Đồ án Tìm hiểu IDS và triển khai hệ thống phát hiện xâm nhập trên mạng cục bộ

MỤC LỤC DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO ..................................................... 5 CÁC THUẬT NGỮ VIẾT TẮT .................................................................................... 6 LỜI GIỚI THIỆU .......................................................................................................... 8 PHẦN 1 : TỔNG QUAN ............................................................................................... 9 1.1 Lý do chọn đề tài ..................................................................................................... 10 1.2 Phân tích hiện trạng ................................................................................................. 10 1.3 Xác định yêu cầu .................................................................................................... 11 1.4 Giới hạn và phạm vi nghiên cứu ............................................................................. 12 1.5 Ý nghĩa thực tiễn của đề tài ..................................................................................... 12 PHẦN 2 : TÌM HIỂU IDS ........................................................................................... 13 2.1 Khái niệm ................................................................................................................ 14 2.2 Các thành phần và chức năng của IDS ..................................................................... 14 2.2.1 Thành phần thu thập gói tin ............................................................................... 14 2.2.2 Thành phần phát hiện gói tin.............................................................................. 15 2.2.3 Thành phần phản hồi ......................................................................................... 15 2.3 Phân loại IDS ........................................................................................................... 15 2.3.1 Network Base IDS (NIDS) ................................................................................ 15 2.3.1.1 Lợi thế của Network-Based IDS .................................................................. 16 2.3.1.2 Hạn chế của Network-Based IDS ................................................................ 16 2.3.2 Host Base IDS (HIDS)....................................................................................... 17 2.3.2.1 Lợi thế của Host IDS .................................................................................. 17 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 1 - 2.3.2.2 Hạn chế của Host IDS ................................................................................. 18 2.4 Cơ chế hoạt động của IDS ....................................................................................... 18 2.4.1 Phát hiện dựa trên sự bất thường ........................................................................ 18 2.4.2 Phát hiện thông qua Protocol ............................................................................. 18 2.4.3 Phát hiện nhờ quá trình tự học ........................................................................... 21 2.5 Các ứng dụng IDS phổ biến hiện nay ....................................................................... 21 PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG ....... 22 3.1 Các phương thức tấn công ....................................................................................... 23 3.1.1 ARP Spoofing ................................................................................................... 23 3.1.2 Syn Flood .......................................................................................................... 23 3.1.3 Zero Day Attacks ............................................................................................... 23 3.1.4 DOS - Ping Of Death ......................................................................................... 24 3.2 Các phương thức phòng chống ................................................................................. 24 3.2.1 ARP Spoofing : mã hóa ARP Cache .................................................................. 24 3.2.2 Syn Flood ......................................................................................................... 25 3.2.3 Zero Day Attacks ............................................................................................... 25 3.2.4 DOS – Ping Of Death ........................................................................................ 25 PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP ........................... 26 4.1 Các bước thực hiện .................................................................................................. 27 4.1.1 Mô hình mạng tổng quan ................................................................................... 27 4.1.2 Máy Client ......................................................................................................... 27 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 2 - 4.1.3 Máy IDS ............................................................................................................ 27 4.1.4 Máy Webserver ................................................................................................. 28 4.1.5 Máy Windows Server 2008 ............................................................................... 28 4.2 Cấu hình IDS .......................................................................................................... 28 4.2.1 Mô hình mạng chi tiết ....................................................................................... 28 4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort kết hợp Iptables .......................................................................................................... 29 4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 ............................................. 29 4.2.2.2 Truy cập Web trái phép theo IP và tên miền ................................................ 29 4.2.2.3 Truy cập Website vào giờ cấm. ................................................................... 29 4.2.2.4 Truy cập theo phương thức FTP .................................................................. 30 4.2.2.5 Tấn công theo phương thức Ping Of Death .................................................. 30 4.2.2.6 Hành động chat với các máy ip lạ. ............................................................... 30 4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. ..................... 30 4.2.3 Cài đặt webmin quản lý Snort ............................................................................ 31 4.2.4 Tạo CSDL Snort với MySQL ............................................................................ 31 4.2.5 Cài đặt BASE .................................................................................................... 31 PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT CỦA MỘT IDS ............................................................................................................ 32 5.1 Inotify ...................................................................................................................... 33 5.2 Lập trình API kết hợp với Inotify ............................................................................ 33 5.3 Sản phẩm ................................................................................................................. 34 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 3 - PHẦN 6 : TỔNG KẾT ................................................................................................. 35 6.1 Những vấn đề đạt được ............................................................................................ 36 6.2 Những vấn đề chưa đạt được .................................................................................... 36 6.3 Hướng mở rộng đề tài .............................................................................................. 37 PHẦN 7 : PHỤ LỤC .................................................................................................... 38 7.1 Tài liệu tham khảo ................................................................................................... 39 7.2 Phần mềm IDS-Snort ............................................................................................... 40 7.2.1 Giới thiệu Snort ................................................................................................. 40 7.2.2 Snort là một NIDS ............................................................................................. 41 7.3 Cấu hình các Rules cơ bản của Snort và Iptables...................................................... 41 7.3.1 Rules Snort ........................................................................................................ 41 7.3.1.1 Cảnh báo ping. ............................................................................................ 41 7.3.1.2 Cảnh báo truy cập website. .......................................................................... 41 7.3.1.3 Cảnh báo truy cập FTP. ............................................................................... 41 7.3.1.4 Cảnh báo truy cập Telnet. ............................................................................ 41 7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. ................................................... 42 7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 .......................................................................... 42 7.3.1.7 Cảnh báo chat với các máy có IP lạ ............................................................. 42 7.3.1.8 Ngăn chặn các trang Web có nội dung xấu .................................................. 42 7.3.2 Rules Iptables .................................................................................................... 42 7.3.2.1 Ngăn chặn ping. .......................................................................................... 42 7.3.2.2 NAT inbound và NAT outbound ................................................................. 43 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 4 - 7.3.2.3 Ngăn chặn truy cập website ......................................................................... 43 7.3.2.4 Ngăn chặn truy cập FTP .............................................................................. 44 7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 ....................................................................... 44 7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn. ................................................. 44 7.3.2.7 Ngăn chặn chat với các máy có IP lạ ........................................................... 44 7.4 Hướng dẫn chi tiết cấu hình Snort ........................................................................... 44 7.5 Thiết lập mạng và cấu hình các biến ....................................................................... 46 7.6 Cấu hình option của file Snort.conf .......................................................................... 47 7.7 Cấu hình tiền xử lý (preprocessor) ......................................................................... 48 7.8 Thiết Lập Snort khởi động cùng hệ thống ................................................................ 50 7.9 Quản lý snort bằng webmin .................................................................................... 51 7.10 Tạo CSDL snort với MySQL ................................................................................. 51 7.11 Cài đặt BASE và ADODB .................................................................................... 52 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 5 - DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) : Hình 1 trong phần 2 Hình 2: Network IDS : Hình 2 trong phần 2 Hình 3: Host base IDS : Hình 3 trong phần 2 Hình 4: Cấu trúc IP Header : Hình 4 trong phần 2 Hình 5: Cấu trúc TCP Header : Hình 5 trong phần 2 Hình 6: Xem ARP Cache : Hình 1 trong phần 3 Hình 7: Mô hình mạng tổng quan : Hình 1 trong phần 4 Hình 8: Mô hình mạng chi tiết : Hình 2 trong phần 4 Hình 9 : Quản lý với Webmin : Hình 1 trong phần 6 Hình 10 : Quản lý BASE : Hình 2 trong phần 6 Hình 11 : Sản phẩm demo - Hình 1 trong phần 5 Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 6 - CÁC THUẬT NGỮ VIẾT TẮT  IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập  NIDS: Network Intrusion Detection System.  HIDS: Host Intrusion Detection System.  DIDS: Distributed Intrusion Detection System.  ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên cùng khái niệm với ActiveX Data Objects của Microsoft.  DdoS – Distribute Denial of Service. Từ chối dịch vụ phân tán.  LAN – Local Area Network: mạng máy tính cục bộ.  Sensor: Bộ phần cảm biến của IDS.  Alert: Cảnh báo trong IDS.  TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận.  Slow Scan: là tiến trình “quét chậm”.  SSL – Secure Sockets Layer.  SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật.  IPSec: IP Security.  DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngoài của một tổ chức.  CPU : Central Processing Unit- Đơn vị xử lý trung tâm.  UNIX: Unix hay UNIX là một hệ điều hành máy tính.  Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy cập từ xa.  Protocol: Giao thức  Payload: Độ tải của một gói tin trên mạng.  Attacker: Kẻ tấn công. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 7 -  ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối xứng.  WLAN: Wireless Local Area – mạng cục bộ không dây.  Iptables : Hệ thống tường lửa trong linux.  ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích dữ liệu cho hệ thống phát hiện xâm nhập  BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin  Software: Phần mềm  OS : Operating System : hệ điều hành  OSI : Open Systems Interconnection : mô hình 7 tầng OSI Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 8 - LỜI GIỚI THIỆU  Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp chúng em hoàn thành đồ án tốt nghiệp này. Mặc dù đã cố gắng hoàn thành đề tài nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều thiếu sót. Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô. Chúng em xin chân thành cảm ơn. Các sinh viên thực hiện : 1. Huỳnh Tiến Phát : Số điện thoại : 0986.440.748 Email: phathuynh@daihoc.com.vn 2. Trần Quang Lâm : Số điện thoại : 0984.055.050 Email: lamtran@daihoc.com.vn Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 9 - PHẦN 1 : TỔNG QUAN Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 10 - 1.1 Lý do chọn đề tài Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến nhà quản trị mà nó còn cung cấp những thông tin sau:  Các sự kiện tấn công.  Phương pháp tấn công.  Nguồn gốc tấn công.  Dấu hiệu tấn công. Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt. Một số lý do để thêm IDS cho hệ thống tường lửa là:  Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai.  Ngăn chặn các cuộc tấn công được cho phép thông qua tường lửa.  Làm cho nỗ lực tấn công bị thất bại.  Nhận biết các cuộc tấn công từ bên trong. 1.2 Phân tích hiện trạng - Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. - 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. - Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 11 - - Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. - Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp. - Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of death" hay vẫn thường được gọi là màn hình xanh chết chóc. Hacker có thể gửi tới hệ thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm ngưng lại mọi hoạt động. - Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. 1.3 Xác định yêu cầu  Yêu cầu bắt buộc: 1. IDS là gì? 2. Các thành phần của IDS. 3. Các mô hình IDS. 4. Các ứng dụng IDS phổ biến hiện nay. 5. Triển khai mô hình IDS demo trong mạng LAN.  Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của một IDS. Sưu tầm bởi www.diendandaihoc.com Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Trang 12 - 1