BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
NGUYỄN ĐỨC CƯỜNG
LUẬN VĂN THẠC SĨ KHOA HỌC
NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG
HỆ THỐNG
PHÁT HIỆN XÂM NHẬP MẠNG
XỬ LÝ THÔNG TIN VÀ
TRUYỀ THÔNG
NGUYỄN ĐỨC CƯỜNG
This thesis consists of the two parts as follows:
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
1
LỜI NÓI ĐẦU .................................................................................................. 3
CHƯƠNG I - TỔNG QUAN VỀ IDS .............................................................6
1.1 Khái niệm ................................................................................................ 6
1.2. Chức năng .............................................................................................. 6
1.3 Cấu trúc chung ........................................................................................ 7
1.4. Phân biệt các mô hình IDS................................................................... 11
NIDS........................................................................................................11
HIDS........................................................................................................12
1.5. Các phương pháp nhận biết tấn công...................................................12
1.6 Các sản phẩm IDS trên thị trường.........................................................14
Intrust ...................................................................................................... 14
ELM ........................................................................................................ 15
GFI LANGUARD S.E.L.M .................................................................... 16
SNORT.................................................................................................... 17
Cisco IDS ................................................................................................ 18
Dragon..................................................................................................... 19
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH
VÀO HỆ THỐNG........................................................................................... 69
3.1. Các đặc điểm chính .............................................................................. 69
3.1.1 Hệ thống detection engine: ............................................................ 70
3.1.2 Hệ thống Logging & alerting:........................................................ 70
3.1.3 Tập luật(RULES) ........................................................................... 71
3.2 Các bước cài đặt Snort trên hệ điều hành Debian................................. 72
3.2.1 Cài hệ điều hành Debian ................................................................ 72
3.2.2 Cài các phần mềm cần thiết ........................................................... 73
3.2.3 Cài đặt và c
ấu hình IPTABLES-BASED FIREWALL ................. 75
3.2.4 Cài đặt Snort................................................................................... 75
3.2.5 Cấu hình MySQL Server................................................................ 77
3.2.6 Cấu hình để SNORT bắn alert vào MySQL ..................................78
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) ... 79
3.2.9 Cập nhật Rules với Oinkmaster ..................................................... 81
3.2.10 Startup Script................................................................................ 82
3.2.11 Tạo Acc truy cập vào Base .......................................................... 83
3.2.12 Cấu hình SNMP Server................................................................ 83
3.2.13 Tạo file index.php để định hướng trình duyệt ............................. 84
3.2.14 Cài đặt phần mềm quản trị Webmin ............................................ 84
3.3 Giao diện h
ệ thồng sau cài đặt ..............................................................85
3.3.1 Các thông tin cấu hình cơ bản........................................................ 85
3.3.2 Hướng dẫn sử dụng SNORT..........................................................86
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) .............................. 89
3.3.4 Hướng dẫn sử dụng Webmin .......................................................101
KẾT LUẬN................................................................................................... 108
DANH MỤC TÀI LIỆU THAM KHẢO...................................................... 109
Xử lý Thông tin và Truyền Thông
ản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ
trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là
một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi
các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng
đang sử dụng IDS rằng quản trị và vận hành hệ th
ống IDS là rất khó khăn, tốn kém
và không đem lại hiệu quả tương xứng so với đầu tư.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
4
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con người quản trị là rất quan tr
ọng, cần phải đáp ứng được các tiêu
chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các
IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động.
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự độ
ng phát hiện và ngăn
chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt
động hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng
phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luậ
n văn này,
chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ
thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của
mình thay thế cho các IDS cứng đắt tiền.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
6
CHƯƠNG I - TỔNG QUAN VỀ IDS
1.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà
quản trị .
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có
hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng
hay địa chỉ IP nguồn đó không cho truy cập hệ thống m
ạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấ
u hiệu khác thường.
định các mối đe dọ
a. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài
nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ
thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ
thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính
cho mỗi IDS) để phát hi
ện các dấu hiệu tấn công.
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên
hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
8
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng
khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ
thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một
IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nh
ững
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :
Hình 1.2 : Cấu trúc tập trung.
cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc
một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo
vệ.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
10
Hình 1.3 : Cấu trúc đa tác nhân
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.
IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự
phát hiệ
n các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả
năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công
mới. Các giải pháp dựa trên tác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng
cấp chính sách đáp trả
.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi.
Các tác nhân có th
12
-Dragon® IDS/IPS
HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so
với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên
nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy
tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho
phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể
thực hiện được. Lưu lượng đã gửi t
ới máy tính HIDS được phân tích và chuyển qua
nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên
hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng
dụng UNIX và nhiều hệ điều hành khác. Hình 1.5 : Mô hình HIDS 1.5. Các phương pháp nhận biết tấn công
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
13
Nhận biết qua tập sự kiện
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp
vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom & Sense và ComputerWatch (được phát triển tại AT&T
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo
hay đáp trả theo các hành động đã được định trước.
Phương pháp phân tích thống kê (Statistical analysis approach):
Đây là phương pháp thường được sử d
ụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến
thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy
nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,…
Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị
có nghĩa cho mỗi biến được s
ử dụng để phát hiện sự vượt quá ngưỡng được định
nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với
mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương
quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có
hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển b
ằng
cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này
thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các
phương pháp thống kê thường được sử dụng trong việc bổ sung
1.6 Các sản phẩm IDS trên thị trường
Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động
kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt
vời. Đưa ra với một giao diện báo cáo với hơn 1. 000 báo cáo khác nhau, giúp kiểm
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
16
2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các
bản ghi sự kiện và bộ đếm hiệu suất.
3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ
các báo cáo HTML và ASCII
4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML
6. Hỗ trợ giao diện kiến thức cơ sở
7. Hỗ
trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT.
8. Hỗ trợ cở sở dữ liệu SQL Server và Oracle.
9. Các truy vấn tương thích WMI cho mục đích so sánh
10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập
GFI LANGUARD S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài
đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M.
1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự
kiện
2. Quản lý bản ghi sự kiện mạng
3. Phát hiện nâng cao các tấn công bên trong
4. Giảm TOC
5. Không cần đến phần mềm client hoặc các tác nhân
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
17
6. Không ảnh hưởng đến lưu lượng mạng
9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện
10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
Cisco IDS
Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận
cũng như danh tiếng truyền thống của nó.
Dưới đây là những thông tin vắn tắt về thiết bị này:
1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai.
2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco .
3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành
động trái phép
4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau
5. Cho hiệu suất mạng cao
6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của
kẻ xâm nhập
7. Quản lý GUI tập trung
8. Quản lý từ
xa
9. Email thông báo sự kiện.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
19
Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có
các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ
trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát
IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên
điểm yếu của sản phẩm này là ở chỗ giá c
(CatOS) giới thiệu các tính năng nâng cao và nhiều khả năng mới đối với người sử
dụng. Ta sẽ điểm qua các đặc điểm của SPAN. Đó là:
- SPAN là gì , cách cấu hình.
- Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên SPAN
xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng.
- SPAN ả
nh hưởng thế nào đến khả năng thực thi của Switch
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN
2.1.1 Khái niệm SPAN
Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữa
switch với hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản
sao của gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến. Khi
một switch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table )
Layer 2 dựa trên cơ sở địa chỉ MAC nguồn củ
a các gói tin khác nhau mà switch
nhận được. Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển
tiếp luồng dữ liệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng.
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
21
Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B
và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng
khác sẽ “xem” được lưu lượng từ máy A đến máy B
Hình 2.1 : Máy cần theo dõi gắn vào hub
Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic
unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà
- Egress traffic : luồng dữ liệu đi ra khỏi switch
- Source (SPAN) port : cổng được theo dõi (monitor) bằng việc sử dụng kỹ thuật
SPAN
- Source (SPAN) VLAN : VLAN được theo dõi
- Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thường là khi
ở đây có một máy phân tích được gắn vào
Xử lý Thông tin và Truyền Thông
Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
23
- Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN
- Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trong
Catalyst 2900XL/3500XL/2950
Hình 2.4 : Các thuật ngữ
- Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là được đặt
trên cùng Switch như cổng đích. Đặc điểm này là tương phản với Remote SPAN
(RSPAN)
- Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch với cổng
đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm
mang luồng thông tin được theo dõi bởi SPAN giữa các Switch. RSPAN không hỗ
trợ trên tất cả các Switch. Kiểm tra ghi chú phát hành tương
ứng hoặc hướng dẫn
cấu hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai.
- Port-based SPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn
trên Switch và một cổng đích.
- VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọn theo
dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh.
Copyright: Tài liệu đại học ©