NGUYỄN ĐỨC CƯỜNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG XỬ LÝ THÔNG TIN VÀ TRUYỀ THÔNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG NGUYỄN ĐỨC CƯỜNG 2006 - 2008 Hà Nội 2008 HÀ NỘI 2008 Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Master of Sience Thesis title: “Warning and Protection System of Network Attacks” Student: Nguyen Duc Cuong Supervisor: Professor Dang Van Chuyet Department of Information Technology Hanoi University of Technoloogy Email: cuongnd-linc@mail.hut.edu.vn Year: 2008 Summary During the last decade, the Internet has developed rapidly in terms of scale as well as diversity As a consequence, the network security has become more and more urgent issues Therefore, network administration has been incrementally complicated and manually error handling is no longer sufficient Due to that, the automatic warning system of attacks is aimed to necessarily establish This thesis consists of the two parts as follows: Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly developing products in the market Part 2: The first step for installing IDS into the HUT Network, using SNORT opensource, in order to improve the high perforamance of use of this network Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường LỜI NÓI ĐẦU CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm 1.2 Chức 1.3 Cấu trúc chung 1.4 Phân biệt mô hình IDS 11 NIDS 11 HIDS 12 1.5 Các phương pháp nhận biết công 12 1.6 Các sản phẩm IDS thị trường 14 Intrust 14 ELM 15 GFI LANGUARD S.E.L.M 16 SNORT 17 Cisco IDS 18 Dragon 19 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO 20 2.1 Các kiến thức sở kỹ thuật phân tích thống kê cổng - SPAN 20 2.1.1 Khái niệm SPAN 20 2.1.2 Các thuật ngữ 22 2.1.3 Các đặc điểm cổng nguồn 24 2.1.4 Lọc VLAN 24 2.1.5 Các đặc điểm nguồn VLAN 25 2.1.6 Các đặc điểm cổng đích 26 2.1.7 Các đặc điểm cổng phản hồi 27 2.2 SPAN dòng Switch Cisco 28 2.2.1 Span Catalyst 2900, 4500/4000, 5500/5000, 6500/6000 Series chạy CatOS 28 2.2.2 SPAN dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series 52 2.2.3 SPAN Catalyst 4500/4000 Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS 55 2.3 Hiệu tác động SPAN Switch Catalyst khác 58 Các dòng Switch Catalyst 4000 Series 58 Catalyst 4500/4000 Series 59 Catalyst 5500/5000 and 6500/6000 Series 59 2.4 Các lỗi thường gặp cấu hình 59 Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG 69 3.1 Các đặc điểm 69 3.1.1 Hệ thống detection engine: 70 3.1.2 Hệ thống Logging & alerting: 70 3.1.3 Tập luật(RULES) 71 3.2 Các bước cài đặt Snort hệ điều hành Debian 72 3.2.1 Cài hệ điều hành Debian 72 3.2.2 Cài phần mềm cần thiết 73 3.2.3 Cài đặt cấu hình IPTABLES-BASED FIREWALL 75 3.2.4 Cài đặt Snort 75 3.2.5 Cấu hình MySQL Server 77 3.2.6 Cấu hình để SNORT bắn alert vào MySQL 78 3.2.7 Cài đặt Apache-ssl Web Server 78 3.2.8 Cài đặt cấu hình Basic Analysis Sercurity Engine (Base) 79 3.2.9 Cập nhật Rules với Oinkmaster 81 3.2.10 Startup Script 82 3.2.11 Tạo Acc truy cập vào Base 83 3.2.12 Cấu hình SNMP Server 83 3.2.13 Tạo file index.php để định hướng trình duyệt 84 3.2.14 Cài đặt phần mềm quản trị Webmin 84 3.3 Giao diện hệ thồng sau cài đặt 85 3.3.1 Các thông tin cấu hình 85 3.3.2 Hướng dẫn sử dụng SNORT 86 3.3.3 Hướng dẫn sử dụng công cụ phân tích (Base) 89 3.3.4 Hướng dẫn sử dụng Webmin 101 KẾT LUẬN 108 DANH MỤC TÀI LIỆU THAM KHẢO 109 Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường LỜI NÓI ĐẦU Khái niệm phát xâm nhập xuất qua báo James Anderson cách khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập - IDS (Intrusion Detection System) với mục đích dò tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính không lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS công nghệ an ninh sử dụng nhiều phát triển Vào năm 2003, Gartner- công ty hàng đầu lĩnh vực nghiên cứu phân tích thị trường công nghệ thông tin toàn cầu- đưa dự đoán gây chấn động lĩnh vực an toàn thông tin : “Hệ thống phát xâm nhập (IDS) không vào năm 2005” Phát biểu xuất phát từ số kết phân tích đánh giá cho thấy hệ thống IDS đối mặt với vấn đề IDS thường xuyên đưa nhiều báo động giả ( False Positives) Hệ thống IDS gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục (24 suốt 365 ngày năm) Kèm theo cảnh báo công IDS quy trình xử lý an ninh vất vả Các IDS lúc khả theo dõi luồng liệu truyền với tốc độ lớn 600 Megabit giây Nhìn chung Gartner đưa nhận xét dựa nhiều phản ánh khách hàng sử dụng IDS quản trị vận hành hệ thống IDS khó khăn, tốn không đem lại hiệu tương xứng so với đầu tư Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Sau phát biểu đưa ra, số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu mong muốn vấn đề tồn việc quản lý vận hành chất công nghệ kiểm soát phân tích gói tin IDS Cụ thể, hệ thống IDS hoạt động hiệu quả, vai trò công cụ, người quản trị quan trọng, cần phải đáp ứng tiêu chí sau: - Thu thập đánh giá tương quan tất kiện an ninh phát IDS, tường lửa để tránh báo động giả - Các thành phần quản trị phải tự động hoạt động phân tích - Kết hợp với biện pháp ngăn chặn tự động Kết tới năm 2005, hệ sau IDS-hệ thống tự động phát ngăn chặn xâm nhập IPS- dần khắc phục mặt hạn chế IDS hoạt động hiệu nhiều so với hệ trước Vậy IPS IPS hệ thống chống xâm nhập ( Intrusion Prevention System – IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ thống IDP - Intrusion Detection and Prevention Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn công Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành Hơn số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Tuy nhiên để ngăn chặn xâm nhập trước hết cần phải phát Vì nói đến hệ thống IDS, thời điểm tại, ta hiểu hệ thống tích hợp gồm hai chức IPS/IDS Cơ sở hạ tầng CNTT phát triển, vấn đề phát triển mạng lại quan trọng, mà việc phát triển mạng việc đảm bảo an ninh mạng vấn đề tối quan trọng Sau chục năm phát triển, vấn đề an ninh mạng Việt Nam dần quan tâm mức Trước có giải pháp toàn diện mạng phải tự thiết lập hệ thống tích hợp IDS riêng Trong luận văn này, tìm hiểu cấu trúc hệ thống IDS, sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để áp dụng hệ thống mạng thay cho IDS cứng đắt tiền Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát xâm nhập (Intrusion Detection System - IDS) hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lưu thông bất thường hay có hại cách thực hành động thiết lập trước khóa người dùng hay địa IP nguồn không cho truy cập hệ thống mạng,… IDS phân biệt công từ bên hay công từ bên IDS phát công dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.2 Chức Ta hiểu tóm tắt hệ thống phát xâm nhập mạng – IDS sau : Chức quan trọng : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại + Chức mở rộng Phân biệt: công mạng Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường 1.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác sử dụng IDS Mô hình cấu trúc chung cho hệ IDS là: Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ hệ thống phát xâm phạm phòng chống cho hệ thống máy tính cách phát dấu hiệu công đẩy lùi Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt “bả bẫy” sử dụng để xác định mối đe dọa Việc làm lệnh hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng Cả hệ thống thực hệ thống bẫy cần phải kiểm tra cách liên tục Dữ liệu tạo hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông Nguyễn Đức Cường thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua email Cấu trúc hệ thống phát xâm phạm dạng tập trung : Hình 1.2 : Cấu trúc tập trung Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 95 Nguyễn Đức Cường Hình 3.8 : Tra thông tin chi tiết Alert nghi vấn - Sau đọc thông tin alert này, ta thấy nhiều khả alert sinh “Slammer worm” phát tán Internet, cố gắng khai thác lỗi buffer overflow MS SQL Server 2000 Resolution Service Hình 3.9 : Xác định thông tin Alert - Tiếp tục đọc kỹ thông tin alert này, ta thấy cách xử lý alert phần “Corrective Action” + Cấm truy cập từ vào dịch vụ MS SQL cổng 1433 and 1434 Thực firewall hệ thống Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 96 Nguyễn Đức Cường + Cập nhật vá cho dịch vụ MS SQL public từ URL: www microsoft com/technet/security/bulletin/MS02-039 asp Xem Payload packets Để xem payload packet, click vào cột ID tương ứng alert, Hình 3.10 : Xem Payload packet - Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tương ứng Hình 3.11 : Xem nội dung packet Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 97 Nguyễn Đức Cường - Tính đặc biệt hữu ích, cho phép IDS admin review lại toàn gói tin tạo alert, giúp cho trình tinh chỉnh rules xác hơn, thuận tiện Tìm kiếm Để tìm kiếm alert đó, bạn click vào link “Search” tìm kiếm theo nhiều tiêu chí khác như: Sensor, Alert Group, Signature, Classification, Priority, Alert Time, xếp theo vài tuỳ chọn có sẵn Hình 3.12 : Tìm kiếm Alert Quản lý nhóm Alert Bên cạnh cách phân loại rules sẵn có snort, để tiện lợi cho việc quản lý, người sử dụng tạo nhóm alert khác nhau, gán alert vào nhóm phù hợp với quan điểm Click vào “Alert Group Management” để thao tác với nhóm: Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 98 Nguyễn Đức Cường Hình 3.13 : Quản lý Alert theo nhóm Bạn tạo nhóm (Create), xem alert tương ứng với nhóm (View), sửa nhóm (Edit), xoá nhóm(Delete) reset nhóm (Clear) Đồ thị trực quan BASE cung cấp số cách hiển thị biểu đồ trực quan, cho phép người quản trị cảm nhận nhanh chóng vấn đề hệ thống, đưa phương án giải kịp thời Graph Alert Data Click vào "Graph Alert Data" để xem biểu đồ liệu alert: Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 99 Hình 3.14 : Chọn biểu đồ liệu Có nhiều tham số cho phép xây dựng biểu đồ, bao gồm: - Kiểu đồ thị (Chart title): + Thời gian (theo giờ) Số lượng alert + Thời gian (theo ngày) Số lượng alert + Thời gian (theo tháng) số lượng alert +… - Chu kỳ đồ thị (Chart period) + ngày (1 tuần) + 24 (1 ngày) + 168 (24 x 7) - Kích thước đồ thị - Lề đồ thị: trái, phải, trên, - Kiểu vẽ: bar, line, pie - Thời gian bắt đầu, thời gian kết thúc Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 100 Nguyễn Đức Cường Hình 3.15 : Đồ thị trực quan Graph Alert Detection Time Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể tần suất alert theo giờ, ngày theo tháng Dạng biểu đồ hữu ích, cho phép xác định thời điểm bất thường, qua giúp định hướng người quản trị tập trung vào điểm quan trọng Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 101 Nguyễn Đức Cường Hình 3.16 : Đồ thị tần suất Alert 3.3.4 Hướng dẫn sử dụng Webmin Đăng nhập trang quản trị - Account quản trị WEBMIN: root/root2008 - Địa đăng nhập: https://192.168.40.12:10000/ - Màn hình đăng nhập Hình 3.17 : Màn hình đăng nhập Webmin - Sau đăng nhập thành công, hình xuất cửa sổ sau: Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 102 Nguyễn Đức Cường Hình 3.18 : Đăng nhập thành công Quản trị Webmin Phần cho phép thay đổi thông tin cấu hình Webmin, bao gồm mục: - Backup Configuration Files - Change language and theme - Webmin Actions logs - Webmin configuration - Webmin server index - Webmin users Hình 3.19 : Giao diện công cụ quản trị Quản trị hệ thống Hiện Webmin quản trị cấu hình để quản trị thông tin hệ thống sau (vào mục System) - Bootup and Shutdown - Change Passwords Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 103 - Disk and Network file systems - File system backups - Log file rotation - MIME type programs - PAM Authentication - Running processes - Scheduled Commands - Scheduled Cron jobs - Software packages - SysV Init Configuration - System Documentation - System logs - Users and Groups Nguyễn Đức Cường Hình 3.20 : Các thông tin quản trị Quản trị Server Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 104 Nguyễn Đức Cường Hiện tại, webmin cấu hình để quản trị dịch vụ sau: - Apache webserver - MySql server - SSH server Hình 3.21 : Các thông tin quản trị Quản trị dịch vụ mạng Hiện tại, webmin cấu hình để thay đổi thông tin cấu hình mạng sau: - Internet services and protocols - Linux firewall (IPTables) - Network configuration - PPP Dial in server - Shorewall firewall Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 105 Nguyễn Đức Cường Hình 3.22 : Các dịch vụ mạng quản trị Quản trị phần cứng Webmin cấu hình để thay đổi thông tin cấu hình phần cứng sau: - Grub boot loader - Partitions on Local disks - System time Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 106 Hình 3.23 : Quản trị phần cứng Quản trị vấn đề khác Ngoài ra, webmin quản trị số ứng dụng khác: - Command shell - Custom commands - File manager - Http tunnel - PHP configuration - PERL Modules - Protected web directories - SSH/Telnet login - System and server status - Upload and download Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Nguyễn Đức Cường Xử lý Thông tin Truyền Thông 107 Nguyễn Đức Cường Hình 3.24 : Quản trị ứng dụng khác Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 108 Nguyễn Đức Cường KẾT LUẬN Bất mạng nào, có lỗ hổng mặt kỹ thuật cho phép tin tặc xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại thực tế mạng xem bảo mật tuyệt đối Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với mạng để bảo đảm tính an toàn cho mạng Ngoài việc sử dụng phương pháp mã hóa để bảo đảm tính bí mật thông tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng, việc sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng cần thiết Mặc dù việc triển khai IDS cho mạng cách toàn diện có nhiều khó khăn nhiên lợi ích mà đem lại lớn Một mặt giúp hệ thống an toàn trước nguy công, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống có tích hợp IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng Bằng cách sử dụng giải pháp IDS mềm thay cho IDS cứng vấn đề kinh phí, hệ thống mạng giảm thiểu tương đối nguy công tiềm ẩn nâng cao độ an toàn Với tham khảo áp dụng triển khai hệ thống IDS mềm tích hợp vào mạng, ta thấy hệ thống IDS mềm hoàn toàn thực tính IDS cứng, thời gian triển khai phần mềm ngắn nên việc hoàn thiện module gắn thêm cho hệ thống IDS chưa có Nếu tiếp tục phát triển, ta hoàn toàn tích hợp hệ thống IDS tương tác với phần lại mạng, để có công xảy ra, IDS tự động báo tin đến người quản trị, tự động đưa phương án thích hợp để vô hiệu hoá công Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin Truyền Thông 109 Nguyễn Đức Cường DANH MỤC TÀI LIỆU THAM KHẢO [1] Patrick S Harper, Oinkmaster Installation and Configuration Guide [2] Andy Firman, Debian, Snort, Barnyard, BASE, & Oinkmaster Setup Guide [3]http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09 186a008015c612.shtml [4] Mark Cooper, Stephen Northcutt, Matt Fearnow, Karen Frederick, Intrusion Signatures and Analysis [5] Angela D Orebaugh, Simon Biles, Jacob Babbin, “Snort Cookbook “ [6] Roman Danyliw, “ACID: Installation and Configuration” [7] Chris Vespermann, “Snort, MySQL 5, Apache, and BASE for Gentoo Linux” [8] Brian Laing, ISS, “How To Guide: Intrusion Detection Systems” [9] Patrick S Harper, “Snort, Apache, SSL, PHP, MySQL, and BASE Install on CentOS 4, RHEL or Fedora Core (updated for Snort 2.6.0 and NTOP)” [10]Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal Intrusions” Hệ thống phát xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 [...]... để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân có thể cho biết một số không bình thư ng các telnet session bên trong hệ thống nó kiểm tra Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn... kiện Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T Phát hiện xâm nhập dựa trên tập luật (Rule-Based Intrusion Detection): Giống như phương pháp hệ thống. .. luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông 20 Nguyễn Đức Cường CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo hệ thống switch của Cisco Đó là kỹ thuật phân tích thống kê cổng switch Kỹ thuật phân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi được... một kỹ thuật rất mạnh và thư ng được sử dụng trong các hệ thống thư ng mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris) Phân biệt ý định người dùng (User intention identification): Kỹ thuật này mô hình hóa các hành vi thông thư ng của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng) Các nhiệm vụ đó thư ng cần đến một số... sự kiện Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông 19 Nguyễn Đức Cường Dragon Một giải pháp toàn diện cho hoạt động kinh doanh Sản phẩm này rất đa năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công Đây là một giải phát... cả NIDS và HIDS 2 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX 3 Được mô đun hóa và có thể mở rộng 4 Kiểm tra quản lý tập trung 5 Phân tích và báo cáo toàn diện 6 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 7 Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router 8 Quản lý biên dịch báo cáo 9 Có chu kỳ cập nhật chữ kỹ hoàn hảo Hệ thống phát... Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông 10 Nguyễn Đức Cường Hình 1.3 : Cấu trúc đa tác nhân Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và. .. được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác Hình 1.5 : Mô hình HIDS 1.5 Các phương pháp nhận biết tấn công Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông... khác nhau, giúp kiểm Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông 15 Nguyễn Đức Cường soát được Nhập phức tạp Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác 1 Tính năng cảnh báo toàn diện 2 Tính năng báo cáo toàn diện 3 Hợp nhất và thẩm định hiệu... báo và phát hiện xâm phạm Hệ thống phát hiện xâm nhập mạng Viết thuê luận văn thạc sĩ Luanvanaz@mail.com - 0972.162.399 Xử lý Thông tin và Truyền Thông 18 Nguyễn Đức Cường 7 Có các gói bản ghi 8 Phát hiện tấn công toàn diện 9 Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện 10 Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email Cisco IDS Giải pháp này là của Cisco, với giải