Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System IPS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.98 MB, 83 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
-----------o0o-----------
ĐỒ ÁN TỐT NGHIỆP
Đề tài
Xây dựng hệ thống chống xâm nhập dựa vào
Intrusion Prevention System - IPS
Sinh viên thực hiện:
TÔ THANH BÌNH – MSSV: 08B1020122
THÀNH PHỐ HỒ CHÍ MINH NĂM 2010
-0-
LỜI CẢM ƠN
Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ
Tp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trong suốt thời
gian vừa qua.
Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thời
gian vừa qua. Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại những
kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được
đồ án.
Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật
Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang áp
dụng vào cuộc sống.
Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp.
Tô Thanh Bình
-1-
Mục Lục
LỜI CẢM ƠN................................................................................................1
Danh mục từ viết tắt.......................................................................................5
Danh mục hình minh họa................................................................................8
Danh mục bảng.............................................................................................10
MỞ ĐẦU 11
Chương 1 . Tổng quan về hệ thống ngăn chặn xâm nhập IPS.......................13
1.1 Giới thiệu hệ thống ngăn chặn xâm nhập..................................................13
1.2 Sơ lược các kiểu tấn công và cách phòng chống.......................................15
1.2.1 Các loại tấn công...............................................................................15
1.2.2 Các bước tấn công thường gặp..........................................................17
1.2.3 Phương pháp tấn công.......................................................................18
1.2.4 Giải pháp phòng chống......................................................................20
1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS...................20
1.3.1 Nhận biết qua dấu hiệu - Signature Based.........................................21
1.3.2 Nhận biết qua sự bất thường - Anomaly Based..................................22
1.3.3 Nhận biết qua chính sách - Policy Based...........................................24
1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based.......................24
1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập............................................25
1.4.1 Modul phân tích gói tin......................................................................25
1.4.2 Modul phát hiện tấn công..................................................................25
1.4.3 Modul phản ứng.................................................................................27
1.5 Phân loại hệ thống ngăn chặn xâm nhập...................................................28
1.5.1 Network Base....................................................................................28
1.5.2 Network Behavior Analysis System..................................................30
1.5.3 Host Based.........................................................................................31
1.5.4 Wireless.............................................................................................32
1.6 So sánh hệ thống phát hiện xâm nhậpvà ngăn chặn xâm nhập..................33
-2-
1.7 Các sản phẩm trên thị trường hiện nay......................................................35
Chương 2 . Giới thiệu tổng quan thiết bị IOS IPS.........................................36
2.1 Giới thiệu..................................................................................................36
2.1.1 Một vài định nghĩa.............................................................................36
2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập............................37
2.2 Mô hình của hệ thống ngăn chặn xâm nhập..............................................40
2.2.1 IPS ngoài luồng - Promiscous Mode..................................................41
2.2.2 IPS trong luồng - In-line mode..........................................................41
2.3 Cấu trúc của Cisco IOS IPS Sensor..........................................................42
2.3.1 Signature Definition File - SDF.........................................................42
2.3.2 Signature Micro Engine - SME..........................................................43
2.4 Các loại dấu hiệu và cảnh báo...................................................................43
2.4.1 Các loại dấu hiệu...............................................................................43
2.4.2 Các loại cảnh báo...............................................................................46
2.5 Phương pháp quản lý và hạn chế của hệ thống ngăn chặn xâm nhập........48
2.6 Các lệnh trong Cisco IOS IPS...................................................................49
2.6.1 Các mode của Command Line Interface............................................49
2.6.2 Tìm hiểu các luật của Cisco IOS IPS.................................................51
2.7 Các lỗi thường gặp khi cấu hình bằng Comman - Line.............................55
Chương 3 . Mô hình và thực nghiệm.............................................................57
3.1 Mô tả thực nghiệm....................................................................................57
3.2 Hạ tầng mạng thực nghiệm.......................................................................58
3.3 Một số phần mềm dùng để triển khai........................................................59
3.3.1 Mô tả thiết bị.....................................................................................59
3.3.2 Phần mềm cho PC..............................................................................59
3.3.3 Mô tả các kết nối...............................................................................60
3.4 Cấu hình và kiểm thử................................................................................61
3.4.1 Cấu hình cho từng thiết bị..................................................................61
3.4.2 Kiểm tra quá trình thông mạng..........................................................75
-3-
3.5 Các cuộc tấn công và kết quả thống kê thực nghiệm................................76
3.5.1 Tấn công............................................................................................76
3.5.2 Ngăn chặn..........................................................................................78
3.5.3 Kết quả thống kê thực nghiệm...........................................................79
KẾT LUẬN..................................................................................................82
TÀI LIỆU THAM KHẢO............................................................................83
-4-
Danh mục từ viết tắt
Viết tắt
ACL
ASDM
CSA
AIC
ARP
IOS
SDM
CSM
MARS
CLI
CSA
DdoS
DNS
DoS
NBA
FRU
FTP
GMT
HIPS
Tiếng Anh
Access Control List
Adaptive Security Device Manager
Cisco Security Agent
Application Inspection and Control
Address Resolution Protocol
Internetwork Operating System
Cisco Security Device Manager
Cisco Security Manager
Security Monitoring, Analysis, and
Response System
Command Line Interface
Cisco Security Agent
Distributed Denial of Service
Domain Name System
Denial-of-service
Network behavior anomaly
Fragment Reassembly Unit
File Transfer Protocol
Time-zone-Tame
Host-Based Intrusion Prevention
System
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol
ICMP
Secure
Internet Control Message Protocol
Tiếng Việt
Danh sách các câu lệnh
Chương trình dùng để cấu hình Route
Phần mềm bảo mật cho Cisco
Giao thức Address Resolution Protocol
Chương trình dùng để cấu hình Cisco
Chương trình dùng để cấu hình Cisco
Giao diện dòng lệnh
Tấn công từ chối dịch vụ
Hệ thống tên miền
Tấn công từ chối dịch vụ
Dựa trên các dấu hiệu dị thường
Tập hợp các IP fragments.
Giao thức truyền dữ liệu
Giờ GMT
Giao thức truyền tải siêu văn bản
Giao thức bảo mật truyền tải siêu văn
bản
Giao thức xử lý các thông báo trạng
IDM
thái cho IP
Cisco Intrusion Prevention System Chương trình dùng để cấu hình IPS
IDP
IDS
MC
IDAPI
Device Manager
Intrusion Detection and Prevention Ngăn ngừa tấn công và phòng chống
Intrusion Detection System
Hệ thống phát hiện xâm nhập
Management Center
Trung tâm quản lý
Intrusion Detection Application
IPS
TCP
LAN
Programming Interface
Intrusion Prention System
Transport Control Protocol
Local Area Network
-5-
Hệ thống phát hiện xâm nhập
Giao thức điều khiển truyền tải
Mạng cục bộ
LDAP
Lightweight Directory Access
Giao thức ứng dụng truy cập các cấu
MAC
Protocol
Media Access Control
trúc thư mục
Định danh được gán cho thiết bị mạng
MITM
VPN
NTP
NIPS
Man-in-the-middle
Virtual Path
Network Time Protocol
Network-Base Intrusion
Tấn công thụ động
Mạng riêng ảo
Nhận dạng kênh ảo trong tế bào
NIC
POP
OSI
RCP
SCP
SSH
SDEE
CSM
SDF
SME
SNMP
Prevention System
network interface Control
Post Office Protocol
Open Systems Interconnection
Remotecopy Protocol
Secure Copy Protocol
Secure shell
Security Device Event Exchange
Security Manager
Signature Definition file
Signature micro-enines
Simple Network Management
SMTP
TFTP
TLS
Protocol
Simple Mail Transfer Protoco
Trivial File Transfer Protoco
Transport Layer Security
bị mạng
Giao thức truyền tải thư tín đơn giản
Giao thức truyền tải file
Giao thức bảo vệ và mã hóa dữ liệu
UDP
UTM
VPN
User Datagram Protoco
Unified Threat Management
Virtual Private Network
Giao thức cốt lõi của giao thức TCP/IP
Quản lí Bảo mật Hợp nhất
Mạng riêng ảo
WAN
WIPS
Wide Area Network
Wireless Intrusion Prevention
Mạng diện rộng
Hệ thống phòng chống xâm nhập mạng
Giao thức dùng để nhận các thư điện tử
Mô Hình Mạng OS
Giao thức giám sát và điều khiển thiết
System
WLAN Wireless LAN
không dây
Mạng không dây nội bộ
XML
WIDS
eXtensible Markup Language
Wireless Intrusion Detection
Ngôn ngửi đánh dấu mở rộng
Hệ thống phát hiện xâm nhập mạng
System
không dây
-6-
Danh mục hình minh họa
Hình 1-1 Mô hình Snort kết hợp Firewall........................................................14
Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng..................................................15
Hình 1-3 Phương thức nhiễm ARP cache.........................................................18
Hình 1-4 Nhận và chuyển Packet.....................................................................19
Hình 1-5 Sơ đồ tấn công DNS..........................................................................20
Hình 1-6 Signature Based................................................................................21
Hình 1-7 Anomaly Based.................................................................................23
Hình 1-8 Policy Based......................................................................................24
Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập..........................25
Hình 1-10 Mô hình Network Base...................................................................28
Hình 1-11 Thành phần của Network Base........................................................29
Hình 1-12 Mô hình Network Behavior Analysis System.................................31
Hình 1-13 Mô hình Host Based........................................................................32
Hình 1-14 Mô hình Wireless............................................................................33
Hình 1-15 Mô hình chung................................................................................34
Hình 2-1 Các thành phần của Cisco IPS...........................................................37
Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn xâm nhập........................39
Hình 2-3 Promiscuos mode..............................................................................41
Hình 2-4 Inline Mode.......................................................................................42
Hình 2-5 Các dấu hiệu Attack..........................................................................44
Hình 2-6 Các dấu hiệu về giao thức.................................................................45
Hình 3-1 Mô hình thực nghiệm........................................................................57
Hình 3-2 Sơ đồ hệ thống cần mô phỏng...........................................................59
Hình 3-3 Bắt đầu cài GNS3..............................................................................64
Hình 3-4 Cài WinpCap.....................................................................................64
Hình 3-5 Kết thúc trình cài đặt GNS3..............................................................65
Hình 3-6Giao diện chính của GNS3.................................................................65
Hình 3-7 Bắt đầu cài SDM...............................................................................66
Hình 3-8 Cài đặt SDM.....................................................................................67
-7-
Hình 3-9 SDM Laucher....................................................................................67
Hình 3-10 Giao diện chính của SDM...............................................................68
Hình 3-11 Tính năng IPS trên router................................................................68
Hình 3-12 Thông báo khi chạy IPS..................................................................69
Hình 3-13 Danh sách card mạng......................................................................69
Hình 3-14 Mô tả cách nạp signature.................................................................70
Hình 3-15 Kết thúc các quá trình cấu hình.......................................................70
Hình 3-16 Kết thúc quá trình cấu hình.............................................................71
Hình 3-17 Nạp file SDF cho IOS IPS...............................................................71
Hình 3-18 Card mạng IPS đang theo dõi..........................................................72
Hình 3-19 Định nghĩa hành động cho dấu hiệu................................................72
Hình 3-20 Chỉnh sửa dấu hiệu..........................................................................73
Hình 3-21 Truy cập HTTP................................................................................76
Hình 3-22 Truy cập FTP...................................................................................76
Hình 3-23 Nmap kiểm tra các port trên server..................................................77
Hình 3-24 IPS bắt gói tin của Hacker...............................................................78
Hình 3-25 Chương trình Scanport....................................................................80
Hình 3-26 IPS chặn kết nối FTP.......................................................................81
-8-
Danh mục bảng
Bảng 2-1 Tóm tắt các loại dấu hiệu..................................................................44
Bảng 2-2 Bảng mô tả chi tiết dấu hiệu.............................................................46
Bảng 2-3 Bộ nhớ các dấu hiệu.........................................................................49
Bảng 2-4 Các dấu hiệu không hỗ trợ................................................................49
-9-
MỞ ĐẦU
1.
Giới thiệu
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc
sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hết
các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày. Tuy nhiên, sự
phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng
bỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển
nhanh nhất trên toàn hành tinh. Vì vậy, việc xây dựng một nền an ninh máy tính, thiết
kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử
dụng máy tính không thể thiếu ở nhiều lĩnh vực.
Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập Intrusion
Detection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường
và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để
giám sát tài sản hệ thống mạng. Tuy nhiên, gần đây khái niệm ngăn chặn xâm nhập đã
xuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhập Intrusion Prevention
System – IPS đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụng
rộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một
vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không
chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống, ngày
nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS,
tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó.
Cơ sở hạ tầng CNTT càng phát triển thì vấn đề phát triển mạng lại càng quan trọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải
tự thiết lập một hệ thống tích hợp IPS của riêng mình. Trong luận văn này, chúng ta sẽ
- 10 -
tìm hiểu về cấu trúc một hệ thống IPS và đi sâu tìm hiểu phát triển hệ thống Cisco IPS
để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâm
nhập và phòng chống tấn công mạng.
2.
Mục tiêu đề tài
Đề tài này nghiên cứu các kỹ thuật cơ bản liên quan đến việc xây dựng hệ thống
bảo mật ngăn ngừa xâm nhập dựa trên Cisco Intrusion Prevention System và triển
khai được ở mức mô hình thực nghiệm.
3.
Hướng tiếp cận giải quyết
Để thực hiện được mục tiêu đặt ra, luận văn trình bày khá chi tiết công nghệ IPS
nói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyên
dụng hay trên Router Cisco hỗ trợ IPS.
4.
Bố cục luận văn
Với mục tiêu và định hướng trên, nội dung của đề tài này được chia làm 3 chương:
Chương 1. Tổng quan về hệ thống ngăn chặn xâm nhập
Giới thiệu công nghệ IPS, các phương pháp và phòng chống tấn công, phân tích sự
khác biệt cơ bản giữa IPS và IDS, các mô hình của hệ thống IPS, cách hoạt động của
IPS và phân loại IPS để đưa ra những ứng dụng mà công nghệ IPS mạng lại.
Chương 2. Giới thiệu chung về thiết bị IOS IPS
Trình bày các khái niệm của Cisco IPS, khả năng ứng dụng IPS, tìm hiểu các câu
lệnh và cách tạo luật trong IOS IPS và những khó khăn mắc phải khi triển khai IPS.
Chương 3. Mô phỏng và thực nghiệm
Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏng
trên GNS3 và VMWare.
- 11 -
Chương 1 .
1.1
Tổng quan về hệ thống ngăn chặn xâm nhập IPS
Giới thiệu hệ thống ngăn chặn xâm nhập
Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chức
năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng,
phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn
chặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết định
liệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện
hành động thích hợp để bảo vệ hệ thống mạng. Trước các hạn chế của hệ thống phát
hiện xâm nhập – Intrusion Detection System (IDS), một vấn đề được đặt ra là làm sao
hệ thống có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnh
báo nhằm giảm thiểu công việc của người quản trị. Hệ thống ngăn ngừa xâm nhập
được ra đời vào năm 2003, được phổ biến rộng rải cho đến ngày nay và đã dần dần
thay thế cho hệ thống phát hiện xâm nhập - IDS, bởi nó có thể giảm bớt các yêu cầu
tác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện các
cuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ
thống, tuy nhiên một hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệ
thống IDS bằng việc ngắt bỏ tính năng ngăn chăn xâm nhập.
Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phần
cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo cho
nhà quản trị biết về an ninh của hệ thống. Một số IPS so sánh các gói tin nghe được
trên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượng
mạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thống này gọi
là Signature-Based IPS. Đối với việc quan sát lưu lương của hệ thống theo thời gian
và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thống
này gọi là anomaly-Based IPS. Sau đây ta tìm hiểu từng loại hệ thống:
Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâm
nhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn
- 12 -
chặn xâm nhập - IPS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiện
những cuộc tấn công. Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thành
sản phẩm thương mại như Sourcefire, Astaro, …Để cài được snort thì đầu tiên xem
xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần không
gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủ
khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì
người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo
nhất. Snort có thể chạy trên các hê điều hành như Window, Linux. Snort chủ yếu là
một hệ thống phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text
có thể được chỉnh sửa bởi người quản trị, các luật được nhóm thành các kiểu và mỗi
loại được lưu trong các file khác nhau.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết hợp Firewall
Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phát
hiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốt
nhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp các
loại cảm biến sau đây:
Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sản
phẩm bao gồm Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM20 với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40
- 13 -
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhâp
cứng
Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện,
phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần
mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor
Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhập
nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác.
Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là một
phần của giải pháp của Cisco IPS, nó hoạt động kết hợp với các thành phần khác để
bảo vệ dữ liệu.
1.2
Sơ lược các kiểu tấn công và cách phòng chống
1.2.1 Các loại tấn công
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến
hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng
gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật.
Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các
giao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,...
- 14 -
Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các
thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử
dụng các cấu hình mặc định trên thiết bị như switch, router, modem…Nếu dựa vào
hành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:
Tấn công thụ động: Là phương pháp tấn công không tác động đến nội dung thông
điệp được truyền trên mạng mà chỉ lắng nghe và phân tích nội dung của thông điệp, từ
đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tấn công tiếp
theo. Đối với thông điệp không được mã hoá thì hacker có thể bắt và hiểu được đầy đủ
nội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với những
thông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệp
trên đường truyền nhưng việc hiểu đúng nội dung packet không phải là dễ dàng, vì nội
dung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nội
dung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa. Kết quả nhận
được từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trên
mạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dung
thông điệp, khoá dùng để mã hóa cho thông điệp,…
Tấn công chủ động: Là phương pháp tấn công can thiệp vào nội dung của thông
điệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thể như các thiết bị,
máy tính,… làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu.
Có một số cách thức tấn công chủ động như sau:
Giả mạo xác nhận quyền truy cập - Authentication Spoofing
Thay đổi nội dung thông điệp - Message Modification
Phương pháp tấn công qua người trung gian - Man-In-Middle Attack
Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hai
loại. Tấn công từ bên trong và tấn công từ bên ngoài:
Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng.
Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tin
nhiều hơn quyền cho phép.
- 15 -
Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các
kết nối truy cập từ xa.
1.2.2 Các bước tấn công thường gặp
Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện các
máy chủ, địa chỉ IP, các dịch vụ mạng, …
Bước 2: Kẻ tấn công sử dụng các thông tin thu thập được từ buớc 1 để tìm kiếm
thêm thông tin về lỗ hổng và điểm yếu của hệ thống mạng, các công cụ thường được
sử dụng cho quá trình này là các công cụ quét cổng Scan port, quét IP, dò tìm lỗ hổng.
Bước 3: Các lỗ hổng được tìm thấy trong bước 2, kẻ tấn công sử dụng nó để khai
thác xâm nhập vào hệ thống, chúng có thể dùng các kỹ thuật như tràn bộ đệm, từ chối
dịch vụ DoS.
Bước 4: Một khi kẻ tấn công đã xâm nhập được vào hệ thống bước tiếp theo là làm
sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai như
Backboors, Trojans… và khi đã làm chủ chúng có thể gây ra những nguy hại cho hệ
thống hoặc đánh cắp thông tin. Ngoài ra, chúng có thể sử dụng hệ thống này để tấn
công vào các hệ thống khác như tấn công DDoS.
Bước 5: Khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập bước tiếp theo
là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ xâm nhập như xóa các
tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên, làm sao để nhận biết
hệ thống mạng đang bị tấn công ngay từ hai bước đầu tiên là hết sức quan trọng, ở
bước 2 và bước 3 kẻ tấn công thường làm lưu lượng kết nối thay đổi khác với lúc
mạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ở
bước 3 là xâm nhập thì không dễ dàng đối với kẻ tấn công. Do vậy, khi không thể xâm
nhập được vào hệ thống để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn
công từ chối dịch vụ DoS hay DDoS để ngăn không cho người dùng hợp lệ truy xuất
tài nguyên hệ thống.
- 16 -
1.2.3 Phương pháp tấn công
Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.
Kỹ thuật tấn công ARP
Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ gửi gói tin ARP có chứa
thông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận được
gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2
giá trị này trùng khớp thì B sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B cho
A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP table
ARP cache để dùng cho lần truyền tiếp theo.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache
Kỹ thuật tấn công Man-in-the-middle (MITM):
Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuất
vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên
mạng.
Ví dụ: Lây nhiễm ARP cache như sau:
Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:
A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)
B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)
Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)
- 17 -
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet
H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉ
MAC= HH:HH:HH:HH:HH:HH
H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của B sẽ là IP= 10.0.0.2– MAC=
HH:HH:HH:HH:HH:HH. Khi A cần truyền thông điệp đến B, nó thấy trong ARP table
B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho H
thay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đó
đến B.
Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên.
Như vậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa A và B
mà hai host này không hề hay biết, H có thể thay đổi thông điệp trước khi truyền đến
máy đích.
Ping of Death:
Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua
lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo.
- 18 -
VD : ping –l 65000
Tấn công từ chối dịch vụ DNS:
Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhân
rồi chỉ đến một website B nào đó của hacker. Khi máy khách truy cập đến Server A thì
thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính
hacker tạo ra.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn công DNS
1.2.4 Giải pháp phòng chống
Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ
hệ thống mạng cần thiết, xây dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tường
lửa chống xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trình
bảo mật để bảo vệ các tài liệu tập tin quan trọng, thường xuyên back-up dữ liệu. tuy
nhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương
pháp sau: cấu hình đúng tính năng của Antispoof trên router và tường lửa của hệ
thống, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router và
tường lửa, giới hạn việc đánh giá lưu lượng mạng.
1.3
Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS
Hiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thức
theo dõi và phân tích. Mỗi phương pháp có những lợi điểm và những hạn chế nhất
- 19 -
định. Tuy nhiên, mỗi phương pháp đều có thể mô tả thông qua một mô hình tiến trình
chung tổng quát cho hệ thống ngăn ngừa xâm nhập
1.3.1 Nhận biết qua dấu hiệu - Signature Based
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based
Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngăn
ngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đã
được biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết
rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình. Một
Signature Based là những dấu hiệu giám sát tất cả các lưu lượng và so sánh dữ liệu
hiện có và đưa ra cảnh báo cho người quản trị biết. Ngoài ra, một Signature Based là
một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông
thường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhau
những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật như các phần mềm
diệt virus.
Lợi ích việc dùng dấu hiệu - Signature Based
Những file dấu hiệu được tạo nên từ những phương pháp tấn công đã biết chúng
theo dõi những hoạt động để tìm các dấu hiệu tấn công tương ướng đã được định dạng
sẵn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựa
trên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ
sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ
- 20 -
thống, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thể được
người quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo.
Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều
hạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa được
biết, hệ thống ngăn chặn xâm nhập phải biết trước những hoạt động tấn công để nó có
thể nhận ra cuộc tấn công đó, những dạng tấn công mới mà chưa từng được biết hay
khám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiện
những sự thay đổi của cuộc tấn công đã biết. Các File dấu hiệu được cung cấp kèm
theo thiết bị IPS vì thế hacker có thể sử dụng thiết bị đó để kiểm tra, một khi kẻ xâm
nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũng
như các công cụ tấn công để đánh bại hệ thống ngăn chặn xâm nhập. Ngoài ra, những
file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa
trên sự bất thường, nếu thay đổi cách tấn công kẻ xâm nhập có thể thực hiện cuộc xâm
nhập mà không bị phát hiện, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS cái gì làm
phát sinh cảnh báo, do đó trách nhiệm của người quản trị là bảo đảm file cơ sở dữ liệu
luôn cập nhật thường xuyên.
1.3.2 Nhận biết qua sự bất thường - Anomaly Based
Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướng
hay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sự
kiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường,
ta có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả
sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những
lưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụng
như là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người
sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập
sẽ phát sinh cảnh báo. Tóm lại, phát hiện dựa trên sự bất thường hay phân tích sơ lược
những hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấy
thì một tín hiệu cảnh báo sẽ được khởi phát.
- 21 -
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based
Lợi ích của việc dùng Anomaly Based
Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi để
đạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó, với phương pháp này
kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm phát
sinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở dữ liệu và dấu
hiệu này luôn thay đổi. Phát hiện bất thường có thể phát hiện tấn công từ bên trong, ví
dụ nếu một user nào đó trong hệ thống cố tình truy cập vào IPS để thi hành quản trị thì
hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Admin
biết và có thể khóa hoặc ngăn chặn user đó. Ưu điểm lớn nhất của phát hiện dựa trên
profile hay sự bất thường là nó không dựa trên những dấu hiệu đã được định dạng hay
những cuộc tấn công đã biết trước, Profile có thể là động và có thể sử dụng trí tuệ
nhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc phát
hiện những cuộc tấn công chưa được biết trước đây và được dùng để phát hiện những
phương pháp tấn công mới mà phương pháp phát hiện bằng dấu hiệu không phát hiện
được.
Hạn chế của việc dùng Anomaly Based
Những hệ thống dựa trên sự bất thường có thể gây ra nhiều cảnh báo nhầm bởi vì
chúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việc
định nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốt
khi nó định nghĩa những hành động nào là bình thường hành động nào bất bình
thường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đổi,
- 22 -
ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầu
cao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
1.3.3 Nhận biết qua chính sách - Policy Based
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy Based
Policy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có những
hành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết
bị trong hệ thống mạng đưa ra các chính sách bảo mật tới hệ thống IPS một cách
chính xác và được phép truy cập vào hay không, một trong những tính năng quan
trọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh báo sai.
Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản trị hệ thống
gặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu
hình và quản trị từ xa gặp nhiều hạn chế.
1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based
Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhập
cũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giao
thức trong gói tin. Ví dụ một hacker bắt đầu chạy một chương trình tấn công tới một
Server, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo một
RFC.
Protocol Analysis Based dò kiểu tấn công trên các giao thức:
Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không.
Kiểm tra nội dung trong Payload.
Thực hiện cảnh báo những giao thức không bình thường.
1.4
Kiến trúc của hệ thống ngăn ngừa xâm nhập
Một hệ thống ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa
ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và
- 23 -
chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tích
gói tin, modul phát hiện tấn công và modul phản ứng.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-9 Kiến trúc chung của hệ thống
ngăn chặn xâm nhập
1.4.1 Modul phân tích gói tin
Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin
này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì
chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từng
trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các thông
tin này được chuyển đến modul phát hiện tấn công.
1.4.2 Modul phát hiện tấn công
Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát
hiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng
Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giống
với các mẫu tấn công đã biết trước các mẫu này gọi là các dấu hiệu tấn công, do vậy
phương pháp này còn được gọi là phương pháp dò dấu hiệu, chúng có ưu điểm là phát
hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm
khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật
- 24 -
