An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên tôi đã chọn đề tài “Hệ thống phát hiện xâm nhập IDS – SNORT” để nghiên cứu.
81 trang |
Chia sẻ: luyenbuizn | Lượt xem: 2415 | Lượt tải: 3
Bạn đang xem trước 20 trang nội dung tài liệu Hệ thống phát hiện xâm nhập IDS – SNORT, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
MỤC LỤC
DANH MỤC HÌNH VẼ
Tên Hình Vẽ
Trang
Hình 1.1. Mô hình VPN client to site
11
Hình 1.2. Mô hình VPN site-to-site
11
Hình 1.3. Mô hình tổng quát Firewall
12
Hình 1.4. Hệ thống chống xâm nhập IDS
14
Hình 2.1. Các vị trí đặt IDS trong mạng
17
Hình 2.2. Thành phần của IDS
18
Hình 2.3. Hoạt động của IDS
19
Hình 2.4. Mô hình Network based IDS - NIDS
23
Hình 2.5. Mô hình Host based IDS – HIDS
25
Hình 3.1. Mô hình kiến trúc hệ thống Snort
34
Hình 3.2. Thành phần hệ thống của Snort
34
Hình 3.3. Bộ tiền sử lý
35
Hình 3.4. Bộ phát hiện
37
Hình 3.5. Bộ kết xuất thông tin
38
Hình 3.6. Cấu trúc luật của Snort
40
Hình 3.7. Header của luật Snort
40
Hình 3.8. Mô hình mạng Công Ty Hoàn Mỹ
51
Hình 3.9. Mô hình giải pháp kết hợp IDS
52
Hình 3.10. Mô hình Demo
53
Hình 3.11. Giao diện chính của trang www.snort.org
53
Hình 3.12. Giao diện Download Rules
54
Hình 3.13. Chế độ màn hình đang Setup Snort
54
Hình 3.14. Thư mục Rule
55
Hình 3.15. Thư mục Rule chứa thư mục giải nén trên
55
Hình 3.16. Khai báo biến HOME_NET
56
Hình 3.17. Khai báo biến RULE_PATH
56
Hình 3.18. Khai báo các biến include classification,reference
57
Hình 3.19. Khai báo các biến dynamicpreprocessor và dynamicengine
57
Hình 3.20. Kết quả sau khi thực thi dòng lệnh
58
Hình 3.21. Số card mạng
58
Hình 3.22. Bắt và phân tích gói tin
59
Hình 3.23. Kết quả thu được
59
Hình 3.24. Bắt và lưu gói dữ liệu vào file Log
60
Hình 3.25. Kiểm thử file Log đã ghi lại
60
Hình 3.26. Tạo file text co tên là “”tài liệu bảo mật”
62
Hình 3.27. Viết luật 1) 2) 3)
62
Hình 3.28. Chạy Snort để cập nhật rule vừa khởi tạo
63
Hình 3.29. Truy cập Website ->chọn Bom
63
Hình 3.30. Máy 192.168.1.100 -> 192.168.1.200
64
Hình 3.31. Window server 2003 copy file text “tài liệu bảo mật” về máy
64
Hình 3.32. Kết quả ghi lại khi thực hiện
65
Hình 3.33. Viết luật 3) và 4)
66
Hình 3.34. Vào trình duyêt mp3.zing.vn
66
Hình3.35. Kết quả IDS_Ssnort ghi lại
67
Hình 3.36. Window server 2003 gởi nhiều gói tin
67
Hình 3.37. Kết quả thu được
68
DANH MỤC BẢNG BIỂU
Bảng
Trang
Bảng 1.1. So sánh 2 mô hình phát hiện
28
Bảng 2.1. Một vài dich vụ và port tương ứng
45
DANH MỤC TỪ VIẾT TẮT
IDS
Intrusion Detection System
HIDS
Host – based Intrusion Detection System
NIDS
Network – based Intrusion Detection System
SMTP
Simple Mail Transfer Protocol (giao thuc tuyen tai thu tin)
PIN
Personal Indentification Number
QoS
Quality of Service (chỉ chất lượng dịch vụ)
DoS
Denial of Services
DNS
Domain Name System
VPN
Virtual Private Network
MỞ ĐẦU
LÝ DO CHỌN ĐỀ TÀI
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên tôi đã chọn đề tài “Hệ thống phát hiện xâm nhập IDS – SNORT” để nghiên cứu.
Ý NGHĨA CỦA ĐỀ TÀI
Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS
Xây dựng bản demo về việc phát hiện xâm nhập bằng Snort
ĐỐI TƯỢNG VÀ PHƯƠNG PHÁP NGHIÊN CỨU
Tìm hiểu về bảo mật
Nghiên cứu những phương pháp xâm nhập hệ thống– biện pháp ngăn ngừa
Nghiên cứu về hệ thống phát hiện xâm nhập IDS
Nghiên cứu công cụ IDS – Snort
Xây dựng hệ thống Snort – IDS trên Window
Thu thập tài liệu liên quan đến các vấn đề về đề tài
Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập
CÁC MỤC TIÊU CỦA ĐỀ TÀI
Tìm hiểu thông tin về bảo mật
Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.
Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort.
Tìm hiểu và sử dụng tốt hệ điều hành Window
Tìm hiểu phương pháp và triển khai cài đặt Snort trên Window
Đưa ra một số nhận định và hướng phát triển đề tài.
BỐ CỤC
Nội dung khóa luận tốt nghiệp gồm 3 chương:
Chương I: Tổng quan về bảo mật
Những nguy cơ đe dọa đối với bảo mật.
Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa.
Các giải pháp bảo mật an toàn cho hệ thống.
Chương II: Hệ thống phát hiện xâm nhập IDS
Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS.
Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS.
Cách phát hiện kiểu tấn công thông dụng của IDS.
Chương III: Triển khai ứng dụng dò tìm xâm nhập trên hệ thống Window dựa trên Snort.
Kiến trúc Snort.
Bộ luật Snort.
Demo triển khai
CHƯƠNG I
TỔNG QUAN VỀ BẢO MẬT
GIỚI THIỆU VỀ BẢO MẬT
Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm.
Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật…Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng. Những điều này dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bỗ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng…
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập IDS với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS phù hợp với điều kiện Việt Nam và qua đó ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng..
Khái niệm
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công.
Khái niệm bảo mật thành 3 lĩnh vực chính :
Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers.
Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng.
Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet.
Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin.
Tính an toàn của hệ thống mạng
Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính :
Thông tin - bí mật : Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó.
Thông tin - Toàn vẹn : Thông tin chỉ được điểu khiển (sửa đổi, thay thế v.v…) bởi những người được quyền ủy thác.
Thông tin - sẵn sàng : Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu.
Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau :
Xác thực (Authentication): là các tiền trình xử lý nhằm xác định nhận dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm.
Ủy quyền (Authorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống.
Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập.
Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền.
Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống.
NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐỐI VỚI BẢO MẬT
Theo đánh giá của tổ chức CERT, các nguy cơ an ninh xuất hiện từ khả năng :
Sự lạm dụng của máy tính của các bạn bởi những người làm phiền qua Internet.
Đối mặt thường xuyên khi làm việc trên Internet.
Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không chính thống v.v…
Chính các nguy cơ này làm bộc lỗ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hỗng) mà kẻ xấu có thể lợi dụng để truy cập bất hợp pháp hoặc hợp pháp vào máy tính của bạn. Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống.
Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức độ tác hại hệ thống, do Bộ quốc phòng Mỹ công bố năm 1994.
Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.
Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B.
Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.
Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin như ISS trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.
Tuy nhiên, không phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống.
Dựa vào kẻ hở của các lỗ hỗng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm không chế và nắm quyền kiểm soát trên mạng. Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi và thậm chí phá huỷ dữ liệu hoặc làm treo các hoạt động của một hệ thống thông tin điện tử.Các hacker cũng có thể gài bẫy những người sử dụng thiếu cảnh giác hoặc đánh lừa những hệ thống thông tin kém phòng bị. Chẳng hạn, chúng sưu tầm các địa chỉ email và gửi thư kèm virus đến đó hoặc làm nghẽn tắc mạng bằng cách gửi thật nhiều các bức thư điện tử đến cùng một địa chỉ. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị mạng, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ
CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG – BIỆN PHÁP PHÁT HIỆN VÀ NGĂN NGỪA
Phương thức ăn cắp thông tin bằng Packet Sniffer
Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin bí mật khác trao đổi trong mạng.
Biện pháp phát hiện và ngăn ngừa:
Authentication
Kỹ thuật này được thực hiện bao gồm hai yếu tố: Personal Identification number (PIN) để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không còn giá trị vì hết hạn.
Mã hóa
Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu…
Phương thức tấn công mật khẩu Password attack
Các hacker tấn công password bằng một số phương pháp như: brute – force attack, chương trình Trojan House, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, nhưng hacker lại thường sử dụng brute – force để lấy user account hơn. Tấn công brute – force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và sai” password.
Biện pháp phát hiện và ngăn ngừa:
Phương pháp giảm thiểu tấn công password: giới hạn số lần login sai,đặt password sai.
Cấm truy cập vào thiết bị, server từ xa thông qua các giao thức không an toàn như FTP, Telnet…
Phương thức tấn công bằng Mail Relay
Đây là phương pháp phố biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng, phá hoại hệ thống email khác.
Biện pháp phát hiện và ngăn ngừa:
Giới hạn dung lượng Mail box
Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP
Sử dụng gateway SMTP riêng
Phương thức tấn công hệ thống DNS
DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng.
Biện pháp phát hiện và ngăn ngừa:
Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
Cài đặt hệ thống IDS Host cho hệ thống DNS
Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS
Phương thức tấn công Man-in-the-middle attack
Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gởi các tín hiệu RF mạnh hơn AP hợp pháp đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, và lúc này thì hacker toàn quyền sử lý. Tấn công dạng này được thực hiện nhờ một packet sniffer.
Biện pháp phát hiện và ngăn ngừa:
Tấn công dạng này có thể hạn chế bằng cách mã hóa dữ liệu được gửi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
Phương thức tấn công để thăm dò mạng
Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan.
Biện pháp phát hiện và ngăn ngừa:
Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được ping sweep, nhưng lại nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng
Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25…
Biện pháp phát hiện và ngăn ngừa:
Lưu lại file log, và thường xuyên phân tích file log.
Luôn cập nhật các patch cho OS và các ứng dụng.
Dùng IDS, có 2 loại IDS: HIDS, NIDS.
Phương thức tấn công Virus và Trojan Horse
Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house.
Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó.
Trojan house thì hoạt động khác hơn. Một ví dụ về Trojan house là một phần mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation. Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.
Biện pháp phát hiện và ngăn ngừa:
Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới.
CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG
Bảo mật VPN (Virtual Private Network)
Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa thích. VPN cho phép kết nối với những người dùng ở xa, các văn phòng chi nhánh của bộ, công ty và các đối tác đang sử dụng một mạng công cộng.
Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Định đường hầm cho phép những giao thức như IPX, Apple Talk và IP được mã hóa sau đó đóng gói trong IP…
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS-Quality of Service), là một thuật ngữ dùng để chỉ chất lượng của một hệ thống truyền thông hay một kết nối truyền thông trong mạng.
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
Ưu điểm của VPN
Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền. Truy cập mọi lúc mọi nơi.
Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ.
Giảm chi phí quản lý và hỗ trợ: với qui mô kinh tế, các nhà cung cấp dịch vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị so với việc tự quản lý mạng.
Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và VPN điểm nối điểm (site-to-site).
VPN truy cập từ xa (Remote-Access)
Hình 1.1. Mô hình VPN client to site
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa
VPN điểm nối điềm (site-to-site)
Hình 1.2. Mô hình VPN site-to-site
VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet.
Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN.
Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với công ty khác (ví dụ như đối tác cung cấp, khách hàng…)họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Firewall
Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia. Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được thiết lập.
Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống.
Hình 1.3. Mô hình tổng quát Firewall
Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin…
Các thành phần của Firewall: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau:
Bộ lọc packet.
Cổng ứng dụng
Cổng mạch
Bộ lọc gói tin
Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng.
Hạn chế
Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên môi trường.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống. Có hai dạng chính đó là: Network bases –IDS và Host based – IDS.
IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của sự kiện cảm biến được cho là đáng báo động.
Hình 1.4. Hệ thống chống xâm nhập IDS
Hệ thống phát hiện xâm nhập phần mềm (Snort)
Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yếu cầu để có thể cài đặt Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh báo, một máy chủ khá mạnh. Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất. Snort có thể chạy trên các hệ điều hành như window, linux…
Hệ thống phát hiện xâm nhập phần cứng (Cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như:
Cisco IDS 4235, Cisco IPS 4.200
CHƯƠNG
Các file đính kèm theo tài liệu này:
- Noi dung KLTN-Kimtuyen.doc