GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH Mục đích và nhiệm vụ nghiên cứu: Các nguy cơ truy cập hệ thống thông tin tin học bất hợp pháp. Các phương pháp phát hiện xâm nhập và đi sâu vào nghiên cứu phương pháp sử dụng phần mềm mã nguồn mở Snort để phát hiện các hành vi gian lận một cách tự động dựa trên dấu hiệu bất thường so với một tập luật đã được định nghĩa sẵn. Đề xuất giải pháp kỹ thuật ngăn chặn truy cập hệ thống thông tin tin học bất hợp pháp.
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Nguyễn Văn Phú GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2013 1 LỜI MỞ ĐẦU Không phát n p trái phép nào - - nghiê . - pháp. - - - 2 - Snort . - L 3 CHƢƠNG 1: VẤN ĐỀ AN NINH, AN TOÀN HẾ THỐNG THÔNG TIN 1.1 Hệ thống thông tin và nguy cơ truy cập bất hợp pháp 1.1.1 Hệ thống thông tin - - 1.1.2 Các nguy cơ mất an toàn - - - - - 1.1.2.1 4 - - ng Intentional Threat): ng trái phép (Intentional Unauthorized use of corporate network). H thông tin: ( Lý do n ( ( - - - 1.2 Các kỹ thuật tấn công mạng cơ bản 1.2.1 Các kỹ thuật bắt thông tin Sniffers 5 : - ( ( - - u l u l Sniffing Hình 1.1: Sniffing thụ động : sau: (Frame). 6 Hình 1.2: Sniffing chủ động 1.2.2 Kỹ thuật tấn công từ chối dịch vụ DoS và DDoS - - Smurf. - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack quá các ng Hình 1.3: Tấn công DDoS 7 1.3 Kết luận nghiên qua và phát tri áp dCNTT còn 8 CHƢƠNG 2: PHƢƠNG PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 2.1 Hệ thống phát hiện và ngăn chặn xâm nhập 2.1.1 Giới thiệu về IDS th 2.1.2 Chức năng của IDS - Giám sát: Giám sát các lu l - - 9 Hình 2.1: Nơi đặt IDS +) Network Based IDS (NIDS): Fire t Th nh u l Hình 2.2: Hệ thống phát hiện xâm nhập NIDS +) Host Based IDS (HIDS): Phát [...]... nguồn mở Snort để tạo ra một hệ thống phát hiện sự xâm nhập bất hợp pháp 15 CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH THỬ NGHIỆM 3.1 Hệ thống phát hiện xâm nhập mạng dựa trên mã nguồn mở: snort 3.1.1 Giới thiệu về Snort Snort có thể sử dụng với 4 kiểu chính : -Packet sniffer như tcpdump -Packet logger -Hệ thống phát hiện và phòng chống xâm nhập hoàn chỉnh - Inline (trong Linux)... trên các đoạn mạng khác nhau 2.4 Các phƣơng pháp phát hiện và ngăn chặn xâm nhập 2.4.1 Phát hiện dựa trên dấu hiệu 2.4.1.1 Nguyên lý chung Phát hiện sử dụng sai thông thường còn có tên là phát hiện dựa trên dấu hiệu (signature-based detection) Phát hiện sử dụng sai đòi hỏi những file dấu hiệu để nhận dạng 11 những hành động xâm nhập Những file dấu hiệu sử dụng trong phương pháp phát hiện sử dụng sai... thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện (false negative) 2.4.2 Phát hiện sự bất thường 12 2.4.2.1 Nguyên lý chung Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường là bất cứ sự... và tỉ lệ mất tin Độ nén đại diện cho tính rút gọn của dữ liệu, tỉ lệ mất tin chỉ sự mất mát thông tin sau khi sử dụng quá trình tổng hợp dữ liệu 2.6 Kết luận Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính. ..10 Hạn chế của HIDS:Làm giảm năng lực xử lý và tiêu tốn các tài nguyên của máy tính, tốn công sức hơn trong việc triển khai và duy trì, chỉ quan sát được các tấn công cục bộ và không thể phát hiện các cuộc dò quét mạng Hình 2.3: Hệ thống phát hiện xâm nhập HIDS 2.3 Hệ thống IPS (so sánh IDS và IPS) Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm... KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN An toàn hệ thống thông tin và các giải pháp an toàn đang là vấn đề được quan tâm và ngày càng được chú trọng hiện nay Vì vậy nghiên cứu và đưa ra những giải pháp giải quyết vấn đề này hết sức cần thiết và phải được triển khai một các mạnh mẽ và hiệu quả Đề tài đã đề cập tương đối kỹ lưỡng đến những vấn đề về lý thuyết của IDS, bao gồm kiến trúc chung, phân loại và các mô... lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lý trên các máy toàn mạng Nhược điểm: Bị hạn chế với Switch: Nhiều lợi điểm của NIDS không phát huy được trong các mạng chuyển mạch hiện đại Thiết bị switch chia mạng thành nhiều phần độc lập vì thế NIDS khó thu thập được thông tin trong toàn mạng Do chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một... IP từ bên ngoài truy cập vào hệ thống Thuật toán Hình 3.11: Thuật toán Hình 3.12: Sơ đồ giải thuật Mô tả chức năng phần mềm Chức năng quản lý IP truy cập vào hệ thống: Khởi động chương trình, vào Menu chọn IP Manager để bắt đầu quá trình kiểm tra IP kết nối vào máy tính Khi biết được IP đó là vào hay ra, chương trình sẽ ghi thông tin vào log file: Thời gian kết nối (Thời gian hiện tại của hệ thống) -... vấn đề phương pháp phát hiện xâm nhập trái phép, đồ án này đã nêu phương pháp chính là phát hiện dựa trên dấu hiệu, dựa trên những dấu hiệu bất thường Với Snort, là phần mềm được chọn để xây dựng sản phẩm, đề tài đã đề cập đến những đặc trưng của nó với vai trò là một mô hình IDS Đề tài cũng nói đến các thành phần cơ bản và cơ chế hoạt động của Snort, giới thiệu về tập luật của Snort và các bước cài... tấn công là rất cao Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng Đây là những hạn chế: - Không có khả năng phát hiện những cuộc tấn . - Smurf. - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack quá. VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2013 1 LỜI MỞ ĐẦU . áp dCNTT còn