ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành : Công nghệ thông tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
Cán bộ hướng dẫn : Ths. Đoàn Minh Phương
Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải
HÀ NỘI – 2009
Lời cảm ơn
Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc
biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng
như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng
Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những
người đã chỉ dẫn em trong từng bước đề tài.
Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học
đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã
truyền đạt cho em những bài học quý báu trong thời gian vừa qua.
Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực
hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã
giúp em thành công trong học tập và cuộc sống.
Tóm tắt nội dung

PHỤ LỤC E.........................................................................73
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT
Kí hiệu và viết tắt Giải thích
ĐHQGHN Đại học Quốc gia Hà Nội
IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập
VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội
Proventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBM
DANH SÁCH BẢNG
BẢNG 1 – THUẬT NGỮ IDS/IPS.....................................23
BẢNG 2 – HÌNH THÁI HOẠT ĐỘNG.............................37
BẢNG 3 – PHẢN HỒI EMAIL..........................................37
BẢNG 4 – PHẢN HỒI LOG EVIDENCE........................38
BẢNG 5 – PHÂN LOẠI CÁCH LY...................................38
BẢNG 6 – PHẢN HỒI CÁCH LY.....................................39
BẢNG 7 – PHẢN HỒI SNMP............................................39
1
BẢNG 8 – PHẢN HỒI USER SPECIFIED......................40
DANH SÁCH HÌNH MINH HỌA
HÌNH 1 – SƠ ĐỒ KẾT NỐI LOGIC CỦA VNUNET.......6
HÌNH 2 - MINH HỌA TRÌNH TỰ TẤN CÔNG [12].....15
HÌNH 3 - GIAO DIỆN DOSHTTP....................................18
HÌNH 4 - GIAO DIỆN SMURF ATTACK.......................19
HÌNH 5 - GIAO DIỆN CLIENT TROJAN BEAST........19
HÌNH 6 - LỖI TRONG DỊCH VỤ RPC...........................20
HÌNH 7 - GIAO DIỆN METASPLOIT............................21
HÌNH 8 - GIAO DIỆN METASPLOIT (2).......................22
HÌNH 9 – SECURITY EVENTS........................................35
HÌNH 10 – RESPONSE FILTERS....................................43
HÌNH 11 – PROTECTION DOMAIN..............................46
HÌNH 12 - PROTECTION DOMAIN...............................47

HÌNH 32 – MÔ HÌNH TỔ CHỨC.....................................76
3
MỞ ĐẦU
Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo
vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc
ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần
cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép.
Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa
khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển
khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng
để bảo đảm an ninh mạng ở một mức khá cao.
Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện
ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia
G200 trên hệ thống mạng của Trường Đại học Quốc gia.
Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các
chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm
trong môi trường VNUnet, sau đó có đánh giá và nhận xét.
Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ
thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị
phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận
nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát
triển từ kết quả của khoá luận.
4
CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG
VNUNET
1.1. AN NINH MẠNG
Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an
ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các
nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật
ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc

người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra
bên ngoài.
• Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an
toàn rất yếu kém.
Hình 1 – Sơ đồ kết nối logic của VNUnet
1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet
Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :
6
Router
3600
INTERNET
TEIN2
VINAren
CPNET
112
Catalyst
2950
Catalyst
4507
203.113.130.192/27
172.16.0.0/16
ĐH Ngoại ngữ
ĐH Kinh tế, Khoa Luật, Viện CNSH
Viện CNTT
ĐH KHTN
ĐH KHXH-NV
Thư viện TĐ
KTX Mễ Trì
Khoa QTKD
TTPT Hệ thống, Khoa SP, Khoa SĐH

• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh,
đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một
desktop ảo.
• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.
• Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông
suốt, ổn định, hiệu quả.
• Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy
cập trái phép.
• Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công
nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị
và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu.
Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và ngăn
chặn thâm nhập IDS/IPS là một khâu quan trọng. Do đó, khóa luận này có ý nghĩa thực
tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội.
7
CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP
2.1. KIẾN THỨC CƠ SỞ
Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn đề
liên quan đến an ninh. Đặc biệt là các khái niệm như thâm nhập, tấn công. Phần này sẽ
trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS được nói
tới trong khóa luận.
2.1.1. Thâm nhập [9]
Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản
trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản
người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp
quyền của họ. Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khám
phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để chiếm
quyền điều khiển hệ thống.
Một thâm nhập có thể xảy ra dưới những dạng sau :

hồi một cách chậm chạp. DoS có thể khiến cho máy đối tượng bị khởi động lại hoặc tiêu
thụ một lượng lớn tài nguyên khiến cho nó không thể chạy các dịch vụ khác cũng như
gây tắc nghẽn đường truyền tới người dùng.
Có 5 loại tấn công DoS cơ bản:
• Tiêu thụ nguồn tài nguyên của máy như băng thông, bộ nhớ hoặc thời gian
xử lý.
• Phá hủy các thông tin cấu hình, như thông tin về định tuyến.
• Phá hủy các thông tin trạng thái, như tự khởi động lại phiên TCP.
• Phá hủy các thành phần vật lý.
• Gây tắc nghẽn đường truyền giữa người dùng với máy bị tấn công.
DoS có thể sử dụng các mã độc hại với mục đích:
• Sử dụng tối đa năng lực của bộ vi xử lý, làm cho nó không thực hiện được các
công việc khác.
• Gây ra các lỗi trong vi mã của máy.
• Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổn
hoặc treo đơ.
• Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗi
thrashing.
• Làm treo hệ điều hành.
9
• Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trang web
chứa nhiều thông tin nhiều lần, cho đến khi chúng lưu trữ một lần gọi vượt quá
băng thông giới hạn.
Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ. Dưới đây là một số
loại tấn công tiêu biểu :
• Smurf Attack
• SYNFlood
• Land Attack
• UDP Flood
• Tear Drop

hiện ngay những hành động bất bình thường.
• Xây dựng và triển khai hệ thống dự phòng.
2.1.3. Lỗ hổng bảo mật [10]
Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà
cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống. Lỗ hổng có thể là
kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc
hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai.
Một nguy cơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như là
một phương pháp được sử dụng để tấn công. Một cửa sổ của lỗ hổng là thời gian từ khi
lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triển khai tới
khi một bản vá bảo mật có sẵn hoặc được triển khai .
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ
của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp
pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như
sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như
trong Windows NT, Windows XP, UNIX; hoặc trong các ứng dụng mà người sử dụng
thường xuyên sử dụng như Word processing, Các hệ databases...
Nguyên nhân
Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà có
thể tìm được bởi vét cạn. Người dùng máy tính lưu trữ các mật khẩu trên máy tính ở chỗ
mà một chương trình có thể truy cập được nó. Nhiều người dùng sử dụng lại các mật
khẩu giữa nhiều chương trình và website.
Thiết kế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thi
các chính sách tối ưu cho người dùng/chương trình quản lý. Ví dụ hệ điều hành với các
chính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyền truy
cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc hại
thực thi các lệnh ở chế độ administrator.
Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai thác trong
một chương trình phần mềm. Lỗi phần mềm này có thể cho phép một kẻ tấn công lạm
dụng một phần mềm.

Thời gian của việc đưa ra một lỗ hổng được định nghĩa khác nhau trong tập đoàn
bảo mật và lĩnh vực. Nó thường được coi như là một loại công bố công cộng của các
thông tin bảo mật bởi một bên. Thông thường , thông tin lỗ hổng được đưa ra trên một
danh sách thư tín hoặc được xuất bản trên một website bảo mật và trong một tư vấn an
ninh sau đó.
Thời gian của công bố là ngày đầu tiên lỗ hổng bảo mật được miêu tả trên một
kênh ,nơi được công bố thông tin về lỗ hổng và có đầy đủ các yêu cầu sau :
Thông tin miễn phí và công cộng .
Thông tin lỗ hổng được đưa ra bởi một nguồn hoặc một kênh độc lập được tin cậy
12
Lỗ hổng chịu phân tích bởi các chuyên gia như thông tin đánh giá mức độ rủi ro
được bao gồm trên công bố.
Nhận ra và gỡ bỏ các lỗ hổng
Nhiều các công cụ phần mềm tồn tại để giúp đỡ trong việc khám phá (và thỉnh
thoảng là gỡ bỏ) của các lỗ hổng trong hệ thống hệ điều hành. Mặc dù các công cụ này
có thể cung cấp một cái nhìn khái quát tốt về các lỗ hổng, chúng không thể thay thế
những đánh giá của con người .
Các lỗ hổng được tìm thấy chủ yếu trong các hệ điều hành bao gồm windows, mac
os, linux, các dạng Uni, OpenVMS và các loại khác. Chi có một cách để giảm bớt cơ hội
của các lỗ hổng được sử dụng với một hệ thống là sự thận trọng cao độ, bao gồm việc
duy trì hệ thống cẩn thận (cập nhật các bản vá ), triển khai tốt nhât (sử dụng tường lửa
và điều khiển truy cập) và kiểm tra (trong suốt quá trình phát triển và vòng đời triển
khai)
2.1.4. Virus, Sâu và Trojan [8]
Vi rút
Virus là những phần mềm máy tính có khả năng lây nhiễm và phá hủy các phần
mềm thậm chí phần cứng máy tính. Các virus không thể lây lan nếu không thông qua
phương tiện chia sẻ như trao đổi tệp hoặc thư điện tử.
Sâu
Sâu có khả năng lây lan từ máy này sang máy khác giống như virus, nhưng chúng

• Gaining Access – Có quyền truy cập
• Escalating Privileges – nâng cấp quyền
• Pilfering – Khai thác hệ thống
• Covering Tracks – Xóa dấu vết
• Creating "Back Doors" – Tạo cổng hậu
• DoS – Tấn công từ chối dịch vụ
Chú ý rằng những bước trên hoàn toàn linh động khi áp dụng vào thực tế. Các
hành động khi tấn công thâm nhập có thể là đan xen nhau thậm chí một hành động được
thực hiện lặp lại nhiều lần hay bỏ qua không cần thực hiện. Tuy nhiên cũng có thể sắp
xếp thứ tự các hành động đó theo trình tự như hình dưới đây :
14
Hình 2 - Minh họa trình tự tấn công [12]
Bây giờ ta sẽ đề cập chi tiết đến từng hành động trong một tấn công thâm nhập của
hacker. Như đã nói ở trên, trước khi một tấn công thực sự được thực hiện, hacker cần
phải chuẩn bị đầy đủ các thông tin về đối tượng qua 3 bước : footprinting (in dấu),
scanning (dò quét), enumaration (điểm danh). Cũng như khi một nhóm cướp muốn cướp
một nhà băng, chúng không chỉ cứ đến nhà băng và yêu cầu tiền mà chúng cần tìm hiểu
rất nhiều thông tin về nhà băng đó như tuyến đường xe chở tiền đi, thời gian giao tiền,
các camera giám sát, lộ trình tẩu thoát và nhiều thứ khác cần thiết. Bước đầu tiên trong 3
bước thu thập thông tin là in dấu.
In dấu
In dấu là chỉ việc sử dụng công cụ và kĩ thuật để thu thập các thông tin cơ bản của
đối tượng cần tấn công. Các thông tin có thể lấy được qua nhiều đường như Internet,
Intranet, Remote access, extranet. Ví dụ như từ google, chúng ta có thể lấy ra thông tin
về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin cá nhân của
nhân viên trong một công ty đối tượng. Những thông tin tưởng chừng đơn giản này lại
là những thông tin không thể thiếu được khi bắt đầu một tấn công thâm nhập vào hệ
thống của đối tượng. Các thông tin cá nhân về nguồn tài nguyên con người như Số điện
thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thông tin này hacker đã có
thể làm chủ hệ thống.

>
> set type=any
> ls -d wayne.net > dns.wayne.net
> exit
> server 10.10.10.2
Default Server: dns02.wayne.net
Address: 10.10.10.2 >
ls -d wayne.net
16
[dns1.wayne.net]
wayne.net. SOA dns04.wayne.net wayne.dns04.wayne.net. (3301 10800 3600
604800 86400)
wayne.net. NS dns04.wayne.net
wayne.net. NS dns02.wayne.net
wayne.net. NS dns01.wayne.net
wayne.net. NS dns05.wayne.net
wayne.net. MX 10 email.wayne.net
rsmithpc TXT "smith, robert payments 214-389-xxxx"
rsmithpc A 10.10.10.21
wmaplespc TXT "Waynes PC"
wmaplespc A 10.10.10.10
wayne CNAME wmaplespc.wayne.net
Ngoài ra, còn một số các dịch vụ khác có thể được khai thác để biết thêm thông tin
như MSRPC, NetBIOS, SNMP, …. Có thể xem thêm chi tiết về cách khai thác các dịch
vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới.
Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựa các
phương thức tấn công, thâm nhập khác nhau. Đầu tiên, hacker có thể chọn DoS hoặc
DDoS đối tượng. Các cách thức tấn công từ chối dịch vụ này không làm hacker chiếm
được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường lửa và
các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống mạng qua đó

mô phỏng tấn công DDoS nên trong khóa luận sẽ chỉ nêu phương thức tấn công trên lý
thuyết và mô phỏng kiểu tấn công DoS chứ không mô phỏng tấn công DDoS.
2.3.2. Tấn công từ chối dịch vụ
Một trong số những tấn công phổ biến nhất của DoS là SYN Flood. Mô phỏng sử
dụng công cụ DoSHTTP của socketsoft.com.
Hình 3 - Giao diện DoSHTTP
18
Công cụ có giao diện sử dụng rất đơn giản, chỉ cần thiết lập số kết nối đồng thời,
xác định mục tiêu và tấn công. Chỉ cần vài máy cùng tiến hành tấn công đồng thời là có
thể đánh sập một web server cỡ nhỏ.
Một tấn công nữa được mô phỏng là smurf attack. Công cụ sử dụng là smurf2k.
Tương tự như trên, giao diện chương trình cũng rất đơn giản, chỉ việc xác định mục
tiêu, kích cỡ gói tin và tiến hành tấn công.
Hình 4 - Giao diện smurf attack
2.3.3. Thâm nhập qua Trojan
Mô phỏng sử dụng Trojan Beast. Trojan này lây nhiễm trên hệ điều hành windows
và sử dụng cơ chế client server. Phần server được nhúng vào những phần mềm vô hại và
được cài đặt trên máy nạn nhân qua sai sót của người dùng. Phần này sẽ mở một cổng
6666 cho máy client kết nối tới. Trojan này còn có tác dụng vô hiệu hóa phần mềm
tường lửa và chống virus đồng thời cài đặt một keylogger để lấy thông tin về mật khẩu
của người dùng qua đó hacker có thể truy cập trực tiếp đến máy nạn nhân.
Hình 5 - Giao diện client trojan beast
19
Đây là màn hình xây dựng trojan (nhúng vào các file chạy, đưa trojan lên
webserver).
Sau khi xây dựng trojan và xác định có máy bị nhiễm (có mail gửi về nếu máy đó
đã bị nhiễm), ta sử dụng chương trình client này để kết nối tới máy đó qua cổng 6666.
Nếu tài khoản bị nhiễm là tài khoản admin thì ta đã có toàn quyền sử dụng với máy đó.
2.3.4. Thâm nhập qua lỗ hổng bảo mật [5]
Đầu tiên, mô phỏng sử dụng công cụ retina network scanner để dò lỗ hổng bảo