an toàn mạng hệ phát hiện xâm nhập - võ việt minh nhật

Nội dung trình bày Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm nhập IDS dựa trên mạng  Một số phương pháp tấn công qua mặt hệ thống IDS  Kết luận... Mở đầu  Để bảo vệ

An toàn mạng :

Hệ phát hiện xâm nhập

Vo Viet Minh Nhat

Khoa CNTT – Trường ĐHKH

Nội dung trình bày

 Hệ phát hiện xâm nhập IDS dựa trên host

 Hệ phát hiện xâm nhập IDS dựa trên mạng

 Một số phương pháp tấn công qua mặt hệ thống IDS

 Kết luận

Mục đích

 Bài trình bày này nhằm

 Trình bày một sô khái niệm về hệ IDS

 Giải thích sự khác nhau giữa những hệ IDS

 Mô tả chi tiết hệ IDS dựa trên host

 Mô tả chi tiết hệ IDS dựa trên mạng

 Trình bày một số phương pháp tấn công qua mặt

hệ thống IDS

Mở đầu

 Để bảo vệ tài nguyên, các công ty không chỉ dựa trên những hệ thồng bị động như tường lửa,

VPN, các kỹ thuật mã hóa hay một số thứ khác,

mà người ta còn cần các công cụ hay thiết bị

chủ động khác trên mạng: đó chính là sự ra đời của các hệ IDS

 Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống Do

đó, các chính sách an toàn do đó cần phải định

nghĩa ai hay cái gì được xem như là một sự cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống

Mở đầu

 Có hai kiểu kẻ xâm nhập tiềm tàng

 Kẻ xâm nhập bên ngoài : được xem như các crackers

 Kẻ xâm nhập bên trong : xuất hiện từ bên trong các

tổ chức

 IDSs là các giải pháp hiệu quả cho việc

phát hiện 2 loại xâm nhập này Các hệ IDS thực hiện liên tục trên mạng, thông báo cho người quản trị mạng khi phát hiện thất một

cố gắng thâm nhập bất thường nào đó

Mở đầu

 IDSs có 2 thành phần chính

 IDS sensors: bao gồm các phần mền hay phần cứng được

sử dụng để tập hợp và phân tích các luồng dữ liệu IDS

sensors được phân thành 2 loại

 IDS sensors dựa trên mạng: có thể được gắn với một thiết bị mạng, hoạt tiết bị độc lập hoạt là một module giám sát luông dữ liệu

 IDS sensors dựa trên host: là một agent đặc biệt thực hiện trên một server để giám sát hệ điều hành

 Phần quản lý IDS: hoạt động như một hệ tập hợp các cảnh báo và thực hiện các cấu hình hay triền khai các dịch vụ cho các IDS sensors trên mạng

Mở đầu

 Có hai cách tiếp cận IDS thường được sử dụng:

 Misuse Detection IDS (MD-IDS)

 Anomaly Detection IDS (AD-IDS)

Misuse Detection IDS

 Misuse Detection IDS (MD-IDS) là tiêu điểm

chính trong việc đánh giá sự tấn công dựa trên các dấu hiệu (signature) và kiểm tra dấu vết

 Attack signature mô tả một phương pháp thông thường được thiết lập để tấn công hệ thống Ví

dụ tấn công TCP flood bắt đầu với số lượng lớn hoặc các phiên kết nối TCP không thành công Nếu MD-IDS có thể biết tấn công TCP flood là gì thì nó có thể cảnh báo hoặc ngăn cản kẻ tấn

công

Misuse Detection IDS

 Phương thức này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với mẫu tấn công đã biết trước Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công

=> phương pháp dò dấu hiệu (Signature Detection)

Anomaly Detection IDS

 Anomaly Detection IDS (AD-IDS) là kỹ thuật

dò thông minh, nhận dạng ra các hành động không bình thường của mạng

 Quan niệm của phương pháp này về các

cuộc tấn công là khác so với các hoạt động thông thường Ban đầu chúng lưu trữ các

mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ có

những hành động khác so với bình thường

và phương pháp dò này có thể nhận dạng

thường được đặt ra, như login với số

lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gởi vượt quá mức,…

Các kỹ thuật dò sự không bình

thường

 Self learning detection (chế độ tự học): bao

gồm hai bước: khi hệ thống phát hiện tấn

công, nó sẽ chạy ở chế độ tự học để thiết lập 1 profile về cách phản ứng của mạng với các

hoạt động bình thường Sau thời gian khởi tạo,

hệ thống sẽ chạy ở chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng

so với profile đã thiết lập Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của mình Nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại tới khi cuộc tấn công kết thúc.

Các kỹ thuật dò sự không bình

thường

 Anomaly protocol detection (phát hiện sự bất thường

của giao thức): căn cứ vào hoạt động của các giao thức,

các dịch vụ của hệ thống để tìm ra các gói tin không hợp

lệ, các dấu hiệu bất thường của sự xâm nhập, tấn công

Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng để thu thập thông tin của hacker, việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ

 Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ

sung cho phương pháp dò sự lạm dụng, tuy nhiên

chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của

mạng.

Một ví dụ của kỹ thuật dò sự không bình thường

Các loại IDS

 Có 2 nhiều loại IDS

 Hệ phát hiện xâm nhập IDS dựa trên host

 Hệ phát hiện xâm nhập IDS dựa trên mạng

Hệ phát hiện xâm nhập IDS

dựa trên mạng

 NIDS là một thiết bị thông minh được đặt phân tán khắp trên mạng nhằm giám sát các traffic đi qua

nó

 NIDS có thể là thiết bị phần cứng hoặc phần mềm

 NIDS thường có 2 interface, một để lắng nghe mọi traffic không được phân loại trên kênh truyền

thông, một còn lại làm nhiệm vụ phân tích lưu

lượng đó dựa trên tập hợp các mẫu (signature)

được thiết lập trước để nhận dạng đó có phải là luồng dữ liệu bất bình thường hay không

 Nếu đặt NIDS trước firewall thì sẽ giám sát được tất cả traffic network đi vào mạng.

Hệ phát hiện xâm nhập IDS dựa trên mạng

Hệ phát hiện xâm nhập IDS

Phản ứng bị động

 Logging: ghi lại những sự kiện đã xảy ra và tình huống mà nó đã xảy ra để cung cấp đủ thông tin cho người quản trị hệ thống biết được việc tấn

công xảy ra để giúp cho việc đánh giá và khắc

phục mối hiểm nguy của hệ thống

 Notification: là sự truyền thông thông tin đến

người quản trị hệ thống khi sự kiện xảy ra để giúp cho việc phân tích tình hình.

 Shunning: tránh xa hoặc bỏ qua sự tấn công

Phản ứng chủ động

 Kết thúc kết nối, tiến trình hoặc phiên làm việc: Nếu phát hiện ra một cuộc tấn công ngập lụt, IDS có thể yêu cầu hệ thống con TCP khởi động lại tất cả các phiên đang hoạt động Điều này sẽ làm giải phóng tài nguyên và cho phép TCP tiếp tục hoạt

động bình thường

TCP gởi cờ RST để đóng 1 phiên kết nối

Phản ứng chủ động

 Thay đổi cấu hình mạng: Nếu 1 địa chỉ IP được xác định là gây ra những cuộc tấn công lặp đi lặp lại trên hệ thống, thì IDS có thể chỉ thị cho router biên hoặc firewall

loại bỏ tất cả những yêu cầu hoặc traffic

từ IP này Sự thay đổi này có thể duy trì

ảnh huởng lâu dài hoặc trong một thời

gian xác định.

IDS chỉ thị Firewall đóng port

80

Phản ứng chủ động

 Deception (giả mạo): Một phản ứng chủ

động giả mạo có thể làm cho kẻ tấn công

nghĩ rằng cuộc tấn công này đã thành công trong khi đó nó vẫn giám sát những hoạt

động và gởi lại một lần nữa cho kẻ tấn công đến hệ thống là hệ thống này đã bị phá

Điều này cho phép quản trị hệ thống tập

hợp dữ liệu về cuộc tấn công này đang

được thực hiện như thế nào và những kỹ

thuật nào được sử dụng trong cuộc tấn

công này

IDS sử dụng honeyPot để thu thập phương thức tấn công

Ưu & Nhược điểm của NIDS

 Ưu điểm

 Giám sát được toàn bộ lưu lượng vào ra hệ thống

 Có thể capture nội dung của tất cả gói tin trên kênh truyền

thông.

 Nhược điểm:

 Chỉ có thể cảnh báo được nếu traffic đó vi phạm các quy

tắc đã được thiết lập trong rule base hoặc signature

 NIDS không thể phát hiện được sự xâm nhập nếu hệ

thống đã bị tấn công thành công.

 NIDS không thể phân tích được traffic đã được mã hóa

Hệ phát hiện xâm nhập IDS

dựa trên host

 HIDS được thiết kế như là 1 dịch vụ hoặc như một tiến trình nền trong hệ thống

Hệ phát hiện xâm nhập IDS dựa trên host

Hệ phát hiện xâm nhập IDS

dựa trên host

 HIDS có 2 nhược điểm:

 nếu hệ thống bị xâm nhập thành công thì logfile mà IDS sử dụng có thể bị sai hoặc không chính xác Điều này làm cho việc xác định lỗi trở nên khó khăn hoặc hệ thống mất độ tin cậy.

 HIDS chỉ triển khai trên hệ thống mà chúng ta cần giám sát nên không mang lại hiệu quả kinh tế cao nếu nó được triển khai trong một hệ thống mạng lớn có nhiều server dịch vụ.

 HIDS thực hiện tính toán check sum của file

Nếu checksum này bị thay đổi thì nó sẽ thông

báo cho người quản trị hệ thống rằng hệ thống

có thể đã bị tấn công.

Một số loại HIDS sensors

 Log analyzers (phân tích log)

 Là một tiến trình chạy trên server và xem log file trong hệ thống Nếu có một log file không đúng

với các tập luật trong tiến trình HIDS sensor thì

hành động này sẽ bị giữ lại.

 Log file thông thường dùng để ghi nhận lại mọi

hành động, mọi sự thay đổi diễn ra trong hệ thống

và mọi hành vi từ bên ngoài tác động vào hệ

thống Phân tích log nhằm mục đích phát hiện ra dấu hiệu hệ thống đã bị xâm nhập.

Một số loại HIDS sensors

 Signature-based sensors (Cảm biến dựa trên dấu hiệu)

 là một tập hợp các dấu hiệu được thiết lập để

kiểm tra các traffic khi đi vào hệ thống Khác với Log-based, signature-based phân tích được mọi lưu lượng đi vào hệ thống.

 Signature-based phát hiện nhanh các cuộc tấn

công, nhưng để phát hiện các cuộc tấn công khác thường, tinh vi thì signature database trong IDS phải lớn và được cập nhật thường xuyên

Một số loại HIDS sensors

 Application behavior analyzers (phân tích hành vi ứng dụng)

 Nó hoạt động như 1 phần mềm đứng giữa trình ứng dụng và hệ điều hành Nó sẽ phân tích hành

vi của trình ứng dụng, nếu thấy không hợp lệ sẽ cảnh báo hành vi đó

 Ví dụ, web server thông thường cho phép kết nối

ở port 80 và đọc file trong thư mục web root, nếu web server ghi file hoặc đọc file trong 1 thư mục khác hoặc mở 1 connection thì cảm biến sẽ cảnh báo hành vi bất hợp lệ này

Một số loại HIDS sensors

 File integrity checkers (bộ kiểm tra tính

toàn vẹn)

 Kiểm tra sự thay đổi của file thông qua các

phương pháp mã hóa như check sum hoặc digital signature của file.

Tiêu chí triển khai một IDS

 Xác định được mục đích của IDS, chọn

loại sự kiện cần giám sát, thiết đặt các

ngưỡng và thi hành các chính sách.

 Các mục tiêu lớn của IDS là: phát hiện tấn công, ngăn ngừa tấn công, phát hiện sự vi phạm chính sách, sự ép buộc sử dụng

chính sách

 Khi lựa chọn IDS phải xác định được rằng IDS cần giám sát cái gì trong môi trường

mà nó đang hoạt động

Tấn công Insertion

 Một trong những dấu hiệu đáng khả nghi

mà bất kỳ hệ NIDS nào cũng quan tâm là traffic telnet, TCP port 23 Ví dụ rằng nếu traffic này có nội dung là REWT thì xem như nó là account backdoor để telnet.

Tấn công Insertion

Tấn công Evasion

 Kịch bản cho cách tấn công này là gởi

kèm dữ liệu trong 1 kết nối SYN Mặc dù rằng loại kết nối này không phải là bình thường nhưng nó lại hợp lệ theo như mô

tả RFC 793

Tấn công Evasion

Tấn công dựa trên timeout của

việc hợp nhất fragment

 Fragmentation: Mỗi packet/fragment đều có 1 giá trị TTL

(time to live) sẽ bị giảm đi 1 khi đi qua mỗi router Khi TTL

có giá trị là 0, nó sẽ loại bỏ packet/fragment và gởi 1

thông báo lỗi ICMP “Time Exceeded In Transit” quay trở lại nơi gởi

 The IP Fragment Reassembly Timeout: Một chuỗi

fragment sẽ có 1 thời gian hợp nhất (thời gian hợp nhất này tùy thuộc vào mỗi hệ thống IDS) Khi fragment đầu

tiên được nhận, thời gian hợp nhất sẽ được thiết lập và đây cũng là tham số timeout cho các fragment tiếp theo sau.

 ICMP Fragment Reassembly Time Exceeded message: Khi

hết thời gian hợp nhất mà vẫn chưa nhận đủ fragment thì IDS sẽ hủy datagram và gởi 1 Time Exceeded Message

Tấn công dựa trên timeout của việc hợp nhất fragment

Tấn công dựa trên timeout của việc hợp nhất fragment

Tấn công dựa trên timeout của việc hợp nhất fragment