Luận văn Tóm tắt Nghiên cứu triển khai hệ thống phát hiện và phòng chống xâm nhập IDS/IPS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- Nguyễn Phương Thực NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS Chuyên ngành: Hệ Thống Thông Tin Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ TP. HÀ NỘI - 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Nguyễn Thành Phúc (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………….. Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ............... Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông LỜI CẢM ƠN Tôi xin chân thành cảm ơn quý thầy cô cùng Ban giám hiệu nhà trường, các thầy cô trong khoa Công nghệ Thông tin đã cho tôi những kiến thức nền tảng trong những năm học tại trường. Đặc biệt tôi xin bày tỏ sự biết ơn sâu sắc tới TS. Nguyễn Thành Phúc – Cục trưởng Cục Ứng dụng công nghệ thông tin – Bộ Thông tin và Truyền thông đã luôn tận tình hướng dẫn và tạo nhiều điệu kiện tốt nhất để tôi hoàn thành luận văn. Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, những người đã sinh thành và dạy bảo con trưởng thành như ngày hôm nay. Những người đã luôn hết lòng tận tụy chăm sóc, ủng hộ và động viên con trong suốt thời gian học tập và nghiên cứu. Mặc dù tôi đã nghiêm túc và cố gắng hoàn tất đề tài nhưng chắn chắn sẽ không tránh khỏi những thiếu sót, kính mong sự thông cảm và góp ý giúp đỡ của quý thầy cô và các bạn. Nguyễn Phương Thực LỜI CAM ĐOAN Tôi cam đoan luận văn này là công trình nghiên cứu của riêng tôi. kết quả đạt được trong luận văn là sản phẩm của riêng cá nhân, không sao chép lại của người khác. Các số liệu, kết quả nêu trong luận văn là trung thực. Luận văn này chưa từng được ai công bố trong bất kỳ công trình nào khác. Nếu sai tôi xin chịu hoàn toàn trách nhiệm. Tác giả luận văn Nguyễn Phương Thực MỤC LỤC MỞ ĐẦU ........................................................................................ 6 1.1 Hiện trạng về an ninh mạng ................................................. 1 1.1.1 Hiện trạng về an ninh mạng trong nước .................. 1 1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam.. 2 1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ ............................................................ 2 1.2.1 Sự cần thiết phải có an ninh mạng ........................... 2 1.2.2 Các yếu tố cần bảo vệ .............................................. 2 1.2.3 Mô hình phòng vệ theo chiều sâu: ........................... 3 1.3 Chính sách an toàn, an ninh mạng ....................................... 3 1.3.1 Khái niệm chính sách an ninh mạng ........................ 3 1.3.2 Cấu trúc an toàn, an ninh mạng ............................... 3 1.3.3 Chính sách an toàn, an ninh mạng ........................... 3 1.4 Phương pháp phát hiện và phòng chống xâm nhập ............ 4 1.4.1 Xác định mối đe dọa ................................................ 4 1.4.2 Phương pháp phòng chống xâm nhập: ..................... 4 Chương 2 - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS ............................... 6 2.1 IDS ........................................................................................... 6 2.1.1 Khái niệm ................................................................. 6 2.1.3 Công nghệ ................................................................ 8 2.1.4 Phân loại ................................................................... 9 2.2 IPS ........................................................................................ 9 2.2.2 Ưu nhược điểm ......................................................... 9 2.2.3 Công nghệ ................................................................ 10 2.2.4 Phân loại ................................................................... 10 2.3 So sánh IDS và IPS .............................................................. 10 2.3.1 Sự giống nhau .......................................................... 10 2.3.2 Sự khác nhau ............................................................ 11 2.4 Phương pháp phát hiện xâm nhập ........................................ 12 2.4.1 Phát hiện dấu hiệu không bình thường .................... 12 2.4.2 Phát hiện dựa theo hành vi bất thường..................... 12 2.4.3 Phát hiện dấu hiệu có hành vi xấu ........................... 13 2.4.4 Phát hiện dựa vào tương quan các mấu tham số ...... 13 2.5 Một số giải pháp IDS/IPS thương mại ................................ 13 2.5.1 Giải pháp của Cisco ................................................. 13 2.5.2 Giải pháp của ISS Proventia .................................... 13 2.5.3 Giải pháp của NFR ................................................... 14 Chương 3 - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS .......................................................................... 14 3.1 Giới thiệu kiến trúc hệ thống ............................................... 14 3.1.1 Kiến trúc chung của các hệ thống IPS ..................... 14 3.2 Các yêu cầu triển khai .......................................................... 14 3.2.1 Các yêu cầu về bảo mật ............................................ 14 3.2.2 Yêu cầu về phần cứng, phần mềm ........................... 15 3.3 Xây dựng mô hình mạng thử nghiệm .................................. 16 3.3.1 Thiết kế mô hình mạng thử nghiệm ......................... 16 3.3.2 Triển khai cài đặt ...................................................... 16 3.3.3 Triển khai cấu hình: ................................................. 16 3.3.4 Sử dụng IPS ngăn chăn tấn công theo yêu cầu về bảo mật ..................................................................................... 17 3.4 Tùy chỉnh các tham số phòng chống tấn công..................... 20 3.4.1 Điều chỉnh tham số cảnh báo ................................... 20 3.4.2 Tùy chỉnh custom atomic signature ......................... 20 3.4.3 Tùy chỉnh custom stream signature ......................... 22 3.4.4 Tùy chỉnh custom http signature .............................. 22 3.5 Đánh giá kết quả thử nghiệm ............................................... 22 3.5.1 Kết quả đạt được ...................................................... 22 3.5.2 Nhận xét và đánh giá ................................................ 23 3.5.3 Định hướng nghiên cứu ............................................ 24 DANH MỤC TÀI LIỆU THAM KHẢO ....................................... 25 DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT Chữ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập IDS Intrusion Detection System Hệ thống phát hiện xâm nhập CNTT Công nghệ thông tin ISS Internet Security Systems Hệ thống bảo mật mạng DMZ Demilitarized Zone Vùng phi quân sự ISP Internet Service Provider Nhà cung cấp dịch vụ Internet ISO Internation Standard Organization Tổ chức tiêu chuẩn quốc tế LAN Local Area Network Mạng cục bộ TCP Transmission Control Protocol Giao thức kiểm soát truyền tin MỞ ĐẦU Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ biến trong hầu hết các hoạt động kinh tế xã hội. Cùng với sự phát triển đó, ngày càng xuất hiện nhiều hơn những cá nhân, nhóm hoặc thậm chí là cả những tổ chức hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống này. Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá nhân cũng như các cơ quan, tổ chức phải kết nối mạng Internet toàn cầu. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối Internet. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin… gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công không được báo trước, số lượng các vụ tấn công tăng lên nhanh chóng và các phương pháp tấn công cũng liên tục được hoàn thiện. Vì vậy việc kết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải có các biện pháp đảm bảo an toàn thông tin. Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên phải đối mặt trên môi trường Internet em đã quyết định chọn đề tài: Nghiên cứu, triển khai hệ thống phát hiện và phòng chống xâm nhập IDS/IPS. Nội dung chính của luận văn gồm 3 chương như sau: Chương 1: Tổng quan về an ninh mạng máy tính Chương 2: Hệ thống phát hiện và phòng chống xâm nhập IDS/IPS Chương 3: Triển khai và đánh giá thử nghiệm giải pháp Cisco IPS 1 Chương 1 - Chương 1- TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1.1 Hiện trạng về an ninh mạng Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng. Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó. Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người. 1.1.1 Hiện trạng về an ninh mạng trong nước Trong những năm qua, dưới sự lãnh đạo và điều hành của Chính phủ, lĩnh vực CNTT đã không ngừng phát triển góp phần thúc đẩy sự phát triển của kết cấu hạ tầng đóng góp tích cực vào sự phát triển kinh tế - xã hội. Mặc dù kinh tế có nhiều khó khăn do chịu ảnh hưởng của cuộc khủng hoảng kinh tế toàn 2 cầu, lĩnh vực CNTT vẫn tiếp tục phát triển và đạt được nhiều thành tựu quan trọng. 1.1.2 Số liệu khảo sát về an toàn thông tin tại Việt Nam Hệ thống quản lý an toàn thông tin tại Việt Nam hiện nay còn rất yếu kém thể hiện ở tỉ lệ các đơn vị có cán bộ chuyên trách, bán chuyên trách về an toàn thông tin chỉ chiếm gần 70%. Trong khi đó tỉ lệ đơn vị có kế hoạch đào tạo an toàn thông tin chiếm khoảng 60%. Đặc biệt tỉ lệ đơn vị mua bảo hiểm đề phòng thiệt hại do bị tấn công máy tính vô cùng ít chỉ có 11.6 %. 1.2 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ 1.2.1 Sự cần thiết phải có an ninh mạng Để thấy được tầm quan trọng của việc đảm bảo an ninh mạng ta tìm hiểu các tác động của việc mất an ninh mạng và từ đó đưa ra các yếu tố cần bảo vệ. Các lớp an ninh trên mạng có nghĩa là thông tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công. . 1.2.2 Các yếu tố cần bảo vệ - Dữ liệu, Hệ thống, Đường truyền, 3 1.2.3 Mô hình phòng vệ theo chiều sâu: 1.2.3.1 Giới thiệu 1.2.3.2 Bảo vệ vành đai 1.2.3.3 Bảo vệ mạng 1.2.3.4 Bảo vệ máy chủ 1.2.3.5 Bảo vệ ứng dụng 1.2.3.6 Bảo vệ dữ liệu 1.3 Chính sách an toàn, an ninh mạng 1.3.1 Khái niệm chính sách an ninh mạng Chính sách an ninh mạng là những nội dung, kế hoạch đã được nghiên cứu tổng hợp rất kỹ để đánh giá mức độ an toàn của hệ thống mạng. 1.3.2 Cấu trúc an toàn, an ninh mạng Kiến trúc an ninh OSI rất hữu ích để quản lý như một cách thức tổ chức công tác đảm bảo an ninh. Kiến trúc an ninh OSI tập trung vào các cuộc tấn công an ninh, cơ chế, và dịch vụ. 1.3.3 Chính sách an toàn, an ninh mạng Các chính sách bảo mật là một mô tả hành vi mong muốn. chính sách này có thể tham khảo các yêu cầu về bảo mật, tính toàn vẹn, và sẵn có… Một chính sách bảo mật là các quy 4 tắc và thực hành cụ thể của quy định như thế nào một hệ thống hoặc tổ chức cung cấp dịch vụ an ninh để bảo vệ tài nguyên hệ thống nhạy cảm và quan trọng. một chính sách bảo mật được thực thi bởi các hệ thống kỹ thuật quảng cáo kiểm soát cũng như quản lý và kiểm soát hoạt động.. 1.4 Phương pháp phát hiện và phòng chống xâm nhập 1.4.1 Xác định mối đe dọa 1.4.1.1 Mối đe dọa không cấu trúc 1.4.1.2 Xác định mối đe dọa có cấu trúc 1.4.1.3 Xác định mối đe dọa từ bên ngoài 1.4.1.4 Xác định mối đe dọa từ bên trong 1.4.2 Phương pháp phòng chống xâm nhập: 1.4.2.1 Reconnaissance Attacks Các cuộc tấn công do thám liên quan đến việc khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ hổng. Reconnaissance Attacks thường sử dụng bắt gói tin và máy quét cổng tương tự như một tên trộm khảo sát một khu phố tìm gia đình mất cảnh giác để đột nhập vào, chẳng hạn như một nơi cư trú trống hoặc một ngôi nhà với một cánh cửa dễ mở. Reconnaissance Attacks có thể được giảm nhẹ bằng nhiều cách: Sử dụng xác thực là một lựa chọn đầu tiên trong việc 5 phòng chống bắt các gói tin. Xác thực là một phương pháp chứng thực người dùng có thể không dễ dàng bị phá vỡ . Một mật khẩu một lần (OTP) là một hình thức xác thực mạnh. Xác thực hai yếu tố kết hợp như một thẻ token với một mã PIN. Mã hóa cũng có hiệu quả để giảm thiểu các cuộc tấn công gói bắt các gói tin. Nếu gói tin được mã hóa thì dữ liệu bị bắt là không thể đọc được. Đặc biệt sử dụng một IPS và tường lửa có thể giới hạn những thông tin mà có thể được phát hiện với một máy quét cổng. Quét kết nối có thể được dừng lại nếu ICMP echo và echo- reply được tắt trên bộ định tuyến biên. Tuy nhiên, khi các dịch vụ này được tắt, chẩn đoán mạng dữ liệu gặp nhiều khó