IPS).
Qua demo, hệ thống cơ bản đã thực hiện được chức năng ngăn chặn những bất thường hay những hành vi không được phép mà nhà quản trị đã đặt ra trong hệ thống mạng, có thể ngăn chặn được những hành vi ở trên phần 4.1 mà hệ thống phát hiện xâm nhập đã cảnh báo.
Snort_inline có tất cả tính năng của hệ thống IDS, ngoài ra nó còn ngăn chặn được các luồng lưu lượng đáng ngờ hay gây nguy hại đến hệ thống. Nó có thể chấm dứt sự kết nối của kẻ đang cố tấn công vào hệ thống hoặc chặn tất cả các truy cập vào máy chủ, dịch vụ và ứng dụng.
Hệ thống có tất cả tính năng của IDS nên những nhược điểm chính của IDS thì IPS đều gặp phải, đó là luôn đòi hỏi tập lệnh phải được cập nhật và cấu hình chính xác nhất có thể để chặn được những gói tin bất thường mà không chặn nhầm hay bỏ xót những dấu hiệu nguy hiểm nào. Không phân tích và chặn được những gói tin đã được mã hoá như SSL, IPSec….
Ngoài ra, vì là hệ thống inline, tham gia trực tiếp vào quá trình truyền và quản lí gói tin nên việc cài đặt và bảo trì có ảnh hưởng đến hoạt động mạng. Nếu snort_inline bị lỗi hay không hoạt động, các gói tin giữa các phân vùng sẽ không thể truyền đến nhau được. Do đó với các hệ thống lớn, ta cần xây dựng luật thật sự chính xác, xây dựng hệ thống phân tán với nhiều cảm biến để có thể phân tích và kiểm soát tốt các gói tin trên đường truyền.
4.3. Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort. Snort.
Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) với Snort là một hệ thống được cài đặt trên mạng (hay máy tính) với nhiệm vụ là giám sát và ngăn chặn những gói tin vào ra hệ thống. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà ta thiết lập, chẳng hạn như có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
Nguyễn Quang Thắng - 2014ATTMMT Page 84 Như với bất kỳ sản phẩm bảo mật được thiết kế để bảo vệ các hệ thống thông tin và dữ liệu, snort cũng có điểm yếu và những hạn chế. Đó là tương tự như các bộ quét virus (virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, những kẻ tấn công "cao thủ" có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ đó các cuộc tấn công này có thể "qua mặt" được sự giám sát của snort. Như vậy có thể thấy rằng việc cập nhật luật snort phải được thực hiện một cách hàng ngày và thường xuyên. Để snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho snort. Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó. Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quyét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ thống. Tập luật này có thể được tạo ra bởi người dùng hoặc người dùng có thể truy cập đến trang chủ của snort là: http://www.snort.org để tải về.
Một hạn chế khác là việc xử lý các vấn đề trong log của snort khi phát hiện những dấu hiệu bất thường và cách thức để giải quyết vấn đề đó. Việc này rất khó để tự động hóa và cần những quản trị viên có kiến thức và kinh nghiệm để phân tích, nếu không xử lí được thì những cảnh báo của hệ thống về sự kiện đó là vô ích.
Để hệ thống hoạt động hiệu quả thì việc đặt vị trí của Snort IDS và IPS trong hệ thống mạng cũng cần phải chú ý. Tuỳ thuộc vào mô hình, mục đích của hệ thống mà sẽ có những vị trí khác nhau. Hệ thống IDS và IPS có những ưu điểm và nhược điểm khác nhau nên để tối ưu hoá bảo mật, ta có thể sử dụng đồng thời cả hai hệ thống này. Một hệ thống IPS bên ngoài có thể sẽ ngăn chặn được các cuộc tấn công mã độc hay phá hoại v.v., trong khi đó hệ thống IDS đặt bên trong sẽ giám sát được các hoạt động nội bộ. Một vài mô hình ta có thể áp dụng như sau:
Nguyễn Quang Thắng - 2014ATTMMT Page 85
src:https://www.sans.org/reading-room/whitepapers/detection/network- ids-ips-deployment-strategies-2143-page-19
Hình 50. Mô hình IPS và IDS inline
src:https://www.sans.org/reading-room/whitepapers/detection/network- ids-ips-deployment-strategies-2143-page-21
Nguyễn Quang Thắng - 2014ATTMMT Page 86
KẾT LUẬN
Trong thời gian làm luận văn, tôi đã tìm hiểu về các hệ thống bảo mật, đặc biệt là về Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS). IDS/IPS là một thành phần trong chiến lược phòng thủ theo chiều sâu của Hệ thống thông tin. Hệ thống có chức năng phát hiện và ngăn chặn các dấu hiệu tấn công, giúp các chuyên gia chủ động đối phó với các nguy cơ xâm phạm. Luận văn đã trình bày một cách tổng quan về nguyên lý hoạt động, phân loại, phương pháp phát hiện xâm nhập, tấn công, các bộ luật và cách sử dụng Snort để xây dựng một hệ thống phát hiện và ngăn chặn xâm nhập.
Luận văn đã xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập sử dụng snort (IDS/IPS) và hoạt động đúng các yêu cầu đề ra. Hạn chế của luận văn là chỉ mới triển khai hệ thống trên một phân đoạn mạng nhỏ, sử dụng các phương thức tấn công còn ít do đó chưa đánh giá hết được ưu nhược điểm cũng như là hiệu xuất của hệ thống và các vấn đề sẽ gặp phải khi triển khai thực tế.
Kết quả nghiên cứu của luận văn sẽ giúp định hướng các nghiên cứu sâu hơn về an ninh mạng trong môi trường và các hệ thống mạng khác sau này.
Lĩnh vực bảo mật nói chung và phát hiện bất thường nói riêng là lĩnh vực luôn nóng và sẽ được quan tâm nhiều hơn nữa trong tương lai bởi vai trò ngày càng quan trọng của nó. Sau đây là một số hướng nghiên cứu tiếp theo có thể mở rộng:
Triển khai thực tế để có thể đánh giá hết hiệu năng cũng như vấn đề gặp phải để khắc phục và hoàn thiện cho hệ thống.
Tìm hiểu các kỹ thuật phát hiện bất thường để tang khả năng phòng thủ của hệ thống.
Nguyễn Quang Thắng - 2014ATTMMT Page 87
TÀI LIỆU THAM KHẢO
[1] Writing Snort Rules by Martin Roesch 1999 - 2001, Snort User Manual by
Chris Green 2001 - 2003, Brian Caswell. Available:http://manual-snort-org.s3- website-us-east-1.amazonaws.com/node2.html
[2] Cisco copyright 2016, truy cập cuối cùng ngày 29/10/2016: https://snort.org/
[3] Intrusion Detection with Snort by Rafeeq Rehman, Prentice Hall, Publishing 2003.
[4] Noah Dierich 2016, truy cập cuối cùng ngày 29/10/2016:
http://sublimerobots.com/author/noah
[5] Network IDS & IPS Deployment Strategies by Nicholas Pappas 2008, (adsbygoogle = window.adsbygoogle || []).push({});
SANS Institute Reading Room site:https://www.sans.org/reading-
room/whitepapers/intrusion/network-ids-ips-deployment-strategies-2143
[6] An Analysis of the Snort Data Acquisition Modules by Chris Murphy 2012, SANS Institute Reading Room site: https://www.sans.org/reading-
room/whitepapers/intrusion/analysis-snort-data-acquisition-modules-34027
[7] Snort Lab by InfoSec Resources 2016, truy cập cuối cùng ngày
29/10/2016: http://resources.infosecinstitute.com/snort-rules-workshop-part- one/#article
[8] Công nghệ bảo mật, Nguyễn Ngọc Tuấn, NXB Thống kê, 2005.
[9] Thông tin và số liệu thống kê về công nghệ thông tin và truyền thông, Thông tin và truyền thông, 2012.
[10] http://xahoithongtin.com.vn/thi-truong/201301/hang-ngan-website-viet- nam-la-moi-ngon-cua-tin-tac-491030, truy cập lần cuối 29/10/2016.
[11] http://www.tienphong.vn/cong-nghe/nam-2013-gia-tang-gian-diep-mang- 611364.tpo, truy cập lần cuối 29/10/2016.
[12] https://roccatvn.blogspot.com/2016/01/ky-thuat-phong-chong-xam-nhap- ids-ips.html, truy cập lần cuối 29/10/2016.