Tải bản đầy đủ (.docx) (42 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Báo Cáo Tìm hiểu về IDS, Firewall và Honeypot

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.08 MB, 42 trang )

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Báo Cáo
Tìm hiểu về IDS, Firewall và
Honeypot
MÔN: Tấn Công Mạng

Lớp: NT205.G21

Giảng viên hướng dẫn: Th.S Nguyễn Duy
Sinh viên thực hiện

:
Hoàng Thị Vấn

12520935

Nguyễn Ngọc Đăng Thy

12520921

Nguyễn Huỳnh Trường Duân

12520566

Nguyễn Thanh Tâm

12520909

Đặng Thái Hòa



12520596


MỤC LỤC
MỤC LỤC....................................................................................................................1
DANH MỤC HÌNH ẢNH............................................................................................4
LỜI NÓI ĐẦU.............................................................................................................. 5
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS..................................................6
1.1. KHÁI NIỆM IDS....................................................................................................6
1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS..............................................6
1.2.1. Thành phần thu thập thông tin gói tin..................................................................6
1.2.2. Thành phần phát hiện gói tin................................................................................6
1.2.3. Thành phần xử lý.................................................................................................6
1.3. PHÂN LOẠI IDS....................................................................................................7
1.3.1. Network Based IDS.............................................................................................7
1.3.1.1. Lợi thế của Network Based IDS........................................................................7
1.3.1.2. Hạn chế của Network Based IDS......................................................................8
1.3.2. Host Based IDS....................................................................................................8
1.3.2.1. Lợi thế của Host Based IDS..............................................................................8
1.3.2.2. Hạn chế của Host Based IDS............................................................................9
CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL.................................13
2.1. KHÁI NIỆM VỀ FIREWALL..............................................................................13
2.1.1. Khái niệm..........................................................................................................13
2.1.2. Các lựa chọn Firewall........................................................................................13
2.1.2.1. Firewall phần cứng.........................................................................................13
2.1.2.2. Firewall phần mềm.........................................................................................14
2.2. CHỨC NĂNG FIREWALL..................................................................................14
2.3. Các loại Firewall và cơ chế hoạt động:.................................................................14
2.3.1.1. Ưu điểm..........................................................................................................15

2.3.1.2. Hạn chế..........................................................................................................15
2.3.2. Application-proxy firewall.................................................................................15
2.3.2.1. Ưu điểm..........................................................................................................16
2.3.2.2. Nhược điểm....................................................................................................16
2.3.3. Circuit Level Gateway.......................................................................................16
2.4. Kiến trúc của Firewall:..........................................................................................17
2.4.1. Bastion host:......................................................................................................17


2.4.2. Screened Subnet.................................................................................................17
2.7. NHỮNG HẠN CHẾ CỦA FIREWALL................................................................22
CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT................................24
3.1. KHÁI NIỆM HONEYPOT...................................................................................24
3.1.1. Khái niệm........................................................................................................... 24
3.1.2. Mục đích............................................................................................................24
3.2. PHÂN LOẠI HONEYPOT...................................................................................24
3.3. HONEYNET.........................................................................................................25
3.3.1. Khái niệm........................................................................................................... 25
3.3.2. Chức năng..........................................................................................................26
3.3.3. Khả năng an toàn và các rủi ro...........................................................................27
3.3.4. Đánh giá so sánh mức độ an toàn.......................................................................27
Chương 4 : Công cụ dò tìm xâm nhập IDS và Honeypot........................................28
4.1. Snort....................................................................................................................28
4.1.1. Khái niệm........................................................................................................... 28
4.1.2. Kiến trúc của Snort............................................................................................28
4.1.2.1. Module giải mã gói tin...................................................................................29
4.1.2.2. Module tiền xử lý...........................................................................................29
4.1.2.3. Module phát hiện...........................................................................................30
4.1.2.4. Module log và cảnh báo................................................................................31
4.1.2.5. Module kết xuất thông tin..............................................................................31

4.1.3. Quy tắc của Snort...............................................................................................31
4.1.3.1. Snort rules: các quy tắc hoạt động và giao thức IP.......................................31
4.1.3.2. Snort rules : Điều khiển hệ thống và địa chỉ IP.............................................32
4.1.3.3. Snort rules : Số cổng.....................................................................................32
4.2. Công cụ Honeypot...............................................................................................33
4.2.1. KFSensor...........................................................................................................33
4.2.1. Đặc điểm............................................................................................................33
CHƯƠNG 5:

CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ

HONEYPOTS............................................................................................................33
5.1. Các kiểu tấn công IDS :........................................................................................33
5.1.1. Tấn công từ chối dịch vụ :..................................................................................33
5.1.2. Quét và thăm dò (Scanning và Probe)................................................................35


5.1.3. Tấn công vào mật khẩu (Password attack).........................................................35
5.1.4. Chiếm đặc quyền (Privilege-grabbing)..............................................................36
5.1.5. Cài đặt mã nguy hiểm (Hostile code insertion):.................................................36
5.1.6. Tấn công hạ tầng bảo mật (Security infrastructure attack).................................37
5.1.7. Time to Live Attack..........................................................................................37
5.1.8. Overlapping Fragment Attack............................................................................37
5.1.9. Polymorphic Shellcode: (Shellcode đa hình).....................................................38
5.1.10. ASCII shellcode...............................................................................................38
5.2. Tấn công vượt Firewall.........................................................................................38
5.2.1. IP spoofing........................................................................................................38
5.2.2. Tiny Fragment Attack........................................................................................39
5.2.3. Man in middle DNS............................................................................................39
5.3. Tấn công vượt qua Honeypots..............................................................................39

KẾT LUẬN................................................................................................................40
TÀI LIỆU THAM KHẢO.........................................................................................41

DANH MỤC HÌNH ẢNH
Hình 1.1 - Network Based IDS......................................................................................8
Hình 1.2 - Host Based IDS............................................................................................9
Hình 2.1 - Firewall.......................................................................................................15
Hình 2.2 - Packet filtering router.................................................................................16
Hình 2.3 - Application level gateway..........................................................................17
Hình 2.4 - Circuit level gateway..................................................................................18
Hình 2.5. Kiến trúc Bastion Host.................................................................................18
Hình 3.1 - Honeypots...................................................................................................25
Hình 3.2 - Honeywall...................................................................................................27
Hình 3.2 - Minh họa luồng dữ liệu...............................................................................27
Hình 4.1- Hình kiến trúc Snort.....................................................................................30


LỜI NÓI ĐẦU
Trong bối cảnh hiện nay của các cuộc tấn công hệ thống hacking và máy
tính là phổ biến.Vì thếviệc phát hiện xâm nhập và bảo vệ hoạt động tất cảcác chi tiết có liên
quan là rất quan trọng.Module này cùng thảo luận về IDS, tường lửa và Honeypots. Sau
khi hoàn thành Module này, bạn sẽ được quen thuộc với:
+ Hệ thống phát hiện xâm nhập
+ Hệ thống làm rõ tính toàn vẹn
+ Việc tấn công phát hiện như thế nào
+ Phát hiện những dấu hiệu khác thường
+ Làm thế nào để IDS khớp với chữ ký và lưu lượng truy cập đến?
+ Hacking thông qua Firewalls
+ Cung cấp phần mềm IDS
+ Hiểu về Firewalls

+ Hiểu về Honeypots


CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS
1.1. KHÁI NIỆM IDS
Một hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là một thiết bị
hoặc một ứng dụng được sử dụng để theo dõi hoạt động của hệ thống mạng. Có chức năng
tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn
đề liên quan đến an ninh, bảo mật. IDS cũng có thể phân biệt giữa những tấn công bên trong
từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS
phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần
mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so
sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các
dấu hiệu khác thường.
1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS
IDS bao gồm các thành phần chính:
- Thành phần thu thập thông tin gói tin
- Thành phần phát hiện gói tin
- Thành phần xử lý (phản hồi).
1.2.1. Thành phần thu thập thông tin gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các gói
tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card
mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao
lưu, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽđọc thông tin
từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin
này được chuyển đến thành phần phát hiện tấn công.
1.2.2. Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm biến
là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ
các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi

ngờ.
1.2.3. Thành phần xử lý
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ
gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Lúc
đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn
công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn chặn.


Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập
tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn công hoạt động.
Ngăn chặn, thay đổi gói tinKhi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ
phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho góitin trở nên
không bình thường.
1.3. Phân loại IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS).
1.3.1. Network Based IDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với
những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu
nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay
dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm
tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor được đặt ở
toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để
phát hiện đó là tấn công hay không.

Hình 1.1 - Network Based IDS
1.3.1.1. Lợi thế của Network Based IDS

- Quản lý được cả một network segment (gồm nhiều host).
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.


- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với hệ điều hành.
1.3.1.2. Hạn chế của Network Based IDS
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà
NIDS báo là có intrusion.
-NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sựan toàn.
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được
phát ra, hệ thống có thể đã bị tổn hại.
- Hạn chế về giới hạn băng thông. Hacker có thể tấn công bằng cách chia nhỏ dữ liệu
ra để xâm nhập vào hệ thống.
- Không cho biết việc attack có thành công hay không
1.3.2. Host Based IDS
HIDS là hệ thống phát hiện xâm phạm máy chủ được cài đặt cục bộ trên một máy
tính nhất định làm cho nó trở nên linh hoạt hơn nhiều so với NIDS.Kiểm soát lưu lượng vào
ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS
có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm,
máy tính xách tay.

Hình 1.2 - Host Based IDS
1.3.2.1. Lợi thế của Host Based IDS
- Có khả năng xác đinh user liên quan tới một sự kiện (event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không
có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.



- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
1.3.2.2. Hạn chế của Host Based IDS
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành
công.
- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.

1.4. Cách thức hoạt động của IDS:
-Mục đích chính của IDS không chỉ là ngăn ngừa sự xâm nhập mà còn cảnh báo đến người
quản trị ngay lập tức khi có tấn công xảy ra. Người quản trị có thể xác minh các phương
pháp và kĩ thuật được sử dụng bởi kẻ tấn công, kể cả nguồn tấn công.
-IDS hoạt động theo các bước sau đây :
+IDS có cảm biến để phát hiện ra signature và một số IDS tiên tiến có thể xác định được các
hành vi nghi ngờ nguy hiểm. Ngay cả khi signature không trùng khớp, hệ thống phát hiện
hoạt động vẫn có thể cảnh báo cho người quản trị các cuộc tấn công có thể xảy ra.
+ Nếu signature trùng khớp, nó sẽ di chuyển đến bước kế tiếp hoặc các kết nối sẽ bị cắt từ
nguồn IP đó, gói tin sẽ bị loại bỏ và thông báo báo động đến quản trị viên rằng các gói tin đã
bị loại bỏ.
+ Một khi signature trùng khớp, cảm biến sẽ truyền các phát hiện bất thường, cho dù các gói
tin đã nhận hoặc đã yêu cầu có phù hợp hay không.
+ Nếu gói dữ liệu đã thông qua các giai đoạn bất thường thì việc phân tích giao thức trạng
thái được hoàn thành. Sau đó thông qua chuyển đổi các gói tin được truyền trên mạng. Nếu
sai lệch bất cứ điều gì một lần nữa, các kết nối sẽ bị cắt từ nguồn IP, các gói tin bị loại bỏ,
và báo động thông báo cho admin rằng gói tin có thể bị loại bỏ.


Hình

1.3 Cách thức hoạt động của IDS

1.5. Các cách để phát hiện một cuộc xâm nhập:
Có 3 cách để phát hiện một cuộc xâm nhập
1.5.1. Phát hiện dấu hiệu(signature):
Là việc xác định các sự kiệnlạm dụng trong hệ thống.Nó được thực hiện bằng cách tạo ra
mô hình của sự xâm nhập.Các sự kiện đang đến sẽ được so sánh với các mô hình xâm
nhập.Trong khi tạo signature, mô hình phải phát hiện sự tấn công mà không làm ảnh hưởng
đến hệ thống.Các cuộc tấn công phải trùng khớp với các mô hình.
-Hình thức đơn giản của việc công nhận signature là sử dụng mô hình kết hợp đơn giản để
so sánh các gói dữ liệu mạng với chữ ký nhị phân của các cuộc tấn công được biết đến. Một
signature nhị phân có thể được định nghĩa cho một phần cụ thể của gói tin, chẳng hạn như
những TCP flags.
-Việc công nhận chữ kí có thể phát hiện các cuộc tấn công. Tuy nhiên, có một khả năng rằng
các gói dữ liệu trùng khớp có thể mô tả lại signature sau đó kích hoạt tín hiệu không có
thật.Chữ ký có thể được tùy chỉnh để mà ngay cả người dùng có đầy đủ thông tin có thể tạo
ra chúng.
-Signatures được hình thành không đúng cách có thể gây ra các tín hiệu giả. Để phát hiện
việc này, số lượng signature yêu cầu là rất lớn.Các nhiều signature hơn thì càng có nhiều tấn
công được phát hiện.


- Băng thông của mạng được tiêu thụ cùng với sự gia tăng của signature.
1.5.2. Phát hiện các bất thường:
Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng.
Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông
thường.Ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ
thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp
dò này có thể nhận dạng.
Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới

đây:
-Threshold detection (phát hiện ngưỡng): Kỹ thuật này nhấn mạnh thuật ngữ đếm("count")
các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, nếu có sự bất
thường nào đó như login với số lần quá quy định, số lượng các tiến trình hoạt động trên
CPU, số lượng một loại gói tin được gởi vượt quá mức...
-Self learning detection (chế độ tự học và theo dõi): kỹ thuật dò này bao gồm hai bước, khi
thiết lập hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học thiết lập 1 profile về cách
cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở
chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết
lập. Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của
mình. Nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại tới khi cuộc tấn
công kết thúc.
-Lợi thế của hệ thống này là nó có thể phát hiện được hững kiểu tấn công chưa biết trước.
Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn
công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó
có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý
đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm
đó.
1.5.3. Anomaly protocol detection (phát hiện sự bất thường của giao thức):
Kỹ thuật dò này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra
các gói tin không hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công.
Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu
thập thông tin của hacker. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu


trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này
là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho
phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng
lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Tuy nhiên phương pháp này là
hướng được nghiên cứu nhiều hơn, hoàn thiện các nhược điểm, đưa ra ít cảnh báo sai để hệ

thống chạy chuẩn xác hơn.


CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL
2.1. KHÁI NIỆM VỀ FIREWALL
2.1.1. Khái niệm
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái
phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống
của một số thông tin khác không mong muốn.Cũng có thể hiểu rằng Firewall là một cơ chế
để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network).
Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, và
một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra, Firewall có
thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà không
hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính luôn kết nối
Internet, như trường hợp có một kết nối băng thông rộng hoặc kết nối DSL/ADSL.
2.1.2. Các lựa chọn Firewall
Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần
cứng và Firewall phần mềm.
2.1.2.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall
phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm
dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ,đặc biệtcho
những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên
cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng.
Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm
thường phải cài trên mọi máy tính cá nhân trong mạng.
Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys
() và NetGear ().Tính năng Firewall phần
cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng

cho mạng của các doanh nghiệp nhỏ và mạng gia đình.


2.1.2.2. Firewall phần mềm
So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi
cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thể
hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ
định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa
chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy
tính đi bất kỳ nơi nào.
2.2. Chức năng Firewall:
Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành
hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập
không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một
số địa chỉ nhất định trên Internet.
FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của
một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET FIREWALL - INTERNET).

Hình 2.1 - Firewall
Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet.Nó nhận dạng
và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài đặt
Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không
thể phát hiện ra máy tính.
2.3. Các loại Firewall và cơ chế hoạt động:
2.3.1. Packet Filtering Firewall
Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có
kiểm soát. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là
router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mô hình này
hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm tra



địa chỉ nguồn nơi chúng xuất phát.Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục
được kiểm tra với các luật đã đặt ra trên router.
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử
lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay
bị cấm.Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.Khi
một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập
để vào bên trong mạng.

Hình 2.2 - Packet

filtering router

2.3.1.1. Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được bao gồm
trong mỗi phần mềm router.
2.3.1.2. Hạn chế
Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet không kiểm soát được
nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành
động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.

2.3.2. Application-proxy firewall
Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì
kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu
cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được
các luật đặt ra trên

Firewall


Firewall sẽ tạo mộ

cầu kết nối cho gói

tin đi qua.

thì


Hình 2.3 - Application level gateway
2.3.2.1. Ưu điểm

 Không có chức năng chuyển tiếp các gói tin IP.
 Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì
ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập
được bởi các dịch vụ.
 Đưa ra công cụ cho phép ghi lại quá trình kết nối.
2.3.2.2. Nhược điểm
 Tốc độ xử lý khá chậm.
 Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từmạng
ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập.
 Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi
dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ftp proxy,
Http proxy).

2.3.3. Circuit Level Gateway
Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng
đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động
xử lý hay lọc packet nào.

Hình bên dưới cho thấy, cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà
không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tuc telnet nào.Cổng vòng sao
chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside
connection).Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà
quản trị mạng thật sự tin tưởng những người dùng bên trong.

Hình 2.4 - Circuit level gateway

2.4. Kiến trúc của Firewall:
2.4.1. Bastion host:
+ Gồm một Packet Filtering và một bastion host


+ Thực hiện bảo vệ mạng ở tầng mạng và tầng ứng dụng
+ Cấu hình và hoạt động Packet Filtering :
+ Đối với luồng thông tin từ Internet, chỉ các gói tin IP với địa chỉ đích là bastion host mới
được phép đi vào trong
+ Đối với luồng thông tin từ bên trong, chỉ các gói tin IP xuất phát từ bastion host mới được
phép đi ra ngoài
+ Packet Filtering cho phép bastion host mở kết nối (hợp lệ) ra bên ngoài.
+ Packet Filtering có thể cho phép các internal hosts mở kết nối đến các host trên internet
đối với 1 số dịch vụ được phép hoặc cấm tất cả kết nối từ các internal hosts.

Hình 2.5. Kiến trúc Bastion Host
2.4.2. Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều
sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta
đưa ra kiến trúc firewall có tên là Screened Subnet Host.
Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào
phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng

bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet host
đơn giản bao gồm hai screened router:
– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo
vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn
công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host.Quy luật filtering
trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn
từ Bastion host.
– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ
mạng nội bộ và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn


bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa
bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Interior router chỉ cho phép các
hệ thống bên trong truy cập Bastion host.
Ưu điểm của Screened Subnet Host:
– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.
– Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ không
thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến
bởi Internet qua routing table và DNS information exchange (Domain Name Server).
– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong
mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user
bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.
– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử
dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống
và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản
trên là phù hợp.
– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng
thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal
network, tách biệt internal network với internet.
Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung

router trong và router ngoài, ghép chung Bastion host và router ngoài.
2.4.3. Multi-homed host:
Mô hình này ra đời do các yêu cầu về hiệu năng (performance) và dư thừa (redudancy) cũng
như tách biệt các Server khác nhau.
Sử dụng một Bastion host cung cấp những dịch vụ cho người dùng bên trong (internal user)
như dịch vụ SNMP, DNS, Proxy Server…
Sử dụng một Bastion host khác cung cấp dịch vụ cho người dùng ngoài Internet hoặc những
người dùng bên ngoài (external user), như dịch vụ FTP Server, Web Server…


Với mô hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một
phần nào đó không bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngoài mạng
(external user).
Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăng
tốc độ đáp ứng, nâng cao hiệu năng hoạt động.
Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị đột
nhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt.

2.5. Vùng DMZ:
DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.
- DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp
nhận các rủi ro tấn công từ internet.
- Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP
- Có hai cách thiết lập vùng DMZ:
+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các
luồng thông tin vào mạng cục bộ.


Hình 2.6 DMZ đặt giữa 2 firewall
+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với

mạng cục bộ


Hình 2.7 DMZ đặt ở một nhánh riêng tách rời với mạng cục bộ

2.6. Các thế hệ Firewall
2.6.1. Thế hệ thứ 1: Lọc gói tin
Thế hệ đầu tiên của firewall là lọc gói tin, nó xác định địa chỉ mạng và port của gói tin và
xác định nếu gói tin có thể được cho qua hoặc bị chặn. Bài báo đầu tiên được công bố về
công nghệ tường lửa vào năm 1988, khi những kĩ sư từ DEC phát triển hệ thống lọc được
biết như firewall lọc gói tin. Hệ thống cơ bản này là thế hệ đầu tiên của thứ liên quan đến
tính năng an ninh mạng.
Hành động lọc gói tin bởi sự theo dõi “gói tin” được vận chuyển giữa máy tính và internet.
Nếu gói tin không trùng với tập luật lọc, gói tin sẽ bị loại bỏ (âm thầm loại bỏ) hoặc từ chối
nó (loại bỏ nó, và gửi “phản hồi lỗi” tới nguồn).Ngược lại, nếu gói tin trùng với một hoặc
nhiều hơn chương trình lọc, gói tin sẽ được phép cho qua.Kiểu lọc gói tin này không chú ý
đến việc gói tin là một phần của dòng dữ liệu sẵn có hoặc dữ liệu. Thay vào đó, nó lọc từng
gói tin chỉ dựa trên thông tin của chính gói tin đó (phần lớn sử dụng sự kết hợp của nguồn
gói tin, đích, giao thức và dữ liệu TCP, UDP và số cổng). Giao thức TCP, UDP chiếm phần
lớn giao thức trên Internet.
Firewall lọc gói tin làm việc chủ yếu trên 3 tầng đầu tiên trong mô hình OSI, có nghĩa là
phần lớn việc làm giữa tầng mạng và tầng vật lý, với một phần ít lấy ở tầng vận chuyển để
tìm ra cổng nguồn và cổng địch. Khi một gói tin xuất phát từ người gửi và lọc qua firewall,


thiết bị sẽ check đến khớp bất kì luật lọc nào được cấu hình trong firewall và loại bỏ hoặc từ
chối những gói tin cho phù hợp.
2.6.2. Thế hệ thứ 2: Lọc “stateful”
Firewall sẽ theo dõi toàn bộ trạng thái của kết nối mạng đi qua nó. Firewall được lập trình
để phân biệt gói tin hợp lệ với nhiều loại kết nối khác nhau. Chỉ những gói tìn phù hợp với

những kết nối được xác định mới được cho qua, còn lại sẽ từ chối.
Firewall thế hệ thứ 2 đảm bảo hoạt động của thế hệ thứ nhất, những hoạt động lên tới tầng
4. Điều này đạt được bằng cách giữ lại gói tin cho đến khi đủ thông tin để đưa ra đánh giá
về tình trạng của gói tin. Được biết những kiểm tra gói tin toàn trạng thái, nó ghi nhận lại
toàn bộ kết nối đi qua nó, và xác địch nơi mà gói tin bắt đầu kết nối mới, một phần các kết
nối đã có, hoặc không thuộc phần nào của bất kì kết nối nào.
Kiểm tra “stateful” được gói những lọc gói tin động, là một tính năng bảo mật thường được
sử dụng trong mạng doang nghiệp.
2.6.3. Thế hệ thứ 3: Tầng ứng dụng
Nó được biết tới như Firewall tầng ứng dụng trong suốt. Lợi ích chính của lọc tầng ứng
dụng là nó có thể hiểu được những ứng dụng và giao thức quan trọng như FTP, DNS,
HTTP.Rất hữu ích khi sử dụng để phát hiện những giao thức không mong muốn xâm nhập
qua firewall bơi những cổng được cho phép, hoặc phát hiện nếu giao thức đang bị lạm dụng
với bất kì cách nào.
Vào năm 2012, cái được họi là thế hệ tiếp theo của firewall (NGFW) không hơn gì là việc
“mở rộng” hoặc “đào sâu” sự kiểm tra ở tấng công ứng dụng.
IPS

2.7. Những hạn chế của Firewall
Firewall không đủ thông minh để có thể đọc hiểu từng loại thông tin và phân tích nội
dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông
tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.


Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường
dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào
trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên
các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới
và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall.
Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở bên trong
thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp
với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá
dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là
vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào.Và cũng cần
nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.Một nhân tố nữa hết sức quan
trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp.


CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT
3.1. Khái niệm Honeypot
3.1.1. Khái niệm
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng
đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn
không cho chúng tiếp xúc với hệ thống thật.
Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy
chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ
trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn
công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công.
3.1.2. Mục đích
- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
- Tập hợp thông tin về tin tặc và hành động của tin tặc.
- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị

phản hồi


lại.

3.2. Phân loại Honeypot
Gồm hai loại chính: Tương tác thấp và Tương tác cao
- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi
ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin
thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Hình 3.1 - Honeypots


- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và
có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được
với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt
hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì
specter bị giới hạn số dịch vụ và cũng không linh hoạt.
- Honeyd:
o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng
được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác
với kẻ tấn công với vai trò một hệ thống nạn nhân.
o Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.
o Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473

hệ

điều hành.
o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd
có nhược điểm là không thể cung cấp một hệ điều hành thật để tương tác với tin

tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bịxâm nhập hay gặp nguy
hiểm.

3.3. HONEYNET
3.3.1. Khái niệm
- Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet
là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường.Honeynet cung cấp
các hệ thống, ứng dụng, các dịch vụ thật.
- Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa honeypots và mạng bên ngoài.Nó hoạt động ở tầng 2 như là Bridged.Các
luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×