BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Nguyễn Quang Thắng HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP Chuyên ngành: Truyền thông mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC PGS.TS Nguyễn Linh Giang Hà Nội, Tháng 10 năm 2016 LỜI CAM ĐOAN Trước tiên xin gửi lời cảm ơn chân thành sâu sắc đến thầy PGS.TS Nguyễn Linh Giang – Viện Công nghệ thông tin Truyền thông, trường Đại học Bách khoa Hà nội, người tận tình hướng dẫn, bảo suốt trình thực luận văn Tôi xin bày tỏ lòng biết ơn thầy cô Viện Công nghệ thông tin – Truyền thông nói riêng Đại học Bách khoa Hà nội nói chung dạy, cung cấp kiến thức quý báu cho suốt trình học tập nghiên cứu trường Cuối xin gửi lời cảm ơn tới gia đình, bạn bè, người cổ vũ, quan tâm giúp đỡ suốt thời gian học tập làm luận văn Tôi cam đoan công trình nghiên cứu riêng Các số liệu, kết luận văn trung thực chưa công bố công trình khác Tác giả Nguyễn Quang Thắng MỤC LỤC Mục lục bảng Mục lục hình ảnh Lời nói đầu CHƢƠNG I: NỘI DUNG NGHIÊN CỨU 1.1 Lý chọn đề tài 1.2 Mục tiêu nghiên cứu 1.3 Phƣơng pháp nghiên cứu 1.4 Đối tƣợng nghiên cứu 1.5 Dự kiến kết nghiên cứu CHƢƠNG II: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 2.1 An ninh không gian mạng 2.1.1 Khái quát tình hình Internet 2.1.2 Khái quát tình hình an ninh mạng Việt Nam 2.2 Hệ thống phát ngăn chặn xâm nhập (IDS/IPS) 2.2.1 Khái niệm 2.2.2 Chức 2.2.3 Sự khác IDS IPS 2.2.4 Phân loại IDS/IPS 2.2.5 Network based IDS – NIDS 2.2.6 Host based IDS – HIDS 11 2.2.7 Cơ chế hoạt động hệ thống IDS/IPS 12 2.3 Các kiểu công 18 2.3.1 Tấn công từ chối dịch vụ (Denial of Service Attack) 18 2.3.2 Quét thăm dò (Scanning and Probe): 19 2.3.3 Tấn công vào mật mã (Password attack) 19 2.3.4 Chiếm đặc quyền (Privilege-grabbing) 21 2.3.5 Cài đặt mã nguy hiểm (Hostile code insertion) 21 2.3.6 Hành động phá hoại máy móc (Cyber vandalism) 23 2.3.7 Ăn trộm liệu quan trọng (Proprietary data theft) 23 2.3.8 Gian lận, lãng phí lạm dụng (Fraud, waste, abuse) 24 2.3.9 Can thiệp vào biên (Audit trail tampering) 24 2.3.10 Tấn công hạ tầng bảo mật (Security infrastructure attack) 25 2.3.11 Các mối đe doạ bảo mật 25 CHƢƠNG III: ỨNG DỤNG SNORT TRONG IDS/IPS 28 3.1 Giới thiệu snort 28 3.2 Kiến trúc snort 29 3.2.1 Môđun giải mã gói tin 30 3.2.2 Môđun tiền xử lý 30 3.2.3 Môđun phát 32 3.2.4 Môđun log cảnh báo 33 3.2.5 Mô đun kết xuất thông tin 33 3.3 Bộ luật snort 34 3.3.1 Giới thiệu 34 3.3.2 Cấu trúc luật Snort 35 3.4 Chế độ ngăn chặn Snort: Snort – Inline 45 3.4.1 Tích hợp khả ngăn chặn vào Snort 45 3.4.