Đang tải... (xem toàn văn)
MỤC LỤC LỜI CẢM ƠN 4 DANH MỤC VIẾT TẮT 5 DANH MỤC HÌNH ẢNH 6 CHƯƠNG 1 : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 7 1. Cơ sở thực tiễn của đề tài 7 1.1. Cơ sở khoa học của đề tài 7 1.2. Ý nghĩa thực tiễn của đề tài: 8 2. Nội dung nghiên cứu chính 8 2.1. Mục tiêu của đề tài: 8 2.2. Nội dung của đề tài: 9 3. Phương pháp nghiên cứu 9 3.1. Phương pháp lý thuyết 9 3.2. Phương pháp thực nghiệm 9 4. Phạm vi nghiên cứu 10 CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC TẬP 11 1. Vị trí và chức năng 11 2. Nhiệm vụ và quyền hạn 11 3. Cơ cấu tổ chức 13 CHƯƠNG 3 : GIỚI THIỆU CHUNG VỀ MẠNG MÁY TÍNH VÀ CÁC KIỂU TẤN CÔNG MẠNG THƯỜNG GẶP 15 1. Lịch sử phát triển của mạng máy tính 15 2. Một số kiểu tấn công mạng máy tính phổ biến hiện nay 17 2.1. Tấn công bị động 17 2.2. Tấn công rải rác 17 2.3. Tấn công nội bộ 17 2.4. Tấn công phishing 18 2.5. Tấn công của không tặc 18 2.6. Tấn công bằng mật khẩu 18 2.7. Khai thác lỗ hổng tấn công 18 2.8. Buffer overflow ( Lỗi tràn bộ đệm ) 18 2.9. Lỗi quản trị hệ thống 18 CHƯỜNG 4: NGHIÊN CỨU THÂM NHẬP TRÁI PHÉP VỀ IDSIPS VÀ GIẢI PHÁP PHÒNG CHỐNG 19 1. IDS 19 1.1. Sự ra đời của IDS 19 1.2. Khái niệm 20 1.3. Chức năng 20 1.4. Các loại tấn công 20 1.5. Phân loại IDS 22 1.5.1. Hệ thống phát hiện xâm nhập HostBased( Hostbased IDS). 22 1.5.2. Hệ thống phát hiện xâm nhập NetworkBased( Networkbased IDS) 23 1.5.3. So sánh HIDS và NIDS. 26 1.6. Kiến trúc IDS 29 1.7. Kỹ thuật xử lý dữ liệu IDS 31 2. IPS 32 2.1. Khái niệm 32 2.2. Phát hiện và ngăn ngừa xâm nhập 33 2.2.1. Phát hiện xâm nhập 33 2.2.2. Ngăn ngừa xâm nhập 34 2.2.3. Yêu cầu của IPS trong tương lai 34 2.3. So sánh về IDS và IPS 35 CHƯƠNG 5 : XÂY DỰNG HỆ THỐNG IDSSNORT TRÊN HỆ ĐIỀU HÀNH LINUX 37 1. Giới thiệu chung về hệ thống IDSSnort 37 2. Mô hình hoạt động 38 2.1. Network Intrusion Detection System (NIDS) 38 2.2. Host Intrusion Detection System (HIDS) 39 3. Cấu trúc Snort 39 4. Cài đặt và cấu hình Snort 40
MỤC LỤC LỜI CẢM ƠN Để hoàn thành đề tài thực tập tốt nghiệp này, trước hết em xin gửi lời cảm ơn chân thành đến Cán tại Trung Tâm Thông Tin Tư Liệu Môi Trường tận tình chỉ bảo truyền đạt kiến thức cho em Đồng thời em xin gửi lời cảm ơn đặc biệt sự chỉ dạy, hướng dẫn tận tình ThS Trần Thi Yến tận tình hướng dẫn, giúp đỡ em suốt thời gian thực đề tài thực tập Em xin gửi lời cảm ơn tới Khoa Công nghệ Thông tin – Trường Đại Học Tài nguyên Môi trường Hà Nội quan tâm tạo điều kiện giúp em hoàn thành đề tài thực tập tốt nghiệp Ngoài ra, em xin cảm ơn người bạn giúp đỡ trao đổi thêm nhiều thông tin đề tài trình thực đề tài Cuối em vô biết ơn gia đình bạn bè, người luôn bên cạnh em, động viên, chia sẻ với em suốt thời gian thực đề tài thực tập tốt nghiệp “ Nghiên cứu công nghệ IDS/IPS ứng dụng đảm bảo website Trung tâm thông tin tư liệu Môi trường ” Do kiến thức hạn chế, báo cáo em không tránh khỏi sai sót Rất mong nhận lời góp ý từ quý Thầy cô để đề tài thực tập tốt nghiệp em hoàn thiện giúp em có thêm kinh nghiệm quý báu Cuối cùng, em xin kính chúc Cán tại Trung Tâm Thông Tin Tư Liệu Môi Trường nói chung, thầy cô khoa công nghệ thông tin Trường đại học tài nguyên môi trường nói riêng dồi sức khỏe thành công sự nghiệp cao quý Hà Nội, tháng năm 2017 Sinh viên thực NGUYỄN VĂN TRƯỜNG DANH MỤC VIẾT TẮT Chữ viết tắt Tên tiếng anh Nghĩa tiếng việt IDS Hệ thống phát xâm phạm Hệ thống chống xâm nhập HIDS Intrusion detection system Intrusion Prevention System Host-based IDS NIDS Network-based IDS Dos Disk Operating System Transmission Control Protocol User Datagram Protocol IPS TCP UDP SNORT LAN PL Local Area Network Packet Logger Inline Hệ thống phát xâm nhập Host-Based Hệ thống phát xâm nhập Network-Based Hệ điều hành Dos Giao thức kiểm soát truyền tải Giao thức cốt lõi giao thức TCP/IP Một hệ thống phát xâm nhập mạng mã nguồn mở Mạng máy tính cục Ghi log gói tin nhớ Nhận gói tin DANH MỤC HÌNH ẢNH Hình 1.1 : Sơ đồ biểu diễn kich NIDS điển hình…………………… 26 Hình 1.2 : Sơ đồ biểu diễn HIDS điển hình……………………………….27 Hình 1.3 : Kiến trúc hệ thống phát xâm nhập IDS.…………… 29 Hình 1.4 : Quá trình hoạt động hệ thống IDS…………………………… 30 Hình 2.1 : Mô hình triển khai NIDS……………………………………….38 Hình 2.2 : Cấu trúc Snort………………………………………………… 39 CHƯƠNG : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU Cơ sở thực tiễn đề tài 1.1 Cơ sở khoa học đề tài An ninh thông tin nói chung an ninh mạng nói riêng vấn đề quan tâm không chỉ Việt Nam mà toàn giới Cùng với sự phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong đó, cần phải nhắc đến hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập mà cách 30 năm, khái niệm phát xâm nhập xuất qua báo James Anderson Khi người ta cần IDS với mục đích dò tìm, nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng tại mạng máy tính không lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS chỉ xuất phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa sự bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực sự đem lại lợi nhuận với sự đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Vào năm 2003, Gartner công ty hàng đầu lĩnh vực nghiên cứu phân tích thi trường công nghệ thông tin toàn cầu đưa dự đoán gây chấn động lĩnh vực an toàn thông tin: “Hệ thống phát xâm nhập (IDS) không vào năm 2005” Phát biểu dựa nhiều phản ánh khách hàng sử dụng IDS quản tri, vận hành hệ thống IDS khó khăn, tốn kém, không đem lại hiệu tương xứng so với đầu tư xuất phát từ số kết phân tích, đánh giá cho thấy hệ thống IDS đối mặt với vấn đề như: IDS thường xuyên đưa nhiều báo động giả (False Positives); gánh nặng cho quản tri an ninh hệ thống cần theo dõi liên tục (24 suốt 365 ngày năm); kèm theo cảnh báo công quy trình xử lý an ninh vất vả; khả theo dõi luồng liệu truyền với tốc độ lớn 600 Megabit giây Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không chỉ đưa cảnh báo nhằm giảm thiểu công việc người quản tri hệ thống Thế hệ sau IDS hệ thống tự động phát ngăn chặn xâm nhập IPS đời vào năm 2003, sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản tri, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành Hơn số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Ngày nay, Hệ thống phát phòng chống xâm nhập (IDPS) trở thành sự bổ sung cần thiết cho sở hạ tầng an ninh gần tất tổ chức Từ vấn đề trên, em chọn đề tài “Nghiên cứu công nghệ IDS/IPS ứng dụng đảm bảo website Trung tâm thông tin tư liệu Môi trường ” để làm báo cáo thực tập tốt nghiệp 1.2 Ý nghĩa thực tiễn đề tài: - Làm rõ tranh an toàn mạng - Hiểu phương pháp công mạng máy tính - Giải pháp giúp đơn vi an toàn mạng trình hoạt động tham gia mạng internet toàn cầu - Có thể tài liệu tham khảo cho sinh viên khóa chuyên ngành CNTT có học tập tại Trường Nội dung nghiên cứu 2.1 Mục tiêu đề tài: - Nghiên cứu môi trường mạng máy tính - Nghiên cứu số phương pháp khai thác mạng ngăn ngừa mạng phổ biến -Nghiên cứu hệ thống IDS/IPS - Nghiên cứu số mã nguồn mở triển khai hệ thống IDS/IPS - Triển khai hệ thống IDS/IPS ứng dụng tại trung tâm thông tin tư liệu Môi trường 2.2 Nội dung đề tài: - Khái quát tổng quan môi trường an ninh mạng máy tính - Một số kiểu công mạng máy tính phổ biến -Tổng quan IDS/IPS -Kiến trúc hệ thống phát xâm nhập IDS/IPS -Một số giải pháp phát ngăn chặn xâm nhập trái phép -Nghiên cứu mã nguồn mở Snort triển khai IDS/IPS -Xây dựng thực nghiệm áp dụng cụ thể vào trung tâm thông tin tư liệu môi trường - Đánh giá, tổng kết hướng đề xuất phát triển đề tài Phương pháp nghiên cứu 3.1 Phương pháp lý thuyết - Tìm đọc tài liệu liên quan đến vấn đề IDS/IPS - Sau tổng hợp, phân tích, tìm ưu nhược điểm giải pháp lựa chọn vào giải pháp có hiệu - Xây dựng số giải pháp phòng chống ngăn chặn xâm nhập mạng 3.2 Phương pháp thực nghiệm - Khảo sát, thu thập, phân tích trạng hệ thống mạng tại trung tâm - Ứng dụng số mã nguồn mở snort, cacti việc triển khai IDS/IPS - Xây dựng giải pháp IDS/IPS tại trung tâm - Đánh giá, kiểm tra kết đạt Phạm vi nghiên cứu - Nghiên cứu hệ thống IDS/IPS ứng dụng tại trung tâm thông tin tư liệu Môi trường CHƯƠNG 2: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC TẬP Cơ quan thực tập : TỔNG CỤC MÔI TRƯỜNG TRUNG TÂM THÔNG TIN VÀ TƯ LIỆU MÔI TRƯỜNG Địa chỉ: 83 Nguyễn Chí Thanh, Đống Đa, Hà Nội Điện thoại: (043) 5527919 Fax: (043) 8728294 Email: thongtintulieumt@monre.gov.vn Địa website: www.ceid.gov.vn Chức nhiệm vụ: www.ceid.gov.vn/portal/KenhTin/Chuc-nang-Nhiem-vu.aspx Vị trí chức 1.1.Trung tâm Thông tin Tư liệu môi trường đơn vị nghiệp công lập trực thuộc Tổng cục Môi trường (sau gọi tắt Tổng cục), có chức giúp Tổng Cục trưởng Tổng cục Môi trường (sau gọi tắt Tổng Cục trưởng) thực nhiệm vụ sau: thu thập, xây dựng quản lý thông tin, tư liệu, thư viện giấy điện tử, phát triển ứng dụng công nghệ thông tin, hệ thống thông tin, sở liệu môi trường quốc gia phục vụ quản lý nhà nước môi trường Tổng cục; đạo hướng dẫn việc thu thập, giao nộp, lưu trữ, quản lý, thống kê, cung cấp, chia sẻ thông tin, liệu, tư liệu môi trường, xây dựng hệ thống thông tin, sở liệu môi trường; tổng hợp công bố thông tin danh mục liệu môi trường theo quy định pháp luật 1.2.Trung tâm Thông tin Tư liệu môi trường có tư cách pháp nhân, có dấu riêng, mở tài khoản Kho bạc Nhà nước Ngân hàng theo quy định pháp luật quy định hành Nhiệm vụ quyền hạn 1.3.Thực thu thập, xây dựng, tích hợp, lưu trữ, thống kê, quản lý, cập nhật, khai thác, xử lý thông tin, liệu, tư liệu, sở liệu, thư viện giấy điện tử, hệ thống thông tin môi trường quốc gia phát triển ứng dụng công nghệ thông tin sở hạ tầng công nghệ thông tin Tổng cục phục vụ nhiệm vụ quản lý nhà nước môi trường 1.4.Thực tổng hợp, cập nhật cung cấp thông tin, tư liệu môi trường, công bố thông tin danh mục liệu môi trường theo quy định pháp luật phân công Tổng Cục trưởng 1.5.Thực việc thiết kế, xây dựng kiến trúc tổng thể cho hệ thống thông tin sở liệu môi trường, danh mục, chuẩn, cấu trúc sở liệu môi trường; xây dựng chiến lược, quy hoạch phát triển, kế hoạch dài hạn, năm hàng năm ứng dụng công nghệ thông tin, xây dựng hệ thống sở liệu, hệ thống thông tin, thư viện, tư liệu môi trường Tổng cục 1.6.Tham gia xây dựng báo cáo trạng môi trường quốc gia, báo cáo chuyên đề môi trường, báo cáo nhanh trạng, biến động môi trường nhận định xu hướng phát triển tài nguyên môi trường 1.7.Thực xây dựng quy định, định mức kinh tế - kỹ thuật lĩnh vực thông tin, tư liệu, thư viện, hệ thống thông tin, sở liệu, phát triển ứng dụng công nghệ thông tin môi trường 1.8.Kiểm tra, thu nhận sản phẩm dự án, nhiệm vụ, đề tài triển khai ứng dụng công nghệ thông tin thuộc phạm vi quản lý Tổng cục 1.9.Thực chương trình, đề án, dự án, đề tài nghiên cứu, ứng dụng khoa học công nghệ thuộc lĩnh vực thông tin, hệ 10 công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) - IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ - Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa – tạo phân tích bước đầu thậm chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS DIDS sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt trang bi sự phát công phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vi trí vật lý Thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu công biết Đây hệ số đinh nói đến nghĩa bảo vệ liên quan đến kiểu công Các giải pháp dựa tác nhân IDS sử dụng chế phức tạp cho việc nâng cấp sách đáp trả - Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự tri cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số không bình thường telnet session bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát sự kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự tri) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát 35 tác nhân host cụ thể Các thu nhận luôn gửi kết hoạt động chúng đến kiểm tra Các kiểm tra nhận thông tin từ mạng (không chủ từ host), điều có nghĩa chúng tương quan với thông tin phân tán Thêm vào đó, số lọc đưa để chọn lọc thu thập liệu 1.7 Kỹ thuật xử lý liệu IDS - Phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác (kỹ thuật) sử dụng cho liệu IDS Dưới số hệ thống mô tả vắn tắt: + Hệ thống Expert: hệ thống làm việc tập nguyên tắc đinh nghĩa từ trước để miêu tả công Tất sự kiện có liên quan đến bảo mật kết hợp vào kiểm đinh dich dạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense ComputerWatch (được phát triển tại AT&T) + Phân tích dấu hiệu giống phương pháp hệ thống Expert, phương pháp dựa hiểu biết công Chúng biến đổi sự mô tả ngữ nghĩa từ công thành đinh dạng kiểm đinh thích hợp Như vậy, dấu hiệu công tìm thấy ghi đầu vào luồng liệu theo cách dễ hiểu Một kich công mô tả, ví dụ chuỗi sự kiện kiểm đinh công mẫu liệu tìm kiếm lấy kiểm đinh Phương pháp sử dụng từ tương đương trừu tượng liệu kiểm đinh Sự phát thực cách sử dụng chuỗi văn chung hợp với chế Điển hình, kỹ thuật mạnh thường sử dụng hệ thống thương mại (ví dụ Stalker, Real Secure, NetRanger, Emerald eXpertBSM) + Phương pháp Colored Petri Nets thường sử dụng để tổng quát hóa công từ hiểu biết để thể công theo đồ họa Hệ thống IDIOT đại học Purdue sử dụng Colored Petri Nets Với kỹ thuật này, quản tri viên dễ dàng việc bổ sung thêm dấu hiệu 36 Mặc dù vậy, việc làm cho hợp dấu hiệu phức tạp với liệu kiểm đinh vấn đề gây tốn nhiều thời gian Kỹ thuật không sử dụng hệ thống thương mại + Phương pháp Colored Petri Nets thường sử dụng để tổng quát hóa công từ hiểu biết để thể công theo đồ họa Hệ thống IDIOT đại học Purdue sử dụng Colored Petri Nets Với kỹ thuật này, quản tri viên dễ dàng việc bổ sung thêm dấu hiệu Mặc dù vậy, việc làm cho hợp dấu hiệu phức tạp với liệu kiểm đinh vấn đề gây tốn nhiều thời gian Kỹ thuật không sử dụng hệ thống thương mại + Phân biệt ý đinh người dùng: Kỹ thuật mô hình hóa hành vi thông thường người dùng tập nhiệm vụ mức cao mà họ thực hệ thống (liên quan đến chức người dùng) Các nhiệm vụ thường cần đến số hoạt động điều chỉnh cho hợp với liệu kiểm đinh thích hợp Bộ phân tích giữ tập hợp nhiệm vụ chấp nhận cho người dùng Bất sự không hợp lệ phát cảnh báo sinh + Machine learning (kỹ thuật tự học) Đây kỹ thuật thông minh nhân tạo, lưu luồng lệnh đầu người dùng vào biểu mẫu vector sử dụng tham chiếu profile hành vi người dùng thông thường Các profile sau nhóm vào thư viện lệnh người dùng có thành phần chung IPS 2.1 Khái niệm - Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) đinh nghĩa phần mềm thiết bi chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP-Intrusion Detection and Prevention 37 - IPS đời nào, tại lại cần IPS IDS? + Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không chỉ đưa cảnh báo nhằm giảm thiểu công việc người quản tri hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi + Kết hợp với việc nâng cấp thành phần quản tri, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành Hơn số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ - Nhìn bề ngoài, giải pháp phát xâm nhập ngăn ngừa xâm nhập xuất theo kiểu cạnh tranh Rốt cuộc, chúng chia sẻ danh sách chức giống kiểm tra gói tin, phân tích có trạng thái, ráp lại đoạn, ráp lại TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức thích ứng chữ ký Một IPS hoạt động giống người bảo vệ gác cổng cho khu dân cư, cho phép từ chối truy nhập dựa sở uỷ nhiệm tập quy tắc nội quy Một IDS (hệ thống phát xâm nhập) làm việc giống xe tuần tra bên khu dân cư, giám sát hoạt động tìm tình bất bình thường Dù mức độ an ninh tại cổng vào khu dân cư mạnh đến mức nào, xe tuần tra tiếp tục hoạt động hệ thống giám sát sự cân 2.2 Phát ngăn ngừa xâm nhập 2.2.1 Phát xâm nhập - Mục đích “phát xâm nhập” cung cấp sự giám sát, kiểm tra, tính pháp lý báo cáo hoạt động mạng Nó hoạt động gói 38 tin cho phép thông qua thiết bi kiểm soát truy nhập Do hạn chế độ tin cậy đe doạ bên trong, “Ngăn ngừa Xâm nhập” phải cho phép số “vùng xám” (gray area) công để tránh trường hợp báo động giả Mặt khác, giải pháp IDS “nhồi” trí thông minh có sử dụng nhiều kỹ thuật khác để nhận biết xâm nhập, khai thác, lạm dụng bất công tiềm tàng Một IDS thực hoạt động mà không làm ảnh hưởng đến kiến trúc tính toán kết nối mạng - Bản chất bi động IDS nằm chỗ cung cấp sức mạnh để chỉ đạo phân tích thông minh lưu lượng gói tin Những vi trí IDS nhận : + Các công quen biết theo đường chữ ký (signature) quy tắc + Những biến thiên lưu lượng phương hướng sử dụng quy tắc phân tích thống kê phức tạp + Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng + Phát hoạt động bất bình thường có sử dụng phân tích độ lệch đường sở (baseline deviation analysis) + Phát hoạt động đáng nghi nhờ phân tích luồng, kỹ thuật thống kê phát sự bất bình thường 2.2.2 Ngăn ngừa xâm nhập - Như đề cập trước đây, giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hoàn hảo – báo động giả làm giảm suất người dùng cuối từ chối sai tạo rủi ro mức bên môi trường Có lẽ vai trò cốt yếu cần thiết để tin tưởng, để thực theo cách mong muốn điều kiện Điều có nghĩa giải pháp “Ngăn ngừa Xâm nhập” đặt vào vi trí để phục vụ với: 39 + Những ứng dụng không mong muốn công “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác đinh danh sách điều khiển truy nhập (access control lists) + Các gói tin công giống gói tin từ LAND WinNuke qua việc sử dụng lọc gói tốc độ cao + Sự lạm dụng giao thức hành động lảng tránh – thao tác giao thức mạng giống Fragroute khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh + Các công từ chối dich vụ (DOS/DDOS) “lụt” gói tin SYN ICMP việc sử dụng thuật toán lọc dựa sở ngưỡng - Tất công trạng thái dễ bi công cho phép chúng tình cờ xảy chứng minh tài liệu Ngoài ra, khác thường giao thức truyền thông từ mạng qua lớp ứng dụng chỗ cho loại lưu lượng hợp pháp nào, làm cho lỗi trở thành tự chọn lọc ngữ cảnh xác đinh 2.2.3 Yêu cầu IPS tương lai - Trong tương lai, giải pháp cổng an ninh nội tuyến (inline) phải đạt mục tiêu : + Khả phát ngăn chặn công dựa sở sử dụng lôgic vật lý nhiều công nghệ ép buộc Rộng hơn, điều bao gồm khả ngăn ngừa hai dạng công biết chưa biết có sử dụng biện pháp phòng thủ ứng dụng (Application Defenses) + Khả hoạt động với sở hạ tầng an ninh triển khai cho mục đích hỗ trợ tập hợp liệu, chứng điện tử, giám sát theo dõi phục tùng điều chỉnh cần + Khả hỗ trợ chuyên gia an ninh CNTT việc chuyển giao kế hoạch quản lý rủi ro tổ chức họ bao gồm chi phí cho thực hiện, hoạt động kết làm việc từ cảnh báo báo cáo từ hệ thống - Những thách thức để đạt mục đích 40 + Hiện thời nghiên cứu đối tác thứ ba chấp nhận tính hiệu IPS giải pháp Sự quảng cáo thổi phồng xung quanh “Ngăn ngừa Xâm nhập” làm lẫn lộn công nghệ cung cấp hứa hẹn + Nhiều giải pháp IPS đòi hỏi yêu cầu giống IDS để điều chỉnh, giám sát báo cáo - Một cách nhìn thực dụng tương lai: Hiện tại sản phẩm thích hợp cho tất làm việc phù hợp với nhu cầu thi trường rộng lớn tại mức mà thay tường lửa tại, NIDS (Network Intrusion Detection System), chuyển mạch lớp thành phần khác hay trở thành cổng an ninh nội tuyến ngày mai 2.3 So sánh IDS IPS - Hiện nay, Công nghệ IDS thay giải pháp IPS Nếu hiểu đơn giản, ta xem IDS chỉ chuông để cảnh báo cho người quản tri biết nguy xảy công Dĩ nhiên ta thấy rằng, chỉ giải pháp giám sát thụ động, tức chỉ cảnh báo mà thôi, việc thực ngăn chặn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản tri Vì vậy yêu cầu cao nhà quản tri việc xác đinh lưu lượng cần lưu lượng có nghi vấn dấu hiệu công Và dĩ nhiên công việc lại khó khăn Với IPS, người quản tri không nhũng xác đinh lưu lượng khả nghi có dấu hiệu công mà giảm thiểu khả xác đinh sai lưu lượng Với IPS, công bi loại bỏ có dấu hiệu hoạt động tuân theo quy luật nhà Quản tri đinh sẵn - IDS chỉ sử dụng từ đến chế để phát công Vì công lại có chế khác (Có thể tham khảo thêm viết DoS tui ), vậy cần có chế khác để phân biệt Với IDS, số lượng chế nên dẫn đến tình trạng không phát công với chế không đinh sẵn, dẫn đến khả 41 công thành công, gây ảnh hưởng đến hệ thống Thêm vào đó, chế IDS tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian công sức nhà quản tri Với IPS xây dựng nhiều chế công hoàn toàn tạo chế phù hợp với dạng thức công nên giảm thiểu khả công mạng, thêm đó, độ xác IPS cao so với IDS - Nên biết với IDS, việc đáp ứng lại công chỉ xuất sau gói tin công tới đích, lúc việc chống lại công việc gửi yêu cầu đến máy hệ thống để xoá kết nối đến máy công máy chủ, gửi thông tin thông báo đên tường lửa ( Firewall) để tường lửa thực chức nó, nhiên, việc làm lại gây tác động phụ đến hệ thống Ví dụ Attacker giả mạo (sniffer) đối tác, ISP, khách hàng, để tạo công từ chối dich vụ thấy rằng, IDS chặn công từ chối dich vụ Block IP khách hàng, ISP, đối tác, vậy thiệt hại tồn tại coi hiệu ứng phụ DoS thành công công từ chối dich vụ thất bại Nhưng với IPS khác phát từ đầu dấu hiệu công sau khoá lưu lượng mạng có khả giảm thiểu công 42 CHƯƠNG : XÂY DỰNG HỆ THỐNG IDS-SNORT TRÊN HỆ ĐIỀU HÀNH LINUX Giới thiệu chung hệ thống IDS-Snort - SNORT hệ thống mã nguồn mở phát hiện, ngăn chặn xâm nhập mạng, có khả phân tích lưu thông mạng thời gian thực ghi log gói tin mạng dùng giao thức IP Hệ thống thực phân tích giao thức , so khớp nội dung sử dụng để phát kiểu công khác tràn nhớ đệm, quét port, công CGI…Sử dụng SNORT không khó hệ thống có nhiều tùy chọn dùng dòng lệnh - SNORT cấu hình để chạy chế độ sau : + Sniffer: lắng nghe gói tin mạng hiển thi chúng theo luồng liên tiếp lên hình console + Packet Logger (PL): ghi log gói tin nhớ + Network Intrusion Detection System(NIDS): nhận gói tin từ libpcap/winpcap, phân tích lưu thông mạng để so khớp với tập luật người dùng đinh nghĩa có nhiều hành động tương ứng + Inline: nhận gói tin từ bảng iptables cho phép hay bỏ gói tin dựa dựa vào luật SNORT - SNORT phát triển Eric Raymond phổ biến sử dụng để mở đường cho Linux thành công thi trường hệ điều hành , người cộng đồng mã nguồn mở SNORT phát phản hồi lỗi mối nguy hại bảo mật cách nhanh hiệu môi trường mã nguồn đóng - SNORT sử dụng rules chứa tập tin dạng văn text bình thường tập tin sửa bổ sung người dùng Các rules tập hợp thành mục riêng biệt chứa tập tin riêng biệt Các tập tin sau khai báo tập tin cấu hình SNORT đọc 43 rules lúc khởi động xây dựng cấu trúc liệu bên kết nối rules lại để bắt gói tin Mô hình hoạt động 2.1 Network Intrusion Detection System (NIDS) - NIDS thường đặt hệ thống mạng để giám sát giao dich thiết bi Chúng ta quét tất thông tin vào hệ thống Hình 2.1: Mô hình triển khai của NIDS 44 2.2 Host Intrusion Detection System (HIDS) - HIDS chạy máy riêng biệt thiết bi mạng , nhằm phát sự công vào thiết bi Cấu trúc Snort Hình 2.2 : Cấu trúc của Snort - Snort sử dụng pcap để bắt đọc gói tin mạng Pcap dùng hàm callback ProcessPacket đọc gói tin Từ hàm gọi đến phân tích gói tin , sau trình phân tích , tùy theo cách cấu hình để Snort khởi động , tiếp đên thành phần 45 Cài đặt cấu hình Snort - Cài đặt Snort gói snort-2.4.2.tar.gz với lệnh sau # # cp snort-2.4.2.tar.gz /usr/ # cd /usr/ # tar –xzvf snort-2.4.2.tar.gz # cd snort-2.4.2 # /configure with-mysql # make # make install - Cập nhật tập luật cho snort # mkdir /etc/snort # cp snortrules.tar.gz /etc/snort # cd /etc/snort # tar –xzvf snortrules.tar.gz - Vì đường dẫn cấu hình mặc đinh snort, để snort chạy đúng, chuẩn xác cần di chuyển tất luật từ thư mục: /etc/snort/snortrules đến thư mục /etc/snort - Xóa thư mục /etc/snort/snortrules - Sửa file /etc/snort/snort.conf dòng sau: # output database: log, mysql, user=root password=test dbname=db host=localhost sửa thành output database: log, mysql, user=snort password=123456 dbname=snort host=000.000.000.000 var RULE_PATH /rules sửa thành #var RULE_PATH /rules - Bỏ tất “$RULE_PATH” dòng include sau: # include $RULE_PATH/badtraffic.rules……………………………………… 46 sửa thành #include bad-traffic.rules …………………………………………… - Tạo file để khởi động Snort # cp snortd /etc/rc.d/init.d # cd /etc/rc.d/init.d # chmod 755 snortd # chkconfig –level 2345 snortd on # /etc/rc.d/init.d/snortd start #./etc/rc.d/init.d/snortd star 47 PHỤ LỤC Nhật ký thực tập Thời gian Công việc đã làm Tự nhận xét Đến trung tâm nhận phân công thực tập Hoàn thành 15/01/2017 – 22/01/2017 Nghiên cứu công nghệ IDS/IPS Hoàn thành 23/01/2017 – 25/01/2017 Nghiên cứu website trung tâm Hoàn thành 26/01/2017 – 05/02/2017 Nghỉ tết âm lich Hoàn thành 06/02/2017 – 12/02/2017 Nghiên cứu công Snort Hoàn thành 13/02/2017 – 19/02/2017 Tìm hiểu cài mã nguồn mở Snort Hoàn thành 20/02/2017 – 01/03/2017 Viết báo cáo Hoàn thành Hoàn thành báo cáo thực tập Hoàn thành 16/01/2017 02/03/2017 48 Xác nhận của người hướng dẫn NHẬN XÉT ĐÁNH GIÁ QUÁ TRÌNH THỰC TẬP Sinh viên : Nguyễn Văn Trường Việc chấp hành nội quy, quy chế của quan địa phương …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Ý thức, tinh thần, trách nhiệm quá trình thực tập …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Quan hệ với cán bộ quan, đơn vị quyền nhân dân địa phương …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Đánh giá chung của đơn vị thực tập Giỏi: Khá: Đạt: Không đạt: Ngày…….tháng năm 2017 CƠ QUAN ĐƠN VỊ THỰC TẬP (Ký tên, đóng dấu) 49 ... Đa, Hà Nội Điện thoại: (0 43) 5 527 919 Fax: (0 43) 8 728 294 Email: thongtintulieumt@monre.gov.vn Địa website: www.ceid.gov.vn Chức nhiệm vụ: www.ceid.gov.vn/portal/KenhTin/Chuc-nang-Nhiem-vu.aspx... đồng theo quy định 2. 20 Thống kê, báo cáo định kỳ đột xuất tình hình thực nhiệm vụ giao 2. 21 Thực nhiệm vụ khác Tổng Cục trưởng giao Cơ cấu tổ chức 3.1.Văn phòng 3 .2. Phòng Thông tin môi trường 3.3.Phòng... Tâm Thông Tin Tư Liệu Môi Trường nói chung, thầy cô khoa công nghệ thông tin Trường đại học tài nguyên môi trường nói riêng dồi sức khỏe thành công sự nghiệp cao quý Hà Nội, tháng năm 20 17 Sinh