Đề tài Nghiên cứu hệ thống phát hiện và ngăn chặn xâm nhập IDS IPS cho mạng doanh nghiệp

Luận văn được chia làm 3 phần: Chương 1: Tổng quan vềphòng chống xâm nhập mạng. Chương 2: Hệthống phát hiện và ngăn chặn xâm nhập trái phép IDSIPS. Chương 3: Xây dựng mô hình hệthống IDSIPS sửdụng cho mạng doanh nghiệp.

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HÀ NỘI

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS

CHO MẠNG DOANH NGHIỆP

Chuyên ngành: KỸ THUẬT VIỄN THÔNG

Mã số: 60.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYỄN TIẾN BAN

HÀ NỘI-2014

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả

NGUYỄN MẠNH ĐOÀN

MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT iv

DANH MỤC HÌNH vi

CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG 3

1.1 Những mối đe dọa đối với bảo mật : 3

1.1.1 Phân loại theo cấu trúc: 3

1.1.2 Phân loại theo vị trí tấn công: 3

1.2 Các phương thức xâm nhập và phòng chống: 4

1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS): 4

1.2.2 Sniffers: 6

1.2.3 Port scan: 8

1.2.4 ARP Spoofing 9

1.3 Nhu cầu sử dụng IDS/IPS 9

1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng: 9

1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS: 22

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP IDS/IPS 25

2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập: 25

2.2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) 26

2 2.1 Chức năng: 27

2 2.2 Phân loại: 27

2.2.3 Kiến trúc và nguyên lý hoạt động: 34

2 3 IPS 41

2 3.1 Kiến trúc chung của các hệ thống IPS: 41

2 3.2 Các kiểu hệ thống IPS 43

2 4 Cách phát hiện và ngăn chặn các kiểu tấn công thông dụng của hệ thống IDS/IPS.43 2.5 Kết luận 50

CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG IDS/IPS CHO MẠNG DOANH NGHIỆP 51

3.1Giới thiệu các giải pháp ngăn chặn và phòng chống xâm nhập : 51

3.1.1 Giải pháp phần mềm: 51

3.1.2 Giải pháp phần cứng: 52

3.2 Xây dựng mô hình IDS/IPS cho mạng doanh nghiệp: 56

3.3 Kết luận 63

KẾT LUẬN 64

TÀI LIỆU THAM KHẢO 65

PHỤ LỤC 66

protocol

Giao thức điều khiển truyền tin trên mạng

VPN Virtual Private Network Mạng riêng ảo

DANH MỤC HÌNH

Hình 1.1 Port Scan 8

Hình 1.2 Mô hình tường lửa đơn giản 10

Hình 1.3 Lọc gói tin 11

Hình 1.4 Cổng mạch 15

Hình 1.5 Mô hình VPN 17

Hình 1.6 Mô hình mạng VPN truy nhập từ xa 19

Hình 1.7 Mô hình mạng VPN cục bộ 20

Hình 1.8 Mô hình mạng VPN mở rộng 21

Hình2.1 NIDS 30

Hình 2.2 Kiến trúc IDS/IPS 34

Hình 2.3 Knowledge – based IDS 37

Hình 2.4 Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ 39

Hình 2.5 Anomaly-based IDS 40

Hình 3.1 Snort 52

Hình 3.2 Kiến trúc cảm biến của IPS Cisco 53

Hình 3.3 Lưu lượng thông qua các cảm biến 56

MỞ ĐẦU

Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất

cả các nhu cầu về công việc cũng như cuộc sống Đi kèm theo sự phát triển mạnh

mẽ đó là các yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ Trong đó bảo mật là một trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ cũng như người sử dụng, không chỉ đối với các cá nhân mà còn đặc biệt quan trọng trong các nghành mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân hàng, tài chính… Ngay từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất được chú trọng Trải qua cả một quá trình dài phát triển với rất nhiều thay đổi, các biện pháp bảo mật cũng không ngừng phát triển và tiến bộ cả về số lượng và chất lượng: Firewall, VPN, mã hóa, các phần mềm diệt virus,… Tùy theo các yêu cầu bảo mật cũng như các mối nguy cơ bị tấn công mà có các biện pháp bảo mật tương ứng Tuy nhiên để có sự an toàn mạng cao nhất thì cần phải biết kết hợp các phương pháp bảo mật một các hiệu quả Luận văn đi sâu vào tìm hiểu và nghiên cứu về hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS, qua đó đưa ra các giải pháp sử dụng IDS/IPS trong hệ thống mạng Đây là một phương pháp bảo mật rất quan trọng luôn được sử dụng trong một hệ thống mạng IDS/IPS phát hiện và ngăn chặn những xâm nhập trái phép cũng như các trường hợp dùng sai quyền, nó khắc phục các vấn đề mà các phương pháp khác như Firewall hay VPN chưa làm được

Luận văn được chia làm 3 phần:

Chương 1: Tổng quan về phòng chống xâm nhập mạng

Chương 2: Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS Chương 3: Xây dựng mô hình hệ thống IDS/IPS sử dụng cho mạng doanh nghiệp

Tác giả xin chân thành cảm ơn các thầy cô đặc biệt là PGS TS NGUYỄN TIẾN BAN đã nhiệt tình hướng dẫn tác giả hoàn thành luận văn này

Do thời gian nghiên cứu có hạn, đồng thời kiến thức còn hạn chế, luận văn không tránh khỏi những thiếu sót, tác giả rất mong được các thầy cô hướng dẫn và chỉ dạy thêm Tác giả xin được tiếp thu và cố gắng hoàn thành tốt nhất luận văn

Học viên

NGUYỄN MẠNH ĐOÀN

CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP

MẠNG 1.1 Những mối đe dọa đối với bảo mật :

Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống, chúng ta cần phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ nghiêm trọng của chúng Từ đó chúng ta có thể đưa ra các đánh giá chính xác và cách phòng chống một cách hợp lý nhất Những mối đe dọa được biết đến có thể phân chia dựa theo cấu trúc hoặc vị trí tấn công :

1.1.1 Phân loại theo cấu trúc:

1.1.1.1 Những mối đe dọa không có cấu trúc:

Những mối đe dọa không có cấu trúc được gây ra bởi những kẻ tấn công ít

có khả năng lập trình và hầu hết chỉ sử dụng những công cụ hack và script được cung cấp trên Internet Những cuộc tấn công này có tính chuyên môn không cao và thường là do tính tò mò cũng như những sở thích cá nhân, tuy nhiên chúng vẫn gây

ra những nguy hại cho nạn nhân: chúng có thể phá hủy các chức năng mạng của hệ thống, gây gián đoạn thông tin, …

1.1.1.2 Những mối đe dọa có cấu trúc:

Những mối đe dọa có cấu trúc được biết đến là những hành động cố ý, có động cơ và kỹ thuật cao Những kẻ tấn công có trình độ và kỹ năng để lập trình tạo

ra các cộng cụ mới, sử dụng các kỹ thuật hack phức tạp và hiện đại hoặc chỉnh sửa

và sử dụng các công cụ theo mong muốn của chúng

Những cuộc tấn công kiểu có cấu trúc thường có động cơ chính trị, tiền bạc hoặc báo thù… và có mục đích từ trước Những cuộc tấn công kiểu này thường gây tổn thất nặng nề và các hậu quả nghiêm trọng cho hệ thống mục tiêu

1.1.2 Phân loại theo vị trí tấn công:

1.1.2.1 Những mối đe dọa từ bên ngoài:

Đây là những mối đe dọa phổ biến, các cuộc tấn công được gây ra bởi những

kẻ không có quyền nào trong hệ thống mục tiêu thông qua Internet Những mối đe dọa loại này thường được các doanh nghiệp đặc biệt chú ý và đề phòng

Để hạn chế tổn thất cho hệ thống từ những mối đe dọa bên ngoài chúng ta sử dụng các hệ thống bảo vệ vành đai( Hệ thống bảo vệ vành đai thường được biết đến là Firewall)

