HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN MẠNH ĐOÀN NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS CHO MẠNG DOANH NGHIỆP Chuyên ngành: KỸ THUẬT VIÊN THÔNG Mã số: 60.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI-2014 a Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TS NGUYỄN TIẾN BAN Phản biện 1: PGS TS TRƯƠNG VŨ BẰNG GIANG Phản biện 2: TS ĐẶNG ĐÌNH TRANG Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông b MỞ ĐẦU Trong thời gian gần đây, Internet phát triển mạnh mẽ phục vụ cho tất nhu cầu công việc sống Đi kèm theo phát triển mạnh mẽ yếu tố: tốc độ, chất lượng, bảo mật, đa dạng dịch vụ, Trong bảo mật vần đề quan trọng nhà cung cấp dịch vụ người sử dụng, không cá nhân mà đặc biệt quan trọng nghành mang tính đặc thù yêu cầu bảo mật cao quân sự, ngân hàng, tài chính… Ngay từ Internet đời, vấn đề bảo mật đặt trọng Trải qua trình dài phát triển với nhiều thay đổi, biện pháp bảo mật không ngừng phát triển tiến số lượng chất lượng: Firewall, VPN, mã hóa, phần mềm diệt virus,… Tùy theo yêu cầu bảo mật mối nguy bị công mà có biện pháp bảo mật tương ứng Tuy nhiên để có an toàn mạng cao cần phải biết kết hợp phương pháp bảo mật hiệu Luận văn sâu vào tìm hiểu nghiên cứu hệ thống phát ngăn chặn xâm nhập trái phép IDS/IPS, qua đưa giải pháp sử dụng IDS/IPS hệ thống mạng Đây phương pháp bảo mật quan trọng sử dụng hệ thống mạng IDS/IPS phát ngăn chặn xâm nhập trái phép trường hợp dùng sai quyền, khắc phục vấn đề mà phương pháp khác Firewall hay VPN chưa làm Luận văn chia làm phần: Chương 1: Tổng quan phòng chống xâm nhập mạng Chương 2: Hệ thống phát ngăn chặn xâm nhập trái phép IDS/IPS Chương 3: Xây dựng mô hình hệ thống IDS/IPS sử dụng cho mạng doanh nghiệp Tác giả xin chân thành cảm ơn thầy cô đặc biệt PGS TS NGUYỄN TIẾN BAN nhiệt tình hướng dẫn tác giả hoàn thành luận văn Do thời gian nghiên cứu có hạn, đồng thời kiến thức hạn chế, luận văn không tránh khỏi thiếu sót, tác giả mong thầy cô hướng dẫn dạy thêm Tác giả xin tiếp thu cố gắng hoàn thành tốt luận văn Học viên NGUYỄN MẠNH ĐOÀN CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG 1.1 Những mối đe dọa bảo mật : Trước tìm hiểu phương thức xâm nhập hệ thống phòng chống, cần phân biệt mối đe dọa bảo mật mức độ nghiêm trọng chúng Từ đưa đánh giá xác cách phòng chống cách hợp lý Những mối đe dọa biết đến phân chia dựa theo cấu trúc vị trí công : 1.1.1 Phân loại theo cấu trúc: 1.1.1.1 Những mối đe dọa cấu trúc: Những mối đe dọa cấu trúc gây kẻ công có khả lập trình hầu hết sử dụng công cụ hack script cung cấp Internet 1.1.1.2 Những mối đe dọa có cấu trúc: Những mối đe dọa có cấu trúc biết đến hành động cố ý, có động kỹ thuật cao Những kẻ công có trình độ kỹ để lập trình tạo cộng cụ mới, sử dụng kỹ thuật hack phức tạp đại chỉnh sửa sử dụng công cụ theo mong muốn chúng 1.1.2 Phân loại theo vị trí công: 1.1.2.1 Những mối đe dọa từ bên ngoài: Đây mối đe dọa phổ biến, công gây kẻ quyền hệ thống mục tiêu thông qua Internet Những mối đe dọa loại thường doanh nghiệp đặc biệt ý đề phòng 1.1.2.2 Những mối đe dọa từ bên trong: Khi kẻ công có một vài quyền hệ thống thực công từ khu vực tin cậy mạng ta gọi công từ bên 1.2 Các phương thức xâm nhập phòng chống: 1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS): Tấn công từ chối dịch vụ thường chia làm hai loại chính: DoS DDoS(Distributed Denial of Service) 1.2.1.1 DoS: DoS công từ người nhóm người nhằm làm tê liệt hệ thống bị công, làm cho người dùng truy xuất liệu hay thực công việc nào.DoS không cho phép ủy quyền truy cập đến máy liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống dịch vụ 1.2.1.2 DDoS: DDoS tiến hành từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng BOT NET Đây dạng công nguy hiểm khó phát sinh từ nhiều địa Internet Khi công DdoS xảy ra, khó ngưng lại Firewall ngăn chặn gói liệu đến dễ dàng tràn ngập kết nối Internet Một số phương pháp phòng chống công DDoS : - Phòng ngừa điểm yếu ứng dụng: Hacker lợi dụng điểm yếu tầng ứng dụng để gây lỗi tràn đệm dẫn đến dịch vụ bị chấm dứt Các lỗi chủ yếu thường tìm thấy ứng dụng mạng nội Windows, chương trình Web, DNS,… Chính cập nhật vá yêu cầu quan trọng cho việc phòng ngừa - Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng - Giới hạn số lượng kết nối từ nguồn cụ thể tới server - Phát ngăn chặn công tới hạn tố độ thiết lập kết nối: Có thể áp dụng lọc để giới hạn số lượng kết nối trung bình Bộ lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng 1.2.2 Sniffers: Sniffers chương trình hay thiết bị có khả đón bắt lại thông tin quan trọng từ giao thông mạng đến địa riêng với mục đích tích cực tiêu cực Chúng ta ngăn ngừa xâm phạm trái phép sử dụng sniffers cách sau : Authentication: Kỹ thuật xác thực thưc bao gồm hai yếu tố: personal - identification number(PIN) token card để xác thực thiêt bị phần mềm ứng dụng Dùng switch thay dùng bridge, hup nhằm hạn chế gói broadcast - mạng làm giảm ảnh hưởng sniffers ngăn chặn hoàn toàn sniffers Mã hóa: mã hóa tất thông tin mạng, hacker dùng sniffers - bắt gói liệu mã hóa 1.2.3 Port scan: Scan port la phương pháp thường thực trực tiếp host mạng nhằm mục đích nhận biết dịch vụ mà host cung cấp Hacker dựa thông tin thu nhận để tìm cách công, khai thác vào server Để hạn chế khắc phục loại công này, sử dụng Firewall IDS/IPS nhằm phát hiện, cảnh báo, ngăn chặn thăm dò sau xâm nhập mạng 1.2.4 ARP Spoofing ARP giao thức lớp 2, chức dùng để định vị host segment mạng cách phân giải địa IP địa MAC.ARP thực điều thông qua tiến trình broadcast gói tin đến tất host mạng, gói tin chứa địa IP host cần giao tiếp Các host mạng nhận gói tin host có địa IP trùng với địa IP gói tin trả lời lại, lại tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu giao thức xác thực gửi gói tin ARP, tức gửi gói tin Người công giả gói tin ARP reply với địa IP máy mạng địa MAC lại giả MAC máy công Như máy nạn nhân nhận gói tin giả tưởng nhầm đối tác có địa MAC người công gửi đến dẫn đến sai lệch việc gửi/nhận thông tin 1.3 Nhu cầu sử dụng IDS/IPS 1.3.1 Tổng quan phương pháp bảo mật an ninh mạng: 1.3.1.1 Firewall: Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy nhập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall hệ thống phần cứng, phần mềm kết hợp hai Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên cấm truy nhập từ bên tới số địa định Internet Firewall chuẩn gồm hay nhiều thành phần sau : • Bộ lọc packet (packet- filtering router) • Cổng ứng dụng (application-level gateway hay proxy server) • Cổng mạch (circuite level gateway) 1.3.1.2 An toàn thông tin mật mã: Mật mã ngành khoa học chuyên nghiên cứu phương pháp truyền thông tin bí mật Mật mã bao gồm: lập mã phá mã Lập mã bao gồm hai trình: mã hóa giải mã Để bảo vệ thông tin đường truyền, thông tin biến đổi từ dạng nhận thức sang dạng không nhân thức trước truyền mạng, trình gọi mã hóa thông tin(encryption) Ở đích đến thông tin biến đổi ngược lại trình mã hóa, gọi trình giải mã 1.3.1.3 VPN: Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi giống kết nối “point-topoint” mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ lịêu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dung khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) 1.3.2 Hệ thống phát ngăn chặn xâm nhập trái phép IDS/IPS: Các phương pháp nhằm đảm bảo an toàn cho thông tin mạng hệ thống kể có ưu điểm nhiệm vụ định Tuy nhiên câu hỏi đặt làm để phát công, dùng sai quyền hạn hệ thống? IDS/IPS giải pháp hợp lý câu trả lời cho câu hỏi 1.4 Kết luận Chương luận văn nêu tổng quan phòng chống xâm nhập mạng: mối đe dọa bảo mật, phương thức xâm nhập phòng chống xâm nhập phổ biến (DoS, Sniffers, Port Scan, ARP Spoofing) Đồng thời tác giả nêu khái quát phương pháp bảo mật an ninh mạng nay: Fire wall, VPN, mã hóa…, qua đưa nhu cầu cấp thiết việc sử dụng hệ thống IDS/IPS CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP IDS/IPS 2.1 Khái niệm phát xâm nhập ngăn chặn xâm nhập: Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu xâm nhập bất hợp pháp Xâm nhập bất hợp pháp định nghĩa cố gắng tìm cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính tin cậy cố gắng vượt qua chế bảo mật hệ thống máy tính hay mạng Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hoàn hảo – báo động giả làm giảm suất người dùng cuối từ chối sai tạo rủi ro mức bên môi trường Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP-Intrusion Detection and Prevention Luận văn sâu vào nghiên cứu hệ thống phát ngăn chặn xâm nhập trái phép IDS/IPS(IDP) Nội dung chương trình bày theo phần chính: Intrusion Detection Intrusion Prevention 2 IDS (Intrusion Detection System- hệ thống phát xâm nhập) Hệ thống phát xâm nhập trái phép ứng dụng phần mềm chuyên dụng để phát xâm nhập vào hệ thống mạng cần bảo vệ IDS thiết kế với mục đích thay phương pháp bảo mật truyền thống, mà để hoàn thiện 2.1 Chức năng: Chức quan trọng là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Chức mở rộng: Phân biệt: công bên công bên Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline 2.2 Phân loại: Có loại IDS Network Based IDS(NIDS) Host Based IDS (HIDS): a Host Based IDS (HIDS) Bằng cách cài đặt phần mềm tất máy tính chủ, HIDS dựa máy chủ quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dõi OS, gọi hệ thống, lịch sử sổ sách (audit log) thông điệp báo lỗi hệ thống máy chủ Lợi HIDS: Có khả xác đinh user liên quan tới event HIDS có khả phát công diễn máy, NIDS khả Có thể phân tích liệu mã hoá Cung cấp thông tin host lúc công diễn host Hạn chế HIDS: Thông tin từ HIDS không đáng tin cậy công vào host thành công Khi OS bị "hạ" công, đồng thời HIDS bị "hạ" HIDS phải thiết lập host cần giám sát HIDS khả phát dò quét mạng (Nmap, Netcat…) HIDS cần tài nguyên host để hoạt động HIDS không hiệu bị DOS Đa số chạy hệ điều hành Window Tuy nhiên có số chạy UNIX hệ điều hành khác b Network Base IDS (NIDS) Hình2.1 NIDS Hệ thống NIDS dựa mạng sử dụng dò cảm biến cài đặt toàn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIDS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát công hay không Lợi Network-Based IDS: - Quản lý network segment (gồm nhiều host) - "Trong suốt" với người sử dụng lẫn kẻ công - Cài đặt bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mô hình OSI) - Độc lập với OS Hạn chế Network-Based IDS: - Có thể xảy trường hợp báo động giả (false positive), tức intrusion mà NIDS báo có intrusion - Không thể phân tích traffic encrypt (vd: SSL, SSH, IPSec…) - NIDS đòi hỏi phải cập nhật signature để thực an toàn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Không cho biết việc attack có thành công hay không.Một hạn chế giới hạn băng thông Những dò mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng 2.3 Kiến trúc nguyên lý hoạt động: IDS/IPS bao gồm thành phần chính: • Thành phân thu thập gói tin • Thành phần phát gói tin • Thành phần xử lý gói tin a Thành phần thu thập gói tin: Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thông thường gói tin có địa đích card mạng bị card mạng hủy bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng chụp, xử lý, phân tích đến trường thông tin Bộ thu thập gói tin đọc thông tin trường gói tin, xác định chúng thuốc kiểu gói tin nào, dịch vụ gì…Các thông tin chuyển đến thành phần phát b Thành phần phát gói tin: Bộ cảm biến đóng vai trò định thành phần Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thông tin sách lưu hệ thống bảo vệ bên Trong trường hợp đó, ví dụ luồng liệu kiện truyền tải trực tiếp đến phân tích mà lưu liệu thực 10 Phương thức phát ™ Misuse – based system Hệ misuse-based phân chia thành hai loại dựa sở liệu kiểu công, knowledge-based signature-based Misuse-based system với sở liệu knowledge-based lưu thông tin dạng công Dữ liệu kiểm kê thu thập IDS để so sánh với nội dung sở liệu, thấy có giống tạo cảnh báo Sự kiện không trùng với dạng công coi hành động đáng Tiếp theo hệ signature-based, hệ sử dụng định nghĩa trừu tượng để mô tả công gọi dấu hiệu Dấu hiệu bao gồm nhóm thông tin cần thiết để mô tả kiểu công Ví dụ hệ network IDS lưu trữ sở liệu nội dung gói tin có liên quan đến kiểu công biết Thường dấu hiệu lưu dạng cho phép so sánh trực tiếp với thông tin có chuỗi kiện Trong trình xử lý, kiện so sánh với mục file dấu hiệu, thấy có giống hệ tạo cảnh báo ™ Anomaly – based system Anomaly–based system dựa giả thiết hành động không bình thường có ý đồ xấu, trước tiên hệ cần xây dựng mẫu hành động bình thường hệ thống xác định hành động không bình thường (như hành động không phù hợp với mẫu hành động cho) c Thành phần phản hồi: Khi có dấu hiệu công xâm nhập, thành phần phát công gửi tín hiệu báo hiệu có công thâm nhập đến thành phần phản ứng - Khi thành phần phản ứng kích hoạt tường lửa thực chức ngăn chặn công, hay cảnh báo tới người quản trị: - Cảnh báo thời gian thực: gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng - Ghi lại vào tập tin: Các dứ liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho module phát công hoạt động - Hỗ trợ Firewall: Thông báo cho tường lửa ngăn chặn, từ chối, xóa bỏ thay đổi nội dung gói tin 11 IPS IPS có hai chức phát công chống lại công Phần lớn hệ thống IPS đặt vành đai mạng, đủ khả bảo vệ tất thiết bị mạng 3.1 Kiến trúc chung hệ thống IPS: • Module phân tích luồng liệu: • Modul phát công: • Modul phản ứng Khi có dấu hiệu công thâm nhập, modul phát công gửi tín hiệu báo hiệu có công thâm nhập đến modul phản ứng Lúc modul phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị Tại modul này, đưa cảnh báo tới người quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Modul phản ứng tùy theo hệ thống mà có chức nǎng phương pháp ngǎn chặn khác Dưới số kỹ thuật ngǎn chặn: - Kết thúc tiến trình: Cơ chế kỹ thuật hệ thống IPS gửi gói tin nhằm phá huỷ tiến trình bị nghi ngờ Tuy nhiên phương pháp có số nhược điểm Thời gian gửi gói tin can thiệp chậm so với thời điểm tin tặc bắt đầu công, dẫn đến tình trạng công xong bắt đầu can thiệp - Huỷ bỏ công: Kỹ thuật dùng tường lửa để hủy bỏ gói tin chặn đường gói tin đơn, phiên làm việc luồng thông tin công Kiểu phản ứng an toàn lại có nhược điểm dễ nhầm với gói tin hợp lệ - Thay đổi sách tường lửa: Kỹ thuật cho phép người quản trị cấu hình lại sách bảo mật công xảy Sự cấu hình lại tạm thời thay đổi sách điều khiển truy nhập người dùng đặc biệt cảnh báo tới người quản trị - Cảnh báo thời gian thực: Gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng - Ghi lại vào tệp tin: Các liệu gói tin lưu trữ hệ thống tệp tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho modul phát cônghoạtđộng 12 3.2 Các kiểu hệ thống IPS Có hai kiểu kiến trúc IPS IPS luồng IPS luồng a) IPS luồng: Hệ thống IPS luồng không can thiệp trực tiếp vào luồng liệu Luồng liệu vào hệ thống mạng qua tường lửa IPS IPS kiểm soát luồng liệu vào, phân tích phát dấu hiệu xâm nhập, công b)IPS luồng Vị trí IPS nằm trước tường lửa, luồng liệu phải qua IPS trước tới tường lửa 2.4 Cách phát ngăn chặn kiểu công thông dụng hệ thống IDS/IPS ™ Denial of Service attack (Tấn công từ chối dịch vụ) Giải pháp IDP: Một firewall dạng proxy hiệu để ngăn chặn gói tin không mong muốn từ bên ngoài, nhiên Network IDS phát công dạng gói tin ™ Scanning Probe (Quét thăm dò) Giải pháp IDP: Network-based IDP phát hành động nguy hiểm trước chúng xảy Yếu tố “time-to-response” quan trọng trường hợp để chống kiểu công trước có thiệt hại Host-based IDS có tác dụng kiểu công này, không hiệu giải pháp dựa mạng ™ Password attack (Tấn công vào mật mã) Giải pháp IDP: Một Network-based IDP phát ngăn chặn cố gắng đoán mã (có thể ghi nhận sau số lần thử không thành công), hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chương trình bẻ khóa Trong Host-based IDP lại có hiệu việc phát việc đoán mật mã phát truy nhập trái phép tới file chứa mật m㠙 Privilege-grabbing (Chiếm đặc quyền) Giải pháp IDP: Cả Network Host-based IDP xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDP tìm kiếm người dùng đặc quyền đột 13 nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDP ngừng hành động Ngoài hành động chiếm đặc quyền hệ điều hành ứng dụng định nghĩa tập dấu hiệu công Networkbased IDP nhằm ngăn chặn việc công xảy ™ Hostile code insertion (Cài đặt mã nguy hiểm) Giải pháp IDP: Cài đặt phần mềm bảo mật có tác dụng chống virus đoạn mã nguy hiểm lên gateway, server workstation phương pháp hiệu để giảm mức độ nguy hiểm Các file quan trọng quản lý Host IDP đảm bảo chương trình file quan trọng hệ điều hành không bị điều khiển Kết hợp với kiện khác, IDP xác định cố gắng cài đoạn mã nguy hiểm, ví dụ phát định thay chương trình ghi log backdoor Network-based IDP thị để quản lý hệ thống file ảnh cho mục đích kiểm tra tính toàn vẹn ™ Cyber vandalism (Hành động phá hoại máy móc) Giải pháp IDP: Đối với giải pháp Host-based IDP, cài đặt cấu hình cẩn thận xác định tất vấn đề liên quan đến cyber vandalism Ví dụ thay đổi trang web ghi lại biên kiểm kê thiết bị mà trang web nằm Không cấu hình để quản lý thay đổi trang web, Host-based IDP thực hành động đối phó, hành động Security Administrator cấu hình Network-based IDP sử dụng dấu hiệu công định nghĩa trước để phát xác việc truy nhập trái phép vào hệ điều hành, ứng dụng xóa file thay đổi trang web ™ Proprietary data theft (Ăn trộm liệu quan trọng) Giải pháp IDP: Mô hình Host-based IDP thực việc quản lý liệu quan trọng phát file bị chép bất hợp pháp Trong số trường hợp IDP dựa vào biên hệ điều hành, nhiều trường hợp việc ghi biên có chứa nhiều overhead (như với Winddows NT) Trong trường hợp đó, Host-based IDP cần phải thực việc quản lý riêng biệt với file quan trọng Còn Network-based IDP chỉnh sửa để quản lý việc truy nhập vào file quan trọng xác định việc truyền thông có chứa key word Trong số trường hợp khó phát host nghe trộm mạng, phần mềm IDP host 14 phát host bị đặt trạng thái ngẫu nhiên nghe trộm việc tuyền thông ™ Fraud, waste, abuse (Gian lận, lãng phí lạm dụng) Giải pháp IDP: Network-based IDP thay đổi nhằm ngăn URL, nhiên chương trình chuyên dụng để ngăn URL có liên hệ với firewall hoạt động hiệu hơn, trì danh sách URL động sách lạm dụng dựa USERID Host-based IDP thực thi sách công ty đặt ra, truy nhập trái phép sửa đổi file hệ thống phát thông qua host-based IDP network-based IDP Bất thay đổi lâp tức ghi biên hệ thống, agent dễ dàng theo dõi hành động ™ Audit trail tampering (Can thiệp vào biên bản) Giải pháp IDP: Host-based IDP agent quản lý việc can thiệp vào biên (xóa, ngừng hay sửa đổi) thực hành động phù hợp Network-based IDP cung cấp ngữ cảnh cần thiết để phát audit trail bị truy nhập hay sửa đổi ™ Security infrastructure attack (Tấn công hạ tầng bảo mật) Giải pháp IDP: Các hành động quản trị mạng thường đăng nhập vào audit trail host hay router node lựa chọn mạng SYSLOG UNIX Hostbased IDP bắt giữ đăng nhập mà thực hành động đưa thêm tài khoản có đặc quyền, hay router firewall bị thay đổi cách đáng nghi Còn network-based IDPcó thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng 2.5 Kết luận Trong chương 2, tác giả đưa khái niệm chi tiết cụ thể xâm nhập trái phép, phát ngăn chặn xâm nhập trái phép Các hệ thống phát ngăn chặn xâm nhập trái phép trình bày cụ thể cấu trúc, chức năng, vị trí nguyên tắc hoạt động nhằm đưa nhìn trực diện rõ ràng 15 CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG IDS/IPS CHO MẠNG DOANH NGHIỆP 3.1 Giới thiệu giải pháp ngăn chặn phòng chống xâm nhập : Có thể phân chia giải pháp ngăn chặn phòng chống xâm nhập trái phép làm dạng chính: giải pháp phần mềm, giải pháp phần cứng 3.1.1 Giải pháp phần mềm: Tiêu biểu cho giải pháp phần mềm Snort Snort hệ thống phát xâm nhập mạng mã nguồn mở miễn phí Dữ liệu thu thập phân tích Snort Sau đó, Snort lưu trữ liệu sở liệu MySQL cách dùng output plugin Web server Apache với ACID, PHP, thư viện GD PHPLOT biểu diễn liệu trình duyệt người dùng kết nối đến server Người dùng có tạo nhiều kiểu truy vấn khác để phân tích liệu Snort chủ yếu IDS dựa luật, nhiên input plug-in tồn để phát bất thường header giao thức Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp luật để bắt giữ liệu Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập quản trị viên thêm vào luật 3.1.2 Giải pháp phần cứng: Giải pháp phần cứng đa dạng với sản phẩm hãng tiếng như: Cisco, ISS, … Tuy nhiên Luận văn giới thiệu sản phẩm Cisco sử dụng chúng trình mô Một số dòng sản phẩm IPS Cisco bật như: Cisco IPS 4200 Series Sensors: Catalyst 6500 Cisco ASA 5500 Series Kiến trúc phần mềm IPS Cisco: Phần mềm cảm biến Cisco chạy tất tảng cảm biến, cung cấp khả phân tích lưu lượng, phát xâm nhập, chức quản lý thiết bị Như nêu cuối chương 2, có nhiều cách tiếp cận khác để phân tích lưu lượng truy 16 cập Trong cách đó, sản phẩm Cisco chủ yếu sử dụng phương pháp phân tích Signature để phân tích lưu lượng, sở liệu sản phẩm lớn thường xuyên cập nhật để phát ngăn chặn công mạng Các công cụ hỗ trợ phân tích đơn giản linh hoạt sáng tạo nhằm đạt hiệu lớn hạn chế báo động sai Các sản phẩm IPS Cisco hỗ trợ phương pháp phân tích dựa bất thường tính xác minh giao thức, kiểm tra lưu lượng mạng dựa tuân thủ giao thức Người quản trị tự cấu hình ngưỡng lưu lượng để phát công Lưu lượng kiểm tra thông qua cảm biến IPS Cisco theo bước sau : Đầu tiên cảm biến IPS Cisco áp dụng tiền xử lý cho lưu lượng vào cảm biến Cảm biến ảo thích hợp chọn sở giao diện lưu lượng VLAN truy cập vào cảm biến IPS lọc, chặn truy cập vào địa IP bị đánh cắp " zombie" mạng Lưu lượng truy cập từ địa IP xấu bị từ chối Lưu lượng kiểm tra theo thông tin có liệu theo phương pháp Signature Phát bất thường lưu lượng giao thức ( kích hoạt cảm biến IPS ) Kiểm tra mối tương quan toàn cầu làm tăng khả đánh giá rủi ro kiện, cho phép chặn nguy mà không cần dấu hiệu tiêu cực Cảm biến áp dụng hành động phù hợp với lưu lượng bước cuối phân tích lưu lượng xử lý Kết từ vài dấu hiệu định hành động cảm biến 3.2 Xây dựng mô hình IDS/IPS cho mạng doanh nghiệp: Như trình bày chương 1, IDS/IPS giải pháp bảo mật riêng biệt nhằm thay giải pháp bảo mật truyền thống mà giải pháp kết hợp cách hợp lý nhằm tăng cường nâng cao khả bảo mật 17 Một hệ thống bảo mật bao gồm nhiều thành phần bảo mật tùy thuộc vào yếu tố: quy mô, mô hình hệ thống cần bảo mật, mục đích, yêu cầu cụ thể hệ thống, thiết bị sử dụng hệ thống … Bên cạnh việc quan tâm đến mô hình hệ thống thiết bị bảo mật khác hệ thống, cần hiểu rõ loại IDS/IPS vị trí chúng mạng nêu chi tiết chương Tóm lại, để xây dựng mô hình IDS/IPS nói riêng mô hình bảo mật nói chung cho hệ thống mạng cần phải có hiểu biết sâu , rộng mô hình mạng, thiết bị mạng, thiết bị bảo mật, cần phải có kết hợp hài hòa thiết bị kể Trong chương này, tác giả xin phép đưa mô hình thể giải pháp bảo mật cho công ty chứng khoán có sử dụng IDS/IPS Năm phân vùng mô hình bảo mật tổng thể là: ¾ Vùng mạng LAN bên nhà công ty Chứng khoán, vùng bao gồm: o Mạng LAN PC khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài chính, môigiới mua bán chứng khoán o Hệ thống tổng đài IP phục vụ liên lạc công ty Chứng khoán ¾ Vùng máy chủ DMZ cung cấp dịch vụ trực tuyến truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC… ¾ Vùng máy chủ sở liệu ứng dụng quan trọng vận hành hệ thống quản lý giao dịch chứng khoán ¾ Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng công ty, vùng bao gồm: o Nhân viên công ty chứng khoán hoạt động trung tâm GDCK Hà Nội Hồ Chí Minh truy cập VPN (Client to Site) mạng công ty o Các nhà đầu tư truy cập vào Web site dịch vụ chứng khoán trực tuyến (Online Brokerage, Online OTC) công ty 18 ¾ Vùng đại lư, chi nhánh công ty kết nối VPN Site to Site WAN vào hệ thống mạng công ty Đây vùng kết nối mạng thông tin từ công ty Chứng khoán tới mạng Ngân hàng toán, lưu kí tương lai Hầu hết doanh nghiệp có nhu cầu bảo mật, đăc biệt tình trạng nay, có nhiều công nhằm vào doanh nghiệp nhà nước tư nhân Không nhiều doanh nghiệp bị ảnh hưởng hệ thống mạng sở liệu bị xâm nhập công Rất khó để đưa mô hình bảo mật chung cho doanh nghiệp, vi chương này, tác giả xin phép đưa mô hình thể giải pháp bảo mật cho công ty chứng khoán có sử dụng IDS/IPS.Lý tác giả lựa chọn công ty chứng khoán yêu cầu bảo mật công ty chứng khoán cao có đầy đủ hầu hết vị trí cần bảo mật doanh nghiệp khác, việc lựa chon mô hình bảo mật doanh nghiệp khác sử dụng mô hình bảo mật công ty chứng khoán để tham khảo Để đảm bảo an toàn cho kết nối, trao đổi thông tin ngăn chặn công từ bên trong bên mạng, giải pháp bảo mật tổng thể đề xuất sau: ™ Phân tách vùng mạng bảo vệ hệ thống Firewall Mạng phạm vi nhà công ty chia làm ba vùng chính: • Vùng DMZ gồm Server cho dịch vụ trực tuyến Web site, Email, ứng dụng Online Brokerage, Online OTC… • Vùng Server sở liệu ứng dụng quan trọng BackOffice, CSDL khách hàng, giao dịch, lưu kí… Đây vùng Servers vận hành toàn hệ thống phần mềm CSDL liên quan tới giao dịch mua bán chứng khoán • Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ hệ thống thông tin IP Các vùng mạng quy hoạch dải IP riêng biệt Hệ thống Firewall kiểm soát luồng liệu qua bao gồm: Truy cập từ Internet vào vùng dịch vụ trực tuyến, người dùng mạng LAN truy cập Internet qua đường LeasedLine, ADSL Wireless, người dùng mạng LAN truy cập vào vùng Server ứng dụng sở liệu Firewall kiểm soát, xác thực ngăn chặn truy cập không hợp lệ, công hacker từ Internet trực tiếp xuất phát từ bên 19 mạng vào vùng servers Cụ thể hệ thống tường lửa mô hình, tác giả đề xuất sử dụng tường lửa hãng khác nhau: firewall router(Gateway) tích hợp thiết bị ASA5520-BUN-K9 firewall2 sử dụng firewall Juniper SSG 520 Việc sử dụng firewall đảm bảo mô hình bảo mật phân tách mạng làm phân đoạn mạng : Internet, DMZ, khu vực liệu quan trọng Firewall1 có nhiệm vụ quản lý lưu lượng truy cập mạng khu vực Internet DMZ, thiết bị ASA5520-BUN-K9 hỗ trợ tích hợp gateway IPSec VPN Firewall Juniper SSG 520 có nhiệm vụ kiểm soát yêu cầu truy nhập từ khu vực LAN bên Internet (thông qua DMZ) vào khu vực database application server Sử dụng firewall hãng khác làm đa dạng khả bảo mật mô hình mạng ™ Thiết lập bảo vệ kết nối VPN Với mô hình kết nối VPN Site to Site, chi nhánh đại lý sử dụng thiết bị Firewall VPN chuyên dụng Thiết bị có đầy đủ tính Firewall thiết lập kênh kết nối Site to Site qua đường Leaseline ADSL Với mô hình này, hệ thống VPN Server Headquater tự động xác thực đầu thiết bị kiểm tra tính an toàn trước cho phép thiết lập kênh kết nối Mô hình Client to Site áp dụng cho nhân viên công ty làm việc TTGDCK thiết lập kênh kết nối qua Internet, dial-up hỗ trợ xác thực người dùng nhiều phương thức Certificate, Token, Smartcard… trước cho phép kết nối Kết nối VPN thực thông qua gateway tích hợp IPSec VPN tường lửa ASA5520-BUN-K9 Cisco Ngoài ASA5520-BUN-K9 có chức cân tải nâng cao khả điều khiển lưu lượng Cisco ASA 5520 cung cấp loạt dịch vụ an ninh với tính sẵn sàng cao kết nối Gigabit Ethernet cho mạng doanh nghiệp vừa nhỏ, hiệu suất cao Sử dụng giao diện Ethernet Gigabit hỗ trợ lên đến 25 VLAN, doanh nghiệp dễ dàng triển khai dịch vụ an ninh thành nhiều khu vực hệ thống ™ Thiết lập hệ thống phòng chống xâm nhập cho vùng thông tin quan trọng 20 Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ sở liệu máy chủ ứng dụng quan trọng hoạt động trao đổi thông tin công ty chứng khoán Nếu máy chủ bị công có cố, hoạt động kinh doanh công ty bị ảnh hưởng trực tiếp Do bên cạnh hệ thống Firewall bảo vệ hạ tầng network công ty, thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng Server ứng dụng Khác với Network Firewall, hệ thống IPS phát ngăn chặn xâm nhập tầng ứng dụng, can thiệp trực tiếp vào protocols, traffice mà hệ thống Firewall không phát Hệ thống phải đảm bảo tốc độ xử lý để không làm nghẽn luồng thông tin trao đổi với mật độ cao IPS cho phép ngăn chặn trước công chưa biết công biết DoS, trojan, peer to peer download, backdoor, malicious http file đính kèm e-mail mà không ảnh hưởng đến hoạt động mạng Đặc biệt, thiết bị IPS có khả phân tích nhận dạng giao thức sử dụng VoIP SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 SCCP để xác định công Thiết bị đặt trước vùng Server farm bảo vệ cho vùng, kiểm soát toàn yêu cầu truy cập liệu mức Network mức ứng dụng Server Cơ sở liệu mẫu công (attacking Signatures) hệ thống update theo thời gian thực, đảm bảo ngăn chặn tối đa công xảy Cisco ASA 5520 tích hợp IDS/IPS nên sử dụng để cài đặt IPS cho khu vực DMZ nhằm phát dấu hiệu công vào khu vực này.Thiết bị IPS đề xuất sử dụng khu vực database application server Cisco IPS 4270 Sensor với đầy đủ chức HIPS: phát ngăn chặn xâm nhập trái phép , bên cạnh phù hợp cho quy mô bảo mật doanh nhiệp chứng khoán ™ Ngăn chặn công Virus Gateway vùng mạng Các đường mà virus công bùng phát vào mạng công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên mạng đặc biệt qua email Để có hệ thống phòng chống có hiệu cao cần phòng chống Virus Spyware lớp mạng : gateway, mailserver, server, PCs Hệ thống phải quản lý tập trung, thống luôn 21 cập nhật mẫu Virus Spyware từ trung tâm phòng chống Virus Spyware lớn giới Ngoài cần phải có sách bảo mật chung kết hợp với giải pháp bảo mật khác để phòng chống Virus Spyware hiệu 3.3 Kết luận Chương giới thiệu số giải pháp phát ngăn chặn xâm nhập: Snort( phần mềm), sản phẩm phần cứng Cisco, ISS…Bên cạnh tác giả trình bày giải pháp sử dụng IDS/IPS hệ thống bảo mật trường hợp cụ thể(hệ thống an toàn thông tin công ty chứng khoán) Nhằm làm tăng thêm tính thực tế rõ ràng, tác giả trình bày phần mô hệ thống IDS/IPS(của Cisco) GNS3 phần mục lục cuối luận văn 22 KẾT LUẬN Chúng ta thấy có biện pháp bảo mật hoàn hảo toàn vẹn giải hết tất vấn đề bảo mật mạng máy tính Để có an toàn cao cho mạng máy tình cần phải sử dụng hệ thống bảo mật bao gồm nhiều biện pháp bảo mật phải biết kết hợp chúng cách hợp lý hiệu Luận văn tìm hiểu sâu vào nghiên cứu IDS/IPS trình bày khái niệm , đăc điểm, cấu trúc, chức giải pháp để sử dụng IDS/IPS cách hiệu nhất, đồng thời tác giả mô IDS/IPS Cisco thông qua GNS3 nhằm đưa nhìn trực quan IDS/IPS IDS/IPS biện pháp hiệu nhằm phát ngăn chặn xâm nhập trái phép dùng sai quyền IDS/IPS lựa chọn phù hợp muốn phòng chống Dos để bảo vệ server ứng dụng liệu quan trong vùng DMZ Bên cạnh biện pháp bảo mật khác như: Firewall , VPN,…thì IDS/IPS biện pháp thiếu hệ thống an ninh mạng Tùy vào mô hình mạng yêu cầu bảo mật mà có phương pháp sử dụng IDS/IPS cho hợp lý hiệu Luận văn tảng cho nghiên cứu hệ thống an ninh mạng nói chung hệ thống ngăn chặn xâm nhập nói riêng 23