Mô hình phòng chống tấn công IPS đơn giản: Như ta đã biết,trong hệ thống tổng thể về security, để đối phó với các cuộc tấn công từ chối dịch vụ (DoS), thì thành phần IPS được coi là quan trọng nhất ở tính trong suốt với người dùng, nên việc phân tích các luồng thông tin trao đổi giữa server và người dùng không bị ảnh hưởng bởi các luồng tấn công hướng thẳng đến nó. Mô hình dưới gồm: • 2 Router (Mô Phổng Mạng Internet) • IPS (intruction Prevention System - Hệ thống báo động xâm nhập) • 1 Máy server • 1 Máy Client (Attacker) • Tool SDM (Dùng để dựng và cập nhật các dấu hiệu bị tấn công) 1 (Hình 3.1: Mô hình tấn công và phòng thủ trên GNS3)Bảng Cấu Hình Của IPS version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname IPS ! boot-start-marker boot-end-marker ! no logging buffered ! no aaa new-model ! resource policy ! memory-size iomem 5 ! ip cef ! ip ips sdf location flash://sdmips.sdf ip ips sdf location tftp://40.0.0.2 ip ips notify SDEE ip ips name sdm_ips_rule ! ! crypto pki trustpoint TP-self-signed-0 enrollment selfsigned subject-name cn=IOS-Self-Signed- Certificate-0 revocation-check none rsakeypair TP-self-signed-0 ! ! crypto pki certificate chain TP-self-signed-0 certificate self-signed 01 nvram:IOS-Self- Sig#3001.cer ! ! username loc privilege 15 password 0 loc ! ! interface Serial0/0 ip address 20.0.0.2 255.0.0.0 ip ips sdm_ips_rule in ip virtual-reassembly serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/1 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/2 no ip address shutdown serial restart-delay 0 2 no dce-terminal-timing-enable ! interface Serial0/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface FastEthernet1/0 ip address 10.0.0.1 255.0.0.0 ip virtual-reassembly duplex auto speed auto ! router rip network 10.0.0.0 network 20.0.0.0 ! ip http server ip http secure-server ! control-plane ! line con 0 line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! end Bảng Cấu Hình Router SGon version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SGon ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Serial0/0 ip address 20.0.0.1 255.0.0.0 serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/1 ip address 30.0.0.1 255.0.0.0 serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/2 no ip address shutdown serial restart-delay 0 3 no dce-terminal-timing-enable ! interface Serial0/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! router rip network 20.0.0.0 network 30.0.0.0 ! ip http server no ip http secure-server ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end 4 Bảng Cấu Hình Router HNoi version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HNoi ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Serial0/0 ip address 30.0.0.2 255.0.0.0 serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/1 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/2 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial0/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface FastEthernet1/0 ip address 40.0.0.1 255.0.0.0 duplex auto speed auto ! router rip network 30.0.0.0 network 40.0.0.0 ! ip http server no ip http secure-server ! ! ! ! ! ! control-plane ! ! ! ! ! 5 ! line con 0 line aux 0 line vty 0 4 ! ! end 6 Sau đó chúng ta sử dụng SDM để khởi tạo IPS bằng cách tạo kết nối tới Router IPS (IP:10.0.0.1) (Hình 3.2: Giao diện đăng nhập để sử dụng SDM) Màn hình chính sau khi kết nối tới Router IPS có dạng như sau: (Hình 3.3: Giao diện sau khi đăng nhập thành công) Chọn “Launch IPS Rule Wizard…” để khởi tạo IPS và đổ dữ liệu xuống Router IPS ban đầu. (Hình 3.4: Giao diện khởi tạo IPS bằng SDM) Tiếp theo Import các file cảnh báo dấu hiệu và xử lý các cảnh báo đó dành cho IPS.Các file có dạng *.sdf (Hình 3.5: Import các rule vào hệ thống IPS) Thư viện các dấu hiệu sau khi Import và đổ dữ liệu vào Router IPS có dạng: (Hình 3.6: Giao diện chỉnh sửa các rule IPS ) Như vậy,ta đã cấu hình xong IPS 1 cách đơn giản với tool SDM và các file dấu hiêu *.sdf. Còn bây giờ ta sử dụng thủ thuật Ping Of Death như đã giới thiệu ở trên bằng lệnh trong CMD: ping <IP> -t –l 65000. [...]... (Hình 3.7: Giao diện sử dụng cách tấn công Ping Of Death) Và kết quả đạt được sau khi cấu hình IPS: (Hình 3.8: Giao diện cảnh báo và xử lý của IPS) Như vậy,ta đã xây dựng 1 hướng giải quyết việc tấn công bằng DoS,đó là xây dưng hệ thống IPS Nhưng nhìn chung,nếu chúng ta xây dựng 1 hệ thống tốt thì chúng ta chỉ có thể hạn chế việc bị tấn công DoS quy mô vừa và nhỏ.Nếu Server hay hệ thống bị tấn công. .. dựng 1 hệ thống tốt thì chúng ta chỉ có thể hạn chế việc bị tấn công DoS quy mô vừa và nhỏ.Nếu Server hay hệ thống bị tấn công với quy mô lớn thì ngay cả chúng ta xây dựng hệ thống tốt thì cũng xảy ra sự cố và vấn đề.Và ví dụ cụ thể là việc trang web vietnamnet bị tấn công DoS đã làm cho thiệt hại cả người và của . Mô hình phòng chống tấn công IPS đơn giản: Như ta đã biết,trong hệ thống tổng thể về security, để đối phó với các cuộc tấn công từ chối dịch. dựng và cập nhật các dấu hiệu bị tấn công) 1 (Hình 3.1: Mô hình tấn công và phòng thủ trên GNS3)Bảng Cấu Hình Của IPS version 12.4 service timestamps