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode 46 3.5 Cài đặt thử nghiệm hệ thống phát xâm nhập với snort 47 3.5.1 Môi trường thông số hệ thống 47 3.5.2 Cài đặt cấu hình snort, barnyard2, pulledpork snorby 48 CHƢƠNG IV: THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP VỚI SNORT 52 4.1 Hệ thống phát xâm nhập với Snort (Snort IDS) 52 4.1.1 Cài đặt mô hình hệ thống 52 4.1.2 Thử nghiệm với số luật hệ thống snort 53 4.1.3 Đánh giá hệ thống phát xâm nhập sử dụng Snort (Snort IDS) 71 4.2 Hệ thống ngăn chặn xâm nhập với snort_inline (Snort IPS) 72 4.2.1 Cài đặt mô hình hệ thống 72 4.2.2 Thử nghiệm hệ thống 74 4.2.3 Đánh giá hệ thống ngăn chặn xâm nhập với Snort_inline (Snort IPS) 83 4.3 Đánh giá chung hệ thống ngăn chặn phát xâm nhập với Snort 83 KẾT LUẬN 86 TÀI LIỆU THAM KHẢO 87 MỤC LỤC BẢNG Bảng Bảng so sánh mô hình 18 Bảng Bảng cờ sử dụng với từ khoá flags 43 MỤC LỤC HÌNH ẢNH Hình Mô hình IDS hệ thống mạng Hình Mô hình NIDS Hình Hình ảnh minh hoạ hệ thống phát xâm nhập sử dụng snort (Snort IDS) 28 Hình Mô hình kiến trúc hệ thống Snort 29 Hình Xử lý gói tin Ethernet 30 Hình Cấu trúc luật Snort 35 Hình Header luật Snort 35 Hình Hình ảnh minh hoạ hệ thống ngăn chặn xâm nhập sử dụng snortinline (Snort IPS) 46 Hình 10 Hình ảnh minh hoạ cài đặt thành công snort 48 Hình 11 Hình ảnh mô tả cài đặt thành công Barnyard 49 Hình 12 Hình ảnh mô ta cài đặt PulledPork thành công 50 Hình 13 Hình ảnh minh hoạ web quản trị Snorby 51 Hình 14 Hình ảnh minh hoạ tổng quát hệ thống phát xâm nhập snort 52 Hình 15 Hình ảnh mô hệ thống demo 52 Hình 16 Hình minh hoạ kiểm tra truy cập trang vnexpress.net 54 Hình 17 Mô hình tổng quát công hệ thống 55 Hình 18 Mô hình kẻ công quét máy mạng LAN thông tin hệ thống thử nghiệm 55 Hình 19 Kết sau quét mạng Lan 56 Hình 20 Wireshark bắt phân tích gói tin 57 Hình 21 Kết snort cảnh báo 58 Hình 22 Kết cảnh báo snort 58 Hình 23 Mô tả Nmap quét cổng 59 Hình 24 Snort đưa cảnh báo có quét cổng 59 Hình 25 Mô tả snort xuất cảnh báo 60 Hình 26 Hình ảnh mô tả quét cổng 61 Hình 27 Wireshark bắt gói tin quét Xmas kết phân tích 62 Hình 28 Hình ảnh mô tả snort phát quét cổng 63 Hình 29 Kết cảnh báo snort 63 Hình 30 Hình ảnh mô tả tổng quan hệ thống thử nghiệm 64 Hình 31 Wireshare bắt phân tích gói tin SSH 66 Hình 32 Kết snort phát cảnh báo 67 Hình 33 Wireshark bắt phân tích gói tin dạng công đường hầm ICMP 69 Hình 34 Kết hệ thống phát ghi log 70 Hình 35 Hình minh hoạ snort_inline cài đặt thành công 73 Hình 36 Hình ảnh minh hoạ demo hệ thống ngăn chặn xâm nhập với snort_inline 74 Hình 37 Hình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập 75 Hình 38 Hình ảnh snort phát chặn gói tin log 76 Hình 39 Hình ảnh quét cổng máy công sau hệ thống có luật 76 Hình 40 Hình ảnh mô hệ thống giả lập demo snort inline 78 Hình 41 Hình ảnh minh hoạ kết nối máy ảo 78 Hình 42 Hình ảnh chi tiết hệ thống thử nghiệm snort_inline 79 Hình 43 Minh hoạ quét cổng máy công 79 Hình 44 Minh hoạ kết nối máy nạn nhân 80 Hình 45 Minh hoạ công từ kali 80 Hình 46 Minh hoạ kết nối từ máy nạn nhân 81 Hình 47 Hình ảnh minh hoạ máy kẻ công thất bại 82 Hình 48 Hình ảnh minh hoạ máy kẻ công thất bại 82 Hình 49 Minh hoạ máy nạn nhân hệ thống snort bảo vệ 82 Hình 50 Mô hình IPS IDS inline 85 Hình 51 Mô hình IPS inline IDS qua cổng giám sát 85 LỜI NÓI ĐẦU Thế giới ngày có nhiều tiến mạnh mẽ công nghệ thông tin (CNTT) từ tiềm thông tin trở thành tài nguyên thực sự, trờ thành sản phẩm hàng hóa xã hội tạo thay đổi to lớn lực lượng sản xuất, sở hạ tầng, cấu trúc kinh tế, tính chất lao động cách thức quản lý lĩnh vực xã hội Với phát triển CNTT vậy, việc ứng dụng CNTT vào đời sống hàng ngày trở nên quen thuộc với người Mạng Internet phát triển mạnh mẽ làm thay đổi thói quen xã hội, mang lại lợi ích to lớn cho trình phát triển kinh tế xã hội, thông tin liên lạc người An ninh thông tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phòng chống công xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, đồ án tốt nghiệp mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt công nghệ, giải pháp, kỹ thuật tiên tiến Mặc dù cố gắng kiến thức khả nhìn nhận vấn đề hạn chế nên làm không tránh khỏi thiếu sót, mong quan tâm góp ý thêm thầy cô tất bạn Trong trình thực hiện, xin chân thành cảm ơn thầy Nguyễn Linh Giang tận tình hướng dẫn, giúp đỡ để hoàn thành tốt luận văn, tiến độ thời gian Một lần xin cảm ơn thầy nhiều! CHƢƠNG I: NỘI DUNG NGHIÊN CỨU 1.1 Lý chọn đề tài Bảo mật vấn đề lớn tất mạng môi trường doanh nghiệp ngày Tin tặc kẻ xâm nhập nhiều lần thành công việc xâm nhập vào mạng công ty đem nhiều thông tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng giao tiếp internet n h : sử dụng Firewall, VPN…trong có hệ thống phát ngăn chặn xâm nhập Phát xâm nhập công nghệ phương thức dùng để phát hành động khả nghi Host mạng Các phương pháp phát xâm nhập bắt đầu xuất năm gần đây, sử dụng phương thức phát xâm nhập, bạn thu thập, sử dụng thông tin từ loại công biết để tìm cảnh báo cố gắng công mạng hay máy cá nhân Hệ thống phát xâm nhập IDS (Intrusion Detection System) hệ thống bảo mật có khả phát chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevent System) hệ thống mở rộng nâng cao hệ thống phát xâm nhập IDS Nó có tất tính hệ thống phát xâm nhập bình thường kèm với khả ngăn chặn luồng liệu trao đổi hệ thống mạng Do hệ thống có khả ngăn chặn thất thoát tài nguyên, công vào hệ thống tin tặc, chặn luồng liệu thông tin độc hại v v Nguyễn Quang Thắng - 2014ATTMMT Page Vì tính mà hệ thống phát ngăn chặn xâm nhập sử dụng ngày rộng rãi coi sở bảo đảm an ninh hệ thống mạng 1.2 Mục tiêu nghiên cứu - Tìm hiểu hệ thống ngăn chặn phát xâm nhập - Tìm hiểu kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để công vào mạng nội - Xây dựng hệ thống IDS sử dụng phần mềm mã nguồn mở snort để phát bất thường cảnh báo - Xây dựng số luật cho hệ thống snort, nhằm phát vài kiểu xâm nhập tin tặc - Xây dựng hệ thống IPS sử dụng mã nguồn mở snort để ngăn chặn gói tin bất thường 1.3 Phƣơng pháp nghiên cứu - Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát mạng nội - Sử dụng hệ thống phát xâm nhập IDS phần mềm mã nguồn mở snort, nhằm phát dấu hiệu bất thường mạng nội - Nghiên cứu cấu trúc luật (rules) snort, từ tự xây dựng luật theo nhu cầu n g i dùng, nhằm đảm bảo cho hệ thống phát cách thức xâm nhập tin tặc vào hệ thống mạng - Thực nghiệm đưa độ xác tập lệnh xây dựng, mở rộng xây dựng hệ thống ngăn chặn IPS dựa snort 1.4 Đối tƣợng nghiên cứu - HĐH Ubuntu: tăng cường tính bảo mật cho hệ thống Nguyễn Quang Thắng - 2014ATTMMT Page post-up ethtool -K $IFACE gro off post-up ethtool -K $IFACE lro off down ip link set $IFACE promisc off down ifconfig $IFACE down - Cấu hình file snort.conf:  Chạy thử lệnh “snort daq-list” để kiểm tra thư viện DAQ cài đặt đầy đủ chưa  Mở file snort.conf bật chế độ “inline” cách khởi động afpacket: thêm dòng sau vào file conf config daq: afpacket config daq_mode: inline - Cấu hình xong ta tiến hành chạy thử câu lệnh: sudo snort -T -c /etc/snort/snort.conf -Q -i eth1:eth2 flag Q: snort run in inline mode -i eth1:eth2: bridge those two interfaces (to be inline between those two interfaces) Chạy thử hệ thống snort_inline: sudo /usr/local/bin/snort -A console -Q -c /etc/snort/snort.conf -i eth1:eth2 –N Hình 34 Hình minh hoạ snort_inline cài đặt thành công Do điều kiện triển khai thử nghiệm hệ thống ngăn chặn xâm nhập snort_inline thực tế nên ta sử dụng môi trường ảo để thực nghiệm Môi Nguyễn Quang Thắng - 2014ATTMMT Page 73 trường ảo đáp ứng tiêu chí hiệu năng, khả ngăn chặn, đồ hình mạng gần sát với thực tế Hình 35 Hình ảnh minh hoạ demo hệ thống ngăn chặn xâm nhập với snort_inline Mô hình hệ thống thử nghiệm giả lập bao gồm thành phần hình 30 Sơ đồ gồm mạng LAN riêng biệt kết nối với có snort_inline đứng làm nhiệm vụ kiểm soát kết nối đường truyền Lưu lượng liệu trao đổi mạng trực tiếp qua snort_inline quản lí Ta thử nghiệm hệ thống ngăn chặn xâm nhập môi trường mô Cấu hình máy ảo Kali: Debian 3.14.5-1kali1 (2014-06-07) x86_64 GNU/Linux Cấu hình Snort_inline: Version 2.9.8.3 GRE (Build 383), libpcap version 1.5.3, PCRE version: 8.31 2012-07-06, ZLIB version: 1.2.8, mod: inline Cấu hình máy ảo Window: Window XP SP3 64bit 4.2.2 Thử nghiệm hệ thống Kịch 1: Thử nghiệm chặn số dạng công trình bày phần “4.1 Hệ thống phát xâm nhập” gồm chặn quét cổng chặn kết nối ssh Mô hình hệ thống thử nghiệm: Nguyễn Quang Thắng - 2014ATTMMT Page 74 Hình 36 Hình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập Ta giả lập môi trường hình trên: máy ảo Kali đóng vai trò máy công máy ảo Ubuntu đóng vai trò máy nạn nhân, máy kết nối với thông qua máy ảo Ubuntu thứ cài đặt cấu hình snort_inline Cấu hình máy ảo Kali mô hình chung phần 4.2.1, cấu hình thêm route để kết nối với snort_inline máy Ubuntu: sudo route add -net 192.168.10.0/24 dev eth0 Cấu hình máy ảo Ubuntu 14.04.1 64 bit cấu hình thêm route để kết nối với snort_inline máy Kali: sudo route add -net 192.168.47.0/24 dev eth0 Khi cấu hình xong chạy snort_inline hệ thống mạng thiết lập kết nối từ dải mạng 192.168.47.0/24 đến 192.168.10.0/24 cụ thể máy ảo Kali Ubuntu: Thử nghiệm chặn số dạng quét cổng “Stealth Scan” gồm: Xmas, Stealth FIN Null scan Phương pháp quét cổng “Stealth Scan” phân tích rõ phần 4.1 trên, dựa vào đặc điểm ta viết luật chặn quét cổng sau: drop tcp any any -> any any (flags: FPU; msg:"Nmap XMAS Tree scan detected"; sid:1000031) Nguyễn Quang Thắng - 2014ATTMMT Page 75 drop tcp any any -> any any (flags: 0; msg:"NULL scan detected"; sid:1000032) drop tcp any any -> any any (flags: F; msg:"Stealth FIN scan detected"; sid:1000033) Tại máy nạn nhân Ubunbu chạy dịch vụ web với cổng 80, chưa có luật snort, máy Kali quét tìm cổng 80 mở: Hình ảnh thử nghiệm với dạng quét Xmas dạng lại có kết tương tự Đó quét cổng 80 mở Khi chạy hệ thống với luật trên, snort phát ngăn chặn không cho Kali quét cổng thành công: Hình 37 Hình ảnh snort phát chặn gói tin log Hình 38 Hình ảnh quét cổng máy công sau hệ thống có luật Tương tự dạng công lại với chặn thành công với luật chống quét cổng Nguyễn Quang Thắng - 2014ATTMMT Page 76 Tiếp theo thử nghiệm hệ thống với luật chặn kết nối ssh Bình thường chưa có luật chặn kết nối ssh máy Ubuntu kết nối ssh bình thường đến máy Kali: Với phân tích dấu hiệu kết nối ssh phần 4.1 trên, ta viết luật ngăn chặn kết nối ssh từ xa sau: drop tcp any any -> any any (msg: "SSH Connection Attempt"; flags: A+; content: "SSH-"; sid:1000009; rev:1) Thử nghiệm lại kết nối ssh từ máy Ubuntu đến máy Kali ta thấy không kết nối thành công: Và kết cảnh báo, ngăn chặn gói tin snort_inline: Đánh giá: với dạng công phân tích viết luật phát phần 4.1, với hệ thống ngăn chặn xâm nhập snort_inline chặn Chỉ cần thay đổi từ khoá từ alert (cảnh báo) sang drop (loại bỏ) luật snort hệ thống ngăn chặn thành công gói tin dạng công Tuy nhiên với điều kiện luật phát dựa dấu hiệu rõ ràng gói tin công, luật cảnh báo dạng có nhiều gói tin đến khoảng thời gian không nên ngăn chặn loại bỏ gói tin bình thường từ dịch vụ khác Với luật cảnh báo số lượng gói tin vậy, người quản trị cần them nhiều thông tin khác trước đưa phản hồi hợp lí cho hệ thống Nguyễn Quang Thắng - 2014ATTMMT Page 77 Kịch 2: Hình 39 Hình ảnh mô hệ thống giả lập demo snort inline Ta giả lập môi trường hình trên: máy ảo Kali đóng vai trò máy công máy ảo Window đóng vai trò máy nạn nhân, máy kết nối với thông qua máy ảo Ubuntu thứ cài đặt cấu hình snort_inline Cấu hình máy ảo Kali: sudo route add -net 192.168.10.0/24 dev eth0 Cấu hình máy ảo Window: route –p add 192.168.47.0 mask 255.255.255.0 192.168.10.137 Khi cấu hình xong chạy snort_inline hệ thống mạng thiết lập kết nối từ dải mạng 192.168.47.0/24 đến 192.168.10.0/24 cụ thể máy ảo Kali Window: Hình 40 Hình ảnh minh hoạ kết nối máy ảo Nguyễn Quang Thắng - 2014ATTMMT Page 78 Kịch bản: kẻ công sử dụng nmap để quét dải địa có hệ thống mạng Từ địa ip máy hệ thống tin tặc biết số thông số hệ điều hành, cổng mở máy nạn nhân từ cổng mở phiên hệ điều hành nạn nhân dùng, kẻ công công chiếm quyền điều khiển máy Hình 41 Hình ảnh chi tiết hệ thống thử nghiệm snort_inline Ta áp dụng kịch trường hợp, hệ thống có snort_inline hệ thống bình thường snort_inline Hình 42 Minh hoạ quét cổng máy công Qua quét cổng ta có thấy máy nạn nhân có mở cổng 445, cổng mở mặc định window từ cổng ta công chiếm quyền điều khiển máy Kẻ công sử dụng metasploit kali để thực Máy nạn nhân ban đầu trạng thái bình thường kết nối đáng ngờ thiết lập Nguyễn Quang Thắng - 2014ATTMMT Page 79 Hình 43 Minh hoạ kết nối máy nạn nhân Kẻ công sau sử dụng nmap điều tra máy nạn nhân tìm lỗ hổng công Hình 44 Minh hoạ công từ kali Và kẻ công thành công kết nối vào máy nạn nhân Tiếp tục sử dụng số kỹ thuật leo thang đặc quyền tin tặc chiếm quyền cao máy điều khiển Nguyễn Quang Thắng - 2014ATTMMT Page 80 Hình 45 Minh hoạ kết nối từ máy nạn nhân Ta tiến hành công thử với hệ thống có bảo vệ hệ thống snort_inline Kết hệ thống phát công loại bỏ gói tin xâm nhập Hình 47 Hình minh hoạ snort_inline loại bỏ gói tin công Và máy kẻ công kết hình dưới, công thất bại Nguyễn Quang Thắng - 2014ATTMMT Page 81 Hình 46 Hình ảnh minh hoạ máy kẻ công thất bại Và máy nạn nhân an toàn kết nối đáng ngờ thiết lập Hình 49 Minh hoạ máy nạn nhân hệ thống snort bảo vệ Có thể thấy với hệ thống mạng chưa có snort_inline bảo vệ kẻ công dễ dàng xâm nhập kiểm soát máy tính, với hệ thống bảo vệ snort_inline máy nạn nhân an toàn Nguyễn Quang Thắng - 2014ATTMMT Page 82 4.2.3 Đánh giá hệ thống ngăn chặn xâm nhập với Snort_inline (Snort IPS) Qua demo, hệ thống thực chức ngăn chặn bất thường hay hành vi không phép mà nhà quản trị đặt hệ thống mạng, ngăn chặn hành vi phần 4.1 mà hệ thống phát xâm nhập cảnh báo Snort_inline có tất tính hệ thống IDS, ngăn chặn luồng lưu lượng đáng ngờ hay gây nguy hại đến hệ thống Nó chấm dứt kết nối kẻ cố công vào hệ thống chặn tất truy cập vào máy chủ, dịch vụ ứng dụng Hệ thống có tất tính IDS nên nhược điểm IDS IPS gặp phải, đòi hỏi tập lệnh phải cập nhật cấu hình xác để chặn gói tin bất thường mà không chặn nhầm hay bỏ xót dấu hiệu nguy hiểm Không phân tích chặn gói tin mã hoá SSL, IPSec… Ngoài ra, hệ thống inline, tham gia trực tiếp vào trình truyền quản lí gói tin nên việc cài đặt bảo trì có ảnh hưởng đến hoạt động mạng Nếu snort_inline bị lỗi hay không hoạt động, gói tin phân vùng truyền đến Do với hệ thống lớn, ta cần xây dựng luật thật xác, xây dựng hệ thống phân tán với nhiều cảm biến để phân tích kiểm soát tốt gói