Đang tải... (xem toàn văn)
Tài liệu tham khảo công nghệ thông tin Nghiên cứu triển khai hệ thống ids -ips
ĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆTrần Tiến CôngNGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPSKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tinHÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆTrần Tiến CôngNGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPSKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành : Công nghệ thông tinCán bộ hướng dẫn : Ths. Đoàn Minh PhươngCán bộ đồng hướng dẫn : Ths. Nguyễn Nam HảiHÀ NỘI – 2009 Lời cảm ơnĐầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những người đã chỉ dẫn em trong từng bước đề tài. Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua.Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã giúp em thành công trong học tập và cuộc sống. Tóm tắt nội dungNghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng.Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống mạng lớn như mạng của các trường đại học. Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này. Mục lục BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT 1 DANH SÁCH BẢNG 1 DANH SÁCH HÌNH MINH HỌA 2 MỞ ĐẦU 4CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 5 1.1. AN NINH MẠNG . 5 1.2. HỆ THỐNG MẠNG VNUNET [4] 5 1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet 5 1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet . 6 CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP . 8 2.1. KIẾN THỨC CƠ SỞ . 8 2.1.1. Thâm nhập [9] . 8 2.1.2. Tấn công từ chối dịch vụ [11] 9 2.1.3. Lỗ hổng bảo mật [10] 11 2.1.4. Virus, Sâu và Trojan [8] . 13 2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1] . 14 2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP . 18 2.3.1. Thu thập thông tin 18 2.3.2. Tấn công từ chối dịch vụ 18 2.3.3. Thâm nhập qua Trojan . 19 2.3.4. Thâm nhập qua lỗ hổng bảo mật [5] 20 CHƯƠNG 3. THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP . 23 3.1. CÁC KHÁI NIỆM CƠ BẢN [2] . 23 3.2. THIẾT BỊ IPS PROVENTIA G200 26 3.3. SITEPROTECTOR SYSTEM [2] . 28 3.3.1. SiteProtector System là gì? 28 3.3.2. Quá trình thiết lập hệ thống SiteProtector . 30 3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS [5] . 32 3.4.1. Cài đặt . 32 3.4.2. Cấu hình hình thái hoạt động . 32 3.4.3. Cấu hình sự kiện an ninh 33 3.4.4. Cấu hình phản hồi 36 3.4.5. Cấu hình tường lửa 43 3.4.6. Cấu hình protection domain . 45 3.4.7. Cấu hình cảnh báo . 47 3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 49 3.5.1. Ngăn chặn các hình thức thu thập thông tin . 49 3.5.2. Ngăn chặn tấn công DoS 50 3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan 51 3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật . 51 3.6. TRIỂN KHAI THỰC TẾ 52 CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 59 4.1. KẾT QUẢ ĐẠT ĐƯỢC 59 4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 59 PHỤ LỤC A .61 PHỤ LỤC B .64 PHỤ LỤC C .66 PHỤ LỤC D 69 PHỤ LỤC E .73 BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮTKí hiệu và viết tắt Giải thíchĐHQGHN Đại học Quốc gia Hà NộiIDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhậpVNUnet Hệ thống mạng Đại học Quốc gia Hà NộiProventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBMDANH SÁCH BẢNGBẢNG 1 – THUẬT NGỮ IDS/IPS .23BẢNG 2 – HÌNH THÁI HOẠT ĐỘNG .37BẢNG 3 – PHẢN HỒI EMAIL 37BẢNG 4 – PHẢN HỒI LOG EVIDENCE 38BẢNG 5 – PHÂN LOẠI CÁCH LY 38BẢNG 6 – PHẢN HỒI CÁCH LY .39BẢNG 7 – PHẢN HỒI SNMP 391 BẢNG 8 – PHẢN HỒI USER SPECIFIED 40DANH SÁCH HÌNH MINH HỌAHÌNH 1 – SƠ ĐỒ KẾT NỐI LOGIC CỦA VNUNET .6HÌNH 2 - MINH HỌA TRÌNH TỰ TẤN CÔNG [12] .15HÌNH 3 - GIAO DIỆN DOSHTTP 18HÌNH 4 - GIAO DIỆN SMURF ATTACK .19HÌNH 5 - GIAO DIỆN CLIENT TROJAN BEAST 19HÌNH 6 - LỖI TRONG DỊCH VỤ RPC .20HÌNH 7 - GIAO DIỆN METASPLOIT 21HÌNH 8 - GIAO DIỆN METASPLOIT (2) .22HÌNH 9 – SECURITY EVENTS 35HÌNH 10 – RESPONSE FILTERS 43HÌNH 11 – PROTECTION DOMAIN 46HÌNH 12 - PROTECTION DOMAIN .47HÌNH 13 - MỨC ĐỘ NGHIÊM TRỌNG CỦA THÔNG BÁO 48HÌNH 14 - MINH HỌA THÔNG BÁO .48HÌNH 15 - NGĂN CHẶN THU THẬP THÔNG TIN .492 HÌNH 16 – ĐÁNH DẤU CẢNH BÁO SYNFLOOD 50HÌNH 17 –NGĂN CHẶN TẤN CÔNG SYNFLOOD VÀ SMURF ATTACK (PING SWEEP) 51HÌNH 18 - NGĂN CHẶN THÂM NHẬP QUA TROJAN BEAST 51HÌNH 19 – ĐÁNH DẤU CẢNH BÁO MSRPC_REMOTEACTIVE_BO 52HÌNH 20 - NGĂN CHẶN TẤN CÔNG QUA LỖ HỔNG MSRPC REMOTEACTIVE .52HÌNH 21 – MÔ HÌNH MẠNG VNUNET .53HÌNH 22 – SƠ ĐỒ TRIỂN KHAI IPS 54HÌNH 23 – KHI CÓ TẤN CÔNG HOẶC THÂM NHẬP THÌ GỬI MAIL CHO CÁN BỘ TTMT .55HÌNH 24 - MÔ HÌNH MẠNG VNUNET SAU KHI TRIỂN KHAI HỆ THỐNG IDS/IPS .56HÌNH 25 - HỆ THỐNG IPS GỬI MAIL CHO NGƯỜI QUẢN TRỊ 57HÌNH 26 - CÁC DÒ QUÉT VÀ TẤN CÔNG THỰC TẾ58HÌNH 27 – CÁC HÀNH VI KHAI THÁC ĐIỂM YẾU AN NINH 61HÌNH 28 - XU HƯỚNG PHISHING SẮP TỚI .62HÌNH 29 - MINH HỌA SMURF ATTACK .66HÌNH 30 - MINH HỌA TẤN CÔNG SYNFLOOD 67HÌNH 31 - SƠ ĐỒ KẾT NỐI LOGIC .75HÌNH 32 – MÔ HÌNH TỔ CHỨC .763 MỞ ĐẦUVới sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép. Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng để bảo đảm an ninh mạng ở một mức khá cao.Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200 trên hệ thống mạng của Trường Đại học Quốc gia. Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, sau đó có đánh giá và nhận xét.Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát triển từ kết quả của khoá luận.4 [...]... IPS /IDS Monitoring Locations (Địa điểm giám sát IPS /IDS) Có hai loại địa điểm giám sát sau : Host-Based Network-Based Host-Based Hệ thống phát hiện thâm nhập dựa trên máy trạm kiểm tra những hoạt động trái phép bằng cách kiểm tra thông tin ở mức máy hoặc mức hệ điều hành Những hệ thống này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báo lỗi hệ thống … 25 Vì IPS /IDS dựa... phát triển một hệ thống mạng an ninh tốt và bảo mật cao, một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm nhập, đồng thời biết cách ngăn chặn chúng 1.2 HỆ THỐNG MẠNG VNUNET [4] 1.2.1 Khái quát về hiện trạng hệ thống mạng VNUNet Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống mạng VNUnet Ta có thể tóm tắt một số ý chính như sau : • Hệ thống. .. khác • Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời • Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường 10 • Xây dựng và triển khai hệ thống dự phòng 2.1.3 Lỗ hổng bảo mật [10] Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà cho phép một... chiếm được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường lửa và các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống mạng qua đó tạo điều kiện cho việc thâm nhập dễ dàng hơn Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn công nhằm vào hệ thống thì hacker không cần phải tấn công từ chối dịch vụ mà sẽ khai thác các lỗ hổng bảo mật... phần mềm được triển khai tới khi một bản vá bảo mật có sẵn hoặc được triển khai Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành... đề vô cùng cần thiết Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và ngăn chặn thâm nhập IDS/ IPS là một khâu quan trọng Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội 7 CHƯƠNG 2.TẤN CÔNG VÀ THÂM NHẬP 2.1 KIẾN THỨC... của tấn công IPS /IDS Triggers Mục đích của thiết bị IDS/ IPS là nhận diện tấn công và ngăn chặn nó Tuy nhiên không phải loại thiết bị nào cũng dùng chung một phương thức giống nhau Có ba phương thức chính được sử dụng trong hệ thống IDS/ IPS hiện tại Anomaly detection Misuse detection Protocol analysis Chú ý : Phương thức nhận biết dựa trên hành động gây ra các báo động của hệ thống IDS/ IPS Ví dụ phương... bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/ IPS được nói tới trong khóa luận 2.1.1 Thâm nhập [9] Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản trị Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp quyền của họ Thâm nhập cũng có thể... SYSTEM [2] 3.3.1 SiteProtector System là gì? SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh, điều khiển và giám sát cho tất cả các sản phẩm IBM ISS Các thành phần của hệ thống SiteProtector Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có đều có chức năng riêng Giao diện hệ thống SiteProtector xem các thành phần như là các agent • Agent Manager... nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc Nó thực hiện các việc sau: o Kết nối tới trung tâm download ISS o Download các bản cập nhật o Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán 29 • Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector được giới hạn Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sự kiện bảo mật của hệ thống . NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆTrần Tiến CôngNGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/ IPSKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tinHÀ NỘI -. NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆTrần Tiến CôngNGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/ IPSKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành : Công nghệ thông tinCán bộ hướng
![Hình 2- Minh họa trình tự tấn công [12] - Nghiên cứu triển khai hệ thống ids -ips](https://media.store123doc.com/figures/001/436/hinh-minh-hoa-trinh-tu-cong-1436794.png)
