Luận văn Hệ thống phát hiện xâm nhập mạng

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI --------------------------------------- N G U Y ỄN Đ Ứ C C Ư Ờ N G LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG X Ử LÝ TH Ô N G TIN V À TR U Y Ề TH Ô N G NGUYỄN ĐỨC CƯỜNG 2006 - 2008 Hà Nội 2008 HÀ NỘI 2008 Master of Sience Thesis title: “Warning and Protection System of Network Attacks” Student: Nguyen Duc Cuong Supervisor: Professor Dang Van Chuyet Department of Information Technology Hanoi University of Technoloogy Email: cuongnd-linc@mail.hut.edu.vn Year: 2008 Summary During the last decade, the Internet has developed rapidly in terms of scale as well as diversity. As a consequence, the network security has become more and more urgent issues. Therefore, network administration has been incrementally complicated and manually error handling is no longer sufficient. Due to that, the automatic warning system of attacks is aimed to necessarily establish. This thesis consists of the two parts as follows: Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly developing products in the market. Part 2: The first step for installing IDS into the HUT Network, using SNORT opensource, in order to improve the high perforamance of use of this network. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 1 LỜI NÓI ĐẦU .................................................................................................. 3 CHƯƠNG I - TỔNG QUAN VỀ IDS ............................................................. 6 1.1 Khái niệm ................................................................................................ 6 1.2. Chức năng .............................................................................................. 6 1.3 Cấu trúc chung ........................................................................................ 7 1.4. Phân biệt các mô hình IDS................................................................... 11 NIDS........................................................................................................ 11 HIDS........................................................................................................ 12 1.5. Các phương pháp nhận biết tấn công................................................... 12 1.6 Các sản phẩm IDS trên thị trường......................................................... 14 Intrust ...................................................................................................... 14 ELM ........................................................................................................ 15 GFI LANGUARD S.E.L.M .................................................................... 16 SNORT.................................................................................................... 17 Cisco IDS ................................................................................................ 18 Dragon..................................................................................................... 19 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO ............................................................................................................. 20 2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN .... 20 2.1.1 Khái niệm SPAN............................................................................ 20 2.1.2 Các thuật ngữ ................................................................................. 22 2.1.3 Các đặc điểm của cổng nguồn........................................................ 24 2.1.4 Lọc VLAN ..................................................................................... 24 2.1.5 Các đặc điểm của nguồn VLAN .................................................... 25 2.1.6 Các đặc điểm của cổng đích........................................................... 26 2.1.7 Các đặc điểm của cổng phản hồi.................................................... 27 2.2. SPAN trên các dòng Switch Cisco....................................................... 28 2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series chạy CatOS................................................................................... 28 2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series .................................................. 52 2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS ............................................................... 55 2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau ..................................................................................................................... 58 Các dòng Switch dưới Catalyst 4000 Series ........................................... 58 Catalyst 4500/4000 Series....................................................................... 59 Catalyst 5500/5000 and 6500/6000 Series.............................................. 59 2.4 Các lỗi thường gặp khi cấu hình ........................................................... 59 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 2 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG........................................................................................... 69 3.1. Các đặc điểm chính .............................................................................. 69 3.1.1 Hệ thống detection engine: ............................................................ 70 3.1.2 Hệ thống Logging & alerting:........................................................ 70 3.1.3 Tập luật(RULES) ........................................................................... 71 3.2 Các bước cài đặt Snort trên hệ điều hành Debian................................. 72 3.2.1 Cài hệ điều hành Debian ................................................................ 72 3.2.2 Cài các phần mềm cần thiết ........................................................... 73 3.2.3 Cài đặt và cấu hình IPTABLES-BASED FIREWALL ................. 75 3.2.4 Cài đặt Snort................................................................................... 75 3.2.5 Cấu hình MySQL Server................................................................ 77 3.2.6 Cấu hình để SNORT bắn alert vào MySQL .................................. 78 3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78 3.2.8 Cài đặt và cấu hình Basic Analysis và Sercurity Engine (Base) ... 79 3.2.9 Cập nhật Rules với Oinkmaster ..................................................... 81 3.2.10 Startup Script................................................................................ 82 3.2.11 Tạo Acc truy cập vào Base .......................................................... 83 3.2.12 Cấu hình SNMP Server................................................................ 83 3.2.13 Tạo file index.php để định hướng trình duyệt ............................. 84 3.2.14 Cài đặt phần mềm quản trị Webmin ............................................ 84 3.3 Giao diện hệ thồng sau cài đặt .............................................................. 85 3.3.1 Các thông tin cấu hình cơ bản........................................................ 85 3.3.2 Hướng dẫn sử dụng SNORT.......................................................... 86 3.3.3. Hướng dẫn sử dụng công cụ phân tích (Base) .............................. 89 3.3.4 Hướng dẫn sử dụng Webmin ....................................................... 101 KẾT LUẬN................................................................................................... 108 DANH MỤC TÀI LIỆU THAM KHẢO...................................................... 109 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 3 LỜI NÓI ĐẦU Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập - IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển. Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 4 Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau: - Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi các IDS, tường lửa để tránh các báo động giả. - Các thành phần quản trị phải tự động hoạt động và phân tích. - Kết hợp với các biện pháp ngăn chặn tự động. Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó. Vậy IPS là gì. IPS là một hệ thống chống xâm nhập ( Intrusion Prevention System – IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống IDP - Intrusion Detection and Prevention. Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 5 Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. Tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó. Vì vậy khi nói đến một hệ thống IDS, trong thời điểm hiện tại, ta có thể hiểu đó là một hệ thống tích hợp gồm cả 2 hai chức năng IPS/IDS. Cơ sở hạ tầng CNTT càng phát triển, thì vấn đề phát triển mạng lại càng quan trọng, mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quan trọng. Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần được quan tâm đúng mức hơn. Trước khi có một giải pháp toàn diện thì mỗi một mạng phải tự thiết lập một hệ thống tích hợp IDS của riêng mình. Trong luận văn này, chúng ta sẽ tìm hiểu về cấu trúc một hệ thống IDS, và đi sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để có thể áp dụng trong hệ thống mạng của mình thay thế cho các IDS cứng đắt tiền. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 6 CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị . Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách thực hiện các hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó không cho truy cập hệ thống mạng,…. IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài. IDS phát hiện tấn công dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. 1.2. Chức năng Ta có thể hiểu tóm tắt về hệ thống phát hiện xâm nhập mạng – IDS như sau : Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi. Cảnh báo: báo cáo về tình trạng mạng cho nhà quản trị. Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. + Chức năng mở rộng Phân biệt: các tấn công trong và ngoài mạng Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 7 1.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS. Mô hình cấu trúc chung cho các hệ IDS là: Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được sử dụng để xác định các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công. Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 8 có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua email. Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung : Hình 1.2 : Cấu trúc tập trung. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 9 Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 10 Hình 1.3 : Cấu trúc đa tác nhân Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến ý nghĩa bảo vệ liên quan đến các kiểu tấn công mới. Các giải pháp dựa trên tác nhân IDS tạo cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 11 trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất.. 1.4. Phân biệt các mô hình IDS Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS) NIDS Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. Hình 1.4 : Mô hình NIDS Một số sản phẩm NIDS : -Cisco IDS Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 12 -Dragon® IDS/IPS HIDS Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác. Hình 1.5 : Mô hình HIDS 1.5. Các phương pháp nhận biết tấn công Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 13 Nhận biết qua tập sự kiện Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T Phát hiện xâm nhập dựa trên tập luật (Rule-Based Intrusion Detection): Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris). Phân biệt ý định người dùng (User intention identification): Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra. Phân tích trạng thái phiên (State-transition analysis): Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 14 Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước. Phương pháp phân tích thống kê (Statistical analysis approach): Đây là phương pháp thường được sử dụng. Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả. Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung 1.6 Các sản phẩm IDS trên thị trường Intrust Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt vời. Đưa ra với một giao diện báo cáo với hơn 1. 000 báo cáo khác nhau, giúp kiểm Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 15 soát được Nhập phức tạp. Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác. 1. Tính năng cảnh báo toàn diện 2. Tính năng báo cáo toàn diện 3. Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng 4. Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ mỉ 5. Lọc dữ liệu cho phép xem lại một cách dễ dàng 6. Kiểm tra thời gian thực 7. Phân tích dữ liệu đã được capture 8. Tuân thủ theo các chuẩn công nghiệp 9. Sự bắt buộc theo một nguyên tắc ELM Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ. Cơ sở dữ liệu được bổ sung thêm để bảo đảm cở sở dữ liệu của phần mềm được an toàn. Điều này có nghĩa là nếu cở sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạo một cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở dữ liệu chính online trở lại. Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3. 0 1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 16 2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các bản ghi sự kiện và bộ đếm hiệu suất. 3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ các báo cáo HTML và ASCII 4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ 5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML 6. Hỗ trợ giao diện kiến thức cơ sở 7. Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT. 8. Hỗ trợ cở sở dữ liệu SQL Server và Oracle. 9. Các truy vấn tương thích WMI cho mục đích so sánh 10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập GFI LANGUARD S.E.L.M Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M. 1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự kiện 2. Quản lý bản ghi sự kiện mạng 3. Phát hiện nâng cao các tấn công bên trong 4. Giảm TOC 5. Không cần đến phần mềm client hoặc các tác nhân Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 17 6. Không ảnh hưởng đến lưu lượng mạng 7. Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ 8. Bộ kiểm tra file mật 9. Kiểm tra bản ghi toàn diện 10. Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng SNORT Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trong môi trường UNIX. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ nền Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian và băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại được trong bất kỳ tổ chức nào. Dưới đây là những thông tin vắn tắt về sản phẩm này: 1. Hỗ trợ cấu hình hiệu suất cao trong phần mềm 2. Hỗ trợ tốt cho UNIX 3. Hỗ trợ mã nguồn mở linh hoạt 4. Hỗ trợ tốt SNMP 5. Hỗ trợ mô đun quản lý tập trung 6. Hỗ trợ việc cảnh báo và phát hiện xâm phạm Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 18 7. Có các gói bản ghi 8. Phát hiện tấn công toàn diện 9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện 10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email Cisco IDS Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận cũng như danh tiếng truyền thống của nó. Dưới đây là những thông tin vắn tắt về thiết bị này: 1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai. 2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco . 3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành động trái phép 4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau 5. Cho hiệu suất mạng cao 6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của kẻ xâm nhập 7. Quản lý GUI tập trung 8. Quản lý từ xa 9. Email thông báo sự kiện. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 19 Dragon Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó. Dưới đây là những thông tin vắn tắt về Dragon (Phiên bản hoạt động kinh doanh). 1. Dragon hỗ trợ cả NIDS và HIDS 2. Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX 3. Được mô đun hóa và có thể mở rộng 4. Kiểm tra quản lý tập trung 5. Phân tích và báo cáo toàn diện 6. Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 7. Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router. 8. Quản lý biên dịch báo cáo 9. Có chu kỳ cập nhật chữ kỹ hoàn hảo. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 20 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG SWITCH CISCO Trong chương này chúng ta sẽ khảo sát kỹ thuật cho phép kết nối hệ thống IDS váo hệ thống switch của Cisco. Đó là kỹ thuật phân tích thống kê cổng switch. Kỹ thuật phân tích thống kê cổng Switch (SPAN – The Switched Port Analyzer), đôi khi được gọi là kỹ thuật tham chiếu cổng (port mirroring) hoặc giám sát cổng(port monitoring), cho phép kết nối máy phân tích vào Switch Cisco. Máy phân tích có thể là một Cisco SwitchProbe hoặc một thiết bị theo dõi khảo sát từ xa Remote Monitoring (RMON). Trước đây, SPAN là một tính năng kỹ thuật tương đối cơ bản trên dòng Switch Cisco Catalysts. Tuy nhiên, các phiên bản mới của Catalyst OS (CatOS) giới thiệu các tính năng nâng cao và nhiều khả năng mới đối với người sử dụng. Ta sẽ điểm qua các đặc điểm của SPAN. Đó là: - SPAN là gì , cách cấu hình. - Sự khác nhau giữa các đặc điểm hiện tại (đặc biệt là đa tiến trình, các phiên SPAN xảy ra đồng thời), và yêu cầu hệ thống để chạy chúng. - SPAN ảnh hưởng thế nào đến khả năng thực thi của Switch 2.1 Các kiến thức cơ sở của kỹ thuật phân tích thống kê cổng - SPAN 2.1.1 Khái niệm SPAN Đặc điểm của SPAN được giới thiệu khi phân biêt chức năng cơ bản khác biệt giữa switch với hub. Khi một hub nhận một gói tin trên một cổng, hub sẽ gửi một bản sao của gói tin đó đến tất cả các port còn lại trừ port mà hub nhận gói tin đến. Khi một switch khởi động, nó bắt đầu tạo nên một bảng chuyển tiếp (forwarding table ) Layer 2 dựa trên cơ sở địa chỉ MAC nguồn của các gói tin khác nhau mà switch nhận được. Sau khi bảng chuyển tiếp này được xây dựng xong, Switch sẽ chuyển tiếp luồng dữ liệu đến đúng cổng thích hợp có địa chỉ MAC trong bảng. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 21 Ví dụ, nếu bạn muốn lưu lại luồng dữ liệu Ethernet được gửi bởi máy A sang máy B và cả hai được nối đến một hub, ta sẽ nối máy phân tích (sniffer) vào hub. Các cổng khác sẽ “xem” được lưu lượng từ máy A đến máy B Hình 2.1 : Máy cần theo dõi gắn vào hub Trên Switch, sau khi địa chỉ MAC máy B được học, luồng dữ liệu đơn nhất (traffic unicast) từ máy A đến máy B được chuyển tiếp duy nhất đến cổng (port switch) mà máy B nối đến. Bởi vậy, máy phân tích sẽ không nhìn thấy luồng dữ liệu cần phân tích. Hình 2.2 : Máy cần theo dõi gắn vào Switch Trong mô hình này, máy phân tích chỉ nhận được các luồng dữ liệu được gửi đến tất cả các cổng, như là : - Luồng thông tin quảng bá (broadcast traffic) Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 22 - Luồng thông tin multicast với CGMP hoặc Internet Group Management Protocol (IGMP) - Các luồng dữ liệu đơn nhất (unicast traffic) không rõ ràng Luồng thông tin đơn nhất được chuyển tiếp ra các cổng (flooding) khi switch không có địa chỉ MAC đích trong bảng nhớ nội dung địa chỉ (CAM – Content-addressable memory). Switch không biết địa chỉ cổng chính xác để gửi luồng dữ liệu đó. Đơn giản là nó sẽ đẩy các gói tin đến tất cả mọi cổng còn lại. Một đặc điểm mở rộng cần thiết là tạo một bản sao giả tạo các gói tin đơn nhất (unicast packets) để đưa đến cổng Switch gắn máy phân tích dữ liệu Hình 2.3 : Dữ liệu được tạo bản sao ở Switch Ở cấu trúc trên, máy phân tích được gắn vào cổng được cấu hình để nhận một bản sao của mọi gọi tin mà máy A gửi, cổng này được gọi là cổng SPAN. 2.1.2 Các thuật ngữ - Ingress traffic : luồng dữ liệu chạy vào switch - Egress traffic : luồng dữ liệu đi ra khỏi switch - Source (SPAN) port : cổng được theo dõi (monitor) bằng việc sử dụng kỹ thuật SPAN - Source (SPAN) VLAN : VLAN được theo dõi - Destination (SPAN) port : t cổng theo dõi cổng nguồn (Source port), thường là khi ở đây có một máy phân tích được gắn vào Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 23 - Reflector Port : cổng đẩy các bản sao gói tin đến một RSPAN VLAN - Monitor port : một cổng theo dõi cũng đồng thời là một cổng đích SPAN trong Catalyst 2900XL/3500XL/2950 Hình 2.4 : Các thuật ngữ - Local SPAN : đặc điểm SPAN này là cục bộ khi cổng được theo dõi là được đặt trên cùng Switch như cổng đích. Đặc điểm này là tương phản với Remote SPAN (RSPAN) - Remote SPAN (RSPAN) : Một số cổng nguồn không trên cùng Switch với cổng đích. RSPAN là một đặc điểm nâng cao, nó yêu cầu một VLAN đặc biệt nhằm mang luồng thông tin được theo dõi bởi SPAN giữa các Switch. RSPAN không hỗ trợ trên tất cả các Switch. Kiểm tra ghi chú phát hành tương ứng hoặc hướng dẫn cấu hình để xem bạn có thể sử dụng RSPAN trên Switch mà bạn triển khai. - Port-based SPAN (PSPAN) : Người sử dụng chỉ rõ một hoặc một vài cổng nguồn trên Switch và một cổng đích. - VLAN-based SPAN (VSPAN) : Trên một Switch, người sử dụng có thể chọn theo dõi tất cả các cổng thuộc về một VLAN bằng 1 dòng lệnh. - Administrative source : Một tập các cổng nguồn hoặc các VLAN được cấu hình để theo dõi. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 24 - Operational source : Một tập các cổng được quản lý thực sự. Tập các cổng này có thể khác nhau từ nguồn quản trị. Ví dụ, một cổng trong chế độ tắt có thể hiển thị tại nguồn quản trị, nhưng nó không thực sự được theo dõi. 2.1.3 Các đặc điểm của cổng nguồn Một cổng nguồn, còn được gọi là cổng được theo dõi (monitored port), là một cổng được chuyển mạch hoặc được định tuyến cho phép bạn theo dõi luồng dữ liệu trên mạng. Trong một phiên cục bộ SPAN hoặc phiên nguồn RSPAN, bạn có thể theo dõi lưu lượng cổng nguồn, như lưu lượngn nhận (Rx), gửi (Tx), hoặc cả hai hướng (bidirectional). Switch hỗ trợ mọi cổng (trên switch) và mọi VLAN tồn tại trên đó có thể là nguồn. Một cổng nguồn có các đặc điểm : • Nó có thể là bất kỳ kiểu cổng nào, chẳng hạn như EtherChannel, Fast Ethernet, Gigabit Ethernet, …. • Nó có thể được theo dõi trong nhiều phiên Span. • Nó không thể là một cổng đích. • Mỗi cổng nguồn có thể được cấu hình với một hướng (đi vào, đi ra, hoặc cả hai) để theo dõi. Với nguồn EtherChannel, theo dõi và giám sát các hướng áp dụng cho tất cả các cổng vật lý trong nhóm. • Cổng nguồn có thể có ở trong cùng một hoặc nhiều VLANs khác nhau. • Với các VLAN Span nguồn, tất cả các cổng hoạt động trong các VLAN nguồn được bao gồm như cổng nguồn. 2.1.4 Lọc VLAN Khi bạn theo dõi đường trunk như là một cổng nguồn, tất cả các VLANs đang hoạt động trên đường trunk được giám sát theo mặc định. Bạn có thể sử dụng lọc VLAN để giới hạn lưu lượng SPAN giám sát trên đường trunk cổng nguồn để chỉ rõ các VLANs. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 25 • VLAN lọc chỉ áp dụng cho các đường trunk hoặc cổng voice VLAN. • VLAN lọc chỉ áp dụng cho các cổng nguồn dựa trên phiên và không được cho phép trong phiên với VLAN nguồn. • Khi một danh sách VLAN lọc được xác định, chỉ có những VLANs trong danh sách được theo dõi và giám sát trên các cổng trunk hoặc trên cổng, truy nhập voice VLAN . • Lưư lượng Span truy cập đến từ các kiểu cổng khác không bị ảnh hưởng bởi VLAN lọc, điều đó có nghĩa là tất cả các VLANs đều được phép qua các cổng khác. • VLAN lọc chỉ ảnh hưởng đến lưu lượng chuyển tiếp đến cổng đích Span và không ảnh hưởng tới việc chuyển mạch của lưu lượng truy cập bình thường. • Bạn không thể làm việc với các VLAN nguồn và lọc cácVLAN trong một phiên. Bạn có thể có các VLAN nguồn hoặc các VLAN lọc, nhưng không làm cả hai cùng một lúc được 2.1.5 Các đặc điểm của nguồn VLAN VSPAN là giám sát lưu lượng mạng ở một hoặc nhiều VLANs. Span hay RSPAN nguồn giao diện trong VSPAN là một VLAN ID, và lưu lượng được theo dõi trên tất cả các cổng thuộc về VLAN đó. VSPAN có những đặc điểm: • Tất cả các cổng hoạt động trong VLAN nguồn được bao gồm như cổng nguồn và có thể được theo dõi ở một hoặc cả hai hướng. • Trên một cổng, chỉ lưu lượng trên VLAN được theo dõi được gửi đến cổng đích. • Nếu một cổng đích thuộc vào một VLAN nguồn, nó bị loại trừ khỏi danh sách nguồn và không được theo dõi và giám sát. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 26 • Nếu các cổng được thêm hoặc xoá bỏ từ các VLANs nguồn, lưu lượng trên các VLAN nguồn nhận được bởi các cổng được thêm vào hoặc xoá bỏ từ nguồn đang theo dõi và giám sát. • Bạn không thể sử dụng các VLANs lọc trong cùng một phiên với VLAN nguồn. • Bạn có thể theo dõi duy nhất các Ethernet VLANs. 2.1.6 Các đặc điểm của cổng đích Mỗi phiên cục bộ SPAN hay phiên đích RSPAN phải có một cổng đích(còn gọi là cổng giám sát) nhận được một bản sao lưu lượng truy cập từ các cổng nguồn và các VLANs. Một cổng đích có các đặc điểm : • Một cổng đích phải trên cùng một Switch như cổng nguồn (cho một phiên SPAN cục bộ). • Một cổng đích có thể là bất kỳ cổng Ethernet vật lý nào. • Một cổng đích có thể tham gia vào duy nhất một phiên SPAN tại một thời điểm. Một cổng đích trong một phiên SPAN không thể là một cổng đích cho phiên SPAN thứ hai. Một cổng đích không thể là một cổng nguồn. • Một cổng nguồn không thể là một nhóm EtherChannel. • Một cổng đích có thể là một cổng vật lý trong một nhóm EtherChannel, ngay cả khi nhóm EtherChannel đã được xác định như là một nguồn SPAN. The port is removed from the group while it is configured as a SPAN destination port. Cổng đó được gỡ bỏ khỏi nhóm trong khi nó đã được cấu hình như một cổng đích SPAN. • Cổng đó không truyền tải bất kỳ lưu lượng nào, ngoại trừ lưu lượng cho các phiên SPAN thiết cho buổi học tập, trừ khi tiến trình tự học được kích hoạt. Nếu tiến trình tự học được kích hoạt, cổng đó cũng truyền lưu lượng theo hướng đến các máy trạm đã được học trên cổng đích. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 27 • Trạng thái của cổng đích bật /tắt theo chế độ định sẵn. Giao diện hiển thị cổng đó trong trạng thái này theo thứ tự rõ ràng các cổng hiện tại không thích hợp nhu cổng nguồn. • Nếu lưu lượng chuyển tiếp được cho phép cho một thiết bị bảo mật mạng. Các cổng đích chuyển tiếp lưu lượng tại lớp 2(DataLink). • Một cổng đích không tham gia vào cây bao trùm trong khi các phiên SPAN đang hoạt động. • Khi đây là một cổng đích, nó không tham gia vào bất kỳ giao thức lớp 2 (EP, VTP, CDP, DTP, PagP). • Một cổng đíchthuộc về một nguồn VLAN của bất cứ phiên SPAN bị loại trừ khỏi danh sách các nguồn và không được giám sát. • Một cổng đích nhận được các bản sao của lưu lượng gửi và nhận của cổng nguồn được giám sát. Nếu một cổng đích hết thời gian truy nhập, nó có thể dẫn đến xung đột. Điều này có thể ảnh hưởng đến lưu lượng chuyển tiếp trên một hoặc nhiều cổng nguồn. 2.1.7 Các đặc điểm của cổng phản hồi Cổng phản hồi là cơ chế đưa các bản sao các gói lên một RSPAN VLAN. Cổng phản hồi chuyển tiếp duy nhất những lưu lượng từ phiên RSPAN nguồn với phiên mà nó trực thuộc. Bất kỳ thiết bị nào kết nối đến một cổng đựoc đặt là cổng phản hồi mất kết nối chỉ khi phiên RSPAN nguồn bị vô hiệu hóa. Cổng phản hồi có những đặc điểm : • Là một cổng đặt ở chế độ loopback. • Nó có thể không được là một nhóm EtherChannel, không phải đường trunk, và nó không thể thực hiện giao thức lọc. • Nó có thể là một cổng vật lý được đặt trong một nhóm EtherChannel, ngay cả khi nhóm EtherChannel được xác định như là một SPAN nguồn. Cổng được bỏ khỏi nhóm trong khi nó đã được cấu hình như một cổng phản hồi. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 28 • Một cổng được sử dụng như là một cổng phản hồi không thể là một SPAN nguồn hoặc cổng đích, cũng không thể một cổng là một cổng ohản hồi cho nhiều hơn một phiên tại một thời điểm. • Nó không nhìn thấy trong mọi VLANs. • Native VLAN dành cho lưu lượng looped-back trên một cổng phản hồi là RSPAN VLAN. • Cổng phản hồi loops back không đánh dấu lưu lượng đi đến Switch. Lưu lượng đặt trên RSPAN VLAN và đưa đến các cổng trunk bất kỳ mang RSPAN VLAN đó. • Thuật toán cây bao trùm tự động bị vô hiệu trên một cổng phản hồi. • Một cổng phản hồi nhận các bản sao của lưu lượng đã gửi và nhận cho tất cả các nguồn đã giám sát.. 2.2. SPAN trên các dòng Switch Cisco 2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series chạy CatOS Lưu ý: Phần này chỉ được áp dụng cho dòng Switch Cisco Catalyst 2900 Series : • Cisco Catalyst 2948G-L2 • Cisco Catalyst 2948G-GE-TX • Cisco Catalyst 2980G-A Phần này được áp dụng cho dòng Cisco Catalyst 4000 Series bao gồm: • Modular Chassis Switches: o Cisco Catalyst 4003 o Cisco Catalyst 4006 • Fixed Chassis Switch: o Cisco Catalyst 4912G Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 29 SPAN cục bộ Các tính năng SPAN được cập nhật lần lượt đến CatOS, và cấu hình một SPAN bao gồm một lệnh đơn set SPAN . Hiện nay, một loạt các tuỳ chọn có sẵn cho lệnh : switch (enable) set SPAN Usage: set SPAN disable [dest_mod/dest_port|all] set SPAN [rx|tx|both] [inpkts ] [learning ] [multicast ] [filter ] [create] Lược đồ mạng này giới thiệu những khả năng khác nhau SPAN tuỳ theo yêu cầu: Hình 2.5 : Kết nối theo từng VLAN Lược đồ này đại diện cho một phần của một dòng thẻ mà nằm ở slot 6 của Catalyst 6500/6000. Trong phần này: • Ports 6/1 and 6/2 belong to VLAN 1 • Port 6/3 belongs to VLAN 2 • Ports 6/4 and 6/5 belong to VLAN 3 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 30 Kết nối một Sniffer đến cổng 6/2 và sử dụng nó như là một cổng giám sát trong một số trường hợp khác nhau. PSPAN, VSPAN : Giám sát một số cổng hoặc toàn bộ một VLAN Nhập mẫu đơn giản nhất lệnh set SPAN để giám sát một cổng. Cú pháp là set SPAN source_port destination_port. Giám sát một cổng với SPAN Hình 2.6 : Giám sát sát một cổng switch (enable) set SPAN 6/1 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 31 Với cấu hình này, mỗi gói được nhận hoặc gửi qua cổng 6/1 được sao chép trên cổng 6/2. Một mô tả rõ ràng lên đến khi bạn đưa vào cấu hình. Sử dụng show SPAN để nhận được một tóm tắt cấu hình SPAN hiện tại: switch (enable) show SPAN Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local SPAN sessions: 1 Giám sát một số cổng với SPAN Hình 2.7 : Giám sát nhiều cổng Câu lệnh set SPAN source_ports destination_port cho phép người sử dụng chỉ định nhiều hơn một cổng nguồn . Đơn giản chỉ cần liệt kê tất cả các cổng trên mà bạn muốn thực hiện SPAN, phân tách các cổng với các dấu phẩy. Các thông dịch dòng lệnh cũng cho phép bạn sử dụng gạch nối để xác định một dải các cổng. Ví dụ này Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 32 minh họa khả năng này để xác định nhiều hơn một cổng. Ví dụ sử dụng SPAN trên cổng 6/1 và một dải 3 cổng 6/3 đến 6/5: Lưu ý: Hiện chỉ có thể xác định một cổng đích. Luôn luôn xác định cổng đích sau nguồn SPAN . switch (enable) set SPAN 6/1,6/3-5 6/2 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1,6/3-5 Oper Source : Port 6/1,6/3-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 Lưu ý: Không giống như dòng Catalyst 2900XL/3500XL , Catalyst 4500/4000, 5500/5000, 6500/6000 có thể giám sát các cổng thuộc một vài VLAN khác nhau với các phiên bản CatOS trước 5.1. Ở đây, các cổng giám sát được gán cho các VLANs 1, 2, và 3. Giám sát các VLANs với SPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 33 Cuối cùng, lệnh set SPAN cho phép bạn cấu hình một cổng để giám sát lưu lượng cục bộ một VLAN. Cú pháp là set SPAN source_vlan(s) destination_port. Sử dụng một danh sách của một hoặc nhiều VLANs như là một nguồn, thay vì một danh sách các cổng: Hình 2.8 : Sử dụng các VLAN như các nguồn cổng switch (enable) set SPAN 2,3 6/2 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : VLAN 2-3 Oper Source : Port 6/3-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 07:40:10 %SYS-5- SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 34 Với cấu hình này, mỗi gói đi vào hoặc đi ra khỏi VLAN 2 hoặc 3 được nhân bản đến cổng 6/2. Lưu ý: Kết quả là chính xác giống như nếu bạn thực hiện SPAN độc lập trên tất cả các cổng thuộc các VLANs mà câu lệnh chỉ rõ. So sánh các trường Oper Source và trường Admin Source . Trường Admin Source liêt kê cơ bản tất cả các cổng cấu hình cho phiên SPAN, và trường Oper Source liệt danh sách các cổng sử dụng SPAN. Ingress/Egress SPAN Ở ví dụ trong phần Monitor VLANs with SPAN, lưu lượng đi vào và đi ra khỏi các cổng được xác định được giám sát. Các trường hướng : truyền/nhận hiển thị lưu lượng. Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để thu thập chỉ các lưu lượng đi ra hoặc chỉ lưu lượng đi vào trên một cổng. Thêm vào các từ khoá RX (nhận) hoặc tx (truyền) cuối dòng lệnh lệnh. Giá trị mặc định là both (tx và RX). set SPAN source_port destination_port [rx | tx | both] In this example, the session captures all incoming traffic for VLANs 1 and 3 and mirrors the traffic to port 6/2: Trong ví dụ này, phiên này lưu tất cả lưu lượng đến các VLANs 1 và 3 và nhân bản lưu lượng đến cổng 6/2: Hình 2.9 : Nhân bản lưu lượng đến cổng 6/2 switch (enable) set SPAN 1,3 6/2 rx Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 35 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : VLAN 1,3 Oper Source : Port 1/1,6/1,6/4-5,15/1 Direction : receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:09:06 %SYS-5- SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Thực hiện SPAN trên một đường Trunk Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mang thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the VLANs on this trunk is monitored. Nếu một đường trunk được chọn là một cổng nguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát. Giám sát một tập nhỏ của các VLANs trên một đường trunk Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs. Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN cho 2 cổng 6/4 và 6/5. Đơn giản là dùng lệnh : switch (enable) set SPAN 6/4-5 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 36 Hình 2.10 : Giám sát lưu lượng qua đường trunk Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang. Ví dụ, không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN 2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ VLAN 2: switch (enable) set SPAN 2 6/2 Hình 2.11 : Thiết lập VLAN bị giám sát Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từ đường trunk đó. Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạn không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựa chọn một số VLANs để giám sát từ đường trunk switch (enable) set SPAN 6/4-5 6/2 filter 2 2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 37 for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : 2 Status : active Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được theo dõi và giám sát. Bạn có thể chỉ định một số VLANs với tùy chọn lọc. Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst 6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ trợ tùy chọn lọc sẵn có với câu lệnh set SPAN. Trunking trên cổng đích Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN của một gói bạn nhận được trên cổng SPAN đích . Điều này có thể được xác định là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 38 SPAN. Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được gắn thẻ của họ tương ứng với VLAN ID. Note: Your sniffer needs to recognize the corresponding encapsulation. Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng. switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5 2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 switch (enable) set trunk 6/2 nonegotiate isl Port(s) 6/2 trunk mode set to nonegotiate. Port(s) 6/2 trunk type set to isl. switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk switch (enable) set span 6/4-5 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 39 2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 Tạo ra các phiên làm việc đồng thời Trước đây, chỉ có một phiên Span đã được tạo ra. Mỗi lầng bạn nhập một lệnh mới set span, cấu hình trước đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy nhiều phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhập lệnh set span source destination create để tạo thêm một phiên SPAN. Trong phiên này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 được giám sát: Hình 2.12 : Giám sát đồng thời switch (enable) set span 6/1 6/2 2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 40 Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 switch (enable) set span 3 6/3 create Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/3 Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 41 Multicast : enabled Filter : - Status : active ------------------------------------------------------------------------ Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 2 Các phiên thêm vào được khởi tạo. Bạn muốn xoá một vài phiên. Câu lệnh là set span disable {all | destination_port } Bởi vì chỉ có thể có được một cổng đích mỗi phiên, cổng đó xác định một phiên. Xóa phiên đầu tiên được khởi tạo, là phiên sử dụng port 6/2 là cổng đích: switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1 2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Bạn có thể kiểm tra hiện tại có duy nhất một phiên duy trì : Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 42 switch (enable) show span Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 1 Nhập câu lệnh sau nếu muốn khoá tất cả các phiên hiện tại trong một bước : switch (enable) set span disable all This command will disable all span session(s). Do you want to continue (y/n) [n]?y Disabled all local span sessions 2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/3 switch (enable) show span No span session configured Các tuỳ chọn SPAN khác Cú pháp của set span là : switch (enable) set span Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 43 Usage: set span disable [dest_mod/dest_port|all] set span [rx|tx|both] [inpkts ] [learning ] [multicast ] [filter ] [create] Phần này giới thiệu ngắn gọn các tuỳ chọn mà tài liệu đề cập : • sc0-Bạn chỉ rõ từ khóa sc0 khi cấu hình một Span khi bạn cần phải giám sát lưu lượng truy cập vào giao diện quản lý sc0. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS phiên bản 5.1 hoặc mới hơn. • inpkts enable/disable -Tùy chọn này là vô cùng quan trọng. Khi ở tuỳ chọn này, một cổng mà bạn cấu hình là cổng Span đích vẫn thuộc về VLAN ban đầu của nó. Các gói được nhận trên một cổng đích sau đó đi vào VLAN đó, nếu cổng này là một cổng truy nhập bình thường. Động thái này có thể được mong muốn. Nếu bạn sử dụng một máy tính như là một Sniffer, bạn có thể muốn máy PC hoàn toàn kết nối với VLAN đó. Tuy nhiên, các kết nối có thể được gây nguy hiểm nếu bạn kết nối cổng đích đến các thiết bị mạng khác , tạo loop trong mạng. Cổng SPAN đich, không chạy STP, và bạn có thể kết thúc trong một tình huống lặp dữ liệu. Cấu hình mặc định của tùy chọn này là vô hiệu hóa, điều đó có nghĩa là cổng đích span bỏ qua các mà cổng nhận được. Điều này bảo vệ cổng khỏi tình trạng bridging "loop". Tùy chọn này xuất hiện trong CatOS 4.2. • learning enable/disable — Tùy chọn này cho phép bạn vô hiệu hoá quá trình học trên cổng đích. Theo mặc định, quá trình học được kích hoạt và cổng đích học các địa chỉ MAC từ các gói cổng nhận được. Tính năng này xuất Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 44 hiện trong CatOS 5,2 trên Catalyst 4500/4000 và 5500/5000, và trong CatOS 5,3 trên Catalyst 6500/6000. • Như tên gọi, tùy chọn này cho phép bạn để kích hoạt hoặc vô hiệu hóa việc giám sát của các gói multicast. Mặc định là cho phép. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS 5,1 và sau • spanning port 15/1 —Trên Catalyst 6500/6000, bạn có thể sử dụng cổng 15/1 (hoặc 16/1) như là một SPAN nguồn. Cổng này có thể giám sát lưu lượng truy cập được gửi đến Multilayer Switch Feature Card (MSFC).. Cổng bắt lưu lượng được định tuyến-mềm hoặc đưa tới MSFC. SPAN từ xa Tổng quan về RSPAN RSPAN cho phép bạn giám sát các cổng nguồn phân bố trên một mạng, không chỉ cục bộ trên một Switch với SPAN. Tính năng này xuất hiện trong CatOS 5.3 trong dòng Catalyst 6500/6000 Series và được cập nhật trong Catalyst 4500/4000 Series trong CatOS 6.3 và sau đó. Các chức năng hoạt động chính xác như là một phiên SPAN thông thường. Lưu lượng được giám sát bởi SPAN không sao chép trực tiếp đến cổng đích, nhưng đẩy vào một VLAN RSPAN đặc biệt. Các cổng đích có thể nằm bất cứ nơi nào trong này RSPAN VLAN. Thậm chí có thể có vài cổng đích. Lược đồ dưới miêu tả cấu trúc của một phiên RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 45 Hình 2.3 : Giám sát từ xa Trong ví dụ này, bạn cấu hình RSPAN để giám sát lưu lượng mà máy A gửi. Khi A phát một frame đích đến là B, gói được sao chép bởi một ứng dụng mạch tích hợp (ASIC) của Catalyst 6500/6000 Policy Feature Card (PFC) vào một RSPAN VLAN đã xác định. Từ đó, các gói được đẩy đến đến tất cả các cổng khác mà thuộc về RSPAN VLAN đó. tất cả các liên kết liên Switch được vẽ ở trên là các đường trunks, đó là một yêu cầu cho RSPAN. Chỉ cổng truy cập là các cổng đích, nơi các máy phân tích được kết nối (ở đây, trên S4 và S5). Có môt vài lưu ý trên thiết kế này • S1 được gọi là một Switch nguồn. Các gói chỉ đi vào RSPAN VLAN trong các Switch được cấu hình như RSPAN nguồn. Hiện tại, một Switch chỉ có thể là nguồn trong một phiên RSPAN, điều đó có nghĩa là một Switch nguồn chỉ có thể cho phép một RSPAN VLAN tại một thời điểm. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 46 • S2 và S3 là các Switch trung gian. Chúng không phải là các nguồn RSPAN và không có các cổng đích. Một Switch có thể làm trung gian cho bất kỳ phiên RSPAN nào. • S4 và S5 là các Switch đích. Một số cổng của chúng được cấu hình làm cổng đích cho một phiên RSPAN. Hiện tại, một Catalyst 6500/6000 có thể có tới 24 cổng đích RSPAN, cho một hoặc một vài phiên khác nhau. Bạn cũng có thể nhận thấy rằng cả S4 đồng thời là một Switch trung gian và Switch đích. • Bạn có thể thấy các gói RSPAN được làm ngập (flood) vào RSPAN VLAN. Ngay cả các Switch không nằm trên đường đi đến một cổng đích, chẳng hạn như S2, nhận được lưu lượng truy cập đến RSPAN VLAN. Bạn có thể làm hiệu quả hơn bằng cách lược bỏ VLAN này trên các liên kết S1-S2 • Nhằm đạt được việc làm ngập dữ liệu, quá trình học tập được vô hiệu hóa trên RSPAN VLAN • Để ngăn ngừa việc lặp dữ liệu, STP được duy trì trên RSPAN VLAN. Vì vậy, RSPAN không thể giám sát các BPDUs. Cấu hình ví dụ RSPAN Những thông tin trong phần này minh hoạ việc cấu hình các thành phần khác nhau với một thiết kế rất đơn giản RSPAN. S1 và S2 là hai Switch Catalyst 6500/6000. Để giám sát một số cổng S1 hoặc các VLANs từ S2, bạn phải thiết lập một đặc trưng RSPAN VLAN. Phần còn lại của các lệnh có cú pháp tương tự như một phiên SPAN tiêu biểu. Hình 2.14 : Giám sát từ xa qua đường trunk Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 47 Đặt đường trunk ISL giữa hai Switch S1 và S2 Để bắt đầu, đặt cùng một tên miềnVLAN Trunk Protocol (VTP) trên mỗi Switch và cấu hình mỗi bên trunking desirable. Đưa ra lệnh trên S1: S1> (enable) set vtp domain cisco VTP domain cisco modified Đưa các lệnh trên S2: S2> (enable) set vtp domain cisco VTP domain cisco modified S2> (enable) set trunk 5/1 desirable Port(s) 5/1 trunk mode set to desirable. S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left bridge port 5/1 2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl trunk Tạo RSPAN VLAN Một phiên RSPAN cần một RSPAN VLAN cụ thể . Bạn phải tạo VLAN này. Bạn không thể chuyển đổi một VLAN hiện có thành một RSPAN VLAN. Ví dụ này sử dụng VLAN 100: S2> (enable) set vlan 100 rspan Vlan 100 configuration successful Đưa ra lệnh này trên một Switch được cấu hình như một VTP server. Các thông tin của RSPAN VLAN 100 được tự động quảng bá trong toàn bộ miền VTP. Cấu hình cổng 5/2 của S2 như một cổng đích RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 48 S2> (enable) set rspan destination 5/2 100 Rspan Type : Destination Destination : Port 5/2 Rspan Vlan : 100 Admin Source : - Oper Source : - Direction : - Incoming Packets: disabled Learning : enabled Multicast : - Filter : - Status : active 2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session active for destination port 5/2 Cấu hình một cổng nguồn RSPAN trên S1 Trong ví dụ này, lưu lượng đi vào vào S1 qua cổng 6/2 được giám sát. Phát ra lệnh : S1> (enable) set rspan source 6/2 100 rx Rspan Type : Source Destination : - Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2 Direction : receive Incoming Packets: - Learning : - Multicast : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 49 Filter : - Status : active S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span source session active for remote span vlan 100 Tất cả các gói tin đi vào qua cổng 6/2 được đẩy ngập trên RSPAN VLAN 100 và đến cổng đích được cấu hình trên S1 qua đường trunk. Xác thực cấu hình lệnh show rspan để hiển thị cấu hình RSPAN hiện tại trên Switch. Nhắc lại, có duy nhất một phiên RSPAN nguồn tại một thời điểm. S1> (enable) show rspan Rspan Type : Source Destination : - Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2 Direction : receive Incoming Packets: - Learning : - Multicast : enabled Filter : - Status : active Total remote span sessions: 1 Các cấu hình khác có thể đặt với lệnh set rspan Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 50 Xem phần set rspan để xem các tuỳ chọn của lệnh. Bạn sử dụng một vài dòng lệnh để cấu hình nguồn và đích với RSPAN. Ngoài khác biệt này, SPAN và RSPAN thự sự hoạt động theo cùng một cách. Bạn thậm chí có thể sử dụng RSPAN cục bộ, trên một Switch, nếu bạn muốn có một vài cổng SPAN đích Liệt kê tính năng và giới hạn Bảng này liệt kê các tính năng khác nhau được giới thiệu và cung cấp phiên bản tối thiểu CatOS cần thiết để chạy các tính năng trên một dòng Switch chỉ rõ : Tính năng Catalyst 4500/4000 Catalyst 5500/5000 Catalyst 6500/6000 inpkts enable/disable (tuỳ chọn) 4.4 4.2 5.1 Đa phiên, các cổng ở các VLANs ≠ 5.1 5.1 5.1 sc0 (tuỳ chọn) — 5.1 5.1 multicast enable/disable (tuỳ chọn) — 5.1 5.1 learning enable/disable (tuỳ chọn) 5.2 5.2 5.3 RSPAN 6.3 — 5.3 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 51 Bảng này cung cấp một tóm tắt các hạn chế hiện tại trên một số phiên SPAN có thể xảy ra : Tính năng Catalyst 4500/4000 Phạm vi của các Switch Catalyst 5500/5000 Phạm vi của các Switch Catalyst 6500/6000 Phạm vi của các Switch Rx hoặc cả hai phiên SPAN 5 1 2 Tx SPAN sessions 5 4 4 Mini Protocol Analyzer sessions Không hỗ trợ Không hỗ trợ 1 Rx, Tx, hoặc cả hai phiên RSPAN nguồn 5 không hỗ trợ 1 Supervisor Engine 720 hỗ trợ 2 phiên RSPAN nguồn RSPAN đích 5 không hỗ trợ 24 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 52 Tổng các phiên 5 5 30 2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series Đây là những nguyên tắc cấu hình tính năng SPAN trên các dòng Switch Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750, and 3750-E Series • Các Switch Catalyst 2950 chỉ có duy nhất một phiên span hoạt động tại một thời điểm và chỉ giám sát duy nhất các cổng nguồn. Các Switch không thể giám sát các VLANs • Dòng Catalyst 2950 và 3550 có thể chuyển tiếp lưu lượng trên một cổng nguồn SPAN ở các phiên bản Cisco IOS 12.1 (13) EA1 và mới hơn. • Dòng Catalyst 3550, 3560, 3750 có thể hỗ trợ tối đa hai phiên SPAN tại một thời điểm và có thể giám sát các cổng nguồn cũng như các VLANs • Các dòng Catalyst 2970, 3560, 3750 không yêu cầu cấu hình của một cổng phản hồi khi bạn cấu hình một phiên RSPAN • Dòng Catalyst 3750 hỗ trợ phiên cấu hình với việc sử dụng các cổng nguồn và đích nằm trên bất kỳ một Switch thành viên của stack • Mỗi một cổng đích cho phép một phiên SPAN, và cùng một cổng không thể là một cổng đích cho nhiều phiên SPAN. Vì vậy, bạn có thể không có hai phiên SPAN sử dụng cùng một cổng đích. Các câu lệnh cấu hình tính năng Span tương tự trên Catalyst 2950 và Catalyst 3550. Tuy nhiên, Catalyst 2950 không thể giám sát VLANs. Bạn có thể cấu hình SPAN, như trong ví dụ này: C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastethernet 0/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 53 !--- Cấu hình cổng Fast Ethernet 0/2 là cổng nguồn. C2950(config)#monitor session 1 destination interface fastethernet 0/3 !--- Cấu hình cổng Fast Ethernet 0/3 là cổng đích. C2950(config)# C2950#show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0/2 Destination Ports: Fa0/3 C2950# Bạn cũng có thể cấu hình một cổng như là một đích cho các SPAN cục bộ và RSPAN cho cùng lưu lượng truy cập một VLAN. Để giám sát lưu lượng truy cập cho một VLAN nằm trên 2 Switch kết nối trực tiếp, cấu hình các lệnh trên Switch có cổng đích. Trong ví dụ này, chúng ta giám sát lưu lượng từ VLAN 5 đi qua hai Switch: c3750(config)#monitor session 1 source vlan c3750(config)#monitor session 1 source vlan 5 c3750(config)#monitor session 1 destination fastethernet 0/3 !--- Cấu hình cổng FastEthernet 0/3 là cổng đích. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 54 Trên Switch ở xa , sử dụng cấu hình c3750_remote(config)#monitor session 1 source vlan 5 !--- Chỉ rõ VLAN 5 là Vlan được giám sát. c3750_remote(config)#monitor session 1 destination remote vlan <Remote vlan id> Trong ví dụ trước một cổng đã được cấu hình như một cổng đích cho cả hai RSPAN và SPAN cục bộ để giám sát lưu lượng truy cập cho cùng một VLAN có trên cả hai Switch. Lưu ý: Không như dòng 2900XL và 3500XL Series, dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, E-3560, 3750, 3750 và E-Series hỗ trợ SPAN trên lưu lượng truy cập cổng nguồn theo duy nhất chiều Rx ( Rx SPAN hay ingress Span), theo chiều chỉ Tx (Tx Span hay egress SPAN), hoặc cả hai. Lưu ý: Các lệnh trong cấu hình không hỗ trợ trên Catalyst 2950 với Cisco IOS 12.0 (5.2) WC (1) hoặc bất kỳ phiên bản nào trước Cisco IOS 12.1(6) EA2. Tham khảo phần Enabling Switch Port Analyzer của Managing Switches để cấu hình SPAN trên một Catalyst 2950 với phiên bản trước Cisco IOS 12.1 (6) EA2. Lưu ý: Catalyst 2950 sử dụng Cisco IOS 12.1.(9) EA1d và các phiên bản trước trong Cisco IOS 12.1 hướng dẫn hỗ trợ SPAN. Tuy nhiên, tất cả các gói được nhìn thấy trên cổng đích SPAN (kết nối với thiết bị phân tích hoặc PC) có một nhãn IEEE 802.1Q, mặc dù cổng nguồn SPAN(cổng giám sát) có thể không là một cổng trunk 802.1Q. Nếu thiết bị giám sát hoặc card mạng PC (NIC), không hiểu các gói được đánh nhãn 802.1Q, máy phân tích có thể ngắt các gói hoặc gặp khó khăn khi nó cố gắng giải mã các gói. Khả năng các khung được đánh nhãn 802.1Q chỉ khi cổng nguồn SPAN là một cổng trunk. Với Cisco IOS 12.1(11) EA1 và mới hơn, bạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 55 có thể kích hoạt và vô hiệu hoá tính năng gắn thẻ của các gói tại cổng đích SPAN. Sử dụng lệnh monitor session session_number destination interface interface_id encapsulation dot1q để kích hoạt mã của gói tại cổng nguồn. Nếu bạn không nêu từ khóa encapsulation , các gói được gửi không đánh nhãn, đó là mặc định trong Cisco IOS 12.1 (11) EA1 và sau đó. Tính năng Catalyst 2950/3550 Ingress (inpkts) enable/disable tuỳ chọn Cisco IOS Software Release 12.1(12c)EA1 RSPAN Cisco IOS Software Release 12.1(12c)EA1 Tính năng Catalyst 29401, 2950, 2955, 2960, 2970, 3550, 3560, 3750 Rx or both SPAN sessions 2 Tx SPAN sessions 2 Rx, Tx, or both RSPAN source sessions 2 RSPAN destination 2 Total sessions 2 1 Catalyst 2940 chỉ hỗ trợ SPAN cục bộ. RSPAN không hỗ trợ trong dòng Switch này. 2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 56 Các tính năng SPAN được hỗ trợ trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS. Cả hai dòng Switch này sử dụng các giao diện lệnh giống nhau (CLI), và cấu hình tương tự Cấu hình ví dụ Bạn có thể cấu hình SPAN, như ví dụ dưới 4507R#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 4507R(config)#monitor session 1 source interface fastethernet 4/2 !--- Cấu hình cổng Fast Ethernet 4/2 là cổng nguồn. 4507R(config)#monitor session 1 destination interface fastethernet 4/3 !--- Cấu hình cổng Fast Ethernet 0/3 là cổng đích. 4507R#show monitor session 1 Session 1 --------- Type : Local Session Source Ports : Both : Fa4/2 Destination Ports : Fa4/3 4507R# Tóm tắt tính năng và giới hạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 57 Bảng dưới tóm tắt các tính năng khác nhau đã được giới thiệu và cho biết phiên bản tối thiểu của Cisco IOS cần thiết để chạy các tính năng trên dòng Switch đó. Tính năng Catalyst 4500/4000 (Cisco IOS) Catalyst 6500/6000 (Cisco IOS) Ingress (inpkts) enable/disable tuỳ chọn Cisco IOS Software Release 12.1(19)EW Hiện tại không hỗ trợ1 RSPAN Cisco IOS Software Release 12.1(20)EW Cisco IOS Software Release 12.1(13)E 1 Các tính năng hiện tại không có , và tính khả dụng của các tính năng này thường không được công bố cho đến khi chính thức phát hành Lưu ý: Tính năng SPAN của dòng Switch Cisco Catalyst 6500/6000 Series có một giới hạn đối với việc truy vấn giao thức PIM . Khi một Switch được cấu hình cho cả hai PIM và SPAN, các máy phân tích nối với cổng đích SPAN có thể xem các gói PIM không phải là một phần của cổng nguồn SPAN / lưu lượng truy cập VLAN . Vấn đề này xảy ra do một giới hạn trong phần chuyển tiếp gói tin của Switch. Cổng đích SPAN không thực hiện bất kỳ kiểm tra để xác thực nguồn gốc của các gói. Vấn đề này được nêu trong của Cisco bug ID CSCdy57506 ( registered chỉ dành cho khách hàng) Bảng dưới cung cấp một tóm tắt các giới hạn hiện tại trên một số phiên SPAN và RSPAN : Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 58 Tính năng Catalyst 4500/4000 (Cisco IOS) Các phiên SPAN Rx hoặc cả hai 2 Các phiên SPAN Tx 4 Các phiên nguồn RSPAN Rx, Tx, hoặc cả hai 2 (Rx, Tx hoặc cả hai), và lên 4 với duy nhất Tx RSPAN đích 2 Tổng các phiên 6 Tham khảo Local SPAN, RSPAN, and ERSPAN Session Limits dành cho Catalyst 6500/6000 chạy Cisco IOS Trong dòng Catalyst 6500 Series, điều quan trọng phải lưu ý egress Span được thực hiện trên sự giám sát. Điều này cho phép tất cả lưu lượng truy cập đi đến egress SPAN được gửi một cơ cấu đến máy phân tích và sau đó đến cổng đích SPAN, có thể sử dụng hệ thống tài nguyên quan trọng và tác động đến lưu lượng truy cập người sử dụng. Ingress SPAN sẽ được thực hiện trên các bộ phận ingress, vì vậy hiệu năng SPAN sẽ là tổng hợp của tất cả các phần sao chép. Hiệu năng của các tính năng SPAN phụ thuộc vào kích thước gói và các kiểu ASIC có trong các bộ phận sao chép. 2.3 Hiệu năng tác động của SPAN trên các nền Switch Catalyst khác nhau Các dòng Switch dưới Catalyst 4000 Series Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 59 Để giám sát một số cổng với SPAN, một gói phải được sao chép từ bộ đệm dữ liệu đến một vệ tinh một lần cập nhật. Những tác động trên cơ chế chuyển mạch tốc độ cao là không đáng kể. Cổng giám sát nhận các bản sao của lưu lượng gửi và nhận của tất cả các cổng được giám sát. Trong kiến trúc này, một gói đi đến nhiều đích được lưu giữ trong bộ nhớ cho đến khi tất cả các bản sao được chuyển tiếp. Nếu cổng giám sát là 50 phần trăm tải duy trì một khoảng thời gian, các cổng có khả năng sẽ trở thành xung đột và giữ một phần của bộ nhớ chia sẻ. Có một khả năng mà một hoặc nhiều của các cổng đó được giám sát cũng chậm lại. Catalyst 4500/4000 Series Với việc sử dụng các tính năng SPAN, một gói phải được gửi cho hai cổng khác nhau, như trong ví dụ trong phần Kiến trúc tổng quan. Việc gửi gói tin cho hai cổng không phải là một vấn đề, vì cơ cấu chuyển mạch là không khoá. Nếu cổng đích SPAN bị xung đột, các gói được xoá bỏ trong hàng đợi đầu ra và giải phóng chính xác khỏi bộ nhớ chia sẻ. Vì vậy, không có tác động ảnh hưởng đến hoạt động Switch. Catalyst 5500/5000 and 6500/6000 Series Dù là một hoặc một vài cổng cuối truyền tải các gói hoàn toàn không có ảnh hưởng hoạt động Switch. Vì vậy, khi bạn xem xét kiến trúc này, tính năng SPAN không tác động hiệu suất. 2.4 Các lỗi thường gặp khi cấu hình Các vấn đề kết nối do lỗi cấu hình SPAN Lỗi kết nối xảy ra vì việc cấu hình SPAN sai xảy ra thường xuyên trong các phiên bản CatOS trước 5.1. Với những phiên bản này, chỉ duy nhất một phiên SPAN diễn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 60 ra. Phiên này lưu trong cấu hình, thậm chí khi bạn vô hiệu hóa SPAN. Với việc sử dụng lệnh set span enable, người sử dụng kích hoạt lại phiên SPAN được lưu. Những hành động thường xuyên xảy ra vì một lỗi in, ví dụ, nếu người dùng muốn kích hoạt STP. Lỗi kết nối trầm trọng có thể xảy ra nếu các cổng đích được sử dụng để chuyển tiếp lưu lượng truy cập người dùng. Lưu ý: vấn đề này vẫn còn trong thực thi hiện tại của CatOS. Hãy rất cẩn thận các cổng mà bạn chọn làm một cổng đích SPAN. Cổng đích SPAN Up/Down Khi các cổng được triển khai SPAN cho công tác giám sát, trạng thái các cổng là UP / DOWN. Khi bạn cấu hình một phiên SPAN để giám sát các cảng, giao diện cổng đích cho thấy trạng thái DOWN (giám sát), theo thiết kế. Giao diện hiển thị cổng trong trạng thái này để làm cho nó hiển nhiên rằng cổng hiện tại không khả thi như cổng sản xuất. Cổng trong trạng thái UP/DOWN giám sát là bình thường. Tại sao phiên SPAN tạo ra lỗi lặp cầu Lỗi lặp cầu thường xuyên xảy ra khi người quản trị cố mô phỏng các tính năng RSPAN. Tương tự, một cấu hình lỗi có thể dẫn đến lỗi Đây là một ví dụ của phần này: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 61 Hình 2.15 : Lỗi lặp cầu dữ liệu Có hai Switch trung tâm được liên kết bởi một đường trunk. Trong dụ này, mỗi Switch có một số máy chủ, máy trạm, hoặc các cầu nối kết nối với nó. Người quản trị muốn giám sát VLAN 1, xuất hiện trên một số cầu nối với SPAN. Người quản trị tạo một phiên SPAN giám sát toàn bộ VLAN 1 trên Switch trung tâm, và, để hợp nhất hai phiên, nối cổng đích vào cùng một hub (hoặc cùng Switch, với việc sử dụng các phiên SPAN khác) Người quản trị đạt được mục tiêu. Mỗi một gói tin mà một Switch trung tâm nhận trên VLAN 1 được nhân bản trên cổng SPAN và chuyển đi lên vào hub. Một máy phân tích cuối cùng bắt lưu lượng truy cập. lưu lượng cũng đi lần nữa vào Switch 2 qua cổng đích SPAN. Lưu lượng này đi vào Switch 2 tạo ra một lặp cầu nối trong VLAN 1. Nên nhớ rằng một cổng đích SPAN không chạy STP và không có khả năng ngăn chặn lặp dữ liệu. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 62 Hình 2.16 : Lặp cầu dữ liệu diễn ra Lưu ý: Vì các giới thiệu về tùy chọn inpkts (đầu vào các gói) trên CatOS, một cổng đích SPAN ngắt bất kỳ các gói theo mặc định, nó ngăn lỗi này không xảy ra. Tuy nhiên, vẫn còn là vấn đề này là vẫn tông tại trên Catalyst 2900XL/3500XL Series Lưu ý: Thậm chí khi tuỳ chọn inpkts ngăn việc xảy ra lặp, cấu hình phần này cho thấy rằng có thể gây ra một số vấn đề trong mạng. Các lỗi có thể xảy ra bởi vì quá trinh học địa chỉ MAC được kết hợp với quá trình học đã kích hoạt trên cổng đích. Bạn có thể cấu hình SPAN trên một cổng EherChannel? Một EtherChannel không hoạt động chuẩn nếu một trong số các cổng trong đó là một cổng đích SPAN. Nếu bạn cố gắng cấu hình SPAN trong tình huống này , Switch sẽ cảnh báo : Channel port cannot be a Monitor Destination Port Failed to configure span feature Bạn có thể sử dụng một cổng trong một cụm EtherChannel như một cổng nguồn SPAN. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 63 Bạn có thể có một vài phiên SPAN chạy cùng một thời điểm? Trên Catalyst 2900XL/3500XL Series, số lượng các cổng đích có trên Switch là giới hạn số lượng các phiên SPAN. Trên Catalyst 2950 Series, bạn chỉ có thể khai báo một cổng giám sát bất kỳ lúc nào. Nếu bạn chọn một cổng khác như cổng giám sát, cổng giám sát trước bị vô hiệu hóa, và cổng mới được lựa chọn trở thành cổng giám sát. Trên Catalyst 4500/4000, 5500/5000, 6500/6000 với CatOS 5.1 về sau, bạn có thể có một số phiên SPAN tồn tại đồng thời. Lỗi "% Local Session Limit Has Been Exceeded" Engine: Thông báo đưa ra khi phiên SPAN thực thi quá giới hạn của thành phần giám sát % Local Session limit has been exceeded Không thể xoá một phiên SPAN trên module VPN dịch vụ, với lỗi “%Session [Session No:] Used by Service Module” Với vấn đề này, các mạng riêng ảo (VPN), môđun đưa vào trong một khuung, nơi một môđun cơ cấu chuyển mạch đã được đưa vào. Cisco IOS tự động tạo ra một phiên Span cho các mô-đun dịch vụ VPN để xử lý các lưu lượng truy cập multicast Sử dụng lệnh sau để xoá phiên SPAN mà IOS tạo ra cho modul VPN dịch vụ : Switch(config)# no monitor session session_number service-module Lưu ý: Nếu bạn xoá phiên này, modul VPN dịch vụ ngắt lưu lượng multicast Tại sao bạn không thể bắt các gói tin lỗi với SPAN? Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 64 Bạn không thể bắt các gói tin lỗi với SPAN, vì cách mà Switch thực hiện chung. Khi một gói đi qua một Switch, có những vấn đề sau: 1. Các gói tới được cổng ingress. 2. Các gói được lưu trong ít nhất một bộ đệm. 3. Các gói cuối cùng được truyền trên cổng egress. Hình 2.17 : Hàng đợi bộ đệm trong Nếu Switch nhận được một gói hỏng, các cổng ingress xoá gói tin đó. Vì thế, bạn không nhìn thấy trên gói tin đó trên cổng egress. Một Switch không hoàn toàn đứng sau đối với việc bắt lưu lượng truy cập. Tương tự, khi bạn thấy một gói hỏng trên máy phân tíchcủa bạn trong ví dụ trong phần này, bạn biết rằng các lỗi đã được tạo ra tại bước 3, trên phân đoạn đi ra. Nếu bạn cho rằng một thiết bị gửi các gói tin lỗi, bạn có thể đặt máy gửi tin và thiết bị phân tích trên một hub. Hub đó không tiến hành kiểm tra bất kỳ lỗi nào. Bởi vậy, không như Switch, hub không ngắt các gói tin, bằng cách này bạn có thể hiển thị các gói tin. Lỗi : %Session 2 used by service module Nếu một modul dịch vụ Firewall (FWSM) đã được cài đặt, ví dụ, đã cài đặt và gỡ bỏ sau đó, trong CAT6500, nó tự động kích hoạt các tính năng SPAN phản hồi. Các tính năng SPAN phản hồi sử dụng một phiên SPAN trong Switch. Nếu bạn không sử dụng nữa, bạn phải nhập lệnh no monitor session service module từ chế độ cấu hình của CAT6500, và sau đó ngay lập tức nhập cấu hình SPAN cần thiết. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 65 Cổng phản hồi xoá các gói tin Một cổng phản hồi nhận các bản sao lưu lượng gửi và nhận của tất cả các cổng cổng giám sát nguồn. Nếu một cổng phản hồi quá tải, nó có khả năng dẫn đến xung đột. Điều này có thể ảnh hưởng đến lưu lượng chuyển tiếp trên một hoặc nhiều cổng nguồn. Nếu băng thông của cổng phản hồi không đủ cho khối lượng lưu lượng truy cập tương ứng từ cổng nguồn, các gói đi ra bị huỷ bỏ. Một cổng 10/100 phản hồi ở mức 100 Mbps. Một cổng Gigabit phản hồi từ 1 Gbps. Phiên SPAN luôn sử dụng Với một FWSM trong Catalyst 6500 Chassis Khi bạn sử dụng Supervisor Engine 720 với một FWSM trong cấu trúc chạy Native Cisco IOS, theo mặc định một phiên SPAN được sử dụng. Nếu bạn kiểm tra các phiên không sử dụng với show monitor ,phiên 1 được sử dụng: Cat6K#show monitor Session 1 --------- Type : Service Module Session Khi một phần tường lửa có trong Catalyst 6500 chassis, phiên này tự động cài đặt để hỗ trợ nhân bản multicast phần cứng vì một FWSM không thể nhân bản dòng multicast . Nếu dòng dữ liệu nguồn multicast đằng sau FWSM phải được nhân bản tại lớp 3 đến nhiều dòng mạch, các phiên tự động nhân bản lưu lượng truy cập đến máy phân tích thông qua một cơ cấu kênh. Nếu bạn có một nguồn multicast tạo ra một dòng multicast từ phía sau FWSM, bạn cần phải có bộ phản hồi SPAN. Nếu bạn đặt nguồn multicast bên ngoài VLAN, bộ phản hồi SPAN là không cần thiết. Bộ phản hồi SPAN không tương thích với cấu nối BPDUs thông qua FWSM. Bạn có thể sử dụng lệnh no monitor session service module để vô hiệu hoá bộ phản hồi SPAN. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 66 Một phiên Span và một RSPAN có thể có cùng ID trong cùng một Switch? Không, không thể sử dụng cùng một ID phiên cho một phiên SPAN thông thường và phiên đích RSPAN. Mỗi phiên RSPAN và SPAN phải có ID phiên khác nhau. Một phiên RSPAN có thể hoạt động qua tên miền VTP khác? Có. một phiên RSPAN có thể hoạt động qua tên miền VTP khác. Nhưng chắc chắn rằng các RSPAN VLAN tồn tại trong cơ sở dữ liệu của các tên miền VTP này. Ngoài ra, hãy chắc chắn rằng không có thiết bị Lớp 3 hiện diện trong đường dẫn của phiên nguồn đến phiên đích. RSPAN có thể là một phiên làm việc qua WAN hoặc các mạng khác? Không, phiên RSPAN không thể xuyên qua bất kỳ thiết bị Lớp 3 như RSPAN là một LAN (lớp 2) tính năng. Để giám sát lưu lượng truy cập qua WAN hoặc mạng khác, sử dụng Encapsulated Remote SwitchPort Analyser (ERSPAN). Các tính năng ERSPAN hỗ trợ các cổng nguồn, nguồn VLANs, và các cổng đích trên các Switch khác nhau, hỗ trợ giám sát từ xa của nhiều Switch qua mạng của bạn. ERSPAN bao gồm một phiên nguồn ERSPAN , bảng định tuyến lưu lượng ERSPAN GRE-encapsulated , và một phiên đích ERSPAN . Bạn cấu hình riêng rẽ phiên nguồn ERSPAN và phiên đích trên các Switch khác nhau. Hiện tại, các tính năng ERSPAN được hỗ trợ trong: • Supervisor 720 với PFC3B hay PFC3BXL chạy Cisco IOS 12.2(18) SXE trở lên. • Supervisor PFC3A với 720 có phần cứng phiên bản 3.2 trở lên và chạy Cisco IOS 12.2(18)SXE trở lên. Một phiên nguồn RSPAN và phiên đích có thể tồn tại trên cùng Catalyst Switch? Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 67 Không, RSPAN không hoạt động khi phiên nguồn RSPANvà phiên đích RSPAN trên cùng một Switch. Nếu một phiên nguồn RSPAN được cấu hình với một RSPAN VLAN và một phiên đích RSPAN cho RSPAN VLAN đó được cấu hình trên cùng một Switch, thì cổng đích của phiên đích RSPAN đó cổng sẽ không truyền các gói bắt nguồn từ phiên nguồn RSPAN do hạn chế phần cứng. Vấn đề này không hỗ trợ trên 4500 Series và 3750 Series. Vấn đề này được lưu trong tài liệu Cisco bug ID CSCeg08870 Đây là một ví dụ : monitor session 1 source interface Gi6/44 monitor session 1 destination remote vlan 666 monitor session 2 destination interface Gi6/2 monitor session 2 source remote vlan 666 Máy phân tích/thiết bị bảo mật nối với cổng đích SPAN không tới được Các đặc tính cơ bản của một cổng đích SPAN là nó không truyền tải bất kỳ lưu lượng truy cập nào, ngoại trừ các lưu lượng truy cập cần thiết cho phiên SPAN. Nếu bạn cần truy nhập (IP reachability) máy phân tich / thiết bị bảo mật qua cổng đích SPAN, bạn cần kích hoạt lưu lượng ingress chuyển tiếp. Khi ingress được kích hoạt, cổng đích span chấp nhận các gói đi vào, nó là khả năng dán nhãn phụ thuộc chế độ đóng gói chỉ rõ, và các Switch hoạt động bình thường. Khi bạn cấu hình một cổng đích SPAN, bạn có thể chỉ rõ có hoặc không tính năng ingress được kích hoạt và VLAN gì để sử dụng để Switch xoá nhãn gói ingress. Các đặc điểm kỹ thuật của một ingress VLAN là không cần thiết khi đóng gói được cấu hình, khi mọi gói đóng gói ISL có thẻ VLAN. Mặc dù cổng là chuyển tiếp STP, nó không tham gia trong STP, nên sử dụng thận trọng khi bạn cấu hình tính năng này vì có thể xảy ra spanning-tree loop đã được giới thiệu. Khi cả hai Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 68 ingress và một trunk encapsulation được chỉ rõ trên một cổng đích SPAN, cổng chuyển tiếp tất cả các VLANs hoạt động. Cấu hình của một VLAN không tồn tại như một ingress VLAN là không được phép. monitor session session_number destination interface interface [encapsulation {isl | dot1q}] ingress [vlan vlan_IDs] Ví dụ này cho biết làm thể nào để cấu hình một cổng đích với giao thức đóng gói 802.1q và các gói đi vào bằng việc sử dụng native Vlan 7 Switch(config)#monitor session 1 destination interface fastethernet 5/48 encapsulation dot1q ingress vlan 7 Với cấu hình này, lưu lượng truy cập từ phiên nguồn span liên kết với phiên 1 được sao chép ra các giao diện Fast Ethernet 5/48 với chuẩn 802.1q. Lưu lượng đi vào được chấp nhận và chuyển mạch, với các gói không nhãn được phân loại vào VLAN 7. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 69 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - SNORT VÀO HỆ THỐNG Trong chương này chúng ta sẽ cài đặt sử dụng hệ IDS mềm có tên là SNORT. Hệ thống Snort được chọn với lý do chính đây là phần mềm Open Source , tài liệu cài đặt đầy đủ , yêu cầu hệ thống không quá cao và đã qua một thời gian phát triển. 3.1. Các đặc điểm chính Snort là công cụ phát hiện xâm nhập khá phổ biến và được gọi là light-weight Instrution Detection System, với một số đặc tính sau: -Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows,… -Kích thước tương đối nhỏ: phiên bản hiện tại 2. 6. 1. 5 có kích thước 3. 55 MBytes. - Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác nhau như : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,… - Phát hiện nhanh các xâm nhập theo thời gian thực. - Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm nhập. - Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng. - Là phần mềm Open Source và không tốn kém chi phí đầu tư. Snort được xây dựng với mục đích thoả mãn các tính năng cơ bản sau: Có hiệu năng cao, đơn giản và có tính uyển chuyển cao. Ba thành phần chính của Snort gồm có: hệ thống packet decoder, hệ thống detection engine và hệ thống logging & alerting. Ba thành phần này dựa trên cơ sở của thư viện LIBPCAP, là thư viện cung cấp khả năng lắng nghe và lọc packet trên mạng. Hệ thống Packet decoder: Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớp application, làm input cho hệ thống dectection engine. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 70 Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp Application theo thứ tự của Protocol Stack. Vấn đề quan trọng đặt ra cho hệ thống này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu năng của SNORT giảm sút do “nghe sót” 3.1.1 Hệ thống detection engine: SNORT dùng các rules để phát hiện ra các xâm nhập trên mạng. Xem rules sau: alert tcp !172. 16. 1. 0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”; ) Một rules có hai thành phần: Header và Option, Header: alert tcp !172. 16. 1. 0/24 any -> any any Option: (flags: SF; msg: “SYN-FIN Scan”; ) Mỗi dấu hiệu xâm nhập sẽ được thể hiện bằng một rule. Vậy SNORT quản lý tập các rules như thế nào? SNORT dùng cấu trúc dữ liệu để quản lý các rules gọi là Chain Headers và Chain Options. Cấu trúc dữ liệu này bao gồm một dãy các Header và mỗi Header sẽ liên kết đến dãy các Option. Sở dĩ dựa trên các Header là vì đây là thành phần ít thay đổi của những rules được viết cho cùng một kiểu phát hiện xâm nhập và Option là thành phần dễ được sửa đổi nhất. Ví dụ: ta có 40 rules được viết cho kiểu thăm dò CGI-BIN, thực chất các rules này có chung IP source, IP đích, port source, port đích, tức là có chung Header. Mỗi packet sẽ được so trùng lần lượt trong các dãy cho đến khi tìm thấy mẫu đầu tiên thì hành động tương ứng sẽ được thực hiện. 3.1.2 Hệ thống Logging & alerting: Dùng để thông báo cho quản trị mạng và ghi nhận lại các hành động xâm nhập hệ thống. Hiện tại có 3 dạng logging và 5 kiểu alerting. Các dạng logging, được chọn khi chạy SNORT: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 71 - Dạng decoded: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích hợp với dân Pro. - Dạng nhị phân tcpdump: theo dạng tương tự như tcpdump và ghi vào đĩa nhanh chóng, thích hợp với những hệ thống đòi hỏi performance cao - Dạng cây thư mục IP: Sắp sếp hệ thống log theo cấu trúc cây thư mục IP, dễ hiểu đối với người dùng. Các dạng alerting: - Ghi alert vào syslog - Ghi alert vào trong file text - Gửi thông điệp Winpopup dùng chương trình smbclient - Full alert: ghi lại thông điệp alert cùng với nội dung gói dữ liệu. - Fast alert: chỉ ghi nhận lại header của gói dữ liệu. Cách này thường dùng trong các hệ thống cần performance cao. 3.1.3 Tập luật(RULES) Tập luật của Snort đơn giản để ta hiểu và viết, nhưng cũng đủ mạnh để có thể phát hiện tất cả các hành động xâm nhập trên mạng. Có 3 hành động chính được SNORT thực hiện khi so trùng 1 packet với các mẫu trong rules: - Pass: loại bỏ packet mà SNORT bắt được - Log: tuỳ theo dạng logging được chọn mà packet sẽ được ghi nhận theo dạng đó. - Alert: sinh ra một alert tùy theo dạng alert được chọn và log toàn bộ packet dùng dạng logging đã chọn. Dạng cơ bản nhất của một rule bao gồm protocol, chiều của gói dữ liệu và port cần quan tâm, không cần đến phần Option: log tcp any any -> 172. 16. 1. 0/24 80 Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 172. 16. 1. 0/24 ở port 80. Một rule khác có chứa Option: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 72 alert tcp any any -> 172. 16. 1. 0/24 80 (content: "/cgi-bin/phf"; msg: "PHF probe!"; ) Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ được tạo ra cùng với việc ghi nhận lại toàn bộ gói dữ liệu. Vùng địa chỉ IP trong các rules được viết dưới dạng CIDR block netmask, các port có thể được xác định riêng lẻ hoặc theo vùng, port bắt đầu và port kết thúc được ngăn cách bởi dấu “:” alert tcp any any -> 172. 16. 1. 0/24 6000:6010 (msg: "X traffic"; ) Các option phổ biến của SNORT: 1. content: Search the packet payload for the a specified pattern. 2. flags: Test the TCP flags for specified settings. 3. ttl: Check the IP header's time-to-live (TTL) field. 4. itype: Match on the ICMP type field. 5. icode: Match on the ICMP code field. 6. minfrag: Set the threshold value for IP fragment size. 8. ack: Look for a specific TCP header acknowledgement number. 9. seq: Log for a specific TCP header sequence number. 10. logto: Log packets matching the rule to the specified filename. 11. dsize: Match on the size of the packet payload. 12. offset: Modifier for the content option, sets the offset into the packet payload to begin the content search. 13. depth: Modifier for the content option, sets the number of bytes from the start position to search through. 14. msg: Sets the message to be sent when a packet generates an event. SNORT có thể chạy tốt trên các platform mà LIBPCAP hổ trợ. 3.2 Các bước cài đặt Snort trên hệ điều hành Debian 3.2.1 Cài hệ điều hành Debian Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 73 - Tên hệ điều hành:Debian GNU/Linux 4. 0 r0 "Etch" - Kernel: Linux IDS 2. 6. 18-4-686 - Tài khoản + user:root + pass:root 3.2.2 Cài các phần mềm cần thiết - Sửa lại file /etc/apt/sources. list như sau deb debian. org/ etch/updates main contrib deb-src debian. org/ etch/updates main contrib Trỏ link source qua máy chủ đặt trong mạng giáo dục TEIN2 deb stable main deb-src stable main #Backports deb backports. org/debian etch-backports main contrib non-free - Thêm GPG key của repo: # wget -O - key | apt-key add - - Cập nhật danh sách các gói # apt-get -y update - Cài đặt các tools tiện ích: # apt-get -y install wget tcpdump mc tethereal - Cài đặt các gói cần thiết # apt-get -y install apache-ssl apache-common libapache-mod-php4 Các gói cài theo: Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 74 apache2-utils libapr1 libaprutil1 libexpat1 libmagic1 libpq4 libsqlite3-0 libzzip-0-12 lynx mime-support openssl perl perl-modules php4-common ssl-cert ucf Cấu hình SSL Certificate + Country: VN + State or Province Name: Hanoi + Locality: Hanoi + Organisation Name: DHBK + Organisation Unit Name: DHBK + Email Address: cuongnd-linc@mail. hut. edu. vn # apt-get -y install mysql-server mysql-common mysql-client php4-mysql Các gói cài theo: libdbd-mysql-perl libdbi-perl libmysqlclient15off libnet-daemon-perl libplrpc-perl mysql-client-5. 0 mysql-server-5. 0 psmisc # apt-get -y install libpcap0. 8 libpcap0. 8-dev libmysqlclient15-dev Các gói cài theo: libc6-dev linux-kernel-headers zlib1g-dev # apt-get -y install php4-gd php4-pear libphp-adodb vim gcc make Các gói cài theo: binutils cpp cpp-4. 1 defoma file fontconfig-config gcc-4. 1 libfontconfig1 libfreetype6 libgd2-xpm libjpeg62 libpng12-0 libssp0 libt1-5 libx11-6 libx11-data libxau6 libxdmcp6 libxml2 libxpm4 php-db php-http php-mail php-net-smtp php-net-socket php-pear php-xml-parser php5-cli php5-common ttf-dejavu vim-runtime x11-common Configuring libphp-adodb Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 75 WARNING: include path for php has changed! libphp-adodb is no longer installed in /usr/share/adodb. New insta