HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------

Nguyễn Phương Thực

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG
PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS

Chun ngành: Hệ Thống Thơng Tin
Mã số: 60.48.01.04

TĨM TẮT LUẬN VĂN THẠC SĨ

TP. HÀ NỘI - 2013


Luận văn được hồn thành tại:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

Người hướng dẫn khoa học: TS. Nguyễn Thành Phúc
(Ghi rõ học hàm, học vị)

Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thơng
Vào lúc:

....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng


LỜI CẢM ƠN
Tôi xin chân thành cảm ơn quý thầy cô cùng Ban giám
hiệu nhà trường, các thầy cô trong khoa Công nghệ Thông tin
đã cho tôi những kiến thức nền tảng trong những năm học tại
trường.
Đặc biệt tôi xin bày tỏ sự biết ơn sâu sắc tới TS. Nguyễn
Thành Phúc – Cục trưởng Cục Ứng dụng công nghệ thông tin –
Bộ Thông tin và Truyền thông đã luôn tận tình hướng dẫn và
tạo nhiều điệu kiện tốt nhất để tơi hồn thành luận văn.
Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, những người
đã sinh thành và dạy bảo con trưởng thành như ngày hôm nay.
Những người đã luôn hết lòng tận tụy chăm sóc, ủng hộ và
động viên con trong suốt thời gian học tập và nghiên cứu.
Mặc dù tôi đã nghiêm túc và cố gắng hồn tất đề tài
nhưng chắn chắn sẽ khơng tránh khỏi những thiếu sót, kính
mong sự thơng cảm và góp ý giúp đỡ của quý thầy cô và các
bạn.
Nguyễn Phương Thực


LỜI CAM ĐOAN
Tôi cam đoan luận văn này là công trình nghiên cứu của
riêng tơi. kết quả đạt được trong luận văn là sản phẩm của riêng
cá nhân, không sao chép lại của người khác. Các số liệu, kết
quả nêu trong luận văn là trung thực.
Luận văn này chưa từng được ai cơng bố trong bất kỳ

cơng trình nào khác.
Nếu sai tơi xin chịu hồn tồn trách nhiệm.
Tác giả luận văn

Nguyễn Phương Thực


MỤC LỤC
MỞ ĐẦU ........................................................................................ 6
1.1 Hiện trạng về an ninh mạng ................................................. 1
1.1.1 Hiện trạng về an ninh mạng trong nước .................. 1
1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam.. 2
1.2 Sự cần thiết phải có an ninh mạng
và các yếu tố cần bảo vệ ............................................................ 2
1.2.1 Sự cần thiết phải có an ninh mạng ........................... 2
1.2.2 Các yếu tố cần bảo vệ .............................................. 2
1.2.3 Mơ hình phòng vệ theo chiều sâu: ........................... 3
1.3 Chính sách an toàn, an ninh mạng ....................................... 3
1.3.1 Khái niệm chính sách an ninh mạng ........................ 3
1.3.2 Cấu trúc an tồn, an ninh mạng ............................... 3
1.3.3 Chính sách an tồn, an ninh mạng ........................... 3
1.4 Phương pháp phát hiện và phòng chống xâm nhập ............ 4
1.4.1 Xác định mối đe dọa ................................................ 4
1.4.2 Phương pháp phòng chống xâm nhập: ..................... 4
Chương 2 - HỆ THỐNG PHÁT HIỆN
VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS ............................... 6
2.1 IDS ........................................................................................... 6
2.1.1 Khái niệm ................................................................. 6
2.1.3 Công nghệ ................................................................ 8
2.1.4 Phân loại ................................................................... 9

2.2 IPS ........................................................................................ 9
2.2.2 Ưu nhược điểm......................................................... 9
2.2.3 Công nghệ ................................................................ 10
2.2.4 Phân loại ................................................................... 10
2.3 So sánh IDS và IPS .............................................................. 10
2.3.1 Sự giống nhau .......................................................... 10
2.3.2 Sự khác nhau ............................................................ 11


2.4 Phương pháp phát hiện xâm nhập ........................................ 12
2.4.1 Phát hiện dấu hiệu khơng bình thường .................... 12
2.4.2 Phát hiện dựa theo hành vi bất thường..................... 12
2.4.3 Phát hiện dấu hiệu có hành vi xấu ........................... 13
2.4.4 Phát hiện dựa vào tương quan các mấu tham số ...... 13
2.5 Một số giải pháp IDS/IPS thương mại ................................ 13
2.5.1 Giải pháp của Cisco ................................................. 13
2.5.2 Giải pháp của ISS Proventia .................................... 13
2.5.3 Giải pháp của NFR ................................................... 14
Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI
PHÁP CISCO IPS .......................................................................... 14
3.1 Giới thiệu kiến trúc hệ thống ............................................... 14
3.1.1 Kiến trúc chung của các hệ thống IPS ..................... 14
3.2 Các yêu cầu triển khai .......................................................... 14
3.2.1 Các yêu cầu về bảo mật............................................ 14
3.2.2 Yêu cầu về phần cứng, phần mềm ........................... 15
3.3 Xây dựng mơ hình mạng thử nghiệm .................................. 16
3.3.1 Thiết kế mơ hình mạng thử nghiệm ......................... 16
3.3.2 Triển khai cài đặt ...................................................... 16
3.3.3 Triển khai cấu hình: ................................................. 16
3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo

mật ..................................................................................... 17
3.4 Tùy chỉnh các tham số phòng chống tấn công..................... 20
3.4.1 Điều chỉnh tham số cảnh báo ................................... 20
3.4.2 Tùy chỉnh custom atomic signature ......................... 20
3.4.3 Tùy chỉnh custom stream signature ......................... 22
3.4.4 Tùy chỉnh custom http signature .............................. 22
3.5 Đánh giá kết quả thử nghiệm ............................................... 22
3.5.1 Kết quả đạt được ...................................................... 22
3.5.2 Nhận xét và đánh giá ................................................ 23
3.5.3 Định hướng nghiên cứu............................................ 24
DANH MỤC TÀI LIỆU THAM KHẢO ....................................... 25


DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT
Chữ viết
tắt
IPS
IDS

Nghĩa tiếng Anh
Intrusion Prevention
System
Intrusion Detection
System

Nghĩa tiếng Việt
Hệ thống ngăn chặn xâm
nhập
Hệ thống phát hiện xâm
nhập

Công nghệ thông tin

CNTT
Internet Security
Systems

Hệ thống bảo mật mạng

Demilitarized Zone
Internet Service
Provider
Internation Standard
Organization

Vùng phi quân sự
Nhà cung cấp dịch vụ
Internet

LAN

Local Area Network

Mạng cục bộ

TCP

Transmission Control
Protocol

Giao thức kiểm soát truyền

tin

ISS
DMZ
ISP
ISO

Tổ chức tiêu chuẩn quốc tế


MỞ ĐẦU

Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ
biến trong hầu hết các hoạt động kinh tế xã hội. Cùng với sự
phát triển đó, ngày càng xuất hiện nhiều hơn những cá nhân,
nhóm hoặc thậm chí là cả những tổ chức hoạt động với những
mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ
thống thông tin, gây tác hại vô cùng to lớn đến tính an tồn và
bảo mật thơng tin trên các hệ thống này.
Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá
nhân cũng như các cơ quan, tổ chức phải kết nối mạng Internet
toàn cầu. An toàn và bảo mật thông tin là một trong những vấn
đề quan trọng hàng đầu khi thực hiện kết nối Internet. Tuy
nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ
chức bị đánh cắp thông tin… gây nên những hậu quả vô cùng
nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy
tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các
cuộc tấn công không được báo trước, số lượng các vụ tấn công
tăng lên nhanh chóng và các phương pháp tấn cơng cũng liên
tục được hồn thiện. Vì vậy việc kết nối một máy tính vào

mạng nội bộ cũng như vào mạng Internet cần phải có các biện
pháp đảm bảo an tồn thơng tin.


Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên
phải đối mặt trên môi trường Internet em đã quyết định chọn đề
tài: Nghiên cứu, triển khai hệ thống phát hiện và phịng
chống xâm nhập IDS/IPS.
Nội dung chính của luận văn gồm 3 chương như sau:
Chương 1: Tổng quan về an ninh mạng máy tính
Chương 2: Hệ thống phát hiện và phòng chống xâm nhập
IDS/IPS
Chương 3: Triển khai và đánh giá thử nghiệm giải pháp
Cisco IPS


1

Chương 1 -

Chương 1- TỔNG QUAN VỀ AN NINH
MẠNG MÁY TÍNH

1.1 Hiện trạng về an ninh mạng
Trong hệ thống mạng, vấn đề an tồn và bảo mật một hệ
thống thơng tin đóng một vai trò hết sức quan trọng. Thông tin
chỉ có giá trị khi nó giữ được tính chính xác, thơng tin chỉ có
tính bảo mật khi chỉ có những người được phép nắm giữ thông
tin biết được nó. Khi ta chưa có thông tin, hoặc việc sử dụng hệ
thống thông tin chưa phải là phương tiện duy nhất trong quản

lý, điều hành thì vấn đề an tồn, bảo mật đơi khi bị xem
thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của
tính bền hệ thống và giá trị đích thực của thơng tin đang có thì
chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống
thông tin. Để đảm bảo được tính an tồn và bảo mật cho một hệ
thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần
mềm và con người.

1.1.1 Hiện trạng về an ninh mạng trong nước
Trong những năm qua, dưới sự lãnh đạo và điều hành của
Chính phủ, lĩnh vực CNTT đã khơng ngừng phát triển góp phần
thúc đẩy sự phát triển của kết cấu hạ tầng đóng góp tích cực
vào sự phát triển kinh tế - xã hội. Mặc dù kinh tế có nhiều khó
khăn do chịu ảnh hưởng của cuộc khủng hoảng kinh tế toàn


2
cầu, lĩnh vực CNTT vẫn tiếp tục phát triển và đạt được nhiều
thành tựu quan trọng.

1.1.2 Số liệu khảo sát về an tồn thơng tin tại Việt Nam
Hệ thống quản lý an tồn thơng tin tại Việt Nam hiện nay
còn rất yếu kém thể hiện ở tỉ lệ các đơn vị có cán bộ chuyên
trách, bán chuyên trách về an tồn thơng tin chỉ chiếm gần
70%. Trong khi đó tỉ lệ đơn vị có kế hoạch đào tạo an tồn
thơng tin chiếm khoảng 60%. Đặc biệt tỉ lệ đơn vị mua bảo
hiểm đề phòng thiệt hại do bị tấn công máy tính vơ cùng ít chỉ
có 11.6 %.

1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần

bảo vệ

1.2.1 Sự cần thiết phải có an ninh mạng
Để thấy được tầm quan trọng của việc đảm bảo an ninh
mạng ta tìm hiểu các tác động của việc mất an ninh mạng và từ
đó đưa ra các yếu tố cần bảo vệ.
Các lớp an ninh trên mạng có nghĩa là thông tin có giá trị
mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với
bạn và được bảo vệ trước các tấn công. .

1.2.2 Các yếu tố cần bảo vệ
- Dữ liệu, Hệ thống, Đường truyền,


3

1.2.3 Mơ hình phịng vệ theo chiều sâu:
1.2.3.1 Giới thiệu
1.2.3.2 Bảo vệ vành đai
1.2.3.3 Bảo vệ mạng
1.2.3.4 Bảo vệ máy chủ
1.2.3.5 Bảo vệ ứng dụng
1.2.3.6 Bảo vệ dữ liệu
1.3 Chính sách an tồn, an ninh mạng
1.3.1 Khái niệm chính sách an ninh mạng
Chính sách an ninh mạng là những nội dung, kế hoạch đã
được nghiên cứu tổng hợp rất kỹ để đánh giá mức độ an toàn
của hệ thống mạng.

1.3.2 Cấu trúc an toàn, an ninh mạng

Kiến trúc an ninh OSI rất hữu ích để quản lý như một
cách thức tổ chức công tác đảm bảo an ninh.
Kiến trúc an ninh OSI tập trung vào các cuộc tấn công an
ninh, cơ chế, và dịch vụ.

1.3.3 Chính sách an tồn, an ninh mạng
Các chính sách bảo mật là một mơ tả hành vi mong
muốn. chính sách này có thể tham khảo các u cầu về bảo mật,
tính tồn vẹn, và sẵn có… Một chính sách bảo mật là các quy


4
tắc và thực hành cụ thể của quy định như thế nào một hệ thống
hoặc tổ chức cung cấp dịch vụ an ninh để bảo vệ tài nguyên hệ
thống nhạy cảm và quan trọng. một chính sách bảo mật được
thực thi bởi các hệ thống kỹ thuật quảng cáo kiểm soát cũng
như quản lý và kiểm soát hoạt động..

1.4 Phương pháp phát hiện và phòng chống xâm nhập
1.4.1 Xác định mối đe dọa
1.4.1.1 Mối đe dọa không cấu trúc
1.4.1.2 Xác định mối đe dọa có cấu trúc
1.4.1.3 Xác định mối đe dọa từ bên ngoài
1.4.1.4 Xác định mối đe dọa từ bên trong
1.4.2 Phương pháp phòng chống xâm nhập:
1.4.2.1 Reconnaissance Attacks
Các cuộc tấn công do thám liên quan đến việc khám phá
trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ
hổng. Reconnaissance Attacks thường sử dụng bắt gói tin và
máy quét cổng tương tự như một tên trộm khảo sát một khu phố

tìm gia đình mất cảnh giác để đột nhập vào, chẳng hạn như một
nơi cư trú trống hoặc một ngôi nhà với một cánh cửa dễ mở.
Reconnaissance Attacks có thể được giảm nhẹ bằng
nhiều cách:
Sử dụng xác thực là một lựa chọn đầu tiên trong việc


5
phòng chống bắt các gói tin. Xác thực là một phương pháp
chứng thực người dùng có thể không dễ dàng bị phá vỡ . Một
mật khẩu một lần (OTP) là một hình thức xác thực mạnh. Xác
thực hai yếu tố kết hợp như một thẻ token với một mã PIN.
Mã hóa cũng có hiệu quả để giảm thiểu các cuộc tấn công
gói bắt các gói tin. Nếu gói tin được mã hóa thì dữ liệu bị bắt là
khơng thể đọc được.
Đặc biệt sử dụng một IPS và tường lửa có thể giới hạn
những thông tin mà có thể được phát hiện với một máy quét
cổng. Quét kết nối có thể được dừng lại nếu ICMP echo và
echo- reply được tắt trên bộ định tuyến biên. Tuy nhiên, khi các
dịch vụ này được tắt, chẩn đoán mạng dữ liệu gặp nhiều khó
khăn. Ngồi ra, cổng qt có thể chạy mà khơng cần quét đầy
đủ, chỉ đơn giản là mất nhiều thời gian vì các địa chỉ IP khơng
hoạt động cũng được quét.

1.4.2.2 Access Attacks
Một số lượng đáng ngạc nhiên của các cuộc tấn cơng truy cập
được thực hiện thơng qua đốn mật khẩu đơn. Việc sử dụng
các giao thức xác thực mã hóa hoặc băm, cùng với một chính
sách mật khẩu mạnh, làm giảm đáng kể khả năng tấn công truy
cập thành công. Có những hoạt động cụ thể giúp để đảm bảo

một chính sách mật khẩu mạnh:


6
Vô hiệu hóa tài khoản sau khi một số cụ thể của thông tin đăng
nhập không thành công. Việc này cũng giúp phòng chống nỗ
lực mật khẩu liên tục. Không sử dụng mật khẩu chữ thô. Sử
dụng hoặc một mật khẩu một lần (OTP) hoặc mật khẩu mã
hóa. Sử dụng mật khẩu mạnh. Mật khẩu mạnh ít nhất tám ký
tự và có chữ hoa, chữ thường, số và các ký tự đặc biệt.

1.4.2.1 Denial of Service Attacks
Để giảm thiểu tấn cơng DDoS đòi hỏi phải chẩn đốn cẩn
thận, lập kế hoạch, và hợp tác từ các ISP.
Các yếu tố quan trọng nhất để giảm đối với cuộc tấn công
DoS là bức tường lửa và IPSS. Cả hai IPSS dựa trên máy chủ
và dựa trên mạng được khuyến khích.
Sử dụng cơng nghệ antispoofing, chẳng hạn như bảo mật
cổng, DHCP snooping, địa chỉ IP nguồn Guard, Dynamic ARP
Thanh tra, và ACL.

Chương 2 -

HỆ THỐNG PHÁT HIỆN VÀ PHÒNG
CHỐNG XÂM NHẬP IDS/IPS

2.1 IDS
2.1.1 Khái niệm
2.1.2 Ưu nhược điểm
2.1.2.1 Ưu nhược điểm của Network Base IDS

 Lợi thế của Network-Based IDSs:


7
- Quản lý được cả một network segment (gồm nhiều host)
- Trong suốt với người sử dụng lẫn kẻ tấn cơng
- Cài đặt và bảo trì đơn giản, khơng ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mơ hình
OSI)
- Độc lập với OS
 Hạn chế của Network-Based IDSs:
- Có thể xảy ra trường hợp báo động giả (false positive), tức
khơng có intrusion mà NIDS báo là có intrusion.
- Khơng thể phân tích các traffic đã được encrypt (vd: SSL,
SSH, IPSec…)
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để
thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo
động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.

2.1.2.2 Ưu nhược điểm của Host Based IDS
 Lợi thế của HIDS:
- Có khả năng xác đinh user liên quan tới một event.


8
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra
trên một máy, NIDS không có khả năng này.
- Có thể phân tích các dữ liệu mã hố.

- Cung cấp các thông tin về host trong lúc cuộc tấn công
diễn ra trên host này.
 Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự
tấn công vào host này thành công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị
"hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS không có khả năng phát hiện các cuộc dò quét
mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS.
- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng
đã có 1 số chạy được trên UNIX và những hệ điều hành khác.

2.1.3 Công nghệ
IDS phát triển đa dạng trong cả phần mềm và phần cứng
,mục đích chung của IDS là quan sát các sự kiện trên hệ thống


9
mạng và thông báo cho nhà quản trị viên biết về an ninh của sự
kiện cảm biến được cho là đáng báo động.
 Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có
nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám
sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền
tảng cảm biến sau đây:

2.1.4 Phân loại

2.1.4.1 Network Based IDS
2.1.4.2 Host Based IDS
2.1.4.3 Application-Based IDS
2.1.4.4 Signature-Based IDS
2.1.4.5 Statistical Anomaly Based IDS
2.2 IPS
2.2.1 Khái niệm
Hệ thống IPS (intrusion prevention system) là một kỹ
thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall
với hệ thống phát hiện xâm nhập IDS (intrusion detection
system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công
và tự động ngăn chặn các cuộc tấn công đó.

2.2.2 Ưu nhược điểm
2.2.2.1 Phát hiện sự bất thường


10

2.2.2.2 Kiểm tra lạm phát
2.2.2.3 Kiểm tra các chính sách
2.2.2.4 Phân tích giao thức
2.2.3 Cơng nghệ
Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng
mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm
nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của
hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện,
IDS cung cấp khả năng cho việc phòng chống trong tương lai
với các hoạt động xâm nhập từ các máy chủ nghi ngờ.
 Hệ thống phát hiện xâm nhập mềm

Cũng tương tự như trong phần công nghệ của IDS
 Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có
nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám
sát hoạt động xâm nhập cho hệ thống.

2.2.4 Phân loại
2.2.4.1 IPS ngoài luồng(Promiscuous Mode IPS)
2.2.4.2 IPS trong luồng (In-line IPS)
2.3 So sánh IDS và IPS
2.3.1 Sự giống nhau


11
Đều là hệ thống phát hiện xâm nhập dùng hệ thống phần
cứng hoặc phần mềm có chức năng tự động theo dõi các sự
kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra
các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn
cơng, đột nhập vào các hệ thống máy tính, mạng ngày càng
tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng
và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý
tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ
thành phần nào của môi trường được bảo vệ sẽ bị làm chệch
hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền
cao nhất”, các Hệ thống Ngăn ngừa Xâm nhập có thể bắt lấy
bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định
có chủ ý: liệu đây có phải là một cuộc tấn công hay một sự sử
dụng hợp pháp? Sau đó thực hiện hành động thích hợp để hồn
thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu
cầu có hạn định cho các giải pháp phát hiện hay giám sát xâm

nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị
ngăn chặn.

2.3.2 Sự khác nhau
Sự khác nhau chính là ở IPS. IPS có thêm chức năng là
chống lại các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt
ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong
mạng kiến trúc chung của các hệ thống IPS. Một hệ thống IPS


12
có thể: thực hiện nhanh, chính xác, đưa ra các thơng báo hợp lý,
phân tích được tồn bộ thơng lượng, cảm biến tối đa, ngăn chặn
thành cơng và chính sách quản lý mềm dẻo.

2.4 Phương pháp phát hiện xâm nhập
2.4.1 Phát hiện dấu hiệu khơng bình thường
Hệ thống phát hiện xâm nhập phải có khả năng phân biệt
giữa các hoạt động thông thường của người dùng và hoạt động
bất thường để tìm ra được các tấn cơng nguy hiểm kịp thời.
Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ
thống người dùng hoàn chỉnh) trong một quyết định liên quan
đến bảo mật phù hợp thường không đơn giản, nhiều hành vi
không được dự định trước và không rõ ràng. Để phân loại các
hành động, IDS phải lợi dụng phương pháp phát hiện dị
thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công…
một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu
hiệu) cũng được gọi là kiến thức cơ bản.

2.4.2 Phát hiện dựa theo hành vi bất thường

Căn cứ vào các phương pháp thống kê và kinh nghiệm để
đưa ra các mức ngưỡng về hoạt động bình thường.
So sánh các sự kiện quan sát được với giá trị ngưỡng bình
thường tương ứng để phát hiện xâm nhập


13

2.4.3 Phát hiện dấu hiệu có hành vi xấu
Thơng tin xử lý hệ thống trong các hành vi bất thường và
khơng an tồn (dấu hiệu tấn cơng dựa vào các hệ thống) thường
được sử dụng trong các hệ thống phát hiện xâm nhập thời gian
thực (vì sự phức tạp trong tính tốn của chúng khơng cao).

2.4.4 Phát hiện dựa vào tương quan các mấu tham số
Phương pháp phát hiện xâm nhập khá khôn ngoan hơn
các phương pháp trước. Nó được sinh ra do nhu cầu thực tế
rằng, các quản trị viên kiểm tra các hệ thống khác nhau và các
thuộc tính mạng (khơng cần nhắm đến các vấn đề bảo mật).
Thông tin đạt được trong cách này có một môi trường cụ thể
không thay đổi.

2.5 Một số giải pháp IDS/IPS thương mại
IDS/IPS thương mại có các giải pháp của Cisco,
Checkpoint, IBM, Proventia như là: Cisco IPS 4215,
Checkpoint IPS R70, IBM IPS GX7800, Proventia G200. Các
sản phẩm này dựa trên công nghệ Internet Security Systems là
một hệ thống phòng chống xâm nhập nội tuyến (IPS), nó tự
động phòng chống các tấn cơng có tính nguy hại trong khi vẫn
đảm bảo băng thông cho đường truyền.


2.5.1 Giải pháp của Cisco
2.5.2 Giải pháp của ISS Proventia


14

2.5.3 Giải pháp của NFR

Chương 3 -

TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ
NGHIỆM GIẢI PHÁP CISCO IPS

3.1 Giới thiệu kiến trúc hệ thống
3.1.1 Kiến trúc chung của các hệ thống IPS
3.1.1.1 Module phân tích luồng dữ liệu
3.1.1.2 Modul phát hiện tấn công
3.1.1.3 Modul phản ứng
3.2 Các yêu cầu triển khai
Dựa trên phạm vi và yêu cầu nghiên cứu đề xuất chọn
giải pháp sản phẩm IPS 2415 của Cisco để triển khai đánh giá
thử nghiệm.

3.2.1 Các yêu cầu về bảo mật
3.2.1.1 Bảo mật thông tin
Trải qua nhiều thế kỷ, hàng loạt các giao thức và cơ chế
đã được tạo ra nhằm đáp ứng nhu cầu an tồn và bảo mật thơng
tin. Các phương pháp truyền thống được cung cấp bởi các cơ
chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các

tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng
các tài liệu mật đó.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn


15
trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác
như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật
trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….

3.2.1.2 Tấn công từ chối dịch vụ
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết
tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán
(tấn công DDoS - Viết tắt của Distributed Denial of Service) là
một nỗ lực làm cho những người dùng không thể sử dụng tài
nguyên của một máy.

3.2.1.3 Xâm nhập qua Trojan
Thuật ngữ Trojan ý chỉ con ngựa gỗ được người Hy Lạp
sử dụng để đột nhập vào đánh chiếm thành Troy. Theo định
nghĩa truyền thống, Trojan là chương trình giả dạng phần mềm
hợp pháp nhưng khi khởi động sẽ gây hại cho máy tính. Trojan
khơng thể tự động lây lan qua máy tính, đây cũng là đặc tính để
phân biệt chúng với virus và sâu máy tính.

3.2.1.4 Xâm nhập qua lỗ hổng bảo mật
Việc đảm bảo máy tính của bạn hoạt động tốt và an toàn
là bước khởi đầu rất quan trọng tiến tới một hệ thống an ninh
tốt hơn.


3.2.2 Yêu cầu về phần cứng, phần mềm


16
- Yêu cầu về phần cứng: Máy tính
- Yêu cầu về phần mềm: VmWare 7.0, ASDM, IPS 4215,
JRE 6.33

3.3 Xây dựng mơ hình mạng thử nghiệm
3.3.1 Thiết kế mơ hình mạng thử nghiệm
3.3.2 Triển khai cài đặt
- Cài đặt phần mềm VMware 7.0 để làm môi trường giả
lập cho server và thiết bị Cisco IPS 4215.
- Cài đặt Cisco IPS 4215 trong VMware để triển khai hệ
thống ngăn chặn và phòng chống xâm nhập sử dụng IPS.
- Cài đặt Cisco ASDM 6.0 để cầu hình Cisco IPS 4215
bằng giao diện.
- Cài đặt Java Runtime Environment 6.33 để hỗ trợ cấu
hình bằng giao diện.

3.3.3 Triển khai cấu hình:
3.3.3.1 Cấu hình cơ bản IDS 4215
- Định nghĩa hostname: ips(config-host-net)# host-name
IPS4215-BCVT
- Cấu hình địa chỉ IP cho thiết bị:
- Cấu địa chỉ được phép truy cập vào thiết bị: