Tải bản đầy đủ (.docx) (66 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

CẤU TRÚC, TẬP LUẬT VÀ TRIỂN KHAI SNORT BẢO VỆ HỆ THỐNG MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.88 MB, 66 trang )

MỤC LỤ
LỜI NÓI ĐẦU.....................................................................................................1
Chương 1
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1. Tổng quan về các nguy cơ an ninh...........................................................2
1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống......................2
1.1.2. Vấn đề bảo mật hệ thống mạng...........................................................7
1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập...............11
1.2.1. Định nghĩa.........................................................................................11
1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS.................................12
1.2.3. Những ưu điểm và hạn chế của hệ thống...........................................12
1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập...........................13
Chương 2
CẤU TRÚC, CHỨC NĂNG VÀ TẬP LUẬT CỦA SNORT
2.1. Tổng quan về Snort.................................................................................21
2.2.1 Khái niệm...........................................................................................21
2.2.2 Các đặc tính........................................................................................21
2.2. Các thành phần của Snort......................................................................22
2.2.1 Bộ phận giải mã gói............................................................................23
2.2.2 Bộ phận tiền xử lý..............................................................................24
2.2.3 Bộ phận phát hiện...............................................................................25
2.2.4. Hệ thống ghi và cảnh báo..................................................................31
2.2.5. Bộ phận đầu ra...................................................................................31
2.3 Các chế độ làm việc của Snort.................................................................32
2.3.1 Chế độ “lắng nghe” mạng...................................................................32
2.3.2. Chế độ phát hiện xâm nhập mạng......................................................34
2.4. Làm việc với tập luật của Snort..............................................................34
2.4.1. Luật dở đầu tiên:................................................................................35
2.4.2. Cấu trúc chung của luật trong Snort..................................................35
Chương 3
TRIỂN KHAI SNORT BẢO VỆ HỆ THỐNG MẠNG


3.1. Tiêu chí triển khai...................................................................................43
3.2. Xây dựng snort bảo vệ hệ thống mạng...................................................43
3.2.1. Tham khảo một số mô hình thực tế...................................................43


3.2.2. Xây dựng mô hình.............................................................................47
3.3. Triển khai cơ sở hạ tầng.........................................................................48
3.3.1. Cấu hình............................................................................................48
3.3.2. Cài đặt snort trong hệ thống ubuntu...................................................48
3.3.3. Cấu hình với file Snort.conf..............................................................48
3.4. Phân tích snort bảo vệ hệ thống trước các cuộc tấn công.....................53
3.4.1. Mô hình tấn công...............................................................................53
3.4.2. Tấn công SQL injection.....................................................................53
KẾT LUẬN
1. Những vấn đề gặp phải khi sử dụng IDS..................................................56
2. IPS là giải pháp:........................................................................................56
3. Đánh giá và xu hướng phát triển của IDS................................................57
TÀI LIỆU THAM KHẢO................................................................................59


DANH MỤC CÁC KÝ HIỆU

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập.

IPS


Intrusion Prevention System
IPS

Hệ thống phòng chống xâm

HIDS

Host-based Instrusion
Detection System

Hệ thống phát hiện và phát hiện
và phòng chống xâm nhập trên
máy trạm.

NIDS

Network–based Instrusion
Detection System

Hệ thống phát hiện xâm nhập trên
mạng.

VPN

Virtual Private Network

Mạng riêng ảo

SSL


Secure Sockets Layer

SQL

Structure query language

Ngôn ngữ truy vấn có cấu trúc

DNS

Domain Name System

Hệ thống tên miền

CGI

Common Gateway Interface

Giao diện cổng thông thường

TCP

Transfer Control Protocol

Giao thức điều khiển truyền
thông.

CSS

Cross Site Scripting


URL

Uniform Resource location

Định vị tài nguyên web

HTTP

Hyper Text Transfer protocol

thức truyền siêu văn bản

Dos

Denial of service

Từ chối dịch vụ

DDos

Distributed Denial of service

Từ chối dịch vụ phân tán

IIS

Internet Infomation Server

Dịch vụ thông tin mạng


LAN

Local Area Network

Mạng máy tính cục bộ

nhập


DANH MỤC CÁC BẢNG
Bảng 1.1: So sánh HIDS và NIDS...............................................................................14
Bảng 2.1: Rule header..................................................................................................35
Bảng 3.1: Cơ sở hạ tầng...............................................................................................48


DANH MỤC CÁC HÌNH
Hình 1.1. Tấn công thăm dò...........................................................................................2
Hình 1.2. Tấn công DDoS..............................................................................................3
Hình 1.3. Số liệu tấn công ứng dụng web......................................................................5
Hình 1.4. Tấn công XSS................................................................................................5
Hình 1.5. Tấn công SQL Injection.................................................................................7
Hình 1.6. Tổng quan về một sơ đồ hình cây của tấn công DDoS.................................10
Hình 1.7. Hệ thống phát hiện xâm nhập dựa máy trạm................................................13
Hình 1.8. Hệ thống phát hiện xâm nhập trên mạng......................................................14
Hình 1.9. Mô hình IDPS mức vật lý............................................................................15
Hình 1.10. Hệ thống phát hiện xâm nhập IDS.............................................................16
Hình 1.11. Mô hình thu thập dữ liệu ngoài luồng........................................................16
Hình 1.12. Mô hình thu thập dữ liệu trong luồng.........................................................17
Hình 1.13. Các phương thức cảnh báo.........................................................................19

Hình 2.1. Sơ đồ khối của hệ thống cài đặt Snort..........................................................22
Hình 2.2. Sơ đồ khối của hệ thống cài đặt Snort..........................................................23
Hình 2.3. Mô hình xử lý gói tin Ethernet.....................................................................23
Hình 2.4. Bộ phận tiền xử lý........................................................................................25
Hình 2.5. Bộ phận phát hiện........................................................................................25
Hình 2.6. Logging và Alerting System của Snort.........................................................31
Hình 2.7. Tính năng sniffer..........................................................................................32
Hình 2.8. Sơ đồ luật hình cây của snort.......................................................................34
Hình 3.1. Hoạt động của hệ thống...............................................................................44
Hình 3.2. Hệ thống Snort trên solaris...........................................................................45
Hình 3.3. Mô hình dự kiến...........................................................................................47
Hình 3.4. Mô hình thực tế............................................................................................47
Hình 3.5. Mô hình tấn công.........................................................................................53
Hình 3.6. Giao diện trang web.....................................................................................54
Hình 3.8. Thông báo trên snort....................................................................................55


LỜI NÓI ĐẦU

Trong sự phát triển thông tin mạnh mẽ như hiện nay, đặt ra yêu cầu tất yếu
bắt buộc các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu Internet. Khi
thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với
Internet thì việc bảo vệ an toàn và bảo mật thông tin là một trong những vấn đề
quan trọng được đặt lên hàng đầu. Hàng giờ, hàng ngày có hàng trăm thậm chí
hàng nghìn dữ liệu bị đánh cắp, gây ra những hư hại, thiệt hại rất lớn. Nhiều dự
án, chương trình nghiên cứu về các biện pháp an toàn thông tin được triển khai
nhằm ngăn chặn, giảm bớt các cuộc tấn công, nhằm tạo ra một hệ thống bảo vệ
tối ưu nhất.
Đa số tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các
máy tính của các công ty lớn như: Microsoft, IBM, các trường đại học và các cơ

quan nhà nước, các tổ chức quân sự, nhà băng….một sô vụ án tấn công với quy
mô khổng lồ ( có tới 100.000 máy tính bị tấn công) đánh cắp dữ liệu. Hơn nữa
đây chỉ là những con số nhỏ mà ta có thể thống kê được . Một phần rất lớn các
vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo
mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết
những vụ tấn công nhằm vào hệ thống của họ.
Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn
công cũng liên tục được hoàn thiện, công nghệ cao, hiện đại, tinh vi . Đặt ra yêu
cầu việc quản trị hệ thống thông ti, dữ liệu ngày càng phải đề cao cảnh giác,
nâng cao trình độ, khả năng chuyên môn.
Xuất phát từ đáp ứng nhu cầu hòa nhập vào mạng toàn cầu, mạng Internet
song vẫn đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, chúng em
đã quyết định chọn đề tài: “ Nghiên cứu phương pháp ngăn chặn tấn công SQLI
bằng Snort”, nhằm giám sát luồng thông tin ra vào và bảo vệ các hệ thống mạng
thoát khỏi sự tấn công từ Internet. Nội dung đề tài này sẽ trình bày một cách
khái quát về hệ thống phát hiện và phòng chống xâm nhập ( IDS & IPS), cách
bảo vệ mạng bằng Snort, cách xây dựng Snort trên hệ thống mã nguồn mở sao
cho hệ thống vừa an toàn, vừa tiết kiệm một cách tối đa.
Qua phân tích các công trình và đề tài có thể thấy việc ngăn chặn các cuộc
tấn công, xâm nhập đã đạt được nhiều hiệu quả trong thực tiễn. Các đề tài đã
đưa ra các phương pháp chống sự tấn công nhằm bảo mật dữ liệu, bảo vệ thông
tin .


Chương 1.
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1. Tổng quan về các nguy cơ an ninh
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô
cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn
cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ

chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày
càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ
thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát
luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống
Có bốn kiểu tấn công đặc biệt là:
+ Thăm dò.
+ Truy cập.
+ Từ chối dịch vụ (DoS).
+ Ứng dụng web.
1.1.1.1. Kiểu tấn công thăm dò
Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc
dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được tiến hành
bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì
trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao
nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát
hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công.

Chương 1

Tấn công thăm dò.


1.1.1.2. Kiểu tấn công truy cập
Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người
xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích
thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống
[3]:

a. Tấn công truy cập hệ thống
Truy cập hệ thống là hành động nhằm đạt được quyền truy cập bất hợp pháp
đến một hệ thống mà ở đó hacker không có tài khoản sử dụng. Hacker thường tìm
kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những
công cụ hack (hacking tool), hay là khai thác một yếu điểm của ứng dụng hoặc một
dịch vụ đang chạy trên máy chủ.
b. Tấn công truy cập thao túng dữ liệu
Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay
đổi dữ liệu. Nó có thể đơn giản như việc tìm phần mềm chia sẻ (share) trên máy
tính Window 9x hay NT, hay khó hơn như việc cố gắng xâm nhập một hệ thống tín
dụng của cục thông tin (credit bureau’s information).
c. Tấn công truy cập nâng cao đặc quyền
Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc
quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản
người sử dụng ban đầu không được cho phép truy cập. Khi hacker đạt được mức độ
quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan
horses, cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker
là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ
có toàn quyền điều khiển hệ thống mạng.
1.1.1.3. Kiểu tấn công từ chối dịch vụ
Kiểu tấn công DoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng , hay
gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những hệ thống
này của người dùng. Dạng phạm tội điện tử này là dạng tấn công tồi tệ nhất mà các
công ty thương mại điện tử phải đối mặt bởi vì mục đích duy nhất của hacker là
ngăn chặn người dùng sử dụng các dịch vụ điện tử của các công ty. Ý định của dạng
tấn công này chỉ đơn giản nhằm gây tổn hại và chống lại một công ty trong việc
buôn bán.

Chương 2


Tấn công DDoS.


Một hacker với một PC ở nhà phải mất một lượng lớn thời gian tạo ra đủ lưu
lượng mạng để làm quá tải một nhóm máy chủ Internet . Để tấn công DoS hiệu quả,
hacker sử dụng nhiều hệ thống máy tính khác nhau nhằm lấn át máy chủ (đích. Sử
dụng nhiều hệ thống máy tính để tấn công máy chủ hay mạng được gọi là tấn công
từ chối dịch vụ phân phối (DdoS). Dạng tấn công này đã từng thành công khi tấn
công web site của Yahoo!, ebay và CNN.com. Một hacker liên quan sau đó bị bắt và
bị truy tố.
Tấn công DDoS gồm các giai đoạn sau:
a. Giai đoạn đầu tiên – Mục tiêu:
Là giai đoạn định nghĩa đối tượng. Điều đầu tiên cần làm rõ trong mọi hoạt
động cũng như việc hacking là xác định được mục tiêu. Kết quả của việc xác lập
mục tiêu của kiểu tấn công dẫn đến việc hình thành, chọn lựa những những công cụ
và phương pháp phù hợp. Mục tiêu đơn giản là toàn bộ mục đích của người xâm
nhập. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DoS phù hợp với nhu
cầu đó. Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu
mới là mục tiêu . Khi kẻ xâm nhập tiến hành những bước của một kiểu tấn công, thì
mục tiêu có thể và thường thay đổi Một yếu tố quan trọng khác nữa trong việc xác
định mục tiêu là động cơ đằng sau sự xâm nhập. Hầu hết những script kiddies
(hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi đó những
hacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ, trả thù, kiếm
tiền bất hợp pháp.
b. Giai đoạn hai thăm dò:
Giai đoạn thăm dò, như chính tựa đề của nó, là giai đoạn mà hacker sử dụng
nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đối tượng. Thông thường
những hacker có kinh nghiệm thường thu thập những thông tin về công ty đối
tượng, như là vị trí của công ty, số điện thoại, tên của những nhân viên, địa chỉ email, tất cả đều hữu dụng với người xâm nhập có kinh nghiệm.
c. Giai đoạn thứ ba giai đoạn tấn công:

Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm
nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách
sử dụng các thông tin đã thu thập được, một vài hacker có thể thực hiện việc tấn
công nhiều lần cho đến khi phát hiện được lỗi bảo mật để có thể khai thác.
1.1.1.4. Kiểu tấn công qua ứng dụng web
Theo số liệu thống kê từ các công ty bảo mật hàng đầu hiện nay, thời gian gần
đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%
các cuộc tấn công được thực hiện là ở lớp ứng dụng web.. Trong đó hai kĩ thuật tấn
công được các hacker sử dụng phổ biến là cross-site scripting và sql injection và
hình sau đây:


Chương 3

Số liệu tấn công ứng dụng web.

a. Kiểu tấn công cross-site scripting (hay còn gọi là xss):
XSS là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó
cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web
và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng
đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có
thể tiềm ẩn các lỗi XSS.
Tin tặc tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP
…) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho
những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào
hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và
cũng có thể là cả các thẻ HTML, hacker sẽ lợi dụng sự tin cậy giữa người dùng và
server cùng với việc không kiểm tra kĩ lưỡng dữ liệu vào ra.
Ví dụ: Sử dụng XSS chèn mã java script trực tiếp trên URL
was

found !’);</script>

Khi wesite bị lỗi XSS trình duyệt sẽ hiện lên một thông
báo “XSS was found !”.
Nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn
của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với
website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó

Chương 4

Tấn công XSS.


b. SQL Injection:
Tấn công SQL Injection được thực thi bằng cách chèn các câu truy vấn SQL
vào dữ liệu tương tác giữa máy khách và trình ứng dụng. Quá trình khai thác lỗi
SQL Injection thành công có thể giúp tin tặc lấy được các dữ liệu nhạy cảm trong cở
sở dữ liệu, thay đổi cơ sở dữ liệu (Insert/Update/Delete), thực thi các hành động với
quyền của người quản trị và cao hơn có thể điều khiển được hệ điều hành máy chủ
Ví dụ: Xét đoạn mã truy vấn SQL sau:
Select * From Users Where Username=’$username’ and
Password=’$password’

Đây là một câu truy vấn thường hay được dùng trong các trình ứng dụng nhằm
xác thực người dùng. Nếu câu truy vấn trả về một giá trị nói rằng thông tin về người
dùng đang đăng nhập là đúng và được lưu trong cơ sở dữ liệu, thì người dùng được
phép đăng nhập vào hệ thống, ngược lại thì không đăng nhập được. Người dùng
nhập thông tin đó vào các trường gọi là web form.
Thay vì nhập đúng tên đăng nhập và mật khẩu, thử nhập vào các ký tự đặc biệt
như:

$username = 1′ or ‘1’ = ‘1
$password = 1′ or ‘1’ = ‘1

Khi đó câu truy vấn sẽ là:
SELECT * FROM Users WHERE Username=’1′ OR ‘1’ = ‘1’ AND
Password=’1′ OR ‘1’ = ‘1’

Giả sử rằng giá trị của các tham số được gửi tới máy chủ bằng phương thức
GET, thì có một câu lệnh khai thác lỗi như sau:
/>%20’1&password=1’%20or%20’1’%20=%20’1.


Chương 5

Tấn công SQL Injection.

1.1.2. Vấn đề bảo mật hệ thống mạng
1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
hân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp
lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người
sử dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên
mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt
động ổn định không bị tấn công bởi những kẻ phá hoại.
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một
hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi
những kẻ có ý đồ xấu.
Trong nội dung đề tài của em là “Tìm hiểu và triển khai hệ thống phát hiện và
phòng chống xâm nhập”. Trong nội dung về lý thuyết của đề tài em xin trình bày về

một số khái niệm sau:
1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính
a. Đối tượng tấn công mạng (intruder):
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và
các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và
các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt
tài nguyên trái phép. Một số đối tượng tấn công mạng như:


Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ
thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ
IP, tên miền, định danh người dùng…
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các
thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như
ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc
có thể đó là những hành động vô ý thức…
b. Các lỗ hổng bảo mật:
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
c. Chính sách bảo mật:
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia
quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường
hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng
biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời
còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá

trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng.
1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng
a. Các loại lỗ hổng:
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo
bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial
of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng
dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt
được quyền truy cập bất hợp pháp. Hiện nay chưa có một biện pháp hữu hiệu nào để
khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng Internet (IP) nói
riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tang của
các lỗ hổng loại này.
Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ
hổng này thường có trong các ứng dụng trên hệ thống . Có mức độ nguy hiểm trung
bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người
sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.
Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử
dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền
hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết
bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một
vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người


lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không
gian bộ nhớ cho từng khối dữ liệu. Để hạn chế được các lỗ hổng loại B phải kiêm
soát chặt chẽ cấu hình hệ thống và các chương trình [3].
Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp
vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất
nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường

xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình
mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này [3]. Một
loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như:
FTP, Gopher, Telnet, Sendmail, ARP, finger...
b. Các hình thức tấn công mạng phổ biến:
* Tấn công chủ động:
Bao gồm các phương pháp tấn công từ chối dịch vụ (DoS), tấn công từ chối
dịch vụ phân tán (DDoS), Tấn công tràn bộ đệm, tấn công qua ký tự điều khiển
đồng bộ SYN, giả mạo, người trung gian (MITM), giả mạo giao thức điều khiển
truyền tin qua Internet, tự động kết nối đường truyền. Hình thức này có nghĩa là lục
lại thông tin từ các vùng rác và đệm thông tin, để có được những thông tin quan
trọng và tấn công nhờ các công cụ của các mạng xã hội.Tấn công bị động: Bao gồm
quét, bắt trộm và nghe trộm các gói tin.Tấn công mật khẩu: Bao gồm việc dự đoán,
so sánh và tra mật khẩu thông qua một bộ từ điển mật khẩu.Tấn công mã nguồn và
mã mật: Bao gồm các phương pháp cửa sau (BackDoor), Vi rút, Trojans, Worms,
các khóa mật mã yếu và thuật toán. Tấn công chủ động
Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công
từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo
IP. Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự thiếu trong
tích hợp cấu trúc bảo mậtcủa giao thức Internet phiên bản 4 (IPv4. IPv6 6 đã khắc
phục được rất nhiều lỗ hổng về bảo mật, như đã chứng thực được nguồn gốc của gói
tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy
thì nó vẫn chưa thể giải quyết được vấn đề hiện nay do IPv6 chưa được sử dụng
rộng rãi.
Lợi dụng điều này, cách tốt nhất mà một hacker muốn gây tổn hại cho hệ
thống thương mại điện tử chính là truy cập vào một đích từ nhiều nguồn khác nhau.
Các cuộc tấn công DoS thường gồm 2 loại :Tấn công theo kiểu Tiêu thụ tài nguyên

(như tạo lũ ký tự điều khiển SYN)Tấn công theo kiểu Gói tin không hợp lệ.
Các cấu trúc lệnh hỗ trợ một cuộc tấn công DDoS khá phức tạp và khó có thể
đưa ra một thuật ngữ để mô tả chính xác. Dưới đây là những cái tên quy ước cho dễ
hiểu hơn của cấu trúc và các thành phần tham gia trong cuộc tấn công DDoS:


Chương 6

Tổng quan về một sơ đồ hình cây của tấn công DDoS.

Client: Phần mềm khách được Hacker sử dụng để bắt đầu cuộc tấn công. Phần
mềm khách sẽ gửi các chuỗi lệnh đến các máy chủ dưới quyền.
Daemon: Các chương trình đang chạy trên một Zombie sẽ nhận chuỗi lệnh đến
từ Client và thực thi các lệnh đó. Daemon sẽ chịu trách nhiệm thực thi chi tiết cuộc
tấn công từ các dòng lệnh.
Các máy chủ tham gia vào cuộc tấn công DDoS bao gồm:
Master: Một máy tính chạy các phần mềm khách.Zombie: Một máy tính cấp
dưới chạy quá trình Daemon.Target: Mục tiêu của cuộc tấn công. Khi kẻ tấn công
đã chuẩn bị được đầy đủ những gì cần thiết số Zombie, cũng như đã xác định được
nạn nhân của mình, kẻ tấn công có thể liên hệ với các master (hoặc thông qua các
phương pháp riêng hoặc với một chương trình đặc biệt giành riêng cho DDoS) và
chỉ thị chúng để khởi động cuộc tấn công. Các Zombie sẽ bắt đầu tấn công sau khi
nhận lệnh từ master. Chỉ mất vài giây để khởi động và phân tán rộng cuộc tấn công .
với tốc độ như vậy, thì hacker có thể ngưng cuộc tấn công.Việc sử dụng và phát
triển các phương pháp ttân công DoS và DDoS đã tạo được sự quan tâm của chính
phủ, các doanh nghiệp, và các chuyên gia bảo mật, do nó đưa ra một phương thức
tấn công mới cực kỳ hiệu quả , trong khi rất khó trong việc tìm kiếm thông tin kẻ
tấn công thực sự.
1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp.
Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn

đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông
tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng. Việc
kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát
những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự
phát triển mạnh mẽ của Internet và sự kết nối mạng nội bộ với Internet thì vấn đề
đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết. Hiện nay để bảo


mật cho mạng LAN có nhiều phương pháp trong đó có một số phương pháp phổ
biến và đáng tin cậy đó là:
Mạng riêng ảo (Virtual Private Network- VPN): Là sự mở rộng mạng riêng
của các công ty, tổ chức thông qua sử dụng các kết nối mạng công cộng hoặc mạng
chia sẻ như Internet. VPN cung cấp cho khách hàng đầy đủ các tính năng mà một
kênh thuê riêng có được nhưng với giá thành rẻ hơn do sử dụng hạ tầng cơ sở mạng
công cộng. VPN sử dụng giao thức để tạo đường hầm truyền tin riêng và các biện
pháp an ninh để bảo vệ dữ liệu trên đường truyền như mã hoá, xác thực…
IDS & IPS: Thuật ngữ IDS & IPS ( phát hiện và ngăn chặn) thiết kế trong xây
dựng để phát hiện và ngăn chặn xâm nhập máy tính trái phép. Cũng có thể hiểu rằng
IDS & IPS là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các
mạng không tin tưởng (Untrusted network).
Qua quá trình tìm hiểu em thấy rằng IDS & IPS là phương pháp hữu hiệu và
phổ biến nhất hiện nay do nó có nhiều ưu điểm, cung cấp những tính năng bảo mật
tốt cho vấn đề bảo vệ an ninh mạng hiện nay. Trong khuôn khổ bài báo cáo này em
xin trình bày về phương pháp bảo mật mạng LAN bằng IDS & IPS.
1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập
1.2.1. Định nghĩa
1.2.1.1. Hệ thống phát hiện xâm nhập (Intrusion Detection System-IDS)
Kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin
thu thập được từ những nguồn này, thông báo cho những người có trách nhiệm khi
nó xác định được khả năng có sự xâm nhập. Nếu tường lửa đóng vai trò như nhân

viên bảo vệ cơ quan, kiểm tra mọi người đến và đi thì hệ thống kiểm tra xâm nhập
giống như có một mạng lưới cảm biến để thông báo cho bạn biết khi có ai đó xâm
nhập, họ đang ở đâu và làm gì? Tường lửa "án ngữ" ở ngõ vào của mạng và chỉ làm
việc với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã
vượt qua được tường lửa, người đó có thể tung hoành tuỳ trên mạng. Ðó là lý do tại
sao hệ thống phát hiện xâm nhập có vai trò quan trọng [3].
Hệ thống phát hiện xâm nhập IDS là hệ thống phần mềm hay phần cứng tự
động thực hiện quy trình giám sát các sự kiện diễn ra trong hệ thống máy tính hay
mạng máy tính, phân tích để phát hiện ra những vấn đề an ninh cho hệ thống.
1.2.1.2. Hệ thống phòng chống xâm nhập (Intrusion Prevention System- IPS)
Là một tiến trình giám sát các sự kiện xẩy ra trong một hệ thống hoặc mạng
máy tính và phân tích chúng để có thể tìm ra các dấu hiệu của sự việc bất thường,
đó là những sự vi phạm hay những đe dọa sắp xẩy ra vi phạm tới chính sách an ninh
máy tính, chính sách truy cập, hay hoạt động trái chính sách chuẩn.
Những sự việc bất thường đó do nhiều nguyên nhân như là: Malware (worms,
spyware...), kẻ tấn công đạt được sự truy cập trái phép vào hệ thống thông qua
Internet, và những người dùng hợp pháp lạm dụng quyền hay cố gắng thêm vào các
quyền mà họ không được phép. Mặc dù nhiều sự kiện là do bản chất, một số khác là
không phải; ví dụ: một người trong khi đánh sai địa chỉ của một máy tính và tình cờ
thử kết nối đến một hệ thống không được phép.
Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các
ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng


phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công công nhằm vào
điểm yếu của hệ thống
1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS
1.2.2.1. Phát hiện các nguy cơ tấn công và truy nhập an ninh trái phép
Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDPS, nó có nhiệm
vụ xác định những tấn công và truy nhập an ninh trái phép vào hệ thống mạng bên

trong. Hệ thống IDPS có khả năng hỗ trợ phát hiện các nguy cơ an ninh đe dọa
mạng mà các hệ thống khác(như bức tường lửa) không có khả năng phát hiện, kết
hợp với hệ thống ngăn chặn xâm nhập IDPS giúp cho hệ thống chặn đứng, hạn chế
các cuộc tấn công, xâm nhập từ bên ngoài.
1.2.2.2. Tăng khả năng hiểu biết về những gì đang hoạt động trên mạng
IDPS cung cấp khả năng giám sát xâm nhập và khả năng mô tả an ninh để
cung cấp kiến thức tổng hợp về những gì đang chạy trên mạng từ góc độ ứng dụng
cũng như góc độ mạng cùng với khả năng liên kết với phân tích, điều tra an ninh
nhằm đưa ra các thông tin về hệ thống nhờ đó giúp người quản trị nắm bắt và hiểu
rõ những gì đang diễn ra trên mạng.
1.2.2.3. Khả năng cảnh báo và hỗ trợ ngăn chặn tấn công
IDPS có thể hoạt động trong các chế độ làm việc của một thiết bị giám sát thụ
động (sniffer mode) hỗ trợ cho các thiết bị giám sát chủ động hay như là một thiết
bị ngăn chặn chủ động (khả năng loại bỏ lưu lượng khả nghi. IDPS sẽ hỗ trợ cho
các hệ thống an ninh đưa ra các quyết định về lưu lượng dựa trên địa chỉ IP hoặc
cổng của nguồn thông tin cũng như là đặc tính của tấn công ví dụ như mẫu tấn công
hoặc bất thường về giao thức hoặc lưu lượng tương tác đến từ những máy chủ
không hợp lệ. IDS còn có thể cảnh báo và ghi chép các biến cố cũng như thực hiện
bắt giữ gói lưu lượng khi phát hiện tấn công để cung cấp cho nhà quản trị mạng các
thông tin để phân tích và điều tra các biến cố. Ngay sau khi các phép phân tích và
điều tra được thực hiện, một quy tắc loại bỏ lưu lượng sẽ được đưa ra dựa trên kết
quả phân tích, điều tra đó. Chính tổ hợp của những thuộc tính và khả năng này cung
cấp cho nhà quản trị mạng khả năng tích hợp IDPS vào mạng và tăng cường an ninh
đến một mức độ mà trước đây không thể đạt đến bằng các biện pháp đơn lẻ như bức
tường lửa.
1.2.3. Những ưu điểm và hạn chế của hệ thống
1.2.3.1. Ưu điểm
Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nhập từ bên
trong cũng như bên ngoài hệ thống.
Những thông tin hệ thống IDPS cung cấp sẽ giúp chúng ta xác định phương

thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc đề ra các phương án
phòng chống các kiểu tấn công tương tự xảy ra trong tương lai
1.2.3.2. Hạn chế
Bên cạnh những ưu điểm, hệ thống phát hiện xâm nhập IDS vẫn còn tồn tại
những mặt hạn chế: Hệ thống IDPS là một hệ thống giám sát thụ động, cơ chế ngăn
chặn các cuộc tấn công, xâm nhập trái phép rất hạn chế như gửi tin báo cho tường
lửa để chặn các gói lưu lượng kế tiếp xuất phát từ địa chỉ IP của nguồn tấn công. Do
vậy, hệ thống IDPS thường đi kèm với hệ thống bức tường lửa. Phần lớn, hệ thống


IDPS sẽ đưa ra các cảnh báo khi các cuộc tấn công, xâm nhập đã ảnh hưởng tới hệ
thống do đó sẽ không hiệu quả trong việc ngăn chặn các cuộc tấn công.
1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập
1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS
Hệ thống phát hiện xâm nhập có thể được chia làm hai loại chính sau đây:Hệ
thống phát hiện xâm nhập trên máy trạm, hệ thống phát hiện xâm nhập trên mạng.
a. Hệ thống phát hiện và phát hiện và phòng chống xâm nhập trên máy trạm(Hostbased Instrusion Detection System-HIDS):

Chương 7

Hệ thống phát hiện xâm nhập dựa máy trạm.

Hệ thống HIDS thực hiện thu thập các thông tin từ một hệ thống máy tính
riêng biệt, từ đó thực hiện phân tích các hoạt động diễn ra trên máy trạm.
Ưu điểm của HIDS là có khả năng giám sát các tiến trình của hệ điều hành
chạy trên máy trạm và bảo vệ các nguồn tài nguyên quan trọng của hệ thống như
một số tệp dữ liệu cực kỳ quan trọng chỉ lưu trên một số máy trạm.
b. Hệ thống phát hiện xâm nhập trên mạng (Network–based Instrusion Detection
System–NIDS):
NIDS sử dụng, triển khai các thiết bị theo dõi được gọi là bộ cảm ứng (Sensor)

để giám sát các lưu lượng và hoạt động trong một khu vực mạng. Các bộ cảm ứng
này sẽ kiểm tra các gói tin và nội dung bên trong nó để xác định sự tấn công


Chương 8

Hệ thống phát hiện xâm nhập trên mạng.

c. So sánh giữa hệ thống HIDS và NIDS:
Bảng 1.1: So sánh HIDS và NIDS.
NIDS

HIDS

Áp dụng trong phạm vi rộng (theo dõi
toàn bộ hoạt động của mạng)

Áp dụng trong phạm vi một máy trạm

Phát hiện tốt những tấn công, xâm
nhập từ bên ngoài

Phát hiện tốt những tấn công, xâm
nhập từ bên trong.

Phát hiện dựa trên các dữ liệu, thông
tin thu thập trong toàn bộ mạng

Phát hiện dựa trên thông tin, dữ liệu
trên máy trạm


Độc lập với hệ điều hành

Phụ thuộc vào hệ điều hành trên máy
trạm

Tiết kiệm kinh phí khi triển khai

Yêu cầu chi phí cao

Dễ dàng cài đặt, triển khai

Phức tạp khi cài đặt, triển khai

1.2.4.2. Mô hình, cấu trúc và hoạt động của hệ thống.
Một hệ thống phát hiện xâm nhập IDPS được xem là thành công nếu chúng
hội tụ được các yếu tố: thực hiện nhanh, chính xác, phân tích được toàn bộ lưu
lượng và đưa ra các cảnh báo chuẩn xác về các cuộc tấn công và xâm nhập vào bên
trong hệ thống.


a. Mô hình hệ thống phát hiện xâm nhập IDPS mức vật lý:

Chương 9

Mô hình IDPS mức vật lý.

Hệ thống phát hiện xâm nhập mức vật lý bao gồm ba thành phần chính sau
đây:
- Bộ cảm ứng (Sensor): các sensor và agent sẽ theo dõi và hoạt động ghi lại.

Thuật ngữ sensor là tiêu biểu cho IDPS trong việc theo dõi mạng, bao gồm
network-base, wireless, và công nghệ NBA. Thuật ngữ agent sử dụng cho công
nghệ IDPS host-base.
- Máy chủ lưu trữ dữ liệu trung tâm (Centralize database server): là thiết bị
trung tâm thu nhận thông tin từ Sensor hoặc Agent và quản lý chúng. Một số
Management Server thực hiện phân tích thông tin do Sensor hoặc Agent cung cấp
và có thể xác định các sự kiện mà Sensor và Agent không phát hiện được. Làm cho
phù hợp các thông tin về sự kiện từ nhiều Sensor hoặc Agent, như là tìm ra sự nhiều
kiện gây ra bởi cùng một địa chỉ IP, biết đến như là sự tương quan. Management
servers có thể hoạt động cho cả thiết bị chuyên dụng cũng như các phần mềm. Một
số IDPS nhỏ không triển khai Management servers nhưng hầu hết các hệ thống
IDPS đều có. Trong các IDPS lớn thường triển khai nhiều Management servers,
trong một số trường hợp còn có 2 lớp Management servers.
- Giao diện người dùng (User Interface): là một chương trình cung cấp giao
diện cho người dùng hoặc người quản trị IDPS. Phần mềm console tiêu biểu được
cài đặt trên Desktop hoặc Laptop. Một số console chỉ dành riêng cho người quản trị,
như là cấu hình sensor hoặc agent, ứng dụng update các phần mềm, trong khi các
console khác hoàn toàn dành cho giám sát và phân tích. Một số console cung cấp cả
khả năng quản trị và giám sát.
Mô hình trên còn gọi là mô hình 3 lớp, mô hình này cung cấp cho nhà quản trị
mạng sự linh hoạt để truy cập vào hệ thống từ bất cứ đâu để thực hiện quản lý từ xa.
Máy chủ quản lý tập trung lưu giữ tất cả các bản ghi và thông tin trong một cơ sở dữ
liệu thuận tiện cho việc truy cập, quản lý. Các bản ghi, dữ liệu được thu thập từ
những bộ cảm biến độc lập được tập hợp lại nhằm phân tích, đánh giá để phát hiện
các nguy cơ đe dọa hệ thống từ bên ngoài.


b. Cấu trúc và hoạt động bên trong hệ thống phát hiện xâm nhập IDS:

Chương 10


Hệ thống phát hiện xâm nhập IDS.

Hệ thống phát hiện xâm nhập bao gồm 3 modul chính:
- Modul thu thập thông tin, dữ liệu: Modul này có nhiệm vụ thu thập các
gói tin trên mạng để đem phân tích. Một vấn đề đặt ra trong thực tế là chúng ta
cần triển khai hệ thống phát hiện xâm nhập IDS ở vị trí nào trong mô hình mạng
của chúng ta. Thông thường chúng ta sẽ đặt IDS ở những nơi mà chúng ta cần
giám sát. Có hai mô hình chính để thu thập dữ liệu đó là: mô hình ngoài luồng và
mô hình trong luồng. Phần tiếp theo dưới đây, chúng ta sẽ tìm hiểu chi tiết hai mô
hình triển khai hệ thống IDS trong hệ thống mạng.
- Mô hình thu thập dữ liệu ngoài luồng. Trong mô hình ngoài luồng không
can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào ra hệ thống mạng sẽ
được sao thành một bản và được chuyển tới modul thu thập dữ liệu . Với vị trí
này, hệ thống phát hiện xâm nhập IDS không làm ảnh hưởng tới tốc độ lưu thông
của mạng.

Chương 11

Mô hình thu thập dữ liệu ngoài luồng.


Mô hình thu thập dữ liệu trong luồng: Trong mô hình này, hệ thống phát hiện
xâm nhập IDS được đặt trực tiếp vào luồng dữ liệu vào ra trong hệ thống mạng,
luồng dữ liệu phải đi qua hệ thống phát hiện xâm nhập IDS trước khi đi vào trong
mạng.

Chương 12

Mô hình thu thập dữ liệu trong luồng.


Ưu điểm của mô hình này, hệ thống phát hiện xâm nhập IDS nằm trên luồng
dữ liệu, nó trực tiếp kiểm soát luồng dữ liệu, đáp ứng được thời gian thực (realtime.
Tuy nhiên nó có nhược điểm là ảnh hưởng đáng kể đến tốc độ lưu thông của mạng.
Modul phân tích, phát hiện tấn công: Đây là modul quan trọng nhất trong hệ
thống có nhiệm vụ phát hiện các cuộc tấn công. Hệ thống phát hiện xâm nhập thực
hiện quá trình phân tích dữ liệu trong modul này được chia thành các giai đoạn:
+ Tiền xử lý – Preprocessing.
+ Phân tích – Analysis.
+ Cảnh báo – Alter manager.
Tiền xử lý – Preprocessing: Tiền xử lý là một chức năng quan trọng, một khi
dữ liệu được thu thập từ modul thu thập thông tin, dữ liệu. Trong bước này, dữ liệu
được sắp xếp theo từng phân loại, phân lớp. Giai đoạn này sẽ xác định định dạng
của của dữ liệu đưa vào. Khi dữ liệu được định dạng, chúng sẽ được chia nhỏ theo
từng phân loại. Ngoài ra, nó có thể tái định dạng gói tin (defragment), sắp xếp theo
chuỗi.
Phân tích – Analysis: Ngay sau khi quá trình tiền xử lý kết thúc, quá trình
phân tích sẽ bắt đầu diễn ra. Hiện nay, hệ thống phát hiện xâm nhập IDS dựa trên
hai phương pháp chính để phát hiện các cuộc tấn công, xâm nhập đó là:Phát hiện
dựa trên luật và phát hiện dựa trên bất thường.
Phát hiện dựa trên luật (Rule – Based Detection): Phát hiện dựa trên luật hay
còn gọi là phát hiện trên chữ ký, xét phù hợp mẫu hay phát hiện vi phạm, là phương
pháp đầu tiên sớm được sử dụng trong các hệ thống phát hiện xâm nhập. Phát hiện
dựa trên luật sử dụng so sánh mẫu để phát hiện các mẫu tấn công đã biết.
Ví dụ: để xác định xem có phải ai đó đang cố gắng đăng nhập vào một máy
chủ dưới danh nghĩa của một người sử dụng gốc (Root User), một hệ thống phát
hiện xâm nhập dựa trên luật sẽ phát cảnh báo bất cứ khi nào từ khóa “root” xuất
hiện trong luồng lưu lượng. Tuy nhiên nó có thể là một cảnh báo nhầm, để hạn chế
sự nhầm lẫn hệ thống sẽ chỉ tìm kiếm chuỗi ký tự “root” trong chuỗi ký tự đăng
nhập, và đó là một phương pháp phát hiện tấn công có độ chính xác cao. Một ví dụ

khác, chúng ta xem xét một kiểu tấn công Sendmail Wiz, đó là một dạng tấn công
cố gắng chiếm quyền truy nhập gốc đến máy chủ SMTP. Để thực hiện tấn công, kẻ


tấn công thiết lập một kết nối SMTP và gửi mẫu “wiz” trong kết nối điều khiển.
Một hệ thống phát hiện tấn công cần phải nhận dạng mẫu “wiz” để đưa ra cảnh báo.
Kiểu phát hiện này có ưu điểm là phát hiện các cuộc tấn công nhanh, chính
xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của hệ thống
mạng và giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn
công, xâm nhập không có trong mẫu, các kiểu tấn công va xâm nhập mới do vậy hệ
thống luôn luôn phải cập nhật các mẫu mới.
Phát hiện dựa trên bất thường (Anomaly Detection): Đây là kỹ thuật phát hiện
thông minh, kỹ thuật này giúp nhận dạng các hoạt động không bình thường của
mạng. Ban đầu, chúng lưu giữ các mô tả sơ lược các hoạt động bình thường của hệ
thống mạng. Các cuộc tấn công, xâm nhập sẽ gây ra các hoạt động bất thường và kỹ
thuật này sẽ nhận ra các bất thường đó. Một số kỹ thuật giúp thực hiện xác định sự
bất bình thường của hệ thống:
Phát hiện mức ngưỡng – (Threshold detection): Kỹ thuật này nhấn mạnh vào
việc đo đếm các hoạt động bình thường trên mạng. Các mức ngưỡng về các hoạt
động bình thường được thiết lập, khi có sự bất thường xảy ra như: đăng nhập vượt
quá số lần quy định, số lượng các tiến trình hoạt động trên máy chủ, số lượng một
loại gói tin vượt quá mức cho phép …. thì hệ thống có dấu hiệu bị tấn công hay bị
xâm nhập.
Phát hiện nhờ quá trình tự học – (Self Learning Detection): Kỹ thuật này bao
gồm hai bước, khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ hoạt động ở chế
độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình
thường. Sau thời gian khởi tạo, hệ thống sẽ hoạt động ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ
đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật

hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại
cho tới khi cuộc tấn công kết thúc.
Phát hiện sự bất bình thường của các giao thức-(Anomaly Protocol Detection):
Kỹ thuật này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để
phát hiện ra các gói tin không hợp lệ, tìm ra các giao thức mạng vi phạm hay không
đúng so với các giao thức chuẩn trong RFC, các hoạt động bất thường vốn là dấu
hiệu của sự xâm nhập hay tấn công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn
các hình thức quét mạng, quét cổng để thu thập thông tin của tin tặc. Phương pháp
phát hiện dựa trên bất thường của hệ thống rất hữu hiệu trong việc phát hiện các
cuộc tấn công kiểu từ chối dịch vụ (Denial of Service – DoS. Ưu điểm của phương
pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu
ích bổ sung cho phương pháp phát hiện dựa trên luật. Tuy nhiên, phương pháp phát
hiện dựa trên bất thường có nhược điểm thường tạo ra một số lượng cảnh báo sai
làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên
cứu nhiều hơn trong tương lai nhằm khắc phục các nhược điểm mắc phải, giảm số
lần cảnh báo sai để hệ thống chạy chuẩn xác hơn.
Cảnh báo – (Manager Alter): Quá trình này thực hiện sinh ra các cảnh báo tùy
theo đặc điểm và loại tấn công, xâm nhập mà hệ thống phát hiện được.


Chương 13

Các phương thức cảnh báo.

Modul phản ứng: Đây là một điểm khác biệt giữa hệ thống phát hiện xâm
nhập IDS và một hệ thống ngăn chặn xâm nhập IPS. Đối với hệ thống IDS, chúng
thường chỉ có khả năng ngăn chặn rất hạn chế bởi vì chúng dựa trên cơ chế phản
ứng thụ động (passive response. Cơ chế phản ứng thụ động không thể ngăn chặn
được tổn thất vì nó chỉ được đưa ra sau khi mà tấn công đã ảnh hưởng tới hệ thống.
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi

tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó
modul phản ứng gửi tín hiệu kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn
cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các
cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ
thống phòng thủ bị động. Modul phản ứng này tùy theo hệ thống mà có các chức
nǎng và phương pháp ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:
Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IDS gửi các gói tin
nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược
điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn
công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này
không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin
can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến
trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được
phương pháp này.
Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn
đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu
phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin
hợp lệ.
Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị
cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời
thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh
báo tới người quản trị.


Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị
để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống
các tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin
và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động.


Chương 14

Một số phương pháp ngăn chặn tấn công.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×