Đăng ký Đăng nhập
Trang chủ Xây dựng hệ thống mạng bảo mật, phát hiện xâm nhập cho doanh nghiệp vừa và nhỏ...

Tài liệu Xây dựng hệ thống mạng bảo mật, phát hiện xâm nhập cho doanh nghiệp vừa và nhỏ

.PDF
41
76
92

Mô tả:

TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN ---------- BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT, PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP VỪA VÀ NHỎ ĐỖ MINH THÀNH BIÊN HÒA, THÁNG 12/2017 TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN ---------- BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT, PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP VỪA VÀ NHỎ SVTH : ĐỖ MINH THÀNH GVHD :Th.S NGUYỄN VŨ DUY QUANG BIÊN HÒA, THÁNG 12/2017 LỜI CÁM ƠN Em xin chân thành cám ơn các giảng viên trường Đại Học Lạc Hồng, các thầy cô khoa Công Nghệ Thông Tin đã giảng dạy và hướng dẫn em trong suốt thời gian em theo học tại trường. Em xin gởi lời cám ơn đến Th.S Nguyễn Vũ Duy Quang, là giáo viên đã tận tình hướng dẫn em hoàn thành đề tài nghiên cứu khoa học này. Em xin cám ơn các thầy, các cô trong khoa Công Nghệ Thông Tin đã có những ý kiến đóng góp trong các buổi báo cáo tiến độ. Ngoài ra em xin cám ơn các bạn trong lớp cùng toàn thể gia đình và người thân đã giúp đỡ, động viên em trong quá trình thực hiện đề tài này. Với vốn kiến thức còn hạn chế cùng những điều kiện khách quan không cho phép, đề tài của em khó tránh khỏi những thiếu sót cũng như chưa đáp ứng đầy đủ các yêu cầu. Do đó em hy vọng tiếp tục nhận được những ý kiến đóng góp và hướng dẫn của quý thầy cô để đề tài của em được hoàn thiện hơn. Em xin chân thành cảm ơn. Biên Hòa, tháng 12 năm 2017 Sinh viên thực hiện Đỗ Minh Thành MỤC LỤC Trang PHẦN MỞ ĐẦU 1. Lý do chọn đề tài ...................................................................................................... 1 2. Mục tiêu nghiên cứu ................................................................................................. 1 3. Đối tượng nghiên cứu ............................................................................................... 1 4. Phương pháp nghiên cứu .......................................................................................... 1 5. Kết cấu của đề tài ...................................................................................................... 2 CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI TỔ CHỨC MÔ HÌNH MẠNG 1.1 Thành phần cơ bản của hệ thống mạng .................................................................. 3 1.1.1 Mô hình mạng ................................................................................................ 3 1.1.2 Các vùng mạng .............................................................................................. 4 1.2 Tiêu chí khi tổ chức mô hình mạng ........................................................................ 5 CHƯƠNG 2: HỆ THỐNG NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP 2.1 Các hình thức tấn công mạng phổ biến .................................................................. 7 2.1.1 Tấn công theo hình thức Phishing ................................................................. 7 2.1.2 Tấn công theo kiểu Man-in-the-Middle Attack .............................................. 7 2.1.3 Tấn công theo kiểu Brute Force Attack .......................................................... 7 2.1.4 Tấn công từ chối dịch vụ (Denial-of-service) (DOS) ..................................... 7 2.2 Các giải pháp phát hiện và phòng chống tấn công mạng ....................................... 