Báo cáo Xây dựng hệ thống giám sát hoạt động của mạng máy tính dựa vào phần mềm nguồn mở (Phần 1)

Nội dung text: Báo cáo Xây dựng hệ thống giám sát hoạt động của mạng máy tính dựa vào phần mềm nguồn mở (Phần 1)

1. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH CÔNG TRÌNH NGHIÊN CỨU KHOA HỌC CẤP TRƯỜNG XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ÐỘNG CỦA MẠNG MÁY TÍNHS K C 0 0 3 9 5 9 DỰA VÀO PHẦN MỀM NGUỒN MỞ MÃ SỐ: T2013-45 S KC 0 0 5 4 4 0 Tp. Hồ Chí Minh, 2013
2. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH BÁO CÁO TỔNG KẾT ĐỀ TÀI KH&CN CẤP TRƯỜNG XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ĐỘNG CỦA MẠNG MÁY TÍNH DỰA VÀO PHẦN MỀM NGUỒN MỞ Mã số: T2013-45 Chủ nhiệm đề tài: ThS. Huỳnh Nguyên Chính TP. HCM, 11/2013
3. TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO TỔNG KẾT ĐỀ TÀI KH&CN CẤP TRƯỜNG XÂY DỰNG HỆ THỐNG GIÁM SÁT HOẠT ĐỘNG CỦA MẠNG MÁY TÍNH DỰA VÀO PHẦN MỀM NGUỒN MỞ Mã số: T2013-45 Chủ nhiệm đề tài: ThS. Huỳnh Nguyên Chính TP. HCM, 11/2013
4. i MỤC LỤC MỞ ĐẦU 1 Chương 1. TỔNG QUAN 4 1.1 Tổng quan về bảo mật hệ thống mạng máy tính 4 1.2 Phân loại các lỗ hổng bảo mật 5 1.3 Các công cụ phát hiện lỗ hổng mạng 6 1.4 Các kiểu tấn công mạng 6 1.5 Các giải pháp phát hiện và phòng chống tấn công mạng 8 Chương 2. HỆ THỐNG PHÁT HIỆN & PHÒNG CHỐNG XÂM NHẬP 11 2.1 Vai trò của IDS/IPS trong hệ thống mạng 11 2.1.1 Lịch sử phát triển 11 2.1.2 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng 11 2.2 Đặc điểm của hệ thống IDS/IPS 12 2.2.1 Kiến trúc của hệ thống phát hiện xâm nhập (IDS) 12 2.2.2 Các cách triển khai hệ thống IDS/IPS 15 2.2.3 Khả năng phát hiện và phòng chống xâm nhập mạng của hệ thống IDS/IPS 17 2.3 Hệ thống giám sát lưu lượng, thiết bị và dịch vụ 18 2.4 Hệ thống báo động 19 2.5 SNMP và hệ thống giám sát mạng 20 Chương 3. CÁC CÔNG CỤ NGUỒN MỞ HỖ TRỢ PHÁT HIỆN & PHÒNG CHỐNG XÂM NHẬP MẠNG 22 3.1 Giới thiệu 22 3.2 Đặc điểm của Snort 23 3.3 Phân tích các vấn đề của Snort và khả năng triển khai 26 3.3.1 Lợi ích của Snort 26 3.3.2 Đánh giá tập luật của Snort 27
5. ii 3.5 Hệ thống giám sát trạng thái hoạt động các thiết bị và dịch vụ - Nagios 28 3.6 Hệ thống giám sát lưu lượng - Cacti 32 3.7 Hệ thống báo động qua SMS - Gnokii 36 Chương 4. PHÁT TRIỂN ỨNG DỤNG HỆ THỐNG GIÁM SÁT MẠNG DỰA VÀO MÃ NGUỒN MỞ 38 4.1 Mô hình cài đặt thực nghiệm 38 4.2 Cài đặt thực nghiệm 39 4.2.1 Cài đặt Gnokii 39 4.2.2 Cài đặt Snort 40 4.2.3 Cài đặt Fwsnort 41 4.2.4 Cài đặt Nagios 44 4.2.5 Cài đặt Cacti 45 4.3 Kết quả thực nghiệm 50 4.4 Kết luận 57 Chương 5. KẾT LUẬN 59 5.1 Một số kết quả đạt được 59 5.2 Hướng phát triển 60 TÀI LIỆU THAM KHẢO 61 Phụ lục A:Hướng dẫn cấu hình GSM/GPRS Gateway trên Linux 62 Phụ lục B:Hướng dẫn cài đặt Snort 64 Phụ lục C:Hướng dẫn cài đặt và cấu hình Nagios 69 Phụ lục D:Hướng dẫn cài đặt và cấu hình CACTI 72
6. iii DANH MỤC CÁC TỪ VIẾT TẮT BASE Basic Analysis and Security Engine DdoS Distribute Denial of Service DNS Domain Name Service DoS Denial of Service FTP File Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IPS Intrusion Prevention System SNMP Simple Network Managerment Protocol TCP Transfer Control Protocol HIDS Host-based Intrusion Detection System NIDS Network-based IDS ATTT An Toàn Thông Tin MIB Management Information Base
7. iv DANH MỤC CÁC HÌNH VẼ Hình 2.1 Hệ thống phát hiện xâm nhập 12 Hình 2.2 Kiến trúc của hệ thống IDS 13 Hình 2.3 Sự kết hợp của các bộ lọc gói tin 14 Hình 2.4 IDS hoạt động ở chế độ promiscuous 16 Hình 2.5 IDS hoạt động ở chế độ inline 17 Hình 2.6 Các thiết bị dùng trong báo động SMS 20 Hình 3.1 Các thành phần của Snort 24 Hình 3.2 Nagios giám sát thiết bị và dịch vụ 28 Hình 3.3 Nagios theo dõi các dịch vụ trên Windows qua NSClient 29 Hình 3.4 Nagios giám sát các dịch vụ trên máy Unix/Linux qua NRPE 29 Hình 3.5 Nagios giám sát máy in 29 Hình 3.6 Nagios giám sát Router, Switch 30 Hình 3.7 Nagios giám sát các thiết bị mạng 30 Hình 3.8 Nagios vẽ sơ đồ trạng thái các host trên mạng 31 Hình 3.9 Nagios gửi cảnh báo qua e-mail và SMS 31 Hình 3.10 Sơ đồ hoạt động của Cacti 32 Hình 3.11 Sơ đồ trao đổi thông tin SNMP giữa Cacti và một thiết bị 33 Hình 3.12 Cacti thu thập các thông tin qua SNMP 33 Hình 3.13 Cacti biểu diễn các lưu lượng bằng dạng đồ thị thời gian thực 34 Hình 4.1 Mô hình cài đặt thực nghiệm 38
8. v Hình 4.2 Thiết lập các thông số cho một thiết bị trên Cacti 49 Hình 4.3 Lưu lượng được thu thập qua SNMP 49 Hình 4.4 Màn hình theo dõi trên Cacti được tích hợp các tính năng giám sát 50 Hình 4.5 Theo dõi hoạt động của Cisco Switch qua đồ thị 51 Hình 4.6 Theo dõi các trạng thái các thiết bị & phát báo động bằng âm thanh 51 Hình 4.7 Hiển thị các đồ thị cho mỗi thiết bị 52 Hình 4.8 Theo dõi tổng quan các cảnh báo từ Snort qua giao diện Web 52 Hình 4.9 Theo dõi chi tiết các cảnh báo từ Snort qua giao diện Web 53 Hình 4.10 Hiển thị đồ thị lưu lượng cho kết nối mạng 53 Hình 4.11 Theo dõi một số dịch vụ chạy trên 1 host từ Nagios 54 Hình 4.12 Theo dõi các lưu lượng mạng giữa các thiết bị trực quan 54 Hình 4.13 Hiển thị đồ thị lưu lượng cho kết nối mạng 55 Hình 4.14 Cảnh báo khi dùng DoSHTTP để tấn công vào Web server 56 Hình 4.15 Cảnh báo gửi qua Email khi dùng chương trình SolarWinds scan 56 Hình 4.16 Hệ thống phát cảnh báo cho dịch vụ HTTP trên máy chủ Web 57
9. -1- MỞ ĐẦU I. Cơ sở khoa học và thực tiễn Mạng máy tính đang ngày càng có vai trò quan trọng cho mỗi cá nhân, tổ chức, doanh nghiệp. Việc trao đổi thông tin và thực hiện các giao dịch chủ yếu thông qua hệ thống mạng máy tính. Vì thế, bảo mật hệ thống mạng đang là một nhu cầu cấp thiết cho các tổ chức, doanh nghiệp nhằm bảo vệ hệ thống cơ sở dữ liệu của mình, chống lại những tấn công từ bên ngoài và thực hiện các trao đổi thông tin, giao dịch qua mạng được an toàn. II. Mục tiêu đề tài Khảo sát các lỗ hổng bảo mật và các nguy cơ hệ thống mạng bị tấn công xâm nhập Xem xét các giải pháp giám sát hệ thống mạng: phát hiện xâm nhập, phòng chống xâm nhập, theo dõi tình trạng hoạt động của các Server, Switch, Router, và một số dịch vụ mạng Phát triển hệ thống cảnh báo đa dạng qua Web, Email, SMS và Audio III. Đối tượng nghiên cứu Các phần mềm nguồn mở phát hiện xâm nhập Các phần mềm nguồn mở phòng chống xâm nhập Các phần mềm nguồn mở giám sát lưu lượng mạng Các phần mềm nguồn mở giám sát các thiết bị và dịch vụ mạng IV. Nội dung nghiên cứu Nghiên cứu các khả năng tấn công mạng Nghiên cứu các giải pháp phát hiện xâm nhập mạng Nghiên cứu các khả năng phòng chống tấn công mạng MỞ ĐẦU
