Luận Văn Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables

Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables
CHƯƠNG 1
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP
Hệ thống phát hiện xâm nhập ra đời cách đây khoảng 25 năm và nó đã trở
nên rất hữu dụng cho việc bảo vệ các hệ thống mạng và hệ thống máy tính. Bằng
cách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng hệ
thống IDS vẫn có nhiều hạn chế khi đưa ra các cảnh báo sai và cần có người giám
sát. Thế hệ tiếp theo của IDS là hệ thống IPS ra đời năm 2004, đang trở nên rất phổ
biến và đang dần thay thế cho các hệ thống IDS. Hệ thống IPS bao gồm cơ chế phát
hiện, đưa ra các cảnh báo và còn có thể ngăn chặn các hoạt động tấn công bằng
cách kết hợp với firewall.
1.1. HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1.1. Khái niệm
Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng, phần mềm hay có sự
kết hợp của cả hai để thực hiện việc giám sát, theo dõi và thu thập thông tin từ nhiều
nguồn khác nhau. Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn
công hệ thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát,
IDS là hệ thống phát hiện các dấu hiệu làm hại đến tính bảo mật, tính toàn vẹn và
tính sẵn dùng của hệ thống máy tính hoặc hệ thống mạng, làm cơ sở cho bảo đảm an
ninh hệ thống.
1.1.2. Phát hiện xâm nhập
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng để
phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ. Hệ thống phát hiện
xâm nhập phân thành hai loại cơ bản:
· Hệ thống phát hiện dựa trên dấu hiệu xâm nhập.
· Hệ thống phát hiện các dấu hiệu bất thường.
Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiện
bằng cách sử dụng phần mềm. Bằng cách tìm ra dữ liệu của gói tin mà có chứa bất
kì dấu hiệu xâm nhập hoặc dị thường được biết đến. Dựa trên một tập hợp các dấu
Văn Đình Quân-0021 Trang 1




hiệu (signatures) hoặc các qui tắc (rules). Hệ thống phát hiện có thể dò tìm, ghi lại
các hoạt động đáng ngờ này và đưa ra các cảnh báo. Anomaly-based IDS thường
dựa vào phần header giao thức của gói tin được cho là bất thường. Trong một số
trường hợp các phương pháp có kết quả tốt hơn với Signature-based IDS. Thông
thường IDS sẽ bắt lấy các gói tin trên mạng và đối chiếu với các rule để tìm ra các
dấu hiệu bất thường của gói tin.
1.1.3. Chính sách của IDS
Trước khi cài đặt một hệ thống IDS lên hệ thống thì cần phải có một chính
sách để phát hiện kẻ tấn công và cách xử lý khi phát hiện ra các hoạt động tấn công.
Bằng cách nào đó chúng phải được áp dụng. Các chính sách cần chứa các phần sau
(có thể thêm tùy theo yêu cầu của từng hệ thống):
· Ai sẽ giám sát hệ thống IDS? Tùy thuộc vào IDS, có thể có cơ chế cảnh báo
để cung cấp thông tin về các hành động tấn công. Các cảnh báo này có thể ở
hình thức văn bản đơn giản (simple text) hoặc chúng có thể ở dạng phức tạp
hơn. Có thể được tích hợp vào các hệ thống quản lý mạng tập trung như HP
Openview hoặc MySQL database. Cần phải có người quản trị để giám sát
các hoạt động xâm nhập và các chính sách cần có người chịu trách nhiệm.
Các hoạt động xâm nhập có thể được theo dõi và thông báo theo thời gian
thực bằng cách sử dụng cửa sổ pop-up hoặc trên giao diện web. Các nhà
quản trị phải có kiến thức về cảnh báo và mức độ an toàn của hệ thống.
· Ai sẽ điều hành IDS? Như với tất cả các hệ thống, IDS cần được được bảo trì
thường xuyên.
· Ai sẽ xử lý các sự cố và như thế nào? Nếu các sự cố không được xử lý thì
IDS xem như vô tác dụng.
· Các báo cáo có thể được tạo và hiển thị vào cuối ngày hoặc cuối tuần hoặc
cuối tháng.
· Cập nhật các dấu hiệu. Các hacker thì luôn tạo ra các kỹ thuật mới để tấn
công hệ thống. Các cuộc tấn công này được phát hiện bởi hệ thống IDS dựa
trên các dấu hiệu tấn công.
· Các tài liệu thì rất cần thiết cho các dự án. Các chính sách IDS nên được mô
tả dưới dạng tài liệu khi các cuộc tấn công được phát hiện. Các tài liệu có thể