Khóa luận hệ thống phát hiện xâm nhập IDS – SNORT tài liệu, ebook, giáo trình

Khóa luận hệ thống phát hiện xâm nhập IDS – SNORT tài liệu, ebook, giáo trình Khóa luận tốt nghiệp hệ thống phát hiện chống xâm nhập snort, Khóa luận tốt nghiệp hệ thống phát hiện chống xâm nhập snort

Báo cáo khóa luận tốt nghiệp

MỤC LỤC

DANH MỤC HÌNH VẼ - 2 22 22221223 2E12211271211E71.271211 21211 re i DANH MUC BANG BIEU sccscsssesssssessessessessessessessessessessecsessessessessessesseese ii DANH MUC TU VIET TAT ooo ccc cecceccceccecssecseecsecssesseessesssessesssesseesstesseessens iii ) 057 00Ẽ008 - ÔỒỒỒÚỎÚ iv

TÓNG QUAN VÈẺ BẢO MẬTT - 2 22s E29 EE2EEEE2171212171 212 crxe 1 1.1 _ GIỚI THIỆU VỀ BẢO MẬTT -¿- 2++22+++2++t2E++2EExzrxrersrrrrs 1

1.1.1 Khai iG eee eecc cscs ssssessseessssesssesssecsseessssesssesssecssscsssecsssessseceseseane 1

1.2 NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐÓI VỚI BẢO MẬT 3 1.2.1 _ Các lỗ hồng loại C

1.2.2 Các lỗ hồng loại B 2-22 2k+2EEEE2EEEE2E 21212 4

1.2.3 Các lỗ hổng loại A ©-+©2+2E2EEEEEEEEEECEEErkrrrrrrrrrree 5

143 CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THONG - BIỆN PHAP

PHÁT HIỆN VÀ NGĂN NGỪA 2¿-222++222 2221.221 6

1.3.1 Phương thức ăn cắp thông tin bằng Packet Sniffer - 6 1.3.2 Phương thức tấn công mật khẩu Password attack . - 7

1.3.3 Phương thức tấn công bằng Mail Relay 2- 2: ©s+cc++c++ 7

1.3.4 Phương thức tấn công hệ thống DNS 2¿- 2 52252 +zzx §

1.3.5 Phương thức tấn công Man-in-the-middle attack - - § 1.3.6 Phương thức tấn công để thăm dò mạng - ¿2 =+:sz++ 8

1.3.7 Phương thức tấn công lớp ứng dụng -.- «+ «++«++xcsee+ 9 1.3.8 Phương thức tấn công Virus và Trojan Horse +: 9

1.4 CAC GIAI PHAP BAO MAT AN TOAN CHO HE THONG 10

1.4.1 Bảo mật VPN (Virtual Private Network) -c «+ << xxx 10

21.2 Lợi ích cla IDS weeeceecccesssesssessssessssesssesssteessessssecssecessecaseesseessnecesess 17

2.1.3 Phân biệt những hệ thống không phải là IDS - 17

2.1.4 Kiến Trúc và nguyên lý hoạt động IDS 2- ¿5+2 18 2.1.4.1 Thành phân của IDS -©5+©5+E+E+EzEc+EzEcrrsrsez 18

2.1.4.2 Nguyên lý hoạt đỘNng - St EsEiEsrrrekrkex 19 2.1.4.3 Chức năng của IDŠ cĂĂSc St sinh 20

2.2 PHÂN LOẠI IDS

2.3.2 Mô hình phát hiện sự bất thường ¿-©22+++cxxsrxcee 27

Báo cáo khóa luận tốt nghiệp

2.3.3 So sánh giữa hai mô hình . «5+ + S+**£*v£+eeEseeseeeeeesxe 28

24 CÁCH PHÁT HIỆN KIÊU TÂN CÔNG THONG DUNG CUA IDS 29

2.4.1 Tấn công từ chối dịch vụ (Denial of Serviee attack) - 29

2.4.2 Queét va tham do (Scanning va Probe) - «+-s+++xs+sx+x+ 29 2.4.3 Tân cong vao mat ma (Password attack) c.csssescessessesseeseeseesees 30 2.4.4 Chiém dac quyén (Privilege-grabbing) .c cccessessessesesseeseeseesees 31 2.4.5 Cai dat ma nguy hiém (Hostile code insertion) + 31

2.4.6 Hành động phá hoại trên máy móc (Cyber vandalism) 32

2.47 Tấn công hạ tầng bảo mật (Security infrastructure attack) 32

0:1019)0060) 0 ẻ 33

TRIEN KHAI UNG DUNG DO TIM XAM NHAP TREN HE THONG WINDOW DU'A TREN SNORT o sssssssssssssssossssessssessesssssesssesssecssscsaseceseeesee 33 3.1 GIGI THIEU VE SNORT .cccscsssesssssesssessesssessseessessessessesssessseeseessees 33 3.2 KIÊN TRÚC SNORT

3.3 THÀNH PHẢN VÀ CHỨC NĂNG CỦA SNORT 34

3.3.1 Module giải mã gói tin (Packet Decoder) .- -‹ +-s+++ 35 3.3.2 Module tiền xử lý (PreproCesSOr) -¿c2©sz©csczzsrxesrsee 35 3.3.3 Module phat hién (Detection Engine) «+ «+ <+sx++x+ 37 3.3.4 Module log và cảnh bao (Logging and Alerting system) 38

3.3.5 Module két xuất thông tin (output module) -:-s+¿ 38

3.4 BỘ LUẬT CỦA SNORT - ¿222 ©2++2x2cx2EeExrzrrrrrrsrxrrrrers 39 3.4.1 Giới thiệu về bộ luật -¿22ccccSxccrkrerrxerrkrrrkrrerrvee 39

3.4.2 _ Cấu trúc luật của Snort :+csSk+Ek+ESESEEEESEEEEEkrkerkrrerree 40

KG, 5 n Ả 42 3.4.2.2 Phân Óption - ¿5c ccSEkSEEEEEEEE 221112211121 xe 46 3.5 CÁC CƠ CHÉ HOẠT ĐỘNG CỦA SNORT - se s+zczxerxz 50

3.6 DEMO c2 2212 211221122211221122112.11 11 1e cyee 50 3.6.1 GIỚI THIỆU KỊCH BẢN . -¿¿-s22+++2zxe+zxerrrxeee 50 3.6.1.1 Mô tả kịch bản 222222 2E22S22E2EE22221221112122Xe2 50

KET LUAN ooo cecceccccceccsssssssssssssssescsssescsseessssssscsssssessesevssessssuessesiessessessessesseeees 69

Báo cáo khóa luận tốt nghiệp

Hình 2.4 Mô hình Network based IDS - NIDS 23

Hình 3.11 Giao diện chính của trang www.snort.org 33

Hình 3.18 Khai báo các bién include classification,reference 57

Hình 3.19 Khai báo các biến dynamicpreprocessor và dynamicengine 57 Hình 3.20 Kết quả sau khi thực thi dòng lệnh 38

Hình 3.24 Bắt và lưu gói dữ liệu vào file Log 60

Hình 3.26 Tạo file text co tên là “”tài liệu bảo mật” 62

Hình 3.30 Máy 192.168.1.100 -> 192.168.1.200 64 Hình 3.31 Window server 2003 copy file text “tài liệu bảo mật” về máy 64

Báo cáo khóa luận tốt nghiệp

Hình 3.36 Window server 2003 gởi nhiều gói tin 67

IDS Intrusion Detection System

HIDS Host — based Intrusion Detection System

NIDS Network — based Intrusion Detection System

SMTP Simple Mail Transfer Protocol (giao thuc tuyen tai thu tin)

PIN Personal Indentification Number

QoS Quality of Service (chi chat lượng dich vu)

DoS Denial of Services

DNS Domain Name System

Báo cáo khóa luận tốt nghiệp

nên cấp thiết hơn bao giờ hết

Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng

Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên tôi

đã chọn đề tài “Hệ (hồng phát hiện xâm nhập IDS — SNORT” đề nghiên cứu

Il Ý NGHĨA CỦA ĐỀ TÀI

- _ Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS

-_ Xây dựng bản demo về việc phát hiện xâm nhập bằng Snort

II ĐÓI TƯỢNG VÀ PHƯƠNG PHÁP NGHIÊN CỨU

- _ Tìm hiểu về bảo mật

- Nghiên cứu những phương pháp xâm nhập hệ thống- biện pháp ngăn ngừa

- _ Nghiên cứu về hệ thống phát hiện xâm nhập IDS

- _ Nghiên cứu công cu IDS — Snort

- _ Xây dựng hệ thống Snort— IDS trên Window

- _ Thu thập tài liệu liên quan đến các vấn đề về đề tài

Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập

IV CAC MUC TIEU CUA DE TAI

- Tim hiểu thông tin về bảo mật

- Tim hiéu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS

- _ Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort

- Tim hiéu va sir dung tot hé điều hành Window

- Tim hiéu phwong phap va trién khai cài đặt Snort trén Window

-_ Đưa ra một số nhận định và hướng phát triển đề tài

V BÓ CỤC

Nội dung khóa luận tốt nghiệp gồm 3 chương:

+* Chương I: Tổng quan về bảo mật

- _ Những nguy cơ đe dọa đối với bảo mật

-_ Các phương pháp xâm nhập hệ thống — Biện pháp phát hiện và ngăn ngừa

-_ Các giải pháp bao mật an toàn cho hệ thống

“> Chương II: Hệ thống phát hiện xâm nhập IDS

- Tim hiéu về kiến trúc và nguyên lý hoạt động của IDS

- _ Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS

- _ Cách phát hiện kiều tân công thông dụng của IDS

s* Chương III: Triển khai ứng dụng dò tìm xâm nhập trên hệ thống Window

dựa trên Snort

-_ Kiến trac Snort

- Bộ luật Snort

- Demo trién khai

Báo cáo khóa luận tốt nghiệp

CHUONGI

TONG QUAN VE BAO MAT

1.1 GIOI THIEU VE BAO MAT

Internet phat triển, sự kết nối trên toàn thé giới đang mang lại thuận tiện cho

tat cả mọi người Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội Việc mắt trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho

vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời

điểm

Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy,

mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với

cơ sở dữ liệu liên tục cập nhật Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra

ngày càng tỉnh vi cùng với sự gia tăng những vụ lạm dụng Những điều này dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bỗ trợ cho những phương pháp

bảo mật truyền thống Hệ thống phát hiện xâm nhập IDS là một phương pháp bảo

mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập IDS với vai

trò bảo mật mà còn có thể xây dựng một phần mềm IDS phù hợp với điều kiện Việt

Nam và qua đó ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng

1.1.1 Khái niệm

Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề

Trang 1

phòng mọi khả năng xấu Ngoài ra, cần phải phân tích chính xác các cuộc tấn công,

các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công

Khái niệm bảo mật thành 3 lĩnh vực chính :

"_ Bảo mật máy tính (Computer Security) — Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các

công cụ thiết kế để bảo vệ đữ liệu và tấn công của hackers

" Bảo mật mạng (Network Security) - Là các phương pháp đề bảo vệ dữ liệu trong suốt quá trình chuyền động của chúng

= Bảo mật Internet (Internet Security) - Là các phương pháp đề bảo vệ đữ liệu trong suốt quá trình vận chuyền của chúng ra ngoài đến kết nói internet Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tong quát về bảo mật mạng (Mạng và Internet) Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin

1.1.2 Tính an toàn của hệ thống mạng

Sự an toàn của hệ thống mạng được thẻ hiện qua 3 vấn đề chính :

" Thông tin - bí mật : Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó

" Thông tin - Toàn vẹn : Thông tin chỉ được điều khiển (sửa đổi, thay thế

v.v ) bởi những người được quyền ủy thác

"Thông tin - sẵn sàng : Thông tin có thẻ tiếp cận đối với những người mà cần

nó khi có yêu cầu

Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm

đên các khía cạnh sau :

Trang 2

Báo cáo khóa luận tốt nghiệp

Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi

những nhóm không được phép truy nhập

Tinh toan ven (Integrity): hé thống đảm bảo tính toàn vẹn của dữ liệu, ngăn

sự thay đôi dữ liệu trái phép Sự thay đôi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền

Tính sẵn sang (Availability): yéu cau tài sản hệ máy tinh là sẵn sàng đối với

nhóm được phép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống

NHUNG NGUY CO VA MOI DE DQA DOI VOI BAO MAT

Theo đánh giá của tô chức CERT, các nguy cơ an ninh xuất hiện từ khả năng

Sự lạm dụng của máy tính của các bạn bởi những người làm phiền qua Internet

Đối mặt thường xuyên khi làm việc trên Internet

Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không chính thống V.V

Chính các nguy cơ này làm bộc lỗ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hỗng) mà kẻ xấu có thể lợi dung dé truy cập bat hop phap hoặc hợp pháp vào máy tính của bạn Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó đề tắn công vào mạng Các hiện tượng

sinh ra trên mạng do các lỗ hồng này mang lại thường là : sự ngưng trệ của dịch vụ,

cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thông

Trang 3

Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ

thống mạng Dưới đây là cách phân loại sau đây được sử dụng phố biến theo mức

độ tác hại hệ thống, do Bộ quốc phòng Mỹ công bố năm 1994

1.2.1 Các lỗ hồng loại C

Các lỗ hồng loại này cho phép thực hiện các phương thức tắn công theo DoS

(Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng

dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ

giao thức TCP/IP đề làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử

dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thé đáp ứng các yêu cầu từ client gửi tới Tuy nhiên, mức độ nguy hiểm của các lỗ hồng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời

gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được

quyền truy nhập bất hợp pháp vào hệ thống

1.2.2 Các lỗ hồng loại B

Các lỗ hồng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Đối với dạng lỗ hồng này, mức độ nguy hiểm ở mức độ trung bình Những lỗ hồng này thường có trong các ứng dụng trên

hệ thống, có thể dẫn đến mắt hoặc lộ thông tin yêu cầu bảo mật

Các lỗ hồng loại B có mức độ nguy hiểm hơn lỗ hồng loại C, cho phép người

sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp

Những lỗ hồng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử

dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Trang 4

Báo cáo khóa luận tốt nghiệp

Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hồng loại B

1.2.3 Các lỗ hồng loại A

Các lỗ hồng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ

thống bất hợp pháp Lỗ hồng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ

thống Các lỗ hồng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo

mật của hệ thống Các lỗ hồng loại này thường xuất hiện ở những hệ thống quản trị

yếu kém hoặc không kiêm soát được cấu hình mạng

Những lỗ hồng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng

sẽ có thể bỏ qua những điểm yếu này

Vi dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài

khoản truy nhập hợp lệ trên hệ thống đó Trong trường hợp này, trước tiên kẻ phá

hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử

dụng các công cụ đò xét thông tin như ISS trên hệ thống đó đề đạt được quyền truy

nhập vào hệ thống Sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các

hành động phá hoại tinh vi hơn

Tuy nhiên, không phải bất kỳ lỗ hỗng bảo mật nào cùng nguy hiểm đến hệ

thống Có rất nhiều thông báo liên quan đến lỗ hồng bảo mật trên mạng Internet,

hầu hết trong số đó là các lỗ hồng loại C, và không đặc biệt nguy hiểm đối với hệ

thông Ví dụ, khi những lỗ hồng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống Khi những thông báo về lỗ hồng được khăng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống

Dựa vào kẻ hở của các lỗ hỗng này, kẻ xấu sẽ xây dựng các hình thức tấn

công khác nhau nhằm không chế và nắm quyền kiểm soát trên mạng Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác

Trang Š

nhau Mỗi cuộc tắn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào một hoặc nhiều máy tính đang nối mạng của người khác Sau khi đã vào được hệ thống mạng, hacker có thê đi đến các bước khác như xem trộm, lấy cắp, thay đổi và

thậm chí phá huỷ dữ liệu hoặc làm treo các hoạt động của một hệ thống thông tin

điện tử.Các hacker cũng có thể gài bẫy những người sử dụng thiếu cảnh giác hoặc đánh lừa những hệ thống thông tin kém phòng bị Chăng hạn, chúng sưu tầm các địa chỉ email và gửi thư kèm virus đến đó hoặc làm nghẽn tắc mạng bằng cách gửi thật nhiều các bức thư điện tử đến cùng một địa chỉ Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi va dé lại thông báo cho người quản trị mạng, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và

lấy đi những thông tin nội bộ

143 CAC PHUONG PHAP XAM NHAP HE THONG - BIEN PHAP PHAT HIEN VA NGAN NGUA

1.3.1 Phương thức ăn cap thong tin bang Packet Sniffer

Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyên trên mạng Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin bí mật khác trao đồi trong mạng

s* Biện pháp phát hiện và ngăn ngừa:

v¥ Authentication

Ky thuat nay duoc thuc hién bao gồm hai yếu tố: Personal Identification

number (PIN) đề xác thực một thiết bị hoặc một phần mềm ứng dụng Token

card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây Khách hàng sẽ

kết nối password đó với một PIN để vào hệ thống Giả sử một hacker học

được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không

còn gia tri vi hét han

Trang 6

Báo cáo khóa luận tốt nghiệp

Mã hóa

Tất cả thông tin lưu chuyên trên mạng đều được mã hóa Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa Cisco dùng giao thức IPSec để mã hóa dữ liệu

1.3.2 Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute — force

attack, chương trình Trojan House, IP spoofing, và packet sniffer Mặc dù dùng packet sniffer và IP spoofing có thể lấy duge user account va password, nhung hacker lại thường sử dung brute — force dé lấy user account hon Tan céng brute —

force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng

login vào các phần share trên server bằng phương pháp “thử và sai” password s* Biện pháp phát hiện và ngăn ngừa:

* Phương pháp giảm thiểu tấn công password: giới hạn số lần login sai,đặt password sai

Y C4m truy cập vào thiết bị, server từ xa thông qua các giao thức không an

toan nhu FTP, Telnet

1.3.3 Phuong thire tấn công bằng Mail Relay

Đây là phương pháp phố biến hiện nay Email server nếu cấu hình không

chuẩn hoặc Username/ password bị lộ Hacker có thể lợi dụng email server để gửi

mail gây ngập mạng, phá hoại hệ thông email khác

s* Biện pháp phát hiện và ngăn ngừa:

vx Giới hạn dung lượng Mail box

*_ Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho

SMTP server, dat password cho SMTP

v St dung gateway SMTP riêng

Trang 7

1.3.4 Phương thức tấn công hệ thống DNS

DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ Việc tan công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy

hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng

*_ Biện pháp phát hiện và ngăn ngừa: s

Hạn chế tối đa các dịch vụ khác trên hệ thông máy chủ DNS

Cài đặt hệ thống IDS Host cho hệ thống DNS

Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

1.3.5 Phương thức tấn công Man-in-the-middle attack

Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gởi các tín hiệu RF mạnh hơn AP hợp pháp đến các node đó Các node di động nhận thấy có AP phát tín hiệu

RF tốt hơn nên sẽ kết nối đến AP giả mạo này, và lúc này thì hacker toàn quyền su

lý Tấn công dạng này được thực hiện nhờ một packet sniffer

%

s* Biện pháp phát hiện và ngăn ngừa:

v Tấn công dạng này có thể hạn chế bằng cách mã hóa dữ liệu được gửi ra

Nếu các hacker có bắt được các gói đữ liệu thì là các dữ liệu đã được mã

hóa

1.3.6 Phương thức tấn công để thăm dò mạng

Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan

s* Biện pháp phát hiện và ngăn ngừa:

Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được

Trang 8

Báo cáo khóa luận tốt nghiệp

ping sweep, nhung lai nhưng lại khó cho ta khi mạng có sự cố, cần phải chân đoan lỗi do đâu NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng

1.3.7 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trong những cách thông dụng nhất là tắn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall Ví dụ các hacker tấn công Web server bang cach str dung TCP port 80, mail server bang TCP port 25

s* Biện pháp phát hiện và ngăn ngừa:

_ Lưu lại file log, và thường xuyên phân tích file log

Luôn cập nhật các patch cho OS và các ứng dụng

* Dùng IDS, có 2 loại IDS: HIDS, NIDS

1.3.8 Phương thức tấn công Virus và Trojan Horse

Các nguy hiêm cho các workstation và end user là các tân công virus và trojan house

- Virus la m6t phan mém cé hai, được đính kèm vào một chương trình thực thi

khác để thực hiện một chức năng phá hoại nào đó

- Trojan house thi hoạt động khác hơn Một ví dụ về Trojan house là một phần

mềm ứng dụng có thể chạy trong một game đơn giản ở may workstation Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book Khi user khác nhận và chơi trò

chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó

s* Biện pháp phát hiện và ngăn ngừa:

Trang 9

Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house va luôn luôn cập nhật chương trình mới

1.4 CAC GIAI PHAP BAO MAT AN TOAN CHO HE THONG

1.4.1 Bao mat VPN (Virtual Private Network)

Mạng riêng ao là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người đùng

ưa thích VPN cho phép kết nối với những người dùng ở xa, các văn phòng chỉ nhánh của bộ, công ty và các đối tác đang sử dụng một mạng công cộng

Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác Định đường hầm cho phép những giao thức như IPX, Apple Talk va IP được mã hóa sau đó đóng gói trong IP

VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS-Quality of

Service), là một thuật ngữ dùng đề chỉ chất lượng của một hệ thống truyền thông hay một kết nối truyền thông trong mạng

VPN = Dinh đường hầm + Bảo mật + Các thóa thuận về QoS

s* Ưu điểm cúa VPN

-_ Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền Truy cập mọi lúc mọi nơi

- Giam chi phí đầu tư: sẽ không tốn chi phi đầu tư cho máy chủ, bộ định tuyến

cho mạng đường trục và bộ chuyền mạch phục vụ cho việc truy cập vì các

thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ

-_ Giảm chỉ phí quản lý và hỗ trợ: với qui mô kinh tế, các nhà cung cấp dịch vụ

có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị so

với việc tự quản lý mạng

s* Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và VPN điểm nói điểm (site-to-site)

Trang 10

Báo cáo khóa luận tốt nghiệp

S Internet cafe VPN server

Hình 1.1 M6 hinh VPN client to site

VPN truy cap từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên cần

liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa

v_ VPN điểm nối điềm (site-to-site)

VPN server 1

Hình 1.2 Mô hình VPN site-to-site

VPN site-to-site là việc sử dụng mật mã dành cho nhiều người đề kết nối

nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này

có thể dựa trên Intranet hoặc Extranet

-_ Loại dựa trên Inranei: nêu một công ty có vài chi nhánh từ xa muốn tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet (VPN nội

bộ) để nối LAN với LAN

Trang 11

-_ Loại dựa trên Extrancr: khi một công ty có mối quan hệ mật thiết với công

ty khác (ví dụ như đối tác cung cấp, khách hàng )họ có thể xây dựng một

VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác

nhau có thể làm việc trên một môi trường chung

1.4.2 Firewall

Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được

thiết lập

Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống

Firewall

Web Server

Hình 1.3 Mô hình tổng quát Firewall

Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ dàng Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ thé

Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin

s* Các thành phần cúa Firewall: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau:

- B6 loc packet

Trang 12

Báo cáo khóa luận tốt nghiệp

Ngoài ra, bộ lọc packer là trong suốt đối với người sử dụng và các ứng dụng

“> Han ché

Viéc dinh nghia chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị cần phải hiểu biết chỉ tiết về các dịch vụ internet, các dang packet header,

va cac gia tri cu thê mà họ có thể nhận trên môi trường

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không

kiểm soát được nội dung thông tin của packet Các packet chuyên qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

1.4.3 Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập)

IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp

thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ

thống Có hai dạng chính đó là: Network bases —IDS va Host based — IDS

IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS

là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của sự kiện cam biến được cho là đáng báo động

Trang 13

Firewall

Hình 1.4 Hệ thống chống xâm nhập IDS

+* Hệ thống phát hiện xâm nhập phần mềm (Snort)

Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yếu cầu để

có thể cài đặt Snort như: cần không gian đĩa cứng đề lưu trữ các file ghi log ghi lại

cảnh báo, một máy chủ khá mạnh Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất Snort có thể chạy trên các hệ điều hành như

window, linux

“> Hệ thống phát hiện xâm nhập phần cứng (Cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như:

- Cisco IDS 4235, Cisco IPS 4.200

Trang 14

Báo cáo khóa luận tốt nghiệp

CHUONG II

HE THONG PHAT HIEN XAM NHAP IDS

2.1 GIỚI THIEU VE IDS

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một

bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát

hiện ra các việc lạm dụng đặc quyền đề giám sát tài sản hệ thống mạng Các nghiên

cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến

năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa kỳ Cho

đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS

bắt đầu phat trién dựa trên sự bùng nổ của công nghệ thông tin Dén nam 1997 IDS

mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công

ty cung cấp giải pháp IDS tên Wheel

Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển

2.1.1 Định nghĩa về IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà quản trị

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một

cách hợp lí để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call,

và những khu vực khác khi phát ra những dấu hiệu xâm nhập

IDS cũng có thể phân biệt giữa những tân công từ bên trong(những người trong công ty) hay tấn công từ bên ngoài (từ các Hacker) IDS phát hiện dựa trên

Trang 15

các dấu hiệu đặc biệt về nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông

mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

v Tinh chính xác (Accuracy): IDS không được coi những hành động thông

thường trong môi trường hệ thống là những hành động bắt thường hay lạm

dụng (hành động thông thường bị coi là bất thường được gọi là false positive)

Y Hiéu nang (Performance): Hiéu nang cua IDS phai du dé phat hién xm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tốn thương nghiêm trọng tới hệ thống)

vx Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào (xâm nhập không bị phát hiện gọi là false negative) Đây là

một điều kiện khó có thể thỏa mãn được vì gần như không thê có tất cả

thông tin về các tan công từ quá khứ,hiên tại va tương lai

* Chịu lỗi (Fault Tolerance): ban thân IDS phải có khả năng chống lại tấn

công

vx Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trạng thái xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số

lượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệ

thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện

Trang 16

Báo cáo khóa luận tốt nghiệp

Hình sau minh hoạ các vị trí thường cài đặt IDS trong mạng :

Hình 2.1 Các vị trí đặt IDS trong mạng

2.1.2 Lợi ích của IDS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tắn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh bảo sai do định nghĩa quá chung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình

thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ

thống đều có ít khả năng giới hạn các cảnh báo nhằm

Sử dụng hệ thống IDS đề nâng cao khả năng quản lý và bảo vệ mạng, lợi ích

mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp Từ đó, hệ thống

IDS có thể góp phần loại trừ được một cách đáng kế những lỗ hồng về bảo mật

trong môi trường mạng

2.1.3 Phân biệt những hệ thống không phái là IDS

Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS:

Trang 17

v Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hồng đối với vấn

để tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng

* Các công cụ đánh giá lỗ hỗng kiểm tra lỗi và lỗ hồng trong hệ điều hành,

dịch vụ mạng (các bộ quét bảo mật)

v Các sản phâm chống virus được thiết kế dé phat hiện các phần mềm mã nguy hiểm như virus, trojan horse, worm, Mặc đù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hồng

bảo mật hiệu quả

Tường lửa - firewall

w Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,

2.1.4 Kiến Trúc và nguyên lý hoạt động IDS

2.1.4.1 Thanh phan cia IDS

t

Set of Events ' (Syslogs, System stafus.!

Network Packet) !

t t t

t t ! ' { t '

Hinh 2.2 Thanh phan ctia IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (Dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng

Trang 18

Báo cáo khóa luận tốt nghiệp

nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi

vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào

Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tao

sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện đề định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện

của hệ thống hoặc các gói mạng

Vai trò của bộ cảm biến là dùng dé loc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể

phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở đữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hanh vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào

đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với

module đáp trả Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm đữ liệu lưu về

các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

Hình 2.3 Hoạt động của IDS

Trang 19

Quá trình phát hiện có thể được mô tả bởi các yếu tố co bản nền tang sau:

“Thu thập thông tin (information source): Kiém tra tat ca các gói tin trên mang (Intrustion Montorring)

= Sw phan tich (Analysis): Phan tich tat cả các gói tin đã thu thập đề cho biết hành động nao là tấn công (Intruction detection)

“_ Xuất thông tin cánh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên nhờ bộ phận (thông báo - Notification)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ

sung (các chức năng khóa đề giới hạn các session, backup hệ thống, định tuyến các

kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ, ) — theo các chính sách bảo mật

của các tổ chức Một IDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong

những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp

lý các tình tiết và việc cài đặt các bản vá thích hợp dé cho phép phát hiện các tan công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thê đưa ra các báo cánh sai, ví dụ những vấn

đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail

2.1.4.3 Chức năng của IDS

Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện

xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập và hữu ích cho

họ, bỗổ sung những điểm yếu của hệ thống khác IDS có được chấp nhận là một thành phần thêm vào cho hệ thống an toàn không vẫn là câu hỏi của nhiều nhà quản

Trang 20

Báo cáo khóa luận tốt nghiệp

trị hệ thống Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được

và đây là vài lý do đưa ra tại sao chon IDS:

nhiên

Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đôi bất hợp pháp hoặc phá hoại dữ liệu

Bảo vệ tính bí mật, giữ cho thong tin khong bi 16 ra ngoa i

Bao vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp

Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp

Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi

phục, sửa chữa

Nói tóm lại có thể tóm tắt IDS như sau:

Chức năng quan trọng nhất là: giám sát — cảnh báo — bảo vệ

Giám sát: lưu lượng mạng và các hoạt động khả nghi

Cánh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

Báo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có

những hành động thiết thực đề chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng:

v Phân biệt: tấn công bên trong và tan công từ bên ngoài

v Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc

nhờ vào sự so sánh thông lượng mạng hiện tại với baseline

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển Việc đưa ra những điềm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bồ trí bảo vệ phòng thủ của các nhà quản trị mạng

Trang 21

2.2 PHÂN LOẠI IDS

Cách thông thường nhất đề phân loại các hệ thống IDS là dựa vào đặc điểm

của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IDS được

chia thành các loại sau:

> Network-based IDS (NIDS): Su dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm đề phát hiện xâm

nhập

> Host-based IDS (HIDS): Su dung di liéu kiểm tra từ một máy trạm đơn dé

phát hiện xâm nhập

2.2.1 Network based IDS - NIDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên

toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ

bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận

được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm

quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập

xa hơn NIPS là tập nhiều sezsor được đặt ở toàn mạng dé theo doi những gói tin

trong mạng so sánh với với mẫu đã được định nghĩa đề phát hiện đó là tấn công hay không

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài dé giám

sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết

lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng

được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng

mạng hoạt động ở mức cao

Trang 22

Báo cáo khóa luận tốt nghiệp

Hình 2.4 Mô hình Network based IDS - NIDS

Ưù điểm

Quản lý được cả một network segment (gồm nhiều host)

“Trong suốt” với người sử dụng lẫn kể tân công

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

Tránh DOS ảnh hưởng tới một host nào đó

Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

Đôc lập với OS (Operating System)

Nhược điểm

Có thể xảy ra trường hợp báo động giả

Không thê phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec )

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

Có độ trễ giữa thời diém bi attack với thời điểm phát báo động Khi báo động

được phát ra, hệ thống có thé đã bị tôn hại

Không cho biết việc attack có thành công hay không

Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy

Trang 23

Một giải pháp là bảo đám cho mạng được thiết kế chính xác để cho phép sự

sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò

được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp

hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu đữ liệu truyền qua mạng

lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp

xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo

Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker có gắng ngăn chặn phát hiện bằng cách

gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát

hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác

2.2.2 Host based IDS - HIDS

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên

máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được

Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch

sử số sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi

những đầu đò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không HIDS thường được cài đặt trên một máy tính nhất đỉnh Thay vì giám sát

hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một

máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tắn công đầu tiên Nhiêm vụ chính của

HIDS là giám sát các thay đổi trên hệ thống, bao gồm:

Trang 24

Báo cáo khóa luận tốt nghiệp

Các tiến trình

Các entry của Registry

-_ Có khả năng xác đinh user liên quan tới một event

- HIDS cé kha năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS

không có khả năng này

- _ Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Nhược điễm

Trang 25

-_ Thông tin từ HIDS là không đáng tin cậy ngay khi sự tắn công vào host này thành công

- Khi OS bi "ha" do tấn công, đồng thời HIDS cũng bị "hạ"

-_ HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,

Netcat )

- HIDS can tai nguyén trén host dé hoạt động

- HIDS cé thể không hiệu quả khi bi DOS

2.3 CO CHE HOAT DONG CUA IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:

- Phat hién su lam dung (Misuse Detection Model): Hệ thong sẽ phát hiện các

xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm

nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tân công của hệ thống

-_ Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện

các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống

2.3.1 Mô hình phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này

được mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát

đối với các mẫu đã rõ ràng Mẫu có thẻ là một xâu bit có định (ví dụ như một virus đặc tả việc chèn xâu), đùng đề mô tả một tập hay một chuỗi các hành động đáng nghi ngờ

Trang 26

Báo cáo khóa luận tốt nghiệp

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động

của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Hệ thống này có thể xem xét hành động hiện tại của hệ thống

được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành

Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules)

để mô tá những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng không

được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn

kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về

phép biến đổi trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ

thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được

phát hiện

2.3.2 Mô hình phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận

của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm ra các thay đồi, các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bắt thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn

mã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh

giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

Trang 27

2.3.3 So sánh giữa hai mô hình

Bảng I.1 So sánh 2 mô hình phát hiện

Phát hiện sự lạm dụng

(Misuse Detection Model)

Phat hién sw bat thuong

(Anomaly Detection Model)

ứng với các kĩ thuật xâm nhập biết

đến (dựa trên dấu hiệu - signatures)

Hiệu quả trong việc phát hiện các

dạng tấn công hay các biến thể của

các dạng tân công đã biết Không phát

hiện được các dạng tân công mới

Hiệu quả trong việc phát hiện các dạng

tấn công mới mà một hệ thống phát hiện

sự lạm dụng bỏ qua

Dễ cấu hình hơn do đòi hỏi ít hơn

về thu thập dữ liệu, phân tích và cập

nhật

Khó câu hình hơn vì đưa ra nhiều dữ

liệu hơn, phải có được một khái niệm toàn

diện về hành vi đã biết hay hành vi được

mong đợi của hệ thống

Đưa ra kêt luận dựa vào phép so

khớp mau (pattern matching)

Đưa ra kêt quả dựa vào độ lệch giữa thông tin thực tế và ngưỡng cho phép)

Có thê kích hoạt một thông điệp

cảnh báo nhờ một dấu hiệu chắc chắn,

hoặc cung cấp dữ liệu hỗ trợ cho các

dấu hiệu khác Có thể hỗ trợ việc tự sinh thông tin hệ

Báo cáo khóa luận tốt nghiệp

Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống Hệ thống kết hợp này sẽ cung cấp

khả năng phát hiện nhiều loại tắn công hơn và hiệu quả hơn

2.4 CÁCH PHÁT HIỆN KIỂU TAN CONG THONG DUNG CUA IDS

2.4.1 Tan công từ chối dịch vụ (Denial of Service attack)

Denial of service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích Cuối cùng, mục tiêu trở nên không thẻ tiếp cận

và không thể trả lời DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ

thống và ứng dụng

- Pha hoai Network: kiéu tấn công SYN flood là một dang tấn công từ chối dich vụ, kẻ tấn công sẽ gửi các gói tin kết ni SYN đến hệ thống

- Pha hoai hệ thong: bao gom thiết bị như Ping of Death, Teardrop các kiểu

tấn công nhằm lợi dụng lỗ hồng trên hệ điều hành nhằm phá hoại, gây quá tải

hệ thống Sự kiện này có thê xảy ra bằng cách gửi gói tin có định dạng khác

thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ

tấn công được lập trình trước

- _ Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ

liệu, email, trang web, Ví dụ như một email rất dài hay một số lượng email

lớn có thể gây quá tải cho server của các ứng dụng đó

%

* Giải pháp của IDS: Một frewall dang proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tan công dạng gói tin

2.4.2 Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm

yếu Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng hacker có thê được sử dụng để gây hại cho hệ thống Các công cụ quét và thăm dò như: SATAN, ISS Internet Scanner Việc thăm dò có thể được thực hiện

Trang 29

bang cach ping dén hé théng cing như kiểm tra các công TCP và UDP đề phát hiện

ra ứng dụng có những lỗi đã được biết đến Vì vậy các công cụ này có thê là công

Tắn công vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tắn céng Passwork attack

Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng

Ví dụ về trộm mật mã: như nghe trộm mật mã gửi trên mạng, gửi thư, chương trình có kèm keylogger, trojan cho người quan tri

Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force

bằng cách thử nhiều mật mã đề mong tìm được mật mã đúng Với bẻ khóa,

kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã

đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán

mã hóa có thể sử dụng được đề xác định mã đúng Với tốc độ máy tính hiện

nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điền), bat cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép

hoán vị

Vị dụ đoán và bẻ khóa như: đoán từ tên, các thông tin cá nhân, từ các từ

thông dụng (có thê dùng khi biết username mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như

brute force, đoán mật mã đã mã hóa từ các từ trong từ điển

Giải pháp cúa IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công),

Trang 30