báo cáo an toàn thông tin mạng xây dựng hệ thống ids snort trên nền hệ thống windows server

71 663 4
báo cáo an toàn thông tin mạng xây dựng hệ thống ids snort trên nền hệ thống windows server

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Báo cáo An toàn thông tin mạng Nhóm 20 Trang 1 MỤC LỤC MỞ ĐẦU 4 Lí do chọn đề tài 4 Đối tượng và phương pháp nghiên cứu 4 Mục tiêu nghiên cứu 4 Ý nghĩa thực tiễn của đề tài 5 CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT 6 1.1. Giới thiệu về bảo mật 6 1.2. Khái niệm 6 1.3. Tính an toàn của hệ thống mật 7 1.4. Những nguy cơ đe dọa đối với bảo mật. 8 1.5. Các lỗ hổng loại C 8 1.6. Các lỗ hổng loại B 9 1.7. Các lỗ hổng loại A 9 1.8. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa. 10 1.8.1. Phương thức tấn công hệ thống DNS 10 1.8.2. Phương thức tấn công Virus và Trojan House 10 1.8.3. Phương thức tấn công để thăm dò mạng 10 1.8.4. Phương thức ăn cắp thông tin bằng Packet Sniffer 11 1.8.5. Phương thức tấn công bằng Mail Relay 11 1.8.6. Phương thức tấn công lớp ứng dụng 12 1.9. Các giải pháp bảo mật an toàn cho hệ thống 12 1.9.1. Bảo mật VPN (Virtual Private Network) 12 1.9.2. Firewall 14 1.10. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) 15 CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 17 2.1. Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS 17 2.1.1. Định nghĩa về IDS 17 2.1.2. Kiến trúc và nguyên lý hoạt động IDS 18 2.1.3. Chức năng của IDS 19 Báo cáo An toàn thông tin mạng Nhóm 20 Trang 2 2.2. Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS. 20 2.2.1. Phân loại IDS 20 2.2.2. Network based IDS – NIDS 20 2.2.3. Host based IDS – HIDS 21 2.2.4. Cơ chế hoạt động của IDS 22 2.3. Cách phát hiện kiểu tấn công thông dụng của IDS. 24 2.3.1. Tấn công vào mật mã 24 2.3.2. Tấn công hạ tầng bảo mật 24 2.3.3. Cài đặt mã nguy hiểm 25 2.3.4. Quét và thăm dò 25 2.3.5. Tấn công từ chối dịch vụ 25 2.3.6. Chiếm đặc quyền 26 2.3.7. Hành động phát hoại trên máy móc 26 CHƯƠNG III: TRIỂN KHAI CÁC DỊCH VỤ 27 3.1. Chuẩn bị các gói phần mềm 27 3.2. Cài đặt WinPcap 27 3.3. Cài đặt và cấu hình Snort 27 3.4. Cấu hình Snort để khởi động hệ thống. 34 3.5. Cài đặt và cấu hình MySQL 35 3.6. Tạo cơ sở dữ liệu cho WinIDS 36 3.7. Tạo bảng cho cơ sở dữ liệu của WinIDS 37 3.8. Tạo các xác thực người dùng và truy cập cơ sở dữ liệu của WinIDS 38 3.9. Cài đặt Apache Web Server 40 3.10. Cài đặt và cấu hình PHP 41 3.11. Kiểm tra cài đặt Apache và PHP 41 3.12. Cài đặt ADODB 42 3.13. Cài đặt và cấu hình kiến trúc bảo mật của WinIDS 42 3.14. Thiết lập bảng cơ sở dữ liệu cho WinIDS 43 3.15. Cấu hình đồ họa cho WinIDS 44 3.16. An toàn cho WinIDS 45 3.17. Triển khai thử nghiệm hệ thống 46 Báo cáo An toàn thông tin mạng Nhóm 20 Trang 3 CHƯƠNG IV: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ THỐNG WINDOWS SERVER 48 4.1. Giới thiệu về Snort 48 4.2. Kiến trúc Snort 48 4.3. Thành phần và chức năng của Snort 49 4.3.1. Module giải mã gói tin (Packet Decoder) 50 4.3.2. Module tiền xử lý (Preprocessors) 50 4.3.3. Module phát hiện (Detection Engine) 51 4.3.4. Module log và cảnh báo (Logging and Alerting System) 52 4.3.5. Module kết xuất thông tin (Output Module) 52 4.4. Bộ luật Snort 53 4.4.1. Giới thiệu về bộ luật 53 4.4.2. Cấu trúc luật của Snort 53 4.4.3. Phần Header 54 4.4.4. Phần Option 56 4.5. Các cơ chế hoạt động của Snort 57 4.6. Demo triển khai 58 4.6.1. Mô hình triển khai: 58 4.6.2. Thiết lập bộ luật Snort cảnh báo 58 4.6.3. Triển khai IDScenter 64 TÀI LIỆU THAM KHẢO 70 KẾT LUẬN 71 Báo cáo An toàn thông tin mạng Nhóm 20 Trang 4 MỞ ĐẦU Lí do chọn đề tài An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Trong lĩnh vực an ninh mạng, phát triện và phòng chống tấn công xâm nhập cho cách mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Có rất nhiều giải pháp được đưa ra và để nhằm hạn chế những vấn đề nói trên nhóm chúng em đã chọn đề tài “Xây dựng hệ thống IDS Snort trên hệ thống Windows Server” để nghiên cứu. Đối tượng và phương pháp nghiên cứu - Tìm hiểu về bảo mật - Nghiên cứu những phương pháp xâm nhập hệ thống – biện pháo ngăn ngừa - Nghiên cứu về hệ thống phát hiện xâm nhập IDS - Nghiên cứu công cụ IDS – Snort - Xây dựng hệ thống Snort – IDS trên Window Server - Nghiên cứu và cài đặt Apache, MySQL, WebBase. - Thu thập tài liệu liên quan đến các vấn đề về đề tài Mục tiêu nghiên cứu - Tìm hiểu thông tin về bảo mật - Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS. - Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort - Tìm hiểu và sử dụng tốt hệ điều hành Windows Server - Tìm hiểu phương pháp và triển khai cài đặt IDS Center+Snort, Apache, MySQL, WebBase. - Tìm hiểu, cài đặt cách xây dựng và bổ sung các luật. - Đưa ra một số nhận định và hướng phát triển đề tài. Báo cáo An toàn thông tin mạng Nhóm 20 Trang 5 Ý nghĩa thực tiễn của đề tài - Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập. - Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. Báo cáo An toàn thông tin mạng Nhóm 20 Trang 6 CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT 1.1. Giới thiệu về bảo mật Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm. Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tụ cập nhật… Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng. Những điều ngày dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống. Hệ thống IDS Snort trên hệ thống Windows Server là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng… Từ những vấn đề nêu trên, chúng em chọn đề tài này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống IDS Snort trên hệ thống Windows Server với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng… 1.2. Khái niệm Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tải sản. Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công. Khái niệm bảo mật chia thành 3 lĩnh vực chính: - Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers. Báo cáo An toàn thông tin mạng Nhóm 20 Trang 7 - Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng. - Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet. Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin. 1.3. Tính an toàn của hệ thống mật Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính: - Thông tin – bí mật: Thông tin chỉ cung cấp tới những người một cách chính đáng khi có dự truy nhập hợp pháp tới nó. - Thông tin – toàn vẹn: Thông tin chỉ được điều khiển (sửa đổi, thay thế v,v…) bởi những người được ủy thác. - Thông tin – sẵn sàng: Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu. Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau: - Xác thực (Authentication): là các tiến trình xử lý nhằm xác định nhận dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. - Ủy quyền (Anthorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống - Tính bảo mật (Confidentiality): nhằm đảo bảm dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. - Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền. Báo cáo An toàn thông tin mạng Nhóm 20 Trang 8 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đổi với nhóm được ghép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống. 1.4. Những nguy cơ đe dọa đối với bảo mật. Các nguy cơ an ninh xuất hiện từ những khả năng: - Sự lạm dụng máy tính của bạn bởi những người làm phiền qua Internet. - Đối mặt thường xuyên khi làm việc trên Internet. - Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không hợp lệ… Chính các nguy cơ này làm bộc lộ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hổng) mà kẻ xấu có thể lợi dụng để truy nhập bất hợp pháp hoặc hợp pháp vào máy tính của bạn. Các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là: sự ngưng trệ của dịch vụ, cấp thêm đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống. Hiện nay trên thế giới có nhiều cách phân loại khác nhau về lỗ hổng của hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức độ tác hại hệ thống. 1.5. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp. DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đạp ứng các yêu cầu từ client gửi tới. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một Báo cáo An toàn thông tin mạng Nhóm 20 Trang 9 thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. 1.6. Các lỗ hổng loại B Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tích hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lổ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người dùng sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. 1.7. Các lỗ hổng loại A Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A này đe dọa tính toàn vẹn và bảo mật của hệ thống. Thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Tuy nhiên, không phải bất kì lỗ hổng bảo mật nào cũng nguy hiểm đến hệ thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Dựa vào kẻ hở của các lỗ hổng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm khống chế và nắm quyền kiểm soát trên mạng. Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào Báo cáo An toàn thông tin mạng Nhóm 20 Trang 10 một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi, phá hủy dữ liệu. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ. 1.8. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa. 1.8.1. Phương thức tấn công hệ thống DNS DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng. Biện pháp phát hiện và ngăn ngừa: - Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS - Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS 1.8.2. Phương thức tấn công Virus và Trojan House Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house. Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó. Trojan house thì hoạt động khác hơn. Một ví dụ về Trojan house là một phần mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation. Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. Biện pháp phát hiện và ngăn ngừa: Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới. 1.8.3. Phương thức tấn công để thăm dò mạng Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan. [...]... động trong hệ thống Có 2 dạng chính đó là : Network bases -IDS và Host based -IDS IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an nình của sự kiện cảm biến được cho là đáng báo động Hình 4 Hệ thống xâm nhập IDS Nhóm 20 Trang 15 Báo cáo An toàn thông tin mạng - Hệ thống phát hiện xâm nhập phần mềm (Snort) : Để... Network based IDS – NIDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập Host based IDS – HIDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập 2.2.2 Network based IDS – NIDS Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm... có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như: Cisco IDS 4235, Cisco IPS 4.200 Nhóm 20 Trang 16 Báo cáo An toàn thông tin mạng CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 2.1 Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS 2.1.1 Định nghĩa về IDS Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống phần... phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được HIDS thương được cài đặt trên một máy tính nhất định Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm: - Các tiến trình - Các entry của Registry - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn và truy cập trên hệ thống file... hình Snort để khởi động hệ thống Bước 14: Tại dấu nhắc lệnh của cửa sổ DOS, gõ cd c: \snort\ bin Bước 15: Tại dấu nhắc lệnh, gõ: Snort /SERVICE /INSTALL –c c: \snort\ etc \snort. conf –l c: \snort\ log –K ascii –ix Với x là số hiệu card mạng mà ta đã biết khi sử dụng lệnh snort –W ở bước 8 Nếu nhận được thông báo [SNORT_ SERVICE] Successfully added the Snort service to the Services database thì có nghĩa là Snort. .. vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Các hệ thống phát hiện sự lạm dụng thế hệ đầu... xâm nhập phần mềm (Snort) : Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yêu cầu để có thể cài đặt Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh báo, một máy chủ khá mạng Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất Snort có thể chạy trên các hệ điều hành như window, linux… - Hệ thống phát hiện xâm nhập phần cứng (Cisco):... khả nghi trên hệ thống file sẽ gây ra báo động Nhóm 20 Trang 21 Báo cáo An toàn thông tin mạng Hình 9 Mô hình Host based IDS – HIDS Ưu điểm - Có khả năng xác định user liên quan tới một event - HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này - Có thể phân tích các dữ liệu mã hóa - Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host... thông điệp cảnh Có thể hỗ trợ việc tự sinh thông tin hệ báo nhờ một dấu hiệu chắc chắn, hoặc thống một cách tự động nhưng cần có cung cấp dữ liệu hỗ trợ cho các dấu thời gian và dữ liệu thu thập được phải rõ ràng hiệu khác Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai phương pháp trên trong cùng một hệ thống Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều... - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công - Khi OS bị “hạ” do tấn công, đồng thời HIDS cũng bị “hạ” - HIDS phải được thiết lập trên từng host cần giám sát - HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat,…) - HIDS cần tài nguyên trên host để hoạt động - HIDS có thể không hiệu quả khi bị DOS 2.2.4 Cơ chế hoạt động của IDS Có 2 cách tiếp . phương pháp xâm nhập hệ thống – biện pháo ngăn ngừa - Nghiên cứu về hệ thống phát hiện xâm nhập IDS - Nghiên cứu công cụ IDS – Snort - Xây dựng hệ thống Snort – IDS trên Window Server - Nghiên. những đặc trưng cơ bản của hệ thống IDS Snort trên hệ thống Windows Server với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ. pháp được đưa ra và để nhằm hạn chế những vấn đề nói trên nhóm chúng em đã chọn đề tài Xây dựng hệ thống IDS Snort trên hệ thống Windows Server để nghiên cứu. Đối tượng và phương pháp nghiên

Ngày đăng: 20/04/2015, 08:21

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan