Hiện nay, mạng Internet đã và đang trở nên phổ biến hơn trên toàn thế giới. Nó đem lại cho con người một cách tiếp cận thông tin hoàn toàn mới. Đồng thời, ngoài những lợi ích to lớn của mình, mạng internet cũng ẩn chứa nhiều mối nguy hiểm tiềm tàng như: Lây nhiễm virus, sâu mạng, trojan, sniffer,….. . Với một hệ thống mạng máy tính, việc đảm bảo an toàn cho hệ thống tránh khỏi các nguy cơ, hiểm họa đe dọa rất được chú trọng và đề cao. Với một mô hình như mạng của Học Viện, việc đảm bảo đó cần áp dụng, kết hợp nhiều biện pháp khác nhau. Trong bản báo các này, chúng em xin trình bày về đề tài: “Xây dựng hệ thống phát hiện và chống xâm nhập trái phép cho mạng cơ sở 1, dựa trên Suricata”.
Xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở 1, dựa Suricata PHẦN TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS PHẦN PHẦN TỔNG QUAN VỀ SURICATA XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS Your Company Name Chức hệ thống phát xâm nhập IDS Your Company Name Chức mở rộng IDS Phân biệt cơng từ từ bên ngồi: phân biệt đâu truy cập hợp lệ (hoặc không hợp lệ) từ bên đâu cơng từ bên ngồi Your Company Name Phát hiện: dựa vào so sánh lưu lượng mạng với baseline, IDS phát dấu hiệu bất thường đưa cảnh báo bảo vệ ban đầu cho hệ thống Phân Loại IDS Network-based IDS (NIDS) Sử dụng liệu tồn lưu thơng mạng liệu kiểm tra từ một vài máy trạm để phát xâm nhập Host-based IDS (HIDS) Sử dụng liệu kiểm tra tự máy trạm đơn để phát xâm nhập Your Company Name Chức hệ thống phát xâm nhập IPS Chức IPS xác định hoạt động nguy hại, lưu giữ các thơng tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Your Company Name Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự nhau. Điểm khác hệ thống IPS khả theo dõi, giám sát có chức ngăn chặn kịp thời hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS NIPS – Network-based Intrusion Prevention - Hệ thống ngăn ngừa xâm nhập mạng thường triển khai trước sau firewall - Khi triển khai IPS trước firewall bảo vệ tồn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiểu nguy bị công từ chối dịch vụ đồi với firewall - Khi triển khai IPS sau firewall phòng tránh số kiểu cơng thơng qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên Your Company Name Phân Loại IPS HIPS – Host-based Intrusion Prevention - Hệ thống ngăn ngừa xâm nhập host thường triển khai với mục đích phát ngăn chặn kịp thời hoạt động thâm nhập host - Để ngăn chặn cơng, HIPS sử dụng công nghệ tương tự giải pháp antivirus - Ngoài khả phát ngăn ngừa hoạt động thâm nhập, HIPS có khả phát thay đổi tập tin cấu hình TỔNG QUAN VỀ SURICATA Your Company Name Tính suricata Khả xử lý đa luồng Your Company Name Khả định danh giao thức Khả định danh tập tin MD5 trích xuất tập tin 10 Khả xử lý đa luồng Khả xử lý đa luồng (Multi threading) tính IDS, nhiều luồng gói tin xử lý Luồng sử dụng nhiều mô-đun thread để xử lý công việc Luồng có hàng đợi xử lý đầu vào hàng đợi xử lý đầu Chúng sử dụng để lấy gói tin từ luồng khác từ nhớ chung Một luồng đặt nhân CPU Mô-đun thread lưu trữ kiến trúc Threadvars Your Company Name 11 Khả định danh giao thức Suricata có khả tự động nhận dạng đặc trưng giao thức phổ biến, từ giúp người viết luật phát linh động tạo luật dựa lưu lượng mạng đặc tính cổng giao thức Your Company Name Điều làm giảm phức tạp luật trình viết gia tăng phát dấu hiệu mã độc điều khiển lưu lượng dễ dàng 12 Khả định danh tập tin MD5 trích xuất tập tin Suricata định danh hàng nghìn loại tệp tin q trình truyền qua mạng mà giám sát Nếu muốn tìm hiểu sâu tệp tin người quản trị đánh dasu để trích xuất xuống máy tính dạng sieeu liệu miêu tả hoàn cảnh chặn bắt Your Company Name Ngoài Suricata có khả tính tốn giá trị kiểm tra MD5 tệp tin q trình giám sát Tính giúp hệ thống kiểm tra tính tồn vẹn tệp tin so sánh giá trị băm với danh sách băm MD5 cung cấp trước 13 Kiến trúc Suricata Your Company Name 14 Tập luật Suricata Phần Header chứa thơng tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin Your Company Name Phần Option chứa thông điệp cảnh báo thơng tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh luật với gói tin Một luật phát hay nhiều hoạt động thăm dò hay cơng Các phát hay nhiều hoạt động thăm dò hay cơng Các luật thơng minh có khả áp dụng cho nhiều dấu hiệu xâm nhập 15 Rule Header Là phần quy định loại hành động thực thi dấu hiệu gói tin nhận dạng xác luật Là phần quy định việc áp dụng luật cho gói tin thuộc giao thức cụ thể Ví dụ IP, TCP, UDP, … Your Company Name Là phần địa ngưồn định địa đích Xác Các địa mộtcổng máy nguồn đơn, nhiều máy hoặcđích của mạng mộtđó.gói tin Trong hai phần mà địa trên địa luật áp nguồn, dụng địa đích địa Phần đâu địa nguồn, đâu địa đích thuộc loại phần Direction quy định 16 So sánh Suricata Snort Your Company Name 17 XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP Your Company Name 18 ...PHẦN TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS PHẦN PHẦN TỔNG QUAN VỀ SURICATA XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS/IPS Your... liệu kiểm tra từ một vài máy trạm để phát xâm nhập Host-based IDS (HIDS) Sử dụng liệu kiểm tra tự máy trạm đơn để phát xâm nhập Your Company Name Chức hệ thống phát xâm nhập IPS Chức IPS xác... chi tiết hoạt động xâm nhập trái phép Your Company Name Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự nhau. Điểm khác hệ thống IPS khả theo