tại trung tâm
- Đánh giá, kiểm tra kết quả đạt được.
4. Phạm vi nghiên cứu

- Nghiên cứu hệ thống IDS/IPS và ứng dụng tại trung tâm thông tin tư liệu
Môi trường

8


CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC
TẬP
Cơ quan thực tập : TỔNG CỤC MÔI TRƯỜNG TRUNG
TÂM THÔNG TIN VÀ TƯ LIỆU MÔI TRƯỜNG
Địa chỉ: 83 Nguyễn Chí Thanh, Đống Đa, Hà Nội
Điện thoại: (043) 5527919
Fax: (043) 8728294
Email:
Địa chỉ website: www.ceid.gov.vn
Chức năng nhiệm vụ:
www.ceid.gov.vn/portal/KenhTin/Chuc-nang-Nhiem-vu.aspx
1. Vị trí và chức năng
1.1.Trung tâm Thông tin và Tư liệu môi trường là đơn vị sự nghiệp
công lập trực thuộc Tổng cục Môi trường (sau đây gọi tắt là
Tổng cục), có chức năng giúp Tổng Cục trưởng Tổng cục Môi
trường (sau đây gọi tắt là Tổng Cục trưởng) thực hiện các nhiệm
vụ sau: thu thập, xây dựng và quản lý thông tin, tư liệu, thư

viện giấy và điện tử, phát triển ứng dụng công nghệ thông tin,
hệ thống thông tin, cơ sở dữ liệu môi trường quốc gia phục vụ
quản lý nhà nước về môi trường của Tổng cục; chỉ đạo và hướng
dẫn việc thu thập, giao nộp, lưu trữ, quản lý, thống kê, cung
cấp, chia sẻ thông tin, dữ liệu, tư liệu môi trường, xây dựng hệ
thống thông tin, cơ sở dữ liệu môi trường; tổng hợp và công bố
thông tin về danh mục dữ liệu môi trường theo quy định của
pháp luật.
1.2.Trung tâm Thông tin và Tư liệu môi trường có tư cách pháp
nhân, có con dấu riêng, được mở tài khoản tại Kho bạc Nhà
9


nước và Ngân hàng theo quy định của pháp luật và các quy
định hiện hành.
2. Nhiệm vụ và quyền hạn
1.3.Thực hiện thu thập, xây dựng, tích hợp, lưu trữ, thống kê, quản
lý, cập nhật, khai thác, xử lý thông tin, dữ liệu, tư liệu, cơ sở dữ
liệu, thư viện giấy và điện tử, hệ thống thông tin môi trường
quốc gia và phát triển ứng dụng công nghệ thông tin và cơ sở
hạ tầng công nghệ thông tin của Tổng cục phục vụ nhiệm vụ
quản lý nhà nước về môi trường.
1.4.Thực hiện tổng hợp, cập nhật và cung cấp thông tin, tư liệu môi
trường, công bố thông tin về danh mục dữ liệu môi trường theo
quy định của pháp luật và sự phân công của Tổng Cục trưởng.
1.5.Thực hiện việc thiết kế, xây dựng kiến trúc tổng thể cho hệ
thống thông tin và cơ sở dữ liệu môi trường, danh mục, chuẩn,
cấu trúc cơ sở dữ liệu môi trường; xây dựng chiến lược, quy
hoạch phát triển, kế hoạch dài hạn, 5 năm và hàng năm về ứng
dụng công nghệ thông tin, xây dựng hệ thống cơ sở dữ liệu, hệ

thống thông tin, thư viện, tư liệu môi trường của Tổng cục.
1.6.Tham gia xây dựng báo cáo hiện trạng môi trường quốc gia, báo
cáo chuyên đề về môi trường, báo cáo nhanh hiện trạng, biến
động môi trường và nhận định xu hướng phát triển về tài
nguyên môi trường.
1.7.Thực hiện xây dựng quy định, định mức kinh tế - kỹ thuật trong
lĩnh vực thông tin, tư liệu, thư viện, hệ thống thông tin, cơ sở dữ
liệu, phát triển ứng dụng công nghệ thông tin môi trường.
1.8.Kiểm tra, thu nhận sản phẩm các dự án, nhiệm vụ, đề tài triển
khai ứng dụng công nghệ thông tin thuộc phạm vi quản lý của
Tổng cục.
1.9.Thực hiện các chương trình, đề án, dự án, đề tài nghiên cứu,
ứng dụng khoa học công nghệ thuộc lĩnh vực thông tin, hệ
10


thống thông tin, cơ sở dữ liệu, thư viện, tư liệu, ứng dụng công
nghệ viễn thám phục vụ quản lý nhà nước về môi trường của
Tổng cục.
1.10. Tổ chức, thực hiện kết nối mạng thông tin, hệ thống thông tin,
cơ sở dữ liệu, thư viện và tư liệu môi trường; đầu mối cung cấp
các dịch vụ, tổ chức tập huấn, hướng dẫn nghiệp vụ kỹ thuật về
thông tin, tư liệu, hệ thống thông tin, cơ sở dữ liệu môi trường
đối với các đơn vị trực thuộc Tổng cục và các Bộ, ngành và địa
phương.
1.11. Nghiên cứu và triển khai thực hiện các ứng dụng công nghệ
viễn thám, công nghệ thông tin, hệ thống thông tin địa lý (GIS),
thành lập Atlas, bản đồ, cơ sở dữ liệu, xây dựng các lớp thông
tin môi trường phục vụ nhiệm vụ giám sát tình hình bảo vệ môi
trường và đa dạng sinh học của Tổng cục.

2.10. Tham gia công tác điều tra, khảo sát, thống kê, đánh
giá môi trường, dự báo tình trạng và sức chịu tải của các thành
phần môi trường, cung cấp thông tin về ảnh hưởng của ô nhiễm
và suy thoái môi trường đến con người, sinh vật, nghiên cứu cơ
sở khoa học, pháp lý và thực tiễn phục vụ việc xây dựng các
văn bản quy phạm pháp luật, chính sách, chiến lược, chương
trình, quy hoạch, kế hoạch quốc gia về bảo vệ môi trường theo
khu vực và vùng trên phạm vi cả nước theo sự phân công của
Tổng Cục trưởng.
2.11. Tham gia điều tra, nghiên cứu cơ sở khoa học, pháp
lý và thực tiễn phục vụ việc xây dựng các văn bản quy phạm
pháp luật, chính sách, chiến lược, chương trình, quy hoạch, kế
hoạch quốc gia về bảo vệ môi trường theo sự phân công của
Tổng Cục trưởng.

11


2.12. Đầu mối giúp Tổng Cục trưởng về công nghệ thông
tin, ứng dụng công nghệ viễn thám trong môi trường, lập chiến
lược, chính sách, quy hoạch tổng thể mạng lưới thông tin và tư
liệu môi trường; thu thập, thu nhận, lưu trữ và quản lý thống
nhất tư liệu, dữ liệu, số liệu điều tra thông tin môi trường, các
kết quả thực hiện đề tài, dự án và nhiệm vụ liên quan đến công
tác bảo vệ môi trường; quản lý hệ thống thông tin, cơ sở dữ liệu
môi trường quốc gia, thư viện giấy và điện tử của Tổng cục.
2.13. Tham gia hợp tác quốc tế trong các lĩnh vực thông
tin, dữ liệu, tư liệu, công nghệ thông tin, viễn thám, GIS môi
trường, mạng lưới cung cấp thông tin và giám sát môi trường
toàn cầu, ứng phó môi trường, biến đổi khí hậu toàn cầu và các

lĩnh vực khác theo sự phân công của Tổng Cục trưởng.
2.14. Thực hiện, tham gia cung cấp các dịch vụ sản xuất,
tư vấn, chuyển giao công nghệ và đào tạo trong các lĩnh vực:
công nghệ viễn thám, công nghệ GIS, công nghệ thông tin, xây
dựng cơ sở dữ liệu và hệ thống thông tin, tư liệu môi trường cho
các tổ chức, cá nhân trong và ngoài nước theo quy định của
pháp luật.
2.15. Giúp Tổng cục trưởng chỉ đạo và hướng dẫn thực
hiện xây dựng, quy trình, quy phạm, quản lý và kiểm tra thực
hiện các chương trình, dự án liên quan đến thông tin, hệ thống
thông tin, cơ sở dữ liệu, phần mềm, các quy định về giao nộp,
lưu trữ, thống kê, cung cấp, chia sẻ thông tin và tư liệu môi
trường của các cơ quan, tổ chức liên quan.
2.16. Hỗ trợ về kỹ thuật và chuyên môn về ứng dụng công
nghệ thông tin, tư liệu, thông tin, xây dựng cơ sở dữ liệu, hệ
thống thông tin môi trường, ứng dụng viễn thám trong môi
12


