bảo mật
Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã được cài đặt đồng thời gửi một thông báo về cuộc tấn công. Thông báo được hiển thị tại màn hình alert của giao diện web. Ngoài ra, thông báo có thể gửi qua mail cho người quản trị trong trường hợp cần thiết.
Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ này sẽ được thể hiện trong thông báo Alerts khi phát hiện tấn công (tương ứng với mức low, medium, high). Ta có thể đặt các tùy chọn phản ứng khi phát hiện tấn công như block để phòng chống tấn công xảy ra, log để ghi lại ra một file log, email để gửi mail thông báo, quarantine để cách ly địa chỉ gây ra tấn công…
Tường lửa có thể phòng chống được một số hình thức thu thập thông tin như ping (để dò xem hệ thống bảo vệ có tồn tại hay không) bằng cách cấm gói tin ICMP. Có thể phòng chống ftp, telnet, trace route bằng cách cấm cổng. Với thiết bị IPS 4215, tất cả những hành động này đều bị phát hiện và có thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn mạng và tra xét theo từng dấu hiệu, không chỉ khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó cũng được kiểm trạ Do vậy hiện nay hầu như chưa có một cách thức nào để vượt qua được thiết bị này mà không bị lưu vết.
3.3.4.2 Phòng chống tấn công DoS
IPS 4215 Security Events cài đặt sẵn khả năng phòng chống rất nhiều cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một loại tấn công nào, ta chỉ cần đánh dấu vào cột Enable cho các kiểu tấn công tương ứng. Ta sẽ đánh dấu với tấn công SYN flood.
Dựa trên cách thức hoạt động của tấn công SYNFlood có thể dễ dàng phát hiện các gói tin SYN mà không có gói biên nhận ACK tương ứng. Có thể khắc phục bằng cách gửi lại một gói tin RST yêu cầu khởi động lại kết nốị Kết quả là tài nguyên bị chiếm dụng sẽ được giải phóng.
SYNFlood được phát hiện bằng cách giám sát số lượng và tỉ lệ gói SYN mà một server nhận được nhưng lại không có biên nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai tham số để định nghĩa số yêu cầu kết nối mới và thời gian timeout.
Cả tấn công SYNFlood và smurf attack (ping sweep) đều được ips phát hiện và phòng chống.
3.3.4.3 Phòng chống xâm nhập qua Trojan
Dựa trên những lưu thông TCP mà phía client của trojan gây ra (ví dụ như yêu cầu kết nối tới cổng 6666), phía client của trojan này sẽ bị chặn và không thể gửi được các tín hiệu điều khiển tới cho phía máy bị nhiễm.
Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu đặt tùy chọn quarantine trong cấu hình IPS. Do cơ chế trong suốt của thiết bị IPS, kẻ tấn công không hề biết tại sao trojan cài bên phía máy nạn nhân không hoạt động.
3.3.4.4 Phòng chống xâm nhập qua lỗ hổng bảo mật
Dấu hiệu của việc tấn công này là sử dụng MSRPC để thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền điều khiển máỵ IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác định việc tấn công vào lỗ hổng MSRPC.
Security event của IPS để chống MSRPC.
3.4 Tùy chỉnh các tham số phòng chống tấn công
3.4.1 Điều chỉnh tham số cảnh báo
3.4.1.1Mô tả yêu cầu tùy chỉnh
Cấu hình Sig ID 2004 cho biết sự vi phạm sảy ra khi nhận 2 gói icmpEcho Request trong khoảng thời gian là 30 giây cùng với địa chỉ IP nguồn và đíc.
- Event Counter: cho biết bao nhiêu lần mà gói echo icmp request nhận thì được xem là vi phạm, trong trường hợp mặc định tương ứng trong vòng 60 giâỵ
- Aler Frequency: Xác định mức độ thường xuyên cảnh báo được tạo
- Summary Mode: cho biết 30 giây sẽ có những trường hợp sau sảy ra:
Trong khoảng 60 giây chỉ nhận được một gói ICMP Echo Request thì chỉ tạo duy nhất một cảnh báo trong khoảng 60 giây nàỵ
Trong khoảng 60 giây nhận từ 2 gói trở lên thì một cảnh báo sẽ được tạo ra, sau đó 30 giây kế tiếp một cảnh báo Summary sẽ được tạo ra để cho biết số lần vi phạm xảy ra
3.4.1.2Cấu hình
3.4.2 Tùy chỉnh custom atomic signature
- Khi thực hiện cấu hình atomic TCP signature, phải xác định tham số TCP Mask và TCP Flag. Tham số TCP Mask dùng để xác định TCP Flag mà ta phải quan tâm. Bất kỳ TCP Flag mà không có trong TCP Mask thì không là nguyên nhân làm cho signature kích hoạt.
- Ví dụ: ta chọn tham số TCP Mask bao gồm FIN và ACK, tham số TCP Flag chỉ bao gồm FIN. Signature sẽ chỉ kích hoạt dựa vào giá trị của FIN và ACK Flag trong gói (Tất cả các TCP Flag khác trong gói sẽ được bỏ qua)
- Những trường hợp sảy ra:
- Nếu ACK và FIN Flag tồn tại, Signature sẽ không thực hiện kích hoạt.
- Nều FIN Flag tồn tại ACK Flag không tồn tại, Signature sẽ được kích hoạt (bất chấp sự tồn tại của những TCP Flag khác)
- Nếu FIN Flag không tồn tại, Signature sẽ không được kích hoạt.
- Mục đích ta muống tùy chỉnh một custom signature được kích hoạt bởi gói chỉ tồn tại SYN Flag mà không có ACK Flag, khi truy cập ứng dụng Telnet. Cấu hình Signature với mức độ nghiêm trọng là High. Cảnh báo nên được tạo ra mỗi
lần xảy ra vi phạm. IPS Sensor nên có hành động Deny Packet Inlin và Produce Alert.
3.4.2.2Cấu hình
3.4.3 Tùy chỉnh custom stream signature
3.4.3.1Mô tả yêu cầu tùy chỉnh
Tạo một Signature tùy chọn mà sẽ cho biết sự vi phạm xảy ra khi gói Telnet (cổng 23) chứa từ “admin” (không phân biệt chữ hoa chữ thường. IPS Sensor sẽ có hành động Deny Connection Inline và Produce Alert cho mỗi lần vi phạm.
Cấu hình IPS senso r để chuyển sang Summary Alert nếu sự vi phạm sảy ra 3 lần trong 60 giây với cùng địa chỉ tấn công.
3.4.3.2Cấu hình
3.4.4 Tùy chỉnh custom http signature
3.4.4.1Mô tả yêu cầu tùy chỉnh
Tạo một Signature tùy chọn để kiểm tra sự vi phạm khi một gói HTTP có chưa từ “attack” trong URL.
Khi vi phạm xảy ra hành động là Produce Alert và Deny Attacker Service Pair Inlinẹ
3.4.4.2Cấu hình
3.5 Đánh giá kết quả thử nghiệm
Qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã biết được tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an toàn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các phương pháp phát hiện và cách phòng chống tấn công một hệ thống.
Hiểu được công nghệ thế giới sử dụng để phòng chống các hiểm họa an ninh mạng hiện nay, em đã cài đặt và cấu hình thành công thiết bị Cisco IDS 4215 một thiết bị chuyên dụng về công nghệ phát hiện và phòng chống xâm nhập. Qua đó em có thể hiểu được nguyên lý hoạt động chung để có thể cấu hình các thiết bị tương tự khác.
Em cũng có thể xác định được những khó khăn và hướng giải quyết khi triển khai hệ thống phòng chống xâm nhập trên một hệ thống mạng thực tế.
3.5.2 Nhận xét và đánh giá
- Ưu điểm: Sau khi nghiên cứu tìm hiểu công nghệ phòng chống xâm nhập IDS/IPS qua một trong dòng thiết bị điển hình của Cisco IDS 4215, em nhận thấy thiết bị này có khả năng phòng chống được hầu hết các tấn công trong tấm hiểu biết của các hacker bình thường hiện naỵ
Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói tin, thiết bị này có khả năng phòng chống tấn công tốt hơn nhiều so với tường lửa đơn thuần. Thiết bị này có khả năng cập nhật các dấu hiệu tấn công mới, vì vậy nó có khả năng phòng chống được các hình thức tấn công mớị Ngoài ra, nếu người quản trị hiểu biết sâu rộng về các cách thức tấn công và điểm yếu trong mạng thì có thể thiết lập các dấu hiệu riêng cho mạng của mình và mạng đó chắc chắn sẽ khó có thể bị xâm nhập trái phép.
- Hạn chế: Do sản phẩm và công nghệ đã được đóng gói sẵn nên không thể thay đổi cấu trúc và nội dung dẫn đến khả năng phát hiện và phòng chống tấn công hệ thống mạng vẫn còn thụ động.
3.5.3 Định hướng nghiên cứu
Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng khá khó khăn.
Sau khi hoàn thành luận văn, điều em mong muốn trước tiên là tiếp tục nghiên cứu chi tiết hơn về các cách tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), để có thể tùy chỉnh các chính sách riêng biệt cho từng hệ thống
mạng, cũng như các biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Sau đó em sẽ nghiên cứu về cách thức phát hiện ra một lỗ hổng mới trong một hệ thống, đồng thời nghiên cứu cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó.
Kết quả nghiên cứu của luận văn này sẽ giúp định hướng các nghiên cứu sâu hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau nàỵ
DANH MỤC TÀI LIỆU THAM KHẢO Ạ Tiếng Việt
1. Bùi Nguyễn Hoàng Long (2009), CCSP Labpro – IPS & CSMARS, NXB Thông Tin và Truyền Thông.
2. Thông tin và Truyền thông (2012), Thông tin và số liệu thống kê về công nghệ thông tin và truyền thông, 163 trang. 3. Trần Tiến Công (2009), Nghiên cứu triển khai hệ thống IDS/IPS, Trường Đại học Công nghệ, 76 trang.
4. Vũ Đình Cường (2009), Cách bảo vệ dữ liệu quan trọng và phương pháp phát hiện thâm nhập, NXB Lao Động Xã Hộị
5. http://vnprọorg/forum/forumdisplaỵphp/67-IPS, truy cập ngày 06/08/2013
B. Tiếng Anh
6. The Information Assurance Technology Analysis Center (IATAC) (2009), Intrusion Detection Systems.
7. http://www.networkcritical.com/Solutions/IDS-IPS. 8. http://www.ciscọcom/en/US/docs/security/ips/6.1/con figuration/guide/cli/cli_setup.html, truy cập ngày 06/08/2013.