Tải bản đầy đủ (.doc) (68 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Xây dựng hệ thống phát hiện – chống xâm nhập dựa vào IPS Snort và Firewall Iptables

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.72 MB, 68 trang )

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
TRUNG TÂM BỒI DƯỠNG NGHIỆP VỤ III

ĐỒ ÁN TỐT NGHIỆP
KHÓA HỌC CHUYỂN ĐỔI NHÂN SỰ CNTT CẤP ĐỘ 2

Đề tài:
Xây dựng hệ thống phát hiện – chống xâm nhập
dựa vào IPS Snort và Firewall Iptables

Người thực hiện
: Nguyễn Đăng Ái
Người hướng dẫn: PGS. TS Nguyễn Tấn Khôi

Đà Nẵng – 2/2019


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

LỜI CẢM ƠN

Trước hết, em xin chân thành gửi lời cảm ơn đến Trung Tâm Bổi Dưỡng
Nghiệp Vụ III đã đào đạo, trao dồi cho em những kiến thức thật bổ ích trong thời gian
học tại trường.
Em xin cảm ơn thầy Nguyễn Tấn Khôi đã hướng dẫn em hoàn thành Đề tài tốt
nghiệp. Cảm ơn thầy đã định hướng, hướng dẫn, truyền đạt lại những kiến thức rất bổ
ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được đề tài. Cảm ơn
sự nhiệt tình, tận tâm của thầy đối với em.
Em xin cảm ơn tất cả thầy cô Trung Tâm Bổi Dưỡng Nghiệp Vụ III cũng như
thầy cô đã đào tạo, tạo điều kiện và cung cấp cho em những kiến thức hữu ích, nhằm
bồi dưỡng thêm nhưng kiến thức phục vụ cho ngành.


Em kính chúc thầy Nguyễn Tấn Khôi cũng như tất cả thầy cô Trung Tâm Bổi
Dưỡng Nghiệp Vụ III dồi dào sức khỏe, gặt hái nhiều thành công trong sự nghiệp.
Họ và tên học viên

Nguyễn Đăng Ái

HV: Nguyễn Đăng Ái

2


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

LỜI CAM ĐOAN
Tôi xin cam đoan :
1. Nội dung trong đề tài này là do tôi thực hiện dưới sự hướng dẫn

trực tiếp của Thầy Nguyễn Tấn Khôi
2. Các tham khảo dùng trong đề tài đều được trích dẫn rõ ràng tên

tác giả, tên công trình, thời gian, địa điểm công bố.
3. Nếu có những sao chép không hợp lệ, vi phạm, tôi xin chịu hoàn

toàn trách nhiệm.

Học viên thực hiện

Nguyễn Đăng Ái

HV: Nguyễn Đăng Ái


3


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

NHẬN XÉT CỦA NGƯỜI HƯỚNG DẪN
......................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
.................................................................................................................................

HV: Nguyễn Đăng Ái

4



Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

NHẬN XÉT CỦA NGƯỜI PHẢN BIỆN
......................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
................................................................................................................................

MỤC LỤC
HV: Nguyễn Đăng Ái

5



Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
11
Hình 7: không cho truy xuất vào máy server................................................11
11
Hình 9: Promiscous mode IPS.....................................................................12
MỞ ĐẦU 16
CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP........20
I. GIỚI THIỆU...................................................................................................20
II. CÁC KIỂU TẤN CÔNG..............................................................................20
1.2.1 Phân loại các lỗ hổng bảo mật..............................................................20
1.2.2 Tấn công chủ động và tấn công bị động...............................................20
1.2.3 Các bước tấn công thường gặp.............................................................21
1.2.4 Cách thức tấn công...............................................................................22
2.1 . Tổng quan về Firewall................................................................................37
2.2. Phân loại firewall.......................................................................................39
2.1.1 Packet Filtering....................................................................................39
2.2.2. Application-proxy firewall..................................................................40
2.3. Tổng quan về Iptables................................................................................42
2.3.1. Các tính năng của Iptables..................................................................43
2.3.2. Cơ chế hoạt động Iptables...................................................................43
2.3.3. Jumps và Targets..................................................................................44
2.3.4. Các tùy chọn để thao tác với luật.........................................................45
2.4. Tìm hiểu các câu lệnh và thiết lập luật trong Iptables.................................46
2.4.1. Sử dụng chain tự định nghĩa.................................................................46
2.4.2. Lưu và phục hồi lại những script cấu hình trong Iptables....................47
2.4.3. Ý nghĩa của một số luật cơ bản trong Iptables.....................................47
2.5. Firewall and Logging..................................................................................48
2.5.1. The syslog protocol.............................................................................48
HV: Nguyễn Đăng Ái


6


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
2.5.2. Proprietary logging methods................................................................50
2.6. Giới thiệu Snort inline.............................................................................50
2.6.1. Snort-inline và Iptables:.......................................................................50
2.6.2. Các trạng thái snort..............................................................................52
2.6.3. Các thành phần của Snort........................................................................53
2.6.3.1. Bộ packet sniffer..............................................................................54
2.6.3.2. Bộ Preprocessor...............................................................................54
2.6.3.3. Bộ phát hiện (detection engine)........................................................55
2.6.3..4. Hệ thống ghi và cảnh báo (Logging và alerting).............................56
2.6.4. Cấu trúc của một luật..........................................................................57
Sau đó copy file này vào thư mục ./root/sbin/..............................................63
3.5. Tạo rule cho Snort_inline......................................................................63
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN...................................................66
TÀI LIỆU THAM KHẢO...........................................................................67

DANH SÁCH HÌNH ẢNH

Hình 1: Login vào máy server Ubuntu

HV: Nguyễn Đăng Ái

7


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng


Hình 2: Cài đặt IP cho ubuntu server

Hình 3: khởi tạo snort inline

HV: Nguyễn Đăng Ái

8


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 4:Ping vào máy sever phần mềm DDoSping

HV: Nguyễn Đăng Ái

9


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Hình 5:Ping vào máy sever từ máy khác

Hình 6: Giám sát tấn công xăm nhập của Base

HV: Nguyễn Đăng Ái

10


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng


Hình 7: không cho truy xuất vào máy server.

Hình 8: Các file log được hệ thống IPS ghi lại

HV: Nguyễn Đăng Ái

11


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 9: Promiscous mode IPS

Hình 10. Inline mode IPS

HV: Nguyễn Đăng Ái

12


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 11. Signature-based IPS

Hình 12. Snort-sensor đặt giữa Router và firewall

HV: Nguyễn Đăng Ái

13



Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 13. Snort-sensor đặt trong vùng DMZ

Hình 14. Snort-sensor đặt sau firewall

HV: Nguyễn Đăng Ái

14


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 15. Các thành phần của Snort

Hình 16. Mô hình triển khai IPS với snort-inline và iptables

DANH SÁCH TỪ VIẾT TẮT
HV: Nguyễn Đăng Ái

15


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Từ viết tắt

Diễn giải

IP


Internet Protocol

IPS

Intrusion Prevention System

IDS

Intrusion Detection System

BASE

Basic Analysis and Sercurity Engine

MD5

Message-Degist Algorithm 5

SHA

Secure Hash Algorithm

API

Application Programming Interface

URL

Uniform Resource Locator


MỞ ĐẦU
1.

Tổng quan về đề tài

HV: Nguyễn Đăng Ái

16


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Ngày nay, thời kỳ kinh tế hóa luôn mở rộng trên toàn cầu. Để phát triển kinh tế,
nắm bắt thông tin kịp thời thì ngành công nghệ thông tin là một trong ngành rất cần
thiết. Chính vì thế mà công nghệ thông tin phát triển rất nhanh, mang lại những lợi ích
thiết thực về nhiều mặt như: kinh tế, xã hội, chính trị, y tế, quân sự… những cuộc họp
trong tổ chức, cơ quan, công ty hay những buổi hội thảo xuyên quốc gia, xuyên lục địa
(Video Conference).
Trong các hoạt động của con người. Với lượng thông tin ngày càng phong phú và
đa dạng. Không chỉ có ý nghĩa là nơi tra cứu tin tức sự kiện đang diễn ra trong đời
sống hàng ngày, Internet còn đóng vai trò cầu nối liên kết con người với nhau ở mọi
vùng địa lý. Các khoảng cách về địa lý hầu như không còn ý nghĩa, khi con người ở
cách nhau nửa vòng trái đất họ vẫn có thể trao đổi thông tin, chia sẻ dữ liệu cho nhau
như những người trong cùng một văn phòng.
Internet còn góp phần làm thay đổi phương thức hoạt động kinh doanh của các
doanh nghiệp. Ngoài các hoạt động kinh doanh truyền thống, giờ đây các doanh
nghiệp có thêm một phương thức kinh doanh hiệu quả, đó là thương mại điện tử.
Trong những năm gần đây, thương mại điện tử đã trở thành một bộ phận quan trọng
trong sự tăng trưởng, phát triển của xã hội, mang lại những lợi ích rất lớn cho các
doanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho các ngành nghề khác, góp

phần mang lại tính hiệu quả cho nền kinh tế của doanh nghiệp nói riêng và cho toàn
xã hội nói chung.
Chính sự đa dạng thông tin trên internet, lại là cầu nối chung cho toàn cầu nên dễ
xảy ra tiêu cực trên mạng như : lấy trộm thông tin, làm nhiễu thông tin, thay đổi thông
tin, …Ði đôi với sự phát triển công nghệ thì bảo mật mạng đang là một nhu cầu cấp
thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập và
thực hiện các trao đổi thông tin, giao dịch qua mạng được an toàn. Về những giá trị
lợi ích của công nghệ thông tin mang lại, những kẻ xấu cũng lợi dụng công nghệ này
gây ra không ít những khó khăn cho tổ chức, cơ quan cũng như những người áp dụng
công nghệ thông tin vào cuộc sống.
Công nghệ nào cũng có ưu điểm và nhược điểm. Người tấn công (Attacker) chúng
lợi dụng những lỗ hổng của hệ thống để truy xuất bất hợp phát vào khai thác những
HV: Nguyễn Đăng Ái

17


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
thông tin quan trọng, những dữ liệu có tính chất bảo mật, nhạy cảm, thông tin mật của
quốc phòng… Vì vậy chúng ta cần phải có biện pháp, phương pháp để phát hiện sự
truy nhập trái phép đó. Để phát hiện sự truy nhập trái phép đó, hiện nay công nghệ
phát hiện chống xâm nhập hiệu quả được nhiều tổ chức, cơ quan, doanh nghiệp triển
khai và áp dụng vào trong hệ thống mạng của mình là công nghệ Snort IPS.
Các nghiên cứu về hệ thống phát hiện xâm nhập đã được nghiên cứu chính thức
cách đây khoảng 32 năm và cho tới nay đã được áp dụng rộng rãi ở các tổ chức, doanh
nghiệp trên toàn thế giới.
2.

Mục đích và ý nghĩa của đề tài
Sử dụng công nghệ IPS (Intrusion Prevention System) snort inline kết hợp tường


lửa Firewall Iptable để phòng chống và tự động ngăn chặn các cuộc tấn công hệ thống
mạng cùng với sự hỗ trợ cảnh báo đắc lực của Snort inline.
Cơ sở hạ tầng công nghệ thông tin càng phát triển, thì vấn đề phát triển mạng lại
càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một
vấn đề rất quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam
đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi
một mạng phải tự thiết lập một hệ thống tích hợp IPS của riêng mình. Trong đề tài
này, em sẽ tìm hiểu về cấu trúc một hệ thống IPS, và đi sâu tìm hiểu phát triển hệ
thống IPS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của
mình thay thế cho các IPS cứng đắt tiền. Với sự kết hợp của các phần mềm nguồn mở
Iptables và Snort inline. Tạo ra một hệ thống giám sát mạng, có khả năng phát hiện
những xâm nhập, phòng chống tấn công mạng.

3. Bố cục của đồ án
Đồ án bao gồm các nội dung sau:
Mở đầu

HV: Nguyễn Đăng Ái

18


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Chương 1:

Tổng Quan Về Hệ Thống Chống Xâm Nhập

Chương 2 .


Firewall Iptable và IPS Snort inline trên hệ điều hành Linux

Chương 3 .

Triển khai hệ thống IPS với snort inline và IP tables

Kết luận và hướng phát triển.

HV: Nguyễn Đăng Ái

19


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG CHỐNG XÂM
NHẬP

I.

GIỚI THIỆU

Hệ thống phòng chống xâm nhập IPS (Intrusion Prevention System) là một kỹ thuật
an ninh, kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập
IDS (Intrusion Detection System). Có khả năng phát hiện các cuộc tấn công và tự
động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống.
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn
công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả
các thiết bị trong mạng.
II. CÁC KIỂU TẤN CÔNG

1.2.1 Phân loại các lỗ hổng bảo mật
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến
hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng
gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật.
Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao
thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,...
Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các
thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử
dụng các cấu hình mặc định trên thiết bị như switch, router, modern…
Nếu dựa vào hành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:
1.2.2 Tấn công chủ động và tấn công bị động
Tấn công chủ động: Kẻ tấn công thay đổi hoạt động của hệ thống và hoạt động của
mạng khi tấn công và làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ
liệu.
HV: Nguyễn Đăng Ái

20


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Tấn công bị động: Kẻ tấn công cố gắng thu thập thông tin từ hoạt động của hệ
thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu.
Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hai
loại. Tấn công từ bên trong và tấn công từ bên ngoài:
Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng.
Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tin
nhiều hơn quyền cho phép.
Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các
kết nối truy cập từ xa.
1.2.3 Các bước tấn công thường gặp

Bước 1: Khảo sát, thu thập thông tin. Kẻ tấn công thu thập thông tin về nơi tấn
công như phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng…
Bước 2: Dò tìm. Kẻ tấn công sử dụng các thông tin thu thập được từ bước một để
tìm kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường
được sử dụng cho quá trình này là các công cụ quét cổng (scanport), quét IP, dò tìm lỗ
hổng…
Buớc 3: Xâm nhập. Các lỗ hổng được tìm thấy trong bước hai được kẻ tấn công sử
dụng, khai thác để xâm nhập vào hệ thống. Ở bước này, kẻ tấn công có thể dùng các
kỹ thuật như: Tràn bộ đệm, từ chối dịch vụ (DoS)…
Buớc 4: Duy trì xâm nhập. Một khi kẻ tấn công đã xâm nhập được vào hệ thống,
bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập
tiếp trong tương lai. Một vài kỹ thuật như backboors, trojans… được sử dụng ở bước
này. Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra những nguy hại
cho hệ thống hoặc đánh cắp thông tin. Ngoài ra, chúng có thể sử dụng hệ thống này để
tấn công vào các hệ thống khác như loại tấn công DDoS.
Bước 5: Che đậy, xóa dấu vết. Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì
xâm nhập. Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng
cứ pháp lí xâm nhập. Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ
thống phát hiện xâm nhập.
HV: Nguyễn Đăng Ái

21


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
Ở bước “Dò tìm” và “Xâm nhập”, kẻ tấn công thường làm lưu lượng kết nối mạng
thay đổi khác với lúc mạng bình thường rất nhiều. Ðồng thời tài nguyên của hệ thống
máy chủ bị ảnh hưởng đáng kể. Những dấu hiệu này rất có ích cho người quản trị
mạng trong việc phân tích và đánh giá tình hình hoạt động của hệ thống mạng.
1.2.4 Cách thức tấn công

Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.
+ Kỹ thuật tấn công ARP:
Khi một máy tính A cần biết địa chỉ MAC từ một IP, nó sẽ gởi gói tin ARP có chứa
thông tin yêu cầu IP address ở dạng Broadcasting lên mạng. Máy tính B khi nhận
được gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gởi.
Nếu hai giá trị này trùng khớp thì B sẽ gởi gói tin reply có chứa thông tin địa chỉ IP
của B cho A. Khi A nhận được gói tin do B reply, nó sẽ lưu địa chỉ MAC của B trong
ARP table ARP cache để dùng cho lần truyền tiếp theo.
+ Kiểu tấn công Man-in-the-middle (MITM):
Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuất
vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên
mạng.
Ví dụ: Lây nhiễm ARP cache như sau:
Có hai máy tính E, F với địa chỉ IP và MAC tương ứng như sau:
E (IP = 10.1.3.2, MAC = EE:EE:EE:EE:EE:EE)
F (IP = 10.1.3.3, MAC = FF:FF:FF:FF:FF:FF)
Máy tính của hacker có địa chỉ:
H (IP = 10.1.3.4, MAC = HH:HH:HH:HH:HH:HH)
H sẽ gởi thông điệp ARP reply cho E nói rằng IP: 10.1.3.3 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của E sẽ là IP= 10.1.3.3– MAC=
HH:HH:HH:HH:HH:HH
H sẽ gởi thông điệp ARP reply cho F nói rằng IP: 10.1.3.2 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của F sẽ là IP= 10.1.3.2– MAC=
HH:HH:HH:HH:HH:HH
HV: Nguyễn Đăng Ái

22


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng


Hình 1-1 Phương thức nhiễm ARP cache
Khi E cần truyền thông điệp đến F, nó thấy trong ARP table F có địa chỉ Ethernet là
HH:HH:HH:HH:HH:HH nên nó sẽ gởi thông điệp đến cho H thay vì đến F. H nhận
được thông điệp này, xử lý và có thể truyền lại thông điệp đó đến F (tùy theo mục đích
tấn công).
Trường hợp F cần gởi thông điệp đến E thì quy trình cũng tương tự như trên. Như
vậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa E và F mà hai
host này không hề hay biết. H có thể thay đổi thông điệp trước khi truyền đến máy
đích.

HV: Nguyễn Đăng Ái

23


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng

Hình 1-2 Tấn công trên máy đã bị nhiễm ARP cache.
Ping of Death:
Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua
lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo.
VD: ping –l 65000
Tấn công từ chối dịch vụ DNS
Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhân
rồi chỉ đến một website B nào đó của hacker. Khi máy khách truy cập đến Server A để
vào trang Web, thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra.
Giải pháp phòng chống:
- Thường xuyên cập nhật các bản vá lỗi và update hệ thống.
- Triển khai những dịch vụ hệ thống mạng cần thiết.

- Xây dựng hệ thống IDS/IPS.
- Tường lửa (Firewall).
- Chống virus.
- Chính sách sử dụng, quản lý password.
HV: Nguyễn Đăng Ái

24


Xây dựng hệ thống phát hiện – Chống xâm nhập mạng
- Sử dụng các trình bảo mật để bảo vệ các tài liệu, tập tin quan trọng.
- Thường xuyên back-up.
1.3 HỆ THỐNG NGĂN CHẶN XÂM NHẬP
1.3.1 Khái niệm

Hệ thống ngăn chặn xâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các ưu
điểm của kỹ thuật firewall và hệ thống phát hiện xâm nhập IDS. Có khả năng phát
hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó.
IPS không đơn giản là dò các cuộc tấn công, chúng có khả năng ngăn chặn hoặc
cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để
ngăn chặn tấn công. Phần lớn các hệ thống IPS được đặt ở vành đai mạng, đủ khả
năng bảo vệ tất cả các thiết bị trong mạng.
1.3.2. Kiến trúc của hệ thống ngăn chặn xâm nhập
Một hệ thống IPS gồm có 3 module chính:
+ Module phân tích gói tin.
+ Module phát hiện tấn công.
+ Module phản ứng.
1.3.2.1 Module phân tích gói tin
Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin. NIC Card của
máy tính được giám sát được đặt ở chế độ promiscuous mode, tất cả các gói tin qua

chúng đều được sao chép lại và chuyển lên lớp trên. Bộ phân tích gói tin đọc thông
tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì, dịch vụ gì, sử
dụng loại giao thức nào…Các thông tin này được chuyển lên module phát hiện tấn
công.
1.3.2.2 Module phát hiện tấn công
Đây là module quan trọng nhất của hệ thống phát hiện xâm nhập, có khả năng
phát hiện ra các cuộc tấn công. Có một số phương pháp để phát hiện ra các dấu hiệu
xâm nhập hoặc các kiểu tấn công (signature-based IPS, anomally-based IPS,…).
a. Phương pháp dò sự lạm dụng:
HV: Nguyễn Đăng Ái

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×