TRƯỜNG ĐẠI HỌC MỞ

HÀ NỘI
KHOA CÔNG NGHỆ
THÔNG TIN
----------------------

BÁO CÁO BÀI TẬP LỚN

Môn: An ninh và bảo mật dữ liệu

Đề tài: Tìm hiểu về hệ thống xâm nhập IDS Sensor của Cisco

                Giảng viên hướng dẫn: Trần Duy Hùng

Sinh viên thực hiện:

Năm 2021

Mục lục
1.Khái niệm về IDS................................................................................................................................. 3
2.Lịch sử ra đời của IDS................................................................................................................................ 4
3.Chức năng của IDS.................................................................................................................................... 4
4.Kiến trúc của IDS....................................................................................................................................... 5
5.IDS Sensor của Cisco................................................................................................................................. 6
6.Cisco IDS 4.x chạy trên hệ điều hành Linux  .............................................................................................. 9

2
 1. Khái niệm về IDS
Ngày này, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành
điều vô cùng quan trọng trong mọi hoạt động xã hội. Bảo mật trở thành một
vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay.
Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm
nhập vào mạng công ty và đem bán nhiều thông tin có giá trị

IDS – Instruction Detection System : hệ thống phát hiện xâm nhập là một hệ
thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ
thống, nhà quản trị.

IDS cũng có thể phát hiện những tấn công từ bên trong (từ nhân viên
công ty) hoặc từ bên ngoài (từ các hacker).

IDS phát hiện dựa trên các dấu hiệu đặc biệt từ các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để
phát hiện và diệt virus) hoặc dựa trên các so sánh mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi khác thường.

2. Lịch sử ra đời của IDS

 Khái niệm phát hiện xâm nhập xuất hiện đầu tiên qua 1 bài báo của
James Anderson

3
  Các nghiên cứu IDS được nghiên cứu chính thức từ 1983- 1988

 Cho đến năm 1996 các khái niệm IDS vẫn chưa phổ biến. Một số hệ
thống chỉ được xuất hiện trong các phòng thí nghiệm và các viện nghiên
cứu

 Năm 1997 IDS mới thực sự được biết đến và đem lại lợi nhuận với sự
đi đầu của công ty ISS.

 Năm 1998 Cisco nhận ra tầm quan trọng của IDS và đã mua lại 1
công ty cung cấp giải pháp IDS tên là Wheel

 Hiện tại, các thống kê cho thấy IDS/IPS đang là 1 trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn còn phát triển.

3. Chức năng của IDS

Chức năng quan trọng nhất của IDS là giám sát và cảnh báo:

o Giám sát: giám sát lưu lượng mạng và các hoạt động khả nghi

o Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản
trị

 Chức năng chính của IDS được cụ thể bởi các hành động như:

o Nhận ra những hành vi giống như những cuộc tấn công mà hệ

thống đã được cài đặt từ trước

o Phân tích thống kê những luồng traffic không bình thường

o Đánh giá và kiểm tra tính toàn vẹn của các file được xác định

o Thống kê và phân tích các user, hệ thống đang hoạt động

o Phân tích luồng traffic

4
 o Phân tích Event log (ghi chú sự kiện).

4. Kiến trúc của IDS

Một IDS bao gồm: trung tâm điều khiển (The Command Console), bộ
càm biến (Sensor), bộ phân tích gói tin (The Netword Tap), thành phần cảnh
báo (Alert Notification).

 Trung tâm điều khiển (The Command Console):

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lý. Nó duy
trì kiểm soát thông qua các thành phần của IDS và trung tâm điều khiển
có thể được truy cập từ bất cứ nơi nào. Tóm lại, trung tâm điều khiển duy
trì một số kênh mở giữa bộ cảm biến qua một đường mã hóa và nó là một
máy chuyên dụng.

Bộ cảm biến (Sensor):

Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy
chuyên dụng thông qua các đường truyền mạng thiết yếu. Bộ cảm biến
có một vai trò quan trọng vì có tới hàng nghìn mục tiêu cần được giám
sát trên mạng.

Bộ phân tích gói: đây là chương trình giám sát xâm nhập, gửi cảnh
báo cho quản trị viên khi có hành động xâm nhập bất thường.

Thành phần cảnh báo: bao gồm các phương pháp gửi cảnh báo đến
cho quản trị viên hệ thống như SMS, email, popupm SNMP

5. IDS Sensor của Cisco

- Các yếu tố ảnh hưởng đến quyết định khi chọn Sensor cho giải pháp
Cisco IDS:

5
  Network media: Việc chọn lựa Sensor bị ảnh hưởng bởi môi
trường mạng

 Intrusion detection analysis performance: Hiệu năng của Sensor

được tính bằng tỉ lệ số bit /s mà nó có thể capture và phân tích chính
xác. Hiệu năng của Cisco IDS Sensor nằm từ 45Mbps đến 1000
Mbps.

 Network enviroment: Cisco IDS sensor thích hợp cho các mạng
mà có tốc độ mạng nằm từ 10/100BASE-T Ethernet đến Gigabit
Ethernet.

- Yêu cầu thiết kế khi triển khai giải pháp Cisco IDS:

 Số lượng Sensor:  Các kiến thức về topo mạng sẽ giúp xác định
có bao nhiêu IDS appliance cần thiết, cấu hình phần cứng cho từng
IDS appliance (ví dụ như kích thước và các loại NIC) và có bao nhiêu
trạm quản lý IDS cần thiết.  

 Kích thước và sự phức tạp của mạng

  Các kết nối giữa mạng cá nhân và các mạng khác, bao gồm cả
Internet

 khối lượng và các loại traffic ở trên mạng

 Nơi đặt Sensor: người ta khuyên rằng Sensor nên đc đặt ở

những network entry (điểm đi vào mạng) và exit point (điểm đi ra) mà
cung cấp đầy đủ toàn bộ intrusion detection. 

 Các tuỳ chọn quản lý và giám sát:  xem lại các tuỳ chọn quản lý
và giám sát để chọn ra cái thích hợp nhất

6
  Giao tiếp với các Sensor bên ngoài:  traffic ở trên port giao tiếp
giữa Sensors và hẹ thống bên ngoài phải đc cho phép bởi firewall, để
đảm bảo nó thực hiện chức năng của mình

- Những vị trí mà cần được bảo vệ khi các thiết bị IDS chuyên dụng
yêu cầu kết nối:

- Internet protection: một Sensor giữa gateway mạng cá nhân và internet

kết hợp với firewall và VPN bằng các giám sát traffic cho những hoạt
động xâm phạm.
-  Extranet protection: một Sensor giữa mạng cá nhân và các kết nối
extranet như các kết nối với các đối tác kinh doanh, giám sát traffic nơi
mà sự tin tưởng ko đc dám chắc.
-  Intranet and internal protection: bảo vệ dữ liệu tập trung và các hệ thống
quan trọng từ những nguồn tấn công bên trong.
-  Remote access protection: một Sensor đc sử dụng để giám sát những
traffic gửi đến NAS (Network acess server) để bảo vệ các truy cập từ xa.

7
 -  Server farm protection: các công ty đang triển khai các Server public ở
trên vùng DMZ. Những server này đưa ra các dịch vụ mạng như : Web
access, DNS, FTP, và SMTP. Các CSA Agent đc cài trên những server
này. CSAMC đc cài trên mạng internal.

- Vị trí đặt sensor

 Sensor nằm ở trước firewall:

- Nhìn thấy tất cả các traffic được gửi đến
- Có khả năg cao hơn về những false possitive
- Không detect được các tấn công bên trong
 Sensor nằm ở sau firewall
- Nhìn thấy chỉ những traffic đã đc cho phép bởi firewall=> bảo
vệ IDS sensor khỏi những sự vi phạm mà firewall đã lọc.
- Có khả năng thấp hơn về những false positive
- Alarm yêu cầu các đáp ứng ngay lập tức

6. Cisco IDS 4.x chạy trên hệ điều hành Linux 

 Các hoạt động tương tác

8
 - cidWebServer: webserver của Sensor. WebServer có khả năng giao tiếp
cả HTTP và HTTPs. Nó cung cấp nhiều hơn các web tĩnh. Nó cung cấp
front-end server cho IDS Device Manager (IDM). IDM chạy như một
“servlet” ở bên trong webserver. WebServer sử dụng một vài “servelet”
để cung cấp các dịch vụ IDS. Những “servlet” này đc chia sẻ các thư viện
mà đc load đến cidWebServer xử lý ở thời gian chạy. những điểm dưới
đây miêu tả các “servlet”
 IDM: cung cấp IDM web-based management interface (giao
diện quản lý trên web)
 EvenServe: được sử dụng để phục vụ các sự kiện cho các ứng
dụng quản lý như IDS Event Viewer (IEV)
 TransactionSever: cho phép các ứng dụng quản lý như
Management Center cho các IDS Sensor (IDS MC) để khởi tạo các
giao dịch quản lý với Sensor. Các giao dịch quản lý này đc sử dụng
để cấu hình và điều khiển các Sensor.
  IPLogServer: được sử dụng để phục vụ các IP logs chocác hệ
thống bên ngoài.
-  mainApp: chịu trách nhiệm cho cấu hình các cấu hình của hệ điều
hành như IP Address. mainApp cũng start và stop tất cả các ứng dụng
khác của Cisco IDS .
- logApp: ghi tất cả những log message của ứng dụng đến log file.
logApp cũng ghi những tin nhắn lỗi của ứng dụng đến Eventstore.
-  Authentication: cấu hình và quản lý authentication ở trên Sensor. ứng
dụng authentication xác định trạng thái authentication của user và vai trò
dựa trên username và password. Mỗi một user được gán một vai trò trên
Sensor. Vai trò của user xác định hoạt động mà user được cho phép để
thực hiện.
- Network Access Controller (NAC): được sử dụng để khởi tạo
blocking trên các thiết bị mạng.
- ctlTransSource: Cho phép Sensor giao tiếp các giao dịch điều khiển
với các thiết bị khác
- sensorApp: sensing engine thực sự. sensor App sẽ xử lý các signature
và phát ra các alert events dựa trên cấu hình của nó và IP của traffic.

9
 SensorApp, giống như các ứng dụng khác, lưu trữ events (sự kiện) của nó
vào EventStore.
 VirtualSensor:Nhận các packet, xử lý chúng và sau đó xác định
có tạo ra alarm hay ko. Các bộ xử lý khác nhau nằm trên Virtual
Sensor, mỗi một cái có một chức năng riêng.
 VirtualAlarm (alarm channel): chịu trách nhiệm cho đầu ra của
alarm đến IDS Eventstore và thực hiện các EventAction
-  EventStore: 4Gb, đc chia sẽ, các file đc ánh xạ nơi mà các sự kiện đc
lưu trữ. Sensor App là ứng dụng duy nhất mà ghi các alert events lên
EventStore. Tất cả các ứng dụng khác có thể ghi log, status và các error
event lên EventStore.
- cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu khi
một user log in vào Sensor. một cidCLI độclập sẽ đc load cho mỗi CLI
shell. Ở CiscoIDS 4.x sự truy cập vào OS shell đc thay thế bởi CLI,cái
mà thực hiện hầu hết các nhiệm vụ. Sử dụng CLI cho các ứng dụng quản
lý thích hợp để cấu hình và gỡ rối. Sự truy cập Shell cho cấu hình ko còn
đc hỗ trợ.
 Các phương pháp quản lý Sensor:
Cổng điều khiển: yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với
Sensor) và một chương trình giả lập thiết bị đầu cuối như HyperTerminal
  Monitor và keyboard: yêu cầu kết nối một màn hình và một
bàn phím trực tiếp đến Sensor
 Telnet: yêu cầu địa chỉ IP mà được gán cho command and
control interface qua CLI setup command
 Secure shell (SSH): yêu cầu một địa chỉ IP mà đc gán đến
command and control interface qua CLI setup commandvà sử dụng
một client có hỗ trợ SSH
 HTTPS: yêu cầu một IP mà đc gán đến command and control
interface qua CLI setup command và sử dụng một trình duyệt web. 
 Khởi tạo cho Sensor:

10
 • Gán cho Sensor một hostname:
• Gán IP address và subnet mask cho command and control interface
• Gán một default route
• Enable hay disable chức năng telnet server
• Xác định cụ thể web server port.
• Add hoặc remove ACL (access control list) entry mà xác định host nào
được cho phép kết nối đến Sensor.
• Set ngày và giờ
• Thường đc thực hiện qua setup command

 Command line mode:

IDS 4.1 software bao gồm một CLI đầy đủ. CLI cho IDS version 4.1 là giao
diện người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH
và kết nối serial. Sử dụng SSH version 1.5 clien để truy cập đến CLI qua
mạng.

Các đặc điểm của CLI:

 Trợ giúp: enter ? sau câu lệnh để thể hiện những câu lệnh sẵn có ở mode
hiện tại.

 Tab completion: Enter Tab để hoàn thành câu lệnh

 Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến
ví dụ chỉ cần gõ sh ver thay vì show version

 Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để
gọi lại các câu lệnh vừa đc enter

 User interface prompts: CLI thể hiện dấu nhắc tương tác người dùng khi hệ
thống thể hiện một câu hỏi và đợi đầu vào (input) của user

11
 Nhiệm vụ của CLI:

-  Khởi tạo Sensor

- Cấu hình : tuning signature engine (điều chỉnh signature engine)
- Quản trị : Back up và restore file cấu hình
- Gỡ rối: xác minh những số liệu thống kê và các setting.

 Một số câu lệnh cơ bản:

 Tạo user account để truy cập đến Sensor cho quản lý và giám sát (qua
CLI hoặc management console).

Cú pháp:

sensor(config)# usename name [password] [privilege]

vd: sensor(config)# username Admin password Adminpass privilege

administrator

=> tạo quản trị viên Admin với cấp quản trị viên đặc quyền và mật khẩu là
Adminpass

 Tạo Service account Đây là một account có vai trò đặc biệt cho phép
login vào OS shell thay vì CLI shell, account không hỗ trợ cho việc cấu
hình nhưg hỗ trợ cho việc gỡ rối, mặc định nó không tồn tại trên Sensor
và phải tạo nó

Cú pháp:

sensor(config)# username name [password] [privilege]

vd: sensor(config)# username myserviceacct password serpass privilege

service

=> tạo 1 tài khoản dịch vụ có tên myserviceacct với mật khẩu serpass

12
  Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần một
user có thể cố gắng xác thực trước khi nó bị disable.

Cú pháp:

sensor(config-Authentication-gen)# attemptLimit Limit

vd: sensor(config-Authentication-gen)# attemptLimit 3

=> đặt số lần thử xác thực tối đa thành ba

 Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho
một user đang tồn tại hoặc enable trở lại cho một user đã bị khoá.

Cú pháp:

sensor(config)# [name [newpassword] ]

 Thay đổi vai trò (đặc quyền):

Sử dụng câu lệnh privilege để thay đổi vai trò của account. Chỉ administrator
mới có thể làm điều này.

 Cấu hình các truy cập qua mạng:

Sử dụng accessList để chỉnh sửa ACLs cho phép truy cập từ xa. Câu lệnh
này giúp thiết lập IP của host (hoặc mạng) mà đc phép thiết lập phiên kết nối
TCP đến Sensor.

Cú pháp:

sensor(config-Host-net)# accessList ipAddress ip_Address [netmask]

13