Đồ án tốt nghiệp đề tài nghiên cứu và xây dựng hệ thống giám sát an toàn thông tin dựa trên snort

Đi cùng với những lợi ích khi phát triển hạ tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người dùng, hệ thống mạng phải đối đầu với rất nhiều

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆPĐỀ TÀI:

NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TOÀNTHÔNG TIN DỰA TRÊN SNORT

Giảng viên hướng dẫn:Nhóm sinh viên thực hiện:

Tên sinh viênMã sinh viên

TP.HCM -2022

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆPĐỀ TÀI:

NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TOÀNTHÔNG TIN DỰA TRÊN SNORT

Giảng viên hướng dẫn:Nhóm sinh viên thực hiện:

Tên sinh viênMã sinh viên

TP.HCM - 2022

DANH SÁCH HỘI ĐỒNG BẢO VỆ KHÓA LUẬN

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số ……… ngày ……… của Hiệu trưởng Trường Đại học Công

MỤC LỤC

Chương 1 GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI 9

1.1 Tổng quan đề tài 9

1.1.1 Khái quát về an ninh mạng 9

1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng 10

1.1.3 Các thành phần cơ bản 11

1.2 Giới thiệu các giải pháp cơ bản 11

1.3 Giới thiệu các giải pháp cơ bản 11

Chương 2 CƠ SỞ LÝ LUẬN 13

2.1 Các nguyên tắc nền tảng của an ninh mạng 13

2.1.1 Tính bí mật 14

2.1.2 Tính toàn vẹn 14

2.1.3 Tính sẵn sàng 15

2.2 Nội dung về tấn công mạng 15

2.2.1 Hacking và khái niệm hacker 15

2.2.2 Phân loại hacker 16

2.2.3 Các nguy cơ mất an ninh mạng 17

2.2.4 Các giai đoạn tấn công 17

2.2.5 Các kiểu tấn công 18

2.3 Giải pháp an ninh mạng 28

2.3.1 Công nghệ tường lửa (Firewall) 28

2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS 29

2.3.3 Công nghệ mạng LAN ảo (VLAN) 34

2.3.4 Nghiên cứu mạng riêng ảo (VPN) 37

2.4 Yếu tố con người 38

2.5 Mô hình ứng dụng giải pháp an ninh mạng 39

2.6.3 Các yêu cầu đối với hệ thống Snort 42

2.7 Kiến trúc của Snort 42

2.7.1 Modun giải mã gói tin 43

2.7.2 Modun tiền xử lý 44

2.7.3 Modun phát hiện 45

2.7.4 Modun log và cảnh báo 46

2.7.5 Modun kết xuất thông tin 46

2.8 Bộ luật của Snort 47

2.8.1 Giới thiệu 47

2.8.2 Cấu trúc luật của Snort 47

2.8.3 Phần tiêu đề (Header) 48

2.8.4 Các tùy chọn (Option) 53

2.9 Chế độ ngăn chặn của Snort: Snort-Inline 58

2.9.1 Tích hợp khả năng ngăn chặn vào Snort 58

2.9.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode .59 2.10 Kết luận chương 2 59

Chương 3 Triển khai và cài đặt hệ thống giám sát an toàn thông tin dựa trên Snort.60

DANH MỤC HÌNH VẼ

Hình 2.1: Mô hình bộ ba CIA 10

Hình 2.2: Tấn công Man in The Middle 19

Hình 2.3: Giả mạo ARP 21

Hình 2.12: VLAN từ đầu cuối – đến – đầu cuối 36

Hình 2.13: Sơ đồ thực tế cài đặt IDS vào hệ thống mạng 39

Hình 2.14: Sơ đồ logic cài đặt IDS 40

Hình 2.15: Mô hình kiến trúc hệ thống Snort 42

Hình 2.16: Xử lý một gói tin Ethernet 44

Hình 2.17: Cấu trúc luật của Snort 47

Hình 2.18: Header luật của Snort 48

Hình 3.1: Mô hình triển khai thực nghiệm 60

Hình 3.2: Cài đặt và update một số gói cần thiết 60

Hình 3.3: Cài đặt Libpcap 61

Hình 3.4: Cài đặt DAQ 62

Hình 3.4a: Cài đặt LuaJIT 64

Hình 3.5: Cài đặt Snort 65

Hình 3.6: Snort đã được cài đặt thành công 65

Hình 3.7: Snort thực hiện chạy thành công 67

Hình 3.8: Thực hiện lệnh tấn công từ máy Kali 69

Hình 3.9: Máy client trước khi bị tấn công 69

Hình 3.10: Máy client sau khi bị tấn công 70 Hình 3.11: Thực hiện câu lệnh giám sát trên Snort 70 Hình 3.12: Thu được kết quả sau khi sử dụng Snort 71

DANH MỤC BẢNG

Bảng 2.1: Các cờ sử dụng với từ khóa flags 57

DANH MỤC TỪ VIẾT TẮT

AAA Authentication, Authorization, Accounting

CIS Center for Internet Security

HTTPS Hypertext Transfer Protocol Secure

IaaS Infrastructure as a Service

MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, sự đầu tư cho hạ tầng mạng trong mỗi doanh nghiệp ngày càng tăng cao, dẫn đến việc quản trị sự cố một hệ thống mạng gặp rất nhiều khó khăn Đi cùng với những lợi ích khi phát triển hạ tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người dùng, hệ thống mạng phải đối đầu với rất nhiều thách thức như các cuộc tấn công bên ngoài, tính sẵn sàng của thiết bị, tài nguyên của hệ thống,…

Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực hiện việc giải pháp giám sát mạng, dựa trên những thông tin thu thập được thông qua quá trình giám sát, các nhân viên quản trị mạng có thể phân tích, đưa ra những đánh giá, dự báo, giải pháp nhằm giải quyết những vấn đề trên Để thực hiện giám sát mạng có hiệu quả, một chương trình giám sát phải đáp ứng được các yêu cầu sau: phải đảm bảo chương trình luôn hoạt động, tính linh hoạt, chức năng hiệu quả, đơn giản trong triển khai, chi phí thấp Hiện nay, có khá nhiều phần mềm hỗ trợ việc giám sát mạng có hiệu quả như Nagios, Zabbix, Snort, Cacti,…

Vì vậy, em đã chọn đề tài “ Nghiên cứu và xây dựng hệ thống giám sát an toàn thông tin dựa trên Snort”, một phần mềm mã nguồn mở với nhiều chức năng mạnh mẽ cho phép quản lý các thiết bị, dịch vụ trong hệ thống mạng Với mục tiêu nghiên cứu, tìm hiểu về giải pháp giúp cho mọi người có cái nhìn tổng quan về một hệ thống giám sát mạng hoàn chỉnh, đồng thời đưa ra một giải pháp cụ thể đối với một hệ thống mạng dành cho doanh nghiệp.

Mục tiêu của để tài:

Tìm hiểu cơ cấu hoạt động, thành phần, cách triển khai của hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS).

Ứng dụng, triển khai phần mềm phát hiện xâm nhập mã nguồn mở SNORT.

Xây dựng ứng dụng hỗ trợ cấu hình, quản lý và phân tích, thống kê trên cơ sở hoạt động SNORT.

Bố cục tiểu luận gồm có:

Chương 1 Tổng quan về an ninh mạng trong nước và thế giới các mối đe dọa và giải pháp phát hiện phòng chống xâm nhập trong hệ thống mạng.

Chương 2 Đưa ra cái nhìn tổng quan về hệ thống giám sát an ninh mạng và một số công cụ giám sát an ninh mạng có sẵn Trình bày các cơ sở lý thuyết về phần mềm Snort và khả năng ứng dụng trong giám sát an ninh mạng

Chương 3 Triển khai và cài đặt hệ thống giám sát an toàn thông tin dựa trên Snort.

Chương 4 Kết luận và hướng phát triển của đề tài.

NHÓM SINH VIÊN THỰC HIỆN ĐỒ ÁN

Phạm Đình Khánh Cao Thanh Khiết

Chương 1 GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI1.1 Tổng quan đề tài

1.1.1 Khái quát về an ninh mạng

An ninh mạng máy tính (network security) là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng.

Các tổn hại có thể xảy ra do: Lỗi của người sử dụng.

Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng dụng.

Các hành động hiểm độc Các lỗi phần cứng.

Các nguyên nhân khác từ tự nhiên.

An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng để ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:

Lỗi của người sử dụng Các hành động hiểm độc.

Số lượng các mạng máy tính tăng lên rất nhanh Ngày càng trở thành phức tạp và phải thực hiện các nhiệm vụ quan trọng hơn Mang lại những thách thức mới cho những ai sử dụng và quản lý chúng Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả trong một là một điều hiển nhiên Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình.

An ninh Mạng – Network Security bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet Nếu không có an ninh mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng.

Các lớp an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công Cụ thể là, An ninh Mạng:

Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài Các tấn công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh nghiệp của bạn Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp.

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc nào Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ.

Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ thống của họ Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy cập dữ liệu Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.

Giúp bạn trở nên tin cậy hơn Bởi vì các công nghệ an ninh cho phép hệ thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.

1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tìm mật khẩu để tấn công vào hệ thống mạng.

Sau đây là một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ liệu:

Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó thành dạng mới mà kẻ tấn công không nhận biết được.

Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client hay server…

Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành phần đã đăng nhập thành công vào hệ thống Quyền hạn này là các quyền sử dụng dịch vụ, truy cập dữ liệu…

Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập đến dữ liệu nào và bằng cách nào.

1.1.3 Các thành phần cơ bản

Để một hệ thống an ninh mạng hoạt động tốt nó bao gồm rất nhiều thành phần, hoạt động trên các nền tảng và mỗi trường khác nhau như:

Các máy trạm Các máy chủ Các ứng dụng Các server

Các thiết bị hạ tầng mạng: Router, switch, Hub…

Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS, Snort, FireWall…

Các ứng dụng chạy trên các máy chủ và máy trạm.

Ngoài ra, log hệ thống cũng là một thành phần quan trọng của hệ thống mạng Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng Bao gồm:

Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…

Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện Log ứng dụng, log của hệ điều hành…

Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

1.2 Giới thiệu các giải pháp cơ bản

Giải pháp phân mảnh mạng Quản lý các điểm truy nhập Các bộ định tuyến và chuyển mạch Giải pháp bức tường lửa.

Giải pháp lọc nội dung.

Giải pháp phát hiện và phòng chống xâm nhập Điều khiển truy nhập từ xa.

Quản lý các sự kiện an ninh Quản lý các tổn thương Giải pháp mật mã.

1.3 Giới thiệu các giải pháp cơ bản

Mạng – Internet dường như trong thời đại phát triển như hiện nay thì từ nhà, công ty, doanh nghiệp, Nơi đâu cũng có mạng Ta thấy rõ được rằng mạng internet đã mang lại cho chúng ta rất nhiều điều hữu ích Tuy nhiên, trong hệ thống mạng, vấn đề an toàn và bảo mật đóng một vai trò hết sức quan trọng Nếu không có an ninh mạng được triển khai, hệ thống của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.

Nhận thức được tầm quan trọng của nó, nhóm chúng em đã chọn đề tài này để nghiên cứu Mục đích chính là để học hỏi, và cũng muốn tìm hiểu những giải pháp an ninh mạng tối ưu cho một hệ thống mạng.

Chương 2 CƠ SỞ LÝ LUẬN

2.1 Các nguyên tắc nền tảng của an ninh mạng

Đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hưởng tới sự tồn vong của họ Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.

Điều này cho thấy vai trò cốt yếu của an ninh mạng trong việc bảo hệ hệ thống mạng Và nền tảng quan trọng của an ninh mạng bao gồm 3 yếu tố:

Tính bí mật Tính toàn vẹn Tính sẵn sàng

Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc này sẽ quan trọng hơn những cái khác.

Hình 2.1: Mô hình bộ ba CIA

Confidentiality, Integrity, Availability, được gọi là: Mô hình bộ ba CIA Ba nguyên tắc cốt lõi này phải dẫn đường cho tất cả các hệ thống an ninh mạng Bộ ba

CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện an ninh Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan.

2.1.1 Tính bí mật

Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin đó từ xa qua môi trường mạng Sau đây là một số cách thức như vậy:

Khóa kín và niêm phong thiết bị.

Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm về sinh trắc để xác thực.

Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh: SSL/TLS, AES, …

Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất.

2.1.2 Tính toàn vẹn

Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống Có ba mục đích chính của việc đảm bảo tính toàn vẹn:

Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép.

Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép.

Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.

Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ

dự án, và không còn hứng thú hoàn tất những phần chi tiết Thái độ này sẽ là rào cản trong môi trường cộng tác, gây khó khăn cho những lập trình viên khác trong vấn đề hoàn tất dự án Trong một số trường hợp, nếu người hacker không mô tả bằng văn bản kỹ lưỡng các đoạn mã lập trình, sẽ gây khó khăn cho công ty tìm người thay thế nếu người này rời vị trí.

Hacker là chuyên gia mạng và hệ thống: Về lĩnh vực mạng và hệ thống,

hacker là người có kiến thức chuyên sâu về các giao thức và hệ thống mạng Có khả năng hoàn thiện và tối ưu hóa hệ thống mạng Mặt tối của những hacker này là khả năng tìm ra điểm yếu mạng và lợi dụng những điểm yếu này để đột nhập vào hệ thống mạng Đa số những hacker mũ đen hiện nay có kiến thức sơ đẳng về mạng và sử dụng những công cụ sẵn có để đột nhập, họ thường được gọi là "script kiddies".

Hacker là chuyên gia phần cứng: Một loại hacker khác là những người yêu

thích và có kiến thức sâu về phần cứng, họ có khả năng sửa đổi một hệ thống phần cứng để tạo ra những hệ thống có chức năng đặc biệt hơn, hoặc mở rộng các chức năng được thiết kế ban đầu Các ví dụ về hacker ở phân loại này bao gồm:

Sửa đổi phần cứng máy tính để tối ưu hóa và tăng tốc hệ thống Sửa đổi hệ thống game Xbox để chạy hệ điều hành Linux.

Sửa đổi hệ thống iPhone để sử dụng hệ thống mạng khác ngoài AT&T Phá mã máy iPhone để sử dụng các phần mềm lậu của hãng thứ 3…

2.2.3 Các nguy cơ mất an ninh mạng

Các mối đe dọa (Threats): Một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ

tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống mạng.

Các lỗ hổng (Vulnerabilities): Một lỗ hổng là một điểm yếu vốn có trong thiết

kế, cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó khả năng đối đầu với một mối đe dọa.

Sự rủi ro (Risk): Là độ đo đánh giá tính dễ bị tổn thương kết hợp với khả năng

tấn công thành công.

2.2.4 Các giai đoạn tấn công

Thăm dò (Reconnaissace): Thăm dò mục tiêu là một trong những bước quan

trọng để biết những thông tin trên hệ thống mục tiêu Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ

đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:

Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức.

Active: Thu thập các thông tin về địa chỉ IP, domain, DNS, của hệ thống.

Quét hệ thống (Scanning): Quét thăm dò hệ thống là phương pháp quan trọng

mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống.

Chiếm quyền điều khiển (Gainning access): Đến đây hacker đã bắt đầu dần

dần xâm nhập được hệ thống và tấn công nó, đã truy cập được nó bằng các lệnh khai thác Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây Hacker có thể chiếm quyền điều khiển tại:

Mức hệ điều hành/mức ứng dụng Mức mạng.

Từ chối dịch vụ

Duy trì điều khiển hệ thống (Maitaining access): Đến đây hacker bắt đầu phá

hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng.

Xoá dấu vết (Clearning tracks): Được đề cập đến hoạt động được thực hiện

bằng cách hacker cố tình che dấu hành động xâm nhập của mình Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, andaltering log file.

2.2.5 Các kiểu tấn công2.2.5.1 Man in The Middle

Man in the Middle là một trong những kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính, nó thường được viết tắt là MITM Man-in-the-middle attack (MITM), là một cuộc tấn công mà kẻ tấn công bí mật chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau

MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và chuyển tiếp dữ liệu giữa chúng Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nhưng sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó.

Một ví dụ về các cuộc tấn công man-in-the-middle là nghe trộm (eavesdropping), trong đó kẻ tấn công kết nối độc lập với các nạn nhân và chuyển tiếp thông tin giữa họ để họ tin rằng họ đang nói chuyện trực tiếp với nhau qua kết nối riêng tư, trong khi thực ra toàn bộ cuộc trò chuyện được kiểm soát bởi kẻ tấn công Người tấn công phải có khả năng đánh chặn tất cả các thông tin liên quan đi lại giữa hai nạn nhân và tiêm những thông tin mới

Hình 2.2: Tấn công Man in The Middle

Một số hình thức tấn công MITM hay được sử dụng nhất, chẳng hạn như tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTP session,

Giả mạo ARP Cache (ARP Cache Poisoning)

Đây là một hình thức tấn công MITM hiện đại có xuất xứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép hacker (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất

cả các lưu lượng mạng giữa các máy tính nạn nhân Nó là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.

Giả mạo ARP là một kĩ thuật tấn công, mà theo đó kẻ tấn công sẽ gửi mạo danh (“lừa đảo”) Address Resolution Protocol (ARP) trên Local Network Kĩ thuật giả mạo ARP cho phép kẻ tấn công có thể chặn dữ liệu trên LAN, thay đổi đường đi, hoặc ngăn chặn hoàn toàn truy cập Thông thường của tấn công này là được sử dụng để mở ra các tấn công khác như là: tấn công từ chối dịch vụ, cướp phiên, …

Các cuộc tấn công chỉ có thể được sử dụng trên các mạng sử dụng giao thức ARP, được giới hạn trong các phân đoạn mạng cục bộ.

Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.

Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng.

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ” Khi các ARP reply vu vơ này đến được các máy tính

đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công.

Hình 2.3: Giả mạo ARP - Giả mạo DNS

Hình 2.4 Giả mạo DNS

Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó.

Giao thức Domain Naming System (DNS) như được định nghĩa trong RFC 1034/1035 có thể được xem như là một trong những giao thức quan trọng nhất được sử dụng trong Internet.

DNS hoạt động theo hình thức truy vấn và đáp trả (query/response) Một máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả Nhờ có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng ta sẽ biết tên để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ.

DNS spoofing (DNS cache poisoning): Là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các DNS server Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác Để khai thác theo hướng này, attacker lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các server được xác thực, các bản ghi không đúng đắn sẽ được cache lại và phục vụ cho các user khác.

DNS Amplification Attack: Đây là một trong những phương pháp được sử dụng để tấn công từ chối dịch vụ, thuộc vào lớp reflection attack.

Giả mạo máy chủ DNS: Là cách một số phần mềm quảng cáo hay trojan thường hay thực hiện Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNS server thông thường Tuy nhiên, các DNS server này có khả năng điều khiển được để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm… Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước Qua đó, các truy vấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do người dùng thiết lập thì lại đi qua các DNS server của attacker.

2.2.5.2 Tấn công bị động

Trong một cuộc tấn công bị động, các hacke sẽ kiểm soát traffic không được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết.

2.2.5.3 Tấn công chủ động

Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống Đối với kiểu tấn công chủ động chúng ta hoàn nhận biết được qua kết quả tác động của nó Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP.

2.2.5.4 Tấn công Phishing

Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩu giao dịch, những thông tin nhạy cảm khác của họ Phương thức tấn công này còn có thể cài phần mềm độc hại vào thiết bị của người dùng Chúng thực sự là mối quan ngại lớn nếu người dùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó.

Hình 2.5: Lừa đảo chiếm đoạt thông tin

Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng Tấn công fishing thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo Tấn công fishing là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng và khai thác sự bất tiện hiện nay của công nghệ bảo mật web.

Quá trình tấn công bao gồm:

Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh nghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ email khách hàng của doanh nghiệp đó Chúng thường sử dụng cách gửi nhiều email và phương pháp thu thập địa chỉ email như những spammer.

Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ tìm cách để phát tán email và thu thập dữ liệu Thông thường, chúng sử dụng địa chỉ email và một trang web nào đó.

Tấn công: Đây là bước mọi người đều biết – phisher sẽ gửi một thông báo giả mạo, như đến từ một nguồn đáng tin cậy.

Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang Web hoặc các cửa sổ pop-up.

Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúng thu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiện lừa đảo.

2.2.5.5 Tấn công nội bộ

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc, chẳng hạn như một nhân viên nào đó “bất mãn” với công ty của mình, …các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.

Hình 2.6: Tấn công nội bộ

2.2.5.6 Tấn công từ chối dịch vụ

Hình 2.7: Tấn công DDos

Tấn công từ chối dịch vụ DoS (Denial of Service): Tấn công từ chối dịch vụ DoS là một sự kiện bảo mật xảy ra khi kẻ tấn công có hành động ngăn cản người dùng hợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài nguyên mạng khác.

Trong tấn công từ chối dịch vụ, kẻ tấn công nhằm vào các máy tính và sử dụng mạng máy tính mà bạn đang dùng để ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác.

Một kiểu Dos rõ ràng và phổ biến nhất là kẻ tấn công "tuồn" ồ ạt traffic vào máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân, khiến người dùng hợp pháp gặp khó khăn hoặc thậm chí không thể sử dụng chúng Cụ thể hơn, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.

Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn Dù bạn có một tài khoản email được cung cấp bởi nhân viên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service): Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.

Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó Tấn công này được được gọi là “phân tán” vì kẻ tấn công sử dụng nhiều máy tính trong đó có cả máy tính bạn để thực hiện tấn công DoS.

Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn Có ba loại tấn công cơ bản: Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất.

2.2.5.7 Tấn công phá mã khóa

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo mật Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hacker thì điều này là có thể Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại.

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc mà không cần phải gửi hoặc nhận các giao thức tấn công Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.

2.2.5.8 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà… để đoán mật khẩu Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator) Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.

2.3 Giải pháp an ninh mạng

2.3.1 Công nghệ tường lửa (Firewall)

Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này Nếu như không có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ không chịu bất kỳ sự điều tiết nào, còn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định.

Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại hay làm tê liệt hệ thống của bạn Ngoài ra vì các nguồn truy cập ra vào giữa mạng nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những máy tính thường xuyên kết nối internet.

Hình 2.8: Firewall

2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS2.3.2.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS)

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.

Hình 2.9: Hệ thống phát hiện xâm nhập

Một tính năng chính của hệ thống IDS là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) Chức năng của IDS:

- Chức năng quan trọng nhất: giám sát -cảnh báo - bảo vệ: Giám sát: lưu lượng mạng + các hoạt động khả nghi.

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống + nhà quản trị Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại - Chức năng mở rộng:

Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể phân biệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài.

Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS có thể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo vệ ban đầu cho hệ thống.

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một cách liên tục Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).

Hệ thống IDS được chia làm 2 loại cơ bản:

- Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông mạng cùng dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time) Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

Hình 2.10 Network-based IDS Ưu điểm:

Quản lý được cả một network segment (gồm nhiều host) Trong suốt với người sử dụng lẫn kẻ tấn công.

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng Tránh DOS ảnh hưởng tới một host nào đó.

Có khả năng xác định lỗi ở tầng Network Độc lập với OS.

Nhược điểm:

Có thể xảy ra trường hợp báo động giả.

Không thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH, IPSec ) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khi báo động được phát hiện, hệ thống có thể đã bị tổn hại.

Không cho biết việc tấn công có thành công hay không.

Hạn chế lớn nhất là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng theo - Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra tự một máy trạm đơn để phát

hiện xâm nhập Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy

chủ quan sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ HIDS thường được cài đặt trên một máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host quan trọng và các server trong vùng DMS Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:

Các thông số này khi vượt qua một ngưỡng nhất định hoặc có những thay đổi khả nghi sẽ gây ra báo động.

Ưu điểm:

Có khả năng xác định user liên quan tới event.

HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thì không.

Có thể phân tích các dữ liệu mã hóa.

Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

Nhược điểm:

Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.

Khi OS bị sập do tấn công, đồng thời HIDS cũng sập HIDS phải được thiết lập trên từng host cần giám sát.

HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat ).

HIDS cần tài nguyên trên host để hoạt động HIDS có thể không hiệu quả khi bị DOS.

2.3.2.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS)

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

- Ứng dụng không mong muốn và tấn công kiểu “Trojanhorse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.

- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.

- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.

- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.

Modul phân tích gói: Nhiệm vụ phân tích cấu trúc thông tin trong các gói tin Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.

Modul phát hiện tấn công: Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công.

Modul phản ứng: Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín hiệu thông báo đến modul phản ứng Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.

Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thôngbáo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách quản lí mềm.

Một số kĩ thuật ngăn chặn:

- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client vàServer Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.

- Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet) Những hạn chế của IDS /IPS: So với Firewall, IDS/IPS đã thể hiện được nhiều tính năng ưu việt Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu Tuy vậy hệ thống này vẫn còn những hạn chế sau: Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng) Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.

2.3.3 Công nghệ mạng LAN ảo (VLAN)

VLAN là một mạng LAN ảo Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch Bình thường thì router đóng vai tạo ra miền quảng bá VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng nhóm.

Khái niệm về VLAN: VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng tham gia kết nối vào VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.

Hình 2.11: Công nghệ VLAN

Miền quảng bá với VLAN và router: Một VLAN là một miềm quảng bá được tạo nên một hay nhiều switch Hình trên cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swich như thế nào Định tuyến lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau.

Hoạt động của VLAN: Mỗi cổng trên switch có thể gán cho một VLAN khác nhau Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau Nhờ đó mạng LAN hoạt động hiệu quả hơn.

Ưu điểm của VLAN: Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý nữa Nhờ đó những công việc sau thực hiện dễ dàng hơn:

- Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.

- Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các VLAN.

- Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá) Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền.

Ứng dụng của VLAN: Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng, sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network).