Tóm tắt

Hơn một thập kỷ qua, Internet đã phát triển mạnh mẽ cả về quy mô cũng như

sự phức tạp. Trong quá trình phát triển này, vấn đề an ninh mạng ngày càng rõ rệt.

Quản trị một mạng ngày càng trở nên phức tạp, và không thể sửa lỗi một cách thủ

công như trước. Vì vậy hệ thống phát hiện xâm nhập tự động ra đời là rất cất thiết

Đóng góp của luận văn bao gồm hai phần.

Phần 1, Khái niệm, cấu trúc một hệ thống phát hiện xâm nhập mạng (IDS), các sản phẩm đang phát triển mạnh trên thị trường.

Phần hai, bước đầu ứng dụng cài đặt IDS mềm vào mạng của trường Đại học Bách Khoa Hà Nội, cụ thể là ứng dụng mã nguồn mở SNORT, góp phần nâng cao hiệu năng của hệ thống mạng trường.

LỜI NÓI ĐẦU 3

CHƯƠNG I - TỔNG QUAN VỀ IDS 6

1.1 Khái niệm . .6

1.2. Chức năng 6

1.3 Cấu trúc chung .7

1.4. Phân biệt các mô hình IDS .11

NIDS . 11

HIDS . 12

1.5. Các phương pháp nhận biết tấn công .12

1.6 Các sản phẩm IDS trên thị trường . .14

Intrust . .14

ELM . 15

GFI LANGUARD S.E.L.M . 16

SNORT .17

Cisco IDS . .18

Dragon 19

CHƯƠNG II - KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH

CISCO 20

2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 20

2.1.1 Khái niệm SPAN .20

2.1.2 Các thuật ngữ . .22

2.1.3 Các đặc điểm của cổng nguồn . 24

2.1.4 Lọc VLAN .24

2.1.5 Các đặc điểm của nguồn VLAN 25

2.1.6 Các đặc điểm của cổng đích 26

2.1.7 Các đặc điểm của cổng phản hồi 27

2.2. SPAN trên các dòng Switch Cisco 28

2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000

Series chạy CatOS 28

2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,

3560, 3560-E, 3750 and 3750-E Series 52

2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy

phần mềm hệ thống Cisco IOS .55

2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau

.58

Các dòng Switch dưới Catalyst 4000 Series .58

Catalyst 4500/4000 Series 59

Catalyst 5500/5000 and 6500/6000 Series .59

2.4 Các lỗi thường gặp khi cấu hình 59

CHƯƠNG III - TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT

VÀO HỆ THỐNG . 69

3.1. Các đặc điểm chính 69

3.1.1 Hệ thống detection engine: . 70

3.1.2 Hệ thống Logging & alerting: . 70

3.1.3 Tập luật(RULES) . 71

3.2 Các bước cài đặt Snort trên hệ điều hành Debian 72

3.2.1 Cài hệ điều hành Debian 72

3.2.2 Cài các phần mềm cần thiết 73

3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL 75

3.2.4 Cài đặt Snort . 75

3.2.5 Cấu hình MySQL Server . 77

3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78

3.2.7 Cài đặt Apache-ssl Web Server 78

3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) . 79

3.2.9 Cập nhật Rules với Oinkmaster 81

3.2.10 Startup Script . 82

3.2.11 Tạo Acc truy cập vào Base . 83

3.2.12 Cấu hình SNMP Server . 83

3.2.13 Tạo file index.php để định hướng trình duyệt . 84

3.2.14 Cài đặt phần mềm quản trị Webmin 84

3.3 Giao diện hệ thồng sau cài đặt . 85

3.3.1 Các thông tin cấu hình cơ bản . 85

3.3.2 Hướng dẫn sử dụng SNORT . 86

3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) 89

3.3.4 Hướng dẫn sử dụng Webmin 101

KẾT LUẬN .108

DANH MỤC TÀI LIỆU THAM KHẢO .109

LỜI NÓI ĐẦU

Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson

cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS

(Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất

thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng

đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện

xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được

sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái

niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các

phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công

nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm

1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của

công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại

một công ty cung cấp giải pháp IDS tên là Wheel.

Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân

tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn

động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ

không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích

và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường

xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là

gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ

trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là

một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi

các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn

chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng

đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém

và không đem lại hiệu quả tương xứng so với đầu tư.

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống

IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc

quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích

gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của

các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu

chí sau:

- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả.

- Các thành phần quản trị phải tự động hoạt động và phân tích.

- Kết hợp với các biện pháp ngăn chặn tự động.

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó.

Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System -

IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống IDP - Intrusion Detection and Prevention.

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ

ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer,

một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ

không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ

thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được

phổ biến rộng rãi.

Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần

thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong

việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh

nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể

hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập.

Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS.

Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này, chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế cho các IDS cứng đắt tiền