Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword
Like this
3Activity
0 of .
Results for:
No results containing your search query
P. 1
He Thong Phat Hien Xam Nhap

He Thong Phat Hien Xam Nhap

Ratings: (0)|Views: 1,087|Likes:
Published by nguyenFly

More info:

Published by: nguyenFly on Nov 19, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

01/11/2013

pdf

text

original

 
H
th
ố 
ng phát hi
n xâm nh
p (1)
Tequila (VietHacker.org Translator Group Leader)Compose by hieupc (PDF)
H
th
ng phát hi
n xâm nh
p (IDSs) cung c
p thêm cho vi
c b
o v
an toàn thông tin m
ng m
t m
c
độ
 cao h
ơ
n. Nó
đượ
c
đ
ánh giá giá tr 
không gi
ng nh
ư
firewall và VPN là ng
ă
n ng
a các cu
c t
n công màIDSs cung c
p s
b
o v
b
ng cách trang b
cho b
n thông tin v
cu
c t
n công. B
i v
y, 1 IDS có th
tho
 mãn nhu c
u v
an toàn h
th
ng c
a b
n b
ng cách c
nh báo cho b
n v
kh
n
ă
ng các cu
c t
n công (vàth
ỉ 
nh tho
ng thì ngoài nh
ng thông báo chính xác thì chúng c
ũ
ng
đư
a ra m
t s
c
nh báo ch
ư
a
đ
úng.Nhìn chung, IDSs không t
 
độ
ng c
m các cu
c t
n công ho
c là ng
ă
n ch
n nh
ng k
khai thác 1 cáchthành công, tuy nhiên, m
t s
phát tri
n m
i nh
t c
a IDS
đ
ó là h
th
ng ng
ă
n ch
n xâm nh
p (theintrusion prevention systems)
đ
ã có
để
th
c hi
n nhi
u vai trò h
ơ
n và có th
ng
ă
n ch
n các cu
c t
n côngkhi nó x
y ra.
 Đị
nh ngh
 ĩ 
a 1 IDS khó h
ơ
n là chúng ta t
ưở
ng.
 Đầ
u tiên, IDS
đượ
c nhìn nh
n nh
ư
m
t cái chuông báotr 
m mà có th
thông báo cho b
n bi
ế
t khi nào thì b
n b
t
n công. Tuy nhiên, nh
ng h
th
ng IDS hi
n
đạ
ithì ph
c t
p h
ơ
n nhi
u và ít ng
ườ
i có th
 
đồ
ng ý r 
ng nó có m
c
độ
gi
ng nh
ư
m
t cái chuông báo tr 
mtruy
n th
ng
đ
áng tin c
y. N
ế
u s
gi
ng nhau là cùng
đượ
c s
d
ng, thì m
t h
th
ng IDS trông gi
ng nh
ư
 nh
ng chi
ế
c camera ch
ng tr 
m h
ơ
n là 1 cái chuông, nh
ng ng
ườ
i có trách nhi
m có th
quan sát chúng
đ
áp tr 
cho nh
ng
đ
e do
xâm nh
p.Th
c t
ế
thì d
ườ
ng nh
ư
IDS ch
ỉ 
nói cho chúng ta bi
ế
t r 
ng m
ng
đ
ang b
nguy hi
m. Và
đ
i
u quan tr 
ng
để
 nh
n ra
đ
ó là m
t vài cu
c t
n công vào m
ng
đ
ã thành công n
ế
u h
th
ng không có IDS. Và nh
ư
chúng ta
đ
ã th
y, m
t m
ng có th
tr 
thành thiên
đườ
ng cho các hacker trong hàng n
ă
m mà ch
nhân c
a nó v
nkhông h
hay bi
ế
t.Giá tr 
chính c
a 1 h
th
ng phát hi
n xâm nh
p theo quan
đ
i
m c
a chúng tôi
đ
ó là nó bi
ế
t
đượ
c chuy
n gìs
x
y ra. Ph
i, 1 h
th
ng IDS có th
giúp chúng ta ng
ă
n ng
a các s
ki
n khi nó ch
ư
a x
y ra, cung c
pcác gi
i pháp cho m
ng và host, và th
m chí c
ũ
ng có th
ho
t
độ
ng nh
ư
m
t cái chuông báo
độ
ng (v
inh
ng gi
i h
n t
ươ
ng
ng). Tuy nhiên, ch
c n
ă
ng chính c
a nó là thông báo cho b
n bi
ế
t v
các s
ki
n cóliên quan
đế
n an ninh h
th
ng
đ
ang s
p s
a x
y ra bên trong m
ng và h
th
ng mà b
n ki
m soát.Trong ch
ươ
ng này s
cho chúng ta cái nhìn t
ng quan v
IDS bao g
m c
nh
ng
đ
i
m m
nh và
đ
i
m y
ế
uc
a chúng. Chúng ta s
 
đề
c
p
đế
n c
network IDS (nhi
u khi
đượ
c
đề
c
p
đế
n nh
ư
1 sniffer) và c
hostIDS (phân tích log, ki
m tra tích h
p và nhi
u th
khác) .S
khác nhau ch
y
ế
u gi
a network IDS và host IDS
đ
ó là d
li
u mà nó tìm ki
ế
m. NIDS nhìn vào toànc
nh các chuy
n d
ch trên m
ng, trong khi host IDS thì quan sát các host, h
 
đ
i
u hành và các
ng d
ng.Trong th
c t
ế
, nó
đượ
c chia c
t ra nhi
u l
 ĩ 
nh v
c khác nhau, ch
ng h
n nh
ư
host IDS ng
ă
n ch
n các truyc
p có h
i cho m
ng, còn NIDS thì c
g
ng
đ
oán xem cái gì x
y ra bên trong host.Có m
t vài gi
i h
nkhông rõ nét l
m nh
ư
công ngh
 
để
phát tri
n ti
ế
p theo.V
y nh
ng thu
n ti
n c
a Host-base IDS là gì? S
khác nhau c
ơ
b
n gi
a chúng
đ
ó là trong khi NIDS pháthi
n ra các cu
c t
n công ti
m n
ă
ng (nh
ng th
s
 
đượ
c chuy
n t
i
đ
ích) thì host IDS l
i phát hi
n ranh
ng cu
c t
n công mà
đ
ã thành công, có k
ế
t qu
. B
i v
y có th
nói r 
ng NIDS mang tính ti
n phongh
ơ
n. Tuy nhiên, 1 host IDS s
hi
u qu
h
ơ
n
đố
i v
i trong các môi tr 
ườ
ng có t
c
độ
chuy
n d
ch l
n, mã hoávà có chuy
n m
ch -
đ
ây là nh
ng môi tr 
ườ
ng mà NIDS r 
t khó ho
t
độ
ng. HIDS
đượ
c th
thách b
i
tnhi
u nh
ng hành
độ
ng có m
c
độ
ph
ơ
i bày cao c
a k
t
n công và
đ
ã th
c s
nâng t
m x
lý c
a chúng.M
t khác thì NIDS l
i là 1 ph
n r 
t tuy
t cho môi tr 
ườ
ng t
ng h
p nh
ư
toàn b
m
ng. Vì th
ế
, NIDS có th
 t
o nên m
t s
quan sát có ý ngh
 ĩ 
a
đế
n các ph
n c
a v
t
n công có liên quan
đế
n nhi
u host. Nó
đượ
cth
thách trong môi tr 
ườ
ng m
ng có chuy
n m
ch t
c
độ
cao, môi tr 
ườ
ng mã hoá và các giao th
c
ngd
ng hi
n
đạ
i ph
c t
p, b
i v
y nên các k
ế
t qu
báo sai c
ũ
ng h
t có kh
n
ă
ng x
y ra.B
i v
y, chúng tôi khuyên các b
n nên l
a ch
n công ngh
IDS và b
i v
y cung c
p cho chúng ta l
a ch
nb
sung chúng vào m
ng c
a b
n nh
ư
phân tích Bayesian. Chúng tôi c
ũ
ng quan tâm
đế
n vi
c nh
ng thay
đổ
i t
ươ
ng lai trong công ngh
IDS có th
mang l
i. Cu
i cùng chúng tôi s
miêu t
m
t cách
đầ
y
đủ
vi
c b
 sung mã ngu
n trên Linux.
 
