Đồ Án Nghiên cứu tổ chức và hoạt động của tường lửa Snort

LỜI MỞ ĐẦU

Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá nhân cũng như các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu Internet.An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối Internet.
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai.Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin , gây nên những hậu quả vô cùng nghiêm trọng. Những cuộc tấn công này nhằm vào tất cả các máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công không được báo trước, số lượng các vụ tấn công thì tăng lên nhanh chóng và các phương pháp tấn công cũng liên tục được hoàn thiện.Vì vậy việc kết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải có các biện pháp đảm bảo an ninh.
Một trong những giải pháp có thể đáp ứng tốt nhất cho vấn đề này là triển khai hệ thống dò tìm xâm nhập trái phép Intrusion Detection System (IDS) và ngăn chặn xâm nhập trái phép Intrusion Prevention System (IPS). Có hai yêu cầu chính khi triển khai một IDS-IPS đó là chi phí cùng với khả năng đáp đáp ứng linh hoạt của nó trước sự phát triển nhanh chóng của công nghệ thông tin và Snort có thể đáp ứng rất tốt cả hai yêu cầu này.
Xuất phát từ những hiểm họa mà ta thường xuyên phải đối mặt trên môi trường Internet và thấy được các chức năng đó của dịch vụ Snort em đã quyết định chọn đề tài:” Nghiên cứu tổ chức và hoạt động của tường lửa Snort” nhằm đưa ra cách giải quyết bảo mật thông tin cho các tổ chức doanh nghiệp trong và ngoài nước.

MỤC LỤC
LỜI CẢM ƠN 1
MỤC LỤC 2
DANH MỤC HÌNH VẼ 5
LỜI MỞ ĐẦU 7
CHƯƠNG I : TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1
1. 1 Tổng quan về an ninh mạng máy tính 1
1. 2 Nguy cơ an ninh mạng 2
1.2.1 Nguy cơ không định hình ( Untructured threat) 2
1.2.2 Nguy cơ định hình ( Structured threat) 2
1.2.3 Nguy cơ từ bên ngoài (External threat) 3
1.2.4 Nguy cơ từ bên trong ( Internal threat ) 3
1. 3 Một số phương thức tấn công mạng máy tính và phòng chống 3
1.3.1 Theo tính chất xâm hại thông tin 4
1.3.2 Theo vị trí mạng bị tấn công 4
1.3.3 Theo kỹ thuật tấn công 4
1. 4 Các phương pháp xâm nhập hệ thống và giải pháp ngăn ngừa 5
1.4.1 Phương thức ăn cắp thông tin bằng Packet Sniffers 5
1.4.2 Phương thức tấn công mật khẩu Password attack 6
1.4.3 Phương thức tấn công bằng Mail Relay 7
1.4.4 Phương thức tấn công hệ thống DNS 7
1.4.5 Phương thức tấn công Man-in-the-middle attack 8
1.4.6 Phương thức tấn công để thăm dò topo mạng 8
1.4.7 Phương thức tấn công dựa trên lòng tin 8
1.4.8 Phương thức tấn công chuyển cổng 9
1.4.9 Phương thức tấn công lớp ứng dụng 9
1.4.10 Phương thức tấn Virus và Trojan Horse 10
1. 5 Sự cần thiết của hệ thống phát hiện xâm nhập và Snort 10
CHƯƠNG II : KHÁI QUÁT VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 14
2.1 Giới thiệu cơ bản về IDS 14
2.1.1 Định nghĩa 14
2.1.2 Chức năng 15
2.2.1.1 Các ứng dụng cơ bản của hệ IDS 15
2.2.2.1 Các tính năng chính của hệ IDS 15
2.1.1 Phân loại 16
2.1.2 Yêu cầu hệ thống 20
2.1.3 Kiến trúc cơ bản của hệ thống 21
2.2 Cơ chế hoạt động 24
2.2.1 Các phương pháp nhận diện 24
2.2.2 Cơ chế bảo mật 27
2.3 Phản ứng 30
2.3.1 Các kiểu tấn công thông dụng 30
2.3.2 Hạn chế của hệ thống 38
CHƯƠNG III KHÁI QUÁT VỀ HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 39
3.1 Giới thiệu cơ bản về IPS 39
3.1.1 Định nghĩa 39
3.1.2 Chức năng 40
3.1.3 Kiến trúc cơ bản của hệ thống 41
3.2 Cơ chế hoạt động của IPS 41
3.2.1 Modul phân tích luồng dữ liệu 41
3.2.2 Modul phát hiện tấn công 41
3.2.3 Modul phản ứng 43
3.3 Phân loại hệ thống IPS 44
3.3.1 IPS ngoài luồng (Promiscuous Mode IPS) 44
3.3.2 IPS trong luồng (In-line IPS) 44
3.4 Cách phát hiện các kiểu tấn công và dấu hiệu của IPS 45
CHƯƠNG IV TỔ CHỨC HOẠT ĐỘNG CỦA SNORT 51
4.1 Giới thiệu về Snort 51
4.2 Kiến trúc của snort 52
4.2.1 Modun giải mã gói tin 53
4.2.2 Mô đun tiền xử lý 54
4.2.3 Môđun phát hiện 56
4.2.4 Môđun log và cảnh báo 57
4.2.5 Mô đun kết xuất thông tin 57
4.3 Các chức năng của Snort 57
4.3.1 Snort là một Sniffer 57
4.3.2 Snort là một packet logger 62
4.3.3 Snort là 1 công cụ phát hiện xâm nhập 63
4.4 Bộ quy tắc chuẩn của snort 63
4.4.1 Giới thiệu về tập quy tắc 63
4.4.2 Cấu trúc của quy tắc Snort 63
4.5 Triển khai Snort 75
4.5.1 Những điều cần lưu ý 75
4.5.2 Vị trí của bộ cảm biến 76
4.5.3 Các hệ thống và mạng phải giám sát 76
4.5.4 Tạo các điểm kết nối 77
4.5.5 Bảo mật bộ cảm biến Snort 77
4.5.6 Tắt các dịch vụ không cần thiết 79
4.5.7 Cập nhật các bản vá lỗi 79
4.5.8 Sử dụng các cách xác thực mạnh 79
4.5.9 Giám sát hệ thống tạo log 79
CHƯƠNG V TRIỂN KHAI MÔ HÌNH CẢNH BÁO CỦA TƯỞNG LỬA SNORT 80
5.1 Yêu cầu 80
5.2 Thiết lập các quy tắc 80
5.2.1 Cảnh báo vào Web 82
5.2.2 Cảnh báo có nguy hiểm 83
5.2.3 Cảnh báo Ping trên hệ thống 84
5.2.4 Cảnh báo có xâm nhập tài liệu 85
5.2.5 Lưu lại các phiên đi ra mạng 85
5.2.6 Một số quy tắc hay được sử dụng 86
KẾT LUẬN 87
Những phần nắm được 87
Những gì chưa đạt được 87
Hướng mở rộng 87
TÀI LIỆU THAM KHẢO 88