Tiểu luận an ninh mạng Hệ thống phát hiện xâm nhập IDS - OSSIM

DANH MỤC TỪ VIẾT TẮTDos Denial of Service Tấn công từ chối dịch vụ IDS Intrucsion Detection Giao thức truyền tin đáng tin cậy của dữ liệu LAN Local Area Network Mạng máy tính cục bộ VLAN

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÀI TIỂU LUẬN 2 Môn An Ninh Mạng

Hệ thống phát hiện xâm nhập

IDS - OSSIM

Giáo viên hướng dẫn: PGS TSKH Hoàng Đăng Hải

Nhóm thực hiện: Bùi Thị Thu Huế

Nguyễn Đức Hoàng Lớp: M11CQDT01-B

HÀ NỘI, 06/2012

MỞ ĐẦU

Trong hoạt động của xã hội loài người, thông tin là một nhu cầu không thể thiếu, vàngày nay thông tin càng trở thành một tài nguyên vô giá Xã hội phát triển ngày càngcao thì nhu cầu trao đổi thông tin giữa các thành phần trong xã hội ngày càng lớn.Mạng máy tính ra đời mang lại cho con người nhiều lợi ích trong việc trao đổi thôngtin và xử lý thông tin một cách chính xác, nhanh chóng Sự phát triển mạnh mẽ củamạng máy tính đặc biệt là sự ra đời của mạng toàn cầu Internet đã giúp cho con ngườitrên khắp trên thế giới có thể liên lạc trao đổi thông tin chính xác cho nhau một cách

dễ dàng trong thời gian ngắn nhất

Đối với các doanh nghiệp nói riêng thì mạng máy tính mang lại rất nhiều tiện ích như:thu thập được nhiều thông tin; giảm chi phí sản xuất, bán hàng, tiếp thị và giao dịch;tăng chất lượng dịch vụ khách hàng, tăng doanh thu, tạo ra lợi thế cạnh tranh củadoanh nghiệp… Tuy nhiên, tâm lý e ngại về sự không an toàn của các giao dịch trênmạng là một thực tế hiện nay của các doanh nghiệp và người tiêu dùng Hiện tượngnày càng trở thành một vấn đề lớn khi mà vấn đề hacker trên mạng ngày càng pháttriển một cách tinh vi Đối với Việt Nam điều này còn bắt nguồn từ sự đầu tư chưađầy đủ cho việc bảo mật thông tin trên mạng của các cơ quan, tổ chức và người tiêudùng Bên cạnh đó việc thiếu kiến thức hiểu biết cần thiết cũng là một nguyên nhândẫn đến tâm lý e ngại của người sử dụng Nhận thức được vấn đề này các doanhnghiệp tại Việt Nam cũng đang có sự đầu tư cần thiết nhằm đảm bảo an toàn cho hệthống thông tin của mình, qua đó khắc phục các sự cố nhằm tạo lòng tin cho người sửdụng

Các giải pháp phát hiện xâm nhập đối với hệ thống mạng doanh nghiệp là một trongnhững vấn đề được ngành công nghệ thông tin và những người nghiên cứu về an toànbảo mật thông tin cho hệ thống mạng quan rất quan tâm mạng Có rất nhiều công cụ

mã nguồn mở để phát hiện xâm nhập được sử dụng ngày nay Tuy nhiên phần mềmOSSIM tích hợp nhiều công cụ mã nguồn mở khác nhau giúp cho việc quản trị vàđảm bảo an toàn an ninh mạng của các quản trị viên hiệu quả hơn

MỤC LỤC

MỞ ĐẦU 1

DANH MỤC TỪ VIẾT TẮT 4

HỆ THỐNG PHÁT HIỆN XÂM NHẬP 5

1.1 Các hệ thống phát hiện xâm nhập (IDS) 5

1.1.1 Network IDS 5

1.1.2 Host IDS 7

1.2 Phương thức hoạt động hệ thống phát hiện xâm nhập (IDS) 9

1.2.1 Kiến trúc hệ thống IDS 10

1.2.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS 12

1.2.3 Cách tạo signature, engine phát hiện tấn công 15

1.3 Các mô hình triển khai IDS 19

1.3.1 Mô hình tập trung cảm biến 19

1.3.2 Mô hình phân tán các cảm biến 20

PHẦN MỀM PHÁT HIỆN XÂM NHẬP IDS - OSSIM 20

1.4 Một số IDS được dùng phổ biến 20

1.4.1 IDS mã nguồn mở 20

1.4.2 Mức độ sử dụng các thành phần trong IDS - OSSIM 22

1.4.3 Cơ chế làm việc của SNORT 23

1.4.4 Quy trình quản trị IDS – OSSIM 24

1.4.5 Những yếu điểm tồn tại khi sử dụng IDS – OSSIM 24

1.4.6 Yêu cầu phần cứng cài IDS-OSSIM 25

Tài liệu tham khảo: 26

DANH MỤC TỪ VIẾT TẮT

Dos Denial of Service Tấn công từ chối dịch vụ

IDS Intrucsion Detection

Giao thức truyền tin đáng tin cậy

của dữ liệu

LAN Local Area Network Mạng máy tính cục bộ

VLAN Vitual Local Area

Network

Mạng LAN ảo

HỆ THỐNG PHÁT HIỆN XÂM NHẬP

1.1Các hệ thống phát hiện xâm nhập (IDS)

IDS (Intrusion Detection System - Hệ thống phát hiện xâm nhập) là hệ thốngphần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạtđộng khả nghi và cảnh báo cho hệ thống, nhà quản trị IDS cũng có thể phân biệt giữanhững tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn

công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về cácnguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặcbiệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại vớibaseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

1.1.1 Network IDS

NIDS thường bao gồm hai thành phần logic:

- Bộ cảm biến - Sensor: đặt tại một đoạn mạng, kiểm soát các cuộc lưu thông

nghi ngờ trên đoạn mạng đó

- Trạm quản lý: nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo cho

- Chi phí thấp: Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám

sát lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lýtrên các máy toàn mạng

- Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS

kiểm tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu xuất phát từđây

- Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ

đột nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó

có đủ thông tin để hoạt động NIDS sử dụng lưu thông hiện hành trên mạng để pháthiện xâm nhập Vì thế, kẻ đột nhập không thể xoá bỏ được các dấu vết tấn công Cácthông tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việcxác minh và buộc tội kẻ đột nhập

- Phát hiện và đối phó kịp thời: NIDS phát hiện các cuộc tấn công ngay khi xảy

ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn Ví dụ: Mộthacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và ngăn chặnngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trước khi nó xâmnhập và phá vỡ máy bị hại

- Có tính độc lập cao: Lỗi hệ thống không có ảnh hưởng đáng kể đối với công

việc của các máy trên mạng Chúng chạy trên một hệ thống chuyên dụng dễ dàng càiđặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúngvào trong mạng tại một vị trí cho phép nó kiểm soát các cuộc lưu thông nhạy cảm

Nhược điểm:

- Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin

trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộctấn công thực hiện vào lúc "cao điểm" Một số nhà sản xuất đã khắc phục bằng cáchcứng hoá hoàn toàn IDS nhằm tăng cường tốc độ cho nó Tuy nhiên, do phải đảm bảo

về mặt tốc độ nên một số gói tin được bỏ qua có thể gây lỗ hổng cho tấn công xâmnhập

- Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền

một dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một góitin được kiểm soát sẽ sinh ra một lượng lớn tải phân tích Để khắc phục người tathường sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các lưuthông được truyền tải Họ cũng thường thêm các chu trình tự ra các quyết định vàocác bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng tháihoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế Điểm bất lợi là nó

sẽ cung cấp rất ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biến nào sẽ

không biết được việc một bộ cảm biến khác dò được một cuộc tấn công Một hệ thốngnhư vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc phức tạp.

- Một hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn công

trong một phiên được mã hoá Lỗi này càng trở nên trầm trọng khi nhiều công ty và tổchức đang áp dụng mạng riêng ảo VPN

- Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn công

mạng từ các gói tin phân mảnh Các gói tin định dạng sai này có thể làm cho NIDShoạt động sai và đổ vỡ

1.1.2 Host IDS

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường sửdụng các cơ chế kiểm tra và phân tích thông tin đăng nhập hệ thống Nó tìm kiếm cáchoạt động bất thường như login, truy nhập file không thích hợp, cố tình sử dụng cácphân quyền không được quản trị chấp nhận

Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạtđộng Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnhsu-select user, như vậy những cố gắng liên tục để login vào account root có thể đượccoi là một cuộc tấn công

Hình 2: Mô hình HIDS

Ưu điểm:

- Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu nhật ký

(log) lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thấtbại với độ chính xác cao hơn NIDS Vì thế, HIDS có thể bổ sung thông tin tiếp theokhi cuộc tấn công được sớm phát hiện với NIDS

- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các

hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền, các hành động thựcthi, truy nhập dịch vụ được phân quyền Đồng thời nó cũng giám sát các hoạt động chỉđược thực hiện bởi người quản trị Vì thế, hệ thống host-based IDS có thể là một công

cụ cực mạnh để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấpnhiều thông tin chi tiết và chính xác hơn một hệ network-based IDS

- Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn

phím xâm nhập vào một server sẽ không bị NIDS phát hiện

- Thích nghi tốt với môi trường chuyển mạch, mã hoá: Việc chuyển mạch và

mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởngbởi hai kỹ thuật trên

- Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có

sẵn (FTP Server, WebServer) nên HIDS không yêu cầu phải cài đặt thêm các phầncứng khác

Nhược điểm:

- Khó quản trị: các hệ thống host-based IDS yêu cầu phải được cài đặt trên tất

cả các thiết bị đặc biệt mà bạn muốn bảo vệ Đây là một khối lượng công việc lớn đểcấu hình, quản lí, cập nhật

- Thông tin nguồn không an toàn: một vấn đề khác kết hợp với các hệ thống

host-based là nó hướng đến việc tin vào nhật ký mặc định và năng lực kiểm soát củaserver Các thông tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt độngsai, không phát hiện được xâm nhập

- Hệ thống host-based tương đối đắt: nhiều tổ chức không có đủ nguồn tài

chính để bảo vệ toàn bộ các đoạn mạng của mình sử dụng các hệ thống host-based.Những tổ chức đó phải rất thận trọng trong việc chọn các hệ thống để bảo vệ Nó có

thể để lại các lỗ hổng lớn trong mức độ bao phủ phát hiện xâm nhập Ví dụ như một

kẻ tấn công trên một hệ thống láng giềng không được bảo vệ có thể đánh hơi thấy cácthông tin xác thực hoặc các tài liệu dễ bị xâm phạm khác trên mạng

- Chiếm tài nguyên hệ thống: Do cài đặt trên các máy cần bảo vệ nên HIDS

phải sử dụng các tài nguyên của hệ thống để hoạt động như: bộ vi xử lí, RAM, bộ nhớngoài

1.2Phương thức hoạt động hệ thống phát hiện xâm nhập (IDS)

Hệ thống phát hiện xâm nhập (IDS) cho phép các tổ chức bảo vệ hệ thống của họ khỏinhững đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin Một

số chức năng của IDS như sau:

• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệutrong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợppháp hoặc phá hoại dữ liệu

• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài Bảo vệ tính khảdụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin củangười dùng hợp pháp

• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyêncủa hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặnđược sự truy nhập thông tin bất hợp pháp

• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôiphục, sửa chữa…

- Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ

• Giám sát: lưu lượng mạng và các hoạt động khả nghi

• Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

• Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng:

• Phân biệt: tấn công bên trong và tấn công bên ngoài

• Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào

sự so sánh thông lượng mạng hiện tại với baseline (thông số đo đạc chuẩn của

hệ thống)

- Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:

• Ngăn chặn sự gia tăng của những tấn công

• Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

• Đánh giá chất lượng của việc thiết kế hệ thống

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu, việc đưa ra những điểmyếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệphòng thủ của các nhà quản trị mạng

1.2.1 Kiến trúc hệ thống IDS

Các nhiệm vụ thực hiện

Hình 3 : Quá trình của IDS

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thốngmáy tính bằng cách phát hiện các dấu hiệu tấn công Việc phát hiện các tấn công phụthuộc vào số lượng và kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phảikết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa Việclàm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là mộtnhiệm vụ quan trọng khác Toàn bộ hệ thống cần phải được kiểm tra một cách liêntục Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách

cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sựxâm phạm)

Hình 4 : Cơ hở hạ tầng IDS

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quảntrị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viênhoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đó bổ sung (các chứcnăng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệthống, cơ sở hạ tầng hợp lệ,…) - theo các chính sách bảo mật của các tổ chức MộtIDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nhữngnhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tìnhtiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trongtương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống Phát hiện xâm nhậpđôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giaodiện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail

1.2.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Hình 5: Một IDS mẫu Thu hẹp bề rộng tương ứng với số lượng luồng thông tin

giữa các thành phần hệ thồng

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin(information collection), thành phần phân tích gói tin (dectection), thành phần phảnhồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc Trong bathành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này

bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến đểhiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu - một bộ tạo sự kiện Cáchsưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thôngtin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chínhsách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặccác gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong

hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ khi luồng dữliệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nàođược thực hiện Điều này cũng liên quan một chút đến các gói mạng