« Home « Kết quả tìm kiếm

Hệ thống phát hiện và ngăn chặn xâm nhập

Tóm tắt Xem thử

- 3 CHƢƠNG II: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP.
- Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS.
- Cơ chế hoạt động của hệ thống IDS/IPS.
- Cài đặt thử nghiệm hệ thống phát hiện xâm nhập với snort.
- Môi trường và thông số hệ thống.
- 48 CHƢƠNG IV: THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP VỚI SNORT.
- Hệ thống phát hiện xâm nhập với Snort (Snort IDS.
- Cài đặt và mô hình hệ thống.
- Thử nghiệm với một số luật của hệ thống snort.
- Đánh giá về hệ thống phát hiện xâm nhập sử dụng Snort (Snort IDS.
- Hệ thống ngăn chặn xâm nhập với snort_inline (Snort IPS.
- Thử nghiệm hệ thống.
- Đánh giá về hệ thống ngăn chặn xâm nhập với Snort_inline (Snort IPS.
- Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort.
- Mô hình IDS trong hệ thống mạng.
- Hình ảnh minh hoạ hệ thống phát hiện xâm nhập sử dụng snort.
- Mô hình kiến trúc hệ thống Snort.
- Hình ảnh minh hoạ hệ thống ngăn chặn xâm nhập sử dụng snort-inline (Snort IPS.
- Hình ảnh minh hoạ tổng quát hệ thống phát hiện xâm nhập snort .
- Hình ảnh mô phỏng hệ thống demo.
- Mô hình tổng quát tấn công hệ thống.
- Mô hình kẻ tấn công quét máy trong mạng LAN và thông tin hệ thống thử nghiệm.
- Hình ảnh mô tả tổng quan hệ thống thử nghiệm.
- Kết quả hệ thống phát hiện và ghi log.
- Hình ảnh minh hoạ demo hệ thống ngăn chặn xâm nhập với snort_inline.
- Hình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập.
- Hình ảnh quét cổng tại máy tấn công sau khi hệ thống có luật.
- Hình ảnh mô phỏng hệ thống giả lập demo snort inline.
- Hình ảnh chi tiết hệ thống thử nghiệm snort_inline.
- Minh hoạ máy nạn nhân khi được hệ thống snort bảo vệ.
- Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevent System) là hệ thống mở rộng nâng cao của hệ thống phát hiện xâm nhập IDS.
- Nó có tất cả tính năng của một hệ thống phát hiện xâm nhập bình thường đi kèm với khả năng ngăn chặn những luồng dữ liệu trao đổi của hệ thống mạng.
- Nguyễn Quang Thắng - 2014ATTMMT Page 2 Vì những tính năng đó mà hệ thống phát hiện và ngăn chặn xâm nhập được sử dụng ngày càng rộng rãi và được coi như là cơ sở bảo đảm an ninh hệ thống mạng.
- Mục tiêu nghiên cứu - Tìm hiểu về hệ thống ngăn chặn và phát hiện xâm nhập.
- Xây dựng hệ thống IDS sử dụng phần mềm mã nguồn mở snort để phát hiện các bất thường và cảnh báo.
- Xây dựng một số luật cơ bản cho hệ thống snort, nhằm phát hiện một vài kiểu xâm nhập của tin tặc.
- Xây dựng hệ thống IPS sử dụng mã nguồn mở snort để ngăn chặn các gói tin bất thường.
- Sử dụng hệ thống phát hiện xâm nhập IDS bằng phần mềm mã nguồn mở snort, nhằm phát hiện các dấu hiệu bất thường trong mạng nội bộ.
- Nguyễn Quang Thắng - 2014ATTMMT Page 3 - HĐH Window: thử nghiệm khả năng bị tấn công của nạn nhân và cách hệ thống đối phó.
- Các hình thức tấn công phổ biến của tin tặc vào hệ thống mạng nội bộ.
- Tìm hiểu một số kỹ thuật xâm nhập và tấn công bất hợp pháp vào hệ thống mạng.
- Xây dựng thành công hệ thống phát hiện xâm nhập dựa trên phần mềm snort.
- Nguyễn Quang Thắng - 2014ATTMMT Page 4 CHƢƠNG II: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 2.1.
- Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) 2.2.1.
- Chúng chạy trên một hệ thống chuyên dụng dễ dàng cài đặt.
- Một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc phức tạp.
- Nguyễn Quang Thắng - 2014ATTMMT Page 11  Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh.
- Các thông tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt đông sai, không phát hiện được xâm nhập.
- Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng.
- Trong một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập.
- Phát hiện động Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior).
- Khi hệ thống phát hiện xâm nhập thực hiện, nó xem xét các Nguyễn Quang Thắng - 2014ATTMMT Page 17 sự kiện liên quan đến thực thể hoặc các hành động là thuộc tính của thực thể.
- Các hệ thống sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập.
- Hiệu quả trong việc phát hiện các dạng tấn công mới mà một hệ thống phát hiện sự lạm dụng bỏ qua.
- Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
- DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng.
- Khi thành công, chúng đã chiếm được hệ thống.
- Cài đặt mã nguy hiểm (Hostile code insertion) Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống.
- Hình ảnh minh hoạ hệ thống phát hiện xâm nhập sử dụng snort (Snort IDS) Nguyễn Quang Thắng - 2014ATTMMT Page 29 3.2.
- Portcan dùng để đưa ra cảnh báo khi kẻ tấn công thực hiện việc quét các cổng của hệ thống để tìm lỗ hổng.
- Tùy theo việc cấu hình hệ thống mà nó có thể thực hiện các công việc như là.
- Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rules) và các luật này lại được dựa trên các dấu hiệu nhận dạng tấn công.
- Hình ảnh minh hoạ hệ thống ngăn chặn xâm nhập sử dụng snort-inline (Snort IPS) 3.4.2.
- Nguyễn Quang Thắng - 2014ATTMMT Page 52 CHƢƠNG IV: THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP VỚI SNORT 4.1.
- Hệ thống phát hiện xâm nhập với Snort (Snort IDS) 4.1.1.
- Cài đặt và mô hình hệ thống Hình 13.
- Máy ảo Kali được sử dụng như máy tấn công và máy ảo Ubuntu là máy nạn nhân trong mạng được giám sát bởi hệ thống phát hiện xâm nhập snort.
- Ta sẽ thử nghiệm hệ thống phát hiện xâm nhập trên môi trường này.
- Thử nghiệm với một số luật của hệ thống snort 4.1.2.1.
- Phát hiện quét ip, cổng trong hệ thống.
- Mô hình tổng quát tấn công hệ thống Hình 17.
- Kết quả thực hiện: Nguyễn Quang Thắng - 2014ATTMMT Page 56 Dạng quét 1: Nmap quét để tìm kiếm các máy online trong hệ thống mạng (host discovery).
- Kết quả cảnh báo của snort Với 2 luật trên hệ thống có thể phát hiện được 2 dạng phổ biến nhất của quét nmap sử dụng gói tin icmp và gói tin tcp với cờ SYN.
- rev:1) Kiểm tra hệ thống ta có thấy có cảnh báo: Hình 23.
- Đây là phương pháp rất hay được sử dụng để phát hiện sớm khi có sự tấn công Dos, DDos vào hệ thống.
- Nguyễn Quang Thắng - 2014ATTMMT Page 61 Ta sẽ tiếp tục thử nghiệm, sử dụng Snort phát hiện Nmap sử dụng phương thức “stealth tcp scanning” để quét cổng trong hệ thống.
- sid:1000003) Thử nghiệm hệ thống với luật trên, Nmap thực hiện quét Xmas, snort đã phát hiện và ra cảnh báo: Nguyễn Quang Thắng - 2014ATTMMT Page 63 Hình 27.
- Bƣớc 5: thử nghiệm hệ thống với luật ở bước 4.
- Bƣớc 6: thử nghiệm lại hệ thống với ssh cổng bất kì.
- Wireshare bắt và phân tích gói tin SSH Chạy lại hệ thống với luật như trên, snort đã phát hiện được khi có kết nối ssh đến máy Ubuntu.
- Ta sẽ thử nghiệm ssh với cổng bất kì xem hệ thống có phát hiện và cảnh báo được không.
- rev:1) Với luật trên thì bất cứ kết nối ssh với cổng đặc biệt nào đều bị hệ thống phát hiện và ra cảnh báo.
- Bƣớc 1: hệ thống gồm các thành phần như trên bước 1 phần xây dựng luật phát hiện SSH.
- Bƣớc 2: cài đặt ptunnel lên 2 máy Ubuntu và Kali trong hệ thống.
- Kết quả thực hiện: Trước hết ta chạy ptunnel trên 2 máy của hệ thống.
- Tuy nhiên, hệ thống cũng có những nhược điểm.
- Hệ thống ngăn chặn xâm nhập với snort_inline (Snort IPS) 4.2.1.
- Cấu hình các bridges interface của hệ thống.
- Ta sẽ thử nghiệm hệ thống ngăn chặn xâm nhập trên môi trường mô phỏng này.
- Thử nghiệm hệ thống Kịch bản 1: Thử nghiệm chặn 1 số dạng tấn công đã trình bày tại phần “4.1.
- Hệ thống phát hiện xâm nhập” gồm chặn quét cổng cơ bản và chặn kết nối ssh.
- Mô hình hệ thống thử nghiệm: Nguyễn Quang Thắng - 2014ATTMMT Page 75 Hình 36.
- Nguyễn Quang Thắng - 2014ATTMMT Page 77 Tiếp theo thử nghiệm hệ thống với luật chặn kết nối ssh.
- Chỉ cần thay đổi từ khoá từ alert (cảnh báo) sang drop (loại bỏ) trong luật snort là hệ thống đã có thể ngăn chặn thành công những gói tin của các dạng tấn công đó.
- Hình ảnh minh hoạ kết nối giữa 2 máy ảo Nguyễn Quang Thắng - 2014ATTMMT Page 79 Kịch bản: kẻ tấn công sử dụng nmap để quét các dải địa chỉ có trong hệ thống mạng.
- Kết quả là hệ thống đã phát hiện ra cuộc tấn công và đã loại bỏ được gói tin xâm nhập.
- Đánh giá về hệ thống ngăn chặn xâm nhập với Snort_inline (Snort IPS).
- Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) với Snort là một hệ thống được cài đặt trên mạng (hay máy tính) với nhiệm vụ là giám sát và ngăn chặn những gói tin vào ra hệ thống.
- Luận văn đã xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập sử dụng snort (IDS/IPS) và hoạt động đúng các yêu cầu đề ra.
- Tìm hiểu các kỹ thuật phát hiện bất thường để tang khả năng phòng thủ của hệ thống

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt