TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
───────────*───────────
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
NGÀNH CÔNG NGHỆ THÔNG TIN
TÊN ĐỀ TÀI:
NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG
PHÁT HIỆN XÂM NHẬP MẠNG
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính – K50
Giảng viên hướng dẫn: GV. Lương Ánh Hoàng
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
HÀ NỘI 6-2010
MỤC LỤC
PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP
1. Thông tin về sinh viên
Họ và tên sinh viên: Hoàng Thanh Tùng
Điện thoại liên lạc: 0975672044 Email: [email protected]
Lớp: Truyền thông mạng – K50 Hệ đào tạo: Chính quy
Đồ án tốt nghiệp được thực hiện tại:
Thời gian làm đồ án: Từ 01/02/2010 đến 02/06/2010
2. Mục đích nội dung của ĐATN
Với mục tiêu xây dựng được một giải pháp an toàn mạng cho các nhà quản trị
mạng, đồ án tập trung vào nghiên cứu và triển khai hệ thống phát hiện các xâm
nhập vào mạng, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn.
3. Các nhiệm vụ cụ thể của ĐATN
- Nghiên cứu, tìm hiểu về hệ thống phát hiện xâm nhập mạng – IDS.
- Triển khai hệ thống phát hiện xâm nhập mạng với Snort.
- Phát hiện một số xâm nhập phổ biến hiện nay.
4. Lời cam đoan của sinh viên:
• Tìm hiểu tổng quan về Snort – một hệ thống phát hiện xâm nhập được đánh
giá cao.
• Cài đặt Snort trên nền hệ điều hành Windows XP
• Nghiên cứu tập luật của Snort
• Xây dựng tập luật để phát hiện một số xâm nhập phổ biến
• Phát triển Snort phát hiện port scan và phát hiện Directory Traversal của
Snort.
Chương III: Kết luận
• Những kết quả đạt được và hạn chế của đồ án.
• Hướng phát triển của đồ án trong tương lai.
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
3
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
LỜI CẢM ƠN
Để hoàn thành đồ án này, em xin cảm ơn thầy giáo, KS Lương Ánh Hoàng,
giảng viên bộ môn Kỹ thuật máy tính - Viện Công nghệ thông tin và truyền thông –
trường Đại học Bách Khoa Hà Nội đã tận tình chỉ dẫn, tạo điều kiện cho em trong
quá trình xây dựng đồ án.
Em xin chân thành cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ
em trong suốt những năm học vừa qua.
Cuối cùng, xin chân thành cảm ơn các giảng viên của Công ty Cổ phần CNTT
iPMAC đã giúp đỡ tôi về mặt tài liệu cũng như kinh nghiệm khi nghiên cứu về IDS
trong thời gian tôi làm đồ án. Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm,
kiến thức, giúp đồ án hoàn thành được như ý.
Hà Nội, ngày 25 tháng 5 năm 2010
Người thực hiện
Hoàng Thanh Tùng
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
5
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
AAFID Autonomous Agent for Intrusion Detection System
BASE Basic Analysis and Security Engine
CGI Common Gateway Interface
DoS Daniel of Services
DDoS Distributed Daniel of Services
DIDS Distributed Intrusion Detection System
DMZ Demilitarized Zone
DNS Domain Name Services
FTP File Transfer Protocol
HIDS Host – base Intrusion Detection System
HTTP Hypertext Markup Language
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IETF Internet Engineering Task Force
IP Internet Protocol
IPS Intrusion Prevention System
IPSEC Internet Protocol Security
MAC Media Access Controllers
MTU Maximum Transmission Unit
NIDS Networks Intrusion Detection System
OS Operating System
SMB Server Message Block
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
Bố cục của đồ án
Đồ án được chia làm 3 chương:
+ Chương I: Tổng quan về hệ thống phát hiện xâm nhập mạng
+ Chương II: Triển khai hệ thống phát hiện xâm nhập mạng
+ Chương III: Kết luận
Hà Nội, ngày 25 tháng 5 năm 2010
Tác giả:
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
7
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
Hoàng Thanh Tùng
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN
XÂM NHẬP
I. Định nghĩa và chức năng của IDS
1. Định nghĩa
Xâm nhập là một thuật ngữ dùng để chỉ các hành động đột nhập hoặc làm ảnh
hưởng tới hệ thống của bạn.
Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp được sử dụng
để phát hiện các hành vi đáng ngờ ở cả trên mạng cũng như ở mức độ host.
Hệ thống phát hiện xâm nhập (Intrusion detection system) là một hệ thống
giám sát các lưu thông trên mạng và các dấu hiệu khả nghi, từ đó thông báo cho
người quản trị mạng. Trong một vài trường hợp, IDS có thể hoạt động một cách tích
cực khi block user hoặc chặn IP của nguồn tin mà nó nghi ngờ. Đây không phải là
một dịch vụ bảo mật hệ thống, nó chỉ là một công cụ để giúp chúng ta giám sát
mạng.
IDS cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao
hơn. Nó được đánh giá giá trị không giống như firewall và VPN (Virtual Private
Network) là ngăn ngừa các cuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách
trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, 1 IDS có thể thoả mãn nhu
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã
nguy hiểm như virus, trojan horse, worm, Mặc dù những tính năng mặc định có
thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
• Tường lửa – firewall
• Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,
3. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu
hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho
họ, bổ sung những điểm yếu của hệ thống khác IDS có được chấp nhận là một
thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của
nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu những chức năng mà IDS
đã làm được nhưng có thể đưa ra vài lý do tại sao nên sử dụng IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, đảm bảo sự nhất quán của dữ
liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất
hợp pháp hoặc phá hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
9
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
• Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy
nhập thông tin của người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được
sự truy cập thông tin bất hợp pháp.
lưu bug/exploit, lưu lại lịch sử quá trình dùng máy - cài đặt phần mềm, theo dõi tình
trạng hệ thống
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
10
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
Việc kiểm tra logs thường xuyên để nắm toàn bộ logs thì thực chất là khó khả
thi vì quá nhiều logs và vì đa phần là logs vô nghĩa, nên yêu cầu phải xây dựng kế
hoạch logs. Khi xây dựng kế hoạch logs, nên chú ý:
+ Lựa chọn những chương trình hỗ trợ logs tốt, tài liệu phân tích, giải nghĩa
log đầy đủ.
+ Phần mềm lưu logs nên áp dụng theo cơ chế tập trung, kiểu client - server.
+ Phần mềm logs có hỗ trợ lọc bỏ những logs vô nghĩa hoặc không cần thiết.
+ Phần mềm logs phải có hỗ trợ cảnh báo, dựa trên những mẫu mà mình định
sẵn.
Có thể dùng các phần mềm chuyên dụng để đọc logfile như ACTIX hay TEMS
investigation,
Alert
Là những cảnh báo, là lời thông báo ngắn về những hành động xâm nhập bất
hợp pháp. Khi IDS phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị
bằng alert. Alert có thể là Pop - up Windows, bằng mail, Đồng thời hành động
này cũng có thể được lưu vào logfile để các chuyên gia bảo mật có thể xem lại.
False alarm
Là những thông báo đúng về một dấu hiệu nhưng thực chất thì hành động xâm
nhập chưa xảy ra. Trường hợp này, ta gọi là IDS đã cảnh báo sai.
Sensor
Sensor là bộ cảm biến, là những thiết bị mà hệ thống phát hiện xâm nhập chạy
trên nó bởi vì nó được sử dụng như các giác quan trên mạng, cũng tương tự như các
sensor trong các ngành kỹ thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu
Hình 1.2: Quá trình của IDS
Hình 1.3: Cơ sở hạ tầng IDS
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản
trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các
chức năng khoá để giới hạn các session, backup hệ thống, định tuyến các kết nối
đến bẫy hệ thống cơ sở hạ tầng hợp lệ, ) theo các chính sách bảo mật của các tổ
chức (Hình 1.3). Một IDS là một thành phần trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp
lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn
công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
13
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
2. Kiến trúc của hệ thống phát hiện xâm nhập
Hình 1.4: Một IDS mẫu
Kiến trúc của IDS bao gồm 3 thành phần chính: Thành phần thu thập gói tin
(information collection), thành phần phân tích gói tin và phát hiện xâm nhập
(detection), thành phần phản hồi (response) nếu gói tin đó được phát hiện là một tấn
công của hacker. Trong 3 thành phần này thì thành phần phân tích gói tin là quan
trọng nhất và ở thành phần này bộ cảm biến (sensor) đóng vai trò quyết định nên ta
sẽ đi sâu vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của IDS.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 1.5) – một bộ
tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định
nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (Hệ điều hành, mạng, các ứng
dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi
các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin
chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong
mới. Các giải pháp dựa trên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn
cho việc nâng cấp chính sách đáp trả.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID
(Autonomous Agents for Intrusion Detection - Các tác nhân tự trị cho việc phát hiện
xâm phạm) – Xem Hình 1.6. Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: Một tác nhân có thể
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
15
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi.
Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự
trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy
nhất. Các bộ kiểm tra nhận thông tin từ các mạng, điều đó có nghĩa là chúng có thể
tương quan với thông tin phân tán. Thêm vào đó, một số bộ lọc có thể được đưa ra
để chọn lọc và thu thập dữ liệu.
Hình 1.6: Các tác nhân tự trị cho việc phát hiện xâm nhập
III. Phân loại các hệ thống phát hiện xâm nhập
Có nhiều tiêu chí để phân loại các hệ thống phát hiện xâm nhập. Nhưng ở đây,
tôi chỉ đề cập đến phân loại dựa trên phạm vi của IDS. Khi xem xét đến vùng chứa
dữ liệu được sử dụng cho việc phát hiện xâm nhập và phạm vi hoạt động, ta có thể
chia các hệ thống phát hiện xâm nhập thành 2 dạng là: Hệ thống phát hiện xâm
nhập hoạt động trên toàn mạng (NIDS – Network Intrusion Detection System) và hệ
thống phát hiện xâm nhập hoạt động trên các Host ( HIDS – Host Intrusion
Detection System).
1. Network intrusion detection system (NIDS)
NIDS thường được đặt trong các hệ thống mạng để giám sát giao dịch giữa các
Dragon, E-Trust IDS.
Hình 1.7: Mô hình NIDS
2. Host intrusion detection systems (HIDS)
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
17
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
HIDS thì lại chạy trên một máy riêng biệt hoặc các thiết bị trên mạng nhằm
phát hiện các tấn công vào chính các thiết bị đó. HIDS còn có thể giám sát file
systems nhằm phát hiện các hành động thay đổi trên tập tin của hệ thống. Host IDS
thường được cài đặt trên một máy tính nhất định, thay vì giám sát hoạt động của
một network segment, HIDS chỉ giám sát hoạt động trên một máy tính. HIDS
thường được đặt trên các host xung yếu của tổ chức, các server và các vùng DMZ
(demilitarized zone) - thường là mục tiêu bị tấn công đầu tiên. Nhiệm vụ chính của
HIDS là giám sát các thay đổi trên hệ thống, bao gồm:
+ Các tiến trình.
+ Các entry của Registry
+ Mức độ sử dụng của CPU
+ Kiểm tra tính toàn vẹn và truy cập trên hệ thống file
+ Một vài thông số khác
Khi các thông số này vượt qua một ngưỡng định trước hoặc những thay đổi
khả nghi trên hệ thống file sẽ gây ra báo động
Ưu điểm của HIDS:
+ Có khả năng xác định user liên quan tới 1 event.
+ Có khả năng phát hiện các cuộc tấn công diễn ra trên một máy trong khi
NIDS không có khả năng này.
+ Có thể phân tích các dữ liệu đã mã hoá (encrypt).
+ Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Nhược điểm của HIDS:
+ Thông tin từ HIDS không đáng tin cậy ngay khi sự tấn công vào host này đã
Và Hybrid IDS, hệ thống lai giữa 2 loại IDS trên, là những hệ thống nhằm kết
hợp những ưu điểm của mỗi dạng IDS, cũng như việc tối thiểu hoá những hạn chế.
Trong hệ thống lai, cả những bộ máy cảm biến và những máy chủ đều được báo cáo
về một trung tâm quản trị (centralized management or director platform).
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
19
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
Càng nhiều thông tin càng tốt, nhưng quá nhiều thông tin từ nhiều nguồn gây
khó khăn trong việc xử lý và công tác quản lý. Việc thể hiện thông tin thu thập từ
bộ cảm biến dựa trên mạng và phần mềm trên máy chủ có thể là một thử thách cho
các nhà sản xuất hệ thống IDS lai.
Về hệ thống Hybrid IDS, tôi không đề cập sâu vì hệ thống này vẫn còn đang
trong thời gian nghiên cứu, chưa triển khai rộng rãi.
IV. Phương thức hoạt động
Hiện nay có rất nhiều hệ thống IDS khác nhau, mỗi hệ thống lại có một
phương thức riêng để bảo đảm an ninh cho hệ thống mạng. Tuy nhiên, chúng ta có
thể khái quát thành 2 phương thức sau:
1. Phương pháp dò dấu hiệu (Signature - based)
Những kẻ xâm nhập thường dùng một số phương pháp để tấn công hệ thống,
mỗi phương pháp như vậy đều có một dấu hiệu (signature) mà ta có thể nhận biết,
bạn có thể hình dung điều này như là các dấu hiệu để nhận biết virus máy tính.
Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện
giống với các mẫu tấn công đã biết trước. Các mẫu tấn công này gọi là dấu hiệu.
Kiểu phát hiện tấn công này có ưu điểm là phát hiện tấn công nhanh và chính xác, ít
đưa ra các cảnh báo sai làm giảm hiệu năng hoạt động cua hệ thống và giúp người
quản trị xác định được các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên,
phương pháp này có nhược điểm là không phát hiện được các tấn công không có
trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống liên tục phải cập nhật
các mẫu tấn công mới.
hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích, bổ sung cho phương
pháp dò dấu hiệu, tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng
cảnh báo sai làm giảm hiệu năng hoạt động của mạng. Phương pháp này sẽ là
hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, hạn chế các
cảnh báo sai để hệ thống chạy chuẩn xác hơn.
V. Các tuỳ chọn đáp ứng
Khi các hệ IDS phát hiện ra dấu hiệu xâm nhập, chúng cần phải có hành vi để
đáp trả lại các dấu hiệu đó, ta phân các đáp ứng này làm 2 loại:
+ Đáp ứng tích cực: Các đáp ứng này là các hành động tự động được thực hiện
bởi IDS mỗi khi phát hiện dấu hiệu xâm nhập.
+ Đáp ứng tiêu cực: Đáp ứng kiểu này là IDS cung cấp thông tin cho quản trị
hệ thống và từ đó con người sẽ ra quyết định chứ không phải hệ thống tự đưa ra
quyết định.
VI. Tấn công vượt qua IDS
Rõ ràng sự bảo đảm toàn vẹn tuyệt đối của một hệ thống là không thể. Để giúp
cho việc xây dựng chiến lược an ninh, trong phần này tôi sẽ khái quát một số
phương thức mà các hacker thường khai thác lỗi IDS như thế nào
1. Phân đoạn - Fragmentation
Phân đoạn hoặc chia nhỏ các gói tin là một trong những cách chống lại IDS, và
phương pháp này thường đánh gục tất cả các NIDS thương mại được thiết kế cách
đây vài năm. Bằng cách cắt các gói tin thành những mẩu nhỏ, các hacker có thể hạ
được IDS. Một IDS trạng thái dịch ngược các gói tin để phân tích, nhưng khi lượng
các gói tin tăng tiến, tiến trình cũng tiêu thụ hết nhiều nguồn lực hơn và trở nên bắt
đầu thiếu chính xác. Dường như có một giá trị xác định những con số những phân
đoạn mà một IDS có thể xử lý, và khi số phân đoạn mà hacker tạo ra vượt quá con
số này, thì IDS sẽ bị vô hiệu hoá.
2. Giả mạo - spoofing
Ngoài phương pháp phân đoạn dữ liệu, các hacker còn có thể giả mạo TCP
sequence number mà NIDS nhìn thấy. Ví dụ như, nếu gói tin tiền kết nối SYN cùng
Sinh viên thực hiện: Hoàng Thanh Tùng
Kết quả là Whisker được biết đến như một công cụ Anti IDS.
4. Tấn công vào thiết bị kiểm tra tính toàn vẹn
Như đã đề cập trước, IDS là những thiết bị kiểm tra tính toàn vẹn và tập hợp
thông tin về các file ở chế độ khởi tạo. Sau đó chương trình sẽ kiểm tra những thay
đổi. Thêm vào đó, người quản trị hệ thống có thể cập nhật những dấu hiệu sau khi
cấu hình lại hệ thống. Phụ thuộc vào sự thực thi của host IDS mà mỗi chế độ đều có
thể bị tấn công.
Một kẻ tấn công có thể tự thay đổi phần mềm host IDS, sau đó gửi thông tin
sai lệch đến bàn điều khiển host IDS trung tâm hoặc có thể làm cho hệ thống nhầm
lẫn giữa những công việc kiểm tra tính toàn vẹn. Đồng thời một số chương trình tấn
công vào nhân cũng có thể bị IDS bỏ qua vì chúng có thể tự làm đúng đối với hệ
thống và lừa IDS thành công
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
22
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
VII. Tương lai của IDS
1. Hệ thống IDS nhúng - Embedded IDS
IPSec (Viết tắt của IP Security) trở thành một chuẩn phổ biến cho an toàn dữ
liệu trên mạng. IPSec là một bộ những chuẩn những chuẩn về an toàn được thiết kế
bởi IETF (Internet Engineering Task Force) nhằm cung cấp sự bảo vệ đầu - cuối
cho các dữ liệu cá nhân. Việc thực thi các chuẩn này có thể cho phép một thiết bị có
thể chuyển dữ liệu trên một mạng không đáng tin cậy như Internet trong khi ngăn
chặn các kẻ tấn công, phá hỏng, ăn trộm hoặc spoofing các giao tiếp cá nhân riêng
biệt này.
Bằng cách bảo vệ an toàn cho những gói tin tại tầng Network, IPSec cung cấp
các dịch vụ mã hoá trong suốt đối với các ứng dụng cũng như bảo vệ truy cập cho
an toàn mạng. Ví dụ, IPSec có thể cung cấp sự an toàn đầu cuối cho các hệ thống
cấu hình client to client, server to server, client to server.
Nhưng IPSec lại là con dao 2 lưỡi cho IDS. Một mặt, IPSec cho phép người sử
Bởi vì đường truyền và hiệu quả các cuộc tấn công ngày càng tăng, nên việc
tạo ra các cảnh báo chính xác ngày càng trở nên khó khăn. Lượng dữ liệu cảnh báo
được tạo nên bởi IDS có thể nhanh chóng vượt quá thao tác của con người. Thật
không may, việc lọc dữ liệu cho con người thường sử dụng hạn chế những hiệu quả
của nó.
Do vậy, các IDS tương lai đưa ra một khái niệm là "Visual Display of Data".
Có nghĩa là dữ liệu sẽ được mô hình hoá trên màn hình đồ hoạ với tốc độ, giai điệu,
màu sắc, âm thanh, Khi có sự khác lạ, thay đổi trên mạng mà tác động đến các dữ
liệu này, thì các biểu hiện của dữ liệu trên màn hình đồ hoạ cũng thay đổi theo.
Chúng ta có thể hình dung lúc này, hệ thống hiển thị dữ liệu sẽ giống như một máy
đo nhịp tim trong bệnh viện, người quản trị mạng có thể dễ dàng giám sát LAN
bằng cách để ý đến màn hình.
CHƯƠNG 2: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP
I. Tổng quan về Snort.
1. Giới thiệu
Hiện nay, có rất nhiều hệ thống phát hiện xâm nhập khác nhau, nhưng đang
được đánh giá cao trong giới bảo mật, có lẽ phải kể đến Snort. Snort được thiết kế
dùng command line và nó có thể được tích hợp chung với các sản phẩm khác và
được dùng trên nhiều platforms khác nhau. Đây là một phần mềm mã nguồn mở có
khả năng phát hiện, chống sự xâm nhập trái phép. Nó hoạt động như một phần mềm
đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy
tính đích sẽ được snort kiểm tra, thẩm định. Snort có thể phát hiện nhiều loại xâm
nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS
fingerprinting attempts…
Sinh viên thực hiện: Hoàng Thanh Tùng
Lớp: Truyền thông và mạng máy tính
24
Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng
Dữ liệu được thu thập và phân tích bởi Snort. Sau đó, Snort lưu trữ dữ liệu
trong cơ sở dữ liệu MySQL bằng cách dùng output plug-in
Copyright: Tài liệu đại học ©