Tải bản đầy đủ (.doc) (106 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Đồ án tốt nghiệp triển khai hệ thống IDS snort

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.98 MB, 106 trang )

1

LỜI NÓI ĐẦU...................................................................................................3
CHƯƠNG I - TỔNG QUAN VỀ IDS...............................................................6
1.1 Khái niệm................................................................................................6
1.2. Chức năng...............................................................................................6
1.3 Cấu trúc chung.........................................................................................7
1.4. Phân biệt các mô hình IDS....................................................................10
NIDS.......................................................................................................10
HIDS........................................................................................................11
1.5. Các phương pháp nhận biết tấn công....................................................12
1.6 Các sản phẩm IDS trên thị trường..........................................................14
Intrust......................................................................................................14
ELM........................................................................................................15
GFI LANGUARD S.E.L.M.....................................................................16
SNORT....................................................................................................16
Cisco IDS................................................................................................17
Dragon.....................................................................................................18
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG..................19
SWITCH CISCO.............................................................................................19
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN........19
2.1.1 Khái niệm SPAN.............................................................................19
2.1.2 Các thuật ngữ..................................................................................21
2.1.3 Các đặc điểm của cổng nguồn........................................................23
2.1.4 Lọc VLAN......................................................................................23
2.1.5 Các đặc điểm của nguồn VLAN.....................................................25
2.1.6 Các đặc điểm của cổng đích............................................................26
2.1.7 Các đặc điểm của cổng phản hồi.....................................................27
2.2. SPAN trên các dòng Switch Cisco........................................................28
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000
Series.......................................................................................................28


chạy CatOS..............................................................................................28
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
................................................................................................................. 51
3560, 3560-E, 3750 and 3750-E Series....................................................51
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy
phần.........................................................................................................55
mềm hệ thống Cisco IOS.........................................................................55
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau 58
Các dòng Switch dưới Catalyst 4000 Series............................................58


2

Catalyst 4500/4000 Series.......................................................................58
Catalyst 5500/5000 and 6500/6000 Series...............................................58
2.4 Các lỗi thường gặp khi cấu hình............................................................59
CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM -.............67
SNORT VÀO HỆ THỐNG..............................................................................67
3.1. Các đặc điểm chính...............................................................................67
3.1.1 Hệ thống detection engine:.............................................................68
3.1.2 Hệ thống Logging & alerting:.........................................................69
3.1.3 Tập luật(RULES)............................................................................69
3.2 Các bước cài đặt Snort trên hệ điều hành Debian..................................71
3.2.1 Cài hệ điều hành Debian.................................................................71
3.2.2 Cài các phần mềm cần thiết............................................................71
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL....................73
3.2.4 Cài đặt Snort...................................................................................73
3.2.5 Cấu hình MySQL Server................................................................75
3.2.6 Cấu hình để SNORT bắn alert vào MySQL....................................76
3.2.7 Cài đặt Apache-ssl Web Server.......................................................76

3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base)......77
3.2.9 Cập nhật Rules với Oinkmaster......................................................79
3.2.10 Startup Script................................................................................80
3.2.11 Tạo Acc truy cập vào Base............................................................80
3.2.12 Cấu hình SNMP Server.................................................................81
3.2.13 Tạo file index.php để định hướng trình duyệt...............................82
3.2.14 Cài đặt phần mềm quản trị Webmin..............................................82
3.3 Giao diện hệ thồng sau cài đặt...............................................................83
3.3.1 Các thông tin cấu hình cơ bản.........................................................83
3.3.2 Hướng dẫn sử dụng SNORT...........................................................84
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base)...............................87
3.3.4 Hướng dẫn sử dụng Webmin..........................................................99
KẾT LUẬN...................................................................................................106


3

LỜI NÓI ĐẦU
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS
(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất
thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc
quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm
nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng
tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS
vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí
nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt
đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới
được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS,
một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty

cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử
dụng nhiều nhất và vẫn còn phát triển.
Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích
thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn động
trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn
nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích và đánh giá
cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất
nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là gánh nặng cho quản
trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày
của năm). Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý an
ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu được
truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét
này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị
và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương
xứng so với đầu tư.


4

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các
công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:
-

Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi
các IDS, tường lửa để tránh các báo động giả.


-

Các thành phần quản trị phải tự động hoạt động và phân tích.

-

Kết hợp với các biện pháp ngăn chặn tự động.

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn
xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động
hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có
rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống
IDP - Intrusion Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt
trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một
vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không
chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ
thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến
rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần
thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc
đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng
của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt
động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập.
Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ
thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó.



5

Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là
một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS.
Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải
tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này, chúng ta
sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDS
mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế
cho các IDS cứng đắt tiền.


6

CHƯƠNG I - TỔNG QUAN VỀ IDS
1.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản
trị .
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có
hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng
hay địa chỉ IP nguồn đó không cho truy cập hệ thống mạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo
đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.


1.2. Chức năng
Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau :
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám
sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những
hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng
Phân biệt: các tấn công trong và ngoài mạng
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline


7

1.3 Cấu trúc chung
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện
xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu
trúc chung cho các hệ IDS là:

Hình 1.1 : Mô hình chung hệ thống IDS

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc
phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn
chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác định
các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên
được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ thống bẫy cần
phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện

xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để
phát hiện các dấu hiệu tấn công.
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên
hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có
thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa


8

để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ
sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một IDS là một
thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong
tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra
do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký
thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :

Hình 1.2 : Cấu trúc tập trung.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách
sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông
tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính


9

sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc

các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong
hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ
liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào
được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích
đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được
các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho
mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông
thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các
tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến
cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm
ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả
chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một
tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.

Hình 1.3 : Cấu trúc đa tác nhân


10

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm
chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ
phân tích trung tâm là một trong những thành phần quan trọng của IDS. IDS có thể sử
dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn
công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính
roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành
cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi

nói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công mới. Các giải pháp dựa trên
tác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra.
Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các
tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).
Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất
cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ
thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất..

1.4. Phân biệt các mô hình IDS
Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)
NIDS
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn
bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay
phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.
Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở
mức cao.


11

Hình 1.4 : Mô hình NIDS
Một số sản phẩm NIDS :
-Cisco IDS
-Dragon® IDS/IPS
HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với

NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy
tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép
bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện
được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng
không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành
Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và
nhiều hệ điều hành khác.


12

Hình 1.5 : Mô hình HIDS

1.5. Các phương pháp nhận biết tấn công
Nhận biết qua tập sự kiện
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp
vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom & Sense và ComputerWatch (được phát triển tại AT&T
Phát hiện xâm nhập dựa trên tập luật (Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết
về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định
thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi
(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm
định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc


13


kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm
định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với
các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các
hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris).
Phân biệt ý định người dùng (User intention identification):
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều
chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp
nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ
được phát hiện thì một cảnh báo sẽ được sinh ra.
Phân tích trạng thái phiên (State-transition analysis):
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay
đáp trả theo các hành động đã được định trước.
Phương pháp phân tích thống kê (Statistical analysis approach):
Đây là phương pháp thường được sử dụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời
gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập
trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu
kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có
nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa
từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình


14

hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông
tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách
sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên
được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp
thống kê thường được sử dụng trong việc bổ sung

1.6 Các sản phẩm IDS trên thị trường
Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động
kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt
vời. Đưa ra với một giao diện báo cáo với hơn 1. 000 báo cáo khác nhau, giúp kiểm
soát được Nhập phức tạp. Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện
cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác.
1.

Tính năng cảnh báo toàn diện

2.

Tính năng báo cáo toàn diện

3.

Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng

4.

Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ
mỉ

5.


Lọc dữ liệu cho phép xem lại một cách dễ dàng

6.

Kiểm tra thời gian thực

7.

Phân tích dữ liệu đã được capture

8.

Tuân thủ theo các chuẩn công nghiệp


15

9.

Sự bắt buộc theo một nguyên tắc

ELM
Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩm
được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra
thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ. Cơ sở dữ
liệu được bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm được an toàn. Điều
này có nghĩa là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạo
một cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở dữ liệu chính online trở
lại. Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3. 0

1.

ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt

2.

Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra
các bản ghi sự kiện và bộ đếm hiệu suất.

3.

Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ
trợ các báo cáo HTML và ASCII

4.
5.

Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và
XML

6.

Hỗ trợ giao diện kiến thức cơ sở

7.

Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT.

8.


Hỗ trợ cở sở dữ liệu SQL Server và Oracle.

9.

Các truy vấn tương thích WMI cho mục đích so sánh

10.

Đưa ra hành động sửa lỗi khi phát hiện xâm nhập


16

GFI LANGUARD S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài
đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M.
1.

Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự
kiện

2.

Quản lý bản ghi sự kiện mạng

3.

Phát hiện nâng cao các tấn công bên trong


4.

Giảm TOC

5.

Không cần đến phần mềm client hoặc các tác nhân

6.

Không ảnh hưởng đến lưu lượng mạng

7.

Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ

8.

Bộ kiểm tra file mật

9.

Kiểm tra bản ghi toàn diện

10.

Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng

SNORT
Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trong

môi trường UNIX. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ nền
Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm này
đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian và
băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi nhiều người và nó
hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại được
trong bất kỳ tổ chức nào.


17

Dưới đây là những thông tin vắn tắt về sản phẩm này:
1.

Hỗ trợ cấu hình hiệu suất cao trong phần mềm

2.

Hỗ trợ tốt cho UNIX

3.

Hỗ trợ mã nguồn mở linh hoạt

4.

Hỗ trợ tốt SNMP

5.

Hỗ trợ mô đun quản lý tập trung


6.

Hỗ trợ việc cảnh báo và phát hiện xâm phạm

7.

Có các gói bản ghi

8.

Phát hiện tấn công toàn diện

9.

Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện

10.

Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email

Cisco IDS
Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận
cũng như danh tiếng truyền thống của nó.
Dưới đây là những thông tin vắn tắt về thiết bị này:
1.

Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai.

2.


Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco .

3.

Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành
động trái phép

4.

Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau


18

5.

Cho hiệu suất mạng cao

6.

Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi
của kẻ xâm nhập

7.

Quản lý GUI tập trung

8.


Quản lý từ xa

9.

Email thông báo sự kiện.

Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có
các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ trợ
NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát IDS
hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên điểm yếu
của sản phẩm này là ở chỗ giá cả của nó. Dưới đây là những thông tin vắn tắt về
Dragon (Phiên bản hoạt động kinh doanh).
1.

Dragon hỗ trợ cả NIDS và HIDS

2.

Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX

3.

Được mô đun hóa và có thể mở rộng

4.

Kiểm tra quản lý tập trung

5.


Phân tích và báo cáo toàn diện

6.

Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh

7.

Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router.

8.

Quản lý biên dịch báo cáo


19

9.

Có chu kỳ cập nhật chữ kỹ hoàn hảo.

CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG
SWITCH CISCO
Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo
hệ thống switch của Cisco. Đó là kỹ thuật phân tích thống kê cổng switch. Kỹ thuật
phân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi được
gọi là kỹ thuật tham chiếu cổng (port mirroring) hoặc giám sát cổng(port monitoring),
cho phép kết nối máy phân tích vào Switch Cisco. Máy phân tích có thể là một Cisco
SwitchProbe hoặc một thiết bị theo dõi khảo sát từ xa Remote Monitoring (RMON).

Trước đây, SPAN là một tính năng kỹ thuật tương đối cơ bản trên dòng Switch Cisco
Catalysts. Tuy nhiên, các phiên bản mới của Catalyst OS (CatOS) giới thiệu các tính
năng nâng cao và nhiều khả năng mới đối với người sử dụng. Ta sẽ điểm qua các đặc
điểm của SPAN. Đó là:
-

SPAN là gì , cách cấu hình.

-

Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên
SPAN xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng.

-

SPAN ảnh hưởng thế nào đến khả năng thực thi của Switch

2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN
2.1.1 Khái niệm SPAN
Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữa
switch với hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản sao
của gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến. Khi một
switch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table ) Layer
2 dựa trên cơ sở địa chỉ MAC nguồn của các gói tin khác nhau mà switch nhận được.
Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển tiếp luồng dữ
liệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng.


20


Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B
và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng
khác sẽ “xem” được lưu lượng từ máy A đến máy B

Hình 2.1 : Máy cần theo dõi gắn vào hub
Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic
unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà
máy B nối đến. Bởi vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phân
tích.

Hình 2.2 : Máy cần theo dõi gắn vào Switch
Trong mô hình này, máy phân tích chỉ nhận được các luồng dữ liệu được gửi đến tất
cả các cổng, như là :
-

Luồng thông tin quảng bá (broadcast traffic)


21

-

Luồng thông tin multicast với CGMP hoặc Internet Group Management
Protocol

(IGMP)
-

Các luồng dữ liệu đơn nhất (unicast traffic) không rõ ràng


Luồng thông tin đơn nhất được chuyển tiếp ra các cổng (flooding) khi switch không
có địa chỉ MAC đích trong bảng nhớ nội dung địa chỉ (CAM – Content-addressable
memory). Switch không biết địa chỉ cổng chính xác để gửi luồng dữ liệu đó. Đơn
giản là nó sẽ đẩy các gói tin đến tất cả mọi cổng còn lại.
Một đặc điểm mở rộng cần thiết là tạo một bản sao giả tạo các gói tin đơn nhất
(unicast packets) để đưa đến cổng Switch gắn máy phân tích dữ liệu

Hình 2.3 : Dữ liệu được tạo bản sao ở Switch
Ở cấu trúc trên, máy phân tích được gắn vào cổng được cấu hình để nhận một bản sao
của mọi gọi tin mà máy A gửi, cổng này được gọi là cổng SPAN.

2.1.2 Các thuật ngữ
-

Ingress traffic : luồng dữ liệu chạy vào switch - Egress traffic : luồng dữ liệu
đi ra khỏi switch

-

Source (SPAN) port : cổng được theo dõi (monitor) bằng việc sử dụng kỹ
thuật

SPAN
-

Source (SPAN) VLAN : VLAN được theo dõi


22


-

Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thường
là khi ở đây có một máy phân tích được gắn vào

-

Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN

-

Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trong
Catalyst 2900XL/3500XL/2950

Hình 2.4 : Các thuật ngữ
-

Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là được

đặt trên cùng Switch như cổng đích. Đặc điểm này là tương phản với Remote SPAN
(RSPAN)
-

Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch với

cổng đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm
mang luồng thông tin được theo dõi bởi SPAN giữa các Switch. RSPAN không hỗ trợ
trên tất cả các Switch. Kiểm tra ghi chú phát hành tương ứng hoặc hướng dẫn cấu
hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai. - Port-based
SPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn trên Switch và

một cổng đích.
-

VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọn

theo dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh.


23

-

Administrative source : Một tập các cổng nguồn hoặc các VLAN được cấu

hình để theo dõi.
-

Operational source : Một tập các cổng được quản lý thực sự. Tập các cổng này

có thể khác nhau từ nguồn quản trị. Ví dụ, một cổng trong chế độ tắt có thể hiển thị
tại nguồn quản trị, nhưng nó không thực sự được theo dõi.

2.1.3 Các đặc điểm của cổng nguồn
Một cổng nguồn, còn được gọi là cổng được theo dõi (monitored port), là một cổng
được chuyển mạch hoặc được định tuyến cho phép bạn theo dõi luồng dữ liệu trên
mạng. Trong một phiên cục bộ SPAN hoặc phiên nguồn RSPAN, bạn có thể theo dõi
lưu lượng cổng nguồn, như lưu lượngn nhận (Rx), gửi (Tx), hoặc cả hai hướng
(bidirectional). Switch hỗ trợ mọi cổng (trên switch) và mọi VLAN tồn tại trên đó có
thể là nguồn.
Một cổng nguồn có các đặc điểm :



Nó có thể là bất kỳ kiểu cổng nào, chẳng hạn như EtherChannel, Fast Ethernet,
Gigabit Ethernet, ….



Nó có thể được theo dõi trong nhiều phiên Span.



Nó không thể là một cổng đích.



Mỗi cổng nguồn có thể được cấu hình với một hướng (đi vào, đi ra, hoặc cả
hai) để theo dõi. Với nguồn EtherChannel, theo dõi và giám sát các hướng áp
dụng cho tất cả các cổng vật lý trong nhóm.



Cổng nguồn có thể có ở trong cùng một hoặc nhiều VLANs khác nhau.



Với các VLAN Span nguồn, tất cả các cổng hoạt động trong các VLAN nguồn
được bao gồm như cổng nguồn.

2.1.4 Lọc VLAN
Khi bạn theo dõi đường trunk như là một cổng nguồn, tất cả các VLANs đang hoạt

động trên đường trunk được giám sát theo mặc định. Bạn có thể sử dụng lọc VLAN


24

để giới hạn lưu lượng SPAN giám sát trên đường trunk cổng nguồn để chỉ rõ các
VLANs.


25



VLAN lọc chỉ áp dụng cho các đường trunk hoặc cổng voice VLAN.


VLAN lọc chỉ áp dụng cho các cổng nguồn dựa trên phiên và không được cho
phép trong phiên với VLAN nguồn.



Khi một danh sách VLAN lọc được xác định, chỉ có những VLANs trong
danh sách được theo dõi và giám sát trên các cổng trunk hoặc trên cổng, truy
nhập voice VLAN .



Lưư lượng Span truy cập đến từ các kiểu cổng khác không bị ảnh hưởng bởi
VLAN lọc, điều đó có nghĩa là tất cả các VLANs đều được phép qua các cổng
khác.




VLAN lọc chỉ ảnh hưởng đến lưu lượng chuyển tiếp đến cổng đích Span và
không ảnh hưởng tới việc chuyển mạch của lưu lượng truy cập bình thường.



Bạn không thể làm việc với các VLAN nguồn và lọc cácVLAN trong một
phiên. Bạn có thể có các VLAN nguồn hoặc các VLAN lọc, nhưng không làm
cả hai cùng một lúc được

2.1.5 Các đặc điểm của nguồn VLAN
VSPAN là giám sát lưu lượng mạng ở một hoặc nhiều VLANs. Span hay RSPAN
nguồn giao diện trong VSPAN là một VLAN ID, và lưu lượng được theo dõi trên tất
cả các cổng thuộc về VLAN đó.
VSPAN có những đặc điểm:


Tất cả các cổng hoạt động trong VLAN nguồn được bao gồm như cổng nguồn
và có thể được theo dõi ở một hoặc cả hai hướng.



Trên một cổng, chỉ lưu lượng trên VLAN được theo dõi được gửi đến cổng
đích.



Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại trừ khỏi danh sách

nguồn và không được theo dõi và giám sát.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×