Trước các hạn chế của hệ thông IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vẫn đề được đặt ra là làm
Trang 1Xây dựng hệ thông chống xâm nhập dựa vào
Intrusion Prevention System - IPS
Sinh viên thực hiện:
TÔ THANH BÌNH — MSSV: 08B1020122
THẢNH PHỎ HÒ CHÍ MINH NĂM 2010
Trang 2
LỜI CÁM ƠN
Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ Tp.Hồ Chí Minh đã đào đạo, trau đồi cho tôi những kiến thức thật bô ích trong suốt thời gian vừa qua
Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thời gian vừa qua Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại những kiến thức rất bố ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được
đồ án
Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ Thuật Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang áp dụng vảo cuộc sống
Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp
T6 Thanh Binh
Trang 3Mục Lục 0909.) 09 1
Danh muc tit Viét tat 0 ccccccccccecceccecececeeescerccecceseesecersusecaseessesseerevrevstesenrevereares 5 Danh muc hinh minh hoa cccccccecccceeccceeeeeueeeeueceeeueceeaueeueaceeueeseeneeeeeaeeeeaaes 8 P00 ác 0 Ô aaaaIR 10
MỞ ĐẦU 11
Chương 1 Tống quan về hệ thống ngăn chặn xâm nhập IPS 13
1.1 Giới thiệu hệ thông ngăn chặn xâm nhập 2-25 +25 S+*+z££+zzx+zcssa 13
1.2 Sơ lược các kiểu tấn công và cách phòng chống . -5-5555: 15
1.2.2 Các bước tấn công thường gặp .-. - 5-2223 3222222 re eree 17 1.2.3 Phương pháp tấn công . - 5:5 222212121 E11 1323E5151518181 1115 exe0 18
1.2.4 Giải pháp phòng chỗng ¿L5 22 S23 E323 1515155115111 E1 EteE 20
1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thông IPS 20
1.3.1 Nhận biết qua dấu hiệu - Signature Based - 5c cc sec 21 1.3.2 Nhận biết qua sự bất thường - Anomaly Based - 5-5: 22 1.3.3 Nhận biết qua chính sách - Policy Based - ¿2 52c ceccc+zzssa 24 1.3.4 Nhận biết qua sự phân tích - Protocol Analysis Based 24
1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập 2- 2-22 s+s+szscz s2 25
1.4.1 Modul phân tích gói tin - 27 22112 1n S2 S2 SH 2 ng g rxy 25
1.4.2 Modul phát hiện tân công -¿-¿ 2222 + SE SE2E2E2E 515121 115111 xe 25
1.4.3 Modul phan he .dẢ 27
1.5 Phân loại hệ thống ngăn chặn xâm nhập .-. 2-2-5 2222 c2 +z+e£+x+xss2 28
'-N ` ¡S6 ằ 1⁄.ỄỎỎỒỐ5ÊEÊ 28 1.5.2 Network Behavior Analysis Sys†em nhe ha 30
1.5.3 Host Based occ ‹.ố 31 1.5.4 Wireless
1.6 So sánh hệ thống phát hiện xâm nhậpvà ngăn chặn xâm nhập
-2-
Trang 41.7 Các sản phẩm trên thị trường hiện nay .-. ¿ 5-2225: S2 S222 S+z+zxzxssz 35 Chương 2 Giới thiệu tổng quan thiết bị IOS IPS 5 s2+s++s+<css2 36
“ca 0 äa ga sa a4 36 2.1.1 Một vài định nghĩa - 2 5 22211 1v SE nh nen 36 2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập 37 2.2 Mô hình của hệ thống ngăn chặn xâm nhập 2-2 2222 s+z+zzzc+x+2 40
2.2.1 IPS ngoài luồng - Promiscous Mode - 5-52: Sc S2 crei 41
2.2.2 IPS trong ludng - lIn-line mode - 5-22: 5S +2 £+E2E+zxexzrrxes 41 2.3 Cấu trúc của Cisco IOS IPS SenSOr - 252 22221 SEE SE key 42 2.3.1 Signature Definition File - SDF -.- TQ Q SH He 42 2.3.2 Signature Micro Engine - SME nhe 43
2.4 Các loại dau hiệu và cảnh báo - 5-2: t3 2222112222111 teen 43 2.4.1 Các loại dấu hiệu - S2 2:2 St 122121121121 1 1 1E 43
2.4.2 Cac nu in an cố ẻ 5 da 46 2.5 Phương pháp quản lý và hạn chế của hệ thống ngăn chặn xâm nhập 48 2.6 Các lệnh trong Cisco IOS IPS TS nnSnSn SH TH HT KH HH kế 49 2.6.1 Các mode của Command Line Interface ccccc c2: 49
2.6.2 Tim hiéu các luật của Cisco IOS IPS§ -: 5c 5 cccscsrererrsrsre 51 2.7 Các lỗi thường gặp khi cầu hình băng Comman - Line - 55
Chung 3 M6 hinh va thyc NQhiéM cece ececeeceesssseeeeeeeecestaaeeees 57 3.1 Mô tả thực nghiệm . - 222000111222 2201111 11H ng 1 vn ng 57
3.2 Ha tang mạng thực nghiệm . - L5 2 1211212111121 1112151 1E tre 58
3.3 Một số phần mềm dùng để triển khai - - 52525222 S2 2E +2££+EzE+zzzxessez 59 3.3.1 Mô tả thiết bị c c2 n2 H121 re 59 3.3.2 Phần mềm cho PC - ¿5 22t2E2E1212121 1121212112 1211 re 59 3.3.3 Mô tả các kết nói -:- c2: t 21 2111121111111 .1111reg 60 3.4 Cấu hình và kiếm thử -: 2222:1222 221 t1 rau 61 3.4.1 Cấu hình cho từng thiết bị - 122 SES SE SE 1 21212218151112151 111 x2 61
3.4.2 Kiểm tra quá trinh thong mang .c.cccccceccceeceecesesesesesseeeeeseteetetenens 75
-3-
Trang 53.5 Các cuộc tấn công và kết quả thống kê thực nghiệm . - 5-55 5-5¿ 76
3.5.2 Ngăn chặn - S21 1 32111 21 15111212111112111 1112211018112 111tr 78 3.5.3 Kết quả thống kê thực nghiệm - 5 222222 E222 crrrxssree 79 KẾT LUẬN - L2 2c 2123 212113 E1 Y1 1x 11111111111 Tc HH HH HH Triệt 82 TÀI LIỆU THAM KHẢO - S1 12511125155 21155 552 881 8 re 83
-4-
Trang 6Danh mục từ viết tắt
AGL_ | Access Control List Danh sách các câu lệnh
ASDM | Adaptive Security Device Manag\ Chương trình dùng đề câu hình Route
CSA_ | Cisco Security Agent Phân mềm bảo mật cho Cisco
AlC | Application Inspection and Contr ARP | Address Resolution Protocol Giao thức Address Resolution Protocd IOS | Internetwork Operating System
SDM _ | Cisco Security Device Manager | Chuong trinh ding dé cdu hinh Cisco
CSM _ | Cisco Security Manager MARS | Security Monitoring, Analysis, an} Chuong trinh ding dé cdu hinh Cisco
Response System CLI Command Line Interface Giao diện dòng lệnh
CSA_ | Cisco Security Agent DdoS | Distributed Denial of Service Tan céng tir choi dịch vụ DNS | Domain Name System Hệ thông tên miễn DoS | Denial-of-service Tân công từ chối dịch vụ NBA | Network behavior anomaly Dựa trên các dấu hiệu di thường FRU | Fragment Reassembly Unit Tap hop cac IP fragments
FTP | File Transfer Protocol Giao thức truyền dữ liệu
ICMP_ | Internet Control Message Protoc\ Giao thức xử lý các thông báo trạng
thái cho IP IDM_ | Cisco Intrusion Prevention Sys†8 Chương trình dùng đề câu hinh IPS
Trang 7
Device Manager
IDP_ | Intrusion Detection and Preventid Ngăn ngừa tân công và phòng chong IDS | Intrusion Detection System Hệ thông phát hiện xâm nhập MC_ | Management Center Trung tâm quản lý
IDAPI | Intrusion Detection Application
Programming Interface
IPS | Intrusion Prention System Hệ thống phát hiện xâm nhập
TCP | Transport Control Protocol Giao thire diéu khién truyén tải
LAN | Local Area Network Mạng cục bộ LDAP | Lightweight Directory Access Giao thức ứng dụng truy cập các câu
Protocol trúc thư mục MAC_ | Media Access Control Định danh được gán cho thiết bị mạng MITM_ | Man-in-the-middle Tấn công thụ động
VPN_ | Virtual Path Mạng riêng ảo
NTP | Network Time Protocol Nhận dạng kênh ảo trong tê bảo NIPS_ | Network-Base Intrusion
Prevention System NIC | network interface Control POP | Post Office Protocol Giao thức dùng đề nhận các thư điện tử
OSI | Open Systems lInterconnection | Mô Hình Mạng OS
RCP_ | Remotecopy Protocol
SCP | Secure Copy Protocol SSH_ | Secure shell SDEE | Security Device Event Exchange
CSM_ | Security Manager SDF | Signature Definition file SME_ | Signature micro-enines SNMP | Simple Network Management | Giao thức giám sát và điêu khiến thiết Protocol bị mạng
Trang 8
SMTP | Simple Mail Transfer Protoco Giao thức truyền tải thư tín đơn giản
TFTP | Trivial File Transfer Protoco Giao thức truyền tai file
TLS | Transport Layer Security Giao thức bảo vệ và mã hóa dữ liệu UDP | User Datagram Protoco Giao thức cốt lõi của giao thức TCP/IP UTM | Unified Threat Management Quản lí Bảo mật Hợp nhất
VPN_ | Virtual Private Network Mạng riêng ảo WAN _ | Wide Area Network Mạng diện rộng
WIPS | Wireless Intrusion Prevention Hệ thông phòng chong xâm nhập mang
WLAN | Wireless LAN Mạng không dây nội bộ
XML | eXtensible Markup Language Ngôn ngửi đánh dâu mở rộng WIDS | Wireless Intrusion Detection System Hệ thống phát hiện xâm nhập mạng không dây
Trang 9
Danh mục hình mình họa Hình 1-1 Mô hình Snort kết hợp Firewall - + 25252 2222 xe cereesxzxssrersee 14
Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng cà S222 se 15 Hình 1-3 Phương thức nhiễm ARP cache 222 2222 222212 crxerererrea 18
Hình 1-4 Nhận và chuyên Pacet - - 5S: 1222112151 1511111111815 xx6 19
Hình 1-5 Sơ đồ tân công DNS - 2Q S 2221 1212121 121211111 1212112181811 20 Hình 1-6 Signature Based -.L cee n1 S2 HH TH TT H TH KH vu 21 Hình 1-7 Anomaly Based 2-2202 1nnn TH HH HT ng nh gu kg 23 Hinh MP; noi 0c -vHHiŸ£ŸỶẶà 24
Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập . 25
Hình 1-10 Mô hình Network Base L L2 HH TH ng ng Hé 28 Hình 1-11 Thành phần của Networlc Base 522 2S St S St srcseerrrei 29 Hình 1-12 Mô hình Network Behavior Analysis System 31 Hình 1-13 Mô hình Host Based - LQQ 2 HT HH HH HH Hee 32 Hình 1-14 Mô hình VWireless Q2 nn S2 HH nH HT TH TH kh khe 33 Hình 1-15 Mô hình chung - - 2 S2 222102111111 125 221111111 1n vky 34 Hình 2-1 Các thành phần của Cisco IPS ¿S2 222: + 3 3222212111 Ecrre 37
Hình 2-2 Cơ chế hoạt động của hệ thông ngăn chặn xâm nhập 39
Hình 2-3 Promiscuos mode c T2 11112114 TT TH KT kg 41 Hình 2-4 Inline Mode - -. 201111211 n* H1 111111 k KT KĐT TK kkkkt 42
Hình 2-5 Các dấu hiệu Attack c2 222 22H H2 àg 44 Hình 2-6 Các dấu hiệu về giao thức ¿5 2c S322 2121221111111 xxeE 45
Hình 3-I Mô hình thực nghiệm - - - - 2 S2 2222221113111 333511111 1n rey 57
Hình 3-2 Sơ đồ hệ thống cần mô phỏng . 2: 2222 2222 2E2E+E££zEzE+cred 59
Hình 3-3 Bat đầu cài GNS3 à nga 64
Trang 10Hình 3-9 SDM Laucher - -LL CS HS ST n SH TT TT TT TT kế 67 Hình 3-10 Giao diện chính của SDM Q22 2 S2 SSn HH ST TT ky ng nhe 68
Hình 3-11 Tính năng IPS trên router c S2 *SS SH 68 Hình 3-12 Thông báo khi chạy IPS - Q Q22 nSSS S2 HS SS SH ng ky 69 Hình 3-13 Danh sách card mạng - 0012222211 111121 1111155111112 kh rky 69 Hình 3-14 Mô tả cách nạp sIB'AẨUT€ 0Q 2n nnn SH HS n* TH ket 70
Hình 3-15 Kết thúc các quá trình cấu hình . 2 2 22222 SE +2£e£+x+e+zxexsez 70 Hình 3-16 Kết thúc quá trình cấu hình ¿5-2225 S 222222121 EEE SE EEsxsrsrei 71
Hình 3-17 Nap file SDF cho IOS IPS Q0 Q11 2 HS SH nghe 71 Hình 3-18 Card mang IPS đang theO dỗi 0 22t nnnS nhe 72
Hình 3-19 Định nghĩa hành động cho dấu hiệu - -.c c1 S SE rrree 72 Hình 3-20 Chỉnh sửa dấu hiệu . - S221 2H HH ưe 73
Hình 3-21 Truy cập HTTTP 001 2221111121 H1 TS TH HE TH KT nen 76 Hình 3-22 Truy cập FTTP Q22 n TS 2n 1 Tn TH TT TH KT KĐT KH ke 76
Hình 3-23 Nmap kiém tra các port trên server -:s++2+s+c+e+scssi 77
Hình 3-24 IPS bắt gói tin của Hacker - 5-5 S2 1222212151 2151211155 78 Hình 3-25 Chương trình ŠcanpOrt 0 0Q S2 2S S S1 HT nghe 80
Hình 3-26 IPS chặn kết nối F TP - +: 5252k 12E221111221 212 re 81
-9-
Trang 11Danh mục bảng Bảng 2-1 Tóm tắt các loại dấu hiệu . 2-2525 22222 222125121511 ESESEEEexsee 44 Bảng 2-2 Bảng mô tả chỉ tiết dấu hiệu - + 5-5 22222222322 E£E£EEeEsEzEssrersee 46 Bảng 2-3 Bộ nhớ các dầu hiệu - 5: 2522212225 1915125E21212511 1515111111111 s6 49 Bảng 2-4 Các dấu hiệu không hỗ trợ -: 2223 SES2£2E+E2ES2E£EEEeErsrrsed 49
- 10-
Trang 12MỞ ĐẦU
1 Giới thiệu
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc sống Có thê thấy máy tính và mạng internet là thành phần không thê thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày Tuy nhiên, sự phát triển này cũng kèm theo vấn để an ninh máy tính đang ngày càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tính Vì vậy, việc xây dựng một nền an ninh máy tính, thiết
kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử dụng máy tính không thê thiếu ở nhiều lĩnh vực
Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập lntrusion Detection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường
và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Tuy nhiên, gần đây khái niệm ngăn chặn xâm nhập đã xuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhap Intrusion Prevention System — IPS da duoc nghién cứu chính thức từ đó và cho tới nay đã được áp dụng rộng rãi ở các tô chức, doanh nghiệp trên toàn thế giới
Trước các hạn chế của hệ thông IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ
ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vẫn đề được đặt ra là làm sao có thê tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiêu công việc của người quản trị hệ thống, ngày nay các hệ thông mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS, tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó
Cơ sở hạ tầng CNTT càng phát triển thi van dé phat triển mạng lại cảng quan trọng,
mà trong việc phát triển mạng thi việc đảm bảo an ninh mạng là một vấn đề tối quan trọng Sau hơn chục năm phát triển, vẫn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì mỗi một mạng phải
tự thiết lập một hệ thống tích hợp IPS của riêng mình Trong luận văn này, chúng ta sẽ
- 11-
Trang 13tìm hiểu về cầu trúc một hệ thống IPS và đi sâu tìm hiểu phát trién hé thong Cisco IPS
để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâm nhập và phòng chống tân công mạng
2 — Mục tiêu đề tài
Đề tài này nghiên cứu các kỹ thuật cơ bản liên quan đến việc xây dựng hệ thống bảo mật ngăn ngừa xâm nhập dựa trên Cisco Intrusion Prevention System và triển khai được ở mức mô hình thực nghiệm
3 Hướng tiếp cận giải quyết
Đề thực hiện được mục tiêu đặt ra, luận văn trình bày khá chỉ tiết công nghệ [PS
nói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyên dụng hay trên Router Cisco hỗ trợ IPS
Chương 2 Giới thiệu chung về thiết bị IOS IPS
Trình bày các khái niệm của Cisco IPS, kha nang ứng dụng IPS, tìm hiểu các câu lệnh và cách tạo luật trong |OS IPS và những khó khăn mắc phải khi triển khai IPS Chương 3 Mô phỏng và thực nghiệm
Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏng trén GNS3 va VMWare
-12-
Trang 14Chương l Tổng quan về hệ thống ngăn chặn xâm nhập IPS
1.1 Giới thiệu hệ thống ngăn chặn xâm nhập
Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chức
năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và ngăn ngừa các vẫn đề liên quan tới bảo mật và an ninh Hệ thống ngăn chặn xâm nhập giám sát bat ctr lưu lượng nảo của gói tin đi qua và đưa ra quyết định liệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp — sau đó thực hiện hành động thích hợp để bảo vệ hệ thông mạng Trước các hạn chế của hệ thông phát
hiện xâm nhập — Intrusion Detection System (IDS), một vấn đề được đặt ra là làm sao
hệ thông có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnh báo nhằm giảm thiểu công việc của người quản trị Hệ thống ngăn ngừa xâm nhập được ra đời vào năm 2003, được phô biến rộng rải cho đến ngày nay và đã dần dần thay thế cho hệ thống phát hiện xâm nhập - IDS, bởi nó có thể giảm bớt các yêu cầu tác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ
thống, tuy nhiên một hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệ
thống IDS bằng việc ngắt bỏ tính năng ngăn chăn xâm nhập
Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phần cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của hệ thống Một số IPS so sánh các gói tin nghe được trên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượng mạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thông này gọi
là Signature-Based IPS Đối với việc quan sát lưu lương của hệ thống theo thời gian
và xem xét các tình huỗng không phù hợp với bình thường thì sẽ ngăn lại, hệ thống này gọi là anomaly-Based IPS Sau day ta tìm hiểu từng loại hệ thống:
Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâm nhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn
-13-
Trang 15chặn xâm nhập - PS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiện những cuộc tấn công Snort được nhiều tô chức, doanh nghiệp phát triển và biến thành sản phẩm thương mại như Sourcefire, Astaro, .Dé cai dugc snort thi dau tién xem xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần không gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủ
khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thi
người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo
nhất Snort có thể chạy trên các hê điều hành như Window, Linux Snort chủ yếu là
một hệ thông phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text
có thể được chỉnh sửa bởi người quản trị, Các luật được nhóm thành các kiểu và mỗi loại được lưu trong các file khác nhau
Firewall
Internet
Hình 1-1 M6 hinh Snort két hop Firewall
Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phát hiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp các loại cảm biến sau đây:
Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sản
phẩm bao gồm Cisco ASA AIP SSM-10 với I-GB bộ nhớ, mét Cisco ASA AIP SSM-
20 với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40
- 14-
Trang 16NIPS ==rJ =
= đ a | S |
Web ĐNS E-Mail HIPS HIPS HIPS
Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng Cisco IP§ 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng Sử dụng Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhập
nội tuyến với các công nghệ tiên tiễn dé cải thiện tính chính xác
Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là một phần của giải pháp của Cisco IPS, nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu
1.2 Sơ lược các kiểu tấn công và cách phòng chống
1.2.1 Các loại tín công
Hiểu được những điểm yếu trong bảo mật là một vẫn đề hết sức quan trọng đề tiến hành những chính sách bảo mật có hiệu quả Những điểm yếu trong bảo mật mạng gồm có những điểm yếu: Về mặt kỹ thuật, về mặt cầu hình và các chính sách bảo mật Điểm yếu về mặt kỹ thuật: Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao thức, trong Hệ điều hành và các thiết bị phần cứng như Server, ŠSwitch, Router,
- 15-
Trang 17Điểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản tri tạo ra Lỗi này do các thiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sử dụng các câu hình mặc định trên thiết bị như switch, router, modem Nếu dựa vào hành động của cuộc tấn công có thể chia tắn công ra làm hai loại là:
Tấn công thụ động: Là phương pháp tân công không tác động đến nội dung thông điệp được truyền trên mạng mà chỉ lắng nghe và phân tích nội dung của thông điệp, từ
đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tân công tiếp theo Đối với thông điệp không được mã hoá thì hacker có thê bắt và hiểu được đầy đủ nội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với những thông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệp trên đường truyền nhưng việc hiểu đúng nội dung packet không phải là đễ dàng, vì nội dung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nội dung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa Kết quả nhận được từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trên mạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dung thông điệp, khoá dùng để mã hóa cho thông điệp
Tấn công chủ động: Là phương pháp tấn công can thiệp vào nội dung của thông điệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thê như các thiết bị, máy tính, làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu
Có một số cách thức tắn công chủ động như sau:
e - Giả mạo xác nhận quyền truy cập - Authentication Spoofing
e - Thay đối nội dung thông điệp - Message Modification
e _ Phương pháp tấn công qua người trung gian - Man-In-Middle Attack Nếu dựa vào nguồn gốc của cuộc tấn công thì có thê phân loại tắn công làm hai loại Tấn công từ bên trong va tấn công từ bên ngoài:
Tấn công từ bên trong: Là những tân công xuất phát từ bên trong hệ thống mạng
Kẻ tấn công là những người trong hệ thông mạng nội bộ muốn truy cập, lẫy thông tin nhiều hơn quyền cho phép
- 16-
Trang 18Tấn cơng từ bên ngồi: Là những tấn cơng xuất phát từ bên ngồi Internet hay các kết nối truy cập từ xa
1.2.2 Các bước tấn cơng thường gặp
Bước L: Kẻ tấn cơng khảo sát, thu thập thơng tin về nơi tấn cơng đề phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng,
Bước 2: Kẻ tấn cơng sử dụng các thơng tin thu thập được từ buớc I để tìm kiếm thêm thơng tin vẻ lỗ hồng và điểm yếu của hệ thống mạng, các cơng cụ thường được
sử dụng cho quá trình này là các cơng cụ quét cơng Scan port, quét IP, dị tìm lỗ hồng Bước 3: Các lỗ hỗng được tìm thấy trong bước 2, kẻ tấn cơng sử dụng nĩ đề khai thác xâm nhập vào hệ thơng, chúng cĩ thể dùng các kỹ thuật như tràn bộ đệm, từ chối dich vu DoS
Bước 4: Một khi kẻ tấn cơng đã xâm nhập được vào hệ thơng bước tiếp theo là làm sao đề duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai như Backboors, Trojans và khi đã làm chủ chúng cĩ thể gây ra những nguy hại cho hệ thống hoặc đánh cắp thơng tin Ngồi ra, chúng cĩ thể sử dụng hệ thống này dé tan cơng vào các hệ thống khác như tấn cơng DDoS
Bước 5: Khi kẻ tắn cơng đã xâm nhập và cỗ gắng duy trì xâm nhập bước tiếp theo
là chúng phải làm sao xĩa hết dấu vết để khơng cịn chứng cứ xâm nhập như xĩa các tập tin lòg, xĩa các cảnh báo từ hệ thống phát hiện xâm nhập
Hau hết các cuộc tấn cơng đều tiễn hành tuần tự 5 bước trên, làm sao đề nhận biết
hệ thống mạng đang bị tân cơng ngay từ hai bước đầu tiên là hết sức quan trọng, ở bước 2 và bước 3 kẻ tấn cơng thường làm lưu lượng kết nối thay đơi khác với lúc mạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ở
bước 3 là xâm nhập thì khơng dễ dàng đối với kẻ tấn cơng Do vậy, khi khơng thể xâm
nhập được vào hệ thống để phá hoại cĩ nhiều khả năng kẻ tấn cơng sẽ sử dụng tấn cơng từ chối dịch vụ DoS hay DDoS để ngăn khơng cho người dùng hợp lệ truy xuất tài nguyên hệ thống
- 17-
Trang 191.2.3 Phương pháp rán công
Gồm hai bước cơ bản sau: Nhận packet và thí hành tấn công
Kỹ thuật tấn công ARP
Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ gửi gói tin ARP có chứa
thông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận được
gói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2
giá trị này trùng khớp thì B sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B cho
A, khi A nhận được gói tin do B reply nó sẽ lưu dia chi MAC cua B trong ARP table ARP cache đề dùng cho lần truyền tiếp theo
BB:Máy A MAC:
IP:10.1.1.3 1.2 MAC: HH:HH:HH:HH:HH:HH
Hình 1-3 Phương thức nhiễm ARP cache
Kỹ thuật tấn công Man-in-the-middle (MITM):
Điều kiện cần của phương pháp tấn công ARP là hacker phải đạt được sự truy xuất vào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trên
mạng
Ví dụ: Lây nhiễm ARP cache như sau:
Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:
A(IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)
B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)
May tinh cua hacker co dia chi: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)
-18-
Trang 20IP:10.1.1.4 MAC
MAC: HH:HH:HH:HH:HH:HH
Hình 1-4 Nhận và chuyên Packet
H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉ MAC= HH:HH:HH:HH:HH:HH
H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC là
HH:HH:HH:HH:HH:HH Lúc nay ARP table cua B sẽ là IP= 10.0.0.2- MAC= HH:HH:HH:HH:HH:HH Khi A cần truyền thông điệp đến B, nó thấy trong ARP
table B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho H thay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đó đến B
Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên Như vậy, H đóng vai trò là người trung gian nhận và chuyên thông điệp giữa A và
B mà hai host này không hề hay biết, H có thể thay đôi thông điệp trước khi truyền đến máy đích
Ping of Death:
Kiểu DoS attack này, ta chỉ cần gửi một gói đữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo
-19-
Trang 21VD : ping J 65000
Tấn CÔng từ chối dich vu DNS:
Hacker có thể đối một lối vào trên Domain Name Server A của hệ thông nạn nhân rồi chỉ đến một website B nào đó của hacker Khi máy khách truy cập dén Server A thì thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra
DNS Server A (Victim) DNS Server B
Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ
hệ thống mạng cần thiết, xây dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tường lửa chỗng xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trình bảo mật để bảo vệ các tài liệu tập tin quan trọng, thường xuyên back-up đữ liệu tuy nhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương pháp sau: cấu hình đúng tính năng của Antispoof trên router và tường lửa của hệ thong, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router và tường lửa, giới hạn việc đánh giá lưu lượng mạng
1.3 Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS
Hiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thức
theo dõi và phân tích Mỗi phương pháp có những lợi điểm và những hạn chế nhất
- 20 -
Trang 22định Tuy nhiên, mỗi phương pháp đều có thể mô tả thông qua một mô hình tiến trình chung tổng quát cho hệ thông ngăn ngừa xâm nhập
1.3.1 Nh¿n biết qua dấu hiéu - Signature Based
Hinh 1-6 Signature Based
Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngăn ngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đã được biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết
rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình Một Signature Based là những dấu hiệu giám sat tất cả các lưu lượng và so sánh dữ liệu hiện có và đưa ra cảnh báo cho người quản trị biết Ngoài ra, một Signature Based là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông
thường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhau
những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật như các phần mềm diệt virus
Lợi ích việc dùng đấu hiệu - Signature Based
Những ñile dấu hiệu được tạo nên từ những phương pháp tấn công đã biết chúng theo dõi những hoạt động dé tìm các dâu hiệu tắn công tương ướng đã được định dạng săn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựa trên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ
sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ
-21-
Trang 23thông, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thê được người quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết, hệ thống ngăn chặn xâm nhập phải biết trước những hoạt động tấn công để nó có thê nhận ra cuộc tân công đó, những dang tan công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiện những sự thay đôi của cuộc tấn công đã biết Các File dấu hiệu được cung cấp kèm theo thiét bi IPS vì thế hacker có thê sử dụng thiết bị đó để kiểm tra, một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũng như các công cụ tấn công để đánh bại hệ thống ngăn chặn xâm nhập Ngoài ra, những file dâu hiệu là những file tinh tức là chúng không thích nghi với một vài hệ thông dựa trên sự bất thường, nếu thay đôi cách tân công kẻ xâm nhập có thể thực hiện cuộc xâm
nhập mà không bị phát hiện, kẻ xâm nhập có thê kiểm tra trên hệ thống IPS cái gì làm
phát sinh cảnh bao, do đó trách nhiệm của người quản trị là bảo dam file cơ sở dữ liệu luôn cập nhật thường xuyên
1.3.2 Nh¿n biết qua sự bái ;ðzởng - Anomaly Based
Phương thức phát hiện xâm nhập dựa vào sự bất thường lả bất cứ sự chệch hướng hay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sự kiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường,
ta có thê định nghĩa những hoạt động bình thường băng cách tạo ra những bản mô tả
sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người
sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập
sẽ phát sinh cảnh báo Tóm lại, phát hiện dựa trên sự bắt thường hay phân tích sơ lược những hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấy thì một tín hiệu cảnh báo sẽ được khởi phát
- 22-
Trang 24kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm phát
sinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở đữ liệu và dấu
hiệu này luôn thay đối Phát hiện bất thường có thê phát hiện tấn công từ bên trong, ví
du néu mét user nảo đó trong hệ thông cô tình truy cập vào IPS đề thí hành quản tri thi
hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Admin biết và có thể khóa hoặc ngăn chặn user đó Ưu điểm lớn nhất của phát hiện dựa trên profile hay sw bat thường là nó không dựa trên những dấu hiệu đã được định dạng hay những cuộc tấn công đã biết trước, Proñle có thê là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa được biết trước đây và được dùng đề phát hiện những phương pháp tân công mới mà phương pháp phát hiện băng dấu hiệu không phát hiện được
Hạn chế của việc dùng Anomaly Based
Những hệ thống dựa trên sự bất thường có thể gây ra nhiều cảnh báo nhằm bởi vì chúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việc định nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốt khi nó định nghĩa những hành động nào là bình thường hành động nào bất bình thường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đôi,
- 23-
Trang 25ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầu cao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu
1.3.3 Nhdn biét qua chinh sach - Policy Based
Hinh 1-8 Policy Based
Policy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có những hành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết
bị trong hệ thống mạng đưa ra các chính sách bảo mật tới hệ thống IPS một cách chính xác và được phép truy cập vào hay không, một trong những tính năng quan trọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh bao sai
Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản trị hệ thống
gặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cầu hình và quản trị từ xa gap nhiều hạn chế
1.3.4 Nh¿n biết qua sự phân tích - Protocol Analysis Based
Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhập cũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin Ví dụ một hacker bắt đầu chạy một chương trinh tấn công tới một Server, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo một
RFC
Protocol Analysis Based do kiéu tan céng trén cac giao thie:
-24-
Trang 26L] Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không
L] Kiểm tra nội dung trong Payload
LI Thực hiện cảnh báo những giao thức không bình thường
1.4 Kiến trúc của hệ thống ngăn ngừa xâm nhập
Một hệ thông ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa
ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và chính sách quản lý mềm dẻo nhờ vào sự kết hợp của ba modul sau: modul phân tích gói tin, modul phát hiện tắn công và modul phản ứng
€3
Database
Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập 1.4.1 Modul phan tích gói tin
Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từng trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các thông tin này được chuyên đến modul phát hiện tắn công
1.4.2 Modul phat hién tan cong
Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát hiện các cuộc tân công là dò tìm sự lạm dụng và đò sự không bình thường
-25-
Trang 27Phương pháp do sv lam dung
Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giống với các mẫu tân công đã biết trước các mẫu nảy gọi là các dấu hiệu tân công, do vậy phương pháp này còn được gọi là phương pháp đò dấu hiệu, chúng có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng và giúp các người quản trị xác định các lỗ hồng bảo mật trong hệ thống Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu hay các kiểu tấn công mới cho nên hệ thống luôn phải cập nhật các mẫu tấn công thường xuyên
Phương pháp đò sự không bình thường
Đây là kỹ thuật dò thông minh nhận dạng các hành động không bình thường của mạng cơ chế hoạt động của phương pháp nảy là tìm sự khác nhau so với các hoạt động thông thường, ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thông các cuộc tấn công sẽ có những hành động khác thường so với hành động bình thường và phương pháp dò này có thể nhận dạng được chúng Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây: L] Phát hiện mức ngưỡng: Kỹ thuật này đo đêm các hoạt động bình thường trên mạng, nếu có sự bất thường nào đó như đăng nhập với số lần quá quy định, số lượng các tiền trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức thì hệ thống có dấu hiệu bị tấn công
