Tải bản đầy đủ (.doc) (64 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

ĐỒ ÁN NGHIÊN CỨU VỀ IDS / IPS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.27 MB, 64 trang )

SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
MỤC LỤC
A. MỤC TIÊU CỦA VIỆC NGHIÊN CỨU VỀ IDS/IPS
o Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày
càng tốt hơn
o Nghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
o Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự
cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày
càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh
nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.
o Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.
B. CẤU TRÚC CỦA ĐỒ ÁN:
Đồ án này được chia làm 4 phần:
I. Chương 1: Giới thiệu tổng quan về đồ án.
II. Chương 2: Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm
nhập IDS/IPS.
III. Chương 3: Nghiên cứu ứng dụng của snort trong IDS và mô hình mô phỏng
SNORT trên CentOS 5.8 final.
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
IV. Chương 4: Tổng kết những kết quả đạt được trong đồ án.
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
TỪ NGỮ CHUYÊN NGÀNH:
IDS: Intrusion Detection System.
IPS: Intrusion Prevention System
Protocol : giao thức.
NIDS:Network-Based Intrusion Detection Systems.
HIDS:Host Based Intrusion Detection Systems
Network Sensors:
Switch Sensors


Router Sensors
Firewall Sensors
Host Agents
Trang 1
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
PHỤ LỤC BẢNG:
Bảng so sánh IDS Cisco với Snort IDS: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 18
Bảng Các cờ sử dụng với từ khoá flags : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 38
Bảng các gói phụ thuộc khi cài snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 47
Trang 2
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
PHỤ LỤC HÌNH ẢNH:
Hình 1: mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS):. . . . . . . . . . . . . . trang 9
Hình 2: Network IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 11
Hình 3: Host base IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 12
Hình 4: Cấu trúc IP header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 14
Hình 5: Cấu trúc TCP header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 15
Hình 6: Mô hình kiến trúc hệ thống Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 22
Hình 7: Xử lý một gói tin Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 23
Hình 8: Cấu trúc của Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 27
Hình 9: Header luật của Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 28
Mô hình snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 43
Base thể hiện % phần ICMP:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 44
Base thể hiện Portcan Traffic tăng từ 0% lên 1%:. . . . . . . . . . . . . . . . . . . . . . . .trang 45
Log webmin : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 54
Tích hợp snort vào webmin: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 55
Cài đặt snort vào webmin: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .trang 56
Client Win XP Ping -t tới snort : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 60
Truy cập http://localhost/base: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 60
Thông tin (snort) base bắt được : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 61

ICMP Base phát hiện địa chỉ tấn công: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 61
15 cảnh báo gần đây nhất của snort base: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 62
Trang 3
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
Dùng wirshark bắt gió tin snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 62
Base ghi nhận được máy dùng Nmap scan port tới máy Snort: . . . . . . . . . . . . . . trang 63
Dùng Nmap từ win XP scan port snort: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 63
5 cảnh báo thường xuyên nhất của base snort: . . . . . . . . . . . . . . . . . . . . . . . . . . trang 64
Base hiển thị phần trăm ICMP: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . trang 64
Nmap quét port tới snort, base hiển thị từ 0  1% : . . . . . . . . . . . . . . . . . . . . . . . trang 65
Trang 4
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
CHƯƠNG 1 : TỔNG QUAN
I. Lý do chọn đề tài
Em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của
hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho
những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS
phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an
toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến
nhà quản trị mà nó còn cung cấp những thông tin sau:
Các sự kiện tấn công.
- Phương pháp tấn công.
- Nguồn gốc tấn công.
- Dấu hiệu tấn công.
Một số lý do để thêm IDS cho hệ thống tường lửa là:
- Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.
- Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.
- Làm cho nỗ lực tấn công bị thất bại.
- Nhận biết các cuộc tấn công từ bên trong.

II. Phân tích hiện trạng:
Trang 5
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
- 4/7/2002, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua
455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.
- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm
một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống
virus không sử dụng IDS.
- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin
trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo
động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được
phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật.
III. Xác định yêu cầu:
Yêu cầu bắt buộc:
1. IDS là gì.
2. Các thành phần của IDS.
3. Các mô hình IDS.
4. Các ứng dụng IDS phổ biến hiện nay.
Trang 6
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang

5. Triển khai mô hình IDS demo trong mạng LAN.
Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của
một IDS.
IV. Giới hạn và phạm vi nghiên cứu:
- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có
tham gia kết nối internet.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.
- Tìm hiểu Snort IDS Software.
V. Ý nghĩa thực tiễn của đề tài:
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
Trang 7
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
CHƯƠNG 2 : TÌM HIỂU
IDS
I. Khái niệm:
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự
kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an
ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị.
1. Sự khác nhau giữa IDS và IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và “ngăn
chặn”. Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các
nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó, một hệ thống IPS
ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định
được người quản trị thiết lập sẵn.
Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS được

thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó một số hệ
thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng
nghĩa.
Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc
vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của
những người quản trị mạng. Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ
an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát
hiện, cảnh báo và ngăn chặn của nó. Tuy nhiên với các mạng lơn hơn thì chức năng ngăn
chặn thường được giao phó cho một sản phẩm chuyên dụng như một firewall chẳng hạn.
Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một hệ
Trang 8
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
thống ngăn chặn khác. Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an ninh cho
mạng trở nên linh động và hiệu quả hơn.
2. Các thành phần và chức năng của IDS
IDS bao gồm các thành phần chính
:
 Thành phần thu thập thông tin gói tin.
 Thành phần phát hiện gói tin.
 Thành phần xử lý(phản hồi).
Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập
(IDS)
2.1 Thành phần thu thập gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các gói
tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng
đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói
tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào,
dịch vụ.
2.2 Thành phần phát hiện gói tin

Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm biến
là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.
Trang 9
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
2.3 Thành phần phản hồi
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ
gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng.
Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn
cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn
chặn:
 Cảnh báo thời gian thực
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các
cuộc tấn công, các đặc điểm và thông tin về chúng.
 Ghi lại vào tập tin
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục
đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn công hoạt động.
 Ngăn chặn, thay đổi gói tin
Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa
bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình
thường.
3. Phân loại IDS
3.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.
Trang 10
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang

Hình 2: Network
IDS
3.1.1 Lợi thế của Network-Based IDS
 Quản lý được cả một network segment (gồm nhiều host).
 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
 Tránh DOS ảnh hưởng tới một host nào đó.
 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
 Độc lập với OS.
3.1.2 Hạn chế của Network-Based IDS
 Có thể xảy ra trường hợp báo động giả.
 Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)
 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.
 Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
Trang 11
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
động được phát ra, hệ thống có thể đã bị tổn hại.
 Không cho biết việc tấn công có thành công hay không.
3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt
động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
Hình 3: Host base
IDS
3.2.1 Lợi thế của Host IDS
 Có khả năng xác định người dùng liên quan tới một sự kiện.
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra.
Trang 12
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
3.2.2 Hạn chế của Host IDS

 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.
 Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải được thiết lập trên từng host cần giám sát .
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…)
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.
 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
được trên UNIX và những hệ điều hành khác.
4. Cơ chế hoạt động của IDS
IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn
công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các
vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm
IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
4.1 Phát hiện dựa trên sự bất thường
Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì
một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt,
nghĩa là đã có sự xâm nhập.
Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công
ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một
điều bất thường.
4.2 Phát hiện thông qua Protocol
Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân
tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.
Trang 13
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
Sau đây là cấu trúc của một gói tin:
IP Header
Hình 4: Cấu trúc IP

Header
Thuộc tính Source Address và Destination Address giúp cho IDS biết được nguồn
gốc cuộc tấn công.
Trang 14
SVTH: Lê Sơn GVHD: Ths.Nguyễn Đức Quang
TCP Header
Hình 5: Cấu trúc TCP Header.
Trang 15
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ
bản nền tảng sau:
 Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.
 Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động
nào là tấn công.
 Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên.
4.3 Phát hiện nhờ quá trình tự học
Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công
sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động
bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã
thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.
5. Các ứng dụng IDS phổ biến hiện nay
Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì
khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn
công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong
công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cường sức
mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua
mạng. Cụ thể, IDS có thể cảnh báo những hành động sau:

+ Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ.
+ Hành động chat với các máy ip lạ.
+ Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty
vẫn cố tình truy xuất.
+ Hành động truy xuất các website vào giờ cấm.
+ Hành động chống sniff sử dụng phương pháp ARP Spoofing.
+ Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm.
6. So sánh IDS Cisco với IDS Linux

Giống nhau: Điều là một
hệ
thống Network-Based Intrusion Detection Systems
(NIDS) có nhiệm vụ giám sát các luồng dữ liệu traffic đang lưu thông trên mạng, có
khả
năng phát hiện những hành động khả nghi, những xâm nhập trái phép cũng như
khai
thác bất hợp pháp nguồn tài nguyên của hệ thống mà từ đó có thể dẫn đến
xâm
hại
tính toàn ổn định,tòan vẹn và sẵn sàng của hệ
thống.
IDS có thể phân biệt được những cuộc tấn công xuất phát từ bên ngoài hay
từ
chính bên
trong hệ thống bằng cách dựa vào một database dấu hiệu đặc biệt về
những
cuộc tấn
công (smurf attack, buffer overflow, packet sniffers….), cung cấp các thông tin nhận
biết và đưa ra cảnh báo cho hệ thống, nhà quản trị.
Khác nhau:

IDS Cisco (còn có tên là NetRanger) là
một hệ thống NIDS, có khả năng theo dõi
toàn bộ lưu thông mạng và đối sánh từng gói
tin để phát hiện các dấu hiệu xâm nhập.
Cisco IDS là một giải pháp riêng biệt,
được Cisco cung cấp đồng bộ phần cứng và
phần mềm trong một thiết bị chuyên dụng.
Giải pháp kỹ thuật của Cisco IDS là một
dạng lai giữa giải mã (decode) và đối sánh
(grep). Cisco IDS hoạt động trên một hệ
thống Unix được tối ưu hóa về cấu hình và
có giao diện tương tác CLI (Cisco
Command Line Interface) quen thuộc của
Cisco.Các hệ thống giải pháp IDS của Cisco

Network Sensors: cung cấp một thiết bị
chuyên dụng với khả năng theo dõi và
bảo vệ các segment mạng.

Switch Sensors (Switch có module tích
hợp chức năng của IDS).

Router Sensors( Router có module tích
hợp chức năng của IDS).

Firewall Sensors( Firewall có module
IDS Linux là 1 IDS sofware. Có thể là một
hệ thống Host based intrusion detection
Systems (HIDS) hoặc Network-Based
Intrusion Detection Systems (NIDS. Có

nhiều loại như: Snort, AIDE, Bro, OSSEC,
là một giải pháp IDS dùng phần mềm mã
nguồn mở. Trong đó snort được đánh giá là
IDS mã nguồn mở miễn phí đáng chú ý nhất
với những tính năng rất mạnh với 400.000
người sử dụng đăng ký.
Chi tiết về Snort sẽ được trình bày trong
phần chương III của đồ án .
tích hợp chức năng của IDS).

Host Agents- Bảo vệ server và desktop.
Bảng so sánh IDS Cisco với IDS Linux
7. Các phương thức tấn công
7.1 ARP Spoofing
Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu
đời nhất (còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép
kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe trộm tất cả
các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn giản nhất
nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.
7.2 Syn Flood
Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối
SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy
hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công
và trước khi nhận gói ACK.
7.3 Zero Day Attacks
Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của
ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa.
"Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote
B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa
lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System

Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và
Windows Server 2008. Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát
từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề
(header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26). Cuộc
tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối
lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ
(LAN) của Windows.
7.4 DOS - Ping Of Death
Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn
kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ
hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với
buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này
và sẽ reboot hoặc bị treo.
VD : ping 192.168.1.3 –l 65000
8. Các phương thức phòng chống
8.1 ARP Spoofing : mã hóa ARP Cache
Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request
và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy
tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Bạn có thể xem
ARP cache của máy tính Windows bằng cách mở nhắc lệnh và đánh vào đó lệnh arp –a.
Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP
ADDRESS> <MAC ADDRESS>.
Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn
toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông
qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP
cache nội bộ của chúng thay vì các ARP request và ARP reply.
8.2 Syn Flood
Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn
lệnh iptables sau:
iptables -A INPUT –p tcp syn –m limit limit 1/s limit -burst 3 -j RETURN

Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:
 limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)
 limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3
Dùng iptables, thêm rule sau vào:
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood
protection iptables -N syn_flood
iptables -A INPUT -p tcp syn -j syn_flood
iptables -A syn_flood -m limit limit 1/s limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
8.3 Zero Day Attacks
+ Cập nhật bản vá lỗi.
+ Lọc dữ liệu từ cổng TCP 445 bằng tường lửa (iptables)
+ Khóa cổng SMB trong registry.
8.4 DOS – Ping Of Death
- Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số
lượng packet vào hệ thống.
- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong
muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
Ví dụ : alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping >
1000";dsize:>1000 ; sid:2;)
Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho
Ping.
CHƯƠNG 3 : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG
IDS VÀ MÔ HÌNH THỰC NGHIỆM
I. Giới thiệu về snort
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở. Tuy
Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm
thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu module, người dùng có
thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới

các module. Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên
bởi một cộng đồng người sử dụng. Snort có thể chạy trên nhiều hệ thống nền như Windows,
Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS.
Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông thường, Snort còn
có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao
thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của
OpenBSD.
Snort được cài đặt trên mạng làm nhiệm vụ giám sát những packet vào ra hệ
thống mạng. Khi Snort phát hiện một cuộc tấn công thì nó có thể phản ứng bằng nhiều
cách khác nhau tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn như
nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự
bất thường trong các gói tin đó. Snort sử dụng các luật được lưu trữ trong các file text, có
thể được chỉnh sửa bởi người quản trị. Mỗi luật đại diện cho một cuộc tấn công. File cấu
hình chính của Snort là snort.conf. Khi có một packet đến hệ thống nó sẽ được áp vào tập
luật, nếu có sự so trùng snort sẽ phản ứng.
Snort bao gồm một hoặc nhiều cảm biến và một server cơ sở dữ liệu chính.Các
cảm biến có thể được đặt trước hoặc sau firewall:
• Giám sát các cuộc tấn công vào firewall và hệ thống mạng.
• Có khả năng ghi nhớ các cuộc vượt firewall thành công.
1. Kiến trúc của snort
Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng. Các phần chính
đó là:
• Môđun giải mã gói tin (Packet Decoder)
• Môđun tiền xử lý (Preprocessors)
• Môđun phát hiện (Detection Engine)
• Môđun log và cảnh báo (Logging and Alerting System)
• Môđun kết xuất thông tin (Output Module)
• Kiến trúc của Snort được mô tả trong hình sau:

Hình 6 : Mô hình kiến trúc hệ thống Snort

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào di
chuyển qua nó. Các gói tin sau khi bị bắt được đưa vào Môđun Giải mã gói tin. Tiếp theo gói
tin sẽ được đưa vào môđun Tiền xử lý, rồi môđun Phát hiện. Tại đây tùy theo việc có phát
hiện được xâm nhập hay không mà gói tin có thể được bỏ qua để lưu thông tiếp hoặc được
đưa vào môđun Log và cảnh báo để xử lý. Khi các cảnh báo được xác định môđun Kết xuất
thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn. Sau đây ta sẽ
đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.
1.1 Mođun giải mã gói tin
Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống.
Hình sau mô tả việc một gói tin Ethernet sẽ được giải mã thế nào:

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×