Tải bản đầy đủ (.pdf) (90 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Xây dựng hệ thống giám sát hoạt động của mạng máy tính dựa vào phần mềm nguồn mở

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.39 MB, 90 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH

CƠNG TRÌNH NGHIÊN CỨU KHOA HỌC CẤP TRƯỜNG

XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ÐỘNG
CỦA MẠNG MÁY TÍNH DỰA VÀO
PHẦN MỀM NGUỒN MỞ
S

K

C

0

0

3

9

5

9

MÃ SỐ: T2013-45

S KC 0 0 5 4 4 0


Tp. Hồ Chí Minh, 2013


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH

BÁO CÁO TỔNG KẾT

ĐỀ TÀI KH&CN CẤP TRƯỜNG

XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ĐỘNG
CỦA MẠNG MÁY TÍNH DỰA VÀO PHẦN MỀM
NGUỒN MỞ
Mã số: T2013-45

Chủ nhiệm đề tài: ThS. Huỳnh Nguyên Chính

TP. HCM, 11/2013


TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO TỔNG KẾT

ĐỀ TÀI KH&CN CẤP TRƯỜNG

XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ĐỘNG

CỦA MẠNG MÁY TÍNH DỰA VÀO PHẦN MỀM
NGUỒN MỞ
Mã số: T2013-45

Chủ nhiệm đề tài: ThS. Huỳnh Nguyên Chính

TP. HCM, 11/2013


i

MỤC LỤC
MỞ ĐẦU ......................................................................................................................... 1
Chương 1. TỔNG QUAN .............................................................................................. 4
1.1 Tổng quan về bảo mật hệ thống mạng máy tính..................................................... 4
1.2 Phân loại các lỗ hổng bảo mật ................................................................................ 5
1.3 Các công cụ phát hiện lỗ hổng mạng ...................................................................... 6
1.4 Các kiểu tấn công mạng .......................................................................................... 6
1.5 Các giải pháp phát hiện và phịng chống tấn cơng mạng ....................................... 8
Chương 2. HỆ THỐNG PHÁT HIỆN & PHÒNG CHỐNG XÂM NHẬP............. 11
2.1 Vai trò của IDS/IPS trong hệ thống mạng ............................................................ 11
2.1.1 Lịch sử phát triển ............................................................................................ 11
2.1.2 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng .................. 11
2.2 Đặc điểm của hệ thống IDS/IPS .......................................................................... 12
2.2.1 Kiến trúc của hệ thống phát hiện xâm nhập (IDS) ......................................... 12
2.2.2 Các cách triển khai hệ thống IDS/IPS ............................................................ 15
2.2.3 Khả năng phát hiện và phòng chống xâm nhập mạng của hệ thống IDS/IPS 17
2.3 Hệ thống giám sát lưu lượng, thiết bị và dịch vụ ................................................. 18
2.4 Hệ thống báo động ................................................................................................ 19
2.5 SNMP và hệ thống giám sát mạng ....................................................................... 20

Chương 3. CÁC CÔNG CỤ NGUỒN MỞ HỖ TRỢ PHÁT HIỆN & PHÒNG
CHỐNG XÂM NHẬP MẠNG .................................................................................... 22
3.1 Giới thiệu .............................................................................................................. 22
3.2 Đặc điểm của Snort ............................................................................................... 23
3.3 Phân tích các vấn đề của Snort và khả năng triển khai......................................... 26
3.3.1 Lợi ích của Snort ............................................................................................ 26
3.3.2 Đánh giá tập luật của Snort ............................................................................. 27


ii

3.5 Hệ thống giám sát trạng thái hoạt động các thiết bị và dịch vụ - Nagios ............. 28
3.6 Hệ thống giám sát lưu lượng - Cacti ..................................................................... 32
3.7 Hệ thống báo động qua SMS - Gnokii ................................................................. 36
Chương 4. PHÁT TRIỂN ỨNG DỤNG HỆ THỐNG GIÁM SÁT MẠNG DỰA
VÀO MÃ NGUỒN MỞ ............................................................................................... 38
4.1 Mơ hình cài đặt thực nghiệm ................................................................................ 38
4.2 Cài đặt thực nghiệm .............................................................................................. 39
4.2.1 Cài đặt Gnokii ................................................................................................ 39
4.2.2 Cài đặt Snort ................................................................................................... 40
4.2.3 Cài đặt Fwsnort .............................................................................................. 41
4.2.4 Cài đặt Nagios ................................................................................................ 44
4.2.5 Cài đặt Cacti ................................................................................................... 45
4.3 Kết quả thực nghiệm ............................................................................................. 50
4.4 Kết luận ................................................................................................................. 57
Chương 5. KẾT LUẬN ................................................................................................ 59
5.1 Một số kết quả đạt được........................................................................................ 59
5.2 Hướng phát triển ................................................................................................... 60
TÀI LIỆU THAM KHẢO ........................................................................................... 61
Phụ lục A:Hướng dẫn cấu hình GSM/GPRS Gateway trên Linux ................................ 62

Phụ lục B:Hướng dẫn cài đặt Snort ................................................................................ 64
Phụ lục C:Hướng dẫn cài đặt và cấu hình Nagios ......................................................... 69
Phụ lục D:Hướng dẫn cài đặt và cấu hình CACTI......................................................... 72


iii

DANH MỤC CÁC TỪ VIẾT TẮT

BASE

Basic Analysis and Security Engine

DdoS

Distribute Denial of Service

DNS

Domain Name Service

DoS

Denial of Service

FTP

File Transfer Protocol

ICMP


Internet Control Message Protocol

IDS

Intrusion Detection System

IPS

Intrusion Prevention System

SNMP

Simple Network Managerment Protocol

TCP

Transfer Control Protocol

HIDS

Host-based Intrusion Detection System

NIDS

Network-based IDS

ATTT

An Tồn Thơng Tin


MIB

Management Information Base


iv

DANH MỤC CÁC HÌNH VẼ
Hình 2.1 Hệ thống phát hiện xâm nhập ........................................................................ 12
Hình 2.2 Kiến trúc của hệ thống IDS ............................................................................ 13
Hình 2.3 Sự kết hợp của các bộ lọc gói tin ................................................................... 14
Hình 2.4 IDS hoạt động ở chế độ promiscuous ....................................................................... 16
Hình 2.5 IDS hoạt động ở chế độ inline .................................................................................. 17
Hình 2.6 Các thiết bị dùng trong báo động SMS .......................................................... 20
Hình 3.1 Các thành phần của Snort .............................................................................. 24
Hình 3.2 Nagios giám sát thiết bị và dịch vụ ............................................................... 28
Hình 3.3 Nagios theo dõi các dịch vụ trên Windows qua NSClient ............................. 29
Hình 3.4 Nagios giám sát các dịch vụ trên máy Unix/Linux qua NRPE ...................... 29
Hình 3.5 Nagios giám sát máy in .................................................................................. 29
Hình 3.6 Nagios giám sát Router, Switch ..................................................................... 30
Hình 3.7 Nagios giám sát các thiết bị mạng ................................................................. 30
Hình 3.8 Nagios vẽ sơ đồ trạng thái các host trên mạng............................................... 31
Hình 3.9 Nagios gửi cảnh báo qua e-mail và SMS ....................................................... 31
Hình 3.10 Sơ đồ hoạt động của Cacti ........................................................................... 32
Hình 3.11 Sơ đồ trao đổi thông tin SNMP giữa Cacti và một thiết bị .......................... 33
Hình 3.12 Cacti thu thập các thơng tin qua SNMP ....................................................... 33
Hình 3.13 Cacti biểu diễn các lưu lượng bằng dạng đồ thị thời gian thực ................... 34
Hình 4.1 Mơ hình cài đặt thực nghiệm ......................................................................... 38



v

Hình 4.2 Thiết lập các thơng số cho một thiết bị trên Cacti ......................................... 49
Hình 4.3 Lưu lượng được thu thập qua SNMP ............................................................. 49
Hình 4.4 Màn hình theo dõi trên Cacti được tích hợp các tính năng giám sát ............. 50
Hình 4.5 Theo dõi hoạt động của Cisco Switch qua đồ thị ........................................... 51
Hình 4.6 Theo dõi các trạng thái các thiết bị & phát báo động bằng âm thanh ............ 51
Hình 4.7 Hiển thị các đồ thị cho mỗi thiết bị ................................................................ 52
Hình 4.8 Theo dõi tổng quan các cảnh báo từ Snort qua giao diện Web ...................... 52
Hình 4.9 Theo dõi chi tiết các cảnh báo từ Snort qua giao diện Web........................... 53
Hình 4.10 Hiển thị đồ thị lưu lượng cho kết nối mạng ................................................. 53
Hình 4.11 Theo dõi một số dịch vụ chạy trên 1 host từ Nagios.................................... 54
Hình 4.12 Theo dõi các lưu lượng mạng giữa các thiết bị trực quan............................ 54
Hình 4.13 Hiển thị đồ thị lưu lượng cho kết nối mạng ................................................. 55
Hình 4.14 Cảnh báo khi dùng DoSHTTP để tấn công vào Web server........................ 56
Hình 4.15 Cảnh báo gửi qua Email khi dùng chương trình SolarWinds scan .............. 56
Hình 4.16 Hệ thống phát cảnh báo cho dịch vụ HTTP trên máy chủ Web .................. 57


-1-

MỞ ĐẦU
I. Cơ sở khoa học và thực tiễn
Mạng máy tính đang ngày càng có vai trị quan trọng cho mỗi cá nhân, tổ chức, doanh
nghiệp. Việc trao đổi thông tin và thực hiện các giao dịch chủ yếu thông qua hệ thống
mạng máy tính.
Vì thế, bảo mật hệ thống mạng đang là một nhu cầu cấp thiết cho các tổ chức, doanh
nghiệp nhằm bảo vệ hệ thống cơ sở dữ liệu của mình, chống lại những tấn cơng từ bên
ngồi và thực hiện các trao đổi thơng tin, giao dịch qua mạng được an toàn.

II. Mục tiêu đề tài
 Khảo sát các lỗ hổng bảo mật và các nguy cơ hệ thống mạng bị tấn công xâm
nhập
 Xem xét các giải pháp giám sát hệ thống mạng: phát hiện xâm nhập, phịng
chống xâm nhập, theo dõi tình trạng hoạt động của các Server, Switch, Router,
.. và một số dịch vụ mạng
 Phát triển hệ thống cảnh báo đa dạng qua Web, Email, SMS và Audio
III. Đối tượng nghiên cứu
 Các phần mềm nguồn mở phát hiện xâm nhập
 Các phần mềm nguồn mở phòng chống xâm nhập
 Các phần mềm nguồn mở giám sát lưu lượng mạng
 Các phần mềm nguồn mở giám sát các thiết bị và dịch vụ mạng
IV. Nội dung nghiên cứu
 Nghiên cứu các khả năng tấn công mạng
 Nghiên cứu các giải pháp phát hiện xâm nhập mạng
 Nghiên cứu các khả năng phòng chống tấn công mạng

MỞ ĐẦU


-2-

 Nghiên cứu các giải pháp giám sát hoạt động các thiết bị và dịch vụ trong hệ
thống mạng
 Đề xuất mơ hình tích hợp các cơng cụ nguồn mở hỗ trợ giám sát hoạt động của
các thiết bị, dịch vụ mạng, phát hiện và phòng chống xâm nhập mạng
 Thực nghiệm một giải pháp giám sát hoạt động của các thiết bị mạng, các dịch
vụ mạng, phát hiện và phòng chống các xâm nhập mạng trên cơ sở nguồn mở
kết hợp với hệ thống báo động đa dạng qua Email, Web, Audio và SMS
Trong đề tài nghiên cứu này, tác giả tập trung nghiên cứu giải pháp giám sát hệ thống

mạng dựa vào phần mềm nguồn mở nhằm theo dõi các dấu hiệu bất thường xảy ra
trong hệ thống mạng. Cụ thể, tác giả đề xuất giải pháp kết hợp giữa Snort, Fwsnort,
Cacti, Nagios và GSM/GPRS modem. Tạo ra một hệ thống giám mạng có khả năng:
phát hiện những xâm nhập mạng; phịng chống tấn cơng mạng; giám sát lưu lượng
giữa các thiết bị, tình trạng hoạt động của CPU, RAM,… trên các thiết bị; giám sát
trạng thái hoạt động của các thiết bị quan trọng trong hệ thống (server, router,
switch,…) và các dịch vụ mạng chạy trên nó. Đồng thời phát triển hệ thống báo động
đa dạng, tiện dụng và linh động hỗ trợ người quản trị mạng giám sát hệ thống một
cách hiệu quả hơn thông qua các hình thức: giao diện Web, E-mail, Audio và SMS.
Nội dung báo cáo được tổ chức thành 5 chương:
 Chương 1: Tổng quan. Giới thiệu bao quát về vấn đề bảo mật mạng và các vấn
đề liên quan đến tấn công xâm nhập hệ thống mạng.
 Chương 2. Hệ thống phát hiện và phịng chống xâm nhập mạng. Chương
này trình bày tổng quan về vài trò, đặc điểm và khả năng của hệ thống phát hiện
và phòng chống xâm nhập, giám sát lưu lượng, giám sát trạng thái hoạt động
của thiết bị và dịch vụ trong hệ thống mạng.

MỞ ĐẦU


-3-

 Chương 3. Các công cụ hỗ trợ trong việc phát hiện và phòng chống xâm
nhập dựa vào mã nguồn mở. Chương này trình bày về đặc điểm Snort,
Fwsnort, Nagios, Cacti và Gnokii. Khả năng kết hợp của chúng trong việc tạo ra
một hệ thống giám sát mạng và cảnh báo một cách trực quan, tiện dụng và linh
động.
 Chương 4. Phát triển ứng dụng Hệ thống Giám sát mạng dựa vào mã
nguồn mở. Chương này trình bày mơ hình đề xuất, cài đặt thực nghiệm dựa trên
giải pháp đã đưa ra ở chương 3. Đánh giá kết quả thực nghiệm.

 Chương 5. Kết luận. Tổng kết các vấn đề liên quan đế hệ thống giám sát mạng
trong việc phát hiện và phòng chống xâm nhập mạng, giám sát trạng thái các
thiết bị và dịch vụ trong hệ thống. Đánh giá các kết quả đạt được của đề tài,
những vấn đề cịn tồn tại. Từ đó đưa ra những hướng khắc phục và phát triển
trong tương lai.

MỞ ĐẦU


-4-

Chương 1.

TỔNG QUAN

1.1 Tổng quan về bảo mật hệ thống mạng máy tính
Mạng máy tính đang ngày một phát triểm mạnh và là một thành phần không thể thiếu
trong thời đại ngày nay, ảnh hưởng đến mọi lĩnh vực của đời sống. Đi đôi với sự phát
triển ngày càng nhanh chóng của các hệ thống mạng là vấn đề bảo mật thông tin, bảo
mật mạng.
“Bảo vệ thông tin ngày nay chính là bảo vệ tài sản cá nhân, tài sản doanh nghiệp,
tài sản quốc gia và cao hơn cả là bảo vệ tài sản của nhân loại.” [1]
Ở Việt Nam, theo số liệu thống kê từ 01/2009 về an toàn thông tin trong các doanh
nghiệp như sau [1]:
-

34% doanh nghiệp thừa nhận đã phát hiện sự cố tấn công an ninh mạng (28%
năm 2008)

-


38% doanh nghiệp không hề biết rõ hệ thống mạng của mình có bị tấn cơng hay
khơng (26% năm 2008)

-

45% doanh nghiệp khơng có hệ thống an ninh mạng có khả năng ghi nhận được
các cuộc tấn công (55% năm 2008)

Các nghiên cứu về giải pháp bảo mật, an tồn thơng tin trên thế giới đang phát triển
ngày một mạnh mẽ. Hàng loạt các công ty giải pháp về hệ thống an tồn, bảo mật
thơng tin cung cấp nhiều sản phẩm trên thị trường. Ví dụ như các sản phẩm của Cisco
(PIX, ASA,…), Juniper, O2Security, Microsoft, …được sử dụng trong các công ty, tổ
chức, doanh nghiệp.
Bên cạnh các sản phẩm tường lửa thì hệ thống phát hiện và phòng chống xâm nhập
mạng (IDS/IPS) cũng ngày một phát triển mạnh nhằm tạo ra khả năng tự phòng vệ cho

Chương 1. Tổng Quan


-5-

hệ thống mạng. Giúp hệ thống mạng có khả năng phân tích và cảnh báo những bất
thường trong hệ thống cho người quản trị mạng.
Các sản phẩm thương mại cũng đã có mặt trên thị trường, tuy nhiên mức đầu tư cho hệ
thống này rất lớn, không phù hợp cho các doanh nghiệp vừa và nhỏ. Giải pháp nguồn
mở cho phép giảm chi phí đầu tư và tỏ ra thích hợp cho việc xây dựng một giải pháp
bảo mật mạng trong doanh nghiệp.
1.2 Phân loại các lỗ hổng bảo mật
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến

hành những chính sách bảo mật có hiệu quả.
Những điểm yếu trong bảo mật mạng gồm có thể được phân loại: về mặt kỹ thuật, về
mặt cấu hình và các chính sách bảo mật.
 Điểm yếu về mặt kỹ thuật
Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao thức, trong Hệ điều hành và
các thiết bị phần cứng như server, switch, router,..
 Điểm yếu trong cấu hình hệ thống
Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các thiếu sót trong việc cấu hình hệ thống
như: khơng bảo mật tài khoản khách hàng, hệ thống tài khoản với password dễ dàng
đốn biết, sử dụng các cấu hình mặc định trên thiết bị…
 Điểm yếu trong chính sách bảo mật
Chính sách bảo mật diễn tả cách thức, qui định và vị trí được thực hiện. Đây là điều
kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất… Mỗi cơng ty nên xây dựng
một chính sách bảo mật đặc thù cho đơn vị mình.
Điểm yếu trong chính sách bao gồm: những điểm yếu trong bản thân chính sách bảo
mật của một tổ chức, của một hệ thống mạng.
Chương 1. Tổng Quan


-6-

1.3 Các công cụ phát hiện lỗ hổng mạng
Những kẻ phá hoại (hacker) sẽ lợi dụng những lỗ hổng bảo mật để xâm nhập vào hệ
thống. Như vậy, việc dò tìm những điểm yếu trong hệ thống để có những biện pháp
khắc phục nhằm hạn chế các nguy hại cho hệ thống là cần thiết.
Các thông tin từ nhà sản xuất phần cứng, phần mềm, các bản vá lỗi nên được cập nhật
thường xuyên cũng là một giải pháp để bảo vệ cho hệ thống của mình. Hơn nữa, hiện
nay có rất nhiều cơng cụ giúp người quản trị mạng dị tìm những lỗ hổng bảo mật trong
hệ thống mạng của mình. Điển hình một số cơng cụ được sử dụng phổ biến là: Nmap,
Metaexploit, Retina Discovery Scan, …

1.4 Các kiểu tấn cơng mạng
Có nhiều dạng tấn cơng mạng đã được biết đến. Có thể phân loại dựa vào những tiêu
chí sau:
Nếu dựa vào hành động của cuộc tấn cơng có thể phân tấn cơng ra làm 2 loại là: tấn
công chủ động và tấn công bị động:
-

Tấn công chủ động (active attack): kẻ tấn công thay đổi hoạt động của hệ thống
và hoạt động của mạng khi tấn công làm ảnh hưởng đến tính tồn vẹn, sẵn sàng
và xác thực của dữ liệu

-

Tấn công bị động (passive attack): kẻ tấn công cố gắng thu thập thông tin từ
hoạt động của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ
liệu.

Nếu dựa vào nguồn gốc của cuộc tấn cơng thì có thể phân loại tấn công làm 2 loại: tấn
công từ bên trong và tấn cơng từ bên ngồi:
-

Tấn cơng từ bên trong: là những tấn công xuất phát từ bên trong hệ thống mạng.
Người sử dụng muốn truy cập, lấy thông tin nhiều hơn quyền cho phép.

Chương 1. Tổng Quan


-7-

-


Tấn cơng từ bên ngồi: là những tấn cơng xuất phát từ bên ngoài Internet hay
các kết nối tuy cập từ xa.

Khi một mạng máy tính bị tấn cơng, nó sẽ bị chiếm một lượng lớn tài nguyên trên máy
chủ như dung lượng ổ cứng, bộ nhớ, CPU, băng thông … Lượng tài nguyên bị chiếm
giữ này tùy thuộc vào khả năng huy động tấn công của người tấn công. Khi đó, máy
chủ sẽ khơng thể đáp ứng hết những yêu cầu từ những máy trạm của những người sử
dụng hợp pháp và máy chủ có thể nhanh chóng bị ngừng hoạt động, hư hỏng hoặc bị
khởi động lại.
Mặc dù có nhiều kiểu tấn cơng mạng nhưng để thực hiện một cuộc tấn công xâm nhập,
kẻ tấn công thường thực hiện qua 5 bước như sau:
-

Khảo sát, thu thập thông tin

-

Dị tìm

-

Xâm nhập

-

Duy trì xâm nhập

-


Xóa dấu vết

 Bước 1: Khảo sát, thu thập thông tin: kẻ tấn công thu thập thông tin về nơi tấn
công như phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng, …
 Bước 2: Dị tìm: kẻ tấn cơng sử dụng các thơng tin thu thập được từ bước 1 để tìm
kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường
được sử dụng cho quá trình này là các cơng cụ qt cổng, qt IP, dị tìm lỗ hổng,

 Bước 3: Xâm nhập: các lỗ hổng trong bước 2 được sử dụng, khai thác để xâm
nhập vào hệ thống. Ở bước này, kẻ tấn công có thể dùng các kỹ thuật như: tràn bộ
đệm, từ chối dịch vụ (DoS), …

Chương 1. Tổng Quan


-8-

 Bước 4: Duy trì xâm nhập: một khi kẻ tấn công đã xâm nhập được vào hệ thống,
bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập
tiếp trong tương lai. Một vài kỹ thuật như backboors, trojans… được sử dụng. Một
khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra những nguy hại cho hệ
thống như đánh cắp dữ liệu hoặc phá hoại hệ thống. Ngoài ra, họ có thể sử dụng hệ
thống để tấn cơng vào các hệ thống khác như loại tấn công DDoS.
 Bước 5: Che đậy, xóa dấu vết. Một khi kẻ tấn cơng đã xâm nhập và cố gắng duy
trì xâm nhập. Bước tiếp theo là làm sao để xóa hết dấu vết để khơng cịn chứng cứ
pháp lí xâm nhập. Kẻ tấn cơng phải xóa các tập tin log, xóa các cảnh báo từ hệ
thống phát hiện xâm nhập.
Ở bước “Dị tìm” và “Xâm nhập” kẻ tấn cơng thường làm lưu lượng kết nối mạng
thay đổi khác bình thường rất nhiều. Đồng thời tài nguyên của hệ thống máy chủ bị
ảnh hưởng đáng kể. Những dấu dấu hiệu này rất có ích cho người quản trị mạng có thể

phân tích và đánh giá tình hình hoạt động của hệ thống mạng.
Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên. Làm sao để nhận biết hệ
thống mạng đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan
trọng. Ở tại bước thứ 3 là “Xâm nhập”, bước này không dễ dàng đối với kẻ tấn công.
Do vậy, khi không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ
tấn công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho người dùng hợp lệ
truy xuất tài nguyên hệ thống.
1.5 Các giải pháp phát hiện và phịng chống tấn cơng mạng
Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp dùng để dị tìm những
hoạt động đáng nghi ngờ trên mạng. Một hệ thống phát hiện xâm nhập được định nghĩa
là một tập hợp các công cụ, phương thức, và tài nguyên giúp người quản trị xác định,
đánh giá, và báo cáo hoạt động không được phép trên mạng.

Chương 1. Tổng Quan


-9-

Phát hiện xâm nhập được xem là một tiến trình được quyết định khi một người khơng
có quyền đang cố gắng để xâm nhập hệ thống mạng trái phép. Hệ thống phát hiện xâm
nhập sẽ kiểm tra tất cả các gói tin đi qua hệ thống và quyết định gói tin đó có vấn đề
khả nghi hay khơng. Hệ thống phát hiện xâm nhập đuợc trang bị hàng triệu tình huống
để nhận dạng tấn công và đuợc cập nhật thường xuyên. Chúng thực sự quan trọng và là
lựa chọn hàng đầu để phòng thủ trong việc phát hiện và phòng chống xâm nhập mạng.
Việc nghiên cứu xây dựng hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS)
đang được phát triển mạnh và còn phát triển mạnh mẽ trong thời gian tới. Các sản
phẩm thương mại trên thị trường có chi phí rất lớn, vượt quá khả năng đầu tư của nhiều
doanh nghiệp. Bên cạnh đó, các nghiên cứu về mã nguồn mở cũng đã được đầu tư
nghiên cứu và triển khai. Có nhiều đề tài trong nước nghiên cứu liên quan đến IDS/IPS
bằng mã nguồn mở chủ yếu tập trung vào Snort. Nhưng nhìn chung chưa được áp dụng

rộng rãi, còn tồn tại nhiều hạn chế như: do chương trình mã nguồn mở nên hầu hết
khơng có giao diện thân thiện; thành phần báo động khơng được tích hợp sẵn, hoặc nếu
có cũng chỉ qua giao diện console, hoặc qua giao diện Web chưa tạo được sự linh động
và tiện dụng cho người quản trị mạng; phần mềm mang tính đơn lẻ (chỉ tập trung
nghiên cứu về Snort) trong khi nhu cầu tích hợp nhiều tính năng giám sát khác để nâng
cao hiệu quả sử dụng chưa được chú trọng và phát triển.
Hơn nữa, các dấu hiệu của các kiểu tấn cơng ngày một tinh vi phức tạp địi hỏi hệ
thống phát hiện và phòng chống xâm nhập (IDS/IPS) phải được thường xuyên cập nhật
những dấu hiệu mới. Người quản trị mạng cịn có thể dựa vào những phân tích khác
như những dấu hiệu bất thường về lưu lượng ra vào hệ thống, hoạt động của CPU,
RAM... để có những phản ứng kịp thời. Bên cạnh đó, hệ thống báo động cũng cần triển
khai mang tính chất đa dạng nhiều hình thức, linh động, tiện dụng thực sự hỗ trợ thiết
thực cho người quản trị mạng.

Chương 1. Tổng Quan


-10-

 Xây dựng hệ thống phát hiện và phòng chống xâm nhập
Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như lưu lượng
ra/vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ, … giúp người quản trị
mạng có những phân tích để đưa ra ứng phó kịp thời.
Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển khai để giúp
phát hiện nhanh các cuộc tấn công mạng. Hệ thống phát hiện này kết hợp với tường lửa
sẽ chống lại các cuộc tấn công xâm nhập.
Tuy nhiên, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống
phát hiện phải được thường xuyên cập nhật những dấu hiệu mới. Để có thể phát hiện
nhanh chóng các bất thường trên mạng, người quản trị mạng cịn có thể dựa vào những
đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời.

Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị trong một số
trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt động hay có tấn
cơng mạng. Hệ thống báo động có thể được triển khai qua nhiều hình thức để phát báo
động như: bằng âm thanh (audio), qua E-mail hay qua tin nhắn SMS đến người quản trị
mạng.

Chương 1. Tổng Quan


-11-

Chương 2.

HỆ THỐNG PHÁT HIỆN & PHÒNG CHỐNG
XÂM NHẬP MẠNG

2.1 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng
2.1.1 Lịch sử phát triển
Các nghiên cứu về hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS)
được nghiên cứu chính thức từ năm 1983. Đến năm 1996 một số hệ thống IDS mới chỉ
xuất hiện trong các phịng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian
này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông
tin.
Năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu
của công ty ISS.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển mạnh.
2.1.2 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng
Hệ thống phát hiện xâm nhập dùng để lắng nghe, dị tìm các gói tin qua hệ thống mạng
để phát hiện những dấu hiệu bất thường trong mạng. Thông thường những dấu hiệu bất

thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ phát
những tín hiệu cảnh báo tới người quản trị mạng.
Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần
mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn
chặn các nguy cơ mạng bị tấn cơng. IDS và IPS có rất nhiều điểm chung, do đó hệ
thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm
nhập (IDS/IPS).

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


-12-

Hệ thống IPS là một kỹ thuật an ninh mạng, kết hợp các ưu điểm của kỹ thuật tường
lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập,
các cuộc tấn công và tự động ngăn chặn các cuộc tấn cơng đó. Hệ thống IDS/IPS
thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng
2.2 Đặc điểm của hệ thống IDS/IPS
2.2.1 Kiến trúc của hệ thống phát hiện xâm nhập

Hình 2.1 Hệ thống phát hiện xâm nhập [3]
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:


Thành phần thu thập thơng tin (information collection)



Thành phần phân tích gói tin (Dectection)




Thành phần phản hồi (response)

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và trở
thành bộ cảm biến đóng vai trị ra quyết định. Bộ cảm biến được tích hợp với thành
phần thu thập dữ liệu. Cách thu thập này được xác định bởi chính sách tạo sự kiện để
định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số chính sách
thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống. Số chính

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


-13-

sách này cùng với thơng tin chính sách có thể được lưu trong hệ thống được bảo vệ
hoặc bên ngồi.

Hình 2.2 Kiến trúc của hệ thống IDS [3]
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng tương thích
thu được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục
này. Ngồi ra cịn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường,
các tham số cần thiết như các ngưỡng (threshold),... Thêm vào đó, cơ sở dữ liệu giữ các
tham số cấu hình gồm có các chế độ truyền thơng với module đáp trả. Bộ cảm biến
cũng có cơ sở dữ liệu của riêng nó gồm dữ liệu lưu về các dấu hiệu xâm nhập phức tạp
tiềm ẩn được tạo ra từ nhiều hành động khác nhau.
IDS có thể được lắp đặt tập trung (như được tích hợp vào trong tường lửa) hoặc phân
tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng có
thể truyền thông với nhau, gọi là hệ thống IDS đa tác nhân.

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994. Giải pháp này sử dụng các tác
nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


-14-

đó. Ví dụ như một tác nhân có thể cho biết một số thơng tin khơng bình thường của các
phiên Telnet bên trong hệ thống nó kiểm tra – giám sát.
Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác
nhân có thể được thay đổi bên trong các hệ thống khác nhau. Một phần trong các tác
nhân hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được
kiểm soát bởi các tác nhân ở một thiết bị cụ thể nào đó. Các bộ thu nhận luôn luôn gửi
các kết quả hoạt động của chúng đến một bộ kiểm tra duy nhất. Các bộ kiểm tra nhận
thơng tin từ các mạng, chúng có thể tương quan với thông tin phân tán. Thêm vào đó
một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.

Hình 2.3 Sự kết hợp của các bộ lọc gói tin [3]
 Phân loại IDS
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ
tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường.
 Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập
hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn
công.

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


-15-


 Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động
bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi
hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những
hành động bất thường. Quá trình phát hiện có thể được mơ tả bởi 3 yếu tố cơ bản nền
tảng sau:
-

Thu thập thông tin: kiểm tra tất cả các gói tin trên mạng.

-

Phân tích: phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là
tấn công.

-

Cảnh báo: hành động cảnh báo cho sự tấn cơng được phân tích ở trên.

2.2.2 Các cách triển khai hệ thống IDS/IPS
Có hai kiểu chính khi triển khai IDS/IPS: Promiscuous và In-line
 Promiscuous
Hệ thống IDS/IPS đứng song song với tường lửa (firewall). Như vậy luồng dữ liệu vào
hệ thống mạng sẽ cùng đi qua tường lửa và IDS/IPS. IDS/IPS có thể kiểm sốt luồng
dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn cơng. Với vị trí
này, IDS/IPS có thể quản lý tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ.

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập



-16-

Các gói tin đi vào hệ thống mạng được
sao chép 1 bản đưa vào IDS/IPS

Nếu một gói tin được so trùng với một
dấu hiệu nguy hại cho hệ thống, nó sẽ
kích hoạt hệ thống phản ứng

IDS/IPS gởi cảnh báo tới người
quản trị mạng và có hành động
phản ứng lại (ví dụ như ngắt
kết nối,…)

Hình 2.4 IDS hoạt động ở chế độ promiscuous
 In-line
Vị trí IDS/IPS nằm ngay trên luồng dữ liệu đi qua. Điểm khác biệt chính so với chế độ
Promiscuous IDS/IPS là có thêm chức năng chặn các luồng lưu lượng (trafficblocking). Điều đó làm cho IDS/IPS có thể ngăn chặn luồng lưu lượng nguy hiểm
nhanh hơn so với ở chế độ Promiscuous IDS/IPS. Tuy nhiên vị trí này sẽ làm cho tốc
độ luồng thông tin qua ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IDS/IPS phải hoạt động theo thời
gian thực. Tốc độ hoạt động của hệ thống là một yếu tố rất quan trọng. Quá trình phát
hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức.

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


-17-


IDS/IPS kiểm tra các gói tin
trên đường truyền

Một cảnh báo được gởi
tới người quản trị mạng

Nếu một gói tin được so trùng với
một dấu hiệu nguy hại cho hệ
thống, nó có thể ngăn chặn khơng
cho đi vào mạng bên trong

Hình 2.5 IDS hoạt động ở chế độ Inline

2.2.3 Khả năng phát hiện và phòng chống xâm nhập mạng của hệ thống IDS/IPS
Hệ thống IDS/IPS hoạt động theo kiểu nhận dạng mẫu gói tin (packet). Nó sẽ so trùng
từng gói tin với những mẫu tấn cơng mà nó có, nếu trùng khớp thì kết luận đây là loại
gói tin tấn cơng và hệ thống sẽ phát cảnh báo hoặc gởi tín hiệu tới tường lửa để ngăn
cản gói tin đi vào mạng bên trong. Hiện nay đa số IDS/IPS hoạt động theo kiểu này.
Tuy nhiên nếu kiểu tấn cơng mới thì IDS/IPS không nhận biết được, nên phải cập nhật
các luật (dấu hiệu tấn công) thường xuyên giống như cập nhật virus.
Nếu hoạt động theo kiểu thơng minh thì IDS theo dõi mạng xem có hiện tượng bất
thường hay khơng và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới,
nhưng nhiều trường hợp bị báo động nhầm có nghĩa là khơng phải trường hợp tấn công
mà vẫn gây báo động.

Chương 2. Hệ thống phát hiện & phòng chống xâm nhập


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×