Báo Cáo Hệ thống phát hiện xâm nhập IDS – SNORT

MỞ ĐẦU
I. LÝ DO CHỌN ĐỀ TÀI
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên tôi đã chọn đề tài “Hệ thống phát hiện xâm nhập IDS – SNORT” để nghiên cứu.
II. Ý NGHĨA CỦA ĐỀ TÀI
- Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS
- Xây dựng bản demo về việc phát hiện xâm nhập bằng Snort
III. ĐỐI TƯỢNG VÀ PHƯƠNG PHÁP NGHIÊN CỨU
- Tìm hiểu về bảo mật
- Nghiên cứu những phương pháp xâm nhập hệ thống– biện pháp ngăn ngừa
- Nghiên cứu về hệ thống phát hiện xâm nhập IDS
- Nghiên cứu công cụ IDS – Snort
- Xây dựng hệ thống Snort – IDS trên Window
- Thu thập tài liệu liên quan đến các vấn đề về đề tài
Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập
IV. CÁC MỤC TIÊU CỦA ĐỀ TÀI
- Tìm hiểu thông tin về bảo mật
- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.
- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort.
- Tìm hiểu và sử dụng tốt hệ điều hành Window
- Tìm hiểu phương pháp và triển khai cài đặt Snort trên Window
- Đưa ra một số nhận định và hướng phát triển đề tài.
V. BỐ CỤC
Nội dung khóa luận tốt nghiệp gồm 3 chương:
 Chương I: Tổng quan về bảo mật
- Những nguy cơ đe dọa đối với bảo mật.
- Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa.
- Các giải pháp bảo mật an toàn cho hệ thống.
 Chương II: Hệ thống phát hiện xâm nhập IDS
- Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS.
- Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS.
- Cách phát hiện kiểu tấn công thông dụng của IDS.
 Chương III: Triển khai ứng dụng dò tìm xâm nhập trên hệ thống Window dựa trên Snort.
- Kiến trúc Snort.
- Bộ luật Snort.
- Demo triển khai

MỤC LỤC
DANH MỤC HÌNH VẼ i
DANH MỤC BẢNG BIỂU ii
DANH MỤC TỪ VIẾT TẮT iii
MỞ ĐẦU iv
CHƯƠNG I 1
TỔNG QUAN VỀ BẢO MẬT 1
1.1. GIỚI THIỆU VỀ BẢO MẬT 1
1.1.1. Khái niệm 1
1.1.2. Tính an toàn của hệ thống mạng 2
1.2. NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐỐI VỚI BẢO MẬT 3
1.2.1. Các lỗ hổng loại C 4
1.2.2. Các lỗ hổng loại B 4
1.2.3. Các lỗ hổng loại A 5
1.3. CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG – BIỆN PHÁP PHÁT HIỆN VÀ NGĂN NGỪA 6
1.3.1. Phương thức ăn cắp thông tin bằng Packet Sniffer 6
1.3.2. Phương thức tấn công mật khẩu Password attack 7
1.3.3. Phương thức tấn công bằng Mail Relay 7
1.3.4. Phương thức tấn công hệ thống DNS 8
1.3.5. Phương thức tấn công Man-in-the-middle attack 8
1.3.6. Phương thức tấn công để thăm dò mạng 8
1.3.7. Phương thức tấn công lớp ứng dụng 9
1.3.8. Phương thức tấn công Virus và Trojan Horse 9
1.4. CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG 10
1.4.1. Bảo mật VPN (Virtual Private Network) 10
1.4.2. Firewall 12
1.4.3. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) 13
CHƯƠNG II 15
HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 15
2.1. GIỚI THIỆU VỀ IDS 15
2.1.1. Định nghĩa về IDS 15
2.1.2. Lợi ích của IDS 17
2.1.3. Phân biệt những hệ thống không phải là IDS 17
2.1.4. Kiến Trúc và nguyên lý hoạt động IDS 18
2.1.4.1. Thành phần của IDS 18
2.1.4.2. Nguyên lý hoạt động 19
2.1.4.3. Chức năng của IDS 20
2.2. PHÂN LOẠI IDS 22
2.2.1. Network based IDS – NIDS 22
2.2.2. Host based IDS – HIDS 24
2.3. CƠ CHẾ HOẠT ĐỘNG CỦA IDS 26
2.3.1. Mô hình phát hiện sự lạm dụng 26
2.3.2. Mô hình phát hiện sự bất thường 27
2.3.3. So sánh giữa hai mô hình 28
2.4. CÁCH PHÁT HIỆN KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 29
2.4.1. Tấn công từ chối dịch vụ (Denial of Service attack) 29
2.4.2. Quét và thăm dò (Scanning và Probe) 29
2.4.3. Tấn công vào mật mã (Password attack) 30
2.4.4. Chiếm đặc quyền (Privilege-grabbing) 31
2.4.5. Cài đặt mã nguy hiểm (Hostile code insertion) 31
2.4.6. Hành động phá hoại trên máy móc (Cyber vandalism) 32
2.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack) 32
CHƯƠNG III 33
TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ THỐNG WINDOW DỰA TRÊN SNORT 33
3.1. GIỚI THIỆU VỀ SNORT 33
3.2. KIẾN TRÚC SNORT 33
3.3. THÀNH PHẦN VÀ CHỨC NĂNG CỦA SNORT 34
3.3.1. Module giải mã gói tin (Packet Decoder) 35
3.3.2. Module tiền xử lý (Preprocessor) 35
3.3.3. Module phát hiện (Detection Engine) 37
3.3.4. Module log và cảnh báo (Logging and Alerting system) 38
3.3.5. Module kết xuất thông tin (output module) 38
3.4. BỘ LUẬT CỦA SNORT 39
3.4.1. Giới thiệu về bộ luật 39
3.4.2. Cấu trúc luật của Snort 40
3.4.2.1. Phần Header 42
3.4.2.2. Phần Option 46
3.5. CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT 50
3.6. DEMO 50
3.6.1. GIỚI THIỆU KỊCH BẢN 50
3.6.1.1. Mô tả kịch bản 50
3.6.1.2. Đặt ra giải pháp 51
3.6.1.3. Yêu cầu 52
3.6.2. THỰC HIỆN 53
3.6.2.1. Cài đặt và cấu hình 53
3.6.2.2. Download Snort: 53
3.6.2.3. Cài đặt Snort 54
3.6.2.4. Sử dụng Snort: 58
KẾT LUẬN 69
TÀI LIỆU THAM KHẢO 71