khăn. Ngoài ra, cổng quét có thể chạy mà không cần quét đầy đủ, chỉ đơn giản là mất nhiều thời gian vì các địa chỉ IP không hoạt động cũng được quét. 1.4.2.2 Access Attacks Một số lượng đáng ngạc nhiên của các cuộc tấn công truy cập được thực hiện thông qua đoán mật khẩu đơn. Việc sử dụng các giao thức xác thực mã hóa hoặc băm, cùng với một chính sách mật khẩu mạnh, làm giảm đáng kể khả năng tấn công truy cập thành công. Có những hoạt động cụ thể giúp để đảm bảo một chính sách mật khẩu mạnh: 6 Vô hiệu hóa tài khoản sau khi một số cụ thể của thông tin đăng nhập không thành công. Việc này cũng giúp phòng chống nỗ lực mật khẩu liên tục. Không sử dụng mật khẩu chữ thô. Sử dụng hoặc một mật khẩu một lần (OTP) hoặc mật khẩu mã hóa. Sử dụng mật khẩu mạnh. Mật khẩu mạnh ít nhất tám ký tự và có chữ hoa, chữ thường, số và các ký tự đặc biệt. 1.4.2.1 Denial of Service Attacks Để giảm thiểu tấn công DDoS đòi hỏi phải chẩn đoán cẩn thận, lập kế hoạch, và hợp tác từ các ISP. Các yếu tố quan trọng nhất để giảm đối với cuộc tấn công DoS là bức tường lửa và IPSS. Cả hai IPSS dựa trên máy chủ và dựa trên mạng được khuyến khích. Sử dụng công nghệ antispoofing, chẳng hạn như bảo mật cổng, DHCP snooping, địa chỉ IP nguồn Guard, Dynamic ARP Thanh tra, và ACL. Chương 2 - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS 2.1 IDS 2.1.1 Khái niệm 2.1.2 Ưu nhược điểm 2.1.2.1 Ưu nhược điểm của Network Base IDS  Lợi thế của Network-Based IDSs: 7 - Quản lý được cả một network segment (gồm nhiều host) - Trong suốt với người sử dụng lẫn kẻ tấn công - Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới một host nào đó. - Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) - Độc lập với OS  Hạn chế của Network-Based IDSs: - Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion. - Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…) - NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn - Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. 2.1.2.2 Ưu nhược điểm của Host Based IDS  Lợi thế của HIDS: - Có khả năng xác đinh user liên quan tới một event. 8 - HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. - Có thể phân tích các dữ liệu mã hoá. - Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.  Hạn chế của HIDS: - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. - Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". - HIDS phải được thiết lập trên từng host cần giám sát . - HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…). - HIDS cần tài nguyên trên host để hoạt động. - HIDS có thể không hiệu quả khi bị DOS. - Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. 2.1.3 Công nghệ IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của IDS là quan sát các sự kiện trên hệ thống 9 mạng và thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động.  Hệ thống phát hiện xâm nhập cứng(cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền tảng cảm biến sau đây: 2.1.4 Phân loại 2.1.4.1 Network Based IDS 2.1.4.2 Host Based IDS 2.1.4.3 Application•Based IDS 2.1.4.4 Signature•Based IDS 2.1.4.5 Statistical Anomaly Based IDS 2.2 IPS 2.2.1 Khái niệm Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. 2.2.2 Ưu nhược điểm 2.2.2.1 Phát hiện sự bất thường 10 2.2.2.2 Kiểm tra lạm phát 2.2.2.3 Kiểm tra các chính sách 2.2.2.4 Phân tích giao thức 2.2.3 Công nghệ Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS cung cấp khả năng cho việc phòng chống trong tương lai với các hoạt động xâm nhập từ các máy chủ nghi ngờ.  Hệ thống phát hiện xâm nhập mềm Cũng tương tự như trong phần công nghệ của IDS  Hệ thống phát hiện xâm nhập cứng(cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. 2.2.4 Phân loại 2.2.4.1 IPS ngoài luồng(Promiscuous Mode IPS) 2.2.4.2 IPS trong luồng (In-line IPS) 2.3 So sánh IDS và IPS 2.3.1 Sự giống nhau 11 Đều là hệ thống phát hiện xâm nhập dùng hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền cao nhất”, các Hệ thống Ngăn ngừa Xâm nhập có thể bắt lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý: liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp? Sau đó thực hiện h