Tải bản đầy đủ (.pdf) (41 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Xây dựng hệ thống mạng bảo mật, phát hiện xâm nhập cho doanh nghiệp vừa và nhỏ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.58 MB, 41 trang )

TRƯỜNG ĐẠI HỌC LẠC HỒNG
KHOA CÔNG NGHỆ THÔNG TIN
----------

BÁO CÁO
NGHIÊN CỨU KHOA HỌC
ĐỀ TÀI:

XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT,
PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP
VỪA VÀ NHỎ

ĐỖ MINH THÀNH

BIÊN HÒA, THÁNG 12/2017


TRƯỜNG ĐẠI HỌC LẠC HỒNG
KHOA CÔNG NGHỆ THÔNG TIN
----------

BÁO CÁO
NGHIÊN CỨU KHOA HỌC
ĐỀ TÀI:

XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT,
PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP
VỪA VÀ NHỎ

SVTH : ĐỖ MINH THÀNH
GVHD :Th.S NGUYỄN VŨ DUY QUANG



BIÊN HÒA, THÁNG 12/2017


LỜI CÁM ƠN
Em xin chân thành cám ơn các giảng viên trường Đại Học Lạc Hồng, các thầy
cô khoa Công Nghệ Thông Tin đã giảng dạy và hướng dẫn em trong suốt thời gian em
theo học tại trường.
Em xin gởi lời cám ơn đến Th.S Nguyễn Vũ Duy Quang, là giáo viên đã tận
tình hướng dẫn em hoàn thành đề tài nghiên cứu khoa học này.
Em xin cám ơn các thầy, các cô trong khoa Công Nghệ Thông Tin đã có những
ý kiến đóng góp trong các buổi báo cáo tiến độ.
Ngoài ra em xin cám ơn các bạn trong lớp cùng toàn thể gia đình và người thân
đã giúp đỡ, động viên em trong quá trình thực hiện đề tài này.
Với vốn kiến thức còn hạn chế cùng những điều kiện khách quan không cho
phép, đề tài của em khó tránh khỏi những thiếu sót cũng như chưa đáp ứng đầy đủ các
yêu cầu. Do đó em hy vọng tiếp tục nhận được những ý kiến đóng góp và hướng dẫn
của quý thầy cô để đề tài của em được hoàn thiện hơn.
Em xin chân thành cảm ơn.
Biên Hòa, tháng 12 năm 2017
Sinh viên thực hiện
Đỗ Minh Thành


MỤC LỤC
Trang
PHẦN MỞ ĐẦU
1. Lý do chọn đề tài ...................................................................................................... 1
2. Mục tiêu nghiên cứu ................................................................................................. 1
3. Đối tượng nghiên cứu ............................................................................................... 1

4. Phương pháp nghiên cứu .......................................................................................... 1
5. Kết cấu của đề tài ...................................................................................................... 2
CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI TỔ CHỨC
MÔ HÌNH MẠNG
1.1 Thành phần cơ bản của hệ thống mạng .................................................................. 3
1.1.1 Mô hình mạng ................................................................................................ 3
1.1.2 Các vùng mạng .............................................................................................. 4
1.2 Tiêu chí khi tổ chức mô hình mạng ........................................................................ 5
CHƯƠNG 2: HỆ THỐNG NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP
2.1 Các hình thức tấn công mạng phổ biến .................................................................. 7
2.1.1 Tấn công theo hình thức Phishing ................................................................. 7
2.1.2 Tấn công theo kiểu Man-in-the-Middle Attack .............................................. 7
2.1.3 Tấn công theo kiểu Brute Force Attack .......................................................... 7
2.1.4 Tấn công từ chối dịch vụ (Denial-of-service) (DOS) ..................................... 7
2.2 Các giải pháp phát hiện và phòng chống tấn công mạng ....................................... 8
2.3 Hệ thống ngăn ngừa và phát hiện xâm nhập .......................................................... 8
2.3.1 Lịch sử phát triển ........................................................................................... 8
2.3.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập ......... 9
2.3.3 Kiến trúc của hệ thống IPS .......................................................................... 10
2.4 Phân loại IPS ........................................................................................................ 13
2.4.1 Host-Based IPS (HIPS) ............................................................................... 13
2.4.2 Network-Based IPS (NIPS) ......................................................................... 13
2.5 IPS Signatures ....................................................................................................... 15
2.5.1 Signature Attributes (thuộc tính chữ ký) ..................................................... 15
2.5.2 Signature Types (Loại chữ ký) ..................................................................... 15
2.5.3 Signature File ................................................................................................ 16


2.5.4 Signature Micro-Engines .............................................................................. 16
2.6 Sự đa dạng của hệ thống phát hiện xâm nhập ...................................................... 18

2.6.1 Hệ thống phát hiện xâm nhập mềm ............................................................. 18
2.6.2 Hệ thống phát hiện xâm nhập cứng ............................................................. 20
CHƯƠNG 3: MÔ PHỎNG
3.1 Mục tiêu mô phỏng ............................................................................................... 23
3.2 Công cụ cần thiết để thực hiện mô phỏng ............................................................ 23
3.3 Các bước mô phỏng .............................................................................................. 23
3.4 Kết quả thu được sau khi thực hiện mô phỏng ..................................................... 34
KẾT LUẬN ................................................................................................................ 35
TÀI LIỆU THAM KHẢO


PHẦN MỞ ĐẦU
1. Lý do chọn đề tài
Việt Nam đang là quốc gia có tốc độ phát triển về Công nghệ thông tin (CNTT)
nhanh nhất tại khu vực Đông Nam Á, cũng vì lý do đó mà Việt Nam có thể là mục
tiêu tấn công mạng của tội phạm công nghệ cao trên toàn cầu. Chỉ tính trong quý Inăm 2017 đã có gần 7.700 sự cố tấn công mạng vào các website tại Việt Nam
Theo thống kê về số lượng các website bị tấn công trong quý I/2017, có tổng
cộng 7681 sự cố tấn công mạng vào các website tại Việt Nam trên cả 3 loại hình tấn
công chính : Phising (lừa đảo), Malware (mã độc) và Deface (tấn công thay đổi giao
diện web) [1]
Như vậy chúng ta có thể thấy an toàn thông tin tại các doanh nghiệp Việt Nam
có nhiều biến động lớn và mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều
thiệt hại cho các doanh nghiệp trong nước. Do vậy mà đề tài xây dựng hệ thống mạng
an toàn, phát hiện xâm nhập giúp đáp ứng được phần nào yêu cầu của các doanh
nghiệp về an toàn thông tin và bảo mật hệ thống mạng.
2. Mục tiêu nghiên cứu
Nghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS.
Triển khai hệ thống phát hiện, ngăn chặn các lưu lượng ra vào của hệ thống là
sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những
hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày

càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh
nghiệp,công ty nào đó cũng theo đà phát triển của internet mà tăng lên rất nhiều.
Việc nghiên cứu này đáp ứng cho lĩnh vực bảo mật và an ninh của hệ thống
mạng.
3. Đối tượng nghiên cứu
Hệ thống mạng cho doanh nghiệp vừa và nhỏ.
Một số phương pháp tấn công mạng phổ biến hiện nay.
Hệ thống phòng chống xâm nhập IPS (intrusion prevention system).
4. Phương pháp nghiên cứu
Tìm hiểu về một số tiêu chí khi xây dựng hệ thống mạng cho doanh nghiệp vừa
và nhỏ.
Nghiên cứu và tìm hiểu về cơ chế hoạt động của IPS.
1


5. Kết cấu đề tài
Luận văn được chia làm ba phần: phần mở đầu, phần nội dung và phần kết luận.
Phần mở đầu
Nêu lý do chọn đề tài, mục tiêu nghiên cứu đề tài, đối tượng, phương pháp
nghiên cứu của đề tài.
Phần nội dung chính: gồm 3 chương
Chương 1: Các thành phần và một số tiêu chí khi tổ chức mô hình mạng
Trong chương này tôi sẽ trình bày về các thành phần cơ bản cần có trong hệ
thống mạng, cũng như nêu ra các bước cơ bản để thiết kế một hệ thống mạng hoàn
chỉnh.Bên cạnh đó, tôi cũng đề xuất một số mô hình mạng cho doanh nghiệp vừa và
nhỏ.
Chương 2: Hệ thống ngăn ngừa và phát hiện xâm nhập
Trong chương này tôi sẽ trình bày về lịch sử phát triển, vai trò, đặc điểm cũng
như các loại IPS.
Chương 3: Phần mô phỏng:

Ở phần này, tôi sẽ mô phỏng giúp chúng ta thấy được các tính năng và sự hoạt
động cũng như các bước cấu hình IPS trên router.Thực hiện tính năng gây ra cảnh báo
nếu có vi phạm.
Phần kết luận
Đưa ra những kết luận về mô hình đã xây dựng.

2


CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI
TỔ CHỨC MÔ HÌNH MẠNG
Mạng máy tính là một hệ thống gồm nhiều máy tính và các thiết bị được kết nối
với nhau bởi đường truyền vật lý theo một kiến trúc (Network Architecture) nào đó
nhằm thu thập, trao đổi dữ liệu và chia sẻ tài nguyên cho nhiều người sử dụng.
Các máy tính được kết nối với nhau có thể trong cùng một phòng, một tòa nhà, một
thành phố hoặc trên phạm vi toàn cầu. [2]
1.1 Thành phần cơ bản của hệ thống mạng
Mạng máy tính bao gồm ba thành phần chính:
- Các máy tính
- Các thiết bị mạng đảm bảo kết nối giữa các máy tính với nhau
- Các phần mềm cho phép việc thực hiện, trao đổi thông tin giữa các máy tính
1.1.1 Mô hình mạng

Xét theo chức năng của các máy tính trong mạng, có thể phân mạng thành 2
mô hình chủ yếu sau:


Mô hình mạng ngang hàng (Peer-to-Peer)

Mạng ngang hàng (tiếng Anh: peer-to-peer network), còn gọi là mạng đồng đẳng,

là một mạng máy tính trong đó hoạt động của mạng chủ yếu dựa vào khả năng tính
toán và băng thông của các máy tham gia chứ không tập trung vào một số nhỏ các máy
chủ trung tâm như các mạng thông thường. Mạng đồng đẳng có nhiều ứng dụng, ứng
dụng thường xuyên gặp nhất là chia sẻ tệp tin, tất cả các dạng như âm thanh, hình
ảnh, dữ liệu,… hoặc để truyền dữ liệu thời gian thực như điện thoại VoIP.
Một mạng đồng đẳng đúng nghĩa không có khái niệm máy chủ và máy khách. Nói
cách khác, tất cả các máy tham gia đều bình đẳng và được gọi là peer. Mỗi peer là
một nút mạng đóng vai trò là máy khách và đồng thời là máy chủ đối với các máy
khác trong mạng.
Mô hình này chỉ thích hợp với mạng có quy mô nhỏ, tài nguyên được quản lý phân
tán, chế độ bảo mật kém.


