Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông

Cùng với sự phát triển nhanhchóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trởnên cấp thiết hơn bao giờ hết.Trong lĩnh vực an ninh mạng, phát hiện và phòng

LỜI CẢM ƠN

Em xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học Công Nghệ Thông Tin và Truyền Thông - Đại học Thái Nguyên đã tận tình dạy bảo cho em những kiến thức thật hay và bổ ích trong suốt thời gian học tập tại trường cũng như đã tạo điều kiện cho em thực hiện báo cáo đồ

án tốt nghiệp này Đặc biệt, em xin được gửi lời cảm ơn sâu sắc đến thầy giáo Ths Lê Tuấn Anh

đã tận tình định hướng, chỉ bảo em trong suốt thời gian thực hiện đề tài.

Mặc dù em đã cố gắng hoàn thành đề tài nhưng chắc chắn sẽ không tránh khỏi những thiếu sót, em rất mong nhận được sự góp ý của các thầy cô giáo.

Một lần nữa, em xin chân thành cảm ơn!

Thái Nguyên, tháng 6 năm 2012

Sinh Viên

Phạm Hồng Hoàng

LỜI CAM ĐOAN

Em xin cam đoan: nội dung báo cáo của em không sao chép nội dung của bất kỳ đồ án nào khác Và đồ án là sản phẩm của chính bản thân em nghiên cứu xây dựng lên Mọi thông tin và nội dung sai lệch em xin chịu hoàn toàn trách nhiệm trước hội đồng bảo vệ.

Thái Nguyên, tháng 6 năm 2012

Sinh viên thực hiên

Phạm Hồng Hoàng

MỤC LỤC

MỤC LỤC 3

Danh sách từ viết tắt từ tiếng anh 5

Danh sách các hình ảnh: 7

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP 10

1.1 Giới thiệu sơ các phương pháp xâm nhập vào hệ thống 10

1.2 Các phương pháp phát hiện và ngăn ngừa xâm nhập 12

1.3 Sự đa dạng của IDS và IPS 13

1.4 So sánh giữa IPS và IDS 16

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN IDS 18

2.1 Định nghĩa IDS 18

2.2 Chức năng của IDS 19

2.3 Kiến trúc hệ thống IDS 20

2.4 Phân loại IDS 25

2.5 Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập 30

2.6 Phân loại các dấu hiệu 33

CHƯƠNG 3: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 37

3.1 Định nghĩa IPS 37

3.2 Chức năng của IPS 38

3.3 Kiến trúc chung của các hệ thống IPS 39

3.4 Phân loại hệ thống IPS 43

3.4.2 IPS trong luồng (In-line IPS) 44

3.5 Công cụ hỗ trợ IPS 44

3.6 Các kỹ thuật xử lý IPS 46

3.7 Chữ ký và các kỹ thuật xử lý 53

CHƯƠNG 4: PHÂN TÍCH VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ

NGĂN CHẶN XÂM NHẬP 55

1 Phân tích hệ thống phát hiện và ngăn chặn xâm nhập 55

1.1 Yêu cầu bài toán: 55

1.2 Chức năng chính của hệ thống và nhiệm vụ của người quản trị 56

1.3 Khả năng của hệ thống có thể đạt được 56

1.4 Các modun chính của hệ thống 58

2 Triển khai hệ thống phát hiện và ngăn chặn IPS trên router 63

2.1 Mục tiêu của mô phỏng 63

2.2 Mô hình mô phỏng 63

2.3 Công cụ cần thiết để thực hiện mô phỏng 63

2.5 Kết quả thu được từ quá trình mô phỏng 78

2.6 Những mặt hạn chế 79

Tài liệu tham khảo 79

Danh sách từ viết tắt từ tiếng anh

1 IDS(Intrusion Detection System ): hệ thống phát hiện xâm nhập

2 Reconnaissance attack : trinh sát

3 access control attack : điều khiển truy cập

4 Denial of service (DoS) attacks : từ chối dịch vụ

5 Dumpster diving : truy cập vật lý

6 Eavesdropping : nghe trộm

7 Snooping : giả mạo

8 Interception : can thiệp

9 Resource Overload : tài nguyên quá tải

10 Unsolicited Commercial E-mail (UCE ) :từ chối thương mại điện tử

11 Fragmentation or Impossible Packets : phân mảnh các gói tin

12 Internet Control Message Protocol : thông điệp điều khiển giao thức mạng

13 IP fragment overlay : phân mảnh lớp phủ IP

14 Signature-based IDS: phát hiện dựa trên chữ kí

15 anomaly-based IDS: phát hiện dựa trên sự bất thường

16 Adaptive Security Appliance: công cụ thích ứng bảo mật

22 Sniffer: giả mạo

23 Baseline: thông số đo đạc chuẩn của hệ thống

24 Integrity: tính toàn vẹn

25 Prevention: ngăn chặn

26 Simulation: mô phỏng

27 Intruction monitoring: giám sát xâm nhập

28 Analysis: phân tích

29 Instruction detection: kiểm tra xâm nhập

30 Notification: thông báo

31 Response: trả lời

32 Additional IDS Infrastructure cơ sở hạ tầng IDS

33 information collection: thu thập gói tin

39 network traffic: lưu lượng mạng

40 ping sweep and port scans: quét ping và dò cổng

41 honey pots: cạm bẫy

42 Padded Cell: theo dõi

43 Expert system : hệ chuyên gia

44 User intention identification: Phân biệt ý định người dung

45 State-transition analysis: phân tích trạng thái phiên

46 Colored Petri Nets: phân tích đồ họa

47 Computer immunology Analogies : Hệ suy diễn

48 Machine learning: nghiên cứu cơ chế

49 Profile: hồ sơ cá nhân

50 IPS (intrusion prevention system): hệ thống ngăn chặn xâm nhập

51 Misuse detection: phát hiện sự lạm dụng

52 Policy-Based IPS: Chính sách cơ bản

53 Protocol Analysis-Based IPS: phân tích giap thức

4 Hình 4: Quá trình của IPS

5 Hình5: Mô hình thực hiện của hệ thống

6 Hình 6 : Biểu đồ phân cấp chức năng của hệ thống

7 Hình 7: Mô hình phân tích

8 Hình 8: Mô hình mô phỏng GNS3

9 Hình 9: Chỉnh IP và default getway

10 Hình 10: IP của router chạy SDM

11 Hình 11: cho phép chạy pop up

12 Hình 12: cảnh báo

13 Hình 13: chứng thực username & password

14 Hình 14: cảnh báo secure của IE

15 Hình 15: cảnh báo

16 Hình 16: quá trình nạp SDM

17 Hình 17 : yêu cầu chứng thực username & password

18 Hình 18 : quá trình nạp cấu hình từ router tới lên sdm

19 Hình 19: hiện thỉ các tính năng có trên router

20 hình 20: Tính năng IPS trên router

21 Hình 21: thông báo khi chạy ips

22 Hình 22: hướng dẫn các bước cấu hình

23 Hình 23: mô tả cách nạp signature

24 Hình 24: chọn vị trí signature

25 Hình 25: kết thúc các quá trình cấu hình

26 Hình 26: hiễn thị các signature được nạp và cấu hình signature

27 Hình 27: Lệnh cho thấy các ngưỡng giá trị mặc định

28 Hình 28: Lệnh xem vị trí chứ file *.sdf

29 Hình 29:Lệnh xem ips được áp trên interface nào

30 Hình 30: ping kiểm tra

LỜI NÓI ĐẦU

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề đượcquan tâm không chỉ ở Việt Nam mà trên toàn thế giới Cùng với sự phát triển nhanhchóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trởnên cấp thiết hơn bao giờ hết.Trong lĩnh vực an ninh mạng, phát hiện và phòngchống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sựchú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác nhau Trong xuhướng đó, thực tập chuyên ngành này chúng em mong muốn có thể tìm hiểu, nghiêncứu về phát hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được cácgiải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ratrường Mặc dù đã cố gắng hết sức nhưng do kiến thức và khã năng nhìn nhận vấn

đề còn hạn chế nên bài làm không tránh khỏi thiếu sót, rất mong được sự quan tâm

và góp ý thêm của thầy cô và tất cả các bạn

Để có thể hoàn thành đươc đồ án này , em xin gửi lời cảm ơn sâu sắc nhất tớicác thầy, cô giáo trong bộ môn mạng và truyền thông và đặc biệt là thầy Lê TuấnAnh nhiệt tình hướng dẫn, chỉ bảo và cung cấp cho chúng em nhiều kiến thức rất bổích trong suốt quá trình làm đồ án Nhờ sự giúp đỡ tận tâm của thầy, chúng em mới

có thể hoàn thành được đồ án này

Một lần nữa xin cảm ơn thầy rất nhiều !

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ

PHÁT HIỆN XÂM NHẬP

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vôcùng quan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàncho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổchức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngày càngtinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả Các hệ thống anninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồngthông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định.Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới,đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống Trước các nguy cơxâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công ty, doanhnghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống IDS(Intrusion DetectionSystem ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn công thông qua việckiểm soát lưu lượng giao thông của hệ thống mạng

IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với một địnhnghĩa mà người dùng đặt ra cho hệ thống , IDS không thể thực hiện việc ngăn chặnngay khi phát hiện xâm nhập xảy ra để thực hiện an ninh cho hệ thống mạng thì IPS

ra đời

Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợpcác ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khảnǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó

1.1 Giới thiệu sơ các phương pháp xâm nhập vào hệ thống

Các khả năng xâm nhập vào hệ thống mạng là:

 Trinh sát(Reconnaissance attack)

 Điều khiển truy cập(access control attack)

 Từ chối dịch vụ(Denial of service (DoS) attacks)

Trinh sát(Reconnaissance):Để khởi động có hiệu quả một số loại tấn công,một kẻ tấn công thường có nhu cầu hiểu biết về mô hình mạng và các phần cứngđang dược sử dụng Kỹ thuật thu thập loại thông tin này được gọi là trinh sát Trinhsát trên một đối tượng trong môi trường, không phải là một mối đe dọa, nhưng kếtquả của việc trinh sát thường được sử dụng sau này để tấn công một hệ thống hoặcmạng Vì vậy, sự đe dọa của các cuộc tấn công một trinh sát chủ yếu là một trongnhững gián tiếp: sau khi mạng đã được quét, thông tin này sau đó được sử dụng chocác cuộc tấn công Thông thường các cuộc tấn công trinh sát đi mà không bị pháthiện vì thường là chúng không có tác hại cho hệ thống mạng.cách tốt nhất để pháthiện là xem trong tập tin đăng nhập, nhưng thường củng không thể thấy trong tập tinđăng nhập này.Việc trinh sát này được xem là một phương án khả thi có thể nói lá

“tàn hình” để thu thập thông tin một cách tốt nhất cho các kẻ tấn công tìm năng

Các phương pháp dùng cho tấn công trinh sát:

 Bằng dòng lệnh hoặc các tiện ích quản lý, nslookup, ping, telnet, finger

 Các công cụ hack như NMAP, Nessus, custom script…

Thực hiện trinh sát đòi hỏi phải biết sử dụng các dòng lệnh hoặc các tiện íchquản lý như là sử dụng tiện ích nslookup để xem một địa chỉ ip của một trangweb.Kẻ tấn công có thể dễ dàng xác định không gian địa chỉ IP được chỉ định chomột công ty cho hay một tổ chức Lệnh ping cho phép kẻ tấn công biết rằng một địachỉ IP còn sống trên mạng

Các công cụ tấn công được sử dụng để thực hiện trinh sát, những công cụ nàygiúp kẻ tấn công ít hiểu biết có thể dễ trinh sát khi chọn tự động quá trình thông quagiao diện than thiện mà bất cứ ai củng có thể sử dụng

Điều khiển truy cập (access control attack): Tấn công xảy ra khi một cá nhânhoặc một nhóm các cá nhân nỗ lực để truy cập, sửa đổi hoặc thiệt hại một trường vàtài nguyên hệ thống Tấn công truy cập là một cố gắng truy cập vào thông tin mànhững kẻ tấn công không có quyền :

Phương pháp truy cập vật lý: Dumpster diving

Tấn công truy cập trên mạng:

 Nghe trộm (Eavesdropping)

 Giả mạo (Snooping)

 Can thiệp (Interception)

Từ chối dịch vụ (Denial of service (DoS) attacks):Cuộc tấn công DoS khácvới hầu hết các cuộc tấn công khác, vì chúng không đạt được mục tiêu truy cập tìmkiếm bất kỳ thông tin nào trong hệ thống Thực hiện cuộc tấn công bằng cách này lànhắm vào tính khả dụng (Availability) của hệ thống, mục đích là ngăn chặn hoạtđộng bình thường của hệ thống,đặc biệt là đối với hệ thống phục vụ nhiều người nhưweb server,mail server…

Các phương thức tấn công DoS:

 Làm cho tài nguyên quá tải(Resource Overload)

 Sức chứa của đĩa cứng,băng thông và bộ đệm

 Làm tràn các gói ping hay syn hoặc là liên tục đánh bom UDP

 Unsolicited Commercial E-mail (UCE)

 Fragmentation or Impossible Packets

 Phát tán gói ICMP làm tắc nghẽn

 IP fragment overlay

 Same Source and Destination IP packet

1.2 Các phương pháp phát hiện và ngăn ngừa xâm nhập

Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữliệu và mạng Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏnhững lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợppháp tiếp tục Mục đích ở đây là một hệ thống hoàn hảo, không có những báo độnggiả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo

ra rủi ro quá mức bên trong môi trường Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết

để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào Điều này

có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí và có khảnăng sau:

Mạng lưới trinh sát không thể được ngăn chặn hoàn toàn IDS ở cấp độ mạng

và máy chủ lưu trữ có thể thông báo cho quản trị viên khi một trinh sát tập hợp tấncông (ví dụ: ping và quét cổng) Nếu ICMP echo hỏi và echo-trả lời được tắt trênrouter bìa thì hạn chế được tắc nghẽn Một IDS ở mức độ mạng và máy chủ quản lý

sẽ thông báo cho người quản trị viên biết rằng có cuộc tấn công trinh sát đang đượctiến hành Điều này giúp cho nhà quản tri viên có thể chuẩn bị tốt hơn cho lần tấncông sắp tới hoặc thông báo cho ISP quản lý của người tung ra cuộc tấn công trinhsát

Các mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua baphương pháp sau đây:

 Tính năng Antispoof: cấu hình đúng của antispoof trên router và tường lửacủa hệ thống

 Tính năng Anti-DoS :cấu hình đúng của Anti-DoS chống tính năng DoS trênrouter và tường lửa

 Giới hạn việc đánh giá lưu lượng mạng

1.3 Sự đa dạng của IDS và IPS

IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung củaIDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viênbiết về an ninh của sự kiện cảm biến được cho là đáng báo động Một số IDS sosánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi tấncông đã biết trước hay chữ ký Khi mà lưu lượng mạng được xem xét cho là phù hợpvới một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signature-based IDS Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét

các tình huống mà không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS nàygọi là anomaly-based IDS.

Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảomật Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống chocác dấu hiệu của hoạt động xâm nhập Khi hoạt động xâm nhập được phát hiện, IDScung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập

từ các máy chủ nghi ngờ Cách tiếp cận phản ứng này không ngăn chặn lưu lượngcuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS có thểchủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu

1.3.1 Hệ thống phát hiện xâm nhập mềm(Snort)

Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêucầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghilại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ điềuhành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một

hệ điều hành mà họ sử dụng một cách thành thạo nhất Snort có thể chạy trên các hêđiều hành như window, linux

1.3.2 Hệ thống phát hiện xâm nhập cứng(cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biếncho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống.Cisco cung cấp các nền tảng cảm biến sau đây:

Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch

vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiêntiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năng bảo mật cao,chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống tiên tiến-xdịch vụ, được xác định như chống virus và spyware Cisco ASA AIP SSM sản phẩmbao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASAAIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun

Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn bằngcách giúp phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phầnmềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng Sử dụngCisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụcông tác phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiệntính chính xác Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không cónguy cơ giảm lưu lượng mạng hợp pháp Cisco IPS Sensor Software bao gồm khảnăng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục hồi, và vv.

Phiên bản Cisco 6.500 Intrusion Detection System Services Module 2): 6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS Nó hoạtđộng kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ sở

(IDSM-hạ tầng Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được các giảipháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ caocủa bảo vệ thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạtđộng tốn kém cho việc phát hiện xâm nhập

Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt cácgiải pháp IPS; Cisco IPS AIM cho Cisco 1841 dịch vụ tích hợp Router và Cisco

2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừa kinhdoanh và các môi trường văn phòng chi nhánh Cisco IPS Sensor Phần mềm chạytrên Cisco IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đápứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh Cisco IPS AIM

có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạngWAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS làchạy trên dành riêng cho CPU của nó, vì thế không chiếm CPU của router Đồngthời, sự tích hợp của IPS lên một dịch vụ tích hợp Router Cisco giữ chi phí thấp vàgiải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ

1.4 So sánh giữa IPS và IDS

Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS Nếunhư hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho ngườiquản trị biết những nguy cơ có thể xảy ra tấn công Dĩ nhiên có thể thấy rằng, nó chỉ

là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiệnngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quảntrị Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần

và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công Và dĩ nhiên côngviệc này thì lại hết sức khó khăn Với IPS, người quản trị không nhũng có thể xácđịnh được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu đượckhả năng xác định sai các lưu lượng Với IPS, các cuộc tấn công sẽ bị loại bỏ ngaykhi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị địnhsẵn IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn Vì mỗi cuộc tấncông lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau đểphân biệt Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng khôngphát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năngcác cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống Thêm vào đó, do các

cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làmtốn thời gian và công sức của nhà quản trị Với IPS thì được xây dựng trên rất nhiều

cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thứctấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độchính xác của IPS là cao hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại cáccuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích,lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống

để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báođến tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việclàm này đôi khi lại gây tác động phụ đến hệ thống Ví dụ như nếu kẻ tấn công(Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một

cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn đượccuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, củaISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoSthành công mặc dù cuộc tấn công từ chối dịch vụ thất bại Nhưng với IPS thì khác

nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay cáclưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN IDS

2.1 Định nghĩa IDS

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thốngphần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, cáchoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị IDS cũng có thể phânbiệt giữa những tấn công vào hệ thống từ bên trong (từ những người trong công ty)hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặcbiệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào cácdấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạnghiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệukhác thường

Phân biệt những hệ thống không phải là IDS

Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải làIDS:

• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đềtấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thốngkiêm tra lưu lượng mạng

• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,dịch vụ mạng (các bộ quét bảo mật)

• Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy

hiểm như virus, Trojan horse, worm Mặc dù những tính năng mặc định cóthể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ pháthiện lỗ hổng bảo mật hiệu quả

• Tường lửa các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,Kerberos, Radius

2.2 Chức năng của IDS

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họkhỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thôngtin Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏicho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâmnhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổsung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phầnthêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhàquản trị hệ thống Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làmđược những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS:

Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữliệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợppháp hoặc phá hoại dữ liệu

Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài Bảo vệ tính khảdụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của ngườidùng hợp pháp

Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyêncủa hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sựtruy nhập thông tin bất hợp pháp

Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôiphục, sửa chữa…

Nói tóm lại có thể tóm tắt IDS như sau:

Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ

Giám sát: lưu lượng mạng và các hoạt động khả nghi

Chính sách phát hiện

Hệ thống thông tin

Hệ thống đáp trả

Hệ thống phân tích

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà cónhững hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng:

Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài.Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline.

Phát hiệnHình 1: hệ thống phát hiệnNgoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:

• Ngăn chặn sự gia tăng của những tấn công

• Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

• Đánh giá chất lượng của việc thiết kế hệ thống

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiểnnhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạngcũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng

2.3 Kiến trúc hệ thống IDS

Ngày nay phân biệt các hệ thống IDS khác nhau thông qua việc phân tích vàkiểm tra khác nhau của các hệ thống Mỗi hệ thống có những ưu điểm cũng nhưkhuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quátchung như sau:

2.3.1 Các nhiệm vụ thực hiện

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệthống máy tính bằng cách phát hiện các dấu hiệu tấn công Việc phát hiện các tấncông phụ thuộc vào số lượng và kiểu hành động thích hợp ( Hình 3.1.a) Để ngănchặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việcnghiên cứu các mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vàotài nguyên được bảo vệ là một nhiệm vụ quan trọng khác Toàn bộ hệ thống cần phảiđược kiểm tra một cách liên tục Dữ liệu được tạo ra từ các hệ thống phát hiện xâmnhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để pháthiện các dấu hiệu tấn công (sự xâm phạm)

Giám sát xâm nhập(instruction

monitoring) Phân tích(Analysis) Kiểm tra xâm nhập(Intruction detection)

Thông báo(notification)

Additional IDS Infrastructure

Trả Lời(response)

Hình 2: Quá trình của IDS

Respons Hình 3: Mô tả chính sách bảo mật

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đếncác quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi cácquản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung(các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kếtnối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) ,theo các chính sách bảo mật của các

tổ chức (Hình 3.1b) Một IDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trongnhững nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lýcác tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn côngtrong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy

ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc cácchữ ký thông qua mail

2.3.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thuthập gói tin (information collection), thành phần phân tích gói tin(Dectection), thànhphần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc.Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ởthành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích

bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thếnào

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sựkiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế

độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấpmột số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của

hệ thống hoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thểđược lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví

dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có

sự lưu dữ liệu nào được thực hiện Điều này cũng liên quan một chút nào đó đến cácgói mạng

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể pháthiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sáchphát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profilehành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ

sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáptrả Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâmphạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tườnglửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn,tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấutrúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng đượcbảo vệ

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùngđược bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu vàthậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đếnmáy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sựphát hiện các tấn công phân tán Các vai trò khác của tác nhân liên quan đến khảnăng lưu động và tính roaming của nó trong các vị trí vật lý Thêm vào đó, các tácnhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây

là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn côngmới

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 (các tác nhân tự trị choviệc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào

đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân có thể chobiết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra.Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Cáctác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất

cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộthu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất.Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó cónghĩa là chúng có thể tương quan với thông tin phân tán Thêm vào đó một số bộ lọc

có thể được đưa ra để chọn lọc và thu thập dữ liệu Ngoài ra còn có 1 số điểm chú ýsau:

Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanhnghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.

Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việckiểm soát , kiểm tra thông tin đầu vào đầu ra:

Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra,phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:

Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi

về báo cáo về vị trí trung tâm

Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trựctiếp điều khiển các thao tác giám sát, kiểm tra báo cáo

2.4 Phân loại IDS

Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiệncác vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sảnphẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai

Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặctập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấncông

Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt độngbình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi haiyếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép

và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố

Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ởtrên.

2.4.1 Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trêntoàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượngtrùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộcảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận đượcmột mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quảntrị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xahơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trongmạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công haykhông

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giámsát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiếtlập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạngđược sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạnghoạt động ở mức cao

2.4.1.1 Lợi thế của Network-Based IDSs:

 Quản lý được cả một network segment (gồm nhiều host)

 "Trong suốt" với người sử dụng lẫn kẻ tấn công

 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

 Tránh DOS ảnh hưởng tới một host nào đó

 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

 Độc lập với OS

2.4.1.2 Hạn chế của Network-Based IDSs:

 Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion

mà NIDS báo là có intrusion

 Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

 Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo độngđược phát ra, hệ thống có thể đã bị tổn hại

 Không cho biết việc attack có thành công hay không

Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phảinhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tíchchúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp làbảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò.Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyềnthông và bảo mật tốt nhất

Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của họkhi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗigiao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơnkích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quátrình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thànhvấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phânmảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiềuhacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnhchồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộcảm biến không thể sắp xếp lại những gói thông tin một cách chính xác

2.4.2 Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trênmáy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưulượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, nhữngcuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ

thống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấncông, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công

có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhậnnhững việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host).Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giànhquyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâmnhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưulượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiệncác cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, haythực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, cókiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiệnkhi đã có quyền truy cập vật lý

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểutấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phânmảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sát hoạt độngcủa một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùngDMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giámsát các thay đổi trên hệ thống, bao gồm (not all):

• Có khả năng xác đinh user liên quan tới một sự kiện (event).

• HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

• Có thể phân tích các dữ liệu mã hoá

• Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

2.4.2.2 Hạn chế của HIDS:

• Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công

• Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

• HIDS phải được thiết lập trên từng host cần giám sát

• HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,Netcat…)

• HIDS cần tài nguyên trên host để hoạt động

• HIDS có thể không hiệu quả khi bị DOS

• Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy đượctrên UNIX và những hệ điều hành khác

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặttrên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khinâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việctốn nhiều thời gian và là những việc làm phức tạp Bởi vì hệ thống dựa trên máy chủchỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiệnnhững tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủhay là một nhóm máy chủ Hệ thống IDS dựa trên máy chủ sẽ không phát hiện đượcnhững chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máychủ Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDShay tắt kết nối của máy chủ đó Một khi điều này xảy ra thì các máy chủ sẽ khôngthể tạo ra được cảnh báo nào cả

Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấpđầy đủ khả năng cảnh báo của mạng Trong một môi trường hỗn tạp, điều này có thể

là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau

Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạyđược trên tất cả các hệ điều hành

2.5 Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các

cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với mộtIDS.Dưới đây là một số hệ thống được mô tả vắn tắt

2.5.1 Hệ thống chuyên gia (Expert system)

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từtrước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều đượckết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví

dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T)

2.5.2 Phát hiện xâm nhập dựa trên luật (Rule-Based Intrusion Detection)

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên nhữnghiểu biết về tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạngkiểm định thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bảnghi (record) Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiệnkiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trongcuộc kiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữliệu kiểm định Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chunghợp với các cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụngtrong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Tôierald eXpert-BSM(Solaris))

2.5.3 Phân biệt ý định người dùng (User intention identification)

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng mộttập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đếnchức năng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động đượcđiều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tậphợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sự khônghợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.

2.5.4 Phân tích trạng thái phiên (State-transition analysis)

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thựchiện bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày trong

sơ đồ trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnhbáo hay đáp trả theo các hành động đã được định trước

2.5.5 Phương pháp Colored Petri Nets

Phương pháp này thường được sử dụng để tổng quát hóa các tấn công từnhững hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa Hệ thống IDIOT củađại học Purdue sử dụng Colored Petri Nets Với kỹ thuật này, các quản trị viên sẽ dễdàng hơn trong việc bổ sung thêm dấu hiệu mới Mặc dù vậy, việc tổng quát hóamột dấu hiệu phức tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian

Kỹ thuật này không được sử dụng trong các hệ thống thương mại

2.5.6 Phương pháp phân tích thống kê (Statistical analysis approach)

Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một sốbiến thời gian Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tintruy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ,CPU… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng Hệ thốnglưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡngđược định nghĩa từ trước Ngay cả phương pháp đơn giản này cũng không thế hợpđược với mô hình hành vi người dùng điển hình Các phương pháp dựa vào việc làmtương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng

ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triểnbằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn Các thông tin nàythường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng Cácphương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trênthông tin hành vi người dùng thông thường.

đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kếtquả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán.Với một số ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự đoán.Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãitrong cộng đồng phát hiện xâm nhập

2.5.8 Computer immunology Analogies

Với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật đượcxây dựng từ mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn làngười dùng riêng lẻ Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống đượctạo thành bởi các quá trình Các tấn công khai thác lỗ hổng trong mã ứng dụng rất cókhả năng gây ra đường dẫn thực thi không bình thường Đầu tiên, một tập dữ liệukiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ, sau

đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc gọi

hệ thống Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc gọi

hệ thống, để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa nếukhông, một báo cảnh sẽ được tạo ra Kỹ thuật này có tỉ lệ báo cảnh sai rất thấp Trởngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụ mạng.

2.5.9 Nghiên cứu cơ chế (Machine learning)

Đây là một kỹ thuật thông minh nhân tạo, nó lưu luồng lệnh đầu ra ngườidùng vào các biểu mẫu vector và sử dụng như một tham chiếu của profile hành vingười dùng thông thường Các profile sau đó được nhóm vào trong một thư việnlệnh người dùng có các thành phần chung nào đó Việc tối thiểu hóa dữ liệu thườngphải dùng đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa biết nhưng cókhả năng hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn.Phương pháp tối thiểu dữ liệu này vượt trội hơn đối với việc xử lý bản ghi hệ thốnglớn (dữ liệu kiểm định) Mặc dù vậy, chúng kém hữu dụng đối với việc phân tíchluồng lưu lượng mạng Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được

sử dụng trong phát hiện xâm nhập được kết hợp với các cây phán quyết Các môhình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ

sở dữ liệu lớn Kỹ thuật khác phải dùng đến các đoạn, cho phép trích mẫu của cáctấn công chưa biết Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu đã đượctrích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn côngchưa biết đã cất giữ Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp vớiviệc tìm kiếm các nguyên tắc kết hợp Nó cho phép ai đó có thể trích kiến thức chưahiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thông thường

Sự phát hiện bất thường thường gây ra các báo cảnh sai Với việc tối thiểu hóa dữliệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểmđịnh tối thiểu, do đó giảm đáng kể xác suất báo sai

2.6 Phân loại các dấu hiệu

2.6.1 Phát hiện dấu hiệu không bình thường

Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt độngthông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công

nguy hiểm kịp thời Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệthống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợpthường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng(Hình 2) Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện dịthường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô tảhành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản.

2.6.2 Các mẫu hành vi thông thường- phát hiện bất thường

Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng vàhành vi hệ thống Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc

sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện

sự không hợp lệ giữa các profile và nhận ra tấn công có thể

Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profilengười dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vingười dùng Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thốngđược phép “học” trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống

ở điểm này, nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường.Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâmnhập có thể Ngoài ra, còn có một sự cần thiết nữa đó là nâng cấp profile và “đàotạo” hệ thống, một nhiệm vụ khó khăn và tốn thời gian

Cho một tập các profile hành vi thông thường, mọi thứ không hợp với profileđược lưu sẽ được coi như là một hoạt động nghi ngờ Do đó, các hệ thống này đượcđặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc

dù tấn công đó là mới có trong hệ thống), tuy nhiên chúng lại có hiện tượng là tạocác cảnh báo sai về một số vấn đề

Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiệncác tấn công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận rakhông cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS

đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khảnăng phát hiện sự lạm dụng quyền của người dùng

Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều.Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile vàgiai đoạn đào tạo Do đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giaiđoạn này sẽ không hợp lý Các hành vi người dùng có thể thay đổi theo thời gian, do

đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thôngthường

Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không

có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực)

2.7.3 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu

Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấuhiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống pháthiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao) Các dấu hiệu hành vi xấu được chia thành hai loại:

Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối

đe dọa về bảo mật Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc thờigian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.Cácchuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếmcác hoạt động nghi ngờ

Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản Do

đó, độ chính xác của chúng rất cao (số báo cảnh sai thấp) Tuy nhiên chúng khôngthực hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới

Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:

Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác

lỗ hổng trong các gói IP, TCP, UDP hoặc ICMP Với kiểm tra đơn giản về tập các

cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ, gói nào không.Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại Tương tự, một số vấn đề

khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ Thường thì kẻtấn công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS.

Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai tháccác lỗ hổng chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đãđược thành lập Để phát hiện có hiệu quả các tấn công như vậy, IDS phải được bổsung nhiều giao thức lớp ứng dụng

Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnhbáo sai thấp, thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công, dễdàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu

Một số nhược điểm:

Khó khăn trong việc nâng cấp các kiểu tấn công mới.Chúng không thể kếthừa để phát hiện các tấn công mới và chưa biết Phải nâng cấp một cơ sở dữ liệudấu hiệu tấn công tương quan với nó

Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vácác lỗ hổng bảo mật, đó là một quá trình tốn kém thời gian

Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDSdựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắcnghiêm ngặt của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sửdụng…)

Chúng dường như khó quản lý các tấn công bên trong Điển hình, sự lạmdụng quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguyhiểm (vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công)

Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấuhiệu cho hai lý do Trước tiên, nó dễ dàng hơn trong việc cung cấp dấu hiệu liênquan đến tấn công đã biết và để gán tên đối với một tấn công Thứ hai, cơ sở dữ liệudấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấncông mới phát hiện)

2.7.4 Tương quan các mẫu tham số

Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hơn hai phươngpháp trước Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các

hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảomật) Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi.Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của cácquản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường Nó cóthể được xem như trường hợp đặc biệt của phương pháp Profile thông thường Sựkhác nhau ở đây nằm ở chỗ trong thực tế, một profile là một phần hiểu biết của conngười

Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu tấncông không biết Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõràng đối với chính hoạt động đó Nó kế thừa những nhược điểm trong thực tế là conngười chỉ hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa là cáctấn công nào đó có thể vượt qua mà không bị phát hiện

CHƯƠNG 3: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS

3.1 Định nghĩa IPS

Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kếthợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS(intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công

và tự động ngăn chặn các cuộc tấn công đó

IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặncác cuộc hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thựchiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở vànhđai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng

3.2 Chức năng của IPS

Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp lạicác đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giaothức và thích ứng chữ ký Một IPS hoạt động giống như một người bảo vệ gác cổngcho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các uỷ nhiệm vàtập quy tắc nội quy nào đó

Các giải pháp IPS“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên,

dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại

bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt độnghợp pháp tiếp tục Mục đích ở đây là một hệ thống hoàn hảo – không có những báođộng giả nào làm giảm năng suất người dùng cuối và không có những từ chối sainào tạo ra rủi ro quá mức bên trong môi trường Có lẽ một vai trò cốt yếu hơn sẽ làcần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào.Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí đểphục vụ với:

Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse”nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xácđịnh và các danh sách điều khiển truy nhập (access control lists).

Các gói tin tấn công giống như những gói tin từ dìu dắt và WinNuke quaviệc sử dụng các bộ lọc gói tốc độ cao

Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giaothức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) –thông qua sự ráp lại thông minh

Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN vàICMP bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.\\Sự lạm dụng cácứng dụng và những thao tác giao thức các cuộc tấn công đã biết và chưa biết chốnglại HTTP, FTP, DNS, SMTP v.v qua việc sử dụng những quy tắc giao thức ứngdụng và chữ ký

Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng cáchữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng

Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờxảy ra đều được chứng minh bằng tài liệu Ngoài ra, những khác thường trong cácgiao thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưulượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định

3.3 Kiến trúc chung của các hệ thống IPS

Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộthông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo

Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiệntấn công, modul phản ứng