Thông tin tài liệu
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Phương Thực
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG
PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS
Chuyên ngành: Hệ Thống Thông Tin
Mã số: 60.48.01.04
TÓM TẮT LUẬN VĂN THẠC SĨ
TP. HÀ NỘI - 2013
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Nguyễn Thành Phúc
(Ghi rõ học hàm, học vị)
Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: gi
ờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
LI CM ƠN
Tôi xin chân thành cảm ơn quý thầy cô cùng Ban giám
hiệu nhà trường, các thầy cô trong khoa Công nghệ Thông tin
đã cho tôi những kiến thức nền tảng trong những năm học tại
trường.
Đặc biệt tôi xin bày tỏ sự biết ơn sâu sắc tới TS. Nguyễn
Thành Phúc – Cục trưởng Cục Ứng dụng công nghệ thông tin –
Bộ Thông tin và Truyền thông đã luôn tận tình hướng dẫn và
tạo nhiều điệu kiện tốt nhất để tôi hoàn thành luận văn.
Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, những người
đã sinh thành và dạy bảo con trưởng thành như ngày hôm nay.
Những người đã luôn hết lng tận tụy chăm sc, ng hộ và
động viên con trong suốt thời gian học tập và nghiên cứu.
Mặc dù tôi đã nghiêm túc và cố gắng hoàn tất đề tài
nhưng chắn chắn sẽ không tránh khỏi những thiếu st, kính
mong sự thông cảm và gp ý giúp đỡ ca quý thầy cô và các
bạn.
Nguyễn Phương Thực
LI CAM ĐOAN
Tôi cam đoan luận văn này là công trình nghiên cứu ca
riêng tôi. kết quả đạt được trong luận văn là sản phẩm ca riêng
cá nhân, không sao chép lại ca người khác. Các số liệu, kết
quả nêu trong luận văn là trung thực.
Luận văn này chưa từng được ai công bố trong bất kỳ
công trình nào khác.
Nếu sai tôi xin chịu hoàn toàn trách nhiệm.
Tác giả luận văn
Nguyễn Phương Thực
MỤC LỤC
MỞ ĐẦU
6
1.1 Hiện trạng về an ninh mạng
1
1.1.1 Hiện trạng về an ninh mạng trong nước
1
1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam
2
1.2 Sự cần thiết phải c an ninh mạng
và các yếu tố cần bảo vệ
2
1.2.1 Sự cần thiết phải c an ninh mạng
2
1.2.2 Các yếu tố cần bảo vệ
2
1.2.3 Mô hình phng vệ theo chiều sâu:
3
1.3 Chính sách an toàn, an ninh mạng
3
1.3.1 Khái niệm chính sách an ninh mạng
3
1.3.2 Cấu trúc an toàn, an ninh mạng
3
1.3.3 Chính sách an toàn, an ninh mạng
3
1.4 Phương pháp phát hiện và phng chống xâm nhập
4
1.4.1 Xác định mối đe dọa
4
1.4.2 Phương pháp phng chống xâm nhập:
4
Chương 2 - HỆ THỐNG PHÁT HIỆN
VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS
6
2.1 IDS
6
2.1.1 Khái niệm
6
2.1.3 Công nghệ
8
2.1.4 Phân loại
9
2.2 IPS
9
2.2.2 Ưu nhược điểm
9
2.2.3 Công nghệ
10
2.2.4 Phân loại
10
2.3 So sánh IDS và IPS
10
2.3.1 Sự giống nhau
10
2.3.2 Sự khác nhau
11
2.4 Phương pháp phát hiện xâm nhập
12
2.4.1 Phát hiện dấu hiệu không bình thường
12
2.4.2 Phát hiện dựa theo hành vi bất thường
12
2.4.3 Phát hiện dấu hiệu c hành vi xấu
13
2.4.4 Phát hiện dựa vào tương quan các mấu tham số
13
2.5 Một số giải pháp IDS/IPS thương mại
13
2.5.1 Giải pháp ca Cisco
13
2.5.2 Giải pháp ca ISS Proventia
13
2.5.3 Giải pháp ca NFR
14
Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI
PHÁP CISCO IPS
14
3.1 Giới thiệu kiến trúc hệ thống
14
3.1.1 Kiến trúc chung ca các hệ thống IPS
14
3.2 Các yêu cầu triển khai
14
3.2.1 Các yêu cầu về bảo mật
14
3.2.2 Yêu cầu về phần cứng, phần mềm
15
3.3 Xây dựng mô hình mạng thử nghiệm
16
3.3.1 Thiết kế mô hình mạng thử nghiệm
16
3.3.2 Triển khai cài đặt
16
3.3.3 Triển khai cấu hình:
16
3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo
mật
17
3.4 Tùy chỉnh các tham số phng chống tấn công
20
3.4.1 Điều chỉnh tham số cảnh báo
20
3.4.2 Tùy chỉnh custom atomic signature
20
3.4.3 Tùy chỉnh custom stream signature
22
3.4.4 Tùy chỉnh custom http signature
22
3.5 Đánh giá kết quả thử nghiệm
22
3.5.1 Kết quả đạt được
22
3.5.2 Nhận xét và đánh giá
23
3.5.3 Định hướng nghiên cứu
24
DANH MỤC TÀI LIỆU THAM KHẢO
25
DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT
Chữ viết
tắt
Nghĩa tiếng Anh
Nghĩa tiếng Việt
IPS
Intrusion Prevention
System
Hệ thống ngăn chặn xâm
nhập
IDS
Intrusion Detection
System
Hệ thống phát hiện xâm
nhập
CNTT
Công nghệ thông tin
ISS
Internet Security
Systems
Hệ thống bảo mật mạng
DMZ
Demilitarized Zone
Vùng phi quân sự
ISP
Internet Service
Provider
Nhà cung cấp dịch vụ
Internet
ISO
Internation Standard
Organization
Tổ chức tiêu chuẩn quốc tế
LAN
Local Area Network
Mạng cục bộ
TCP
Transmission Control
Protocol
Giao thức kiểm soát truyền
tin
MỞ ĐẦU
Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ
biến trong hầu hết các hoạt động kinh tế xã hội. Cùng với sự
phát triển đ, ngày càng xuất hiện nhiều hơn những cá nhân,
nhm hoặc thậm chí là cả những tổ chức hoạt động với những
mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ
thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và
bảo mật thông tin trên các hệ thống này.
Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá
nhân cũng như các cơ quan, tổ chức phải kết nối mạng Internet
toàn cầu. An toàn và bảo mật thông tin là một trong những vấn
đề quan trọng hàng đầu khi thực hiện kết nối Internet. Tuy
nhiên, vẫn thường xuyên c các mạng bị tấn công, c các tổ
chức bị đánh cắp thông tin… gây nên những hậu quả vô cùng
nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy
tính c mặt trên mạng Internet, đa phần vì mục đích xấu và các
cuộc tấn công không được báo trước, số lượng các vụ tấn công
tăng lên nhanh chng và các phương pháp tấn công cũng liên
tục được hoàn thiện. Vì vậy việc kết nối một máy tính vào
mạng nội bộ cũng như vào mạng Internet cần phải c các biện
pháp đảm bảo an toàn thông tin.
Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên
phải đối mặt trên môi trường Internet em đã quyết định chọn đề
tài: Nghiên cứu, triển khai hệ thống phát hiện và phòng
chống xâm nhập IDS/IPS.
Nội dung chính ca luận văn gồm 3 chương như sau:
Chương 1: Tổng quan về an ninh mạng máy tính
Chương 2: Hệ thống phát hiện và phng chống xâm nhập
IDS/IPS
Chương 3: Triển khai và đánh giá thử nghiệm giải pháp
Cisco IPS
1
Chương 1 -
Chương 1- TỔNG QUAN VỀ AN NINH
MẠNG MÁY TÍNH
1.1 Hiện trạng về an ninh mạng
Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ
thống thông tin đng một vai tr hết sức quan trọng. Thông tin
chỉ c giá trị khi n giữ được tính chính xác, thông tin chỉ c
tính bảo mật khi chỉ c những người được phép nắm giữ thông
tin biết được n. Khi ta chưa c thông tin, hoặc việc sử dụng hệ
thống thông tin chưa phải là phương tiện duy nhất trong quản
lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem
thường. Nhưng một khi nhìn nhận tới mức độ quan trọng ca
tính bền hệ thống và giá trị đích thực ca thông tin đang có thì
chúng ta sẽ c mức độ đánh giá về an toàn và bảo mật hệ thống
thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ
thống cần phải c sự phối hợp giữa các yếu tố phần cứng, phần
mềm và con người.
1.1.1 Hiện trạng về an ninh mạng trong nước
Trong những năm qua, dưới sự lãnh đạo và điều hành ca
Chính ph, lĩnh vực CNTT đã không ngừng phát triển gp phần
thúc đẩy sự phát triển ca kết cấu hạ tầng đng gp tích cực
vào sự phát triển kinh tế - xã hội. Mặc dù kinh tế c nhiều kh
khăn do chịu ảnh hưởng ca cuộc khng hoảng kinh tế toàn
[...]... hoạt động xâm nhập từ các máy chủ nghi ngờ Hệ thống phát hiện xâm nhập mềm Cũng tương tự như trong phần công nghệ của IDS Hệ thống phát hiện xâm nhập cứng(cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống 2.2.4 Phân loại 2.2.4.1 IPS ngoài luồng(Promiscuous Mode IPS) 2.2.4.2 IPS trong... luồng (In-line IPS) 2.3 So sánh IDS và IPS 2.3.1 Sự giống nhau 11 Đều là hệ thống phát hiện xâm nhập dùng hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa... 2.2.2.1 Phát hiện sự bất thường 10 2.2.2.2 Kiểm tra lạm phát 2.2.2.3 Kiểm tra các chính sách 2.2.2.4 Phân tích giao thức 2.2.3 Công nghệ Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của hoạt động xâm nhập Khi hoạt động xâm nhập được phát hiện, IDS cung cấp khả năng cho việc phòng chống. .. khó khăn và hướng giải quyết khi triển khai hệ thống phòng chống xâm nhập trên một hệ thống mạng thực tế 3.5.2 Nhận xét và đánh giá - Ưu điểm: Sau khi nghiên cứu tìm hiểu công nghệ phòng chống xâm nhập IDS/ IPS qua một trong dòng thiết bị điển hình của Cisco IDS 4215, em nhận thấy thiết bị này có khả năng phòng chống được hầu hết các tấn công trong tấm hiểu biết của các hacker bình thường hiện nay... của các hệ thống IPS Một hệ thống IPS 12 có thể: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo 2.4 Phương pháp phát hiện xâm nhập 2.4.1 Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm nhập phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt... Network Based IDS 2.1.4.2 Host Based IDS 2.1.4.3 Application-Based IDS 2.1.4.4 Signature-Based IDS 2.1.4.5 Statistical Anomaly Based IDS 2.2 IPS 2.2.1 Khái niệm Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động... thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các phương pháp phát hiện và cách phòng chống tấn công một hệ thống Hiểu được công nghệ thế giới sử dụng để phòng chống các hiểm họa an ninh mạng hiện nay, em đã cài đặt và cấu hình thành công thiết bị Cisco IDS 4215 một thiết bị chuyên dụng về công nghệ phát hiện và phòng chống xâm nhập Qua đó em có thể hiểu được nguyên lý hoạt... cả phần mềm và phần cứng ,mục đích chung của IDS là quan sát các sự kiện trên hệ thống 9 mạng và thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động Hệ thống phát hiện xâm nhập cứng(cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống Cisco cung... pháp của NFR Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS 3.1 Giới thiệu kiến trúc hệ thống 3.1.1 Kiến trúc chung của các hệ thống IPS 3.1.1.1 Module phân tích luồng dữ liệu 3.1.1.2 Modul phát hiện tấn công 3.1.1.3 Modul phản ứng 3.2 Các yêu cầu triển khai Dựa trên phạm vi và yêu cầu nghiên cứu đề xuất chọn giải pháp sản phẩm IPS 2415 của Cisco để triển khai đánh giá thử nghiệm... bản 2.4.2 Phát hiện dựa theo hành vi bất thường Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng về hoạt động bình thường So sánh các sự kiện quan sát được với giá trị ngưỡng bình thường tương ứng để phát hiện xâm nhập 13 2.4.3 Phát hiện dấu hiệu có hành vi xấu Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công dựa vào các hệ thống) thường . VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Phương Thực
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG
PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/ IPS
Chuyên. pháp phát hiện và phng chống xâm nhập
4
1.4.1 Xác định mối đe dọa
4
1.4.2 Phương pháp phng chống xâm nhập:
4
Chương 2 - HỆ THỐNG PHÁT HIỆN
VÀ PHÒNG
Ngày đăng: 17/02/2014, 08:47
Xem thêm: Nghiên cứu triển khai hệ thống phát hiện và phòng chống xâm nhập IDS PS, Nghiên cứu triển khai hệ thống phát hiện và phòng chống xâm nhập IDS PS