Luận Văn Hệ thống phát hiện xâm nhập mạng

Tóm tắt
Hơn một thập kỷ qua, Internet đã phát triển mạnh mẽ cả về quy mô cũng như
sự phức tạp. Trong quá trình phát triển này, vấn đề an ninh mạng ngày càng rõ rệt.
Quản trị một mạng ngày càng trở nên phức tạp, và không thể sửa lỗi một cách thủ
công như trước. Vì vậy hệ thống phát hiện xâm nhập tự động ra đời là rất cất thiết
Đóng góp của luận văn bao gồm hai phần.
Phần 1, Khái niệm, cấu trúc một hệ thống phát hiện xâm nhập mạng (IDS), các sản phẩm đang phát triển mạnh trên thị trường.
Phần hai, bước đầu ứng dụng cài đặt IDS mềm vào mạng của trường Đại học Bách Khoa Hà Nội, cụ thể là ứng dụng mã nguồn mở SNORT, góp phần nâng cao hiệu năng của hệ thống mạng trường.

LỜI NÓI ĐẦU 3
CHƯƠNG I - TỔNG QUAN VỀ IDS 6
1.1 Khái niệm . .6
1.2. Chức năng 6
1.3 Cấu trúc chung .7
1.4. Phân biệt các mô hình IDS .11
NIDS . 11
HIDS . 12
1.5. Các phương pháp nhận biết tấn công .12
1.6 Các sản phẩm IDS trên thị trường . .14
Intrust . .14
ELM . 15
GFI LANGUARD S.E.L.M . 16
SNORT .17
Cisco IDS . .18
Dragon 19
CHƯƠNG II - KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH
CISCO 20
2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 20
2.1.1 Khái niệm SPAN .20
2.1.2 Các thuật ngữ . .22
2.1.3 Các đặc điểm của cổng nguồn . 24
2.1.4 Lọc VLAN .24
2.1.5 Các đặc điểm của nguồn VLAN 25
2.1.6 Các đặc điểm của cổng đích 26
2.1.7 Các đặc điểm của cổng phản hồi 27
2.2. SPAN trên các dòng Switch Cisco 28
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000
Series chạy CatOS 28
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,
3560, 3560-E, 3750 and 3750-E Series 52
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy
phần mềm hệ thống Cisco IOS .55
2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau
.58
Các dòng Switch dưới Catalyst 4000 Series .58
Catalyst 4500/4000 Series 59
Catalyst 5500/5000 and 6500/6000 Series .59
2.4 Các lỗi thường gặp khi cấu hình 59
CHƯƠNG III - TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT
VÀO HỆ THỐNG . 69
3.1. Các đặc điểm chính 69
3.1.1 Hệ thống detection engine: . 70
3.1.2 Hệ thống Logging & alerting: . 70
3.1.3 Tập luật(RULES) . 71
3.2 Các bước cài đặt Snort trên hệ điều hành Debian 72
3.2.1 Cài hệ điều hành Debian 72
3.2.2 Cài các phần mềm cần thiết 73
3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL 75
3.2.4 Cài đặt Snort . 75
3.2.5 Cấu hình MySQL Server . 77
3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78
3.2.7 Cài đặt Apache-ssl Web Server 78
3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) . 79
3.2.9 Cập nhật Rules với Oinkmaster 81
3.2.10 Startup Script . 82
3.2.11 Tạo Acc truy cập vào Base . 83
3.2.12 Cấu hình SNMP Server . 83
3.2.13 Tạo file index.php để định hướng trình duyệt . 84
3.2.14 Cài đặt phần mềm quản trị Webmin 84
3.3 Giao diện hệ thồng sau cài đặt . 85
3.3.1 Các thông tin cấu hình cơ bản . 85
3.3.2 Hướng dẫn sử dụng SNORT . 86
3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) 89
3.3.4 Hướng dẫn sử dụng Webmin 101
KẾT LUẬN .108
DANH MỤC TÀI LIỆU THAM KHẢO .109
LỜI NÓI ĐẦU
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson
cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS
(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất
thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện
xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được
sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái
niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các
phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của
công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại
một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.
Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân
tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn
động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ
không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích
và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường
xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là
gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ
trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là
một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi
các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn
chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng
đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém
và không đem lại hiệu quả tương xứng so với đầu tư.
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích
gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của
các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu
chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động.
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó.
Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System -
IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống IDP - Intrusion Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,
một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ
không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ
thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được
phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần
thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong
việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh
nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể
hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập.
Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS.
Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này, chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế cho các IDS cứng đắt tiền.