LỜI CẢM ƠN
TRƯỜNG ĐẠI HỌC SPKT HƯNG YÊN
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA CÔNG NGHỆ THÔNG TIN
Độc lập – Tự do – Hạnh phúc
ĐỀ TÀI ĐỒ ÁN 5
Họ và tên sinh viên:
1. Quản Đức Thảo
2. Trần Văn Phong
3. Bùi Đăng Tân
Ngành đào tạo:
Công nghệ thông tin
(NS:30/12/1989)
(NS:)
(NS:)
Chuyên ngành:
Mạng máy tính và truyền thông
Khóa học:
2009 – 2013
Lớp: TK7.2
Lớp:TK7.2
TRƯỞNG BỘ MÔN
(Ký và ghi rõ họ, tên)
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
…………….
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi
hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh
mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra
vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu
phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là
các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Trước các nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật
của công ty, doanh nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống
IDS(Intrusion Detection System ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn
công thông qua việc kiểm soát lưu lượng giao thông của hệ thống mạng. IDS chỉ kiểm
tra và thông báo khi hệ thống có sự bất thường hoặc trái với một định nghĩa mà người
dùng đặt ra cho hệ thống IDS không thể thực hiện việc ngăn chặn ngay khi phát hiện
xâm nhập xảy ra. Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài
nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng
việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt
động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo, không có những
báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai
nào tạo ra rủi ro quá mức bên trong môi trường.
Xuất phát từ cơ sở khoa học và cơ sở thực tiễn trên, từ những yêu cầu cấp thiết
trong thực tế cần một hệ thống mạng an toàn, tin cậy, bảo mật, chúng em xin được
thực hiện đề tài :”Tìm hiều và triển khai hệ thống phát hiện xâm nhập – IDS cho
trường ĐHSPKT Hưng Yên cơ sở 2”.
2. Mục tiêu nghiên cứu đề tài
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
giả lập các cuộc xâm nhập, tấn công vào hệ thống mạng bằng nhiều phương pháp khác
nhau để kiểm tra khả năng phát hiện các cuộc xâm nhập và tấn công trên của hệ thống
phát hiện xâm nhập. Qua đó sẽ đánh giá, kiểm tra khả năng phát hiện xâm nhập, cách
thức hoạt động, sự ổn đinh của hệ thống. Chỉ ra được sự cần thiết của một hệ thống
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 3
phát hiện xâm nhập trong mỗi hệ thống mạng nhằm đảm bảo an toàn, tin cậy, bảo mật
của dữ liệu lưu thông trên hệ thống mạng của công ty, tổ chức, doanh nghiệp.
5. Nhiệm vụ nghiên cứu đề tài.
• Xây dựng cơ sở lý thuyết tổng quan về hệ thống phát hiện xâm nhập.
• Nghiên cứu ứng dụng phần mềm Snort vào hệ thống phát hiện xâm nhập – IDS.
• Khảo sát thực trạng, phân tích hệ thống mạng trường ĐHSPKT Hưng Yên cơ
sở 2 qua đó xây dựng hệ thống phát hiện xâm nhập – IDS cho hệ thống mạng
của nhà trường.
• Đề xuất những giải pháp ứng dụng hệ thống phát hiện xâm nhập nhằm mục
đích tăng cường tính bảo mật, độ tin cây, an toàn, ổn định cho hệ thống mạng
của các công ty, tổ chức, doanh nghiệp.
6. Giới hạn của đề tài.
• Thời gian thực hiện: 10 tuần.
• Nơi triển khai đề tài: trường ĐHSPKT Hưng Yên cơ sở 2.
• Nghiên cứu, tìm hiểu, triển khai hệ thống phát hiện xâm nhập – IDS.
7. Phương pháp nghiên cứu.
Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể
tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người
thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu
hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công
chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay
những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân,
nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Những trường hợp đó có ảnh hưởng
xấu đến hệ thống và hình ảnh của công ty. Mặc dù tính chuyên môn của các cuộc tấn
công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là
một mối nguy hại lớn. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng
mạng của công ty. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn
công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn
công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống. Hay trường hợp khác, chỉ
vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gây
hại nghiêm trọng cho hệ thống.
1.1.2. Mối đe dọa có cấu trúc ( Structured threat).
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như
Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh
sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt
động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức
tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn công này thì có rất nhiều.
Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các
tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các
chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Các cuộc tấn công
này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh.
Khoa CNTT
Nhóm 1
Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có
thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty.
Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống.
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 6
1.2. KHÁI NIỆM VỀ BẢO MẬT.
1.2.1. Khái niệm.
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các
khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các
cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những
vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.
1.2.2. Kiến trúc về bảo mật.
Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm
gia tăng độ an toàn cho hệ thống:
• Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng
của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình
của phần mềm.
• Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các
tài nguyên của hệ thống.
• Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những
nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ
liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.
share trên server băng phương pháp “thử và sai” passwork.
1.3.1.3. Phương thức tấn công bằng Mail Relay.
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn
hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email
server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình
thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam
cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các
cuộc tấn công D.o.S vào một mục tiêu nào đó.
1.3.1.4. Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng
là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền
điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ
hoạt động của hệ thống truyền thông trên mạng. Hạn chế tối đa các dịch vụ khác trên
hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật
phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.3.1.5. Phương thức tấn công Man-in-the-middle attack.
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng.
Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói
mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê
Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng
riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet
sniffer
1.3.1.6. .Phương thức tấn công để thăm dò mạng.
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về
mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được
Khoa CNTT
Nhóm 1
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và
ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào
một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan
horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng
để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê
chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book.
Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các
địa chỉ mail có trong address book của user đó.
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 9
1.3.2. Các phương pháp ngăn ngừa và phát hiện xâm nhập.
1.3.2.1. .Phương thức ăn cắp thống tin bằng Packet Sniffers
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của
mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet
sniffer bằng một số cách như sau:
• Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type
password (OTPs). Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal
identification number ( PIN ) và token card để xác thực một thiết bị hoặc một
phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh
ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60
giây. Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password
duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet
• Giới hạn dung lương Mail box.
• Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho
SMTP server, đặt password cho SMTP.
• Sử dụng gateway SMTP riêng.
1.3.2.4. .Phương thức tấn công hệ thống DNS.
Phương pháp hạn chế:
• Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS.
• Cài đặt hệ thống IDS Host cho hệ thống DNS
• Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.3.2.5. Phương thức tấn công Man-in-the-middle attack
Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. Nếu
các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
1.3.2.6. Phương thức tấn công để thăm dò mạng.
Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví
dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep,
nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS
giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.
1.3.2.7. Phương thức tấn công Trust exploitation
Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác
nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài
nguyên nào của mạng.
1.3.2.8. Phương thức tấn công Port redirection
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.
HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó
1.3.2.9. Phương thức tấn công lớp ứng dụng
Một số phương cách để hạn chế tấn công lớp ứng dụng:
• Lưu lại log file, và thường xuyên phân tích log file.
• Luôn cập nhật các patch cho OS và các ứng dụng.
• Dùng IDS, có 2 loại IDS:
Khoa CNTT
là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên,
Firewall cũng có những điểm yếu sau:
• Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ
thống, và không thể chống lại sự đe dọa từ trong hệ thống.
• Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này
có thể cho phép việc thăm dò điểm yếu.
• Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều
này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
• Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy
nhập một cách tin cậy và loại bỏ được cơ chế firewall.
• Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc
không an toàn gia nhập hoặc rời khỏi hệ thống
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 12
• Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet. Việc sử
dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông
đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa công
khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ
chối, sự tin cậy và toàn vẹn dữ liệu.
Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên, các dữ liệu có
mã hóa chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở
nên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng. PKI
Trang 13
Vào năm 1987, một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford
Research Institute thực hiện đọc audit trail và tạo ra khuôn mẫu những hành động
thông thường, sau đó gửi thông báo về những hành động lệch so với khuôn mẫu đó.
Trong suốt những năm đầu của thập kỷ 90, cố gắng phát hiện xâm nhập trái phép tập
trung vào việc phân tích các sự kiện có trong audit trail. Tuy nhiên, hầu hết các công ty
không thể sử dụng được phương pháp phân tích log này vì hai lý do chính. Thứ nhất là
công cụ đó khá nặng, phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu của
người dùng. Với sự tăng trưởng của số người dùng, hệ điều hành, ứng dụng, cơ sở dữ
liệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi
từ chối dịch vụ. Do đó, các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay
vô hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và duy trì đủ hiệu suất. Nửa
cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới để
quản lý, như router, network traffic monitor, và firewall. Tuy hệ phương pháp IDS đã
phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta an
toàn với sự dùng sai, và làm sao để theo dõi và phản ứng khi ta bị tấn công?” Scanner,
các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảo
mật trước khi bị tấn công. Chúng có thể làm được điều đó dựa trên việc tìm khiếm
khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, những hệ
thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung. Các công cụ này
có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cung
cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. Chúng
có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của
công ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các
scanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một
cách thủ công. Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều
hành, server hay ứng dụng mới vào mạng. Cũng như các công cụ kiểm tra biên bản,
scanner và các công cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do
mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.
Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa
ra vài lý do tại sao nên sử dụng hệ thống IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp
pháp hoặc phá hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả
dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của
người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy cập thông tin bất hợp pháp.
• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Nói tóm lại có thể tóm tắt IDS như sau:
-
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ:
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 15
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
thống
Hệ thống đáp
trả
Chính sách
Chính sách
phát hiện
phản ứng
thông tin
Thu thập thông tin
Phản ứng
Phát hiện
Hình 1: Chức năng IDS
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
-
Ngăn chặn sự gia tăng của những tấn công.
-
Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó,
cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với
module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về
các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường
lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn,
tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu
trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được
Khoa CNTT
Nhóm 1
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 17
bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong
vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra. Tạo phân tích bước
đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo
đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của
Tìm hiểu và triển khai hệ thống phát hiện xâm nhập - IDS.
Trang 18
Quản lý được một phân đoạn mạng (network segment).
Trong suốt với người sử dụng và kẻ tấn công.
Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.
Tránh được việc bị tấn công dịch vụ đến một host cụ thể.
Có khả năng xác định được lỗi ở tầng network
Độc lập với hệ điều hành.
Hạn chế của NIDS:
Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất
thường mà IDS vẫn báo.
Không thể phân tích được các lưu lượng đã được mã hóa như SSH,
IPSec, SSL…
NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để
thực sự hoạt động hiệu quả.
Không thể cho biết việc mạng bị tấn công có thành công hay không, để
người quản trị tiến hành bảo trì hệ thống.
Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập dữ
liệu phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích chúng.
Khi tốc độ mạng tăng lên thì khả năng của bộ thu thập thông tin cũng
vậy. Một giải pháp là phải đảm bảo cho mạng được thiết kế chính xác.
Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệ
thống IDS là phân mảnh dữ liệu gói tin. Mỗi giao thức có một kích cỡ gói dữ liệu có
hạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu
bị phân mảnh. Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu. Thứ tự sắp xếp
không thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp
Khoa CNTT
Nhóm 1
Copyright: Tài liệu đại học ©