Professional Documents
Culture Documents
BTLAnNinh Word
BTLAnNinh Word
HÀ NỘI
KHOA CÔNG NGHỆ
THÔNG TIN
----------------------
Đề tài: Tìm hiểu về hệ thống xâm nhập IDS Sensor của Cisco
Năm 2021
Mục lục
1.Khái niệm về IDS................................................................................................................................. 3
2.Lịch sử ra đời của IDS................................................................................................................................ 4
3.Chức năng của IDS.................................................................................................................................... 4
4.Kiến trúc của IDS....................................................................................................................................... 5
5.IDS Sensor của Cisco................................................................................................................................. 6
6.Cisco IDS 4.x chạy trên hệ điều hành Linux .............................................................................................. 9
2
1. Khái niệm về IDS
Ngày này, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành
điều vô cùng quan trọng trong mọi hoạt động xã hội. Bảo mật trở thành một
vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay.
Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm
nhập vào mạng công ty và đem bán nhiều thông tin có giá trị
IDS – Instruction Detection System : hệ thống phát hiện xâm nhập là một hệ
thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ
thống, nhà quản trị.
IDS cũng có thể phát hiện những tấn công từ bên trong (từ nhân viên
công ty) hoặc từ bên ngoài (từ các hacker).
IDS phát hiện dựa trên các dấu hiệu đặc biệt từ các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để
phát hiện và diệt virus) hoặc dựa trên các so sánh mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi khác thường.
3
Các nghiên cứu IDS được nghiên cứu chính thức từ 1983- 1988
Cho đến năm 1996 các khái niệm IDS vẫn chưa phổ biến. Một số hệ
thống chỉ được xuất hiện trong các phòng thí nghiệm và các viện nghiên
cứu
Năm 1997 IDS mới thực sự được biết đến và đem lại lợi nhuận với sự
đi đầu của công ty ISS.
Năm 1998 Cisco nhận ra tầm quan trọng của IDS và đã mua lại 1
công ty cung cấp giải pháp IDS tên là Wheel
Hiện tại, các thống kê cho thấy IDS/IPS đang là 1 trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn còn phát triển.
o Giám sát: giám sát lưu lượng mạng và các hoạt động khả nghi
o Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản
trị
Chức năng chính của IDS được cụ thể bởi các hành động như:
o Đánh giá và kiểm tra tính toàn vẹn của các file được xác định
4
o Phân tích Event log (ghi chú sự kiện).
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lý. Nó duy
trì kiểm soát thông qua các thành phần của IDS và trung tâm điều khiển
có thể được truy cập từ bất cứ nơi nào. Tóm lại, trung tâm điều khiển duy
trì một số kênh mở giữa bộ cảm biến qua một đường mã hóa và nó là một
máy chuyên dụng.
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy
chuyên dụng thông qua các đường truyền mạng thiết yếu. Bộ cảm biến
có một vai trò quan trọng vì có tới hàng nghìn mục tiêu cần được giám
sát trên mạng.
Bộ phân tích gói: đây là chương trình giám sát xâm nhập, gửi cảnh
báo cho quản trị viên khi có hành động xâm nhập bất thường.
Thành phần cảnh báo: bao gồm các phương pháp gửi cảnh báo đến
cho quản trị viên hệ thống như SMS, email, popupm SNMP
5
Network media: Việc chọn lựa Sensor bị ảnh hưởng bởi môi
trường mạng
Network enviroment: Cisco IDS sensor thích hợp cho các mạng
mà có tốc độ mạng nằm từ 10/100BASE-T Ethernet đến Gigabit
Ethernet.
- Yêu cầu thiết kế khi triển khai giải pháp Cisco IDS:
Số lượng Sensor: Các kiến thức về topo mạng sẽ giúp xác định
có bao nhiêu IDS appliance cần thiết, cấu hình phần cứng cho từng
IDS appliance (ví dụ như kích thước và các loại NIC) và có bao nhiêu
trạm quản lý IDS cần thiết.
Các kết nối giữa mạng cá nhân và các mạng khác, bao gồm cả
Internet
Các tuỳ chọn quản lý và giám sát: xem lại các tuỳ chọn quản lý
và giám sát để chọn ra cái thích hợp nhất
6
Giao tiếp với các Sensor bên ngoài: traffic ở trên port giao tiếp
giữa Sensors và hẹ thống bên ngoài phải đc cho phép bởi firewall, để
đảm bảo nó thực hiện chức năng của mình
- Những vị trí mà cần được bảo vệ khi các thiết bị IDS chuyên dụng
yêu cầu kết nối:
7
- Server farm protection: các công ty đang triển khai các Server public ở
trên vùng DMZ. Những server này đưa ra các dịch vụ mạng như : Web
access, DNS, FTP, và SMTP. Các CSA Agent đc cài trên những server
này. CSAMC đc cài trên mạng internal.
8
- cidWebServer: webserver của Sensor. WebServer có khả năng giao tiếp
cả HTTP và HTTPs. Nó cung cấp nhiều hơn các web tĩnh. Nó cung cấp
front-end server cho IDS Device Manager (IDM). IDM chạy như một
“servlet” ở bên trong webserver. WebServer sử dụng một vài “servelet”
để cung cấp các dịch vụ IDS. Những “servlet” này đc chia sẻ các thư viện
mà đc load đến cidWebServer xử lý ở thời gian chạy. những điểm dưới
đây miêu tả các “servlet”
IDM: cung cấp IDM web-based management interface (giao
diện quản lý trên web)
EvenServe: được sử dụng để phục vụ các sự kiện cho các ứng
dụng quản lý như IDS Event Viewer (IEV)
TransactionSever: cho phép các ứng dụng quản lý như
Management Center cho các IDS Sensor (IDS MC) để khởi tạo các
giao dịch quản lý với Sensor. Các giao dịch quản lý này đc sử dụng
để cấu hình và điều khiển các Sensor.
IPLogServer: được sử dụng để phục vụ các IP logs chocác hệ
thống bên ngoài.
- mainApp: chịu trách nhiệm cho cấu hình các cấu hình của hệ điều
hành như IP Address. mainApp cũng start và stop tất cả các ứng dụng
khác của Cisco IDS .
- logApp: ghi tất cả những log message của ứng dụng đến log file.
logApp cũng ghi những tin nhắn lỗi của ứng dụng đến Eventstore.
- Authentication: cấu hình và quản lý authentication ở trên Sensor. ứng
dụng authentication xác định trạng thái authentication của user và vai trò
dựa trên username và password. Mỗi một user được gán một vai trò trên
Sensor. Vai trò của user xác định hoạt động mà user được cho phép để
thực hiện.
- Network Access Controller (NAC): được sử dụng để khởi tạo
blocking trên các thiết bị mạng.
- ctlTransSource: Cho phép Sensor giao tiếp các giao dịch điều khiển
với các thiết bị khác
- sensorApp: sensing engine thực sự. sensor App sẽ xử lý các signature
và phát ra các alert events dựa trên cấu hình của nó và IP của traffic.
9
SensorApp, giống như các ứng dụng khác, lưu trữ events (sự kiện) của nó
vào EventStore.
VirtualSensor:Nhận các packet, xử lý chúng và sau đó xác định
có tạo ra alarm hay ko. Các bộ xử lý khác nhau nằm trên Virtual
Sensor, mỗi một cái có một chức năng riêng.
VirtualAlarm (alarm channel): chịu trách nhiệm cho đầu ra của
alarm đến IDS Eventstore và thực hiện các EventAction
- EventStore: 4Gb, đc chia sẽ, các file đc ánh xạ nơi mà các sự kiện đc
lưu trữ. Sensor App là ứng dụng duy nhất mà ghi các alert events lên
EventStore. Tất cả các ứng dụng khác có thể ghi log, status và các error
event lên EventStore.
- cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu khi
một user log in vào Sensor. một cidCLI độclập sẽ đc load cho mỗi CLI
shell. Ở CiscoIDS 4.x sự truy cập vào OS shell đc thay thế bởi CLI,cái
mà thực hiện hầu hết các nhiệm vụ. Sử dụng CLI cho các ứng dụng quản
lý thích hợp để cấu hình và gỡ rối. Sự truy cập Shell cho cấu hình ko còn
đc hỗ trợ.
Các phương pháp quản lý Sensor:
Cổng điều khiển: yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với
Sensor) và một chương trình giả lập thiết bị đầu cuối như HyperTerminal
Monitor và keyboard: yêu cầu kết nối một màn hình và một
bàn phím trực tiếp đến Sensor
Telnet: yêu cầu địa chỉ IP mà được gán cho command and
control interface qua CLI setup command
Secure shell (SSH): yêu cầu một địa chỉ IP mà đc gán đến
command and control interface qua CLI setup commandvà sử dụng
một client có hỗ trợ SSH
HTTPS: yêu cầu một IP mà đc gán đến command and control
interface qua CLI setup command và sử dụng một trình duyệt web.
Khởi tạo cho Sensor:
10
• Gán cho Sensor một hostname:
• Gán IP address và subnet mask cho command and control interface
• Gán một default route
• Enable hay disable chức năng telnet server
• Xác định cụ thể web server port.
• Add hoặc remove ACL (access control list) entry mà xác định host nào
được cho phép kết nối đến Sensor.
• Set ngày và giờ
• Thường đc thực hiện qua setup command
IDS 4.1 software bao gồm một CLI đầy đủ. CLI cho IDS version 4.1 là giao
diện người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH
và kết nối serial. Sử dụng SSH version 1.5 clien để truy cập đến CLI qua
mạng.
Trợ giúp: enter ? sau câu lệnh để thể hiện những câu lệnh sẵn có ở mode
hiện tại.
Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến
ví dụ chỉ cần gõ sh ver thay vì show version
Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để
gọi lại các câu lệnh vừa đc enter
User interface prompts: CLI thể hiện dấu nhắc tương tác người dùng khi hệ
thống thể hiện một câu hỏi và đợi đầu vào (input) của user
11
Nhiệm vụ của CLI:
Tạo user account để truy cập đến Sensor cho quản lý và giám sát (qua
CLI hoặc management console).
Cú pháp:
=> tạo quản trị viên Admin với cấp quản trị viên đặc quyền và mật khẩu là
Adminpass
Tạo Service account Đây là một account có vai trò đặc biệt cho phép
login vào OS shell thay vì CLI shell, account không hỗ trợ cho việc cấu
hình nhưg hỗ trợ cho việc gỡ rối, mặc định nó không tồn tại trên Sensor
và phải tạo nó
Cú pháp:
=> tạo 1 tài khoản dịch vụ có tên myserviceacct với mật khẩu serpass
12
Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần một
user có thể cố gắng xác thực trước khi nó bị disable.
Cú pháp:
Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho
một user đang tồn tại hoặc enable trở lại cho một user đã bị khoá.
Cú pháp:
Cú pháp:
13