Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
156,88 KB
Nội dung
TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN Môn: An ninh bảo mật liệu Đề tài: Tìm hiểu hệ thống xâm nhập IDS Sensor Cisco Giảng viên hướng dẫn: Trần Duy Hùng Sinh viên thực hiện: Phan Văn Hào – 1810A01 Nguyễn Quang Hợp – 1810A01 Đỗ Tiến Đại– 1810A01 Năm 2021 Mục lục Khái niệm IDS Lịch sử đời IDS Chức IDS 4 Kiến trúc IDS 5 IDS Sensor Cisco 6 Cisco IDS 4.x chạy hệ điều hành Linux .9 Khái niệm IDS Ngày này, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành điều vô quan trọng hoạt động xã hội Bảo mật trở thành vấn đề lớn tất mạng môi trường doanh nghiệp Hacker Intruder (kẻ xâm nhập) nhiều lần thành công việc xâm nhập vào mạng công ty đem bán nhiều thơng tin có giá trị IDS – Instruction Detection System : hệ thống phát xâm nhập hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS phát công từ bên (từ nhân viên cơng ty) từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt từ nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) dựa so sánh mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm hành vi khác thường Lịch sử đời IDS Khái niệm phát xâm nhập xuất qua báo James Anderson Các nghiên cứu IDS nghiên cứu thức từ 1983- 1988 Cho đến năm 1996 khái niệm IDS chưa phổ biến Một số hệ thống xuất phịng thí nghiệm viện nghiên cứu Năm 1997 IDS thực biết đến đem lại lợi nhuận với đầu công ty ISS Năm 1998 Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS/IPS công nghệ an ninh sử dụng nhiều phát triển Chức IDS Chức quan trọng IDS giám sát cảnh báo: o Giám sát: giám sát lưu lượng mạng hoạt động khả nghi o Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Chức IDS cụ thể hành động như: o Nhận hành vi giống công mà hệ thống cài đặt từ trước o Phân tích thống kê luồng traffic khơng bình thường o Đánh giá kiểm tra tính tồn vẹn file xác định o Thống kê phân tích user, hệ thống hoạt động o Phân tích luồng traffic o Phân tích Event log (ghi kiện) Kiến trúc IDS Một IDS bao gồm: trung tâm điều khiển (The Command Console), càm biến (Sensor), phân tích gói tin (The Netword Tap), thành phần cảnh báo (Alert Notification) Trung tâm điều khiển (The Command Console): Trung tâm điều khiển nơi mà IDS giám sát quản lý Nó trì kiểm sốt thơng qua thành phần IDS trung tâm điều khiển truy cập từ nơi Tóm lại, trung tâm điều khiển trì số kênh mở cảm biến qua đường mã hóa máy chuyên dụng Bộ cảm biến (Sensor): Bộ cảm biến chương trình chạy thiết bị mạng máy chuyên dụng thông qua đường truyền mạng thiết yếu Bộ cảm biến có vai trị quan trọng có tới hàng nghìn mục tiêu cần giám sát mạng Bộ phân tích gói: chương trình giám sát xâm nhập, gửi cảnh báo cho quản trị viên có hành động xâm nhập bất thường Thành phần cảnh báo: bao gồm phương pháp gửi cảnh báo đến cho quản trị viên hệ thống SMS, email, popupm SNMP 5 IDS Sensor Cisco - Các yếu tố ảnh hưởng đến định chọn Sensor cho giải pháp Cisco IDS: Network media: Việc chọn lựa Sensor bị ảnh hưởng môi trường mạng Intrusion detection analysis performance: Hiệu Sensor tính tỉ lệ số bit /s mà capture phân tích xác Hiệu Cisco IDS Sensor nằm từ 45Mbps đến 1000 Mbps Network enviroment: Cisco IDS sensor thích hợp cho mạng mà có tốc độ mạng nằm từ 10/100BASE-T Ethernet đến Gigabit Ethernet - Yêu cầu thiết kế triển khai giải pháp Cisco IDS: Số lượng Sensor: Các kiến thức topo mạng giúp xác định có IDS appliance cần thiết, cấu hình phần cứng cho IDS appliance (ví dụ kích thước loại NIC) có trạm quản lý IDS cần thiết Kích thước phức tạp mạng Các kết nối mạng cá nhân mạng khác, bao gồm Internet khối lượng loại traffic mạng Nơi đặt Sensor: người ta khuyên Sensor nên đc đặt network entry (điểm vào mạng) exit point (điểm ra) mà cung cấp đầy đủ toàn intrusion detection Các tuỳ chọn quản lý giám sát: xem lại tuỳ chọn quản lý giám sát để chọn thích hợp Giao tiếp với Sensor bên ngoài: traffic port giao tiếp Sensors hẹ thống bên phải đc cho phép firewall, để đảm bảo thực chức - Những vị trí mà cần bảo vệ thiết bị IDS chuyên dụng yêu cầu kết nối: - Internet protection: Sensor gateway mạng cá nhân internet kết hợp với firewall VPN giám sát traffic cho hoạt động xâm phạm - Extranet protection: Sensor mạng cá nhân kết nối extranet kết nối với đối tác kinh doanh, giám sát traffic nơi mà tin tưởng ko đc dám - Intranet and internal protection: bảo vệ liệu tập trung hệ thống quan trọng từ nguồn công bên - Remote access protection: Sensor đc sử dụng để giám sát traffic gửi đến NAS (Network acess server) để bảo vệ truy cập từ xa - Server farm protection: công ty triển khai Server public vùng DMZ Những server đưa dịch vụ mạng : Web access, DNS, FTP, SMTP Các CSA Agent đc cài server CSAMC đc cài mạng internal - Vị trí đặt sensor Sensor nằm trước firewall: - Nhìn thấy tất traffic gửi đến - Có khả năg cao false possitive - Không detect công bên Sensor nằm sau firewall - Nhìn thấy traffic đc cho phép firewall=> bảo vệ IDS sensor khỏi vi phạm mà firewall lọc - Có khả thấp false positive - Alarm yêu cầu đáp ứng Cisco IDS 4.x chạy hệ điều hành Linux Các hoạt động tương tác - cidWebServer: webserver Sensor WebServer có khả giao tiếp HTTP HTTPs Nó cung cấp nhiều web tĩnh Nó cung cấp front-end server cho IDS Device Manager (IDM) IDM chạy “servlet” bên webserver WebServer sử dụng vài “servelet” để cung cấp dịch vụ IDS Những “servlet” đc chia sẻ thư viện mà đc load đến cidWebServer xử lý thời gian chạy điểm miêu tả “servlet” IDM: cung cấp IDM web-based management interface (giao diện quản lý web) EvenServe: sử dụng để phục vụ kiện cho ứng dụng quản lý IDS Event Viewer (IEV) TransactionSever: cho phép ứng dụng quản lý Management Center cho IDS Sensor (IDS MC) để khởi tạo giao dịch quản lý với Sensor Các giao dịch quản lý đc sử dụng để cấu hình điều khiển Sensor IPLogServer: sử dụng để phục vụ IP logs chocác hệ thống bên - mainApp: chịu trách nhiệm cho cấu hình cấu hình hệ điều hành IP Address mainApp start stop tất ứng dụng khác Cisco IDS - logApp: ghi tất log message ứng dụng đến log file logApp ghi tin nhắn lỗi ứng dụng đến Eventstore - Authentication: cấu hình quản lý authentication Sensor ứng dụng authentication xác định trạng thái authentication user vai trò dựa username password Mỗi user gán vai trò Sensor Vai trò user xác định hoạt động mà user cho phép để thực - Network Access Controller (NAC): sử dụng để khởi tạo blocking thiết bị mạng - ctlTransSource: Cho phép Sensor giao tiếp giao dịch điều khiển với thiết bị khác - sensorApp: sensing engine thực sensor App xử lý signature phát alert events dựa cấu hình IP traffic SensorApp, giống ứng dụng khác, lưu trữ events (sự kiện) vào EventStore VirtualSensor:Nhận packet, xử lý chúng sau xác định có tạo alarm hay ko Các xử lý khác nằm Virtual Sensor, có chức riêng VirtualAlarm (alarm channel): chịu trách nhiệm cho đầu alarm đến IDS Eventstore thực EventAction - EventStore: 4Gb, đc chia sẽ, file đc ánh xạ nơi mà kiện đc lưu trữ Sensor App ứng dụng mà ghi alert events lên EventStore Tất ứng dụng khác ghi log, status error event lên EventStore - cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu user log in vào Sensor cidCLI độclập đc load cho CLI shell Ở CiscoIDS 4.x truy cập vào OS shell đc thay CLI,cái mà thực hầu hết nhiệm vụ Sử dụng CLI cho ứng dụng quản lý thích hợp để cấu hình gỡ rối Sự truy cập Shell cho cấu hình ko cịn đc hỗ trợ Các phương pháp quản lý Sensor: Cổng điều khiển: yêu cầu sử dụng cáp RS-232 (đã cung cấp với Sensor) chương trình giả lập thiết bị đầu cuối HyperTerminal 10 Monitor keyboard: yêu cầu kết nối hình bàn phím trực tiếp đến Sensor Telnet: yêu cầu địa IP mà gán cho command and control interface qua CLI setup command Secure shell (SSH): yêu cầu địa IP mà đc gán đến command and control interface qua CLI setup commandvà sử dụng client có hỗ trợ SSH HTTPS: yêu cầu IP mà đc gán đến command and control interface qua CLI setup command sử dụng trình duyệt web Khởi tạo cho Sensor: • Gán cho Sensor hostname: • Gán IP address subnet mask cho command and control interface • Gán • Enable hay disable • Xác định cụ default chức thể web route telnet server server port • Add remove ACL (access control list) entry mà xác định host • cho phép Set kết ngày nối đến Sensor • Thường đc thực qua setup command Command line mode: IDS 4.1 software bao gồm CLI đầy đủ CLI cho IDS version 4.1 giao diện người dùng mà làm cho bạn truy cập đến Sensor qua Telnet, SSH kết nối serial Sử dụng SSH version 1.5 clien để truy cập đến CLI qua mạng Các đặc điểm CLI: 11 Trợ giúp: enter ? sau câu lệnh để thể câu lệnh sẵn có mode Tab completion: Enter Tab để hoàn thành câu lệnh Command abbreviation: CLI nhận dạng ngắn nhiêu câu lệnh phổ biến ví dụ cần gõ sh ver thay show version Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để gọi lại câu lệnh vừa đc enter User interface prompts: CLI thể dấu nhắc tương tác người dùng hệ thống thể câu hỏi đợi đầu vào (input) user Nhiệm vụ CLI: - Khởi tạo Sensor - Cấu hình : tuning signature engine (điều chỉnh signature engine) - Quản trị : Back up restore file cấu hình - Gỡ rối: xác minh số liệu thống kê setting Một số câu lệnh bản: Tạo user account để truy cập đến Sensor cho quản lý giám sát (qua CLI management console) Cú pháp: sensor(config)# usename name [password] [privilege] vd: sensor(config)# username Admin password Adminpass privilege administrator 12 => tạo quản trị viên Admin với cấp quản trị viên đặc quyền mật Adminpass Tạo Service account Đây account có vai trị đặc biệt cho phép login vào OS shell thay CLI shell, account khơng hỗ trợ cho việc cấu hình nhưg hỗ trợ cho việc gỡ rối, mặc định khơng tồn Sensor phải tạo Cú pháp: sensor(config)# username name [password] [privilege] vd: sensor(config)# username myserviceacct password serpass privilege service => tạo tài khoản dịch vụ có tên myserviceacct với mật serpass Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần user cố gắng xác thực trước bị disable Cú pháp: sensor(config-Authentication-gen)# attemptLimit Limit vd: sensor(config-Authentication-gen)# attemptLimit => đặt số lần thử xác thực tối đa thành ba Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho user tồn enable trở lại cho user bị khoá Cú pháp: sensor(config)# [name [newpassword] ] 13 Thay đổi vai trò (đặc quyền): Sử dụng câu lệnh privilege để thay đổi vai trị account Chỉ administrator làm điều Cấu hình truy cập qua mạng: Sử dụng accessList để chỉnh sửa ACLs cho phép truy cập từ xa Câu lệnh giúp thiết lập IP host (hoặc mạng) mà đc phép thiết lập phiên kết nối TCP đến Sensor Cú pháp: sensor(config-Host-net)# accessList ipAddress ip_Address [netmask] 14 ... Hacker Intruder (kẻ xâm nhập) nhiều lần thành công việc xâm nhập vào mạng công ty đem bán nhiều thông tin có giá trị IDS – Instruction Detection System : hệ thống phát xâm nhập hệ thống giám sát lưu... thống kê cho thấy IDS/ IPS công nghệ an ninh sử dụng nhiều phát triển Chức IDS Chức quan trọng IDS giám sát cảnh báo: o Giám sát: giám sát lưu lượng mạng hoạt động khả nghi o Cảnh báo: báo cáo. .. lục Khái niệm IDS Lịch sử đời IDS Chức IDS 4 Kiến trúc IDS 5 IDS Sensor Cisco 6 Cisco IDS 4.x chạy hệ điều hành Linux