LÌ Phát hiện nhờ quả trình tự học: Kỹ thuật này bao gồm hai bước:
Khi bắt đầu thiết lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ, sau thời gian khởi tạo hệ thông sẽ chạy ở chế độ làm việc tiến hành theo dõi phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hỗ sơ đã thiết lập, chế độ tự học này có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc
LI Phái hiện sự không bình thường của các giao thức: Kỹ thuật này căn cử vào hoạt động của các giao thức, các dịch vụ của hệ thông đề tìm ra các gói tin không hợp lệ,
- 26 -
Trang 28kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét công để thu thập thông tin của các hacker Phương pháp này rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ, ưu điểm là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bô sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suât hoạt động của mạng
1.4.3 Modul phán ng
Khi có dấu hiệu của sự tấn công modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu
có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các dâu hiệu thực hiện chức năng ngăn chặn cuộc tấn công Ở modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động hay còn gọi là hệ thống phát hiện xâm nhập - IDS, modul phản ứng này tùy theo hệ thống mà có các chức năng khác nhau, dưới đây là một số kỹ thuật ngăn chặn:
Terminate Session
Cơ chế của kỹ thuật này là hệ thông IPS gửi gói tin Reset thiết lập lại cuộc giao tiếp giữa Client và Server, kết quả cuộc giao tiếp sẽ được bắt đầu lại các mục đích của hacker không đạt được và cuộc tấn công bị ngừng lại Tuy nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích là quá lâu so với thời gian gói tin của hacker đến được Victim dẫn đến reset quá chậm so với cuộc tấn công, phương pháp này không ứng với các giao thức hoạt động trên UDP như DNS, ngoài ra gói Reset phải có trường Sequence number đúng với gói tin trước đó từ Client thi Server mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc độ nhanh và trường Sequence number thay đối thì rất khó thực hiện được phương pháp này
Drop Attack
Kỹ thuật này dùng Firewall để hủy bỏ gói tin hoặc chặn đường một gói tin, một phiên làm việc hoặc một luồng thông tin giữa Hacker và Victim, kiểu phản ứng này là
an toàn nhất nhưng lại có nhược điểm là đễ nhằm với các gói tin hợp lệ
Modify Firewall Polices
-27-
Trang 29Kỹ thuật này cho phép người quản trị cầu hình lại chính sách bảo mật khi cuộc tấn công xảy ra, sự cầu hình lại là tạm thời thay đối các chính sách điều khiên truy cập bởi người dùng
Ba modul trên hoạt động theo tuần tự tạo nên một hệ thông IPS hoàn chỉnh, với các
ưu điểm này hệ thông IPS dần trở thành không thê thiếu trong các hệ thống bảo mật 1.5 Phân loại hệ thống ngăn chặn xâm nhập
- 28-
Trang 30phân tích hoạt động hệ thống và phân tích các giao thức ứng dụng, nó có thê bắt giữ các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với các tín hiệu hiện có từ đó nhận diện các hoạt động khả nghi Ngoài ra, hệ thông Network Base duoc trién khai trong một đoạn mạng phục vụ cho mục đích quan trị hệ thống, trong trường hợp không có mạng quản trị riêng thì một mạng riêng ảo (VLAN) là cần thiết để bảo vệ các kết nỗi giữa các hệ thông NIPS, bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ thống Network Base, việc lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khả năng nhận diện của hệ thông Network Base
Các hệ thống IPS kết hợp các tính năng tiêu chuẩn của một IDS, như một tường lửa thông thường, Network Base có ít nhất hai card mạng một card nỗi với mạng nội bộ
và card còn lại được nối với bên ngoài, khi các gói tin đi qua card mạng thứ nhất lúc này thiết bị IPS kiểm tra và phát hiện các gói tin độc hại xác định các gói tin nảy có nguy hiểm hay không nó sẽ loại bỏ các gói tin gây hại các gói tin còn lại tạo nên một phiên TCP đến các thiết bị IPS, còn gói tin hợp pháp được chuyển qua card mạng thứ hai và đi tới điểm đích Một công dụng hữu ích của Networlk Base là bất kỳ những gói tin bị phân mảnh hay các gói tin chồng chéo sẽ được kiểm tra trước khi chuyên tới máy chủ và các gói tin bất hợp pháp được loại bỏ hoàn toàn, vì vậy khi một gói tin khả nghi đã được phát hiện trước khi đi vào bên trong hệ thông nó sẽ được loại bỏ không những thế mà các gói tin khả nghi tiếp theo có thê bị đánh rớt Các thành phần của Network Base:
Trang 31Packet Decode: Module thực hiện giải mã các gói tin mạng
Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thực
hiện phát hiện Các cuộc xâm nhập
Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộc xâm nhập trái phép
Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát hiện
1.5.2 Network Behavior Analysis System
Là hệ thống được triển khai trong hệ thống nhằm phát hiện tân công dựa trên các luồng lưu lượng bất thường Ví dụ người dùng có thể truy cập hợp pháp vào các ứng dụng của hệ thông tại một thời điểm nào đó nếu hệ thông phát hiện có sự truy cập một
số lượng lớn thì chúng sẽ bị nghi ngờ đó là một tấn công xâm nhập, nếu một người dùng truy cập vào một tập tập tin hay thư mục nào đó trong hệ thống và truy cập vào các loại thông tin khác khi đó hệ thống ngăn chặn xâm nhập sẽ cảnh báo
Không giống như hệ thống dựa trên dấu hiệu các tân công có thể bị phát hiện vì các
tấn công đó có dấu hiệu nhận diện hợp lệ với hệ thông xâm nhập dựa trên hành động
dị thường Tuy nhiên nhược điểm của các hệ thống này là phải được cấu hình cần thận
đề nhận ra các mẫu tin không mong muốn, những cấu hình phải được cập nhật khi các ứng dụng mới được bố sung hoặc các ứng dụng hiện tại được thay đổi Sự khác biệt giữa Network Behavior và Network Base ở chô là NBAS phân tích lưu lượng mạng hoặc các thông kê trên lưu lượng mạng đề nhận diện các luồng lưu lượng bất thường
Hệ thống Network Behavior có thể được triển khai dưới hai đạng là thụ động và thang hàng Với kiêu thụ động hệ thống ngăn chặn xâm nhập được triển khai tại các vị trí cần giám sát như ranh giới mạng, các đoạn mạng quan trọng Với kiểu thăng hàng,
- 30 -
Trang 32tương tự như Network Base có thê triển khai cùng với Firewall thường là phía trước
đề giảm thiêu so lượng các tân công đên có thê làm qua tai Firewall
Mô hình triển khai NBAS Hình 1-12 Mô hình Network Behavior Analysis System 1.5.3 Host Based
Host Based Intrusion Prevention System viết tắt HIPS là một phần mềm được triển khai trên máy chủ quan trọng trong hệ thống như Public Servers, Sensitive Data Servers, hoặc một dịch vụ quan trong nao đó nhằm nhận điện các hoạt động khả nghi Host Based nay co thé duoc sử dụng dựa trên các quy tắc định trước hoặc hành vi tự học để ngăn chặn những hành động nguy hiểm, ngăn chặn kẻ tấn công, chỉnh sửa registry hay viết lại thư viện liên kết động hoặc thông qua các phương tiện khác để
kiểm soát truy cập vào hệ thống Host Based có khả năng kiểm tra và ghi lại các log
files, file systems, ưu điểm là có thê theo dõi các tiễn trình của hệ điều hành và bảo vệ các tài nguyên quan trọng của hệ thông gồm cả các file chỉ tồn tại trên một host cụ thé bằng cách là triển khai hệ thống logging trên một máy tính cụ thê
-31-
Trang 33và lọc lưu lượng mạng, kiểm tra tính toàn vẹn, thuộc tính truy cập của tập tin, giám sát cầu hình mạng, ngoài ra nó còn có khả năng ngăn chặn các loại mã độc hại các dịch
vụ hoặc giao thức không được phép
1.5.4 Wireless
Wireless Intrusion Prevention System viét tat WIPS là hệ thống ngăn chặn tân công không dây chúng làm việc khác biệt so với môi trường mạng có dây, trong WLAN
-32-
Trang 34môi trường truyền là không khí các thiết bị hỗ trợ chuẩn 802.11 trong phạm vi phủ
sóng đều có thê truy cập vào mạng, do đó cần có sự giám sát cả bên trong lân bên ngoài hệ thống mạng, WIPS có thê phát hiện các tân công khai thác các lỗ hồng và cung cấp thêm lớp bảo mật để bảo vệ cho hệ thống Wireless trong việc chống lại các mỗi đe dọa không dây như giả mạo ARP, giám sát các tần số sóng, lỗi cấu hình của
kiến trúc WLAN Hệ thống Wireless IPS giám sát toàn bộ WLAN chuyên tiếp lưu
lượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến sau đó phân tích lưu lượng đã thu thập được nếu lưu lượng đã được phân tích có sự bat thường thì cảnh báo
Trang 35Hình 1-15 Mô hình chung
Hệ thống phát hiện xâm nhập Intrusion Detection System viết tắt là IDS một giải pháp giám sát thụ động chỉ dé cảnh báo cho người quản trị biết những nguy cơ có thê xảy ra tấn công, việc thực hiện ngăn chặn các cuộc tân công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị, vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng có nghi vấn là đầu hiệu của một cuộc tấn công, công nghệ phát hiện xâm nhập - IDS của Cisco đã được thay thế bằng các giải pháp ngăn chặn xâm nhập - IPS, bởi vì với hệ thống IPS không những có thể xác định được các lưu lượng khả nghi mà còn giảm thiêu được khả năng xác định sai các lưu lượng, do đó các cuộc tấn công sẽ bị loại bỏ ngay khi có dấu hiệu xâm nhập và nó hoạt động tuân theo một quy luật do nhà quản trị định săn, còn hệ thống phát hiện xâm nhập IDS chỉ
sử dụng từ một đến hai cơ chế đề phát hiện tấn công, vì mỗi cuộc tấn công có các cơ chế khác nhau của nó vì vậy cần có các cơ chế khác nhau để phân biệt, nên có thé dan đến tình trạng không phát hiện ra được các cuộc tân công với cơ chế không định sẵn, dẫn đến khả năng thành công cho các cuộc tấn công gây ảnh hưởng đến hệ thông, thêm vào đó, do các cơ chế của IDS tông quát dẫn đến tình trạng cảnh báo nhằm làm tốn thời gian và công sức của nhà quản trị Với hệ thống IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp các đạng tấn công mới nên sẽ giảm được khả năng tấn công của mạng và độ chính xác của hệ thông IPS cao hơn so với hệ théng IDS
Với hệ thống IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tân công đã đi tới đích, lúc đó việc chống lại tân công là gửi các yêu cầu đến hệ théng Firewall để xoá các kết nỗi giữa máy tấn công và máy chủ, tuy nhiên
việc làm này đôi khi lại gây tác động phụ đến hệ thống Ví dụ nếu như Attacker giả
mạo (sniffer) của một đối tác khác hay là khách hàng để tạo một cuộc tấn công từ chối dịch vụ thì IDS có thể chặn được cuộc tấn công từ chối dịch vụ, nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP và của đối tác, như vậy thiệt hại vẫn tồn tại
và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công thất bại, nhưng
- 34 -
Trang 36với IPS thì khác, nó sẽ phát hiện dâu hiệu của cuộc tân công ngay từ vả sau đó nó khóa ngay các gới tin nảy
1.7 _ Các sản phẩm trên thị trường hiện nay
Tipping Point IPS: bao gồm chức năng bảo vệ tự động, kiểm soát truy cập và các cuộc tân công, không làm chậm hay nghẽn mạng, không đòi hỏi đầu tư nhân lực cho
hệ thống, có thể đặt in-line vào ngay trong mạng vận hành, giá thành hợp lý, hỗ trợ 15G-20G và có thê có tối đa L1 segment/1 thiết bị phần cứng
Proventia:
Có hai model thiết bị phòng chống xâm nhập mới là Proventia G400 và G2000
được thiết kế cho bảo vệ vành đai với khả năng bảo vệ nhiều phân vùng mạng giải
pháp bảo vệ mạng một cách chủ động trước khi xảy ra tấn công giúp khách hàng
đương đầu với các cuộc tấn công từ chối dịch vụ, các đoạn mã nguy hiểm, các dạng tấn công hỗn hợp hỗ trợ tính săn sàng cao, ngăn chặn các phần mềm gián điệp như spyware, Cai dat, quản trị và giám sát đơn giản dựa trên giao điện web và có thê giám sát bằng giao thức SNMP
Giải pháp chỗng xâm nhập Cyberoam — |PS
Là giải pháp tích hợp nhiều tính năng nhằm cung cấp việc bảo vệ hệ thống mạng toàn diện như tường lửa, mạng riêng ảo, Gateway chỗng virus và spam, lọc nội dung, quản lý băng thông và chia tải, Cyberoam cung cấp giải pháp bảo mật UTMI dựa trên định danh, thiết bi có cơ sở dữ liệu riêng, cho phép người quản trị khai báo định danh từng người dùng hay nhóm người dùng, hoặc có thé nhập từ Active Directory, Windows Domain, LDAP
CheckPoint IPS-1
Là một hệ thống phòng chống xâm nhập chuyên dụng cung cấp sự bảo vệ cho những trường hợp quan trọng thiết yếu với khả năng quản lý và phân tích chứng cứ độc dao va trién khai linh hoạt, toàn bộ các chức năng của IPS-I được điều khiển bởi
hệ thống quản trị tập trung mạnh mẽ sẵn sàng hỗ trợ các hình thức triển khai từ nhỏ đến lớn, được hỗ trợ bởi dịch vụ Smart Defense Services nhằm chống lại các nguy cơ moi bang cach cap nhat va cầu hình hệ thông bảo vệ theo thời gian thực
-35-
Trang 37Chuong2 — Giới thiệu tổng quan thiết bị IOS IPS
2.1 Giới thiệu
2.1.1 Mội vài định nghĩa
