Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền đểgiám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ.
111 trang |
Chia sẻ: vietpd | Lượt xem: 1575 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Hệ thống phát hiện xâm nhập mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
N
G
U
Y
ỄN
Đ
Ứ
C
C
Ư
Ờ
N
G
LUẬN VĂN THẠC SĨ KHOA HỌC
NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG
HỆ THỐNG
PHÁT HIỆN XÂM NHẬP MẠNG
X
Ử
LÝ
TH
Ô
N
G
TIN
V
À
TR
U
Y
Ề TH
Ô
N
G
NGUYỄN ĐỨC CƯỜNG
2006 - 2008
Hà Nội
2008 HÀ NỘI 2008
Master of Sience
Thesis title: “Warning and Protection System of Network Attacks”
Student: Nguyen Duc Cuong
Supervisor: Professor Dang Van Chuyet
Department of Information Technology
Hanoi University of Technoloogy
Email: cuongnd-linc@mail.hut.edu.vn
Year: 2008
Summary
During the last decade, the Internet has developed rapidly in terms of scale as well
as diversity. As a consequence, the network security has become more and more
urgent issues. Therefore, network administration has been incrementally
complicated and manually error handling is no longer sufficient. Due to that, the
automatic warning system of attacks is aimed to necessarily establish.
This thesis consists of the two parts as follows:
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly
developing products in the market.
Part 2: The first step for installing IDS into the HUT Network, using SNORT
opensource, in order to improve the high perforamance of use of this network.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
1
LỜI NÓI ĐẦU .................................................................................................. 3
CHƯƠNG I - TỔNG QUAN VỀ IDS ............................................................. 6
1.1 Khái niệm ................................................................................................ 6
1.2. Chức năng .............................................................................................. 6
1.3 Cấu trúc chung ........................................................................................ 7
1.4. Phân biệt các mô hình IDS................................................................... 11
NIDS........................................................................................................ 11
HIDS........................................................................................................ 12
1.5. Các phương pháp nhận biết tấn công................................................... 12
1.6 Các sản phẩm IDS trên thị trường......................................................... 14
Intrust ...................................................................................................... 14
ELM ........................................................................................................ 15
GFI LANGUARD S.E.L.M .................................................................... 16
SNORT.................................................................................................... 17
Cisco IDS ................................................................................................ 18
Dragon..................................................................................................... 19
CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH
CISCO ............................................................................................................. 20
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN .... 20
2.1.1 Khái niệm SPAN............................................................................ 20
2.1.2 Các thuật ngữ ................................................................................. 22
2.1.3 Các đặc điểm của cổng nguồn........................................................ 24
2.1.4 Lọc VLAN ..................................................................................... 24
2.1.5 Các đặc điểm của nguồn VLAN .................................................... 25
2.1.6 Các đặc điểm của cổng đích........................................................... 26
2.1.7 Các đặc điểm của cổng phản hồi.................................................... 27
2.2. SPAN trên các dòng Switch Cisco....................................................... 28
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000
Series chạy CatOS................................................................................... 28
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
3560, 3560-E, 3750 and 3750-E Series .................................................. 52
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy
phần mềm hệ thống Cisco IOS ............................................................... 55
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau
..................................................................................................................... 58
Các dòng Switch dưới Catalyst 4000 Series ........................................... 58
Catalyst 4500/4000 Series....................................................................... 59
Catalyst 5500/5000 and 6500/6000 Series.............................................. 59
2.4 Các lỗi thường gặp khi cấu hình ........................................................... 59
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
2
CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT
VÀO HỆ THỐNG........................................................................................... 69
3.1. Các đặc điểm chính .............................................................................. 69
3.1.1 Hệ thống detection engine: ............................................................ 70
3.1.2 Hệ thống Logging & alerting:........................................................ 70
3.1.3 Tập luật(RULES) ........................................................................... 71
3.2 Các bước cài đặt Snort trên hệ điều hành Debian................................. 72
3.2.1 Cài hệ điều hành Debian ................................................................ 72
3.2.2 Cài các phần mềm cần thiết ........................................................... 73
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL ................. 75
3.2.4 Cài đặt Snort................................................................................... 75
3.2.5 Cấu hình MySQL Server................................................................ 77
3.2.6 Cấu hình để SNORT bắn alert vào MySQL .................................. 78
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) ... 79
3.2.9 Cập nhật Rules với Oinkmaster ..................................................... 81
3.2.10 Startup Script................................................................................ 82
3.2.11 Tạo Acc truy cập vào Base .......................................................... 83
3.2.12 Cấu hình SNMP Server................................................................ 83
3.2.13 Tạo file index.php để định hướng trình duyệt ............................. 84
3.2.14 Cài đặt phần mềm quản trị Webmin ............................................ 84
3.3 Giao diện hệ thồng sau cài đặt .............................................................. 85
3.3.1 Các thông tin cấu hình cơ bản........................................................ 85
3.3.2 Hướng dẫn sử dụng SNORT.......................................................... 86
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) .............................. 89
3.3.4 Hướng dẫn sử dụng Webmin ....................................................... 101
KẾT LUẬN................................................................................................... 108
DANH MỤC TÀI LIỆU THAM KHẢO...................................................... 109
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
3
LỜI NÓI ĐẦU
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS
(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất
thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện
xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được
sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái
niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các
phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của
công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại
một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển.
Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân
tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn
động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ
không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích
và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường
xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là
gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ
trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là
một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi
các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng
đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém
và không đem lại hiệu quả tương xứng so với đầu tư.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
4
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu
chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các
IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động.
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn
chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt
động hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System –
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng
phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS
có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ
thống IDP - Intrusion Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,
một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ
không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ
thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được
phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần
thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong
việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh
nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể
hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
5
Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ
thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện
nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó
là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS.
Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng,
mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan
trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được
quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng
phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này,
chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ
thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của
mình thay thế cho các IDS cứng đắt tiền.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
6
CHƯƠNG I - TỔNG QUAN VỀ IDS
1.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà
quản trị .
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có
hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng
hay địa chỉ IP nguồn đó không cho truy cập hệ thống mạng,….
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên
ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện
và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.2. Chức năng
Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau :
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những
hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng
Phân biệt: các tấn công trong và ngoài mạng
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
7
1.3 Cấu trúc chung
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện
xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu
trúc chung cho các hệ IDS là:
Hình 1.1 : Mô hình chung hệ thống IDS
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc
phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để
ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác
định các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài
nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ
thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ
thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính
cho mỗi IDS) để phát hiện các dấu hiệu tấn công.
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên
hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
8
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng
khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ
thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một
IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua email.
Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung :
Hình 1.2 : Cấu trúc tập trung.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
9
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi
luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu
dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói
mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát
hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành
vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ
liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả.
Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm
phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất
cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc
một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo
vệ.
Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường
Hệ thống phát hiện xâm nhập mạng
10
Hình 1.3 : Cấu trúc đa tác nhân
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.
IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự
phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả
năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công
mới. Các giải pháp dựa trên tác nhân IDS tạo cơ chế