MỤC LỤC

DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO . 5

CÁC THUẬT NGỮ VIẾT TẮT . . 6

LỜI GIỚI THIỆU . . 8

PHẦN 1 : TỔNG QUAN . 9

1.1 Lý do chọn đề tài . 10

1.2 Phân tích hiện trạng . . 10

1.3 Xác định yêu cầu . . 11

1.4 Giới hạn và phạm vi nghiên cứu . 12

1.5 Ý nghĩa thực tiễn của đề tài . . 12

PHẦN 2 : TÌM HIỂU IDS . . 13

2.1 Khái niệm . . 14

2.2 Các thành phần và chức năng của IDS . . 14

2.2.1 Thành phần thu thập gói tin . . 14

2.2.2 Thành phần phát hiện gói tin . . 15

2.2.3 Thành phần phản hồi . 15

2.3 Phân loại IDS . 15

2.3.1 Network Base IDS (NIDS) . 15

2.3.1.1 Lợi thế của Network-Based IDS . . 16

2.3.1.2 Hạn chế của Network-Based IDS . . 16

2.3.2 Host Base IDS (HIDS) . . 17

2.3.2.1 Lợi thế của Host IDS . . 17

2.3.2.2 Hạn chế của Host IDS . . 18

2.4 Cơ chế hoạt động của IDS . . 18

2.4.1 Phát hiện dựa trên sự bất thường . . 18

2.4.2 Phát hiện thông qua Protocol . 18

2.4.3 Phát hiện nhờ quá trình tự học . . 21

2.5 Các ứng dụng IDS phổ biến hiện nay . 21

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG . . 22

3.1 Các phương thức tấn công . . 23

3.1.1 ARP Spoofing . . 23

3.1.2 Syn Flood . . 23

3.1.3 Zero Day Attacks . 23

3.1.4 DOS - Ping Of Death . 24

3.2 Các phương thức phòng chống . . 24

3.2.1 ARP Spoofing : mã hóa ARP Cache . . 24

3.2.2 Syn Flood . . 25

3.2.3 Zero Day Attacks . 25

3.2.4 DOS - Ping Of Death . . 25

PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP . . 26

4.1 Các bước thực hiện . 27

4.1.1 Mô hình mạng tổng quan . 27

4.1.2 Máy Client . . 27

4.1.3 Máy IDS . . 27

4.1.4 Máy Webserver . . 28

4.1.5 Máy Windows Server 2008 . . 28

4.2 Cấu hình IDS . . 28

4.2.1 Mô hình mạng chi tiết . . 28

4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort

kết hợp Iptables . . 29

4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 . . 29

4.2.2.2 Truy cập Web trái phép theo IP và tên miền . . 29

4.2.2.3 Truy cập Website vào giờ cấm. 29

4.2.2.4 Truy cập theo phương thức FTP . . 30

4.2.2.5 Tấn công theo phương thức Ping Of Death . 30

4.2.2.6 Hành động chat với các máy ip lạ. . 30

4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. . 30

4.2.3 Cài đặt webmin quản lý Snort . . 31

4.2.4 Tạo CSDL Snort với MySQL . . 31

4.2.5 Cài đặt BASE . . 31

PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT

CỦA MỘT IDS . . 32

5.1 Inotify . . 33

5.2 Lập trình API kết hợp với Inotify . . 33

5.3 Sản phẩm . 34

PHẦN 6 : TỔNG KẾT . . 35

6.1 Những vấn đề đạt được . 36

6.2 Những vấn đề chưa đạt được . . 36

6.3 Hướng mở rộng đề tài . . 37

PHẦN 7 : PHỤ LỤC . 38

7.1 Tài liệu tham khảo . 39

7.2 Phần mềm IDS-Snort . 40

7.2.1 Giới thiệu Snort . 40

7.2.2 Snort là một NIDS . 41

7.3 Cấu hình các Rules cơ bản của Snort và Iptables . 41

7.3.1 Rules Snort . 41

7.3.1.1 Cảnh báo ping. 41

7.3.1.2 Cảnh báo truy cập website. 41

7.3.1.3 Cảnh báo truy cập FTP. 41

7.3.1.4 Cảnh báo truy cập Telnet. 41

7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. 42

7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 . 42

7.3.1.7 Cảnh báo chat với các máy có IP lạ . 42

7.3.1.8 Ngăn chặn các trang Web có nội dung xấu . 42

7.3.2 Rules Iptables . 42

7.3.2.1 Ngăn chặn ping. 42

7.3.2.2 NAT inbound và NAT outbound . 43

7.3.2.3 Ngăn chặn truy cập website . . 43

7.3.2.4 Ngăn chặn truy cập FTP . . 44

7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 . 44

7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. 44

7.3.2.7 Ngăn chặn chat với các máy có IP lạ . 44

7.4 Hướng dẫn chi tiết cấu hình Snort . . 44

7.5 Thiết lập mạng và cấu hình các biến . 46

7.6 Cấu hình option của file Snort.conf . 47

7.7 Cấu hình tiền xử lý (preprocessor) . . 48

7.8 Thiết Lập Snort khởi động cùng hệ thống . . 50

7.9 Quản lý snort bằng webmin . . 51

7.10 Tạo CSDL snort với MySQL . . 51

7.11 Cài đặt BASE và ADODB . . 52

- Trang 4 -

Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

LỜI GIỚI THIỆU



Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày

càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã

buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo

mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong

việc làm sập một mạng hoặc dịch vụ Web của một công ty.

Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền

thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và

mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion

Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn

công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các

phương pháp bảo mật truyền thống.

Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp

chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài

nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều

thiếu sót.

Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô.

Chúng em xin chân thành cảm ơn.

PHẦN 1 : TỔNG QUAN

- Trang 9 -

Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

1.1 Lý do chọn đề tài

Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc

trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo

mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được

một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực

tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng.

IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến

nhà quản trị mà nó còn cung cấp những thông tin sau:

 Các sự kiện tấn công.

 Phương pháp tấn công.

 Nguồn gốc tấn công.

 Dấu hiệu tấn công.

Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết

kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt.

Một số lý do để thêm IDS cho hệ thống tường lửa là:

 Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.

 Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.

 Làm cho nỗ lực tấn công bị thất bại.

 Nhận biết các cuộc tấn công từ bên trong.

1.2 Phân tích hiện trạng

- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật

máy tính.

- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua

455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.

- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.

- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm

một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống

virus không sử dụng IDS.

- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật

nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin

trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo

động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được

phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công

nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.

- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of

death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ

thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm

ngưng lại mọi hoạt động.

- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả

năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ

thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được

nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng

trong các chính sách bảo mật.

1.3 Xác định yêu cầu

 Yêu cầu bắt buộc:

1. IDS là gì?

2. Các thành phần của IDS.

3. Các mô hình IDS.

4. Các ứng dụng IDS phổ biến hiện nay.

5. Triển khai mô hình IDS demo trong mạng LAN.

 Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của

một IDS.

1.4 Giới hạn và phạm vi nghiên cứu

- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có

tham gia kết nối internet.

- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.

- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.

- Tìm hiểu Snort IDS Software.

1.5 Ý nghĩa thực tiễn của đề tài

- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.

- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng.

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

nghiệp