Signature là những tập luật để kiếm tra và phát hiện ra sự xâm nhập trái phép các cuộc tân công hay một sự lạm dụng đến tài nguyên của hệ thống gây hại đến người dùng, thông thường những thiết bị IP§ dựa trên những dấu hiệu này để xác định hành động nào là xâm nhập hành động nào không xâm nhập, người quản trị phải thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra
Alert la những thông báo về những hành động xâm nhập bắt hợp pháp khi hệ thống
ngăn chặn xâm nhập phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị
bằng các tín hiệu báo động, Các tín hiệu này hiện ngay trên màng hình theo dõi hoặc gữi bằng mail đến người quản trị và nhiều cách khác, và nó được lưu vào một file
hoặc lưu vào cơ sở dữ liệu để người quản trị bảo mật có thể xem lại
Sensor là một yếu tố quan trọng trong một hệ thống IPS nó có trách nhiệm phát hiện các cuộc xâm nhập, thiết bị này được sử dụng như các giác quan trên mạng nó cũng tương tự như các sensor trong các tài liệu kỹ thuật khác dùng đề bắt tín hiệu âm thanh, màu sắc, áp xuất thì ở đây sensor sẽ bắt các tín hiệu có dấu hiệu của xâm
nhập bắt hợp pháp, Sensor nhận dữ liệu từ ba nguồn thông tin chính: kiến thức cơ bản (knowledge base) của IPS, Syslog và lịch sử hoạt động (audit trail), các thông tin này
tạo cơ sở cho quá trình phát hiện các cuộc tấn công của hacker
Các hệ thống Cisco IPS có thê được triển khai theo hai hướng là tập trung và phân tán Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IPS cùng với các thành phần an ninh khác như firewall để bảo vệ hệ thống, còn triển khai phân tán ( distributed IDS ) là bao gồm nhiều hệ thống IPS trong một hệ thống mạng lớn được kết nối với nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ra những phản ứng thích hợp
- 36 -
Trang 38Hình 2-1 Các thành phần của Cisco IPS
Virtual Sensor có chức năng là nhận các gói tin, xử ly chúng và sau đó xác định có tạo ra cảnh báo hay không, mỗi Virtual Sensor IPS cung cấp khả năng chạy nhiều Sensor ảo trên cùng thiết bị, được cầu hình với các dấu hiệu khác nhau và lưu lượng đầu vào cũng khác nhau Các bộ xử lý nằm trên Virtual Sensor có một chức năng khác
nhau như:
L] Capture Producer: Nhận các gói tin và đây chúng đến các bộ xử lý khác
LI Fragment Reassembly Unit - FRU: Tap hợp các IP fragments
LI Database Handler: Là nơi lưu trữ cho việc theo dõi các luồng đữ liệu ra vào hệ thống
_ Stream Reassembly Unit - SRU: Tập hợp và chuyền đữ liệu đi
L] Signature Handler: Điều khiển và chuyên gói tin đến các signature engines Blocking là kỹ thuật dựa trên các dấu hiệu quyết định ngăn chặn đươc dựa trên các thông số như địa chỉ nguồn, địa chỉ đích, cổng đích, và giao thức, chức năng ngăn
chặn này có thể khóa đăng nhập của các Profiles bát hợp pháp, hay khóa các thiết bị
không cho người dùng truy cập vào, khóa định tuyến
2.1.2 Chưc năng của một hệ thống ngăn chặn xâm nhập
Chức năng giám sát:Hệ thông ngăn chặn xâm nhập cung cấp khả năng giám sát lưu lượng mạng và các hoạt động khả nghi, tìm các thông tin nào có dấu hiệu tấn công hệ
-37-
Trang 39thống, nếu có tấn công thì hệ thống IPS sẽ nhanh chóng tương tác và loại bỏ các nguy
cơ trước khi nó gây ảnh hưởng không tốt đến hệ thống, tuy nhiên nó có thể kiểm soát được tất cả các lưu lượng nội bộ do đó nó có thê phát hiện được các cuộc tấn công từ bên trong nếu có IOS IPS này được tích hợp trong hệ điều hành Cisco IOS bằng đặc tính Cisco Firewall, các tính năng này có những đặc điểm như lưu trữ hơn 700 dau hiệu tấn công, Có thé bé sung hoặc chỉnh sửa những dấu hiệu hiện có và quét đồng thời các dấu hiệu song song, có khả năng hỗ trợ ACL để có những hành động thiết thực chống lại kẻ xâm nhập một cách tự động và ngăn chặn các lưu lượng bất thường, các phần mềm gián điệp như Spyware, tấn công từ chối dịch vụ (DoS), Trojan,
backdoor, cac luéng http déc hai va cac file đính kèm e-mail Cac dau hiéu dé nhan
đạng ra một cuộc tấn công được chia làm 4 loại:
) Khai thác: Là một hành động năm quyền truy xuất vào hệ thống hay các tài nguyên mạng
EJ Từ chói dịch vụ DoS: Là hành động gửi một lượng lớn các yêu cầu đến một hệ thống hay các tài nguyên mạng với ý định gây ngưng trệ làm tốn hại đến các hoạt động bình thường
J Dò thám: Là quá trình thu thập thông tin để tập hợp đữ liệu trên hệ thông và các
tài nguyên mạng đề biến chúng thành các mục tiêu cho các cuộc tân công sau này L] Sử dụng không đúng: Là những hành động vi phạm đến chính sách của hệ thống Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau :
¡1 Đơn lẻ: Các dấu hiệu đơn lẻ kích hoạt hệ thống IPS, những loại dẫu hiệu nảy sử
dụng ít bộ nhớ vì IPS không cần thu thập dữ liệu nhiêu
O Két hợp: các loại dữ liệu này đòi hỏi IPS thu thập va so sánh với số lượng lớn dữ liệu sau đó mới kích hoạt sự kiện
Cơ chế nhận dang tấn công của hệ thông ngăn chặn xâm nhập là dựa trên các dấu hiệu để phát hiện các hoạt động động nghi ngờ bất bình thường, xác định các giao thức bằng cách so sánh các sự kiện với những cầu hình được định trước nhờ vào các phần mềm được hỗ trợ trong IPS như Event Store lưu trử tất cả các sự kiện, Intrusion
- 38 -
Trang 40Detection Application Programming Interface (IDAPI) là chương trình ứng dụng tìm
ra sự xâm nhập, SensorApp có nhiệm vụ bắt gói tin và phân tích chúng
Syslog Server Other Internal Network Re:
Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn xâm nhập
Hình trên minh họa cho ta thấy cách thức hoạt động của Cisco IOS IPS đáp ứng với một tấn công, quá trình phát hiện có thể được mô tả bởi 3 yếu tố sau: Thu thập thông tin kiểm tra tất cả các gói tin trên mạng và phân tích tất cả các gói tin đã thu thập để biết hành động nảo lả tấn công sau đó đưa ra cảnh báo cho sự tấn công được phân tích ở trên và đưa ra quyết định có loại bỏ các gói tin độc hại hay không, khi các traffc có khả năng gây hại được nhận dạng thì IOS IPS gửi một cảnh báo đến các Server Syslog va Server Monitor quan ly dé loai bo traffic hay reset lai két néi Hé thống ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độ mạng và các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhập gồm các thành phần sau:
Chức năng cảnh bảo và phái hiện xâm nhập
Mục đích là giám sát và kiểm tra tính hợp pháp và báo cáo các hoạt động của mạng,
nó giám sát các gói tin được cho phép thông qua một thiết bị kiểm soát Bản chất của
hệ thống phát hiện xâm nhập là phân tích các lưu lượng gói tin để nhận ra các cuộc tấn
- 39 -
