BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC CƯỜNG LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG XỬ LÝ THÔNG TIN VÀ TRUYỀ THÔNG NGUYỄN ĐỨC CƯỜNG 2006 - 2008 Hà Nội 2008 HÀ NỘI 2008 Master of Sience Thesis title: “Warning and Protection System of Network Attacks” Student: Nguyen Duc Cuong Supervisor: Professor Dang Van Chuyet Department of Information Technology Hanoi University of Technoloogy Email: cuongnd-linc@mail.hut.edu.vn Year: 2008 Summary During the last decade, the Internet has developed rapidly in terms of scale as well as diversity. As a consequence, the network security has become more and more urgent issues. Therefore, network administration has been incrementally complicated and manually error handling is no longer sufficient. Due to that, the automatic warning system of attacks is aimed to necessarily establish. This thesis consists of the two parts as follows: Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly developing products in the market. Part 2: The first step for installing IDS into the HUT Network, using SNORT opensource, in order to improve the high perforamance of use of this network. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 1 LỜI NÓI ĐẦU 3 CHƯƠNG I - TỔNG QUAN VỀ IDS 6 1.1 Khái niệm 6 1.2. Chức năng 6 1.3 Cấu trúc chung 7 1.4. Phân biệt các mô hình IDS 11 NIDS 11 HIDS 12 1.5. Các phương pháp nhận biết tấn công 12 1.6 Các sản phẩm IDS trên thị trường 14 Intrust 14 ELM 15 GFI LANGUARD S.E.L.M 16 SNORT 17 Cisco IDS 18 Dragon 19 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO 20 2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 20 2.1.1 Khái niệm SPAN 20 2.1.2 Các thuật ngữ 22 2.1.3 Các đặc điểm của cổng nguồn 24 2.1.4 Lọc VLAN 24 2.1.5 Các đặ c điểm của nguồn VLAN 25 2.1.6 Các đặc điểm của cổng đích 26 2.1.7 Các đặc điểm của cổng phản hồi 27 2.2. SPAN trên các dòng Switch Cisco 28 2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series chạy CatOS 28 2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series 52 2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS 55 2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau 58 Các dòng Switch dưới Catalyst 4000 Series 58 Catalyst 4500/4000 Series 59 Catalyst 5500/5000 and 6500/6000 Series 59 2.4 Các lỗi thường gặp khi cấu hình 59 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 2 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG 69 3.1. Các đặc điểm chính 69 3.1.1 Hệ thống detection engine: 70 3.1.2 Hệ thống Logging & alerting: 70 3.1.3 Tập luật(RULES) 71 3.2 Các bước cài đặt Snort trên hệ điều hành Debian 72 3.2.1 Cài hệ điều hành Debian 72 3.2.2 Cài các phần mềm cần thiết 73 3.2.3 Cài đặt và c ấu hình IPTABLES-BASED FIREWALL 75 3.2.4 Cài đặt Snort 75 3.2.5 Cấu hình MySQL Server 77 3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78 3.2.7 Cài đặt Apache-ssl Web Server 78 3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) 79 3.2.9 Cập nhật Rules với Oinkmaster 81 3.2.10 Startup Script 82 3.2.11 Tạo Acc truy cập vào Base 83 3.2.12 Cấu hình SNMP Server 83 3.2.13 Tạo file index.php để định hướng trình duyệt 84 3.2.14 Cài đặt phần mềm quản trị Webmin 84 3.3 Giao diện h ệ thồng sau cài đặt 85 3.3.1 Các thông tin cấu hình cơ bản 85 3.3.2 Hướng dẫn sử dụng SNORT 86 3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) 89 3.3.4 Hướng dẫn sử dụng Webmin 101 KẾT LUẬN 108 DANH MỤC TÀI LIỆU THAM KHẢO 109 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 3 LỜI NÓI ĐẦU Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên c ứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS m ới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển. Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là gánh nặng cho qu ản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ th ống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 4 Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công cụ, con người quản trị là rất quan tr ọng, cần phải đáp ứng được các tiêu chí sau: - Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả. - Các thành phần quản trị phải tự động hoạt động và phân tích. - Kết hợp với các biện pháp ngăn chặn tự động. Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự độ ng phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó. Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System – IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy c ơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống IDP - Intrusion Detection and Prevention. Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cả nh báo nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lạ i các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 5 Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS. Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luậ n văn này, chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế cho các IDS cứng đắt tiền. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 6 CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị . Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó không cho truy cập hệ thống m ạng,…. IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấ u hiệu khác thường. 1.2. Chức năng Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau : Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi. Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị. Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống l ại kẻ xâm nhập và phá hoại. + Chức năng mở rộng Phân biệt: các tấn công trong và ngoài mạng Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 7 1.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu trúc chung cho các hệ IDS là: Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác định các mối đe dọ a. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hi ện các dấu hiệu tấn công. Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 8 có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nh ững nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua email. Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung : Hình 1.2 : Cấu trúc tập trung. [...]... tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 10 Nguyễn Đức Cường Hình 1.3 : Cấu trúc đa tác nhân Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp... Linux, Solaris và AIX 3 Được mô đun hóa và có thể mở rộng 4 Kiểm tra quản lý tập trung 5 Phân tích và báo cáo toàn diện 6 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 7 Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router 8 Quản lý biên dịch báo cáo 9 Có chu kỳ cập nhật chữ kỹ hoàn hảo Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 20 Nguyễn... gắn vào Switch Trong mô hình này, máy phân tích chỉ nhận được các luồng dữ liệu được gửi đến tất cả các cổng, như là : - Luồng thông tin quảng bá (broadcast traffic) Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 22 Nguyễn Đức Cường - Luồng thông tin multicast với CGMP hoặc Internet Group Management Protocol (IGMP) - Các luồng dữ liệu đơn nhất (unicast traffic) không rõ ràng Luồng thông. .. những thông tin vắn tắt về sản phẩm này: 1 Hỗ trợ cấu hình hiệu suất cao trong phần mềm 2 Hỗ trợ tốt cho UNIX 3 Hỗ trợ mã nguồn mở linh hoạt 4 Hỗ trợ tốt SNMP 5 Hỗ trợ mô đun quản lý tập trung 6 Hỗ trợ việc cảnh báo và phát hiện xâm phạm Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 18 Nguyễn Đức Cường 7 Có các gói bản ghi 8 Phát hiện tấn công toàn diện 9 Các mô đun đầu ra tinh vi... thời gian thực, báo cáo và ngăn chặn các hành động trái phép 4 Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau 5 Cho hiệu suất mạng cao 6 Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của kẻ xâm nhập 7 Quản lý GUI tập trung 8 Quản lý từ xa 9 Email thông báo sự kiện Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 19 Nguyễn Đức Cường... thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 21 Nguyễn Đức Cường Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub Các cổng khác sẽ “xem” được lưu lượng từ máy A đến máy B Hình 2.1 : Máy cần theo dõi gắn vào hub Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất... động trong VLAN nguồn được bao gồm như cổng nguồn và có thể được theo dõi ở một hoặc cả hai hướng • Trên một cổng, chỉ lưu lượng trên VLAN được theo dõi được gửi đến cổng đích • Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại trừ khỏi danh sách nguồn và không được theo dõi và giám sát Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông • 26 Nguyễn Đức Cường Nếu các cổng được thêm... span session active for destination port 6/2 Lưu ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000, 5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau với các phiên bản CatOS trước 5.1 Ở đây, các cổng giám sát được gán cho các VLANs 1, 2, và 3 Giám sát các VLANs với SPAN Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 33 Nguyễn Đức Cường Cuối... SPAN session active for destination port 6/2 Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 34 Nguyễn Đức Cường Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản đến cổng 6/2 Lưu ý: Kết quả là chính xác giống như nếu bạn thực hiện SPAN độc lập trên tất cả các cổng thuộc các VLANs mà câu lệnh chỉ rõ So sánh các trường Oper Source và trường Admin Source Trường... diện mô đun phần mềm MMC linh hoạt Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông 16 Nguyễn Đức Cường 2 Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft NET bằng cách kiểm tra các bản ghi sự kiện và bộ đếm hiệu suất 3 Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ các báo cáo HTML và ASCII 4 Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