Luận Văn Nghiên cứu triển khai hệ thống IDS/IPS

MỤC LỤC ( Luận văn dài 84 trang)

BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT 1
DANH SÁCH BẢNG .1
DANH SÁCH HÌNH MINH HỌA 2

MỞ ĐẦU 3

CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET

1.1. AN NINH MẠNG .4
1.2. HỆ THỐNG MẠNG VNUNET 4
1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet .4
1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet .5

CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP .7

2.1. KIẾN THỨC CƠ SỞ .7
2.1.1. Thâm nhập .7
2.1.2. Tấn công từ chối dịch vụ .8
2.1.3. Lỗ hổng bảo mật .10
2.1.4. Virus, Sâu và Trojan .12
2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG .13
2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP .17
2.3.1. Thu thập thông tin .17
2.3.2. Tấn công từ chối dịch vụ .17
2.3.3. Thâm nhập qua Trojan 18
2.3.4. Thâm nhập qua lỗ hổng bảo mật 19

CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP

3.1. CÁC KHÁI NIỆM CƠ BẢN .22
3.2. THIẾT BỊ IPS PROVENTIA G200 25
3.3. SITEPROTECTOR SYSTEM 27
3.3.1. SiteProtector System là gì? .27
3.3.2. Quá trình thiết lập hệ thống SiteProtector .29
3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS .31
3.4.1. Cài đặt .31
3.4.2. Cấu hình hình thái hoạt động .31
3.4.3. Cấu hình sự kiện an ninh 32
3.4.4. Cấu hình phản hồi .35
3.4.5. Cấu hình tường lửa .42
3.4.6. Cấu hình protection domain .44
3.4.7. Cấu hình cảnh báo 46
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 48
3.5.1. Ngăn chặn các hình thức thu thập thông tin .48
3.5.2. Ngăn chặn tấn công DoS 49
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan 50
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật .50
3.6. TRIỂN KHAI THỰC TẾ 51

CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI .58

4.1. KẾT QUẢ ĐẠT ĐƯỢC 58
4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 58

PHỤ LỤC A .60
PHỤ LỤC B .63
PHỤ LỤC C .65
PHỤ LỤC D .68
PHỤ LỤC E .72

DANH SÁCH BẢNG

Bảng 1 – Thuật ngữ IDS/IPS .22
Bảng 2 – Hình thái hoạt động 36
Bảng 3 – Phản hồi email 36
Bảng 4 – Phản hồi Log Evidence 37
Bảng 5 – Phân loại cách ly 37
Bảng 6 – Phản hồi cách ly .38
Bảng 7 – Phản hồi SNMP 38
Bảng 8 – Phản hồi User Specified .39


DANH SÁCH HÌNH MINH HỌA

Hình 1 – Sơ đồ kết nối logic của VNUnet 5
Hình 2 - Minh họa trình tự tấn công . 14
Hình 3 - Giao diện DoSHTTP 17
Hình 4 - Giao diện smurf attack . 18
Hình 5 - Giao diện client trojan beast . 18
Hình 6 - Lỗi trong dịch vụ RPC . 19
Hình 7 - Giao diện metasploit 20
Hình 8 - Giao diện metasploit (2) . 21
Hình 9 – Security Events 34
Hình 10 – Response Filters . 42
Hình 11 – Protection Domain . 45
Hình 12 - Protection Domain . 46
Hình 13 - Mức độ nghiêm trọng của thông báo . 47
Hình 14 - Minh họa thông báo . 47
Hình 15 - Ngăn chặn thu thập thông tin . 48
Hình 16 – Đánh dấu cảnh báo SYNFlood 49
Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) . 50
Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 50
Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo 51
Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive 51
Hình 21 – Mô hình mạng VNUnet . 52
Hình 22 – Sơ đồ triển khai IPS . 53
Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT 54
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS 55
Hình 25 - Hệ thống IPS gửi mail cho người quản trị . 56
Hình 26 - Các dò quét và tấn công thực tế . 57
Hình 27 – Các hành vi khai thác điểm yếu an ninh 60
Hình 28 - Xu hướng phishing sắp tới . 61
Hình 29 - Minh họa smurf attack . 65
Hình 30 - Minh họa tấn công SYNFlood . 66
Hình 31 - Sơ đồ kết nối logic . 74
Hình 32 – Mô hình tổ chức . 75




MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép.

Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng để bảo đảm an ninh mạng ở một mức khá cao.

Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200 trên hệ thống mạng của Trường Đại học Quốc gia.

Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, sau đó có đánh giá và nhận xét.

Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát triển từ kết quả của khoá luận.