Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép

Ngày này, vấn đề bảo mật trong cuộc sống nói chung cũng như trong lĩnh vực công nghệ thông tin nói riêng đã nhận được rất nhiều sự quan tâm của mọi tầng lớp trong xã hội. Tại sao lại như vậy, như chúng ta thấy, muốn vào nhà một người quen, bạn phái gọi cửa hoặc bấm chuông, nếu có người ở nhà thì mới ra mở cửa cho bạn và mời bạn vào nhà. Nhưng trong trường hợp bạn là kẻ xấu, muốn xâm nhập vào căn nhà đó vì mục đích riêng, thì khi bạn biết chắc trong nhà không có ai, đây sẽ là cơ hội hiếm có. Tuy nhiên, nếu như nhà đó có nuôi chó giữ nhà hay bất kể một hình thức chống trộm nào mà bạn chưa tính đến thì coi như cuộc “viếng thăm”của bạn thất bại, không may nữa là còn thất bại một cách rất nặng nề nếu như bị phát hiện. Chính kịch bản chống trộm này cũng đã được ứng dụng khá linh hoạt trong lĩnh vực công nghệ thông tin nói chung, đặc biệt là nghành an toàn thông tin nói riêng.

MỤC LỤC Chương I

Lý thuyết cơ sở về hệ thống phát hiện và phòng chống

xâm nhập trái phép (IPS/IDS) 6

1.1 IDS là gì? 6

1.1.1 Sự ra đời của IDS 6

1.1.2 Dự báo về tương lai của IDS 6

1.1.3 Định nghĩa 7

1.2.4 Phân loại 9

1.2.5 Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập 11

1.2 IPS là gì? 14

1.2.1 Lý do sử dụng IPS 14

Định nghĩa 15

1.2.2 Phân loại 15

1.2.3 Kiến trúc chung của hệ thống IPS 15

1.2.4 So sánh IPS và IDS 17

1.3 IDS/IPS là gì? 18

1.3.1 Tại sao phải có IDS/IPS? 18

1.3.2 Hoạt động 18

Chương II Giới thiệu tổng quan về các phần mềm phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) 19

2.1 Phần mềm Snort 19

2.1.1 NIDS - Network Instrusion Detection System là gì ? 20

2.1.2 Tại sao Snort là một NIDS ? 20

2.1.3 Các chế độ hoạt động của Snort 21

2.1.4 Kiến trúc của Snort 21

2.1.5 Cài đặt, cấu hình phần mềm Snort 25

2.2 Phần mềm OSSEC 29

2.2.1 Xem xét IDS trên một khía cạnh khác 29

2.2.2 Phát hiện xâm nhập dựa vào máy chủ 30

2.3 Giới thiệu về OSSEC 32

2.4 Triển khai 32

2.4.1 Cài đặt nội bộ 33

2.4.2 Cài đặt agent 34

2.4.3 Cài đặt server 34

2.4.4 Kiểu nào tốt đối với chúng ta? 36

2.4.5 Định dạng những vấn đề liên quan trước khi cài đặt OSSEC 36

2.5 Những chú ý đặc biệt 37

2.5.1 Microsoft Windows 37

2.5.2 Sun Solaris 37

2.5.3 Ubuntu Linux 38

2.5.4 Mac OS X 38

2.5 So sánh các phần mềm: Snort và OSSEC 38

2.5.1 Ưu nhược điểm của Snort và OSSEC 38

2.5.2 Sự khác nhau giữa OSSEC và Snort 40

Chương III Phần mềm Snort: cài đặt, cấu hình và quản trị 41

3.1 Chuẩn bị cài đặt Snort 42

3.2 Cài đặt Snort 42

3.2.1 Cài đặt Snort từ gói RPM 42

3.2.2 Cài đặt Snort từ source code 43

3.2.3.Lỗi trong khi cài đặt Snort 57

3.2.4.Kiểm tra Snort 57

3.2.5 Chạy Snort trên một giao diện không mặc định 69

3.2.6.Tự động startup và shutdown 69

3.3 Snort trên nhiều giao diện mạng 71

3.4 Lựa chọn lệnh cho Snort 72

3.5 Hướng dẫn từng bước cách biên dịch và cài đặt Snort từ mã nguồn 73

3.6.Vị trí tập tin Snort 74

3.7.Các chế độ Snort 75

3.7.1 Network Sniffer Mode (chế độ bắt gói trong mạng) 75

3.7.2 Chế độ phát hiện xâm nhập mạng (NIDS) 85

3.8.Chế độ cảnh báo Snort 85

3.8.1 Chế độ Fast 86

3.8.2 Chế độ Full 87

3.8.3 Chế độ UNIX Socket 87

3.8.4 Chế độ No Alert 88

3.8.5 Gửi cảnh báo vào Syslog 88

3.8.6 Gửi cảnh báo đến SNMP 88

3.8.7 Gửi cảnh báo đến Windows 88

3.9 Chạy Snort trong chế độ Stealth 90

Kết luận chung 91

Tài liệu tham khảo 92

DANH MỤC CÁC HÌNH VẼ Hình 1.1 Mô hình hoạt động của một hệ thống IDS 9về một NIDS phát hiện các dạng tấn công cơ bản 11Hình 1.2 Ví dụ

Hình 1.3 Mô hình hệ thống NIDS 11

Hình 1.4 Ví dụ về HIDS hoạt động phát hiện các tấn công tới máy chủ 12

Hình 1.5 Mô hình hệ thống HIDS 13

Hình 2.1 Ví dụ về một hàm băm mã 32

Hình 2.2 Cấu hình cài đặt nội bộ 36

Hình 2.3 Cài đặt agent/server 37

Bảng 2.1 Những định hướng về cài đặt 38

Bảng 3.1 Các tham số dòng lệnh dùng chung với configure 51

Hình 3.1.Hoạt động của 2 thư mục log trong Snort 74

Bảng 3.2 Bảng liệt kê các lựa chọn thường dùng 75

Hình 3.2 Chạy Snort trên một giao diện mạng 93

LỜI MỞ ĐẦU

Ngày này, vấn đề bảo mật trong cuộc sống nói chung cũng như trong lĩnh vựccông nghệ thông tin nói riêng đã nhận được rất nhiều sự quan tâm của mọi tầng lớptrong xã hội Tại sao lại như vậy, như chúng ta thấy, muốn vào nhà một người quen,bạn phái gọi cửa hoặc bấm chuông, nếu có người ở nhà thì mới ra mở cửa cho bạn vàmời bạn vào nhà Nhưng trong trường hợp bạn là kẻ xấu, muốn xâm nhập vào căn nhà

đó vì mục đích riêng, thì khi bạn biết chắc trong nhà không có ai, đây sẽ là cơ hội hiếm

có Tuy nhiên, nếu như nhà đó có nuôi chó giữ nhà hay bất kể một hình thức chốngtrộm nào mà bạn chưa tính đến thì coi như cuộc “viếng thăm”của bạn thất bại, khôngmay nữa là còn thất bại một cách rất nặng nề nếu như bị phát hiện Chính kịch bảnchống trộm này cũng đã được ứng dụng khá linh hoạt trong lĩnh vực công nghệ thôngtin nói chung, đặc biệt là nghành an toàn thông tin nói riêng

Vậy thì điều này được ứng dụng như thế nào? Một hệ thống mạng hay hệ điềuhành cá nhân cũng giống như một ngôi nhà mà chúng ta cần phải bảo vệ nó, thực ra làbảo vệ những gì có trong đó, chính là những tài nguyên dữ liệu quan trọng với bảnthân chủ nhân của máy và của nhiều người khác nữa Chúng ta cần có một tài khoảnmáy với user name và password là cách cơ bản nhất, cũng giống như trong nhà luôn cóngười vậy Sau đó là hệ thống tường lửa của hệ thống, cũng giống như hệ thống cửakhóa của căn nhà Hệ thống tường lửa càng phức tạp thì càng gây khó khăn cho kẻ

muốn xâm phạm nó, nhưng chúng ta cần lưu ý là nếu như phức tạp quá thì sẽ có lúcchính “chủ nhà” lại là nạn nhân trực tiếp của hệ thống này Và cuối cũng là hệ thốngphát hiện và phòng chống xâm phạm trái phép (IDS/IPS- Intrusion DetectionSystem / Intrusion Prevention System) Có thế nói đây là hệ thống “chống trộm” chotoàn hệ thống mà tính chất bao quát, bởi vì đây chính là vòng bảo mật ngoài cùng, đốimặt trực tiếp với kẻ tấn công Nếu như hệ thống IDS/IPS này càng mạnh thì sẽ làm têliệt mọi hành động của kẻ tấn công ngay từ đầu Tuy nhiên là được điều này đâu phải

dễ dàng gì, bởi vì những kẻ tấn công thì ngày càng mưu mô, hiểm độc và tinh ranh hơn

về công cụ và cách thức, còn hệ thống của chúng ta thì chỉ có thể phân tích dựa vàonhững gì đã xảy ra Vì thế mà các chuyên gia trong lĩnh vực này không ngừng nângcao tính năng, phương thức và phạm vi của chúng nhằm đáp ứng nhu cầu của đôngđảo người dùng trong mọi lĩnh vực Xuất phát từ tính cấp thiết của hệ thống IDS/IPS,

em quyết định lựa chọn đề tài: “Tìm hiểu về các phần mềm phát hiện và phòng chống xâm nhập trái phép hiện nay- IDS/IPS” cho đề tài thực tập của mình.

Báo cáo thực tập của em bao gồm 3 chương chính, phần kết luận và phần tài liệu

tham khảo:

Chương I: Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS/IDS- Intrusion Detection System / Intrusion Prevention System) cho bạn đọc một cái nhìn thực sự khái quát nhất về từng bộ phận riêng rẽ,

tách rời trong hệ thống IDS/IPS Đây chính là nền tảng mang tính chất cực kỳ cơ bảnnhưng rất quan trọng về những khái niệm, những cách thức, những kiểu loại về hệthống IDS/IPS đơn giản nhất Chương I chính là tiền đề, những hiểu biết nhất định đểchúng ta có thể đi vào tìm hiểu các phần mềm phát hiện và phòng chống xâm nhập tráiphép đang được sử dụng hiện nay

Chương II: Giới thiệu tổng quan về các phần mềm phát hiện và phòng chống xâm nhập trái phép (IPS/IDS) chỉ rõ hai công cụ nổi bật trong các công cụ dùng để

phát hiện và phòng chống xâm nhập trái phép ngày nay đang được sử dụng phổ biến.Hai công cụ này mạnh nhất, nổi bật trong hai khía cạnh khác nhau về cách thức sửdụng, phạm vi và mục đích sử dụng Đó là phần mềm SNORT, và phần mềm OSSEC.Chương II này sẽ đưa ra cho chúng ta những hiểu biết cơ bản nhất về hai phần mềmnày, chứ chưa hề đi vào chi tiết để cài đặt, cấu hình hay quản trị

Chương III: Phần mềm Snort: cài đặt, cấu hình và quản trị cung cấp cho

chúng ta cách thức sử dụng cụ thể phần mềm SNORT- một công cụ mạnh nhất, được

sử dụng và đánh giá cao nhất Chúng ta có thể thao tác để làm quen với phần mềmbằng cách cài đặt nó, có thể biết được hoạt động của nó bằng cách cầu hình nó, và cóthể làm “ông chủ” của nó bằng cách quản trị nó

Phần kết luận

Phần tài liệu tham khảo

Chương I

Lý thuyết cơ sở về hệ thống phát hiện và phòng chống xâm

nhập trái phép (IPS/IDS) 1.1 IDS là gì?

1.1.1 Sự ra đời của IDS

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báocủa James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứucác hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việclạm dụng đặc quyền để giám sát tài sản hệ thống mạng

Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từnăm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa

Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệthống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy

nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng

nổ của công nghệ thông tin

Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự

đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đãmua lại một công ty cung cấp giải pháp IDS tên là Wheel

1.1.2 Dự báo về tương lai của IDS

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phântích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây chấnđộng trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ khôngcòn nữa vào năm 2005”

Phát biểu này của xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệthống IDS khi đó đang đối mặt với các vấn đề sau:

- IDS thường xuyên đưa ra rất nhiều báo động giả (False Positives)

- Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24giờ trong suốt cả 365 ngày của năm)

- Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả

- Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn

600 Megabit trên giây

Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những kháchhàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốnkém và không đem lại hiệu quả tương xứng so với đầu tư

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thốngIDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việcquản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích góitin của IDS Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công

cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:

- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi cácIDS, tường lửa để tránh các báo động giả

- Các thành phần quản trị phải tự động hoạt động và phân tích

- Kết hợp với các biện pháp ngăn chặn tự động

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và ngănchặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt độnghiệu quả hơn nhiều so với thế hệ trước đó

1.1.3 Định nghĩa

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)

là một thống giám sát lưu thông mạng, các hoạt động khả nghi và

cảnh báo cho hệ thống, nhà quản trị Ngoài ra IDS cũng đảm nhận

việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách

hành động đã được thiết lập trước như khóa người dùng hay địa chỉ

IP nguồn đó truy cập hệ thống mạng ,…

IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên

trong (từ những người trong công ty) hay tấn công từ bên ngoài (từcác hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về cácnguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vàocác dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so

sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn

của hệ thống) để tìm ra các dấu hiệu khác thường

*Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ

Giám sát : lưu lượng mạng + các hoạt động khả nghi.

Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.

Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những

hành động thiết thực chống lại kẻ xâm nhập và phá hoại

*Chức năng mở rộng :

Phân biệt : "thù trong giặc ngoài".

Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline.

Hình 1.1 Mô hình hoạt động của một hệ thống IDS

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 4) – một bộ tạo

sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế

độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một

số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thốnghoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưutrong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ, khi luồng

dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệunào được thực hiện Điều này cũng liên quan một chút nào đó đến các gói mạng

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tươngthích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiệnđược các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiệncho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thôngthường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ cáctham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biếncũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn(tạo ra từ nhiều hành động khác nhau).

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cảchúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc mộttác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùngđược bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu vàthậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đến máychủ phân tích trung tâm là một trong những thành phần quan trọng của IDS DIDS cóthể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiệncác tấn công phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động

và tính roaming của nó trong các vị trí vật lý Thêm vào đó, các tác nhân có thể đặcbiệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyếtđịnh khi nói đến nghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựatrên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chínhsách đáp trả

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tựtrị cho việc phát hiện xâm phạm) – xem hình 5 Nó sử dụng các tác nhân để kiểm tramột khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tácnhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống

nó kiểm tra Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khảnghi Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng

tự trị) Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểmtra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các

bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất.Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa

là chúng có thể tương quan với thông tin phân tán Thêm vào đó, một số bộ lọc có thểđược đưa ra để chọn lọc và thu thập dữ liệu

1.2.4 Phân loại

Có 2 loại IDS là Network Based IDS (NIDS) và Host Based IDS

(HIDS):

1.1.4.1 NIDS

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài

để giám sát toàn bộ lưu lượng vào ra

Hoạt động: Một Network-Based IDS sẽ kiểm tra các giao tiếp trên mạng với thờigian thực (real-time) Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thểkiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng

tấn công khác nhau Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra,phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

Hình 1.2 Ví dụ về một NIDS phát hiện các dạng tấn

công cơ bản

Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hayphần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượngmạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổchai khi lưu lượng mạng hoạt động ở mức cao

- Ví trí : mạng bên trong NIDS -mạng bên ngoài

- Loại : hardware (phần cứng) hoặc software (phần mềm)

- Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng

- Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động

ờ mức cao

Hình 1.3 Mô hình hệ thống NIDS

1.1.4.2 HIDS

Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linhhoạt hơn nhiều so với NIDS Kiểm soát lưu lượng vào ra trên một máytính, có thể được triển khai trên nhiều máy tính trong hệ thốngmạng HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau

cụ thể như các máy chủ, máy trạm, máy tính xách tay HIDS chophép bạn thực hiện một cách linh hoạt trong các đoạn mạng màNIDS không thể thực hiện được Lưu lượng đã gửi tới máy tính HIDSđược phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm.Hoạt động: Một Host-Based IDS chỉ làm nhiệm vụ giám sát và gi lại log chomột máy chủ (host-system) Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn

bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và các ứng dụngcũng như toàn bộ service của máy chủ đó) A Host-Based IDS có khả năng phát hiệncác vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại Là thiết bị bảomật cho phát hiện các tấn công trực tiếp tới một máy chủ

Hình 1.4 Ví dụ về HIDS hoạt động phát hiện các tấn

công tới máy chủ

HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn

có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.+ Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS.+ Loại : software

+ Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS.+ Ưu điểm : Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ Phân tích lưulượng mạng rồi mới forward

+Nhược điểm : Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạyđược trên Unix và những hệ điều hành khác

Hình 1.5 Mô hình hệ thống HIDS

1.2.5 Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế

xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS Dưới đây

là một số hệ thống được mô tả vắn tắt:

- Hệ thống Expert, hệ thống này làm việc trên một tập các nguyên tắc đã được định

nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mậtđều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else.Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T)

- Phân tích dấu hiệu giống như phương pháp hệ thống Expert, phương pháp này dựa

trên những hiểu biết về tấn công Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấncông thành định dạng kiểm định thích hợp Như vậy, dấu hiệu tấn công có thể đượctìm thấy trong các bản ghi hoặc đầu vào của luồng dữ liệu theo một cách dễ hiểu Mộtkịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối vớicác tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định.Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định Sựphát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thốngthương mại (ví dụ như Stalker, Real Secure, NetRanger, Emerald eXpert-BSM)

- Phương pháp Colored Petri Nets thường được sử dụng để tổng quát hóa các tấn

công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa Hệ thốngIDIOT của đại học Purdue sử dụng Colored Petri Nets Với kỹ thuật này, các quản trịviên sẽ dễ dàng hơn trong việc bổ sung thêm dấu hiệu mới Mặc dù vậy, việc làm chohợp một dấu hiệu phức tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thờigian Kỹ thuật này không được sử dụng trong các hệ thống thương mại

- Phân tích trạng thái phiên, một tấn công được miêu tả bằng một tập các mục tiêu

và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiênđược trình bày trong sơ đồ trạng thái phiên

- Phương pháp phân tích thống kê, đây là phương pháp thường được sử dụng Hành

vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theo một số biến thời gian

Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số file truy nhập trong một

chu kỳ thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp

có thể thay đổi từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗibiến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay cảphương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùngđiển hình Các phương pháp dựa vào việc làm tương quan profile người dùng riêng lẻvới các biến nhóm đã được gộp lại cũng ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằngcách sử dụng profile người dùng ngắn hạn hoặc dài hạn Các profile này thường xuyênđược nâng cấp để bắt kịp với thay đổi trong hành vi người dùng Các phương phápthống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên profile hành vingười dùng thông thường

- Neural Networks sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên

cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng để rút ramối quan hệ vào/ra mới Phương pháp neural network được sử dụng cho phát hiệnxâm nhập, mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng(người dùng hay kẻ xâm phạm) Thực ra các phương pháp thống kê cũng một phầnđược coi như neural networks Sử dụng mạng neural trên thống kê hiện có hoặc tậptrung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến vàtrong việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã đượctiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kết quả chothấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán Với một số

ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự đoán Neural networksvẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộng đồngphát hiện xâm nhập

- Phân biệt ý định người dùng Kỹ thuật này mô hình hóa các hành vi thông thường

của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệthống (liên quan đến chức năng người dùng) Các nhiệm vụ đó thường cần đến một sốhoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tíchgiữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một

sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra

- Computer immunology Analogies với sự nghiên cứu miễn dịch được chủ định để

phát triển các kỹ thuật được xây dựng từ mô hình hành vi thông thường trong các dịch

vụ mạng UNIX hơn là người dùng riêng lẻ Mô hình này gồm có các chuỗi ngắn cuộcgọi hệ thống được tạo thành bởi các quá trình Các tấn công khai thác lỗ hổng trong mãứng dụng rất có khả năng gây ra đường dẫn thực thi không bình thường Đầu tiên, mộttập dữ liệu kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch

vụ, sau đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ vềcuộc gọi hệ thống Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục cáccuộc gọi hệ thống, để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thứcchưa; nếu không, một báo cảnh sẽ được tạo ra Kỹ thuật này có tỉ lệ báo cảnh sai rấtthấp Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụmạng

- Machine learning (nghiên cứu cơ chế) Đây là một kỹ thuật thông minh nhân tạo, nó

lưu luồng lệnh đầu ra người dùng vào các biểu mẫu vector và sử dụng như một thamchiếu của profile hành vi người dùng thông thường Các profile sau đó được nhóm vàotrong một thư viện lệnh người dùng có các thành phần chung nào đó

- Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử dụng quá trình

trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ những vị trí dữ liệuđược lưu trữ với số lượng lớn phương pháp tối thiểu dữ liệu này vượt trội hơn đối vớiviệc sử lý bản ghi hệ thống lớn (dữ liệu kiểm định) Mặc dù vậy, chúng kém hữu dụngđối với việc phân tích luồng lưu lượng mạng Một trong những kỹ thuật tối thiểu hóa

dữ liệu cơ bản được sử dụng trong phát hiện xâm nhập được kết hợp với các cây phánquyết Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thườngtrong một cơ sở dữ liệu lớn Kỹ thuật khác phải dùng đến các đoạn, cho phép tríchmẫu của các tấn công chưa biết Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu

đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấncông chưa biết đã cất giữ Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợpvới việc tìm kiếm các nguyên tắc kết hợp Nó cho phép ai đó có thể trích kiến thứcchưa hiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thôngthường Sự phát hiện bất thường thường gây ra các báo cảnh sai Với việc tối thiểu hóa

dữ liệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểmđịnh tối thiểu, do đó giảm đáng kể xác suất báo cảnh sai

1.2 IPS là gì?

1.2.1 Lý do sử dụng IPS

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ

ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra làlàm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnhbáo nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPS được ra đờivào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi

Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dầnthay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việcđáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặngcủa việc vận hành Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạtđộng như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập Ngày nay các hệthống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng (gồm có giám sát, lập hồ

sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng.+ Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynhhướng của hệ thống phát hiện xâm nhập IDS

+ Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chấtnghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thểxảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấncông mạng

Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện

và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết củamạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng Các hệ thống nàyđược triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khảnăng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượngmạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự củamột kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là khôngtin cậy Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép(tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trịmạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là cócác hành động hợp lý đối với từng trường hợp Ngoài ra các hệ thống IPS còn cungcấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được vềnhững gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làmtăng hiệu quả của giải pháp an ninh mạng

Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận vàphân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và nhữngnguy cơ tồn tại trên mạng Tuy vậy chúng vẫn có thể được chuyển sang chế độ dựphòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thốngđang bị xâm nhập, tấn công để có thể phản ứng trước các cuộc tấn công, loại bỏ lưulượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gâyảnh hưởng đến hệ thống

Định nghĩa

Hệ thống IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợpcác ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (IntrusionDetection System), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự độngngăn chặn các cuộc tấn công đó

IPS không dơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn cáccuộc hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện cácbước để ngăn chặn lạI xự xâm nhập Phần lớn hệ thống IPS được đặt ở vành đai mạng,

dủ khả năng bảo vệ tất cả các thiết bị trong mạng

1.2.2 Phân loại

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng

1.2.3.1 IPS ngoài luồng

Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu Luồng dữliệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thể kiểm soát luồng

dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vị trínày, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ màkhông làm ảnh hưởng đến tốc độ lưu thông của mạng

1.2.3.2 IPS trong luồng

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tớibức tường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu

thông Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn

so với IPS ngoài luồng Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vàomạng chậm hơn

1.2.3 Kiến trúc chung của hệ thống IPS

IPS có hai chức nǎng chính là phát hiện các cuộc tấn công và chống lại các cuộctấn công đó Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả nǎng bảo vệ tất

cả các thiết bị trong mạng

Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thựchiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thônglượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo Hệthống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấncông, modul phản ứng