8 2.3 Hệ thống ngăn ngừa và phát hiện xâm nhập .......................................................... 8 2.3.1 Lịch sử phát triển ........................................................................................... 8 2.3.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập ......... 9 2.3.3 Kiến trúc của hệ thống IPS .......................................................................... 10 2.4 Phân loại IPS ........................................................................................................ 13 2.4.1 Host-Based IPS (HIPS) ............................................................................... 13 2.4.2 Network-Based IPS (NIPS) ......................................................................... 13 2.5 IPS Signatures ....................................................................................................... 15 2.5.1 Signature Attributes (thuộc tính chữ ký) ..................................................... 15 2.5.2 Signature Types (Loại chữ ký) ..................................................................... 15 2.5.3 Signature File ................................................................................................ 16 2.5.4 Signature Micro-Engines .............................................................................. 16 2.6 Sự đa dạng của hệ thống phát hiện xâm nhập ...................................................... 18 2.6.1 Hệ thống phát hiện xâm nhập mềm ............................................................. 18 2.6.2 Hệ thống phát hiện xâm nhập cứng ............................................................. 20 CHƯƠNG 3: MÔ PHỎNG 3.1 Mục tiêu mô phỏng ............................................................................................... 23 3.2 Công cụ cần thiết để thực hiện mô phỏng ............................................................ 23 3.3 Các bước mô phỏng .............................................................................................. 23 3.4 Kết quả thu được sau khi thực hiện mô phỏng ..................................................... 34 KẾT LUẬN ................................................................................................................ 35 TÀI LIỆU THAM KHẢO PHẦN MỞ ĐẦU 1. Lý do chọn đề tài Việt Nam đang là quốc gia có tốc độ phát triển về Công nghệ thông tin (CNTT) nhanh nhất tại khu vực Đông Nam Á, cũng vì lý do đó mà Việt Nam có thể là mục tiêu tấn công mạng của tội phạm công nghệ cao trên toàn cầu. Chỉ tính trong quý Inăm 2017 đã có gần 7.700 sự cố tấn công mạng vào các website tại Việt Nam Theo thống kê về số lượng các website bị tấn công trong quý I/2017, có tổng cộng 7681 sự cố tấn công mạng vào các website tại Việt Nam trên cả 3 loại hình tấn công chính : Phising (lừa đảo), Malware (mã độc) và Deface (tấn công thay đổi giao diện web) [1] Như vậy chúng ta có thể thấy an toàn thông tin tại các doanh nghiệp Việt Nam có nhiều biến động lớn và mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các doanh nghiệp trong nước. Do vậy mà đề tài xây dựng hệ thống mạng an toàn, phát hiện xâm nhập giúp đáp ứng được phần nào yêu cầu của các doanh nghiệp về an toàn thông tin và bảo mật hệ thống mạng. 2. Mục tiêu nghiên cứu Nghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS. Triển khai hệ thống phát hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp,công ty nào đó cũng theo đà phát triển của internet mà tăng lên rất nhiều. Việc nghiên cứu này đáp ứng cho lĩnh vực bảo mật và an ninh của hệ thống mạng. 3. Đối tượng nghiên cứu Hệ thống mạng cho doanh nghiệp vừa và nhỏ. Một số phương pháp tấn công mạng phổ biến hiện nay. Hệ thống phòng chống xâm nhập IPS (intrusion prevention system). 4. Phương pháp nghiên cứu Tìm hiểu về một số tiêu chí khi xây dựng hệ thống mạng cho doanh nghiệp vừa và nhỏ. Nghiên cứu và tìm hiểu về cơ chế hoạt động của IPS. 1 5. Kết cấu đề tài Luận văn được chia làm ba phần: phần mở đầu, phần nội dung và phần kết luận. Phần mở đầu Nêu lý do chọn đề tài, mục tiêu nghiên cứu đề tài, đối tượng, phương pháp nghiên cứu của đề tài. Phần nội dung chính: gồm 3 chương Chương 1: Các thành phần và một số tiêu chí khi tổ chức mô hình mạng Trong chương này tôi sẽ trình bày về các thành phần cơ bản cần có trong hệ thống mạng, cũng như nêu ra các bước cơ bản để thiết kế một hệ thống mạng hoàn chỉnh.Bên cạnh đó, tôi cũng đề xuất một số mô hình mạng cho doanh nghiệp vừa và nhỏ. Chương 2: Hệ thống ngăn ngừa và phát hiện xâm nhập Trong chương này tôi sẽ trình bày về lịch sử phát triển, vai trò, đặc điểm cũng như các loại IPS. Chương 3: Phần mô phỏng: Ở phần này, tôi sẽ mô phỏng giúp chúng ta thấy được các tính năng và sự hoạt động cũng như các bước cấu hình IPS trên router.Thực hiện tính năng gây ra cảnh báo nếu có vi phạm. Phần kết luận Đưa ra những kết luận về mô hình đã xây dựng. 2 CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI TỔ CHỨC MÔ HÌNH MẠNG Mạng máy tính là một hệ thống gồm nhiều máy tính và các thiết bị được kết nối với nhau bởi đường truyền vật lý theo một kiến trúc (Network Architecture) nào đó nhằm thu thập, trao đổi dữ liệu và chia sẻ tài nguyên cho nhiều người sử dụng. Các máy tính được kết nối với nhau có thể trong cùng một phòng, một tòa nhà, một thành phố hoặc trên phạm vi toàn cầu. [2] 1.1 Thành phần cơ bản của hệ thống mạng Mạng máy tính bao gồm ba thành phần chính: - Các máy tính - Các thiết bị mạng đảm bảo kết nối giữa các máy tính với nhau - Các phần mềm cho phép việc thực hiện, trao đổi thông tin giữa các máy tính 1.1.1 Mô hình mạng Xét theo chức năng của các máy tính trong mạng, có thể phân mạng thành 2 mô hình chủ yếu sau:  Mô hình mạng ngang hàng (Peer-to-Peer) Mạng ngang hàng (tiếng Anh: peer-to-peer network), còn gọi là mạng đồng đẳng, là một mạng máy tính trong đó hoạt động của mạng chủ yếu dựa vào khả năng tính toán và băng thông của các máy tham gia chứ không tập trung vào một số nhỏ các máy chủ trung tâm như các mạng thông thường. Mạng đồng đẳng có nhiều ứng dụng, ứng dụng thường xuyên gặp nhất là chia sẻ tệp tin, tất cả các dạng như âm thanh, hình ảnh, dữ liệu,… hoặc để truyền dữ liệu thời gian thực như điện thoại VoIP. Một mạng đồng đẳng đúng nghĩa không có khái niệm máy chủ và máy khách. Nói cách khác, tất cả các máy tham gia đều bình đẳng và được gọi là peer. Mỗi peer là một nút mạng đóng vai trò là máy khách và đồng thời là máy chủ đối với các máy khác trong mạng. Mô hình này chỉ thích hợp với mạng có quy mô nhỏ, tài nguyên được quản lý phân tán, chế độ bảo mật kém.  Mô hình mạng khách – chủ (Client – Server) 3 Trong mô hình này, một hoặc vài máy sẽ được chọn để đảm nhận việc quản lý và cung cấp tài nguyên (chương trình, dữ liệu, thiết bị,…) được gọi là máy chủ (Server), các máy khác sử dụng tài nguyên này được gọi là máy khách (Client). Máy chủ là máy tính đảm bảo việc phục vụ các máy khách bằng cách điều khiển việc phân phối tài nguyên nằm trong mạng với mục đích sử dụng chung. Máy khách là máy sử dụng tài nguyên do máy chủ cung cấp. Mô hình khách – chủ có ưu điểm là dữ liệu được quản lý tập trung, bảo mật tốt, thích hợp với các mạng trung bình và lớn. 1.1.2 Các vùng mạng Trước khi thiết kế một hệ thống mạng, chúng ta cần phải phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng. Có những vùng mạng sau đây : Vùng mạng nội bộ Mạng LAN(Local Area Network) là một hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm việc, trường học, …). Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác. Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối (Repeater, Hub, Switch, Bridge), máy tính con (client), card mạng (Network Interface Card – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau. Vùng mạng DMZ Demilitarized Zone hay còn được viết tắt là DMZ là một vùng nằm giữa Local Area Network và mạng Internet. Đây là nơi chứa những Server và cung cấp những dịch vụ cho những host ở trong mạng LAN cũng như những host khác từ LAN bên ngoài vào chẳng hạn như Web server, Mail server, FTP server… DMZ sẽ có những đường mạng hoặc subnet mạng khác với mạng nội bộ nhằm mục đích các host từ LAN khác sẽ không thể truy cập vào mạng LAN bên trong nhưng chúng vẫn có thể dùng những dịch vụ mà DMZ cung cấp. Ở giữa DMZ với mạng ngoài ta có thể đặt một tường lửa. Nó sẽ kiểm soát những kết nối từ mạng ngoài đến DMZ. Còn mạng nội bộ và DMZ ta có thể đặt thêm 1 tường lửa khác để kiểm soát những lưu lượng từ DMZ vào mạng nội bộ. Vùng mạng Server 4 Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,… Vùng mạng Internet Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu. 1.2 Các tiêu chí khi tổ chức mô hình mạng Nên đặt các máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gây ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm soát. Chú ý không đặt máy chủ web, mail server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ trong vùng mạng này. Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nên đặt trong vùng mạng server network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật. Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ mạng từ bên ngoài vào; đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ. Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ. [3] Đề xuất mô hình mạng cho doanh nghiệp vừa và nhỏ 5 Hình 1.1 Mô hình mạng cho doanh nghiệp vừa và nhỏ Như trên hình 1.1 mô hình mạng ở đây được chia thành 3 vùng riêng biệt gồm: vùng DMZ, vùng mạng LAN và vùng mạng Internet. Tại vùng DMZ, chúng ta đặt các server cho phép người dùng bên ngoài truy xuất vào và ví dụ ở đây là máy chủ Web và máy chủ FTP. Trong vùng mạng LAN, ta có cấu hình nhiều VLAN(Virtual LAN) tương ứng với các phòng ban trên thiết bị Switch nhằm mục đích dễ quản lý hơn.Ví dụ ở đây phòng IT gồm 3 người ta sẽ cấu hình phòng này thuộc vlan 10, phòng nhân sự gồm 8 người ta sẽ cấu hình vào vlan 20. Bên cạnh đó, ta có thể cài đặt thêm một số thiết bị khác như Access Point(AP), máy in, IP Phone....vào các phòng ban tùy theo nhu cầu của công ty. Vùng DMZ và vùng mạng LAN trước khi ra Internet đều phải đi qua cảm biến IPS cũng như từ ngoài Internet muốn truy xuất vào server bên trong vùng DMZ cũng phải đi qua cảm biến IPS này để đảm bảo được tính an toàn cho hệ thống mạng. 6 CHƯƠNG 2: HỆ THỐNG NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP 2.1 Các hình thức tấn công mạng phổ biến 2.1.1 Tấn công theo hình thức Phishing Phishing là kiểu tấn công người dùng bằng cách tạo ra 1 trang web với địa chỉ giả mạo, chẳng hạn như www.facebook.com thành www.facebok.com. Thông thường với hình thức này, các hacker sẽ gửi tới người dùng 1 email đăng nhập để người dùng đăng nhập và click vào đó, tiếp theo sẽ sử dụng kỹ thuật điều hướng để điều sang website chứa mã độc. Và vô tình, khi bạn đăng nhập thông tin tài khoản gmail của mình vào web giả mạo đó, bạn đã bị mất tài khoản. 2.1.2 Tấn công theo kiểu Man-in-the-Middle Attack Đúng như cái tên của nó, một cuộc tấn công mạng theo kiểu Man-in-the-Middle Attack xảy ra khi cuộc nói chuyện giữa bạn và một người nào đó bị kẻ tấn công theo dõi, nắm bắt và kiểm soát thông tin liên lạc của bạn một cách minh bạch. Các cuộc tấn công theo kiểu Man-in-the-Middle Attack giống như một người nào đó giả mạo danh tính để đọc các tin nhắn của bạn. Và người ở đầu kia tin rằng đó là bạn, bởi vì kẻ tấn công có thể trả lời một cách tích cực để trao đổi và thu thập thêm thông tin. 2.1.3 Tấn công theo kiểu Brute Force Attack Đây là hình thức tấn công mà chủ yếu là hacker tìm cách “mò” ra mật khẩu (password) của bạn để đăng nhập hệ thống, phương thức tấn công này chủ yếu dựa và cách lập password của bạn quá sơ sài và nó đã được đưa vào một danh sách mật khẩu (listpass) lượng mật khẩu hacker thu thập có thể lên tới con số trăm nghìn. Họ dùng các hệ điều hành như kali linux, backtrack để tự động nhập các password trong list pass lên hệ thống của bạn, và thật không may nếu bạn để pass quá đơn giản như 12345678 nằm trong danh sách của họ. 2.1.4 Tấn công từ chối dịch vụ (Denial-of-service) (DOS) Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS -viết tắt của Distributed Denial of Service) là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính. Mặc dù 7 phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers. Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân. 2.2 Các giải pháp phát hiện và phòng chống tấn công mạng Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash bằng những thông báo lỗi không rõ ràng, khó xác định nguyên nhân hệ thống bị treo do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công. Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác. Chỉ kích hoạt các dịch vụ cần thiết, vô hiệu hóa các dịch vụ không dùng tới. Liên tục cập nhật, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn. 2.3 Hệ thống ngăn ngừa và phát hiện xâm nhập 2.3.1 Lịch sử phát triển Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây 25 năm nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong các phòng thí nghiệm và các viện nghiên cứu mạng. Đến năm 1997 hệ thống phát hiện xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi 8 nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập mạng. IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System – IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDPIntrusion Detection and Prevention. Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS là cần thiết, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an ninh mạng. 2.3.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất thường trong mạng. Thông thường những dấu hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng. Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấn công. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS). 9 Hệ thống IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IDS/IPS thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng. Một vài chức năng cơ bản của IPS: -Kiểm tra gói tin, phân tích, ráp lại các TCP-segment, kiểm tra gói tin, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Một IPS hoạt động giống như một người bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các uỷ nhiệm và tập quy tắc nội quy nào đó. -IPS giám sát lưu lượng lớp 3 và lớp 4, phân tích các nội dung và payload của các gói tin bao gồm dữ liệu độc hại từ layer 2 đến layer 7. -Nền tảng Cisco IPS sử dụng dựa trên sự pha trộn các công nghệ phát hiện, bao gồm dựa trên chữ ký, dựa trên cấu hình và phân tích giao thức phát hiện xâm nhập. -Phân tích sâu hơn cho phép IPS xác định và ngăn chặn các cuộc tấn công có thể đi qua firewall. -Khi một gói tin đến thông qua một interface trên IPS, gói tin đó sẽ được IPS phân tích và nếu có bất thường thì gói tin đó sẽ ngay lập tức bị hủy bỏ. 2.3.3 Kiến trúc của hệ thống IPS Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng.  Module phân tích luồng dữ liệu: Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này được chuyển đến modul phát hiện tấn công.  Modul phát hiện tấn công: 10 Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là phương pháp dò sự lạm dụng và phương pháp dò sự không bình thường. Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy người quản trị mạng phải update thường xuyên các kiểu tấn công mới. Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây: Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về 11 cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin tặc.  Modul phản ứng Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn: Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ. Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị. 12 Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng. Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động. 2.4 Phân loại IPS Có 2 loại IPS chủ yếu : host-based và network-based 2.4.1 Host-Based IPS (HIPS) Host-based IPS (HIPS) là phần mềm được cài đặt trên một máy chủ duy nhất để theo dõi và phân tích hoạt động đáng ngờ. Một lợi thế đáng kể của HIPS là nó có thể giám sát và bảo vệ hệ điều hành và các quy trình quan trọng của hệ thống cụ thể đối với máy chủ đó. Với kiến thức chi tiết về hệ điều hành, HIPS có thể giám sát hoạt động bất thường và ngăn không cho máy chủ thực hiện các lệnh không phù hợp với hành vi. Hành vi đáng ngờ hoặc độc hại này có thể bao gồm các cập nhật registry trái phép, thay đổi thư mục hệ thống, thực hiện các chương trình cài đặt và các hoạt động gây tràn bộ đệm. Lưu lượng mạng cũng có thể được giám sát để ngăn không cho máy chủ lưu trữ tham gia tấn công DoS từ chối dịch vụ hoặc là một phần của một phiên FTP bất hợp pháp. HIPS có thể được coi là một sự kết hợp của phần mềm chống virus, phần mềm chống malware và tường lửa. Kết hợp với IPS dựa trên mạng, HIPS là một công cụ hiệu quả trong việc cung cấp bảo vệ bổ sung cho máy chủ lưu trữ. Điểm bất lợi của HIPS là nó chỉ hoạt động ở mức local. Nó không có một cái nhìn hoàn toàn về hệ thống hoặc sự kiện phối hợp có thể xảy ra trên mạng. Để có hiệu quả trong một mạng, HIPS phải được cài đặt trên mỗi máy chủ và có hỗ trợ cho mọi hệ điều hành. 2.4.2 Network-Based IPS (NIPS) Một Network-Based IPS có thể được thực hiện bằng một thiết bị IPS dành riêng hoặc không dành riêng. Triển khai Network-Based IPS là một thành phần quan trọng của công tác phòng chống xâm nhập. Có các giải pháp Host-Based IDS / IPS, nhưng chúng phải được tích hợp với việc triển khai Network-Based IPS để đảm bảo được một kiến trúc an ninh mạnh mẽ. 13 Bộ cảm biến phát hiện hoạt động độc hại và trái phép trong thời gian thực và có thể hành động khi cần thiết. Các cảm biến được triển khai tại các điểm mạng được chỉ định cho phép các nhà quản trị mạng theo dõi hoạt động của mạng trong khi nó xảy ra, bất kể vị trí của mục tiêu tấn công. Cảm biến có thể được thực hiện bằng nhiều cách: -Trên một bộ định tuyến ISR có hoặc không có module tích hợp nâng cao IPS (AIM) hoặc module tăng cường Mạng IPS (NME). -Trên thiết bị tường lửa ASA có hoặc không có ASA Advanced Inspection and Prevention Security Services Module (AIP-SSM). -Được thêm vào bộ chuyển đổi Catalyst 6500 sử dụng Intrusion Detection System Services Module (IDSM-2). -Là một thiết bị độc lập, chẳng hạn như Bộ cảm biến Cisco IPS 4300 Series. -Các cảm biến Network-Based IPS thường được điều chỉnh để phân tích tấn công xâm nhập. Hệ điều hành cơ bản của nền tảng mà trên đó mô đun IPS được gắn kết đã bị loại bỏ các dịch vụ mạng không cần thiết và các dịch vụ thiết yếu được đảm bảo. Đây được gọi là cứng. Phần cứng bao gồm ba thành phần: NIC (Card mạng) – Network-Based IPS phải có khả năng kết nối với bất kỳ mạng nào, chẳng hạn như Ethernet, Fast Ethernet và Gigabit Ethernet. Processor (Bộ vi xử lý) - IPS yêu cầu sức mạnh của CPU để thực hiện phân tích phát hiện xâm nhập và phù hợp với mẫu. Memory (Bộ nhớ) - Phân tích phát hiện xâm nhập là bộ nhớ intensive. Bộ nhớ ảnh hưởng trực tiếp đến khả năng của một Network-Based IPS để phát hiện có hiệu quả và chính xác một cuộc tấn công. Network-Based IPS cung cấp cho các nhà quản lý bảo mật thông tin chi tiết về an ninh trong mạng của họ bất kể sự tăng trưởng. Máy chủ bổ sung có thể được thêm vào các mạng được bảo vệ mà không cần nhiều cảm biến hơn. Các cảm biến bổ sung chỉ được yêu cầu khi dung lượng lưu lượng truy cập bị vượt quá, khi hiệu năng của chúng không đáp ứng được nhu cầu hiện tại hoặc khi sửa đổi chính sách bảo mật hoặc thiết kế mạng yêu cầu các cảm biến bổ sung để giúp thực thi các ranh giới an ninh. Khi thêm các mạng mới, các cảm biến bổ sung dễ triển khai 14 Ưu điểm của Network-Based IPS là nó cung cấp một chỉ dẫn rõ ràng về mức độ mà mạng đang bị tấn công; Ngoài ra, bởi vì hệ thống giám sát chỉ kiểm tra lưu lượng từ mạng, nó không phải hỗ trợ mọi loại hệ điều hành được sử dụng trên mạng. Nhược điểm của Network-Based IPS là nếu dữ liệu mạng được mã hóa, điều này có thể làm mù Network-Based IPS, gây khó khăn trong việc khôi phục lại lưu lượng truy cập bị phân mảnh cho các mục đích giám sát; Khi các mạng phát triển về sử dụng băng thông, sẽ trở nên khó khăn hơn khi đặt một thiết bị IPS dựa vào mạng tại một địa điểm duy nhất và thu được thành công tất cả lưu lượng truy cập. Loại bỏ vấn đề này đòi hỏi phải sử dụng nhiều cảm biến hơn trong mạng, làm tăng chi phí. 2.5 IPS Signatures 2.5.1 Signature Attributes (thuộc tính chữ ký) Mạng máy tính phải có khả năng xác định lưu lượng truy cập độc hại đến để ngăn chặn nó. May mắn thay, những lưu lượng độc hại đó hiển thị các đặc điểm khác biệt hoặc "signatures"(chữ ký). Chữ ký là một bộ quy tắc mà IDS và IPS sử dụng để phát hiện hoạt động xâm nhập điển hình, chẳng hạn như các cuộc tấn công DoS. Những chữ ký xác định các worms, virut, các giao thức lạ, hoặc các luồng gói tin độc hại. Cảm biến IPS được điều chỉnh để tìm các chữ ký phù hợp hoặc các mẫu lưu lượng truy cập bất thường, chữ ký IPS có khái niệm tương tự như tệp virut.dat được sử dụng bởi các trình quét virus. Khi các cảm biến quét các gói tin mạng, chúng sử dụng chữ ký để phát hiện các cuộc tấn công đã biết và đáp ứng với các hành động được xác định trước. Dòng gói tin độc hại có một loại hoạt động cụ thể và các chữ ký. Một cảm biến IDS hoặc IPS kiểm tra luồng dữ liệu sử dụng nhiều chữ ký khác nhau. Một bộ cảm biến sẽ hành động khi nó khớp với một chữ ký với một luồng dữ liệu, chẳng hạn như đăng nhập sự kiện hoặc gửi báo thức đến phần mềm quản lý IDS hoặc IPS. Chữ ký gồm có 3 thuộc tính: type, trigger, action. 2.5.2 Signature Types (Loại chữ ký) Các loại chữ ký thường được phân loại là atomic hoặc composite. Atomic Signature: -Là loại đơn giản nhất, nó bao gồm một gói duy nhất hoạt động, hoặc sự kiện được kiểm tra để xác định xem nó có phù hợp với một chữ ký đã được cấu hình. Nếu có, alarm sẽ được kích hoạt và một hành động dựa trên chữ ký sẽ được thực hiện. 15
- Xem thêm -

Tài liệu liên quan