Đang tải... (xem toàn văn)
Bài tập lớn môn an ninh mạng viễn thông Học viện công nghệ bưu chính viễn thông Đề tài về thiết bị an ninh mạng là FireWall, hệ thống cảnh báo xâm nhập IDS, và Snort. Đề tài nêu lên một số phần trong hệ thống an ninh hiện nay một cách cụ thể và được áp dụng vào hệ thống an ninh hiện tại
Chuyên đề An ninh mạng thông tin 1LỜI NÓI ĐẦU Ngày nay, mạng Internet trở thành tảng cho trao đổi thông tin toàn cầu Có thể thấy cách rõ ràng Internet tác động lên nhiều mặt đời sống từ việc tìm kiếm thông tin, trao đổi liệu đến việc hoạt động thương mại, học tập nghiên cứu làm việc trực tuyến Nhờ Internet mà việc trao đổi thông tin ngày tiện lợi, nhanh chóng Tuy nhiên môi trường truyền thông này, mặt tích cực Internet tiềm ẩn tiêu cực vấn đề bảo vệ thông tin Do đó, yêu cầu đặt việc trao đổi thông tin mạng: • Bảo mật tuyệt đối thông tin giao dịch • Đảm bảo tính toàn vẹn thông tin • Chứng thực tính đắn pháp lí thực thể tham gia trao đổi thông tin • Đảm bảo thực thể phủ nhận hay chối bỏ trách nhiệm họ hoạt động giao dịch Internet Từ thực tế cần có phương pháp bảo mật thông tin nhằm cải thiện an toàn Internet Việc tìm giải pháp bảo mật liệu, việc chứng nhận quyền sở hữu cá nhân vấn đề luôn Bảo mật phải nghiên cứu cải tiến để theo kịp phát triển không ngừng sống Chính thiết bị an ninh mạng nghiên cứu phát triển không ngừng Ở đây, đề tài xin giới thiệu số thiết bị sau: CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT CHƯƠNG 2: FIREWALL CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHƯƠNG 4: SNORT i Chuyên đề An ninh mạng thông tin MỤC LỤC LỜI NÓI ĐẦU .i CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS i CHƯƠNG 4: SNORT .i MỤC LỤC ii iii DANH SÁCH HÌNH VẼ iv 10 DANH MỤC THUẬT NGỮ VIẾT TẮT iv VPN - Virtual Private Network- Mạng riêng ảo iv IDS - Intrusion Detection System Hệ thống phát xâm nhập iv Pg - Privilege-grabbing Chiếm đặc quyền iv CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT .1 1.1 GIỚI THIỆU VỀ BẢO MẬT: .1 1.1.1 Khái niệm: .1 1.1.2 Tính an toàn hệ thống mạng: 1.2 CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG 1.2.1 Bảo mật VPN (Virtual Private Network) 1.2.2 Firewall 1.2.3 Bảo mật IDS (Hệ thống dò tìm phát xâm nhập) CHƯƠNG 2: FIREWALL 2.1 KHÁI NIỆM 2.2 CHỨC NĂNG 2.3 NGUYÊN LÝ HOẠT ĐỘNG 2.3.1 Nguyên lý lọc gói tin (Packet Filter) 2.3.2 Nguyên lý cổng ứng dụng ( Application Level Gateway) .6 2.3.3 Cổng vòng (Circuit-level Gateway) 2.4 PHÂN LOẠI 2.5 Một số hạn chế .8 CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 3.1 TỔNG QUAN VỀ IDS 3.1.1 Khái niệm “Phát xâm nhập” 3.1.2 IDS (Intrusion Detection System- hệ thống phát xâm nhập) 10 3.1.3 Chức IDS .11 3.1.4 Phân loại: 12 3.2 KIẾN TRÚC VÀ NHIỆM VỤ IDS: 12 3.2.1 Thành phần IDS: 12 3.2.2 Nhiệm vụ IDS: 13 3.3 PHƯƠNG THỨC THỰC HIỆN: .14 3.3.1 Misuse – based system 14 3.3.2 Anomaly – based system 14 3.4 CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 15 3.4.1 Denial of Service attack (Tấn công từ chối dịch vụ) 15 3.4.2 Scanning Probe (Quét thăm dò) 15 3.4.3 Password attack (Tấn công vào mật mã) 16 ii Chuyên đề An ninh mạng thông tin 3.4.4 Privilege-grabbing (Chiếm đặc quyền) .16 3.4.5 Hostile code insertion (Cài đặt mã nguy hiểm) 17 CHƯƠNG 4: SNORT .18 4.1 GIỚI THIỆU VỀ SNORT 18 4.2 CÁC THÀNH PHẦN CỦA SNORT 18 4.2.1 Packet Decoder (Bộ phận giải mã gói) 19 4.2.2 Preprocessor (Bộ phận tiền xử lí) 19 4.2.3 Dectection Engine (Bộ phận phát hiện) 20 4.2.4 Logging Alerting System (Hệ thống ghi cảnh báo) 20 4.2.5 Output Modules (Bộ phận đầu ra) : .21 4.3 TẬP LUẬT TRONG SNORT 21 4.3.1 Giới thiệu về các luật Snort .21 4.3.2 Cấu trúc luật của Snort 21 4.4 CƠ CHẾ HOẠT ĐỘNG CỦA SNORT .23 KẾT LUẬN .24 13 TÀI LIỆU THAM KHẢO 24 iii Chuyên đề An ninh mạng thông tin DANH SÁCH HÌNH VẼ Hình 2.1: Mô hình vị trí tường lửa mạng .4 Hình 3.2: Vị trí đặt sensor mạng .10 Hình 3.3: Thành phần IDS 12 Hình 3.4: Nhiệm vụ IDS .13 Hình 3.5: Knowledge – based IDS 14 Hình 3.6: Anomaly-based IDS .15 Hình 4.7: Các thành phần của Snort 19 Hình 4.8: Cấu trúc luật của Snort 21 Hình 4.9: Header của luật Snort 22 10 DANH MỤC THUẬT NGỮ VIẾT TẮT VPN - Virtual Private Network- Mạng riêng ảo IDS - Intrusion Detection System Hệ thống phát xâm nhập DoS - Denial of Service attack Tấn công từ chối dịch vụ LAS - Logging Alerting System Hệ thống ghi cảnh báo Pg - Privilege-grabbing Chiếm đặc quyền iv Chuyên đề An ninh mạng thông tin CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT 1.1 GIỚI THIỆU VỀ BẢO MẬT: 1.1.1 Khái niệm: Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Hạn chế có ý triệt phá hết việc lạm dụng, cần sẵn sàng đề phòng khả xấu với phương cách thích hợp chuẩn bị xử lý cố có việc lạm dụng xảy Khi hiểu sâu khái niệm bảo mật, phân tích xác công, phân tích điểm yếu hệ thống tăng cường bảo mật vùng cần thiết làm giảm thiệt hại gây nên từ công vào hệ thống Bảo mật lĩnh vực chính: Bảo mật thông tin (Information Security): Bao gồm tất vấn đề bảo mật liên quan đến lưu trữ xử lý thông tin Bảo mật máy tính (Computer Security): Là lĩnh vực liên quan đến việc xử lý ngăn ngừa phát hành động trái phép ( đối cới thông tin tài nguyên hệ thống) người dùng hệ thống máy tính Bảo mật mạng (Network Security): Không đơn giản mật mã mà đò hỏi nhiều yêu cầu kiểm soát, truy xuất Trong báo cáo ta xét đến bảo mật mạng 1.1.2 Tính an toàn hệ thống mạng: Sự an toàn hệ thống mạng thể qua vấn đề chính: Sự bí mật (Confidentiality): thông tin cung cấp có truy nhập hợp pháp tới Sự toàn vẹn (Integrity): thông tin sửa đổi người ủy thác Sự sẵn sàng (Availability): thông tin tiếp cận người cần có yêu cầu Sau khía cạnh quan trọng bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: Xác thực (Authentication): tiến trình xử lý nhằm xác định nhận dạng thực thể liên kết Thực thể người dùng độc lập hay tiến trình phần mềm Ủy quyền (Authorization): luật xác định có quyền truy nhập vào tài nguyên hệ thống Tính cẩn mật (Confidentiality): nhằm đảm bảo liệu bảo vệ khỏi nhóm không phép truy nhập Tính cẩn mật yêu cầu liệu máy liệu truyền mạng đọc nhóm phép Chuyên đề An ninh mạng thông tin Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn liệu ngăn thay đổi liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa xem lại thông điệp truyền Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính sẵn sàng nhóm phép Mục tiêu kiểu công từ chối dịch vụ DoS phá hoại tính sẵn sàng tài nguyên hệ thống, bao gồm tạm thời lâu dài 1.2 CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG 1.2.1 Bảo mật VPN (Virtual Private Network) Mạng riêng ảo phương pháp làm cho mạng công cộng hoạt động giống mạng cục bộ, có đặc tính bảo mật tính ưu tiên mà người dùng ưa thích VPN cho phép kết nối với người dùng xa, cacs văn phòng chi nhánh bộ, công ty đối tác sử dụng mạng công cộng Định đường hầm chế dùng cho việc đóng gói giao thức vào giao thức khác Định đường hầm cho phép giao thức IPX, Apple Talk IP mã hóa sau đóng gói IP VPN cung cấp thỏa thuận chấ lượng dịch vụ (QoS – Quality of Service), thuật ngữ dùng để chất lượng hệ thống truyền thông hay kết nối truyền thông mạng VPN = Định đường hầm + Bảo mật + Các thỏa thuận QoS Ưu điểm VPN: Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền Truy cập lúc nơi Giảm chi phí đầu tư: sễ không tốn chi phí đầu tư cho máy chủ, định tuyến cho mạng đường trục chuyển mạch phục vụ cho việc truy cập thiết bị nhà cung cấp dịch vụ quản lý làm chủ Giảm chi phí quản lý hỗ trợ: với quy mô kinh tế, nhà cung cấp dịch vụ mang lại cho đơn vị sử dụng khoản tiết kiệm có giá trị cao so với việc tự quản lý mạng Các loại mạng VPN: Có loại phổ biến VPN truy cập từ xa (Remote Access) VPN điểm nối điểm (site – to – site) 1.2.2 Firewall Là hàng rào hai mạng máy tính, bảo vệ mạng tránh khỏi xâm nhập từ mạng Firewall cần thiết, chức kiểm soát luồng thông tin mạng cần bảo vệ internet thông qua sách truy cập thiết lập Chuyên đề An ninh mạng thông tin Firewall phần cứng, phần mềm hai Tất có chung thuộc tính cho phép xử lý dựa địa nguồn, bên cạnh có tín dự phòng trường hợp lỗi hệ thống xảy 1.2.3 Bảo mật IDS (Hệ thống dò tìm phát xâm nhập) IDS (Intrusion Detection System) hệ thống phát xâm nhập, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng mức độ cao, theo dõi, giám sát truy cập, có khả phát đoạn mã độc hại hoạt động hệ thống: Có dạng là: Network bases-IDS Host based-IDS IDS phần mềm phần cứng Mục đích chung IDS quan sát kiện hệ thống mạng thông báo cho nhà quản trị biết an ninh kiện cảm biến cho đáng báo động Chuyên đề An ninh mạng thông tin CHƯƠNG 2: FIREWALL 2.1 KHÁI NIỆM Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn ,hạn chế hảo hoạn Trong công nghệ thông tin , Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy nhập trái phép , nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall miêu tả hệ thống phòng thủ bao quanh với “ chốt “ để kiểm soát tất luồng lưu thông nhập xuất Có thể theo dõi khóa truy nhập chốt Hình 2.1: Mô hình vị trí tường lửa mạng Các mạng riêng nối với internet thường bị đe dọa kẻ công Để bảo vệ liệu bên người ta thường dùng Firewall Filewall có cách để ngăn chặn người dùng không hợp lệ cho phép người dùng hợp lệ qua Nó thiết bị phần cứng phần mềm chạy host bảo đảm kết hợp hai Firewall gateway điểm nối liền hai mạng , thường mạng riêng mạng công cộng Internet Các firewall router đơn giản Firewall chuẩn bao gồm hay nhiều thành phần sau đây: + Bộ lọc packet (packet-filtering router) + Cổng ứng dụng (application-level gateway hay proxy server) + Cổng mạch (circuite level gateway) 2.2 CHỨC NĂNG Chức Tường Lửa (Firewall) kiểm soát luồng thông tin môi trường intranet internet Thiết lập chế điều khiển dòng thông tin mạng bên mạng internet • • • Cho phép hoăc cấm dịch vụ truy cập Cho phép cấm dịch vụ từ truy cập vào Theo dõi luồng liệu giữ môi trường intranet internet Chuyên đề An ninh mạng thông tin • Kiểm soát địa truy cập, cấm hoăc cho phép địa truy nhập • Kiểm soát người dùng việc truy cập người dùng • Kiềm soát nội dung thông tin , gói tin lưu chuyển hệ thống mạng • Lọc gói tin dựa vào địa nguồn, địa đích số cổng ( port), giao thức • Có thể sử dụng để ghi lại tất cố gắng truy nhập vào mạng báo cáo cho người quản tri Một số Firewall có chức cao cấp : đánh lừa hacker làm cho hacker nhầm tưởng hack thành công vào hệ thống , thật chất ngầm theo dõi ghi lại hoạt động 2.3 NGUYÊN LÝ HOẠT ĐỘNG 2.3.1 Nguyên lý lọc gói tin (Packet Filter) Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận đợc Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là: + Địa IP nơi xuất phát ( IP Source address) Chuyên đề An ninh mạng thông tin + + + + + + + Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomming interface of packet) Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục 2.3.2 Nguyên lý cổng ứng dụng ( Application Level Gateway) Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chuyên đề An ninh mạng thông tin Là thông báo dấu giống dấu hiệu xâm nhập hành động Sensor Là thiết bị mà hệ thống phát xâm nhập chạy sử dụng giác quan mạng Cũng tương tự sensor tài liệu kỹ thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu sắc, áp xuất sensor bắt tín hiệu có dấu hiệu xâm nhập bất hợp pháp Hình 3.2: Vị trí đặt sensor mạng 3.1.2 IDS (Intrusion Detection System- hệ thống phát xâm nhập) Là hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị.Ngoài ra,IDS đảm nhận việc phản ứng lại lưu thông bất thường hay có hại hành động thiết lập từ trước khóa người dùng hay hay địa IP nguồn truy cập hệ thống mạng IDS phân biệt công bên từ bên (từ người công ty) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường Hệ thống phát xâm nhập trái phép ứng dụng phần mềm chuyên dụng để phát xâm nhập vào hệ thống mạng cần bảo vệ IDS thiết kế với mục đích thay phương pháp bảo mật truyền thống, mà để hoàn thiện Một hệ thống phát xâm nhập trái phép cần phải thỏa mãn yêu cầu sau: Tính xác (Accuracy): IDS không coi hành động thông thường môi trường hệ thống hành động bất thường hay lạm dụng (hành động thông thường bị coi bất thường gọi false positive) 10 Chuyên đề An ninh mạng thông tin Hiệu (Performance): Hiệu IDS phải đủ để phát xâm nhập trái phép thời gian thực (thời gian thực nghĩa hành động xâm nhập trái phép phải phát trước xảy tổn thương nghiêm trọng tới hệ - theo [Ranum, 2000] phút) Tính trọn vẹn (Completeness): IDS không bỏ qua xâm nhập trái phép (xâm nhập không bị phát gọi false negative) Đây điều kiện khó thỏa mãn gần có tất thông tin công từ khứ, tương lai Chịu lỗi (Fault Tolerance): thân IDS phải có khả chống lại công Khả mở rộng (Scalability): IDS phải có khả xử lý trạng thái xấu không bỏ sót thông tin Yêu cầu có liên quan đến hệ thống mà kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với phát triển nhanh mạnh mạng máy tính, hệ thống bị tải tăng trưởng số lượng kiện 3.1.3 Chức IDS Hệ thống phát xâm nhập cho phép tổ chức bảo vệ hệ thống họ khỏi đe dọa với việc gia tăng kết nối mạng tin cậy hệ thống thông tin Những đe dọa an ninh mạng ngày trở nên cấp thiết đặt câu hỏi cho nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát xâm nhập trừ đặc tính hệ thống phát xâm nhập hữu ích cho họ, bổ sung điểm yếu hệ thống khác…IDS có chấp nhận thành phần thêm vào cho hệ thống an toàn hay không câu hỏi nhiều nhà quản trị hệ thống Bảo vệ tính toàn vẹn (integrity) liệu, bảo đảm quán liệu hệ thống.Các biện pháp đưa ngăn chặn việc thay đổi bất hợp pháp phá hoại liệu Bảo vệ tính bí mật, giữ cho thông tin không bị lộ Bảo vệ tính khả dụng, tức hệ thống sẵn sàng thực yêu cầu truy nhập thông tin người dùng hợp pháp Bảo vệ tính riêng tư, tức đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo chức năng, nhiệm vụ phân cấp, ngăn chặn truy nhập thông tin bất hợp pháp Cung cấp thông tin xâm nhập, đưa sách đối phó, khôi phục, sửa chữa… Nói tóm lại ta tóm tắt IDS sau: Chức quan trọng là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại 11 Chuyên đề An ninh mạng thông tin Chức mở rộng: Phân biệt: "thù giặc ngoài" công bên công bên Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline Ngoài hệ thống phát xâm nhập IDS có chức năng: Ngăn chặn gia tăng công Bổ sung điểm yếu mà hệ thống khác chưa làm Đánh giá chất lượng việc thiết kế hệ thống 3.1.4 Phân loại: Cách thông thường để phân loại hệ thống IDS dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: Network-based IDS (NIDS): Sử dụng liệu toàn lưu thông mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập 3.2 KIẾN TRÚC VÀ NHIỆM VỤ IDS: 3.2.1 Thành phần IDS: Hình 3.3: Thành phần IDS Kiến trúc hệ thống IDS bao gồm thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection), thành phần phản hồi (respontion) gói tin phát công tin tặc Trong thành phần thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trò định 12 Chuyên đề An ninh mạng thông tin Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngoài có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) 3.2.2 Nhiệm vụ IDS: Hình 3.4: Nhiệm vụ IDS Khi hành động xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua mail 13 Chuyên đề An ninh mạng thông tin 3.3 PHƯƠNG THỨC THỰC HIỆN: 3.3.1 Misuse – based system Hệ misuse-based phân chia thành hai loại dựa sở liệu kiểu công, knowledge-based signature-based Misuse-based system với sở liệu knowledge-based lưu thông tin dạng công Dữ liệu kiểm kê thu thập IDS để so sánh với nội dung sở liệu, thấy có giống tạo cảnh báo Sự kiện không trùng với dạng công coi hành động đáng Lợi mô hình chúng tạo cảnh báo sai dựa mô tả chi tiết kiểu công Tuy nhiên mô hình có điểm yếu, trước tiên với số lượng kiểu công đa dạng với nhiều lỗ hổng khác theo thời gian làm sở liệu trở nên lớn, gây khó khăn việc phân tích, thêm chúng phát kiểu công biết trước nên cần phải cập nhật thường xuyên phát kiểu công lỗ hổng Match ? Audit Data Knowledge Base Attac k Hình 3.5: Knowledge – based IDS Hệ signature-based hệ sử dụng định nghĩa trừu tượng để mô tả công gọi dấu hiệu Dấu hiệu bao gồm nhóm thông tin cần thiết để mô tả kiểu công Ví dụ hệ network IDS lưu trữ sở liệu nội dung gói tin có liên quan đến kiểu công biết Thường dấu hiệu lưu dạng cho phép so sánh trực tiếp với thông tin có chuỗi kiện Trong trình xử lý, kiện so sánh với mục file dấu hiệu, thấy có giống hệ tạo cảnh báo Signature-based system thông dụng chúng dễ phát triển, cho phản hồi xác cảnh báo, thường yêu cầu tài nguyên tính toán Tuy nhiên, chúng có điểm yếu sau: Mô tả công thường mức độ thấp, khó hiểu Mỗi công hay biến thể cần thêm dấu hiệu đưa vào sở liệu, nên kích cỡ trở nên lớn Dấu hiệu cụ thể, tạo cảnh báo nhầm, khó phát biến thể Ví dụ quen thuộc signature-based Snort, EMERALD nhiều sản phẩm thương mại khác 3.3.2 Anomaly – based system Anomaly–based system dựa giả thiết hành động không bình thường có ý đồ xấu, trước tiên hệ cần xây dựng mẫu hành động bình thường hệ 14 Chuyên đề An ninh mạng thông tin thống xác định hành động không bình thường (như hành động không phù hợp với mẫu hành động cho) Audit Data Statistically Anomalous ? Attac System Profile k Hình 3.6: Anomaly-based IDS Lợi hệ thống phát kiểu công chưa biết trước Tuy nhiên, hệ thống lại sinh nhiều cảnh báo sai định nghĩa chung công Thống kê cho thấy hệ thống này, hầu hết cảnh báo cảnh báo sai, có nhiều cảnh báo từ hành động bình thường, có vài hành động có ý đồ xấu, vấn đề chỗ hầu hết hệ thống có khả giới hạn cảnh báo nhầm 3.4 CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 3.4.1 Denial of Service attack (Tấn công từ chối dịch vụ) Denial of service (DoS) attack có mục đích chung đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối cùng, mục tiêu trở nên tiếp cận trả lời DoS công vào mục tiêu bao gồm dạng mạng, hệ thống ứng dụng Network flooding bao gồm SYN flood, Ping flood hay multi echo request,… Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, kiểu công nhằm lợi dụng lỗ hổng hệ điều hành nhằm phá hoại, gây tải hệ thống Sự kiện xảy cách gửi gói tin có định dạng khác thường tới hệ thống thiết bị, chúng tạo công cụ công lập trình trước Phá hoại, gây tải ứng dụng bao gồm kỹ thuật phá hoại gây tải hệ thống cách lợi cụng điểm yếu ứng dụng, sở liệu, email, trang web, … Ví dụ email dài hay số lượng lớn email, hay số lượng lớn yêu cầu tới trang web gây tải cho server ứng dụng Giải pháp IDS: Một firewall dạng proxy hiệu để ngăn chặn gói tin không mong muốn từ bên ngoài, nhiên Network IDS phát công dạng gói tin 3.4.2 Scanning Probe (Quét thăm dò) Bộ quét thăm dò tự động tìm kiếm hệ thống mạng để xác định điểm yếu Tuy công cụ thiết kế cho mục đích phân tích để phòng ngừa, chúng sử dụng để gây hại cho hệ thống Các công cụ quét thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, AXENT NetRecon Việc thăm dò thực cách ping đến hệ thống kiểm tra 15 Chuyên đề An ninh mạng thông tin cổng TCP UDP để phát ứng dụng có lỗi biết đến Vì công cụ công cụ đắc lực cho mục đích xâm nhập Giải pháp IDS: Network-based IDS phát hành động nguy hiểm trước chúng xảy Yếu tố “time-to-response” quan trọng trường hợp để chống kiểu công trước có thiệt hại Host-based IDS có tác dụng kiểu công này, không hiệu giải pháp dựa mạng 3.4.3 Password attack (Tấn công vào mật mã) Có phương thức tiếp cận kiểu công Passwork attack Kiểu dễ nhận thấy ăn trộm mật mã, mang lại quyền hành tính linh động cao cho kẻ công truy nhập tới thông tin thành phần mạng Đoán hay bẻ khóa mật mã phương thức tiếp cận gọi brute force cách thử nhiều mật mã để mong tìm mật mã Với bẻ khóa, kẻ công cần truy nhập tới mật mã mã hóa, hay file chứa mật mã mã hóa, kẻ công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa sử dụng để xác định mã Với tốc độ máy tính nay, việc bẻ khóa hiệu trường hợp mật mã từ có nghĩa (trong từ điển), mã nhỏ ký tự, tên thông dụng phép hoán vị Hiện nay, Internet cung cấp nhiều chương trình “password hackerware” tải sử dụng dễ dàng Các công cụ kỹ sư sử dụng với mục đích tốt tìm lại mật mã, hay tìm kiếm thông tin cần thiết cho trình điều tra tội phạm… Giải pháp IDS: Một Network-based IDS phát ngăn chặn cố gắng đoán mã (có thể ghi nhận sau số lần thử không thành công), hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chương trình bẻ khóa Trong Host-based IDS lại có hiệu việc phát việc đoán mật mã phát truy nhập trái phép tới file chứa mật mã 3.4.4 Privilege-grabbing (Chiếm đặc quyền) Khi kẻ công xâm nhập vào hệ thống, chúng cố chiếm quyền truy nhập Khi thành công, chúng chiếm hệ thống Trong hệ điều hành UNIX, điều nghĩa trở thành “root”, Windows NT “Administrator”, NetWare “Supervisor” Các câu lệnh mã thực cho kỹ thuật kiếm Internet, ví dụ khai thác lỗi tràn đệm hệ điều hành hay phần mềm ứng dụng để ghi đè segment vào nhớ Khi chiến thuật sử dụng với chương trình hệ điều hành đặc quyền, thường gây lỗi hỏng core, dẫn đến kẻ công có quyền truy cập “superuser” Dưới số kỹ thuật thường dùng cho việc chiếm đặc quyền: Đoán hay bẻ khóa root hay administrator Gây tràn đệm Khai thác Windows NT registry Truy nhập khai thác console đặc quyền 16 Chuyên đề An ninh mạng thông tin Thăm dò file, scrip hay lỗi hệ điều hành ứng dụng Giải pháp IDS: Cả Network Host-based IDS xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDS tìm kiếm người dùng đặc quyền trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS ngừng hành động Ngoài hành động chiếm đặc quyền hệ điều hành ứng dụng định nghĩa tập dấu hiệu công Network-based IDS nhằm ngăn chặn việc công xảy 3.4.5 Hostile code insertion (Cài đặt mã nguy hiểm) Một số loại công cài đặt mã nguy hiểm vào hệ thống Mã lấy trộm liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép Ta có số ví dụ việc cài đặt mã nguy hiểm sau: Virus: chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, có hại, dẫn đến việc tạo file hệ thống, file ứng dụng hay liệu Virus thường xác định nhờ vào hành động có hại chúng, kích hoạt dựa kiện, ngày,… Trojan Horse: chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, thường có hại, mục đích nhân Thường Trojan Horse đặt tên hay mô tả chương trình mà người ta muốn sử dụng, thưc tế chúng kích hoạt hành động dẫn đến hỏng file hay hệ thống Backdoor: loại Trojan đặc biệt thực việc thay chương trình có sẵn chương trình cho phép kẻ xâm nhập truy nhập vào hệ thống tương lai (như “msgina.dll” Windows NT) Malicious Apple: loại Trojan, chúng thường Java hay ActiveX applet mà người dùng gặp duyệt trang web Applet thực chức bình thường ẩn hành động nguy hiểm tải file lên web site kẻ công Giải pháp IDS: Cài đặt phần mềm bảo mật có tác dụng chống virus đoạn mã nguy hiểm lên gateway, server workstation phương pháp hiệu để giảm mức độ nguy hiểm Các file quan trọng quản lý Host IDS đảm bảo chương trình file quan trọng hệ điều hành không bị điều khiển Kết hợp với kiện khác, IDS xác định cố gắng cài đoạn mã nguy hiểm, ví dụ phát định thay chương trình ghi log backdoor Network-based IDS thị để quản lý hệ thống file ảnh cho mục đích kiểm tra tính toàn vẹn 17 Chuyên đề An ninh mạng thông tin CHƯƠNG 4: SNORT 4.1 GIỚI THIỆU VỀ SNORT Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử dụng để quét liệu di chuyển mạng Cũng có hệ thống phát xâm nhập host-based (HIDS), cài đặt host cụ thể để phát công nhắm đến host Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Dữ liệu thu thập phân tích Snort Sau đó, Snort lưu trữ liệu sở liệu MySQL cách dùng output plug-in Web server Apache với ACID, PHP, thư viện GD PHPLOT biểu diễn liệu trình duyệt người dùng kết nối đếnserver Người dùng có tạo nhiều kiểu truy vấn khác để phân tích liệu Snort chủ yếu IDS dựa luật, nhiên input plug-in tồn để phát bất thường header giao thức Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp luật để bắt giữ liệu Tìm dấu hiệu sử dụng chúng luật vấn đề đòi hỏi tinh tế, bạn sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu thực tế Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập bạn tự đặt thêm luật Bạn xóa vài luật tạo trước để tránh việc báo động sai 4.2 CÁC THÀNH PHẦN CỦA SNORT Snort chia thành nhiều thành phần Những thành phần làm việc với để phát cách công cụ thể tạo output theo định dạng yêu cầu Một IDS dựa Snort bao gồm thành phần sau đây: Packet Decoder: Bộ giải mã gói Preprocessor: Bộ tiền xử lý Dectection Engine: Bộ máy phát Logging Alerting System: Hệ thông ghi nhận cảnh báo Output Modules: Các Modules xuất 18 Chuyên đề An ninh mạng thông tin Hình 4.7: Các thành phần của Snort Khi Snort hoạt động thực việc lắng nghe thu bắt tất gói tin di chuyền qua Các gói tin sau bị bắt đưa vào bộ phận giải mã gói tin Tiếp theo gói tin đưa vào môđun Tiền xử lý, môđun Phát Tại tùy theo việc có phát xâm nhập hay không mà gói tin có thê bó qua để lưu thông tiếp đưa vào bộ phận Log cảnh báo để xử lý Khi cảnh báo xác định module xuất thực việc đưa cảnh báo theo định dạng mong muốn Sau ta sâu vào chi tiết chế hoạt động chức thành phần 4.2.1 Packet Decoder (Bộ phận giải mã gói) Packet decoder lấy gói từ loại khác giao diện mạng chuẩn bị đưa chúng vào preprocessor gửi qua detection engine 4.2.2 Preprocessor (Bộ phận tiền xử lí) Bộ phận tiền xử lý bộ phận quan trọng hệ thống IDS để chuẩn bị gói dừ liệu đưa cho bộ phận phát hiện phân tích Ba nhiệm vụ môđun loại là: Kết hợp lại các gói tin: Khi lượng dữ liệu lớn gửi đi, thông tin không đóng gói toàn vào gói tin mà phải thực việc phân mảnh, chia gói tin ban đầu thành nhiều gói tin gửi Khi Snort nhận gói tin phải thực việc ghép nối lại để có liệu nguyên dạng ban đầu, từ thực công việc xử lý tiếp Giải mã và chuẩn hóa giao thức: công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức liệu thể nhiều dạng khác Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bó sót hành vi xâm nhập Do vậy, số bộ phận tiền xử lý Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thông tin đầu vào để thông tin đưa đên bộ phận phát hiện có thê phát mà 19 Chuyên đề An ninh mạng thông tin không bỏ sót Hiện Snort hỗ trợ việc giải mã chuẩn hóa cho giao thức: telnet, http, rpc, arp Phát xâm nhập bất thường: Các bộ phận tiền xử lý dạng thực việc phát xâm nhập theo cách mà ta nghĩ cách tăng cường thêm tính cho Snort Phiên Snort có kèm hai plugin giúp phát xâm nhập bất thường portscan backoffice Portscan dùng đổ đưa cảnh báo kẻ công thực việc quét cổng hệ thống để tìm lỗ hổng backoffice dùng để đưa cảnh báo hệ thống bị nhiễm trojan backoffice kẻ công từ xa kết nối tới backoffíce thực lệnh từ xa 4.2.3 Dectection Engine (Bộ phận phát hiện) Đây thành phần quan trọng Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Dectection Engine sử dụng luật định nghĩa trước để so sánh với liệu thu thập từ xác định xem có xâm nhập xảy hay không Rồi thực số công việc ghi log, tạo thông báo kết xuất thông tin Một vấn đề quan trọng bộ phận phát hiện vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Có thể khoảng thời gian khác cho việc xử lý gói tin khác Và thông lượng mạng lớn xảy việc bó sót không phản hồi lúc Khả xử lý bộ phận phát hiện dựa số yếu tố như: số lượng luật, tốc độ hệ thống chạy Snort, tải mạng Một bộ phận phát hiện có khả tách phần gói tin áp dụng luật lên phần gói tin Các phần là: • IP header gói • Header lớp transport Header gồm: TCP, UDP, header lớp transport khác Nó làm việc ICMP header • Header lớp application Nó gồm có: DNS header, FTP header, SNMP header, SMTP header Bạn phải sử dụng nhiều phương pháp trực tiếp header lớp application, chẳng hạn tìm kiếm offset liệu • Payload liệu Điều giúp bạn tạo rule dùng cho detection engine để tìm chuỗi bên liệu Một vấn đề bộ phận phát hiện việc xử lý gói tin bị phát nhiều luật Do luật Snort đánh thứ tự ưu tiên, nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa cảnh báo ứng với luật có mức ưu tiên lớn 4.2.4 Logging Alerting System (Hệ thống ghi cảnh báo) Tùy thuộc vào việc bộ phận phát hiện có nhận dạng đuợc xâm nhập hay không mà gói tin bị ghi log đưa cảnh báo Các file log file text liệu có thê ghi nhiêu định dạng khác hạn tcpdump 20 Chuyên đề An ninh mạng thông tin 4.2.5 Output Modules (Bộ phận đầu ra) : Output modules hay plug-in thực hoạt động khác phụ thuộc bạn muốn lưu kết sinh hệ thống ghi cảnh báo Về bản, modules điều khiển loại kết sinh hệ thống logging cảnh báo Phụ thuộc vào cấu hình, Output modules làm việc sau: • Đơn giản ghi vào snort/log/ hay thư mục khác • Gửi SNMP traps • Gửi thông điệp đến syslog • Ghi vào sở liệu MySQL hay Oracle • Sinh dẫn xuất eXtensible Markup Language (XML) • Bổ sung cấu hình router firewall • Gửi thông điệp Server Message Block (SMB) đến hệ thống Microsoft Window Những công cụ khác gửi cảnh báo định dạng khác e-mail hay qua giao diện web 4.3 TẬP LUẬT TRONG SNORT 4.3.1 Giới thiệu về các luật Snort Snort chủ yếu IDS dựa luật, sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc dừ liệu cung cấp luật để nắm bắt dừ liệu Snort có tập hợp luật định nghĩa trước để phát xâm nhập bạn tự đặt thêm luật Bạn có thê xóa vài luật tạo trước đê tránh việc báo động sai. Cũng giống virus, hầu hết hoạt động công hay xâm nhập có dấu hiệu riêng Hệ thống phát Snort hoạt động dựa luật (rules) luật lại dựa dấu hiệu nhận dạng công Các luật có thê áp dụng cho tất phần khác gói tin dữ liệu Một luật sử dụng đề tạo nên thông điệp cảnh báo, log thông điệp hay bó qua gói tin 4.3.2 Cấu trúc luật của Snort Hình 4.8: Cấu trúc luật của Snort 21 Chuyên đề An ninh mạng thông tin Tất Luật Snort logic gồm phần: Phần Header phần Option 4.3.2.1 Phần Header: Phần header chứa thông tin hành động mà luật thực phát có xâm nhập năm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin Cấu trúc chung phần Header luật Snort: Hình 4.9: Header của luật Snort Action: phần qui định loại hành động thực thi dấu hiệu gói tin nhận dạng xác luật Thông thường, hành động tạo cảnh báo log thông điệp kích hoạt luật khác Protocol: phần qui định việc áp dụng luật cho packet thuộc giao thức cụ thể Ví dụ IP, TCP, UDP Address: phần địa nguồn địa đích Các địa máy đơn, nhiều máy mạng Trong hai phần địa địa nguồn, địa đích địa thuộc loại phần Direction qui định Port: xác định công nguồn đích gói tin mà luật áp dụng Direction: phần đâu địa nguồn, đâu địa đích Ví dụ: alert icmp any any => any any (msg: “Ping with TTL=100”;ttl: 100;) Phần đứng trước dấu mở ngoặc phần Header luật phần lại phần Option - Chi tiết phần Header: + Hành động luật “alert” : cảnh báo tạo điều kiện gói tin phù hợp với luật (gói tin log lại cảnh báo tạo ra) + Protocol luật ở ICMP tức luật áp dụng cho gói tin thuộc loại ICMP Bởi vậy, gói tin không thuộc loại ICMP phần lại luật không cần đối chiếu + Địa nguồn cổng nguồn Trong ví dụ hai “any”, có nghĩa rule áp dụng lên tất gói đến từ nhiều nguồn Dĩ nhiên port number không áp dụng lên gói ICMP Port number thích hợp trường hợp protocol TCP hay UDP + Direction Trong trường hợp này, ký hiệu “=>” từ trái sang phải Nói lên địa port number bên trái dấu “=>” nguồn bên phải đích Điều có nghĩa luật áp dụng lên gói từ nguồn đến đích + Địa đích cổng đích Trong ví dụ hai “any”, có nghĩa luật áp dụng lên tất gói không quan tâm đến địa đích - Chi tiết phần Option: Trong dấu đóng ngoặc cảnh báo chứa dòng “Ping with TTL=100” tạo tìm thấy điều kiện TTL=100 TTL “Time To Live” trường Header IP 22 Chuyên đề An ninh mạng thông tin 4.3.2.2 Phần Option Phần option chứa thông điệp cảnh báo thông tin phần gói tin dùng để tạo nên cảnh báo Nó cũng chứa tiêu chuẩn phụ thêm để đối chiếu luật với gói tin Một luật phát hay nhiều hoạt động thăm dò hay công Các luật thông minh có khả áp dụng cho nhiều dấu hiệu xâm nhập Phần option theo sau header đặt cặp dấu ngoặc đơn Nếu có nhiều option option phân cách với bằng dấu chấm phẩy Nếu nhiều option sử dụng option phải đồng thời thoã mãn tức theo logic option liên kết với bàng AND Mọi option định nghĩa từ khoá Nói chung option gồm phần: từ khoá tham số, hai phần phân cách dấu hai chấm Ví dụ : msg: “Detected confìdented” (msg: từ khóa, Detected confidented: tham số) 4.4 CƠ CHẾ HOẠT ĐỘNG CỦA SNORT Sniffer mode: chế độ snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiên thị Packet Logger mode: lưu trữ gói tin tập tin log Network instruction detect system (NIDS): chế dộ họat động mạnh mẽ áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin luân chuyên mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus Inline mode: triển khai snort linux có thê cấu hình snort để phân tích gói tin từ iptables thay libpcap iptable có thể drop pass gói tin theo luật snort 23 Chuyên đề An ninh mạng thông tin KẾT LUẬN Đề tài nêu lên thiết bị an ninh mạng dùng phổ biến là: FireWall, hệ thống IDS SNORT với chức năng, phương thức hoạt động, ưu nhược điểm phương pháp mà nhờ chúng áp dụng cụ thể vào trường hợp cụ thể cho vấn đề bảo mật đề cao hết mức trường hợp Mặc dù có ưu điểm rõ rệt xong thiết bị nêu có hạn chế định việc phát triển thiết bị an ninh mạng vấn đề đặt nên hàng đầu để phù hợp với thực trạng an ninh mạng 10 11 12 13 [1] TÀI LIỆU THAM KHẢO Earl Carter, “Introduction to Network Security”, Cisco Secure Intrusion Detection System, Cisco Press, 2002 [2] “The need for Intrusion Detection System”, “How IDS Addresses common Threats, Attacks & Vulnerabilities”, Everything you need to know about IDS, 1999 AXENT Technologies, Inc [3] www.snort.org 24 ... lời DoS công vào mục tiêu bao gồm dạng mạng, hệ thống ứng dụng Network flooding bao gồm SYN flood, Ping flood hay multi echo request,… Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop,... toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn liệu ngăn thay đổi liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa xem lại thông điệp truyền Tính sẵn sàng (Availability): yêu cầu... sàng nhóm phép Mục tiêu kiểu công từ chối dịch vụ DoS phá hoại tính sẵn sàng tài nguyên hệ thống, bao gồm tạm thời lâu dài 1.2 CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG 1.2.1 Bảo mật VPN (Virtual