Luận Văn Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống

MỤC LỤC
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP . i
TÓM TẮT . ii
LỜI CẢM ƠN . . iii
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN . . iv
MỤC LỤC . v
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU . x
ĐẶT VẤN ĐỀ . 1
1. Lý Do Chọn Đề Tài . 1
2. Mục Tiêu Đạt Được Sau Đề Tài . 1
PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN . 2
3. Tổng Quan Về Bảo Mật Thông Tin . 2
3.1 Khái quát bảo mật thông tin . 2
3.2 Các loại tấn công cơ bản . 2
3.3 Nhiệm vụ của người quản trị . 3
4. Tổng Quan Giám Sát Thông Tin . 4
4.1 Khái quát giám sát thông tin . 4
4.2 Mục đích 4
4.3 Lợi ích của việc giám sát thông tin . 4
4.4 Vai trò của giám sát thông tin . 5
5. Nguyên Tắc Về Bảo Mật Thông Tin . 8
5.1 Chiến lược bảo mật hệ thống . 8
5.2 An ninh bảo mật mạng . 9
PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG . . 11
v




6. Hệ Thống IDS Và IPS . 11
6.1 IDS (Hệ thống phát hiện xâm nhập) . 11
6.1.1 Kiến trúc của hệ thống IDS . 11
6.1.2 Phân loại IDS . 12
6.1.3 Các cơ chế phát hiện xâm nhập . 15
6.2 IPS (Hệ thống ngăn chặn xâm nhập) . 17
6.2.1 Kiến trúc hệ thống IPS . 17
6.2.2 Phân loại IPS . 19
6.2.3 Phân loại triển khai IPS . 20
6.2.4 Công nghệ ngăn chặn xâm nhập IPS . 21
6.3 Đối chiếu IDS và IPS . 24
7. Tìm Hiểu Về Hệ Thống Firewall . 25
7.1 Chức Năng . 25
7.2 Các thành phần và cơ chế hoạt động của Firewall . 25
7.2.1 Bộ lọc packet (packet-filtering router) . 25
7.2.2 Cổng ứng dụng (application-level-gateway) 26
7.2.3 Cổng vòng (Circuit level Gateway) 27
7.3 Những hạn chế của firewall 27
7.4 Các ví dụ Firewall 28
7.5 Các kiểu tấn công 30
7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) . 30
7.5.2 Giả mạo danh tính . 32
7.5.3 Tấn công SMB . 34
8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG . 36
PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG . 37
vi




9. Audit Policies . 37
9.1 Khái quát về các chính sách giám sát sự kiện . 37
9.2 Các hạng mục trong Event Viewer . 39
9.2.1 Custom view . 39
9.2.2 Windows logs . 40
9.2.3 Applications and Services Logs . 41
9.3 Xây dựng và triển khai mô hình mạng . 42
9.3.1 Mô hình lab thực hiện . 42
9.4 Thiết lập các chính sách giám sát . 42
9.4.1 Application log . 42
9.4.2 Audit account logon events . 43
9.4.3 Audit account management . 45
9.4.4 Audit directory service access . 48
9.4.5 Audit logon events . 50
9.4.6 Audit object access . 52
9.4.7 Audit policy change . 56
9.4.8 Audit privilege use . 57
9.4.9 Audit process tracking . 58
9.4.10 Audit system events . 61
9.5 Giám sát hệ thống bằng command-line . 62
9.6 Nhận xét . 64
10. Xây dựng hệ thống giám sát với SNORT . 65
10.1 Giới thiệu Snort . 65
10.2 Cấu trúc của Snort . 65
10.3 Các chế độ hoạt động của Snort . 67
vii




10.3.1 Snort hoạt động như một Sniffer . 67
10.3.2 Snort là một Packet Logger . 70
10.3.3 Snort là một NIDS . 70
10.4 Khái quát về Rules . 71
10.4.1 Cấu trúc của một rule . 71
10.4.2 Cấu trúc của phần Header . 72
10.4.3 Cấu trúc của phần Options . 73
10.5 Hiện thị cảnh báo . 74
10.6 Hiệu năng của Snort . 75
10.7 Mô hình triển khai Snort . 78
10.8 Tấn công trong mạng nội bộ . 79
10.8.1 Tấn công ARP Cache . 80
10.8.2 Tấn công SMB . 81
10.8.3 Tấn công Smurf attack . 82
10.8.4 Tấn công Land attack . 82
10.8.5 Tấn công Dos với HTTP Post . 82
10.8.6 Một số rule cảnh báo . 82
10.9 Nhận xét . 83
11. Xây dựng hệ thống giám sát với Forefront TMG . 84
11.1 Tìm hiểu tổng quan Forefront TMG . 84
11.1.1 Một số tính năng mới trong Forefront TMG: . 84
11.1.2 Đặc điểm của Forefront TMG: . 85
11.2 Mô hình triển khai . 86
11.2.1 Thiết lập chính sách tường lửa . 87
11.2.2 Phát hiện và ngăn chặn tấn công . 89
viii




11.2.3 Giám sát luồng giao thông . 93
11.2.4 Theo dõi tổng quan và hiệu suất hệ thống . . 96
11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống . . 97
11.3 Nhận xét . . 100
KẾT LUẬN . 101
PHỤ LỤC SNORT . . 102
PHỤ LỤC FOREFRONT . . 121
TÀI LIỆU THAM KHẢO . . 124


ĐẶT VẤN ĐỀ
1. Lý Do Chọn Đề Tài
Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn
nhỏ. Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan
trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông
tin trái phép xâm nhập vào hệ thống. Chính vì thế chúng ta phải lập các kế hoạch,
phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay
truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho
hệ thống để đảm bảo tính ổn định và không bị quá tải.
2. Mục Tiêu Đạt Được Sau Đề Tài
Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám
sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống.