Hệ thống phát hiện xâm nhập IDS – SNORT

MỤC LỤC DANH MỤC HÌNH VẼ Tên Hình Vẽ Trang Hình 1.1. Mô hình VPN client to site 11 Hình 1.2. Mô hình VPN site-to-site 11 Hình 1.3. Mô hình tổng quát Firewall 12 Hình 1.4. Hệ thống chống xâm nhập IDS 14 Hình 2.1. Các vị trí đặt IDS trong mạng 17 Hình 2.2. Thành phần của IDS 18 Hình 2.3. Hoạt động của IDS 19 Hình 2.4. Mô hình Network based IDS - NIDS 23 Hình 2.5. Mô hình Host based IDS – HIDS 25 Hình 3.1. Mô hình kiến trúc hệ thống Snort 34 Hình 3.2. Thành phần hệ thống của Snort 34 Hình 3.3. Bộ tiền sử lý 35 Hình 3.4. Bộ phát hiện 37 Hình 3.5. Bộ kết xuất thông tin 38 Hình 3.6. Cấu trúc luật của Snort 40 Hình 3.7. Header của luật Snort 40 Hình 3.8. Mô hình mạng Công Ty Hoàn Mỹ 51 Hình 3.9. Mô hình giải pháp kết hợp IDS 52 Hình 3.10. Mô hình Demo 53 Hình 3.11. Giao diện chính của trang www.snort.org 53 Hình 3.12. Giao diện Download Rules 54 Hình 3.13. Chế độ màn hình đang Setup Snort 54 Hình 3.14. Thư mục Rule 55 Hình 3.15. Thư mục Rule chứa thư mục giải nén trên 55 Hình 3.16. Khai báo biến HOME_NET 56 Hình 3.17. Khai báo biến RULE_PATH 56 Hình 3.18. Khai báo các biến include classification,reference 57 Hình 3.19. Khai báo các biến dynamicpreprocessor và dynamicengine 57 Hình 3.20. Kết quả sau khi thực thi dòng lệnh 58 Hình 3.21. Số card mạng 58 Hình 3.22. Bắt và phân tích gói tin 59 Hình 3.23. Kết quả thu được 59 Hình 3.24. Bắt và lưu gói dữ liệu vào file Log 60 Hình 3.25. Kiểm thử file Log đã ghi lại 60 Hình 3.26. Tạo file text co tên là “”tài liệu bảo mật” 62 Hình 3.27. Viết luật 1) 2) 3) 62 Hình 3.28. Chạy Snort để cập nhật rule vừa khởi tạo 63 Hình 3.29. Truy cập Website ->chọn Bom 63 Hình 3.30. Máy 192.168.1.100 -> 192.168.1.200 64 Hình 3.31. Window server 2003 copy file text “tài liệu bảo mật” về máy 64 Hình 3.32. Kết quả ghi lại khi thực hiện 65 Hình 3.33. Viết luật 3) và 4) 66 Hình 3.34. Vào trình duyêt mp3.zing.vn 66 Hình3.35. Kết quả IDS_Ssnort ghi lại 67 Hình 3.36. Window server 2003 gởi nhiều gói tin 67 Hình 3.37. Kết quả thu được 68 DANH MỤC BẢNG BIỂU Bảng Trang Bảng 1.1. So sánh 2 mô hình phát hiện 28 Bảng 2.1. Một vài dich vụ và port tương ứng 45 DANH MỤC TỪ VIẾT TẮT IDS Intrusion Detection System HIDS Host – based Intrusion Detection System NIDS Network – based Intrusion Detection System SMTP Simple Mail Transfer Protocol (giao thuc tuyen tai thu tin) PIN Personal Indentification Number QoS Quality of Service (chỉ chất lượng dịch vụ) DoS Denial of Services DNS Domain Name System VPN Virtual Private Network MỞ ĐẦU LÝ DO CHỌN ĐỀ TÀI An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên tôi đã chọn đề tài “Hệ thống phát hiện xâm nhập IDS – SNORT” để nghiên cứu. Ý NGHĨA CỦA ĐỀ TÀI Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS Xây dựng bản demo về việc phát hiện xâm nhập bằng Snort ĐỐI TƯỢNG VÀ PHƯƠNG PHÁP NGHIÊN CỨU Tìm hiểu về bảo mật Nghiên cứu những phương pháp xâm nhập hệ thống– biện pháp ngăn ngừa Nghiên cứu về hệ thống phát hiện xâm nhập IDS Nghiên cứu công cụ IDS – Snort Xây dựng hệ thống Snort – IDS trên Window Thu thập tài liệu liên quan đến các vấn đề về đề tài Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập CÁC MỤC TIÊU CỦA ĐỀ TÀI Tìm hiểu thông tin về bảo mật Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS. Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort. Tìm hiểu và sử dụng tốt hệ điều hành Window Tìm hiểu phương pháp và triển khai cài đặt Snort trên Window Đưa ra một số nhận định và hướng phát triển đề tài. BỐ CỤC Nội dung khóa luận tốt nghiệp gồm 3 chương: Chương I: Tổng quan về bảo mật Những nguy cơ đe dọa đối với bảo mật. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa. Các giải pháp bảo mật an toàn cho hệ thống. Chương II: Hệ thống phát hiện xâm nhập IDS Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS. Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS. Cách phát hiện kiểu tấn công thông dụng của IDS. Chương III: Triển khai ứng dụng dò tìm xâm nhập trên hệ thống Window dựa trên Snort. Kiến trúc Snort. Bộ luật Snort. Demo triển khai CHƯƠNG I TỔNG QUAN VỀ BẢO MẬT GIỚI THIỆU VỀ BẢO MẬT Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm. Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật…Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng. Những điều này dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bỗ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng… Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập IDS với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS phù hợp với điều kiện Việt Nam và qua đó ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng.. Khái niệm Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công. Khái niệm bảo mật thành 3 lĩnh vực chính : Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers. Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng. Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet. Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin. Tính an toàn của hệ thống mạng Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính : Thông tin - bí mật : Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó. Thông tin - Toàn vẹn : Thông tin chỉ được điểu khiển (sửa đổi, thay thế v.v…) bởi những người được quyền ủy thác. Thông tin - sẵn sàng : Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu. Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau : Xác thực (Authentication): là các tiền trình xử lý nhằm xác định nhận dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền. Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống. NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐỐI VỚI BẢO MẬT Theo đánh giá của tổ chức CERT, các nguy cơ an ninh xuất hiện từ khả năng : Sự lạm dụng của máy tính của các bạn bởi những người làm phiền qua Internet. Đối mặt thường xuyên khi làm việc trên Internet. Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không chính thống v.v… Chính các nguy cơ này làm bộc lỗ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hỗng) mà kẻ xấu có thể lợi dụng để truy cập bất hợp pháp hoặc hợp pháp vào máy tính của bạn. Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống. Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức độ tác hại hệ thống, do Bộ quốc phòng Mỹ công bố năm 1994. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. Các lỗ hổng loại B Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. Các lỗ hổng loại A Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin như ISS trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, không phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Dựa vào kẻ hở của các lỗ hỗng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm không chế và nắm quyền kiểm soát trên mạng. Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi và thậm chí phá huỷ dữ liệu hoặc làm treo các hoạt động của một hệ thống thông tin điện tử.Các hacker cũng có thể gài bẫy những người sử dụng thiếu cảnh giác hoặc đánh lừa những hệ thống thông tin kém phòng bị. Chẳng hạn, chúng sưu tầm các địa chỉ email và gửi thư kèm virus đến đó hoặc làm nghẽn tắc mạng bằng cách gửi thật nhiều các bức thư điện tử đến cùng một địa chỉ. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị mạng, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG – BIỆN PHÁP PHÁT HIỆN VÀ NGĂN NGỪA Phương thức ăn cắp thông tin bằng Packet Sniffer Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin bí mật khác trao đổi trong mạng. Biện pháp phát hiện và ngăn ngừa: Authentication Kỹ thuật này được thực hiện bao gồm hai yếu tố: Personal Identification number (PIN) để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không còn giá trị vì hết hạn. Mã hóa Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu… Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute – force attack, chương trình Trojan House, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, nhưng hacker lại thường sử dụng brute – force để lấy user account hơn. Tấn công brute – force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và sai” password. Biện pháp phát hiện và ngăn ngừa: Phương pháp giảm thiểu tấn công password: giới hạn số lần login sai,đặt password sai. Cấm truy cập vào thiết bị, server từ xa thông qua các giao thức không an toàn như FTP, Telnet… Phương thức tấn công bằng Mail Relay Đây là phương pháp phố biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng, phá hoại hệ thống email khác. Biện pháp phát hiện và ngăn ngừa: Giới hạn dung lượng Mail box Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP Sử dụng gateway SMTP riêng Phương thức tấn công hệ thống DNS DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng. Biện pháp phát hiện và ngăn ngừa: Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS Phương thức tấn công Man-in-the-middle attack Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gởi các tín hiệu RF mạnh hơn AP hợp pháp đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, và lúc này thì hacker toàn quyền sử lý. Tấn công dạng này được thực hiện nhờ một packet sniffer. Biện pháp phát hiện và ngăn ngừa: Tấn công dạng này có thể hạn chế bằng cách mã hóa dữ liệu được gửi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. Phương thức tấn công để thăm dò mạng Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan. Biện pháp phát hiện và ngăn ngừa: Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được ping sweep, nhưng lại nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25… Biện pháp phát hiện và ngăn ngừa: Lưu lại file log, và thường xuyên phân tích file log. Luôn cập nhật các patch cho OS và các ứng dụng. Dùng IDS, có 2 loại IDS: HIDS, NIDS. Phương thức tấn công Virus và Trojan Horse Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house. Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó. Trojan house thì hoạt động khác hơn. Một ví dụ về Trojan house là một phần mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation. Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. Biện pháp phát hiện và ngăn ngừa: Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới. CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG Bảo mật VPN (Virtual Private Network) Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa thích. VPN cho phép kết nối với những người dùng ở xa, các văn phòng chi nhánh của bộ, công ty và các đối tác đang sử dụng một mạng công cộng. Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Định đường hầm cho phép những giao thức như IPX, Apple Talk và IP được mã hóa sau đó đóng gói trong IP… VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS-Quality of Service), là một thuật ngữ dùng để chỉ chất lượng của một hệ thống truyền thông hay một kết nối truyền thông trong mạng. VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS Ưu điểm của VPN Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền. Truy cập mọi lúc mọi nơi. Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Giảm chi phí quản lý và hỗ trợ: với qui mô kinh tế, các nhà cung cấp dịch vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị so với việc tự quản lý mạng. Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và VPN điểm nối điểm (site-to-site). VPN truy cập từ xa (Remote-Access) Hình 1.1. Mô hình VPN client to site VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa VPN điểm nối điềm (site-to-site) Hình 1.2. Mô hình VPN site-to-site VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với công ty khác (ví dụ như đối tác cung cấp, khách hàng…)họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Firewall Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia. Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được thiết lập. Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống. Hình 1.3. Mô hình tổng quát Firewall Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin… Các thành phần của Firewall: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau: Bộ lọc packet. Cổng ứng dụng Cổng mạch Bộ lọc gói tin Ưu điểm Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng. Hạn chế Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên môi trường. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống. Có hai dạng chính đó là: Network bases –IDS và Host based – IDS. IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Hình 1.4. Hệ thống chống xâm nhập IDS Hệ thống phát hiện xâm nhập phần mềm (Snort) Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yếu cầu để có thể cài đặt Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh báo, một máy chủ khá mạnh. Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất. Snort có thể chạy trên các hệ điều hành như window, linux… Hệ thống phát hiện xâm nhập phần cứng (Cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như: Cisco IDS 4235, Cisco IPS 4.200 CHƯƠNG