Tóm tắt luận văn Thạc sĩ: Nghiên cứu triển khai hệ thống phát hiện và phòng chống xâm nhập IDS/IPS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------

Nguyễn Phương Thực

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS

Chuyên ngành: Hệ Thống Thông Tin

Mã số: 60.48.01.04

TP. HÀ NỘI - 2013

TÓM TẮT LUẬN VĂN THẠC SĨ

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS. Nguyễn Thành Phúc

(Ghi rõ học hàm, học vị)

Phản biện 1: ……………………………………………………………………………

Phản biện 2: …………………………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công

nghệ Bưu chính Viễn thông

Vào lúc:

....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

LỜI CẢM ƠN

Tôi xin chân thành cảm ơn quý thầy cô cùng Ban giám

hiệu nhà trường, các thầy cô trong khoa Công nghệ Thông tin

đã cho tôi những kiến thức nền tảng trong những năm học tại

trường.

Đặc biệt tôi xin bày tỏ sự biết ơn sâu sắc tới TS. Nguyễn

Thành Phúc – Cục trưởng Cục Ứng dụng công nghệ thông tin –

Bộ Thông tin và Truyền thông đã luôn tận tình hướng dẫn và

tạo nhiều điệu kiện tốt nhất để tôi hoàn thành luận văn.

Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, những người

đã sinh thành và dạy bảo con trưởng thành như ngày hôm nay.

Những người đã luôn hết lòng tận tụy chăm sóc, ủng hộ và

động viên con trong suốt thời gian học tập và nghiên cứu.

Mặc dù tôi đã nghiêm túc và cố gắng hoàn tất đề tài

nhưng chắn chắn sẽ không tránh khỏi những thiếu sót, kính mong sự thông cảm và góp ý giúp đỡ của quý thầy cô và các

bạn.

Nguyễn Phương Thực

LỜI CAM ĐOAN

Tôi cam đoan luận văn này là công trình nghiên cứu của

riêng tôi. kết quả đạt được trong luận văn là sản phẩm của riêng

cá nhân, không sao chép lại của người khác. Các số liệu, kết

quả nêu trong luận văn là trung thực.

Luận văn này chưa từng được ai công bố trong bất kỳ

công trình nào khác.

Nếu sai tôi xin chịu hoàn toàn trách nhiệm.

Tác giả luận văn

Nguyễn Phương Thực

MỞ ĐẦU ........................................................................................ 6

1.1 Hiện trạng về an ninh mạng ................................................. 1 1.1.1 Hiện trạng về an ninh mạng trong nước .................. 1 1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam.. 2

1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ ............................................................ 2 1.2.1 Sự cần thiết phải có an ninh mạng ........................... 2 1.2.2 Các yếu tố cần bảo vệ .............................................. 2 1.2.3 Mô hình phòng vệ theo chiều sâu: ........................... 3 1.3 Chính sách an toàn, an ninh mạng ....................................... 3 1.3.1 Khái niệm chính sách an ninh mạng ........................ 3 1.3.2 Cấu trúc an toàn, an ninh mạng ............................... 3 1.3.3 Chính sách an toàn, an ninh mạng ........................... 3 1.4 Phương pháp phát hiện và phòng chống xâm nhập ............ 4 1.4.1 Xác định mối đe dọa ................................................ 4 1.4.2 Phương pháp phòng chống xâm nhập: ..................... 4

Chương 2 - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS ............................... 6

2.1 IDS ........................................................................................... 6

2.1.1 Khái niệm ................................................................. 6 2.1.3 Công nghệ ................................................................ 8 2.1.4 Phân loại ................................................................... 9 2.2 IPS ........................................................................................ 9 2.2.2 Ưu nhược điểm ......................................................... 9 2.2.3 Công nghệ ................................................................ 10 2.2.4 Phân loại ................................................................... 10 2.3 So sánh IDS và IPS .............................................................. 10 2.3.1 Sự giống nhau .......................................................... 10 2.3.2 Sự khác nhau ............................................................ 11

MỤC LỤC

2.4 Phương pháp phát hiện xâm nhập ........................................ 12 2.4.1 Phát hiện dấu hiệu không bình thường .................... 12 2.4.2 Phát hiện dựa theo hành vi bất thường..................... 12 2.4.3 Phát hiện dấu hiệu có hành vi xấu ........................... 13 2.4.4 Phát hiện dựa vào tương quan các mấu tham số ...... 13 2.5 Một số giải pháp IDS/IPS thương mại ................................ 13 2.5.1 Giải pháp của Cisco ................................................. 13 2.5.2 Giải pháp của ISS Proventia .................................... 13 2.5.3 Giải pháp của NFR ................................................... 14

Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS .......................................................................... 14

3.1 Giới thiệu kiến trúc hệ thống ............................................... 14 3.1.1 Kiến trúc chung của các hệ thống IPS ..................... 14 3.2 Các yêu cầu triển khai .......................................................... 14 3.2.1 Các yêu cầu về bảo mật ............................................ 14 3.2.2 Yêu cầu về phần cứng, phần mềm ........................... 15 3.3 Xây dựng mô hình mạng thử nghiệm .................................. 16 3.3.1 Thiết kế mô hình mạng thử nghiệm ......................... 16 3.3.2 Triển khai cài đặt ...................................................... 16 3.3.3 Triển khai cấu hình: ................................................. 16 3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo mật ..................................................................................... 17 3.4 Tùy chỉnh các tham số phòng chống tấn công..................... 20 3.4.1 Điều chỉnh tham số cảnh báo ................................... 20 3.4.2 Tùy chỉnh custom atomic signature ......................... 20 3.4.3 Tùy chỉnh custom stream signature ......................... 22 3.4.4 Tùy chỉnh custom http signature .............................. 22 3.5 Đánh giá kết quả thử nghiệm ............................................... 22 3.5.1 Kết quả đạt được ...................................................... 22 3.5.2 Nhận xét và đánh giá ................................................ 23 3.5.3 Định hướng nghiên cứu ............................................ 24

DANH MỤC TÀI LIỆU THAM KHẢO ....................................... 25

DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT

Nghĩa tiếng Anh Nghĩa tiếng Việt Chữ viết tắt

IPS

IDS Intrusion Prevention System Intrusion Detection System Hệ thống ngăn chặn xâm nhập Hệ thống phát hiện xâm nhập

CNTT Công nghệ thông tin

Hệ thống bảo mật mạng ISS Internet Security Systems

DMZ Demilitarized Zone Vùng phi quân sự

ISP Nhà cung cấp dịch vụ Internet

Tổ chức tiêu chuẩn quốc tế ISO Internet Service Provider Internation Standard Organization

LAN Local Area Network Mạng cục bộ

TCP Transmission Control Protocol Giao thức kiểm soát truyền tin

MỞ ĐẦU

Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ

biến trong hầu hết các hoạt động kinh tế xã hội. Cùng với sự

phát triển đó, ngày càng xuất hiện nhiều hơn những cá nhân,

nhóm hoặc thậm chí là cả những tổ chức hoạt động với những

mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ

thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và

bảo mật thông tin trên các hệ thống này.

Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá

nhân cũng như các cơ quan, tổ chức phải kết nối mạng Internet

toàn cầu. An toàn và bảo mật thông tin là một trong những vấn

đề quan trọng hàng đầu khi thực hiện kết nối Internet. Tuy

nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ

chức bị đánh cắp thông tin… gây nên những hậu quả vô cùng

nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy

tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các

cuộc tấn công không được báo trước, số lượng các vụ tấn công

tăng lên nhanh chóng và các phương pháp tấn công cũng liên

tục được hoàn thiện. Vì vậy việc kết nối một máy tính vào

mạng nội bộ cũng như vào mạng Internet cần phải có các biện

pháp đảm bảo an toàn thông tin.

Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên

phải đối mặt trên môi trường Internet em đã quyết định chọn đề

tài: Nghiên cứu, triển khai hệ thống phát hiện và phòng

chống xâm nhập IDS/IPS.

Nội dung chính của luận văn gồm 3 chương như sau:

Chương 1: Tổng quan về an ninh mạng máy tính

Chương 2: Hệ thống phát hiện và phòng chống xâm nhập

IDS/IPS

Chương 3: Triển khai và đánh giá thử nghiệm giải pháp

Cisco IPS

1 Chương 1 - Chương 1- TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH

1.1 Hiện trạng về an ninh mạng

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ

thống thông tin đóng một vai trò hết sức quan trọng. Thông tin

chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có

tính bảo mật khi chỉ có những người được phép nắm giữ thông

tin biết được nó. Khi ta chưa có thông tin, hoặc việc sử dụng hệ

thống thông tin chưa phải là phương tiện duy nhất trong quản

lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem

thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của

tính bền hệ thống và giá trị đích thực của thông tin đang có thì

chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống

thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ

thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần

mềm và con người.

1.1.1 Hiện trạng về an ninh mạng trong nước

Trong những năm qua, dưới sự lãnh đạo và điều hành của

Chính phủ, lĩnh vực CNTT đã không ngừng phát triển góp phần

thúc đẩy sự phát triển của kết cấu hạ tầng đóng góp tích cực

vào sự phát triển kinh tế - xã hội. Mặc dù kinh tế có nhiều khó

khăn do chịu ảnh hưởng của cuộc khủng hoảng kinh tế toàn

2 cầu, lĩnh vực CNTT vẫn tiếp tục phát triển và đạt được nhiều

thành tựu quan trọng.

1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam

Hệ thống quản lý an toàn thông tin tại Việt Nam hiện nay

còn rất yếu kém thể hiện ở tỉ lệ các đơn vị có cán bộ chuyên

trách, bán chuyên trách về an toàn thông tin chỉ chiếm gần

70%. Trong khi đó tỉ lệ đơn vị có kế hoạch đào tạo an toàn

thông tin chiếm khoảng 60%. Đặc biệt tỉ lệ đơn vị mua bảo

hiểm đề phòng thiệt hại do bị tấn công máy tính vô cùng ít chỉ

có 11.6 %.

1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ

1.2.1 Sự cần thiết phải có an ninh mạng

Để thấy được tầm quan trọng của việc đảm bảo an ninh

mạng ta tìm hiểu các tác động của việc mất an ninh mạng và từ

đó đưa ra các yếu tố cần bảo vệ.

Các lớp an ninh trên mạng có nghĩa là thông tin có giá trị

mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với

bạn và được bảo vệ trước các tấn công. .

1.2.2 Các yếu tố cần bảo vệ

- Dữ liệu, Hệ thống, Đường truyền,

3

1.2.3 Mô hình phòng vệ theo chiều sâu:

1.2.3.1 Giới thiệu 1.2.3.2 Bảo vệ vành đai 1.2.3.3 Bảo vệ mạng 1.2.3.4 Bảo vệ máy chủ 1.2.3.5 Bảo vệ ứng dụng 1.2.3.6 Bảo vệ dữ liệu

1.3 Chính sách an toàn, an ninh mạng

1.3.1 Khái niệm chính sách an ninh mạng

Chính sách an ninh mạng là những nội dung, kế hoạch đã

được nghiên cứu tổng hợp rất kỹ để đánh giá mức độ an toàn

của hệ thống mạng.

1.3.2 Cấu trúc an toàn, an ninh mạng

Kiến trúc an ninh OSI rất hữu ích để quản lý như một

cách thức tổ chức công tác đảm bảo an ninh.

Kiến trúc an ninh OSI tập trung vào các cuộc tấn công an

ninh, cơ chế, và dịch vụ.

1.3.3 Chính sách an toàn, an ninh mạng

Các chính sách bảo mật là một mô tả hành vi mong

muốn. chính sách này có thể tham khảo các yêu cầu về bảo mật,

tính toàn vẹn, và sẵn có… Một chính sách bảo mật là các quy

4 tắc và thực hành cụ thể của quy định như thế nào một hệ thống

hoặc tổ chức cung cấp dịch vụ an ninh để bảo vệ tài nguyên hệ

thống nhạy cảm và quan trọng. một chính sách bảo mật được

thực thi bởi các hệ thống kỹ thuật quảng cáo kiểm soát cũng

như quản lý và kiểm soát hoạt động..

1.4 Phương pháp phát hiện và phòng chống xâm nhập

1.4.1 Xác định mối đe dọa

1.4.1.1 Mối đe dọa không cấu trúc 1.4.1.2 Xác định mối đe dọa có cấu trúc 1.4.1.3 Xác định mối đe dọa từ bên ngoài 1.4.1.4 Xác định mối đe dọa từ bên trong 1.4.2 Phương pháp phòng chống xâm nhập:

1.4.2.1 Reconnaissance Attacks

Các cuộc tấn công do thám liên quan đến việc khám phá

trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ

hổng. Reconnaissance Attacks thường sử dụng bắt gói tin và

máy quét cổng tương tự như một tên trộm khảo sát một khu phố

tìm gia đình mất cảnh giác để đột nhập vào, chẳng hạn như một

nơi cư trú trống hoặc một ngôi nhà với một cánh cửa dễ mở.

Reconnaissance Attacks có thể được giảm nhẹ bằng nhiều cách:

Sử dụng xác thực là một lựa chọn đầu tiên trong việc

5 phòng chống bắt các gói tin. Xác thực là một phương pháp

chứng thực người dùng có thể không dễ dàng bị phá vỡ . Một

mật khẩu một lần (OTP) là một hình thức xác thực mạnh. Xác

thực hai yếu tố kết hợp như một thẻ token với một mã PIN.

Mã hóa cũng có hiệu quả để giảm thiểu các cuộc tấn công

gói bắt các gói tin. Nếu gói tin được mã hóa thì dữ liệu bị bắt là

không thể đọc được.

Đặc biệt sử dụng một IPS và tường lửa có thể giới hạn

những thông tin mà có thể được phát hiện với một máy quét

cổng. Quét kết nối có thể được dừng lại nếu ICMP echo và

echo- reply được tắt trên bộ định tuyến biên. Tuy nhiên, khi các

dịch vụ này được tắt, chẩn đoán mạng dữ liệu gặp nhiều khó

khăn. Ngoài ra, cổng quét có thể chạy mà không cần quét đầy

đủ, chỉ đơn giản là mất nhiều thời gian vì các địa chỉ IP không

hoạt động cũng được quét.

1.4.2.2 Access Attacks

Một số lượng đáng ngạc nhiên của các cuộc tấn công truy cập

được thực hiện thông qua đoán mật khẩu đơn. Việc sử dụng các giao thức xác thực mã hóa hoặc băm, cùng với một chính sách mật khẩu mạnh, làm giảm đáng kể khả năng tấn công truy cập thành công. Có những hoạt động cụ thể giúp để đảm bảo một chính sách mật khẩu mạnh:

6 Vô hiệu hóa tài khoản sau khi một số cụ thể của thông tin đăng nhập không thành công. Việc này cũng giúp phòng chống nỗ

lực mật khẩu liên tục. Không sử dụng mật khẩu chữ thô. Sử dụng hoặc một mật khẩu một lần (OTP) hoặc mật khẩu mã

hóa. Sử dụng mật khẩu mạnh. Mật khẩu mạnh ít nhất tám ký tự và có chữ hoa, chữ thường, số và các ký tự đặc biệt.

1.4.2.1 Denial of Service Attacks

Để giảm thiểu tấn công DDoS đòi hỏi phải chẩn đoán cẩn

thận, lập kế hoạch, và hợp tác từ các ISP.

Các yếu tố quan trọng nhất để giảm đối với cuộc tấn công

DoS là bức tường lửa và IPSS. Cả hai IPSS dựa trên máy chủ

và dựa trên mạng được khuyến khích.

Sử dụng công nghệ antispoofing, chẳng hạn như bảo mật

cổng, DHCP snooping, địa chỉ IP nguồn Guard, Dynamic ARP

Thanh tra, và ACL.

Chương 2 - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS

2.1 IDS

2.1.1 Khái niệm 2.1.2 Ưu nhược điểm

2.1.2.1 Ưu nhược điểm của Network Base IDS

 Lợi thế của Network-Based IDSs:

7

- Quản lý được cả một network segment (gồm nhiều host)

- Trong suốt với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mô hình

OSI)

- Độc lập với OS

 Hạn chế của Network-Based IDSs:

- Có thể xảy ra trường hợp báo động giả (false positive), tức

không có intrusion mà NIDS báo là có intrusion.

- Không thể phân tích các traffic đã được encrypt (vd: SSL,

SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để

thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo

động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.

2.1.2.2 Ưu nhược điểm của Host Based IDS

 Lợi thế của HIDS:

- Có khả năng xác đinh user liên quan tới một event.

8

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra

trên một máy, NIDS không có khả năng này.

- Có thể phân tích các dữ liệu mã hoá.

- Cung cấp các thông tin về host trong lúc cuộc tấn công

diễn ra trên host này.

 Hạn chế của HIDS:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự

tấn công vào host này thành công.

- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị

"hạ".

- HIDS phải được thiết lập trên từng host cần giám sát .

- HIDS không có khả năng phát hiện các cuộc dò quét

mạng (Nmap, Netcat…).

- HIDS cần tài nguyên trên host để hoạt động.

- HIDS có thể không hiệu quả khi bị DOS.

- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng

đã có 1 số chạy được trên UNIX và những hệ điều hành khác.

2.1.3 Công nghệ

IDS phát triển đa dạng trong cả phần mềm và phần cứng

,mục đích chung của IDS là quan sát các sự kiện trên hệ thống

9 mạng và thông báo cho nhà quản trị viên biết về an ninh của sự

kiện cảm biến được cho là đáng báo động.

 Hệ thống phát hiện xâm nhập cứng(cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có

nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám

sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền

tảng cảm biến sau đây:

2.1.4 Phân loại

2.1.4.1 Network Based IDS 2.1.4.2 Host Based IDS 2.1.4.3 Application Based IDS 2.1.4.4 Signature Based IDS 2.1.4.5 Statistical Anomaly Based IDS

2.2 IPS

2.2.1 Khái niệm

Hệ thống IPS (intrusion prevention system) là một kỹ

thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall

với hệ thống phát hiện xâm nhập IDS (intrusion detection

system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công

và tự động ngăn chặn các cuộc tấn công đó.

2.2.2 Ưu nhược điểm

2.2.2.1 Phát hiện sự bất thường

10

2.2.2.2 Kiểm tra lạm phát 2.2.2.3 Kiểm tra các chính sách 2.2.2.4 Phân tích giao thức

2.2.3 Công nghệ

Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng

mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm

nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của

hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện,

IDS cung cấp khả năng cho việc phòng chống trong tương lai

với các hoạt động xâm nhập từ các máy chủ nghi ngờ.

 Hệ thống phát hiện xâm nhập mềm

Cũng tương tự như trong phần công nghệ của IDS

 Hệ thống phát hiện xâm nhập cứng(cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có

nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám

sát hoạt động xâm nhập cho hệ thống.

2.2.4 Phân loại

2.2.4.1 IPS ngoài luồng(Promiscuous Mode IPS) 2.2.4.2 IPS trong luồng (In-line IPS)

2.3 So sánh IDS và IPS 2.3.1 Sự giống nhau

11

Đều là hệ thống phát hiện xâm nhập dùng hệ thống phần

cứng hoặc phần mềm có chức năng tự động theo dõi các sự

kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra

các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn

công, đột nhập vào các hệ thống máy tính, mạng ngày càng

tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng

và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý

tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ

thành phần nào của môi trường được bảo vệ sẽ bị làm chệch

hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền

cao nhất”, các Hệ thống Ngăn ngừa Xâm nhập có thể bắt lấy

bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định

có chủ ý: liệu đây có phải là một cuộc tấn công hay một sự sử

dụng hợp pháp? Sau đó thực hiện hành động thích hợp để hoàn

thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu

cầu có hạn định cho các giải pháp phát hiện hay giám sát xâm

nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị

ngăn chặn.

2.3.2 Sự khác nhau

Sự khác nhau chính là ở IPS. IPS có thêm chức năng là

chống lại các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt

ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong

mạng kiến trúc chung của các hệ thống IPS. Một hệ thống IPS

12 có thể: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý,

phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn

thành công và chính sách quản lý mềm dẻo.

2.4 Phương pháp phát hiện xâm nhập

2.4.1 Phát hiện dấu hiệu không bình thường

Hệ thống phát hiện xâm nhập phải có khả năng phân biệt

giữa các hoạt động thông thường của người dùng và hoạt động

bất thường để tìm ra được các tấn công nguy hiểm kịp thời.

Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ

thống người dùng hoàn chỉnh) trong một quyết định liên quan

đến bảo mật phù hợp thường không đơn giản, nhiều hành vi

không được dự định trước và không rõ ràng. Để phân loại các

hành động, IDS phải lợi dụng phương pháp phát hiện dị

thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công…

một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu

hiệu) cũng được gọi là kiến thức cơ bản.

2.4.2 Phát hiện dựa theo hành vi bất thường

Căn cứ vào các phương pháp thống kê và kinh nghiệm để

đưa ra các mức ngưỡng về hoạt động bình thường.

So sánh các sự kiện quan sát được với giá trị ngưỡng bình

thường tương ứng để phát hiện xâm nhập

13

2.4.3 Phát hiện dấu hiệu có hành vi xấu

Thông tin xử lý hệ thống trong các hành vi bất thường và

không an toàn (dấu hiệu tấn công dựa vào các hệ thống) thường

được sử dụng trong các hệ thống phát hiện xâm nhập thời gian

thực (vì sự phức tạp trong tính toán của chúng không cao).

2.4.4 Phát hiện dựa vào tương quan các mấu tham số

Phương pháp phát hiện xâm nhập khá khôn ngoan hơn

các phương pháp trước. Nó được sinh ra do nhu cầu thực tế

rằng, các quản trị viên kiểm tra các hệ thống khác nhau và các

thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật).

Thông tin đạt được trong cách này có một môi trường cụ thể

không thay đổi.

2.5 Một số giải pháp IDS/IPS thương mại

IDS/IPS thương mại có các giải pháp của Cisco,

Checkpoint, IBM, Proventia như là: Cisco IPS 4215,

Checkpoint IPS R70, IBM IPS GX7800, Proventia G200. Các

sản phẩm này dựa trên công nghệ Internet Security Systems là

một hệ thống phòng chống xâm nhập nội tuyến (IPS), nó tự

động phòng chống các tấn công có tính nguy hại trong khi vẫn

đảm bảo băng thông cho đường truyền.

2.5.1 Giải pháp của Cisco 2.5.2 Giải pháp của ISS Proventia

14

2.5.3 Giải pháp của NFR Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS

3.1 Giới thiệu kiến trúc hệ thống

3.1.1 Kiến trúc chung của các hệ thống IPS 3.1.1.1 Module phân tích luồng dữ liệu 3.1.1.2 Modul phát hiện tấn công 3.1.1.3 Modul phản ứng

3.2 Các yêu cầu triển khai

Dựa trên phạm vi và yêu cầu nghiên cứu đề xuất chọn

giải pháp sản phẩm IPS 2415 của Cisco để triển khai đánh giá

thử nghiệm.

3.2.1 Các yêu cầu về bảo mật 3.2.1.1 Bảo mật thông tin

Trải qua nhiều thế kỷ, hàng loạt các giao thức và cơ chế

đã được tạo ra nhằm đáp ứng nhu cầu an toàn và bảo mật thông

tin. Các phương pháp truyền thống được cung cấp bởi các cơ

chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các

tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng

các tài liệu mật đó.

Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn

15 trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác

như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật

trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….

3.2.1.2 Tấn công từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết

tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán

(tấn công DDoS - Viết tắt của Distributed Denial of Service) là

một nỗ lực làm cho những người dùng không thể sử dụng tài

nguyên của một máy.

3.2.1.3 Xâm nhập qua Trojan

Thuật ngữ Trojan ý chỉ con ngựa gỗ được người Hy Lạp

sử dụng để đột nhập vào đánh chiếm thành Troy. Theo định

nghĩa truyền thống, Trojan là chương trình giả dạng phần mềm

hợp pháp nhưng khi khởi động sẽ gây hại cho máy tính. Trojan

không thể tự động lây lan qua máy tính, đây cũng là đặc tính để

phân biệt chúng với virus và sâu máy tính.

3.2.1.4 Xâm nhập qua lỗ hổng bảo mật

Việc đảm bảo máy tính của bạn hoạt động tốt và an toàn

là bước khởi đầu rất quan trọng tiến tới một hệ thống an ninh

tốt hơn.

3.2.2 Yêu cầu về phần cứng, phần mềm

16

- Yêu cầu về phần cứng: Máy tính

- Yêu cầu về phần mềm: VmWare 7.0, ASDM, IPS 4215,

JRE 6.33

3.3 Xây dựng mô hình mạng thử nghiệm

3.3.1 Thiết kế mô hình mạng thử nghiệm 3.3.2 Triển khai cài đặt

- Cài đặt phần mềm VMware 7.0 để làm môi trường giả

lập cho server và thiết bị Cisco IPS 4215.

- Cài đặt Cisco IPS 4215 trong VMware để triển khai hệ

thống ngăn chặn và phòng chống xâm nhập sử dụng IPS.

- Cài đặt Cisco ASDM 6.0 để cầu hình Cisco IPS 4215

bằng giao diện.

- Cài đặt Java Runtime Environment 6.33 để hỗ trợ cấu

hình bằng giao diện.

3.3.3 Triển khai cấu hình:

3.3.3.1 Cấu hình cơ bản IDS 4215

- Định nghĩa hostname: ips(config-host-net)# host-name

IPS4215-BCVT

- Cấu hình địa chỉ IP cho thiết bị:

- Cấu địa chỉ được phép truy cập vào thiết bị:

17

3.3.3.2 Cấu hình tính năng giám sát

- Thực hiện cấu hình tính năng IDS và giám sát những

cảnh báo để nhận biết những dấu hiệu tấn công.

- Mặc định cổng Monitor bị Disable. Enable trong

Interface Configuration để kích hoạt tính năng giám sát cho

Interface.

3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo mật

Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã

được cài đặt đồng thời gửi một thông báo về cuộc tấn công.

Thông báo được hiển thị tại màn hình alert của giao diện web.

Ngoài ra, thông báo có thể gửi qua mail cho người quản trị

trong trường hợp cần thiết.

Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ

này sẽ được thể hiện trong thông báo Alerts khi phát hiện tấn

công (tương ứng với mức low, medium, high). Ta có thể đặt

các tùy chọn phản ứng khi phát hiện tấn công như block để

phòng chống tấn công xảy ra, log để ghi lại ra một file log,

email để gửi mail thông báo, quarantine để cách ly địa chỉ gây

ra tấn công…

3.3.4.1 Phòng chống các hình thức thu thập thông tin

18

Tường lửa có thể phòng chống được một số hình thức thu

thập thông tin như ping (để dò xem hệ thống bảo vệ có tồn tại

hay không) bằng cách cấm gói tin ICMP. Có thể phòng chống

ftp, telnet, trace route bằng cách cấm cổng. Với thiết bị IPS

4215, tất cả những hành động này đều bị phát hiện và có thể bị

ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn

mạng và tra xét theo từng dấu hiệu, không chỉ khuôn dạng gói

tin mà nội dung gói tin hay giao thức gửi nó cũng được kiểm

tra. Do vậy hiện nay hầu như chưa có một cách thức nào để

vượt qua được thiết bị này mà không bị lưu vết.

3.3.4.2 Phòng chống tấn công DoS

IPS 4215 Security Events cài đặt sẵn khả năng phòng

chống rất nhiều cách thức tấn công DoS. Để kích hoạt khả năng

phòng chống một loại tấn công nào, ta chỉ cần đánh dấu vào cột

Enable cho các kiểu tấn công tương ứng. Ta sẽ đánh dấu với tấn

công SYN flood.

Dựa trên cách thức hoạt động của tấn công SYNFlood có

thể dễ dàng phát hiện các gói tin SYN mà không có gói biên

nhận ACK tương ứng. Có thể khắc phục bằng cách gửi lại một

gói tin RST yêu cầu khởi động lại kết nối. Kết quả là tài nguyên

bị chiếm dụng sẽ được giải phóng.

Với Network IPS 4215, dấu hiệu một cuộc tấn công

19 SYNFlood được phát hiện bằng cách giám sát số lượng và tỉ lệ

gói SYN mà một server nhận được nhưng lại không có biên

nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai

tham số để định nghĩa số yêu cầu kết nối mới và thời gian

timeout.

Cả tấn công SYNFlood và smurf attack (ping sweep) đều

được ips phát hiện và phòng chống.

3.3.4.3 Phòng chống xâm nhập qua Trojan

Dựa trên những lưu thông TCP mà phía client của trojan

gây ra (ví dụ như yêu cầu kết nối tới cổng 6666), phía client

của trojan này sẽ bị chặn và không thể gửi được các tín hiệu

điều khiển tới cho phía máy bị nhiễm.

Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu

đặt tùy chọn quarantine trong cấu hình IPS. Do cơ chế trong

suốt của thiết bị IPS, kẻ tấn công không hề biết tại sao trojan

cài bên phía máy nạn nhân không hoạt động.

3.3.4.4 Phòng chống xâm nhập qua lỗ hổng bảo mật

Dấu hiệu của việc tấn công này là sử dụng MSRPC để

thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền điều khiển

máy. IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác

định việc tấn công vào lỗ hổng MSRPC.

20

Security event của IPS để chống MSRPC.

3.4 Tùy chỉnh các tham số phòng chống tấn công

3.4.1 Điều chỉnh tham số cảnh báo 3.4.1.1 Mô tả yêu cầu tùy chỉnh

Cấu hình Sig ID 2004 cho biết sự vi phạm sảy ra khi nhận

2 gói icmpEcho Request trong khoảng thời gian là 30 giây cùng

với địa chỉ IP nguồn và đíc.

- Event Counter: cho biết bao nhiêu lần mà gói echo icmp request nhận thì được xem là vi phạm, trong trường hợp

mặc định tương ứng trong vòng 60 giây.

- Aler Frequency: Xác định mức độ thường xuyên cảnh báo

được tạo

- Summary Mode: cho biết 30 giây sẽ có những trường hợp

sau sảy ra:

 Trong khoảng 60 giây chỉ nhận được một gói ICMP Echo Request thì chỉ tạo duy nhất một cảnh báo trong khoảng 60 giây này.

 Trong khoảng 60 giây nhận từ 2 gói trở lên thì một cảnh báo sẽ được tạo ra, sau đó 30 giây kế tiếp một cảnh báo Summary sẽ được tạo ra để cho biết số lần vi phạm xảy ra 3.4.1.2 Cấu hình

3.4.2 Tùy chỉnh custom atomic signature 3.4.2.1 Mô tả yêu cầu tùy chỉnh

21

- Khi thực hiện cấu hình atomic TCP signature, phải xác

định tham số TCP Mask và TCP Flag. Tham số TCP Mask

dùng để xác định TCP Flag mà ta phải quan tâm. Bất kỳ TCP

Flag mà không có trong TCP Mask thì không là nguyên nhân

làm cho signature kích hoạt.

- Ví dụ: ta chọn tham số TCP Mask bao gồm FIN và

ACK, tham số TCP Flag chỉ bao gồm FIN. Signature sẽ chỉ

kích hoạt dựa vào giá trị của FIN và ACK Flag trong gói (Tất

cả các TCP Flag khác trong gói sẽ được bỏ qua)

- Những trường hợp sảy ra:

- Nếu ACK và FIN Flag tồn tại, Signature sẽ không thực

hiện kích hoạt.

- Nều FIN Flag tồn tại ACK Flag không tồn tại, Signature

sẽ được kích hoạt (bất chấp sự tồn tại của những TCP Flag

khác)

- Nếu FIN Flag không tồn tại, Signature sẽ không được

kích hoạt.

- Mục đích ta muống tùy chỉnh một custom signature

được kích hoạt bởi gói chỉ tồn tại SYN Flag mà không có ACK

Flag, khi truy cập ứng dụng Telnet. Cấu hình Signature với

mức độ nghiêm trọng là High. Cảnh báo nên được tạo ra mỗi

22 lần xảy ra vi phạm. IPS Sensor nên có hành động Deny Packet

Inlin và Produce Alert.

3.4.2.2 Cấu hình

3.4.3 Tùy chỉnh custom stream signature 3.4.3.1 Mô tả yêu cầu tùy chỉnh

Tạo một Signature tùy chọn mà sẽ cho biết sự vi phạm

xảy ra khi gói Telnet (cổng 23) chứa từ “admin” (không phân

biệt chữ hoa chữ thường. IPS Sensor sẽ có hành động Deny

Connection Inline và Produce Alert cho mỗi lần vi phạm.

Cấu hình IPS senso r để chuyển sang Summary Alert nếu

sự vi phạm sảy ra 3 lần trong 60 giây với cùng địa chỉ tấn công.

3.4.3.2 Cấu hình

3.4.4 Tùy chỉnh custom http signature 3.4.4.1 Mô tả yêu cầu tùy chỉnh

Tạo một Signature tùy chọn để kiểm tra sự vi phạm khi

một gói HTTP có chưa từ “attack” trong URL.

Khi vi phạm xảy ra hành động là Produce Alert và Deny

Attacker Service Pair Inline.

3.4.4.2 Cấu hình 3.5 Đánh giá kết quả thử nghiệm

3.5.1 Kết quả đạt được

23

Qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã

biết được tình hình an ninh mạng hiện nay và những yêu cầu

cần thiết để thiết lập và duy trì một hệ thống mạng an toàn.

Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các

chuyên gia và thực hành, em đã nắm vững được các kiến thức

cơ sở và thử nghiệm được các phương pháp phát hiện và cách

phòng chống tấn công một hệ thống.

Hiểu được công nghệ thế giới sử dụng để phòng chống

các hiểm họa an ninh mạng hiện nay, em đã cài đặt và cấu hình

thành công thiết bị Cisco IDS 4215 một thiết bị chuyên dụng về

công nghệ phát hiện và phòng chống xâm nhập. Qua đó em có

thể hiểu được nguyên lý hoạt động chung để có thể cấu hình

các thiết bị tương tự khác.

Em cũng có thể xác định được những khó khăn và hướng

giải quyết khi triển khai hệ thống phòng chống xâm nhập trên

một hệ thống mạng thực tế.

3.5.2 Nhận xét và đánh giá

- Ưu điểm: Sau khi nghiên cứu tìm hiểu công nghệ phòng

chống xâm nhập IDS/IPS qua một trong dòng thiết bị điển hình

của Cisco IDS 4215, em nhận thấy thiết bị này có khả năng

phòng chống được hầu hết các tấn công trong tấm hiểu biết của

các hacker bình thường hiện nay.

24

Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói

tin, thiết bị này có khả năng phòng chống tấn công tốt hơn

nhiều so với tường lửa đơn thuần. Thiết bị này có khả năng cập

nhật các dấu hiệu tấn công mới, vì vậy nó có khả năng phòng

chống được các hình thức tấn công mới. Ngoài ra, nếu người

quản trị hiểu biết sâu rộng về các cách thức tấn công và điểm

yếu trong mạng thì có thể thiết lập các dấu hiệu riêng cho mạng

của mình và mạng đó chắc chắn sẽ khó có thể bị xâm nhập trái

phép.

- Hạn chế: Do sản phẩm và công nghệ đã được đóng gói

sẵn nên không thể thay đổi cấu trúc và nội dung dẫn đến khả

năng phát hiện và phòng chống tấn công hệ thống mạng vẫn

còn thụ động.

3.5.3 Định hướng nghiên cứu

Thông qua kết quả nghiên cứu về các nguy cơ đe dọa

mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm

bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng

khá khó khăn.

Sau khi hoàn thành luận văn, điều em mong muốn trước

tiên là tiếp tục nghiên cứu chi tiết hơn về các cách tấn công

mạng một cách có hệ thống (hoặc một cách toàn diện hơn), để

có thể tùy chỉnh các chính sách riêng biệt cho từng hệ thống

25 mạng, cũng như các biện pháp bảo đảm an ninh mạng có hiệu

quả cao hơn. Sau đó em sẽ nghiên cứu về cách thức phát hiện ra

một lỗ hổng mới trong một hệ thống, đồng thời nghiên cứu

cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi

dụng được nó.

Kết quả nghiên cứu của luận văn này sẽ giúp định hướng

các nghiên cứu sâu hơn về an ninh mạng trong các môi trường

và hệ thống mạng khác sau này.

DANH MỤC TÀI LIỆU THAM KHẢO

A. Tiếng Việt

1. Bùi Nguyễn Hoàng Long (2009), CCSP Labpro – IPS

& CSMARS, NXB Thông Tin và Truyền Thông.

2. Thông tin và Truyền thông (2012), Thông tin và số

liệu thống kê về công nghệ thông tin và truyền thông, 163 trang.

3. Trần Tiến Công (2009), Nghiên cứu triển khai hệ

thống IDS/IPS, Trường Đại học Công nghệ, 76 trang.

4. Vũ Đình Cường (2009), Cách bảo vệ dữ liệu quan

trọng và phương pháp phát hiện thâm nhập, NXB Lao Động

Xã Hội.

5. http://vnpro.org/forum/forumdisplay.php/67-IPS, truy

cập ngày 06/08/2013

26 B. Tiếng Anh

6. The Information Assurance Technology Analysis

Center (IATAC) (2009), Intrusion Detection Systems.

7. http://www.networkcritical.com/Solutions/IDS-IPS.

8. http://www.cisco.com/en/US/docs/security/ips/6.1/con

figuration/guide/cli/cli_setup.html, truy cập ngày 06/08/2013.