Tải bản đầy đủ (.pdf) (83 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System IPS - Luận văn Công nghệ thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.85 MB, 83 trang )

 

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
-----------o0o-----------

ĐỒ ÁN TỐT NGHIỆP
 Đề tài 

Xây dựng hệ thống chống xâm nhập dựa vào
Intrusion Prevention System - IPS
Sinh viên thực hiện:
 

TÔ THANH BÌNH – MSSV:
MSSV: 08B1020122

THÀNH PHỐ HỒ CHÍ MINH NĂM 2010
-0-


 

LỜI CẢM ƠN

Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ
Tp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trong suốt thời
gian vừa qua.
Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thời
gian vừa qua. Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại những


kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được
đồ án.
Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật
Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang áp
dụng vào cuộc sống.
Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp.
Tô Thanh Bình

-1-


 

Mục Lục
LỜI CẢM ƠN................................................................................................1
ƠN................................................................................................1
Danh mục từ viết tắt.......................................................................................5
tắt.......................................................................................5
Danh mục hình minh họa...........................................................................
họa................................................................................8
.....8
Danh mục bảng..........................................................................................
bảng.............................................................................................10
...10
MỞ ĐẦU 11
Chương 1 .Tổng quan về hệ thống ngăn chặn xâm nhập IPS.......................13
IPS.................... ...13
1.1 Giới thiệu hệ th
thống
ống nngăn

găn ch
chặn
ặn xâ
xâm
m nhập............................................
nhập...............................................
......13
...13
1.2 Sơ lược các kiểu tấn côn
côngg và cách phòng
phòng chống...................................
chống........................................15
1.2.11 Các loại tấn công......
1.2.
công...........
...........
............
...........
...........
...........
...........
............
.........................
.........................
.........15
...15
1.2.2 Các bước tấn công
1.2.2
công thường
thường gặp..........

gặp................
............
...........
..........................
............................
..........17
...17
1.2.33 Phương
1.2.
Phương pháp tấn công.....
công...........
............
...........
...........
...........
...........
.....................
.............................
.................18
...18
1.2.44 Giải pháp
1.2.
pháp phòng
phòng chốn
chống....
g.........
...........
...........
...........
............

...........
...........
............
............
..................
...............20
...20
1.3 Kỹ thuật nhận biết
biết và ng
ngăn
ăn chặn xâm
xâm nhập của hệ tthống
hống IPS...................20
IPS................ ...20
1.3.11 Nhận biết
1.3.
biết qua dấu hiệu
hiệu - Signature
Signature Based....
Based..........
..............
............................
.......................21
...21
1.3.22 Nhận biết
1.3.
biết qua sự bất thường
thường - Anomaly
Anomaly Based......
Based............

...........
...........
..............
...........22
...22
1.3.33 Nhận biết
1.3.
biết qua chính sách - Policy
Policy Based..
Based.......
...........
............
...........
.....................
...................24
...24
1.3.4 Nhận biết
biết qu
quaa sự phân tí
tích
ch - P
Protocol
rotocol Analysis
Analysis Based....................
Based.......................24
...24
1.4 Kiến trúc của hệ thống
thống ngăn ngừa xâm nhập............................
nhập....................................
.............

........25
...25
1.4.1 Modul phân tích gói tin...................................................................
tin......................................................................25
...25
1.4.22 Modul
1.4.
Modul phát hiện tấn công.........
công...............
............
...........
...........
............
............................
.........................
......25
...25
1.4.3 Modul phản ứng..............................................................................
ứng.................................................................................27
...27
1.5 Phân loại hệ thống ngăn chặn xâm nhập..........................................
nhập................................................
.........28
...28
1.5.11 Network
1.5.
Network Base
Base......
............
...........

...........
...........
...........
............
...........
...........
..............
.............................
..........................28
1.5.22 Network
1.5.
Network Behavior
Behavior Analysis
Analysis System........
System.............
............
.............................
...........................
........30
...30
1.5.3 Host Based......................................................................................
Based.........................................................................................31
...31
1.5.44 Wireless.
1.5.
ireless.......
............
...........
...........
...........

...........
............
...........
...........
............
............
............
.........................
........................32
1.6 So sánh hệ thống phát hi
hiện
ện xâm nnhậpvà
hậpvà ng
ngăn
ăn chặn xâm nhập..................33
nhập..................33
-2-


 

1.7 Các sản phẩm ttrên
rên thị trường hiện nay...................................................
nay......................................................35
...35
Chương 2 .Giới thiệu tổng quan thiết bị IOS IPS.........................................36
IPS.........................................36
2.1 Giới thiệu...........................................................................................
thiệu...............................................................................................
.......36

...36
2.1.1 Một vài định nghĩa......................................
nghĩa..........................................................................
.......................................36
...36
2.1.2 Chức năng
2.1.2
năng của một hệ
hệ thống ngăn
ngăn chặn
chặn xâm nhập.....
nhập..........
....................
..................37
...37
2.2 Mô hì
hình
nh của
của hệ thống ngăn chặn xxâm
âm nhập.......................................
nhập...........................................
.......40
...40
2.2.1 IPS ngoài luồng - Promiscous Mode...............................................
Mode..................................................41
...41
2.2.22 IPS trong luồng
2.2.
luồng - In-li
In-line

ne mode........
mode.............
...........
............
..............
.............................
..........................41
2.3 Cấu trúc của Cisco
Cisco IOS IPS Sensor.
Sensor.......
............
...........
...........
......................
...............................
..................42
...42
2.3.11 Signatur
2.3.
Signaturee Defi
Definiti
nition
on File - SDF.......
SDF.............
............
...........
...........
...........
...........
...................

................42
...42
2.3.2 Signature Micro Engine - SME.......................................................
SME..........................................................43
...43
2.4 Các lloại
oại dấu hiệu và cảnh báo................................................................
báo...................................................................43
...43
2.4.1 Các loại dấu hiệu......
2.4.1
hiệu...........
...........
............
...........
...........
...........
...........
............
.........................
.........................
.........43
...43
2.4.22 Các loại cảnh báo.......
2.4.
báo.............
............
...........
...........
...........

...........
............
...........
...........
...........
...........
.............
..........46
...46
2.5 Phương ph
pháp
áp quản lý và hạn chế của hệ thốn
thốngg ngăn chặn xâm nhập........48
nhập..... ...48
2.6 Các lệnh trong Cisco IOS IPS................................................................
IPS...................................................................49
...49
2.6.11 Các mode của Command
2.6.
Command Line Interface..
Interface........
...........
...........
............
..............
................
...........49
...49
2.6.22 Tìm hiểu các luật
2.6.

luật của Cisco IOS IPS...
IPS.........
...........
...........
...........
...........
..................
...............
......51
...51
2.7 Các lỗi tthường
hường gặp khi cấu hình bằng Co
Comman
mman - Li
Line........................
ne...............................55
...55
Chương 3 . Mô hình và thực nghiệm..........................................................
nghiệm.............................................................57
...57
3.1 Mô tả thực nghiệm.............................................................................
nghiệm.................................................................................
.......57
...57
3.2 Hạ tầng mạng thực nghiệm........................................................
nghiệm.................................................................
............
......58
...58
3.3 Một ssốố phần

phần mềm dùng để ttriển
riển khai........................................................59
khai..................................................... ...59
3.3.11 Mô tả thi
3.3.
thiết
ết bị..
bị........
............
............
...........
...........
............
............
............
..............
.............................
.........................
.......59
...59
3.3.22 Phần mềm cho PC.........
3.3.
PC...............
............
...........
...........
............
............
............
...........

...........
............
............
.............59
...59
3.3.33 Mô tả các kết nối...........
3.3.
nối.................
............
...........
...........
...........
...........
....................
...............................
....................60
...60
3.4 Cấu hình và kiểm thử......................................................
thử.......................................................................
.......................
.........61
...61
3.4.1 Cấu hình cho từng thiết bị..................................................................61
bị..................................................................61
3.4.22 Kiểm tra quá trình thông mạng.......
3.4.
mạng.............
...........
...........
...........

...........
.....................
....................
........75
...75
-3-


 

3.5 Các cuộc tấn công và kết quả
quả thống
thống kê tthực
hực nghiệm..............................
nghiệm.................................76
...76
3.5.11 Tấn công......
3.5.
công............
............
............
...........
...........
............
............
............
...........
...........
............
................

...................
............76
...76
3.5.22 Ngăn chặn......
3.5.
chặn............
............
...........
...........
............
............
............
...........
...........
...........
...........
............
................
.................78
...78
3.5.33 Kết quả thống kê thực nghiệm........
3.5.
nghiệm..............
............
...........
...........
...........
................
....................
............79

...79
KẾT LUẬN..................................................................................................82
LUẬN..................................................................................................82
TÀI LIỆU THAM KHẢO............................................................................83
KHẢO............................................................................83

-4-


 

Danh mục từ viết tắt
Viết tắt
Tiếng Anh
Tiếng Việt
ACL Access Control List
Danh sách các câu lệnh
ASDM Adap
Adaptiv
tivee Security
Security Devic
Devicee Manager
Manager Chươ
Chương
ng trình
trình dùng
dùng để
để cấu hình
hình Route
Route

CSA
AIC
ARP
IOS
SDM
CSM
MARS

Cisco
ApplicSecurity
ation In
InsAgent
pection aannd Co
Control
Addr
ddres
esss Res
esol
oluutio
ionn Prot
Protooco
coll
Internetwork Operating System
Cisco Security Device Manager
Cisco Security Manager
Security Monitoring, Analysis,
Analysis, and

CLI
CSA

DdoS

Response System
Command Line Interface
Cisco Security Agent
Distributed Denial of Service

DNS
Domain
DoS D
enial-oName
f-servicSystem
e
NBA  Network behavior
behavior anom
anomaly
aly
FRU Fragment Reassembly Unit
FTP File Transfer Protocol
GMT Time-zoneTime-zone-Tame
Tame
HIPS Host-Based Intrusion Prevention
System
HTTP Hypertext T
Trransfer Pr
Protocol
HTTPS Hypertext Transfer Protocol
Secure
ICMP
IDM

IDP
IDS
MC
IDAPI
IPS
TCP
LAN

Phần mềm bảo mật cho Cisco
Giao
Giao thức
hức Addre
dress Res
Resol
oluutio
ionn Pr
Prot
otoocol
col
Chương trình dùng để cấu hình Cisco
Chương trình dùng để cấu hình Cisco
Giao diện dòng lệnh
Tấn công từ chối dịch vụ
Hệ
Tấnthống
công tên
từ cmiền
hối dịch vụ
Dựa trên các dấu hiệu dị thường
Tập hợp các IP fragments.

Giao thức truyền dữ liệu
Giờ GMT

Giao th
thức tr
truyền tải ssiiêu văn bbảản
Giao thức bảo mật truyền tải siêu văn
 bản

Inte
Intern
rnet
et Co
Cont
ntro
roll Mess
Messag
agee Prot
Protoc
ocol
ol

Gi
Giao
ao th
thức
ức xử lý các
các th
thôn
ôngg báo

báo tr
trạn
ạngg
thái cho IP
Cisco Intrusion Prevention System Chương trình dùng để cấu hình IPS

Device Manager 
Intrusio
Intr
usionn Det
Detecti
ection
on and
and Prevent
Prevention
ion Ngăn ngừa tấn công
công vvàà phòng
phòng chống
chống
Intrusion Detection System
Hệ thống phát hiện xâm nhập
Management Center
Trung tâm quản lý
Intrusion Detection Application
Programming Interface
Intrusion Prention System
Transport Control Protocol
Local Area Network
-5-


Hệ thống phát hiện xâm nhập
Giao thức điều khiển truyền tải
Mạng cục bộ


 

LDAP

Lightweight Directory Access

Giao thức ứng dụng truy cập các cấu

MAC

Protocol
Media Access Control

trúc thư mục
Định danh được gán cho thiết bị mạng

MITM
VPN
NTP
NIPS

Man-in-the- middle
Man-in-the-middle
Virtual Path
 Network Tim

Timee Protocol
 Network-Basee Intrusion
 Network-Bas
Prevention System
NIC network interface Control
POP Post Office Protocol
OSI
Open Sy
Systems In
Interconnection
RCP Remotecopy Protocol
SCP Secure Copy Protocol
SSH Secure shell
SDEE Security Device Event Exchange
CSM Security Manager
SDF Signature Definition file
SME Signature micro-enines
SNMP Simple Network Management

Tấn công thụ động
Mạng riêng ảo
Nhận dạng kênh ảo trong
trong tế bào

Protocol
SMTP Si
Simp
mplle Ma
Mail Tra
rannsfer

fer Pr
Proto
toco
co
TFTP Trivial File Transfer Protoco
TLS Transport Layer Security
UDP User Datagram Protoco
UTM Unified Threat Management
VPN Virtual Private Network
WAN Wide Area Network
WIPS Wireless Intrusion Prevention
System
WLAN Wireless LAN
XML eXtensible Markup Language
WIDS Wireless Intrusion Detection

 bị mạng
Gi
Giao
ao thức
hức tr
truyền
uyền tải
tải tthhư tín
tín đơn
đơn gi
giản
Giao thức truyền tải file
Giao thức bảo vệ và mã hóa dữ liệu
Giao thức cốt lõi của giao thức TCP/IP

Quản lí Bảo mật Hợp nhất
Mạng riêng ảo
Mạng diện rộng
Hệ thống phòng chống xâm nhập mạng
không dây
Mạng không dây nội bộ
Ngôn ngửi đánh dấu mở rộng
Hệ thống phát hiện xâm nhập mạng

System

Giao thức dùng để nhận các thư điện tử
Mô Hì
Hình Mạng OS
OS

Giao thức giám sát và điều khiển thiết

không dây

-6-


 

Danh mục hình minh họa
Hình 1-1 Mô hình Snort kết hợp Firewall........................................................14
Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng..................................................15
Hình 1-3 Phương thức nhiễm ARP
ARP cache...................................................

cache.........................................................
......18
18
Hình 1-4 Nhận và chuyển Packet.....................................................................19
Hình 1-5 Sơ đồ tấn công DNS..........................................................................
DNS..........................................................................20
20
Hình 1-6 Signature Based................................................................................21
Hình 1-7 Anomaly Based.................................................................................23
Hình 1-8 Policy Based......................................................................................
Based......................................................................................24
24
Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập..........................25
Hình 1-10 Mô hình Network Base...................................................................28
Hình 1-11 Thành
Thành phần của Network Base........................................................
Base........................................................29
29
Hình 1-12 Mô hình Network
Network Behavior Analysis System.........
System..................
.................
...............
.......31
31
Hình 1-13 Mô hình Host Based........................................................................
Based........................................................................32
32
Hình 1-14 Mô hình Wireless............................................................................33
Hình 1-15 Mô hình chung................................................................................34

Hình 2-1 Các thành phần của Cisco IPS...........................................................
IPS...........................................................37
37
Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn
chặn xâm nhập.....................
nhập........................39
...39
Hình 2-3 Promiscuos mode..............................................................................41
Hình 2-4 Inline Mode.......................................................................................42
Hình 2-5 Các dấu hiệu Attack..........................................................................44
Hình 2-6 Các dấu hiệu về giao thức.................................................................45
Hình 3-1 Mô hình thực nghiệm........................................................................57
Hình 3-2 Sơ đồ hệ thống cần mô phỏng...........................................................59
Hình 3-3 Bắt đầu cài GNS3..............................................................................
GNS3..............................................................................64
64
Hình 3-4 Cài WinpCap.................................
WinpCap..................................................................................
....................................................
...64
64
Hình 3-5 Kết thúc trình cài đặt GNS3..............................................................65
Hình 3-6Giao diện chính của GNS3.................................................................
GNS3................................................................. 65
Hình 3-7 Bắt đầu cài SDM...............................................................................66
Hình 3-8 Cài đặt SDM.....................................................................................67
-7-


 


Hình 3-9 SDM Laucher....................................................................................67
Hình 3-10 Giao diện chính của SDM...............................................................68
Hình 3-11 Tính năng IPS trên router................................................................68
Hình 3-12 Thông báo khi chạy IPS..................................................................69
Hình 3-13 Danh sách card mạng......................................................................69
Hình 3-14 Mô tả cách nạp signature.................................................................70
signature................................................................. 70
Hình 3-15 Kết thúc các quá trình cấu hình.......................................................70
Hình 3-16 Kết thúc quá trình cấu hình.............................................................71
Hình 3-17 Nạp file SDF cho IOS IPS...............................................................
IPS...............................................................71
71
Hình 3-18 Card mạng IPS đang theo dõi..........................................................
dõi..........................................................72
72
Hình 3-19 Định nghĩa
nghĩa hành động cho dấu hiệu......................................
hiệu..............................................
..........72
..72
Hình 3-20 Chỉnh sửa dấu hiệu..........................................................................
hiệu..........................................................................73
73
Hình 3-21 Truy cập HTTP................................................................................76
Hình 3-22 Truy cập FTP...................................................................................
FTP...................................................................................76
76
Hình 3-23 Nmap kiểm tra các port trên server..................................................
server..................................................77

77
Hình 3-24 IPS bắt gói tin của Hacker...............................................................
Hacker............................................................... 78
Hình 3-25 Chương trình Scanport....................................................................80
Hình 3-26 IPS chặn kết nối FTP.......................................................................81
FTP....................................................................... 81

-8-


 

Danh mục bảng
Bảng 2-1 Tóm tắt các loại dấu hiệu..................................................................44
Bảng 2-2 Bảng mô tả chi tiết dấu hiệu.............................................................46
Bảng 2-3 Bộ nhớ các dấu hiệu.........................................................................49
Bảng 2-4 Các dấu hiệu không hỗ trợ................................................................49

-9-


 

MỞ ĐẦU
1.

Giới thiệu
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc

sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hết

các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày. Tuy nhiên, sự
 phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng
 bỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển
nhanh nhất trên toàn hành tinh. Vì vậy,
vậy, việc xây dựng một nền an ninh máy tính, thiết
kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử
dụng máy tính không thể thiếu ở nhiều lĩnh vực.
Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập Intrusion
Detection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường
và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để
giám sát tài sản hệ thống mạng. Tuy
Tuy nhiên, gần đây khái niệm ngăn chặn xâm nhập đã
xuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhập Intrusion Prevention
System – IPS đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụng
rộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một
vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không
chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống, ngày
nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS,
tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó.
Cơ sở hạ tầng CNTT càng phát triển thì vấn đề phát triển mạng lại càng quan trọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải
tự thiết lập một hệ thống tích hợp IPS của riêng mình. Trong luận văn này, chúng ta sẽ

- 10 -



 

tìm hiểu về cấu trúc một hệ thống IPS và đi sâu tìm hiểu phát triển hệ thống Cisco IPS
để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâm
nhập và phòng chống tấn công mạng.
2.

Mục tiêu đề tài

 Đề tài này nghiên cứu các kỹ thuật cơ bản liên quan đến việc xây dựng hệ thống
 bảo mật ngăn ngừa xâm nhập dựa trên Cisco Intrusion Prevention System và triển
khai được ở mức mô hình thực nghiệm.
3.

Hướng tiếp cận giải quyết
Để thực hiện được mục tiêu đặt ra, luận văn trình bày khá chi tiết công nghệ IPS

nói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyên
dụng hay trên Router Cisco hỗ trợ IPS.
4.

Bố cục luận văn
Với mục tiêu và định hướng trên, nội dung của đề tài này được chia làm 3 chương:
Chương 1. Tổng quan về hệ thống ngăn chặn xâm nhập
Giới thiệu công nghệ IPS, các phương pháp và phòng chống tấn công, phân tích sự

khác biệt cơ bản giữa IPS và IDS, các mô hình của hệ thống IPS, cách hoạt động của
IPS và phân loại IPS để đưa ra những ứng dụng mà công nghệ IPS mạng lại.
Chương 2. Giới thiệu chung về thiết bị IOS IPS
Trình bày các khái niệm của Cisco IPS, khả năng ứng dụng IPS, tìm hiểu các câu

lệnh và cách tạo luật trong IOS IPS và những khó khăn mắc phải khi triển khai IPS.
Chương 3. Mô phỏng và thực nghiệm
 Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏng
trên GNS3 và VMWare.

- 11 -


 

Chư
Ch
ương 1 .

1.1
1.1

Tổ
Tổng
ng quan về hệ thố
hống
ng ngă
găn
n ch
chặn
ặn xâm nhậ
hập
p IP
IPS
S


Giới
Giới thiệ
thiệu
uh
hệệ tthố
hống
ng ngăn
ngăn chặn
chặn xâm
xâm n
nhậ
hập
p

Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chức
năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng,
 phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn
chặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết định
liệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện
hành động thích hợp để bảo vệ hệ thống mạng. Trước các hạn chế của hệ thống phát
hiện xâm nhập – Intrusion Detection System
System (IDS), một vấn đề được đặt ra là làm sao
hệ thống có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnh
 báo nhằm giảm thiểu công việc của người quản trị. Hệ thống ngăn ngừa xâm nhập
được ra đời vào năm 2003, được phổ biến rộng rải cho đến ngày nay và đã dần dần
thay thế cho hệ thống phát hiện xâm nhập - IDS, bởi nó có thể giảm bớt các yêu cầu
tác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện các
cuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ
thống, tuy nhiên một hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệ

thống IDS bằng việc ngắt bỏ tính năng ngăn chăn xâm nhập.
Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phần
cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo cho
nhà quản trị biết về an ninh của hệ thống. Một số IPS so sánh các gói tin nghe được
trên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượng
mạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thống này gọi
là Signature-Based IPS. Đối với việc quan sát lưu lương của hệ thống theo thời gian
và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thống
này gọi là anomaly-Based IPS. Sau đây ta tìm hiểu từng loại hệ thống:
Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâm
nhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn

- 12 -


 

chặn xâm nhập - IPS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiện
những cuộc tấn công. Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thành
sản phẩm thương mại như Sourcefire, Astaro, …Để cài được snort thì đầu tiên xem
xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần không
gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủ
khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì
người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo
nhất. Snort có thể chạy trên các hê điều hành như Window, Linux. Snort chủ yếu là
một hệ thống phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text
có thể được chỉnh sửa bởi người quản trị, các luật được nhóm thành các kiểu và mỗi
loại được lưu trong các file khác nhau.

