Những công việc cần thực hiện khi triển khai hệ thống phát hiện và ngăn chặn thâm nhập trên hệ thống mạng VNUnet
• Phân tích những yêu cầu bảo vệ dựa trên hệ thống mạng hiện tại • Đưa ra sơ đồ triển khai.
• Cài đặt và lắp đặt thiết bị.
• Cấu hình thiết bị với những yêu cầu của hệ thống mạng. • Kiểm tra hoạt động của hệ thống bảo vệ.
Phân tích mô hình mạng hiện tại và đưa ra sơđồ triển khai
Hình 21 – Mô hình mạng VNUnet
Vùng mạng bên trong VNUnet, bao gồm máy của giảng viên, máy của cán bộ trường, máy thực hành của sinh viên được bảo vệ bằng cơ chế NAT và tường lửa CheckPoint (triển khai cùng thời gian với hệ thống IDS/IPS) nên khó có khả năng bị tấn công. Hơn nữa nếu để
thiết bị IPS bảo vệ tất cả các vùng mạng này thì thiết bị sẽ bị quá tải hoặc chi phí để mua thiết bị mới cũng như triển khai hệ thống sẽ lớn. Vì vậy, biện pháp tốt nhất là triển khai thiết bị IPS Proventia G200 bảo vệ vùng vành đai DMZ nơi chứa những máy chủ dịch vụ, có địa chỉ IP thật và dễ bị tấn công phá hoại.
Trong thực tế, một số tấn công có thể bị chặn bằng tường lửa, đặc biệt là những tường lửa chuyên dụng như CheckPoint. Tường lửa này cũng tích hợp một hệ thống IPS hoạt động trên cơ chế anormal detection. Vì vậy, nếu thiết bị IPS Proventia G200
Hiện tại, mạng VNUnet có 3 đường ra Internet với 2 router hoạt động, để hoạt
động cân bằng tải, ta có thể sử dụng 2 thiết bị IPS Proventia G200 đặt giữa router và DMZ theo sơđồ sau.
Hình 22 – Sơđồ triển khai IPS Lắp đặt thiết bị
• Cài đặt hệđiều hành • Đưa thiết bị lên giá
• Nối thiết bị qua cổng điều khiển với TTMT
Cài đặt hệ thống
Khi triển khai cần chú ý tới tính sẵn sàng của hệ thống mạng, phải đảm bảo hệ
thống dịch vụ vẫn hoạt động ổn định trong khi triển khai. Ngoài ra, cần làm công việc backup hệ thống trước khi triển khai.
Một yếu tố khác cần tính tới khi triển khai là độ trễ của gói tin do bị kiểm tra bằng thiết bị IPS. Việc này sẽ làm tăng độ trễ của các dịch vụ cần thiết trong hệ thống mạng như web, mail, …. Vấn đề này có thể giải quyết bằng cách loại bỏ các dấu hiệu nhận biết lỗi thời, không phù hợp và không có khả năng bị khai thác. Ví dụ như hệ
thống Web của VNUnet sử dụng máy chủ linux, máy chủ này không có khả năng bị
tấn công theo các lỗi của hệđiều hành Windows, hoặc những lỗi đã được khắc phục từ
lâu như ping of death thì cũng bỏ qua không cần xem xét nữa.
Tổng số dấu hiệu nhận biết trong cơ sở dữ liệu của thiết bị IPS là 2375 mục. Trong đó có 2007 dấu hiệu tấn công và 368 dấu hiệu thăm dò thông tin. Số các dấu hiệu mặc định bị chặn đã đặt sẵn là 1181 dấu hiệu tấn công và 0 dấu hiệu thăm dò. Internet bT.B cân ằng tải Router Router CPnet ISP A Vùng vành đai DMZ Firewall IPS, VPN Firewall IPS, VPN VINAren TEIN2 ISP B
Trong các máy dịch vụ có một máy sử dụng hệđiều hành windows server 2003, vì vậy thiết lập một miền bảo vệ riêng áp dụng tập dấu hiệu mặc định cho máy chủ này. Những máy chủ khác sử dụng tập dấu hiệu dành cho linux trong đó lược bớt những dấu hiệu tấn công và thăm dò của windows và dịch vụ chạy trên đó. Tập này gồm 1092 dấu hiệu tấn công, 0 dấu hiệu thăm dò. Các dấu hiệu thăm dò không bị chặn nhưng vẫn gây ra cảnh báo trong hệ thống. Việc thêm bớt các dấu hiệu khác có thể
thực hiện sau này khi có yêu cầu thực tế.
Một vấn đề nữa khi triển khai là xem xét đến việc cảnh báo tức thời của thiết bị
với người quản trị. Do người quản trị không thể xem cảnh báo liên tục vì vậy cần đặt cảnh báo theo email để phát hiện và ngăn chặn các hành động chỉ gây nên cảnh báo mà không tự động chặn một cách nhanh nhất. Việc này giúp hệ thống được bảo vệ một cách tốt hơn. Cấu hình ban đầu là tất cả các dấu hiệu thăm dò đều được cảnh báo qua email. Cùng với đó, những tấn công ở mức độ critical (nghiêm trọng) cũng cần được cảnh báo để có biện pháp xử lý lần sau. Ngoài ra, tất cả những thay đổi liên quan tới thiết bị cũng cần được thông báo qua mail để tránh khả năng có người đột nhập vào thiết bị.
Các cấu hình khác liên quan đặc biệt đến hệ thống mạng sẽ do cán bộ của TTMT thực hiện.
Kiểm tra hoạt động của hệ thống
Sau khi cấu hình thiết bị theo yêu cầu xác định, backup các máy chủ dịch vụ, ta nối cáp mạng tới 2 cổng A và B của 2 thiết bị IPS (đây là 2 cổng giám sát) theo sơ đồ đã nói ở trên. Mô hình mạng sau khi kết nối thiết bị IPS và checkpoint như sau.
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS
Sau khi lắp đặt hệ thống IPS như theo mô hình, các máy chủ dịch vụ vẫn hoạt (adsbygoogle = window.adsbygoogle || []).push({});
Khi thử nghiệm các thăm dò đơn giản, hệ thống đều gửi mail cho người quản trị
như đã cấu hình. Các tấn công đơn giản đều bị chặn bởi hai lớp bảo vệ là tường lửa CheckPoint và hệ thống IDS/IPS. Các tấn công nghiêm trọng hơn chưa được thử
nghiệm do tính an toàn của hệ thống dịch vụ.
Hình 25 - Hệ thống IPS gửi mail cho người quản trị
Thực tế hoạt động của hệ thống
Sau ngày đầu tiên lắp đặt hệ thống, có tới hàng ngàn cảnh báo được sinh ra trong giao diện web của thiết bị IPS, phần nhiều trong sốđó là những dò quét hệ thống (TCP port scan, ping sweep, …). Đặc biệt có một tấn công dạng critical theo dấu hiệu SQL_SSRP_Slammer_Worm. Hầu hết tất cả những cảnh báo này đều được gửi qua email tới người quản trị hệ thống.
Như vậy số email sinh ra trong thực tế là quá nhiều. Việc này dẫn đến việc phải thay đổi cấu hình sinh cảnh báo. Cấu hình mới sẽ chỉ cảnh báo khi có những dấu hiệu tấn công critical (nghiêm trọng), các dấu hiệu dò quét sẽ chỉ cảnh báo 6 tiếng một lần.
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI