Lĩnh vực Công nghệ thông tinứng dụng IDS trong bảo vệ an ninh mạng máy tính KS.Hồ Trọng Đạt Trung tâm Công nghệ thông tin Tóm tắt: Có thể đa ra khái niệm chung về xâm nhập và kiểm tra xâ
Trang 1Lĩnh vực Công nghệ thông tin
ứng dụng IDS trong bảo vệ an ninh mạng máy tính
KS.Hồ Trọng Đạt Trung tâm Công nghệ thông tin
Tóm tắt:
Có thể đa ra khái niệm chung về xâm nhập và kiểm tra xâm nhập nh sau: Xâm“Xâm
nhập là cách dùng trái phép hoặc lạm dụng một hệ thống máy tính Kiểm tra xâm nhập là một kỹ thuật bảo mật cố gắng xác định và cô lập những xâm nhập chống lại các hệ thống“Xâm
máy tính Kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host Tuy nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, FTP, dịch vụ tên miền (DNS) và các dịch vụ khác Ngay khi một nhà quản trị mở các cổng trên firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào
hệ thống của bạn
Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy những lỗ hổng còn lại cha giải quyết đợc bởi firewalls Một hệ thống kiểm tra xâm nhập là một thiết bị giám sát tất cả sự vận chuyển trên mạng Hệ phân tích lu lợng trong thời gian thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể phân tích đầy đủ và nhanh mọi gói tin trên mạng
Ngày nay, hệ thống mạng máy tính đã trở nên phổ biến trong hầu hết các hoạt động của xã hội, tác động trực tiếp đến nền kỹ thuật và kinh tế của đất nớc Cùng với sự phát triển
đó, ngày càng xuất hiện nhiều hơn những cá nhân, nhóm hoặc thậm chí là cả những tổ chức hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống này Do tính ác liệt của những cuộc tấn công gây hại đó, có rất nhiều hệ thống bảo vệ an toàn mạng đã ra đời, với nhiều mức khác nhau: bảo vệ quyền truy nhập, bảo vệ bằng mật khẩu, bảo vệ bằng mã hóa thông tin, sử dụng proxy và firewall lọc gói tin, bảo vệ truy cập vật lý
Hệ thống kiểm tra xâm nhập (Intrusion Detection System – IDS) là một hệ thống
đ-ợc xây dựng cũng với mục đích bảo vệ an toàn thông tin Hệ thống này kiểm soát tài nguyên
và hoạt động của hệ thống mạng, sử dụng thông tin thu thập đợc từ những nguồn này, thông báo cho ngời có trách nhiệm khi nó xác định đợc khả năng có sự xâm nhập Nếu firewall
đóng vai trò nh nhân viên bảo vệ cơ quan, kiểm tra mọi ngời đến và đi thì hệ thống kiểm tra xâm nhập giống nh có một mạng lới cảm biến để thông báo cho bạn biết khi có ai đó xâm nhập, họ đang ở đâu và làm gì Firewall “Xâmán ngữ ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng Một khi kẻ xâm nhập đã vợt qua đợc firewall, ngời đó có thể tung hoành tùy ý trên mạng Đó là lý do tại sao hệ thống kiểm tra xâm nhập có vai trò quan trọng
1 Khái niệm về kiểm tra thâm nhập
Nhận thấy, kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host Tuy nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, FTP, dịch vụ tên miền (DNS) và các dịch vụ khác Ngay khi một nhà quản trị mở các cổng trên firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào hệ thống của bạn
Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy những lỗ hổng còn lại cha giải quyết đợc bởi firewalls Một hệ thống kiểm tra xâm nhập là một thiết bị giám sát tất cả sự vận chuyển trên mạng Nó phân tích lu lợng trong thời gian thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể phân tích đầy đủ và nhanh mọi gói tin trên các mạng bận
Kiểm tra xâm nhập là một thành phần quan trọng của hệ thống bảo mật, và nó bổ xung
các kỹ thuật bảo mật khác Bằng việc cung cấp thông tin tới quản trị site, IDS cho phép
Trang 2Hội nghị Khoa học lần thứ 5
không những kiểm tra tấn công có địa chỉ rõ ràng bởi các thành phần bảo mật khác (nh firewall và các trình bao bọc dịch vụ), mà còn cố gắng cung cấp thông báo về tấn công mới bất ngờ Các hệ thống kiểm tra xâm nhập cũng cung cấp thông tin pháp lý cho phép các tổ chức có khả năng phát hiện ra nguồn gốc của tấn công Theo cách này, IDS cố gắng làm cho
những kẻ tấn công có trách nhiệm hơn về những hành động của chúng, và đa ra một số đánh giá, hành động để ngăn cản những tấn công trong tơng lai
2 Mô hình khái niệm của các hệ thống IDS
Có nhiều IDS khác nhau đợc phát triển trên toàn thế giới, và hầu hết là do có nhiều
thiết kế khác nhau Khung kiểm tra xâm nhập chung (Common Intrusion Detection Framework) (CIDF) xác định tập các thành phần cùng nhau xác định một hệ thống kiểm tra xâm nhập Các thành phần này gồm các bộ tạo sự kiện (event generator) ("E-boxes"), dụng
cụ phân tích (analysic engine) ("A-boxes"), cơ cấu lu trữ (storage mechanism) ("D-boxes"),
và countermeasure ("C-boxes") Một thành phần CIDF có thể là một gói phần mềm bên trong của chính nó, hoặc một phần của hệ thống lớn Hình 7 biểu diễn quan hệ giữa các thành phần
Mục đích của E-box là cung cấp thông tin về những sự kiện cho các phần còn lại của
hệ thống Một "sự kiện" có thể phức tạp, hoặc nó có thể là một sự cố giao thức mạng mức thấp Sự kiện không đòi hỏi phải là dấu hiệu của sự xâm nhập bên trong nó E-box là bộ giác quan của toàn bộ IDS - không có đầu vào E-box, hệ thống kiểm tra xâm nhập sẽ không có thông tin để tạo ra kết luận về các sự kiện bảo mật
A-box phân tích đầu vào từ bộ tạo sự kiện Phần lớn trong việc nghiên cứu kiểm tra xâm nhập là xem xét việc tạo ra những phơng pháp mới để phân tích luồng sự kiện nhằm tách thông tin thích hợp, và đã nghiên cứu đợc một số cách tiếp cận khác nhau Các kỹ thuật phân tích sự kiện dựa trên việc kiểm tra dị thờng thống kê, phân tích biểu đồ,
E-box và A-box có thể đa ra lợng lớn dữ liệu Những thông tin này phải đợc tạo ra sẵn sàng cho hệ điều hành của hệ thống khi nó cần sử dụng Thành phần D-box của IDS xác định các phơng tiện đợc dùng để lu trữ thông tin bảo mật và tạo thông tin sẵn sàng tại thời điểm sau
Hình 1: Quan hệ giữa các thành phần CIDF
Nhiều hệ thống ID đợc thiết kế chỉ nh là chuông báo động Tuy nhiên, hầu hết các hệ thống ID có giá trị thơng mại đều đợc trang bị với một vài dạng coutermeasure (C-box), đi suốt từ việc đóng các kết nối TCP đến việc sửa đổi các danh sách bộ lọc định tuyến Điều này cho phép IDS cố gắng ngăn cản các cuộc tấn công khác từ sau khi dò thấy sự xuất hiện của
Trang 3Lĩnh vực Công nghệ thông tin
các cuộc tấn công đầu tiên.Thậm chí các hệ thống không cung cấp khả năng C-box có thể bị móc nối vào trong những chơng trình thực hiện tác dụng tơng tự
3.Khả năng áp dụng thực tế
Cùng với sự phát triển của ADSL, số lợng tổ chức, doanh nghiệp kết nối với Internet tại Việt Nam đợc dự báo sẽ bùng nổ rất mạnh Lợi ích thu đợc từ Internet là điều không cần phải bàn cãi Nhng những thiệt hại khi bị xâm phạm dữ liệu thì cha có ai đánh giá cụ thể và dự báo chính xác là bao nhiêu Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập mạng ngày càng phổ biến thì khi một tổ chức kết nối với Internet không thể không áp dụng các phơng pháp phòng chống tấn công, xâm nhập Sử dụng Firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin Sử dụng IDS sẽ góp phần tăng cờng sức mạng cho nhà quản trị và cảnh báo kịp thời mọi diễn biến bất thờng qua mạng
