TÌM HIỂU VỀ IDS VÀ IPS

Danh sách các kí hiệu và chữ viết tắt 1 MỞ ĐẦU 2 CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG 3 1. Tổng quan về bảo mật : 3 1.2. Lỗ hổng bảo mật và phương thức tấn công mạng. 4 2. Sự cần thiết của bảo mật: 6 3. Những mối đe dọa: 6 4. Các phương thức tấn công (Attack methods): 7 CHƯƠNG II : TỔNG QUAN VỀ IDSIPS 13 1. Giới thiệu về IDSIPS 13 2. Phân loại IDSIPS 14 3. Cơ chế hoạt động của hệ thống IDSIPS 18 4. Một số sản phẩm của IDSIPS 22 CHƯƠNG III : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDSIPS 24 1. Giới thiệu về snort 24 2. Kiến trúc của snort 24 3. Bộ luật của snort 27 4. Chế độ ngăn chặn của Snort : Snort – Inline 35 Kết Luận 36 Danh sách các kí hiệu và chữ viết tắt Kí hiệu và viết tắt Giải thích IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IPS Intrusion Prevention System Hệ thống chống xâm nhập HIDS Hostbased IDS NIDS Networkbased IDS IDP Intrusion Detection and Prevention. MỞ ĐẦU An toànthông tinnói chungvà anninhmạngnói riêng đang làvấn đềđược quantâmkhôngchỉ ở Việt Nammà trên toàn thế giới.Cùng vớisựphát triển nhanhchóng củamạng Internet, việcđảm bảoan ninh cho các hệthốngthôngtin càngtrởnêncấp thiếthơn bao giờhết. Trong lĩnhvựcan ninhmạng,phát hiện và phòngchống tấncông xâmnhập cho cácmạngmáytính làmột vấn đề rất quan trọng, ảnh hưởng trực tiếp đến an toàn an ninh thông tin trong mạng.Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng. Vì vậy, với đề tài này chúng em mongmuốn cóthể tìmhiểu,nghiên cứu về pháthiện và phòng chống xâm nhậpmạng vớimục đíchnắm bắt được cácgiảipháp, các kỹ thuậttiên tiến để nâng cao kiến thức về vấn đề an ninh mạng. Mặc dù đã cốgắnghếtsứcnhưngdokiếnthứcvà khảnăng nhìnnhậnvấnđềcòn hạn chế nênbàilàm không tránhkhỏi thiếusót,rấtmongđượcsự quantâm và gópý thêm của thầy côvàtất cảcác bạn. CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm anninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. 1. Tổng quan về bảo mật: Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. 1.1. Khái niệm về bảo mật mạng hệ thống a). Đối tượng tấn công mạng (intruder): Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một sốđối tượng tấn công mạng như: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhưăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủđịnh, hoặc có thểđó là những hành động vôý thức… b). Các lỗ hổng bảo mật: Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. c). Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 1.2. Lỗ hổng bảo mật và phương thức tấn công mạng. a). Các loại lỗ hổng: Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau: Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kếở tầng Internet (IP) nói riêng và bộ giao thức TCPIP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống . Có mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Để hạn chếđược các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương trình. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nóđã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger... b) Các hình thức tấn công mạng phổ biến: Scanner: Là một chương trình tựđộng rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những cổng TCPUDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từđó nó có thể tìm ra điểm yếu của hệ thống. Các chương trình Scanner có vai trò quan trọng trong một hệthống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng. Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoáđể tạo ra một danh sách khác theo một logic của chương trình. Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text . Mật khẩu text thông thường sẽđược ghi vào một file. Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật

HỌC VIỆN KĨ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN - -

ĐỀ TÀI NGHIÊN CỨU Môn CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ IDS VÀ IPS

Giáo viên hướng dẫn: Vũ Thị Vân Thực hiên: Nhóm 9- AT8B

Hà Nội- 2014 - -

Contents

Danh sách các kí hiệu và chữ viết tắt

Kí hiệu và viết tắt Giải thích

IDS Intrusion Detection System- Hệ thống phát hiện xâm

nhập

IPS Intrusion Prevention System - Hệ thống chống xâm nhập

IDP Intrusion Detection and Prevention.

MỞ ĐẦU

An toànthông tinnói chungvà anninhmạngnói riêng đang làvấnđềđược quantâmkhôngchỉ ở Việt Nammà trên toàn thế giới.Cùngvớisựphát triển nhanhchóng củamạng Internet, việcđảm bảoan ninhcho các hệthốngthôngtin càngtrởnêncấp thiếthơn bao giờhết

Trong lĩnhvựcan ninhmạng,phát hiện và phòngchống tấncôngxâmnhập cho cácmạngmáytính làmột vấn đề rất quan trọng, ảnhhưởng trực tiếp đến an toàn an ninh thông tin trong mạng.Nghiêncứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâmnhập trái phép (tấn công) vào các hệ thống mạng ngày nay là mộtvấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạpcủa các cuộc tấn công ngày càng tăng Vì vậy, với đề tài này chúng

em mongmuốn cóthể tìmhiểu,nghiên cứu về pháthiện và phòngchống xâm nhậpmạng vớimục đíchnắm bắt được cácgiảipháp, các

kỹ thuậttiên tiến để nâng cao kiến thức về vấn đề an ninh mạng.Mặc dù đã cốgắnghếtsứcnhưngdokiếnthứcvà khảnăngnhìnnhậnvấnđềcòn hạn chế nênbàilàm không tránhkhỏithiếusót,rấtmongđượcsự quantâm và gópý thêm của thầy côvàtấtcảcác bạn

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùngquan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm anninh, an toàn cho thôngtin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, cácnhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơnkhiến các hệ thống an ninh mạng trở nên mất hiệu quả Các hệ thống an ninh mạngtruyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào

hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định Với kiểu phòngthủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là cáccuộc tấn công nhằm vào điểm yếu của hệ thống

- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác

định nhận dạng của thực thể liên kết Thực thể đó có thể là ngườidùng độc lập hay tiến trình của phần mềm

- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền

truy nhập vào các tài nguyên của hệ thống

- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được

bảo vệ khỏi những nhóm không được phép truy nhập Tính cẩn mậtyêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thểđược đọc bởi những nhóm được phép

- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của

dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép Sự thay đổi baogồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền

- Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là

sẵn sàng đối với nhóm được phép Mục tiêu của kiểu tấn công từchối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống,bao gồm tạm thời và lâu dài

1.1 Khái niệm về bảo mật mạng hệ thống

a) Đối tượng tấn công mạng (intruder): Đối tượng là những cá nhân hoặc tổ

chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặcphần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiệncác hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép Một sốđối tượng tấn côngmạng như:

Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các

công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệthống

Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ

IP, tên miền, định danh người dùng…

Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng

các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được cácthông tin có giá trị

Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhưăncắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủđịnh, hoặc cóthểđó là những hành động vôý thức…

b) Các lỗ hổng bảo mật: Các lỗ hổng bảo mật là những điểm yếu trên hệ

thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập tráiphép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bấthợp pháp

c) Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng

cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụmạng Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảomật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyêntrên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảohữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống vàmạng

1.2 Lỗ hổng bảo mật và phương thức tấn công mạng.

a) Các loại lỗ hổng: Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ

hổng đặc biệt Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại nhưsau:

Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial

of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉảnh hưởng tới chất lượngdịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt đượcquyền truy cập bất hợp pháp Hiện nay chưa có một biện pháp hữu hiệu nào để khắcphục tình trạng tấn công kiểu này vì bản thân thiết kếở tầng Internet (IP) nói riêng và

bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổngloại này.

Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà

không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗhổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trungbình Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người

sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sửdụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyềnhạn nhất định Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viếtbằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng mộtvùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Ngườilập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng khônggian bộ nhớ cho từng khối dữ liệu Để hạn chếđược các lỗ hổng loại B phải kiêm soátchặt chẽ cấu hình hệ thống và các chương trình

Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp

vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức độ rấtnguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thườngxuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hìnhmạng Những lỗ hổng loại này hết sức nguy hiểm vì nóđã tồn tại sẵn có trên phầnmềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng cóthể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của cácnhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt cácchương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,Gopher, Telnet, Sendmail, ARP, finger

b) Các hình thức tấn công mạng phổ biến:

Scanner: Là một chương trình tựđộng rà soát và phát hiện những điểm yếu về

bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa Một kẻ phá hoại sử dụngchương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù

ở xa Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử dụngtrên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó Scanner ghi lạinhững đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra Từđó nó

có thể tìm ra điểm yếu của hệ thống Các chương trình Scanner có vai trò quan trọngtrong một hệthống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kémtrên một hệ thống mạng

Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu

đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệthống Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau Một số

chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kếtquả so sánh với Password đã mã hoá cần bẻ khoáđể tạo ra một danh sách khác theomột logic của chương trình Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã

có được mật khẩu dưới dạng text Mật khẩu text thông thường sẽđược ghi vào mộtfile Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chínhsách bảo vệ mật

khẩu đúng đắn

Sniffer: Là các công cụ (phần cứng hoặc phần mềm)”bắt” các thông tin lưu

chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng Sniffer cóthể“bắt”được các thông tin trao đổi giữa nhiều trạm làm việc với nhau Thực hiện bắtcác gói tin từ tầng IP trở xuống Mục đích của các chương trình sniffer đó là thiết lậpchếđộ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tintrao đổi trong mạng - từđó "bắt" được thông tin Việc phát hiện hệ thống bị snifferkhông phải đơn giản, vìsniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới cácứng dụng cũng như các dịch vụ hệ thống đó cung cấp Tuy nhiên việc xây dựng cácbiện pháphạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắcKhông cho người lạ truy nhập vào các thiết bị trên hệ thống ,quản lý cấu hình hệthống chặt chẽ và thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mãhoá

Trojans: Là một chương trình chạy không hợp lệ trên một hệ thống Với vai

trò như một chương trình hợp pháp Trojans này có thể chạy được là do các chươngtrình hợp pháp đã bị thay đổi mã của nó thành Tuy nhiên có những trường hợpnghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua Trojans

và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đóđể phá hủy mộtphần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt cácchương trình trojans khác mà người quản trị không thể phát hiện được gây ra mứcđộảnh hưởng rất nghiêm trọngvà người quản trị chỉ còn cách cài đặt lại toàn bộ hệthống

2 Sự cần thiết của bảo mật:

Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vàogần như tất cả các hoạt động kinh doanh và các lĩnh vực của đờisống xã hội, nhưng đi cùng với việc phát triển nhanh chóng của nó làcác mối đe dọa về bảo mật, các cuộc tấn công trên Internet Càng cónhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấncông, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thểlàm việc tốt mà không cần lo lắng quá về việc tăng nguy cơ bị tấncông

3 Những mối đe dọa:

3.1 Mối đe dọa không có cấu trúc ( Untructured threat)

Hầu hết tấn công không có cấu trúc đều được gây ra bởi ScriptKiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp,không có hoặc có ít khả năng lập trình) hay những người có trình độvừa phải Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưngcũng có nhiều cuộc tấn công có ý đồ xấu

Mặc dù tính chuyên môn của các cuộc tấn công dạng nàykhông cao nhưng nó vẫn là một mối nguy hại lớn

3.2 Mối đe dọa có cấu trúc (Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹthuật cao Không như Script Kiddes, những kẻ tấn công này có đủ kỹnăng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tạicũng như tạo ra các công cụ mới Động cơ thường thấy có thể vìtiền, hoạt động chính trị, tức giận hay báo thù Các cuộc tấn côngnày thường có mục đích từ trước Các cuộc tấn công như vậy thườnggây hậu quả nghiêm trọng cho hệ thống Một cuộc tấn côngstructured thành công có thể gây nên sự phá hủy cho toàn hệ thống

3.3 Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không cómột quyền nào trong hệ thống Người dùng trên toàn thế giới thôngqua Internet đều có thể thực hiện các cuộc tấn công như vậy

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chốnglại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta

có thể giảm tác động của kiểu tấn công này xuống tối thiểu Mối đedọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiềutiền và thời gian để ngăn ngừa

3.4 Mối đe dọa từ bên trong (Internal threat)

Các cách tấn công từ bên trong được thực hiện từ một khu vựcđược tin cậy trong mạng Mối đe dọa này khó phòng chống hơn vìcác nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty.Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bấtbình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mậtliên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi cáckết nối bên ngoài, như là Internet Khi vành đai của mạng được bảomật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm

ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp

đó của mạng, mọi chuyện còn lại thường là rất đơn giản

Đôi khi các cuộc tấn công dạng structured vào hệ thống đượcthực hiện với sự giúp đỡ của người bên trong hệ thống Trong trườnghợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công

có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyênquan trọng của công ty Structured internel threat là kiểu tấn côngnguy hiểm nhất cho mọi hệ thống

4 Các phương thức tấn công (Attack methods):

4.1 Thăm dò (Reconnaisance)

Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống,

dịch vụ hay điểm yếu một cách trái phép Nó cũng được biết nhưviệc thu thập thông tin, và trong nhiều trường hợp là hành động xảy

ra trước việc xâm nhập hay tấn công từ chối dịch vụ

Việc thăm dò thường được thực hiện bằng các công cụ hay câulệnh có sẵn trên hệ điều hành Ta có các bước cơ bản của việc thăm

dò như sau:

Bước 1: Ping quét để kiểm tra bản đồ IP.

Bước 2: Sử dụng port scanner để kiểm tra dịch vụ và cổng mở

trên IP đó, có nhiều công cụ như vậy, như Nmap, SATAN,…

Bước 3: Truy vấn các cổng để xác định loại, phiên bản của ứng

dụng, hệ điều hành

Bước 4: Xác định điểm yếu tồn tại trên hệ thống dựa trên các

bước trên

Hình 1 : Thăm dò hệ thống

Một kẻ tấn công ban đầu thường rà quét bằng lệnh ping tớimục tiêu để xác định địa chỉ IP nào còn tồn tại, sau đó quét các cổng

để xác định xem dịch vụ mạng hoặc mạng nào cổng nào đang mở

Từ những thông tin đó, kẻ tấn công truy vấn tới các port để xác địnhloại, version của ứng dụng và cả của hệ điều hành đang chạy Từnhững thông tin tìm được, kẻ tấn công có thể xác định những lỗhổng có trên hệ thống để phá hoại

4.2.Truy nhập (Access)

Access là chỉ việc thao túng dữ liệu, truy nhập hệ thống hay leo

thang đặc quyền trái phép Truy nhập vào hệ thống là khả năng của

kẻ xâm nhập để truy nhập vào thiết bị mà không có tài khoản haymật khẩu Việc xâm nhập đó thường được thực hiện bằng cách sửdụng các công cụ, đoạn mã hack nhằm tấn công vào điểm yếu của

hệ thống hay ứng dụng Trong một số trường hợp kẻ xâm nhập muốnlấy quyền truy nhập mà không thực sự cần lấy trộm thông tin, đặcbiệt khi động cơ của việc xâm nhập là do thách thức hay tò mò

Phương thức xâm nhập rất đa dạng Phương thức đầu tiên làlấy mật mã của tài khoản.Tài khoản và mật mã cũng có thể lấy đượcbằng các phương pháp nghe trộm từ bước thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều thôngtin Khi đã lấy được tài khoản, kẻ tấn công có thể vào hệ thống nhưngười dùng hợp pháp bình thường, và nếu tài khoản đó có đặc quyềnlớn thì kẻ xâm nhập có thể tạo ra backdoor cho các lần xâm nhậpsau

Hình 2: Man In The Middle attack

Hình 3 : Tấn công khai thác sự tin cậy.

a) Tấn công truy cập hệ thống: Truy cập hệ thống là hành động

nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở

đó hackerkhông có tài khoản sử dụng Hacker thường tìm kiếmquyền truy cập đến một thiết bị bằng cách chạy một đoạn mã haybằng những công cụ hack (hacking tool), hay là khai thác một yếuđiểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ

b) Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất

hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu

Nó có thể đơn giản như việc tìm phần mềm chia sẻ (share) trên máytính Window 9x hay NT, hay khó hơn như việc cố gắng xâm nhậpmột hệ thống tín dụng của cục thông tin (credit bureau’sinformation)

c) Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền

là một dạng tấn công phổ biến Bằng cách nâng cao đặc quyền, kẻxâm nhập có thể truy cập vào các files hay folder dữ liệu mà tàikhoản người sử dụng ban đầu không được cho phép truy cập Khihacker đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặtphần mềm như là backdoors và Trojan horses, cũng như cho phéptruy cập sâu hơn và thăm dò Mục đích chung của hacker là chiếmđược quyền truy cập ở mức độ quản trị Khi đã đạt được

4.3 Từ chối dịch vụ ( Denial of Service)

Denial of service (DoS) là trạng thái khi kẻ tấn công vô hiệu

hóa hay làm hỏng mạng, hệ thống máy tính, hay dịch vụ với mụctiêu từ chối cung cấp dịch vụ cho user dự định Nó thường liên quan

đến việc phá hoại hay làm chậm hệ thống để người dùng không thể

sử dụng được Trong hầu hết các trường hợp, việc tấn công chỉ cầnthực hiện bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn côngkhông cần quyền truy nhập vào hệ thống Chỉ với lí do phá hoại, tấncông từ chối dịch vụ gây ra là rất lớn và đây là kiểu tấn công nguyhiểm nhất đặc biệt là cho các trang web thương mại

Hình 4: Mô hình DDoS attack

Tấn công Ddos gồm các giai đoạn sau:

a) Giai đoạn đầu tiên – Mục tiêu:Là giai đoạn định nghĩa đối tượng Điều đầu

tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xác định được mục tiêu.Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn đến việc hình thành, chọn lựanhững những công cụ và phương pháp phù hợp Mục tiêu đơn giản là toàn bộ mụcđích của người xâm nhập Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DoSphù hợp với nhu cầu đó Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống vàthao túng dữ liệu mới là mục tiêu Khi kẻ xâm nhập tiến hành những bước của mộtkiểu tấn công, thì mục tiêu có thể và thường thay đổi Một yếu tố quan trọng khác nữatrong việc xác định mục tiêu là động cơ đằng sau sự xâm nhập Hầu hết những scriptkiddies (hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi đó nhữnghacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ, trả thù, kiếm tiềnbất hợp pháp

b) Giai đoạn hai thăm dò:Giai đoạn thăm dò, như chính tựa đề của nó, là giai

đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đốitượng Thông thường những hacker có kinh nghiệm thường thu thập những thông tin

về công ty đối tượng, như là vị trí của công ty, số điện thoại, tên của những nhân viên,địa chỉ e-mail, tất cả đều hữu dụng với người xâm nhập có kinh nghiệm.

c) Giai đoạn thứ ba giai đoạn tấn công:Giai đoạn cuối cùng là giai đoạn tấn

công Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tàinguyên hệ thống trên mạng Bằng cách sử dụng các thông tin đã thu thập được, mộtvài hacker có thể thực hiện việc tấn công nhiều lần cho đến khi phát hiện được lỗi bảomật để có thể khai thác

4.4 Kiểu tấn công qua ứng dụng web.

Theo số liệu thống kê từ các công ty bảo mật hàng đầu hiện nay, thời gian gần đây sốlượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75% các cuộctấn công được thực hiện là ở lớp ứng dụng web) Trong đó hai kĩ thuật tấn công đượccác hacker sử dụng phổ biến là cross-site scripting và sql injection và hình sau đây:

Hình 5: Số liệu tấn công ứng dụng web.

a) Kiểu tấn công cross-site scripting (hay còn gọi là xss): Được các hacker

tiến hành bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìmcách lừa người dùng nhấn vào những liên kết này Khi đóđoạn mã độc hại này sẽđượcthực thi trên máy tính của nạn nhân Kĩ thuật thực hiện các cuộc tấn công kiểu nàykhông có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng vàserver (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc khôngthẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những url bị chènthêm các mã độc hại

b) SQL Injection: Là kỹ thuật liên quan đến chèn các từ khoá, các lệnh của

ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác trên một cơ sở dữ liệu quan hệ)vào dữ liệu đầu vào của các ứng dụng web đểđiều khiển quá trình thực thi câu lệnhSQL ở server

CHƯƠNG II : TỔNG QUAN VỀ IDS/IPS

1 Giới thiệu về IDS/IPS

1.1 Định nghĩa

Hệ thống phát hiện xâm nhập (Intrusion Detection System-IDS) là hệ thống có

nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vikhai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làmtổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống

Hệ thống chống xâm nhập (Intrusion Prevention System - IPS) được định nghĩa

là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tinnày Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa racác báo cáo chi tiết về các hoạt động xâm nhập trái phép trên

IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention.

1.2 Sự khác nhau giữa IDS và IPS

Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và

“ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện vàcảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ, trong khi đó,một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại cácnguy cơ theo các quy định được người quản trị thiết lập sẵn

Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng Một số hệ thống IDSđược thiết kế với khả năng ngăn chặn như một chức năng tùy chọn Trong khi đó một

số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theođúng nghĩa

Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS?

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tíchthị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấn độngtrong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không cònnữa vào năm 2005” Phát biểu này của xuất phát từ một số kết quả phân tích và đánhgiá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau:

• IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives)

• Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục(24 giờ trong suốt cả 365 ngày của năm)

• Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả

• Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn

600 Megabit trên giây

Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những kháchhàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốnkém và không đem lại hiệu quả tương xứng so với đầu tư

Trước các hạn chế của hệ thống IDS như trên, và nhất là sau khi xuất hiện các cuộctấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đềđược đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa

ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPSđược ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi Kếthợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thếcho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trảlại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việcvận hành Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động nhưmột IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập Ngày nay các hệ thốngmạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ

1.3 Những ưu điểm và hạn chế của hệ thống.

a) Ưu điểm.

Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nhập từ bêntrong cũng như bên ngoài hệ thống Những thông tin hệ thống IDPS cung cấp sẽ giúpchúng ta xác định phương thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc

đề ra các phương án phòng chống các kiểu tấn công tương tự xảy ra trong tương lai

b) Hạn chế.

Bên cạnh những ưu điểm, hệ thống phát hiện xâm nhập IDS vẫn còn tồn tại nhữngmặt hạn chế: Hệ thống IDS/IPS là một hệ thống giám sát thụ động, cơ chế ngăn chặncác cuộc tấn công, xâm nhập trái phép rất hạn chế như gửi tin báo cho tường lửa đểchặn các gói lưu lượng kế tiếp xuất phát từ địa chỉ IP của nguồn tấn công Do vậy, hệthống IDS/IPS thường đi kèm với hệ thống bức tường lửa Phần lớn, hệ thống IDS/IPS

sẽ đưa ra các cảnh báo khi các cuộc tấn công, xâm nhập đã ảnh hưởng tới hệ thống do

đó sẽ không hiệu quả trong việc ngăn chặn các cuộc tấn công

2 Phân loại IDS/IPS

Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựavào đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thốngIDS được chia thành các loại sau:

• Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn đểphát hiện xâm nhập

• Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

2.1 Host based IDS – HIDS

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường sửdụng các cơ chế kiểm tra và phân tích các thông tin được logging Nó tìm kiếm cáchoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang cácđặc quyền không được chấp nhận

Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt động

Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnh select user, như vậy những cố gắng liên tục để login vào account root có thể được coi

su-là một cuộc tấn công

Ưu điểm

- Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log lưu các

sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độchính xác cao hơn NIDS Vì thế, HIDS có thể bổ sung thông tin tiếp theo khi cuộc tấncông được sớm phát hiện với NIDS

- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các

hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền, các hành động thựcthi, truy nhập dịch vụ được phân quyền Đồng thời nó cũng giám sát các hoạt động chỉđược thực hiện bởi người quản trị Vì thế, hệ thống host-based IDS có thể là một công

cụ cực mạnh để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấpnhiều thông tin chi tiết và chính xác hơn một hệ network-based IDS

- Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn

phím xâm nhập vào một server sẽ không bị NIDS phát hiện

- Thích nghi tốt với môi trường chuyển mạch, mã hoá: Việc chuyển mạch và mã

hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởng bởihai kỹ thuật trên

- Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn

(FTP Server, WebServer) nên HIDS không yêu cầu phải cài đặt thêm các phần cứngkhác

Nhược điểm

- Khó quản trị : các hệ thống host-based yêu cầu phải được cài đặt trên tất cả các

thiết bị đặc biệt mà bạn muốn bảo vệ Đây là một khối lượng công việc lớn để cấu hình, quản lí, cập nhật

- Thông tin nguồn không an toàn: một vấn đề khác kết hợp với các hệ thống

host-based là nó hướng đến việc tin vào nhật ký mặc định và năng lực kiểm soát của server Các thông tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt đông sai, không phát hiện được xâm nhập

- Hệ thống host-based tương đối đắt : nhiều tổ chức không có đủ nguồn tài chính

để bảo vệ toàn bộ các đoạn mạng của mình sử dụng các hệ thống host-based Những

tổ chức đó phải rất thận trọng trong việc chọn các hệ thống nào để bảo vệ Nó có thể

để lại các lỗ hổng lớn trong mức độ bao phủ phát hiện xâm nhập Ví dụ như một kẻ tấn công trên một hệ thống láng giềng không được bảo vệ có thể đánh hơi thấy các thông tin xác thực hoặc các tài liệu dễ bị xâm phạm khác trên mạng

- Chiếm tài nguyên hệ thống : Do cài đặt trên các máy cần bảo vệ nên HIDS phải

sử dụng các tài nguyên của hệ thống để hoạt động như: bộ vi xử lí, RAM, bộ nhớ ngoài

2.2 Network based IDS – NIDS

NIDS thường bao gồm có hai thành phần logic :

• Bộ cảm biến – Sensor : đặt tại một đoạn mạng, kiểm soát các cuộc lưu thôngnghi ngờ trên đoạn mạng đó

• Trạm quản lý : nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo chomột điều hành viên

Hình 6: Mô hình NIDS

Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát

Ưu điểm

-Chi phí thấp : Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám sát

lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lýtrên các máy toàn mạng

- Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS

kiểm tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu xuất phát

từ đây Ví dụ: nhiều cuộc tấn công DoS, TearDrop (phân nhỏ) chỉ bị phát hiện khixem header của các gói tin lưu chuyển trên mạng

- Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ đột

nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó

có đủ thông tin để hoạt động NIDS sử dụng lưu thông hiện hành trên mạng đểphát hiện xâm nhập Vì thế, kẻ đột nhập không thể xoá bỏ được các dấu vết tấncông Các thông tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin

hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập

- Phát hiện và đối phó kịp thời : NIDS phát hiện các cuộc tấn công ngay khi xảy

ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn VD : Mộthacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và ngănchặn ngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trướckhi nó xâm nhập và phá vỡ máy bị hại

- Có tính độc lập cao: Lỗi hệ thống không có ảnh hưởng đáng kể nào đối với công

việc của các máy trên mạng Chúng chạy trên một hệ thống chuyên dụng dễ dàngcài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắmchúng vào trong mạng tại một vị trí cho phép nó kiểm soát các cuộc lưu thôngnhạy cảm

Nhược điểm

- Bị hạn chế với Switch: Nhiều lợi điểm của NIDS không phát huy được trong các

mạng chuyển mạch hiện đại Thiết bị switch chia mạng thành nhiều phần độc lập vìthế NIDS khó thu thập được thông tin trong toàn mạng Do chỉ kiểm tra mạng trênđoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trêncác đoạn mạng khác Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua một lượng lớncác bộ cảm biến để có thể bao phủ hết toàn mạng gây tốn kém về chi phí cài đặt

- Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin

trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộctấn công thực hiện vào lúc "cao điểm" Một số nhà sản xuất đã khắc phục bằng cách