« Home « Kết quả tìm kiếm

Phát hiện và ngăn chặn xâm nhập trái phép

Tóm tắt Xem thử

- PHẠM THANH TÙNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN Hà Nội – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI.
- PHẠM THANH TÙNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS.
- NGUYỄN LINH GIANG Hà Nội – 2018 Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 1 MỤC LỤC LỜI CAM ĐOAN LỜI NÓI ĐẦU BẢNG VIẾT TẮT CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS Giới thiệu về:Intrusion Detection System (IDS)/Intrusion Prevention System(IPS Định nghĩa Chức năng Cấu trúc chung Sự khác nhau giữa IDS và IPS phân loại IDS/IPS.
- 11 1.3 Cơ chế hoạt động của hệ thống IDS/IPS.
- 11 1.4 Một số sản phẩm của IDS/IPS.
- 15 CHƯƠNG II : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS.
- 18 2.2.3 Môđun phát hiện.
- 22 2.4 Chế độ ngăn chặn của Snort : Snort – Inline.
- 34 Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 2 2.4.1 Tích hợp khả năng ngăn chặn vào Snort.
- 35 CHƯƠNG III : CÀI ĐẶT VÀ CẤU HÌNH SNORT, THỬ NGHIỆM KHẢ NĂNG PHẢN ỨNG CỦA IDS/IPS TRÊN HỆ THỐNG MẠNG CỦA VĂN PHÒNG QUỐC HỘI.
- 36 3.1 Sơ đồ tổng quan hệ thống mạng Văn phòng Quốc hội.
- 38 3.3 Cài đặt - Cấu hình Snort.
- 40 3.4 Cài đặt - cấu hình Barnyard2.
- 44 3.5 Thử nghiệm, kết quả và phân tích kết quả thử nghiệm.
- 53 3.5.1 Thử nghiệm ping đến Cổng thông tin điện tử được bảo vệ.
- 53 3.5.2 Thử nghiệm quét cổng đến Cổng thông tin điện tử.
- 56 3.5.3 Thử nghiệm cuộc tấn công vào Cổng thông tin điện tử.
- 58 CHƯƠNG IV: KẾT LUẬN - ĐỊNH HƯỚNG NGHIÊN CỨU& ỨNG DỤNG.
- 63 4.2 Định hướng nghiên cứu và ứng dụng.
- 64 TÀI LIỆU THAM KHẢO Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 3 LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng tôi.
- Các kết quả nghiên cứu thử nghiệm trong luận án do tôi tự tìm hiểu, phân tích một cách trung thực, khách quan và phù hợp với thực tiễn công việc tại cơ quan.
- Các kết quả này chưa từng được công bố trong bất kỳ nghiên cứu nào khác.
- Tác giả luận văn Phạm Thanh Tùng Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 4 LỜI NÓI ĐẦU 1- Tính cấp thiết của đề tài Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở nên vô cùng quan trọng trong mọi hoạt động của xã hội.
- Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ.
- Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa.
- Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định.
- Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
- Cùng với sự phát triển mạnh mẽ của nền công nghệ thông tin trên toàn thế giới, các hệ thống thông tin ngày càng lớn và phức tạp, vấn đề an ninh thông tin và an ninh mạng được đặt ra càng lớn và cũng dần từng bước thể hiện tầm quan trọng trong một hệ thống thông tin.
- Đối với những hệ thống thông tin lớn chứa những dữ liệu hết sức quan trọng và nhạy cảm việc đảm bảo an toàn an ninh thông tin, an toàn an ninh mạng cho hệ thống này càng trở nên đặc biệt quan trọng và cần thiết hơn bao giờ hết.
- Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác nhau.
- Từ những nhận thức trên nên tôi chọn đề tài: “Phát hiện và ngăn chặn xâm nhập trái phép” 2- Mục tiêu của đề tài Trong đề tài này tôi mong muốn tìm hiểu, nghiên cứu về phát hiện và phòng chống, ngăn chặn xâm nhập mạng với mục đích nắm bắt được các giải pháp kỹ thuật, các phương pháp phòng chống, ngăn chặn xâm nhập mạng.
- Chọn một giải pháp ứng dụng thử nghiệm trên hệ thống mạng của Văn phòng Quốc hội, phân tích đánh giá kết quả thử nghiệm thu được từ đó đưa ra các đề xuất, phương án, giải Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 5 pháp nhằm cải thiện hiệu quả của việc đảm bảo bảo an toàn an ninh cho hệ thống mạng của cơ quan.
- 3- Phương pháp nghiên cứu - Về lý thuyết: Nghiên cứuvề IDS và IPS, sự khác nhau giữa IDS và IPS, phân loại và phân tích ưu nhược điểm của hai hệ thống, cơ chế hoạt động của hai hệ thống, một số sản phẩm của IDS/IPS.
- Nghiên cứu về SNORT, ứng dụng của SNORT trong IDS/IPS.
- Về mặt thực nghiệm: Từ những lý thuyết, ứng dụng, giải pháp đã nghiên cứu tôi lựa chọn mô hình SNORT và triển khai thử nghiệm trên hệ thống mạng của cơ quan, tuy nhiên do yêu cầu đảm bảo an ninh và an toàn của hệ thống, tôikhông đưa vào thử nghiệm đầy đủ các thành phần trong mạng mà chỉ thử nghiệm trên các thành phần chính quan trọng với các thông số mạng thực tế.
- Từ các kết quả thử nghiệm thu được tiến hành phân tích đánh giá từ đó đưa ra các đề xuất, phương án, giải pháp nhằm cải thiện hiệu quả của việc đảm bảo bảo an toàn an ninh cho hệ thống mạng của cơ quan.
- 4- Nội dung nghiên cứu Trong luận văn này tôi đi vào nghiên cứu những vấn đề sau: Phần 1:Tổng quan về IDS/IPS.
- Giới thiệu về IDS/IPS - Phân loại IDS/IPS & phân tích ưu nhược điểm - Cơ chế hoạt động của hệ thống IDS/IPS - Một số sản phẩm của IDS/IPS Phần 2: Nghiên cứu ứng dụng SNORT trong IDS/IPS - Giới thiệu về snort - Kiến trúc của snort - Bộ luật của snort - Chế độ ngăn chặn của Snort : Snort – Inline Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 6 Phần 3: Cài đặt và cấu hình Snort, thử nghiệm khả năng phản ứng của IDS/IPS trên hệ thống mạng của Văn phòng Quốc hội - Sơ đồ tổng quan hệ thống mạng Văn phòng Quốc hội - Sơ lược về quá trình cài đặt - Cài đặt cấu hình Snort - Cài đặt cấu hình môđun kết xuất thông tin - Kết quả và phân tích kết quả thử nghiệm Mặc dù đã rất nỗ lực, cố gắng nhưng do thời gian hạn hẹp và yêu cầu đảm bảo an toàn an ninh thông tin trên hệ thống nên tôi chưa thể thử nghiệm trên hệ thống mạng của Văn phòng Quốc hội bao gồm tất cả các thành phần,do đó không thể tránh được hạn chế và thiếu sót, rất mong nhận được sự quan tâm và góp ý thêm của thầy cô và tất cả các bạn.
- Một lần nữa xin chân thành cảm ơn thầy! Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 7 CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu về:Intrusion Detection System (IDS)/Intrusion Prevention System(IPS) 1.1.1 Định nghĩa Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống.
- Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thống được bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép.Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm nhập hay IPS.
- Hình sau minh hoạ các vị trí thường cài đặt IDS trong mạng : Hình 1.1 - Các vị trí đặt IDS trong mạng Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 8 1.1.2 Chức năng Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau : Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ *Giám sát: lưu lượng mạng và các hoạt động khả nghi.
- *Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
- Các chức năng mở rộng: *Phân biệt: các tấn công trong và ngoài mạng *Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline 1.1.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS.
- Mô hình cấutrúc chung cho các hệ IDS là: Hình 1.2 - Mô hình chung hệ thống IDS Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 9 Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó.
- Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp.
- Để ngăn chặn xâm nhập tốt cần phải phân tích và định nghĩa được các dấu hiệu (signatures) sử dụng để xác định các mối đe dọa,việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ cũng là một nhiệm vụ quan trọng.
- Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công.
- 1.1.4 Sự khác nhau giữa IDS và IPS Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và “ngăn chặn”.
- Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn.
- Một số hệ thống IDS được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn.
- Trong khi đó một số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng nghĩa.
- Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của những người quản trị mạng.
- Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó.
- Tuy nhiên với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng như một firewall chẳng hạn.
- Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác.
- Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quả hơn.
- Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 10 1.2 phân loại IDS/IPS Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựa vào đặc điểm của nguồn dữ liệu thu thập được.
- Trong trường hợp này, các hệ thống IDS được chia thành các loại sau.
- Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập.
- Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập.
- Hình 1.3 - Mô hình NIDS Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 11 Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát.
- 1.2.2 Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ.
- thường sử dụng các cơ chế kiểm tra và phân tích các thông tin được logging.
- Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt động.
- 1.3 Cơ chế hoạt động của hệ thống IDS/IPS Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là.
- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống.
- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống.
- Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống.
- Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
- Sơ đồ hệ thống kết hợp như sau: Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 12 Hình 1.4 - Hệ thống kết hợp 2 mô hình phát hiện 1.4 Một số sản phẩm của IDS/IPS Phần này giới thiệu một số sản phẩm IDS, IPS thương mại cũng như miễn phí phổ biến, những sản phẩm điển hình trong lĩnh vực phát hiện và phòng chống xâm nhập.
- Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion Cisco IDS 4235 Hình 1.5 - Cisco IDS-4235 Cisco IDS (còn có tên là NetRanger) là một hệ thống NIDS, có khả năng theo dõi toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện các dấu hiệu xâm nhập.
- Cisco IDS hoạt động trên một hệ thống Unix được tối ưu hóa về cấu hình và có giao diện tương tác CLI (Cisco Command Line Interface) quen thuộc của Cisco.
- Về mặt bản chất, Proventia không chỉ là một hệ thống phần mềm hay phần cứng mà nó là một Phát hiện và ngăn chặn xâm nhập trái phép Detection and prevention intrusion 14 hệ thống các thiết bị được triển khai phân tán trong mạng được bảo vệ.
- Một hệ thống Proventia bao gồm các thiết bị sau.
- Intrusion Protection Appliance: Là trung tâm của toàn bộ hệ thống Proventia.
- Nó lưu trữ các cấu hình mạng, các dữ liệu đối sánh cũng như các quy định về chính sách của hệ thống.
- Nó được bố trí tại những vị trí nhạy cảm trong mạng nhằm theo dõi toàn bộ lưu thông trong mạng và phát hiện những nguy cơ xâm nhập tiềm ẩn.
- SiteProtector: Là trung tâm điều khiển của hệ thống Proventia.
- Đây là nơi người quản trị mạng điều khiển toàn bộ cấu hình cũng như hoạt động của hệ thống.
- Cũng giống như Proventia, NFR NID là một hệ thống hướng thiết bị (appliance-based).
- Thay vì các thiết bị trong hệ thống được điểu khiển trực tiếp bởi một giao diện quản trị (Administration Interface – AI) riêng biệt, NFR cung cấp một cơ chế điều khiển tập trung với các middle-ware làm nhiệm vụ điều khiển trực tiếp các thiết bị.

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt