(123doc) Vuot Ids Firewalls Va Honeypots

Vượt IDS, Firewalls và Honeypots
MỤC LỤC
MỤC LỤC.................................................................................................................... 1
DANH MỤC HÌNH ẢNH............................................................................................3
LỜI NÓI ĐẦU.............................................................................................................. 4
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS..................................................5
1.1. KHÁI NIỆM IDS....................................................................................................5
1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS..............................................5
1.2.1. Thành phần thu thập thông tin gói tin..................................................................5
1.2.2. Thành phần phát hiện gói tin................................................................................5
1.2.3. Thành phần xử lý.................................................................................................5
1.3. PHÂN LOẠI IDS...................................................................................................6
1.3.1. Network Based IDS.............................................................................................6
1.3.1.1. Lợi thế của Network Based IDS........................................................................6
1.3.1.2. Hạn chế của Network Based IDS......................................................................7
1.3.2. Host Based IDS....................................................................................................7
1.3.2.1. Lợi thế của Host Based IDS..............................................................................7
1.3.2.2. Hạn chế của Host Based IDS............................................................................8
CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL...................................9
2.1. KHÁI NIỆM VỀ FIREWALL................................................................................9
2.1.1. Khái niệm............................................................................................................9
2.1.2. Các lựa chọn Firewall..........................................................................................9
2.1.2.1. Firewall phần cứng..........................................................................................9
2.1.2.2. Firewall phần mềm.........................................................................................10
2.2. CHỨC NĂNG FIREWALL..................................................................................10
2.3. THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG.................................10
2.3.1. Packet Filtering Firewall....................................................................................11
2.3.1.1. Ưu điểm..........................................................................................................11
2.3.1.2. Hạn chế..........................................................................................................11
2.3.2. Application-proxy firewall.................................................................................11
2.3.2.1. Ưu điểm..........................................................................................................12
2.3.2.2. Nhược điểm....................................................................................................12
2.3.3. Circuit Level Gateway.......................................................................................12
Nhóm 16 - MM03A Trang 1

2.4. NHỮNG HẠN CHẾ CỦA FIREWALL...............................................................13
CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT................................14
3.1. KHÁI NIỆM HONEYPOT...................................................................................14
3.1.1. Khái niệm........................................................................................................... 14
3.1.2. Mục đích............................................................................................................14
3.2. PHÂN LOẠI HONEYPOT...................................................................................14
3.3. HONEYNET.........................................................................................................15
3.3.1. Khái niệm........................................................................................................... 15
3.3.2. Chức năng..........................................................................................................16
3.3.3. Khả năng an toàn và các rủi ro...........................................................................17
3.3.4. Đánh giá so sánh mức độ an toàn.......................................................................17
KẾT LUẬN................................................................................................................18
TÀI LIỆU THAM KHẢO.........................................................................................19

DANH MỤC HÌNH ẢNH
Hình 1.1 - Network Based IDS......................................................................................6
Hình 1.2 - Host Based IDS............................................................................................7
Hình 2.1 - Firewall.......................................................................................................10
Hình 2.2 - Packet filtering router.................................................................................11
Hình 2.3 - Application level gateway.........................................................................12
Hình 2.4 - Circuit level gateway..................................................................................13
Hình 3.1 - Honeypots...................................................................................................14
Hình 3.2 - Honeywall...................................................................................................16
Hình 3.2 - Minh họa luồng dữ liệu...............................................................................16

LỜI NÓI ĐẦU

Trong bối cảnh hiện nay của các cuộc tấn công hệ thống hacking và máy
tính là phổ biến. Vì thế việc phát hiện xâm nhập và bảo vệ hoạt động tất cả
các chi tiết có liên quan là rất quan trọng. Module này cùng thảo luận về IDS, tường
lửa và Honeypots. Sau khi hoàn thành Module này, bạn sẽ được quen thuộc với:
+ Hệ thống phát hiện xâm nhập
+ Hệ thống làm rõ tính toàn vẹn
+ Việc tấn công phát hiện như thế nào
+ Phát hiện những dấu hiệu khác thường
+ Làm thế nào để IDS khớp với chữ ký và lưu lượng truy cập đến?
+ Hacking thông qua Firewalls
+ Cung cấp phần mềm IDS
+ Hiểu về Firewalls
+ Hiểu về Honeypots
Nội dung được trình bày trong chương:
Chương 1: Giới thiệu tổng quan về IDS
Chương 2: Giới thiệu tổng quan về Firewall
Chương 3: Giới thiệu tổng quan về Honeypot

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS
1.1. KHÁI NIỆM IDS
Một hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là một
thiết bị hoặc một ứng dụng được sử dụng để theo dõi hoạt động của hệ thống mạng.
Có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để
phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. IDS cũng có thể phân biệt giữa
những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ
bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ
đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS
IDS bao gồm các thành phần chính:
- Thành phần thu thập thông tin gói tin
- Thành phần phát hiện gói tin
- Thành phần xử lý (phản hồi).
1.2.1. Thành phần thu thập thông tin gói tin
Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao lưu, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ
gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công.
1.2.2. Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.
1.2.3. Thành phần xử lý
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công
sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản
ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn

chặn cuộc tấn công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn
chặn.
Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để
họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các
tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và
là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.
Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS
sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói
tin trở nên không bình thường.
1.3. PHÂN LOẠI IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS).
1.3.1. Network Based IDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với
những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến
thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu
lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể
được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập
nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với
với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Hình 1.1 - Network Based IDS

1.3.1.1. Lợi thế của Network Based IDS
- Quản lý được cả một network segment (gồm nhiều host).
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với hệ điều hành.
1.3.1.2. Hạn chế của Network Based IDS
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion
mà NIDS báo là có intrusion.
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
- Hạn chế về giới hạn băng thông. Hacker có thể tấn công bằng cách chia nhỏ
dữ liệu ra để xâm nhập vào hệ thống.
- Không cho biết việc attack có thành công hay không
1.3.2. Host Based IDS
HIDS là hệ thống phát hiện xâm phạm máy chủ được cài đặt cục bộ trên một
máy tính nhất định làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu
lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ
thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như
các máy chủ, máy trạm, máy tính xách tay.
Hình 1.2 - Host Based IDS

1.3.2.1. Lợi thế của Host Based IDS
- Có khả năng xác đinh user liên quan tới một sự kiện (event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
1.3.2.2. Hạn chế của Host Based IDS
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL
2.1. KHÁI NIỆM VỀ FIREWALL
2.1.1. Khái niệm
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào
hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu rằng Firewall
là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng
(untrusted network).
Mô ̣t Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại
sâu, và mô ̣t số loại virus trước khi chúng có thể gây ra trục tră ̣c trên hê ̣ thống. Ngoài
ra, Firewall có thể giúp cho máy tính tránh tham gia các cuô ̣c tấn công vào các máy
tính khác mà không hay biết. Viê ̣c sử dụng mô ̣t Firewall là cực kỳ quan trọng đối với
các máy tính luôn kết nối Internet, như trường hợp có mô ̣t kết nối băng thông rô ̣ng
hoă ̣c kết nối DSL/ADSL.
2.1.2. Các lựa chọn Firewall
Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall
phần cứng và Firewall phần mềm.
2.1.2.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với
Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là
không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc
biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ
định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho
toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với
Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys
(http://www.linksys.com) và NetGear (http://www.netgear.com).Tính năng Firewall
phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định
tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.

2.1.2.2. Firewall phần mềm
So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là
khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.
Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần
cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall
phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn
được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.
2.2. CHỨC NĂNG FIREWALL
Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức,
ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự
truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong
(Intranet) tới một số địa chỉ nhất định trên Internet.
FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng
của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET -
FIREWALL - INTERNET).
Hình 2.1 - Firewall

Mô ̣t Firewall làm viê ̣c bằng cách kiểm tra thông tin đến và ra Internet. Nó nhâ ̣n
dạng và bỏ qua các thông tin đến từ mô ̣t nơi nguy hiểm hoă ̣c có vẻ nghi ngờ. Nếu bạn
cài đă ̣t Firewall của bạn mô ̣t cách thích hợp, các tin tă ̣c tìm kiếm các máy tính dễ bị
tấn công không thể phát hiê ̣n ra máy tính.
2.3. THÀNH PHẦN FIREWALL VÀ CƠ CHẾ HOẠT ĐỘNG
Một Firewall bao gồm một hay nhiều các thành phần sau đây:
- Bộ lọc packet (packet filtering router)
- Cổng ứng dụng (application-level gateway hay proxy firewall)
- Cổng mạch (circuite level gateway)

