Nghiên cứu triển khai hệ thống ids -ips

Tài liệu tham khảo công nghệ thông tin Nghiên cứu triển khai hệ thống ids -ips

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Trần Tiến Công

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành : Công nghệ thông tin

HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Trần Tiến Công

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành : Công nghệ thông tin

Cán bộ hướng dẫn : Ths Đoàn Minh Phương

Cán bộ đồng hướng dẫn : Ths Nguyễn Nam Hải

Lời cảm ơn

Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặcbiệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũngnhư trong quá trình thực hiện khóa luận Em cũng xin gửi lời cảm ơn thầy Đỗ HoàngKiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, nhữngngười đã chỉ dẫn em trong từng bước đề tài

Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 nămhọc đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy côgiáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua

Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôithực hiện đề tài Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập

Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đãgiúp em thành công trong học tập và cuộc sống

Tóm tắt nội dung

Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhậptrái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự vàrất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng

Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biệnpháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Nhữngtìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng(IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thửnghiệm trong môi trường VNUnet, những đánh giá và nhận xét

Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ranhững khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thốngmạng lớn như mạng của các trường đại học

Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóaluận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này

Mục lục

BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT 1

DANH SÁCH BẢNG 1

DANH SÁCH HÌNH MINH HỌA 2

MỞ ĐẦU 4

CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 5

1.1 AN NINH MẠNG 5

1.2 HỆ THỐNG MẠNG VNUNET 5

1.2.1 Khái quát về hiện trạng hệ thống mạng VNUNet 5

1.2.2 Mục tiêu phát triển hệ thống mạng VNUnet 6

CHƯƠNG 2 TẤN CÔNG VÀ THÂM NHẬP 8

2.1 KIẾN THỨC CƠ SỞ 8

2.1.1 Thâm nhập 8

2.1.2 Tấn công từ chối dịch vụ 9

2.1.3 Lỗ hổng bảo mật 11

2.1.4 Virus, Sâu và Trojan 13

2.2 CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG 14

2.3 MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP 18

2.3.1 Thu thập thông tin 18

2.3.2 Tấn công từ chối dịch vụ 18

2.3.3 Thâm nhập qua Trojan 19

2.3.4 Thâm nhập qua lỗ hổng bảo mật 20

CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP 23

3.1 CÁC KHÁI NIỆM CƠ BẢN 23

3.2 THIẾT BỊ IPS PROVENTIA G200 26

3.3 SITEPROTECTOR SYSTEM 28

3.3.1 SiteProtector System là gì? 28

3.3.2 Quá trình thiết lập hệ thống SiteProtector 30

3.4 CÀI ĐẶT VÀ CẤU HÌNH IPS 32

3.4.1 Cài đặt 32

3.4.2 Cấu hình hình thái hoạt động 32

3.4.3 Cấu hình sự kiện an ninh 33

3.4.4 Cấu hình phản hồi 36

3.4.5 Cấu hình tường lửa 39

3.4.6 Cấu hình protection domain 39

3.4.7 Cấu hình cảnh báo 39

3.5 NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 39

3.5.1 Ngăn chặn các hình thức thu thập thông tin 39

3.5.2 Ngăn chặn tấn công DoS 39

3.5.3 Ngăn chặn thâm nhập qua backdoor – trojan 39

3.5.4 Ngăn chặn thâm nhập qua lỗ hổng bảo mật 39

3.6 TRIỂN KHAI THỰC TẾ 39

CHƯƠNG 4.CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 39

4.1 KẾT QUẢ ĐẠT ĐƯỢC 39

4.2 ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 39

PHỤ LỤC A 39

PHỤ LỤC B 39

PHỤ LỤC C 39

PHỤ LỤC D 39

PHỤ LỤC E 39

BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT

Kí hiệu và viết tắt Giải thích

ĐHQGHN Đại học Quốc gia Hà Nội

IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập

VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội

Proventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBM

DANH SÁCH BẢNG

Bảng 1 – Thuật ngữ IDS/IPS 23

Bảng 2 – Hình thái hoạt động 37

Bảng 3 – Phản hồi email 37

Bảng 4 – Phản hồi Log Evidence 38

Bảng 5 – Phân loại cách ly 38

Bảng 6 – Phản hồi cách ly 39

Bảng 7 – Phản hồi SNMP 39

Bảng 8 – Phản hồi User Specified 39

DANH SÁCH HÌNH MINH HỌA

Hình 1 – Sơ đồ kết nối logic của VNUnet 6

Hình 2 - Minh họa trình tự tấn công 15

Hình 3 - Giao diện DoSHTTP 18

Hình 4 - Giao diện smurf attack 19

Hình 5 - Giao diện client trojan beast 19

Hình 6 - Lỗi trong dịch vụ RPC 20

Hình 7 - Giao diện metasploit 21

Hình 8 - Giao diện metasploit (2) 22

Hình 9 – Security Events 35

Hình 10 – Response Filters 39

Hình 11 – Protection Domain 39

Hình 12 - Protection Domain 39

Hình 13 - Mức độ nghiêm trọng của thông báo 39

Hình 14 - Minh họa thông báo 39

Hình 15 - Ngăn chặn thu thập thông tin 39

Hình 16 – Đánh dấu cảnh báo SYNFlood 39

Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) 39

Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 39

Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo 39

Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive 39

Hình 21 – Mô hình mạng VNUnet 39

Hình 22 – Sơ đồ triển khai IPS 39

Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT 39

Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS 39

Hình 25 - Hệ thống IPS gửi mail cho người quản trị 39

Hình 26 - Các dò quét và tấn công thực tế 39

Hình 27 – Các hành vi khai thác điểm yếu an ninh 39

Hình 28 - Xu hướng phishing sắp tới 39

Hình 29 - Minh họa smurf attack 39

Hình 30 - Minh họa tấn công SYNFlood 39

Hình 31 - Sơ đồ kết nối logic 39

Hình 32 – Mô hình tổ chức 39

MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo

vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày Để chống lại tintặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bịphần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩakhoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triểnkhai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng

để bảo đảm an ninh mạng ở một mức khá cao

Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiệnngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: ProventiaG200 trên hệ thống mạng của Trường Đại học Quốc gia

Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến cácchuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệmtrong môi trường VNUnet, sau đó có đánh giá và nhận xét

Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệthống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết

bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm Phần kếtluận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thểđược phát triển từ kết quả của khoá luận

Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầuhết các tấn công Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web

và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phầnmềm quét virus Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổthông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựatrên tầng ứng dụng và worm

Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạngtrong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trênInternet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại Vì vậy,các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơquan và công ty hiện nay

Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet SecuritySystems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard Trong số

đó, sản phẩm của ISS có tiếng vang lớn nhất Hiện nay, ngoài tính năng phát hiện thâmnhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhậpthậm chí còn trước cả khi chúng đến được máy mục tiêu

Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao,một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâmnhập, đồng thời biết cách ngăn chặn chúng

1.2 HỆ THỐNG MẠNG VNUNET [4]

1.2.1 Khái quát về hiện trạng hệ thống mạng VNUNet

Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thốngmạng VNUnet Ta có thể tóm tắt một số ý chính như sau :

 Hệ thống mạng ĐHQGHN là một hệ thống mạng có quy mô trung bình.

 Các VNUnet đã có hệ thống đường truyền thông khá tốt

 Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suấtmạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lýngười dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website rabên ngoài

 Sử dụng không gian địa chỉ giả lập với thiết bị Proxy Hệ thống an ninh và antoàn rất yếu kém

Hình 1 – Sơ đồ kết nối logic của VNUnet 1.2.2 Mục tiêu phát triển hệ thống mạng VNUnet

Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :

Router 3600

VINAren

CPNET 112

Catalyst 2950

Catalyst 4507

203.113.130.192/27 172.16.0.0/16

bị ghép nối mạng riêng

 Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, Document, ), voice, DVD video,

e- Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trựctuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo Làmgiảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của

cá nhân, tập thể trên toàn hệ thống

 Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng

 Có trung tâm dữ liệu mạnh

 Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến ngườidùng cuối 1Gbps

 Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủkhắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá

 Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bàigiảng từ xa

 Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh,đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên mộtdesktop ảo

 Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả

 Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt độngthông suốt, ổn định, hiệu quả

 Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truycập trái phép

 Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa

Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các côngnghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết Trong đó công việc quảntrị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàngđầu Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện vàngăn chặn thâm nhập IDS/IPS là một khâu quan trọng Do đó, khóa luận này có ýnghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội

CHƯƠNG 2 TẤN CÔNG VÀ THÂM NHẬP

2.1 KIẾN THỨC CƠ SỞ

Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn

đề liên quan đến an ninh Đặc biệt là các khái niệm như thâm nhập, tấn công Phần này

sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPSđược nói tới trong khóa luận

2.1.1 Thâm nhập [9]

Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quảntrị Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoảnngười dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấpquyền của họ Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khámphá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng đểchiếm quyền điều khiển hệ thống

Một thâm nhập có thể xảy ra dưới những dạng sau :

 Một virus, sâu hay trojan được cài vào máy qua những con đường như mail,active X hay java script …

 Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer),nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá

mã khác

 Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet

cũ, ftp, IMAP hay POP mail …)

 Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,…

 Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗhổng trong hệ thống cho phiên thâm nhập sau

Một khi kẻ thâm nhập đã có được quyền hợp lệ với một máy tính hay một hệthống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với

hệ thống Trojan là một chương trình giống như các chương trình khác mà người dùng

có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bấthợp pháp

Một hành vi thâm nhập phổ thống khác là cài phần mềm nghe trộm hoặckeylogger Thông qua những máy bị chiếm quyền, kẻ thâm nhập có thể vươn ra cảmạng bằng những mối quan hệ tin tưởng trên mạng.

Việc xác định được có thâm nhập trong mạng hay không là một việc khá khókhăn vì những phần mềm gián điệp thường có cách để che giấu hoạt động đối vớingười quản trị và người dùng Chỉ có một cách để biết chắc chắn rằng có thâm nhập làkiểm tra lưu lượng mạng tới các máy nghi ngờ ở bên ngoài, hoặc kiểm tra máy tính vớinhững công cụ an toàn

2.1.2 Tấn công từ chối dịch vụ [11]

Tấn công từ chối dịch vụ DoS (Denial of Service) là kiểu tấn công với mục đích

làm cho máy bị tấn công không thể hoạt động một cách bình thường trong một khoảngthời gian tạm thời hoặc không xác định Đối tượng của DoS thường là các router, webserver, DNS server Cách thức tấn công thông dụng là gửi tràn ngập các yêu cầu kếtnối đến máy đối tượng làm cho nó không thể phản hồi lại các kết nối hợp lệ hoặc phảnhồi một cách chậm chạp DoS có thể khiến cho máy đối tượng bị khởi động lại hoặctiêu thụ một lượng lớn tài nguyên khiến cho nó không thể chạy các dịch vụ khác cũngnhư gây tắc nghẽn đường truyền tới người dùng

Có 5 loại tấn công DoS cơ bản:

 Tiêu thụ nguồn tài nguyên của máy như băng thông, bộ nhớ hoặc thời gian

xử lý

 Phá hủy các thông tin cấu hình, như thông tin về định tuyến

 Phá hủy các thông tin trạng thái, như tự khởi động lại phiên TCP

 Phá hủy các thành phần vật lý

 Gây tắc nghẽn đường truyền giữa người dùng với máy bị tấn công

DoS có thể sử dụng các mã độc hại với mục đích:

 Sử dụng tối đa năng lực của bộ vi xử lý, làm cho nó không thực hiện được cáccông việc khác

 Gây ra các lỗi trong vi mã của máy

 Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổnhoặc treo đơ

 Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗithrashing

 Làm treo hệ điều hành

 Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trangweb chứa nhiều thông tin nhiều lần, cho đến khi chúng lưu trữ một lần gọi vượtquá băng thông giới hạn.

Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ Dưới đây là một

số loại tấn công tiêu biểu :

Chi tiết về các cách tấn công này xem trong phụ lục C.

Tấn công từ chối dịch vụ phân tán (Distributed DoS)

Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vàoquá trình làm ngập lụt băng thông hoặc tài nguyên của máy bị tấn công Để thực hiệnđược tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt cácchương trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùngmột thời điểm để đồng loạt tấn công vào một mục tiêu Cách thức này có thể huy độngtới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công một lúc (tùy vào sựchuẩn bị trước đó) và có thể ngốn hết băng thông của mục tiêu trong nháy mắt

Các cách phòng chống

Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rấtnhiều thời gian để khắc phục Để phòng chống DoS có thể sử dụng một số biện phápsau:

 Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quámức Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống

 Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và cácnguồn tài nguyên quan trọng khác

 Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trênmạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin địnhtuyến giữa các router

 Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệchống lại SYN flood

 Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụchưa có yêu cầu hoặc không sử dụng

 Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngănngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server

để tấn công chính server hoặc mạng và server khác

 Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và cóbiện pháp khắc phục kịp thời.

 Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục đểphát hiện ngay những hành động bất bình thường

 Xây dựng và triển khai hệ thống dự phòng

2.1.3 Lỗ hổng bảo mật [10]

Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu màcho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống Lỗ hổng có thể làkết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độchại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai

Một nguy cơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như

là một phương pháp được sử dụng để tấn công Một cửa sổ của lỗ hổng là thời gian từkhi lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triểnkhai tới khi một bản vá bảo mật có sẵn hoặc được triển khai

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệcủa dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập khônghợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp nhưsendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành nhưtrong Windows NT, Windows XP, UNIX; hoặc trong các ứng dụng mà người sử dụngthường xuyên sử dụng như Word processing, Các hệ databases

Nguyên nhân

Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà cóthể tìm được bởi vét cạn Người dùng máy tính lưu trữ các mật khẩu trên máy tính ởchỗ mà một chương trình có thể truy cập được nó Nhiều người dùng sử dụng lại cácmật khẩu giữa nhiều chương trình và website

Thiết kế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thicác chính sách tối ưu cho người dùng/chương trình quản lý Ví dụ hệ điều hành với cácchính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyềntruy cập tới máy tính Hệ điều hành sai lầm khi cho phép các virus và phần mềm độchại thực thi các lệnh ở chế độ administrator

Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai tháctrong một chương trình phần mềm Lỗi phần mềm này có thể cho phép một kẻ tấncông lạm dụng một phần mềm

Không kiểm tra nhập vào của người dùng Một chương trình giả định rằng tất cảcác nhập vào của người dùng là an toàn Các chương trình sẽ không thực hiện việckiểm tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được

định trước của các câu lệnh hoặc các câu lệnh SQL (vd như tràn bộ đệm , SQLinjection hoặc các đầu vào không có giá trị khác).

Phân loại lỗ hổng có thể xem thêm trong phụ lục D

ra thông tin về các lỗ hổng sau một thời gian có thể cho phép thông báo để khắc phụccác vấn đề bởi nhà phát triển bằng các bản vá, nhưng có thể làm tăng rủi ro với ngườidùng Gần đây, hình thức thương mại hóa với việc đưa ra lỗ hổng bảo mật, như mộtvài công ty bảo mật thương mại đã bỏ tiền cho việc độc quyền đưa ra lỗ hổng zero day.Những người này sẽ cung cấp một thị trường hợp pháp để mua và bán các thông tin lỗhổng từ các trung tâm bảo mật

Từ người bảo mật, việc tiết lộ các lỗ hổng miễn phí và công cộng chỉ thành côngnếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị tin tặc, nếukhông các tin tặc sẽ có ngay lập tức có lợi thế trong việc lợi dụng khai thác Việc bảomật thông qua việc che dấu thông tin các lỗ hổng cũng phải tương tự như trên

Việc cho phép một cách công bằng việc phổ biến các thông tin bảo mật tích cực

là rất quan trọng Thường sẽ có một kênh tin tưởng là nguồn của các thông tin bảo mật(vd g CERT, SecurityFocus, Secunia and VUPEN) Các nguồn này phân tích và đánhgiá rủi ro đảm bảo chất lượng của các thông tin này Việc phân tích phải bao gồm đầy

đủ các chi tiết để cho phép một người dùng có liên quan với phần mềm có thể đánh giáđược rủi ro cá nhận của họ hoặc ngay lập tức có các hành động để bảo vệ tài sản củahọ

Ngày công bố lỗ hổng

Thời gian của việc đưa ra một lỗ hổng được định nghĩa khác nhau trong tập đoànbảo mật và lĩnh vực Nó thường được coi như là một loại công bố công cộng của cácthông tin bảo mật bởi một bên Thông thường , thông tin lỗ hổng được đưa ra trên mộtdanh sách thư tín hoặc được xuất bản trên một website bảo mật và trong một tư vấn anninh sau đó

Thời gian của công bố là ngày đầu tiên lỗ hổng bảo mật được miêu tả trên mộtkênh ,nơi được công bố thông tin về lỗ hổng và có đầy đủ các yêu cầu sau :

Thông tin miễn phí và công cộng

Thông tin lỗ hổng được đưa ra bởi một nguồn hoặc một kênh độc lập được tin cậy

Lỗ hổng chịu phân tích bởi các chuyên gia như thông tin đánh giá mức độ rủi rođược bao gồm trên công bố.

2.1.4 Virus, Sâu và Trojan [8]

Vi rút

Virus là những phần mềm máy tính có khả năng lây nhiễm và phá hủy các phầnmềm thậm chí phần cứng máy tính Các virus không thể lây lan nếu không thông quaphương tiện chia sẻ như trao đổi tệp hoặc thư điện tử

Sâu

Sâu có khả năng lây lan từ máy này sang máy khác giống như virus, nhưng

chúng khác virus ở chỗ chúng có thể tự lây lan mà không cần có

sự điều khiển của người phát tán Chúng có thể nắm quyền điềukhiển máy tính, tự động trao đổi file Bởi vì nó có khả năng saochép với số lượng rất lớn, sâu có thể làm cho những gói tin lưuthông trong mạng tắc nghẽn, làm chậm tất cả các hoạt động liênquan tới internet Chúng còn làm cho ta trở thành những kẻ tấncông bằng cách gửi đính kèm chính chúng trong những tệp tingửi cho danh sách bạn bè hay đồng nghiệp Sâu cũng có thể làmột công cụ được sử dụng bởi những kẻ thâm nhập bằng cáchchiếm quyền hệ thống và tạo cổng sau cho kẻ thâm nhập truy cập vào

Trojan

Trojan là các chương trình máy tính trông có vẻ như làmột phần mềm hữu ích, nhưng thực ra chúng làm tổn thương

bảo mật và gây ra rất nhiều phá hủy Chúng chiếm quyền điều khiển máy bị nhiễm vàcho phép người ngoài truy cập trái pháp tới, hoặc chúng có thể tự động download cáclệnh thực thi từ một địa chỉ ngoài Trojan thường đi kèm với keylogger, một phầnmềm lưu lại các thao tác bàn phím của người dùng và gửi cho kẻ điều khiển hoặc phầnmềm theo dõi màn hình máy tính Việc có được những mật khẩu hợp lệ làm cho kẻ tấncông chiếm được toàn quyền với tài khoản của người dùng.