10. -2- Nghiên cứu các giải pháp giám sát hoạt động các thiết bị và dịch vụ trong hệ thống mạng Đề xuất mô hình tích hợp các công cụ nguồn mở hỗ trợ giám sát hoạt động của các thiết bị, dịch vụ mạng, phát hiện và phòng chống xâm nhập mạng Thực nghiệm một giải pháp giám sát hoạt động của các thiết bị mạng, các dịch vụ mạng, phát hiện và phòng chống các xâm nhập mạng trên cơ sở nguồn mở kết hợp với hệ thống báo động đa dạng qua Email, Web, Audio và SMS Trong đề tài nghiên cứu này, tác giả tập trung nghiên cứu giải pháp giám sát hệ thống mạng dựa vào phần mềm nguồn mở nhằm theo dõi các dấu hiệu bất thường xảy ra trong hệ thống mạng. Cụ thể, tác giả đề xuất giải pháp kết hợp giữa Snort, Fwsnort, Cacti, Nagios và GSM/GPRS modem. Tạo ra một hệ thống giám mạng có khả năng: phát hiện những xâm nhập mạng; phòng chống tấn công mạng; giám sát lưu lượng giữa các thiết bị, tình trạng hoạt động của CPU, RAM, trên các thiết bị; giám sát trạng thái hoạt động của các thiết bị quan trọng trong hệ thống (server, router, switch, ) và các dịch vụ mạng chạy trên nó. Đồng thời phát triển hệ thống báo động đa dạng, tiện dụng và linh động hỗ trợ người quản trị mạng giám sát hệ thống một cách hiệu quả hơn thông qua các hình thức: giao diện Web, E-mail, Audio và SMS. Nội dung báo cáo được tổ chức thành 5 chương: Chương 1: Tổng quan. Giới thiệu bao quát về vấn đề bảo mật mạng và các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng. Chương 2. Hệ thống phát hiện và phòng chống xâm nhập mạng. Chương này trình bày tổng quan về vài trò, đặc điểm và khả năng của hệ thống phát hiện và phòng chống xâm nhập, giám sát lưu lượng, giám sát trạng thái hoạt động của thiết bị và dịch vụ trong hệ thống mạng. MỞ ĐẦU
11. -3- Chương 3. Các công cụ hỗ trợ trong việc phát hiện và phòng chống xâm nhập dựa vào mã nguồn mở. Chương này trình bày về đặc điểm Snort, Fwsnort, Nagios, Cacti và Gnokii. Khả năng kết hợp của chúng trong việc tạo ra một hệ thống giám sát mạng và cảnh báo một cách trực quan, tiện dụng và linh động. Chương 4. Phát triển ứng dụng Hệ thống Giám sát mạng dựa vào mã nguồn mở. Chương này trình bày mô hình đề xuất, cài đặt thực nghiệm dựa trên giải pháp đã đưa ra ở chương 3. Đánh giá kết quả thực nghiệm. Chương 5. Kết luận. Tổng kết các vấn đề liên quan đế hệ thống giám sát mạng trong việc phát hiện và phòng chống xâm nhập mạng, giám sát trạng thái các thiết bị và dịch vụ trong hệ thống. Đánh giá các kết quả đạt được của đề tài, những vấn đề còn tồn tại. Từ đó đưa ra những hướng khắc phục và phát triển trong tương lai. MỞ ĐẦU
12. -4- Chương 1. TỔNG QUAN 1.1 Tổng quan về bảo mật hệ thống mạng máy tính Mạng máy tính đang ngày một phát triểm mạnh và là một thành phần không thể thiếu trong thời đại ngày nay, ảnh hưởng đến mọi lĩnh vực của đời sống. Đi đôi với sự phát triển ngày càng nhanh chóng của các hệ thống mạng là vấn đề bảo mật thông tin, bảo mật mạng. “Bảo vệ thông tin ngày nay chính là bảo vệ tài sản cá nhân, tài sản doanh nghiệp, tài sản quốc gia và cao hơn cả là bảo vệ tài sản của nhân loại.” [1] Ở Việt Nam, theo số liệu thống kê từ 01/2009 về an toàn thông tin trong các doanh nghiệp như sau [1]: - 34% doanh nghiệp thừa nhận đã phát hiện sự cố tấn công an ninh mạng (28% năm 2008) - 38% doanh nghiệp không hề biết rõ hệ thống mạng của mình có bị tấn công hay không (26% năm 2008) - 45% doanh nghiệp không có hệ thống an ninh mạng có khả năng ghi nhận được các cuộc tấn công (55% năm 2008) Các nghiên cứu về giải pháp bảo mật, an toàn thông tin trên thế giới đang phát triển ngày một mạnh mẽ. Hàng loạt các công ty giải pháp về hệ thống an toàn, bảo mật thông tin cung cấp nhiều sản phẩm trên thị trường. Ví dụ như các sản phẩm của Cisco (PIX, ASA, ), Juniper, O2Security, Microsoft, được sử dụng trong các công ty, tổ chức, doanh nghiệp. Bên cạnh các sản phẩm tường lửa thì hệ thống phát hiện và phòng chống xâm nhập mạng (IDS/IPS) cũng ngày một phát triển mạnh nhằm tạo ra khả năng tự phòng vệ cho Chương 1. Tổng Quan
13. -5- hệ thống mạng. Giúp hệ thống mạng có khả năng phân tích và cảnh báo những bất thường trong hệ thống cho người quản trị mạng. Các sản phẩm thương mại cũng đã có mặt trên thị trường, tuy nhiên mức đầu tư cho hệ thống này rất lớn, không phù hợp cho các doanh nghiệp vừa và nhỏ. Giải pháp nguồn mở cho phép giảm chi phí đầu tư và tỏ ra thích hợp cho việc xây dựng một giải pháp bảo mật mạng trong doanh nghiệp. 1.2 Phân loại các lỗ hổng bảo mật Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến hành những chính sách bảo mật có hiệu quả. Những điểm yếu trong bảo mật mạng gồm có thể được phân loại: về mặt kỹ thuật, về mặt cấu hình và các chính sách bảo mật. Điểm yếu về mặt kỹ thuật Điểm yếu trong kỹ thuật gồm có điểm yếu trong các giao thức, trong Hệ điều hành và các thiết bị phần cứng như server, switch, router, Điểm yếu trong cấu hình hệ thống Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không bảo mật tài khoản khách hàng, hệ thống tài khoản với password dễ dàng đoán biết, sử dụng các cấu hình mặc định trên thiết bị Điểm yếu trong chính sách bảo mật Chính sách bảo mật diễn tả cách thức, qui định và vị trí được thực hiện. Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất Mỗi công ty nên xây dựng một chính sách bảo mật đặc thù cho đơn vị mình. Điểm yếu trong chính sách bao gồm: những điểm yếu trong bản thân chính sách bảo mật của một tổ chức, của một hệ thống mạng. Chương 1. Tổng Quan
14. -6- 1.3 Các công cụ phát hiện lỗ hổng mạng Những kẻ phá hoại (hacker) sẽ lợi dụng những lỗ hổng bảo mật để xâm nhập vào hệ thống. Như vậy, việc dò tìm những điểm yếu trong hệ thống để có những biện pháp khắc phục nhằm hạn chế các nguy hại cho hệ thống là cần thiết. Các thông tin từ nhà sản xuất phần cứng, phần mềm, các bản vá lỗi nên được cập nhật thường xuyên cũng là một giải pháp để bảo vệ cho hệ thống của mình. Hơn nữa, hiện nay có rất nhiều công cụ giúp người quản trị mạng dò tìm những lỗ hổng bảo mật trong hệ thống mạng của mình. Điển hình một số công cụ được sử dụng phổ biến là: Nmap, Metaexploit, Retina Discovery Scan, 1.4 Các kiểu tấn công mạng Có nhiều dạng tấn công mạng đã được biết đến. Có thể phân loại dựa vào những tiêu chí sau: Nếu dựa vào hành động của cuộc tấn công có thể phân tấn công ra làm 2 loại là: tấn công chủ động và tấn công bị động: - Tấn công chủ động (active attack): kẻ tấn công thay đổi hoạt động của hệ thống và hoạt động của mạng khi tấn công làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu - Tấn công bị động (passive attack): kẻ tấn công cố gắng thu thập thông tin từ hoạt động của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu. Nếu dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công làm 2 loại: tấn công từ bên trong và tấn công từ bên ngoài: - Tấn công từ bên trong: là những tấn công xuất phát từ bên trong hệ thống mạng. Người sử dụng muốn truy cập, lấy thông tin nhiều hơn quyền cho phép. Chương 1. Tổng Quan
15. -7- - Tấn công từ bên ngoài: là những tấn công xuất phát từ bên ngoài Internet hay các kết nối tuy cập từ xa. Khi một mạng máy tính bị tấn công, nó sẽ bị chiếm một lượng lớn tài nguyên trên máy chủ như dung lượng ổ cứng, bộ nhớ, CPU, băng thông Lượng tài nguyên bị chiếm giữ này tùy thuộc vào khả năng huy động tấn công của người tấn công. Khi đó, máy chủ sẽ không thể đáp ứng hết những yêu cầu từ những máy trạm của những người sử dụng hợp pháp và máy chủ có thể nhanh chóng bị ngừng hoạt động, hư hỏng hoặc bị khởi động lại. Mặc dù có nhiều kiểu tấn công mạng nhưng để thực hiện một cuộc tấn công xâm nhập, kẻ tấn công thường thực hiện qua 5 bước như sau: - Khảo sát, thu thập thông tin - Dò tìm - Xâm nhập - Duy trì xâm nhập - Xóa dấu vết  Bước 1: Khảo sát, thu thập thông tin: kẻ tấn công thu thập thông tin về nơi tấn công như phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng,  Bước 2: Dò tìm: kẻ tấn công sử dụng các thông tin thu thập được từ bước 1 để tìm kiếm thêm thông tin về lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường được sử dụng cho quá trình này là các công cụ quét cổng, quét IP, dò tìm lỗ hổng,  Bước 3: Xâm nhập: các lỗ hổng trong bước 2 được sử dụng, khai thác để xâm nhập vào hệ thống. Ở bước này, kẻ tấn công có thể dùng các kỹ thuật như: tràn bộ đệm, từ chối dịch vụ (DoS), Chương 1. Tổng Quan
16. -8-  Bước 4: Duy trì xâm nhập: một khi kẻ tấn công đã xâm nhập được vào hệ thống, bước tiếp theo là làm sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai. Một vài kỹ thuật như backboors, trojans được sử dụng. Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể gây ra những nguy hại cho hệ thống như đánh cắp dữ liệu hoặc phá hoại hệ thống. Ngoài ra, họ có thể sử dụng hệ thống để tấn công vào các hệ thống khác như loại tấn công DDoS.  Bước 5: Che đậy, xóa dấu vết. Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập. Bước tiếp theo là làm sao để xóa hết dấu vết để không còn chứng cứ pháp lí xâm nhập. Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập. Ở bước “Dò tìm” và “Xâm nhập” kẻ tấn công thường làm lưu lượng kết nối mạng thay đổi khác bình thường rất nhiều. Đồng thời tài nguyên của hệ thống máy chủ bị ảnh hưởng đáng kể. Những dấu dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh giá tình hình hoạt động của hệ thống mạng. Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên. Làm sao để nhận biết hệ thống mạng đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng. Ở tại bước thứ 3 là “Xâm nhập”, bước này không dễ dàng đối với kẻ tấn công. Do vậy, khi không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho người dùng hợp lệ truy xuất tài nguyên hệ thống. 1.5 Các giải pháp phát hiện và phòng chống tấn công mạng Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp dùng để dò tìm những hoạt động đáng nghi ngờ trên mạng. Một hệ thống phát hiện xâm nhập được định nghĩa là một tập hợp các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh giá, và báo cáo hoạt động không được phép trên mạng. Chương 1. Tổng Quan
17. -9- Phát hiện xâm nhập được xem là một tiến trình được quyết định khi một người không có quyền đang cố gắng để xâm nhập hệ thống mạng trái phép. Hệ thống phát hiện xâm nhập sẽ kiểm tra tất cả các gói tin đi qua hệ thống và quyết định gói tin đó có vấn đề khả nghi hay không. Hệ thống phát hiện xâm nhập đuợc trang bị hàng triệu tình huống để nhận dạng tấn công và đuợc cập nhật thường xuyên. Chúng thực sự quan trọng và là lựa chọn hàng đầu để phòng thủ trong việc phát hiện và phòng chống xâm nhập mạng. Việc nghiên cứu xây dựng hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS) đang được phát triển mạnh và còn phát triển mạnh mẽ trong thời gian tới. Các sản phẩm thương mại trên thị trường có chi phí rất lớn, vượt quá khả năng đầu tư của nhiều doanh nghiệp. Bên cạnh đó, các nghiên cứu về mã nguồn mở cũng đã được đầu tư nghiên cứu và triển khai. Có nhiều đề tài trong nước nghiên cứu liên quan đến IDS/IPS bằng mã nguồn mở chủ yếu tập trung vào Snort. Nhưng nhìn chung chưa được áp dụng rộng rãi, còn tồn tại nhiều hạn chế như: do chương trình mã nguồn mở nên hầu hết không có giao diện thân thiện; thành phần báo động không được tích hợp sẵn, hoặc nếu có cũng chỉ qua giao diện console, hoặc qua giao diện Web chưa tạo được sự linh động và tiện dụng cho người quản trị mạng; phần mềm mang tính đơn lẻ (chỉ tập trung nghiên cứu về Snort) trong khi nhu cầu tích hợp nhiều tính năng giám sát khác để nâng cao hiệu quả sử dụng chưa được chú trọng và phát triển. Hơn nữa, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp đòi hỏi hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS) phải được thường xuyên cập nhật những dấu hiệu mới. Người quản trị mạng còn có thể dựa vào những phân tích khác như những dấu hiệu bất thường về lưu lượng ra vào hệ thống, hoạt động của CPU, RAM để có những phản ứng kịp thời. Bên cạnh đó, hệ thống báo động cũng cần triển khai mang tính chất đa dạng nhiều hình thức, linh động, tiện dụng thực sự hỗ trợ thiết thực cho người quản trị mạng. Chương 1. Tổng Quan
18. -10- Xây dựng hệ thống phát hiện và phòng chống xâm nhập Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như lưu lượng ra/vào một Server, Switch, hay hoạt động của CPU, bộ nhớ, giúp người quản trị mạng có những phân tích để đưa ra ứng phó kịp thời. Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển khai để giúp phát hiện nhanh các cuộc tấn công mạng. Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tấn công xâm nhập. Tuy nhiên, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống phát hiện phải được thường xuyên cập nhật những dấu hiệu mới. Để có thể phát hiện nhanh chóng các bất thường trên mạng, người quản trị mạng còn có thể dựa vào những đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời. Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị trong một số trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt động hay có tấn công mạng. Hệ thống báo động có thể được triển khai qua nhiều hình thức để phát báo động như: bằng âm thanh (audio), qua E-mail hay qua tin nhắn SMS đến người quản trị mạng. Chương 1. Tổng Quan
19. -11- Chương 2. HỆ THỐNG PHÁT HIỆN & PHÒNG CHỐNG XÂM NHẬP MẠNG 2.1 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng 2.1.1 Lịch sử phát triển Các nghiên cứu về hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) được nghiên cứu chính thức từ năm 1983. Đến năm 1996 một số hệ thống IDS mới chỉ xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS. Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển mạnh. 2.1.2 Vai trò của hệ thống phát hiện và phòng chống xâm nhập mạng Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất thường trong mạng. Thông thường những dấu hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng. Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấn công. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS). Chương 2. Hệ thống phát hiện & phòng chống xâm nhập
20. -12- Hệ thống IPS là một kỹ thuật an ninh mạng, kết hợp các ưu điểm của kỹ thuật tường lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IDS/IPS thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng 2.2 Đặc điểm của hệ thống IDS/IPS 2.2.1 Kiến trúc của hệ thống phát hiện xâm nhập Hình 2.1 Hệ thống phát hiện xâm nhập [3] Kiến trúc của hệ thống IDS bao gồm các thành phần chính: Thành phần thu thập thông tin (information collection) Thành phần phân tích gói tin (Dectection) Thành phần phản hồi (response) Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và trở thành bộ cảm biến đóng vai trò ra quyết định. Bộ cảm biến được tích hợp với thành phần thu thập dữ liệu. Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống. Số chính Chương 2. Hệ thống phát hiện & phòng chống xâm nhập
21. -13- sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Hình 2.2 Kiến trúc của hệ thống IDS [3] Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích thu được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết như các ngưỡng (threshold), Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó gồm dữ liệu lưu về các dấu hiệu xâm nhập phức tạp tiềm ẩn được tạo ra từ nhiều hành động khác nhau. IDS có thể được lắp đặt tập trung (như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng có thể truyền thông với nhau, gọi là hệ thống IDS đa tác nhân. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994. Giải pháp này sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào Chương 2. Hệ thống phát hiện & phòng chống xâm nhập