NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS CHO MẠNG DOANH NGHIỆP

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG--- NGUYỄN MẠNH ĐOÀN NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS CHO MẠNG DOANH NGHIỆP Chuyên ngành: KỸ THUẬT VIÊN THÔNG Mã số:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN MẠNH ĐOÀN

NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS

CHO MẠNG DOANH NGHIỆP

Chuyên ngành: KỸ THUẬT VIÊN THÔNG

Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI-2014

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS NGUYỄN TIẾN BAN

Phản biện 1: PGS TS TRƯƠNG VŨ BẰNG GIANG

Phản biện 2: TS ĐẶNG ĐÌNH TRANG

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất cả các nhu cầu về công việc cũng như cuộc sống Đi kèm theo sự phát triển mạnh mẽ đó

là các yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ, Trong đó bảo mật

là một trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ cũng như người sử dụng, không chỉ đối với các cá nhân mà còn đặc biệt quan trọng trong các nghành mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân hàng, tài chính… Ngay từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất được chú trọng Trải qua cả một quá trình dài phát triển với rất nhiều thay đổi, các biện pháp bảo mật cũng không ngừng phát triển và tiến bộ cả về số lượng và chất lượng: Firewall, VPN, mã hóa, các phần mềm diệt virus,… Tùy theo các yêu cầu bảo mật cũng như các mối nguy

cơ bị tấn công mà có các biện pháp bảo mật tương ứng Tuy nhiên để có sự an toàn mạng cao nhất thì cần phải biết kết hợp các phương pháp bảo mật một các hiệu quả Luận văn đi sâu vào tìm hiểu và nghiên cứu về hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS, qua đó đưa ra các giải pháp sử dụng IDS/IPS trong hệ thống mạng Đây là một phương pháp bảo mật rất quan trọng luôn được sử dụng trong một

hệ thống mạng IDS/IPS phát hiện và ngăn chặn những xâm nhập trái phép cũng như các trường hợp dùng sai quyền, nó khắc phục các vấn đề mà các phương pháp khác như Firewall hay VPN chưa làm được

Luận văn được chia làm 3 phần:

Chương 1: Tổng quan về phòng chống xâm nhập mạng

Chương 2: Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS

Chương 3: Xây dựng mô hình hệ thống IDS/IPS sử dụng cho mạng doanh nghiệp

Tác giả xin chân thành cảm ơn các thầy cô đặc biệt là PGS TS NGUYỄN TIẾN BAN đã nhiệt tình hướng dẫn tác giả hoàn thành luận văn này

Do thời gian nghiên cứu có hạn, đồng thời kiến thức còn hạn chế, luận văn không tránh khỏi những thiếu sót, tác giả rất mong được các thầy cô hướng dẫn và chỉ dạy thêm Tác giả xin được tiếp thu và cố gắng hoàn thành tốt nhất luận văn

Học viên NGUYỄN MẠNH ĐOÀN

CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP

MẠNG

1.1 Những mối đe dọa đối với bảo mật :

Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống, chúng

ta cần phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ nghiêm trọng của chúng Từ đó chúng ta có thể đưa ra các đánh giá chính xác và cách phòng chống một cách hợp lý nhất Những mối đe dọa được biết đến có thể phân chia dựa theo cấu trúc hoặc vị trí tấn công :

1.1.1 Phân loại theo cấu trúc:

1.1.1.1 Những mối đe dọa không có cấu trúc:

Những mối đe dọa không có cấu trúc được gây ra bởi những kẻ tấn công ít có khả năng lập trình và hầu hết chỉ sử dụng những công cụ hack và script được cung cấp trên Internet

1.1.1.2 Những mối đe dọa có cấu trúc:

Những mối đe dọa có cấu trúc được biết đến là những hành động cố ý, có động

cơ và kỹ thuật cao Những kẻ tấn công có trình độ và kỹ năng để lập trình tạo ra các cộng cụ mới, sử dụng các kỹ thuật hack phức tạp và hiện đại hoặc chỉnh sửa và sử dụng các công cụ theo mong muốn của chúng

1.1.2 Phân loại theo vị trí tấn công:

1.1.2.1 Những mối đe dọa từ bên ngoài:

Đây là những mối đe dọa phổ biến, các cuộc tấn công được gây ra bởi những kẻ không có quyền nào trong hệ thống mục tiêu thông qua Internet Những mối đe dọa loại này thường được các doanh nghiệp đặc biệt chú ý và đề phòng

1.1.2.2 Những mối đe dọa từ bên trong:

Khi những kẻ tấn công có một hoặc một vài quyền trong hệ thống và thực hiện cuộc tấn công từ một khu vực tin cậy trong mạng thì ta gọi đó là những cuộc tấn công

từ bên trong

1.2 Các phương thức xâm nhập và phòng chống:

Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và DDoS(Distributed Denial of Service).

1.2.1.1 DoS:

DoS là cuộc tấn công từ một người hoặc một nhóm người nào đó nhằm làm tê liệt hệ thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay thực hiện bất kỳ một công việc nào.DoS không cho phép ủy quyền truy cập đến máy hoặc

dữ liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ

1.2.1.2 DDoS:

DDoS được tiến hành từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET Đây là dạng tấn công cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều địa chỉ trên Internet Khi cuộc tấn công DdoS xảy ra, rất khó có thể ngưng lại vì Firewall

có thể ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết nối Internet

Một số phương pháp phòng chống tấn công DDoS :

- Phòng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm yếu trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm dứt Các lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ của Windows, các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá là một trong những yêu cầu quan trọng cho việc phòng ngừa

- Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng

- Giới hạn số lượng kết nối từ một nguồn cụ thể tới server

- Phát hiện và ngăn chặn tấn công tới hạn tố độ thiết lập kết nối: Có thể áp dụng

bộ lọc để giới hạn số lượng kết nối trung bình Bộ lọc sẽ xác định ngưỡng tốc

độ kết nối cho từng đối tượng mạng

1.2.2 Sniffers:

Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng đến một địa chỉ riêng với mục đích tích cực hoặc tiêu cực

Chúng ta có thể ngăn ngừa xâm phạm trái phép sử dụng sniffers bằng các cách sau :

- Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố: personal identification number(PIN) và token card để xác thực một thiêt bị hoặc một phần mềm ứng dụng

- Dùng switch thay vì dùng bridge, hup nhằm hạn chế các gói được broadcast trong mạng và làm giảm ảnh hưởng của sniffers mặc dù không thể ngăn chặn hoàn toàn sniffers

- Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì chỉ

có thể bắt được các gói dữ liệu đã mã hóa

1.2.3 Port scan:

Scan port la phương pháp thường được thực hiện trực tiếp trên một host hoặc một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp Hacker có thể dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó

Để hạn chế và khắc phục loại tấn công này, có thể sử dụng Firewall hoặc IDS/IPS nhằm phát hiện, cảnh báo, và ngăn chặn thăm dò và sau đó là xâm nhập mạng

1.2.4 ARP Spoofing

ARP là một giao thức của lớp 2, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC.ARP thực hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ IP của host cần giao tiếp Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu của giao thức này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không biết được ai gửi các gói tin đó Người tấn công sẽ giả các gói tin ARP reply với địa chỉ

IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công Như vậy máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch trong việc gửi/nhận thông tin

1.3 Nhu cầu sử dụng IDS/IPS

1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:

1.3.1.1 Firewall:

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet

Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

• Bộ lọc packet (packet- filtering router)

• Cổng ứng dụng (application-level gateway hay proxy server)

• Cổng mạch (circuite level gateway)

1.3.1.2 An toàn thông tin bằng mật mã:

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền thông tin bí mật Mật mã bao gồm: lập mã và phá mã Lập mã bao gồm hai quá trình:

mã hóa và giải mã

Để bảo vệ thông tin trên đường truyền, thông tin được biến đổi từ dạng nhận thức được sang dạng không nhân thức được trước khi truyền trên mạng, quá trình này được gọi là mã hóa thông tin(encryption) Ở đích đến thông tin được biến đổi ngược lại quá trình mã hóa, gọi là quá trình giải mã

1.3.1.3 VPN:

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở

hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính

an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối “point-to-point” trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được

mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công

cộng cũng không thể đọc được nội dung vì không có khóa để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel)

1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS:

Các phương pháp nhằm đảm bảo an toàn cho thông tin mạng và hệ thống kể trên đều có các ưu điểm và các nhiệm vụ nhất định Tuy nhiên câu hỏi đặt ra là làm thế nào để có thể phát hiện các cuộc tấn công, sự dùng sai quyền hạn trong hệ thống? IDS/IPS là giải pháp hợp lý và là câu trả lời cho câu hỏi đó

1.4 Kết luận

Chương 1 của luận văn đã nêu tổng quan về phòng chống xâm nhập mạng: những mối đe dọa đối với bảo mật, các phương thức xâm nhập và phòng chống xâm nhập phổ biến (DoS, Sniffers, Port Scan, ARP Spoofing) Đồng thời tác giả cũng nêu khái quát các phương pháp bảo mật trong an ninh mạng hiện nay: Fire wall, VPN, mã hóa…, qua đó đưa ra được nhu cầu cấp thiết trong việc sử dụng hệ thống IDS/IPS

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP IDS/IPS

2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập:

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp pháp Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó

Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường

Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh

IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP-Intrusion Detection and Prevention Luận văn đi sâu vào nghiên cứu hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS(IDP) Nội dung của chương

sẽ được trình bày theo 2 phần chính: Intrusion Detection và Intrusion Prevention

2 2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)

Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện

nó

2 2.1 Chức năng:

Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ

9 Giám sát: lưu lượng mạng và các hoạt động khả nghi

9 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

9 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng:

Phân biệt: tấn công bên trong và tấn công bên ngoài

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline

2 2.2 Phân loại:

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):

a Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, HIDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ

Lợi thế của HIDS:

9 Có khả năng xác đinh user liên quan tới một event

9 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

9 Có thể phân tích các dữ liệu mã hoá

9 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này Hạn chế của HIDS:

9 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

9 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

9 HIDS phải được thiết lập trên từng host cần giám sát

9 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

9 HIDS cần tài nguyên trên host để hoạt động

9 HIDS có thể không hiệu quả khi bị DOS

9 Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác

b Network Base IDS (NIDS)

Hình2.1 NIDS

Hệ thống NIDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không

Lợi thế của Network-Based IDS:

- Quản lý được cả một network segment (gồm nhiều host)

- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

Hạn chế của Network-Based IDS:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion

mà NIDS báo là có intrusion

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động được phát ra, hệ thống có thể đã bị tổn hại

- Không cho biết việc attack có thành công hay không.Một trong những hạn chế

là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng

2 2.3 Kiến trúc và nguyên lý hoạt động:

IDS/IPS bao gồm các thành phần chính:

• Thành phân thu thập gói tin

• Thành phần phát hiện gói tin

• Thành phần xử lý gói tin

a Thành phần thu thập gói tin: Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến mạng Thông thường các gói tin có địa chỉ đích không phải là của một card mạng thì

sẽ bị card mạng đó hủy bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất

cả Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin Bộ thu thập gói tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuốc kiểu gói tin nào, dịch vụ gì…Các thông tin này được chuyển đến thành phần phát hiện

b Thành phần phát hiện gói tin: Bộ cảm biến đóng vai trò quyết định trong thành phần này Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ khi luồng

dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu