Tài liệu Nghiên cứu xây dựng mô hình kiến trúc hệ thống giám sát an toàn mạng máy tính cấp tỉnh

  • Số trang: 21 |
  • Loại file: PDF |
  • Lượt xem: 109 |
  • Lượt tải: 0
nganguyen

Đã đăng 34345 tài liệu

Mô tả:

1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- LÊ QUANG HƯNG NGHIÊN CỨU XÂY DỰNG MÔ HÌNH KIẾN TRÚC HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ : 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH. HOÀNG ĐĂNG HẢI HÀ NỘI - 2010 2 CHƯƠNG I TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT AN TOÀN MẠNG 1.1 Hiện trạng mạng máy tính cấp tỉnh và tình hình đảm bảo an toàn thông tin. Qua đánh giá sơ bộ của các cuộc khảo sát tại các địa phương do các tổ chức về an toàn thông tin thực hiện như VNCERT, BKIS, ... cho thấy, hầu hết các hệ thống thông tin đều tồn tại các lỗ hổng bảo mật. Các giải pháp an toàn và bảo mật thông tin vẫn còn rất yếu và thiếu. 1.1.1 Hiện trạng mô hình mạng máy tính cấp tỉnh. Mạng máy tính cấp tỉnh bao gồm các hệ thống mạng máy tính nội bộ, mạng máy tính diện rộng được sử dụng để phục vụ cho sự điều hành, chỉ đạo, công tác quản lý, sản xuất kinh doanh của các tổ chức, doanh nghiệp trên địa bàn tỉnh. Tùy theo tính chất, nhiệm vụ, cấu hình, có thể chia thành 3 cấp như sau: Cấp 1: Là vùng mạng trung tâm khá phức tạp với rất nhiều khối chức năng khác nhau, các hệ thống chuyển mạch, định tuyến để các mạng con kết nối trực tiếp vào khai thác cơ sở dữ liệu dùng chung, hệ thống máy chủ cung cấp các dịch vụ chủ 3 yếu là: Dịch vụ web, truyền file, thư điện tử. các dịch vụ trên nền cơ sở dữ liệu Oracle, SQL, Các chương trình ứng dụng… Cấp 2 : Là hệ thống các mạng LAN của các cá nhân, doanh nghiệp có quy mô nhỏ. Cấp 3 : Là các máy trạm người dùng đầu cuối. 1.1.2 Đánh giá hiện trạng đảm bảo an toàn mạng máy tính cấp tỉnh. Mạng máy tính cấp tỉnh được phân loại như trên với nhiều đơn vị, nhiều tổ chức có tính chất trên một hệ thống địa lý rộng lớn cấp tỉnh, các thành phần trong hệ thống rất đa dạng. Sau khi khảo sát, tìm hiểu tình hình an toàn và bảo mật hệ thống mạng máy tính cấp tỉnh tại các đơn vị, tổ chức, doanh nghiệp trong tỉnh Quảng Trị, em thấy rằng có một số điểm yếu: Về cơ chế, chính sách; thiết kế mạng chưa hợp lý; Cấu hình thiết bị mạng không chặt chẽ…. 1.2 Nhu cầu và mục tiêu của hệ thống giám sát an toàn mạng cấp tỉnh. Qua những khảo sát và phân tích hiện trạng nêu trên, việc quản lý an toàn thông tin trên địa bàn tỉnh còn gặp nhiều khó khăn. Để có thể theo dõi các hoạt động trên mạng truyền thông cấp tỉnh một cách toàn diện, một nhu cầu thực tế là cần có một hệ thống theo dõi, giám sát và hỗ trợ cảnh báo về nguy cơ các 4 tấn công. Đây đang là một vấn đề cấp bách đặt ra đối với mạng truyền thông của tỉnh. 1.3 Trọng tâm nghiên cứu và định hướng nghiên cứu. Trọng tâm nghiên cứu của luận văn là nghiên cứu tìm hiểu các phương pháp thu thập thông tin an toàn mạng diện rộng, từ đó đề xuất giải pháp và đưa ra mô hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng máy tính cấp tỉnh. Những định hướng nghiên cứu chính như sau: - Nghiên cứu tổng quan về vấn đề giám sát an toàn mạng, tìm hiểu các phương thức giám sát mạng, các phương pháp thu thập thông tin an toàn mạng. - Nắm được cơ chế hoạt động các loại tấn công điển hình như DoS, DdoS qua thực hiện thử nghiệm. Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để viết luật cho Sensor Snort. - Đưa ra được mô hình kiến trúc cho hệ thống giám sát mạng máy tính cấp tỉnh. Xây dựng cấu hình thử nghiệm với phần mềm mã nguồn mở Snort 1.4 Kết luận. Các yêu cầu về an toàn và bảo mật mạng đã xuất hiện trong hầu hết mọi môi trường ứng dụng mạng, bao gồm mạng ngân hàng, mạng thương mại điện tử, mạng truyền thông của các tổ chức truyền thông. Việc phát hiện và xử lý kịp thời khi bị 5 virus và các mã nguy hiểm lây lan trên hệ thống hoặc khi hệ thống có sự cố xãy ra là cực kỳ cần thiết. CHƯƠNG II CÁC PHƯƠNG THỨC TẤN CÔNG CỦA TIN TẶC VÀ KHẢ NĂNG THEO DÕI, GIÁM SÁT 2.1 Tổng quan về các phương thức tấn công và khả năng theo dõi, giám sát. Việc nghiên cứu các phương pháp tấn công của tin tặc là chủ đề rất rộng. Trong phạm vi nghiên cứu của bài nhằm phục vụ mục đích nghiên cứu xây dựng đưa ra mô hình kiến trúc hệ thống giám sát an toàn mạng máy tính cấp tỉnh, bài sẽ chỉ nghiên cứu một số phương thức tấn công điển hình. Để có được những phân tích, đánh giá, đưa ra giải pháp hệ thống giám sát an toàn mạng máy tính cấp tỉnh, luận văn sẽ tập trung nghiên cứu các phương pháp tấn công của tin tặc qua việc nghiên cứu các cơ chế của phương pháp tấn công từ chối dịch vụ(DoS) và dịch vụ phân tán(DDoS) đang phổ biến ngày nay. 2.2 Tấn công vật lý (Physical Attacks). Tấn công loại này có thể chia làm 2 loại điển hình là: Đánh cắp trực tiếp và Nghe trộm mạng. 2.3 Tấn công qua lừa đảo (Social Enginering). 6 2.4 Tấn công vào các lổ hổng bảo mật (Security Hole). Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ nguy hiểm) điển hình là: Lỗi Unicode IIS và lỗi tràn bộ đệm. 2.5 Tấn công vào các lỗi cấu hình hoạt động (Error Configuration). Lỗ hổng do các ứng dụng của máy chủ có các thiết lập mặc định lúc sản xuất (chạy ở chế độ mặc định) hoặc do người quản trị hệ thống định cấu hình không an toàn, cấu hình sai. Một vài lỗi cấu hình tiêu biểu hay bị tấn công như sau: Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS. Không cần Đăng nhập (No Log-in). Mật khẩu mặc định (Password-Based Attacks). 2.6 Tấn công dựa vào các điểm yếu của ứng dụng/hệ thống (Vulnerabilities). SQL Injection. XSS (Cross Site Scripting), Session Hijacking. Code Injection. 2.7 Tấn công từ chối dịch vụ (DoS). Tấn công từ chối dịch vụ (DoS) nhằm mục đích ngăn cản người dùng truy cập hợp pháp vào hệ thống máy tính hay hệ thống mạng của nạn nhân. Có nhiều kỹ thuật tấn công DoS, do đó có nhiều cách phân loại khác nhau. Chúng ta có thể phân loại dựa trên các phương thức tấn công DoS chính, có 2 7 loại chính, đó là: 2.7.1 Chiếm dụng băng thông (Bandwidth Depletion). Có 2 loại tấn công chính:  Tấn công ngập lụt (Flood attack): Làm ngập bằng cách gửi liên tục các gói tin có kích thước lớn đến hệ thống nạn nhân, làm nghẽn băng thông nạn nhân. Có 2 loại Tấn công ngập lụt bằng UDP và bằng ICMP:  Tấn công khuếch đại (Amplifier attack): Sử dụng mạng khuếch đại, phương pháp này khuếch đại dòng lưu lượng làm cho hệ thống nạn nhân giảm băng thông đáng kể. 2.7.2 Chiếm dụng tài nguyên (Resource Depletion). Bằng cách lạm dụng quá trình giao tiếp của giao thức mạng hoặc những gói tin dị thường, kẻ tấn công (attacker) sẽ chiếm dụng nguồn tài nguyên hệ thống như CPU, RAM,… khiến cho người dùng chia sẽ không truy xuất được hệ thống do hệ thống không đủ khả năng xử lý.  Tấn công khai thác giao thức: + Tấn công TCP SYN. + Tấn công PUSH + ACK.  Tấn công bằng gói dị hình. 2.8 Tấn công từ chối dịch vụ phân tán (DDoS). Có hai kiểu chính của mạng DDoS, đó là mô hình Agent 8 – Handler và mô hình Internet Relay Chat (IRC-Based) 2.9 Kết luận. Như đã phân tích ở phần trên, các phương thức tấn công của tin tặc hết sức đa dạng và phong phú. Việc nghiên cứu tìm hiểu các phương thức tấn công của tin tặc thiết để nghiên cứu xem xét các khả năng theo dõi, giám sát, thu thập thông tin an toàn mạng và xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh như sẽ trình bày trong các phần tiếp theo của bài. CHƯƠNG III CÁC PHƯƠNG PHÁP THU THẬP VÀ XỬ LÝ THÔNG TIN AN TOÀN MẠNG DIỆN RỘNG 3.1 Những phương pháp cơ bản cho theo dõi, giám sát mạng. 3.1.1 Theo dõi, giám sát dựa trên dấu hiệu. Phát hiện dựa trên dấu hiệu (signature-based detection) hay còn gọi phát hiện sử dụng sai. Phương pháp này phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời. Các dấu hiệu được chia thành hai loại: • Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật. Điển hình, chúng 9 được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính. • Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ.  Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này: • Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP, TCP, UDP hoặc ICMP. • Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công khai thác các lỗ hổng chương trình.  Những ích lợi của việc dựa trên dấu hiệu: Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lặp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng hệ thống thu thập, giám sát có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức.  Những hạn chế của phát hiện dựa trên dấu hiệu: 10 • Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết. • Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết. • Khả năng quản trị cơ sở dữ liệu những dấu hiệu mất nhiều thời gian cũng như khó khăn. • Những bộ cảm biến phải duy trì tình trạng thông tin . • Chúng dường như khó quản lý các tấn công bên trong. 3.1.2 Theo dõi, giám sát dựa trên các hành vi bất thường. Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường . Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường.  Những lợi ích, ưu điểm của phát hiện bất thường: Ưu điểm của phương pháp phát hiện bất thường này là: Có khả năng phát hiện các tấn công mới khi có sự xâm nhập. Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết . Profile có thể 11 là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường. Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.  Những hạn chế của phương pháp dựa trên sự bất thường: • Thời gian chuẩn bị ban đầu cao • Thường xuyên cập nhật profile khi thói quen người dùng thay đổi • Khó khăn trong việc định nghĩa cách hành động thông thường. • Cảnh báo nhầm. • Khó hiểu . • Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực). 3.2 Những phương pháp phân tích phát hiện tấn công. Dưới đây là một số kĩ thuật xử lý phân tích dữ liệu được mô tả vắn tắt.  Phát hiện xâm nhập dựa trên luật. 12  Phân biệt ý định người dùng .  Phân tích trạng thái phiên (State-transition analysis).  Phân tích thống kê (Statistical analysis approach).  Nghiên cứu miễn dịch. 3.3 Những phương pháp cơ bản cho thu thập thông tin trên mạng. Đối với mạng cấp 1 : Lắp đặt các sensors tại những vùng, khu vực, những server quan trọng để thu thập cho từng khu vực hoặc riêng các Server đó. Đối với mạng cấp 2: Là hệ thống mạng LAN các tổ chức, doanh nghiệp vừa và nhỏ thì lắp đặt Sensors tại các node mạng. Đối với mạng cấp 3 : Là các Users đầu cuối, thì sử dụng các sensor là các phần mềm cài đặt trên các máy trạm đầu cuối đó, để thu thập thông tin. Việc thu thập thông tin theo từng cấp như trên ta chia thành 2 phương pháp thu thập chính như sau: 3.3.1 Sử dụng các sensor cài đặt trên toàn mạng. Phương pháp này là sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Thu nhận và phân tích lưu lượng trong thời gian thực, gửi tín hiệu cảnh báo đến trạm quản 13 trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. 3.3.2 Sử dụng phương pháp cài đặt phần mềm trên các máy chủ, các máy trạm. Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, và quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. 3.4 Kết luận. Chương 3 đã trình bày về các phương pháp cơ bản phục vụ cho việc thu thập, xử lý phân tích thông tin an toàn mạng trên địa bàn cấp tỉnh. Các phương pháp theo dõi, giám sát chủ yếu dựa trên các dấu hiệu hoặc các hành vi bất thường. Những phương pháp đã nêu trong chương này là cơ sở cho đề xuất, xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh như sẽ được trình bày trong chương tiếp theo. CHƯƠNG IV ĐỀ XUẤT KIẾN TRÚC HỆ THỐNG THEO DÕI, GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH 4.1 Các yêu cầu đối với hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh. 14 Một hệ thống giám sát an toàn mạng có khả năng phát hiện các truy nhập trái phép, phân tích các thông tin thu thập được và tạo ra các cảnh báo cho hệ thống hoặc cho người quản trị mạng. Trong thực tế hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh cần được chia thành 3 cấp. Ứng với tầng cấp có các yêu cầu cụ thể như sau: 4.1.1 Đối với mạng cấp 3. 4.1.2 Đối với mạng cấp 2. 4.1.3 Đối với mạng cấp 1. Ta phải xác định được các yêu cầu cơ bản về phần cứng để hệ thống có thể giao tiếp với mạng nhằm phục vụ chức năng giám sát đồng thời cũng có cấu hình đủ mạnh để có thể cài đặt các phần mềm theo yêu cầu cho hệ thống. Do độ phức tạp của tấn công trên mạng ngày càng phát triển, nên yêu cầu đối với phần mềm hệ thống là một sản phẩm hoàn chỉnh là sẽ rất khó. Nên có nghĩa là việc tích hợp vào phần mềm hệ thống sẽ được thực hiện trong quá trình phát triển xây dựng hệ thống. Tùy theo quy mô của hệ thống giám sát mà cấu hình của các thiết bị trong hệ thống có thể khác nhau Trong thực tế, ta có thể tích hợp hai hay nhiều chức năng trên trong cùng một phần mềm để thuận tiện cho công tác vận hành và bảo dưỡng hệ thống sau này. 15 4.2 Mô hình kiến trúc hệ thống theo dõi giám sát an toàn mạng cấp tỉnh. 4.2.1 Các nhiệm vụ đối với việc theo dõi giám sát mạng máy tính cấp tỉnh. Nhiệm vụ chính của các hệ thống theo dõi, giám sát là bảo vệ cho một hệ thống máy tính dựa trên việc phát hiện các dấu hiệu tấn công và đưa ra cảnh báo. Việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Cũng phục vụ cho việc nghiên cứu có pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. 4.2.2 Kiến trúc chung của các hệ thống theo dõi, giám sát. Hệ thống thu thập, giám sát mạng được xem là thành công nếu chúng hội tụ được các yếu tố: Thực hiện nhanh, chính xác, phân tích được toàn bộ thông lượng, cảm biến tối đa, đưa ra các thông báo hợp lý để ngǎn chặn thành công. Tại Trung tâm giám sát, hệ thống gồm 3 modul chính: Hỗ trợ cảnh báo, điều khiển cấu Phân tích – lọc các thông tin Thu thập thông tin mạng Lưu trữ dữ liệu 16 4.3 Thiết kế chi tiết hệ thống trung tâm theo dõi giám sát an toàn mạng cấp tỉnh. Với mô hình kiến trúc đưa ra, hệ thống thu thập giám sát mạng tại trung tâm được chia thành nhiều phần. Những phần này làm việc cùng nhau nhằm phát hiện những loại tấn công khác nhau và sinh ra trong một định dạng yêu cầu từ hệ thống phát hiện. Các thành phần chính của hệ thống : 4.3.1 Các bộ phát hiện dấu hiệu. 4.3.2 Các bộ phát hiện hành vi bất thường. 4.3.3 Bộ tập trung và chuẩn hóa. 4.3.4 Sắp xếp theo độ ưu tiên. 4.3.5 Đánh giá rủi ro.  Rủi ro tiềm ẩn.  Rủi ro tức thời. 4.3.6 Phân tích tương quan. 4.3.6.1 Mô hình tương quan. 4.3.6.2 Các phương thức tương quan. Để đạt được các mục tiêu trên, có thể sử dụng 2 phương thức tương quan khác nhau, dựa trên 2 nguyên tắc sau:  Tương quan sử dụng chuỗi tuần tự các sự kiện (Correlation using sequences of events).  Tương quan sử dụng các thuật toán heuristic (Correlation using heuristic algorithms). 17 4.3.7 Bộ theo dõi (Monitors).  Theo dõi rủi ro (Risk Monitor).  Use, Session, and Profile Monitors.  Bộ theo dõi đường đi (Path Monitor). 4.3.8 Kiếm tra bằng chứng (Forensic). Không giống với bộ theo dõi rủi ro được đề cập ở trên, console này cho phép ta kiểm tra tất cả các sự kiện mà xảy ra trong hệ thống một cách chi tiết nhất. 4.3.9 Bảng điều khiển (Control Panel). Bảng điều khiển cho phép quan sát tình trạng bảo mật mạng ở mức cao, bảng điều kiển theo dõi một loạt các bộ phận chỉ nhằm đo trạng thái bảo mật của một tổ chức. Bảng điều khiển cho phép định nghĩa các ngưỡng hay mục tiêu mà tổ chức hướng tới. Các ngưỡng này có thể là giá trị tuyệt đối hay giá trị tương đối như mức độ bất thường. 4.3.10 Phân hệ cơ sở dữ liệu. Hệ thống giám sát an toàn mạng có hệ thống cơ sở dữ liệu lưu trữ thông tin thu thập được riêng cho từng kênh, CSDL lưu trữ thông tin đã qua xử lý tương quan, CSDL lưu trữ thông tin cảnh báo. Hệ thống gồm 3 cơ sở dữ liệu: EDB : Cơ sở dữ liệu sự kiện là cơ sở dữ liệu lớn nhất bởi vì EDB lưu trữ tất cả các sự kiện cá nhân được xử lý bởi bộ dò. 18 KDB : Cơ sở dữ liệu tri thức trong đó ta tham số hóa hệ thống phù hợp với mạng và các chính sách bảo mật. UDB : Cơ sở dữ liệu tiểu sử chứa tất cả các thông tin được thu thập bởi bộ theo dõi tiểu sử. 4.4 Mô tả hoạt động của hệ thống. Bảng điều khiển Bộ theo dõi Đưa theo dõi Kiểm tra bằng chứng Đưa cảnh báo Phân tích tương quan Cảnh báo chính xác Theo dõi rũi ro Sắp xếp ưu tiên CSDL tri thức Tập trung hóa CSDL sự kiện Thu thập 4.5 Xây dựng một cấu hình thử nghiệm. 4.5.1 Kiến trúc hệ thống thử nghiệm. Cấu trúc mô hình thử nghiệm bao gồm các thành phần: - Sensor thu thập thông tin. - Hệ thống điều khiển phân tích: Sử dụng công cụ ACID, công cụ phân tích và kiểm duyệt dữ liệu. - Database : Dùng MySQL. 4.5.2 Kiến trúc Sensor. Sensor của hệ thống thử nghiệm là phần mềm mã nguồn 19 mở Snort. Những thành phần khác nhau của một sensor snort: - Bộ phận giải mã gói: Chuẩn bị gói cho việc xử lý. - Bộ phận tiền xử lý: Dùng để bình thường hóa tiêu đề giao thức, phát hiện sự bất thường, tái hợp gói và tái hợp luồng TCP. - Bộ phận phát hiện: Áp dụng rule lên gói. - Hệ thống ghi và cảnh báo: Sinh thông điệp cảnh báo và ghi log file. - Các mô đun xuất: Xử lý cảnh báo và ghi và sinh kết quả cuối cùng. 4.5.3 Các thành phần ở trung tâm xử lý.  Cơ sở dữ liệu trung tâm. MySQL là một trong những cơ sở dữ liệu phổ biến ngày nay. Snort có thể làm việc cùng với MySQL.  Công cụ phân tích tại trung tâm. ACID - Analysis Console for Intrusion Databases : Là trong những công cụ phân tích và kiểm duyệt dữ liệu. ACID dựa trên những đoạn mã viết bằng ngôn ngữ PHP. 4.5.4 Lập cấu hình Sensor: Sensor Snort sử dụng một file cấu hình cho mỗi lần chạy. Khi chạy dòng lệnh phải chỉ đúng tên file cấu hình yêu cầu. Tập tin cấu hình chứa 6 phần cơ bản:  Định nghĩa tham biến. Những tham biến này sẽ dùng 20 cho rule Snort.  Cấu hình các tham số.  Cấu hình preprocessor.  Cấu hình Ouput plug_in (Output module).  Định nghĩa kiểu hành động mới.  Cấu hình đường dẫn đến tập luật (rules file). Cấu trúc luật trong SNORT: Các rule đều có 2 phần logic: rule header và rule options. 4.6 Các kết quả thử nghiệm thu được. 4.6.1 Kết quả thử nghiệm cho sensor. Sử Dụng Snort để Sniffer Packet bắt gói tin. 4.6.2 Kết quả thu ở trung tâm. Hiển thị các trạng thái của các kết quả thu được ở hệ thống giám sát trung tâm thông qua phần mềm ACID bao gồm các thông tin: Tên, số cảnh báo, các cổng nguồn và đích, v.v.. Biết chi tiết về từng loại thông tin thu được. Đưa ra danh sách của những cảnh báo hệ thống (theo mỗi rule bẫy được). Hiển thị chi tiết các cảnh báo lấy từ cơ sở dữ liệu. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP  Những kết quả chính đã đạt được trong luận văn gồm có: + Thực hiện thử nghiệm một số loại tấn công DoS/DdoS nhằm tìm hiểu cách thức trong một số công cụ tấn công DDoS.
- Xem thêm -