1. Trang chủ
  2. » Luận Văn - Báo Cáo

hệ thống phát hiện xâm nhập (ids)

20 961 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 502,33 KB

Nội dung

III Nội dung của đề tài.3.1 Hệ thống phát hiện xâm nhập IDS Intrusion Detection System 3.1.1 Khái niệm Hệ thống phát hiện xâm nhập Intrusion Detection System – IDS là hệ thống phần cứng

Trang 1

MỤC LỤC

I Giới hạn của đề tài và mục tiêu 2

1.1 Giới hạn của đề tài 2

1.2 Mục tiêu của đề tài 2

II Phương pháp và môi trường thực hiện 2

2.1 Phương pháp 2

2.2 Môi trường thực hiện 3

III Nội dung của đề tài 4

3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) 4

3.1.1 Khái niệm 4

3.1.2 Các thành phần, cấu trúc và chức năng của IDS 4

3.1.3 Phân loại 6

3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation 9

3.2.1 Tổng quan về OSSEC 9

3.2.2 Cài đặt OSSEC 10

3.3 Nguy cơ từ việc cài đặt các soft ở Workstation 14

3.4 Dấu hiệu nhận biết và quá trình thực hiện 15

3.4.1 Dấu hiệu nhận biết 15

3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm 15

PHẦN 5: TỔNG KẾT 18

TÀI LIỆU THAM KHẢO 18

Trang 2

LỜI CẢM ƠN.

Tôi xin gửi lời cảm ơn tới thầy Nguyễn Hòa trong khoa Công Nghệ Thông Tin trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn và giúp đỡ tận tình để tôi thực hiện và hoàn thành đồ án chuyên ngành Và cũng chân thành cảm ơn các thầy cô khoa Công Nghệ Thông Tin tạo điều kiện cho tôi thực hiện đồ án này

Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án này còn nhiều thiếu sót Tôi rất mong nhận được những ý kiến đóng góp quý báo từ các thầy cố và các bạn

Trang 3

I Giới hạn của đề tài và mục tiêu.

1.1 Giới hạn của đề tài.

IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra các cảnh báo đến nhà quản trị mạng

Tôi thực hiện đề tài này với mong muốn có thể tìm hiểu, nghiên cứu những đặc trưng

cơ bản của hệ thống phát hiện và ngăn chặn xâm nhập IDS Với vai trò là công cụ bảo mật mới bổ sung cho các công cụ hay phần mềm phổ biển để tang mức độ an toàn đối với

hệ thống hiện hành

IDS có hai phần đó là NIDS (Network Intrusion Detection System) và HIDS (Host Intrusion Detection System) thì tôi nghiên cứu phần HIDS HIDS thì tôi giới hạn nghiên cứu phần Install một phần mềm bên máy client và cài đặt cấu hình Server thì quản trị trên server có thể phát hiện được

1.2 Mục tiêu của đề tài

- Nắm về hệ thống phát hiện xâm nhập : khái niệm IDS, các thành phần của IDS, các

mô hình, ứng dụng IDS phổ biến hiện nay

- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng

- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

nghiệp

- Xây dựng demo để mô tả việc Install software của client và dấu hiệu nhận biết từ server phát sinh từ file logs

Trang 4

II Phương pháp và môi trường thực hiện.

2.1 Phương pháp.

- Sử dụng phần mềm mã nguồn mở Ossec để xây dựng hệ thống ngăn chặn xâm nhập

- Xây dựng Ossec server trên hệ điều hành Ubuntu và xây dựng Ossec agen trên hệ điều hành window xp Từ đó ta sẽ xây dựng được một hệ thống phát hiện xâm nhập từ kẻ xâm nhập và gửi cảnh báo tới Server do nhà quản trị giám sát

2.2 Môi trường thực hiện.

Đề tài này tôi thực hiện trên môi trường Linux, nghĩa là máy server tôi cài Ubuntu

và máy client cài Window Xp Thực hiện trên hai máy laptop, mô hình này đại diện cho nhà quản trị mạng quản trị đứng trên máy server cài Unbuntu và các nhân viên thì dùng máy Xp đại diện Khi bất kì máy client (xp) cài bất cứ một phần mềm nào mà không có sự cho phép của quản trị thị họ cũng có thể biết được

Trang 5

III Nội dung của đề tài.

3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System)

3.1.1 Khái niệm

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các

sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến

an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng các hành động đã được thiết lặp trước như khóa người dùng hay địa chỉ ip nguồn đó truy cập hệ thống mạng

IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công ty), hay tấn công bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thường

3.1.2 Các thành phần, cấu trúc và chức năng của IDS

3.1.2.1 IDS bao gồm các thành phần chính:

Thành phần thu thập gói tin, thành phần này có nhiệm vụ lấy các gói tin đi đến mạng Thông thường các gói tin có địa chỉ không phải của một cart mạng thì sẽ bị cart mạng đó hủy bỏ nhưng cart mạng của IDS được đặt ở chế độ thu nhận tất cả Bộ phận thu thập gói tin sẽ đọc thông tin của từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì… Các thông tin này được chuyển đến thành phần phát hiện tấn công Thành phần phát hiện gói tin, ở thành phần này, các bộ cảm biến đóng vai trò quyết định Vai trò của bộ cảm biến là dung để lọc thông tin và loại bỏ những thong tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ

Thành phần phản hồi, khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến

Trang 6

từng thành phần phản ứng Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị

3.1.2.2 Chức năng

Cảnh báo thời gian thực là gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

Ghi lại vào tập tin, các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động

Ngăn chặn thai đổi gói tin, khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường

3.1.2.3 Cấu trúc của IDS

3.1.2.3.1 Các thành phần cơ bản

Sensor/ Agent giám sát và phân tích các hoạt động “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS

Management Server là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng Một số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện

Database Server dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server Console

Là một chương trình cung cấp giao diện cho IDS/IPS users / Admins Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích

Trang 7

3.1.3 Phân loại

3.1.3.1 Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu

Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong một segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khả nghi Thường được triển khai ở các biên mạng ( network border )

Hệ thống NIDS/IPS thường được triển khai trong một đoạn / mạng con riêng phục vụ cho mục đích quản trị hệ thống ( management network ), trong trường hợp không có mạng quản trị riêng thì một mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nối giữa các

hệ NIDS/IPS

Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS, lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khả năng detection của hệ NIDS/IPS Trong hệ NIDS/IPS, các Sensor thường gặp ở hai dạng

là tích hợp phần cứng (appliance-based) và phần mềm ( software-only )

Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) là một Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó giống như trong trường hợp cùa firewall Thực tế là một số Sensor thẳng hàng được sử dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy Động

cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ) Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này Thụ động (Passive), Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát một bản sao của các lưu lượng trên mạng, thường được triển khai giám sát các vị trí quan trọng trong mạng hư ranh giới giữa các mạng

Trang 8

3.1.3.2 Host Base IDS (HIDS)

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính Được triển khai trên từng host,thông thường là một software hoặc một agent, mục tiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện các hoạt động khả nghi Host-based IDS/IPS thường được triển khai trên các host có tính chất quan trọng ( public servers, sensitive data servers ), hoặc một dịch vụ quan trọng ( trường hợp đặc biệt này được gọi là application-based IDS/IPS )

Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần mềm được cài đặt trực tiếp lên host Application-based agent thường được triển khai thẳng hàng ngay phía trước host mà chúng bảo vệ Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường hợp này người ta sử dụng thiết bị Một lý do khác để sử dụng thiết bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host

Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau:

- Khả năng ghi log

- Khả năng phát hiện

+ Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện)

+ Phân tích và lọc lưu lượng mạng

+ Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file )

+ Phân tích log

+ Giám sát cấu hình mạng

- Khả năng ngăn chặn

Trang 9

3.1.3.2.1 Ưu nhược điểm của HIDS

Ưu điểm

- Có khả năng xác định người dung liên quan tới một sự kiện

- Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy

- Có thể phân tích các dữ liệu mã hóa

- Cung cấp các thông tin về host trong lúc tấn công diễn ra

Nhược điểm

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ

- Hids phải được thiết lập trên từng host giám sat

- Hids không có khả năng phát hiện các cuộc dò mạng

- Hids cần tài nguyên Host để hoạt động

- Đa số chạy trên hệ điều hành window Tuy nhiên cũng đã có 1 số chạy trên linux chặng hạng Ubuntu

3.1.3.2.2 Các hoạt động của Hids.

Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác

Trang 10

3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation.

3.2.1 Tổng quan về OSSEC.

Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS (Host IDS) thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực

Nó chạy trên hầu hết các hệ điều hành , bao gồm cả Linux, hệ điều hành MacOS, Solaris, HP-UX, AIX và Windows

Kiểm tra tính năng OSSEC và cách thức hoạt động để biết thêm thông tin về cách OSSEC có thể giúp bạn giải quyết vấn đề an ninh dựa trên máy chủ của bạn

OSSEC là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống của bạn Nó trộn lẫn với nhau tất cả các khía cạnh của HIDS (dựa trên máy chủ phát hiện xâm nhập), giám sát đăng nhập và SIM / SIEM với nhau trong một giải pháp mã nguồn đơn giản, mạnh mẽ

và cởi mở Nó cũng được hỗ trợ và hỗ trợ đầy đủ bởi Trend Micro

OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh báo trên cho phép họ tập trung vào nâng cao ưu tiên các sự cố quan trọng hơn tiếng ồn thường xuyên trên hệ thống bất kỳ Tích hợp với SMTP, tin nhắn và nhật ký hệ thống cho phép khách hàng được trên đầu trang của các cảnh báo bằng cách gửi những trên e-mail và các thiết

bị cầm tay như điện thoại di động và máy nhắn tin Tùy chọn hoạt động phản ứng để ngăn chặn một cuộc tấn công ngay lập tức cũng có sẵn

Trang 11

3.2.2 Cài đặt OSSEC

3.2.2.1 Yêu cầu hệ thống

Phần cứng:

Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp Tuy nhiên muốn OSSEC hoạt động một cách hiệu quả ta sẽ cần CPU có tốc độ xử lý nhanh , bộ nhớ lớn , bus cao và dung lượng ổ cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn theo thời gian

Hệ điều hành:

OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows, Ubuntu, CentOs,…

Các yêu cầu khác:

Có hỗ trợ C, C++ để biên dịch OSSEC từ Sources code

3.2.2.2 Cài đặt ossec server

Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM Theo kinh nghiệm nên download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn

Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ Download OSSEC từ địa chỉ :

http://www.ossec.net

Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta

sẽ chọn en

Trang 12

Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên tôi chọn No

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khi kết thúc

Trang 13

Và quá trình cài đặt kết thúc.

Trang 14

3.2.2.3 Cài đặt ossec agent

Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window xp.Ta sẽ tải chương trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác Và giao diện cuối cùng như thế này

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connec đến ossec server

và có giao diện như sao:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, sau khi có key thì tiến hành nhập vào hộp thoại của osses agnent

Ngày đăng: 19/12/2014, 17:21

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w