intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập

Chia sẻ: Nguyễn Văn Toàn | Ngày: | Loại File: DOC | Số trang:93

201
lượt xem
63
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo luận văn - đề án 'tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập', luận văn - báo cáo, công nghệ thông tin phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập

  1. Đồ án tốt nghiệp LỜI CẢM ƠN Để có thể hoàn thành được đồ án tốt nghiệp này là một quá trình tích lũy kiến thức lâu dài dưới mái trường học viện. Trong quá trình đó, học tập của em đã nhận được sự hướng dẫn, giúp đỡ rất tận tình của Th ầy Cô, bạn bè. Em xin chân thành gửi lời cảm ơn đến tất cả các Thầy Cô giáo của Học Viện Kỹ thuật mật mã đã tận tình hướng dẫn và truy ền đạt ki ến th ức cho em, nó sẽ là hành trang quý giá nhất cho em bước vào đời. Em xin chân thành cảm ơn Tiến sỹ Nguyễn Hông Quang t ận tình ch ỉ bảo và đóng góp ý kiến trong trong suốt quá trình em làm đ ồ án t ốt nghi ệp này. Em xin cảm ơn các Thầy Cô trong khoa An toàn thông tin đã t ạo đi ều kiện cho em hoàn thành tốt đồ án tốt nghiệp này. Cuối cùng em cũng xin cảm ơn gia đình, bạn bè những người thân luôn bên cạnh động viên, giúp đỡ và tạo mọi điều kiện thuận lợi cho em. Do còn hạn chế về kiến thức và kinh nghiệm nên luân văn còn nhi ều thiếu sót em rất mong được sự phê bình, đánh giá và góp ý của th ầy cô và các bạn. Em xin chân thành cảm ơn! Hà nội, Ngày... Tháng 06 Năm 2009. Sinh viên Lê Minh Hùng 1
  2. Đồ án tốt nghiệp MỤC LỤC LỜI CẢM ƠN.................................................................................................1 MỤC LỤC........................................................................................................2 MỞ ĐẦU.........................................................................................................5 CHƯƠNG I ....................................................................................................7 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP..........................7 1.1. Tổng quan về các nguy cơ an ninh........................................................7 1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống.............7 1.1.1.1. Kiểu tấn công thăm dò...............................................................7 1.1.1.2. Kiểu tấn công truy cập..............................................................8 1.1.1.3. Kiểu tấn công từ chối dịch vụ..................................................9 1.1.1.4. Kiểu tấn công qua ứng dụng web...........................................10 1.1.2. Vấn đề bảo mật hệ thống mạng..................................................12 1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng......................12 1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính. ......................13 1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng................14 1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp..............16 1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập...........17 1.2.1. Định nghĩa......................................................................................17 1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS. ........................18 1.2.3. Những ưu điểm và hạn chế của hệ thống...................................19 1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập....................19 1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS.......................19 1.2.4.2. Mô hình, cấu trúc và hoạt động của hệ thống........................21 CHƯƠNG II .................................................................................................31 HỆ THỐNG PHẦN MỀM PHÁT HIỆN XÂM NHẬP SNORT...................31 2.1. Tổng quan về Snort..............................................................................31 2.1.1. Khái niệm.......................................................................................31 2.1.2. Các đặc tính. ................................................................................31 2.2. Các thành phần của Snort.....................................................................33 2.2.1. Bộ phận giải mã gói......................................................................34 2.2.2. Bộ phận xử lí trước.......................................................................34 2.2.3. Bộ phận phát hiện.........................................................................35 2.2.3.1. Những biểu thức thông thường cho SQL injection.................35 2
