Tổng quan về IDS và hướng dẫn triển khai hệ thống IDS trên mạng LAN

MỤC LỤC

Phân tích hiện trạng

Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.

Xác định yêu cầu

- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of death" hay vẫn thường được gọi là màn hình xanh chết chóc. - Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống.

TÌM HIỂU IDS

  • Các thành phần và chức năng của IDS IDS bao gồm các thành phần chính
    • Phân loại IDS
      • Cơ chế hoạt động của IDS

        Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm cú chức năng giỏm sỏt lưu thụng mạng, tự động theo dừi cỏc sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất cả. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ.

        Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường. Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một điều bất thường.

        Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dừi, phỏt hiện cỏc hoạt động bất thường của mạng bằng cỏch so sỏnh với hồ sơ đó thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin.

        Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)
        Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)

        CÁC PHƯƠNG THỨC TẤN CễNG VÀ CÁCH PHềNG CHỐNG

        Các phương thức tấn công .1 ARP Spoofing

          Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK. Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa.

          "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và Windows Server 2008. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với buffer bên nhận.

          Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. - Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.

          Hình 7: Xem ARP Cache
          Hình 7: Xem ARP Cache

          TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP

          Các bước thực hiện

             Cài đặt hệ điều hành Linux, Snort, tường lửa iptables, MySQL, Apache, Basic Analysis and Security Engine (BASE), squid proxy, join Domain vsic.com.  Vai trò: là một hệ thống phát hiện và chống xâm nhập mạng, kiểm soát các gói tin trong mạng nội bộ và các gói tin từ bên ngoài.  Vai trò: là một máy chủ Web Server cung cấp các dịch vụ cần thiết cho client.

            + Cài đặt hệ điều hành Windows Server 2008 SP1, nâng cấp lên Domain với tên vsic.com.

            Cấu hình IDS

            • Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort kết hợp Iptables

               Bước 2 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : truy cập được bình thường.  Bước 4 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : không truy cập được.  Bước 1: Kiểm tra cấu hình và địa chỉ MAC của máy Web Server và modem.

               Bước 3 : Tại máy attacker, thực hiện giải mạo địa chỉ card MAC của máy web server và modem.

              MỘT IDS

              Inotify

              Inotify là một Linux kernel subsystem (nhân của hệ thống Linux) được phát triển bởi John McCutchan, Robert Love và Amy Griffis. Inotify có chức năng giám sát sự thay đổi của dữ liệu: tăng giảm dung lượng, sửa, xóa, tạo mới một thư mục, tập tin,và thậm chí cả một hoạt động unmount, từ đó Inotify có thể thông báo những sự thay đổi đó đến một ứng dụng được lập trỡnh sẵn(API). Ta cũng cú thể theo dừi nguồn gốc và điểm đến của di chuyển của thư mục tập tin.

              Để sử dụng Inotify, ta cần cài đặt Linux với kernel 2.6.13 hoặc phiên bản mới hơn.

              TỔNG KẾT

                Hệ thống phát hiện xâm nhập (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng.  Cài đặt và cấu hình một hệ thống phát hiện xâm nhập trên mạng cục bộ dựa trên mã nguồn mở Snort, iptables, squid proxy.  Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn công mới ngày càng trở nên tinh vi và phức tạp hơn.

                - Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các người dùng trong mạng. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. - Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN.

                Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rừ ràng nhưng đú là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể ta đang dùng mạng không dây hay mạng LAN truyền thống.