XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP

VÀ GIÁM SÁT MẠNG NỘI BỘ

BUILDING A LAN INTRUSION DETECTION AND MONITOR SYSTEM

SVTH: Lê Văn Hưng, Phùng Duy Tùng

Lớp 05T1, Khoa Công Nghệ Thông Tin, Đại học Bách khoa

GVHD: ThS. Nguyễn Tấn Khôi

Khoa Công Nghệ Thông Tin, Đại học Bách khoa

TÓM TẮT

Báo cáo trình bày việc xây dựng một hệ thống phát hiện xâm nhập và giám sát mạng nội

bộ LAN. Hệ thống đựơc thiết kế nhằm giám sát mạng và các hoạt động của mạng đối với các hành

vi không được phép và có biện pháp phản ứng lại, theo chế độ thời gian thực để ngăn chặn và

phòng ngừa các hoạt động này. Khi một cuộc tấn công bị phát hiện, hệ thống có thể bỏ qua những

gói tin bất hợp pháp và đưa ra các thông báo đến người quản trị mạng.

ABSTRACT

This paper presents an approach in order to build an intrusion detection and monitor

system for a local network area (LAN). This system is designed to monitor network and system

activities for malicious or unwanted behavior and can react, in real-time, to block or prevent those

activities. When an attack is detected, it can drop the offending packets and bring the message to

network administrator.

1. Đặt vấn đề

Trong một hệ thống mạng, các máy chủ thường là mục tiêu chính trong các cuộc

tấn công, truy cập trái phép. Một hệ thống mạng phải được bảo vệ theo nhiều tầng để tăng

cường khả năng bảo vệ hệ thống [1,2,3]. Hiện nay, các chương trình bảo mật, phòng chống

virus bảo vệ hệ thống (BKIS, Kaspersky Anti-Virus, BitDefender Antivirus, .) đều có giá

thành cao và chủ yếu được phát triển ở nước ngoài. Ngoài ra, các chương trình firewall bảo

vệ mạng hiện nay hầu hết được tích hợp trong các thiết bị phần cứng của mạng. Bên cạnh

đó, các chương trình được phát triển riêng lẻ với các tính năng tương đối độc lập với nhau

cho nên việc khai thác các chức năng của các chương trình này nhằm phục vụ công việc

giám sát và quản trị hệ thống bị hạn chế.

Xuất phát từ nhu cầu thực tiễn trên, chúng tôi tìm hiểu xây dựng một chương trình

tích hợp nhiều chức năng hỗ trợ giám sát hệ thống mạng và phát hiện các xâm nhập trái

phép có nhằm giúp cho công việc quản trị mạng được tập trung và đạt hiệu quả cao. Báo

cáo này trình bày những vấn đề chủ yếu liên quan đến hệ thống này.

2. Các phương thức xâm nhập mạng và cách phòng chống

2.1. Các kĩ thuật cơ bản xâm nhập một hệ thống mạng

Một số hình thức cơ bản tấn công xâm nhập mạng phổ biến như : FootPrinting,

Scanning, Enumeration, Gaining Access, Escalating Privileges, Pilfering, Covering Tracks,

Denial of Service (DoS). Ngoài ra còn có một số hình thức tấn công khác như: tấn công

192

không qua chứng thực (Deauthentication attack), tấn công truyền lại (Replay Attack), tấn

công dựa trên sự cảm nhận sóng mang lớp vật lý, giả mạo địa chỉ MAC, .

2.2. Tấn công từ chối dịch vụ và phòng chống

Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công trên hệ thống mạng nhằm

ngăn cản những truy xuất tới một dịch vụ bằng cách làm tràn ngập số lượng kết nối, quá tải

server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn

người dùng hợp lệ truy nhập tới dịch vụ mạng. Có 3 phương pháp tấn công DoS chủ yếu:

Smurf hay Fraggle, SYN Flood và DNS attack [1,3,4].

Các biện pháp cơ bản phòng ngừa tấn công DoS như sau:

- Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities).

- Phòng ngừa việc khai thác sử dụng các zombie.

- Ngăn ngừa sử dụng công cụ tạo các kênh phát động tấn công.

- Ngăn chặn tấn công trên băng thông.

- Ngăn chặn tấn công qua SYN.

- Phát hiện và ngăn chặn tấn công tới hạn số kết nối.

Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai,

lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người

xâm nhập ngoài hệ thống. Đây là một công việc đầy khó khăn do ảnh hưởng của sự tăng

trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất, nhiều giao

thức truyền thông, . Việc phát hiện xâm nhập được xây dựng chủ yếu dựa trên sự khác

biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.

3. Thiết kế xây dựng chương trình

Hệ thống chương trình được phân tích, thiết kế bao gồm nhiều mục tiêu như giám

sát lưu thông gói tin IP, theo dõi các tiến trình hệ thống đang hoạt động, các user đăng

nhập trên hệ thống, phát hiện và cảnh báo các nguy cơ tấn công hay xâm nhập vào hệ

thống trên máy chủ từ đó có thể tác động lên chương trình để bảo vệ thông tin mạng. Ngoài

ra, chương trình còn có các công cụ và tiện ích mạng giúp cho người quản trị có thể thao

tác quản lý tập trung. Với mục tiêu như vậy, hệ thống có những chức năng chính sau:

- Giám sát gói tin ra/vào trên hệ thống,

- Lọc gói tin từ nguồn đến đích dựa theo danh sách từ khóa cho trước để phát hiện

thông tin không hợp pháp.

- Kiểm soát và phòng chống các cuộc tấn công DoS, DDoS, các hành vi tạo ra

backdoor vào hệ điều hành của server.

- Kiểm tra các tiến trình, số hiệu tiến trình, cổng dịch vụ đang hoạt động trên Server

để tìm ra các dịch vụ không hợp pháp.

- Quản lý các user hệ thống.

- Thông báo email cảnh báo cho các người sử dụng liên quan