2.3.1. Packet Filtering Firewall
Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng
có kiểm soát. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn
được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng.
Mô hình này hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin
đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được
xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router.
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc
độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa
chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo
tính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ
thị. Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số
mức truy nhập để vào bên trong mạng.
Hình 2.2 - Packet filtering

router
2.3.1.1. Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được bao
gồm trong mỗi phần mềm router.
2.3.1.2. Hạn chế
Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet không kiểm soát
được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo
những hành động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.
2.3.2. Application-proxy firewall
Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này
thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của
gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin

đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin
đi qua.
Hình 2.3 - Application

level gateway
2.3.2.1. Ưu điểm
 Không có chức năng chuyển tiếp các gói tin IP.
 Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng,
bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có
thể truy cập được bởi các dịch vụ.
 Đưa ra công cụ cho phép ghi lại quá trình kết nối.
2.3.2.2. Nhược điểm
 Tốc độ xử lý khá chậm.
 Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ
mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker
xâm nhập.
 Kiểu firewall này hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho
mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall
(Ftp proxy, Http proxy).
2.3.3. Circuit Level Gateway
Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng
vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một
hành động xử lý hay lọc packet nào.
Hình bên dưới cho thấy, cổng vòng đơn giản chuyển tiếp kết nối telnet qua
firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tuc telnet nào.
Cổng vòng sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối
bên ngoài (outside connection). Cổng vòng thường được sử dụng cho những kết nối ra
ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong.

Hình 2.4 - Circuit level gateway

2.4. NHỮNG HẠN CHẾ CỦA FIREWALL
Firewall không đủ thông minh để có thể đọc hiểu từng loại thông tin và phân tích
nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không
"đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall
vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các
virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ
xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng
rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết
hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng
gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và
có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo
mật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một
nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của
nhân viên, đồng nghiệp.


CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT
3.1. KHÁI NIỆM HONEYPOT
3.1.1. Khái niệm
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả
dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của
chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.
Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại
máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server…
Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc
như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công.
3.1.2. Mục đích
- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
- Tập hợp thông tin về tin tặc và hành động của tin tặc.
- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị
phản hồi lại.
3.2. PHÂN LOẠI HONEYPOT
Gồm hai loại chính: Tương tác thấp và Tương tác cao
- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức
độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông
tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.
Hình 3.1 - Honeypots

- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu
hình và có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ
tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác
tốt hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống
BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.
- Honeyd:
o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô
phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công,
tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân.
o Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.
o Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473
hệ điều hành.
o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên
Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để
tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị
xâm nhập hay gặp nguy hiểm.
3.3. HONEYNET
3.3.1. Khái niệm
- Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots,
Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường.
Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật.
- Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa honeypots và mạng bên ngoài. Nó hoạt động ở tầng 2 như là Bridged.
Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.

Hình 3.2 - Honeywall

3.3.2. Chức năng
- Điều khiển được luồng dữ liệu
o Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động.
o Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ
bị hạn chế.
Hình 3.2 - Minh họa luồng dữ liệu

- Thu nhận dữ liệu: Là quá trình thu nhận những sự kiện xảy ra trong hệ thống,
nó có thể là do attacker hay các đoạn mã độc hại gây ra. Mục đích của thu thập dữ liệu
đó là ghi nhận toàn bộ những sự kiện diễn ra trong hệ thống. Làm cơ sở cho quá trình
phân tích dữ liệu sau này.
- Phân tích dữ liệu: Là quá trình phân tích các sự kiện diễn ra trong hệ thống sau
khi thu thập. Mục đích của việc phân tích dữ liệu là nắm được những gì xảy ra trong
hệ thống. Với những tấn công cụ thể ta có thể thấy rõ được quy trình tấn công, công cụ
tấn công và mục đích của cuộc tấn công.
- Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp dụng cho các
tổ chức có nhiều honeynets. Đa số các tổ chức chỉ có một honeynet.
3.3.3. Khả năng an toàn và các rủi ro
Honeynet có thể là một công cụ rất mạng, chúng ta có thể thu thập thông tin rộng
rãi trên nhiều mối đe dọa. Để thu được những thông tin đó, bạn phải cho phép attacker
và những chương trình mã độc hại có quyền sử dụng hệ thống, thực thi những hành
động của nó, chính điều này sẽ làm cho hệ thống có thể gặp nhiều rủi ro. Các rủi ro
này là khác nhau đối với mỗi tổ chức khác nhau, mỗi tổ chức phải xác định được rủi ro
quan trọng mà mình có thể bị. Có thể có các loại rủi ro sau:
- Gây thiệt hại cho hệ thống khác
- Rủi ro khi hệ thống bị phát hiện
- Rủi ro khi hệ thống bị vô hiệu hóa
- Các rủi ro khác
Để giảm thiểu các rủi ro chúng ta phải thực hiện việc giám sát và duy trì hệ
thống theo thời gian thực, không được sử dụng các công cụ tự động. Khi triển khai hệ
thống chúng ta phải thay đổi những cấu hình mặc định của hệ thống, do các công nghệ
honeypot bao gồm cả honeywall đều là mã nguồn mở, mọi người đều có thể tiếp xúc
với mã nguồn của nó, trong đó có cả những hacker.
3.3.4. Đánh giá so sánh mức độ an toàn
Trong vô số các biện pháp ngăn chặn tin tặc đột nhập vào hệ thống thì
"Honeypot" (tạm gọi là mắt ong) và "Honeynet" (tạm gọi là tổ ong) được coi là một
trong nhữngcamj bẫy được kế với mục đích này.
Với hệ thống honeynet, ta có thể xây dựng được một hệ thống mạng với chi phí
rẻ, nhưng hiệu quả trong việc bảo vệ mạng máy tính, bảo vệ an toàn thông tin trong
mạng
KẾT LUẬN
Sau quá trình nghiên cứu và tìm hiểu, đề tại đã đạt được một số kết quả:
- Hiểu được hệ thống phát hiện xâm nhập IDS, Firewall, Honeypot.
- Chức năng và nguyên lý hoạt động IDS, Firewall, Honeypot.
- Từ đó có thể đưa ra những biện pháp hữu hiệu áp dụng cho doanh nghiệp.
Nhưng còn những vấn đề chúng em chưa làm được:
- Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall, IDS, Honeypot.
- Chưa tiếp cận được thực tế, nhiều vấn đề chỉ mới qua các tài liệu.

TÀI LIỆU THAM KHẢO
 Tài liệu tiếng việt
[1] Giáo trình " An ninh mạng" của Nguyễn Minh Nhật.
 Tài liệu internet
[2] http://www.quantrimang.com.
[3] http://www.vsic.com.

(123doc) Vuot Ids Firewalls Va Honeypots

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

(123doc) Vuot Ids Firewalls Va Honeypots

Uploaded by

Copyright:

Available Formats

Vượt IDS, Firewalls và Honeypots

Nhóm 16 - MM03A Trang 1

Nhóm 16 - MM03A Trang 2

Nhóm 16 - MM03A Trang 3

LỜI NÓI ĐẦU

Nhóm 16 - MM03A Trang 4

Nhóm 16 - MM03A Trang 5

Hình 1.1 - Network Based IDS

Hình 1.2 - Host Based IDS

Nhóm 16 - MM03A Trang 8

Nhóm 16 - MM03A Trang 9

Hình 2.1 - Firewall

Nhóm 16 - MM03A Trang 10

Hình 2.2 - Packet filtering

Nhóm 16 - MM03A Trang 11

Hình 2.3 - Application

Nhóm 16 - MM03A Trang 12

Hình 2.4 - Circuit level gateway

Nhóm 16 - MM03A Trang 13

Nhóm 16 - MM03A Trang 14

Hình 3.1 - Honeypots

Nhóm 16 - MM03A Trang 15

Nhóm 16 - MM03A Trang 16

Hình 3.2 - Honeywall

Hình 3.2 - Minh họa luồng dữ liệu

Nhóm 16 - MM03A Trang 19

Nhóm 16 - MM03A Trang 20

You might also like