An ninh và bảo mật dữ liệu

Nhóm: 9
Tìm hiểu về hệ thống chống xâm nhập IDS Sensor của Cisco

Giảng viên hướng dẫn: Th. Trần Duy Hùng

Sinh viên thực hiện:

Nội dung báo cáo
1. Khái niệm về IDS
2. Lịch sử ra đời của IDS
3. Chức năng của IDS
4. Kiến trúc của IDS
5. IDS Sensor của Cisco
6. Cisco IDS 4.x chạy trên hệ điều hành Linux
1. Khái niềm về IDS
 Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường
doanh nghiệp hiện nay. Do đó hệ thống phát triển xâm nhập được phát
triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet.
 IDS – Instruction Detection System : hệ thống phát hiện xâm nhập là một
hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo
cho hệ thống, nhà quản trị
 IDS cũng có thể phát hiện những tấn công từ bên trong (người trong công
ty) hay tấn công từ bên ngoài (từ các hacker)
2. Lịch sự ra đời của IDS
 Khái niệm phát hiện xâm nhập xuất hiện đầu tiên qua 1 bài báo của James
Anderson
 Các nghiên cứu IDS được nghiên cứu chính thức từ 1983- 1988
 Cho đến năm 1996 các khái niệm IDS vẫn chưa phổ biến. Một số hệ thống
chỉ được xuất hiện trong các phòng thí nghiệm
 Năm 1997 IDS mới thực sự được biết đến và đem lại lợi nhuận với sự đi
đầu của công ty ISS
 Năm 1998 Cisso đã mua lại công ty cung cấp giải pháp IDS tên là Wheel
 3. Chức năng của IDS
 Chức năng quan trọng nhất của IDS là giám sát – cảnh báo:
 Giám sát: giám sát lưu lượng mạng và các hoạt động khả nghi
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị
 Chức năng chính của IDS được cụ thể bởi các hành động như:
 Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống đã được
cài đặt từ trước
 Phân tích thống kê những luồng traffic không bình thường
 Đánh giá và kiểm tra tính toàn vẹn của các file được xác định
 Thống kê và phân tích các user, hệ thống đang hoạt động
 4. Kiến trúc của IDS

Một IDS bao gồm

 Trung tâm điều khiển IDS: đây sẽ là nơi IDS giám sát và quản lý, duy
trì kiểm soát thông qua các thành phần của IDS.
 Cảm biến (Sensor): đây là chương trình được cài đặt và chạy trên các thiết
bị mạng, đóng vai trò giám sát mạng.
 Bộ phân tích gói: đây là chương trình giám sát xâm nhập, gửi cảnh báo cho
quản trị viên khi có hành động xâm nhập bất thường.
 Thành phần cảnh báo: bao gồm các phương pháp gửi cảnh báo đến cho
quản trị viên hệ thống như SMS, email, popupm SNMP
 5. IDS Sensor của Cisco:

Các yếu tố ảnh hưởng đến quyết định khi chọn Sensor cho giải pháp Cisco IDS:

o Network – media: việc lựa chọn sensor bị ảnh hưởng bởi môi trường mạng

o Hiệu suất phân tích phát hiện xâm nhập: hiệu năng của Cisco IDS Sensor nằm từ
45Mbps đến 1000 Mbps.

o Môi trường mạng: Cisco IDS sensor thích hợp cho các mạng mà có tốc độ mạng
nằm từ 10/100BASE-T Ethernet đến Gigabit Ethernet.
5. IDS Sensor của Cisco:

Yêu cầu thiết kế khi triển khai giải pháp Cisco IDS:
o Số lượng Sensor
o Kích thước và sự phức tạp của mạng
o  Các kết nối giữa mạng của bạn và các mạng khác, bao gồm cả Internet
o khối lượng và các loại traffic ở trên mạng
o Nơi đặt Sensor: sensor nên được đặt ở điểm đi vào mạng và điểm đi ra
o Các tuỳ chọn quản lý và giám sát
o Giao tiếp với các Sensor bên ngoài
5. IDS Sensor của Cisco:
Những vị trí mà cần được bảo vệ khi các thiết bị IDS chuyên dụng yêu cầu kết nối:
5. IDS Sensor của Cisco:
o Internet protection: Một Sensor giữa gateway mạng và internet kết hợp với firewall
và VPN bằng các giám sát traffic cho những hoạt động xâm phạm.
o Extranet protection: Một Sensor giữa mạng và các kết nối extranet như các kết nối
với các đối tác kinh doanh, giám sát traffic nơi mà sự tin tưởng không được dám
chắc.
o Intranet and internal protection: Bảo vệ dữ liệu tập trung và các hệ thống quan trọng
từ những nguồn tấn công bên trong.
o  Remote access protection: Một Sensor đc sử dug để giám sát những traffic gửi đến
NAS (Network acess server) để bảo vệ các truy cập từ xa.
o  Server farm protection: Các công ty đang triển khai các Server public ở trên vùng
DMZ.
 5. IDS Sensor của Cisco:
Vị trí đặt sensor
o Sensor nằm ở trước firewall:
• Nhìn thấy tất cả các traffic đc gửi đến mạng của bạn
• Có khả năg cao hơn về những false possitive
• Không detect được các tấn công bên trong

o Sensor nằm ở sau firewall

• Nhìn thấy chỉ những traffic đã đc cho phép bởi firewall, bảo vệ IDS sensor khỏi
những sự vi phạm mà firewall đã lọc.
• Có khả năng thấp hơn về những false positive
• Alarm yêu cầu các đáp ứng ngay lập tức
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Các hoạt động tương tác
o cidWebServer: webserver của Sensor có khả năng giao tiếp cả HTTP và HTTPs.
o mainApp: Chịu trách nhiệm cho cấu hình các cấu hình của hệ điều hành như IP Address.
mainApp cũng start và stop tất cả các ứng dụng khác của Cisco IDS .
o logApp: Ghi tất cả những log message của ứng dụng đến log file. logApp cũng ghi những
tin nhắn lỗi của ứng dụng đến Eventstore.
o  Authentication: Cấu hình và quản lý authentication ở trên Sensor. 
o  Network Access Controller (NAC): đc sử dụng để khởi tạo blocking trên các thiết bị
mạng.
o ctlTransSource: Cho phép Sensor giao tiếp các giao dịch điều khiển với các thiết bị khác
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux

o sensorApp: sensing engine thực sự. sensor App sẽ xử lý các signature và phát ra các
alert events dựa trên cấu hình của nó và IP của traffic.
o EventStore: 4Gb, được chia sẻ, các file được ánh xạ nơi mà các sự kiện được lưu trữ.
Sensor App là ứng dụng duy nhất mà ghi các alert events lên EventStore
o cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu khi một user
o login vào Sensor. 
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Các phương pháp quản lý Sensor

Cổng điều khiển: Yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với Sensor)
và một chương trình giả lập thiết bị đầu cuối như HyperTerminal
  Monitor và keyboard: Yêu cầu kết nối một màn hình và một bàn phím trực tiếp
đến Sensor
 Telnet: Yêu cầu địa chỉ IP mà được gán cho command and control interface qua
CLI setup command
 Secure shell (SSH): Yêu cầu một địa chỉ IP mà đc gán đến command and control
interface qua CLI setup commandvà sử dụng một client có hỗ trợ SSH
 HTTPS: yêu cầu một IP mà đc gán đến command and control interface qua CLI
setup command và sử dụng một trình duyệt web. 
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Khởi tạo cho Sensor:
o Gán cho Sensor một hostname:
o Gán IP address và subnet mask cho command and control interface
o Gán một default route
o Enable hay disable chức năng telnet server
o Xác định cụ thể web server port.
o Add hoặc remove ACL (access control list) entry mà xác định host nào đc cho phép kết
nối đến Sensor.
o Set ngày và giờ
o Thường đc thực hiện qua setup command:
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Command line mode:
IDS 4.1 software bao gồm một CLI đầy đủ. CLI cho IDS version 4.1 là giao diện
người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH và kết nối
serial. Sử dụng SSH version 1.5 clien để truy cập đến CLI qua mạng.
Các đặc điểm của CLI:
 Trợ giúp: enter ? sau câu lệnh để thể hiện những câu lệnh sẵn có ở mode hiện tại.
 Tab completion: Enter Tab để hoàn thành câu lệnh
 Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến ví
dụ chỉ cần gõ sh ver thay vì show version
 Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để gọi
lại các câu lệnh vừa đc enter
 User interface prompts: CLI thể hiện dấu nhắc tương tác người dùng khi hệ
thống thể hiện một câu hỏi và đợi đầu vào (input) của user
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Nhiệm vụ của CLI

-  Khởi tạo Sensor

- Cấu hình : tuning signature engine (điều chỉnh signature engine)
- Quản trị : Back up và restore file cấu hình
- Gỡ rối: xác minh những số liệu thống kê và các setting.
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Một số câu lệnh cơ bản
o Tạo user account để truy cập đến Sensor cho quản lý và giám sát (qua CLI hoặc
management console).
Cú pháp:
sensor(config)# usename name [password] [privilege]
vd: sensor(config)# username Admin password Adminpass privilege
administrator
=> tạo quản trị viên Admin với cấp quản trị viên đặc quyền và mật khẩu là
Adminpass
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
o Tạo Service account Đây là một account có vai trò đặc biệt cho phép login vào
OS shell thay vì CLI shell, account không hỗ trợ cho việc cấu hình nhưg hỗ trợ
cho việc gỡ rối, mặc định nó không tồn tại trên Sensor và phải tạo nó
Cú pháp:
sensor(config)# username name [password] [privilege]
vd: sensor(config)# username myserviceacct password serpass privilege
service
=> tạo 1 tài khoản dịch vụ có tên myserviceacct với mật khẩu serpass
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
o  Cấu hình Account Lockout: Dùng lệnh attemptLimit để hạn chế số lần một user
có thể cố gắng xác thực trước khi nó bị disable.
Cú pháp:
sensor(config-Authentication-gen)# attemptLimit Limit
vd: sensor(config-Authentication-gen)# attemptLimit 3
=> đặt số lần thử xác thực tối đa thành ba
 6. Cisco IDS 4.x chạy trên hệ điều hành Linux
o  Thay đổi password: Sử dụng câu lệnh password để thay đổi password cho một user đang
tồn tại hoặc enable trở lại cho một user đã bị khoá.
Cú pháp:
sensor(config)# [name [newpassword] ]
o Thay đổi vai trò (đặc quyền):
Sử dụng câu lệnh privilege để thay đổi vai trò của account. Chỉ administrator mới có thể
làm điều này.
o Cấu hình các truy cập qua mạng:
Sử dụng accessList để chỉnh sửa ACLs cho phép truy cập từ xa. Câu lệnh này giúp thiết
lập IP của host (hoặc mạng) mà đc phép thiết lập phiên kết nối TCP đến Sensor.
Cú pháp:
sensor(config-Host-net)# accessList ipAddress ip_Address [netmask]