HỆ THỐNG PHÁT HIỆN và NGĂN CHẶN xâm NHẬP IDS, IPS

Ngày nay, mạng internet đã và đang trở nên phổ biến hơn trên toàn thế giới. Nó đem lại cho con người một cách tiếp cận thông tin hoàn toàn mới. Đồng thời, ngoài những lợi ích to lớn đem lại, mạng internet còn ẩn chứa những mối nguy hiểm tiềm tàng như: lây nhiễm viruss, sâu mạng, trojan, sniffer,... . Các giải pháp phát hiện và ngăn chặn việc xâm nhập trái phép mạng máy tính cũng được ra đời từ đó, như một phần tất yếu của mạng máy tính toàn cầu. An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Với một hệ thống mạng máy tính, việc đảm bảo an toàn cho hệ thống thoát khỏi những nguy cơ, hiểm họa đe dọa rất được chú trọng và đề cao. Trong bản báo cáo này, nhóm em xin trình bày về một hệ thông bảo mật an toàn hệ thống qua đề tài: “ Hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS ”. Mục tiêu của bản báo cáo sẽ gồm 2 phần:Giới thiệu tổng quan hệ thống IDSIPSDemo Cài đặt thử nghiệm trên hệ thống LinuxWindows NHẬN XÉT CỦA GIẢNG VIÊN MỤC LỤCLỜI MỞ ĐẦU2NHẬN XÉT CỦA GIẢNG VIÊN3MỤC LỤC4DANH MỤC HÌNH ẢNH5PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDSIPS6I.Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)71.Tổng quan về IDS:7 2. Thành phần cấu tạo:73.Một IDS cần phải thỏa mãn những yêu cầu sau:84.Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent85.Ưu điểm và nhược điểm của IDS:86.Phân loại IDS9II.Hệ thống ngăn ngừa xâm nhập – IPS101.Tổng quan về IPS102.Lý do cần triển khai IPS103.IPS có thể ngăn chặn những loại tấn công nào?114.Phân loại115.Cách thức IPS hoạt động116.Ưu điểm và hạn chế của hệ thống ngăn ngừa xâm nhập137.IDSIPS và tường lửa có gì khác nhau:138.Thiết kế mô hình mạng149.Một số tiêu chí triển khai16PHẦN 2: Demo Cài đặt thử nghiệm trên hệ thống LinuxWindows17I.Giới thiệu tống quan về Snort18II.Thực nghiệm chạy demo trên máy ảo:191.Hệ thống demo:192.Cài đăt hệ thống:192.1Cài đặt máy ảo:192.2Cài đặt Snort trên Snort trên Windows Sever 2012192.2.1: Cài đặt Snort192.2.2: Giải nén file snortrulessnapshot29111.tar:202.2.3: Cấu hình Snort (Cài đặt notepad++ để đọc file)202.2.4: Mở cửa sổ Command Prompt (cmd):242.2.5: Chạy Snort ở chế độ Detect Intrusion (IDS):272.2.6: Tạo luật cảnh báo PING và demo kết quả:282.2.7: Demo với luật cảnh báo Ping of Death29Kết Luận31Một số tài liệu tham khảo33DANH MỤC HÌNH ẢNHHình 1 Sự khác nhau giữa IDS và IPS14Hình 2 Đặt IPS trước Firewall14Hình 3 Đặt IPS giữa firewall và miền DMZ15Hình 4 IPS trong giải pháp UTM15Hình 5 Cài đặt Snort20Hình 6 Sau khi đã copy toàn bộ thư mục giải nén vô thư mục Snort20Hình 7 Kiểm tra IP máy ảo21Hình 8 Chỉnh sửa file cấu hình21Hình 9 Chỉnh sửa file cấu hình22Hình 10 Chỉnh sửa file cấu hình22Hình 11 Chèn Dynamicpreprocessor23Hình 12 Thêm luật vào config24Hình 13 Gõ lệnh trong CMD24Hình 14 Chạy snortm25Hình 15 Lệnh Ping từ client sang server25Hình 16 Snort phát hiện và cảnh báo26Hình 17 Chế độ Packet Log26Hình 18 Cài đặt Snort trong Service26Hình 19 Cài đặt Snort trong Service27Hình 20 Kiểm tra Snort đã chạy trong Computer managerment chưa27Hình 21 Hoàn tất khởi chạy Snort ở chế độ IDS28Hình 22 Máy attacker đang ping28Hình 23 Kết quả được ghi lại29Hình 24 Thêm luật báo vào snort.com29Hình 25 Attacker đang ping gói 1300 byte tới Server30Hình 26 Kết quả được ghi lại30PHẦN 1: TỔNG QUAN VỀ HỆ THỐNG IDSIPSI.Hệ thống phát hiện xâm nhập IDS( Instrusion Delection System)1.Tổng quan về IDS:Khái niệm: IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn côngMục đích: •IDS phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng. IDS cũng có thể phân biệt giữa những cuộ tấn công nội bộ (từ chính nhân viên hoặc khách hàng trong tổ chức) và tấn công bên ngoài (từ hacker). Trong một số trường hợp, IDS có thể phản ứng lại với các traffic bất thườngđộc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.•IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đoán được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn ra (Active response).2.Thành phần cấu tạo: •Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lưu lượng trên mạng.•Nguồn thông tin khác để phát hiện dấu hiệu xâm nhập (signature)•Signature database là cơ sở dữ liệu chứa dấu hiệu của các tấn công đã được phát hiện và phân tích. Cơ chế làm việc của signature database giống như virus database trong các chuơng trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhận thường xuyên cơ sở dữ liệu này.3.Một IDS cần phải thỏa mãn những yêu cầu sau:•Tính chính xác : không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (false positive).•Hiệu năng : phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng)•Tính trọn vẹn: IDS không được bỏ qua xâm nhập trái phép nào ( false negative). Đây là một điều kiện khó có thể thỏa mãn được.•Chịu lỗi (Fault Tolerance): yêu cầu bản thân IDS phải có khả năng chống lại tấn công.•Khả năng mở rộng (Scalability)4.Nhà cung cấp IDS lớn: Cisco, HP, Juniper Networks, và Lucent5.Ưu điểm và nhược điểm của IDS:•Ưu điểmThích hợp sử dụng để thu thập số liệu, bằng chứng phục vụ công tác điều tra và ứng cứu sự cốĐem đến cái nhìn bao quát, toàn diện về toàn bộ hệ thống mạngLà công cụ thích hợp phục vụ việc kiểm tra các sự cố trong hệ thống mạng.•Nhược điểmCần được cấu hình hợp lý, nếu không sẽ gây ra tình trạng báo động nhầmKhả năng phân tích traffic mã hóa tương đối thấpChi phí phát triển và vận hành hệ thống tương đối cao.•Nhược điểm khi sử dụng IDS tại mạng DMZ: Số lượng các xác nhận sai mà nó có thể ghi lại.Nếu IDS được cấu hình để cảnh báo cho quản trị mạng (SMS) có thể bị quá tải với những cảnh báo như vậy và cuối cùng bỏ qua tất cả SMS của IDS.Ngoài ra, để tiếp tục bảo vệ chống lại các mối đe dọa mới, phần mềm IDS phải được cập nhật và các quy tắc phát hiện phải được đánh giá lại một cách thường xuyên.6.Phân loại IDSTheo phạm vi giám sát: •Networkbased IDS (NIDS): Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau tường lửa. Hình 1 mô tả một NIDS điển hình.’•Hostbased IDS (HIDS): Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngòai lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit).Theo kỹ thuật thực hiện: •Signaturebased IDS: Signaturebased IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới.•Anomalybased IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao tiếp mạng của server là vào khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS. Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động của hệ thống trong điều kiện bình thường để ghi nhận các thông số hoạt động, đây là cơ sở để phát hiện các bất thường về sau.II.Hệ thống ngăn ngừa xâm nhập – IPS1.Tổng quan về IPSIPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập): là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Hệ thống IPS liên tục giám sát lưu lượng mạng, đặc biệt là ở các gói riêng lẻ, để tìm kiếm bất kỳ cuộc tấn công nguy hiểm nào có thể xảy ra. Nó thu thập thông tin về các gói tin này và báo cáo cho quản trị viên hệ thống, nhưng nó cũng thực hiện những động thái phòng ngừa của riêng mình. Nếu phát hiện phần mềm độc hại tiềm ẩn hoặc loại tấn công khác, IPS sẽ chặn các gói đó truy cập vào mạng.IPS cũng có thể thực hiện các bước khác, chẳng hạn như đóng những lỗ hổng bảo mật của hệ thống có thể bị khai thác liên tục. IPS có thể đóng các điểm truy cập vào mạng, cũng như cấu hình tường lửa thứ cấp để phát hiện những loại tấn công này trong tương lai, bổ sung thêm các lớp bảo mật cho hệ thống phòng thủ của mạng.2.Lý do cần triển khai IPSMỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:oTheo dõi các hoạt động bất thường đối với hệ thống.oXác định ai đang tác động đến hệ thống và cách thức như thế nào, các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.oTương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động thâm nhập hệ thống.3.IPS có thể ngăn chặn những loại tấn công nào?Các hệ thống phòng chống xâm nhập có thể tìm kiếm và bảo vệ chống lại nhiều loại tấn công nguy hiểm tiềm ẩn. Chúng có khả năng phát hiện và chặn các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit, worm, virus máy tính và những loại phần mềm độc hại khác.4.Phân loạiHệ thống ngăn ngừa xâm nhập mạng (NIPS – Networkbased Intrusion Prevention) thường được triển khai trước hoặc sau firewall. Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với firewall. Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong. Hệ thống ngăn ngừa xâm nhập host (HIPS – Hostbased Intrusion Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.5.Cách thức IPS hoạt động•Phòng ngừaIPS thường nằm ngay sau tường lửa và cung cấp một lớp phân tích bổ sung, lựa chọn tiêu cực cho nội dung nguy hiểm. Không giống như người tiền nhiệm của nó, Hệ thống phát hiện xâm nhập (IDS) là một hệ thống thụ động quét lưu lượng và báo cáo lại các mối đe dọa.IPS được đặt nội tuyến (trong đường dẫn liên lạc trực tiếp giữa nguồn và đích), chủ động phân tích và thực hiện các hành động tự động trên tất cả luồng lưu lượng truy cập vào mạng. Cụ thể, những hành động này bao gồm:Gửi một báo động cho quản trị viên (như sẽ thấy trong IDS)Bỏ các gói độc hạiChặn lưu lượng truy cập từ địa chỉ nguồnĐặt lại kết nốiLà một thành phần bảo mật nội tuyến, IPS phải hoạt động hiệu quả để tránh làm giảm hiệu suất mạng. Nó cũng phải hoạt động nhanh vì khai thác có thể xảy ra trong thời gian gần. IPS cũng phải phát hiện và phản hồi chính xác, để loại bỏ các mối đe dọa và dương tính giả (các gói hợp pháp bị đọc nhầm thành các mối đe dọa).•Phát hiệnIPS có một số phương pháp phát hiện để tìm kiếm khai thác, nhưng phát hiện dựa trên chữ ký và phát hiện dựa trên thống kê là hai cơ chế chi phối.Phát hiện dựa trên chữ ký được dựa trên một từ điển các mẫu (hoặc chữ ký) duy nhất trong mã của mỗi khai thác. Khi khai thác được phát hiện, chữ ký của nó được ghi lại và lưu trữ trong một từ điển chữ ký phát triển liên tục.Phát hiện chữ ký cho IPS được chia thành hai loại:Chữ ký đối diện khai thác xác định các khai thác riêng lẻ bằng cách kích hoạt các mẫu duy nhất của một nỗ lực khai thác cụ thể. IPS có thể xác định các khai thác cụ thể bằng cách tìm kết quả khớp với chữ ký đối diện khai thác trong luồng lưu lượngChữ ký dễ bị tổn thương là chữ ký rộng hơn nhắm vào lỗ hổng cơ bản trong hệ thống đang được nhắm mục tiêu. Những chữ ký này cho phép các mạng được bảo vệ khỏi các biến thể của một khai thác có thể không được quan sát trực tiếp trong tự nhiên, nhưng cũng làm tăng nguy cơ dương tính giả.Phát hiện bất thường thống kê lấy các mẫu lưu lượng mạng một cách ngẫu nhiên và so sánh chúng với mức hiệu suất cơ sở được tính toán trước. Khi mẫu hoạt động lưu lượng mạng nằm ngoài các tham số về hiệu suất cơ sở, IPS sẽ hành động để xử lý tình huống.