Đề tài Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

thống công nghệ thông tin của các doanh nghiệp. - Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm ngưng lại mọi hoạt động. - Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. 1.3 Xác định yêu cầu  Yêu cầu bắt buộc: 1. IDS là gì? 2. Các thành phần của IDS. 3. Các mô hình IDS. 4. Các ứng dụng IDS phổ biến hiện nay. 5. Triển khai mô hình IDS demo trong mạng LAN.  Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của một IDS. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 12 - 1.4 Giới hạn và phạm vi nghiên cứu - Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có tham gia kết nối internet. - Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập. - Tìm hiểu Snort IDS Software. 1.5 Ý nghĩa thực tiễn của đề tài - Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập. - Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 13 - PHẦN 2 : TÌM HIỂU IDS Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 14 - 2.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. 2.2 Các thành phần và chức năng của IDS IDS bao gồm các thành phần chính :  Thành phần thu thập thông tin gói tin.  Thành phần phát hiện gói tin.  Thành phần xử lý(phản hồi). Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) 2.2.1 Thành phần thu thập gói tin Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 15 - 2.2.2 Thành phần phát hiện gói tin Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. 2.2.3 Thành phần phản hồi Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn chặn:  Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.  Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.  Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường. 2.3 Phân loại IDS 2.3.1 Network Base IDS (NIDS) Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 16 - Hình 2: Network IDS 2.3.1.1 Lợi thế của Network-Based IDS  Quản lý được cả một network segment (gồm nhiều host).  Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.  Tránh DOS ảnh hưởng tới một host nào đó.  Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).  Độc lập với OS. 2.3.1.2 Hạn chế của Network-Based IDS  Có thể xảy ra trường hợp báo động giả.  Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)  NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 17 -  Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.  Không cho biết việc tấn công có thành công hay không. 2.3.2 Host Base IDS (HIDS) HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Hình 3: Host base IDS 2.3.2.1 Lợi thế của Host IDS  Có khả năng xác định người dùng liên quan tới một sự kiện.  HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.  Có thể phân tích các dữ liệu mã hoá.  Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 18 - 2.3.2.2 Hạn chế của Host IDS  Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.  Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".  HIDS phải được thiết lập trên từng host cần giám sát .  HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)  HIDS cần tài nguyên trên host để hoạt động.  HIDS có thể không hiệu quả khi bị DOS.  Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. 2.4 Cơ chế hoạt động của IDS IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai. 2.4.1 Phát hiện dựa trên sự bất thường Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập. Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một điều bất thường. 2.4.2 Phát hiện thông qua Protocol Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 19 - Sau đây là cấu trúc của một gói tin: IP Header Hình 4: Cấu trúc IP Header Thuộc tính Source Address và Destination Address giúp cho IDS biết được nguồn gốc của cuộc tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 20 - TCP Header Hình 5: Cấu trúc TCP Header. Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:  Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng.  Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công.  Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 21 - 2.4.3 Phát hiện nhờ quá trình tự học Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. 2.5 Các ứng dụng IDS phổ biến hiện nay Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cường sức mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua mạng. Cụ thể, IDS có thể cảnh báo những hành động sau:  Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ.  Hành động chat với các máy ip lạ.  Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty vẫn cố tình truy xuất.  Hành động truy xuất các website vào giờ cấm.  Hành động chống sniff sử dụng phương pháp ARP Spoofing.  Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 22 - PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 23 - 3.1 Các phương thức tấn công 3.1.1 ARP Spoofing Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công. 3.1.2 Syn Flood Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK. 3.1.3 Zero Day Attacks Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa. "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa lên blog bảo mật Seclists.org. Cuộc tấn công nhằm vào lỗi xuất phát từ System Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và Windows Server 2008. Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26). Cuộc tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN) của Windows. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 24 - 3.1.4 DOS - Ping Of Death Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo. VD : ping 192.168.1.20 –l 65000 3.2 Các phương thức phòng chống 3.2.1 ARP Spoofing : mã hóa ARP Cache Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở nhắc lệnh và đánh vào đó lệnh arp –a. Hình 7: Xem ARP Cache Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP ADDRESS> . Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 25 - 3.2.2 Syn Flood Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn lệnh iptables sau: iptables -A INPUT –p tcp --syn –m limit --limit 1/s --limit -burst 3 -j RETURN Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:  --limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)  --limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3 Dùng iptables, thêm rule sau vào: # Limit the number of incoming tcp connections # Interface 0 incoming syn-flood protection iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A syn_flood -j DROP 3.2.3 Zero Day Attacks + Cập nhật bản vá lỗi. + Lọc dữ liệu từ cổng TCP 445 bằng tường lửa (iptables) + Khóa cổng SMB trong registry. 3.2.4 DOS – Ping Of Death - Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống. - Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ. Ví dụ : alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping > 1000";dsize:>1000 ; sid:2;) Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho Ping. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 26 - PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 27 - 4.1 Các bước thực hiện 4.1.1 Mô hình mạng tổng quan Hình 8: Mô hình mạng tổng quan. 4.1.2 Máy Client  Cài đặt XP  Cài đặt hệ điều hành Linux(Backtrack 4.0)  Chỉ default gateway và DNS về ip mặt ngoài (192.168.1.20) của máy IDS.  Vai trò: là một máy ở ngoài mạng LAN. Thực hiện các cuộc tấn công vào máy chủ Web Server và máy DC. 4.1.3 Máy IDS  Cài đặt hệ điều hành Linux, Snort, tường lửa iptables, MySQL, Apache, Basic Analysis and Security Engine (BASE), squid proxy, join Domain vsic.com. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 28 -  Vai trò: là một hệ thống phát hiện và chống xâm nhập mạng, kiểm soát các gói tin trong mạng nội bộ và các gói tin từ bên ngoài. 4.1.4 Máy Webserver  Cài đặt Window server 2003, cài đặt IIS, ASP.NET, Join Domain vsic.com.  Thư mục chứa source website: C:\Inetpub\wwwroot  Vai trò: là một máy chủ Web Server cung cấp các dịch vụ cần thiết cho client. 4.1.5 Máy Windows Server 2008 + Cài đặt hệ điều hành Windows Server 2008 SP1, nâng cấp lên Domain với tên vsic.com. + Vai trò : dùng để thực hiện Demo bằng phương thức Zero day attack. 4.2 Cấu hình IDS 4.2.1 Mô hình mạng chi tiết Hình 9: Mô hình mạng chi tiết. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 29 - 4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort kết hợp Iptables 4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Sơ lược về lỗi SMB.  Bước 3 : Dùng phần mềm WireShark để bắt gói tin.  Bước 4 : Tiến hành tấn công máy Server.  Bước 5 : Xem kết quả tấn công.  Bước 6 : Kích hoạt Snort và iptable (rule SMB.rules) – Phụ lục phần 7.3.1.6 và 7.3.2.5  Bước 7 : Thực hiện lại cuộc tấn công.  Bước 8 : Xem kết quả tấn công. 4.2.2.2 Truy cập Web trái phép theo IP và tên miền  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Client duyệt Website vsic.com : bình thường .  Bước 3 : Kích hoạt Snort và iptable (rule nganchanwebsite.rules) – Phụ lục phần 7.3.1.2 và 7.3.2.3  Bước 4 : Client duyệt Website vsic.com lại : không kết nối được.  Bước 5 : Client duyệt Website Microsoft.com : bình thường .  Bước 6 : Mở rule cấm Micrsoft .  Bước 7 : Client duyệt website microsoft.com : không kết nối được. 4.2.2.3 Truy cập Website vào giờ cấm.  Bước 1 : Kiểm tra cấu hình va kết nối giữa các máy  Bước 2 : Client duyệt Web vsic.com vào giờ cấm : bình thường  Bước 3 : Kích hoạt Snort và iptable (rule giocam.rules)  Bước 4 : Client duyệt Website vsic.com lại: không kết nối được Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 30 - 4.2.2.4 Truy cập theo phương thức FTP  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy  Bước 2 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : truy cập được bình thường.  Bước 3 : Kích hoạt Snort và iptable (rule ftp.rules) – Phụ lục phần 7.3.1.3 và 7.3.2.4  Bước 4 : Client truy cập bằng phương thức FTP vào máy chủ Webserver : không truy cập được 4.2.2.5 Tấn công theo phương thức Ping Of Death  Bước 1 : Kiểm tra cấu hình và kết nối giữa các máy.  Bước 2 : Client thực hiện Ping qua máy chủ Webserver với gói tin 32 byte.  Bước 3 : Kích hoạt Snort và iptable (rule ping.rules) – Phụ lục phần 7.3.1.5 và 7.3.2.6  Bước 4 : Client tiến hành Ping lại máy chủ Webserver với gói tin 2000 byte.  Bước 5 : Xem kết quả. 4.2.2.6 Hành động chat với các máy ip lạ.  Bước 1 : Máy Client chat với máy Web server (yahoo message)  Bước 2 : Kích hoạt Snort và iptable (rule chat.rules) – Phụ lục phần 7.3.1.7 và 7.3.2.7  Bước 3 : Máy Client chat với máy Web server-> đã bị ngăn cản (xem hình)- >Login lại thì không được nưã 4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing.  Bước 1: Kiểm tra cấu hình và địa chỉ MAC của máy Web Server và modem.  Bước 2 : Kích hoạt Snort (Bộ tiền xử lý - Preprocessor) – Phụ lục phần 7.7 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 31 -  Bước 3 : Tại máy attacker, thực hiện giải mạo địa chỉ card MAC của máy web server và modem.  Bước 4: Mở Base xem kết quả.  Bước 5 : Kiểm tra địa chỉ card MAC của máy Webserver và modem. 4.2.3 Cài đặt webmin quản lý Snort Quản lý Snort trên giao diện web. Truy cập địa chỉ: https://localhost.localdomain:10000 4.2.4 Tạo CSDL Snort với MySQL Cơ sở dữ liệu dùng để chứa các cảnh báo(log) của hệ thống. Trong đó bảng acid_event chứa đựng các cảnh báo. Bảng sensor chứa địa chỉ của máy cài đặt IDS. 4.2.5 Cài đặt BASE Base dùng để xem các cảnh báo trên giao diện web. Truy cập tại Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 32 - PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT CỦA MỘT IDS Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 33 - 5.1 Inotify Inotify là một Linux kernel subsystem (nhân của hệ thống Linux) được phát triển bởi John McCutchan, Robert Love và Amy Griffis. Inotify có chức năng giám sát sự thay đổi của dữ liệu: tăng giảm dung lượng, sửa, xóa, tạo mới một thư mục, tập tin,và thậm chí cả một hoạt động unmount, từ đó Inotify có thể thông báo những sự thay đổi đó đến một ứng dụng được lập trình sẵn(API). Ta cũng có thể theo dõi nguồn gốc và điểm đến của di chuyển của thư mục tập tin. Để sử dụng Inotify, ta cần cài đặt Linux với kernel 2.6.13 hoặc phiên bản mới hơn. 5.2 Lập trình API kết hợp với Inotify API là viết tắt của Application Programming Interface (giao diện lập trình ứng dụng). API cung cấp hầu hết các tính năng thông dụng cho tất cả các chương trình chạy trên nền Window và Linux. Hầu hết các hàm API thường được chứa trong file /sys/inotify.h trong thư mục hệ thống. Kết hợp lập trình API với Inotify ta có thể nắm bắt được các biến cố xảy ra trên file system. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 34 - 5.3 Sản phẩm Hình 11 : Sản phẩm demo Đã thực hiện được: + Sử dụng ngôn ngữ C kết hợp với các hàm trong inotify để nắm bắt sự thay đổi của file system. + Tìm hiểu về các lời gọi hàm và bộ tạo sự kiện trong inotify. Chưa thực hiện được: + Tạo một giao diện cho Inotify để nắm bắt các biến cố xảy ra trên file system. + Sản phẩm chỉ chạy được trên phía Server (IDS-Linux) Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 35 - PHẦN 6 : TỔNG KẾT Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 36 - Thông qua quá trình tìm hiểu và nghiên cứu, chúng em đã rút ra một số nhận xét sau: Hệ thống phát hiện xâm nhập (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy cơ tấn công mới. Từ nó người ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công. Một tổ chức lớn không thể nào thiếu IDS. 6.1 Những vấn đề đạt được  Nắm bắt được cơ chế hoạt động của hệ thống phát hiện xâm nhập IDS.  Cài đặt và cấu hình một hệ thống phát hiện xâm nhập trên mạng cục bộ dựa trên mã nguồn mở Snort, iptables, squid proxy.  Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để viết luật cho Snort, iptables.  Sử dụng được các sản phẩm phân tích cảnh báo trong Snort như: MySQL, ACID, BASE. 6.2 Những vấn đề chưa đạt được  Vấn đề về tấn công rất rộng lớn, hiện những cách thức tấn công mới ngày càng trở nên tinh vi và phức tạp hơn.  Đối với Snort, hiện có rất nhiều sản phẩm đi kèm hoạt động rất hay như: Snort_inline, Fsnort(Firewall Snort),… chưa được áp dụng triệt để.  Tập luật của Snort ngày càng được phát triển nên cần phải cập nhật.  Chưa kết hợp phần mềm Mod Security để bảo vệ Web server. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 37 - 6.3 Hướng mở rộng đề tài - Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các người dùng trong mạng. - Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng WLAN. - Một khác biệ