Báo Cáo Xây dựng hệ thống phát hiện xâm nhập và giám sát mạng nội bộ

XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP
VÀ GIÁM SÁT MẠNG NỘI BỘ
BUILDING A LAN INTRUSION DETECTION AND MONITOR SYSTEM

SVTH: Lê Văn Hưng, Phùng Duy Tùng
Lớp 05T1, Khoa Công Nghệ Thông Tin, Đại học Bách khoa
GVHD: ThS. Nguyễn Tấn Khôi
Khoa Công Nghệ Thông Tin, Đại học Bách khoa

TÓM TẮT
Báo cáo trình bày việc xây dựng một hệ thống phát hiện xâm nhập và giám sát mạng nội
bộ LAN. Hệ thống đựơc thiết kế nhằm giám sát mạng và các hoạt động của mạng đối với các hành
vi không được phép và có biện pháp phản ứng lại, theo chế độ thời gian thực để ngăn chặn và
phòng ngừa các hoạt động này. Khi một cuộc tấn công bị phát hiện, hệ thống có thể bỏ qua những
gói tin bất hợp pháp và đưa ra các thông báo đến người quản trị mạng.
ABSTRACT
This paper presents an approach in order to build an intrusion detection and monitor
system for a local network area (LAN). This system is designed to monitor network and system
activities for malicious or unwanted behavior and can react, in real-time, to block or prevent those
activities. When an attack is detected, it can drop the offending packets and bring the message to
network administrator.
1. Đặt vấn đề
Trong một hệ thống mạng, các máy chủ thường là mục tiêu chính trong các cuộc
tấn công, truy cập trái phép. Một hệ thống mạng phải được bảo vệ theo nhiều tầng để tăng
cường khả năng bảo vệ hệ thống [1,2,3]. Hiện nay, các chương trình bảo mật, phòng chống
virus bảo vệ hệ thống (BKIS, Kaspersky Anti-Virus, BitDefender Antivirus, .) đều có giá
thành cao và chủ yếu được phát triển ở nước ngoài. Ngoài ra, các chương trình firewall bảo
vệ mạng hiện nay hầu hết được tích hợp trong các thiết bị phần cứng của mạng. Bên cạnh
đó, các chương trình được phát triển riêng lẻ với các tính năng tương đối độc lập với nhau
cho nên việc khai thác các chức năng của các chương trình này nhằm phục vụ công việc
giám sát và quản trị hệ thống bị hạn chế.
Xuất phát từ nhu cầu thực tiễn trên, chúng tôi tìm hiểu xây dựng một chương trình
tích hợp nhiều chức năng hỗ trợ giám sát hệ thống mạng và phát hiện các xâm nhập trái
phép có nhằm giúp cho công việc quản trị mạng được tập trung và đạt hiệu quả cao. Báo
cáo này trình bày những vấn đề chủ yếu liên quan đến hệ thống này.
2. Các phương thức xâm nhập mạng và cách phòng chống
2.1. Các kĩ thuật cơ bản xâm nhập một hệ thống mạng
Một số hình thức cơ bản tấn công xâm nhập mạng phổ biến như [1]: FootPrinting,
Scanning, Enumeration, Gaining Access, Escalating Privileges, Pilfering, Covering Tracks,
Denial of Service (DoS). Ngoài ra còn có một số hình thức tấn công khác như: tấn công
192
không qua chứng thực (Deauthentication attack), tấn công truyền lại (Replay Attack), tấn
công dựa trên sự cảm nhận sóng mang lớp vật lý, giả mạo địa chỉ MAC, .
2.2. Tấn công từ chối dịch vụ và phòng chống
Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công trên hệ thống mạng nhằm
ngăn cản những truy xuất tới một dịch vụ bằng cách làm tràn ngập số lượng kết nối, quá tải
server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn
người dùng hợp lệ truy nhập tới dịch vụ mạng. Có 3 phương pháp tấn công DoS chủ yếu:
Smurf hay Fraggle, SYN Flood và DNS attack [1,3,4].
Các biện pháp cơ bản phòng ngừa tấn công DoS như sau:
- Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities).
- Phòng ngừa việc khai thác sử dụng các zombie.
- Ngăn ngừa sử dụng công cụ tạo các kênh phát động tấn công.
- Ngăn chặn tấn công trên băng thông.
- Ngăn chặn tấn công qua SYN.
- Phát hiện và ngăn chặn tấn công tới hạn số kết nối.
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai,
lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người
xâm nhập ngoài hệ thống. Đây là một công việc đầy khó khăn do ảnh hưởng của sự tăng
trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất, nhiều giao
thức truyền thông, . Việc phát hiện xâm nhập được xây dựng chủ yếu dựa trên sự khác
biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.
3. Thiết kế xây dựng chương trình
Hệ thống chương trình được phân tích, thiết kế bao gồm nhiều mục tiêu như giám
sát lưu thông gói tin IP, theo dõi các tiến trình hệ thống đang hoạt động, các user đăng
nhập trên hệ thống, phát hiện và cảnh báo các nguy cơ tấn công hay xâm nhập vào hệ
thống trên máy chủ từ đó có thể tác động lên chương trình để bảo vệ thông tin mạng. Ngoài
ra, chương trình còn có các công cụ và tiện ích mạng giúp cho người quản trị có thể thao
tác quản lý tập trung. Với mục tiêu như vậy, hệ thống có những chức năng chính sau:
- Giám sát gói tin ra/vào trên hệ thống,
- Lọc gói tin từ nguồn đến đích dựa theo danh sách từ khóa cho trước để phát hiện
thông tin không hợp pháp.
- Kiểm soát và phòng chống các cuộc tấn công DoS, DDoS, các hành vi tạo ra
backdoor vào hệ điều hành của server.
- Kiểm tra các tiến trình, số hiệu tiến trình, cổng dịch vụ đang hoạt động trên Server
để tìm ra các dịch vụ không hợp pháp.
- Quản lý các user hệ thống.
- Thông báo email cảnh báo cho các người sử dụng liên quan.