Tải bản đầy đủ (.doc) (92 trang)

Xây dựng hệ thống phát hiện – chống xâm nhập dựa vào Firewall Iptables và IPS Snort Inline

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.88 MB, 92 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN

-----------o0o-----------

ĐỒ ÁN CHUYÊN NGÀNH
Đề tài:
Xây dựng hệ thống phát hiện – chống xâm nhập dựa
vào Firewall Iptables và IPS Snort Inline

GVHD: Th.S Văn Thiên Hoàng
Sinh viên thực hiện:
Đặng Thành Phát - 1311060941

THÀNH PHỐ HỒ CHÍ MINH NĂM 2016


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

MỤC LỤC
LỜI NÓI ĐẦU....................................................................................................
CHƯƠNG I: TỔNG QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP...............
1.1 Giới thiệu.........................................................................................................9
1.2 Các kiểu tấn công mạng...................................................................................9
1.2.1 Phân loại các lỗ hổng bảo mật...................................................................9
1.2.2 Tấn công chủ động và tấn công bị động:...................................................9
1.2.3 Các bước tấn công thường gặp................................................................10
1.2.4 Cách thức tấn công:.................................................................................11


1.3 Các phương pháp nhận biết tấn công:............................................................14
1.3.1 Nhận biết qua tập sự kiện........................................................................14
1.3.2 Phát hiện dựa trên tập luật (Rule-Based )................................................14
1.3.3 Phân biệt ý định người dùng (User intention identification)...................14
1.3.4 Phân tích trạng thái phiên (State-transition analysis)..............................15
1.3.5 Phương pháp phân tích thống kê (Statistical analysis approach).............15
1.3.6 Phương thức phát hiện xâm nhập dựa vào chữ ký...................................16
1.3.7 Phương thức phát hiện xâm nhập dựa vào sự bất thường........................16
1.4 Kiến trúc của một hệ thống chống xâm nhập.................................................17
1.4.1 Module phân tích luồng dữ liệu:.............................................................17
1.4.2 Module phát hiện tấn công:.....................................................................17
1.4.3 Module phản ứng....................................................................................19
1.5 Các kiểu hệ thống IPS....................................................................................20
1.5.1 IPS ngoài luồng.......................................................................................20
1.5.2 IPS trong luồng.......................................................................................20
1.6 Các sản phẩm IPS trên thị trường..................................................................21
1.6.1 Intrust......................................................................................................21
1.6.2 ELM........................................................................................................21
1.6.3 SNORT....................................................................................................22

2


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

1.6.4 Cisco IDS................................................................................................23
1.6.5 Dragon....................................................................................................23
CHƯƠNG II: TỔNG QUAN VỀ IPTABLES & SNORT_INLINE..................

2.1. Tổng quan về Firewall..................................................................................25
2.2. Phân loại firewall..........................................................................................26
2.2.1. Packet Filtering......................................................................................26
2.2.2. Application-proxy firewall.....................................................................28
2.3. Tổng quan về Iptables...................................................................................30
2.3.1. Các tính năng của Iptables.....................................................................31
2.3.2. Cơ chế hoạt động Iptables......................................................................31
2.3.3. Jumps và Targets....................................................................................33
2.3.4. Các tùy chọn để thao tác với luật...........................................................33
2.4. Tìm hiểu các câu lệnh và thiết lập luật trong Iptables...................................34
1.6.6 Sử dụng chain tự định nghĩa....................................................................34
2.4.1. Lưu và phục hồi lại những script cấu hình trong Iptables.......................35
2.4.2. Ý nghĩa của một số luật cơ bản trong Iptables........................................35
2.5. Firewall and Logging....................................................................................36
2.5.1. The syslog protocol................................................................................36
2.5.2. Proprietary logging methods..................................................................38
2.6. Firewall log review and analysis...................................................................38
2.6.1. Tổng quan..............................................................................................38
2.6.2. Các thông tin sự kiện từ file log.............................................................38
2.7. Tổng quan về Snort inline.............................................................................41
2.7.1. Giới thiệu Snort inline............................................................................41
2.7.2. Snort-inline và Iptables:.........................................................................41
2.7.3. Các trạng thái.........................................................................................43
2.8. Các thành phần của Snort inline...................................................................44
2.8.1. Bộ packet sniffer....................................................................................45
2.8.2. Bộ Preprocessor.....................................................................................45
2.8.3. Bộ phát hiện (detection engine)..............................................................46

3



Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

2.8.4. Hệ thống ghi và cảnh báo (Logging và alerting)....................................47
2.8.5. Cấu trúc của một luật.............................................................................48
2.9. Các option phổ biến của Snort:.....................................................................49
CHƯƠNG III: TRIỂN KHAI HỆ THỐNG IPS (SNORT_INLINE KẾT HỢP
IPTABLES)..............................................................................................................57
1.7 CHƯƠNG IV: DEMO SNORT_INLINE......................................................84
TÀI LIỆU THAM KHẢO..................................................................................92

4


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

LỜI NÓI ĐẦU

Trước hết, nhóm em xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ
Thuật Công Nghệ Tp.Hồ Chí Minh đã đào đạo, trau dồi cho chúng em những kiến
thức thật bổ ích trong thời gian học tại trường.
Chúng em xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn chúng em hoàn
thành Đồ án chuyên ngành. Cảm ơn thầy đã định hướng, hướng dẫn, truyền đạt lại
những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để chúng em
hoàn thành được đồ án. Cảm ơn sự nhiệt tình, tận tâm của thầy đối với chúng em.
Xin cảm ơn tất cả thầy cô trường Đại Học Kỹ Thuật Công Nghệ cũng như thầy

cô trong khoa Công Nghệ Thông Tin đã đào tạo, tạo điều kiện và cung cấp cho chúng
em những kiến thức hữu ích, làm hành trang bước vào tương lai.
Cuối cùng, kính chúc thầy Hoàng cũng như tất cả thầy cô trong khoa Công
Nghệ Thông Tin trường Đại Học Kỹ Thuật Công Nghệ Thành Phố Hồ Chí Minh dồi
dào sức khỏe, gặt hái nhiều thành trong sự nghiệp trồng người mà thầy cô đã chọn.

5


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

MỞ ĐẦU
Giới thiệu:
Ngày nay, thời kỳ kinh tế hóa luôn mở rộng trên toàn cầu. Để phát triển kinh tế,
nắm bắt thông tin kịp thời thì ngành công nghệ thông tin là một trong ngành rất cần
thiết. Chính vì thế mà công nghệ thông tin phát triển rất nhanh, mang lại những lợi ích
thiết thực về nhiều mặt như: kinh tế, xã hội, chính trị, y tế, quân sự… những cuộc họp
trong tổ chức, cơ quan, công ty hay những buổi hội thảo xuyên quốc gia, xuyên lục địa
(Video Conference).
Mạng Internet ngày càng đóng vai trò quan trọng trong các hoạt động của con
người. Với lượng thông tin ngày càng phong phú và đa dạng. Không chỉ có ý nghĩa là
nơi tra cứu tin tức sự kiện đang diễn ra trong đời sống hàng ngày, Internet còn đóng
vai trò cầu nối liên kết con người với nhau ở mọi vùng địa lý. Các khoảng cách về địa
lý hầu như không còn ý nghĩa, khi con người ở cách nhau nửa vòng trái đất họ vẫn có
thể trao đổi thông tin, chia sẻ dữ liệu cho nhau như những người trong cùng một văn
phòng.
Internet còn góp phần làm thay đổi phương thức hoạt động kinh doanh của các
doanh nghiệp. Ngoài các hoạt động kinh doanh truyền thống, giờ đây các doanh

nghiệp có thêm một phương thức kinh doanh hiệu quả, đó là thương mại điện tử.
Trong những năm gần đây, thương mại điện tử đã trở thành một bộ phận quan trọng
trong sự tăng trưởng, phát triển của xã hội, mang lại những lợi ích rất lớn cho các
doanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho các ngành nghề khác, góp
phần mang lại tính hiệu quả cho nền kinh tế của doanh nghiệp nói riêng và cho toàn xã
hội nói chung.
Chính sự đa dạng thông tin trên internet, lại là cầu nối chung cho toàn cầu nên
dễ xảy ra tiêu cực trên mạng như : lấy trộm thông tin, làm nhiễu thông tin, thay đổi

6


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

thông tin, …Ði đôi với sự phát triển công nghệ thì bảo mật mạng đang là một nhu cầu
cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập
và thực hiện các trao đổi thông tin, giao dịch qua mạng được an toàn. Về những giá trị
lợi ích của công nghệ thông tin mang lại, những kẻ xấu cũng lợi dụng công nghệ này
gây ra không ít những khó khăn cho tổ chức, cơ quan cũng như những người áp dụng
công nghệ thông tin vào cuộc sống.
Công nghệ nào cũng có ưu điểm và nhược điểm. Người tấn công (Attacker)
chúng lợi dụng những lỗ hổng của hệ thống để truy xuất bất hợp phát vào khai thác
những thông tin quan trọng, những dữ liệu có tính chất bảo mật, nhạy cảm, thông tin
mật của quốc phòng… Vì vậy chúng ta cần phải có biện pháp, phương pháp để phát
hiện sự truy nhập trái phép đó. Để phát hiện sự truy nhập trái phép đó, hiện nay công
nghệ phát hiện chống xâm nhập hiệu quả được nhiều tổ chức, cơ quan, doanh nghiệp
triển khai và áp dụng vào trong hệ thống mạng của mình là công nghệ Snort IPS.
Các nghiên cứu về hệ thống phát hiện xâm nhập đã được nghiên cứu chính thức

cách đây khoảng 32 năm và cho tới nay đã được áp dụng rộng rãi ở các tổ chức, doanh
nghiệp trên toàn thế giới.
Nhiệm vụ đề tài:
Sử dụng công nghệ IPS (Intrusion Prevention System) kết hợp tường lửa
Firewall Iptable để phòng chống và tự động ngăn chặn các cuộc tấn công hệ thống
mạng cùng với sự hỗ trợ cảnh báo đắc lực của Snort inline.
Cơ sở hạ tầng công nghệ thông tin càng phát triển, thì vấn đề phát triển mạng
lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là
một vấn đề rất quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt
Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì
mỗi một mạng phải tự thiết lập một hệ thống tích hợp IPS của riêng mình.
Trong báo cáo này, chúng em sẽ tìm hiểu về cấu trúc một hệ thống IPS, và đi
sâu tìm hiểu phát triển hệ thống IPS mềm sử dụng mã nguồn mở để có thể áp dụng
trong hệ thống mạng của mình thay thế cho các IPS cứng đắt tiền. Với sự kết hợp của

7


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

các phần mềm nguồn mở Iptables và Snort inline. Tạo ra một hệ thống giám sát mạng,
có khả năng phát hiện những xâm nhập, phòng chống tấn công mạng.

8


Xây dựng hệ thống IPS (Snort_Inline & IPTables)


CHƯƠNG I: TỔNG
1.1

GVHD: Th.S Văn Thiên Hoàng

QUAN VỀ HỆ THỐNG CHỐNG XÂM NHẬP

Giới thiệu
Hệ thống phòng chống xâm nhập IPS (Intrusion Prevention System) là một kỹ

thuật an ninh, kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm
nhập IDS (Intrusion Detection System). Có khả năng phát hiện các cuộc tấn công và tự
động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống.
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các
cuộc tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo
vệ tất cả các thiết bị trong mạng.
1.2
1.2.1

Các kiểu tấn công mạng
Phân loại các lỗ hổng bảo mật
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để

tiến hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng
gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật.
Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các
giao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,...
Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra. Lỗi này do
các thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng,
sử dụng các cấu hình mặc định trên thiết bị như switch, router, modern…

Nếu dựa vào hành động của cuộc tấn công có thể chia tấn công ra làm hai loại
là:
1.2.2

Tấn công chủ động và tấn công bị động:
• Tấn công chủ động: Kẻ tấn công thay đổi hoạt động của hệ thống và
hoạt động của mạng khi tấn công và làm ảnh hưởng đến tính toàn vẹn,
sẵn sàng và xác thực của dữ liệu.
• Tấn công bị động: Kẻ tấn công cố gắng thu thập thông tin từ hoạt động
của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu.

9


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hai
loại. Tấn công từ bên trong và tấn công từ bên ngoài:
• Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ
thống mạng. Kẻ tấn công là những người trong hệ thống mạng nội bộ
muốn truy cập, lấy thông tin nhiều hơn quyền cho phép.
• Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài

1.2.3

Internet hay các kết nối truy cập từ xa.

Các bước tấn công thường gặp


Bước 1: Khảo sát, thu thập thông tin. Kẻ tấn công thu thập thông tin về nơi tấn
công như phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng…
Bước 2: Dò tìm. Kẻ tấn công sử dụng các thông tin thu thập được từ bước một để
tìm kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường
được sử dụng cho quá trình này là các công cụ quét cổng (scanport), quét IP, dò tìm lỗ
hổng…
Buớc 3: Xâm nhập. Các lỗ hổng được tìm thấy trong bước hai được kẻ tấn công sử
dụng, khai thác để xâm nhập vào hệ thống. Ở bước này, kẻ tấn công có thể dùng các
kỹ thuật như: Tràn bộ đệm, từ chối dịch vụ (DoS)…
Buớc 4: Duy trì xâm nhập. Một khi kẻ tấn công đã xâm nhập được vào hệ thống,
bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập
tiếp trong tương lai. Một vài kỹ thuật như backboors, trojans… được sử dụng ở bước
này. Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra những nguy hại
cho hệ thống hoặc đánh cắp thông tin. Ngoài ra, chúng có thể sử dụng hệ thống này để
tấn công vào các hệ thống khác như loại tấn công DDoS.
Bước 5: Che đậy, xóa dấu vết. Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì
xâm nhập. Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng
cứ pháp lí xâm nhập. Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ
thống phát hiện xâm nhập.
Ở bước “Dò tìm” và “Xâm nhập”, kẻ tấn công thường làm lưu lượng kết nối mạng
thay đổi khác với lúc mạng bình thường rất nhiều. Ðồng thời tài nguyên của hệ thống

10


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng


máy chủ bị ảnh hưởng đáng kể. Những dấu hiệu này rất có ích cho người quản trị
mạng trong việc phân tích và đánh giá tình hình hoạt động của hệ thống mạng.
1.2.4

Cách thức tấn công:
Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.

Kỹ thuật tấn công ARP:
Khi một máy tính A cần biết địa chỉ MAC từ một IP, nó sẽ gởi gói tin ARP có
chứa thông tin yêu cầu IP address ở dạng Broadcasting lên mạng. Máy tính B khi nhận
được gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gởi.
Nếu hai giá trị này trùng khớp thì B sẽ gởi gói tin reply có chứa thông tin địa chỉ IP
của B cho A. Khi A nhận được gói tin do B reply, nó sẽ lưu địa chỉ MAC của B trong
ARP table ARP cache để dùng cho lần truyền tiếp theo.
Kiểu tấn công Man-in-the-middle (MITM):
Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy
xuất vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên
mạng.
Ví dụ: Lây nhiễm ARP cache như sau:
Có hai máy tính E, F với địa chỉ IP và MAC tương ứng như sau:
E (IP = 10.1.3.2, MAC = EE:EE:EE:EE:EE:EE)
F (IP = 10.1.3.3, MAC = FF:FF:FF:FF:FF:FF)
Máy tính của hacker có địa chỉ:
H (IP = 10.1.3.4, MAC = HH:HH:HH:HH:HH:HH)
H sẽ gởi thông điệp ARP reply cho E nói rằng IP: 10.1.3.3 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của E sẽ là IP= 10.1.3.3– MAC=
HH:HH:HH:HH:HH:HH

11



Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

H sẽ gởi thông điệp ARP reply cho F nói rằng IP: 10.1.3.2 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH. Lúc này ARP table của F sẽ là IP= 10.1.3.2– MAC=
HH:HH:HH:HH:HH:HH

Hình 0-1 Phương thức nhiễm ARP cache
Khi E cần truyền thông điệp đến F, nó thấy trong ARP table F có địa chỉ Ethernet là
HH:HH:HH:HH:HH:HH nên nó sẽ gởi thông điệp đến cho H thay vì đến F. H nhận
được thông điệp này, xử lý và có thể truyền lại thông điệp đó đến F (tùy theo mục đích
tấn công).
Trường hợp F cần gởi thông điệp đến E thì quy trình cũng tương tự như trên. Như
vậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa E và F mà hai
host này không hề hay biết. H có thể thay đổi thông điệp trước khi truyền đến máy
đích.

12


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

Hình 0-2 Tấn công trên máy đã bị nhiễm ARP cache.
Ping of Death:
Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua
lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo.

VD: ping –l 65000
Tấn công từ chối dịch vụ DNS
Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhân rồi
chỉ đến một website B nào đó của hacker. Khi máy khách truy cập đến Server A để vào
trang Web, thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra.
Giải pháp phòng chống:
- Thường xuyên cập nhật các bản vá lỗi và update hệ thống.
- Triển khai những dịch vụ hệ thống mạng cần thiết.
- Xây dựng hệ thống IDS/IPS.
- Tường lửa (Firewall).
- Chống virus.
13


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

- Chính sách sử dụng, quản lý password.
- Sử dụng các trình bảo mật để bảo vệ các tài liệu, tập tin quan trọng.
- Thường xuyên back-up.
1.3

Các phương pháp nhận biết tấn công:
Hiện nay một số loại hệ thống phát hiện xâm nhập, được phân biệt bởi cách

thức theo dõi và phân tích. Mỗi phương pháp có những lợi điểm và những hạn chế
nhất định. Tuy nhiên, mọi phương pháp đều có thể mô tả thông qua một mô hình tiến
trình chung tổng quát cho hệ thống phát hiện xâm nhập. Error! No index entries found.
1.3.1 Nhận biết qua tập sự kiện

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước
để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp
vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom và Sense và Computer Watch (được phát triển tại AT&T).
1.3.2 Phát hiện dựa trên tập luật (Rule-Based )
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những
hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm
định thích hợp.
Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record).
Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối
với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định.
Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm
định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các
cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ
thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM (Solaris)).
1.3.3 Phân biệt ý định người dùng (User intention identification)
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một
tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng).

14


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho
hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể
chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thh

một cảnh báo sẽ được sinh ra.
1.3.4 Phân tích trạng thái phiên (State-transition analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực
hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ
đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo
hay đáp trả theo các hành động đã được định trước.
1.3.5 Phương pháp phân tích thống kê (Statistical analysis approach)
Đây là phương pháp thường được sử dụng. Hành vi người dùng hay hệ thống
(tập các thuộc tính) được tính theo một số biến thời gian.
Ví dụ, các biến như là: Đăng nhập người dùng, đăng xuất, số tập tin truy nhập
trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ
nâng cấp có thể thay đổi từ một vài phút đến một tháng.
Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt
quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không
thể hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào
việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp
lại cũng ít có hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng
cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường
xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng.
Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS
dựa trên thông tin hành vi người dùng thông thường.

15


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng


1.3.6 Phương thức phát hiện xâm nhập dựa vào chữ ký
Phát hiện xâm nhập dựa vào chữ ký (Signature - Based Detection) để xác định
một sự kiện có phải là một mối nguy hiểm không. Một số các trường hợp tiêu biểu:
+ Chương trình kết nối đến hệ thống sử dụng quyền root với tên truy cập là
“root”, có thể là một mối nguy hiểm đến các chính sách bảo mật của tổ chức.
+ Email với tiêu để "Free Picture" file đính kèm "freepicture.exe", là đặc điểm
của một loại malware.
Việc phát hiện xâm nhập dựa vào chữ ký hiệu quả với những mối đe dọa đã
được biết đến. Tuy nhiên, cách này vô hiệu hóa đối với những mối đe dọa chưa được
biết đến, được che giấu bằng cách nào đó hoặc những biến thể của những mối đe dọa
đã biết.
Phát hiện dựa vào chữ ký là phương thức đơn giản nhất vì nó chỉ so sánh các
đơn vị hoạt động (gói tin hay file log) với danh sách các chữ ký, sử dụng phương thức
so sánh chuỗi. Vì vậy nếu kẻ tấn công thay đổi tên từ "freepic.exe" thành
"freepic2.exe" thì phương thức này sẽ không thể phát hiện được đó là malware.
Phương thức này không hiểu được nhiều giao thức hoạt động của mạng, giao
thức hoạt động của các ứng dụng, không theo dõi và hiểu các trạng thái liên lạc phức
tạp.
1.3.7 Phương thức phát hiện xâm nhập dựa vào sự bất thường
Phương thức phát hiện xâm nhập dựa vào sự bất thường (Anomaly – Based
Detection) là quá trình so sánh các định nghĩa sự kiện được cho là bình thường với các
sự kiện được quan sát để xác định các vấn đề bất thường.
Sử dụng phương thức phát hiện xâm nhập dựa vào sự bất thường sử dụng các
profile đại diện cho các trạng thái bình thường của người dùng, hoặc kết nối mạng
hoặc ứng dụng.
Ví dụ khi profile đại diện cho trạng thái bình thường của kết nối mạng chỉ ra
rằng hoạt động truy cập web tốn 16% băng thông mạng trong suốt thời gian làm việc.
IDS so sánh kết quả này với băng thông mạng thật sự và nếu phát hiện ra việc sử dụng
cao hơn, IDS sẽ cảnh báo cho admin về sự bất thường này. Các profile có thể được


16


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

chỉnh cho phù hợp, ví dụ như số lượng mail có thể gửi đi, số lần login sai, mức hoạt
động của CPU…
Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi
để đạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó.
Ví dụ như khi malware xâm nhập vào máy tính, malware có thể tiêu thụ nhiều
tài nguyên máy tính, gửi đi một lượng lớn email, tạo ra nhiều kết nối, ngốn băng thông
mạng, và thực hiện nhiều hành động bất thường so với những thông tin có trong
profile.
1.4

Kiến trúc của một hệ thống chống xâm nhập

Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện
nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng,
cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo. Hệ thống IPS
gồm 3 module chính: module phân tích luồng dữ liệu, module phát hiện tấn công,
module phản ứng.
1.4.1 Module phân tích luồng dữ liệu:
Module này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường
các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ
nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua
chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ

gì... Các thông tin này được chuyển đến module phát hiện tấn công.
1.4.2 Module phát hiện tấn công:
Đây là module quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn
công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm
dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn
công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được
gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện

17


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả
năng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật
trong hệ thống của mình.
Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn
công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải
cập nhật các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận
dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này
về các cuộc tấn công là khác so với các hoạt động thông thường.
Ban đầu, chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ
thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương
pháp dò này có thể nhận dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình
thường của các cuộc tấn công như dưới đây:

 Phát hiện mức ngưỡng:
Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các
mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó
như đăng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số
lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu hiệu bị tấn công.
 Phát hiện nhờ quá trình tự học:
Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công
sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động
bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã
thiết lập.
Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của
mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi
cuộc tấn công kết thúc.
• Phát hiện sự không bình thường của các giao thức:
Kỹ thuật này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để
tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm
18


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét
mạng, quét cổng để thu thập thông tin của các tin tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát
hiện các cuộc tấn công kiểu từ chối dịch vụ.
Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung
cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng

có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt
động của mạng.
Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược
điểm còn gặp, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn.
1.4.3

Module phản ứng

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, module phát hiện tấn công sẽ
gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến module phản ứng. Lúc đó
module phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công
hay cảnh báo tới người quản trị. Tại module này, nếu chỉ đưa ra các cảnh báo tới các
người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động. Module phản ứng này tùy theo hệ thống mà có các chức năng và phương pháp
ngăn chặn khác nhau. Dưới đây là một số kỹ thuật ngăn chặn:
• Kết thúc tiến trình:
Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình
bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian gửi gói tin
can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn
công xong rồi mới bắt đầu can thiệp.
Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như
DNS, ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong
phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó
thực hiện được phương pháp này.
• Huỷ bỏ tấn công:

19


Xây dựng hệ thống IPS (Snort_Inline & IPTables)


GVHD: Th.S Văn Thiên Hoàng

Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin
đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là an
toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
• Thay đổi các chính sách của tường lửa:
Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn
công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập
bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị.
• Cảnh báo thời gian thực:
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các
cuộc tấn công, các đặc điểm và thông tin về chúng.
• Ghi lại vào tệp tin:
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Mục đích
để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp
cho module phát hiện tấn công hoạt động.
1.5

Các kiểu hệ thống IPS

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
1.5.1 IPS ngoài luồng
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng
dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát
luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công.
Với vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành
động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.
1.5.2


IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới

bức tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn
lưu thông.

20


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn
so với IPS ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào
mạng chậm hơn.
1.6

Các sản phẩm IPS trên thị trường

1.6.1

Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt

động kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt
tuyệt vời. Ðưa ra với một giao diện báo cáo với hơn 1.000 báo cáo khác nhau, giúp
kiểm soát được Nhập phức tạp.
Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo
trên các thiết bị di động và nhiều công nghệ khác. Dưới đây là một số tính năng cơ bản

của Instrust:
 Tính năng cảnh báo toàn diện
 Tính năng báo cáo toàn diện
 Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng
 Lọc dữ liệu cho phép xem lại một cách dễ dàng
 Kiểm tra thời gian thực
 Phân tích dữ liệu đã được capture
 Tuân thủ theo các chuẩn công nghiệp
 Sự bắt buộc theo một nguyên tắc
1.6.2 ELM
Là sản phẩm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân tích
so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra thời gian thực, khả
năng hoạt động toàn diện và phương pháp báo cáo chi tiết.
Cơ sở dữ liệu được bổ sung thêm để bảo đảm cơ sở dữ liệu của phần mềm được
an toàn. Ðiều này có nghĩa là nếu cơ sở dữ liệu chính ELM offline thì ELM Server sẽ

21


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

tự động tạo một cơ sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cơ sở dữ liệu chính
online trở lại.
Dưới đây là một số mô tả các tính năng về ELM Enterprise Manager 3.0
 ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt
 Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra
các bản ghi sự kiện và bộ đếm hiệu suất
 Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn

hỗ trợ các báo cáo HTML và ASCII
 Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
 Client chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML
 Hỗ trợ giao diện kiến thức cơ sở
 Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT
 Hỗ trợ cơ sở dữ liệu SQL Server và Oracle
 Các truy vấn tương thích WMI cho mục đích so sánh
 Ðưa ra hành động sửa lỗi khi phát hiện xâm nhập
1.6.3 SNORT
Snort là một sản phẩm tuyệt vời và nó đã được nhiều tổ chức, cơ quan, doanh
nghiệp đưa vào hoạt động trong môi trường Unix. Sản phẩm mới nhất được đưa ra gần
đây được hỗ trợ nền Windows nhưng vẫn còn một số chọn lọc tinh tế.
Thứ tốt nhất có trong sản phẩm này đó là mã nguồn mở và không tốn kém một
chút chi phí nào ngoại trừ thời gian và băng tần cần thiết để tải nó. Giải pháp này đã
được phát triển bởi nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều
đó đã làm cho nó có thể tồn tại được trong bất kỳ tổ chức nào.
Dưới đây là những tính năng về sản phẩm này:
 Hỗ trợ cấu hình hiệu suất cao trong phần mềm
 Hỗ trợ tốt cho Unix
 Hỗ trợ mã nguồn mở linh hoạt
 Hỗ trợ tốt SNMP

22


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

 Hỗ trợ mô đun quản lý tập trung

 Hỗ trợ việc cảnh báo và phát hiện xâm nhập
 Có các gói bản ghi
 Phát hiện tấn công toàn diện
 Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện
 Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
1.6.4 Cisco IDS
Giải pháp này là của Cisco, với giải pháp này chúng ta thấy được chất lượng,
cảm nhận cũng như danh tiếng truyền thống của nó. Dưới đây là những tính năng về
thiết bị này:
 Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai
 Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của
Cisco
 Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các
hành động trái phép
 Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác
nhau
 Cho hiệu suất mạng cao
 Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi
của kẻ xâm nhập
 Quản lý GUI tập trung
 Quản lý từ xa
 Email thông báo sự kiện
1.6.5

Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng

và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng
hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công.


23


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

GVHD: Th.S Văn Thiên Hoàng

Ðây là một giải phát IDS toàn diện, được thiết kế hoàn hảo cùng với việc kiểm
tra tích hợp. Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó.
Dưới đây là những tính năng về Dragon:
 Dragon hỗ trợ cả NIDS và HIDS
 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX
 Ðược mô đun hóa và có thể mở rộng
 Kiểm tra quản lý tập trung
 Phân tích và báo cáo toàn diện
 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh
doanh
 Kiểm tra bảo mật hiệu quả, tích hợp các switch, firewall và router
 Quản lý biên dịch báo cáo
 Có chu kỳ cập nhật chữ ký hoàn hảo

24


Xây dựng hệ thống IPS (Snort_Inline & IPTables)

CHƯƠNG II: TỔNG
2.1.

GVHD: Th.S Văn Thiên Hoàng


QUAN VỀ IPTABLES & SNORT_INLINE

Tổng quan về Firewall
Hiện nay internet ngày trở nên phổ biến và việc kết nối hầu như đã trở nên quen

thuộc với nhiều người từ các máy tính đơn đến các hệ thống mạng của các tổ chức, cơ
quan, doanh nghiệp.
Vấn đề đặt ra là nếu các máy tính hệ thống này không được bảo vệ thì sẽ trở
thành mục tiêu cho hacker xâm nhập. Do đó nhiều tính năng bảo mật đã được phát
triển nhằm hạn chế sự xâm nhập trái phép của hacker trong đó đáng chú ý là Firewall.
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài
vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và phần mềm.
Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối
với các địa chỉ khác nhau, có chức năng quản lý lưu lượng thông tin giữa internet và
hệ thống mạng cá nhân.
Firewall có thể chia hệ thống mạng nội bộ thành hai hay nhiều phần khác nhau
và điều khiển việc trao đổi dữ liệu giữa các vùng này.
Các chức năng cơ bản của firewall:
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo
vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập.
Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong.
Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
Kiểm soát khả năng truy cập người sử dụng giữa hai mạng. Kiểm soát nội dung
thông tin truyền tải giữa hai mạng. Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm
soát hầu hết các dịch vụ, do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ
mạng.
Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộ
giao tiếp với mạng bên ngoài và ngược lại.


25


×