BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ---o0o--- ĐỒ ÁN TỐT NGHIỆP Đề tài Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System - IPS Sinh viên thực hiện: TÔ THANH BÌNH – MSSV: 08B1020122 THÀNH PHỐ HỒ CHÍ MINH NĂM 2010 -0- LỜI CẢM ƠN Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ Tp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trong suốt thời gian vừa qua. Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thời gian vừa qua. Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được đồ án. Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang áp dụng vào cuộc sống. Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp. Tô Thanh Bình -1- Mục Lục LỜI CẢM ƠN................................................................................................1 Danh mục từ viết tắt.......................................................................................5 Danh mục hình minh họa................................................................................8 Danh mục bảng.............................................................................................10 MỞ ĐẦU 11 Chương 1 . Tổng quan về hệ thống ngăn chặn xâm nhập IPS.......................13 1.1 Giới thiệu hệ thống ngăn chặn xâm nhập..................................................13 1.2 Sơ lược các kiểu tấn công và cách phòng chống.......................................15 1.2.1 Các loại tấn công...............................................................................15 1.2.2 Các bước tấn công thường gặp..........................................................17 1.2.3 Phương pháp tấn công.......................................................................18 1.2.4 Giải pháp phòng chống......................................................................20 1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS...................20 1.3.1 Nhận biết qua dấu hiệu - Signature Based.........................................21 1.3.2 Nhận biết qua sự bất thường - Anomaly Based..................................22 1.3.3 Nhận biết qua chính sách - Policy Based...........................................24 1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based.......................24 1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập............................................25 1.4.1 Modul phân tích gói tin......................................................................25 1.4.2 Modul phát hiện tấn công..................................................................25 1.4.3 Modul phản ứng.................................................................................27 1.5 Phân loại hệ thống ngăn chặn xâm nhập...................................................28 1.5.1 Network Base....................................................................................28 1.5.2 Network Behavior Analysis System..................................................30 1.5.3 Host Based.........................................................................................31 1.5.4 Wireless.............................................................................................32 1.6 So sánh hệ thống phát hiện xâm nhậpvà ngăn chặn xâm nhập..................33 -2- 1.7 Các sản phẩm trên thị trường hiện nay......................................................35 Chương 2 . Giới thiệu tổng quan thiết bị IOS IPS.........................................36 2.1 Giới thiệu..................................................................................................36 2.1.1 Một vài định nghĩa.............................................................................36 2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập............................37 2.2 Mô hình của hệ thống ngăn chặn xâm nhập..............................................40 2.2.1 IPS ngoài luồng - Promiscous Mode..................................................41 2.2.2 IPS trong luồng - In-line mode..........................................................41 2.3 Cấu trúc của Cisco IOS IPS Sensor..........................................................42 2.3.1 Signature Definition File - SDF.........................................................42 2.3.2 Signature Micro Engine - SME..........................................................43 2.4 Các loại dấu hiệu và cảnh báo...................................................................43 2.4.1 Các loại dấu hiệu...............................................................................43 2.4.2 Các loại cảnh báo...............................................................................46 2.5 Phương pháp quản lý và hạn chế của hệ thống ngăn chặn xâm nhập........48 2.6 Các lệnh trong Cisco IOS IPS...................................................................49 2.6.1 Các mode của Command Line Interface............................................49 2.6.2 Tìm hiểu các luật của Cisco IOS IPS.................................................51 2.7 Các lỗi thường gặp khi cấu hình bằng Comman - Line.............................55 Chương 3 . Mô hình và thực nghiệm.............................................................57 3.1 Mô tả thực nghiệm....................................................................................57 3.2 Hạ tầng mạng thực nghiệm.......................................................................58 3.3 Một số phần mềm dùng để triển khai........................................................59 3.3.1 Mô tả thiết bị.....................................................................................59 3.3.2 Phần mềm cho PC..............................................................................59 3.3.3 Mô tả các kết nối...............................................................................60 3.4 Cấu hình và kiểm thử................................................................................61 3.4.1 Cấu hình cho từng thiết bị..................................................................61 3.4.2 Kiểm tra quá trình thông mạng..........................................................75 -3- 3.5 Các cuộc tấn công và kết quả thống kê thực nghiệm................................76 3.5.1 Tấn công............................................................................................76 3.5.2 Ngăn chặn..........................................................................................78 3.5.3 Kết quả thống kê thực nghiệm...........................................................79 KẾT LUẬN..................................................................................................82 TÀI LIỆU THAM KHẢO............................................................................83 -4- Danh mục từ viết tắt Viết tắt ACL ASDM CSA AIC ARP IOS SDM CSM MARS CLI CSA DdoS DNS DoS NBA FRU FTP GMT HIPS Tiếng Anh Access Control List Adaptive Security Device Manager Cisco Security Agent Application Inspection and Control Address Resolution Protocol Internetwork Operating System Cisco Security Device Manager Cisco Security Manager Security Monitoring, Analysis, and Response System Command Line Interface Cisco Security Agent Distributed Denial of Service Domain Name System Denial-of-service Network behavior anomaly Fragment Reassembly Unit File Transfer Protocol Time-zone-Tame Host-Based Intrusion Prevention System HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol ICMP Secure Internet Control Message Protocol Tiếng Việt Danh sách các câu lệnh Chương trình dùng để cấu hình Route Phần mềm bảo mật cho Cisco Giao thức Address Resolution Protocol Chương trình dùng để cấu hình Cisco Chương trình dùng để cấu hình Cisco Giao diện dòng lệnh Tấn công từ chối dịch vụ Hệ thống tên miền Tấn công từ chối dịch vụ Dựa trên các dấu hiệu dị thường Tập hợp các IP fragments. Giao thức truyền dữ liệu Giờ GMT Giao thức truyền tải siêu văn bản Giao thức bảo mật truyền tải siêu văn bản Giao thức xử lý các thông báo trạng IDM thái cho IP Cisco Intrusion Prevention System Chương trình dùng để cấu hình IPS IDP IDS MC IDAPI Device Manager Intrusion Detection and Prevention Ngăn ngừa tấn công và phòng chống Intrusion Detection System Hệ thống phát hiện xâm nhập Management Center Trung tâm quản lý Intrusion Detection Application IPS TCP LAN Programming Interface Intrusion Prention System Transport Control Protocol Local Area Network -5- Hệ thống phát hiện xâm nhập Giao thức điều khiển truyền tải Mạng cục bộ LDAP Lightweight Directory Access Giao thức ứng dụng truy cập các cấu MAC Protocol Media Access Control trúc thư mục Định danh được gán cho thiết bị mạng MITM VPN NTP NIPS Man-in-the-middle Virtual Path Network Time Protocol Network-Base Intrusion Tấn công thụ động Mạng riêng ảo Nhận dạng kênh ảo trong tế bào NIC POP OSI RCP SCP SSH SDEE CSM SDF SME SNMP Prevention System network interface Control Post Office Protocol Open Systems Interconnection Remotecopy Protocol Secure Copy Protocol Secure shell Security Device Event Exchange Security Manager Signature Definition file Signature micro-enines Simple Network Management SMTP TFTP TLS Protocol Simple Mail Transfer Protoco Trivial File Transfer Protoco Transport Layer Security bị mạng Giao thức truyền tải thư tín đơn giản Giao thức truyền tải file Giao thức bảo vệ và mã hóa dữ liệu UDP UTM VPN User Datagram Protoco Unified Threat Management Virtual Private Network Giao thức cốt lõi của giao thức TCP/IP Quản lí Bảo mật Hợp nhất Mạng riêng ảo WAN WIPS Wide Area Network Wireless Intrusion Prevention Mạng diện rộng Hệ thống phòng chống xâm nhập mạng Giao thức dùng để nhận các thư điện tử Mô Hình Mạng OS Giao thức giám sát và điều khiển thiết System WLAN Wireless LAN không dây Mạng không dây nội bộ XML WIDS eXtensible Markup Language Wireless Intrusion Detection Ngôn ngửi đánh dấu mở rộng Hệ thống phát hiện xâm nhập mạng System không dây -6- Danh mục hình minh họa Hình 1-1 Mô hình Snort kết hợp Firewall........................................................14 Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng..................................................15 Hình 1-3 Phương thức nhiễm ARP cache.........................................................18 Hình 1-4 Nhận và chuyển Packet.....................................................................19 Hình 1-5 Sơ đồ tấn công DNS..........................................................................20 Hình 1-6 Signature Based................................................................................21 Hình 1-7 Anomaly Based.................................................................................23 Hình 1-8 Policy Based......................................................................................24 Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập..........................25 Hình 1-10 Mô hình Network Base...................................................................28 Hình 1-11 Thành phần của Network Base........................................................29 Hình 1-12 Mô hình Network Behavior Analysis System.................................31 Hình 1-13 Mô hình Host Based........................................................................32 Hình 1-14 Mô hình Wireless............................................................................33 Hình 1-15 Mô hình chung................................................................................34 Hình 2-1 Các thành phần của Cisco IPS...........................................................37 Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn xâm nhập........................39 Hình 2-3 Promiscuos mode..............................................................................41 Hình 2-4 Inline Mode.......................................................................................42 Hình 2-5 Các dấu hiệu Attack..........................................................................44 Hình 2-6 Các dấu hiệu về giao thức.................................................................45 Hình 3-1 Mô hình thực nghiệm........................................................................57 Hình 3-2 Sơ đồ hệ thống cần mô phỏng...........................................................59 Hình 3-3 Bắt đầu cài GNS3..............................................................................64 Hình 3-4 Cài WinpCap.....................................................................................64 Hình 3-5 Kết thúc trình cài đặt GNS3..............................................................65 Hình 3-6Giao diện chính của GNS3.................................................................65 Hình 3-7 Bắt đầu cài SDM...............................................................................66 Hình 3-8 Cài đặt SDM.....................................................................................67 -7- Hình 3-9 SDM Laucher....................................................................................67 Hình 3-10 Giao diện chính của SDM...............................................................68 Hình 3-11 Tính năng IPS trên router................................................................68 Hình 3-12 Thông báo khi chạy IPS..................................................................69 Hình 3-13 Danh sách card mạng......................................................................69 Hình 3-14 Mô tả cách nạp signature.................................................................70 Hình 3-15 Kết thúc các quá trình cấu hình.......................................................70 Hình 3-16 Kết thúc quá trình cấu hình.............................................................71 Hình 3-17 Nạp file SDF cho IOS IPS...............................................................71 Hình 3-18 Card mạng IPS đang theo dõi..........................................................72 Hình 3-19 Định nghĩa hành động cho dấu hiệu................................................72 Hình 3-20 Chỉnh sửa dấu hiệu..........................................................................73 Hình 3-21 Truy cập HTTP................................................................................76 Hình 3-22 Truy cập FTP...................................................................................76 Hình 3-23 Nmap kiểm tra các port trên server..................................................77 Hình 3-24 IPS bắt gói tin của Hacker...............................................................78 Hình 3-25 Chương trình Scanport....................................................................80 Hình 3-26 IPS chặn kết nối FTP.......................................................................81 -8- Danh mục bảng Bảng 2-1 Tóm tắt các loại dấu hiệu..................................................................44 Bảng 2-2 Bảng mô tả chi tiết dấu hiệu.............................................................46 Bảng 2-3 Bộ nhớ các dấu hiệu.........................................................................49 Bảng 2-4 Các dấu hiệu không hỗ trợ................................................................49 -9- MỞ ĐẦU 1. Giới thiệu Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày. Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử dụng máy tính không thể thiếu ở nhiều lĩnh vực. Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập Intrusion Detection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Tuy nhiên, gần đây khái niệm ngăn chặn xâm nhập đã xuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhập Intrusion Prevention System – IPS đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụng rộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới. Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống, ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS, tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó. Cơ sở hạ tầng CNTT càng phát triển thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IPS của riêng mình. Trong luận văn này, chúng ta sẽ - 10 - tìm hiểu về cấu trúc một hệ thống IPS và đi sâu tìm hiểu phát triển hệ thống Cisco IPS để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâm nhập và phòng chống tấn công mạng. 2. Mục tiêu đề tài Đề tài này nghiên cứu các kỹ thuật cơ bản liên quan đến việc xây dựng hệ thống bảo mật ngăn ngừa xâm nhập dựa trên Cisco Intrusion Prevention System và triển khai được ở mức mô hình thực nghiệm. 3. Hướng tiếp cận giải quyết Để thực hiện được mục tiêu đặt ra, luận văn trình bày khá chi tiết công nghệ IPS nói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyên dụng hay trên Router Cisco hỗ trợ IPS. 4. Bố cục luận văn Với mục tiêu và định hướng trên, nội dung của đề tài này được chia làm 3 chương: Chương 1. Tổng quan về hệ thống ngăn chặn xâm nhập Giới thiệu công nghệ IPS, các phương pháp và phòng chống tấn công, phân tích sự khác biệt cơ bản giữa IPS và IDS, các mô hình của hệ thống IPS, cách hoạt động của IPS và phân loại IPS để đưa ra những ứng dụng mà công nghệ IPS mạng lại. Chương 2. Giới thiệu chung về thiết bị IOS IPS Trình bày các khái niệm của Cisco IPS, khả năng ứng dụng IPS, tìm hiểu các câu lệnh và cách tạo luật trong IOS IPS và những khó khăn mắc phải khi triển khai IPS. Chương 3. Mô phỏng và thực nghiệm Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏng trên GNS3 và VMWare. - 11 - Chương 1 . 1.1 Tổng quan về hệ thống ngăn chặn xâm nhập IPS Giới thiệu hệ thống ngăn chặn xâm nhập Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chức năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn chặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết định liệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện hành động thích hợp để bảo vệ hệ thống mạng. Trước các hạn chế của hệ thống phát hiện xâm nhập – Intrusion Detection System (IDS), một vấn đề được đặt ra là làm sao hệ thống có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnh báo nhằm giảm thiểu công việc của người quản trị. Hệ thống ngăn ngừa xâm nhập được ra đời vào năm 2003, được phổ biến rộng rải cho đến ngày nay và đã dần dần thay thế cho hệ thống phát hiện xâm nhập - IDS, bởi nó có thể giảm bớt các yêu cầu tác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống, tuy nhiên một hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệ thống IDS bằng việc ngắt bỏ tính năng ngăn chăn xâm nhập. Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phần cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của hệ thống. Một số IPS so sánh các gói tin nghe được trên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượng mạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thống này gọi là Signature-Based IPS. Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thống này gọi là anomaly-Based IPS. Sau đây ta tìm hiểu từng loại hệ thống: Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâm nhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn - 12 - chặn xâm nhập - IPS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiện những cuộc tấn công. Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thành sản phẩm thương mại như Sourcefire, Astaro, …Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần không gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủ khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo nhất. Snort có thể chạy trên các hê điều hành như Window, Linux. Snort chủ yếu là một hệ thống phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text có thể được chỉnh sửa bởi người quản trị, các luật được nhóm thành các kiểu và mỗi loại được lưu trong các file khác nhau. Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết hợp Firewall Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phát hiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp các loại cảm biến sau đây: Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sản phẩm bao gồm Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM20 với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 - 13 - Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhâp cứng Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác. Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là một phần của giải pháp của Cisco IPS, nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu. 1.2 Sơ lược các kiểu tấn công và cách phòng chống 1.2.1 Các loại tấn công Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật. Ðiểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, Switch, Router,... - 14 - Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử dụng các cấu hình mặc định trên thiết bị như switch, router, modem…Nếu dựa vào hành động của cuộc tấn công có thể chia tấn công ra làm hai loại là: Tấn công thụ động: Là phương pháp tấn công không tác động đến nội dung thông điệp được truyền trên mạng mà chỉ lắng nghe và phân tích nội dung của thông điệp, từ đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tấn công tiếp theo. Đối với thông điệp không được mã hoá thì hacker có thể bắt và hiểu được đầy đủ nội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với những thông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệp trên đường truyền nhưng việc hiểu đúng nội dung packet không phải là dễ dàng, vì nội dung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nội dung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa. Kết quả nhận được từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trên mạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dung thông điệp, khoá dùng để mã hóa cho thông điệp,… Tấn công chủ động: Là phương pháp tấn công can thiệp vào nội dung của thông điệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thể như các thiết bị, máy tính,… làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu. Có một số cách thức tấn công chủ động như sau: Giả mạo xác nhận quyền truy cập - Authentication Spoofing Thay đổi nội dung thông điệp - Message Modification Phương pháp tấn công qua người trung gian - Man-In-Middle Attack Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm hai loại. Tấn công từ bên trong và tấn công từ bên ngoài: Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng. Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tin nhiều hơn quyền cho phép. - 15 - Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các kết nối truy cập từ xa. 1.2.2 Các bước tấn công thường gặp Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng, … Bước 2: Kẻ tấn công sử dụng các thông tin thu thập được từ buớc 1 để tìm kiếm thêm thông tin về lỗ hổng và điểm yếu của hệ thống mạng, các công cụ thường được sử dụng cho quá trình này là các công cụ quét cổng Scan port, quét IP, dò tìm lỗ hổng. Bước 3: Các lỗ hổng được tìm thấy trong bước 2, kẻ tấn công sử dụng nó để khai thác xâm nhập vào hệ thống, chúng có thể dùng các kỹ thuật như tràn bộ đệm, từ chối dịch vụ DoS. Bước 4: Một khi kẻ tấn công đã xâm nhập được vào hệ thống bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai như Backboors, Trojans… và khi đã làm chủ chúng có thể gây ra những nguy hại cho hệ thống hoặc đánh cắp thông tin. Ngoài ra, chúng có thể sử dụng hệ thống này để tấn công vào các hệ thống khác như tấn công DDoS. Bước 5: Khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ xâm nhập như xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập. Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên, làm sao để nhận biết hệ thống mạng đang bị tấn công ngay từ hai bước đầu tiên là hết sức quan trọng, ở bước 2 và bước 3 kẻ tấn công thường làm lưu lượng kết nối thay đổi khác với lúc mạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ở bước 3 là xâm nhập thì không dễ dàng đối với kẻ tấn công. Do vậy, khi không thể xâm nhập được vào hệ thống để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn công từ chối dịch vụ DoS hay DDoS để ngăn không cho người dùng hợp lệ truy xuất tài nguyên hệ thống. - 16 - 1.2.3 Phương pháp tấn công Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công. Kỹ thuật tấn công ARP Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ gửi gói tin ARP có chứa thông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận được gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2 giá trị này trùng khớp thì B sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B cho A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP table ARP cache để dùng cho lần truyền tiếp theo. Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache Kỹ thuật tấn công Man-in-the-middle (MITM): Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuất vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên mạng. Ví dụ: Lây nhiễm ARP cache như sau: Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau: A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA) B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB) Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH) - 17 - Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC là HH:HH:HH:HH:HH:HH. Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉ MAC= HH:HH:HH:HH:HH:HH H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC là HH:HH:HH:HH:HH:HH. Lúc này ARP table của B sẽ là IP= 10.0.0.2– MAC= HH:HH:HH:HH:HH:HH. Khi A cần truyền thông điệp đến B, nó thấy trong ARP table B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho H thay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đó đến B. Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên. Như vậy, H đóng vai trò là người trung gian nhận và chuyển thông điệp giữa A và B mà hai host này không hề hay biết, H có thể thay đổi thông điệp trước khi truyền đến máy đích. Ping of Death: Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo. - 18 - VD : ping –l 65000 Tấn công từ chối dịch vụ DNS: Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhân rồi chỉ đến một website B nào đó của hacker. Khi máy khách truy cập đến Server A thì thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra. Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn công DNS 1.2.4 Giải pháp phòng chống Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ hệ thống mạng cần thiết, xây dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tường lửa chống xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trình bảo mật để bảo vệ các tài liệu tập tin quan trọng, thường xuyên back-up dữ liệu. tuy nhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương pháp sau: cấu hình đúng tính năng của Antispoof trên router và tường lửa của hệ thống, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router và tường lửa, giới hạn việc đánh giá lưu lượng mạng. 1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS Hiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thức theo dõi và phân tích. Mỗi phương pháp có những lợi điểm và những hạn chế nhất - 19 - định. Tuy nhiên, mỗi phương pháp đều có thể mô tả thông qua một mô hình tiến trình chung tổng quát cho hệ thống ngăn ngừa xâm nhập 1.3.1 Nhận biết qua dấu hiệu - Signature Based Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngăn ngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đã được biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình. Một Signature Based là những dấu hiệu giám sát tất cả các lưu lượng và so sánh dữ liệu hiện có và đưa ra cảnh báo cho người quản trị biết. Ngoài ra, một Signature Based là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhau những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật như các phần mềm diệt virus. Lợi ích việc dùng dấu hiệu - Signature Based Những file dấu hiệu được tạo nên từ những phương pháp tấn công đã biết chúng theo dõi những hoạt động để tìm các dấu hiệu tấn công tương ướng đã được định dạng sẵn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựa trên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ - 20 - thống, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thể được người quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo. Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết, hệ thống ngăn chặn xâm nhập phải biết trước những hoạt động tấn công để nó có thể nhận ra cuộc tấn công đó, những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiện những sự thay đổi của cuộc tấn công đã biết. Các File dấu hiệu được cung cấp kèm theo thiết bị IPS vì thế hacker có thể sử dụng thiết bị đó để kiểm tra, một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũng như các công cụ tấn công để đánh bại hệ thống ngăn chặn xâm nhập. Ngoài ra, những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa trên sự bất thường, nếu thay đổi cách tấn công kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS cái gì làm phát sinh cảnh báo, do đó trách nhiệm của người quản trị là bảo đảm file cơ sở dữ liệu luôn cập nhật thường xuyên. 1.3.2 Nhận biết qua sự bất thường - Anomaly Based Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướng hay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sự kiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường, ta có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập sẽ phát sinh cảnh báo. Tóm lại, phát hiện dựa trên sự bất thường hay phân tích sơ lược những hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấy thì một tín hiệu cảnh báo sẽ được khởi phát. - 21 - Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based Lợi ích của việc dùng Anomaly Based Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi để đạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó, với phương pháp này kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm phát sinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở dữ liệu và dấu hiệu này luôn thay đổi. Phát hiện bất thường có thể phát hiện tấn công từ bên trong, ví dụ nếu một user nào đó trong hệ thống cố tình truy cập vào IPS để thi hành quản trị thì hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Admin biết và có thể khóa hoặc ngăn chặn user đó. Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên những dấu hiệu đã được định dạng hay những cuộc tấn công đã biết trước, Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa được biết trước đây và được dùng để phát hiện những phương pháp tấn công mới mà phương pháp phát hiện bằng dấu hiệu không phát hiện được. Hạn chế của việc dùng Anomaly Based Những hệ thống dựa trên sự bất thường có thể gây ra nhiều cảnh báo nhầm bởi vì chúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việc định nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốt khi nó định nghĩa những hành động nào là bình thường hành động nào bất bình thường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đổi, - 22 - ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầu cao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu. 1.3.3 Nhận biết qua chính sách - Policy Based Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy Based Policy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có những hành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết bị trong hệ thống mạng đưa ra các chính sách bảo mật tới hệ thống IPS một cách chính xác và được phép truy cập vào hay không, một trong những tính năng quan trọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh báo sai. Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản trị hệ thống gặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình và quản trị từ xa gặp nhiều hạn chế. 1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhập cũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin. Ví dụ một hacker bắt đầu chạy một chương trình tấn công tới một Server, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo một RFC. Protocol Analysis Based dò kiểu tấn công trên các giao thức: Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không. Kiểm tra nội dung trong Payload. Thực hiện cảnh báo những giao thức không bình thường. 1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập Một hệ thống ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và - 23 - chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tích gói tin, modul phát hiện tấn công và modul phản ứng. Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập 1.4.1 Modul phân tích gói tin Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từng trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các thông tin này được chuyển đến modul phát hiện tấn công. 1.4.2 Modul phát hiện tấn công Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát hiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường. Phương pháp dò sự lạm dụng Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước các mẫu này gọi là các dấu hiệu tấn công, do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu, chúng có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật - 24 - |