trường, thành lập bản đồ chuyên đề cho các đơn vị trực thuộc
Tổng cục qua hình thức cử chuyên gia tư vấn và biệt phái cán
bộ tham gia các nhiệm vụ công tác của Tổng cục.
2.17. Tổ chức thực hiện cải cách hành chính theo chương
trình, kế hoạch cải cách hành chính của Tổng cục và phân công
của Tổng Cục trưởng.
2.18. Quản lý tài chính, tài sản thuộc Trung tâm; thực hiện
nhiệm vụ của đơn vị dự toán cấp III trực thuộc Tổng cục theo
quy định của pháp luật.
2.19. Quản lý tổ chức, biên chế, viên chức, lao động hợp
đồng theo quy định.

2.20. Thống kê, báo cáo định kỳ và đột xuất tình hình thực
hiện nhiệm vụ được giao.
2.21. Thực hiện các nhiệm vụ khác do Tổng Cục trưởng
giao.
3. Cơ cấu tổ chức
3.1.Văn phòng.
3.2.Phòng Thông tin môi trường.
3.3.Phòng Tư liệu môi trường.
3.4.Phòng Ứng dụng công nghệ viễn thám.
3.5.Phòng Cơ sở dữ liệu môi trường.

CHƯƠNG 3 : GIỚI THIỆU CHUNG VỀ MẠNG MÁY TÍNH VA
CÁC KIỂU TẤN CÔNG MẠNG THƯỜNG GẶP

13


1. Lịch sử phát triển của mạng máy tính
Vào giữa những năm 50 khi những thế hệ máy tính đầu
tiên được đưa vào hoạt động thực tế với những bóng đèn điện
tử thì chúng có kích thước rất cồng kềnh và tốn nhiều năng
lượng. Hồi đó việc nhập dữ liệu vào các máy tính được thông
qua các tấm bìa mà người viết chương trình đã đục lỗ sẵn. Mỗi
tấm bìa tương đương với một dòng lệnh mà mỗi một cột của nó
có chứa tất cả các ký tự cần thiết mà người viết chương trình
phải đục lỗ vào ký tự mình lựa chọn. Các tấm bìa được đưa vào
một "thiết bị" gọi là thiết bị đọc bìa mà qua đó các thông tin
được đưa vào máy tính (hay còn gọi là trung tâm xử lý) và sau
khi tính toán kết quả sẽ được đưa ra máy in. Như vậy các thiết
bị đọc bìa và máy in được thể hiện như các thiết bị vào ra (I/O)

đối với máy tính. Sau một thời gian các thế hệ máy mới được
đưa vào hoạt động trong đó một máy tính trung tâm có thể
được nối với nhiều thiết bị vào ra (I/O) mà qua đó nó có thể thực
hiện liên tục hết chương trình này đến chương trình khác.
Cùng với sự phát triển của những ứng dụng trên máy tính
các phương pháp nâng cao khả năng giao tiếp với máy tính
trung tâm cũng đã được đầu tư nghiên cứu rất nhiều. Vào giữa
những năm 60 một số nhà chế tạo máy tính đã nghiên cứu
thành công những thiết bị truy cập từ xa tới máy tính của họ.
Một trong những phương pháp thâm nhập từ xa được thực hiện
bằng việc cài đặt một thiết bị đầu cuối ở một vị trí cách xa trung
tâm tính toán, thiết bị đầu cuối này được liên kết với trung tâm
bằng việc sử dụng đường dây điện thoại và với hai thiết bị xử lý
14


tín hiệu (thường gọi là Modem) gắn ở hai đầu và tín hiệu được
truyền thay vì trực tiếp thì thông qua dây điện thoại.
Vào giữa những năm 1970, các thiết bị đầu cuối sử dụng
những phương pháp liên kết qua đường cáp nằm trong một khu
vực đã được ra đời. Với những ưu điểm từ nâng cao tốc độ
truyền dữ liệu và qua đó kết hợp được khả năng tính toán của
các máy tính lại với nhau. Để thực hiện việc nâng cao khả năng
tính toán với nhiều máy tính các nhà sản xuất bắt đầu xây dựng
các mạng phức tạp. Vào những năm 1980 các hệ thống đường
truyền tốc độ cao đã được thiết lập ở Bắc Mỹ và Châu Âu và từ
đó cũng xuất hiện các nhà cung cấp các dịnh vụ truyền thông
với những đường truyền có tốc độ cao hơn nhiều lần so với
đường dây điện thoại. Với những chi phí thuê bao chấp nhận
được, người ta có thể sử dụng được các đường truyền này để

liên kết máy tính lại với nhau và bắt đầu hình thành các mạng
một cách rộng khắp. Ở đây các nhà cung cấp dịch vụ đã xây
dựng những đường truyền dữ liệu liên kết giữa các thành phố và
khu vực với nhau và sau đó cung cấp các dịch vụ truyền dữ liệu
cho những người xây dựng mạng. Người xây dựng mạng lúc này
sẽ không cần xây dựng lại đường truyền của mình mà chỉ cần
sử dụng một phần các năng lực truyền thông của các nhà cung
cấp.
Vào năm 1974 công ty IBM đã giới thiệu một loạt các thiết
bị đầu cuối được chế tạo cho lĩnh vực ngân hàng và thương mại,
thông qua các dây cáp mạng các thiết bị đầu cuối có thể truy
cập cùng một lúc vào một máy tính dùng chung. Với việc liên
kết các máy tính nằm ở trong một khu vực nhỏ như một tòa nhà
15


hay là một khu nhà thì tiền chi phí cho các thiết bị và phần
mềm là thấp. Từ đó việc nghiên cứu khả năng sử dụng chung
môi trường truyền thông và các tài nguyên của các máy tính
nhanh chóng được đầu tư.
Vào năm 1977, công ty Datapoint Corporation đã bắt đầu
bán hệ điều hành mạng của mình là "Attached Resource
Computer Network” (hay gọi tắt là Arcnet) ra thị trường. Mạng
Arcnet cho phép liên kết các máy tính và các trạm đầu cuối lại
bằng dây cáp mạng, qua đó đã trở thành là hệ điều hành mạng
cục bộ đầu tiên.
Từ đó đến nay đã có rất nhiều công ty đưa ra các sản
phẩm của mình, đặc biệt khi các máy tính cá nhân được sử
dụng một cánh rộng rãi. Khi số lượng máy vi tính trong một văn
phòng hay cơ quan được tăng lên nhanh chóng thì việc kết nối

chúng trở nên vô cùng cần thiết và sẽ mang lại nhiều hiệu quả
cho người sử dụng.
Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý
thông tin ngày càng cao. Mạng máy tính hiện nay trở nên quá
quen thuộc đối với chúng ta, trong mọi lĩnh vực như khoa học,
quân sự, quốc phòng, thương mại, dịch vụ, giáo dục... Hiện nay
ở nhiều nơi mạng đã trở thành một nhu cầu không thể thiếu
được. Người ta thấy được việc kết nối các máy tính thành mạng
cho chúng ta những khả năng mới to lớn như:
Sử dụng chung tài nguyên: Những tài nguyên của mạng
(như thiết bị, chương trình, dữ liệu) khi được trở thành các tài

16


nguyên chung thì mọi thành viên của mạng đều có thể tiếp cận
được mà không quan tâm tới những tài nguyên đó ở đâu.
Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàng
bảo trì máy móc và lưu trữ (backup) các dữ liệu chung và khi có
trục trặc trong hệ thống thì chúng có thể được khôi phục nhanh
chóng. Trong trường hợp có trục trặc trên một trạm làm việc thì
người ta cũng có thể sử dụng những trạm khác thay thế.
Nâng cao chất lượng và hiệu quả khai thác thông tin: Khi
thông tin có thể được sữ dụng chung thì nó mang lại cho người
sử dụng khả năng tổ chức lại các công việc với những thay đổi
về chất như:
Đáp ứng những nhu cầu của hệ thống ứng dụng kinh
doanh hiện đại.
Cung cấp sự thống nhất giữa các dữ liệu.
Tăng cường năng lực xử lý nhờ kết hợp các bộ phận phân

tán.
Tăng cường truy nhập tới các dịch vụ mạng khác nhau
đang được cung cấp trên thế giới.
Với nhu cầu đòi hỏi ngày càng cao của xã hội nên vấn đề
kỹ thuật trong mạng là mối quan tâm hàng đầu của các nhà tin
học. Ví dụ như làm thế nào để truy xuất thông tin một cách
nhanh chóng và tối ưu nhất, trong khi việc xử lý thông tin trên
mạng quá nhiều đôi khi có thể làm tắc nghẽn trên mạng và gây
ra mất thông tin một cách đáng tiếc.
17


Hiện nay việc làm sao có được một hệ thống mạng chạy
thật tốt, thật an toàn với lợi ích kinh tế cao đang rất được quan
tâm. Một vấn đề đặt ra có rất nhiều giải pháp về công nghệ,
một giải pháp có rất nhiều yếu tố cấu thành, trong mỗi yếu tố
có nhiều cách lựa chọn. Như vậy để đưa ra một giải pháp hoàn
chỉnh, phù hợp thì phải trải qua một quá trình chọn lọc dựa trên
những ưu điểm của từng yếu tố, từng chi tiết rất nhỏ.
2. Một số kiểu tấn công mạng máy tính phổ biến hiện
nay
2.1. Tấn công bị động
Trong một cuộc tấn công bi động, các hacke sẽ kiểm soát traffic không
được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password),
các thông tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác. Các
cuộc tấn công bi động bao gồm phân tích traffic, giám sát các cuộc giao tiếp
không được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác
thực như mật khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn
công có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bi

động là các thông tin hoặc file dữ liệu sẽ bi rơi vào tay kẻ tấn công mà người
dùng không hề hay biết.
2.2. Tấn công rải rác
Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,
chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door,
với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều
công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần
mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối,... Các
cuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản phẩm

18


nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức
năng trên hệ thống.
2.3. Tấn công nội bộ
Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong
cuộc, chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,…
các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử
dụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
2.4. Tấn công phishing
Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả
trông “giống hệt” như các trang web phổ biến. Trong các phần tấn công phising,
các hacker sẽ gửi một email để người dùng click vào đó và điều hướng đến trang
web giả mạo. Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker
sẽ lưu lại tên người dùng và mật khẩu đó lại.
2.5. Tấn công của không tặc
Trong các cuộc tấn công của không tặc, các hacker sẽ giành quyền kiểm
soát và ngắt kết nối cuộc nói chuyện giữa bạn và một người khác.

2.6. Tấn công bằng mật khẩu
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật
khẩu được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo
vệ các tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công
dạng từ điển (dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật
khẩu tiềm năng.
2.7. Khai thác lỗ hổng tấn công
Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các
hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần
mềm và tận dụng kiến thức này để khai thác các lỗ hổng.
19


2.8. Buffer overflow ( Lỗi tràn bộ đệm )
Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một
ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack
là các hacker tấn công truy cập quản tri hệ thống trên Command Prompt hoặc
Shell.
2.9. Lỗi quản trị hệ thống
Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một
ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack
là các hacker tấn công truy cập quản tri hệ thống trên Command Prompt hoặc
Shell.

20


CHƯỜNG 4: NGHIÊN CỨU THÂM NHẬP TRÁI PHÉP

VỀ IDS/IPS VÀ GIẢI PHÁP PHÒNG CHỐNG
1. IDS
1.1. Sự ra đời của IDS

- Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua
một bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò
tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong
mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống
mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính
thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của
không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được
phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và
viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu
phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới
được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty
ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một
công ty cung cấp giải pháp IDS tên là Wheel.
- Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công
nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.
- Tại sao Gartner nói: IDS is dead? Vào năm 2003, Gartner- một công ty
hàng đầu trong lĩnh vực nghiên cứu và phân tích thi trường công nghệ thông tin
trên toàn cầu- đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn
thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm
2005”. Phát biểu này của xuất phát từ một số kết quả phân tích và đánh giá cho
thấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau:
IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives).
Là gánh nặng cho quản tri an ninh hệ thống bởi nó cần được theo dõi liên
tục (24 giờ trong suốt cả 365 ngày của năm).
21



Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả.
Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn
hơn 600 Megabit trên giây.Nhìn chung Gartner đưa ra nhận xét này dựa trên
nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản tri và vận
hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương
xứng so với đầu tư
- Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc
hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn
tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm
soát và phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động
hiệu quả, vai trò của các công cụ, con người quản tri là rất quan trọng, cần phải
đáp ứng được các tiêu chí sau:
Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện
bởi các IDS, tường lửa để tránh các báo động giả.
Các thành phần quản tri phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự độngKết quả là tới năm 2005,
thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã
dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn
nhiều so với thế hệ trước đó.
1.2. Khái niệm

- Intrusion detection system (IDS) - Hệ thống phát hiện xâm phạm: là một
hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng.
Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn
đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như sưu
tập, quét các cổng. Một tính năng chính của hệ thống này là cung cấp thông tin
nhận biết về những hành động không bình thường và đưa ra các báo cảnh thông
báo cho quản tri viên mạng khóa các kết nối đang tấn công này. Thêm vào đó
công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong


22


tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ
hacker).
1.3. Chức năng

- Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát : lưu lượng mạng
Cảnh báo : lưu lượng mạng , các hoạt động khả nghi
Bảo vệ : Dùng những thiết lập mặc đinh và sự cấu hình từ nhà quản tri
mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng :
Phân biệt : “ thù trong giặc ngoài ”
Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc
nhờ vào sự so sánh thông lượng mạng hiện tại với baseline
1.4. Các loại tấn công

- Các loại tấn công được phân thành hai loại như sau:
Bi động (được trang bi để tăng mức truy cập làm cho có thể thâm nhập
vào hệ thống mà không cần đến sự đồng ý của tài nguyên CNTT)
Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tài
nguyên CNTT)
- Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn công
được chia thành:
Bên trong, những tấn công này đến từ chính các nhân viên của công ty,
đối tác làm ăn hoặc khách hàng
Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet
- Các loại tấn công có thể bi phát hiện bởi công cụ IDS. Các loại tấn công

dưới đây có thể được phân biệt:
Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên.
Việc bẻ khóa và sự vi phạm truy cập
Trojan horses

23


Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh chặn
thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
Sự giả mạo
Quét cổng và dich vụ, gồm có quét ICMP (ping), UDP, TCP
Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các gói cụ
thể, các đia chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,…
Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát hiện nhưng
đôi khi vẫn có thể)
Lấy cắp thông tin, ví dụ như trường hợp bi lộ thông tin về quyền sở hữu
Lạm dụng tính xác thực; một loại hình tấn công bên trong, ví dụ: nghi ngờ
sự truy cập của một người dùng xác thực có thuộc tính kỳ lạ (đến từ một đia chỉ
không mong muốn)
Các kết nối mạng trái phép
Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập vào
các trang có hoạt động không lành mạnh
Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các
quyền truy cập mức cao.
Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập)
Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền quản tri viên hệ
thống.
Thay đổi và xóa thông tin
Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các số

thẻ tín dụng đã bi mất cắp trên một máy tính của chính phủ
Thay đổi cấu hình trái phép đối với hệ thống và các dich vụ mạng (máy
chủ)
Từ chối dich vụ (DoS)
Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi một số
lượng lớn các thông tin không giá tri để làm tắc nghẽn lưu lượng hạn chế dich
vụ
24


Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó
Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể gây ra
như đã nói ở phần trên.
1.5. Phân loại IDS

- Có 2 loại IDS
Network Based IDS(NIDS)
Host Based IDS (HIDS)
1.5.1. Hệ thống phát hiện xâm nhập Host-Based( Host-based
IDS).

- Host-based IDS kiểm tra sự xâm nhập bằng cách kiểm tra thông tin ở
host hay mức hệ điều hành. Hệ thống IDS này kiểm tra nhiều diện mạo host của
bạn, như hệ thống những cuộc gọi (system call), bản ghi kiểm toán (audit log),
thông điệp lỗi(error message),…Hình dưới đây minh họa cho một sự miệu tả
host-based IDS tiêu biểu.
- Một hệ thống phát hiện xâm nhập host-based ( HIDS) kiểm tra những
file log vào host,những hệ thống và tài nguyên host file. Một sự tiện lợi của hệ
thống HIDS là những gì mà nó có thể xem xét tiến trình của hệ điều hành và bảo
vệ những tài nguyên hệ thống đặc biệt bao gồm những tập tin mà có thể chỉ tồn

tại trên những host đặc biệt.
- Một hình thức đơn giản của HIPS là có khả năng đang nhập vào một
host. Tuy nhiên nó có thể trở thành nhân sự đắc lực để chuyển đổi và phân tích
những log này. Phần mềm HIPS ngày nay yêu cầu phần mềm Agent phải được
cài đặt trên mỗi host để xem xét những hoat động thực thi trên nó và chông lại
những host. Phần mềm Agent thực thi những phân tích và bảo vệ phát hiện xâm
nhập vào host.
* Những thuận lợi :
+ Bởi vì một host-based IDS kiểm tra đường đi sau khi nó tiến tới
đích(target) của cuộc tấn công( việc thừa nhận host là một đích), nó có thông tin
trực tiếp trên sự thành công của những tấn công. Với một network-based IDS,
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×