HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN MẠNH ĐOÀN

NGUYỄN MẠNH ĐOÀN NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP IDS/IPS CHO MẠNG DOANH NGHIỆP

LUẬN VĂN THẠC SĨ KỸ THUẬT

KỸ THUẬT VIỄN THÔNG
2012 – 2013

LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYỄN TIẾN BAN HÀ NỘI-2014
i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố
trong bất kỳ công trình nào khác.
Tác giả

NGUYỄN MẠNH ĐOÀN
ii

3.1Giới thiệu các giải pháp ngăn chặn và phòng chống xâm nhập : 51
3.1.1 Giải pháp phần mềm: 51
3.1.2 Giải pháp phần cứng: 52
3.2 Xây dựng mô hình IDS/IPS cho mạng doanh nghiệp: 56
iii
3.3 Kết luận 63
KẾT LUẬN 64
TÀI LIỆU THAM KHẢO 65
PHỤ LỤC 66

iv

DANH MỤC CHỮ VIẾT TẮT

Viết tắt Tiếng Anh Tiếng Việt
ACK Acknowledgement Xác nhận
ATM Asynchronous Transfer Mode Phương thức truyền dẫn không
đồng bộ
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
DOS Denial of Service Từ chối dịch vụ
DDOS Distributed Denial of Service Từ chối dịch vụ phân tán
DMZ Dimilitary Zone Khu vực phi quân sự
DNS Domain Name Server Máy chủ phân giải tên miền
FTP File Transfer Protocol Giao thức truyền tập tin

Hình 1.6 Mô hình mạng VPN truy nhập từ xa 19
Hình 1.7 Mô hình mạng VPN cục bộ 20
Hình 1.8 Mô hình mạng VPN mở rộng 21
Hình2.1 NIDS 30
Hình 2.2 Kiến trúc IDS/IPS 34
Hình 2.3 Knowledge – based IDS 37
Hình 2.4 Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ 39
Hình 2.5 Anomaly-based IDS 40
Hình 3.1 Snort 52
Hình 3.2 Kiến trúc cảm biến của IPS Cisco 53
Hình 3.3 Lưu lượng thông qua các cảm biến 56 1
MỞ ĐẦU
Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất
cả các nhu cầu về công việc cũng như cuộc sống. Đi kèm theo sự phát triển mạnh
mẽ đó là các yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ Trong đó
bảo mật là một trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ
cũng như người sử dụng, không chỉ đối với các cá nhân mà còn đặc biệt quan trọng
trong các nghành mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân
hàng, tài chính… Ngay từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất
được chú trọng. Trải qua cả một quá trình dài phát triển với rất nhiều thay đổi, các
biện pháp bảo mật cũng không ngừng phát triển và tiến b
ộ cả về số lượng và chất
lượng: Firewall, VPN, mã hóa, các phần mềm diệt virus,… Tùy theo các yêu cầu
bảo mật cũng như các mối nguy cơ bị tấn công mà có các biện pháp bảo mật tương
3
CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP
MẠNG
1.1 Những mối đe dọa đối với bảo mật :
Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống,
chúng ta cần phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ
nghiêm trọng của chúng. Từ đó chúng ta có thể đưa ra các đánh giá chính xác và

Firewall).
1.1.2.2 Những mối đe dọa từ bên trong:
Khi những kẻ tấn công có một hoặc một vài quyền trong hệ thống và thực
hiện cuộc tấn công từ m
ột khu vực tin cậy trong mạng thì ta gọi đó là những cuộc
tấn công từ bên trong. Kẻ tấn công có thể chính là thành viên của hệ thống hoặc
được sự giúp đỡ từ thành viên trong hệ thống. Khi một kẻ xâm nhập vượt qua vành
đai bảo vệ của hệ thống thì mọi chuyện còn lại thường rất đơn giản vì các phần tin
cậy bên trong mạng thường có xu hướng bớt nghiêm ngặt hơn. Các cuộc tấn công
dạng này thường khó phòng chống hơn và gây ra những tổn thất rất nghiêm trọng.

1.2 Các phương thức xâm nhập và phòng chống:
1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS):
DoS là cuộc tấn công từ một người hoặc một nhóm người nào đó nhằm làm
tê liệt hệ thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay
thực hiện bất kỳ một công việc nào. DoS không cho phép ủy quyền truy cập đến
máy hoặc dữ liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ.
Hacker cố gắng làm ngập hệ thống, ngăn chặn trao đổi thông tin giữa các kết nối,
phá vỡ hệ thống của một người hoặc một hệ thống chỉ định. DoS làm khan
hiếm,giới hạn và không thể phục hồi tài nguyên, gây ảnh hưởng đến băng thông, bộ
nhớ, CPU và cấu trúc dữ liệu, ngoài ra chúng còn thay thế các thông tin cấu hình và
các thành phần mạng ở mức vật lý.
Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và
DDoS(Distributed Denial of Service).
1.2.1.1 DoS
DoS lại được chia ra làm các dạng tấn công sau :
a. Smurf:
5
ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau
quá lớn.
6

e. SYN
Hacker lợi dụng quy trình giao tiếp của TCP theo Three-way: Hacker gửi
hàng loạt các yêu cầu TCP SYN tới các máy chủ bị tấn công với địa chỉ IP giả. Khi
có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ,
lúc đó máy chủ không còn khả năng đáp lại các Request TCP SYN của người dùng
khác được nữa- kết nối sẽ không được thực hiện.
1.2.1.2 DDoS:
DDoS được tiế
n hành từ một hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET. Đây là
dạng tấn công cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều
địa chỉ trên Internet. Khi cuộc tấn công DdoS xảy ra, rất khó có thể ngưng lại vì
Firewall có thể ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết
nối Internet.
Một số
phương pháp phòng chống tấn công DDoS :
- Phòng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm
yếu trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm
dứt. Các lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ
của Windows, các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá
là một trong những yêu cầu quan trọng cho việc phòng ngừa.
- Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng.
- Giới hạn số lượng kết nối từ một nguồn cụ thể tới server.

- Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố:
personal identification number(PIN) và token card để xác thực một thiêt bị
hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần
mềm sản sinh ra thông tin(password) một cách ngẫu nhiên tại một thời điểm.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy
nhất. Dù hacker có học được thông tin về password thông qua sniffers thì
chúng cũng không có giá trị vì đã quá hạn.
- Dùng switch thay vì dùng bridge, hup nhằm hạn chế các gói được broadcast
trong mạng và làm giảm ảnh hưởng của sniffers mặc dù không thể ngăn chặn
hoàn toànsniffers.
- Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì
chỉ có thể bắt được các gói dữ liệu đã mã hóa.
8

1.2.3 Port scan:
Scan port la phương pháp thường được thực hiện trực tiếp trên một host hoặc
một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Hacker có thể
dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó.
Port scan dựa trên phương thức truyền thông TCP để có thể xem server mở port nào
cũng như đóng port nào.Có 2 phương pháp scan port: SYN Scan và ACK Scan.
Hacker sử dụng phương pháp SYN Scan sẽ gửi hàng loạt các gói tin TCP có port
đích lần lượt là các port c
ần scan của server cần khai thác. Gói tin SYN này chỉ bật
cờ như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP. Khi server nhận
được các gói tin này sẽ trả về gói SYN ACK trong trường hợp port đó mở, hacker
sẽ biết được dịch vụ nào đang được bật ở server đó.


Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ.Một địa
chỉ là Media Access Control (MAC) và một địa chỉ Internet Protocol (IP).Địa chỉ
MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất. Địa chỉ IP
có thể thay đổi theo người sử dụng tùy vào môi trường mạng. ARP là một giao thức
của lớp 2, chức năng của nó dùng để định vị một host trong một segment mạng
bằng cách phân giải địa chỉ IP ra địa chỉ MAC.ARP thực hiện điều đó thông qua
một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa
chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó và chỉ
duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn
lại sẽ tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu của giao thức
này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không biết được ai
gửi các gói tin đó. Người tấn công sẽ giả các gói tin ARP reply với địa chỉ IP là của
một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công.
Như vậy máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác của
mình có địa chỉ MAC do người tấn công gửi
đến dẫn đến sai lệch trong việc
gửi/nhận thông tin.

1.3 Nhu cầu sử dụng IDS/IPS
1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:
1.3.1.1 Firewall:
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống.Firewall có thể là hệ thống phần cứng, phần mềm
hoặc kết hợp cả hai.
Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiệ
n chính
sách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng. Tường
lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng
10

(Authentication), cấp quyền (Authorization) và kế toán (Accounting).
Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

Mạng nội bộ
Internet
Tường
lửa
Bộ lọc out
Bộ lọc in
11
• Bộ lọc packet (packet- filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng mạch (circuite level gateway)
¾ Bộ lọc packet:
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc
theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,
NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ
có thể nhận dạng, tái lậ
p lại ở đích cần gửi đến, do đó các loại Firewall cũng liên
quan rất nhiều đến các packet và những con số địa chỉ của chúng.

• Giao diện packet đi
Nếu packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet
đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ. Việc kiểm soát các cổng
làm cho Firewall có khả năng chỉ cho phép một số lo
ại kết nối nhất định được phép
mới vào được hệ thống mạng cục bộ.
 Ưu điểm
- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông
qua của lưu lượng mạng.
- Bộ lọc packet là trong suốt đối với ngườ
i sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Nhược điểm
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trườ
ng. Khi đòi hỏi
vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản
lý và điều khiển.
¾ Cổng ứng dụng
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt
13
động của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy
service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người
quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương


- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có
vấn để.
 Ưu điểm:
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có
thể truy nhập được b
ởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là
các dịch vụ ấy bị khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
- Luật l
ệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn
so với bộ lọc packet.
 Nhược điểm:
Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên
máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng
ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước. Tuy
nhiên, cũng đã có một số
phần mềm client cho phép ứng dụng trên cổng ứng dụng
là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng
dụng trên lệnh Telnet.
¾ Cổng mạch
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bấ
t kỳ một hành động xử lý hay lọc packet nào.

9 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều
này cũng có thể tạo nên cơ hội cho việ
c xâm nhập và tấn công.
9 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy
nhập một cách tin cậy và loại bỏ được cơ chế firewall. Outside
host Inside
host
out
in
out
in
16
9 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc
không an toàn gia nhập hoặc rời khỏi hệ thống.
9 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.

1.3.1.2 An toàn thông tin bằng mật mã:
Mật mã là một nghành khoa học chuyên nghiên cứu các phương pháp truyền
thông tin bí mật. Mật mã bao gồm: lập mã và phá mã. Lập mã bao gồm hai quá
trình: mã hóa và giải mã.
Để bảo vệ thông tin trên đường truyền, thông tin được biế