Đồ Án Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

MỤC LỤC
DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO . 5
CÁC THUẬT NGỮ VIẾT TẮT . . 6
LỜI GIỚI THIỆU . . 8
PHẦN 1 : TỔNG QUAN . 9
1.1 Lý do chọn đề tài . 10
1.2 Phân tích hiện trạng . . 10
1.3 Xác định yêu cầu . . 11
1.4 Giới hạn và phạm vi nghiên cứu . 12
1.5 Ý nghĩa thực tiễn của đề tài . . 12
PHẦN 2 : TÌM HIỂU IDS . . 13
2.1 Khái niệm . . 14
2.2 Các thành phần và chức năng của IDS . . 14
2.2.1 Thành phần thu thập gói tin . . 14
2.2.2 Thành phần phát hiện gói tin . . 15
2.2.3 Thành phần phản hồi . 15
2.3 Phân loại IDS . 15
2.3.1 Network Base IDS (NIDS) . 15
2.3.1.1 Lợi thế của Network-Based IDS . . 16
2.3.1.2 Hạn chế của Network-Based IDS . . 16
2.3.2 Host Base IDS (HIDS) . . 17
2.3.2.1 Lợi thế của Host IDS . . 17
2.3.2.2 Hạn chế của Host IDS . . 18
2.4 Cơ chế hoạt động của IDS . . 18
2.4.1 Phát hiện dựa trên sự bất thường . . 18
2.4.2 Phát hiện thông qua Protocol . 18
2.4.3 Phát hiện nhờ quá trình tự học . . 21
2.5 Các ứng dụng IDS phổ biến hiện nay . 21
PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG . . 22
3.1 Các phương thức tấn công . . 23
3.1.1 ARP Spoofing . . 23
3.1.2 Syn Flood . . 23
3.1.3 Zero Day Attacks . 23
3.1.4 DOS - Ping Of Death . 24
3.2 Các phương thức phòng chống . . 24
3.2.1 ARP Spoofing : mã hóa ARP Cache . . 24
3.2.2 Syn Flood . . 25
3.2.3 Zero Day Attacks . 25
3.2.4 DOS - Ping Of Death . . 25
PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP . . 26
4.1 Các bước thực hiện . 27
4.1.1 Mô hình mạng tổng quan . 27
4.1.2 Máy Client . . 27
4.1.3 Máy IDS . . 27
4.1.4 Máy Webserver . . 28
4.1.5 Máy Windows Server 2008 . . 28
4.2 Cấu hình IDS . . 28
4.2.1 Mô hình mạng chi tiết . . 28
4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort
kết hợp Iptables . . 29
4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 . . 29
4.2.2.2 Truy cập Web trái phép theo IP và tên miền . . 29
4.2.2.3 Truy cập Website vào giờ cấm. 29
4.2.2.4 Truy cập theo phương thức FTP . . 30
4.2.2.5 Tấn công theo phương thức Ping Of Death . 30
4.2.2.6 Hành động chat với các máy ip lạ. . 30
4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. . 30
4.2.3 Cài đặt webmin quản lý Snort . . 31
4.2.4 Tạo CSDL Snort với MySQL . . 31
4.2.5 Cài đặt BASE . . 31
PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT
CỦA MỘT IDS . . 32
5.1 Inotify . . 33
5.2 Lập trình API kết hợp với Inotify . . 33
5.3 Sản phẩm . 34
PHẦN 6 : TỔNG KẾT . . 35
6.1 Những vấn đề đạt được . 36
6.2 Những vấn đề chưa đạt được . . 36
6.3 Hướng mở rộng đề tài . . 37
PHẦN 7 : PHỤ LỤC . 38
7.1 Tài liệu tham khảo . 39
7.2 Phần mềm IDS-Snort . 40
7.2.1 Giới thiệu Snort . 40
7.2.2 Snort là một NIDS . 41
7.3 Cấu hình các Rules cơ bản của Snort và Iptables . 41
7.3.1 Rules Snort . 41
7.3.1.1 Cảnh báo ping. 41
7.3.1.2 Cảnh báo truy cập website. 41
7.3.1.3 Cảnh báo truy cập FTP. 41
7.3.1.4 Cảnh báo truy cập Telnet. 41
7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. 42
7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 . 42
7.3.1.7 Cảnh báo chat với các máy có IP lạ . 42
7.3.1.8 Ngăn chặn các trang Web có nội dung xấu . 42
7.3.2 Rules Iptables . 42
7.3.2.1 Ngăn chặn ping. 42
7.3.2.2 NAT inbound và NAT outbound . 43
7.3.2.3 Ngăn chặn truy cập website . . 43
7.3.2.4 Ngăn chặn truy cập FTP . . 44
7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 . 44
7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. 44
7.3.2.7 Ngăn chặn chat với các máy có IP lạ . 44
7.4 Hướng dẫn chi tiết cấu hình Snort . . 44
7.5 Thiết lập mạng và cấu hình các biến . 46
7.6 Cấu hình option của file Snort.conf . 47
7.7 Cấu hình tiền xử lý (preprocessor) . . 48
7.8 Thiết Lập Snort khởi động cùng hệ thống . . 50
7.9 Quản lý snort bằng webmin . . 51
7.10 Tạo CSDL snort với MySQL . . 51
7.11 Cài đặt BASE và ADODB . . 52
- Trang 4 -







Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
LỜI GIỚI THIỆU

Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày
càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã
buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo
mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong
việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền
thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và
mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion
Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn
công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các
phương pháp bảo mật truyền thống.
Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp
chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài
nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều
thiếu sót.
Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Chúng em xin chân thành cảm ơn.



PHẦN 1 : TỔNG QUAN
- Trang 9 -




Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ
1.1 Lý do chọn đề tài
Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc
trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo
mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được
một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực
tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến
nhà quản trị mà nó còn cung cấp những thông tin sau:
 Các sự kiện tấn công.
 Phương pháp tấn công.
 Nguồn gốc tấn công.
 Dấu hiệu tấn công.
Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết
kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt.
Một số lý do để thêm IDS cho hệ thống tường lửa là:
 Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.
 Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.
 Làm cho nỗ lực tấn công bị thất bại.
 Nhận biết các cuộc tấn công từ bên trong.
1.2 Phân tích hiện trạng
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua
455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.
- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm
một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống
virus không sử dụng IDS.
- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin
trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo
động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được
phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công
nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.
- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of
death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ
thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm
ngưng lại mọi hoạt động.
- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật.
1.3 Xác định yêu cầu
 Yêu cầu bắt buộc:
1. IDS là gì?
2. Các thành phần của IDS.
3. Các mô hình IDS.
4. Các ứng dụng IDS phổ biến hiện nay.
5. Triển khai mô hình IDS demo trong mạng LAN.
 Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của
một IDS.
1.4 Giới hạn và phạm vi nghiên cứu
- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có
tham gia kết nối internet.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.
- Tìm hiểu Snort IDS Software.
1.5 Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.