1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Công Nghệ Thông Tin

Khóa luận Nghiên cứu triển khai hệ thống IDS/IPS

Download
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Trn Tiến Công  
NGHIÊN CU TRIN KHAI HTHNG IDS/IPS  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành : Công nghthông tin  
HÀ NI - 2009  
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Trn Tiến Công  
NGHIÊN CU TRIN KHAI HTHNG IDS/IPS  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành : Công nghthông tin  
Cán bhướng dn : Ths. Đoàn Minh Phương  
Cán bộ đồng hướng dn : Ths. Nguyn Nam Hi  
HÀ NI – 2009  
Li cm ơn  
Đầu tiên, em xin gi li cm ơn chân thành ti thy Đoàn Minh Phương và đặc  
bit là thy Nguyn Nam Hi đã nhit tình giúp đỡ em trong quá trình la chn cũng  
như trong quá trình thc hin khóa lun. Em cũng xin gi li cm ơn thy Đỗ Hoàng  
Kiên, thy Phùng Chí Dũng và thy Nguyn Vit Anh trung tâm máy tính, nhng  
người đã chdn em trong tng bước đề tài.  
Để có ththc hin và hoàn thành khóa lun này, các kiến thc trong 4 năm  
hc đại hc là vô cùng cn thiết, vì vy em xin gi li cm ơn ti tt ccác thy cô  
giáo đã truyn đạt cho em nhng bài hc quý báu trong thi gian va qua.  
Tôi xin cm ơn bn Vũ Hng Phong và bn Nguyn Duy Tùng đã htrtôi  
thc hin đề tài. Tôi cũng xin cm ơn các bn cùng lp đã giúp đỡ tôi trong hc tp.  
Cui cùng, em xin gi li cm ơn ti gia đình em, ngun động viên to ln đã  
giúp em thành công trong hc tp và cuc sng.  
Tóm tt ni dung  
Nghiên cu, trin khai các gii pháp phát hin sm và ngăn chn sthâm nhp  
trái phép (tn công) vào các hthng mng ngày nay là mt vn đề có tính thi svà  
rt có ý nghĩa, vì quy mô và sphc tp ca các cuc tn công ngày càng tăng.  
Khóa lun này trình bày hthng hóa vcác phương thc tn công và các bin  
pháp ngăn chn chúng bng clý thuyết và nhng minh ha mô phng thc tế; Nhng  
tìm hiu vgii pháp phát hin sm và ngăn chn tn công ca thiết bchuyên dng  
(IDS/IPS) ca IBM: Proventia G200, vic thiết lp cu hình và vn hành thiết b, thử  
nghim trong môi trường VNUnet, nhng đánh giá và nhn xét.  
Thông qua tiến hành kho sát hthng mng VNUnet, khóa lun cũng chra  
nhng khó khăn, vn đề và hướng gii quyết khi trin khai IPS trên nhng hthng  
mng ln như mng ca các trường đại hc.  
Do “ngăn chn thâm nhp” là mt công nghkhá mi trên thế gii nên khóa  
lun này là mt trong nhng tài liu tiếng vit đầu tiên đề cp chi tiết đến công  
nghnày.  
Mc lc  
BNG KÍ HIU VÀ CHVIT TT ..............................1  
DANH SÁCH BNG...........................................................1  
DANH SÁCH HÌNH MINH HA......................................2  
MỞ ĐẦU ..........................................................................3  
CHƯƠNG 1.AN NINH MNG VÀ HTHNG MNG  
VNUNET ..........................................................................4  
1.1. AN NINH MNG.............................................................................................4  
1.2. HTHNG MNG VNUNET........................................................................4  
1.2.1. Khái quát vhin trng hthng mng VNUNet .........................................4  
1.2.2. Mc tiêu phát trin hthng mng VNUnet.................................................5  
CHƯƠNG 2. TN CÔNG VÀ THÂM NHP...................7  
2.1. KIN THC CƠ S.........................................................................................7  
2.1.1. Thâm nhp.....................................................................................................7  
2.1.2. Tn công tchi dch v...............................................................................8  
2.1.3. Lhng bo mt .........................................................................................10  
2.1.4. Virus, Sâu và Trojan ...................................................................................12  
2.2. CÁC BƯỚC TN CÔNG VÀ THÂM NHP HTHNG...........................13  
2.3. MÔ PHNG TN CÔNG VÀ THÂM NHP ...............................................17  
2.3.1. Thu thp thông tin.......................................................................................17  
2.3.2. Tn công tchi dch v.............................................................................17  
2.3.3. Thâm nhp qua Trojan................................................................................18  
2.3.4. Thâm nhp qua lhng bo mt ................................................................19  
CHƯƠNG 3.THIT BNGĂN CHN TN CÔNG VÀ  
THÂM NHP ....................................................................22  
3.1. CÁC KHÁI NIM CƠ BN...........................................................................22  
3.2. THIT BIPS PROVENTIA G200 ................................................................25  
3.3. SITEPROTECTOR SYSTEM........................................................................27  
3.3.1. SiteProtector System là gì?.........................................................................27  
3.3.2. Quá trình thiết lp hthng SiteProtector .................................................29  
3.4. CÀI ĐẶT VÀ CU HÌNH IPS .......................................................................31  
3.4.1. Cài đặt.........................................................................................................31  
3.4.2. Cu hình hình thái hot động .....................................................................31  
3.4.3. Cu hình skin an ninh ............................................................................32  
3.4.4. Cu hình phn hi.......................................................................................35  
3.4.5. Cu hình tường la .....................................................................................42  
3.4.6. Cu hình protection domain .......................................................................44  
3.4.7. Cu hình cnh báo......................................................................................46  
3.5. NGĂN CHN TN CÔNG ĐÃ MÔ PHNG BNG IPS ............................48  
3.5.1. Ngăn chn các hình thc thu thp thông tin...............................................48  
3.5.2. Ngăn chn tn công DoS ............................................................................49  
3.5.3. Ngăn chn thâm nhp qua backdoor – trojan ............................................50  
3.5.4. Ngăn chn thâm nhp qua lhng bo mt...............................................50  
3.6. TRIN KHAI THC T................................................................................51  
CHƯƠNG 4. CÁC KT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH  
HƯỚNG NGHIÊN CU TƯƠNG LAI ...........................58  
4.1. KT QUẢ ĐẠT ĐƯỢC..................................................................................58  
4.2. ĐỊNH HƯỚNG NGHIÊN CU TRONG TƯƠNG LAI................................58  
PHLC A.......................................................................60  
PHLC B .......................................................................63  
PHLC C.......................................................................65  
PHLC D.......................................................................68  
PHLC E .......................................................................72  
BNG KÍ HIU VÀ CHVIT TT  
Kí hiu và viết tt  
Gii thích  
ĐHQGHN  
IDS/IPS  
Đại hc Quc gia Hà Ni  
Hthng phát hin/ngăn chn thâm nhp  
Hthng mng Đại hc Quc gia Hà Ni  
Tên dòng thiết bIDS/IPS ca hãng IBM  
VNUnet  
Proventia G 200  
DANH SÁCH BNG  
Bng 1 – Thut ngIDS/IPS.........................................................................................22  
Bng 2 – Hình thái hot động........................................................................................36  
Bng 3 – Phn hi email................................................................................................36  
Bng 4 – Phn hi Log Evidence ..................................................................................37  
Bng 5 – Phân loi cách ly ............................................................................................37  
Bng 6 – Phn hi cách ly .............................................................................................38  
Bng 7 – Phn hi SNMP..............................................................................................38  
Bng 8 – Phn hi User Specified.................................................................................39  
1
DANH SÁCH HÌNH MINH HA  
Hình 1 – Sơ đồ kết ni logic ca VNUnet..................................................................................5  
Hình 2 - Minh ha trình ttn công.........................................................................................14  
Hình 3 - Giao din DoSHTTP..................................................................................................17  
Hình 4 - Giao din smurf attack ...............................................................................................18  
Hình 5 - Giao din client trojan beast.......................................................................................18  
Hình 6 - Li trong dch vRPC ...............................................................................................19  
Hình 7 - Giao din metasploit ..................................................................................................20  
Hình 8 - Giao din metasploit (2).............................................................................................21  
Hình 9 – Security Events..........................................................................................................34  
Hình 10 – Response Filters.......................................................................................................42  
Hình 11 – Protection Domain...................................................................................................45  
Hình 12 - Protection Domain ...................................................................................................46  
Hình 13 - Mc độ nghiêm trng ca thông báo .......................................................................47  
Hình 14 - Minh ha thông báo .................................................................................................47  
Hình 15 - Ngăn chn thu thp thông tin ...................................................................................48  
Hình 16 – Đánh du cnh báo SYNFlood................................................................................49  
Hình 17 –Ngăn chn tn công SYNFlood và Smurf Attack (Ping sweep)...............................50  
Hình 18 - Ngăn chn thâm nhp qua trojan Beast....................................................................50  
Hình 19 – Đánh du cnh báo MSRPC_RemoteActive_Bo ....................................................51  
Hình 20 - Ngăn chn tn công qua lhng MSRPC RemoteActive........................................51  
Hình 21 – Mô hình mng VNUnet...........................................................................................52  
Hình 22 – Sơ đồ trin khai IPS.................................................................................................53  
Hình 23 – Khi có tn công hoc thâm nhp thì gi mail cho cán bTTMT............................54  
Hình 24 - Mô hình mng VNUnet sau khi trin khai hthng IDS/IPS..................................55  
Hình 25 - Hthng IPS gi mail cho người qun tr...............................................................56  
Hình 26 - Các dò quét và tn công thc tế ...............................................................................57  
Hình 27 – Các hành vi khai thác đim yếu an ninh..................................................................60  
Hình 28 - Xu hướng phishing sp ti .......................................................................................61  
Hình 29 - Minh ha smurf attack .............................................................................................65  
Hình 30 - Minh ha tn công SYNFlood .................................................................................66  
Hình 31 - Sơ đồ kết ni logic ...................................................................................................74  
Hình 32 – Mô hình tchc.......................................................................................................75  
2
MỞ ĐẦU  
Vi sphát trin nhanh chóng ca công nghvà thông tin trên Internet, vic bo  
van ninh mng ngày càng quan trng và có tính thi shàng ngày. Để chng li tin  
tc ngày càng phát trin, đã có các ng dng phn mm để htrcùng vi các thiết bị  
phn cng nhm hn chế các tác hi ca virus và các hot động xâm nhp trái phép.  
Khoá lun đề cp đến gii pháp phát hin sm và ngăn chn tn công, có ý nghĩa  
khoa hc là mt trong nhng gii pháp mi và có hiu qucao, vi thc tin có trin  
khai cài đặt để bo vhthng, chng li được các tn công mô phng, có thsdng  
để bo đảm an ninh mng mt mc khá cao.  
Đối tượng nghiên cu là các hình thc tn công thâm nhp và thiết bphát hin  
ngăn chn, cthlà sdng mt thiết bchuyên dng (IDS/IPS) ca IBM: Proventia  
G200 trên hthng mng ca Trường Đại hc Quc gia.  
Phương pháp nghiên cu là tìm hiu tài liu trên mng, tham kho ý kiến các  
chuyên gia, mô phng hthng, thiết lp cu hình và vn hành thiết b, thnghim  
trong môi trường VNUnet, sau đó có đánh giá và nhn xét.  
Ni dung nghiên cu bao gm các vn đề an ninh mng, kho sát hin trng hệ  
thng mng ca Trường Đại hc Quc gia, các hình thc tn công thâm nhp và thiết  
bphát hin ngăn chn, các bước cài đặt, cu hình và vn hành thnghim. Phn kết  
lun nêu các kết quả đạt được, đánh giá và định hướng nghiên cu tương lai có thể  
được phát trin tkết quca khoá lun.  
3
CHƯƠNG 1.AN NINH MNG VÀ HTHNG MNG VNUNET  
1.1. AN NINH MNG  
Theo các báo cáo an ninh năm 2007 và 2008 – phlc A và B, vn đề đe da an  
ninh hin nay càng ngày càng nghiêm trng. Có ththy rõ mc tăng đột biến ca các  
nguy cơ mng như tn công txa, spam hay phising. Thêm vào đó, các lhng bo  
mt ngày càng được phát hin nhiu hơn trong khi người dùng vn chưa ý thc được  
vic cp nht đầy đủ các bn vá.  
Chva trong mt thi gian ngn vtrước, tường la có thngăn chn được hu  
hết các tn công. Tuy nhiên, vi sphát trin ngày càng mnh ca ng dng nn Web  
và worm, hu hết các mng hin nay đều không an toàn kcvi tường la và phn  
mm quét virus. Tường la giờ đây chhiu quả đối vi nhng tn công DoS phổ  
thông hay nhng lhng bình thường, nó khó có thngăn chn nhng tn công da  
trên tng ng dng và worm.  
Không chlp mng ngoài btn công mà kcnhng tài nguyên ca mng  
trong – bao gm nhiu nhng vùng tài nguyên ni bgiá tr, nhng vùng lra trên  
Internet cũng đều bkhai thác và gây cho cơ quan và công ty nhiu thit hi. Vì vy,  
các thiết bphát hin và chng thâm nhp ngày càng trnên cn thiết trong các cơ  
quan và công ty hin nay.  
Hin gicó nhiu thiết bphát hin thâm nhp phbiến như Internet Security  
Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số  
đó, sn phm ca ISS có tiếng vang ln nht. Hin nay, ngoài tính năng phát hin thâm  
nhp, các sn phm ca hãng này đã được thêm vào tính năng ngăn chn thâm nhp  
thm chí còn trước ckhi chúng đến được máy mc tiêu.  
Để có thqun trvà phát trin mt hthng mng an ninh tt và bo mt cao,  
mt yêu cu hin nay đối vi nhng người qun trlà hiu biết các tn công và thâm  
nhp, đồng thi biết cách ngăn chn chúng.  
1.2. HTHNG MNG VNUNET [4]  
1.2.1. Khái quát vhin trng hthng mng VNUNet  
Phn này sẽ được đề cp chi tiết trong phlc E – Kho sát hin trng hthng  
mng VNUnet. Ta có thtóm tt mt sý chính như sau :  
Hthng mng ĐHQGHN là mt hthng mng có quy mô trung bình.  
4
Các VNUnet đã có hthng đường truyn thông khá tt  
Kiến trúc phân tng ca mng còn đơn gin, không n định làm gim hiu sut  
mng, gây lãng phí ln các đầu tư tài nguyên ca ĐHQGHN, gây c chế tâm lý  
người dùng, làm xut hin tư tưởng kết ni phân tán ra bên ngoài, đặt website ra  
bên ngoài.  
Sdng không gian địa chgilp vi thiết bProxy. Hthng an ninh và an  
toàn rt yếu kém.  
CPNET  
112  
TEIN2  
VINAren  
INTERNET  
Catalyst  
2950  
203.113.130.192/27  
Router  
3600  
Proxy  
Mail  
Web  
172.16.0.0/16  
Catalyst  
4507  
Cáp  
quang  
10.10.0.0/16  
10.1.0.0/16  
TRƯỜNG  
ĐH CÔNG  
NGHỆ  
Vi hệ  
thng thiết  
bghép ni  
mng riêng  
Hình 1 – Sơ đồ kết ni logic ca VNUnet  
1.2.2. Mc tiêu phát trin hthng mng VNUnet  
Để án phát trin mng VNUnet đã đưa ra các mc tiêu cn phát trin như sau :  
Là mng tích hp đa dch v: data (web 2.0, wap, Mail, SMS, MMS, e-  
Document, ...), voice, DVD video, ...  
5
Là mng cung cp các ng dng trc tuyến, dch vchia scng đồng trc  
tuyến phc vtrc tiếp công tác qun lý, nghiên cu khoa hc và đào to. Làm  
gim kinh phí đầu tư, tăng cường hiu sut khai thác các tài nguyên chia sca  
cá nhân, tp thtrên toàn hthng.  
Cung cp đầy đủ các tư liu, tp chí đin ttheo nhu cu người dùng.  
Có trung tâm dliu mnh.  
Hthng xương sng cáp quang đạt băng thông 10 Gbps, băng thông đến người  
dùng cui 1Gbps.  
Hthng kết ni không dây phc vcác thiết bxlý thông tin di động phủ  
khp môi trường làm vic, hc tp ca ĐHQGHN, kccác ký túc xá.  
Phcp Video Conferencing phc vcông tác đào to txa và tiếp nhn bài  
ging txa.  
Kết ni vi bên ngoài n định, tc độ cao theo nhiu hướng Lease line, Vtinh,  
đảm bo truy cp các tài nguyên bên ngoài mt cách nhanh chóng như trên mt  
desktop o.  
Có gii pháp backup toàn bhthng và gii pháp an toàn đin hiu qu.  
Có gii pháp qun lý giám sát mt cách chuyên nghip để mng hot động  
thông sut, n định, hiu qu.  
Có gii pháp đảm bo an toàn, an ninh chng thâm nhp, phá hoi, chng truy  
cp trái phép.  
Htrcán b, ging viên có thtruy cp vào mng ni btxa.  
Để hoàn thành nhng mc tiêu đã đề ra này, vic nghiên cu trin khai các công  
nghtiên tiến trên thế gii là mt vn đề vô cùng cn thiết. Trong đó công vic qun  
trđảm bo an toàn, an ninh cho hthng mng VNUnet phi được đặt lên hàng  
đầu. Để xây dng hthng an ninh mng VNUnet, vic trin khai thiết bphát hin và  
ngăn chn thâm nhp IDS/IPS là mt khâu quan trng. Do đó, khóa lun này có ý  
nghĩa thc tế rt ln trong vic phát trin mng Đại hc quc gia Hà Ni.  
6
CHƯƠNG 2. TN CÔNG VÀ THÂM NHP  
2.1. KIN THC CƠ SỞ  
Để đảm bo được an ninh mng ngày nay, cn phi hiu biết chi tiết vcác vn  
đề liên quan đến an ninh. Đặc bit là các khái nim như thâm nhp, tn công. Phn này  
strình bày lý thuyết nn tng van ninh liên quan trc tiếp ti hthng IDS/IPS  
được nói ti trong khóa lun.  
2.1.1. Thâm nhp [9]  
Mt thâm nhp có thcoi như là mt schiếm gihthng tnhng người qun  
tr. Thâm nhp có thể được thc hin bi “người bên trong” (nhng người có tài khon  
người dùng hp ltrong hthng) và hdùng lhng ca hệ điu hành để nâng cp  
quyn ca h. Thâm nhp cũng có thể được thc hin bi “người bên ngoài”, hkhám  
phá ra nhng lhng bo mt và nhng chbo vkém trong hthng mng để  
chiếm quyn điu khin hthng.  
Mt thâm nhp có thxy ra dưới nhng dng sau :  
Mt virus, sâu hay trojan được cài vào máy qua nhng con đường như mail,  
active X hay java script …  
Mt mt khu bmt trm bng nhng phương pháp như nghe trm (sniffer),  
nhìn trm (shoulder surfing), tn công vét cn mã hoc các phương pháp phá  
mã khác.  
Chiếm đot nhng phiên dch vhay nhng thiết bkhông htrmã hóa (telnet  
cũ, ftp, IMAP hay POP mail …)  
Mt tn công vào lhng ca các dch vnhư ftp, Apache hay iis,…  
Thâm nhp vt lý vào máy tính và cướp tài khon qun trhay to nhng lỗ  
hng trong hthng cho phiên thâm nhp sau.  
Mt khi kthâm nhp đã có được quyn hp lvi mt máy tính hay mt hệ  
thng, hthường cài đặt nhng phn mm trojan mà che du sự điu khin ca hvi  
hthng. Trojan là mt chương trình ging như các chương trình khác mà người dùng  
có thmun sdng, tuy nhiên khi sdng thì nó li thc hin nhng hot động bt  
hp pháp.  
Mt hành vi thâm nhp phthng khác là cài phn mm nghe trm hoc  
keylogger. Thông qua nhng máy bchiếm quyn, kthâm nhp có thvươn ra cả  
mng bng nhng mi quan htin tưởng trên mng.  
7
Vic xác định được có thâm nhp trong mng hay không là mt vic khá khó  
khăn vì nhng phn mm gián đip thường có cách để che giu hot động đối vi  
người qun trvà người dùng. Chcó mt cách để biết chc chn rng có thâm nhp là  
kim tra lưu lượng mng ti các máy nghi ngờ ở bên ngoài, hoc kim tra máy tính vi  
nhng công can toàn.  
2.1.2. Tn công tchi dch v[11]  
Tn công tchi dch vDoS (Denial of Service) là kiu tn công vi mc đích  
làm cho máy btn công không thhot động mt cách bình thường trong mt khong  
thi gian tm thi hoc không xác định. Đối tượng ca DoS thường là các router, web  
server, DNS server... Cách thc tn công thông dng là gi tràn ngp các yêu cu kết  
ni đến máy đối tượng làm cho nó không thphn hi li các kết ni hp lhoc phn  
hi mt cách chm chp. DoS có thkhiến cho máy đối tượng bkhi động li hoc  
tiêu thmt lượng ln tài nguyên khiến cho nó không thchy các dch vkhác cũng  
như gây tc nghn đường truyn ti người dùng.  
Có 5 loi tn công DoS cơ bn:  
Tiêu thngun tài nguyên ca máy như băng thông, bnhhoc thi gian  
xlý.  
Phá hy các thông tin cu hình, như thông tin về định tuyến.  
Phá hy các thông tin trng thái, như tkhi động li phiên TCP.  
Phá hy các thành phn vt lý.  
Gây tc nghn đường truyn gia người dùng vi máy btn công.  
DoS có thsdng các mã độc hi vi mc đích:  
Sdng ti đa năng lc ca bvi xlý, làm cho nó không thc hin được các  
công vic khác.  
Gây ra các li trong vi mã ca máy.  
Gây ra các li tun ttrong các chth, khiến cho máy rơi vào trng thái bt n  
hoc treo đơ.  
Khai thác các li trong hệ điu hành gây nên vic thiếu tài nguyên và li  
thrashing.  
Làm treo hệ điu hành.  
Tn công iFrame DoS, mt văn bn HTML được to ra để gi đến mt trang  
web cha nhiu thông tin nhiu ln, cho đến khi chúng lưu trmt ln gi vượt  
quá băng thông gii hn.  
8
Có rt nhiu cách thc cũng như loi tn công tchi dch v. Dưới đây là mt  
sloi tn công tiêu biu :  
Smurf Attack  
SYNFlood  
Land Attack  
UDP Flood  
Tear Drop  
Chi tiết vcác cách tn công này xem trong phlc C.  
Tn công tchi dch vphân tán (Distributed DoS)  
Tn công tchi dch vphân tán xy ra khi có nhiu máy trm cùng tham gia vào  
quá trình làm ngp lt băng thông hoc tài nguyên ca máy btn công. Để thc hin  
được tn công DDoS, ktn công xâm nhp vào các hthng máy tính, cài đặt các  
chương trình điu kin txa và skích hot đồng thi các chương trình này vào cùng  
mt thi đim để đồng lot tn công vào mt mc tiêu. Cách thc này có thhuy động  
ti hàng trăm thm chí hàng ngàn máy tính cùng tham gia tn công mt lúc (tùy vào sự  
chun btrước đó) và có thngn hết băng thông ca mc tiêu trong nháy mt.  
Các cách phòng chng  
Hu qumà DoS gây ra không chtiêu tn nhiu tin bc, và công sc mà còn mt rt  
nhiu thi gian để khc phc. Để phòng chng DoS có thsdng mt sbin pháp sau:  
Mô hình hthng cn phi được xây dng hp lý, tránh phthuc ln nhau quá  
mc. Bi khi mt bphn gp scslàm nh hưởng ti toàn bhthng.  
Thiết lp mt khu mnh (strong password) để bo vcác thiết bmng và các  
ngun tài nguyên quan trng khác.  
Thiết lp các mc xác thc đối vi người sdng cũng như các ngun tin trên  
mng. Đặc bit, nên thiết lp chế độ xác thc khi cp nht các thông tin định  
tuyến gia các router.  
Xây dng hthng lc thông tin trên router, firewall… và hthng bo vệ  
chng li SYN flood.  
Chkích hot các dch vcn thiết, tm thi vô hiu hoá và dng các dch vụ  
chưa có yêu cu hoc không sdng.  
Xây dng hthng định mc, gii hn cho người sdng, nhm mc đích ngăn  
nga trường hp người sdng ác ý mun li dng các tài nguyên trên server  
để tn công chính server hoc mng và server khác.  
Liên tc cp nht, nghiên cu, kim tra để phát hin các lhng bo mt và có  
bin pháp khc phc kp thi.  
Sdng các bin pháp kim tra hot động ca hthng mt cách liên tc để  
phát hin ngay nhng hành động bt bình thường.  
Xây dng và trin khai hthng dphòng.  
9
2.1.3. Lhng bo mt [10]  
Trong bo mt máy tính, thut nglhng được dùng cho mt hthng yếu mà  
cho phép mt ktn công xâm phm vào stoàn vn ca hthng. Lhng có thlà  
kết quca mt khu yếu, các li phn mm, mt virus máy tính hoc phn mm độc  
hi khác, mt đon mã li, mt lnh SQL li hoc cu hình sai.  
Mt nguy cơ bo mt được phân loi là mt lhng nếu nó được công nhn như  
là mt phương pháp được sdng để tn công. Mt ca sca lhng là thi gian từ  
khi lhng bo mt được gii thiu hoc chng ttrong các phn mm được trin  
khai ti khi mt bn vá bo mt có sn hoc được trin khai .  
Các lhng bo mt trên mt hthng là các đim yếu có thto ra sngưng trệ  
ca dch v, thêm quyn đối vi người sdng hoc cho phép các truy nhp không  
hp pháp vào hthng. Các lhng cũng có thnm ngay các dch vcung cp như  
sendmail, web, ftp ... Ngoài ra các lhng còn tn ti ngay chính ti hệ điu hành như  
trong Windows NT, Windows XP, UNIX; hoc trong các ng dng mà người sdng  
thường xuyên sdng như Word processing, Các hdatabases...  
Nguyên nhân  
Qun lý mt khu sai sót: Người dùng máy tính sdng các mt khu yếu mà có  
thtìm được bi vét cn. Người dùng máy tính lưu trcác mt khu trên máy tính ở  
chmà mt chương trình có thtruy cp được nó. Nhiu người dùng sdng li các  
mt khu gia nhiu chương trình và website.  
Thiết kế hệ điu hành cơ bn sai sót: Các nhà thiết kế hệ điu hành chn thc thi  
các chính sách ti ưu cho người dùng/chương trình qun lý. Ví dhệ điu hành vi các  
chính sách như là cho phép mc định các chương trình và người dùng đầy đủ quyn  
truy cp ti máy tính. Hệ điu hành sai lm khi cho phép các virus và phn mm độc  
hi thc thi các lnh chế độ administrator.  
Các li phn mm: Các lp trình viên thường bqua mt li có thkhai thác  
trong mt chương trình phn mm. Li phn mm này có thcho phép mt ktn  
công lm dng mt phn mm.  
Không kim tra nhp vào ca người dùng. Mt chương trình giả định rng tt cả  
các nhp vào ca người dùng là an toàn. Các chương trình skhông thc hin vic  
kim tra nhp vào ca người dùng có thcho phép sthc thi trc tiếp mà không được  
định trước ca các câu lnh hoc các câu lnh SQL (vd như tràn bộ đệm , SQL  
injection hoc các đầu vào không có giá trkhác).  
Phân loi lhng có thxem thêm trong phlc D.  
10  
Công blhng  
Các phương pháp làm gim các lhng là mt đề tài ca cuc tranh lun trong  
giao tiếp an toàn máy tính. Mt sngười bo nên lp tc đưa đầy đủ các thông tin về  
lhng ngay khi chúng được phát hin. Mt skhác chng minh rng vic gii hn  
khi đưa ra các thông tin vlhng sẽ đặt người dùng vào nhng ri ro ln, và chnên  
đưa ra các thông tin chi tiết sau mt thi gian, thm chí có thkhông đưa ra. Vic đưa  
ra thông tin vcác lhng sau mt thi gian có thcho phép thông báo để khc phc  
các vn đề bi nhà phát trin bng các bn vá, nhưng có thlàm tăng ri ro vi người  
dùng. Gn đây, hình thc thương mi hóa vi vic đưa ra lhng bo mt, như mt  
vài công ty bo mt thương mi đã btin cho vic độc quyn đưa ra lhng zero day.  
Nhng người này scung cp mt thtrường hp pháp để mua và bán các thông tin lỗ  
hng tcác trung tâm bo mt.  
Tngười bo mt, vic tiết lcác lhng min phí và công cng chthành công  
nếu bên nhn bị ảnh hưởng ly được thông tin thích đáng trước khi btin tc, nếu  
không các tin tc scó ngay lp tc có li thế trong vic li dng khai thác. Vic bo  
mt thông qua vic che du thông tin các lhng cũng phi tương tnhư trên .  
Vic cho phép mt cách công bng vic phbiến các thông tin bo mt tích cc  
là rt quan trng. Thường scó mt kênh tin tưởng là ngun ca các thông tin bo mt  
(vd .g CERT, SecurityFocus, Secunia and VUPEN). Các ngun này phân tích và đánh  
giá ri ro đảm bo cht lượng ca các thông tin này. Vic phân tích phi bao gm đầy  
đủ các chi tiết để cho phép mt người dùng có liên quan vi phn mm có thể đánh giá  
được ri ro cá nhn ca hhoc ngay lp tc có các hành động để bo vtài sn ca  
h.  
Ngày công blhng  
Thi gian ca vic đưa ra mt lhng được định nghĩa khác nhau trong tp đoàn  
bo mt và lĩnh vc. Nó thường được coi như là mt loi công bcông cng ca các  
thông tin bo mt bi mt bên. Thông thường , thông tin lhng được đưa ra trên mt  
danh sách thư tín hoc được xut bn trên mt website bo mt và trong mt tư vn an  
ninh sau đó.  
Thi gian ca công blà ngày đầu tiên lhng bo mt được miêu ttrên mt  
kênh ,nơi được công bthông tin vlhng và có đầy đủ các yêu cu sau :  
Thông tin min phí và công cng .  
Thông tin lhng được đưa ra bi mt ngun hoc mt kênh độc lp được tin cy  
Lhng chu phân tích bi các chuyên gia như thông tin đánh giá mc độ ri ro  
được bao gm trên công b.  
Nhn ra và gbcác lhng  
Nhiu các công cphn mm tn ti để giúp đỡ trong vic khám phá (và thnh  
thong là gb) ca các lhng trong hthng hệ điu hành. Mc dù các công cnày  
11  
có thcung cp mt cái nhìn khái quát tt vcác lhng, chúng không ththay thế  
nhng đánh giá ca con người .  
Các lhng được tìm thy chyếu trong các hệ điu hành bao gm windows,  
mac os, linux, các dng Uni, OpenVMS và các loi khác. Chi có mt cách để gim bt  
cơ hi ca các lhng được sdng vi mt hthng là sthn trng cao độ, bao  
gm vic duy trì hthng cn thn (cp nht các bn vá ), trin khai tt nhât (sdng  
tường la và điu khin truy cp) và kim tra (trong sut quá trình phát trin và vòng  
đời trin khai)  
2.1.4. Virus, Sâu và Trojan [8]  
Vi rút  
Virus là nhng phn mm máy tính có khnăng lây nhim và phá hy các phn  
mm thm chí phn cng máy tính. Các virus không thlây lan nếu không thông qua  
phương tin chia snhư trao đổi tp hoc thư đin t.  
Sâu  
Sâu có khnăng lây lan tmáy này sang máy khác ging như virus, nhưng  
chúng khác virus chchúng có thtlây lan mà không cn có  
sự điu khin ca người phát tán. Chúng có thnm quyn điu  
khin máy tính, tự động trao đổi file. Bi vì nó có khnăng sao  
chép vi slượng rt ln, sâu có thlàm cho nhng gói tin lưu  
thông trong mng tc nghn, làm chm tt ccác hot động liên  
quan ti internet. Chúng còn làm cho ta trthành nhng ktn  
công bng cách gi đính kèm chính chúng trong nhng tp tin  
gi cho danh sách bn bè hay đồng nghip. Sâu cũng có thlà  
mt công cụ được sdng bi nhng kthâm nhp bng cách  
chiếm quyn hthng và to cng sau cho kthâm nhp truy cp vào.  
Trojan  
Trojan là các chương trình máy tính trông có vnhư là  
mt phn mm hu ích, nhưng thc ra chúng làm tn thương  
bo mt và gây ra rt nhiu phá hy. Chúng chiếm quyn điu  
khin máy bnhim và cho phép người ngoài truy cp trái  
pháp ti, hoc chúng có thtự động download các lnh thc  
thi tmt địa chngoài. Trojan thường đi kèm vi keylogger,  
mt phn mm lưu li các thao tác bàn phím ca người dùng  
và gi cho kẻ điu khin hoc phn mm theo dõi màn hình  
12  
máy tính. Vic có được nhng mt khu hp llàm cho ktn công chiếm được toàn  
quyn vi tài khon ca người dùng.  
Cũng có nhng thut ngkhác vnhng mi đe da an ninh mng, tuy nhiên  
chúng chlà phương tin dn đường cho nhng hot động ktrên.  
2.2. CÁC BƯỚC TN CÔNG VÀ THÂM NHP HTHNG [1]  
Thâm nhp vào mt hthng không phi là mt công vic đơn gin nhưng cũng  
không quá khó khăn cho nhng người có kiến thc vcông nghthông tin nói chung.  
Để đạt được mc đích, các hacker thường thc hin mt tn công thâm nhp theo  
nhng bước sau :  
FootPrinting – In du  
Scanning – Dò quét  
Enumeration – Đim danh  
Gaining Access – Có quyn truy cp  
Escalating Privileges – nâng cp quyn  
Pilfering – Khai thác hthng  
Covering Tracks – Xóa du vết  
Creating "Back Doors" – To cng hu  
DoS – Tn công tchi dch vụ  
Chú ý rng nhng bước trên hoàn toàn linh động khi áp dng vào thc tế. Các  
hành động khi tn công thâm nhp có thđan xen nhau thm chí mt hành động  
được thc hin lp li nhiu ln hay bqua không cn thc hin. Tuy nhiên cũng có  
thsp xếp thtcác hành động đó theo trình tnhư hình dưới đây :  
13  
Hình 2 - Minh ha trình ttn công [12]  
Bây gita sẽ đề cp chi tiết đến tng hành động trong mt tn công thâm nhp  
ca hacker. Như đã nói trên, trước khi mt tn công thc sự được thc hin, hacker  
cn phi chun bị đầy đủ các thông tin về đối tượng qua 3 bước : footprinting (in du),  
scanning (dò quét), enumaration (đim danh). Cũng như khi mt nhóm cướp mun  
cướp mt nhà băng, chúng không chcứ đến nhà băng và yêu cu tin mà chúng cn  
tìm hiu rt nhiu thông tin vnhà băng đó như tuyến đường xe chtin đi, thi gian  
giao tin, các camera giám sát, ltrình tu thoát và nhiu thkhác cn thiết. Bước đầu  
tiên trong 3 bước thu thp thông tin là in du.  
In du  
In du là chvic sdng công cvà kĩ thut để thu thp các thông tin cơ bn  
ca đối tượng cn tn công. Các thông tin có thly được qua nhiu đường như  
Internet, Intranet, Remote access, extranet. Ví dnhư tgoogle, chúng ta có thly ra  
thông tin vtên min ca đối tượng, số địa chIP đã cp phát hay cnhng thông tin  
cá nhân ca nhân viên trong mt công ty đối tượng. Nhng thông tin tưởng chng đơn  
gin này li là nhng thông tin không ththiếu được khi bt đầu mt tn công thâm  
nhp vào hthng ca đối tượng. Các thông tin cá nhân vngun tài nguyên con  
người như Số đin thoi, quê, nhà, chc v, ngày sinh…, đôi khi chvi nhng thông  
tin này hacker đã có thlàm chhthng.  
Chcó mt cách để ngăn nga vic in du là bo vnhng thông tin nhy cm  
khi nhng nơi có thddàng truy cp đến.  
Bước tiếp theo trong quá trình này là dò quét (Scanning)  
Nếu như in du chtìm hiu các thông tin bên ngoài ca mt nhà băng thì dò quét  
là kim tra tt ccác ca shay ca ra vào ca nhà băng đó. Vic đầu tiên trong đó là  
xác định xem hthng có “sng” hay không. Vic này có thể được thc hin bng các  
14  
công cnhư ping (hay fping hoc nmap). Tiếp đó là xác định xem có nhng dch vụ  
tcp hay udp nào đang hot động trên các máy đối tượng. Có rt nhiu cách thc cũng  
như công cụ để thc hin vic này ngày nay. Bước cui cùng là xác định hệ điu hành  
trên các máy đó, vic này rt quan trng trong vic tn công thâm nhp qua các lỗ  
hng bo mt.  
Bước cui cùng trong các bước tìm kiếm thông tin là enumeration (đim danh).  
Hành động này yêu cu phi kết ni và truy vn trc tiếp ti máy đối tượng nên nó khá  
dblưu vết và cnh báo. Cách thc cơ bn nht ca ca đim danh là ly banner  
(banner grabbing). Thông tin này scho biết các dch vụ đang sdng và phiên bn  
ca các dch vụ đó. Ví d:  
C:\>telnet www.abc.com 80  
HTTP/1.0 400 Bad Request  
Server: Netscape-Commerce/1.12  
Your browser sent a non-HTTP compliant message.  
Có nhiu cng có thsdng cho vic ly thông tin này như cng 80 HTTP,  
cng 25 SMTP, cng 21 FTP.  
Mt trong nhng dch vbkhai thác nhiu nht txưa đến nay là dch vDNS  
vi DNS Zone Transfers. Nếu máy chca đối tượng đang chy dch vDNS ca  
Microsoft thì ktn công có ththu thp được mt lượng thông tin ln, thm chí cả  
các thông tin n vhthng mng ca đối tượng, ta có ththy trong ví dsau :  
C:\>nslookup  
Default Server: dns01.wayne.net  
Address: 10.10.10.1  
>
> set type=any  
> ls -d wayne.net > dns.wayne.net  
> exit  
> server 10.10.10.2  
Default Server: dns02.wayne.net  
Address: 10.10.10.2 >  
ls -d wayne.net  
15  
[dns1.wayne.net]  
wayne.net. SOA dns04.wayne.net wayne.dns04.wayne.net. (3301 10800 3600  
604800 86400)  
wayne.net. NS dns04.wayne.net  
wayne.net. NS dns02.wayne.net  
wayne.net. NS dns01.wayne.net  
wayne.net. NS dns05.wayne.net  
wayne.net. MX 10 email.wayne.net  
rsmithpc TXT "smith, robert payments 214-389-xxxx"  
rsmithpc A 10.10.10.21  
wmaplespc TXT "Waynes PC"  
wmaplespc A 10.10.10.10  
wayne CNAME wmaplespc.wayne.net  
Ngoài ra, còn mt scác dch vkhác có thể được khai thác để biết thêm thông  
tin như MSRPC, NetBIOS, SNMP, …. Có thxem thêm chi tiết vcách khai thác các  
dch vnày trong cun Hacking Exposed phn tài liu tham kho bên dưới.  
Sau khi đã ly được đầy đủ thông tin về đối tượng, các hacker có thchn la  
các phương thc tn công, thâm nhp khác nhau. Đầu tiên, hacker có thchn DoS  
hoc DDoS đối tượng. Các cách thc tn công tchi dch vnày không làm hacker  
chiếm được quyn điu khin hthng tuy nhiên nó có thlàm ngưng hthng tường  
la và các dch van ninh hay làm phân tán schú ý ca người qun trhthng  
mng qua đó to điu kin cho vic thâm nhp ddàng hơn.  
Nếu lượng thông tin thu được trong các bước trên đủ để thc hin mt tn công  
nhm vào hthng thì hacker không cn phi tn công tchi dch vmà skhai thác  
các lhng bo mt hoc phã mã để có mt stài khon qun trthông qua nghe trm,  
phishing sdng keylogger, worm và trojan. Cũng có mt strường hp, khi hacker  
không tìm ra được các đim yếu ca hthng, htn công vào đim yếu con người. Ví  
dnhư hgimo đối tác kinh doanh để yêu cu tài khon hp l, hoc hcũng có thể  
gi đin cho nhân viên qun lý và givbmt tài khon. Tt nhiên vic có được đầy  
đủ các thông tin vcon người là rt cn thiết.  
Nếu hacker chđược nhng tài khon qun trị ở mc thp thì hstìm cách  
nâng cp quyn qun trca tài khon đó bng cách li dng stín nhim ca tài  
khon đó.  
Nếu sau bước này, hacker có được toàn quyn hthng thì vic cui cùng mà họ  
làm là xóa du vết và đặt backdoor để thâm nhp ln sau ddàng hơn. Công vic xóa  
16  
du vết chỉ đơn gin là xóa các log ca hthng giám sát hay ca hệ điu hành máy  
thâm nhp, mc độ xóa du vết tùy thuc vào mc đích tn công ca hacker. Mt số  
hacker mun ni danh thm chí còn cý để li du vết, ngoài ra có nhng hacker ăn  
cp các tư liu mt, hcũng mun để li thông đip tng tin hay tương tự để người  
qun trbiết, tuy nhiên hu như tt cả đều phi xóa nhng thông tin lra hlà ai. Còn  
backdoor được sdng cũng có nhiu mc độ khác nhau, các hacker có thto mt  
worm hay trojan trong hthng, có thcài đặt mt phn mm keylogger hay đơn gin  
chto mt tài khon n.  
2.3. MÔ PHNG TN CÔNG VÀ THÂM NHP  
2.3.1. Thu thp thông tin  
Sau khi thu thp đầy đủ thông tin vhthng đối tượng, có nhiu phương pháp có  
thsdng trong thâm nhp, trong khóa lun strình bày 3 mô phng tn công và thâm  
nhp. Nhng phương pháp thâm nhp và tn công khác hoc không thmô phng (nhìn  
trm, nghe trm hay phá mã tài khon người dùng) hoc không còn có nguy cơ xy ra  
(chiếm đot nhng phiên dch vkhông mã hóa). Ngoài ra do không có đủ lượng máy  
để mô phng tn công DDoS nên trong khóa lun schnêu phương thc tn công trên  
lý thuyết và mô phng kiu tn công DoS chkhông mô phng tn công DDoS.  
2.3.2. Tn công tchi dch vụ  
Mt trong snhng tn công phbiến nht ca DoS là SYN Flood. Mô phng sử  
dng công cDoSHTTP ca socketsoft.com.  
Hình 3 - Giao din DoSHTTP  
17  
Công ccó giao din sdng rt đơn gin, chcn thiết lp skết ni đồng thi,  
xác định mc tiêu và tn công. Chcn vài máy cùng tiến hành tn công đồng thi là  
có thể đánh sp mt web server cnh.  
Mt tn công na được mô phng là smurf attack. Công csdng là smurf2k.  
Tương tnhư trên, giao din chương trình cũng rt đơn gin, chvic xác định mc  
tiêu, kích cgói tin và tiến hành tn công.  
Hình 4 - Giao din smurf attack  
2.3.3. Thâm nhp qua Trojan  
Mô phng sdng Trojan Beast. Trojan này lây nhim trên hệ điu hành  
windows và sdng cơ chế client server. Phn server được nhúng vào nhng phn  
mm vô hi và được cài đặt trên máy nn nhân qua sai sót ca người dùng. Phn này  
smmt cng 6666 cho máy client kết ni ti. Trojan này còn có tác dng vô hiu  
hóa phn mm tường la và chng virus đồng thi cài đặt mt keylogger để ly thông  
tin vmt khu ca người dùng qua đó hacker có thtruy cp trc tiếp đến máy nn  
nhân.  
Hình 5 - Giao din client trojan beast  
18  
Đây là màn hình xây dng trojan (nhúng vào các file chy, đưa trojan lên  
webserver).  
Sau khi xây dng trojan và xác định có máy bnhim (có mail gi vnếu máy đó  
đã bnhim), ta sdng chương trình client này để kết ni ti máy đó qua cng 6666.  
Nếu tài khon bnhim là tài khon admin thì ta đã có toàn quyn sdng vi máy đó.  
2.3.4. Thâm nhp qua lhng bo mt [5]  
Đầu tiên, mô phng sdng công cretina network scanner để dò lhng bo  
mt mt trên mt máy Windows server 2003 sp2. Kết qucho thy máy này có mt lỗ  
hng nghiêm trng chưa được vá là li RPC DCOM.  
Hình 6 - Li trong dch vRPC  
Chi tiết vli này như sau [7]:  
19  
Windows cung cp khnăng sdng RPC để thc thi các ng dng phân tán.  
Microsoft RPC bao gm các thư vin và các dch vcho phép các ng dng phân tán  
hot động được trong môi trường Windows. Các ng dng phân tán chính bao gm  
nhiu tiến trình thc thi vi nhim vxác định nào đó. Các tiến trình này có thchy  
trên mt hay nhiu máy tính.  
Microsoft RPC sdng name service provider để định vServers trên mng.  
Microsoft RPC name service provider phi đi lin vi Microsoft RPC name service  
interface (NIS). NIS bao bao gm các hàm API cho phép truy cp nhiu thc thtrong  
cùng mt name service database (name service database cha các thc th, nhóm các  
thc th, lch scác thc thtrên Server). Khi cài đặt Windows, Microsoft Locator tự  
động được chn như là name service provider. Nó là name service provider ti ưu nht  
trên môi trường mng Windows.  
Microsoft dbtràn bộ đệm trong giao din Distributed Component Object  
Model (DCOM) ca dch vRPC (Remote Procedure Call). Bng cách gi mt thông  
đip xu ti dch vRPC, mt ktn công txa có thlàm tràn mt bộ đệm và thc  
thi mt đon mã tùy ý trên hthng bi đặc quyn Local System. Vi đon mã này, kẻ  
tn công có thtoàn quyn xlý vi máy mc tiêu.  
Bước tiếp theo ta sdng phn mm ngun mmetasploit để khai thác lhng  
này. Vào giao din chương trình, chn lhng cn khai thác.  
Hình 7 - Giao din metasploit  
20  
Tiếp đó chn hành động cn thc hin khi khai thác, chn đối tượng và tn công.  
Hình 8 - Giao din metasploit (2)  
Các hành động thc hin được khi khai thác lhng này là to mt giao din  
dòng lnh vi quyn qun tradministrator trên máy nn nhân, to mt tài khon vi  
quyn qun tr, … Khi lhng được khai thác, phía bên máy nn nhân sxut hin  
mt thông báo khi động li dch vRPC.  
21  
CHƯƠNG 3. THIT BNGĂN CHN TN CÔNG VÀ THÂM  
NHP  
3.1. CÁC KHÁI NIM CƠ BN [2]  
Để hiu và nm vng phương pháp phát hin và ngăn chn tn công, thâm nhp,  
mt hthng kiến thc cơ svhthng IDS/IPS là cn thiết. Dưới đây là các thut  
ngsdng trong công nghngăn chn thâm nhp  
Bng 1 – Thut ngIDS/IPS  
Terminology  
Description  
Inline mode  
Kim tra lưu thông mng, có khnăng ngăn chn thâm nhp  
trước khi nó đến được mc tiêu.  
Promiscuous mode Thụ động kim tra lưu thông mng.  
(passive mode)  
Signature engine  
Mt engine htrtín hiu chia snhng thuc tính chung (tương  
tnhư giao thc)  
Meta-Event  
Generator  
Khnăng định nghĩa tín hiu biến đổi da trên nhiu tín hiu  
khác.  
Atomic signature Mt tín hiu phát ra theo ni dung ca tng gói tin.  
Flow-based  
signature  
Mt tín hiu phát ra da trên thông tin cha trong trình tgói tin  
gia 2 hthng (ví dnhư gói tin trong kết ni TCP)  
Behavior-based  
signature  
Mt tín hiu phát ra khi có lưu thông bt thường tnhng người  
dùng thông thường.  
Anomaly-based  
signature  
Mt tín hiu phát ra khi lưu thông vượt quá cu hình bình  
thường.  
22  
Bng 1 – Thut ngIDS/IPS  
Terminology  
Description  
False negative  
Tình hung mà hthng phát hin không nhn biết được thông  
nhp mc dù có mt tín hiu nhn biết được hot động đó.  
False positive  
True negative  
True positive  
Tình hung người dùng bình thường gây ra báo động (không có  
hành vi đột nhp).  
Tình hung mà không phát sinh tín hiu khi có lưu thông bình  
thường trên mng.  
Tình hung báo động đúng khi có đột nhp, tn công trên mng.  
Deep-packet  
inspection  
Gii mã các giao thc và kim tra toàn bgói tin để cho nhng  
lut da trên gói tin hot động đúng.  
Event correlation Kết hp vi đa thông báo hay đa skin vi mt tn công đơn l.  
Risk rating (RR)  
Mt đánh giá đe da da trên nhiu nhà sn xut mà không da  
trên tính nghiêm trng ca tn công.  
IPS/IDS Triggers  
Mc đích ca thiết bIDS/IPS là nhn din tn công và ngăn chn nó. Tuy nhiên  
không phi loi thiết bnào cũng dùng chung mt phương thc ging nhau. Có ba  
phương thc chính được sdng trong hthng IDS/IPS hin ti.  
Anomaly detection  
Misuse detection  
Protocol analysis  
Chú ý :  
Phương thc nhn biết da trên hành động gây ra các báo động ca hthng  
IDS/IPS. Ví dphương thc vi mt hthng chng trm phthông chính là skin  
ca sv. Mt IDS có thgây ra mt báo động khi có mt gói tin ti mt cng xác  
định vi mt dliu xác định.  
23  
Anomaly Detection (Nhn biết bt thường)  
Nhn biết bt thường còn có thgi là nhn biết da trên hsơ. Trong nhn biết  
bt thường, ta xây dng nhng hsơ xác định xem nhng hành vi nào là bình thường.  
Nhng hsơ này có khnăng thc qua nhng cư xtrong quá kh. Sau khi định  
nghĩa nhng hsơ bình thường này, nhng gì còn li là bt thường và sto ra báo  
động.  
Li ích chính ca nhn biết bt thường là nhng báo động to ra không da trên  
nhng tín hiu ca nhng dng tn công cthmà da trên nhng hành động bt  
thường ca nó. Bi vy mà hthng có thphát hin được tn công ngay ctrước khi  
tn công đó được công b.  
Misuse Detection (Nhn biết lm dng)  
Nhn biết lm dng là nhn biết da trên nhng du hiu, nó to ra thông báo khi  
có hot động vi nhng du hiu trùng khp vi nhng du hiu đã xác định trước.  
Nhng du hiu này là mt tp hp các lut bt nhng lhng mà ktn công có thể  
li dng để thâm nhp vào mng. Nhng kĩ sư có kinh nghim có thbiết nhng tn  
công và lhng để phát trin nhng lut cho mi tín hiu riêng.  
Mt sli ích chính là :  
Tín hiu da trên nhng tn công đã biết.  
Dthiết lp nhng nhn biết tn công  
Hthng dhiu  
Nhn biết tn công ngay sau khi cài đặt  
Protocol Analysis (Phân tích giao thc)  
Phương thc cui cùng là phân tích giao thc. Phương thc này sphân tích các  
hot động da trên các giao thc xác định. Nó sphân tích gói tin da trên định nghĩa  
ca giao thc trong RFC và các payload hay tiêu đề gói tin.  
Sdng phân tích giao thc, nhng tn công phi có được các gói tin hp lvà  
cũng phi không cha các tn công trong payload hoc tiêu đề gói tin.  
IPS/IDS Monitoring Locations (Địa đim giám sát IPS/IDS)  
Có hai loi địa đim giám sát sau :  
Host-Based  
Network-Based  
Host-Based  
Hthng phát hin thâm nhp da trên máy trm kim tra nhng hot động trái  
phép bng cách kim tra thông tin mc máy hoc mc hệ điu hành. Nhng hthng  
này thường kim tra nhng cuc gi hthng, hay nhng du vết chnh sa, thông báo  
li hthng …  
24  

Tải về để xem bản đầy đủ

pdf 84 trang yennguyen 19/04/2025 50
Download
Bạn đang xem 30 trang mẫu của tài liệu "Khóa luận Nghiên cứu triển khai hệ thống IDS/IPS", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfkhoa_luan_nghien_cuu_trien_khai_he_thong_idsips.pdf
Luận Văn Liên Quan