1.1.2.2 Những mối đe dọa từ bên trong:

Khi những kẻ tấn công có một hoặc một vài quyền trong hệ thống và thực hiện cuộc tấn công từ một khu vực tin cậy trong mạng thì ta gọi đó là những cuộc tấn công từ bên trong Kẻ tấn công có thể chính là thành viên của hệ thống hoặc được sự giúp đỡ từ thành viên trong hệ thống Khi một kẻ xâm nhập vượt qua vành đai bảo vệ của hệ thống thì mọi chuyện còn lại thường rất đơn giản vì các phần tin cậy bên trong mạng thường có xu hướng bớt nghiêm ngặt hơn Các cuộc tấn công dạng này thường khó phòng chống hơn và gây ra những tổn thất rất nghiêm trọng

1.2 Các phương thức xâm nhập và phòng chống:

1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS):

DoS là cuộc tấn công từ một người hoặc một nhóm người nào đó nhằm làm

tê liệt hệ thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay thực hiện bất kỳ một công việc nào DoS không cho phép ủy quyền truy cập đến máy hoặc dữ liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ Hacker cố gắng làm ngập hệ thống, ngăn chặn trao đổi thông tin giữa các kết nối, phá vỡ hệ thống của một người hoặc một hệ thống chỉ định DoS làm khan hiếm,giới hạn và không thể phục hồi tài nguyên, gây ảnh hưởng đến băng thông, bộ nhớ, CPU và cấu trúc dữ liệu, ngoài ra chúng còn thay thế các thông tin cấu hình và các thành phần mạng ở mức vật lý

Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và DDoS(Distributed Denial of Service)

1.2.1.1 DoS

DoS lại được chia ra làm các dạng tấn công sau :

a Smurf:

Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến

và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khỗng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot

b Buffer Overflow Attack:

Hacker ghi đè dữ liệu vào các chương trình nhằm làm lượng thông tin vào bộ đệm lớn hơn không gian cho phép của bộ nhớ, gây ra hiện tượng tràn bộ đệm

c Ping of Death:

Hacker gửi những gói dữ liệu lớn hơn 65536 bytes mà giao thức IP cho phép Gói dữ liệu IP được phân mảng thành những đoạn nhỏ hơn tại layer 2 Tuy nhiên hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị gián đoạn giao tiếp hay bị khởi động lại

d Teardrop:

Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu Lợi dụng sơ hở đó, hacker gửi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn

1.2.1.2 DDoS:

DDoS được tiến hành từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET Đây là dạng tấn công cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều địa chỉ trên Internet Khi cuộc tấn công DdoS xảy ra, rất khó có thể ngưng lại vì Firewall có thể ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết nối Internet

Một số phương pháp phòng chống tấn công DDoS :

- Phòng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm yếu trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm dứt Các lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ của Windows, các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá

là một trong những yêu cầu quan trọng cho việc phòng ngừa

- Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng

- Giới hạn số lượng kết nối từ một nguồn cụ thể tới server

- Phát hiện và ngăn chặn tấn công tới hạn tố độ thiết lập kết nối: Có thể áp dụng bộ lọc để giới hạn số lượng kết nối trung bình Bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng

1.2.2 Sniffers:

Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng đến một địa chỉ riêng với mục đích tích cực hoặc tiêu cực:

- Tích cực: Sniffers có thể là một công cụ giúp nhà quản trị mạng theo dõi và bảo trị hệ thống mạng của mình

- Tiêu cực: Sniffers có thể là một chương trình được cài vào hệ thống mạng máy tính với mục địch chặn các dữ liệu, các thông tin trên đoạn mạng này để

ăn cắp các thông tin quan trọng như: mật khẩu, thông tin thẻ tín dụng, văn bản của mail, các tập tin FTP hoặc SMB…

Một số tính năng của Sniffers là :

- Tự động chụp username và clear text password

- Chuyển đổi dữ liệu trên đường truyền để người quản trị mạng có thể đọc và hiểu được những dữ liệu đó, giúp nhà quản trị mạng phân tích được hệ thống mạng

- Ghi lại các thông tin về gói dữ liệu, các phiên truyền

Các giao thức có thể bị hacker tấn công sử dụng sniffers: Telnet và Rlogin( ghi lại các thông tin về username và password), HTTP, STMP, POP, FPT…

Chúng ta có thể ngăn ngừa xâm phạm trái phép sử dụng sniffers bằng các cách sau :

- Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố: personal identification number(PIN) và token card để xác thực một thiêt bị hoặc một phần mềm ứng dụng Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin(password) một cách ngẫu nhiên tại một thời điểm Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất Dù hacker có học được thông tin về password thông qua sniffers thì chúng cũng không có giá trị vì đã quá hạn

- Dùng switch thay vì dùng bridge, hup nhằm hạn chế các gói được broadcast trong mạng và làm giảm ảnh hưởng của sniffers mặc dù không thể ngăn chặn hoàn toànsniffers

- Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì chỉ có thể bắt được các gói dữ liệu đã mã hóa

1.2.3 Port scan:

Scan port la phương pháp thường được thực hiện trực tiếp trên một host hoặc một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp Hacker có thể dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó Port scan dựa trên phương thức truyền thông TCP để có thể xem server mở port nào cũng như đóng port nào.Có 2 phương pháp scan port: SYN Scan và ACK Scan Hacker sử dụng phương pháp SYN Scan sẽ gửi hàng loạt các gói tin TCP có port đích lần lượt là các port cần scan của server cần khai thác Gói tin SYN này chỉ bật

cờ như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP Khi server nhận được các gói tin này sẽ trả về gói SYN ACK trong trường hợp port đó mở, hacker

sẽ biết được dịch vụ nào đang được bật ở server đó

Để hạn chế và khắc phục loại tấn công này, có thể sử dụng Firewall hoặc IDS/IPS nhằm phát hiện, cảnh báo, và ngăn chặn thăm dò và sau đó là xâm nhập mạng

Server Hackker

SYN+Port

ACK SYN/ACK

RST

1.2.4 ARP Spoofing

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ.Một địa chỉ là Media Access Control (MAC) và một địa chỉ Internet Protocol (IP).Địa chỉ MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất Địa chỉ IP

có thể thay đổi theo người sử dụng tùy vào môi trường mạng ARP là một giao thức của lớp 2, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC.ARP thực hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ IP của host cần giao tiếp Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu của giao thức này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không biết được ai gửi các gói tin đó Người tấn công sẽ giả các gói tin ARP reply với địa chỉ IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công Như vậy máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch trong việc gửi/nhận thông tin

1.3 Nhu cầu sử dụng IDS/IPS

1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:

1.3.1.1 Firewall:

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai

Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng

họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau

để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn có thể hạn chế lưu lượng và điều khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập

từ bên trong tới một số địa chỉ nhất định trên Internet

Hình 1.2 Mô hình tường lửa đơn giản

Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước

Cấu trúc của Firewall bao gồm:Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router; các phần mềm quản lí an ninh chạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)

Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

Mạng nội bộ

Internet Tường

lửa

• Bộ lọc packet (packet- filtering router)

• Cổng ứng dụng (application-level gateway hay proxy server)

• Cổng mạch (circuite level gateway)

¾ Bộ lọc packet:

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ

có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

• Địa chỉ IP nơi xuất phát (Source)

Gói tin đi vào

Gói tin bị loại

Gói tin thỏa mãn Tường

lửa

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet

đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ

ƒ Ưu điểm

những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu lượng mạng

vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

ƒ Nhược điểm

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi

vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản

lý và điều khiển

¾ Cổng ứng dụng

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt

động của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền) Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi

từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là :

- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm

hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như

user password hay smart card

- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ

đúng với một số máy chủ trên toàn hệ thống

- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong

việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

- Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn để

ƒ Ưu điểm:

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có

thể truy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là

các dịch vụ ấy bị khoá

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi

chép lại thông tin về truy nhập hệ thống

- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn

so với bộ lọc packet

ƒ Nhược điểm:

Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng

là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet

¾ Cổng mạch

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào

Hình dưới minh hoạ một hành động sử dụng nối telnet qua cổng mạch Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự

kiểm tra, lọc hay điều khiển các thủ tục Telnet Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ

Hình 1.4 Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

Tuy nhiên Firewall cũng có những điểm yếu sau:

9 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống,

và không thể chống lại sự đe dọa từ trong hệ thống

9 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể cho phép việc thăm dò điểm yếu

9 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

9 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall

Outside

9 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống

9 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet

1.3.1.2 An toàn thông tin bằng mật mã:

Mật mã là một nghành khoa học chuyên nghiên cứu các phương pháp truyền thông tin bí mật Mật mã bao gồm: lập mã và phá mã Lập mã bao gồm hai quá trình: mã hóa và giải mã

Để bảo vệ thông tin trên đường truyền, thông tin được biến đổi từ dạng nhận thức được sang dạng không nhân thức được trước khi truyền trên mạng, quá trình này được gọi là mã hóa thông tin(encryption) Ở đích đến thông tin được biến đổi ngược lại quá trình mã hóa, gọi là quá trình giải mã

Vấn đề bảo vệ thông tin bằng mật mã được tiếp cận theo hai hướng:

• Link Oriented Security: Thông tin được mã hóa để bảo vệ đường truyền giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó Thông tin sẽ chỉ được bảo vệ trên đương truyền

• End to End: Thông tin sẽ được mã hóa ngay tại nguồn và chỉ được giải mã cho đến khi tới đích Trong phương pháp này chỉ có dữ liệu của người dùng được mã hóa còn thông tin điều khiển không được mã hóa

Ưu điểm lớn nhất của bất kỳ hệ mã nào đó là có thể đánh giá độ phức táp tính toán mà kẻ tấn công phải giả quyết bài toán đền có thể lấy thông tin của dữ kiệu được mã hóa Nhờ đó có thể áp dụng các thuật toán mã hóa khác nhau cho từng ứng dụng cụ thể tùy theo yêu cầu về độ an toàn

Dựa vào cách truyền khóa có thể phân các hệ mật mã thành hai loại:

-Hệ mật đối xứng(mật mã khóa bí mật): là những hệ mật dùng chung một khóa trong cả 2 quá trình mã hóa dữ liệu và giả mã dữ liệu Do đó khóa phải được giữ bí mật tuyệt đối Một số hệ mật tiêu biểu: DES, dịch vòng, thay thế…

-Hệ mật mã bất đối xứng(mật mã khóa công khai): Các hệ mật này dùng một khóa

để mã hóa sau đó dùng một khóa khác để giải mã Các khóa này tạo nên từng cawpf

chuyển đổi ngược nhau và không có khóa nào có thể suy ra được khóa kia Khóa dùng để mã hóa có thể công khai nhưng khóa dùng để giải mã cần giữ bí mật Một

số hệ mật tiêu biểu: hệ mật RSA, hệ mật ELGAMAL, hệ mật RABIN…

1.3.1.3 VPN:

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Hình 1.5 Mô hình VPN

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối

“point-to-point” trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu là thông tin

về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel)

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

¾ Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

¾ Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

¾ Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thì cũng không đọc được

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu điểm khác

Phân loại mạng VPN

a Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất Bởi

vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,

những người sử dụng di động, những chi nhánh và những khách hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách

sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

POP DSL

cable

Mobile

POP

Extranet kh¸ch hµng tíi c«ng ty

Router Internet

or or

Hình 1.6 Mô hình mạng VPN truy nhập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như:

quá trình kết nối từ xa được các ISP thực hiện

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:

không đến nơi hoặc mất gói

đáng kể

b Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

v¨n phßng ë xa

Router Internet

POP

or

Hình 1.7 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức

độ chất lượng dịch vụ (QoS)

yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

c Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

or

Hình 1.8 Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều

cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng

Bảo mật trong VPN thường được sử dung là giải pháp IP Sec, giải pháp này gồm hai phần chính: Xác thực và mã hóa Trong xác thực có thể chia ra làm hai loại nhỏ là: xác thực nguồn gốc dữ liệu(PAP, CHAP, RADIUS) và xác thực tính toàn vẹn(MD5, chữ ký số) Mã hóa xử dụng thuật toán mã hóa bí mật và công khai.Tuy nhiên tất cả các gói được xử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống Bên cạnh

đó IPSec được thiết kế chỉ để điều khiển lưu lượng IP

1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS:

Các phương pháp nhằm đảm bảo an toàn cho thông tin mạng và hệ thống kể trên đều có các ưu điểm và các nhiệm vụ nhất định Tuy nhiên câu hỏi đặt ra là làm thế nào để có thể phát hiện các cuộc tấn công, sự dùng sai quyền hạn trong hệ thống? IDS/IPS là giải pháp hợp lý và là câu trả lời cho câu hỏi đó

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS

chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu - đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005” Phát biểu này của xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau:

• IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives)

• Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm)

• Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả

• Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư

- Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói tin của IDS Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:

• Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả

• Các thành phần quản trị phải tự động hoạt động và phân tích

Kết hợp với các biện pháp ngăn chặn tự động, kết quả là tới năm 2005, thế

hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó

1.4 Kết luận

Chương 1 của luận văn đã nêu tổng quan về phòng chống xâm nhập mạng: những mối đe dọa đối với bảo mật, các phương thức xâm nhập và phòng chống xâm nhập phổ biến (DoS, Sniffers, Port Scan, ARP Spoofing) Đồng thời tác giả cũng nêu khái quát các phương pháp bảo mật trong an ninh mạng hiện nay: Fire wall, VPN, mã hóa…, qua đó đưa ra được nhu cầu cấp thiết trong việc sử dụng hệ thống IDS/IPS

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN

XÂM NHẬP TRÁI PHÉP IDS/IPS 2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập:

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp pháp Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát Như đã đề cập ở trên, hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập Mục đích của phát hiện xâm nhậplà cung cấp sự giám sát, kiểm tra, tính pháp lý và báo cáo về các hoạt động của mạng Nó hoạt động trên các gói tin được cho phép thông qua một thiết bị kiểm soát truy nhập Một IDS có thể thực hiện các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng.IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thông bất thường hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng hay hay địa chỉ IP nguồn

đó truy cập hệ thống mạng.IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu

lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường

Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh

IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP-Intrusion Detection and Prevention.Luận văn đi sâu vào nghiên cứu hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS(IDP).Nội dung

của chương sẽ được trình bày theo 2 phần chính: Intrusion DetectionvàIntrusion Prevention

2.2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)

Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

9 Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive)

9 Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới

hệ - theo [Ranum, 2000] là dưới 1 phút)

9 Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào (xâm nhập không bị phát hiện được gọi là false negative) Đây là

một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương lai

9 Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công

9 Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống

mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị

quá tải bởi sự tăng trưởng của số lượng sự kiện

2 2.1 Chức năng:

Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ

9 Giám sát: lưu lượng mạng và các hoạt động khả nghi

9 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

9 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng:

Phân biệt: tấn công bên trong và tấn công bên ngoài

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline

Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:

9 Ngăn chặn sự gia tăng của những tấn công

9 Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

9 Đánh giá chất lượng của việc thiết kế hệ thống

2 2.2 Phân loại:

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):

a Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, HIDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những

cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công

có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host)

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.Một ưu điểm khác của IDS dựa trên máy chủ là nó

có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này

HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all):

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi

khả nghi trên hệ thống file sẽ gây ra báo động

Lợi thế của HIDS:

9 Có khả năng xác đinh user liên quan tới một event

9 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

9 Có thể phân tích các dữ liệu mã hoá

9 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này Hạn chế của HIDS:

9 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

9 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

9 HIDS phải được thiết lập trên từng host cần giám sát

9 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

9 HIDS cần tài nguyên trên host để hoạt động

9 HIDS có thể không hiệu quả khi bị DOS

9 Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó Một khi điều này xảy ra thì các máy chủ

sẽ không thể tạo ra được cảnh báo Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng Trong một

môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau Do đó trước khi chọn một hệ thống IDS, chúng

ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành

b Network Base IDS (NIDS)

Hình2.1 NIDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và

có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao

Lợi thế của Network-Based IDS:

- Quản lý được cả một network segment (gồm nhiều host)

- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

Hạn chế của Network-Based IDS:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động được phát ra, hệ thống có thể đã bị tổn hại

- Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu

dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp

hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích