nhập mạng máy tính
3.2.1 Hiện trạng và nhu cầu
Trung tâm Công nghệ thông tin và Truyền thông Thái Nguyên là đơn vị quản trị và vận hành hai hệ thống Công nghệ thông tin của tỉnh Thái Nguyên, đó là hệ thống Cổng thông tin điện tử và hệ thống Thƣ điện tử của tỉnh. Hai hệ thống này đƣợc đặt tại Trung tâm dữ liệu. Đƣợc đánh giá là một hệ thống mạng cỡ vừa, hiện nay hệ thống đã đƣợc trang bị các thiết bị bảo vệ nhƣ: Firewall Cisco ASA, Firewall mềm Forfront. Ngoài ra hệ thống còn đƣợc chia thành các VLAN nhằm tăng khả năng bảo mật và có tính linh động cao.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 3.1Mô hình hệ thống mạng của cơ quan
Với các thiết bị an ninh mạng hiện có, hệ thống đã có khả năng đảm bảo an toàn cho các mạng riêng nhờ vào tính năng của Firewal ASA và phần mềm Forefront, ngăn ngừa đƣợc các hoạt động tấn công DDOS, ping scan mạng,… tuy nhiên, hệ thống vẫn cần trang bị thêm phần mềm giám sát, phát hiện các xâm nhập mạng từ mức cổng, nhằm kịp thời cảnh báo các dấu hiệu bất thƣờng của hệ thống, giúp nhà quản trị mạng chủ động nắm bắt, đƣa ra các chính sách và biện pháp quản lý kịp thời, giảm thiểu các nguy cơ bị tấn công trong tƣơng lai.
3.2.2 Giải pháp và công nghệ lựa chọn
Phần mềm cảnh báo, phát hiện xâm nhập mạng máy tính IDS đƣợc xây dựng trên cơ sở phần mềm mã nguồn mở và chạy trên nền hệ điều hành Linux hoặc Windows Server 2003/2008. Hệ phần mềm sử dụng chƣơng trình lõi có tên là Snort với nhiều lựa chọn cấu hình khác nhau. Phƣơng án đơn giản nhất
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
là cài đặt chƣơng trình Snort trên một máy đơn (phƣơng án một đầu dò) để giám sát một mạng con. Tín hiệu cảnh báo có thể chỉ đƣợc lƣu trong tệp log hoặc gửi dữ liệu cảnh báo thông qua giao thức quản trị mạng SNMP. Tín hiệu trên cũng có thể gửi đến máy Microsoft windows dƣới dạng SMB pop – up windows hoặc gửi tới phần mềm quản trị nhƣ HP OpenView hoặc Open NMS.[5]
Phƣơng án phức tạp hơn và mang tính toàn diện có thể áp dụng trên mạng diện rộng là phƣơng án có nhiều đầu dò (mỗi đầu dò đƣợc cài chƣơng trình daemon Snort), hình 2.2 sau đây là thể hiện phƣơng án nhiều đầu dò có sử dụng hệ quản trị cơ sở dữ liệu để lƣu tín hiện cảnh báo và sử dụng web Apache và ngôn ngữ PHP để khai thác cơ sở dữ liệu. Phần mềm quản trị CSDL MySQL đƣợc lựa chọn để quản trị và lƣu giữ cơ sở dữ liệu tín hiệu cảnh báo. Ngoài ra cũng có thể sử dụng các hệ quản trị cơ sở dữ liệu khác nhƣ PostgresSQL, Oracle, Microsoft SQL server để quản trị CSDL.
Trong khuôn khổ của luận văn, tôi xin đề xuất phƣơng án chuẩn cài đặt trên hệ thống với ba thành phần cơ bản sau:
- Đầu dò Snort
- Máy chủ CSDL MySQL - Máy chủ web Apache
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 3.2: Mô hình IDS nhiều đầu dò Snort kết hợp với hệ quản trị CSDL MySQL và Webserver Apache