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết hợp Firewall


Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phát
hiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốt
nhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp các
loại cảm biến sau đây:
Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sản
 phẩm bao gồm Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM20 với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40
- 13 -


 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhâp
cứng

Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện,
 phân loại, và ngăn
ngăn chặn các mối đe dọa,
dọa, bao gồm cả sâu, phần m
mềm
ềm gián điệp và ph
phần
ần
mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor 
Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhập
nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác.
Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là một
 phần của giải pháp của Cisco IPS, nó hoạt động kết hợp với các thành phần khác để
 bảo vệ dữ liệu.
liệu.

1.2
1.2

Sơ lược
lược cá
cácc kiể
kiểu
u tấn
tấn cô
công
ng và cá
cách
ch ph
phòn
òngg chốn
chốngg

1.
1.2.
2.11 Các
Các loại
loại tấ
tấnn công 
công 
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến
hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng
gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật.
Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các
giao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,...


- 14 -


 

Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các
thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử
dụng các cấu hình mặc định trên thiết bị như switch, router, modem…Nếu dựa vào
hành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:
Tấn công thụ động : Là phương pháp tấn công không tác động đến nội dung thông
điệp được truyền trên mạng mà chỉ lắng nghe và phân tích nội dung của thông điệp, từ
đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tấn công tiếp
theo. Đối với thông điệp không được mã hoá thì hacker có thể bắt và hiểu được đầy đủ
nội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với những
thông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệp
trên đường truyền nhưng việc hiểu đúng nội dung packet không phải là dễ dàng, vì nội
dung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nội
dung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa. Kết quả nhận
được từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trên
mạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dung
thông điệp, khoá dùng để mã hóa cho thông điệp,…
Tấn công chủ động : Là phương pháp tấn công can thiệp vào nội dung của thông
điệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thể như các thiết bị,
máy tính,… làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu.
Có một số cách thức tấn công chủ động như sau:


Giả mạo xác nhận quyền truy cập - Authentication Spoofing




Thay đổi nội dung thông điệp - Message Modification



Phương pháp tấn công qua người trung gian - Man-In-Middle Attack 

 Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hai
loại. Tấn công từ bên trong và tấn công từ bên ngoài:
Tấn công từ bên trong : Là những tấn công xuất phát từ bên trong hệ thống mạng.
Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tin
nhiều hơn quyền cho phép.

- 15 -


 

Tấn công từ bên ngoài:
ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các
kết nối truy cập từ xa.
1.2.22 Các bước tấn công thường
1.2.
thường gặp
Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện các
máy chủ, địa chỉ IP, các dịch vụ mạng, …
Bước 2: Kẻ tấn công sử dụng các thông tin thu thập được từ buớc 1 để tìm kiếm
thêm thông tin về lỗ hổng và điểm yếu của hệ thống mạng, các công cụ thường được
sử dụng cho quá trình này là các công cụ quét cổng Scan port, quét IP, dò tìm lỗ hổng.
Bước 3: Các lỗ hổng được tìm thấy trong bước 2, kẻ tấn công sử dụng nó để khai

thác xâm nhập vào hệ thống, chúng có thể dùng các kỹ thuật như tràn bộ đệm, từ chối
dịch vụ DoS.
Bước 4: Một khi kẻ tấn công đã xâm nhập được vào hệ thống bước tiếp theo là làm
sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai như
Backboors, Trojans… và khi đã làm chủ chúng có thể gây ra những nguy hại cho hệ
thống hoặc đánh cắp thông tin. Ngoài ra, chúng có thể sử dụng hệ thống này để tấn
công vào các hệ thống khác như tấn công DDoS.
Bước 5: Khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập bước tiếp theo
là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ xâm nhập như xóa các
tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên, làm sao để nhận biết
hệ thống mạng đang bị tấn công ngay từ hai bước đầu tiên là hết sức quan trọng, ở 
 bước 2 và bước 3 kẻ tấn công thường làm lưu lượng kết nối thay đổi khác với lúc
mạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ở 
 bước 3 là xâm nhập thì không
không dễ dàn
dàngg đối với kkẻẻ tấn công. Do vậy,
vậy, khi không thể xâm
nhập được vào hệ thống để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn
công từ chối dịch vụ DoS hay DDoS để ngăn không cho người dùng hợp lệ truy xuất
tài nguyên hệ thống.

- 16 -


 

1.2.3
1.2
.3 Phươn

Phươngg pháp
pháp tấn
tấn côn
công 

Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.
 Kỹ thuật tấn
tấn công ARP 
Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ gửi gói tin ARP có chứa
thông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận được
gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2
giá trị này trùng khớp thì B sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B cho
A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP table
ARP cache để dùng cho lần truyền tiếp theo.

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache

 Kỹ thuật tấn
tấn công M
Man-in-the-m
an-in-the-middle
iddle (MIT
(MITM):
M):
Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuất
vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên
mạng.
Ví dụ: Lây nhiễm ARP cache như sau:
Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:
A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)

B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)
Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)

- 17 -


 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet

H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉ
MAC= HH:HH:HH:HH:HH:HH
H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của B sẽ là IP= 10.0.0.2– MAC=
HH:HH:HH:HH:HH:HH. Khi A cần truyền thông điệp đến B, nó thấy trong ARP table
B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho H
thay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đó
đến B.
Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên.
 Như vậy,
vậy, H đóng vai trò là người
người trung
trung gian nhận
nhận và chuyể
chuyểnn thông điệp
điệp giữa A và B
mà hai host này không hề hay biết, H có thể thay đổi thông điệp trước khi truyền đến
máy đích.
 Ping of Death:

Death:
Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua
lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo.

- 18 -


 

VD : ping –l 65000
Tấn công từ chối dịch vụ DNS:
Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhân
rồi chỉ đến một website B nào đó của hacker. Khi máy khách truy cập đến Server A thì
thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính
hacker tạo ra.

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn công DNS

1.2.4
1.2
.4 Giải
Giải ppháp
háp phòng
phòng chố
chống 
ng 
Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ
hệ thống mạng cần thiết,
thiết, xây dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tường
lửa chống xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trình

 bảo mật để bảo vệ các tài liệu tập tin quan trọng, thường xuyên back-up dữ liệu. tuy
nhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương
 pháp sau: cấu hình đúng tính năng của Antispoof
Antispoof trên router và tường lửa của hệ
thống, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router và
tường lửa, giới hạn việc đánh giá lưu lượng mạng.
1.
1.33

Kỹ thu
thuật
ật n
nhậ
hận
n biết
biết và
và ngăn
ngăn cchặ
hặn
n xâm
xâm n
nhậ
hập
p của
của hệ
hệ thốn
thốngg IPS
IPS

Hiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thức

theo dõi và phân tích. Mỗi phương pháp có những lợi điểm và những hạn chế nhất

- 19 -


 

định. Tuy
Tuy nhiên, mỗi phương pháp đều có thể mô tả thông qua một mô hình tiến trình
chung tổng quát cho hệ thống ngăn ngừa xâm nhập
1.3.11 Nhận biết
1.3.
biết qua
qua dấu hi
hiệu
ệu - Signatu
Signature
re B
Based 
ased 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based
Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngăn
ngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đã
được biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết
rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình. Một
Signature Based là những dấu hiệu giám sát tất cả các lưu lượng và so sánh dữ liệu
hiện có và đưa ra cảnh báo cho người quản trị biết. Ngoài ra, một Signature Based là
một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông
thường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhau

những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật như các phần mềm
diệt virus.
 Lợi ích việc
việc dùng dấu hiệu - Signatur
Signaturee Based  
 Những file dấu hiệu được tạo nên từ những phương pháp tấn công đã biết chúng
theo dõi những hoạt động để tìm các dấu hiệu tấn công tương ướng đã được định dạng
sẵn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựa
trên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ 
sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ

- 20 -


 

thống, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thể được
người quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo.
Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều
hạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa được
 biết, hệ thống ngăn chặn
chặn xâm nhập phải biết trước
trước những hoạt động tấn công để nó có
thể nhận ra cuộc tấn công đó, những dạng tấn công mới mà chưa từng được biết hay
khám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiện
những sự thay đổi của cuộc tấn công đã biết. Các File dấu hiệu được cung cấp kèm
theo thiết bị IPS vì thế hacker có thể sử dụng thiết bị đó để kiểm tra, một khi kẻ xâm
nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũng
như các công cụ tấn công để đánh bại hệ thống ngăn chặn xâm nhập. Ngoài ra, những
file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa

trên sự bất thường, nếu thay đổi cách tấn công kẻ xâm nhập có thể thực hiện cuộc xâm
nhập mà không bị phát hiện, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS cái gì làm
 phát sinh cảnh báo,
báo, do đó trách nhiệm
nhiệm của người qu
quản
ản trị là bảo đảm file cơ sở
sở dữ liệu
luôn cập nhật thường xuyên.
1.3.22 Nhận biết
1.3.
biết qua
qua sự bất tthườn
hườngg - Anomal
Anomalyy Based 
Based 
Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướng
hay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sự
kiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường,
ta có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả
sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những
lưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụng
như là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người
sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập
sẽ phát sinh cảnh báo. Tóm lại, phát hiện dựa trên sự bất thường hay phân tích sơ lược
những hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấy
thì một tín hiệu cảnh báo sẽ được khởi phát.

- 21 -



 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based

 Lợi ích của việc dùng Anomaly Based 
Based  
Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi để
đạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó, với phương pháp này
kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm phát
sinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở dữ liệu và dấu
hiệu này luôn thay đổi. Phát hiện bất thường có thể phát hiện tấn công từ bên trong, ví
dụ nếu một user nào đó trong hệ thống cố tình truy cập vào IPS để thi hành quản trị thì
hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Admin
 biết và có thể khóa hoặc ngăn chặn user đó. Ưu điểm lớn nhất của phát hiện dựa trên
 profile hay sự bất thường
thường là nó không dựa
dựa trên những dấu hiệu đđãã được định dạng hay
những cuộc tấn công đã biết trước, Profile có thể là động và có thể sử dụng trí tuệ
nhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc phát
hiện những cuộc tấn công chưa được biết trước đây và được dùng để phát hiện những
 phương pháp tấn công mới mà phương pháp phát hiện bằng dấu hiệu không phát hiện
được.
 Hạn chế của
của việc dùng
dùng Anomaly
Anomaly Based  
 Những hệ thống dựa trên sự bất thường có thể gây ra nhiều cảnh báo nhầm bởi vì
chúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việc
định nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốt

khi nó định nghĩa những hành động nào là bình thường hành động nào bất bình
thường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đổi,
- 22 -


 

ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầu
cao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
1.3.33 Nhận biết qua chính
1.3.
chính sách - Policy
Policy Based 
Based 
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy Based
Policy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có những
hành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết
 bị trong hệ thống mạng đưa ra các chính sách bảo mật tới hệ thống IPS một cách
chính xác và được phép truy cập vào hay không, một trong những tính năng quan
trọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh báo sai.
Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản trị hệ thống
gặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu
hình và quản trị từ xa gặp nhiều hạn chế.
1.3.4 Nhận biết
biết qua
qua sự phân tích - Protocol
Protocol Analysis Based 
Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhập
cũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giao
thức trong gói tin. Ví dụ một hacker bắt đầu chạy một chương trình tấn công tới một

Server, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo một
RFC.
Protocol Analysis Based dò kiểu tấn công trên các giao thức:
 Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không.
 Kiểm

tra nội dung trong Payload.

 Thực

hiện cảnh báo những giao thức không bình thường.

1.4
1.4

Kiến
Kiến trúc
trúc củ
củaa h
hệệ thố
thống
ng ngăn
ngăn ngừa
ngừa xâ
xâm
mn
nhậ
hập
p


Một hệ thống ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa
ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và

- 23 -


 

chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tích
gói tin, modul phát hiện tấn công và modul phản ứng.

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-9 Kiến trúc chung của hệ thống
ngăn chặn xâm nhập

1.4.1
1.4
.1 Modul
Modul phân
phân ttích
ích gói
gói tin
tin
Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin
này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì
chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từng
trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các thông
tin này được chuyển đến modul phát hiện tấn công.
1.4.2
1.4
.2 Modul

Modul phát
phát hhiện
iện tấn
tấn côn
công 

Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát
hiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường.
 Phươngg pháp dò sự lạm dụng 
 Phươn
dụng 
Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giống
với các mẫu tấn công đã biết trước các mẫu này gọi là các dấu hiệu tấn công, do vậy
 phương pháp
pháp này còn được gọi
gọi là phương phá
phápp dò dấu hiệu, chúng
chúng có ưu điểm là phát
hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm
khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật

- 24 -


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×