Cũng có những thuật ngữ khác về những mối đe dọa an ninh mạng, tuy nhiênchúng chỉ là phương tiện dẫn đường cho những hoạt động kể trên

2.2 CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1]

Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũngkhông quá khó khăn cho những người có kiến thức về công nghệ thông tin nói chung

Để đạt được mục đích, các hacker thường thực hiện một tấn công thâm nhập theonhững bước sau :

 FootPrinting – In dấu

 Scanning – Dò quét

 Enumeration – Điểm danh

 Gaining Access – Có quyền truy cập

 Escalating Privileges – nâng cấp quyền

 Pilfering – Khai thác hệ thống

 Covering Tracks – Xóa dấu vết

 Creating "Back Doors" – Tạo cổng hậu

 DoS – Tấn công từ chối dịch vụ

Chú ý rằng những bước trên hoàn toàn linh động khi áp dụng vào thực tế Cáchành động khi tấn công thâm nhập có thể là đan xen nhau thậm chí một hành độngđược thực hiện lặp lại nhiều lần hay bỏ qua không cần thực hiện Tuy nhiên cũng cóthể sắp xếp thứ tự các hành động đó theo trình tự như hình dưới đây :

Hình 2 - Minh họa trình tự tấn công [12]

Bây giờ ta sẽ đề cập chi tiết đến từng hành động trong một tấn công thâm nhậpcủa hacker Như đã nói ở trên, trước khi một tấn công thực sự được thực hiện, hackercần phải chuẩn bị đầy đủ các thông tin về đối tượng qua 3 bước : footprinting (in dấu),scanning (dò quét), enumaration (điểm danh) Cũng như khi một nhóm cướp muốncướp một nhà băng, chúng không chỉ cứ đến nhà băng và yêu cầu tiền mà chúng cầntìm hiểu rất nhiều thông tin về nhà băng đó như tuyến đường xe chở tiền đi, thời giangiao tiền, các camera giám sát, lộ trình tẩu thoát và nhiều thứ khác cần thiết Bước đầu

tiên trong 3 bước thu thập thông tin là in dấu.

In dấu

In dấu là chỉ việc sử dụng công cụ và kĩ thuật để thu thập các thông tin cơ bảncủa đối tượng cần tấn công Các thông tin có thể lấy được qua nhiều đường nhưInternet, Intranet, Remote access, extranet Ví dụ như từ google, chúng ta có thể lấy rathông tin về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin

cá nhân của nhân viên trong một công ty đối tượng Những thông tin tưởng chừng đơngiản này lại là những thông tin không thể thiếu được khi bắt đầu một tấn công thâmnhập vào hệ thống của đối tượng Các thông tin cá nhân về nguồn tài nguyên conngười như Số điện thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thôngtin này hacker đã có thể làm chủ hệ thống

Chỉ có một cách để ngăn ngừa việc in dấu là bảo vệ những thông tin nhạy cảmkhỏi những nơi có thể dễ dàng truy cập đến

Bước tiếp theo trong quá trình này là dò quét (Scanning)

Nếu như in dấu chỉ tìm hiểu các thông tin bên ngoài của một nhà băng thì dò quét

là kiểm tra tất cả các cửa sổ hay cửa ra vào của nhà băng đó Việc đầu tiên trong đó làxác định xem hệ thống có “sống” hay không Việc này có thể được thực hiện bằng các

công cụ như ping (hay fping hoặc nmap) Tiếp đó là xác định xem có những dịch vụtcp hay udp nào đang hoạt động trên các máy đối tượng Có rất nhiều cách thức cũngnhư công cụ để thực hiện việc này ngày nay Bước cuối cùng là xác định hệ điều hànhtrên các máy đó, việc này rất quan trọng trong việc tấn công thâm nhập qua các lỗhổng bảo mật.

Bước cuối cùng trong các bước tìm kiếm thông tin là enumeration (điểm danh).

Hành động này yêu cầu phải kết nối và truy vấn trực tiếp tới máy đối tượng nên nó khá

dễ bị lưu vết và cảnh báo Cách thức cơ bản nhất của của điểm danh là lấy banner(banner grabbing) Thông tin này sẽ cho biết các dịch vụ đang sử dụng và phiên bảncủa các dịch vụ đó Ví dụ :

C:\>telnet ww w .abc.com 80

HTTP/1.0 400 Bad Request

Server: Netscape-Commerce/1.12

Your browser sent a non-HTTP compliant message

Có nhiều cổng có thể sử dụng cho việc lấy thông tin này như cổng 80 HTTP,cổng 25 SMTP, cổng 21 FTP

Một trong những dịch vụ bị khai thác nhiều nhất từ xưa đến nay là dịch vụ DNSvới DNS Zone Transfers Nếu máy chủ của đối tượng đang chạy dịch vụ DNS củaMicrosoft thì kẻ tấn công có thể thu thập được một lượng thông tin lớn, thậm chí cảcác thông tin ẩn về hệ thống mạng của đối tượng, ta có thể thấy trong ví dụ sau :

wayne CNAME wmaplespc.wayne.net

Ngoài ra, còn một số các dịch vụ khác có thể được khai thác để biết thêm thôngtin như MSRPC, NetBIOS, SNMP, … Có thể xem thêm chi tiết về cách khai thác cácdịch vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới

Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựacác phương thức tấn công, thâm nhập khác nhau Đầu tiên, hacker có thể chọn DoShoặc DDoS đối tượng Các cách thức tấn công từ chối dịch vụ này không làm hackerchiếm được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tườnglửa và các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thốngmạng qua đó tạo điều kiện cho việc thâm nhập dễ dàng hơn

Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn côngnhằm vào hệ thống thì hacker không cần phải tấn công từ chối dịch vụ mà sẽ khai tháccác lỗ hổng bảo mật hoặc phã mã để có một số tài khoản quản trị thông qua nghe trộm,phishing sử dụng keylogger, worm và trojan Cũng có một số trường hợp, khi hackerkhông tìm ra được các điểm yếu của hệ thống, họ tấn công vào điểm yếu con người Ví

dụ như họ giả mạo đối tác kinh doanh để yêu cầu tài khoản hợp lệ, hoặc họ cũng có thểgọi điện cho nhân viên quản lý và giả vờ bị mất tài khoản Tất nhiên việc có được đầy

đủ các thông tin về con người là rất cần thiết

Nếu hacker chỉ có được những tài khoản quản trị ở mức thấp thì họ sẽ tìm cáchnâng cấp quyền quản trị của tài khoản đó bằng cách lợi dụng sự tín nhiệm của tàikhoản đó

Nếu sau bước này, hacker có được toàn quyền hệ thống thì việc cuối cùng mà họlàm là xóa dấu vết và đặt backdoor để thâm nhập lần sau dễ dàng hơn Công việc xóa

dấu vết chỉ đơn giản là xóa các log của hệ thống giám sát hay của hệ điều hành máythâm nhập, mức độ xóa dấu vết tùy thuộc vào mục đích tấn công của hacker Một sốhacker muốn nổi danh thậm chí còn cố ý để lại dấu vết, ngoài ra có những hacker ăncắp các tư liệu mật, họ cũng muốn để lại thông điệp tống tiền hay tương tự để ngườiquản trị biết, tuy nhiên hầu như tất cả đều phải xóa những thông tin lộ ra họ là ai Cònbackdoor được sử dụng cũng có nhiều mức độ khác nhau, các hacker có thể tạo mộtworm hay trojan trong hệ thống, có thể cài đặt một phần mềm keylogger hay đơn giảnchỉ tạo một tài khoản ẩn.

2.3 MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP

2.3.1 Thu thập thông tin

Sau khi thu thập đầy đủ thông tin về hệ thống đối tượng, có nhiều phương pháp cóthể sử dụng trong thâm nhập, trong khóa luận sẽ trình bày 3 mô phỏng tấn công và thâmnhập Những phương pháp thâm nhập và tấn công khác hoặc không thể mô phỏng (nhìntrộm, nghe trộm hay phá mã tài khoản người dùng) hoặc không còn có nguy cơ xảy ra(chiếm đoạt những phiên dịch vụ không mã hóa) Ngoài ra do không có đủ lượng máy

để mô phỏng tấn công DDoS nên trong khóa luận sẽ chỉ nêu phương thức tấn công trên

lý thuyết và mô phỏng kiểu tấn công DoS chứ không mô phỏng tấn công DDoS

Công cụ có giao diện sử dụng rất đơn giản, chỉ cần thiết lập số kết nối đồng thời,xác định mục tiêu và tấn công Chỉ cần vài máy cùng tiến hành tấn công đồng thời là

có thể đánh sập một web server cỡ nhỏ

Một tấn công nữa được mô phỏng là smurf attack Công cụ sử dụng là smurf2k.Tương tự như trên, giao diện chương trình cũng rất đơn giản, chỉ việc xác định mụctiêu, kích cỡ gói tin và tiến hành tấn công

Hình 4 - Giao diện smurf attack 2.3.3 Thâm nhập qua Trojan

Mô phỏng sử dụng Trojan Beast Trojan này lây nhiễm trên hệ điều hànhwindows và sử dụng cơ chế client server Phần server được nhúng vào những phầnmềm vô hại và được cài đặt trên máy nạn nhân qua sai sót của người dùng Phần này

sẽ mở một cổng 6666 cho máy client kết nối tới Trojan này còn có tác dụng vô hiệuhóa phần mềm tường lửa và chống virus đồng thời cài đặt một keylogger để lấy thôngtin về mật khẩu của người dùng qua đó hacker có thể truy cập trực tiếp đến máy nạnnhân

Hình 5 - Giao diện client trojan beast

Đây là màn hình xây dựng trojan (nhúng vào các file chạy, đưa trojan lênwebserver).

Sau khi xây dựng trojan và xác định có máy bị nhiễm (có mail gửi về nếu máy đó

đã bị nhiễm), ta sử dụng chương trình client này để kết nối tới máy đó qua cổng 6666.Nếu tài khoản bị nhiễm là tài khoản admin thì ta đã có toàn quyền sử dụng với máy đó

2.3.4 Thâm nhập qua lỗ hổng bảo mật [5]

Đầu tiên, mô phỏng sử dụng công cụ retina network scanner để dò lỗ hổng bảomật một trên một máy Windows server 2003 sp2 Kết quả cho thấy máy này có một lỗhổng nghiêm trọng chưa được vá là lỗi RPC DCOM

Hình 6 - Lỗi trong dịch vụ RPC

Chi tiết về lỗi này như sau [7]:

Windows cung cấp khả năng sử dụng RPC để thực thi các ứng dụng phân tán.Microsoft RPC bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tánhoạt động được trong môi trường Windows Các ứng dụng phân tán chính bao gồmnhiều tiến trình thực thi với nhiệm vụ xác định nào đó Các tiến trình này có thể chạytrên một hay nhiều máy tính.

Microsoft RPC sử dụng name service provider để định vị Servers trên mạng.Microsoft RPC name service provider phải đi liền với Microsoft RPC name serviceinterface (NIS) NIS bao bao gồm các hàm API cho phép truy cập nhiều thực thể trongcùng một name service database (name service database chứa các thực thể, nhóm cácthực thể, lịch sử các thực thể trên Server) Khi cài đặt Windows, Microsoft Locator tựđộng được chọn như là name service provider Nó là name service provider tối ưu nhấttrên môi trường mạng Windows

Microsoft dễ bị tràn bộ đệm trong giao diện Distributed Component ObjectModel (DCOM) của dịch vụ RPC (Remote Procedure Call) Bằng cách gửi một thôngđiệp xấu tới dịch vụ RPC, một kẻ tấn công từ xa có thể làm tràn một bộ đệm và thựcthi một đoạn mã tùy ý trên hệ thống bới đặc quyền Local System Với đoạn mã này, kẻtấn công có thể toàn quyền xử lý với máy mục tiêu

Bước tiếp theo ta sử dụng phần mềm nguồn mở metasploit để khai thác lỗ hổngnày Vào giao diện chương trình, chọn lỗ hổng cần khai thác

Hình 7 - Giao diện metasploit

Tiếp đó chọn hành động cần thực hiện khi khai thác, chọn đối tượng và tấn công.

Hình 8 - Giao diện metasploit (2)

Các hành động thực hiện được khi khai thác lỗ hổng này là tạo một giao diệndòng lệnh với quyền quản trị administrator trên máy nạn nhân, tạo một tài khoản vớiquyền quản trị, … Khi lỗ hổng được khai thác, phía bên máy nạn nhân sẽ xuất hiệnmột thông báo khởi động lại dịch vụ RPC

CHƯƠNG 3 THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP

3.1 CÁC KHÁI NIỆM CƠ BẢN [2]

Để hiểu và nắm vững phương pháp phát hiện và ngăn chặn tấn công, thâm nhập,một hệ thống kiến thức cơ sở về hệ thống IDS/IPS là cần thiết Dưới đây là các thuậtngữ sử dụng trong công nghệ ngăn chặn thâm nhập

Bảng 1 – Thuật ngữ IDS/IPS

Terminology Description

Inline mode Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập

trước khi nó đến được mục tiêu

Promiscuous mode

(passive mode)

Thụ động kiểm tra lưu thông mạng

Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương

Bảng 1 – Thuật ngữ IDS/IPS

Terminology Description

False negative Tình huống mà hệ thống phát hiện không nhận biết được thông

nhập mặc dù có một tín hiệu nhận biết được hoạt động đó

False positive Tình huống người dùng bình thường gây ra báo động (không có

inspection Giải mã các giao thức và kiểm tra toàn bộ gói tin để cho nhữngluật dựa trên gói tin hoạt động đúng

Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ

Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa

trên tính nghiêm trọng của tấn công

IPS/IDS Triggers

Mục đích của thiết bị IDS/IPS là nhận diện tấn công và ngăn chặn nó Tuy nhiênkhông phải loại thiết bị nào cũng dùng chung một phương thức giống nhau Có baphương thức chính được sử dụng trong hệ thống IDS/IPS hiện tại

Anomaly Detection (Nhận biết bất thường)

Nhận biết bất thường còn có thể gọi là nhận biết dựa trên hồ sơ Trong nhận biếtbất thường, ta xây dựng những hồ sơ xác định xem những hành vi nào là bình thường.Những hồ sơ này có khả năng tự học qua những cư xử trong quá khứ Sau khi địnhnghĩa những hồ sơ bình thường này, những gì còn lại là bất thường và sẽ tạo ra báođộng

Lợi ích chính của nhận biết bất thường là những báo động tạo ra không dựa trênnhững tín hiệu của những dạng tấn công cụ thể mà dựa trên những hành động bấtthường của nó Bởi vậy mà hệ thống có thể phát hiện được tấn công ngay cả trước khitấn công đó được công bố

Misuse Detection (Nhận biết lạm dụng)

Nhận biết lạm dụng là nhận biết dựa trên những dấu hiệu, nó tạo ra thông báo khi

có hoạt động với những dấu hiệu trùng khớp với những dấu hiệu đã xác định trước.Những dấu hiệu này là một tập hợp các luật bịt những lỗ hổng mà kẻ tấn công có thểlợi dụng để thâm nhập vào mạng Những kĩ sư có kinh nghiệm có thể biết những tấncông và lỗ hổng để phát triển những luật cho mỗi tín hiệu riêng

Một số lợi ích chính là :

Tín hiệu dựa trên những tấn công đã biết

Dễ thiết lập những nhận biết tấn công

Hệ thống dễ hiểu

Nhận biết tấn công ngay sau khi cài đặt

Protocol Analysis (Phân tích giao thức)

Phương thức cuối cùng là phân tích giao thức Phương thức này sẽ phân tích cáchoạt động dựa trên các giao thức xác định Nó sẽ phân tích gói tin dựa trên định nghĩacủa giao thức trong RFC và các payload hay tiêu đề gói tin

Sử dụng phân tích giao thức, những tấn công phải có được các gói tin hợp lệ vàcũng phải không chứa các tấn công trong payload hoặc tiêu đề gói tin

IPS/IDS Monitoring Locations (Địa điểm giám sát IPS/IDS)

Có hai loại địa điểm giám sát sau :

này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báolỗi hệ thống …

Vì IPS/IDS dựa trên máy kiểm tra lưu thông sau khi nó đã đến máy bị tấn công.Vậy nên nó biết chính xác máy đó có bị tấn công thành công hay không

Network-Based

Một hệ thống phát hiện thâm nhập dựa trên mạng kiểm tra những gói tin lưuchuyển trên mạng và so sánh những lưu thông với những dấu hiệu đột nhập biết trước.Một thiết bị IPS dựa trên mạng kiểm tra lưu thông như là một thiết bị hoạt động ở tầng2

Lưu ý :

Để xem được toàn bộ gói tin của mạng tức là phải kiểm tra tất cả các gói tin lưuchuyển qua mạng Thông thường, một máy chỉ kiểm tra gói tin mà có địa chỉ tới nócùng với gói tin quảng bá Để có khả năng thấy tất cả các gói tin của mạng, thiết bịIDS phải đặt card mạng ở hình thái promiscuous Trong hình thái này, card mạng kiểmtra tất cả các gói tin mà không cần biết đến địa chỉ đích của nó

Một hệ thống phát hiện thâm nhập dựa trên mạng lợi hơn một hệ thống dựa trênmáy ở những điểm sau :

Có được cái nhìn tổng quan về toàn mạng

Không phải chạy trên tất cả các máy trong mạng

Vì thiết bị dựa trên mạng có thể thấy được nhiều máy, nên nó có một cái nhìntổng quan về tấn công với mạng Nếu có người quét máy trong mạng, thông tin đó sẽđược cảnh báo ngay lập tức

Một lợi ích khác của hệ thống này là nó không cần phải chạy trên mọi máy trongmạng Thay vào đó, hệ thống dựa vào một số lượng các sensor nhất định để thu thậplưu thông mạng Các sensor này có thể tối ưu hóa vì nó chỉ cần làm một số công việcxác định trên mạng

3.2 THIẾT BỊ IPS PROVENTIA G200

Dựa trên công nghệ Internet Security Systems, Proventia™ G là một hệ thốngngăn chặn xâm nhập nội tuyến (IPS), nó tự động ngăn chặn các tấn công có tính nguyhại trong khi vẫn đảm bảo băng thông cho đường truyền

Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử dụngcác chip xử lý của Intel như Intel Xeon và một hệ điều hành sử dụng nhân Linux được

cứng hoá, Proventia G giúp giảm chi phí cho những phát triển,tối ưu hoá việc quản lý và bảo vệ tối đa cho hệ thống với mộttốc độ cao tới 100 Mbps

Khác với tường lửa, Proventia G Series kiểm tra sâu tới nội dung gói tin và ngăn chặncác tấn công đã biết cũng như chưa biết trong thời gian thực, bao gồm các tấn công từchối dịch vụ phân tán (DDoS), BackDoors, và các lỗ hổng an ninh, giảm bớt công việccho người quản trị Cùng với các thành phần bảo vệ mạng, máy chủ, máy trạm khác,Proventia G Series được quản lý tập trung bởi RealSecure SiteProtector ™ Việc quảntrị tập trung bao gồm các thao tác cập nhật, thiết lập chính sách an ninh,và báo cáogiúp giảm bớt thời gian cho người quản trị.

Proventia G hoạt động với các stealth interface không có địa chỉ IP nhằm hạnchế các tấn công vào nó và nó trong suốt từ với mạng từ lớp IP

IPS G200 là một hệ thống phát hiện thâm nhập thuộc dòng sản phẩm G (Gseries), đây là hệ thống IDS/IPS dựa trên mạng (network based), phân tích tấn côngthâm nhập theo cơ chế mibuse detection - nhận biết các tấn công dựa trên dấu hiệu(signature) của tấn công hay thâm nhập có sẵn trong cơ sở dữ liệu của nó Cơ sở dữliệu này được cập nhật thường xuyên bởi những đội ngũ nghiên cứu an ninh mạngtiếng tăm X-Force Ngoài ra thiết bị còn cho phép thiết lập những luật tường lửa vàluật kết nối để hỗ trợ cho việc ngăn chặn các tấn công thâm nhập

Thiết bị có cơ chế cho phép người quản trị tự tạo các dấu hiệu nhận biết tấncông thâm nhập riêng, nhờ vào cơ chế đó mà nó có thể phát hiện và ngăn chặn nhữngtấn công ngay cả trước khi tấn công đó được biết đến rộng rãi Thiết bị hoạt động ở 3hình thái sau:

Passive Monitoring

Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sátmạng mà không điều khiển Thường nó phản ứng với thâm nhập bằng những luật ngănchặn phổ thông Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặnkết nối TCP Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thốngmạng hiện tại cần

 Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật vàquản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như:

o X-Press Update Server

o Desktop Protection agents

o Proventia G appliances

o Proventia Network IPS

o Proventia Network MFS

 Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm:

o Cấu hình, cập nhật và quản lý hệ thống SiteProtector

o Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agentDesktop Protector, máy quét, thiết bị và bộ cảm ứng

o Tạo và quản lý các chính sách an ninh và các phản ứng

o Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thốngSiteProtector giám sát

o Thiết lập người dùng và phân quyền

o Giám sát các vấn đề an ninh và các tổn hại đến mạng

o Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm,

và bảo trì cơ sở dữ liệu

o Phát sinh các báo cáo

o Phát sinh các ticket

 Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảomật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba

 Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệthống SiteProtector và các sản phẩm ISS khác từ một vị trí trung tâm trên mạng.

 Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa

 Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS vàgửi chúng tới Site Database để xử lý Sau khi xử lý, dữ liệu có thể được hiển thịtrong SiteProtector Console Event Collector cũng gửi dữ liệu chưa được xử lýđến EventViewer

 Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật.Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector Giaodiện này được sử dụng chủ yếu để sửa lỗi ISS khuyến cáo sử dụng Console chocác tác vụ quản lý an ninh

 Site Databasse: lưu trữ các thông tin sau

o Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS

o Thống kê các sự kiện bảo mật

o Thông tin nhóm

o Dữ liệu điều khiển và lệnh

o Trạng thái XPU của tất cả các agent

o Tài khoản người dùng hệ thống SiteProtector và phân quyền

o Các ticket

o Tùy chỉnh hiển thị, báo cáo và các thiết lập khác

 SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console

và các agent khác trở lên dễ dàng hơn Application Server giúp cho nhiềuConsole có thể cùng thực hiện các chức năng sau:

o Giao tiếp với SiteProtector Database

o Giám sát và quản lý cùng một tập các Event Collection và agent

 Chú ý: Application Server chứa các Sensor Controller và X-Press UpdateServer Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính

Ba thành phần này được tích hợp toàn bộ và không thể tách rời

 Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent kháctrở lên dễ dàng

 X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và cácsản phẩm ISS khác cùng làm việc Nó thực hiện các việc sau:

o Kết nối tới trung tâm download ISS

o Download các bản cập nhật

o Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán

 Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector đượcgiới hạn Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sựkiện bảo mật của hệ thống.

3.3.2 Quá trình thiết lập hệ thống SiteProtector

Các giai đoạn thiết lập

 Thiết lập tài nguyên:

o Thêm các phân công tài nguyên quan trọng đối với hệ thốngSiteProtector mà sẽ được giám sát bởi các agent

o Điều chỉnh nhóm phân công tài nguyên

 Sau khi thiết lập xong hệ thống SiteProtector, ta có thể cài đặt và cấu hình thêmcác module

Cấu hình giao diện tương tác

Thiết lập tùy chọn chung

Chúng ta có thể thiết lập các tùy chọn chung trong hệ thống SiteProtector để điềukhiển hành vi của giao diện, như hiển thị mặc định khi khởi động, thời gian…

Để thiết lập các tùy chọn chung, trong giao diện tương tác chọn Tools ->Options Trong cửa sổ Options có chứa các loại tùy chọn:

1 General

Chứa các tùy chọn khởi động, tùy chọn thời gian…

Dưới General là tab Table có các tùy chọn hiển thị bảng

Chọn nội dung để hiển thị trong mục Analysis

SiteProtector được sử dụng trong khóa luận này chỉ với mục đích điều khiển vàcấu hình thiết bị IPS một cách dễ dàng hơn Tuy nhiên trong tương lai, các thiết bị giámsát mạng được nâng cấp về số lượng và chất lượng thì siteProtector sẽ trở thành hệthống không thể thiếu trong việc đảm bảo an ninh cho hệ thống mạng đại học quốc gia

3.4 CÀI ĐẶT VÀ CẤU HÌNH IPS [5]

3.4.1 Cài đặt

Hệ điều hành sử dụng trong IPS Proventia G200 là một hệ điều hành riêng củaIBM dựa trên Linux, phiên bản G-Series.1.7_2008.1105_15.57.25 Về cơ bản cài đặt

hệ điều hành này cũng giống như cài đặt một hệ điều hành Linux thông thường

Trong khi cài đặt, hệ điều hành sẽ yêu cầu nhập địa chỉ mạng cho cổng managercủa IPS

Sau khi cài đặt hệ điều hành, các cấu hình cơ bản của thiết bị như ngày giờ, tênthiết bị, tên miền hay địa chỉ IP của thiết bị được cấu hình trực tiếp trong giao diệndòng lệnh của thiết bị Giao diện web được truy cập thông qua địa chỉ vừa đặt Cấuhình các luật tường lửa và sự kiện an ninh, phản hồi được thiết lập tại giao diện này.Một công việc quan trọng khác trong giao diện web này là đăng kí địa chỉ máy cài đặtphần mềm quản lý SiteProtector với IPS

Sử dụng SiteProtector ta có thể điều khiển và cấu hình IPS một cách dễ dànghơn Ngoài ra khi sử dụng phần mềm này, ta có thể đặt thêm signature để nhận biết dễdàng hơn các tấn công và thâm nhập

3.4.2 Cấu hình hình thái hoạt động

Thiết bị IPS có 3 hình thái hoạt động như đã nói ở trên :

Chú ý : cấu hình tắc nghẽn mạng, những đại lý không phản hồi và những tùychọn cập nhật đại lý chỉ có ở trong hình thái inline protection Chúng không được sửdụng trong hình thái passive.

Có thể chọn lại hình thái hoạt động đã sử dụng khi cài đặt thiết bị bằng cách sau

1 Thiết lập một giao diện cấu hình nội bộ (cổng console) và đăng nhập vào

2 Trong thực đơn cấu hình, chọn Agent Mode và ấn ENTER Màn hình cấu hìnhhình thái sẽ xuất hiện

3 Chọn hình thái hoạt động bằng cách bấm phím SPACE BAR Những hình thái

Màn hình cấu hình hình thái sẽ xuất hiện trở lại

Chúng ta cũng có thể cấu hình các hình thái hoạt động trong site protector Đểthay đổi hình thái, làm theo các bước sau đây :

1 Trong SiteProtector Site Manager, chọn thiết bị

2 Trong cửa sổ Inline Appliance Properties, chọn thẻ General

3 Trong vùng Inline Appliance Mode, chọn hình thái từ danh sách

4 Nhấn OK

3.4.3 Cấu hình sự kiện an ninh

Trang security event liệt kê hàng trăm sự kiện tấn công và bảo mật Một sự kiệntấn công và bảo mật là các lưu lượng mạng mang nội dung tấn công hoặc một hànhđộng đáng ngờ Các sự kiện này được xảy ra khi mà lưu lượng mạng trùng với mộttrong các sự kiện trong chính sách bảo mật được kích hoạt

Chú ý là tất cả các sự kiện đều được liệt kê dưới miền bảo mật toàn cục Thiết bịluôn luôn sử dụng một chính sách bảo mật toàn cục, điều này có nghĩa là nó sử dụngcác sử kiện bảo mật theo cùng một kiểu cho tất cả các vùng của mạng Nên cấu hìnhcác sự kiện ở cấp độ toàn cục Nếu muốn cấu hình các chính sách bảo mật cho mộtsegment đặc biệt trên mạng, cần tạo ra các protection domain cho mỗi segment

Để thêm các sự kiện bảo mật :

1 Chọn Security Events.

2 Trên tab Security Events, click Add

3 Hoàn thành hoặc thay đổi các thiết lập được chỉ ra sau :

 Enabled : chọn ô này để cho phép sự kiện này thành một phần của chính sáchbảo mật

 Protection Domain : nếu các protection domain đã được cấu hình, chọn một từdanh sách Chỉ có thể đặt một sự kiện cho một miền vào một thời điểm , để cấuhình sự kiện này cho một miền khác , phải sao chép và đổi tên sự kiện sau đógán nó cho miền khác

 Chú ý : Protection domain sẽ là “Global” trong danh sách nếu không cấu hìnhhoặc không sử dụng các protection domain

 Attack/Audit: Nếu tạo ra một sự kiện tùy chọn thì ô này sẽ không sử dụng

 Nếu chỉnh sửa một sự kiện trong danh sách , vùng này sẽ hiển thị là audit hoặcattack

 Sự kiện audit là sự kiện về tìm kiếm các thông tin trên mạng

 Sự kiện attack là sự kiện tìm kiếm để làm hỏng mạng

 Tag Name : điền miêu tả cho sự kiện (không thể thay đổi khi chỉnh sửa)

 Severity: Chọn mức độ nghiêm trọng cho sự kiện

 Protocol : Gõ giao thức (nếu đã có thì nó sẽ ở chế độ read-only)

 Ignore Events : Chọn nếu muốn thiết bị bỏ qua khi sự kiện này xảy ra

 Display: Chọn chế độ hiển thị

 No Display: không hiển thị khi phát hiện ra sự kiện

 WithoutRaw Ghi lại tóm tắt sự kiện

 WithRaw Ghi lại và kết hợp với bắt gói

 Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nốiTCP

 Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss

 Responses : cho phép phản hồi với các tùy chọn sau

 Email : chọn email phản hồi

 Quarantine : chọn kiểu cách ly

 SNMP Chọn phản hồi SNMP từ danh sách

 User Defined Chọn một kiểu phản hồi do người dùng định nghĩa

 XPU : Chỉ cho các sự kiện đã tồn tại, hiển thị phiên bản XPU(read-only)

 Event Throttling : Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáotrong suốt khoảng này Mặc định là 0 (không cho phép)

 Check Date : hiển thị ngày tháng mà sự kiện được tạo ra (read-only)

 Default Protection : hiển thị protection mặc định được thiết lập cho sự kiện ,như “Block”(read-only)

 User Overridden : nếu tạo mới một sự kiện , mặc định ô này là custom event và

sự kiện đã sửa

4 click Ok và lưu lại thay đổi

Hình 9 – Security Events

Chỉnh sửa nhiều sự kiện

Để chỉnh sửa nhiều sự kiện :

1 Chọn các Security Event

2 Trên tab Security Event , làm một trong các việc sau :

a Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện

b Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầutiên đến sự kiện cuối cùng

3 Click Edit

Mỗi mục được chỉnh sửa sẽ thay đổi cho toàn bộ sự kiện Có một hình chữ nhậtmàu xanh xuất hiện bên cạnh mỗi mục khi giá trị trong mục đó của mỗi sự kiện