Mô hình mạng khách – chủ (Client – Server)
3


Trong mô hình này, một hoặc vài máy sẽ được chọn để đảm nhận việc quản lý và
cung cấp tài nguyên (chương trình, dữ liệu, thiết bị,…) được gọi là máy chủ (Server),
các máy khác sử dụng tài nguyên này được gọi là máy khách (Client).
Máy chủ là máy tính đảm bảo việc phục vụ các máy khách bằng cách điều khiển
việc phân phối tài nguyên nằm trong mạng với mục đích sử dụng chung. Máy khách là
máy sử dụng tài nguyên do máy chủ cung cấp.
Mô hình khách – chủ có ưu điểm là dữ liệu được quản lý tập trung, bảo mật tốt,
thích hợp với các mạng trung bình và lớn.
1.1.2 Các vùng mạng
Trước khi thiết kế một hệ thống mạng, chúng ta cần phải phân biệt rõ ràng giữa các
vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng
vùng mạng. Có những vùng mạng sau đây :
Vùng mạng nội bộ

Mạng LAN(Local Area Network) là một hệ thống mạng dùng để kết nối các máy
tính trong một phạm vi nhỏ (nhà ở, phòng làm việc, trường học, …). Các máy tính
trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin,
máy in, máy quét và một số thiết bị khác.
Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối (Repeater,
Hub, Switch, Bridge), máy tính con (client), card mạng (Network Interface Card –
NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau.
Vùng mạng DMZ
Demilitarized Zone hay còn được viết tắt là DMZ là một vùng nằm giữa Local
Area Network và mạng Internet. Đây là nơi chứa những Server và cung cấp những
dịch vụ cho những host ở trong mạng LAN cũng như những host khác từ LAN bên
ngoài vào chẳng hạn như Web server, Mail server, FTP server…
DMZ sẽ có những đường mạng hoặc subnet mạng khác với mạng nội bộ nhằm mục
đích các host từ LAN khác sẽ không thể truy cập vào mạng LAN bên trong nhưng
chúng vẫn có thể dùng những dịch vụ mà DMZ cung cấp.
Ở giữa DMZ với mạng ngoài ta có thể đặt một tường lửa. Nó sẽ kiểm soát những
kết nối từ mạng ngoài đến DMZ. Còn mạng nội bộ và DMZ ta có thể đặt thêm 1
tường lửa khác để kiểm soát những lưu lượng từ DMZ vào mạng nội bộ.
Vùng mạng Server
4


Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ không trực tiếp
cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường
là Database Server, LDAP Server,…
Vùng mạng Internet
Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu.
1.2 Các tiêu chí khi tổ chức mô hình mạng
Nên đặt các máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ ra
mạng Internet trong vùng mạng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gây

ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền
kiểm soát. Chú ý không đặt máy chủ web, mail server hoặc các máy chủ chỉ cung cấp
dịch vụ cho nội bộ trong vùng mạng này.
Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng
dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nên đặt trong vùng mạng server
network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ
thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau
có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo
mật.
Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát
hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm
nhập trái phép. Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall
giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ
mạng từ bên ngoài vào; đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm
hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ.
Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp
dịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn những gói
tin đến từ những địa chỉ IP không hợp lệ. [3]
Đề xuất mô hình mạng cho doanh nghiệp vừa và nhỏ

5


Hình 1.1 Mô hình mạng cho doanh nghiệp vừa và nhỏ
Như trên hình 1.1 mô hình mạng ở đây được chia thành 3 vùng riêng biệt gồm:
vùng DMZ, vùng mạng LAN và vùng mạng Internet.
Tại vùng DMZ, chúng ta đặt các server cho phép người dùng bên ngoài truy xuất
vào và ví dụ ở đây là máy chủ Web và máy chủ FTP.
Trong vùng mạng LAN, ta có cấu hình nhiều VLAN(Virtual LAN) tương ứng với
các phòng ban trên thiết bị Switch nhằm mục đích dễ quản lý hơn.Ví dụ ở đây phòng

IT gồm 3 người ta sẽ cấu hình phòng này thuộc vlan 10, phòng nhân sự gồm 8 người
ta sẽ cấu hình vào vlan 20. Bên cạnh đó, ta có thể cài đặt thêm một số thiết bị khác như
Access Point(AP), máy in, IP Phone....vào các phòng ban tùy theo nhu cầu của công
ty.
Vùng DMZ và vùng mạng LAN trước khi ra Internet đều phải đi qua cảm biến IPS
cũng như từ ngoài Internet muốn truy xuất vào server bên trong vùng DMZ cũng phải
đi qua cảm biến IPS này để đảm bảo được tính an toàn cho hệ thống mạng.

