Tường lửa không chỉ là một dạng phần mềm như tường lửa trên Windows, mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp.Tường lửa là phần cứng giúp máy tính của các cô
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC VĂN HIẾN
Trang 2Ý nghĩa:
Trình độ của hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn chậm chạp khi xử lý các lỗ hổng của mình và Firewall được biết đến là tuyến phòng thủ đầu tiên cho doanh nghiệp.
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới, bao gồm cả Việt Nam Mạng máy tính an toàn thông tin được tiến hành thông qua các phương pháp vật lý và hành chính.An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức tạp Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công trong quá trình xử lý, truyền và lưu giữ thông tin.
Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính Tường lửa không chỉ là một dạng phần mềm (như tường lửa trên Windows), mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp.
Tường lửa là phần cứng giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân viên của họ đang sử dụng Nó cũng có thể lọc dữ liệu để cho phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống.Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi và khóa truy cập tại những chốt này Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công.Để bảo vệ dữ liệu bên trong người ta thường dùng Firewall Firewall có cách nào đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng không hợplệ.
Các tường lửa có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên
Vượt IDS, Firewalls và Honeypots
Trang 2
Trang 3host bảo đảm hoặc kết hợp cả hai Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet.
Nếu máy tính của bạn không được bảo vệ, khi kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính của bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet
Phân công làm việc của nhóm 14:
Tiêu chí đóng góp dựa vào kết quả của thái độ làm việc, tìm kiếm tài liệu,thông tin.
Vượt IDS, Firewalls và Honeypots
Trang 3
Trang 4Vượt IDS, Firewalls và Honeypots
Trang 4
Trang 5MỤC LỤC
MỤC LỤC .3
DANH MỤC HÌNH ẢNH 5
LỜI NÓI ĐẦU 6
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 7
1.1.KHÁI NIỆM IDS 7
1.2.CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 7
1.2.1.Thành phần thu thập thông tin gói tin 7
1.2.2.Thành phần phát hiện gói tin 7
1.2.3.Thành phần xử lý 7
1.3.PHÂN LOẠI IDS 8
1.3.1.Network Based IDS 8
1.3.1.1.Lợi thế của Network Based IDS 8
1.3.1.2.Hạn chế của Network Based IDS 9
1.3.2.Host Based IDS 9
1.3.2.1.Lợi thế của Host Based IDS 9
1.3.2.2.Hạn chế của Host Based IDS 10
CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL 11
2.1.KHÁI NIỆM VỀ FIREWALL 11
2.3.THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG 12
2.3.1.Packet Filtering Firewall 13
Trang 62.4.NHỮNG HẠN CHẾ CỦA FIREWALL 15
CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT 16
3.1.KHÁI NIỆM HONEYPOT 16
Trang 7DANH MỤC HÌNH ẢNH
Hình 1.1 - Network Based IDS 8
Hình 1.2 - Host Based IDS 9
Hình 2.1 - Firewall 12
Hình 2.2 - Packet filtering router 13
Hình 2.3 - Application level gateway 14
Hình 2.4 - Circuit level gateway 15
Hình 3.1 - Honeypots 16
Hình 3.2 - Honeywall 18
Hình 3.2 - Minh họa luồng dữ liệu……… 18
Trang 9LỜI NÓI ĐẦU
Trong bối cảnh hiện nay của các cuộc tấn công hệ thống hacking và máytính là phổ biến Vì thế việc phát hiện xâm nhập và bảo vệ hoạt động tất cảcác chi tiết có liên quan là rất quan trọng Module này cùng thảo luận về IDS, tườnglửa và Honeypots Sau khi hoàn thành Module này, bạn sẽ được quen thuộc với:
+ Hệ thống phát hiện xâm nhập+ Hệ thống làm rõ tính toàn vẹn+ Việc tấn công phát hiện như thế nào+ Phát hiện những dấu hiệu khác thường
+ Làm thế nào để IDS khớp với chữ ký và lưu lượng truy cập đến?+ Hacking thông qua Firewalls
+ Cung cấp phần mềm IDS+ Hiểu về Firewalls+ Hiểu về Honeypots
Nội dung được trình bày trong chương: Chương 1: Giới thiệu tổng quan về IDSChương 2: Giới thiệu tổng quan về Firewall Chương 3: Giới thiệu tổng quan về Honeypot
Trang 10CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS1.1 KHÁI NIỆM IDS
Một hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là mộtthiết bị hoặc một ứng dụng được sử dụng để theo dõi hoạt động của hệ thống mạng.Có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích đểphát hiện ra các vấn đề liên quan đến an ninh, bảo mật IDS cũng có thể phân biệt giữanhững tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từbên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơđã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để pháthiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông sốđo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS
IDS bao gồm các thành phần chính:- Thành phần thu thập thông tin gói tin- Thành phần phát hiện gói tin- Thành phần xử lý (phản hồi).
1.2.1 Thành phần thu thập thông tin gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng Thông thường cácgói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưngcard mạng của IDS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đềuđược sao lưu, xử lý, phân tích đến từng trường thông tin Bộ phận thu thập gói tin sẽđọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụgì Các thông tin này được chuyển đến thành phần phát hiện tấn công.
1.2.2 Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định Vai trò của bộ cảmbiến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạtđược từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được cáchành động nghi ngờ.
1.2.3 Thành phần xử lý
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn côngsẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phảnứng Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn
Trang 11chặn cuộc tấn công hay cảnh báo tới người quản trị Dưới đây là một số kỹ thuật ngǎn chặn.
Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị đểhọ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống cáctập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin vàlà nguồn thông tin giúp cho module phát hiện tấn công hoạt động.
Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDSsẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho góitin trở nên không bình thường.
1.3 PHÂN LOẠI IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS).
1.3.1 Network Based IDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toànmạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng vớinhững mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biếnthu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưulượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thểđược cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tậpnhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh vớivới mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Hình 1.1 - Network Based IDS
1.3.1.1 Lợi thế của Network Based IDS
- Quản lý được cả một network segment (gồm nhiều host).
Trang 12- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).- Độc lập với hệ điều hành.
1.3.1.2 Hạn chế của Network Based IDS
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusionmà NIDS báo là có intrusion.
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo độngđược phát ra, hệ thống có thể đã bị tổn hại.
- Hạn chế về giới hạn băng thông Hacker có thể tấn công bằng cách chia nhỏdữ liệu ra để xâm nhập vào hệ thống.
- Không cho biết việc attack có thành công hay không
1.3.2 Host Based IDS
HIDS là hệ thống phát hiện xâm phạm máy chủ được cài đặt cục bộ trên mộtmáy tính nhất định làm cho nó trở nên linh hoạt hơn nhiều so với NIDS Kiểm soát lưulượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệthống mạng HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể nhưcác máy chủ, máy trạm, máy tính xách tay.
Hình 1.2 - Host Based IDS
1.3.2.1 Lợi thế của Host Based IDS
- Có khả năng xác đinh user liên quan tới một sự kiện (event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDSkhông có khả năng này.
Trang 13- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
1.3.2.2 Hạn chế của Host Based IDS
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công.
- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).- HIDS cần tài nguyên trên host để hoạt động.
Trang 14CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL2.1 KHÁI NIỆM VỀ FIREWALL
2.1.1 Khái niệm
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cậptrái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vàohệ thống của một số thông tin khác không mong muốn Cũng có thể hiểu rằng Firewalllà một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng(untrusted network).
Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loạisâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống Ngoàira, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máytính khác mà không hay biết Việc sử dụng một Firewall là cực k• quan trọng đối vớicác máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộnghoặc kết nối DSL/ADSL.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặcbiệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall và một bộđịnh tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ chotoàn bộ mạng Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so vớiFirewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys(http://www.linksys.com) và NetGear (http://www.netgear.com).Tính năng Firewallphần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ địnhtuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.
Trang 152.1.2.2 Firewall phần mềm
So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất làkhi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phầncứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewallphần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫnđược bảo vệ cho dù mang máy tính đi bất k• nơi nào.
2.2 CHỨC NĂNG FIREWALL
Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức,ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sựtruy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong(Intranet) tới một số địa chỉ nhất định trên Internet.
FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạngcủa một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET -FIREWALL - INTERNET).
Hình 2.1 - Firewall
Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet Nó nhậndạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ Nếu bạncài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bịtấn công không thể phát hiện ra máy tính.
2.3 THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG
Một Firewall bao gồm một hay nhiều các thành phần sau đây:- Bộ lọc packet (packet filtering router)
- Cổng ứng dụng (application-level gateway hay proxy firewall)- Cổng mạch (circuite level gateway)
Trang 162.3.1 Packet Filtering Firewall
Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạngcó kiểm soát Firewall mức mạng thường hoạt động theo nguyên tắc router hay cònđược gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng.Mô hình này hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động này các gói tinđều được kiểm tra địa chỉ nguồn nơi chúng xuất phát Sau khi địa chỉ IP nguồn đượcxác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router.
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốcđộ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địachỉ sai hay bị cấm Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảotính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉthị Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một sốmức truy nhập để vào bên trong mạng.
Hình 2.2 - Packet filtering router
2.3.1.1 Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểmcủa phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được baogồm trong mỗi phần mềm router.
2.3.1.2 Hạn chế
Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet không kiểm soátđược nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theonhững hành động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.
2.3.2 Application-proxy firewall
Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu nàythì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan củagói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin