HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Phương Thực
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG
PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS
Chuyên ngành: Hệ Thống Thông Tin
Mã số: 60.48.01.04
TÓM TẮT LUẬN VĂN THẠC SĨ
TP. HÀ NỘI - 2013

Luận văn được hoàn thành tại:

Bộ Thông tin và Truyền thông đã luôn tận tình hướng dẫn và
tạo nhiều điệu kiện tốt nhất để tôi hoàn thành luận văn.
Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, những người
đã sinh thành và dạy bảo con trưởng thành như ngày hôm nay.
Những người đã luôn hết lng tận tụy chăm sc, ng hộ và
động viên con trong suốt thời gian học tập và nghiên cứu.
Mặc dù tôi đã nghiêm túc và cố gắng hoàn tất đề tài
nhưng chắn chắn sẽ không tránh khỏi những thiếu st, kính
mong sự thông cảm và gp ý giúp đỡ ca quý thầy cô và các
bạn.
Nguyễn Phương Thực LI CAM ĐOAN
Tôi cam đoan luận văn này là công trình nghiên cứu ca
riêng tôi. kết quả đạt được trong luận văn là sản phẩm ca riêng
cá nhân, không sao chép lại ca người khác. Các số liệu, kết
quả nêu trong luận văn là trung thực.
Luận văn này chưa từng được ai công bố trong bất kỳ
công trình nào khác.
Nếu sai tôi xin chịu hoàn toàn trách nhiệm.

Tác giả luận văn
Nguyễn Phương Thực

MỤC LỤC
MỞ ĐẦU

Chương 2 - HỆ THỐNG PHÁT HIỆN
VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS
6
2.1 IDS
6
2.1.1 Khái niệm
6
2.1.3 Công nghệ
8
2.1.4 Phân loại
9
2.2 IPS
9
2.2.2 Ưu nhược điểm
9
2.2.3 Công nghệ
10
2.2.4 Phân loại
10
2.3 So sánh IDS và IPS
10
2.3.1 Sự giống nhau
10
2.3.2 Sự khác nhau
11

2.4 Phương pháp phát hiện xâm nhập
12
2.4.1 Phát hiện dấu hiệu không bình thường
12

16
3.3.2 Triển khai cài đặt
16
3.3.3 Triển khai cấu hình:
16
3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo
mật
17
3.4 Tùy chỉnh các tham số phng chống tấn công
20
3.4.1 Điều chỉnh tham số cảnh báo
20
3.4.2 Tùy chỉnh custom atomic signature
20
3.4.3 Tùy chỉnh custom stream signature
22
3.4.4 Tùy chỉnh custom http signature
22
3.5 Đánh giá kết quả thử nghiệm
22
3.5.1 Kết quả đạt được
22
3.5.2 Nhận xét và đánh giá
23
3.5.3 Định hướng nghiên cứu
24
DANH MỤC TÀI LIỆU THAM KHẢO
25

DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT

ISO
Internation Standard
Organization
Tổ chức tiêu chuẩn quốc tế
LAN
Local Area Network
Mạng cục bộ
TCP
Transmission Control
Protocol
Giao thức kiểm soát truyền
tin
MỞ ĐẦU

Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ
biến trong hầu hết các hoạt động kinh tế xã hội. Cùng với sự
phát triển đ, ngày càng xuất hiện nhiều hơn những cá nhân,
nhm hoặc thậm chí là cả những tổ chức hoạt động với những
mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ
thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và
bảo mật thông tin trên các hệ thống này.
Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá
nhân cũng như các cơ quan, tổ chức phải kết nối mạng Internet
toàn cầu. An toàn và bảo mật thông tin là một trong những vấn
đề quan trọng hàng đầu khi thực hiện kết nối Internet. Tuy
nhiên, vẫn thường xuyên c các mạng bị tấn công, c các tổ
chức bị đánh cắp thông tin… gây nên những hậu quả vô cùng

thống thông tin chưa phải là phương tiện duy nhất trong quản
lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem
thường. Nhưng một khi nhìn nhận tới mức độ quan trọng ca
tính bền hệ thống và giá trị đích thực ca thông tin đang có thì
chúng ta sẽ c mức độ đánh giá về an toàn và bảo mật hệ thống
thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ
thống cần phải c sự phối hợp giữa các yếu tố phần cứng, phần
mềm và con người.
1.1.1 Hiện trạng về an ninh mạng trong nước
Trong những năm qua, dưới sự lãnh đạo và điều hành ca
Chính ph, lĩnh vực CNTT đã không ngừng phát triển gp phần
thúc đẩy sự phát triển ca kết cấu hạ tầng đng gp tích cực
vào sự phát triển kinh tế - xã hội. Mặc dù kinh tế c nhiều kh
khăn do chịu ảnh hưởng ca cuộc khng hoảng kinh tế toàn
2

cầu, lĩnh vực CNTT vẫn tiếp tục phát triển và đạt được nhiều
thành tựu quan trọng.
1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam
Hệ thống quản lý an toàn thông tin tại Việt Nam hiện nay
cn rất yếu kém thể hiện ở tỉ lệ các đơn vị c cán bộ chuyên
trách, bán chuyên trách về an toàn thông tin chỉ chiếm gần
70%. Trong khi đ tỉ lệ đơn vị c kế hoạch đào tạo an toàn
thông tin chiếm khoảng 60%. Đặc biệt tỉ lệ đơn vị mua bảo
hiểm đề phng thiệt hại do bị tấn công máy tính vô cùng ít chỉ
có 11.6 %.
1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần
bảo vệ
1.2.1 Sự cần thiết phải có an ninh mạng
Để thấy được tầm quan trọng ca việc đảm bảo an ninh

4

tắc và thực hành cụ thể ca quy định như thế nào một hệ thống
hoặc tổ chức cung cấp dịch vụ an ninh để bảo vệ tài nguyên hệ
thống nhạy cảm và quan trọng. một chính sách bảo mật được
thực thi bởi các hệ thống kỹ thuật quảng cáo kiểm soát cũng
như quản lý và kiểm soát hoạt động
1.4 Phương pháp phát hiện và phòng chống xâm nhập
1.4.1 Xác định mối đe dọa
1.4.1.1 Mối đe dọa không cấu trúc
1.4.1.2 Xác định mối đe dọa c cấu trúc
1.4.1.3 Xác định mối đe dọa từ bên ngoài
1.4.1.4 Xác định mối đe dọa từ bên trong
1.4.2 Phương pháp phòng chống xâm nhập:
1.4.2.1 Reconnaissance Attacks
Các cuộc tấn công do thám liên quan đến việc khám phá
trái phép và lập bản đồ ca các hệ thống, dịch vụ, hoặc các lỗ
hổng. Reconnaissance Attacks thường sử dụng bắt gi tin và
máy quét cổng tương tự như một tên trộm khảo sát một khu phố
tìm gia đình mất cảnh giác để đột nhập vào, chẳng hạn như một
nơi cư trú trống hoặc một ngôi nhà với một cánh cửa dễ mở.
Reconnaissance Attacks có thể được giảm nhẹ bằng
nhiều cách:
Sử dụng xác thực là một lựa chọn đầu tiên trong việc
5

phng chống bắt các gi tin. Xác thực là một phương pháp
chứng thực người dùng c thể không dễ dàng bị phá vỡ . Một
mật khẩu một lần (OTP) là một hình thức xác thực mạnh. Xác
thực hai yếu tố kết hợp như một thẻ token với một mã PIN.

DoS là bức tường lửa và IPSS. Cả hai IPSS dựa trên máy ch
và dựa trên mạng được khuyến khích.
Sử dụng công nghệ antispoofing, chẳng hạn như bảo mật
cổng, DHCP snooping, địa chỉ IP nguồn Guard, Dynamic ARP
Thanh tra, và ACL.
Chương 2 -
HỆ THỐNG PHÁT HIỆN VÀ PHÒNG
CHỐNG XÂM NHẬP IDS/IPS
2.1 IDS
2.1.1 Khái niệm
2.1.2 Ưu nhược điểm
2.1.2.1 Ưu nhược điểm ca Network Base IDS
 Lợi thế của Network-Based IDSs:
7

- Quản lý được cả một network segment (gồm nhiều host)
- Trong suốt với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đ.
- C khả năng xác định lỗi ở tầng Network (trong mô hình
OSI)
- Độc lập với OS
 Hạn chế của Network-Based IDSs:
- C thể xảy ra trường hợp báo động giả (false positive), tức
không có intrusion mà NIDS báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL,
SSH, IPSec…)
- NIDS đi hỏi phải được cập nhật các signature mới nhất để
thực sự an toàn
- C độ trễ giữa thời điểm bị attack với thời điểm phát báo

 Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, c
nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám
sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền
tảng cảm biến sau đây:
2.1.4 Phân loại
2.1.4.1 Network Based IDS
2.1.4.2 Host Based IDS
2.1.4.3 Application-Based IDS
2.1.4.4 Signature-Based IDS
2.1.4.5 Statistical Anomaly Based IDS
2.2 IPS
2.2.1 Khái niệm
Hệ thống IPS (intrusion prevention system) là một kỹ
thuật an ninh mới, kết hợp các ưu điểm ca kỹ thuật firewall
với hệ thống phát hiện xâm nhập IDS (intrusion detection
system), c khả năng phát hiện sự xâm nhập, các cuộc tấn công
và tự động ngăn chặn các cuộc tấn công đ.
2.2.2 Ưu nhược điểm
2.2.2.1 Phát hiện sự bất thường
10

2.2.2.2 Kiểm tra lạm phát
2.2.2.3 Kiểm tra các chính sách
2.2.2.4 Phân tích giao thức
2.2.3 Công nghệ
Ch động bảo vệ tài nguyên hệ thống mạng là xu hướng
mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm
nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu ca
hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện,

cầu c hạn định cho các giải pháp phát hiện hay giám sát xâm
nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị
ngăn chặn.
2.3.2 Sự khác nhau
Sự khác nhau chính là ở IPS. IPS c thêm chức năng là
chống lại các cuộc tấn công đ. Phần lớn hệ thống IPS được đặt
ở vành đai mạng, đ khả năng bảo vệ tất cả các thiết bị trong
mạng kiến trúc chung ca các hệ thống IPS. Một hệ thống IPS
12

c thể: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý,
phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn
thành công và chính sách quản lý mềm dẻo.
2.4 Phương pháp phát hiện xâm nhập
2.4.1 Phát hiện dấu hiệu không bình thường
Hệ thống phát hiện xâm nhập phải c khả năng phân biệt
giữa các hoạt động thông thường ca người dùng và hoạt động
bất thường để tìm ra được các tấn công nguy hiểm kịp thời.
Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ
thống người dùng hoàn chỉnh) trong một quyết định liên quan
đến bảo mật phù hợp thường không đơn giản, nhiều hành vi
không được dự định trước và không rõ ràng. Để phân loại các
hành động, IDS phải lợi dụng phương pháp phát hiện dị
thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công…
một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu
hiệu) cũng được gọi là kiến thức cơ bản.
2.4.2 Phát hiện dựa theo hành vi bất thường
Căn cứ vào các phương pháp thống kê và kinh nghiệm để
đưa ra các mức ngưỡng về hoạt động bình thường.
So sánh các sự kiện quan sát được với giá trị ngưỡng bình

TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ
NGHIỆM GII PHÁP CISCO IPS
3.1 Giới thiệu kiến trúc hệ thống
3.1.1 Kiến trúc chung của các hệ thống IPS
3.1.1.1 Module phân tích luồng dữ liệu
3.1.1.2 Modul phát hiện tấn công
3.1.1.3 Modul phản ứng
3.2 Các yêu cầu triển khai
Dựa trên phạm vi và yêu cầu nghiên cứu đề xuất chọn
giải pháp sản phẩm IPS 2415 ca Cisco để triển khai đánh giá
thử nghiệm.
3.2.1 Các yêu cầu về bảo mật
3.2.1.1 Bảo mật thông tin
Trải qua nhiều thế kỷ, hàng loạt các giao thức và cơ chế
đã được tạo ra nhằm đáp ứng nhu cầu an toàn và bảo mật thông
tin. Các phương pháp truyền thống được cung cấp bởi các cơ
chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các
tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng
các tài liệu mật đ.
Tất nhiên, mục tiêu ca bảo mật không chỉ nằm gi gọn
15

trong lĩnh vực bảo vệ thông tin mà cn nhiều phạm trù khác
như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật
trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….
3.2.1.2 Tấn công từ chối dịch vụ
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết
tắt ca Denial of Service) hay tấn công từ chối dịch vụ phân tán
(tấn công DDoS - Viết tắt ca Distributed Denial of Service) là
một nỗ lực làm cho những người dùng không thể sử dụng tài

3.3.3.1 Cấu hình cơ bản IDS 4215
- Định nghĩa hostname: ips(config-host-net)# host-name
IPS4215-BCVT
- Cấu hình địa chỉ IP cho thiết bị:
- Cấu địa chỉ được phép truy cập vào thiết bị:

Trích đoạn Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo

---