BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -o0o - ĐỒ ÁN TỐT NGHIỆP Đề tài Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System - IPS Sinh viên thực hiện: TƠ THANH BÌNH – MSSV: 08B1020122 THÀNH PHỐ HỒ CHÍ MINH NĂM 2010 -0- LỜI CẢM ƠN Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Cơng Nghệ Tp.Hồ Chí Minh đào đạo, trau dồi cho kiến thức thật bổ ích suốt thời gian vừa qua Xin cảm ơn thầy Văn Thiên Hoàng hướng dẫn em hoàn thành luận văn thời gian vừa qua Thầy định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại kiến thức bổ ích, cung cấp tài liệu cần thiết để em hoàn thành đồ án Xin cảm ơn thầy cô khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật Công Nghệ đào tạo cung cấp cho em kiến thức hữu ích, làm hành trang áp dụng vào sống Cám ơn gia đình, người thân bạn bè động viên tơi hồn thành đồ án tốt nghiệp Tơ Thanh Bình -1- Mục Lục LỜI CẢM ƠN Danh mục từ viết tắt .5 Danh mục hình minh họa Danh mục bảng 10 MỞ ĐẦU 11 Chương Tổng quan hệ thống ngăn chặn xâm nhập IPS .13 1.1 Giới thiệu hệ thống ngăn chặn xâm nhập 13 1.2 Sơ lược kiểu cơng cách phòng chống .15 1.2.1 Các loại công .15 1.2.2 Các bước công thường gặp 17 1.2.3 Phương pháp công .18 1.2.4 Giải pháp phòng chống 20 1.3 Kỹ thuật nhận biết ngăn chặn xâm nhập hệ thống IPS 20 1.3.1 Nhận biết qua dấu hiệu - Signature Based .21 1.3.2 Nhận biết qua bất thường - Anomaly Based 22 1.3.3 Nhận biết qua sách - Policy Based 24 1.3.4 Nhận biết qua phân tích - Protocol Analysis Based .24 1.4 Kiến trúc hệ thống ngăn ngừa xâm nhập 25 1.4.1 Modul phân tích gói tin 25 1.4.2 Modul phát công 25 1.4.3 Modul phản ứng .27 1.5 Phân loại hệ thống ngăn chặn xâm nhập 28 1.5.1 Network Base 28 1.5.2 Network Behavior Analysis System 30 1.5.3 Host Based .31 1.5.4 Wireless 32 1.6 So sánh hệ thống phát xâm nhậpvà ngăn chặn xâm nhập 33 -2- 1.7 Các sản phẩm thị trường 35 Chương Giới thiệu tổng quan thiết bị IOS IPS .36 2.1 Giới thiệu 36 2.1.1 Một vài định nghĩa 36 2.1.2 Chức hệ thống ngăn chặn xâm nhập 37 2.2 Mơ hình hệ thống ngăn chặn xâm nhập 40 2.2.1 IPS luồng - Promiscous Mode 41 2.2.2 IPS luồng - In-line mode 41 2.3 Cấu trúc Cisco IOS IPS Sensor 42 2.3.1 Signature Definition File - SDF .42 2.3.2 Signature Micro Engine - SME 43 2.4 Các loại dấu hiệu cảnh báo 43 2.4.1 Các loại dấu hiệu .43 2.4.2 Các loại cảnh báo .46 2.5 Phương pháp quản lý hạn chế hệ thống ngăn chặn xâm nhập 48 2.6 Các lệnh Cisco IOS IPS 49 2.6.1 Các mode Command Line Interface 49 2.6.2 Tìm hiểu luật Cisco IOS IPS .51 2.7 Các lỗi thường gặp cấu hình Comman - Line 55 Chương Mơ hình thực nghiệm 57 3.1 Mô tả thực nghiệm 57 3.2 Hạ tầng mạng thực nghiệm .58 3.3 Một số phần mềm dùng để triển khai 59 3.3.1 Mô tả thiết bị 59 3.3.2 Phần mềm cho PC 59 3.3.3 Mô tả kết nối .60 3.4 Cấu hình kiểm thử 61 3.4.1 Cấu hình cho thiết bị 61 3.4.2 Kiểm tra q trình thơng mạng 75 -3- 3.5 Các công kết thống kê thực nghiệm 76 3.5.1 Tấn công 76 3.5.2 Ngăn chặn 78 3.5.3 Kết thống kê thực nghiệm 79 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 83 -4- Danh mục từ viết tắt Viết tắt ACL ASDM CSA AIC ARP IOS SDM CSM MARS CLI CSA DdoS DNS DoS NBA FRU FTP GMT HIPS Tiếng Anh Access Control List Adaptive Security Device Manager Cisco Security Agent Application Inspection and Control Address Resolution Protocol Internetwork Operating System Cisco Security Device Manager Cisco Security Manager Security Monitoring, Analysis, and Response System Command Line Interface Cisco Security Agent Distributed Denial of Service Domain Name System Denial-of-service Network behavior anomaly Fragment Reassembly Unit File Transfer Protocol Time-zone-Tame Host-Based Intrusion Prevention System HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol ICMP Secure Internet Control Message Protocol Tiếng Việt Danh sách câu lệnh Chương trình dùng để cấu hình Route Phần mềm bảo mật cho Cisco Giao thức Address Resolution Protocol Chương trình dùng để cấu hình Cisco Chương trình dùng để cấu hình Cisco Giao diện dòng lệnh Tấn cơng từ chối dịch vụ Hệ thống tên miền Tấn công từ chối dịch vụ Dựa dấu hiệu dị thường Tập hợp IP fragments Giao thức truyền liệu Giờ GMT Giao thức truyền tải siêu văn Giao thức bảo mật truyền tải siêu văn Giao thức xử lý thông báo trạng IDM thái cho IP Cisco Intrusion Prevention System Chương trình dùng để cấu hình IPS IDP IDS MC IDAPI Device Manager Intrusion Detection and Prevention Ngăn ngừa cơng phòng chống Intrusion Detection System Hệ thống phát xâm nhập Management Center Trung tâm quản lý Intrusion Detection Application IPS TCP LAN Programming Interface Intrusion Prention System Transport Control Protocol Local Area Network -5- Hệ thống phát xâm nhập Giao thức điều khiển truyền tải Mạng cục LDAP Lightweight Directory Access Giao thức ứng dụng truy cập cấu MAC Protocol Media Access Control trúc thư mục Định danh gán cho thiết bị mạng MITM VPN NTP NIPS Man-in-the-middle Virtual Path Network Time Protocol Network-Base Intrusion Tấn công thụ động Mạng riêng ảo Nhận dạng kênh ảo tế bào NIC POP OSI RCP SCP SSH SDEE CSM SDF SME SNMP Prevention System network interface Control Post Office Protocol Open Systems Interconnection Remotecopy Protocol Secure Copy Protocol Secure shell Security Device Event Exchange Security Manager Signature Definition file Signature micro-enines Simple Network Management SMTP TFTP TLS Protocol Simple Mail Transfer Protoco Trivial File Transfer Protoco Transport Layer Security bị mạng Giao thức truyền tải thư tín đơn giản Giao thức truyền tải file Giao thức bảo vệ mã hóa liệu UDP UTM VPN User Datagram Protoco Unified Threat Management Virtual Private Network Giao thức cốt lõi giao thức TCP/IP Quản lí Bảo mật Hợp Mạng riêng ảo WAN WIPS Wide Area Network Wireless Intrusion Prevention Mạng diện rộng Hệ thống phòng chống xâm nhập mạng Giao thức dùng để nhận thư điện tử Mơ Hình Mạng OS Giao thức giám sát điều khiển thiết System WLAN Wireless LAN không dây Mạng không dây nội XML WIDS eXtensible Markup Language Wireless Intrusion Detection Ngôn ngửi đánh dấu mở rộng Hệ thống phát xâm nhập mạng System khơng dây -6- Danh mục hình minh họa Hình 1-1 Mơ hình Snort kết hợp Firewall 14 Hình 1-2 Mơ hình ngăn chặn xâm nhâp cứng 15 Hình 1-3 Phương thức nhiễm ARP cache .18 Hình 1-4 Nhận chuyển Packet 19 Hình 1-5 Sơ đồ cơng DNS 20 Hình 1-6 Signature Based 21 Hình 1-7 Anomaly Based .23 Hình 1-8 Policy Based 24 Hình 1-9 Kiến trúc chung hệ thống ngăn chặn xâm nhập 25 Hình 1-10 Mơ hình Network Base 28 Hình 1-11 Thành phần Network Base 29 Hình 1-12 Mơ hình Network Behavior Analysis System .31 Hình 1-13 Mơ hình Host Based 32 Hình 1-14 Mơ hình Wireless 33 Hình 1-15 Mơ hình chung 34 Hình 2-1 Các thành phần Cisco IPS 37 Hình 2-2 Cơ chế hoạt động hệ thống ngăn chặn xâm nhập 39 Hình 2-3 Promiscuos mode 41 Hình 2-4 Inline Mode .42 Hình 2-5 Các dấu hiệu Attack 44 Hình 2-6 Các dấu hiệu giao thức .45 Hình 3-1 Mơ hình thực nghiệm 57 Hình 3-2 Sơ đồ hệ thống cần mơ 59 Hình 3-3 Bắt đầu cài GNS3 64 Hình 3-4 Cài WinpCap 64 Hình 3-5 Kết thúc trình cài đặt GNS3 65 Hình 3-6Giao diện GNS3 .65 Hình 3-7 Bắt đầu cài SDM .66 Hình 3-8 Cài đặt SDM 67 -7- Hình 3-9 SDM Laucher 67 Hình 3-10 Giao diện SDM .68 Hình 3-11 Tính IPS router 68 Hình 3-12 Thơng báo chạy IPS 69 Hình 3-13 Danh sách card mạng 69 Hình 3-14 Mô tả cách nạp signature .70 Hình 3-15 Kết thúc trình cấu hình .70 Hình 3-16 Kết thúc trình cấu hình 71 Hình 3-17 Nạp file SDF cho IOS IPS .71 Hình 3-18 Card mạng IPS theo dõi 72 Hình 3-19 Định nghĩa hành động cho dấu hiệu 72 Hình 3-20 Chỉnh sửa dấu hiệu 73 Hình 3-21 Truy cập HTTP 76 Hình 3-22 Truy cập FTP 76 Hình 3-23 Nmap kiểm tra port server 77 Hình 3-24 IPS bắt gói tin Hacker .78 Hình 3-25 Chương trình Scanport 80 Hình 3-26 IPS chặn kết nối FTP .81 -8- Danh mục bảng Bảng 2-1 Tóm tắt loại dấu hiệu 44 Bảng 2-2 Bảng mô tả chi tiết dấu hiệu 46 Bảng 2-3 Bộ nhớ dấu hiệu .49 Bảng 2-4 Các dấu hiệu không hỗ trợ 49 -9- Cisco IOS IPS, theo mặc định, thông báo SDEE khơng kích hoạt Cisco SDM nhắc nhở người dùng phép thông báo kiện IPS qua SDEE chọn ok Hình Mơ hình thực nghiệm-33 Thông báo chạy IPS Nhấp vào "Next" giao diện dẫn đến trang Wizard IPS Chọn interface danh sách đánh dấu vào ô trống cho hai hướng hay card mạng mà muốn kích hoạt tính IPS Cisco đề nghị cho phép hướng kích hoạt IPS giao diện Click "Next" kết thúc việc chọn lựa Hình Mơ hình thực nghiệm-34 Danh sách card mạng Màng hình cho thấy vị trí SDF Wizard IPS Để cấu hình địa điểm SDF, nhấp vào "Add " nút bên phải danh sách - 68 - Hình Mơ hình thực nghiệm-35 Mô tả cách nạp signature SDF Location : SDF nhớ dùng để lưu lại dấu hiệu, ta add thêm nhớ cách click “Add”, cửa sổ “Add a signature location” xuất chọn secify sdf using url chọn tftp (để thực trình copy File sdf máy tính chạy tftp), qua bước để chọn add file SDF từ máy tính Hình Mơ hình thực nghiệm-36 Kết thúc trình cấu hình - 69 - Sau thiết lập thay đổi SDM, màng hình tổng kết trình cấu hình rule nạp signature ta click Finish để bắt đầu apply thay đổi Hình Mơ hình thực nghiệm-37 Kết thúc q trình cấu hình Từ giao diện định nghĩa thêm signature sau kích hoạt default SDF Có thể định nghĩa thêm signature cách chức import Để nhập chữ ký mới, chọn default SDFs, IOS-Sxxx.zip cập nhật tập tin để nhập chữ ký bổ sung Chọn nút nhấn “import” công cụ bảng danh sách chữ ký Kế tiếp chọn “from pc” để đường dẫn tới file dấu hiệu Hình Mơ hình thực nghiệm-38 Nạp file SDF cho IOS IPS Chọn Configure-> Intrusion Prevention -> “Edit IPS” -> Signatures -> để kiểm tra lại xem coi IPS giám sát gói tin qua interface S2/0 chưa - 70 - Hình Mơ hình thực nghiệm-39 Card mạng IPS theo dõi Ta chỉnh lại hành động chữ ký cách kích chọn vào chữ ký chọn Action chọn lựa hành động Hình Mơ hình thực nghiệm-40 Định nghĩa hành động cho dấu hiệu Ngồi ta chỉnh sửa cho dấu hiệu cách chọn dấu hiệu cần sửa chọn “Edit” - 71 - Hình Mơ hình thực nghiệm-41 Chỉnh sửa dấu hiệu Lưu ý: trình nạp dấu hiệu thêm vào CPU hoạt động cao lúc nạp không nên làm hành động khác làm cho trình nạp signature chậm lại Sau chữ ký nạp có vài trường hợp khơng enable muốn enable cho phù hợp với nhu cầu cần thiết hệ thống Sau cấu hình chỉnh sữa hồn tất tính IPS SDM ,truy cập vào command line vào router kiểm tra dòng lệnh sau: Lệnh xem chữ ký bị disable IPS#show running-config | include ip ips signature * disable Lệnh xem vị trí lưu trữ flie sdf IPS#show running-config | in ip ips *.sdf ip ips sdf location tftp://192.168.3.3 autosave ip ips sdf location flash://256MB.sdf Lệnh xem giá trị IPS IPS>show ip ips all Configured SDF Locations: tftp://192.168.3.3 autosave - 72 - flash://256 MB.sdf Last successful SDF load time: 15:16:00 UTC Dec 13 2010 Event notification through syslog is enabled Event notification through SDEE is enabled Total Active Signatures: 132 IPS Rule Configuration IPS name sdm_ips_rule Interface Configuration Interface FastEthernet1/1 Inbound IPS rule is sdm_ips_rule Outgoing IPS rule is sdm_ips_rule Interface FastEthernet1/0 Inbound IPS rule is sdm_ips_rule Outgoing IPS rule is sdm_ips_rule Tiến hành ping kiểm tra xem từ mạng unstrusted vào trusted có gây cảnh báo không *Dec 13 14:15:49.615: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] *Dec 13 14:15:53.823: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] *Dec 13 14:15:53.887: %IPS-4-SIGNATURE: Sig:2000 Subsig:0 Sev:2 ICMP Echo Rply [ 192.168.1.4:0 -> 192.168.3.3:0] *Dec 13 14:15:54.819: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] Kết nhận Router IPS gây cảnh báo ghi rõ vi phạm chữ ký với gói tin gì, từ đâu đến đâu - 73 - 3.4.2 Kiểm tra q trình thơng mạng Khi cấu hình xong ta tiến hành kiểm tra trình theo dỏi hệ thống IPS, từ mạng 192.168.3.0 router biên Inside ta ping đến mạng 192.168.1.0 router biên OutSide internet ta thấy kết bên dưới: Các host inside chia thành VLAN truyền thông với InSide#ping 192.168.1.4 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is min/avg/max = seconds: !!!!! Success rate is 100 percent (5/5), round-trip 80/143/264 ms Từ mạng 192.168.1.0 router biên Outside ta ping đến mạng 192.168.3.0 router biên InSide vung DMZ ta thấy kết bên dưới: OutSide#ping 192.168.3.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.3.5, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 80/143/264 ms OutSide# Kết nối http vào Web Server user bên Internet user bên mạng nội trường truy cập website đặt máy chủ thuộc vùng DMZ - 74 - Hình Mơ hình thực nghiệm-42 Truy cập HTTP Kết nối vào FTP Server Hình Mơ hình thực nghiệm-43 Truy cập FTP Kết nối Telnet vào hệ thống login as: root root@192.168.1.4's password:****** Last login: Mon Nov 29 11:23:30 2010 from 192.168.1.5 [root@thanhbinh ~]# ls anaconda-ks.cfg Desktop install.log install.log.syslog vmware-toolsdistrib [root@thanhbinh ~]# 3.5 Các công kết thống kê thực nghiệm 3.5.1 Tấn cơng Hacker công gây ngập lụt với số lượng lớn cách gửi nhiều gói tin vào hệ thống làm tắt mạng hay Scanport để dò tìm ứng dụng port mà hệ - 75 - thống Server chạy sau chúng dựa lỗ hổng để cơng vào Hình Mơ hình thực nghiệm-44 Nmap kiểm tra port server Hacker dùng lệnh Ping với số lượng gói tin lớn đến Server Khi hệ thống IPS phát bắt gói tin độc hại hacker dùng để xâm nhập vào hệ thống - 76 - Hình Mơ hình thực nghiệm-45 IPS bắt gói tin Hacker 3.5.2 Ngăn chặn Cấu hình ngăn chặn mạng ngồi (outside) xâm nhập vào miền inside DMZ, có lưu lượng qua IOS IPS tiến hành kiểm tra gói tin đó, Hình 3-19 lưu lượng TCP, ICMP, SYN/FIN … dấu hiệu IPS ghi lại qua qua Sig ID 2000, 2001, 2004, 3040, 3041, 3042, 3150, 3151 …ta tiến hành ngăn chặn q trình Scan port khơng cho Hacker ping vào hệ thống cách click phải Sig ID chọn Action chứa hành động ngăn chặn chọn drop hay reset lại kết nối ta làm cho Sig ID hình bên - 77 - 3.5.3 Kết thống kê thực nghiệm Qua thực nghiệm kiểm tra thấy kẻ công từ bên ngồi Internet khơng thể truy cập vào bên vùng inside DMZ thiết bị IPS chặn lại C:\Documents and Settings\binh>ping 192.168.1.4 Pinging 192.168.1.4 with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out - 78 - Bây giời hacker dùng Nmap hay SuperScan để Scan vào hệ thống thấy Port mở Server Hình Mơ hình thực nghiệm-46 Chương trình Scanport - 79 - Hoặc kết nối FTP bị chặn lại ta cấu hình bên Hình Mơ hình thực nghiệm-47 IPS chặn kết nối FTP Như sau sử dụng Cisco IOS IPS, user bên mạng nội truy cập vào vùng DMZ truy cập Internet C:\Documents and Settings\BINH TO>ping 192.168.1.4 Pinging 192.168.1.4 with 32 bytes of data: Reply from 192.168.1.4: bytes=32 time