19.1 Ví d
v
IDSPh
n này s
miêu t
m
t vài h
th
ng IDS bao g
m giám sát logfile, quét các d
u hi
u và phát hi
n các d
uhi
u b
t th
ườ
ng.19.1.1 Host IDSsHost-based network IDSs có th
 
đượ
c phân chia l
ng l
o thành các ki
m soát log, ki
m tra
độ
tích h
p vàcác module nhân c
a h
th
ng. Nh
ng ph
n sao s
miêu t
t
ng ph
n c
a chúng v
i các ví d
c
th
.19.1.1.1 Giám sát Logfile :M
t IDS
đơ
n gi
n nh
t là thi
ế
t b
giám sát logfile (logfile monitors), thi
ế
t b
này s
c
g
ng phát hi
n nh
ngs
xâm nh
p b
ng cách phân tích các log s
ki
n c
a h
th
ng. Ví d
nh
ư
, m
t thi
ế
t b
giám sát logfile s
 tìm ki
ế
m nh
ng logfile ghi nh
n nh
ng truy c
p Apache
để
truy c
p t
i Apache
để
tìm ra
đặ
c
đ
i
m c
a yêuc
u /cgi-bin/ . Công ngh
này b
gi
i h
n b
i vì nó ch
ỉ 
tìm ki
ế
m trong các s
ki
n
đ
ã
đượ
c log - là nh
ng th
 mà k
t
n công r 
t d
 
để
thay th
ế
. Thêm vào
đ
ó, h
th
ng có th
b
qua các s
ki
n h
th
ng c
p th
p màch
ỉ 
ghi l
i các ho
t
độ
ng c
p cao.Ví d
nh
ư
, HIDS s
b
qua n
ế
u k
t
n công ch
ỉ 
 
đọ
c n
i dung file nh
ư
file/etc/passwd ch
ng h
n.
 Đ
i
u này s
x
y ra n
ế
u b
n không
đặ
t file vào ch
ế
 
độ
b
o v
c
a h
th
ng.Giám sát Logfile là m
t ví d
chính cho các h
th
ng IDS d
a trên host b
i chúng th
c hi
n ch
c n
ă
nggiám sát c
a chúng trên ch
ỉ 
1 máy. Tuy nhiên, m
t h
th
ng giám sát host logfile hoàn toàn có th
giám sáttrên nhi
u host, th
m chí trên 1 loggging server tích h
p. S
phát tri
n c
a n
n t
ng host
đư
a l
i m
t s
 thu
n ti
n cho vi
c giám sát v
i các công c
h
th
ng
đượ
c xây d
ng, b
i vì host IDSs có kênh chuy
n d
cht
ng h
p an toàn t
i 1 server trung tâm, không gi
ng nh
ư
nh
ng syslog thông th
ườ
ng khác. Nó c
ũ
ng chophép tích h
p nh
ng logs mà không bình th
ườ
ng
để
tích h
p trong 1 máy
đơ
n (ch
ng h
n nh
ư
log s
ki
nc
a Windows.M
t khác, NIDS th
ườ
ng quét toàn m
ng trên m
c
độ
gói tin, tr 
c ti
ế
p t
 
đườ
ng truy
n gi
ng nh
ư
nh
ngsniffer. B
i v
y NIDS có th
ph
i h
p v
i r 
t nhi
u host có d
li
u chuy
n qua. Gi
ng nh
ư
nh
ng gì chúngta th
y trong ch
ươ
ng này, m
i m
t lo
i
đề
u có tác d
ng và thu
n ti
n c
a chúng trong nh
ng tr 
ườ
ng h
pkhác nhau.Thi
ế
t b
giám sát logfile n
i ti
ế
ng
đ
 
), là nói t
t c
a "SimpleWatcher." Trong khi h
u h
ế
t các ph
n m
m phân tích log ch
ỉ 
quét log theo
đị
nh k
, thì swatch quét t
t c
 các
đầ
u vào log và t
o báo cáo c
nh báo theo th
i gian th
c. Nh
ng công c
khác nh
ư
logwatch (
đượ
c tíchh
p cùng v
i Red Hat Linux thì r 
t t
t cho các thao tác ngoài. Tuy nhiên, m
c dù swatch
đ
i cùng v
i nhi
ub
ướ
c có liên quan thì nó v
n
đ
òi h
i nhi
u tính n
ă
ng
độ
ng và c
u hình khác v
i nh
ng công c
khác.Sau
đ
ây chúng ta s
miêu t
vi
c cài
đặ
t swatch. Công c
này khá là
n
đị
nh, do
đ
ó mà d
ườ
ng nh
ư
khôngthay
đổ
i nhi
u trong t
ươ
ng lai. Tr 
ướ
c khi cài
đặ
t swatch, b
n c
n download và cài
đặ
t Perl modules c
n thi
ế
tcho nó.
 Để
cài
đặ
t nh
ng module này,
đầ
u tiên hãy download phiên b
n m
i nh
t c
a swatch và ch
y cácb
ướ
c sau:perl Makefile.PLmakemake testmake installmake realcleanswatch s
d
ng di
n d
ch thông th
ườ
ng
để
tìm
đế
n nh
ng dòng l
nh thích h
p. M
t khi mà nó tìm
đ
úngph
n c
n thi
ế
t, nó li
n hành
độ
ng, ch
ng h
n nh
ư
bi
u di
n ra màn hình, email 1 c
nh báo ho
c là làm theohành
độ
ng
đ
ã
đượ
c ng
ườ
i s
d
ng
đị
nh ra t
tr 
ướ
c.
 
Ti
ế
p sau là 1 ví d
script c
u hình swatch
đơ
n gi
n:watchfor /[dD]enied|/DEN.*ED/echo boldbell 3mailexec "/etc/call_pager 5551234 08"Trong ví d
này, swatch tìm
đế
n dòng có ch
a t
“denied”, có th
là “Denied” ho
c b
t c
t
nào có b
t
đầ
ub
ng “den” và k
ế
t th
c v
i “ed”. Khi mà tìm th
y, nó bôi
đ
en dòng tìm th
y và chuy
n t
i thi
ế
t b
 
đầ
u cu
i
đồ
ng th
i rung chuông 3 l
n. Sau
đ
ó, swatch g
i mail t
i ng
ườ
i s
d
ng swatch (là ng
ườ
i có quy
n truy c
pt
i các logfile
đượ
c giám sát – thông th
ườ
ng
đượ
c gi
i h
n cho root) v
i 1 c
nh báo và th
c thi ch
ươ
ngtrình /etc/call_pager v
i các l
a ch
n
đ
ã
đự
oc
đư
a ra .Giám sát logfile có th
 
đượ
c coi nh
ư
1 h
th
ng phát hi
n xâm nh
p theo m
t cách
đặ
c bi
t. Logs c
ũ
ngch
a r 
t nhi
u thông tin không tr 
c ti
ế
p lên quan
đế
n s
xâm nh
p (ch
ỉ 
là nh
ng thông tin mà NIDS nghetr 
m
đượ
c trên
đườ
ng truy
n). Logs có th
 
đượ
c coi nh
ư
m
t cái b
l
n ch
a thông tin, m
t s
thông tinbình th
ườ
ng (nh
ư
thông tin v
k
ế
t n
i c
a ng
ườ
i ch
u trách nhi
m, thông tin c
u hình l
i daemon…) vành
ng thông tin
đ
áng ng
ch
ng h
n nh
ư
thông tin v
 
đă
ng nh
p t
1 IP
độ
ng, truy c
p root m
t cách k
 l
… và r 
t nhi
u nh
ng thông tin (malicious) ch
ng h
n nh
ư
RPC buffer overflow
đượ
c ghi nh
n t
 rpc.statd. Xem xét và ch
n l
c toàn b
nh
ng thông tin
đ
ó ch
ỉ 
d
h
ơ
n 1 chút so v
i l
ng nghe trên m
ng vàtìm ki
ế
m nh
ng cu
c t
n công vào web ho
c là các gói tin d
hình.N
ế
u t
t c
các
ng d
ng
đề
u có m
t h
th
ng log an toàn mà t
t c
các s
ki
n x
u
đề
u
đượ
c ghi nh
n và
đ
óng gói, nh
ng ngu
i phân tích log có th
không c
n
đế
n 1 h
th
ng phát hi
n xâm nh
p. Trong th
c t
ế
,n
ế
u m
t s
ki
n có th
 
đượ
c ch
ỉ 
ra trong 1 file log hoàn ch
ỉ 
nh thì nó có th
là 1 s
xâm nh
p. Tuy nhiên,trong
đờ
i th
c thì vi
c tìm ki
ế
m t
ng ph
n trong logs
đ
ôi khi c
ũ
ng giá tr 
nh
ư
vi
c tìm ki
ế
m t
ng ph
n trên
đườ
ng d
n.Th
c t
ế
thì vi
c
đ
i kèm phân tích log h
th
ng v
i NIDS log là m
t
đặ
t
đ
i
m r 
t có ích
đố
i v
i ng
ườ
i phântích log. Ng
ườ
i phân tích s
nhìn th
y
đượ
c nhi
u h
ơ
n là ch
ỉ 
nhìn trên
đườ
ng d
n và t
o ra các ch
c n
ă
ngc
a meta IDS. Ví d
nh
ư
, gi
i pháp qu
n lý nh
ư
netForensics cho phép phân tích log qua các thi
ế
t b
, bìnhth
ườ
ng hóa và liên k
ế
t chúng (b
ng các ph
n d
a trên rule) sau
đ
ó phân tích các s
ki
n
đ
ã
đượ
c t
ngh
p.19.1.1.2 Giám sát tính toàn v
n :M
t công c
giám sát tính toàn v
n s
nhin vào các c
u trúc ch
y
ế
u c
a h
th
ng
để
tìm s
thay
đổ
i. Ví d
 nh
ư
, 1 giám sát toàn v
n
đ
ó s
s
d
ng 1file h
th
ng ho
c m
t khóa registry nh
ư
"bait"
để
ghi l
i các thay
đổ
i b
i 1 k
xâm nh
p. M
c dù chúng có gi
i h
n, giám sát toàn v
n có th
thêm vào các l
p b
o v
cho 1h
th
ng phát hi
n xâm nh
p.Giám sát toàn v
n ph
bi
ế
n nh
t
đ
ó là Tripwire (http://www.tripwire.com
 
). Tripwire có s
n cho Windows vàUnix, và nó ch
ỉ 
có th
giám sát 1 s
các thu
c tính nh
ư
:Vi
c thêm, xóa, s
a
đổ
i FileC
File (i.e., hidden, read-only, archive, etc.)Th
i gian truy c
p cu
i cùngTh
i gian ghi cu
i cùngTh
i gian thay
đổ
i• Kích th
ướ
c FileKi
m tra HashKh
n
ă
ng c
a Tripwire là r 
t l
n trên Unix và Windows b
i vì các thu
c tính khác nhau c
a các h
th
ngfile. Tripwire có th
 
đượ
c thay
đổ
i
để
phù h
p v
i các
đặ
c
đ
i
m riêng bi
t c
a m
ng c
a b
n, và nhi
uTripwire agents có th
t
p trung m
t cách an toàn các d
li
u. Trong th
c t
ế
, b
n có th
s
d
ng Tripwire
để
giám sát b
t kì 1 thay
đổ
i nào trên h
th
ng c
a b
n. B
i v
y, nó là m
t công c
t m
nh trong IDS

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->