học phần an toàn và bảo mật thông tin

Tường lửa không chỉ là một dạng phần mềm như tường lửa trên Windows, mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp.Tường lửa là phần cứng giúp máy tính của các cô

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC VĂN HIẾN

Ý nghĩa:

Trình độ của hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn chậm chạp khi xử lý các lỗ hổng của mình và Firewall được biết đến là tuyến phòng thủ đầu tiên cho doanh nghiệp.

An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới, bao gồm cả Việt Nam Mạng máy tính an toàn thông tin được tiến hành thông qua các phương pháp vật lý và hành chính

An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng An toàn thông tin trên mạng máy tính

là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức tạp Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công trong quá trình xử lý, truyền và lưu giữ thông tin

Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính Tường lửa không chỉ là một dạng phần mềm (như tường lửa trên Windows), mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp

Tường lửa là phần cứng giúp máy tính của các công ty có thể phân tích dữ liệu ra

để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân viên của họ đang sử dụng Nó cũng có thể lọc dữ liệu để cho phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại

dữ liệu khác

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống.Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi và khóa truy cập tại những chốt này Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công

Để bảo vệ dữ liệu bên trong người ta thường dùng Firewall Firewall có cách nào

đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng không hợplệ

Các tường lửa có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên

Vượt IDS, Firewalls và Honeypots

Trang 2

host bảo đảm hoặc kết hợp cả hai Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài Firewall

có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet

Nếu máy tính của bạn không được bảo vệ, khi kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập

và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn

mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính của bạn

để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet

Phân công làm việc của nhóm 14:

Tiêu chí đóng góp dựa vào kết quả của thái độ làm việc, tìm kiếm tài liệu, thông tin.

Vượt IDS, Firewalls và Honeypots

Trang 3

Vượt IDS, Firewalls và Honeypots

Trang 4

MỤC LỤC

MỤC LỤC 3

DANH MỤC HÌNH ẢNH 5

LỜI NÓI ĐẦU 6

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 7

1.1.KHÁI NIỆM IDS 7

1.2.CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 7

1.2.1.Thành phần thu thập thông tin gói tin 7

1.2.2.Thành phần phát hiện gói tin 7

1.2.3.Thành phần xử lý 7

1.3.PHÂN LOẠI IDS 8

1.3.1.Network Based IDS 8

1.3.1.1 Lợi thế của Network Based IDS 8

1.3.1.2 Hạn chế của Network Based IDS 9

1.3.2.Host Based IDS 9

1.3.2.1 Lợi thế của Host Based IDS 9

1.3.2.2 Hạn chế của Host Based IDS 10

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL 11

2.1.KHÁI NIỆM VỀ FIREWALL 11

2.1.1.Khái niệm 11

2.1.2 lựaCác chọn Firewall 11

2.1.2.1 Firewall phần cứng 11

2.1.2.2 Firewall phần mềm 12

2.2.CHỨC NĂNG FIREWALL 12

2.3.THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG 12

2.3.1.Packet Filtering Firewall 13

2.3.1.1 Ưu điểm 13

2.3.1.2 Hạn chế 13

2.3.2.Application-proxy firewall 13

2.3.2.1 Ưu điểm 14

2.3.2.2 Nhược điểm 14

2.3.3.Circuit Level Gateway 14

2.4.NHỮNG HẠN CHẾ CỦA FIREWALL 15

CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT 16

3.1.KHÁI NIỆM HONEYPOT 16

3.1.1.Khái niệm 16

3.1.2.Mục đích 16

3.2.PHÂN LOẠI HONEYPOT 16

3.3.HONEYNET 17

3.3.1.Khái niệm 17

3.3.2.Chức năng 18

3.3.3.Khả năng an toàn và các rủi ro 19

3.3.4.Đánh giá so sánh mức độ an toàn 19

KẾT LUẬN 20

TÀI LIỆU THAM KHẢO 21

DANH MỤC HÌNH ẢNH

Hình 1.1 - Network Based IDS 8

Hình 1.2 - Host Based IDS 9

Hình 2.1 - Firewall 12

Hình 2.2 - Packet filtering router 13

Hình 2.3 - Application level gateway 14

Hình 2.4 - Circuit level gateway 15

Hình 3.1 - Honeypots 16

Hình 3.2 - Honeywall 18

Hình 3.2 - Minh họa luồng dữ liệu……… 18

LỜI NÓI ĐẦU

Trong bối cảnh hiện nay của các cuộc tấn công hệ thống hacking và máytính là phổ biến Vì thế việc phát hiện xâm nhập và bảo vệ hoạt động tất cảcác chi tiết có liên quan là rất quan trọng Module này cùng thảo luận về IDS, tườnglửa và Honeypots Sau khi hoàn thành Module này, bạn sẽ được quen thuộc với:

+ Hệ thống phát hiện xâm nhập

+ Hệ thống làm rõ tính toàn vẹn

+ Việc tấn công phát hiện như thế nào

+ Phát hiện những dấu hiệu khác thường

+ Làm thế nào để IDS khớp với chữ ký và lưu lượng truy cập đến?+ Hacking thông qua Firewalls

+ Cung cấp phần mềm IDS

+ Hiểu về Firewalls

+ Hiểu về Honeypots

Nội dung được trình bày trong chương:

Chương 1: Giới thiệu tổng quan về IDS

Chương 2: Giới thiệu tổng quan về Firewall

Chương 3: Giới thiệu tổng quan về Honeypot

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS1.1 KHÁI NIỆM IDS

Một hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là mộtthiết bị hoặc một ứng dụng được sử dụng để theo dõi hoạt động của hệ thống mạng

Có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích đểphát hiện ra các vấn đề liên quan đến an ninh, bảo mật IDS cũng có thể phân biệt giữanhững tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từbên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ

đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để pháthiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số

đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS

IDS bao gồm các thành phần chính:

- Thành phần thu thập thông tin gói tin

- Thành phần phát hiện gói tin

- Thành phần xử lý (phản hồi)

1.2.1 Thành phần thu thập thông tin gói tin

Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng Thông thường cácgói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưngcard mạng của IDS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đềuđược sao lưu, xử lý, phân tích đến từng trường thông tin Bộ phận thu thập gói tin sẽđọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụgì Các thông tin này được chuyển đến thành phần phát hiện tấn công

1.2.2 Thành phần phát hiện gói tin

Ở thành phần này, các bộ cảm biến đóng vai trò quyết định Vai trò của bộ cảmbiến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạtđược từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được cáchành động nghi ngờ

1.2.3 Thành phần xử lý

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công

sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phảnứng Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn

chặn cuộc tấn công hay cảnh báo tới người quản trị Dưới đây là một số kỹ thuật ngǎn chặn.

Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để

họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống cáctập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và

là nguồn thông tin giúp cho module phát hiện tấn công hoạt động

Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS

sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho góitin trở nên không bình thường

1.3 PHÂN LOẠI IDS

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)

1.3.1 Network Based IDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toànmạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng vớinhững mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biếnthu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưulượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thểđược cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tậpnhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh vớivới mẫu đã được định nghĩa để phát hiện đó là tấn công hay không

Hình 1.1 - Network Based IDS

1.3.1.1 Lợi thế của Network Based IDS

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với hệ điều hành

1.3.1.2 Hạn chế của Network Based IDS

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion

mà NIDS báo là có intrusion

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo độngđược phát ra, hệ thống có thể đã bị tổn hại

- Hạn chế về giới hạn băng thông Hacker có thể tấn công bằng cách chia nhỏ

dữ liệu ra để xâm nhập vào hệ thống

- Không cho biết việc attack có thành công hay không

1.3.2 Host Based IDS

HIDS là hệ thống phát hiện xâm phạm máy chủ được cài đặt cục bộ trên mộtmáy tính nhất định làm cho nó trở nên linh hoạt hơn nhiều so với NIDS Kiểm soát lưulượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệthống mạng HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể nhưcác máy chủ, máy trạm, máy tính xách tay

Hình 1.2 - Host Based IDS

1.3.2.1 Lợi thế của Host Based IDS

- Có khả năng xác đinh user liên quan tới một sự kiện (event)

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDSkhông có khả năng này

- Có thể phân tích các dữ liệu mã hoá.

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

1.3.2.2 Hạn chế của Host Based IDS

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công

- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL2.1 KHÁI NIỆM VỀ FIREWALL

2.1.1 Khái niệm

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cậptrái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào

hệ thống của một số thông tin khác không mong muốn Cũng có thể hiểu rằng Firewall

là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng(untrusted network)

Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loạisâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống Ngoài

ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máytính khác mà không hay biết Việc sử dụng một Firewall là cực k• quan trọng đối vớicác máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộnghoặc kết nối DSL/ADSL

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys(http://www.linksys.com) và NetGear (http://www.netgear.com).Tính năng Firewallphần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ địnhtuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình

2.1.2.2 Firewall phần mềm

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất làkhi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phầncứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewallphần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫnđược bảo vệ cho dù mang máy tính đi bất k• nơi nào

2.2 CHỨC NĂNG FIREWALL

Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức,ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sựtruy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong(Intranet) tới một số địa chỉ nhất định trên Internet

FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạngcủa một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET -FIREWALL - INTERNET)

Hình 2.1 - FirewallMột Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet Nó nhậndạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ Nếu bạncài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bịtấn công không thể phát hiện ra máy tính

2.3 THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG

Một Firewall bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet (packet filtering router)

- Cổng ứng dụng (application-level gateway hay proxy firewall)

- Cổng mạch (circuite level gateway)