BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -o0o - ĐỒ ÁN TỐT NGHIỆP  Đề tài  Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System - IPS Sinh viên thực hiện:   TƠ THANH BÌNH – MSSV: MSSV: 08B1020122 THÀNH PHỐ HỒ CHÍ MINH NĂM 2010 -0-   LỜI CẢM ƠN Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Cơng Nghệ Tp.Hồ Chí Minh đào đạo, trau dồi cho tơi kiến thức thật bổ ích suốt thời gian vừa qua Xin cảm ơn thầy Văn Thiên Hoàng hướng dẫn em hoàn thành luận văn thời gian vừa qua Thầy định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại kiến thức bổ ích, cung cấp tài liệu cần thiết để em hoàn thành đồ án Xin cảm ơn thầy cô khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật Công Nghệ đào tạo cung cấp cho em kiến thức hữu ích, làm hành trang áp dụng vào sống Cám ơn gia đình, người thân bạn bè động viên tơi hồn thành đồ án tốt nghiệp Tơ Thanh Bình -1-   Mục Lục LỜI CẢM ƠN ƠN Danh mục từ viết tắt .5 tắt .5 Danh mục hình minh họa họa .8 Danh mục bảng bảng 10 10 MỞ ĐẦU 11 Chương Tổng quan hệ thống ngăn chặn xâm nhập IPS .13 IPS .13 1.1 Giới thiệu hệ th thống ống nngăn găn ch chặn ặn xâ xâm m nhập nhập 13 13 1.2 Sơ lược kiểu côn côngg cách phòng phòng chống chống 15 1.2.11 Các loại công 1.2 công .15 15 1.2.2 Các bước công 1.2.2 công thường thường gặp gặp 17 17 1.2.33 Phương 1.2 Phương pháp công công 18 18 1.2.44 Giải pháp 1.2 pháp phòng phòng chốn chống g 20 20 1.3 Kỹ thuật nhận biết biết ng ngăn ăn chặn xâm xâm nhập hệ tthống hống IPS 20 IPS 20 1.3.11 Nhận biết 1.3 biết qua dấu hiệu hiệu - Signature Signature Based Based .21 21 1.3.22 Nhận biết 1.3 biết qua bất thường thường - Anomaly Anomaly Based Based .22 22 1.3.33 Nhận biết 1.3 biết qua sách - Policy Policy Based Based 24 24 1.3.4 Nhận biết biết qu quaa phân tí tích ch - P Protocol rotocol Analysis Analysis Based Based .24 24 1.4 Kiến trúc hệ thống thống ngăn ngừa xâm nhập nhập 25 25 1.4.1 Modul phân tích gói tin tin 25 25 1.4.22 Modul 1.4 Modul phát công công 25 25 1.4.3 Modul phản ứng ứng .27 27 1.5 Phân loại hệ thống ngăn chặn xâm nhập nhập 28 28 1.5.11 Network 1.5 Network Base Base 28 1.5.22 Network 1.5 Network Behavior Behavior Analysis Analysis System System 30 30 1.5.3 Host Based Based .31 31 1.5.44 Wireless 1.5 ireless 32 1.6 So sánh hệ thống phát hi ện xâm nnhậpvà hậpvà ng ngăn ăn chặn xâm nhập 33 nhập 33 -2-   1.7 Các sản phẩm ttrên rên thị trường 35 35 Chương Giới thiệu tổng quan thiết bị IOS IPS .36 IPS .36 2.1 Giới thiệu thiệu 36 36 2.1.1 Một vài định nghĩa nghĩa 36 36 2.1.2 Chức 2.1.2 hệ hệ thống ngăn ngăn chặn chặn xâm nhập nhập 37 37 2.2 Mơ hì hình nh của hệ thống ngăn chặn xxâm âm nhập nhập .40 40 2.2.1 IPS luồng - Promiscous Mode Mode 41 41 2.2.22 IPS luồng 2.2 luồng - In-li In-line ne mode mode 41 2.3 Cấu trúc Cisco Cisco IOS IPS Sensor Sensor 42 42 2.3.11 Signatur 2.3 Signaturee Defi Definiti nition on File - SDF SDF 42 42 2.3.2 Signature Micro Engine - SME SME 43 43 2.4 Các lloại oại dấu hiệu cảnh báo báo 43 43 2.4.1 Các loại dấu hiệu 2.4.1 hiệu .43 43 2.4.22 Các loại cảnh báo 2.4 báo 46 46 2.5 Phương ph pháp áp quản lý hạn chế hệ thốn thốngg ngăn chặn xâm nhập 48 nhập 48 2.6 Các lệnh Cisco IOS IPS IPS 49 49 2.6.11 Các mode Command 2.6 Command Line Interface Interface 49 49 2.6.22 Tìm hiểu luật 2.6 luật Cisco IOS IPS IPS 51 51 2.7 Các lỗi tthường hường gặp cấu hình Co Comman mman - Li Line ne .55 55 Chương Mơ hình thực nghiệm nghiệm 57 57 3.1 Mô tả thực nghiệm nghiệm 57 57 3.2 Hạ tầng mạng thực nghiệm nghiệm 58 58 3.3 Một ssốố phần phần mềm dùng để ttriển riển khai 59 khai 59 3.3.11 Mô tả thi 3.3 thiết ết bị bị .59 59 3.3.22 Phần mềm cho PC 3.3 PC 59 59 3.3.33 Mô tả kết nối 3.3 nối 60 60 3.4 Cấu hình kiểm thử thử 61 61 3.4.1 Cấu hình cho thiết bị 61 bị 61 3.4.22 Kiểm tra q trình thơng mạng 3.4 mạng 75 75 -3-   3.5 Các công kết quả thống thống kê tthực hực nghiệm nghiệm .76 76 3.5.11 Tấn công 3.5 công 76 76 3.5.22 Ngăn chặn 3.5 chặn 78 78 3.5.33 Kết thống kê thực nghiệm 3.5 nghiệm 79 79 KẾT LUẬN 82 LUẬN 82 TÀI LIỆU THAM KHẢO 83 KHẢO 83 -4-   Danh mục từ viết tắt Viết tắt Tiếng Anh Tiếng Việt ACL Access Control List Danh sách câu lệnh ASDM Adap Adaptiv tivee Security Security Devic Devicee Manager Manager Chươ Chương ng trình trình dùng dùng để để cấu hình hình Route Route CSA AIC ARP IOS SDM CSM MARS Cisco ApplicSecurity ation In InsAgent pection aannd Co Control Addr ddres esss Res esol oluutio ionn Prot Protooco coll Internetwork Operating System Cisco Security Device Manager Cisco Security Manager Security Monitoring, Analysis, Analysis, and CLI CSA DdoS Response System Command Line Interface Cisco Security Agent Distributed Denial of Service DNS Domain DoS D enial-oName f-servicSystem e NBA  Network behavior behavior anom anomaly aly FRU Fragment Reassembly Unit FTP File Transfer Protocol GMT Time-zoneTime-zone-Tame Tame HIPS Host-Based Intrusion Prevention System HTTP Hypertext T Trransfer Pr Protocol HTTPS Hypertext Transfer Protocol Secure ICMP IDM IDP IDS MC IDAPI IPS TCP LAN Phần mềm bảo mật cho Cisco Giao Giao thức hức Addre dress Res Resol oluutio ionn Pr Prot otoocol col Chương trình dùng để cấu hình Cisco Chương trình dùng để cấu hình Cisco Giao diện dịng lệnh Tấn cơng từ chối dịch vụ Hệ Tấnthống công tên từ cmiền hối dịch vụ Dựa dấu hiệu dị thường Tập hợp IP fragments Giao thức truyền liệu Giờ GMT Giao th thức tr truyền tải ssiiêu văn bbảản Giao thức bảo mật truyền tải siêu văn  bản Inte Intern rnet et Co Cont ntro roll Mess Messag agee Prot Protoc ocol ol Gi Giao ao th thức ức xử lý các th thôn ôngg báo báo tr trạn ạngg thái cho IP Cisco Intrusion Prevention System Chương trình dùng để cấu hình IPS Device Manager  Intrusio Intr usionn Det Detecti ection on and and Prevent Prevention ion Ngăn ngừa công công vvàà phòng phòng chống chống Intrusion Detection System Hệ thống phát xâm nhập Management Center Trung tâm quản lý Intrusion Detection Application Programming Interface Intrusion Prention System Transport Control Protocol Local Area Network -5- Hệ thống phát xâm nhập Giao thức điều khiển truyền tải Mạng cục   LDAP Lightweight Directory Access Giao thức ứng dụng truy cập cấu MAC Protocol Media Access Control trúc thư mục Định danh gán cho thiết bị mạng MITM VPN NTP NIPS Man-in-the- middle Man-in-the-middle Virtual Path  Network Tim Timee Protocol  Network-Basee Intrusion  Network-Bas Prevention System NIC network interface Control POP Post Office Protocol OSI Open Sy Systems In Interconnection RCP Remotecopy Protocol SCP Secure Copy Protocol SSH Secure shell SDEE Security Device Event Exchange CSM Security Manager SDF Signature Definition file SME Signature micro-enines SNMP Simple Network Management Tấn công thụ động Mạng riêng ảo Nhận dạng kênh ảo trong tế bào Protocol SMTP Si Simp mplle Ma Mail Tra rannsfer fer Pr Proto toco co TFTP Trivial File Transfer Protoco TLS Transport Layer Security UDP User Datagram Protoco UTM Unified Threat Management VPN Virtual Private Network WAN Wide Area Network WIPS Wireless Intrusion Prevention System WLAN Wireless LAN XML eXtensible Markup Language WIDS Wireless Intrusion Detection  bị mạng Gi Giao ao thức hức tr truyền uyền tải tải tthhư tín tín đơn đơn gi giản Giao thức truyền tải file Giao thức bảo vệ mã hóa liệu Giao thức cốt lõi giao thức TCP/IP Quản lí Bảo mật Hợp Mạng riêng ảo Mạng diện rộng Hệ thống phòng chống xâm nhập mạng không dây Mạng không dây nội Ngôn ngửi đánh dấu mở rộng Hệ thống phát xâm nhập mạng System Giao thức dùng để nhận thư điện tử Mơ Hì Hình Mạng OS OS Giao thức giám sát điều khiển thiết không dây -6-   Danh mục hình minh họa Hình 1-1 Mơ hình Snort kết hợp Firewall 14 Hình 1-2 Mơ hình ngăn chặn xâm nhâp cứng 15 Hình 1-3 Phương thức nhiễm ARP ARP cache cache 18 18 Hình 1-4 Nhận chuyển Packet 19 Hình 1-5 Sơ đồ công DNS DNS 20 20 Hình 1-6 Signature Based 21 Hình 1-7 Anomaly Based .23 Hình 1-8 Policy Based Based 24 24 Hình 1-9 Kiến trúc chung hệ thống ngăn chặn xâm nhập 25 Hình 1-10 Mơ hình Network Base 28 Hình 1-11 Thành Thành phần Network Base Base 29 29 Hình 1-12 Mơ hình Network Network Behavior Analysis System System 31 31 Hình 1-13 Mơ hình Host Based Based 32 32 Hình 1-14 Mơ hình Wireless 33 Hình 1-15 Mơ hình chung 34 Hình 2-1 Các thành phần Cisco IPS IPS 37 37 Hình 2-2 Cơ chế hoạt động hệ thống ngăn chặn chặn xâm nhập nhập 39 39 Hình 2-3 Promiscuos mode 41 Hình 2-4 Inline Mode .42 Hình 2-5 Các dấu hiệu Attack 44 Hình 2-6 Các dấu hiệu giao thức .45 Hình 3-1 Mơ hình thực nghiệm 57 Hình 3-2 Sơ đồ hệ thống cần mô 59 Hình 3-3 Bắt đầu cài GNS3 GNS3 64 64 Hình 3-4 Cài WinpCap WinpCap 64 64 Hình 3-5 Kết thúc trình cài đặt GNS3 65 Hình 3-6Giao diện GNS3 GNS3 65 Hình 3-7 Bắt đầu cài SDM .66 Hình 3-8 Cài đặt SDM 67 -7-   Hình 3-9 SDM Laucher 67 Hình 3-10 Giao diện SDM .68 Hình 3-11 Tính IPS router 68 Hình 3-12 Thơng báo chạy IPS 69 Hình 3-13 Danh sách card mạng 69 Hình 3-14 Mơ tả cách nạp signature .70 signature 70 Hình 3-15 Kết thúc trình cấu hình .70 Hình 3-16 Kết thúc trình cấu hình 71 Hình 3-17 Nạp file SDF cho IOS IPS IPS .71 71 Hình 3-18 Card mạng IPS theo dõi dõi 72 72 Hình 3-19 Định nghĩa nghĩa hành động cho dấu hiệu hiệu 72 72 Hình 3-20 Chỉnh sửa dấu hiệu hiệu 73 73 Hình 3-21 Truy cập HTTP 76 Hình 3-22 Truy cập FTP FTP 76 76 Hình 3-23 Nmap kiểm tra port server server 77 77 Hình 3-24 IPS bắt gói tin Hacker Hacker 78 Hình 3-25 Chương trình Scanport 80 Hình 3-26 IPS chặn kết nối FTP .81 FTP 81 -8-   Danh mục bảng Bảng 2-1 Tóm tắt loại dấu hiệu 44 Bảng 2-2 Bảng mô tả chi tiết dấu hiệu 46 Bảng 2-3 Bộ nhớ dấu hiệu .49 Bảng 2-4 Các dấu hiệu không hỗ trợ 49 -9- 67   Cisco IOS IPS, theo mặc định, thơng báo SDEE khơng kích hoạt Cisco SDM nhắc nhở người dùng phép thông báo kiện IPS qua SDEE chọn ok  Hình Mơ hình thực nghiệm-33 Thông báo chạy IPS  Nhấp vào "Next" giao diện dẫn đến trang Wizard IPS Chọn interface danh sách đánh dấu vào ô trống cho hai hướng hay card mạng mà muốn kích hoạt tính IPS Cisco đề nghị cho phép hướng ngồi kích hoạt IPS giao diện Click "Next" kết thúc việc chọn lựa Hình Mơ hình thực nghiệm-34 Danh sách card mạng Màng hình cho thấy vị trí SDF Wizard IPS Để cấu hình địa điểm SDF, nhấp vào "Add " nút bên phải danh sách - 68   Hình Mơ hình thực nghiệm-35 Mơ tả cách nạp signature SDF Location : SDF nhớ dùng để lưu lại dấu hiệu, ta add thêm nhớ cách click “Add”, cửa sổ “Add a signature location” xuất chọn secify sdf using url chọn tftp (để thực trình copy File sdf máy tính chạy tftp), qua bước để chọn add file SDF từ máy tính Hình Mơ hình thực nghiệm-36 Kết thúc trình cấu hình - 69   Sau thiết lập thay đổi SDM, màng hình tổng kết trình cấu hình rule nạp signature ta click Finish để bắt đầu apply thay đổi Hình Mơ hình thực nghiệm-37 Kết thúc q trình cấu hình Từ giao diện định nghĩa thêm signature sau kích hoạt default SDF Có thể định nghĩa thêm signature cách chức import     Để nhập chữ ký mới, chọn default SDFs, IOS-Sxxx.zip cập nhật tập tin để nhập chữ ký bổ sung Chọn nút nhấn “import” công cụ bảng danh sách chữ ký Kế tiếp chọn “from pc” để đường dẫn tới file dấu hiệu Hình Mơ hình thực nghiệm-38 Nạp file SDF cho IOS IPS Chọn Configure-> Intrusion Prevention -> “Edit IPS” -> Signatures -> để kiểm tra lại xem coi IPS giám sát gói tin qua interface S2/0 chưa - 70   Hình Mơ hình thực nghiệm-39 Card mạng IPS theo dõi Ta chỉnh lại hành động chữ ký cách kích chọn vào chữ ký chọn Action chọn lựa hành động Hình Mơ hình thực nghiệm-40 Định nghĩa hành động cho dấu hiệu  Ngồi ta chỉnh sửa cho dấu hiệu cách chọn dấu hiệu cần sửa chọn “Edit” - 71    Hình Mơ hình thực nghiệm-41 Chỉnh sửa dấu hiệu Lưu ý: trình nạp dấu hiệu thêm vào CPU hoạt động cao lúc nạp không nên làm hành động khác làm cho trình nạp signature chậm lại Sau chữ ký nạp có vài trường hợp khơng enable muốn enable cho phù hợp với nhu cầu cần thiết hệ thống Sau cấu hình chỉnh sữa hồn tất tính IPS SDM ,truy cập vào command line vào router kiểm tra dòng lệnh sau: Lệnh xem chữ ký bị disable IPS#show running-config | include ip ips signature * disable Lệnh xem vị trí lưu trữ flie sdf  IPS#show running-config | in ip ips *.sdf ip ips sdf location tftp://192.168.3.3 autosave ip ips sdf location flash://256MB.sdf Lệnh xem giá trị IPS IPS>show ip ips all Configured SDF Locations: tftp://192.168.3.3 autosave - 72   flash://256 MB.sdf Last successful SDF load time: 15:16:00 UTC Dec 13 2010  Event notification through syslog is enabled  Event notification through SDEE is enabled  Total Active Signatures: 132 IPS Rule Configuration  IPS name sdm_ips_rule Interface Configuration  Interface FastEthernet1/1  Inbound IPS rule is sdm_ips_rule  Outgoing IPS rule is sdm_ips_rule  Interface FastEthernet1/0  Inbound IPS rule is sdm_ips_rule  Outgoing IPS rule is sdm_ips_rule Tiến hành ping kiểm tra xem từ mạng unstrusted vào trusted có gây cảnh báo khơng *Dec 13 14:15:49.615: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] *Dec 13 14:15:53.823: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] *Dec 13 14:15:53.887: %IPS-4-SIGNATURE: Sig:2000 Subsig:0 Sev:2 ICMP Echo Rply [ 192.168.1.4:0 -> 192.168.3.3:0] *Dec 13 14:15:54.819: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req [1 92.168.3.3:0 -> 192.168.1.4:0] Kết nhận Router IPS gây cảnh báo ghi rõ vi phạm chữ ký với gói tin gì, từ đâu đến đâu - 73   3.4.22 Kiểm tra q trình 3.4 trình thơng thơng mạng  mạng  Khi cấu hình xong ta tiến hành kiểm tra trình theo dỏi hệ thống IPS, từ mạng 192.168.3.0 router biên Inside ta ping đến mạng 192.168.1.0 router biên OutSide internet ta thấy kết bên dưới: Các host inside chia thành VLAN truyền thơng với InSide#ping 192.168.1.4 Type escape sequence to abort Send Se ndin ing g 5, 100100-by byte te ICMP ICMP Echo Echos s to 192 192.16 168 8.1 1.10 10, , time timeou out t is mi min/ n/av avg/ g/ma max x = seconds: !!!!! Succ Su cces ess s rate rate is 100 100 perc percen ent t (5/5 (5/5), ), roun roundd-tr trip ip 80/143/264 ms Từ mạng 192.168.1.0 router biên Outside ta ping đến mạng 192.168.3.0 router biên InSide vung DMZ ta thấy kết bên dưới: OutSide#ping 192.168.3.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.3.5, timeout is seconds: !!!!! Succ Su cces ess s rate rate is 100 100 perc percen ent t (5/5 (5/5), ), roun roundd-tr trip ip mi min/ n/av avg/ g/ma max x = 80/143/264 ms OutSide# Kết nối http vào Web Web Server m ột user bên Internet user bên mạng nội trường truy cập website đặt máy chủ thuộc vùng DMZ - 74   Hình Mơ hình thực nghiệm-42 Truy cập HTTP Kết nối vào FTP Server  Hình Mơ hình thực nghiệm-43 Truy cập FTP Kết nối Telnet vào hệ thống login as: root root@192.168.1.4's password:****** Last login: Mon Nov 29 11:23:30 2010 from 192.168.1.5 [root@thanhbinh ~]# ls anaconda-ks.cfg Desktop install.log install.log.syslog vmware-toolsdistrib [root@thanhbinh ~]# 3.55 Các Các ccuộ uộcc tấn công công kết kết q uả thốn thốngg kê kê tthự hựcc ngh nghiệ iệm m 3.5 5.1 Tấn cơng  Hacker công gây ngập lụt với số lượng lớn cách gửi nhiều gói tin vào hệ thống làm tắt mạng hay Scanport để dị tìm ứng dụng port mà hệ - 75   thống Server chạy sau chúng dựa lỗ hổng để cơng vào  Hình Mơ hình thực nghiệm-44 Nmap kiểm tra port server Hacker dùng lệnh Ping với số lượng gói tin lớn đến Server Khi hệ thống IPS phát bắt gói tin độc hại hacker dùng để xâm nhập vào hệ thống - 76    Hình Mơ hình thực nghiệm-45 IPS bắt gói tin Hacker  3.5 3.5.22 Ngăn Ngăn chặn chặn Cấu hình ngăn chặn mạng ngồi (outside) xâm nhập vào miền inside DMZ, có lưu lượng qua IOS IPS tiến hành kiểm tra gói tin đó, Hình 3-19 lưu lượng TCP, ICMP, SYN/FIN … dấu hiệu IPS ghi lại qua qua Sig ID 2000, 2001, 2004, 3040, 3041, 3042, 3150, 3151 …ta tiến hành ngăn chặn trình Scan port không cho Hacker ping vào hệ thống cách click phải Sig ID chọn Action chứa hành động ngăn chặn chọn drop hay reset lại kết nối ta làm cho Sig ID hình bên - 77   3.5.3 Kết 3.5.3 th thốn ốngg kê th thực ực nghiệ nghiệm m Qua thực nghiệm kiểm tra thấy kẻ cơng từ bên ngồi Internet khơng thể truy cập vào bên vùng inside DMZ thiết bị IPS chặn lại C:\Documents and Settings\binh>ping 192.168.1.4 Pinging 192.168.1.4 with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out - 78   Bây giời hacker dùng Nmap hay SuperScan để Scan vào hệ thống thấy Port mở Server Hình Mơ hình thực nghiệm-46 Chương trình Scanport - 79   Hoặc kết nối FTP bị chặn lại ta cấu hình bên Hình Mơ hình thực nghiệm-47 IPS chặn kết nối FTP  Như sau sử dụng Cisco IOS IPS, user bên mạng nội truy cập vào vùng DMZ truy cập Internet C:\Documents and Settings\BINH TO>ping 192.168.1.4 Pinging 192.168.1.4 with 32 bytes of data: Reply from 192.168.1.4: bytes=32 time