  3. Đồ án tốt nghiệp 2.3.2.2. Những biểu thức thông thường cho CSS................................39 2.2.4. Hệ thống ghi và cảnh báo. ...........................................................42 2.2.5. Bộ phận đầu ra..............................................................................43 2.3. Các chế độ làm việc của Snort............................................................43 2.3.1. Chế độ “lắng nghe” mạng..........................................................43 2.3.2. Chế độ phát hiện xâm nhập mạng...............................................45 2.4. Làm việc với tập luật của Snort..........................................................46 2.4.1. Luật dở đầu tiên:..........................................................................47 2.4.2. Cấu trúc chung của luật trong Snort.............................................47 2.4.2.1. Rule header...............................................................................48 2.4.2.2. Rule option................................................................................49 CHƯƠNG III................................................................................................57 TRIỂN KHAI SNORT BẢO VỆ HÊ THỐNG MẠNG.................................57 3.1. Tiêu chí triển khai.................................................................................57 3.1.2. Một số chú ý khi triển khai...........................................................57 3.1.2. Các hệ thống và mạng phải giám sát............................................58 3.1.3. Tạo các điểm kết nối....................................................................59 3.1.4. Lưu lượng mã hóa.........................................................................59 3.1.5. Bảo mật bộ cảm biến Snort.........................................................60 3.1.6. Chọn một hệ điều hành.................................................................60 3.1.7. Cấu hình các giao diện..................................................................61 3.2. Xây dựng snort bảo vệ hệ thống mạng..............................................62 3.2.1. Tham khảo một số mô hình thực tế.............................................62 3.2.2. Xây dựng mô hình..........................................................................64 3.4. Triển khai cơ sở hạ tầng.....................................................................66 3.4.1. Cấu hình.........................................................................................66 3.4.2. Cài đặt snort trong hệ thống ubuntu.............................................66 3.4.3. Cấu hình với file Snort.conf. .......................................................70 3.5. Phân tích snort bảo vệ hệ thống trước các cuộc tấn công.................76 3.5.1. Mô hình tấn công...........................................................................76 3.5.2. Tấn công Dos.................................................................................76 3.5.2.1. Kịch bản tấn công....................................................................76 3.5.2.2. Phân tích kỹ thuật tấn công của hacker..................................77 ........................................................................................................................80 3.5.2.3. Kết luận....................................................................................80 3.5.3. Tấn công sql injection....................................................................80 3.5.3.1. Kịch bản tấn công. ..................................................................81 3.5.3.2. Phân tích tấn công....................................................................82 3
  4. Đồ án tốt nghiệp 3.5.3.3 Kết luận. ...................................................................................86 KẾT LUẬN....................................................................................................87 1. Những vấn đề gặp phải khi sử dụng IDS.............................................87 2. IPS là giải pháp:.......................................................................................87 3. Đánh giá và xu hướng phát triển của IDS..............................................88 BẢNG KÝ HIỆU VIẾT TẮT........................................................................90 PHỤ LỤC HÌNH ẢNH..................................................................................91 PHỤ LỤC CÁC BẢNG.................................................................................93 TÀI LIỆU THAM KHẢO..............................................................................94 4
  5. Đồ án tốt nghiệp MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức ph ải hòa mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với Internet. Ngày nay, các bi ện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, …gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của các công ty lớn như Microsoft, IBM, các trường đại học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng, …m ột s ố vụ tấn công với quy mô khổng lồ (có tới 100.000 máy tính b ị t ấn công). Hơn nữa những con số này chỉ là phần nổi của tảng băng trôi. Một phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác. Vì vậy vi ệc k ết n ối vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát. Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức ph ải hòa mình vào mạng toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, em đã quyết định chọn đề tài ”Tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập”, nhằm giám sát luồng thông tin ra, vào và bảo vệ các hệ th ống mạng khỏi sự tấn công từ Internet. Nội dung đề tài này sẽ trình bày một cách khái quát về hệ thống phát hiện và phòng chống xâm nhập(IDS&IPS), cách bảo vệ mạng bằng Snort, cách xây dựng Snort trên h ệ thống mã nguồn mở sao cho hệ thống vừa an toàn vừa tiết kiệm một cách tối đa. Nội dung chính của đề tài gồm 3 chương như sau: 5
  6. Đồ án tốt nghiệp Chương 1: Tổng quan về hệ thống phát hiện và phòng ch ống xâm nhập. Chương này mô tả khái niệm, vai trò và những ưu nhược điểm của hệ thống phát hiện nhập, nghiên cứu mô hình kiến trúc và hoạt động của hệ thống phát hiện và phòng chống xâm nhập Chương 2: Cấu trúc snort, chức năng snort, luật snort. Nghiên cứu về hệ thống Snort bao gồm: cấu trúc, các thành ph ần, chế độ làm việc, tập luật của Snort. Chương 3: Triển khai snort trên một hệ thống mạng. Phân tích và đánh giá hoạt động của Snort thông qua mô phỏng một vài kiểu tấn công mạng. 6
  7. Đồ án tốt nghiệp CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1. Tổng quan về các nguy cơ an ninh. Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã h ội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp d ịch v ụ. Cùng v ới thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh m ạng truy ền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo v ệ c ố đ ịnh. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. 1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống. Có bốn kiểu tấn công đặc biệt là:  Thăm dò.  Truy cập.  Từ chối dịch vụ (DoS).  Ứng dụng web. 1.1.1.1. Kiểu tấn công thăm dò. Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ h ổng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS th ường được tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công. 7
  8. Đồ án tốt nghiệp Hình 1: Tấn công thăm dò IP. 1.1.1.2. Kiểu tấn công truy cập. Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống: a). Tấn công truy cập hệ thống : Truy cập hệ thống là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một h ệ thống mà ở đó hacker không có tài khoản sử dụng. Hacker thường tìm kiếm quy ền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking tool), hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ. b). Tấn công truy cập thao túng d ữ liệu : Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn giản như việc tìm phần mềm chia sẻ (share) trên máy tính Window 9x hay NT, hay khó hơn như việc cố gắng xâm nhập một hệ thống tín dụng của cục thông tin (credit bureau’s information). c). Tấn công truy cập nâng cao đặc quyền : Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử d ụng ban đầu không được cho phép truy cập. Khi hacker đạt được m ức đ ộ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. 8
  9. Đồ án tốt nghiệp 1.1.1.3. Kiểu tấn công từ chối dịch vụ. Kiểu tấn công DoS được thực hiện nhằm làm vô hiệu hóa, làm h ư hỏng , hay gây tổn hại đến tài nguyên mạng với m ục đích c ản tr ở vi ệc s ử dụng những hệ thống này của người dùng. Dạng phạm tội điện tử này là dạng tấn công tồi tệ nhất mà các công ty thương mại điện tử ph ải đối m ặt bởi vì mục đích duy nhất của hacker là ngăn chặn người dùng sử d ụng các dịch vụ điện tử của các công ty. Ý định của dạng tấn công này chỉ đơn giản nhằm gây tổn hại và chống lại một công ty trong việc buôn bán. Hình 2: Tấn công Ddos. Một hacker với một PC ở nhà phải mất một lượng lớn thời gian t ạo ra đủ lưu lượng mạng để làm quá tải một nhóm máy chủ Internet . Đ ể t ấn công DoS hiệu quả, hacker sử dụng nhiều hệ thống máy tính khác nhau nhằm lấn át máy chủ (đích). Sử dụng nhiều hệ thống máy tính đ ể t ấn công máy chủ hay mạng được gọi là tấn công từ chối dịch vụ phân phối (DDoS). Dạng tấn công này đã từng thành công khi tấn công web site của Yahoo!, ebay và CNN.com. Một hacker liên quan sau đó bị bắt và bị truy tố. Tấn công Ddos gồm các giai đoạn sau: 9
  10. Đồ án tốt nghiệp a). Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tượng. Điều đầu tiên cần làm rõ trong mọi hoạt động cũng nh ư vi ệc hacking là xác định được mục tiêu. Kết quả của việc xác lập m ục tiêu c ủa kiểu tấn công dẫn đến việc hình thành, chọn lựa nh ững nh ững công c ụ và phương pháp phù hợp. Mục tiêu đơn giản là toàn bộ mục đích của người xâm nhập. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DoS phù hợp với nhu cầu đó. Nếu kẻ tấn công là một đối th ủ thì, xâm nh ập h ệ thống và thao túng dữ liệu mới là mục tiêu . Khi kẻ xâm nh ập ti ến hành những bước của một kiểu tấn công, thì mục tiêu có th ể và thường thay đổi Một yếu tố quan trọng khác nữa trong việc xác định mục tiêu là động cơ đằng sau sự xâm nhập. Hầu hết những script kiddies (hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi đó những hacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ, trả thù, kiếm tiền bất hợp pháp. b). Giai đoạn hai thăm dò: Giai đoạn thăm dò, như chính tựa đề của nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên đ ể thu th ập thông tin về hệ thống đối tượng. Thông thường những hacker có kinh nghiệm thường thu thập những thông tin về công ty đối t ượng, nh ư là v ị trí của công ty, số điện thoại, tên của những nhân viên, địa chỉ e-mail, tất cả đều hữu dụng với người xâm nhập có kinh nghiệm. c). Giai đoạn thứ ba giai đoạn tấn công: Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã thu thập được, một vài hacker có thể thực hiện việc tấn công nhiều lần cho đến khi phát hiện được lỗi bảo mật đ ể có th ể khai thác. 1.1.1.4. Kiểu tấn công qua ứng dụng web. Theo số liệu thống kê từ các công ty bảo mật hàng đ ầu hi ện nay, thời gian gần đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75% các cuộc tấn công được thực hiện là ở lớp ứng d ụng web).. Trong đó hai kĩ thuật tấn công được các hacker s ử dụng ph ổ bi ến là cross-site scripting và sql injection và hình sau đây: 10
  11. Đồ án tốt nghiệp Hình 3: Số liệu tấn công ứng dụng web. a). Kiểu tấn công cross-site scripting (hay còn gọi là xss) : Được các hacker tiến hành bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cách lừa người dùng nhấn vào những liên kết này. Khi đó đoạn mã độc hại này sẽ được thực thi trên máy tính của nạn nhân. Kĩ thuật thực hiện các cuộc tấn công kiểu này không có gì phức t ạp và ch ủ yếu là hacker lợi dụng sự tin cậy giữa người dùng và server (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc không th ẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những url bị chèn thêm các mã độc hại. 11
  12. Đồ án tốt nghiệp Hình 4: Tấn công XSS. b). SQL Injection: Là kỹ thuật liên quan đến chèn các từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác trên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web đ ể đi ều khiển quá trình thực thi câu lệnh SQL ở server. 1.1.2. Vấn đề bảo mật hệ thống mạng. 1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng. Đặc điểm chung của một hệ thống mạng là có nhiều người s ử dụng chung và hân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường m ột máy tính đơn lẻ, hoặc một người sử dụng. Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những k ẻ phá hoại. Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuy ệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. 12
  13. Đồ án tốt nghiệp Trong nội dung đề tài của em là “Tìm hiểu và triển khai h ệ th ống phát hiện và phòng chống xâm nhập”. Trong nội dung về lý thuy ết của đ ề tài em xin trình bày về một số khái niệm sau: 1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính. a). Đối tượng tấn công mạng (intruder): Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chi ếm đoạt tài nguyên trái phép. Một số đối tượng tấn công mạng như: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm y ếu c ủa thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức… b). Các lỗ hổng bảo mật: Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện nh ững hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. c). Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng th ời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 13
  14. Đồ án tốt nghiệp 1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng. a). Các loại lỗ hổng: Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại l ỗ h ổng được phân làm ba loại như sau: Lỗ hổng loại C: Cho phép thực hiện các hình thức t ấn công theo DoS (Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất h ợp pháp. Hi ện nay chưa có một biện pháp hữu hiệu nào để khắc ph ục tình trạng t ấn công kiểu này vì bản thân thiết kế ở tầng Internet (IP) nói riêng và b ộ giao th ức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ h ổng loại này. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống . Có mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người s ử dụng n ội b ộ có th ể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người s ử dụng local được hiểu là người đã có quyền truy nhập vào h ệ th ống v ới một số quyền hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt ch ẽ cấu hình hệ thống và các chương trình. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người 14
  15. Đồ án tốt nghiệp quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có th ể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ h ổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger... b). Các hình thức tấn công mạng phổ biến: Scanner: Là một chương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử dụng trên h ệ th ống cần t ấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từ đó nó có thể tìm ra điểm yếu của hệ thống. Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng. Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo v ệ m ật kh ẩu của một hệ thống. Một số chương trình phá khoá có nguyên t ắc ho ạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của ch ương trình. Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text . Mật khẩu text thông thường sẽ được ghi vào một file. Biện pháp khắc phục đối với cách thức phá hoại này là c ần xây d ựng m ột chính sách bảo vệ mật khẩu đúng đắn. Sniffer: Là các công cụ (phần cứng hoặc phần mềm)”bắt” các thông tin lưu chuyển trên mạng và lấy các thông tin có giá tr ị trao đ ổi trên m ạng. Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm vi ệc với nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Mục đích c ủa các chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - t ừ đó "bắt" được thông tin. Việc phát hiện hệ thống bị sniffer không ph ải đ ơn 15
  16. Đồ án tốt nghiệp giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp. Tuy nhiên việc xây d ựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân th ủ các nguyên tắc Không cho người lạ truy nhập vào các thiết bị trên h ệ th ống ,quản lý cấu hình hệ thống chặt chẽ và thiết lập các kết nối có tính b ảo mật cao thông qua các cơ chế mã hoá. Trojans: Là một chương trình chạy không hợp lệ trên một hệ thống. Với vai trò như một chương trình hợp pháp. Trojans này có thể chạy được là do các chương trình hợp pháp đã bị thay đổi mã của nó thành. Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra nh ững lỗ hổng bảo mật thông qua Trojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ h ệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còn cách cài đặt l ại toàn bộ hệ thống. 1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp. Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm t ới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và t ừ bên ngoài vào trong mạng. Việc kiểm soát được những truy cập bất h ợp pháp từ bên ngoài vào cũng như kiểm soát những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của Internet và sự kết nối mạng nội bộ với Internet thì vấn đ ề đ ảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết. Hiện nay đ ể bảo mật cho mạng LAN có nhiều phương pháp trong đó có một số phương pháp phổ biến và đáng tin cậy đó là: Mạng riêng ảo (Virtual Private Network- VPN): Là sự mở rộng mạng riêng của các công ty, tổ chức thông qua sử dụng các kết nối mạng công cộng hoặc mạng chia sẻ như Internet. VPN cung cấp cho khách hàng đầy đủ các tính năng mà một kênh thuê riêng có được nhưng với giá thành rẻ hơn do sử dụng hạ tầng cơ sở mạng công cộng. VPN sử dụng giao thức để 16
  17. Đồ án tốt nghiệp tạo đường hầm truyền tin riêng và các biện pháp an ninh để bảo vệ dữ liệu trên đường truyền như mã hoá, xác thực… IDS&IPS:Thuật ngữ IDS&IPS (phát hiện và ngăn chặn) thi ết k ế trong xây dựng để phát hiện và ngăn chặn xâm nhập máy tính trái phép. Cũng có thể hiểu rằng IDS&IPS là một cơ ch ế để bảo v ệ m ạng tin t ưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Qua quá trình tìm hiểu em thấy rằng IDS&IPS là ph ương pháp h ữu hiệu và phổ biến nhất hiện nay do nó có nhiều ưu điểm, cung cấp những tính năng bảo mật tốt cho vấn đề bảo vệ an ninh mạng hiện nay. Trong khuôn khổ bài báo cáo này em xin trình bày về phương pháp bảo m ật m ạng LAN bằng IDS&IPS. 1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập. 1.2.1. Định nghĩa. a). Hệ thống phát hiện xâm nhập (Intrusion Detection System- IDS): Kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin thu thập được từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập. Nếu tường lửa đóng vai trò như nhân viên bảo vệ cơ quan, kiểm tra mọi người đến và đi thì hệ thống kiểm tra xâm nhập giống như có một mạng lưới cảm bi ến đ ể thông báo cho bạn biết khi có ai đó xâm nhập, họ đang ở đâu và làm gì? Tường lửa "án ngữ" ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã v ượt qua được tường lửa, người đó có thể tung hoành tuỳ trên mạng. Ðó là lý do t ại sao hệ thống phát hiện xâm nhập có vai trò quan trọng. Hệ thống phát hiện xâm nhập IDS là hệ thống phần mềm hay phần cứng tự động thực hiện quy trình giám sát các sự kiện di ễn ra trong h ệ thống máy tính hay mạng máy tính, phân tích để phát hi ện ra nh ững v ấn đ ề an ninh cho hệ thống b). Hệ thống phòng chống xâm nhập (Intrusion Prevention System- IPS): Là một tiến trình giám sát các sự kiện xẩy ra trong một hệ thống hoặc mạng máy tính và phân tích chúng để có thể tìm ra các dấu hiệu của sự việc bất thường, đó là những sự vi phạm hay những đe dọa sắp xẩy ra vi phạm tới chính sách an ninh máy tính, chính sách truy cập, hay hoạt 17
  18. Đồ án tốt nghiệp động trái chính sách chuẩn. Những sự việc bất thường đó do nhi ều nguyên nhân như là:Malware (worms, spyware...), kẻ tấn công đạt được sự truy cập trái phép vào hệ thống thông qua Internet, và những người dùng h ợp pháp lạm dụng quyền hay cố gắng thêm vào các quyền mà h ọ không được phép. Mặc dù nhiều sự kiện là do bản chất, một số khác là không ph ải; ví d ụ: một người trong khi đánh sai địa chỉ của một máy tính và tình cờ th ử k ết nối đến một hệ thống không được phép. Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiện các cuộc tấn công và tự đ ộng ngăn ch ặn các cuộc tấn công công nhằm vào điểm yếu của hệ thống 1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS. Hệ thống phát hiện xâm nhập IDS có các chức năng chính sau: a). Phát hiện các nguy cơ tấn công và truy nhập an ninh trái phép. Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDPS, nó có nhiệm vụ xác định những tấn công và truy nhập an ninh trái phép vào h ệ thống mạng bên trong. Hệ thống IDPS có khả năng h ỗ trợ phát hiện các nguy cơ an ninh đe dọa mạng mà các hệ thống khác(nh ư bức t ường lửa) không có khả năng phát hiện, kết hợp với hệ thống ngăn chặn xâm nhập IDPS giúp cho hệ thống chặn đứng, hạn chế các cuộc tấn công, xâm nhập từ bên ngoài. b). Tăng khả năng hiểu biết về những gì đang ho ạt đ ộng trên mạng. IDPS cung cấp khả năng giám sát xâm nhập và khả năng mô tả an ninh để cung cấp kiến thức tổng hợp về nh ững gì đang ch ạy trên m ạng t ừ góc độ ứng dụng cũng như góc độ mạng cùng với khả năng liên kết với phân tích, điều tra an ninh nhằm đưa ra các thông tin về hệ thống nhờ đó giúp người quản trị nắm bắt và hiểu rõ những gì đang diễn ra trên mạng. c). Khả năng cảnh báo và hỗ trợ ngăn chặn tấn công. IDPS có thể hoạt động trong các chế độ làm việc của một thiết bị giám sát thụ động (sniffer mode) hỗ trợ cho các thiết bị giám sát chủ động hay nh ư là m ột thiết bị ngăn chặn chủ động (khả năng loại bỏ lưu lượng khả nghi). ID PS sẽ hỗ trợ cho các hệ thống an ninh đưa ra các quyết định v ề l ưu l ượng d ựa trên địa chỉ IP hoặc cổng của nguồn thông tin cũng nh ư là đặc tính c ủa t ấn 18
  19. Đồ án tốt nghiệp công ví dụ như mẫu tấn công hoặc bất thường về giao thức hoặc lưu lượng tương tác đến từ những máy chủ không hợp lệ. IDS còn có thể cảnh báo và ghi chép các biến cố cũng như thực hiện bắt giữ gói lưu lượng khi phát hiện tấn công để cung cấp cho nhà quản trị m ạng các thông tin đ ể phân tích và điều tra các biến cố. Ngay sau khi các phép phân tích và điều tra được thực hiện, một quy tắc loại bỏ lưu lượng sẽ đ ược đưa ra dựa trên kết quả phân tích, điều tra đó. Chính tổ hợp của những thuộc tính và kh ả năng này cung cấp cho nhà quản trị mạng khả năng tích hợp IDPS vào mạng và tăng cường an ninh đến một mức độ mà trước đây không th ể đ ạt đến bằng các biện pháp đơn lẻ như bức tường lửa. 1.2.3. Những ưu điểm và hạn chế của hệ thống. a). Ưu điểm. Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nh ập từ bên trong cũng như bên ngoài hệ thống. Những thông tin hệ thống IDPS cung cấp sẽ giúp chúng ta xác định phương thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc đề ra các phương án phòng chống các kiểu tấn công tương tự xảy ra trong tư ơng lai b). Hạn chế. Bên cạnh những ưu điểm, hệ thống phát hiện xâm nhập IDS vẫn còn tồn tại những mặt hạn chế: Hệ thống IDPS là một hệ thống giám sát thụ động, cơ chế ngăn chặn các cuộc tấn công, xâm nhập trái phép rất hạn ch ế như gửi tin báo cho tường lửa để chặn các gói lưu l ượng kế tiếp xuất phát từ địa chỉ IP của nguồn tấn công. Do vậy, hệ thống IDPS th ường đi kèm với hệ thống bức tường lửa. Phần lớn, hệ thống IDPS sẽ đ ưa ra các cảnh báo khi các cuộc tấn công, xâm nhập đã ảnh hưởng tới hệ thống do đó sẽ không hiệu quả trong việc ngăn chặn các cuộc tấn công. 1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập. 1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS. Hệ thống phát hiện xâm nhập có thể được chia làm hai loại chính sau đây:Hệ thống phát hiện xâm nhập trên máy trạm, hệ th ống phát hi ện xâm nhập trên mạng. 19
  20. Đồ án tốt nghiệp a). Hệ thống phát hiện và phát hiện và phòng chống xâm nh ập trên máy trạm(Host-based Instrusion Detection System-HIDS). Hình 5: Hệ thống phát hiện xâm nhập dựa máy trạm. Hệ thống HIDS thực hiện thu thập các thông tin t ừ m ột h ệ th ống máy tính riêng biệt, từ đó thực hiện phân tích các hoạt đ ộng di ễn ra trên máy trạm. Ưu điểm của HIDS là có khả năng giám sát các tiến trình c ủa h ệ điều hành chạy trên máy trạm và bảo vệ các nguồn tài nguyên quan trọng của hệ thống như một số tệp dữ liệu cực kỳ quan trọng chỉ lưu trên một số máy trạm. b). Hệ thống phát hiện xâm nhập trên mạng (Network–based Instrusion Detection System–NIDS). NIDS sử dụng, triển khai các thiết bị theo dõi đ ược gọi là bộ cảm ứng (Sensor) để giám sát các lưu lượng và hoạt động trong một khu vực mạng. Các bộ cảm ứng này sẽ kiểm tra các gói tin và nội dung bên trong nó để xác định sự tấn công 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2