xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort

Giới thiệuVới sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng07/2010 đã có hơn 440 triệu host trên Internet hình 1.1 [W1]; nhiều công cụhướng dẫn tấn công, xâm nhập hệ th

MỤC LỤC

MỤC LỤC i

DANH MỤC CÁC TỪ VIẾT TẮT ii

DANH MỤC CÁC HÌNH iii

DANH MỤC CÁC BẢNG vi

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN 4

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 8

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 16

CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP 34

CHƯƠNG 5: GIỚI THIỆU SNORT RULE 41

CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 46

CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 66

TÀI LIỆU THAM KHẢO 68

DANH MỤC CÁC TỪ VIẾT TẮT

Viết

VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam

IDS Intrusion Detection System Phát hiện xâm nhập hệ thống

NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống

mạng

IPS Intrusion prevention system Phòng chống xâm nhập hệ thống

HIDS Host Intrusion Detection System

SYN Synchronize

FIN Finish

TCP Transmission Control Protocol

UDP User Datagram Protocol

ICMP Internet Control Message Protocol

IP Internet Protocol

CLI Cisco Command Line Interface

PCRE Perl Compatible Regular

Expressions

ISS hãng Internet Security Systems

RAID Recent Advances in Intrusion

Detection

PERL Perl Programming Language

DANH MỤC CÁC HÌNH

Hình 0 Nhiệm vụ của một IDS 1

Hình 1 Biểu đồ thống kê hệ thống máy tính bị tấn công 2

Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet 4

Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011 5

Hình 2.1 Intrustion Detection system activities 12

Hình 2.2 Intrustion Detection system infrastructure 13

Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di chuyển giữa các thành phần của hệ thống 14

Hình 2.4 Các thành phần chính của 1 hệ IDS 15

Hình 3.1 Mô hình IPS 16

Hình 3.2 Promicious mode 20

Hình 3.3 Inline mode 21

Hình 3.4 Signature-base 22

Hình 3.5 Anomaly-base 25

Hình 3.6 Policy-base 27

Hình 4.1 Các thành phần của snort 35

Hình 5.1 Cấu trúc một rule trong snort 41

Hình 6.1 Mô hình triển khai snort IDS 47

Hình 6.2 Quản lý snort bằng giao diện đồ họa 50

Hình 6.3 Quản lý rules trên giao diện đồ họa 50

Hình 6.4 Phát hiện xâm nhập trên Base giao diện web 52

Hình 6.5 Phát hiện có người Ping Trong mạng 53

Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa 53

Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa 54

Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa 54

Hình 6.9 Chống SQL injection cho web server 55

Hình 6.10 Phát hiện cảnh báo SQL injection 55

Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection 56

Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection 56

Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection 57

Hình 6.14 Chống Ping of Death ( DoS, DDoS ) 57

Hình 6.15 Tín hiệu cảnh báo tấn công ddos 58

Hình 6.16 Chống scanning port trong mạng lan 58

Hình 6.17 Chống Scan và Block IP 59

Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP 59

Hình 6.19 Đăng ký account Snort 61

Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort 61

Hình 6.21 Tạo mật mã truy cập oinkcode 62

Hình 6.22 Cập nhật rules tự động trong snort 64

Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công 65

DANH MỤC CÁC BẢNG

Bảng 5.1: Quy định các loại giao thức 43

Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP 44

Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP 44

Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP 45

MỞ ĐẦU

Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi chocon người Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từkhóa Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều tháchthức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập

Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết Phươngpháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗingày một nhiều

Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70%website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hackerkiểm soát Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin củaviệt nam chưa được quan tâm và đầu tư đúng mức

Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâmnhập – IDS ngày càng trở nên phổ biến

Nhiệm vụ của những IDS này là :

Hình 0 Nhiệm vụ của một IDS

Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát hiện bất thường và tiếp cận dựa trên dấu hiệu

Interne

t

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùngquan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàn chothông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổchức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngàycàng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệthống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soátluồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ

cố định Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấncông mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống

Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gầnđây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%các cuộc tấn công được thực hiện là ở lớp ứng dụng web) Trong đó hai kĩ thuật tấncông được các hacker sử dụng phổ biến là cross-site scripting và sql injection :

Hình1 Biểu đồ thống kê hệ thống máy tính bị tấn côngKiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hànhbằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cáchlừa người dùng nhấn vào những liên kết này Khi đó đoạn mã độc hại này sẽ đượcthực thi trên máy tính của nạn nhân Kỹ thuật thực hiện các cuộc tấn công kiểu nàykhông có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng vàserver (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc

không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những URL

bị chèn thêm các mã độc hại Còn SQL Injection liên quan đến một kĩ thuật chèncác từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao táctrên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điềukhiển quá trình thực thi câu lệnh SQL ở server

Vì vậy, cần có một hệ thống phòng thủ thật vững chắc có thể đứng vững trước cáccuộc tấn công mạng ngày càng gia tăng về quy mô lẫn kỹ thuật Một hệ thống mạngngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo vàphòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công cónguy cơ làm tổn hại hệ thống mạng

Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lốivào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả cácthông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trướckhi truyền, ký trước khi truyền,

Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập tráiphép trên mạng (NIDS-Network Intrusion Detection System)

Đề tài : “xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS)

mô phỏng trên phần mềm snort”.

Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn cũngcòn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thờigian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này Rất mong sự góp

ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu

CHƯƠNG 1: TỔNG QUAN 1.1 Giới thiệu

Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng07/2010 đã có hơn 440 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụhướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâumáy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh(hình 1.2) ; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơnbao giờ hết Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứunhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm

tổ chức đều đặn, và lần thứ 13 diễn ra tại Ottawa, Canada vào Semtemper 17/2010 [W2] (lần 14 tại Menlo Park, California, September 20-21/2011)

15-Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet.

Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011.

Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúpcác doanh nghiệp được bảo mật hơn Các nghiên cứu này cho thấy bảo mật, phòngchống tấn công, xâm nhập ở Việt Nam chưa cao Vì vậy, bảo mật hệ thống máy tính

ở Việt Nam cần được quan tâm nhiều hơn Những hệ thống bảo mật nên thiết kếtriển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấncông, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵnsàng, và bảo mật cho hệ thống mạng

1.2 Mục tiêu nghiên cứu của luận văn

Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòngchống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT.Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ lọc gói

ở tầng bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xâydựng một hệ thống phát xâm nhập mạng (IDS)

1.3 Giới thiệu các chương mục của luận văn

Chương 1: Tổng quan

Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu vànhững đóng góp của luận văn

Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng

Chương 2 trình bày các mô hình và phương pháp phát hiện tấn công, xâmnhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật pháthiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể Thiết kế các vị trí đặt

hệ thống phát hiện tấn công, xâm nhập Đồng thời chương này cũng trình bày các

kỹ thuật tấn công, xâm nhập

Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS)

Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũngnhư những thành phần của một IPS Chương này hết sức quan trọng, chính là cơ sở

để phòng chống xâm nhập mạng

Chương 4: Triển khai hệ thống phát hiện xâm nhập

Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở Snort, các thành phần của snort và các chế độ hoạt động của nó

Chương 5: Giới thiệu Snort rule

Chương 5 này giới thiệu cho chúng ta biết những thành phần của một ruletrong snort, từ đó dựa vào những thành phần này mà chúng ta có thể điều chỉnhhoặc viết lại những rule cho phù hợp với hệ thống đang chạy, thêm một kênh hữuích cho người quản trị mạng nắm bắt được những bất thường, tấn công, virus dạnghướng thời gian, diễn ra nhanh trên mạng của mình

Chương 6: Thực nghiệm và đánh giá.

Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâmnhập trong mạng LAN

Quản lý phần mềm Snort bằng giao diện đồ họa, đồng thời có thể xem tínhiệu cảnh báo thông qua giao diện web như: base, mail, tin nhắn sms qua điện thoại

di động Có thể xuất ra report ngay trên web chúng ta có thể xem theo giờ, ngày,tháng và in ra

Trong chương này snort còn cho chúng ta cập nhật các rules tự động trong hệthống khi VRT sourcefire cập nhật những lỗ hỏng trên internet thì hệ thống chúng tacũng được cập nhật những rules mới này cho toàn hệ thống

Chương 7: Kết luận và hướng phát triển

1.4 Những đóng góp của luận văn

- Đưa ra phương pháp xây dựng hệ thống phát hiện xâm nhập và phòng

chống xâm nhập mạng

- Triển khai trên hệ thống mạng Lan của Trường Cao Đẳng Nghề Ispace

- Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các

kỹ thuật phòng chống xâm nhập trái phép trên mạng

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN

CÔNG TRÊN MẠNG

Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công,xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuậtphát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host vàgiám sát ở mức độ network Đồng thời chương này cũng trình bày các kỹ thuật xử

lý dữ liệu

2.1 Giới thiệu :

Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức

từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của khônglực Hoa Kỳ [1] Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến,một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiêncứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển theo sựbùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi vàthực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisconhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDStên là Wheel [1]

Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm

có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệthống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,bảo mật Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngàycàng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơntrong nền tảng bảo mật của các tổ chức [2]

2.2 Một số khái niệm.

2.2.1 IDS.

Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệthống mạng để tìm ra các dấu hiệu vi phạm các quy định bảo mật máy tính, chínhsách sử dụng và các tiêu chuẩn an toàn thông tin Các dấu hiệu này xuất phát từnhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép,người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1]

2.2.2 Phát hiện xâm nhập.

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệthống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâmnhập bất hợp pháp” Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đótrên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là mộtngười dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họchưa được cấp phát [1]

2.2.3 Network IDS

Network IDS (NIDS) là các hệ thống phát hiện tấn công, nó có thể bắt giữcác gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánhchúng với cơ sở dữ liệu các tín hiệu [1],[2]

2.2.4 Host IDS

Host IDS (HIDS) được cài đặt như là một tác nhân trên máy chủ Những hệthống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụnghoặc của hệ thống để phát hiện những hành động xâm nhập[1], [2]

2.2.5 Signature

Là dấu hiệu tìm thấy trong các gói tin, được sử dụng để phát hiện ra mộtcuộc tấn công Ví dụ ta có thể tìm thấy các dấu hiệu trong IP hearder, hearder củatầng giao vận (TCP, UDP hearder) hoặc hearder tầng ứng dụng Các nhà cung cấp

IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị pháthiện ra [1].

2.2.6 Alert.

Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp.Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiềucách khác Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyêngia bảo mật có thể xem lại Thông tin mà IDS thu được sẽ lưu lại trong file để ngườiquản trị có thể theo dõi những gì đang xảy ra trong hệ thống mạng Chúng có thểđược lưu lại dưới dạng text hoặc dạng nhị phân [1]

2.2.7 False Alarm

Là những thông báo đúng về một dấu hiệu xâm nhập nhưng hành động sai[1]

2.2.8 Sensor

Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng

để bắt tín hiệu âm thanh, màu sắc, áp xuất thì sensor ở đây sẽ bắt các tín hiệu códấu hiệu của xâm nhập bất hợp pháp [1]

2.3 Chức năng của IDS

 Nhận diện các nguy cơ có thể xảy ra

 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ

 Nhận diện các hoạt động thăm dò hệ thống

 Nhận diện các chính sách yếu khuyết của chinh sách bảo mật

 Ngăn chặn vi phạm chính sách bảo mật

 Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát

 Xuất báo cáo [1]

2.4 Các phương pháp nhận biết tấn công

Các hệ thống IDS thường dùng nhiều phương pháp nhận biết khác nhau,riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện [1] Cóthể chia thành các phương pháp nhận biết chính sau:

2.4.1 Nhận biết dựa vào dấu hiệu (Signature-base).

Sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với cácdấu hiệu của các mối nguy hại đã biết Phương pháp này có hiệu quả với các mốinguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với cácmối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn tránh Signature-basekhông thể theo vết và nhận diện trạng thái của các truyền thông phức tạp [1]

2.4.2 Nhận diện bất thường (Anomaly-base)

So sánh định nghĩa của những hoạt động bình thường và đối tượng quan sátnhằm xác định các độ lệch Một hệ IDS sử dụng phương pháp Anormaly-basedetection có các profiles đặc trưng cho các hành vi được coi là bình thường, đượcphát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong mộtkhoảng thời gian Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụngphương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với cácngưỡng định bởi profile tương ứng để phát hiện ra những bất thường [1], [2]

Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic Static

profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nênkhông chính xác, và cần phải được tái tạo định kỳ Dynamic profile được tự độngđiều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều nàycũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu( evasion techniques) Ưu điểm chính của phương pháp này là nó rất có hiệu quảtrong việc phát hiện ra các mối nguy hại chưa được biết đến

2.4.3 Phân tích trạng thái giao thức (Stateful protocol analysis)

Phân tích trạng thái protocol là quá trình so sánh các profile định trước củahoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đóxác định độ lệch Khác với phương pháp Abnomaly-base detection, phân tích trạngthái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đóquy định 1 protocol nên làm và không nên làm gì "Stateful" trong phân tích trạngthái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vậnchuyển, và các giao thức ứng dụng có trạng thái [1],[2]

Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạptrong việc phân tích và theo dõi nhiều phiên đồng thời Một vấn đề nghiêm trọng làphương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn côngkhi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức

của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập đượcliên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chínhcủa mỗi hệ thống IDS) để phát hiện các cuộc tấn công [1], [2].

Khi phát hiện có xâm nhập hệ thống IDS phát các cảnh báo đến người quảntrị về sự kiện này Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặcbởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiênlàm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụngcác cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức

Hình 2.2 Intrustion Detection system infrastructure

2.6 Cấu trúc IDS

2.6.1 Các thành phần cơ bản

(a) Sensor / Agent

Giám sát và phân tích các hoạt động “Sensor” thường được dùng cho dạngNetwork-base IDS/IPS trong khi “Agent” thường được dùng cho dạngHost-baseIDS/IPS

(b) Management Server

Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản

lý chúng Một số Management Server có thể thực hiện việc phân tích các thông tin

sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này

dù các Sensor / Agent đơn lẻ không thể nhận diện

2.6.2 Cấu trúc IDS

Sensor là yếu tố cốt lõi trong một hệ thống IDS, có trách nhiệm phát hiện cácxâm nhập nhờ những cơ cấu ra quyết định đối với sự xâm nhập Sensor nhận dữ liệuthô từ ba nguồn thông tin chính : Cơ sở dữ liệu của IDS, syslog và audit trail Cácthông tin này hỗ trợ cho quá trình ra quyết định sau này

Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông

tin di chuyển giữa các thành phần của hệ thống

Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu một event generator Dựa vào các chính sách tạo sự kiện, sensor xác định chế độ lọc

-thông tin -thông báo sự kiện Các event generator (hệ điều hành, mạng, ứng dụng)tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sựkiện của hệ thống, hoặc các gói tin.

Hình 2.4 Các thành phần chính của 1 hệ IDS

Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phântán Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS cùng với cácthành phần an ninh khác như firewall Triển khai phân tán (distributed IDS baogồm nhiều hệ IDS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng caokhả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp)[3][4]

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS)

Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũngnhư những thành phần của một IPS Chương này hết sức quan trọng, chính là cơ sở

để phòng chống xâm nhập mạng

3.1 Khái niệm.

Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây

đã xuất hiện trong từ điển chuyên ngành an ninh bảo mật Chắc chắn nó có một ýnghĩa lớn lao hơn là một lời tiếp thị lôi cuốn Tuy vậy, đây không phải là một mô tảcông nghệ bảo mật mới mang tính cách mạng mặc dù một số nhà tiếp thị chuyênnghiệp cho rằng IPS là một bước đại nhảy vọt “Ngăn ngừa Xâm nhập” hàm chứanhững khía cạnh của nhiều công nghệ bảo mật hiện hữu bao gồm chống virus, pháthiện xâm nhập, tường lửa và lọc truy nhập Internet, “Ngăn ngừa xâm nhập” chính

là thế giới bảo mật công nghệ thông tin

Hình 3.1 Mô hình IPS

Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết hợpcác ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khảnǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó

3.2 Nguyên lý hoạt động

IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại cáccuộc tấn công đó Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năngbảo vệ tất cả các thiết bị trong mạng

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng

3.2.1 Kiến trúc hệ thống IPS ngoài luồng.

Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộthông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềmdẻo

Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modulphát hiện tấn công, modul phản ứng

a) Module phân tích luồng dữ liệu:

Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích Thôngthường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đóhuỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả Bộ phân tíchđọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch

vụ gì Các thông tin này được chuyển đến modul phát hiện tấn công

b) Modul phát hiện tấn công:

Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộctấn công Có hai phương pháp để phát hiện các cuộc tấn công là dò sự lạm dụng và

dò sự không bình thường

Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của

hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Các mẫutấn công biết trước này gọi là các dấu hiệu tấn công Do vậy phương pháp này còn

được gọi là phương pháp dò dấu hiệu Kiểu phát hiện tấn công này có ưu điểm làphát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làmgiảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổngbảo mật trong hệ thống của mình Tuy nhiên, phương pháp này có nhược điểm làkhông phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấncông mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.

Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhậndạng ra các hành động không bình thường của mạng Ban đầu, chúng lưu trữ các

mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ cónhững hành động khác so với bình thường và phương pháp dò này có thể nhậndạng Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấncông như dưới đây:

Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt độngbình thường trên mạng Các mức ngưỡng về các hoạt động bình thường được đặtra.Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượngcác tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quámức thì hệ thống có dấu hiệu bị tấn công

Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước Khi bắt đầuthiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ vềcách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệthống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bấtthường của mạng bằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thểchạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra cótín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc

Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vàohoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin khônghợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công Kỹ

thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng đểthu thập thông tin của các tin tặc.

c) Modul phản ứng:

Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn công sẽgửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng Lúc đómodul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấncông hay cảnh báo tới người quản trị Dưới đây là một số kỹ thuật ngǎn chặn:

Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tinnhằm phá huỷ tiến trình bị nghi ngờ Tuy nhiên phương pháp này có một số nhượcđiểm: Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấncông, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp Phương pháp nàykhông hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tincan thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiếntrình tấn công Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện đượcphương pháp này

Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặnđường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công Kiểuphản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tinhợp lệ

Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quảntrị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình lại là tạmthời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khicảnh báo tới người quản trị

Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị

để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thốngcác tệp tin log Mục đích để các người quản trị có thể theo dõi các luồng thông tin

và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động

3.2.2 Các kiểu hệ thống IPS trong luồng

Có hai kiểu chính khi triển khai IPS là Promiscuous Mode IPS và In-lineIPS

Promiscous Mode IPS

Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua firewall và IPS IPS có thểkiểm soát luồn dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập.Promiscuous Mode IPS có thể quản lý firewall, thông báo firewall chặn lại các hànhđộng nghi ngờ

Hình 3.2 Promicious mode

(1) Inline IPS

Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng trước khi tớifirewall Điểm khác chính so với Promiscuous Mode IPS là có thêm chức năngtraffic-blocking.Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểmnhanh hơn so với Promiscuous Mode IPS.Tuy nhiên vị trí này sẽ làm cho tốc độluồng thông tin qua ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theothời gian thực Tốc độ họat động của hệ thống là một yếu tố rất quan trọng Quatrình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngaylập tức Nếu không đáp ứng được điều này thì các cuộc tấn công đã được thực hiệnxong và hệ thống IPS là vô nghĩa

Hình 3.3 Inline mode

Inline IPS là sự cải tiến trên cả công nghệ của firewall, IPS có thể cho phéptruy xuất điều khiển dựa trên nội dung của ứng dụng, chứ không phải chỉ là IPaddress và port như các firewall.Tuy nhiên.Để cải thiện hiệu suất và sự phân loại

sắp xếp chính xác, hầu hết các IPS sử dụng cổng đích (destition port) trong địnhdạng dấu hiệu.

Một hệ thống ngăn ngừa xâm nhập tốt cũng phải là một hệ thống phát hiệnxâm nhập tốt để có thể hạn chế thấp nhất các xác thực không chính xác.Một vài hệthống IPS có thể ngăn ngừa nhưng chưa có thể phát hiện ra các cuộc tấn công củahacker như làm tràn ngập bộ nhớ đệm (buffer overlow)

3.3 Công nghệ ngăn chặn xâm nhập của IPS

3.3.1 Signature-base

Hình 3.4 Signature-baseMột Signature-Based IPS là tạo ra một luật gắn liền với những hoạt độngxâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải cónhững kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết pháttriển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với

hệ thống mạng của mình

Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệuhiện có Nếu có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là mộtcuộc tấn công

Để xác định được một attacks signature, khi đó phải thường xuyên biết đượckiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc datapayloads Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗicác bytes trong một ngữ cảnh nào đó.

Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xácđịnh những hoạt động xâm nhập thông thường Những nghiên cứu về những kỹthuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viếtfile dấu hiệu

Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thácđược khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update)file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phảicung cấp những bản cập nhật cho phần mềm của họ

Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưulượng.Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo.Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu

(1) Lợi ích của việc dùng Signature-base

Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấncông đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công

là rất cao Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơnkiểu phát hiện sự bất thường Phát hiện dựa trên dấu hiệu không theo dõi nhữngmẫu lưu lượng hay tìm kiếm những sự bất thường Thay vào đó nó theo dõi nhữnghoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được địnhdạng

File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nàophải được tương xứng cho một tín hiêu cảnh báo Người quản trị bảo mật có thể cóthể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng vàxem xem có cảnh báo nào không

Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị

có những khả năng to lớn trong việc điều khiển cũng như tin tưởng vào hệ thốngIPS của họ

(2) Hạn chế của việc dùng Signature-base

Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tạinhiều hạn chế:

Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết:

Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấncông để nó có thể nhận ra đợt tấn công đó

Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đãbiết: Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với mộtvài hệ thống dựa trên sự bất thường Bằng cách thay đổi cách tấn công, một kẻ xâmnhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện (false negative)

Khả năng quản trị cơ sở dữ liệu những dấu hiệu: Trách nhiệm của nhà quảntrị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành Đây là côngviệc mất nhiều thời gian cũng như khó khăn

3.3.2 Anomaly-base IPS

Hình 3.5 Anomaly-baseKhi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bấtthường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thôngthường Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trịbảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường Nhà quảntrị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra nhữngbản mô tả sơ lược nhóm người dùng (user group profiles)

Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạtđộng cũng như những lưu lượng mạng trên một nhóm người dùng cho trước

Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng

để thể hiện những chức năng công việc chung Một cách điển hình , những nhóm sửdụng nên được chia theo những hoạt động cũng như những nguồn tài nguyên mànhóm đó sử dụng

Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhómngười dùng là lấy mẫu thống kê (statistical sampling), dựa trên những nguyên tắc vànhững mạng neural

Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường

và hoạt động mạng Nếu một người sử dụng làm chệch quá xa những gì họ đã địnhnghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo

(1) Lợi ích của việc dùng Anomaly-Based IPS

Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nàokhông phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sửdụng để phát hiện những cuộc tấn công

Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luônthay đổi khi mạng của bạn thay đổi Với phương pháp dựa trên những dấu hiệu, kẻxâm nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnhbáo

Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệuđịnh dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo

Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sửdụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ramột cảnh báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống mộtcách bình thường

Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nókhông dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công

đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác địnhnhững hoạt động bình thường

Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nóthực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trướcđây miễn là nó chệch khỏi profile bình thường Phát hiện dựa trên profile được sửdụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệukhông phát hiện được

(2) Hạn chế của việc dùng Anomaly-Based IPS

Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc sángtạo những profile nhóm người dùng, cũng như chất lượng của những profile này.Thời gian chuẩn bị ban đầu cao Không có sự bảo vệ trong suốt thời gian khởi tạoban đầu.Thường xuyên cập nhật profile khi thói quen người dùng thay đổi

Khó khăn trong việc định nghĩa cách hành động thông thường: Hệ IPS chỉthật sự tốt được khi nó định nghĩa những hành động nào là bình thường Định nghĩanhững hoạt động bình thường thậm chí còn là thử thách khi mà môi trường nơi màcông việc của người dùng hay những trách nhiệm thay đổi thường xuyên

Cảnh báo nhầm: những hệ thống dựa trên sự bất thường có xu hứng có nhiềufalse positive bởi vì chúng thường tìm những điều khác thường

Khó hiểu: Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bấtthường là sự phức tạp Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural lànhững phương cách nhằm tạo profile mà thật khó hiểu và giải thích

3.3.3 Policy-base IPS

Hình 3.6 Policy-base

Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự viphạm của một cấu hình policy xảy ra Bởi vậy, một Policy-Based IPS cung cấp mộthoặc nhiều phương thức được ưu chuộng để ngăn chặn

(a) Lợi ích của việc dùng Policy-Based IPS.

Ta có thể policy cho từng thiết bị một trong hệ thống mạng

Một trong những tính năng quan trọng của Policy-Based là xác thực và phảnứng nhanh, rất ít có những cảnh báo sai Đây là những lợi ích có thể chấp nhậnđược bởi vì người quản trị hệ thống đưa các security policy tới IPS một cáchchính xác nó là gì và nó có được cho phép hay không?

(b) Hạn chế của việc dùng Policy-Based IPS.

• Khi đó công việc của người quản trị cực kỳ là vất vả

• Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình

• Khó khăn khi quản trị từ xa

3.3.4 Protocol Analysis-base IPS

Giải pháp phân tích giao thức (Protocol Analysis-Based IPS) về việc chốngxâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn vềviệc phân tích các giao thức trong gói tin (packets) Ví dụ: Một hacker bắt đầu chạymột chương trình tấn công tới một Server Trước tiên hacker phải gửi một gói tin IPcùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload MộtProtocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức

• Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháphay không?

• Kiểm tra nội dung trong Payload (pattern matching)

• Thực hiện những cảnh cáo không bình thường

3.4 Mô hình IPS

3.4.1 Host-base IPS

Một máy chủ HIPS là nơi hệ thống ngăn ngừa xâm nhập được cài đặt trênmột địa chỉ IP cụ thể, và thường là trên một máy tính duy nhất HIPS bổ sung cáccách thức phát hiện truyền thống và phát hiện virut vì nó không cần phải cập nhật

liên tục trước khi có những lỗ hổng và phần mềm độc hại khác Khi có sự thay đổitrong hệ thống hoặc phần mềm trên máytính bởi mục đích xấu của attacker thìmột HIPS thật sự toàn diện sẽ thông báo khi có sự thay đổi và ngăn chặn các hànhđộng tiếp theo làm ảnh hưởng tới hệ thống hoặc thông báo cho người quản trị biếtnhững thay đổi đó.

Nhược điểm chính của HIPS là sử dụng nhiều tài nguyên hệ thống do hệthống HIPS tích hợp tường lửa, hệ thống kiểm soát hành động tạo thành một mạnglưới phối hợp phát hiện

3.4.2 Network-base IPS

Một Network-based IPS là nơi ứng dụng IPS phần cứng hoặc IPS mềm vàcác hành động thực hiện ngăn chặn xâm nhập trên một máy chủ trên mạng cụ thểđược thực hiện từ một máy chủ với địa chỉ IP trên mạng

Mục đính của NIPS là để chế tạo ra thiết bị NIPS phần cứng dựa trên nềntảng phần mềm được thiết kế để phân tích, phát hiện và báo cáo các sự kiện liênquan đến an ninh trong hệ thống mạng NIPS được thiết kế để kiểm tra lưu lượngmạng dựa vào những cấu hình hoặc chính sách an ninh, họ có thể giảm lưu lượngtruy cập độc hại Điều này có thể được ngăn chặn với hệ thống UTM hiệu quả hơn

3.5 Các kiểu IPS

3.5.1 Session sniping

Hệ thống IPS sẽ kết thúc một session làm việc của một Host khi một Hostgửi đến hệ thống lưu lượng traffic cố tình xâm hại hệ thống

− TCP RESET cho phiên làm việc traffic TCP

− ICMP HOST/Netwwork/ Port Unreachable cho trafic UDP

+ Ưu điểm: Dễ triển khai và sử dụng

+ Nhược điểm: Có thể bị ngăn cản bởi attacker thông qua nhiều cách khácnhau.

Ví dụ: Iptables (Linux Firewall) có thể REJECT traffic từ một Host mà sửdụng phương thức Session Sniping

Snort có một cách chống lại phương thức tấn công này một cách mềm dẻo làcho phép host được gửi traffic nhưng Snort sẽ gửi tín hiệu reset lại kết nối khi lượngtraffic này trùng với các thông số trong tệp rule cấu hình

3.5.2 Packet filtering

Hệ thống IPS sẽ drop gói tin khi lưu lượng gói tin chứa thông tin gây hại cho

hệ thống

Ưu điểm: Loại bỏ các traffic cố tình xâm hại hệ thống

Nhược điểm: Có thể loại bỏ nhầm những traffic bình thường

Ví dụ: Snort-Inline có thể drop traffic khi một rule được khởi động có thông

số cấu hình trùng với thông số lương lựu của traffic

3.5.3 Packet scubbing

Hệ thống IPS thay thế các gói tin có tính chất xâm hại hệ thống bằng nộidung bắt đầu của gói tin

Ưu điểm: Không cho biết trong hệ thống có hệ thống IPS

Nhược điểm: Chỉ hoạt động khi hệ thống bị xâm phạm thực hiện các gói tinchứa nội dung xâm phạm hệ thống

Ví dụ: Snort có quyền thay thế các gói nội dung mang tính chất xâm hại hệ thốngkhi chúng được thực hiện bởi nội dung mà gói tin do người quản trị định nghĩa cócũng kích thước

3.5.4 Ip blocking

Hệ thống IPS có thể thay đổi các tuỳ chỉnh trên một máy local firewall, bởi

vì chúng block lưu lượng mạng từ Host mà chứa nội dung xấu

Ưu điểm: Loại bỏ attacker ra khỏi hệ thống một cách hiệu quả

Nhược điểm: Có khả năng lại bỏ các Host đáng tin cậy trong hệ thống

Ví dụ: Snort SAM firewall có thể làm được

3.5.5 Deception :

Hệ thống IPS sẽ gửi traffic tới cho attacker cho biết rằng có sự chống trảthành công từ host nào đó trong mạng hoặc kết nối tới host đó đã không còn đượcthiết lập nữa

Thường thì một host có chức năng deception như Honeypot trên hệ thốngmạng được sử dụng với mục đích đưa ra những vùng yếu dễ bị tấn công, lôi kéo cácattacker có thể làm giả các ứng dụng dịch vụ trên host

Ưu điểm: Attacker vẫn tiến hành tấn công hệ thống, và hệ thống lấy đượcthông tin từ cuộc tấn công và người tấn công

Nhược điểm: Attacker vẫn tấn công hệ thống và có thể tấn công sang cáchost khác.Có khả năng lôi kéo các cuộc tấn công khác một cách hợp pháp

Ví dụ: Bộ công cụ Deception Toolkit (DTK) giả vờ các dịch vụ trên mộthostHonyed tạo ra host ảo cho các attacker tấn công

Các chương trình sử dụng IPS trong các kiểu của IPS :

• Packet filtering

− Hogwash : drop packet dựa vào rules