1. Trang chủ
  2. » Giáo Dục - Đào Tạo

IPS Hệ Thống Ngăn Ngừa Xâm Nhập Tường Lửa Thế Hệ Kế Tiếp

20 204 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 223,5 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công h

Trang 1

Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây đã xuất hiện trong từ điển chuyên ngành an ninh bảo mật Chắc chắn nó có một ý nghĩa lớn lao hơn là một lời tiếp thị lôi cuốn Ngăn ngừa xâm nhập chính là thế giới bảo mật CNTT

Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây đã xuất hiện trong từ điển chuyên ngành an ninh bảo mật Chắc chắn nó có một ý nghĩa lớn lao hơn là một lời tiếp thị lôi cuốn Tuy vậy, đây không phải là một mô tả công nghệ bảo mật mới mang tính cách mạng mặc dù một số nhà tiếp thị chuyên nghiệp cho rằng IPS là một bước đại nhảy vọt “Ngăn ngừa Xâm nhập” trong bài viết này được hiểu hàm chứa những khía cạnh của nhiều công nghệ bảo mật hiện hữu bao gồm chống virus, phát hiện xâm nhập, tường lửa và lọc truy nhập Internet, v.v Ngăn ngừa xâm nhập chính là thế giới bảo mật CNTT

Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối

đe doạ đều bị ngăn chặn

Bài viết phân tích những hạn chế của các hệ thống hiện tại cũng như nhu cầu cấp bách có một giải pháp hoàn thiện và đúng đắn trong tương lai Tiếp đến, những đặc tính của hai giải pháp phát hiện xâm nhập và tường lửa vốn hình thành nên các giải pháp “Ngăn ngừa Xâm nhập” được đưa ra bàn thảo Chúng ta ghi nhận những tính năng hữu ích và nêu bật những yêu cầu về mặt kiến trúc cho bất kỳ thiết bị an ninh nào có ý định nội tuyến

(inline) trên mạng Cuối cùng, bài viết đề xuất cách tiếp cận của Top Layer để ngăn ngừa xâm nhập – một phương pháp thiết thực chuyển hóa các khả năng tường lửa thành một giải pháp kiểm tra nội dung sâu hơn

Nhu cầu hiển nhiên đằng sau các quảng cáo về “Ngăn ngừa xâm nhập”

Lời bàn tán xung quanh thuật ngữ “Ngăn ngừa Xâm nhập” đang được truyền đi bởi những nỗ lực tiếp thị của một số công ty, một số thông tin gây sửng sốt được đưa ra mà chủ đề được lấy từ các nhà phân tích như Gartner và báo giới Các sản phẩm “Web

firewall” mới đang bắt đầu được định giá và những cuộc thảo luận đang nóng dần Một tỷ

lệ phần trăm lớn của lưu lượng hiện thời đang được truyền qua Port 80, (Web port) và phần lớn các sản phẩm tường lửa thiếu khả năng áp dụng ép buộc chính sách lớp ứng dụng lên một lưu lượng lớn Và bây giờ, Port 80 đã trở thành biểu tượng của sự thiếu hụt nghiêm trọng trong các tường lửa kiểm tra trạng thái đơn giản do thành công của những cuộc tấn công mới đây và tốc độ triển khai ngày càng tăng của các dự án B2B, các dịch

vụ Web “tạo đường hầm” và các đối tượng SOAP thông qua Port 80

Các giám đốc thông tin (CIO) và giám đốc an ninh thông tin (CISO) của các công ty hiện đang phân tích xem liệu họ có cần thiết bổ sung thêm các biện pháp đối phó một lớp các

Trang 2

đe doạ hoàn toàn mới chuyên biệt ứng dụng sắp xẩy ra hay không Trong thực tế họ đã triển khai các tường lửa, các phần mềm diệt virus và các hệ thống phát hiện xâm nhập trên mạng của họ, nhưng vẫn còn cảm thấy không an toàn Khi đối mặt với những đe doạ đang hiện hữu, những rủi ro phải được đánh giá cẩn thận hơn và các kế hoạch giảm thiểu cần phải được đưa ra cho những hệ thống hiện tại Yêu cầu cho sự truy nhập mở hơn, những mối quan tâm của khách hàng và những điều chỉnh đang được tăng thêm Do vậy, những nhà chuyên về bảo mật đang mong chờ bổ sung thêm các giải pháp an ninh để có thể hỗ trợ các nhu cầu theo đơn vị doanh nghiệp:

- Những giám đốc doanh nghiệp đang theo đuổi các ứng dụng mở hơn trong nỗ lực đạt được năng suất cao hơn

- Các điểm truy nhập mạng đặc biệt thông qua IPsec và các mạng riêng ảo (VPN) “client-less” được “móc” vào trong các vành đai mạng để mở rộng những dịch vụ ngày càng phân tán

- Người tiêu dùng đang phải chịu đựng những đòn từ chối dịch vụ gây ra bởi các hacker dẫn đến các giao dịch trên Internet thất bại và thiếu tin cậy Các số thẻ tín dụng và dữ liệu riêng khác đang bị lấy cắp

Do yêu cầu cấp bách bảo vệ các hệ thống, các công ty và các cơ quan chính phủ đang tích cực tập trung vào vấn đề gây tranh cãi Các nhà cung cấp an ninh đang kiểm tra các sản phẩm của họ Các công ty xây dựng các hệ thống cân bằng tải có tính sẵn sàng cao “Web farm” thậm chí đang được kích thích bởi một số áp lực thị trường để nhận ra những gì họ

có thể phải cung cấp để xử lý những mối đe doạ mới cho tới các ứng dụng mạng lưới Các công ty mới cũng nổi lên với các sản phẩm dự định là sẽ cung cấp các giải pháp khắc phục nhanh chóng và phi thường Những dự định nhìn chung là tốt và đang đạt được những tiến triển nhất định nhưng một giải pháp quan trọng vẫn chưa hiện hữu

An ninh CNTT nhất thiết phải cung cấp các giải pháp chống lại những mối đe doạ

đã biết và chưa biết

Trong khi nhiều mối đe dọa mới đang tiềm tàng ẩn chứa, các chuyên gia bảo mật phải đối mặt với những thách thức trên nhiều mặt trận:

1 Cung cấp sự bảo vệ chống lại những mối đe doạ chuyên biệt ứng dụng đã biết có khả năng vượt qua các thiết bị tường lửa không có khả năng phát hiện xâm nhập chuyên biệt ứng dụng Hiện nay, các cổng vào ra chống vi rút được hỗ trợ các CSDL chữ ký virút và các dịch vụ cập nhật đã cung cấp một số giải pháp bảo vệ nhưng cần có nhiều giải pháp hơn nữa

2 Cung cấp nhiều khả năng bảo vệ với bộ lọc cho tất cả các giao thức, không phải chỉ có HTTP (“Ngăn ngừa Xâm nhập” đa giao thức) Một vài kiểu đe doạ hiện đang được xử lý bởi những tường lửa uỷ quyền ứng dụng lai ghép

3 Cung cấp các kỹ thuật lọc, ngăn chặn và xác nhận tính hợp lệ chuyên biệt ứng dụng

Trang 3

với những điều khiển nội dung cho mục đích loại trừ tối đa các cuộc tấn công đã biết và chưa biết Mục đích là làm giảm nguy cơ của các mối đe doạ chưa biết trở thành “Code Red” tiếp theo Những tường lửa lai ghép, có khả năng các cơ chế an ninh lớp 3 tới lớp 7

sẽ cung cấp nền tảng thích hợp nhất cho sự phát triển này

4 Quy mô cho các yêu cầu băng thông lớn Sự tiến triển ở đây sẽ bao gồm các cải thiện

về hiệu suất thực hiện trong phần cứng đã được đóng gói, các card mạng (NIC) có thể lập trình, các cổng (gateway) dựa vào các ASIC (mạch tích hợp chuyên biệt ứng dụng) và các công cụ quản lý tốt hơn cho các giải pháp cổng theo nhóm dung lượng cao

Những đặc điểm của các cuộc tấn công mức ứng dụng mới đang điều khiển sự đổi mới công nghệ bảo mật

Các hệ thống an ninh đang được mở rộng do những sáng kiến thương mại điện tử vượt quá xa khả năng tự nhiên của chúng Sự mở rộng này đã để ngỏ các hệ thống và các ứng dụng cho tin tặc khám phá và sau đó khai thác những kẽ hở bị phát hiện bên trong các quá trình truyền thông khách/chủ của ứng dụng Tin tặc đã chứng minh rằng có thể tìm ra nhiều điểm yếu để khai thác trong cả hai phiên bản mới và cũ của các ứng dụng được tạo

ra do các công cụ lập trình tự động hoá và các phương pháp đánh giá phần mềm không được cân nhắc cẩn thận, chẳng hạn, những dữ liệu đầu vào của người dùng trong các ứng dụng Web là những điểm nhạy cảm (dễ bị tấn công) Việc xây dựng khả năng tự bảo vệ mình trước các cuộc tấn công trong thời gian sử dụng vào trong các ứng dụng thường không phải là mục tiêu của các nhà thiết kế ứng dụng Và vì các cuộc tấn công xuất hiện trong thời gian sử dụng các ứng dụng, các cuộc tấn công đặc thù theo ứng dụng không cần thiết phải vi phạm các chuẩn RFC hay ngay cả bản thân các giao thức Kết quả là, các cuộc tấn công thường vô hình (không nhìn thấy được) đối với bức tường (bộ lọc) an ninh trong nhiều hệ thống và do đó nó có khả năng “ẩn” trong dòng lưu lượng thông thường

Sự tiến triển mới này trong các cuộc tấn công là rất khôn ngoan, chuyên biệt cho từng ứng dụng và rất khó nhận biết

Mặc dù việc bảo vệ triệt để là không thể thực hiện được, nhưng không còn nghi ngờ gì nữa, các giải pháp “Ngăn ngừa Xâm nhập” là những đòi hỏi tất yếu cho bất kỳ kiến trúc

an ninh nào Về cơ bản, các giải pháp “Ngăn ngừa Xâm nhập” là sự thay thế thế hệ tường lửa và bởi vậy trước tiên chúng phải hoạt động như một tường lửa nếu muốn thành công

Một Hệ thống Ngăn ngừa xâm nhập (IPS) là gì ?

Các Hệ thống Ngăn ngừa Xâm nhập

Hai kiểu IPS được biết trên thị trường hiện nay là “dựa vào máy chủ” và “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” là các phần mềm ngăn ngừa xâm nhập được viết để “móc” trực tiếp vào trong các ứng dụng hay cài đặt trực tiếp trên các máy chủ ứng dụng Bài viết này chỉ tập trung vào bảo mật “nội tuyến” Bảo mật “nội tuyến” tương tự như trong kiến trúc tường lửa di trú kép hay một cổng chống vi rút được đặt ngược chiều

từ các ứng dụng được bảo vệ và áp dụng các dịch vụ ngăn ngừa xâm nhập cho nhiều ứng dụng xuôi chiều của các IPS Theo đúng nghĩa của khái niệm này, ta có thể định nghĩa

Trang 4

như sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) là bất kỳ một thiết bị phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các cuộc tấn công đã quen biết” Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” chỉ đề cập đến việc phát hiện và sau đó ngăn chặn những cuộc tấn công chuyên biệt ứng dụng đã biết Thuật ngữ

“Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) bản thân được sử dụng

để hợp nhất cả hai khái niệm “Hệ thống Phát hiện” (detection system) và “Hệ thống Ngăn ngừa” (prevention system) dưới một cấu trúc Chú ý rằng định nghĩa này chỉ nhằm vào các cuộc tấn công đã quen biết

Phát hiện và ngăn ngừa

Nhìn bề ngoài, các giải pháp phát hiện xâm nhập và ngăn ngừa xâm nhập xuất hiện theo kiểu cạnh tranh nhau Rốt cuộc, chúng chia sẻ một danh sách các chức năng giống nhau như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký Một IPS hoạt động giống như một người bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các uỷ nhiệm và tập quy tắc nội quy nào đó Một IDS (hệ thống phát hiện xâm nhập) làm việc giống như một xe tuần tra bên trong khu dân cư, giám sát các hoạt động và tìm ra những tình huống bất bình thường Dù mức độ an ninh tại cổng vào khu dân cư mạnh đến mức nào, xe tuần tra vẫn tiếp tục hoạt động trong một hệ thống giám sát và sự cân bằng của chính nó

Phát hiện xâm nhập

Mục đích của “phát hiện xâm nhập” là cung cấp sự giám sát, kiểm tra, tính pháp lý và báo cáo về các hoạt động của mạng Nó hoạt động trên các gói tin được cho phép thông qua một thiết bị kiểm soát truy nhập Do những hạn chế về độ tin cậy và những đe doạ bên trong, “Ngăn ngừa Xâm nhập” phải cho phép một số “vùng xám” (gray area) tấn công để tránh các trường hợp báo động giả Mặt khác, những giải pháp IDS được “nhồi” trí thông minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập, những khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng Một IDS có thể thực hiện các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng

Bản chất bị động của IDS nằm ở chỗ cung cấp sức mạnh để chỉ đạo phân tích thông minh các lưu lượng gói tin Những vị trí IDS này có thể nhận ra :

- Các cuộc tấn công quen biết theo đường chữ ký (signature) và các quy tắc

- Những biến thiên trong lưu lượng và phương hướng sử dụng những quy tắc và phân tích thống kê phức tạp

- Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng

- Phát hiện hoạt động bất bình thường có sử dụng phân tích độ lệch đường cơ sở (baseline deviation analysis)

Trang 5

- Phát hiện hoạt động đáng nghi nhờ phân tích luồng, các kỹ thuật thống kê và phát hiện

sự bất bình thường

Ngăn ngừa xâm nhập

Như được đề cập trước đây, các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo

ra rủi ro quá mức bên trong môi trường Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với:

- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists)

- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao

- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh

- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc

sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng

- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP v.v – qua việc sử dụng những quy tắc giao thức ứng dụng và chữ ký

- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng

Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra đều được chứng minh bằng tài liệu Ngoài ra, những khác thường trong các giao thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định

Tình trạng của công nghệ IPS

Trạng thái của công nghệ IPS là chưa chín muồi nếu bạn xem xét ở góc độ sản phẩm của từng nhà cung cấp đơn lẻ với tất cả các tính năng phát hiện, giám sát, ngăn ngừa, cập nhật

và báo cáo trên mỗi sự truyền tải cho truy nhập vào trong và ra ngoài qua một điểm nghẽn (choke-point) mạng đặc biệt Gần đây, các doanh nghiệp đã tiêu tốn hàng triệu đô

Trang 6

la vào các sản phẩm để giúp đỡ họ bảo vệ an toàn mạng của họ Các sản phẩm IPS mới nổi của ngày nay được tập trung chủ yếu dành riêng cho Port 80 và như vậy chúng hiện không thay thế các hệ thống hiện tại Thay vào đó chúng làm tăng thêm giá trị của những

hệ thống này Một giải pháp IPS đa giao thức bao hàm tất cả sẽ phải được phát triển và chứng tỏ trước khi những hệ thống như vậy được coi như những thay thế thực tế cho các

hệ thống đã triển khai

Các mục tiêu dài hạn

Trong tương lai, một giải pháp cổng an ninh nội tuyến (inline) phải đạt được các mục tiêu này :

- Khả năng phát hiện và ngăn chặn tấn công dựa trên cơ sở sử dụng lôgic và vật lý của nhiều công nghệ ép buộc Rộng hơn, điều này còn bao gồm cả khả năng ngăn ngừa cả hai dạng tấn công đã biết và chưa biết có sử dụng các biện pháp phòng thủ ứng dụng

(Application Defenses)

- Khả năng cùng nhau hoạt động với cơ sở hạ tầng an ninh được triển khai cho những mục đích hỗ trợ tập hợp dữ liệu, bằng chứng điện tử, giám sát theo dõi và phục tùng điều chỉnh khi cần

- Khả năng không phá vỡ những hoạt động kinh doanh do thiếu tính sẵn sàng, hiệu năng kém, những khẳng định sai hay không có khả năng hoạt động cùng nhau với các cơ sở hạ tầng chứng thực quy định

- Khả năng hỗ trợ các chuyên gia an ninh CNTT trong việc chuyển giao kế hoạch quản lý rủi ro của tổ chức của họ bao gồm chi phí cho thực hiện, hoạt động và những kết quả làm việc từ các cảnh báo và báo cáo từ hệ thống

