KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến KHOA TIN Đề tài: Ì ỂU VỀ Ệ Ấ Ơ V XÂ Ố Á Ệ Ậ : PGS.TSKH rầ Quốc t ực L p Lê Quốc Dự_09CNTT1 ệ ế : L Quốc Dự : 09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến LỜI CẢM ƠN Trước hết em xin chân thành gửi lời cảm ơn đến thầy Trần Quốc Chiến quý thầy cô khoa Tin học, Trường Đại học Sư phạm Đà Nẵng tận tình dạy dỗ truyền đạt kiến thức, kinh nghiệm cho em suốt năm học vừa qua Mặc dù nỗ lực để hồn thành tốt đề tài Nhưng dù điều sai sót q trình hồn thành đề tài điều khơng thể tránh khỏi Vậy em kính mong q thầy đánh giá, bổ sung, góp ý để em tiếp thu nhiều kiến thức kinh nghiệm để vận dụng vào cơng việc sau Em xin chân thành cảm ơn! Tp.Đà nẵng, ngày 15 tháng năm 2013 Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến MỞ ĐẦU Lý chọn đề tài Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vơ quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an tồn cho thơng tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu qủa Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm sốt luồng thơng tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống .Hệ thống phòng chống thâm nhập IPS kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS Có khả nǎng phát công tự động ngǎn chặn công nhằm vào điểm yếu hệ thống IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả phát trước làm chệch hướng công vào mạng IPS đáp ứng yêu cầu hệ thống phòng thủ chiến lược theo chiều sâu, hoạt động dựa sở thu thập liệu mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không để đưa cảnh báo cho nhà quản trị mạng tự động thực số thao tắc nhằm ngăn chặn chấm dứt công Mục tiêu đề tài : - Giúp người hiểu kiến thức chung hệ thống IDS - Giúp người tự xây dựng hệ thống IDS phù hợp với nhu cầu sử dụng - Nghiên cứu, xây dựng sản phẩm IDS ứng dụng vào thực tế Việt Nam Về mặt lý thuyết: Đề tài nêu rõ cần thiết bảo mật, hạn chế phương pháp bảo mật tại, đồng thời nói lên cần thiết hệ thống phát xâm nhập trái phép Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Đề tài đề cập tương đối kỹ lưỡng đến vấn đề lý thuyết IDS, bao gồm kiến trúc chung, phân loại mơ hình IDS Lý IDS cơng nghệ phát triển có nhiều hướng tiếp cận, nên khơng có giải thuật sử dụng làm chuẩn cho việc phát xâm nhập trái phép, cơng cụ có phương pháp riêng Với Snort, phần mềm chọn để xây dựng sản phẩm, đồ án đề cập đến đặc trưng với vai trị mơ hình IDS Đề tài nói đến thành phần chế hoạt động Snort, giới thiệu tập luật Snort bước cài đặt hệ thống IDS hoạt động dựa phần mềm Phạm vi nghiên cứu : - Các giải pháp đưa nhằm hạn chế cho máy chủ web chạy hệ điều hành Linux Về sản phẩm: Snort công cụ phát xâm nhập phổ biến gọi light-weight Instrution Detection System, với số đặc tính sau: - Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows… - Kích thước tương đối nhỏ: phiên snort-2.9.0.5 có kích thước 5.77 MBytes - Có khả phát số lượng lớn kiểu thăm dò, xâm nhập khác : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,… - Phát nhanh xâm nhập theo thời gian thực - Cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập - Giúp người quản trị tự đặt dấu hiệu xâm nhập cách dễ dàng - Là phần mềm Open Source khơng tốn chi phí đầu tư Chương trình sản phẩm giải yêu cầu đề tài: Snort xây dựng với mục đích thoả mãn tính sau: Có hiệu cao, đơn giản có tính uyển chuyển cao, dễ dàng cập nhập cài đặt (nguồn mở ), phát triển tiếp tương lai Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG IPS Lịch sử đời Hệ thống Firewall (tường lửa) cổ điển ứng dụng hệ thống mạng để bảo vệ mạng khỏi công truy nhập trái phép từ lâu Tuy nhiên trình hoạt động Firewall thể nhiều nhược điểm Thứ nhất, hệ thống Firewall hệ thống thụ động, Firewall hoạt động sở tập luật, luật Firewall phải người quản trị cấu hình hay định cho phép hay khơng cho phép gói tin qua Bản thân hệ thống Firewall nhận biết mối nguy hại đến từ mạng mà phải người quản trị mạng thông qua việc thiết lập luật Thứ hai, Hệ thống Firewall hoạt động chủ yếu lớp mạng trở xuống, Firewall ngăn chặn truy nhập thông qua trường địa IP đích nguồn, cổng dịch vụ (TCP/UDP), số Firewall ngăn chặn lớp vật lý thông qua địa MAC Address Như vậy, thông tin mà Firewall dùng để ngăn chặn truy nhập phần tiêu đề gói tin, Firewall cổ điển đọc thông tin phần tải gói tin (Pay Load) nơi chứa nội dung thông tin truyền đi, nơi tiềm ẩn mã nguy hiểm gây hại cho hệ thống Thứ ba, khơng có khả đọc nội dung gói tin nên hệ thống Firewall có khả bảo vệ vịng ngồi hệ thống, thân khơng có khả chống công xuất phát từ bên mạng Trong bối cảnh đó, IDS đời bổ sung cho hệ thống Firewall cổ điển IDS có khả bắt đọc gói tin, phân tích gói tin để phát nguy cơng tiềm ẩn nội dung gói tin Tuy nhiên hoạt động IDS mang tính chất cảnh báo trợ giúp thông tin cho người quản trị mạng, thông tin cảnh báo bảo mật, người quản trị mạng phải tiến hành lệnh cho Firewall ngăn chặn công Như thân hệ thống IDS hệ thống thụ động Vì người ta phải kết hợp hoạt động IDS với hệ thống Firewall để tạo hệ thống an ninh có khả phát dấu hiệu công chủ động ngăn chặn cơng Hệ thống biết đến với tên hệ thống ngăn chặn truy nhập IPS Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Hệ thống IDS IDS từ viết tắt tiếng anh Intrusion Detection System hay gọi hệ thống phát truy nhập trái phép IDS có nhiệm vụ rà quét gói tin mạng, phát truy nhập trái phép, dấu hiệu công vào hệ thống từ cảnh báo cho người quản trị hay phận điều khiển biết nguy xảy cống trước xảy 2.1 Một hệ thống IDS bao gồm thành phần Bộ phát (Sensor): Là phận làm nhiệm vụ phát kiện có khả đe dọa an ninh hệ thống mạng, phát có chức rà quét nội dung gói tin mạng, so sánh nội dung với mẫu phát dấu hiệu cơng hay cịn gọi kiện Bộ giao diện (Console): Là phận làm nhiệm vụ giám sát kiện, cảnh báo phát sinh từ Sensor điều khiển hoạt động Sensor Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất báo cáo kiện phát Sensor sở liệu sử dụng hệ thống luật để đưa cảnh báo kiện an ninh nhận cho hệ thống cho người quản trị Như vậy, hệ thống IDS hoạt động theo chế “phát cảnh báo” Các Sensor phận bố trí hệ thống điểm cần kiểm sốt, Sensor bắt gói tin mạng, phân tích gói tin để tìm dấu hiệu cơng, gói tin có dấu hiệu cơng, Sensor đánh dấu kiện gửi báo cáo kết cho Engine, Engine ghi nhận tất báo cáo tất Sensor, lưu báo cáo vào sở liệu định đưa mức cảnh báo kiện nhận Console làm nhiệm vụ giám sát kiện cảnh báo, đồng thời điều khiển hoạt động Sensor Các mẫu (Signatures): Các Sensor hoạt động theo chế “so sánh với mẫu”, Sensor bắt gói tin mạng, đọc nội dung gói tin so sánh xâu nội dung gói tin với hệ thống mẫu tín hiệu nhận biết công mã độc gây hại cho hệ thống, nội dung gói tin có xâu trùng với mẫu, Sensor đánh dấu kiện bình thường hay có dấu hiệu Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến công từ sinh cảnh báo Các tín hiệu nhận biết công tổng kết tập hợp thành gọi mẫu hay signatures 2.2 Phân loại hệ thống IDS 2.2.1 Network-based Intrusion Detection System (NIDS) Network-based Instrusion Detection System (Hệ thống phát truy nhập cho mạng) giải pháp độc lập để xác định truy nhập trái phép cách kiểm tra luồng thông tin mạng giám sát nhiều máy trạm, Network Instrusion Detection Systems truy nhập vào luồng thông tin mạng cách kết nối vào Hub, Switch cấu hình Port mirroring Network để bắt gói tin, phân tích nội dung gói tin từ sinh cảnh báo Hình 1: Mơ hình mạng sử dụng NIDS Trong hệ thống Network-based Intrusion Detection System (NIDS), Sensor đặt điểm cần kiểm tra mạng, thường trước miền DMZ vùng biên mạng, Sensor bắt tất gói tin lưu thơng mạng phân tích nội dung bên gói tin để phát dấu hiệu công mạng Theo chức sử dụng, hệ thống NIDS phân thành hai hệ thống nhỏ Protocol-based Intrusion Detection System (PIDS – Hệ thống phát truy cập dựa giao thức) Application Protocol-based Intrusion Detection System (APIDS– Hệ thống phát truy nhập dựa ứng dụng) Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến 2.2.2 Host-based Intrusion Detection System (HIDS) Trong hệ thống HIDS (Hệ thống phát truy nhập dựa máy trạm), Sensor thường thường phần mềm máy trạm (Software agent), giám sát tất hoạt động máy trạm mà nằm Agent vào sở liệu tiến hành phân tích thơng tin để đưa cảnh báo cho người quản trị hệ thống Hình 2: Mơ hình mạng sử dụng HIDS Hệ thống IPS IPS viết tắt tiếng anh Intrusion Prevention System hay thường gọi hệ thống ngăn chặn truy nhập trái phép Hiện nay, hệ thống IDS/IPS triển khai rộng rãi toàn giới, với đặc điểm mơ hình triển khai đơn giản, cách thức phát truy nhập hiệu góp phần nâng cao độ tin cậy hệ thống an ninh IPS hệ thống kết hợp hệ thống IDS hệ thống Firewall, có ba thành phần là: Hệ thống Firewall, hệ thống IDS thành phần trung gian kết nối hai hệ thống lại với Firewall: thành phần bảo vệ hệ thống mạng vùng biên, Firewall tập luật mà thiết lập từ trước để xác định cho phép hay không cho phép gói tin hay khơng phép qua Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến IDS: làm nhiệm vụ rà quét tất gói tin trước sau vào mạng, đọc nội dung gói tin, phát dấu hiệu cơng chứa đựng gói tin, phát có dấu hiệu cơng, sinh cảnh báo cho hệ thống Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận cảnh báo thông tin đưa từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên hệ thống Firewall để cấu hình lại tập luật nhằm ngăn chặn công Như vậy, hệ thống IPS hệ thống chủ động, có khả phát ngăn ngừa truy nhập trái phép, có khả ngăn chặn công, nguy tiềm ẩn nội dung gói tin 3.1 Phân loại IPS Có hai kiểu kiến trúc IPS IPS ngồi luồng IPS luồng 3.1.1 IPS luồng Hệ thống IPS ngồi luồng khơng can thiệp trực tiếp vào luồng liệu Luồng liệu vào hệ thống mạng qua tường lửa IPS IPS kiểm sốt luồng liệu vào, phân tích phát dấu hiệu xâm nhập, công Với vị trí này, IPS quản lý tường lửa, dẫn chặn lại hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thơng mạng 3.1.2 IPS luồng Vị trí IPS nằm trước tường lửa, luồng liệu phải qua IPS trước tới tường lửa Điểm khác so với IPS ngồi luồng có thêm chức nǎng chặn lưu thơng Điều làm cho IPS ngǎn chặn luồng giao thơng nguy hiểm nhanh so với IPS ngồi luồng Tuy nhiên, vị trí làm cho tốc độ luồng thông tin vào mạng chậm 3.2 Các thành phần 3.2.1 Module phân tích gói (packet analyzer) Module có nhiệm vụ phân tích cấu trúc thơng tin gói tin Card mạng (NIC) máy giám sát đặt chế độ “không phân biệt” (promiscuous mode), tất gói tin qua chúng copy lại chuyển lên lớp Bộ phân tích gói đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì… Các thơng tin chuyển đến module phát công Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến 3.2.2 Module phát công Đây modul quan trọng hệ thống có nhiệm vụ phát cơng Có hai phương pháp để phát công, xâm nhập dị lạm dụng dị khơng bình thường Phương pháp dò lạm dụng: Phương pháp phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu công biết trước Các mẫu công biết trước gọi dấu hiệu công Do phương pháp gọi phương pháp dò dấu hiệu Kiểu phát cơng có ưu điểm phát cơng nhanh xác, không đưa cảnh báo sai làm giảm khả nǎng hoạt động mạng giúp người quản trị xác định lỗ hổng bảo mật hệ thống Tuy nhiên, phương pháp có nhược điểm không phát công khơng có sở liệu, kiểu công mới, hệ thống phải cập nhật mẫu cơng Phương pháp dị khơng bình thường: Đây kỹ thuật dị thơng minh, nhận dạng hành động khơng bình thường mạng Quan niệm phương pháp công khác so với hoạt động thông thường Ban đầu, chúng lưu trữ mô tả sơ lược hoạt động bình thường hệ thống Các cơng có hành động khác so với bình thường phương pháp dị nhận dạng Có số kỹ thuật giúp thực dị khơng bình thường cơng đây: + Phát mức ngưỡng: Kỹ thuật nhấn mạnh việc đo đếm hoạt động bình thường mạng Các mức ngưỡng hoạt động bình thường đặt Nếu có bất thường đǎng nhập với số lần quy định, số lượng tiến trình hoạt động CPU, số lượng loại gói tin gửi vượt mức hệ thống có dấu hiệu bị cơng + Phát nhờ q trình tự học: Kỹ thuật bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát công chạy chế độ tự học tạo hồ sơ cách cư xử mạng với hoạt động bình thường Sau thời gian khởi tạo, hệ thống chạy chế độ làm việc, tiến hành theo dõi, phát hoạt động bất thường mạng cách so sánh với hồ sơ thiết lập Chế độ tự học chạy song song với chế độ làm việc để cập nhật hồ sơ dị có tín hiệu cơng chế độ tự học phải dừng lại công kết thúc Lê Quốc Dự_09CNTT1 Trang KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến use snort; show tables; (kiểm tra tạo sở liệu) Tạo tài khoản cho mysql Create user ‘snort’@’localhost’ identified by ‘snort’; Phân quyền cho user snort: grant all privileges on *.* to ‘snort’@’localhost’ identified by ‘snort’; flush privileges; quit; Lê Quốc Dự_09CNTT1 Trang 32 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Cài đặt snort apt-get install snort apt-get install snort-mysql Cấu hình lại snort mysql câu lệnh: dpkg-reconfigure snort-mysql Bảng chọn lên Chọn boot tiếp tục Lê Quốc Dự_09CNTT1 Trang 33 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Chọn OK Chọn card mạng để capture gói tin chọn OK Lê Quốc Dự_09CNTT1 Trang 34 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Chọn yes để thiết lập snort mysql Chọn hostname Lê Quốc Dự_09CNTT1 Trang 35 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Chọn database Chọn user Lê Quốc Dự_09CNTT1 Trang 36 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Nhập pass cho user Mở terminal khác lên tạo table cho database dịng lệnh hình trên: Cd /usr/share/doc/snort-mysql zcat create_mysql.gz | mysql -uroot -p12345678 -hlocalhost snort Tiến hành cài đặt thành công Thử nghiệm Chạy câu lệnh: Snort –v ( Ta kết q trình bắt gói tin thông qua card eth0) Lê Quốc Dự_09CNTT1 Trang 37 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Kịch demo: Mơ hình: Một hệ thống mạng Lan gồm máy chủ server PC Cần cài đặt host IDS để phát công vào máy chủ server Trong đó: -Máy chủ snort IPS sử dụng hệ điều hành linux cụ thể ubuntu -Đây môi trường mạng phổ biến Viêt Nam lý sau: + Dễ dàng triển khai (vì mơ hình mạng đơn giản) + Giá thành rẻ (Ubuntu, apache, php, mysql khơng phí) + Dễ dàng vận hành, quản lý (do mơ hình mạng đơn giản) Trong mơ hình bao gồm 2PC -Hub -Server(My computer) Trên PC sử dụng tool Ddos để công máy chủ cài đặt Snort Xây dựng: - PC có địa 192.168.171.142 192.168.171.143 dùng để công - PC dùng làm máy chủ server có IP 192.168.171.144 - Cài đặt cấu hình snort - Cài đặt phần mềm công Lê Quốc Dự_09CNTT1 Trang 38 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Thực kiểu công Ping of Deal từ máy client thuộc vào máy server trường hợp cảnh báo ngăn chặn Tiến hành ping từ clien có IP: 192.168.171.142 đến server internal có IP: 192.168.171.144 Hệ thống Snort bắt gói tin ghi vào log Lê Quốc Dự_09CNTT1 Trang 39 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến Lƣu gói tin bắt đƣợc vào log Tạo Rules ngăn chặn DoS/DdoS Trong file snort.conf ta cấu sau : Cấu hình chống DoS Trong file auto.rules ta khai báo sau: Cấu hình file auto.rules Máy attacker truy cập web bắt đầu công Web server tool Donut HTTP Flooder; Attacker công thành công, nhiên sau thời gian đến phút cơng thất bại ip attacker đưa vào file black_list, File autodrop.rules : Lê Quốc Dự_09CNTT1 Trang 40 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến KẾT LUẬN Mặc dù đề tài cịn nhiều thiếu sót mặt lý thuyết sản phẩm, qua đề tài này, em hi vọng thời gian tới sản phẩm phát xâm nhập trái phép biết đến nhiều đóng vai trị quan trọng sách bảo mật thực tế Với tính nǎng ưu việt mình, IPS dần chiếm lĩnh quan tâm hàng đầu công ty, nhà cung cấp dịch lĩnh vực an ninh mạng máy tính Các sản phẩm IPS nghiên cứu, phát triển phần cứng lẫn phần mềm IPS dần hoàn thiện triển khai phổ biến thay hệ thống bảo mật tường lửa Những kết đạt đƣợc: Theo yêu cầu đặt ban đầu “Tìm hiểu hệ thống phát cơng xâm nhập mạng”, thời điểm đề tài đạt nội dung sau: Đề tài nêu rõ cần thiết bảo mật, hạn chế phương pháp bảo mật tại, đồng thời nói lên cần thiết hệ thống phát xâm nhập trái phép Đề tài đề cập tương đối kỹ lưỡng đến vấn đề lý thuyết IDS, bao gồm kiến trúc chung, phân loại mơ hình IDS Với Snort, phần mềm chọn để xây dựng sản phẩm, đề tài đề cập đến đặc trưng với vai trị mơ hình IDS Đề tài nói đến thành phần chế hoạt động Snort, giới thiệu tập luật Snort bước cài đặt hệ thống IDS hoạt động dựa phần mềm Hƣớng phát triển: Đề tài mô công Ddos mơi trường Linux, tương lai tìm hiểu xây dựng thêm Rules phát cơng xâm nhập phổ biến như: buffer overflow, CGI-attack, dị tìm hệ điều hành, ICMP, virus,…trên nhiều mơi trường khác Snort thoả mãn tính sau: Có hiệu cao, đơn giản có tính uyển chuyển cao, dễ dàng cập nhập cài đặt (nguồn mở ), nên phát triển tiếp tương lai Tiếp tục nghiên cứu, ứng dụng phát triển sản phẩm mã nguồn mở Lê Quốc Dự_09CNTT1 Trang 41 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến TÀI LIỆU THAM KHẢO [1] Nhóm phát triển phần mềm SSDG, Giáo trình Linux Unix [2] Đặng Quang Hiển (2008), giáo trình hệ điều hành Linux, Đà Nẵng [3] Kerry J Cox, Christopher Gerg, August 2004, Managing Security with Snort and IDS Tools, pp 53-86 [4] Install_Snort_2.8.6_on_Ubuntu_10.04 [5] Snort Group, April 26, 2010, SNORT Users Manual 2.8.6 Lê Quốc Dự_09CNTT1 Trang 42 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến NHẬN XÉT CỦA GIÁO VIÊN …………………………………………………………………………………………… …………………………….……………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… Lê Quốc Dự_09CNTT1 Trang 43 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG IPS Lịch sử đời Hệ thống IDS 2.1 Một hệ thống IDS bao gồm thành phần 2.2 Phân loại hệ thống IDS 2.2.1 Network-based Intrusion Detection System (NIDS) 2.2.2 Host-based Intrusion Detection System (HIDS) Hệ thống IPS 3.1 Phân loại IPS 3.1.1 IPS luồng 3.1.2 IPS luồng 3.2 Các thành phần 3.2.1 Module phân tích gói (packet analyzer) 3.2.2 Module phát công 3.2.3 Modul phản ứng 10 3.3 Mơ hình hoạt động 11 3.4 Đánh giá hệ thống IPS 12 CHƢƠNG II: CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA HỆ THỐNG IDS 14 Kỹ thuật xử lý liệu 14 1.1 Hệ thống Expert (Expert systems) 14 1.2 Phát xâm nhập dựa luật(Rule-Based Intrusion Detection) 14 1.3 Phân biệt ý định người dùng (User intention Identification) 14 1.4 Phân tích trạng thái phiên (State-Transition Analysis) 14 1.5 Phương pháp phân tích thống kê (Statistical Analysis Approach) 15 Các kiểu công thông dụng 15 2.1 Tấn công từ chối dịch vụ (Denial of Service Attack) 15 2.2 Quét thăm dò (Scanning and Probe) 16 2.3 Tấn công vào mật mã (Password attack) 17 Lê Quốc Dự_09CNTT1 Trang 44 KHÓA LUẬN TỐT NGHIỆP GVHD: PGS.TSKH Trần Quốc Chiến 2.4 Chiếm đặc quyền (Privilege-grabbing) 18 2.5 Cài đặt mã nguy hiểm (Hostile code insertion) 18 2.6 Hành động phá hoại máy móc (Cyber vandalism) 19 2.7 Ăn trộm liệu quan trọng (Proprietary data theft) 20 2.8 Gian lận, lãng phí lạm dụng (Fraud, waste, abuse) 20 2.9 Can thiệp vào biên (Audit trail tampering) 20 2.10 Tấn công hạ tầng bảo mật (Security infrastructure attack) 21 Hạn chế hệ thống 21 CHƢƠNG III: XÂY DỰNG HỆ THỐNG 23 Đặt vấn đề 23 Giới thiệu chung Snort 23 Các thành phần Snort 24 Tập luật (rulesets) Snort 25 Cấu trúc rule 27 Cài đặt cấu hình Snort 29 Kịch Demo 37 KẾT LUẬN 41 TÀI LIỆU THAM KHẢO 42 Lê Quốc Dự_09CNTT1 Trang 45 ... hệ thống phát xâm nhập IDS Có khả nǎng phát công tự động ngǎn chặn công nhằm vào điểm yếu hệ thống IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả phát. .. giản, cách thức phát truy nhập hiệu góp phần nâng cao độ tin cậy hệ thống an ninh IPS hệ thống kết hợp hệ thống IDS hệ thống Firewall, có ba thành phần là: Hệ thống Firewall, hệ thống IDS thành... sau tùy vào hệ thống việc cài đặt người quản trị, điều tùy thuộc vào mục đích hệ thống, nhằm đảm bảo an toàn cho hệ thống hay để nghiên cứu kiểu công Cần phải nói thêm việc xâm nhập vào hệ thống