BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC CƯỜNG
LUẬN VĂN THẠC SĨ KHOA HỌC
NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG HỆ THỐNG
PHÁT HIỆN XÂM NHẬP MẠNG
XỬ LÝ THÔNG TIN VÀ
TRUYỀ THÔNG
NGUYỄN ĐỨC CƯỜNG
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
1
LỜI NÓI ĐẦU 3
CHƯƠNG I - TỔNG QUAN VỀ IDS 6
1.1 Khái niệm 6
1.2. Chức năng 6
1.3 Cấu trúc chung 7
1.4. Phân biệt các mô hình IDS 11
NIDS 11
HIDS 12
1.5. Các phương pháp nhận biết tấn công 12
1.6 Các sản phẩm IDS trên thị trường 14
Intrust 14
ELM 15
GFI LANGUARD S.E.L.M 16
SNORT 17
Cisco IDS 18
Dragon 19
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH
CISCO 20
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 20
2.1.1 Khái niệm SPAN 20
2.1.2 Các thuật ngữ 22
2.1.3 Các đặc điểm của cổng nguồn 24
3.2.3 Cài đặt và c
ấu hình IPTABLES-BASED FIREWALL 75
3.2.4 Cài đặt Snort 75
3.2.5 Cấu hình MySQL Server 77
3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78
3.2.7 Cài đặt Apache-ssl Web Server 78
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) 79
3.2.9 Cập nhật Rules với Oinkmaster 81
3.2.10 Startup Script 82
3.2.11 Tạo Acc truy cập vào Base 83
3.2.12 Cấu hình SNMP Server 83
3.2.13 Tạo file index.php để định hướng trình duyệt 84
3.2.14 Cài đặt phần mềm quản trị Webmin 84
3.3 Giao diện h
ệ thồng sau cài đặt 85
3.3.1 Các thông tin cấu hình cơ bản 85
3.3.2 Hướng dẫn sử dụng SNORT 86
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) 89
3.3.4 Hướng dẫn sử dụng Webmin 101
KẾT LUẬN 108
DANH MỤC TÀI LIỆU THAM KHẢO 109
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
3
LỜI NÓI ĐẦU
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS
(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất
thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con người quản trị là rất quan tr
ọng, cần phải đáp ứng được các tiêu
chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các
IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động.
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự độ
ng phát hiện và ngăn
chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt
động hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhập và có thể ngăn chặn các nguy c
ơ gây mất an ninh. IDS và IPS
có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ
thống IDP - Intrusion Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,
một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ
không chỉ đưa ra các cả
nh báo nhằm giảm thiểu công việc của người quản trị hệ
thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được
phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần
thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có
hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng
hay địa chỉ IP nguồn đó không cho truy cập hệ thống m
ạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấ
u hiệu khác thường.
1.2. Chức năng
Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau :
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những
hành động thiết thực chống l
ại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng
Phân biệt: các tấn công trong và ngoài mạng
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
7
1.3 Cấu trúc chung
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện
xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu
chữ ký thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :
Hình 1.2 : Cấu trúc tập trung.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
9
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể
là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi
luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu
dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó
đến các gói
mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát
hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành
vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào
đó, cơ sở dữ
liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả.
Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm
phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lử
a)
Hệ thống phát hiện xâm nhập mạng
11
trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy
nhất
1.4. Phân biệt các mô hình IDS
Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)
NIDS
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn
bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn
hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử
dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt
động
ở mức cao.
Hình 1.4 : Mô hình NIDS
Một số sản phẩm NIDS :
-Cisco IDS
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
12
-Dragon® IDS/IPS
HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so
với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy
tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho
phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể
ất mạnh và thường được
sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald
eXpert-BSM(Solaris).
Phân biệt ý định người dùng (User intention identification):
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động đượ
c điều
chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp
nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp
lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
Phân tích trạng thái phiên (State-transition analysis):
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
14
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo
hay đáp trả theo các hành động đã được định trước.
Phương pháp phân tích thống kê (Statistical analysis approach):
Đây là phương pháp thường được sử d
ụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến
thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy
nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,…
Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị
có nghĩa cho mỗi biến được s
ử dụng để phát hiện sự vượt quá ngưỡng được định
nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với
mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương
thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ m
ỉ. Cơ sở
dữ liệu được bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm được an toàn.
Điều này có nghĩa là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự
động tạo một cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở dữ liệu chính
online trở lại. Dưới đ
ây là một số mô tả vắn tắt về ELM Enterprise Manager 3. 0
1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
16
2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các
bản ghi sự kiện và bộ đếm hiệu suất.
3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ
các báo cáo HTML và ASCII
4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML
6. Hỗ trợ giao diện kiến thức cơ sở
7. Hỗ
trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT.
8. Hỗ trợ cở sở dữ liệu SQL Server và Oracle.
9. Các truy vấn tương thích WMI cho mục đích so sánh
10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập
GFI LANGUARD S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài
đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M.
1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự
kiện
2. Quản lý bản ghi sự kiện mạng
Hệ thống phát hiện xâm nhập mạng
18
7. Có các gói bản ghi
8. Phát hiện tấn công toàn diện
9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện
10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
Cisco IDS
Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận
cũng như danh tiếng truyền thống của nó.
Dưới đây là những thông tin vắn tắt về thiết bị này:
1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai.
2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco .
3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành
động trái phép
4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau
5. Cho hiệu suất mạng cao
6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của
kẻ xâm nhập
7. Quản lý GUI tập trung
8. Quản lý từ
xa
9. Email thông báo sự kiện.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
19
Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có
các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ
trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát
IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên
- SPAN là gì , cách cấu hình.
- Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên SPAN
xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng.
- SPAN ả
nh hưởng thế nào đến khả năng thực thi của Switch
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN
2.1.1 Khái niệm SPAN
Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữa
switch với hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản
sao của gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến. Khi
một switch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table )
Layer 2 dựa trên cơ sở địa chỉ MAC nguồn củ
a các gói tin khác nhau mà switch
nhận được. Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển
tiếp luồng dữ liệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
21
Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B
và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng
khác sẽ “xem” được lưu lượng từ máy A đến máy B
Hình 2.1 : Máy cần theo dõi gắn vào hub
Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic
unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà
máy B nối đến. Bởi vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phân
tích.
Hình 2.2 : Máy cần theo dõi gắn vào Switch
23
- Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN
- Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trong
Catalyst 2900XL/3500XL/2950
Hình 2.4 : Các thuật ngữ
- Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là được đặt
trên cùng Switch như cổng đích. Đặc điểm này là tương phản với Remote SPAN
(RSPAN)
- Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch với cổng
đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm
mang luồng thông tin được theo dõi bởi SPAN giữa các Switch. RSPAN không hỗ
trợ trên tất cả các Switch. Kiểm tra ghi chú phát hành tương
ứng hoặc hướng dẫn
cấu hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai.
- Port-based SPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn
trên Switch và một cổng đích.
- VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọn theo
dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh.
- Administrative source : Một tập các cổng nguồn hoặc các VLAN được cấu hình để
theo dõi.
Copyright: Tài liệu đại học ©