Những thách thức để đạt được mục đích

- Hiện thời không có các nghiên cứu của đối tác thứ ba có thể chấp nhận được tính hiệu quả của IPS như là một giải pháp Sự quảng cáo thổi phồng xung quanh “Ngăn ngừa Xâm nhập” đang làm lẫn lộn giữa những gì công nghệ này có thể cung cấp và những gì

nó hứa hẹn

- Cách tiếp cận nhiều lớp cho an ninh CNTT tiếp tục có giá trị trong khi công nghiệp phát triển Nó không có vẻ là sự di trú ra xa khỏi phòng thủ chiều sâu phân lớp đúng như nó được tổ chức

- Nhiều giải pháp IPS sẽ đòi hỏi những yêu cầu giống IDS để điều chỉnh, giám sát và báo cáo

Một cách nhìn thực dụng trong tương lai

Hiện tại không có sản phẩm nào thích hợp cho tất cả có thể làm việc phù hợp với nhu cầu

Trang 7

thị trường rộng lớn tại mức mà nó có thể thay thế tường lửa hiện tại, NIDS (Network Intrusion Detection System), các bộ chuyển mạch lớp 7 và các thành phần khác có thể hay không thể trở thành các cổng an ninh nội tuyến của ngày mai Tuy vậy, nếu một sản phẩm như vậy xuất hiện, nó sẽ phải phù hợp với những mục tiêu được thảo luận trước đây trong tài liệu này, bao gồm cả khả năng “phòng thủ ứng dụng” (Application

Defenses) Tiếp theo là gì? Một cuộc cách mạng không phải là cái gì đó có thể đoán trước được và nói chung gồm nhiều bước trong tương lai Những mối đe doạ trong tương lai

mà ngày hôm nay chúng ta chưa biết sẽ điều khiển phương hướng của những giải pháp của chúng ta trong tương lai Có thể có những mối đe doạ mới và tính dễ bị tổn thương mới được phát hiện tác động đến các khái niệm an ninh “Ngăn ngừa Xâm nhập” của ngày hôm nay theo những cách cơ bản Nhưng sự phát triển các “Hệ thống Ngăn ngừa Xâm nhập” phần nhiều giống như sự hoà trộn từng bước một qua thời gian của các khái niệm

an ninh khác nhau vào trong một mô hình phòng thủ ứng dụng đích thực

Phần 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS.

Trong phần này mình sẽ trình bày với các bạn về một số vấn đề:

1 Định nghĩa IDS

2 Chức năng của IDS

3 Kiến trúc của IDS

4 Phân loạiIDS

5 Công cụ hỗ trợ IDS

6 Các kỹ thuật xử lý trong IDS

7 Sự khác nhau cơ bản về IDS và IPS

Phần 2: CẤU HÌNH VÀ THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP VỚI SNORT IDS SOFTWARE.

1 Giới thiệu về Snort IDS Software

2 Cài đặt và Cấu hình(Trên cả hai môi trường:Linux và Windows)

3 Mô hình ứng dụng Snort

Phân loại IDS

Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai

- Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các

sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công

- Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường

và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tố này xuất hiện

sự khác biệt, nghĩa là đã có sự xâm nhập

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng

Trang 8

- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng

- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công

- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên

Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những

mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa

để phát hiện đó là tấn công hay không

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên

có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao

Lợi thế của Network-Based IDSs:

- Quản lý được cả một network segment (gồm nhiều host)

- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

Trang 9

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

Hạn chế của Network-Based IDSs:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động được phát

ra, hệ thống có thể đã bị tổn hại

- Không cho biết việc attack có thành công hay không

Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích

cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu

đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác

Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu

dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host)

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công

mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn

có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này

Trang 10

HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all):

- Các tiến trình

- Các entry của Registry

- Mức độ sử dụng CPU

- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file

- Một vài thông số khác

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên

hệ thống file sẽ gây ra báo động

Lợi thế của HIDS:

- Có khả năng xác đinh user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Hạn chế của HIDS:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị DOS

- Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX

và những hệ điều hành khác

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và

là những việc làm phức tạp Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ Nếu máy chủ bị thỏa hiệp thì kẻ

Ngày đăng: 24/10/2015, 09:51

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w