6


CHƯƠNG 2: HỆ THỐNG NGĂN NGỪA VÀ PHÁT HIỆN XÂM
NHẬP
2.1 Các hình thức tấn công mạng phổ biến
2.1.1 Tấn công theo hình thức Phishing
Phishing là kiểu tấn công người dùng bằng cách tạo ra 1 trang web với địa chỉ giả
mạo, chẳng hạn như www.facebook.com thành www.facebok.com. Thông thường với
hình thức này, các hacker sẽ gửi tới người dùng 1 email đăng nhập để người dùng
đăng nhập và click vào đó, tiếp theo sẽ sử dụng kỹ thuật điều hướng để điều sang
website chứa mã độc. Và vô tình, khi bạn đăng nhập thông tin tài khoản gmail của
mình vào web giả mạo đó, bạn đã bị mất tài khoản.
2.1.2 Tấn công theo kiểu Man-in-the-Middle Attack
Đúng như cái tên của nó, một cuộc tấn công mạng theo kiểu Man-in-the-Middle
Attack xảy ra khi cuộc nói chuyện giữa bạn và một người nào đó bị kẻ tấn công theo
dõi, nắm bắt và kiểm soát thông tin liên lạc của bạn một cách minh bạch.
Các cuộc tấn công theo kiểu Man-in-the-Middle Attack giống như một người nào đó
giả mạo danh tính để đọc các tin nhắn của bạn. Và người ở đầu kia tin rằng đó là bạn,
bởi vì kẻ tấn công có thể trả lời một cách tích cực để trao đổi và thu thập thêm thông
tin.
2.1.3 Tấn công theo kiểu Brute Force Attack

Đây là hình thức tấn công mà chủ yếu là hacker tìm cách “mò” ra mật khẩu
(password) của bạn để đăng nhập hệ thống, phương thức tấn công này chủ yếu dựa và
cách lập password của bạn quá sơ sài và nó đã được đưa vào một danh sách mật khẩu
(listpass) lượng mật khẩu hacker thu thập có thể lên tới con số trăm nghìn. Họ dùng
các hệ điều hành như kali linux, backtrack để tự động nhập các password trong list
pass lên hệ thống của bạn, và thật không may nếu bạn để pass quá đơn giản như
12345678 nằm trong danh sách của họ.
2.1.4 Tấn công từ chối dịch vụ (Denial-of-service) (DOS)
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ
phân tán (tấn công DDoS -viết tắt của Distributed Denial of Service) là một nỗ lực làm
cho những người dùng không thể sử dụng tài nguyên của một máy tính. Mặc dù
7


phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác
nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay
nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc
làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng
cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thường
nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín
dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu
cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp
ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép
máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không
cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
2.2 Các giải pháp phát hiện và phòng chống tấn công mạng
Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash
bằng những thông báo lỗi không rõ ràng, khó xác định nguyên nhân hệ thống bị treo
do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân về phần cứng hay

không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công.
Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các
nguồn tài nguyên quan trọng khác.
Chỉ kích hoạt các dịch vụ cần thiết, vô hiệu hóa các dịch vụ không dùng tới.
Liên tục cập nhật, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc
phục kịp thời.
Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong
muốn.
2.3 Hệ thống ngăn ngừa và phát hiện xâm nhập
2.3.1 Lịch sử phát triển
Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây 25 năm
nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về hệ thống
phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố
chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong
các phòng thí nghiệm và các viện nghiên cứu mạng. Đến năm 1997 hệ thống phát hiện
xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi
8


nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập
mạng.
IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System –
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có
rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDPIntrusion Detection and Prevention.
Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS là cần thiết,
nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red,
NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn
được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công
việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau

đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần
quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu
cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng
như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số
trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính
năng ngăn chặn xâm nhập. Ngày nay các hệ thống mạng đều hướng tới sử dụng các
giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an ninh
mạng.
2.3.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm
nhập
Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống
mạng để phát hiện những dấu hiệu bất thường trong mạng. Thông thường những dấu
hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ
phát những tín hiệu cảnh báo tới người quản trị mạng.
Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần
mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn
chặn các nguy cơ mạng bị tấn công. IDS và IPS có rất nhiều điểm chung, do đó hệ
thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm
nhập (IDS/IPS).

9


Hệ thống IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường
lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập,
các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IDS/IPS
thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng.
Một vài chức năng cơ bản của IPS:
-Kiểm tra gói tin, phân tích, ráp lại các TCP-segment, kiểm tra gói tin, xác nhận
tính hợp lệ giao thức và thích ứng chữ ký. Một IPS hoạt động giống như một người

bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các
uỷ nhiệm và tập quy tắc nội quy nào đó.
-IPS giám sát lưu lượng lớp 3 và lớp 4, phân tích các nội dung và payload của các
gói tin bao gồm dữ liệu độc hại từ layer 2 đến layer 7.
-Nền tảng Cisco IPS sử dụng dựa trên sự pha trộn các công nghệ phát hiện, bao
gồm dựa trên chữ ký, dựa trên cấu hình và phân tích giao thức phát hiện xâm nhập.
-Phân tích sâu hơn cho phép IPS xác định và ngăn chặn các cuộc tấn công có thể đi
qua firewall.
-Khi một gói tin đến thông qua một interface trên IPS, gói tin đó sẽ được IPS phân
tích và nếu có bất thường thì gói tin đó sẽ ngay lập tức bị hủy bỏ.
2.3.3 Kiến trúc của hệ thống IPS
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực
hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông
lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo. Hệ
thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn
công, modul phản ứng.
 Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường
các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ
nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua
chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc
thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì...
Các thông tin này được chuyển đến modul phát hiện tấn công.
 Modul phát hiện tấn công:

10


Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn
công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là phương pháp

dò sự lạm dụng và phương pháp dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn
công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được
gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện
các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả
nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật
trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát
hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do
vậy người quản trị mạng phải update thường xuyên các kiểu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận
dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này
về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu
trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ
có những hành động khác so với bình thường và phương pháp dò này có thể nhận
dạng. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát
hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể
phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho
phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số
lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là
hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần
cảnh báo sai để hệ thống chạy chuẩn xác hơn.
Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công
như dưới đây:
Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có
sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình
hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức...
Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu
thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về

11


cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống
sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của
mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song
với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công
thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc.
Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào
hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này
rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập
thông tin của các tin tặc.
 Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi
tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul
phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay
cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn
chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:
Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm
phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm.
Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn
đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu
quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp
phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công.
Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường
một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng
này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.

Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị
cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời
thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh
báo tới người quản trị.

12


Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để
họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các
tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho modul phát hiện tấn công hoạt động.
2.4 Phân loại IPS
Có 2 loại IPS chủ yếu : host-based và network-based
2.4.1 Host-Based IPS (HIPS)
Host-based IPS (HIPS) là phần mềm được cài đặt trên một máy chủ duy nhất để
theo dõi và phân tích hoạt động đáng ngờ. Một lợi thế đáng kể của HIPS là nó có thể
giám sát và bảo vệ hệ điều hành và các quy trình quan trọng của hệ thống cụ thể đối
với máy chủ đó. Với kiến thức chi tiết về hệ điều hành, HIPS có thể giám sát hoạt
động bất thường và ngăn không cho máy chủ thực hiện các lệnh không phù hợp với
hành vi. Hành vi đáng ngờ hoặc độc hại này có thể bao gồm các cập nhật registry trái
phép, thay đổi thư mục hệ thống, thực hiện các chương trình cài đặt và các hoạt động
gây tràn bộ đệm. Lưu lượng mạng cũng có thể được giám sát để ngăn không cho máy
chủ lưu trữ tham gia tấn công DoS từ chối dịch vụ hoặc là một phần của một phiên
FTP bất hợp pháp.
HIPS có thể được coi là một sự kết hợp của phần mềm chống virus, phần mềm
chống malware và tường lửa. Kết hợp với IPS dựa trên mạng, HIPS là một công cụ
hiệu quả trong việc cung cấp bảo vệ bổ sung cho máy chủ lưu trữ.
Điểm bất lợi của HIPS là nó chỉ hoạt động ở mức local. Nó không có một cái nhìn

hoàn toàn về hệ thống hoặc sự kiện phối hợp có thể xảy ra trên mạng. Để có hiệu quả
trong một mạng, HIPS phải được cài đặt trên mỗi máy chủ và có hỗ trợ cho mọi hệ
điều hành.
2.4.2 Network-Based IPS (NIPS)
Một Network-Based IPS có thể được thực hiện bằng một thiết bị IPS dành riêng
hoặc không dành riêng. Triển khai Network-Based IPS là một thành phần quan trọng
của công tác phòng chống xâm nhập. Có các giải pháp Host-Based IDS / IPS, nhưng
chúng phải được tích hợp với việc triển khai Network-Based IPS để đảm bảo được một
kiến trúc an ninh mạnh mẽ.
13


Bộ cảm biến phát hiện hoạt động độc hại và trái phép trong thời gian thực và có thể
hành động khi cần thiết. Các cảm biến được triển khai tại các điểm mạng được chỉ
định cho phép các nhà quản trị mạng theo dõi hoạt động của mạng trong khi nó xảy ra,
bất kể vị trí của mục tiêu tấn công.
Cảm biến có thể được thực hiện bằng nhiều cách:
-Trên một bộ định tuyến ISR có hoặc không có module tích hợp nâng cao IPS
(AIM) hoặc module tăng cường Mạng IPS (NME).
-Trên thiết bị tường lửa ASA có hoặc không có ASA Advanced Inspection and
Prevention Security Services Module (AIP-SSM).
-Được thêm vào bộ chuyển đổi Catalyst 6500 sử dụng Intrusion Detection System
Services Module (IDSM-2).
-Là một thiết bị độc lập, chẳng hạn như Bộ cảm biến Cisco IPS 4300 Series.
-Các cảm biến Network-Based IPS thường được điều chỉnh để phân tích tấn công
xâm nhập. Hệ điều hành cơ bản của nền tảng mà trên đó mô đun IPS được gắn kết đã
bị loại bỏ các dịch vụ mạng không cần thiết và các dịch vụ thiết yếu được đảm bảo.
Đây được gọi là cứng. Phần cứng bao gồm ba thành phần:
NIC (Card mạng) – Network-Based IPS phải có khả năng kết nối với bất kỳ mạng
nào, chẳng hạn như Ethernet, Fast Ethernet và Gigabit Ethernet.

Processor (Bộ vi xử lý) - IPS yêu cầu sức mạnh của CPU để thực hiện phân tích
phát hiện xâm nhập và phù hợp với mẫu.
Memory (Bộ nhớ) - Phân tích phát hiện xâm nhập là bộ nhớ intensive. Bộ nhớ ảnh
hưởng trực tiếp đến khả năng của một Network-Based IPS để phát hiện có hiệu quả và
chính xác một cuộc tấn công.
Network-Based IPS cung cấp cho các nhà quản lý bảo mật thông tin chi tiết về an
ninh trong mạng của họ bất kể sự tăng trưởng. Máy chủ bổ sung có thể được thêm vào
các mạng được bảo vệ mà không cần nhiều cảm biến hơn. Các cảm biến bổ sung chỉ
được yêu cầu khi dung lượng lưu lượng truy cập bị vượt quá, khi hiệu năng của chúng
không đáp ứng được nhu cầu hiện tại hoặc khi sửa đổi chính sách bảo mật hoặc thiết
kế mạng yêu cầu các cảm biến bổ sung để giúp thực thi các ranh giới an ninh. Khi
thêm các mạng mới, các cảm biến bổ sung dễ triển khai

14


Ưu điểm của Network-Based IPS là nó cung cấp một chỉ dẫn rõ ràng về mức độ mà
mạng đang bị tấn công; Ngoài ra, bởi vì hệ thống giám sát chỉ kiểm tra lưu lượng từ
mạng, nó không phải hỗ trợ mọi loại hệ điều hành được sử dụng trên mạng.
Nhược điểm của Network-Based IPS là nếu dữ liệu mạng được mã hóa, điều này
có thể làm mù Network-Based IPS, gây khó khăn trong việc khôi phục lại lưu lượng
truy cập bị phân mảnh cho các mục đích giám sát; Khi các mạng phát triển về sử dụng
băng thông, sẽ trở nên khó khăn hơn khi đặt một thiết bị IPS dựa vào mạng tại một địa
điểm duy nhất và thu được thành công tất cả lưu lượng truy cập. Loại bỏ vấn đề này
đòi hỏi phải sử dụng nhiều cảm biến hơn trong mạng, làm tăng chi phí.
2.5 IPS Signatures
2.5.1 Signature Attributes (thuộc tính chữ ký)
Mạng máy tính phải có khả năng xác định lưu lượng truy cập độc hại đến để ngăn
chặn nó. May mắn thay, những lưu lượng độc hại đó hiển thị các đặc điểm khác biệt
hoặc "signatures"(chữ ký). Chữ ký là một bộ quy tắc mà IDS và IPS sử dụng để phát

hiện hoạt động xâm nhập điển hình, chẳng hạn như các cuộc tấn công DoS. Những
chữ ký xác định các worms, virut, các giao thức lạ, hoặc các luồng gói tin độc hại.
Cảm biến IPS được điều chỉnh để tìm các chữ ký phù hợp hoặc các mẫu lưu lượng truy
cập bất thường, chữ ký IPS có khái niệm tương tự như tệp virut.dat được sử dụng bởi
các trình quét virus.
Khi các cảm biến quét các gói tin mạng, chúng sử dụng chữ ký để phát hiện các
cuộc tấn công đã biết và đáp ứng với các hành động được xác định trước. Dòng gói tin
độc hại có một loại hoạt động cụ thể và các chữ ký. Một cảm biến IDS hoặc IPS kiểm
tra luồng dữ liệu sử dụng nhiều chữ ký khác nhau. Một bộ cảm biến sẽ hành động khi
nó khớp với một chữ ký với một luồng dữ liệu, chẳng hạn như đăng nhập sự kiện hoặc
gửi báo thức đến phần mềm quản lý IDS hoặc IPS.
Chữ ký gồm có 3 thuộc tính: type, trigger, action.
2.5.2 Signature Types (Loại chữ ký)
Các loại chữ ký thường được phân loại là atomic hoặc composite.
Atomic Signature:
-Là loại đơn giản nhất, nó bao gồm một gói duy nhất hoạt động, hoặc sự kiện được
kiểm tra để xác định xem nó có phù hợp với một chữ ký đã được cấu hình. Nếu có,
alarm sẽ được kích hoạt và một hành động dựa trên chữ ký sẽ được thực hiện.
15


-Việc phát hiện chữ ký atomic tiêu tốn ít tài nguyên, chẳng hạn như bộ nhớ trên

thiết bị IPS hoặc IDS. Những chữ ký này dễ nhận diện và dễ hiểu vì chúng được so
sánh với một sự kiện hoặc gói tin cụ thể. Phân tích lưu lượng cho những chữ ký atomic
này thường được thực hiện rất nhanh và hiệu quả.
Composite Signature:
-Một chữ ký composite(tổng hợp) còn được gọi là chữ ký trạng thái, kiểu chữ ký
này xác định một chuỗi hoạt động được phân phối trên nhiều máy chủ trong một
khoảng thời gian tùy ý.

-Không giống như chữ ký atomic, thuộc tính trạng thái của chữ ký composite
thường đòi hỏi một vài mẫu dữ liệu để khớp với chữ ký tấn công, và thiết bị IPS phải
duy trì trạng thái.
2.5.3 Signature File
Các mối đe dọa về an ninh mạng đang xảy ra thường xuyên hơn và lây lan nhanh
hơn. Khi các mối đe dọa mới được xác định, các chữ ký mới phải được tạo ra và tải lên
một IPS. Để làm cho quá trình này trở nên dễ dàng hơn, tất cả các chữ ký được chứa
trong tệp chữ ký và được tải lên IPS một cách thường xuyên.
Các signature file chứa một gói chữ ký mạng, đây được coi là một bản cập nhật cho
cơ sở dữ liệu chữ ký trong một sản phẩm Cisco có chức năng IPS hoặc IDS. Cơ sở dữ
liệu chữ ký này được sử dụng bởi giải pháp IPS hoặc IDS để so sánh lưu lượng mạng
với các mẫu dữ liệu trong thư viện tệp chữ ký. IPS hoặc IDS sử dụng so sánh này để
phát hiện các hành vi nghi ngờ về hành vi lưu lượng mạng nguy hiểm.
2.5.4 Signature Micro-Engines
Một chữ ký Micro-Engines là một thành phần của một IDS và IPS cảm biến có hỗ
trợ một nhóm các chữ ký.
Mỗi một engine là tùy chỉnh cho các giao thức và lĩnh vực mà nó được thiết kế để
kiểm tra và xác định một tập hợp các thông số quy phạm pháp luật có phạm vi cho
phép hoặc tập hợp các giá trị. Chữ ký Micro-Engines tìm kiếm các hoạt động độc hại
trong một giao thức cụ thể.
Cisco IOS định nghĩa 5 micro-engines:

Signature Engine

Description
16


Atomic


Chữ ký này thì kiểm tra các gói đơn
giản, chẳng hạn như ICMP và UDP

Service

Chữ ký này là kiểm tra nhiều dịch vụ
đang bị tấn công

Chữ ký sử dụng biểu thức thông thường

String

dựa trên các mẫu để phát hiện xâm
nhập.
Multi-string

Hỗ trợ các mô hình kết hợp linh hoạt và
hỗ trợ xu hướng chữ ký
Kỹ thuật bên trong để xử lý chữ ký linh

Other

tinh
Bảng mô tả chi tiết các micro-engines:
Signature Engine

Description

ATOMIC.IP


Cảnh báo ip lớp 3

ATOMIC.ICMP

Cảnh báo icmp dựa trên :type, code,
sequence, and ID

ATOMIC.IPOPTIONS

Cảnh báo chức năng giải mã ở lớp 3

ATOMIC.UDP

Cung cấp các gói UDP đơn giản báo
động dựa trên các thông số: cổng,
phương diện,và chiều dài dữ liệu

ATOMIC.TCP

Cung cấp các gói tin TCP báo động đơn
giản, dựa trên các thông số: cổng, điểm
đến, và cờ

SERVICE.DNS

Phân tích dịch vụ DNS

SERVICE.RPC

Phân tích dịch vụ diều khiển từ xa rpc


SERVICE.SMTP

Kiểm tra phương thúc gửi mail SMTP

SERVICE.HTTP

Cung cấp các giao thức HTTP giải mã
17


cơ bản dựa trên chuỗi động cơ; bao gồm
anti-evasive URL de-obfuscation
SERVICE.FTP

FTP cung cấp dịch vụ đặc biệt giải mã
cảnh báo

STRING.TCP

UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
tra

STRING.UDP

UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
tra


STRING.ICMP

ICMP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
tra

MULTI-STRING

Hỗ trợ các mô hình kết hợp linh hoạt và
hỗ trợ mô hình chữ ký xu hướng .
Cung cấp các công cụ nội bộ để xử lý

Other

chữ ký linh tinh.
2.6 Sự đa dạng của hệ thống phát hiện xâm nhập
2.6.1 Hệ thống phát hiện xâm nhập mềm
Hiện nay, có rất nhiều công cụ phòng chống và phát hiện lỗ hổng bảo mật mã
nguồn mở hỗ trợ cho các nhà quản trị mạng như Snort, Suricata, Sagan, AIDE
(Advanced Intrusion Detection Environment)…Tuy nhiên, được biết đến rộng rãi và
được triển khai nhiều nhất trên thế giới với hơn 4 triệu lượt tải đó là Snort.[4]
Snort là một phần mềm thuộc dạng IDS/IPS mã nguồn mở cho phép giám sát, phát
hiện những dấu hiện tấn công, xâm nhập mạng. Snort được nhiều tổ chức phát triển và
biến thành sản phẩm thương mại như Sourcefire, Astaro.
SourceFire là công ty sản xuất phiên bản thương mại của Snort, đã được Cisco mua
lại vào năm 2013 và các sản phẩm bảo mật của Cisco sử dụng công nghệ mã nguồn
mở của Snort.
Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau
để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi
18



hỏi. Một IPS dựa trên Snort bao gồm các thành phần chính sau đây: Packet Decoder,
Preprocessor, Dectection Engine, Logging và Alerting System, Output Modules.
Packet Decoder (Bộ phận giải mã gói): Bộ phận giải mã gói lấy các gói từ các
giao diện mạng khác nhau và chuẩn bị cho việc gói tin được xử lí trước hoặc được gửi
cho bộ phận phát hiện.
Preprocessor (Bộ phận xử lí trước): Bộ phận xử lí trước là những thành phần
được sử dụng với Snort để sắp xếp hoặc chỉnh sửa gói dữ liệu trước khi bộ phận phát
hiện làm một vài xử lý để tìm ra gói tin có được sử dụng bởi kẻ xâm nhập hay không.
Một vài bộ phận xử lý trước cũng thực thi việc phát hiện bằng cách tìm các dấu hiệu
bất thường trong header của gói tin và tạo ra các cảnh báo. Bộ phận xử lí trước là rất
quan trọng trong bất kì IPS nào, chúng chuẩn bị cho các gói dữ liệu được phân tích
dựa trên các luật trong bộ phận phát hiện. Kẻ tấn công sử dụng nhiều kĩ thuật khác
nhau để lừa IPS theo nhiều cách. Bộ phận xử lí trước cũng được sử dụng để tái hợp
các gói tin. Trên IPS, trước khi áp dụng bất kì luật nào, bạn phải tái hợp các gói tin lại
để tìm ra các dấu hiệu. Bộ phận xử lí trước trong Snort có thể tái hợp các gói tin, giải
mã HTTP URI, ráp lại các dòng TCP, v.v...Những chức năng này rất quan trọng trong
hệ thống phát hiện xâm nhập.
Dectection Engine (Bộ phận phát hiện): Đây là phần quan trọng nhất của Snort.
Trách nhiệm của nó là phát hiện có sự xâm nhập tồn tại trong gói tin hay không. Bộ
phận phát hiện sử dụng các luật của Snort cho mục đích này.Nếu một gói tin giống với
bất kì lậut nào, một hành động tương ứng sẽ được thực hiện. Đây là bộ phận then chốt
về thời gian thực thi của Snort. Dựa vào bộ máy của bạn mạnh như thế nào và bao
nhiêu luật bạn định nghĩa mà nó có thể tốn những khoảng thời gian khác nhau đối với
các gói tin khác nhau. Nếu lưu lượng trên mạng là quá lớn khi Snort đang hoạt động
trong chế độ NIPS, bạn có thể mất một vài gói tin và có thể thời gian đáp ứng không
chính xác. Lưu lượng trên bộ phận phát hiện phụ thuộc vào các yếu tố sau:
o Số lượng các rule
o Sức mạnh của bộ máy mà Snort đang chạy

o Tốc độ của bus được sử dụng
o Lưu lượng trên mạng
Bộ phận phát hiện hoạt động theo những cách khác nhau ở các phiên bản khác
nhau của Snort. Trong tất cả phiên bản 1.x của Snort, bộ phận phát hiện dừng việc xử
19


lí gói tin khi phù hợp với một luật. Dựa vào luật, bộ phận phát hiện sẽ có các hành
động tương ứng. Điều này có nghĩa là nếu một gói tin phù hợp với nhiều luật, chỉ có
luật đầu tiên được áp dụng mà không xem xét đến các luật còn lại. Điều này làm nảy
sinh một vấn đề. Một luật có độ ưu tiên thấp sẽ tạo ra một cảnh báo có độ ưu tiên thấp,
nếu một luật có độ ưu tiên cao bị xếp sau trong chuỗi luật. Vấn đề này được giải quyết
trong Snort phiên bản 2, khi mà tất cả các luật được so sánh trên một gói tin trước khi
tạo ra một cảnh báo. Sau khi so sánh tất cả các luật, luật có độ ưu tiên cao nhất sẽ được
chọn để tạo cảnh báo. Vì bộ phận phát hiện trong phiên bản 2 đã được viết lại hoàn
toàn nên nó nhanh hơn rất nhiều so với các phiên bản trước đây
Logging và Alerting System (Hệ thống ghi và cảnh báo) : Phụ thuộc vào cái mà
bộ phận phát hiện tìm thấy trong gói tin, gói tin có thể được sử dụng để ghi lại các
hành vi hoặc tạo ra một cảnh báo. Các thông tin ghi lại được giữ trong các file text đơn
giản hoặc các dạng khác.
Output Modules(Bộ phận đầu ra) : Module đầu ra hoặc plug-in có thể hoạt động
theo nhiều cách phụ thuộc vào việc bạn muốn lưu các output được tạo ra bằng hệ
thống ghi và tạo cảnh báo như thế nào. [5]
Lợi ích của Snort : không tốn chi phí về bản quyền (vì là mã nguồn mở), có thể
thiết lập các rules cho Snort phù hợp với chính sách công ty, được hỗ trợ bởi cộng
đồng mã nguồn mở.
Hạn chế của Snort : người quản trị mạng phải am hiểu sâu về hệ thống mạng cũng
như chính sách của công ty để qua đó có thể thiết lập các rule phù hợp.
2.6.2 Hệ thống phát hiện xâm nhập cứng
Tương tự hệ thống phát hiện xâm nhập mềm thì hệ thống phát hiện xâm nhập cứng

cũng được rất nhiều nhà sản xuất trên thế giới quan tâm và đầu tư, chẳng hạn như:
Cisco với Cisco FirePOWER, Cisco Virtual IPS; HP với Next-Generation Intrusion
Prevention System (NGIPS); IBM với IBM Security Network Intrusion Prevention
System…Tuy nhiên, được biết đến và triển khai rộng rãi trên toàn thế giới thì Cisco
luôn giữ vị thế hàng đầu hiện nay.
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho
phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco
cung cấp các nền tảng cảm biến sau đây:
20


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×