1.2.4.1 Module phân tích luồng dữ liệu

Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích Thông thườngcác gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏnhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin quachúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin Bộ phân tích đọcthông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thông tin này được chuyển đến modul phát hiện tấn công

1.2.4.2 Modul phát hiện tấn công

Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấncông Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạmdụng và dò sự không bình thường

- Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệthống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Các mẫu tấncông biết trước này gọi là các dấu hiệu tấn công Do vậy phương pháp này còn đượcgọi là phương pháp dò dấu hiệu Kiểu phát hiện tấn công này có ưu điểm là phát hiệncác cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khảnǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mậttrong hệ thống của mình Tuy nhiên, phương pháp này có nhược điểm là không pháthiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, dovậy hệ thống luôn phải cập nhật các mẫu tấn công mới

- Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng racác hành động không bình thường của mạng Quan niệm của phương pháp này về cáccuộc tấn công là khác so với các hoạt động thông thường Ban đầu, chúng lưu trữ các

mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ cónhững hành động khác so với bình thường và phương pháp dò này có thể nhận dạng

Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công nhưdưới đây:

+ Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bìnhthường trên mạng Các mức ngưỡng về các hoạt động bình thường được đặt ra Nếu có

sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trìnhhoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức thì hệ thống

có dấu hiệu bị tấn công

+ Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước Khi bắt đầu thiếtlập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư

xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy

ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạngbằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thể chạy song song với chế

độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế

độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc

+ Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạtđộng của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ,các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công Kỹ thuật này rấthiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thôngtin của các tin tặc

Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc pháthiện các cuộc tấn công kiểu từ chối dịch vụ Ưu điểm của phương pháp này là có thểphát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung chophương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một sốlượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng Phương pháp này sẽ làhướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lầncảnh báo sai để hệ thống chạy chuẩn xác hơn

1.2.4.3 Modul phản ứng

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửitín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng Lúc đó modulphản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công haycảnh báo tới người quản trị Tại modul này, nếu chỉ đưa ra các cảnh báo tới các ngườiquản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎnchặn khác nhau Dưới đây là một số kỹ thuật ngǎn chặn:

- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằmphá huỷ tiến trình bị nghi ngờ Tuy nhiên phương pháp này có một số nhược điểm.Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫnđến tình trạng tấn công xong rồi mới bắt đầu can thiệp Phương pháp này không hiệuquả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệpphải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công.Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này

- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặnđường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công Kiểuphản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợplệ

- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấuhình lại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình lại là tạm thời thayđổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tớingười quản trị.

- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để

họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống cáctệp tin log Mục đích để các người quản trị có thể theo dõi các luồng thông tin và lànguồn thông tin giúp cho modul phát hiện tấn công hoạt động

1.2.4 So sánh IPS và IDS

- Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS Nếu nhưhiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho ngườiquản trị biết những nguy cơ có thể xảy ra tấn công Dĩ nhiên ta có thể thấy rằng, nó chỉ

là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiệnngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị

Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần vàcác lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công Và dĩ nhiên công việcnày thì lại hết sức khó khăn Với IPS, người quản trị không nhũng có thể xác địnhđược các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khảnăng xác định sai các lưu lượng Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới

có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn

- IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công Vì mỗi cuộctấn công lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau đểphân biệt Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không pháthiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộctấn công sẽ thành công, gây ảnh hưởng đến hệ thống Thêm vào đó, do các cơ chế củaIDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian

và công sức của nhà quản trị Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công

và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽgiảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là caohơn so với IDS

- Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện saukhi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nógửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máychủ, hoặc là gửi thông tin thông báo đên tường lửa (Firewall) để tường lửa thực hiệnchức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống

Ví dụ như nếu Attacker giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, đểtạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặnđược cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ Block luôn cả IP của kháchhàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ củaDoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại Nhưng với IPS thì khác

nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưulượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công

1.3 IDS/IPS là gì?

1.3.1 Tại sao phải có IDS/IPS?

Một hệ thống phòng chống xâm nhập trái phép (Intrusion Prevention System –IPS)

được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng pháthiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS có rất

nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là

IDP-Intrusion Detection and Prevention (IPS/IDS).

Thực chất thì ta có thế hiểu về IDS/IPS một cách đơn giản là một hệ thống bao gồmchứa đựng cả hai công nghệ IDS và IPS

1.3.2 Hoạt động

- Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với nhữngmẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cảnluôn Hiện nay đa số IDS/IPS hoạt động theo kiểu này Tuy nhiên nếu kiểu tấn côngmới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cậpnhật virus

- Nếu hoạt động theo kiểu heuristic thông minh thì IDS theo dõi mạng xem có hiệntượng bất thường hay không, và phản ứng lại Lợi điểm là có thể nhận biết các kiểu tấncông mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công

mà vẫn gây báo động)

Chương II Giới thiệu tổng quan về các phần mềm phát hiện và phòng

chống xâm nhập trái phép (IPS/IDS)

2.1 Phần mềm Snort

Công Nghệ Thông Tin và Internet ngày nay đã mang lại cho chúng ta nhiều tiến bộtrong quá trình phát triển Máy tính không những giúp xử lý dữ liệu, thiết kế sản phẩm,quản lý khách hàng v.v mà còn đem lại những giây phút thư giãn bằng nhiều chươngtrình tiện ích khác Và chắc chắn máy tính cùng những ứng dụng của nó sẽ còn đemđến cho chúng ta nhiều lợi ích, niềm vui trong cuộc sống

Tuy nhiên bên cạnh sự phát triển nhanh chóng và những khả năng mạnh mẽ thìnhững vấn đề của hệ thống thông tin cũng làm cho chúng ta nhức đầu cũng không phải

là ít, trong đó hai vấn đề nhạy cảm an toàn thông tin và bản quyền phần mềm khiến

chúng ta quan tâm nhiều hơn cả, đặc biệt là khi Việt Nam trở thành thành viên thứ 150của tổ chức thương mại quốc tế WTO bởi vì khi đó chúng ta phải tuân thủ nghiêm ngặt

“luật chơi” trong một môi trường đầy tiềm năng, cơ hội nhưng cũng lắm rũi ro nếu nhưchúng ta không tuân thủ nghiêm ngặt các quy định như luật sở hữu trí tuệ, bản quyềnphần mềm Bên cạnh đó, cần phải tăng cường khả năng an toàn thông tin để khỏi bịmất mát dữ liệu do các lổ hổng bảo mật hay bị hacker, virus, trojan tấn công

Một trong những giải pháp có thể đáp ứng tốt nhất cho vấn đề này là triển khai hệthống phát hiện xâm nhập trái phép - Instruction Detect System (IDS) Với IDS cácnhà Quản trị mạng hay Chuyên gia bảo mật hệ thống sẽ nâng cao hơn khả năng antoàn thông tin cho mạng máy tính của mình, biết được khi nào hệ thống đang bị tấncông hay có kẻ xấu đang tiến hành các hoạt động khả nghi để đưa ra được giải pháphiệu quả, nhanh chóng

Có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đápứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin vàSNORT có thể đáp ứng rất tốt cả hai yêu cầu này Đó là một phần mềm mà ta có thểtải về và sử dụng miễn phí theo các qui tắc GPL, cho nên yếu tố về chi phí hoàn toàn

có thể yên tâm Ngoài ra SNORT còn là một sản phẩm mã nguồn mở và có một cộngđồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhậpmới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhậtSnort Rule một cách nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn chophù hợp với yêu cầu của mình Vì vậy SNORT là phần mềm IDS mạnh mẽ và đượcyêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm nhập

Công nghệ phát hiện và chống xâm nhập mã nguồn mở Snort do Martin người sáng lập ra Sourcefire tạo ra vào năm 1998, với tốc độ gây ấn tượng, cùng hiệusuất và quyền lực vượt bậc, Snort nhanh chóng chiếm được vị thế để trở thành mộtcông nghệ phát hiện và phòng chống xâm nhập trái phép được triển khai rộng rãi nhấttrên thế giới

Roesch-Khả năng mở của mã nguồn mở mang lại rất nhiều ưu điểm Bởi vì, bản thân mãnguồn là mở và phi độc quyền, sự phát triển mã nguồn mở xuất hiện tốc độ mau lẹ rõrệt cạnh tranh với những kiểu độc quyền Sự thành công của kiểu này là bởi cộng đồngrộng lớn các chuyên gia bảo mật thường xuyên xem xét, kiểm thử và cải tiến Đơngiản là, những người dùng trong môi trường bảo mật mã nguồn mở có thể phát hiện vàđối phó những lỗi và các tấn công bảo mật khác nhanh hơn và hiệu quả hơn trong môitrường đóng

2.1.1 NIDS - Network Instrusion Detection System là gì ?

Trên cấp độ căn bản, phát hiện xâm nhập được xem như là 1 tiến trình được quyếtđịnh khi 1 người không xác chứng thực đang cố gắng để bẻ gãy hệ thống của bạn Pháthiện những kết nối không hợp lệ là bước khởi đầu tốt nhưng không phải là tất cả câuchuyện Những hệ thống như Snort có thể phát hiện những sự cố gắng đang login vào

hệ thống, truy cập vào những vùng chia sẻ không được bảo vệ và nhiều điều khác nữa,nhưng nhiều loại xâm nhập không rõ ràng để chúng ta có thể phát hiện dễ dàng như làcác các cuộc tấn công dùng phương pháp DoS tuy nó không thiệt hại nhiều chỉ chiếm

băng thông và CPU, dung lượng ổ cứng trên IDS nhưng nó cũng là tín hiệu để có biệnpháp phòng chống hữu hiệu

NIDS như Snort có thể quét lưu lượng mạng để phát hiện những tín hiệu nghi ngờ

và các gói dữ liệu xấu, và bạn cũng có thể dùng những công cụ khác như Tcpdump hay ethereal để xem các luồng thông tin trên các subnet khác nhau, từ những công cụ này

chúng ta có thể đánh hơi các gói tin để phân tích và gỡ rối hệ thống

Một IDS sẽ kiểm tra tất cả các gói tin đi qua hệ thống và quyết định gói tin có vấn

đề khả nghi Bằng cách nào nó có thể biết gói tin đó khả nghi ? Snort sẽ có các danhsách các loại gói tin được mô tả tỷ mỉ giúp hệ thống dựa vào đó mà phán quyết gói tinnào khả nghi, ví dụ như nếu bạn nhận được 1 gói ICMP có kích thước lớn hơn bìnhthường và bạn có thể đoán được 1 người nào đó đang cố gắng ping vào mạng của bạnhoặc như bạn nhận được các gói tin đựơc phân mảnh ra cực kì ngắn bạn cũng có thểsuy ra rằng ai đó đang dùng kĩ thuật tấn công phản hồi làm đảo lộn các gói để lừatường lửa thường được gọi là tấn công phân mảnh Snort cũng như các IDS khác đượctrang bị hàng ngàn tình huống để nhận dạng tấn công và được cập nhật thường xuyêntrên website của Snort Snort và các IDS khác thực sự quan trọng và là lựa chọn hàngđầu để phòng thủ, nếu một kẻ tấn công xâm nhập vào Server của bạn, bạn có thể pháthiện ở system log, mặc dù nhiều kẻ tấn công tinh ranh xóa đi log của bạn

2.1.2 Tại sao Snort là một NIDS ?

Snort được coi như là NIDS mang lại nhiều lợi ích và là 1 NIDS mạnh mẽ phù hợpcho nhiều công ty vì nhiều lý do:

Về giá cả : Là một software mã nguồn mở và tất nhiên là miễn phí nhưng dễ dùngđược đóng gói thành nhiều sản phẩm phù hợp cho từng doanh nghiệp Snort được pháttriển do công ty Soucefire được điều hành bởi Martin Roesch Hiện tại công ty Checkpoint đã mua lại Soucefire với giá 225 triệu USD

Về sự ổn định, nhanh, mạnh mẽ: Ngay từ đầu đây là mục đích chính để các nhàphát triển Snort luôn luôn giữ nó nhỏ gọn, nhanh, và dễ dùng, không chiếm dụng nhiềuđường truyền

Về tính năng tiền xử lý: Dùng để xử lý trước các thông điệp trong mạng ở thờigian thực tăng khả năng nhận dạng các gói tin nghi ngờ, tăng khả năng nhận diện kẻtấn công dùng các kĩ thuật tấn công nhằm đánh lạc hướng IDS

Về tính uyển chuyển: Có thể dễ dàng thiết lập những luật trên những chế độ khácnhau phù hợp với thực trạng của công ty Có thể dùng các công cụ để quản lý tập trungnhư ACID hay SnortCenter Nhiều Script có thể plug-in để mở rộng chức năng Snort

có thể tạo những Access Control List tự động trên các thiết bị Cisco routers là 1 ví dụđiển hình

Về sự hỗ trợ mạnh mẽ: Nhiều công ty thường xuyên kiểm thử và kiểm tra các lỗhổng của Snort đưa ra nhiều biện pháp khắc phục như CERT và SANS Là sản phẩmnguồn mở nên được hôc trợ rất nhiều bởi cộng đồng người sử dụng trên Internet và cácthông báo sẽ gửi đến từng người sử dụng qua mail nếu đăng kí và quan tâm đến Snort

2.1.3 Các chế độ hoạt động của Snort

Snort là một phần mềm phát hiện, chống xâm nhập Snort hoạt động như một phầnmềm đứng giữa sự giao tiếp của hai máy tính Các Packet trước khi được gửi đến máytính đích sẽ được Snort kiểm tra, thẩm định Nếu thấy có dấu hiệu của sự phá hoại (góitin được gửi đến với mục đích dò tìm thông tin…), Snort sẽ lập tức cảnh báo và cónhững xử lý cụ thể Snort có nhiều Sensor nằm lắng nghe tại những vùng tiếp giápgiữa mạng trong và mạng ngoài Sensor bắt những tất cả những gói tin đi từ trong rangoài và ngược lại Những thông tin nào cần lưu lại, Sensor sẽ lưu xuống cơ sở dữliệu Người quản trị Snort sẽ dùng giao thức HTTPS (HTTP kết hợp với SSL) để quansát, theo dõi những thông tin này dưới dạng Web Snort là một giải pháp linh hoạt vì

nó cho phép thay đổi rất linh động các tập luật dùng để bắt các gói tin, cũng như cách

xử lý các gói tin bị chặn lại

Snort có 4 chế độ hoạt động khác nhau đó là:

- Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó sẽtrình bày kết quả trên giao diện hiển thị

- Packet Logger mode : lưu trữ các gói tin trong các tập tin log

- Network instruction detect system (NIDS) : đây là chế độ họat động mạnh mẽ vàđược áp dụng nhiều nhất, khi họat động ở chế độ NIDS, Snort sẽ phân tích các gói tinluân chuyển trên mạng và so sánh với các thông tin được định nghĩa của người dùng

để từ đó có những hành động tương ứng như thông báo cho quản trị mạng khi xảy ratình huống quét lỗi do các hacker/attacker tiến hành hay cảnh báo virus

-Inline mode: khi triển khai snort trên linux thì chúng ta có thể cấu hình snort để phântích các gói tin từ iptables thay vì libpcap, do đó iptable có thể drop hoặc pass các góitin theo snort rule

2.1.4 Kiến trúc của Snort

Kiến trúc tổng quan của việc triển khai Snort cơ bản là đơn giản, bởi vì nó chỉchứa Sensor của chính nó- không có server quản trị, không bàn điều khiển hình họa,không kiến trúc đa tầng

Kiến trúc của công cụ Snort đã thay đổi nhanh chóng từ phiên bản 2.0 để cải tiếntính ổn định và hiệu suất Công cụ phát hiên mới được biến thành 3 công nghệ hay giai

đoạn riêng biệt: Rule Optimiser, Multi-Rule Inspection Engine, Event Selector.

2.1.4.1 Rule Optimiser

Rule Optimise tận dụng một phương thức dựa trên tập hợp dành cho việc quản lý

các luật của Snort và áp dụng chúng vào lưu lượng mạng Tập con luật được hìnhthành dựa vào luật duy nhất và các tham số gói có sử dụng một lược đồ phân loại dựatrên tiêu chuẩn tập Điều này cho phép toàn bộ tập luật Snort có thế được chia ra thànhcác tập luật con nhỏ hơn dựa trên những tham số duy nhất này

Tiện ích của phương thức dựa trên tập luật chính là việc các tập con của Snort sẽđược định trước trong suốt quá trình khởi tạo Bởi vì các tập con này được dựa trênnhững tham số luật duy nhất như là cổng nguồn, cổng đích, và nội dung luật, cho nên

mỗi tập con sẽ chứa tập hoàn chỉnh các luật thích hợp cho từng gói Điều này đảm bảorằng tất cả các luật thích hợp được kiểm tra tùy vào từng gói

Khi Snort bắt đầu thực thi, thì nó sẽ đọc và phân tích tất cả các luật đang hoạt

động Những luật Snort sau đó sẽ được chuyển tới Rule Classifier, để phân loại chúng

thành các tập con Điều này được thực hiện trước bất kỳ gói tin hay tiến trình xử lýluồng nào Mỗi khi những luật Snort được chia thành các tập con thì từng gói tin tới sẽhợp với tập luật tương ứng dựa trên những tham số duy nhất của gói

Ví dụ, nếu Snort chạy 1500 luật, thì 1500 luật này sẽ được chia thành các tập con nhỏhơn tùy thuộc vào các giao thức ở tầng ứng dụng và tầng vận chuyển Vì 500 trong sốnhững luật này có thể trở thành tập luật HTTP client, 50 luật khác có thể trở thành tậpluật HTTP server và v…v

Mỗi khi Snort thực hiện phần xử lý luật đối với từng gói, thì các tham số gói tin sẽ

được chuyển tới Rule Manager nhằm lựa chọn tập con phù hợp để áp dụng cho một

gói Mỗi khi tập luật được chọn thì tiến trình tìm kiếm nhiều luật sẽ bắt đầu

Việc kiểm tra nhiều luật sẽ sử dụng những thuật toán được hình thành từ những tậpluật tối ưu Bởi vì tất cả các luật cần được đánh giá thì đều trong một tập luật, cho nênnhững thuật toán kiểm tra này sẽ thiết lập những luật để cho chúng có thể được kiểmtra đồng thời Việc kiểm tra đồng thời này quan trọng nhằm nâng cao trong việc kiểmtra nhiều luật Bằng việc dùng những công nghệ kiểm tra đồng thời, kết hợp với mộttập luật tối ưu, thì toàn bộ thời gian của quá trình kiểm tra sẽ giảm đi theo cấp độ quantrọng

2.1.4.2 Multi-Rule Inspection Engine

Snort 2.0 sẽ đưa ra một công cụ kiểm tra đa luật (Multi-Rule Inspection Engine)

mới tiên tiến chuyên về việc phát hiện những tương xứng luật trong suốt tiến trình xử

lý gói tin Đầu tiên, các gói tin sẽ được phân tích bằng Rule Optimiser để chọn tập luật

thích hợp cho việc kiểm tra Sau đó, công cụ kiểm tra nhiều luật này sẽ tìm kiếmnhững tương xứng luật, xây dựng hàng đợi cho những tương xứng luật được phát hiện,

và chọn lựa sự tương xứng luật tốt nhất để ghi lại dựa trên một tập luật cơ bản vềnhững quyền ưu tiên theo sự kiện

Công cụ kiểm tra nhiều luật sẽ được biến thể thành 3 tìm kiếm riêng biệt dựa trênnhững thuộc tính luật của Snort:

- Protocol field search: tìm kiếm trường giao thức sẽ cho phép một luật xác minh

một trường đặc biệt nào đó trong một giao thức Ví dụ, Snort sử dụng từ khóa

“uricontent” để tìm kiếm những trường yêu cầu –uri của HTTP

- Generic content search: việc tìm kiếm nội dung chung sẽ cho phép một luật xác

minh tập byte chung cho phù hợp dựa vào payload Ví dụ, một chức năng được sửdụng để tìm kiếm lỗi tràn bộ đệm trong tất cả các tải của gói tin, và cũng có thể cònđược sử dụng để tìm bất kỳ tập byte nhị phân hay ASCII nào có mang dấu hiệu củamột cuộc tấn công mạng

- Packets anomaly search: việc tìm kiếm sự bất thường của gói tin sẽ cho phép một

luật xác minh những nét đặc trưng của một gói tin hay phần tiêu đề của gói tin, bởi

chính chúng là nguyên nhân của những cuộc cảnh báo Những luật về sự bất thườngcủa gói tin không có bất kỳ kiểu tìm kiếm nội dung nào, và chúng được tồn tại trênnhững nét đặc trưng khác của gói tin Trong khi 3 kiểu tìm kiếm có thể sử dụng sựphát hiện bất thường, thì việc tìm kiếm sự bất thường của gói tin lại là một kiểu cụ thể

về sự phát hiện Một ví dụ về luật bất thường của gói tin chính là việc tìm một góiICMP trên 800 byte

Công cụ kiểm tra sẽ sử dụng một công cụ tìm kiếm đa mẫu, hiệu suất cao và có thểcấu hình để tìm ra tất cả những sự xuất hiện của trường giao thức và những mẫu nộidung chung Những luật về sự bất thường của gói tin được xử lý bằng việc dùng mộtlược đồ tìm kiếm dựa trên việc xử lý luật Snort chuẩn

Khi tìm kiếm được một sự phù hợp trong bất kỳ 3 loại tìm kiếm nào, thì việc xử lýSnort chuẩn một cách đầy đủ sẽ xác nhận tính hợp lệ của luật Snort cụ thể nào đó Nếuluật Snort được xác nhận hợp lệ thì một sự kiện sẽ được tạo ra và được thêm vào hàng

sự kiện Mỗi khi công cụ kiểm tra hoàn thành việc xử lý gói tin thì Event Selector sẽ

xử lý hàng sự kiện

2.1.4.3 Event Selector

Hàng sự kiện sẽ cho phép Snort lần theo từng xuất hiện của từng sự kiện tươngxứng luật trong một gói tin Việc lựa chọn sự kiện sau đó sẽ ưu tiên những sự kiện ởhàng sự kiện và chọn sự kiện dựa vào quyền ưu tiên đã chỉ định Hiện này, sự kiện có

sự tương xứng về thời gian lâu nhất được coi là có quyền ưu tiên cao nhất và đượcchọn lựa Sự kiện này sau đó sẽ được gửi tới hệ thống đầu ra của Snort

2.1.4.4 Protocol Flow Analyser

Protocol Flow Analyser sẽ phân loại các giao thức ứng dụng mạng thành các luồng

dữ liêu client và server Phân tích sâu các luồng dữ liệu giao thức này sẽ cho phépcông cụ phát hiện đưa ra được những quyết định đúng đắn về sự kiểm tra giao thức,nâng cao rõ rệt hiệu suất và năng suất, và giảm tính xác thực sai

Phân tích luồng giao thức được thực hiện ở tầng cao và thường chỉ liên quan tớimột vài khía cạnh quan trọng của một luồng giao thức đặc biệt, như là một mã hồi đápcủa server hay một kiểu yêu cầu của client Phân tích luồng không thay thế cho nhữngcông nghệ kiểm tra giao thức khác, thay vì thay thể là bổ sung cho chúng

Phân tích luồng là một phân tích thông thường cho phép giao thức ứng dụng đượcphân loại thành luồng client hay luồng server Mỗi khi giao thức ứng dụng được phânloại thành một luồng client và một luồng server, thì nó sẽ gửi cho Snort thông tin hữuích về kiểu kiểm tra và những miền luồng giao thức kiểm tra Những phân tích luồnggiao thức cho Snort những thông tin sơ bộ về một giao thức ứng dụng

Với thông tin này, Snort có thể quyết định liệu bất kỳ hay một phần của một giaothức để thực hiện kiểm tra Điều này sẽ làm giảm đáng kể thời gian xử lý và giảm khảnăng báo sai bằng cách giới hạn lượng kiểm tra cần thực hiện Hiện nay, DetectionEngine có một máy phân tích luồng HTTP mà người dùng có thể cấu hình và giảmđáng kể thời gian xứ lý HTTP của công cụ

2.1.4.5 Bộ tiền xử lý

Những chức năng cần thiết như là ráp lại gói tin, phát hiện quét cổng và bìnhthường hóa lưu lượng HTTP được thực hiện bằng những module plug-in, gọi là bộ tiền

xử lý Điều đó có thể thực hiện một vài chức năng khác nhau trên các gói tin- như làchỉnh sửa nội dung gói tin, tăng một báo động, ghi lại nội dung gói tin, hay đánh dấuDetection Engine không xử lý gói tin chút nào- trước khi chuyển chúng tới Detection

Engine

Ví dụ, mô đun stream4 cung cấp khả năng phân tích trạng thái và ráp lại dòng

TCP Những khả năng ráp lại dòng trạng thái cho phép Snort bỏ qua những tấn côngTCP không trạng thái như là, những tấn công tạo ra bằng những công cụ như Stick và

Snort Stream4 cũng đưa ra những người dùng có khả năng lần theo số lượng lớn

những dòng TCP đồng thời

Một điểm quan trọng cần chú ý là tất cả những bộ tiền xử lý sẽ phải xem xét từnggói trong trường hợp- không có một cơ chế nào dành cho một bộ tiền xử lý để cắt bớtnhanh chóng việc xử lý gói tin nhỏ và bỏ qua những gói tin còn lại Điều này nghĩa lànếu như một lượng lớn những bộ tiền xử lý chuyên sâu CPU sẽ được tải, sau đó nó sẽ

có thể có một tác dụng ngược lại về toàn bộ hiệu suất Tuy nhiên, trong những kiểmthử của chúng ta, thì chúng ta đã tìm ra được một chút chứng cớ cho phép hay khôngcho phép các bộ tiền xử lý có bất kỳ tác động đáng kế nào về hiệu suất

Mỗi khi những bộ tiền xử lý được thực hiện với gói tin (và không có bộ tiền xử lýnào tắt cờ phát hiện) thì gói tin này sẽ đi tiếp tới hệ thống phát hiện

Những bộ tiền xử lý sẵn có bao gồm:

- IP defragmentation

- Stateful analysis/stream reassembly

- Conversation tracking - cho phép snort lấy được những trạng thái giao hợp

cơ bản trong các giao thức khác hơn là chỉ với TCP như đã thực hiện trong spp_stream4 Trong tương lai, điều này sẽ cho phép những luật được viết ra thực hiện trong việc đếm byte và trạng thái người nói đầu tiên

- Port scan detector

Bộ tiền xử lý là quan trọng trong tính linh hoạt và tính mạnh mẽ của Snort Sảnphẩm này đôi khi bị gắn là sản phẩm cấp thấp hay bị gạt bỏ như là một bản mẫu khôngđúng quy cách, nhưng một vài trong số những bộ tiền xử lý được viết ra và cập nhật đãcung cấp một bộ tính năng mà một số IDS thương mại đang có gắng đạt được.

Ví dụ, bộ tiền xử lý của Back Orifice có khả năng bắt ép thô bạo với từng gói BO

đã được mã hóa, rpc_decode, telnet_decode và http_decode thực hiện sự bình thường hóa lưu lượng mở rộng trên một phạm vi các cổng và các giao thức, và frag2 và stream4cho phép ráp lại đầy đủ các mảnh IP và ráp lại luồng inspection/TCP đầy đủ

trạng thái Sự kết hợp- tất cả những gì có thể được cấu hình- làm cho snort cực kỳphức tạp trong việc tránh sử dụng các kỹ thuật hiện hành

2.1.5 Cài đặt, cấu hình phần mềm Snort

Những luật về chữ ký thích hợp được chứa trong một loạt các file văn bản riêngbiệt, mỗi file sẽ được định cho một kiểu luật cụ thể (như là Web, backdoor, DDOS,FTP, Telnet, DNS,…)

Mỗi luật Snort đã chứa trong những file thì gồm 2 phần logic: phần tiêu đề luật vàphần lựa chọn Phần tiêu đề luật sẽ quyết định giao thức, hướng lưu lượng, và cổng vàđịa chỉ nguồn và đích mà áp dụng cho luật Trường action chỉ rõ snort nên làm gì khimột luật tương xứng với nội dung gói tin:

- Pass –thả gói tin Snort cho phép không quá trình xử lý nào trên gói tin cung cấp

phương tiện ngăn chặn những kiểu lưu lượng cụ thể từ việc xử lý Snort

- Log –soạn các gói tin đầy đủ vào vị trí ghi lại được chọn trong snort.conf (hay

trên dòng lệnh)

- Alert –tạo ra một khai báo sự kiện tới một hay nhiều đích đến như đã được chỉ rõ

trong snort.conf, cũng như là việc ghi lại nội dung gói tin đầy đủ giống như lời hướngdẫn log

Phần thứ hai của luật Snort bao gồm một hay nhiều trường lựa chọn để cung cấptính linh hoạt và độ phức tạp khác thường Tùy chọn rõ ràng nhất là từ khóa msg để in

ra một thông báo khi báo động và những log gói tin mô tả tấn công đã bị phát hiện.Phần lớn những từ khóa khác (tất cả có trong hướng dẫn sử dụng) cung cấpphương tiện để khởi đầu những phần như: nội dung gói tin, tùy chọn IP, các bít phânmảnh, kích cỡ payload, hướng đi của lưu lượng và cờ TCP, bao gồm trong những cáikhác Chúng có thể được kết hợp trong nhiều cách để phát hiện và phân loại các gói tin

là những vấn đề đáng quan tâm đặc biệt, và tất cả các tùy chọn phải đúng đắn để tạo ramột sự phù hợp và sự khởi tạo sự ảnh hưởng của luật

Những tùy chọn khác được cung cấp nhằm tăng cường chứng cớ của tài liệu vàkhả năng có thể nhận ra được của các cảnh báo và các log gói tin, bao gồm chữ ký duynhất ID, phân loại luật (ví dụ, từ chối dịch vụ, lỗ hổng thông tin, giành đặc quyền,…),tấn công quyền, và tham chiếu tới những hệ thống định danh tấn công bên ngoài nhưBugtraq, CVE hay Arachnids

Vài tùy chọn có các chức năng đặc biệt, như là tùy chọn tab, chỉ ra một số gói tin

bổ sung cần được bắt giữ sau khi một khởi tạo cảnh báo xảy ra Cũng có tùy chọn

react, , cho phép Snort được đóng các kết nối nhanh chóng và có thể là gửi thông báo

tới trình duyệt của người dùng cảnh báo trước với họ chống lại việc truy cập vào cáctrang web bị cấm

Những tùy chọn sẵn có trong tài liệu phát hành hiện nay là quá nhiều để mà cóthể trình bày chi tiết ở đây, nhưng chúng đều là tất cả tài liệu trong User Guide, vàđang ngày càng được tăng lên Không may thay, những tài liệu lại không thườngxuyên duy trì được tốc độ sự phát triển nhanh chóng đó

Phạm vi của các tùy chọn sẽ tăng lên đáng kể trong phiên bản 2.0 của Snort, nhưnhững cách mà chúng ta có thể kết hợp được, thì Snort mở ra phạm vi lớn hơn nhiềulần để soạn chữ ký phức tạp ở sâu bên trong của từng gói tin Ngôn ngữ của luật có thểđược mở rộng nhằm hỗ trợ khả năng diễn tả số byte giữa những bản so khớp nội dungtrong một gói tin, cho phép ngôn ngữ diễn tả những bất thường trong các giao thứctầng ứng dụng cũng như là phổ biến khái niệm về chỉ thị mẫu

Những thứ mà điều này cung cấp hiệu quả là khả năng không hoàn chỉnh dành chocác giao thức tầng ứng dụng mô hình bằng hệ thống tương xứng nội dung của Snort, từRPC đến HTTP, IMAP Đây là một khả năng cực kỳ tiện ích còn thiếu trong các phiênbản trước- ví dụ như nó cho phép Snort có những chữ ký cảnh báo nếu một số byte cụthể bị nhận ra do một ký tự lệnh mà không tìm ra sự kết thúc dòng, thì cho phép lỗitràn bộ đệm mới khai thác đã bị phát hiện mà không yêu cầu một chữ ký đặc biệt dànhcho chúng

Sử dụng từ khóa Flow cho ta những phương tiện hiệu quả hướng lưu lượng cụ thể

hơn nhiều so với tùy chọn flags Tính năng mới nhằm biệt lập phía server và phíaclient của một hội thoại TCP sẽ giúp giảm nhanh chóng tính xác thực nhầm, bởi cácchữ ký cổng cao một cách kỳ lạ đã khởi đầu trước bằng việc liên hệ với các server củaweb mà bậy giờ mới có thể có một ràng buộc mới được thêm vào Điều này cho phéplưu lượng từ cổng 80 được kiểm tra để xem liệu nó là lưu lượng phía client hay lưulượng phía server

Những cải tiến này trong trong ngôn ngữ soạn chữ ký của Snort đã tiến một bước

xa theo hướng tận dụng sự công nhận chữ ký sự và sức bền đối với những xác thực sai,hai tính năng này sẽ được lộ dần trong các phần kiểm thử tiếp

Các luật của Snort không phức tạp hay khó một cách đặc biệt, mặc dù đó khôngphải là phương tiện để mà họ soạn thảo một cách dễ dàng May thay, có một cộngđồng người dùng khá lớn đã dành thời gian và công sức để phát triển và duy trì Snortcũng như tập luật của Snort

Điều này có nghĩa là bạn có thể thường xuyên tìm ra những chữ ký đối với nhữngtấn công mới nhất trong vài ngày- hay thậm chí vài giờ do những tấn công này đã đượcbiết bởi những nhóm người dùng hay những website hợp pháp

Thú vị là, ngôn ngữ luật của Snort cũng được thừa nhận về giá trị hơn qua việcgiới thiệu của các luật của Snort thực hiện phân tích công cụ trong các sản phẩm củaIDS thương mại- công cụ Trons đang được chú ý nhất đã chứa trong sản phẩm ISSRealSecure/Peoventia, và những chữ ký đầy đủ trạng thái trong sản phẩm Manhuntcủa Synmantec

Bằng những phần mềm nguồn mở, một số người dùng đã được yêu cầu thực hiệnnhững điều chắc chắn tồn tại một cách đúng đắn- những tiến trình cốt yếu như là, cậpnhật chữ ký tất nhiên là, không thực hiện khi bấm một nút trong một GUI đơn giảntheo cách mà chúng có thể trong một IDS mang tính chất thương mại Cũng cấn chú ýrằng trong một sản phẩm cơ bản, thì việc ứng dụng các chữ ký phải cẩn thận- bằngtay- đối với từng sensor được triển khai trong tổ chức Một số mức rõ ràng của việcquản trị tập trung có thể là sẵn có theo cách những nguồn mở mang tính chất thươngmại khác, nhưng nhiệm vụ đối với nguồn, cài đặt, cấu hình và tích hợp lại tập trungvào người dùng cuối.

ra được thực hiện bất cứ khi nào việc cảnh báo hay ghi lại các hệ thống con của Snortđược nhắc đến, sau những bộ xử lý trước và công cụ phát hiện

Việc cảnh báo có thế hoặc “nhanh” (một dòng/ cảnh báo) hoặc “đủ” (nhiều dòngcủa dữ liệu bao gồm các tiêu đề của gói tin) – hoặc ngắt hoàn toàn- và các cảnh báo cóthể được soạn ra cho nhiều đích như là những file log ASCII, syslog, CSDL SQL, cácfile CSV, socket của Unix hay các thông điệp pop-up của Window Hiện nay không cóthư điện tử cảnh báo, mặc dù điều này có thể đạt được bằng cách sử dụng những công

cụ thứ ba

Mỗi cảnh báo cũng tạo ra một log gói tin giống nhau, trong khi ngược lại, một tậpluật log sẽ không tự động tạo một báo động Những log gói tin ghi lại hoàn chỉnh hayvắn tắt nội dung gói tin thì đều phụ thuộc vào mức độ lựa chọn cụ thể- có thể được viếtcho những vị trí đầu ra có phạm vi giống nhau, và giống như cảnh báo, chúng có thểtắt tất cả nếu được yêu cầu

Bằng những bộ tiền xử lý, một vài tập tùy chọn bộ xử lý trong snort.conf có thế

được bỏ qua thông qua những bộ chuyển dòng lệnh Việc sử dụng cẩn thận log và cácluật cảnh báo và những bộ xử lý có thể cung cấp một phạm vi tùy chọn khá rộng chonhà quản trị trong việc cảnh báo hiệu quả và log dữ liệu pháp ly Những bộ xử lý nhiềuđầu ra có thể được chỉ rõ đối với từng loại đầu ra (cảnh báo hay log) nếu được yêu cầu,

vì vậy mà cho phép những cảnh báo được soạn cho cả CSDL và syslog, trong khi cáclog gói tin đầy đủ lại được viết cho một file xổ nhị phân

Đối với những ai muốn lựa chọn quá trình xứ lý việc ghi lại gói tin và cảnh báo, thìđiều này có thể định nghĩa những loại luật mới (thêm vào log và cảnh báo) và kết hợpvới một hay nhiều đầu ra cắm vào riêng biệt cho loại đó Ví dụ, nhà quản trị có thể tạo

ra một kiểu luật mới tên là redalert mà nó có thể là nguyên nhân một cảnh báo đối vớisyslog và một log gói tin dành cho CSDL MySQL Kiểu dữ liệu này sau đó có thểđược dùng thay cho những lời chỉ dẫn hành động cảnh báo và log trong bất kỳ luậtSnort nào

Những cài đặt mặc định trong cơ cấu phân bổ Snort chuẩn mà cả những cảnh báo

lẫn những log gói tin đều được soạn cho các file văn bản trong /var/log/snort Trong

khi những cảnh báo được viết cho một file thì log gói tin lại được viết cho cac fileASCII cá nhân chứa trong một cấu trúc thư mục phân cấp mở rộng dựa trên địa chỉ IPnguồn và kiểu cảnh báo Điều này có thể thực hiện việc phân tích lượng lớn dữ liệu loggói tin có phần khó khăn, và lý do tất cả những nhà quản trị lại có thể lựa chọn ghi lạiCSDL SQL

Như những gì bạn có thể tưởng tượng, nhiều lượng chữ viết của các file ASCIIthành một lượng thư mục con có vẻ như là rất chậm, và vì vậy mà Snort cũng cung cấpmột tùy chọn ghi lại bằng nhi phân Ở đây, các log file được viết thành file nhị phântcpdump khá nhanh, mà có thể rồi sau đó thực hiện thông qua một cơ chế offline củaSnort riêng biệt để tạo lại cấu trúc thư mục loag gói tin dựa trên mã ASCII dành chophân tích xa hơn nữa

Việc ghi lại hợp nhất có thể cũng được sử dụng để tách hoàn toàn Snort từ côngviệc nặng nề của những CSDL cập nhật một cách trực tiếp Tiện ích ghi lại tối ưuBarnyard có thể được sử dụng để lấy những file log nhị phân và viết những bản ghicảnh báo cho một CSDL trong khoảng thời gian thực, nhưng không tác động đến hiệusuất dò tìm của Snort

2 Báo cáo và phân tích

Không có một công cụ phân tích hay báo cáo nào được xây dựng cho sự phân bổcủa Snort Với những điều này dành cho những người xử lý đầu ra của Snort chuẩnđược chứng minh quá ư là cồng kềnh, những công cụ bổ sung khác nhau- giống như

ACID or Snortsnarf- là có sẵn nhầm cung cấp những phương tiện phân tích gần gũi

hơn và rộng rãi hơn

Một vài công cụ bổ sung đòi hỏi sự nỗ lực và hiểu biết nhiều trong cài đặt, cấuhình và duy trì- một vấn đề điển hình với phần mềm nguỗn mở.Mặc dù Snort đang chỉđược dành riêng cho những mạng được sử dụng không nhiều và nhỏ, nhưng chúng taphải công nhận hiệu suất và những đặc tính cơ bản là tuyệt vời cho phép chính bảnthân Snort được triển khai trong những mạng liên hợp lớn

Có một số lượng lớn chữ ký sẵn có – là một trong những điều được xem xét kỹlưỡng va được cải thiện trong nhiều tháng sau khi phát hành phiên bản 2.0- và khôngkhó khăn chút nào trong việc phát triển cái bạn cần Đã có sự thay đổi đáng kể đượctạo ra trong việc sắp đặt tập chữ ký, loại bỏ các bản sao và những xác thực sai, phâncông những phạm vi cố định của các ID chữ ký (SID) dành cho các chữ ký theo thóiquen và theo chuẩn, và cung cấp CSDL tham chiếu trực tuyến chữ ký và khai thác dữliệu để thực hiện những phân tích pháp lý một cách dễ dàng hơn

Tóm lại, Snort đã chứng minh được nhiều khả năng nhận ra tấn công rất tốt bằngtập luật chuẩn và nó sẽ không lấy sự tùy biến để cải tiến sự kiện này Việc quản trị mộthay nhiều sensor của Snort sẽ là không nhiều, không phức tạp như việc nó là một sảnphẩm IDS thương mại điển hình mà sẽ thường xuyên đơn giản hơn trong việc triểnkhai và quản trị Việc báo cáo và phân tịch cũng là vấn đề nghiêm trọng của sản phẩmthông thường Snort thực hiện một công việc tuyệt vời về phát hiện và ghi lại nhữnggói tin đáng ngờ, nhưng những cách thức sau đó của việc truyền những cảnh báo cho

nhà quản trị và phân tích dữ liệu đã được ghi lại thì lại chuyển toàn bộ tới người dùngcuối.Thực sự, có nhiều mã nguồn thương mại mở khác nhau sẵn có cung cấp việc quảntrị vắng mặt và những khả năng báo cáo, và thật tuyệt khi nhìn thấy những điều nàyđược thực hiện và cài đặt một cách dễ dàng hơn, bằng những nguồn thương mại khácnhau cũng “một click” cài đặt những thủ tục cho nhiều gói đó Tuy nhiên, không cósẵn những hướng dẫn hữu ích trong việc triển khai những công cụ bổ trợ trên hệ thốngđiều khiển thông dụng nhất.

2.2 Phần mềm OSSEC

2.2.1 Xem xét IDS trên một khía cạnh khác

Khi nghe đến thuật ngữ IDS, có thể bạn sẽ nghĩ về một NIDS Những hệ thốngphát hiện xâm nhập đã và đang ngày càng được sử dụng rộng rãi trong suốt thập niênqua chính bởi khả năng cung cấp một cái nhìn rõ nét về những điều đang xảy ra trongmạng của bạn NIDS sẽ giám sát lưu lượng mạng bằng việc sử dụng một card giaodiện mạng (NIC) để kết nối trực tiếp vào mạng của bạn Sự giám sát này có thể đượcthực thi bằng cách kết nối NIC tới một HUB, để cho phép bạn giám sát tất cả các lưulượng mạng đi qua HUB, hoặc bằng cách kết nối tới một cổng SPAN trên một switch,

để phản ánh lưu lượng nhìn thấy được trến cổng khác của switch; hay là bằng cách kếtnối tới một tap của mạng, đây là một thiết bị đứng trung gian giữa hai giao diện và nóphản ánh lưu lượng đi qua giữa các thiết bị NIDS là điển hình trong việc triển khai đểgiám sát thụ động một phân mảnh nhạy cảm trong mạng như là một DMZ tách tườnglửa, nơi đặt các web server liên hợp, hay việc giám sát những kết nối tới CSDL bêntrong nắm giữ thông tin thẻ tín dụng của khách hang Sự giám sát này cho phép bạnnhìn thấy bị động tất cả các giao dịch giữa server và những hệ thống đang cố gắng truycập tới nó

Một chữ ký hay một mẫu dược dùng phù hợp cho những sự kiện cụ thể, giống nhưmột tấn công tới lưu lượng được nhận ra trong mạng của bạn Nếu lưu lượng đượcnhận ra trong mạng phù hợp với chữ ký IDS của bạn thì một cảnh báo sẽ được tạo ra.Một cảnh báo cũng có thể tạo ra một hành động, giống như việc log cảnh báo vào mộtfile rồi gửi mail tới ai đó bằng những phần chi tiết của cảnh báo, hay là cho phép mộthành động tới địa chỉ của cảnh báo này giống như việc thêm vào một luật tường lửa đểchặn lưu lượng trên một thiết bị khác

Không phải tất cả các hệ thống phát hiện xâm nhập trái phép đều có thể thực hiệnmột hành động giống như kết quả của một cảnh báo được tạo ra Những đặc tính nàyđôi lúc chính là sự khác nhau chính giữa một NIDS và môt hệ thống chống xâm nhậpmạng (NIPS- Network Intrusion Prevention System)

Một NIDS là một hệ thống giám sát quyền năng dành cho lưu lượng mạng, nhưng

có một vài điều cần nhớ khi triển khai nó:

- Bạn làm gì nếu những kỹ thuật lẩn tránh của NIDS được dùng để vượt qua NIDS

và những chữ ký? Những kỹ thuật lẩn trành của NIDS thông thường như là tấn côngphân đoạn, ghép nối phiên, và thậm chí là những tấn công từ chối dịch vụ cũng có thểđược sử dụng để vượt qua NIDS, làm cho nó trở nên vô dụng

- Bạn sẽ làm gì nếu những giao dịch giữa các host bị mã hóa? Bằng một NIDS bạnđang giám sát bị động lưu lượng và không có khả năng nhìn thấy một gói tin bị mãhóa

- Bạn sẽ làm gì nếu một tấn công bị mã hóa tấn công vào server của bạn? Nhữngchữ ký được thiết kế một cách cẩn thận sẽ không thể bắt được các tấn công mà NIDSđược triển khai để bảo vệ ngược lại

Việc điều chỉnh NIDS để phát hiện hoặc phá hủy những loại tấn công này thì sẽtạo bước ngoặt giúp cho bạn tập trung thời gian vào các sự cố thực sự thay cho việctruy đuổi đến cùng những cảnh báo giả Mỗi NIDS sẽ phải được điều chỉnh đối vớitừng phân đoạn mạng mà nó đang giám sát Nhớ rằng tất cả những giải pháp NIDS đềuthực hiện theo phương thức từ trên xuống để so sánh lưu lượng mạng với bộ chữ kýcủa bạn Việc giảm số lượng rule trong tập chữ ký đã triển khai sẽ giảm tải được việc

sử dụng bộ xử lý và bộ nhớ trong giải pháp NIDS Nếu DMZ mà NIDS của bạn đượctriển khai trên đó lại không chứa bất kỳ web server nào, thì bạn có thể không cầnnhững chữ ký để phát hiện các tấn công web server

Những kẻ tấn công đang ngày càng trở nên tinh ranh về NIDS, đây là lý do tại saoHIDS giờ đây lại là một công cụ cấn thiết để bổ sung cho việc triển khai NIDS hiện tạicủa bạn

2.2.2 Phát hiện xâm nhập dựa vào máy chủ

Một HIDS phát hiện những sự kiện trên một server hay một trạm làm việc và cóthể tạo những cảnh báo tương tự như một NIDS Tuy nhiên, một NIDS có thể điều traluồng những giao dịch đầy đủ Những kỹ thuật lẩn tránh của NIDS giống như nhữngtấn công phân mảnh hay ghép nối phiên, thì đều không áp dụng bởi vì HIDS có thểđiều tra phiên được kết hợp đầy đủ như là nó được đại diện cho hệ điều hành Nhữnggiao dịch được mã hoá có thể được giám sát bởi vì việc điều tra HIDS của bạn có thểnhìn thấy lưu lượng mạng trước khi nó được mã hoá Điều này có nghĩa là những chữ

ký HIDS sẽ có thể chặn lại các tấn công thông thường và không bị mờ nhạt khi mãhoá

Một HIDS cũng có khả năng thực hiện những kiểm tra mức hệ thống bổ sung màchỉ phần mềm IDS được cài đặt trên một host mới có thể được thực hiện giống nhưviệc kiểm tra tính toàn vẹn của file, việc giám sát đăng ký, phân tích log, phát hiệnrootkit, và hồi đáp một cách chủ động

2.2.2.1 Kiểm tra tình toàn vẹn của file

Mỗi file trên một hệ điều hành sẽ tạo ra một dấu vân tay số duy nhất, còn gọi làmột hàm băm mã hoá Dấu vân tay này được tạo ra dựa theo tên và nội dung của file.Một HIDS có thể giám sát những file quan trọng để phát hiện những thay đổi trongdấu vân tay khi ai đó, cái gì đó thay đổi nội dung của file hay thay thế file bằng bảnfile khác nhau hoàn toàn

Hình 2.1 Ví dụ về một hàm băm mã hoá được tạo ra từ

đầu vào khác nhau

2.2.2.2 Giám sát đăng ký

Đăng nhập hệ thống là một thư muc danh sách tất cả sự cài đặt của phần mềm cũngnhư phần cứng, cấu hình hệ điều hành, và người dùng, nhóm và những quyền ưu tiêntrên một hệ thống Microsoft Window Những thay đổi do người dùng và nhà quản trịtạo ra với hệ thống thì đều được ghi lại trong những khoá đăng ký hệ thống để mànhững thay đổi sẽ được lưu lại khi người dùng đăng xuất hay hệ thống bị reboot Việcđăng ký cũng cho phép bạn trông thấy cách mà nhân hệ thống tương tác với phần cứng

và phần mềm

Một HIDS có thể nhận ra những thay đổi này của những khoá đăng ký quan trọng

để đảm bảo chắc chắn rằng người dùng hay ứng dụng không cài đặt một cái gì mới haychỉnh sửa một chương trình đang tồn tại với mục đích thâm hiểm ví dụ, một tiện íchquản lý mật khẩu có thể được thay thế bằng một hành động đã chỉnh sửa và khoá đăng

ký bị thay đổi để chỉ tới bản sao hiểm độc

2.2.2.3 Phát hiện rootkit

Một rootkit là một chương trình được phát triển nhằm đạt được toàn bộ sự điềukhiển một hệ điều hành trong khi ẩn hay tương tác với hệ thống trên cái mà nó đượccài đặt Một rootkit được cài có thể ấn các dịch vụ, các tiến trình xử lý, các cổng, file,thư mục và các khoá đăng ký từ phần còn lại của hệ điều hành và từ người dùng

Một số loại rootkit thông dụng như:

-Firmware: loại firmware chỉ giống như tên gọi của nó, là một loại rootkit cài đặt bằngphần sụn của bạn Loại rootkit này khó phát hiện bởi vì điển hình là bạn sẽ phải điềutra quá trình gói phần mềm cài đặt đã biên dịch cho việc cài đặt nó lên tường lửa, bộđịnh tuyến, switch hay thiết bị

- Virtualized: cài đặt giữa phần cứng hệ thống và hệ điều hành để chặn các cuộc gọi hệthống Kiểu rootkit này điển hình là được tải tại thời điểm boot và thực hiện với hệđiều hành giống như một máy ảo Bất kỳ sự tương tác nào mà bạn thực hiện với máy

tính của mình thì đều được điều tra và cảnh báo ngầm ngay tại thời gian rảnh rỗi củarootkit.

- Kernel level: sẽ thay thế mã được kết hợp với nhân của hệ thống, tiêu biểu là thôngqua các trình điều khiển thiết bị hay các mô đun nhân có thể tải, nhằm ẩn tiến trình củarootkit từ phần còn lại của hệ thống Loại rookit này có thể phát hiện rất khó mỗi khi

bị cài đặt bởi vì rootkit mức nhân sẽ lừa hệ thống của bạn bằng việc báo cáo rằngkhông có gì là bất thường cả

- Library level: sẽ ráp hoặc móc nối các cuộc gọi hệ thống với những thông tin ẩn về

kẻ tấn công

- Application level: là một trong những loại rootkti thông dụng nhất, thay thế cho mộtnhị phân ứng dụng đã biết bằng bản sao nhị phân của kẻ tấn công Đây là cách thôngthường biểu thị một phiên bản mang tính chất “trojan” của nhị phân ban đầu

2.2.2.4 Hồi đáp chủ động

Hồi đáp chủ động cho phép bạn tự động thực thi những lệnh hay hồi đáp khi một

sự kiện nào đó hay một tập sự kiện nào đó đc khởi tạo ví dụ như, một kẻ tấn công đưa

ra lời đe dọa chống lại mail server của tổ chức Sau đó, lời đe dọa sẽ vượt qua tườnglửa và cuối cùng là vượt thông suốt bằng tap mạng đã được triển khái để điều tra tất cảlưu lượng mạng tới đích của server mail NIDS có một chữ ký dành cho tấn công cụthể này Dịch vụ hồi đáp chủ động của NIDS sẽ gửi một lệnh tới tường lửa để khôiphục lại phiên của kẻ tấn công và nơi một rule chặn host đó Khi kẻ tấn công của kếtnối đã được khôi phục lại sẽ cố gắng khởi tọa lại tấn công một lần nữa, và lúc này thì

kẻ tấn công đã bị chặn

Lợi ích của hồi đáp chủ động rất to lớn, nhưng cũng đầy mạo hiểm Ví dụ như lưulượng hợp pháp sẽ phải khởi tạo một xác thực giả và chặn một user/ host hợp pháp nếunhư các rule được thiết kế không tốt Nếu một kẻ tấn công biết rằng NIDS của bạn sẽchặn một chữ ký lưu lượng cụ thể nào đó thì chúng sẽ có thể bắt chước những địa chỉ

IP của những server quan trọng trong cơ sở hạ tầng của bạn để từ chối truy cập củabạn Đây về cơ bản là tấn công DoS, tức là ngăn host của bạn tương tác với địa chỉ IP

2.3 Giới thiệu về OSSEC

OSSEC làm một HIDS mã nguồn mở đa nền với hơn 5000 bản download mỗitháng Nó có một sự tương quan mạnh mẽ và là dụng cụ phân tích, sự tích hợp phântích log, kiểm tra tính toàn vẹn của fie, giám sát đăng ký Window, củng cố chính sáchtập trung, phát hiện rootkit, cảnh báo thời gian thực, và hồi đáp chủ đông Thêm vàoviệc triển khai như một HIDS, thì OSSEC thông thường là được sử dụng hạn chế như

là một công cụ phân tích log, giám sát và phân tích tường lửa, IDS, Web server và cáclog xác thực OSSEC thực thi trên hầu hết các hệ điều hành, bao gồm: Linux,OpenBSD, FreeBSD, Mac OS X, Sun Solaris, và Microsoft Window

OSSEC là một phần mềm miễn phí và sẽ còn duy trì như vậy trong tương lai Bạn

có thể phân phối lại nó hoặc chỉnh sửa lại nó dưới một thuật ngữ của GNU GeneralPublic License như đã được quỹ phần mềm miễn phí (FSF- Free Software Fountion)

công bố Các IPS, trường đại học, chính phủ và các trung tâm dữ liệu liên hợp lớnđang sử dụng OSSEC như là một giải pháp HIDS cơ bản của mình.

2.4 Triển khai

Trước khi bắt đầu cài đặt OSSEC HIDS, bạn phải biết sự khác nhau cơ bản giữanhững kiểu cài đặt và phương thức đặt kế hoạch triển khai OSSEC HIDS có thể đượccài đặt trên một hệ thống, trên nhiều hệ thống nhằm cung cấp sự bảo vệ cho một mạnglớn, hay trên một vài hệ thống với kế hoạch để ước tính sự triển khai sau đó nhằm bảomật cho toàn bộ tổ chức

Có 3 kiểu cài đặt OSSEC:

- Cài đặt nội bộ: được sử dụng để bảo mật và bảo vệ một host

- Cài đặt trên agent: được sử dụng để bảo mật và bảo vệ các host trong khi báo cáoquay trở lại một OSSEC trung tâm

- Cài đặt trên server: được sử dụng để tập hợp thông tin từ những agent của OSSEC đãtriển khai thu thập những sự kiện của syslog từ những thiết bị bổ sung

Khi nào là cần thiết nhất để cài đặt HIDS? Đây là một câu hỏi quan trọng mà trảlời thì thật là khó Theo đúng ý tưởng thì khi xây dựng một host mới, ta phải làm theomột danh sách kiểm tra để chắc chắn rằng một baseline bảo mật thông thường sẽ phảibắt buộc qua các hệ thống Chúng ta sẽ áp dụng những bản vá mới nhất và những bảnphù hợp nhất cho hệ điều hành và những ứng dụng để đảm bảo chắc chắn rằng một thứđược bảo vệ để chống lại những lỗi, những chỗ khai thác và những điểm yếu

Trong suốt quá trình đó, ta nên chuẩn bị triển khai hệ thống theo các bước sau:

- Bỏ đi tất cả những ứng dụng không cần thiết

- Tắt bỏ các dịch vụ không cần thiết

- Điều chỉnh các rule của tường lửa để bảo vệ host

- Cài đặt phần mềm diệt spyware

- Cài đặt giải pháp HIDS

Chúng ta có thế cài đặt một HIDS trên một host đang tồn tại, nhưng luôn có khảnăng mà một rootkit sẵn sàng bị cài vào, thì sẽ thỏa hiệp đường cơ sở toàn vẹn củaviệc vài đặt HIDS Có hàng loạt công cụ sẵn có giúp chúng ta phát hiện những rootkitnếu như sự cài đặt mới không có một tùy chọn nào:

- Rootkit Revealer: là một tiện ích phát hiện rootkit cải tiến Nó áp dụng từ Windows

NT 4 trở lên và đầu ra sẽ lên danh sách đăng ký và những điều không nhất quán trongAPI của hệ thống file đã chỉ ra sự hiện diện của chế độ người dùng hay chế độ kernel

- GMER: là một ứng dụng phát hiện và chuyển rời các rootkit Nó có thế quét các tiếntrình ẩn, tuyến đoạn ẩn, môdun ẩn, dịch vụ ẩn, file ẩn, dòng dữ liệu không ổn định ẩn,

và những key đăng ký ẩn GMER cũng có thể quét các trình điều khiển dành cho việcmóc nối SSDT, móc nối IDT, móc nối các cuộc gọi IRP và những móc nối nội tuyến

- Helios: được thiết kế nhằm phát hiện, loại bỏ và làm tăng sức đề kháng chống lạinhững rootkit hiện đại Điều làm nên sự khác biệt giữa nó với những phần mềm diệtvirus thông dụng hay những sản phẩm chống spyware, đó chính là nó không tin cậyvào một CSDL các chữ kỹ đã biết

- Strider GhostBuster phát hiện các rootkit API ẩn bằng cách thực hiện một sự kiểmđịnh giữa “sự thật” và “nói dối” Nó không được dựa vào một chữ ký tồi và không tincậy trạng thái tốt Nó nhằm tới điểm yếu chức năng của các rootkit ẩn và đổi hànhđộng ẩn thành cơ chế phát hiện riêng của nó

- ProDiscover Incident Response: có thể tìm kiếm hệ thống khả nghi trong toàn bộ 400trojan hay rootkit đã được biết

- Sophos Anti-Rootkit cung cấp một tầng phát hiện mở rộng, bằng cách phát hiện tincậy và an toàn, và di chuyển bất kỳ rootkit nào có thể sẵn sàng được cài vào hệ thống

- Chrootkit là một bộ tiện ích để kiểm tra cục bộ nếu như ai đó đã cài một rootkit lên

hệ thống của bạn Nó phát hiện được khoảng 50 loại rootkit, mô đun nhân, va sâumạng Nó cũng có khả năng kiểm tra những nhị phân sửa đổi rootkit, để kiểm tra nếunhị phân giao diện nằm trong chế độ không phân loại, và kiểm tra sự xóa bỏ log

Đây mới chỉ là một phần nhỏ trong những công cụ chống rootkit sẵn có Muốn

biết thêm chi tiết, chúng ta có thể vào trang antirootkit.com để xem đầy đủ danh sách

về phần mềm diệt rootkit

2.4.1 Cài đặt nội bộ

Kiểu cài đặt nội bộ được đề cập đến khi chúng ta có kế hoạch cài đặt OSSECHIDS trên duy nhất một hệ thống, như là một máy tính xách tay cá nhân, trạm làmviệc hay một server Tuy nhiên, nếu như chúng ta muốn có nhiều hơn một hệ thốngbảo mật và giám sát trên mạng mà chúng ta đang quản trị thì chúng ta nên quan tâm tớiviệc sử dụng những kiểu cài đặt Agent hay Server

Cài đặt cục bộ dễ dàng hơn để quản lý và có thể được đáp ứng yêu cầu dành cho hệthống trên mạng mà nó được cài đặt Việc cài đặt này cũng kết hợp tất cả các chứcnăng của phần mềm OSSEC HIDS, bao gồm chức năng agent và chức năng server trênmột hệ thống, giống như hình vẽ

Hình 2.2 Cấu hình cài đặt nội bộ

Phần dưới là dành cho một cài đặt nội bộ nếu như chúng ta quyết định sau đó rằngchúng ta muốn gửi những cảnh báo tới OSSEC server trung tâm Để làm được điềunày thì bạn sẽ phải gỡ bỏ cài đặt nội bộ và chạy cài đặt agent

2.4.2 Cài đặt agent

Kiểu cài đặt agent được đề cập đến nếu như chúng ta có kế hoạch triển khaiOSSEC HIDS trên những hệ thống trong tổ chức của chúng ta Kiểu cài đặt này chophép chúng ta triển khai tính bảo mật và sự bảo vệ từ OSSEC trên một host mà chúng

ta chọn và chịu sự kiểm soát thông tin của chúng ta bằng cách cảnh báo tới một serverOSSEC Kiểu cài đặt này loại trừ được việc vượt log trên agent đã triển khai và chắcchắn rằng các cảnh báo được tạo ra không được giữ trên hệ thống Hình 2.4 chỉ ra vaitrò của agent trong một triển khai kiểu agent/server

Hình 2.3 Cài đặt agent/server

Chúng ta cần kiểm tra những vấn đề đã được xác định trong hệ thống ghi đặc điểm

và chú ý rằng 3 người dùng được log mà những trạm làm việc của họ lại đang chạychậm đi so với bình thường Họ cũng thấy rằng ổ đĩa máy tính của họ bị chiếm khá

nhiều, khi họ không làm gì trên hệ thống cả Bạn quyết định kiểm tra lại và xem xétmáy tính của người dùng đầu tiên đã báo cáo về vấn đề này Sau khi xem xét lại cáclog của OSSEC trên hệ thống thì bạn thấy phát hiện ra một rootkit lúc 3h sáng hôm đó:

Received From: rootcheck

Rule: 14 fired (level 8) -> “Rootkit detection engine message’ ”

Portion of the log(s):

Rootkit ‘t0rn’ detected by the presence of file ‘/lib/libproc.a’.

Sau khi đọc thông tin này thì những câu hỏi sẽ đặt ra như sau:

- Có phải chính rootkit này bị nhiễm trên hai máy trạm đã báo cáo sự cố vào sáng nayhay không?

- Có bao nhiêu hệ thống khác đã bị nhiễm rootkit này?

- Các rootkit bị nhiễm tối qua hay bị nhiễm từ lâu trên các hệ thống khác nhau?

- Rootkit này chỉ bị nhiễm trên những máy trạm hay cũng bị nhiễm vào các hệ thốngquan trọng khác hay không?

- Bạn nên bắt đầu xử lý sự cố trên máy trạm này hay nên kiểm tra những trạm khác?Nếu các agent của OSSEC được cài đặt trên tất cả các hệ thống , và thay thể sự càiđặt cục bộ thì bạn cũng có thể kiểm tra những server OSSEC trước khi rời bàn làmviệc của mình Sự khởi tạo này sẽ kiểm tra khả năng bạn nhận ra nếu như có bất kỳcảnh báo nào, giống như chúng được tạo ra bằng cách nhiễm một rootkit, thì sẽ vượtqua tất cả các hệ thống với các agent đã được triển khai Nhận thức thấu đáo về điềunày sẽ giúp bạn có một phương thức quyết định mục đích của kẻ tấn công, nhằm vàonhiều máy tính hay chỉ duy nhất 1 host

2.4.4 Kiểu nào tốt đối với chúng ta?

Mặc dù chúng ta không muốn trả lời câu hỏi này nhưng thực sự là có quá nhiều thứđáng quan tâm ở đây Tuy nhiên, chúng ta có một bảng hỗ trợ chúng ta trong quá trìnhquyết định thực hiện:

Nhiều người dùng từ xa yêu cầu sự bảo vệ, nhưng

mạng của chúng ta lại không phái chỉ có duy nhất

Tổ chức của chúng ta là chủ thể điều chỉnh đúng

Một server được tách riêng ra mà không liên lạc

Có một “one-person-IT-shop” cần kiểm tra thạt

Người dùng chủ yếu ở nhà và máy tính xách tay

của họ chỉ có thể kết nối thông qua một kết nối

Cần lựa chọn những sự kiện syslog từ firewall của

Bảng 2.1 Những định hướng về cài đặt

2.4.5 Định dạng những vấn đề liên quan trước khi cài đặt OSSEC

Bây giờ thì vấn đề chúng ta cần biết về sự khác nhau giữa những kiểu cài đặt, lúcnào thì tiến hành việc cài đặt cho chính xác? Trước khi thực hiện cài đặt OSSEC thìchúng ta cần có thời gian tìm hiểu về những thông tin mà chúng ta cần, đặc biệt là nếuchúng ta có ý định triển khai các agent của OSSEC và các server OSSEC Phải lưu ýđến hệ điều hành mà chúng ta sẽ tiến hành cài đặt OSSEC lên nó, có một vài thay đổi

mà chúng ta phải chú ý khi cài đặt

Các hệ điều hành được hỗ trợ bởi OSSEC:

OSSEC HIDS được kiểm thử trên những hệ điều hành dưới đây:

- OpenBSD 3.5, 3.6, 3.7, 3.8, 3.9, 4.0, 4.1, và4.2

- GNU/Linux

- Slackware 10.1 và 10.2

- Ubuntu 5.04, 5.10, và 6.06 (32 và 64 bit)

- Red Hat 8.0 and 9.0

- Red Hat Enterprise Linux (RHEL) 4 và 5

2.5.1 Microsoft Windows

Trước khi cài đặt phần mềm OSSEC HIDS, thì không một gói phần mềm bổ sung nàođược cài đặt trên nền hệ điều hanh Microsoft Windows chú ý rằng sự phát triến đượctiếp tục và hỗ trợ sẵn có sẽ dành cho:

- Microsoft Windows 2000 Workstation

- Microsoft Windows 2000 Server

- Microsoft Windows XP Home

- Microsoft Windows XP Professional

- Microsoft Windows 2003 Server

OSSEC HIDS có thể chỉ được cài đặt giống như là một Agent tại một thời điểm bởichính sự phụ thuộc trên các socket Unix đối với server Những cài đặt kiểu server vàkiểu cục bộ hiện đang được nghiên cứu tỷ mỉ

2.5.2 Sun Solaris

Trước khi bắt đầu cài đặt OSSEC trên nền hệ điều hành Sun Solaris, chúng ta phảichắc chắn rằng chúng ta đã cài gói SUNWxcu4 Để kiểm tra rằng liệu gói SUNWxcu4

đã được cài đặt trước hay chưa, thì chúng ta cần thực hiện các dòng lệnh dưới đây:

$ pkginfo | grep SUNWxcu4

Nếu như gói SUNWxcu4 chưa được cài thì thực hiện dòng lệnh dưới đây để cài nó:

$ pkgadd SUNWxcu4

2.5.3 Ubuntu Linux

Nếu sử dụng phiên bản Ubuntu Linux trước 7.04 thì chúng ta cần đảm bảo rằng góibuild-essential đã được cài trước khi chúng ta cài phần mềm OSSEC Để kiểm tra xemgói build-essential đã cài chưa, cần thực thi dòng lệnh Ubuntu dưới đây:

$ aptitude search build-essential

Nếu gói build-essential đã được cài thì bạn sẽ nhìn thấy một chữ i ngoài gói:

i build-essential - informational list of build-essential pack

Nếu chúng ta chưa cài thì thực thi dòng lệnh dưới đây để cài nó:

$ sudo apt-get install build-essential

Nếu sử dụng Ubuntu Linux 7.04 hay phiên bản mới hơn thì chúng ta cần phải đảm bảorằng gói gcc và gói glibc-dev đã được cài, hãy thực hiện dòng lệnh dưới đây để cài:

$ sudo apt-get install gcc glibc-dev

2.5.4 Mac OS X

Trước khi cài đặt phần mềm OSSEC HIDS trên một hệ thống đang chạy Mac OS

X, thì bạn phải đảm bảo rằng gói Xcode development đã được cài để biên dịch phầnmềm OSSEC HIDS Gói này có thể được tìm thấy trong môi trường cài đặt Mac OS Xhay tại Apple Developer Connection

Để cài Xcode, chúng ta phải:

- Download Xcode từ công cụ Apple Developer Connection được lưu tại trang

http://developer.apple.com/tools/.

- Chạy phần cài đặt để cài các gói tin mà chúng ta cần với phần mềm OSSEC HIDS,tối thiểu chúng ta cần gói Developer Tools Software, nhưng cứ thoải mái cài bất kỳphần mềm hữu ích nào khác trong phần cài đặt của Xcode

Tóm lại, phần mềm OSSEC HIDS có thể được cài đặt trên mọi hệ điều hànhthông dụng sẵn có hiện nay Những hệ điều hành cụ thể có những lệ thuộc riêng biệtcần phải lưu ý đặc biệt trong từng giai đoạn bắt đầu cài đặt Danh sách mới nhất vềnhững hệ điều hành được hỗ trợ, thì chúng ta có thể tìm thấy trên trang web củaOSSEC: www.ossec.net/wiki/index.php/Supported_System

2.5 So sánh các phần mềm: Snort và OSSEC

2.5.1 Ưu nhược điểm của Snort và OSSEC

2.5.1.1 Snort là đại diện cho phần mềm dựa vảo mạng (NIDS), chính vì vậy mà thếmạnh, mặt yếu của Snort chính là thế mạnh yếu của một NIDS

Sự thuận lợi: Một NIDS có một vài sự thuận lợi như sau:

- Hình phối cảnh toàn mạng

- Không phải chạy trên mỗi hệ điều hành mạng

Bằng việc thấy đường đi đên đích với nhiều host, một bộ phận cảm biến nhận mộtmạng mà cân nhắc trong mối liên hệ với những sự tấn công chống lại mạng củabạn.Nếu một ai đó đang quét nhiều host trên mạng của bạn, những thông tin này thìhiển nhiên sẵn sàng vào bộ cảm biến

Sự thuận lợi khác với NIDS đó làkhông cần chạy trên mỗi hệ điều hành của mạng.Một NIDS chạy trên một số bộ cảm bíến giới hạn và những nền tảng của người quản

lí Những nền tảng này có thể được chọn để tiếp xúc với những yêu cầu thực thi đặcbiệt Bên cạnh việc ẩn trên mạng đang bị giám sát, những dịch vụ này có thể dễ dàngđược làm cứng để bảo vệ chúng từ những tấn công bởi vì chúng phục vụ một mục đíchđặc biệt trên mạng

Những khó khăn: Một NIDS đối diện một vài khó khăn sau:

- Băng thông