tin đường truyền 4.3 Đánh giá chung hệ thống ngăn chặn phát xâm nhập với Snort Hệ thống phát ngăn chặn xâm nhập (IDS/IPS) với Snort hệ thống cài đặt mạng (hay máy tính) với nhiệm vụ giám sát ngăn chặn gói tin vào hệ thống Nếu công phát Snort phản ứng nhiều cách khác phụ thuộc vào cấu hình mà ta thiết lập, chẳng hạn gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin phát có bất thường gói tin Nguyễn Quang Thắng - 2014ATTMMT Page 83 Như với sản phẩm bảo mật thiết kế để bảo vệ hệ thống thông tin liệu, snort có điểm yếu hạn chế Đó tương tự quét virus (virus scanner), snort chống lại công cách hiệu biết dấu hiệu (signature) công Dựa vào điểm này, kẻ công "cao thủ" điều chỉnh công để thay đổi signature công Từ công "qua mặt" giám sát snort Như thấy việc cập nhật luật snort phải thực cách hàng ngày thường xuyên Để snort hoạt động cách hiệu yếu tố quan trọng cần phải ý luật viết cho snort Khi snort hoạt động, đọc tập luật, giám sát luồng liệu chạy qua hệ thống phản ứng có luồng liệu phù hợp với tập luật Cụ thể hơn, tập luật tạo để giám sát nỗ lực quyét cổng (scanning), tìm dấu vết (footprinting), nhiều phương pháp khác mà hacker dùng để tìm cách chiếm quyền hệ thống Tập luật tạo người dùng người dùng truy cập đến trang chủ snort là: http://www.snort.org để tải Một hạn chế khác việc xử lý vấn đề log snort phát dấu hiệu bất thường cách thức để giải vấn đề Việc khó để tự động hóa cần quản trị viên có kiến thức kinh nghiệm để phân tích, không xử lí cảnh báo hệ thống kiện vô ích Để hệ thống hoạt động hiệu việc đặt vị trí Snort IDS IPS hệ thống mạng cần phải ý Tuỳ thuộc vào mô hình, mục đích hệ thống mà có vị trí khác Hệ thống IDS IPS có ưu điểm nhược điểm khác nên để tối ưu hoá bảo mật, ta sử dụng đồng thời hai hệ thống Một hệ thống IPS bên ngăn chặn công mã độc hay phá hoại v.v., hệ thống IDS đặt bên giám sát hoạt động nội Một vài mô hình ta áp dụng sau: Nguyễn Quang Thắng - 2014ATTMMT Page 84 src:https://www.sans.org/reading-room/whitepapers/detection/networkids-ips-deployment-strategies-2143-page-19 Hình 50 Mô hình IPS IDS inline src:https://www.sans.org/reading-room/whitepapers/detection/networkids-ips-deployment-strategies-2143-page-21 Hình 51 Mô hình IPS inline IDS qua cổng giám sát Nguyễn Quang Thắng - 2014ATTMMT Page 85 KẾT LUẬN Trong thời gian làm luận văn, tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống phát ngăn chặn xâm nhập (IDS/IPS) IDS/IPS thành phần chiến lược phòng thủ theo chiều sâu Hệ thống thông tin Hệ thống có chức phát ngăn chặn dấu hiệu công, giúp chuyên gia chủ động đối phó với nguy xâm phạm Luận văn trình bày cách tổng quan nguyên lý hoạt động, phân loại, phương pháp phát xâm nhập, công, luật cách sử dụng Snort để xây dựng hệ thống phát ngăn chặn xâm nhập Luận văn xây dựng thành công hệ thống phát ngăn chặn xâm nhập sử dụng snort (IDS/IPS) hoạt động yêu cầu đề Hạn chế luận văn triển khai hệ thống phân đoạn mạng nhỏ, sử dụng phương thức công chưa đánh giá hết ưu nhược điểm hiệu xuất hệ thống vấn đề gặp phải triển khai thực tế Kết nghiên cứu luận văn giúp định hướng nghiên cứu sâu an ninh mạng môi trường hệ thống mạng khác sau Lĩnh vực bảo mật nói chung phát bất thường nói riêng lĩnh vực nóng quan tâm nhiều tương lai vai trò ngày quan trọng Sau số hướng nghiên cứu mở rộng:  Triển khai thực tế để đánh giá hết hiệu vấn đề gặp phải để khắc phục hoàn thiện cho hệ thống  Tìm hiểu kỹ thuật phát bất thường để tang khả phòng thủ hệ thống  Tìm hiểu xây dựng, phát triển hệ thống IDS/IPS phân tán Nguyễn Quang Thắng - 2014ATTMMT Page 86 TÀI LIỆU THAM KHẢO [1] Writing Snort Rules by Martin Roesch 1999 - 2001, Snort User Manual by Chris Green 2001 - 2003, Brian Caswell Available: http://manual-snort-org.s3website-us-east-1.amazonaws.com/node2.html [2] Cisco copyright 2016, truy cập cuối ngày 29/10/2016: https://snort.org/ [3] Intrusion Detection with Snort by Rafeeq Rehman, Prentice Hall, Publishing 2003 [4] Noah Dierich 2016, truy cập cuối ngày 29/10/2016: http://sublimerobots.com/author/noah [5] Network IDS & IPS Deployment Strategies by Nicholas Pappas 2008, SANS Institute Reading Room site: https://www.sans.org/readingroom/whitepapers/intrusion/network-ids-ips-deployment-strategies-2143 [6] An Analysis of the Snort Data Acquisition Modules by Chris Murphy 2012, SANS Institute Reading Room site: https://www.sans.org/reading- room/whitepapers/intrusion/analysis-snort-data-acquisition-modules-34027 [7] Snort Lab by InfoSec Resources 2016, truy cập cuối ngày 29/10/2016: http://resources.infosecinstitute.com/snort-rules-workshop-partone/#article [8] Công nghệ bảo mật, Nguyễn Ngọc Tuấn, NXB Thống kê, 2005 [9] Thông tin số liệu thống kê công nghệ thông tin truyền thông, Thông tin truyền thông, 2012 [10] http://xahoithongtin.com.vn/thi-truong/201301/hang-ngan-website-viet- nam-la-moi-ngon-cua-tin-tac-491030, truy cập lần cuối 29/10/2016 [11] http://www.tienphong.vn/cong-nghe/nam-2013-gia-tang-gian-diep-mang- 611364.tpo, truy cập lần cuối 29/10/2016 [12] https://roccatvn.blogspot.com/2016/01/ky-thuat-phong-chong-xam-nhap- ids-ips.html, truy cập lần cuối 29/10/2016 Nguyễn Quang Thắng - 2014ATTMMT Page 87 ... mà hệ thống phát ngăn chặn xâm nhập sử dụng ngày rộng rãi coi sở bảo đảm an ninh hệ thống mạng 1.2 Mục tiêu nghiên cứu - Tìm hiểu hệ thống ngăn chặn phát xâm nhập - Tìm hiểu kỹ thuật xâm nhập. .. có tất tính hệ thống phát xâm nhập bình thường kèm với khả ngăn chặn luồng liệu trao đổi hệ thống mạng Do hệ thống có khả ngăn chặn thất thoát tài nguyên, công vào hệ thống tin tặc, chặn luồng... dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevent System) hệ thống mở rộng nâng cao hệ thống phát xâm nhập IDS Nó