Đang tải... (xem toàn văn)
Ngày này, vấn đề bảo mật trong cuộc sống nói chung cũng như trong lĩnh vực công nghệ thông tin nói riêng đã nhận được rất nhiều sự quan tâm của mọi tầng lớp trong xã hội. Tại sao lại như vậy, như chúng ta thấy, muốn vào nhà một người quen, bạn phái gọi cửa hoặc bấm chuông, nếu có người ở nhà thì mới ra mở cửa cho bạn và mời bạn vào nhà. Nhưng trong trường hợp bạn là kẻ xấu, muốn xâm nhập vào căn nhà đó vì mục đích riêng, thì khi bạn biết chắc trong nhà không có ai, đây sẽ là cơ hội hiếm có. Tuy nhiên, nếu như nhà đó có nuôi chó giữ nhà hay bất kể một hình thức chống trộm nào mà bạn chưa tính đến thì coi như cuộc “viếng thăm”của bạn thất bại, không may nữa là còn thất bại một cách rất nặng nề nếu như bị phát hiện. Chính kịch bản chống trộm này cũng đã được ứng dụng khá linh hoạt trong lĩnh vực công nghệ thông tin nói chung, đặc biệt là nghành an toàn thông tin nói riêng.
Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép MỤC LỤC DANH MỤC CÁC HÌNH VẼ 3 LỜI MỞ ĐẦU 4 Chương I 6 Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 6 1.1. IDS là gì? 6 1.1.1. Sự ra đời của IDS 6 1.1.2. Dự báo về tương lai của IDS 6 1.1.3. Định nghĩa 7 Hình 1.1. Mô hình hoạt động của một hệ thống IDS 8 1.2.4. Phân loại 9 Hình 1.2. Ví dụ về một NIDS phát hiện các dạng tấn công cơ bản 9 Hình 1.3. Mô hình hệ thống NIDS 10 Hình 1.4. Ví dụ về HIDS hoạt động phát hiện các tấn công tới máy chủ 11 Hình 1.5. Mô hình hệ thống HIDS 11 1.2.5. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập 11 1.2. IPS là gì? 14 1.2.1. Lý do sử dụng IPS 14 Định nghĩa 15 1.2.2. Phân loại 15 1.2.3. Kiến trúc chung của hệ thống IPS 15 1.2.4. So sánh IPS và IDS 17 1.3. IDS/IPS là gì? 18 1.3.1. Tại sao phải có IDS/IPS? 18 1.3.2. Hoạt động 18 Chương II 19 Giới thiệu tổng quan về các phần mềm phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 19 2.1. Phần mềm Snort 19 2.1.1. NIDS - Network Instrusion Detection System là gì ? 20 2.1.2. Tại sao Snort là một NIDS ? 21 2.1.3. Các chế độ hoạt động của Snort 21 2.1.4. Kiến trúc của Snort 22 2.1.5. Cài đặt, cấu hình phần mềm Snort 26 2.2. Phần mềm OSSEC 30 2.2.1. Xem xét IDS trên một khía cạnh khác 30 2.2.2. Phát hiện xâm nhập dựa vào máy chủ 31 Hình 2.1. Ví dụ về một hàm băm mã hoá được tạo ra từ đầu vào khác nhau 32 2.3. Giới thiệu về OSSEC 33 2.4. Triển khai 34 2.4.1. Cài đặt nội bộ 35 Hình 2.2. Cấu hình cài đặt nội bộ 36 2.4.2. Cài đặt agent 36 2.4.3. Cài đặt server 36 Hình 2.3. Cài đặt agent/server 36 2.4.4. Kiểu nào tốt đối với chúng ta? 37 Bảng 2.1. Những định hướng về cài đặt 38 2.4.5. Định dạng những vấn đề liên quan trước khi cài đặt OSSEC 38 1 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép 2.5. Những chú ý đặc biệt 39 2.5.1. Microsoft Windows 39 2.5.2. Sun Solaris 39 2.5.3. Ubuntu Linux 39 2.5.4. Mac OS X 40 2.5. So sánh các phần mềm: Snort và OSSEC 40 2.5.1. Ưu nhược điểm của Snort và OSSEC 40 2.5.2. Sự khác nhau giữa OSSEC và Snort 42 Chương III 43 Phần mềm Snort: cài đặt, cấu hình và quản trị 43 3.1. Chuẩn bị cài đặt Snort 43 3.2. Cài đặt Snort 44 3.2.1. Cài đặt Snort từ gói RPM 44 3.2.2. Cài đặt Snort từ source code 45 Bảng 3.1. Các tham số dòng lệnh dùng chung với configure 51 3.2.3.Lỗi trong khi cài đặt Snort 58 3.2.4.Kiểm tra Snort 59 3.2.5. Chạy Snort trên một giao diện không mặc định 71 3.2.6.Tự động startup và shutdown 71 3.3. Snort trên nhiều giao diện mạng 73 Hình 3.1.Hoạt động của 2 thư mục log trong Snort 74 3.4. Lựa chọn lệnh cho Snort 74 Bảng 3.2. Bảng liệt kê các lựa chọn thường dùng 75 3.5. Hướng dẫn từng bước cách biên dịch và cài đặt Snort từ mã nguồn 75 3.6.Vị trí tập tin Snort 76 3.7.Các chế độ Snort 77 3.7.1.Network Sniffer Mode (chế độ bắt gói trong mạng) 77 3.7.2.Chế độ phát hiện xâm nhập mạng (NIDS) 87 3.8.Chế độ cảnh báo Snort 87 3.8.1.Chế độ Fast 88 3.8.2. Chế độ Full 89 3.8.3.Chế độ UNIX Socket 89 3.8.4.Chế độ No Alert 90 3.8.5.Gửi cảnh báo vào Syslog 90 3.8.6.Gửi cảnh báo đến SNMP 90 3.8.7.Gửi cảnh báo đến Windows 90 3.9. Chạy Snort trong chế độ Stealth 92 Hình 3.2. Chạy Snort trên một giao diện mạng 93 Kết luận chung 93 Tài liệu tham khảo 94 2 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC HÌNH VẼ 3 LỜI MỞ ĐẦU 4 Chương I 6 Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 6 Hình 1.1. Mô hình hoạt động của một hệ thống IDS 8 Hình 1.2. Ví dụ về một NIDS phát hiện các dạng tấn công cơ bản 9 Hình 1.3. Mô hình hệ thống NIDS 10 Hình 1.4. Ví dụ về HIDS hoạt động phát hiện các tấn công tới máy chủ 11 Hình 1.5. Mô hình hệ thống HIDS 11 Chương II 19 Giới thiệu tổng quan về các phần mềm phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 19 Hình 2.1. Ví dụ về một hàm băm mã hoá được tạo ra từ đầu vào khác nhau 32 Hình 2.2. Cấu hình cài đặt nội bộ 36 Hình 2.3. Cài đặt agent/server 36 Bảng 2.1. Những định hướng về cài đặt 38 Chương III 43 Phần mềm Snort: cài đặt, cấu hình và quản trị 43 Bảng 3.1. Các tham số dòng lệnh dùng chung với configure 51 Hình 3.1.Hoạt động của 2 thư mục log trong Snort 74 Bảng 3.2. Bảng liệt kê các lựa chọn thường dùng 75 Hình 3.2. Chạy Snort trên một giao diện mạng 93 Kết luận chung 93 Tài liệu tham khảo 94 3 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép LỜI MỞ ĐẦU Ngày này, vấn đề bảo mật trong cuộc sống nói chung cũng như trong lĩnh vực công nghệ thông tin nói riêng đã nhận được rất nhiều sự quan tâm của mọi tầng lớp trong xã hội. Tại sao lại như vậy, như chúng ta thấy, muốn vào nhà một người quen, bạn phái gọi cửa hoặc bấm chuông, nếu có người ở nhà thì mới ra mở cửa cho bạn và mời bạn vào nhà. Nhưng trong trường hợp bạn là kẻ xấu, muốn xâm nhập vào căn nhà đó vì mục đích riêng, thì khi bạn biết chắc trong nhà không có ai, đây sẽ là cơ hội hiếm có. Tuy nhiên, nếu như nhà đó có nuôi chó giữ nhà hay bất kể một hình thức chống trộm nào mà bạn chưa tính đến thì coi như cuộc “viếng thăm”của bạn thất bại, không may nữa là còn thất bại một cách rất nặng nề nếu như bị phát hiện. Chính kịch bản chống trộm này cũng đã được ứng dụng khá linh hoạt trong lĩnh vực công nghệ thông tin nói chung, đặc biệt là nghành an toàn thông tin nói riêng. Vậy thì điều này được ứng dụng như thế nào? Một hệ thống mạng hay hệ điều hành cá nhân cũng giống như một ngôi nhà mà chúng ta cần phải bảo vệ nó, thực ra là bảo vệ những gì có trong đó, chính là những tài nguyên dữ liệu quan trọng với bản thân chủ nhân của máy và của nhiều người khác nữa. Chúng ta cần có một tài khoản máy với user name và password là cách cơ bản nhất, cũng giống như trong nhà luôn có người vậy. Sau đó là hệ thống tường lửa của hệ thống, cũng giống như hệ thống cửa khóa của căn nhà. Hệ thống tường lửa càng phức tạp thì càng gây khó khăn cho kẻ muốn xâm phạm nó, nhưng chúng ta cần lưu ý là nếu như phức tạp quá thì sẽ có lúc chính “chủ nhà” lại là nạn nhân trực tiếp của hệ thống này. Và cuối cũng là hệ thống phát hiện và phòng chống xâm phạm trái phép (IDS/IPS- Intrusion Detection System / Intrusion Prevention System). Có thế nói đây là hệ thống “chống trộm” cho toàn hệ thống mà tính chất bao quát, bởi vì đây chính là vòng bảo mật ngoài cùng, đối mặt trực tiếp với kẻ tấn công. Nếu như hệ thống IDS/IPS này càng mạnh thì sẽ làm tê liệt mọi hành động của kẻ tấn công ngay từ đầu. Tuy nhiên là được điều này đâu phải dễ dàng gì, bởi vì những kẻ tấn công thì ngày càng mưu mô, hiểm độc và tinh ranh hơn về công cụ và cách thức, còn hệ thống của chúng ta thì chỉ có thể phân tích dựa vào những gì đã xảy ra. Vì thế mà các chuyên gia trong lĩnh vực này không ngừng nâng cao tính năng, phương thức và phạm vi của chúng nhằm đáp ứng nhu cầu của đông đảo người dùng trong mọi lĩnh vực. Xuất phát từ tính cấp thiết của hệ thống IDS/IPS, em quyết định lựa chọn đề tài: “Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép hiện nay- IDS/IPS” cho đề tài thực tập của mình. Báo cáo thực tập của em bao gồm 3 chương chính, phần kết luận và phần tài liệu tham khảo: Chương I: Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS/IDS- Intrusion Detection System / Intrusion Prevention System) cho bạn đọc một cái nhìn thực sự khái quát nhất về từng bộ phận riêng rẽ, tách rời trong hệ thống IDS/IPS. Đây chính là nền tảng mang tính chất cực kỳ cơ bản nhưng rất quan trọng về những khái niệm, những cách thức, những kiểu loại về hệ thống 4 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép IDS/IPS đơn giản nhất. Chương I chính là tiền đề, những hiểu biết nhất định để chúng ta có thể đi vào tìm hiểu các phần mềm phát hiện và phòng chống xâm nhập trái phép đang được sử dụng hiện nay. Chương II: Giới thiệu tổng quan về các phần mềm phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) chỉ rõ hai công cụ nổi bật trong các công cụ dùng để phát hiện và phòng chống xâm nhập trái phép ngày nay đang được sử dụng phổ biến. Hai công cụ này mạnh nhất, nổi bật trong hai khía cạnh khác nhau về cách thức sử dụng, phạm vi và mục đích sử dụng. Đó là phần mềm SNORT, và phần mềm OSSEC. Chương II này sẽ đưa ra cho chúng ta những hiểu biết cơ bản nhất về hai phần mềm này, chứ chưa hề đi vào chi tiết để cài đặt, cấu hình hay quản trị. Chương III:. Phần mềm Snort: cài đặt, cấu hình và quản trị cung cấp cho chúng ta cách thức sử dụng cụ thể phần mềm SNORT- một công cụ mạnh nhất, được sử dụng và đánh giá cao nhất. Chúng ta có thể thao tác để làm quen với phần mềm bằng cách cài đặt nó, có thể biết được hoạt động của nó bằng cách cầu hình nó, và có thể làm “ông chủ” của nó bằng cách quản trị nó. Phần kết luận Phần tài liệu tham khảo 5 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép Chương I Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 1.1. IDS là gì? 1.1.1. Sự ra đời của IDS Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. 1.1.2. Dự báo về tương lai của IDS Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này của xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau: - IDS thường xuyên đưa ra rất nhiều báo động giả (False Positives). - Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm). - Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả. 6 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép - Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư. Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau: - Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả. - Các thành phần quản trị phải tự động hoạt động và phân tích. - Kết hợp với các biện pháp ngăn chặn tự động Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó. 1.1.3. Định nghĩa IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng ,… IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. *Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám sát : lưu lượng mạng + các hoạt động khả nghi. Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. *Chức năng mở rộng : Phân biệt : "thù trong giặc ngoài". Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline. 7 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép Hình 1.1. Mô hình hoạt động của một hệ thống IDS Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 4) – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa bảo vệ liên quan đến các kiểu tấn công mới. Các giải pháp dựa 8 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép trên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm) – xem hình 5. Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó, một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. 1.2.4. Phân loại Có 2 loại IDS là Network Based IDS (NIDS) và Host Based IDS (HIDS): 1.1.4.1. NIDS Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Hoạt động: Một Network-Based IDS sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS). Hình 1.2. Ví dụ về một NIDS phát hiện các dạng tấn công cơ bản Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. - Ví trí : mạng bên trong NIDS mạng bên ngoài. 9 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép - Loại : hardware (phần cứng) hoặc software (phần mềm) - Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng. - Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức cao. Hình 1.3. Mô hình hệ thống NIDS 1.1.4.2. HIDS Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. Hoạt động: Một Host-Based IDS chỉ làm nhiệm vụ giám sát và gi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). A Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ. 10 [...]... IDT, móc nối các cuộc gọi IRP và những móc nối nội tuyến 34 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép - Helios: được thiết kế nhằm phát hiện, loại bỏ và làm tăng sức đề kháng chống lại những rootkit hiện đại Điều làm nên sự khác biệt giữa nó với những phần mềm diệt virus thông dụng hay những sản phẩm chống spyware, đó chính là nó không tin cậy vào một CSDL các chữ kỹ đã... SNORT là phần mềm IDS mạnh mẽ và được yêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm nhập Công nghệ phát hiện và chống xâm nhập mã nguồn mở Snort do Martin Roeschngười sáng lập ra Sourcefire tạo ra vào năm 1998, với tốc độ gây ấn tượng, cùng hiệu suất và quyền lực vượt bậc, Snort nhanh chóng chiếm được vị thế để trở thành một công nghệ phát hiện và phòng chống xâm nhập trái phép được... và http_decode thực hiện sự bình thường hóa lưu lượng mở rộng trên một phạm vi các cổng và các giao thức, và frag2 và stream4cho phép ráp lại đầy đủ các mảnh IP và ráp lại luồng inspection/TCP đầy đủ trạng thái Sự kết hợp- tất cả những gì có thể được cấu hình- làm cho snort cực kỳ phức tạp trong việc tránh sử dụng các kỹ thuật hiện hành 25 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập. .. dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kết quả cho 12 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép thấy rằng các hành vi của siêu người dùng... Sự phát hiện bất thường thường gây ra các báo cảnh sai Với việc tối thiểu hóa dữ liệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối thiểu, do đó giảm đáng kể xác suất báo cảnh sai 13 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép 1.2 IPS là gì? 1.2.1 Lý do sử dụng IPS Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các. .. tức là chỉ có thể cảnh báo mà thôi, việc thực hiện 17 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công Và dĩ nhiên công việc này thì lại hết sức khó... phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS Dưới đây là một số hệ thống được mô tả vắn tắt: 11 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép - Hệ thống Expert, hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên quan... nó cho phép thay đổi rất linh động các tập luật dùng để bắt các gói tin, cũng như cách xử lý các gói tin bị chặn lại Snort có 4 chế độ hoạt động khác nhau đó là: 21 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép - Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị - Packet Logger mode : lưu trữ các gói... luật này sẽ được chia thành các tập con nhỏ hơn tùy thuộc vào các giao thức ở tầng ứng dụng và tầng vận chuyển Vì 500 trong số những luật này có thể trở thành tập luật HTTP client, 50 luật khác có thể trở thành tập luật HTTP server và v…v 22 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép Mỗi khi Snort thực hiện phần xử lý luật đối với từng gói, thì các tham số gói tin sẽ được... động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự 14 Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuộc tấn công, . trái phép 2.5. Những chú ý đặc biệt 39 2.5.1. Microsoft Windows 39 2.5.2. Sun Solaris 39 2.5.3. Ubuntu Linux 39 2.5.4. Mac OS X 40 2.5. So sánh các phần mềm: Snort và OSSEC 40 2.5.1. Ưu nhược. 44 3.2.1. Cài đặt Snort từ gói RPM 44 3.2.2. Cài đặt Snort từ source code 45 Bảng 3.1. Các tham số dòng lệnh dùng chung với configure 51 3.2.3.Lỗi trong khi cài đặt Snort 58 3.2.4.Kiểm tra. theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò