PHẦN I: TỔNG QUAN VỀ AN NINH MẠNG31.1. KHÁI NIỆM VỀ BẢO MẬT:31.2. SỰ CẦN THIẾT CỦA BẢO MẬT:31.3. NHỮNG MỐI ĐE DỌA CHO HỆ THỐNG MẠNG41.3.1 Mối đe dọa không có cấu trúc (Untructured threat)41.3.2. Mối đe dọa có cấu trúc (Structured threat)41.3.3. Mối đe dọa từ bên ngoài (External threat)41.3.4. Mối đe dọa từ bên trong (Internal threat )51.4. CÁC PHƯƠNG THỨC TẤN CÔNG (ATTACK METHODS):51.4.1. Thăm dò (Reconnaisance)51.4.2. Truy nhập (Access)61.4.3. Từ chối dịch vụ (Denial of Service)7PHẦN II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS72.1. CƠ BẢN VỀ IDS72.1.1. Định nghĩa72.1.2. Chức năng:92.2. CẤU TRÚC VÀ KIẾN TRÚC CỦA HỆ THỐNG IDS92.3. CƠ CHẾ HOẠT ĐỘNG112.3.1. Các phương pháp nhận diện:122.3.2. Cơ chế bảo mật:132.3.3. Phản ứng:162.4. CHÁC PHÁT HIỆN TẤN CÔNG CỦA HỆ THỐNG IDS:172.4.1. Kỹ thuật xử lý dữ liệu:172.4.2. Các kiểu tấn công thông dụng:18PHẦN III. MÔ HÌNH HỆ THỐNG NETWORKBASED IDS263.1. NIDS (NETWORK INTRUSION DETECTION SYSTEM)273.2. LỢI THẾ CỦA NETWORK IDS:30 3.2. Lợi thế của Network IDS:………………………………………………………………..30
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI TÂP NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHÂP IDS MÔN HỌC: AN NINH MẠNG GIẢNG VIÊN: PGS TSKH HOÀNG ĐĂNG HẢI Học viên: Phạm Văn Dùng Lớp: Mạng Truyền Dữ Liệu – M12CQCT01-B Hà Nội - Năm 20113 Nghiên hệ thống phát xâm nhập IDS Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Phần I: Tổng quan an ninh mạng 1.1 Khái niệm bảo mật: Để bảo vệ hệ thống đề sách bảo mật ta cần hiểu sâu khái niệm bảo mật Khi hiểu sâu khái niệm bảo mật, phân tích xác cơng, phân tích điểm yếu hệ thống tăng cường bảo mật vùng cần thiết làm giảm thiệt hại gây nên từ công Sau khía cạnh quan trọng bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: - Xác thực (Authentication): tiến trình xử lý nhằm xác định nhận dạng thực thể liên kết Thực thể người dùng độc lập hay tiến trình phần mềm - Ủy quyền (Authorization): luật xác định có quyền truy nhập vào tài nguyên hệ thống - Tính cẩn mật (Confidentiality): nhằm đảm bảo liệu bảo vệ khỏi nhóm khơng phép truy nhập Tính cẩn mật yêu cầu liệu máy liệu truyền mạng đọc nhóm phép - Tính tồn vẹn (Integrity): hệ thống đảm bảo tính tồn vẹn liệu ngăn thay đổi liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa xem lại thơng điệp truyền - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính sẵn sàng nhóm phép Mục tiêu kiểu công từ chối dịch vụ DoS phá hoại tính sẵn sàng tài nguyên hệ thống, bao gồm tạm thời lâu dài 1.2 Sự cần thiết bảo mật: Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hiện Internet phủ khắp toàn cầu, tham gia vào gần tất hoạt động kinh doanh lĩnh vực đời sống xã hội, với việc phát triển nhanh chóng mối đe dọa bảo mật, cơng Internet Càng có nhiều khả truy nhập có nhiều hội cho kẻ công, bảo mật hiệu quả, hệ thống bạn làm việc tốt mà không cần lo lắng việc tăng nguy bị công 1.3 Những mối đe dọa cho hệ thống mạng 1.3.1 Mối đe dọa khơng có cấu trúc (Untructured threat) Hầu hết cơng khơng có cấu trúc gây Script Kiddies (những kẻ công sử dụng công cụ cung cấp, khơng có có khả lập trình) hay người có trình độ vừa phải Hầu hết cơng sở thích cá nhân, có nhiều cơng có ý đồ xấu 1.3.2 Mối đe dọa có cấu trúc (Structured threat) Structured threat hành động cố ý, có động kỹ thuật cao Không Script Kiddes, kẻ cơng có đủ kỹ để hiểu cơng cụ, chỉnh sửa cơng cụ tạo công cụ Động thường thấy tiền, hoạt động trị, tức giận hay báo thù Các cơng thường có mục đích từ trước Các công thường gây hậu nghiêm trọng cho hệ thống Một công structured thành cơng gây nên phá hủy cho tồn hệ thống 1.3.3 Mối đe dọa từ bên (External threat) External threat công tạo khơng có quyền hệ thống Người dùng tồn giới thơng qua Internet thực cơng Các hệ thống bảo vệ vành đai tuyến bảo vệ chống lại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta giảm tác động kiểu công Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS xuống tối thiểu Mối đe dọa từ bên ngồi mối đe dọa mà cơng ty thường phải bỏ nhiều tiền thời gian để ngăn ngừa 1.3.4 Mối đe dọa từ bên (Internal threat ) Các cách công từ bên thực từ khu vực tin cậy mạng Mối đe dọa khó phịng chống nhân viên truy cập mạng liệu bí mật công ty Mối đe dọa bên thường thực nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai mạng, bảo vệ mạng bên khỏi kết nối bên ngoài, Internet Khi vành đai mạng bảo mật, phần tin cậy bên có khuynh hướng bị bớt nghiêm ngặt Khi kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp mạng, chuyện lại thường đơn giản Đôi công dạng structured vào hệ thống thực với giúp đỡ người bên hệ thống Trong trường hợp đó, kẻ cơng trở thành structured internal threat, kẻ cơng gây hại nghiên trọng cho hệ thống ăn trộm tài nguyên quan trọng công ty Structured internel threat kiểu công nguy hiểm cho hệ thống 1.4 Các phương thức công (Attack methods): 1.4.1 Thăm dò (Reconnaisance) Reconnaissance việc thăm dò ánh xạ đồ hệ thống, dịch vụ hay điểm yếu cách trái phép Nó biết việc thu thập thông tin, nhiều trường hợp hành động xảy trước việc xâm nhập hay cơng từ chối dịch vụ Việc thăm dị thường thực công cụ hay câu lệnh có sẵn hệ điều hành Ta có bước việc thăm dò sau: Bước 1: Ping quét để kiểm tra đồ IP Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Bước 2: Sử dụng port scanner để kiểm tra dịch vụ cổng mở IP đó, có nhiều công cụ vậy, Nmap, SATAN,… Bước 3: Truy vấn cổng để xác định loại, phiên ứng dụng, hệ điều hành Bước 4: Xác định điểm yếu tồn hệ thống dựa bước Hình 1.1: Thăm dị hệ thống Một kẻ công ban đầu thường rà quét lệnh ping tới mục tiêu để xác định địa IP cịn tồn tại, sau qt cổng để xác định xem dịch vụ mạng mạng cổng mở Từ thơng tin đó, kẻ cơng truy vấn tới port để xác định loại, version ứng dụng hệ điều hành chạy Từ thơng tin tìm được, kẻ cơng xác định lỗ hổng có hệ thống để phá hoại 1.4.2 Truy nhập (Access) Access việc thao túng liệu, truy nhập hệ thống hay leo thang đặc quyền trái phép Truy nhập vào hệ thống khả kẻ xâm nhập để truy nhập vào thiết bị mà khơng có tài khoản hay mật Việc xâm nhập thường thực Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS cách sử dụng công cụ, đoạn mã hack nhằm công vào điểm yếu hệ thống hay ứng dụng Trong số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà không thực cần lấy trộm thông tin, đặc biệt động việc xâm nhập thách thức hay tò mò 1.4.3 Từ chối dịch vụ (Denial of Service) Denial of service (DoS) trạng thái kẻ cơng vơ hiệu hóa hay làm hỏng mạng, hệ thống máy tính, hay dịch vụ với mục tiêu từ chối cung cấp dịch vụ cho user dự định Nó thường liên quan đến việc phá hoại hay làm chậm hệ thống để người dùng sử dụng Trong hầu hết trường hợp, việc công cần thực cách chạy công cụ, đoạn mã hack, kẻ công không cần quyền truy nhập vào hệ thống Chỉ với lí phá hoại, công từ chối dịch vụ gây lớn kiểu công nguy hiểm đặc biệt cho trang web thương mại Hình 1.2: Mơ hình DDoS attack Phần II: Hệ thống phát xâm nhập IDS 2.1 Cơ IDS Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS 2.1.1 Định nghĩa IDS (Intrusion Detection System) hệ thống giám sát lưu thơng mạng (có thể phần cứng phần mềm), có khả nhận biết hoạt động khả nghi hay hành động xâm nhập trái phép hệ thống mạng tiến trình cơng (FootPrinting, Scanning, Sniffer…), cung cấp thông tin nhận biết đưa cảnh báo cho hệ thống, nhà quản trị IDS coi công cụ bảo mật vơ quan trọng, lựa chọn giải pháp bảo mật bổ sung cho Firewall Một IDS có khả phát đoạn mã độc hại hoạt động hệ thống mạng, có khả vượt qua Firewall sau kết hợp với Firewall số cơng cụ khác để đưa cách đối phó với đoạn mã độc Hình 2.1: IDS-giải pháp bảo mật bổ sung cho Firewall Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS 2.1.2 Chức năng: Các ứng dụng hệ IDS: - Nhận diện nguy xảy - Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy - Nhận diện hoạt động thăm dò hệ thống - Nhận diện yếu khuyết sách bảo mật - Ngăn chặn vi phạm sách bảo mật Các tính hệ IDS: - Lưu giữ thông tin liên quan đến đối tượng quan sát - Cảnh báo kiện quan trọng liên quan đến đối tượng quan sát - Xuất báo cáo 2.2 Cấu trúc kiến trúc hệ thống IDS Các thành phần bản: - Sensor/ Agent: giám sát phân tích hoạt động “Sensor” thường dùng cho dạng NIDS “Agent” thường dùng cho dạng HIDS - Management Server: thiết bị trung tâm dùng thu nhận thông tin từ Sensor/ Agent quản lý chúng - Database: dùng lưu trữ thông tin từ Sensor/ Agent hay Management Server - Console : chương trình cung cấp giao diện cho IDS users/ Admins Có thể cài đăt máy tính bình thường dùng để phục vụ cho tác vụ quản trị, để giám sát, phân tích Kiến trúc hệ thống IDS: 10 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS người nhận xử lý sau Trong thơng tin truyền kênh truyền thông, kẻ công khơng thể sử dụng Tất nhiên kẻ cơng làm gián đoạn việc truyền thơng ảnh hưởng đến tính sẵn sàng thơng tin Hình 2.8: Bảo mật truyền thơng với chế Tunneling Giải pháp thông dụng cho chế mã hóa thơng tin Thơng tin mã hóa trước truyền người nhận giải mã trở lại trạng thái ban đầu để sử dụng; trình truyền thơng, kẻ cơng khơng thể sử dụng thơng tin mã hóa Hiện có hai mơ hình mã hóa mã hóa khóa mật hay khóa đối xứng (Secret key Cryptography) mã hóa khóa cơng khai (Public key Cryptography) Mã hóa khóa cơng khai sử dụng khóa có độ dài lớn, thuật tốn phức tạp, có độ an tồn cao thời gian mã hóa giải mã chậm, thường sử dụng việc truyền khóa mật bên truyền thông 2.3.3 Phản ứng: Hầu hết công cụ phát xâm nhập trái phép thụ động, phát công tạo cảnh báo khơng thực biện pháp đối phó Địi hỏi người quản trị trực tiếp kiểm tra cảnh báo thực hành động phù hợp Điều gây chậm trễ việc xử lý với công 17 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Có số IDS có khả thực hành động thay đổi trạng thái bảo mật để phản ứng lại với cơng Các IDS thay đổi quyền file, đặt thêm luật tường lửa, ngừng tiến trình hay ngắt kết nối Những hệ có hiệu lớn, bị kẻ công lợi dụng để tự gây hại cho hệ, hay gây từ chối dịch vụ 2.4 Chác phát công hệ thống IDS: 2.4.1 Kỹ thuật xử lý liệu: 2.4.1.1 Hệ thống Expert (Expert systems): Hệ thống làm việc tập nguyên tắc định nghĩa từ trước để miêu tả hình thức cơng Tất kiện có liên quan đến bảo mật kết hợp vào kiểm định dịch dạng nguyên tắc if-then-else 2.4.1.2 Phát xâm nhập dựa luật(Rule-Based Intrusion Detection): Giống phương pháp hệ thống Expert, Rule-Based Intrusion Detection dựa hiểu biết công Chúng biến đổi mô tả công thành định dạng kiểm định thích hợp Nên dấu hiệu cơng tìm thấy ghi (record) Một kịch cơng mơ tả, chuỗi kiện kiểm định cơng mẫu liệu tìm kiếm lấy kiểm định Sự phát thực cách sử dụng chuỗi văn chung hợp với chế Điển hình, kỹ thuật mạnh thường sử dụng hệ thống thương mại Ví dụ: Cisco Secure IDS, Emerald eXpert-BSM(Solaris) 2.4.1.3 Phân biệt ý định người dùng (User intention Identification): User intention identification mơ hình hóa hành vi thông thường người dùng tập nhiệm vụ mức cao mà họ thực hệ thống (liên quan đến chức người dùng) Các nhiệm vụ thường cần đến số hoạt động điều chỉnh cho hợp với liệu kiểm định thích hợp Bộ phân tích giữ tập 18 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS hợp nhiệm vụ chấp nhận cho người dùng Bất khơng hợp lệ phát cảnh báo sinh 2.4.1.4 Phân tích trạng thái phiên (State-Transition Analysis): Một công miêu tả tập mục tiêu phiên cần thực kẻ xâm nhập để gây tổn hại hệ thống Các phiên trình bày sơ đồ trạng thái phiên Nếu phát tập phiên vi phạm tiến hành cảnh báo hay đáp trả theo hành động định trước 2.4.1.5 Phương pháp phân tích thống kê (Statistical Analysis Approach): Đây phương pháp thường sử dụng Hành vi người dùng-hệ thống (tập thuộc tính) tính theo số biến thời gian Ví dụ, biến là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập khoảng thời gian, hiệu suất sử dụng không gian đĩa, nhớ, CPU Hệ thống lưu giá trị có nghĩa cho biến sử dụng để phát vượt ngưỡng định nghĩa từ trước Ngay phương pháp đơn giản khơng hợp với mơ hình hành vi người dùng điển hình Các phương pháp dựa vào việc làm tương quan thông tin người dùng riêng lẻ với biến nhóm gộp lại có hiệu Vì vậy, mơ hình tinh vi hành vi người dùng phát triển cách sử dụng thông tin người dùng ngắn hạn dài hạn Các thông tin thường xuyên nâng cấp để bắt kịp với thay đổi hành vi người dùng Các phương pháp thống kê thường sử dụng việc bổ sung IDS dựa thông tin hành vi người dùng thông thường 2.4.2 Các kiểu công thông dụng: 2.4.2.1 Tấn công từ chối dịch vụ (Denial of Service Attack): Cho dù đa dạng kích cỡ hình dạng, từ subtle malformed packet đến fullblown packet storm, Denial of Service (DoS) attack có mục đích chung đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối cùng, mục tiêu trở nên tiếp cận 19 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS trả lời DoS công vào mục tiêu bao gồm dạng mạng, hệ thống ứng dụng • • Network flooding bao gồm SYN flood, Ping flood hay multi echo request… Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, kiểu công nhằm lợi dụng lỗ hổng hệ điều hành nhằm phá hoại, gây tải hệ thống Sự kiện xảy cách gửi gói tin có định dạng khác thường tới hệ thống • thiết bị, chúng tạo cơng cụ cơng lập trình trước Phá hoại, gây tải ứng dụng bao gồm kỹ thuật phá hoại gây tải hệ thống cách lợi cụng điểm yếu ứng dụng, sở liệu, email, trang web… Ví dụ: email dài hay số lượng lớn email, hay số lượng lớn yêu cầu tới trang web gây tải cho server ứng dụng Giải pháp IDS: Một firewall dạng proxy hiệu để ngăn chặn gói tin khơng mong muốn từ bên ngồi, nhiên Network IDS phát cơng dạng gói tin 2.4.2.2 Quét thăm dò (Scanning and Probe): Bộ quét thăm dị tự động tìm kiếm hệ thống mạng để xác định điểm yếu Tuy công cụ thiết kế cho mục đích phân tích để phịng ngừa, chúng sử dụng để gây hại cho hệ thống Các công cụ quét thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, AXENT NetRecon Việc thăm dị thực cách ping đến hệ thống kiểm tra cổng TCP UDP để phát ứng dụng có lỗi biết đến Vì cơng cụ cơng cụ đắc lực cho mục đích xâm nhập Giải pháp IDS: Network-based IDS phát hành động nguy hiểm trước chúng xảy Yếu tố “time-to-response” quan trọng trường hợp để chống kiểu cơng trước có thiệt hại Host-based IDS có tác dụng kiểu công này, không hiệu giải pháp dựa mạng 20 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hình 2.9: Chính sách bảo mật theo chiều sâu 2.4.2.3 Tấn cơng vào mật mã (Password attack): Có phương thức tiếp cận kiểu công Passwork attack Kiểu dễ nhận thấy ăn trộm mật mã, mang lại quyền hành tính linh động cao cho kẻ cơng truy nhập tới thơng tin thành phần mạng Đốn hay bẻ khóa mật mã phương thức tiếp cận gọi brute force cách thử nhiều mật mã để mong tìm mật mã Với bẻ khóa, kẻ công cần truy nhập tới mật mã mã hóa, hay file chứa mật mã mã hóa, kẻ cơng sử dụng chương trình đốn nhiều mã với thuật tốn mã hóa sử dụng để xác định mã Với tốc độ máy tính nay, việc bẻ khóa hiệu trường hợp mật mã từ có nghĩa (trong từ điển), mã nhỏ ký tự, tên thơng dụng phép hốn vị Hiện nay, Internet cung cấp nhiều chương trình “password hackerware” tải sử dụng dễ dàng Các công cụ kỹ sư sử dụng với mục đích tốt tìm lại mật mã, hay tìm kiếm thơng tin cần thiết cho q trình điều tra tội phạm… - Ta có ví dụ trộm mật mã nghe trộm mật mã gửi mạng (LOPHT2.0), gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngồi khơng thể 21 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS không kể tới phương thức cơng vào yếu tố người nhìn trộm, dùng vũ lực ép buộc… - Dự đốn bẻ khóa ví dụ như: đốn từ tên, thơng tin cá nhân, từ từ thơng dụng (có thể dùng biết username mà mật mã), sử dụng tài khoản khách chiếm quyền quản trị; phương thức cơng brute force, đốn mật mã mã hóa từ từ từ điển, ta có số công cụ LOPHT Crack, pwldump… Giải pháp IDS: Một Network-based IDS phát ngăn chặn cố gắng đốn mã (có thể ghi nhận sau số lần thử khơng thành cơng), khơng có hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chương trình bẻ khóa Trong Host-based IDS lại có hiệu việc phát việc đoán mật mã phát truy nhập trái phép tới file chứa mật mã 2.4.2.4 Chiếm đặc quyền (Privilege-grabbing): Khi kẻ công xâm nhập vào hệ thống, chúng cố chiếm quyền truy nhập Khi thành công, chúng chiếm hệ thống Trong hệ điều hành UNIX, điều nghĩa trở thành “root”, Windows NT “Administrator”, NetWare “Supervisor” Các câu lệnh mã thực cho kỹ thuật kiếm Internet, ví dụ khai thác lỗi tràn đệm hệ điều hành hay phần mềm ứng dụng để ghi đè segment vào nhớ Khi chiến thuật sử dụng với chương trình hệ điều hành đặc quyền, thường gây lỗi hỏng core, dẫn đến kẻ cơng có quyền truy cập “superuser” Dưới số kỹ thuật thường dùng cho việc chiếm đặc quyền: - Đốn hay bẻ khóa root hay administrator - Gây tràn đệm - Khai thác Windows NT registry 22 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS - Truy nhập khai thác console đặc quyền - Thăm dò file, scrip hay lỗi hệ điều hành ứng dụng Giải pháp IDS: Cả Network Host-based IDS xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDS tìm kiếm người dùng khơng có đặc quyền trở thành có đặc quyền mà khơng qua hệ thống thơng thường, Host-based IDS ngừng hành động Ngoài hành động chiếm đặc quyền hệ điều hành ứng dụng định nghĩa tập dấu hiệu công Network-based IDS nhằm ngăn chặn việc cơng xảy Hình 2.10: Sensor IDS nhận liệu công 2.4.2.5 Cài đặt mã nguy hiểm (Hostile code insertion): Một số loại cơng cài đặt mã nguy hiểm vào hệ thống Mã lấy trộm liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép Ta có số ví dụ việc cài đặt mã nguy hiểm sau: - Virus : chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, có khơng có hại, dẫn đến việc tạo file hệ thống, 23 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS file ứng dụng hay liệu Virus thường xác định nhờ vào hành động có hại chúng, kích hoạt dựa kiện, ngày… - Trojan Horse : chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, thường có hại, khơng có mục đích nhân Thường Trojan Horse đặt tên hay mơ tả chương trình mà người ta muốn sử dụng, thưc tế chúng kích hoạt hành động dẫn đến hỏng file hay hệ thống - Backdoor : loại Trojan đặc biệt thực việc thay chương trình có sẵn chương trình cho phép kẻ xâm nhập truy nhập vào hệ thống tương lai (như “msgina.dll” Windows NT) - Malicious Apple : loại Trojan, chúng thường Java hay ActiveX applet mà người dùng gặp duyệt trang web Applet thực chức bình thường ẩn hành động nguy hiểm tải file lên web site kẻ công Giải pháp IDS: Cài đặt phần mềm bảo mật có tác dụng chống virus đoạn mã nguy hiểm lên gateway, server workstation phương pháp hiệu để giảm mức độ nguy hiểm Các file quan trọng quản lý Host IDS đảm bảo chương trình file quan trọng hệ điều hành không bị điều khiển Kết hợp với kiện khác, IDS xác định cố gắng cài đoạn mã nguy hiểm, ví dụ phát định thay chương trình ghi log backdoor Network-based IDS thị để quản lý hệ thống file ảnh cho mục đích kiểm tra tính tồn vẹn 2.4.2.6 Hành động phá hoại máy móc (Cyber vandalism): Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động chương trình hệ điều hành, format ổ đĩa 24 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Giải pháp IDS: Đối với giải pháp Host-based IDS, cài đặt cấu hình cẩn thận xác định tất vấn đề liên quan đến cyber vandalism Ví dụ thay đổi trang web ghi lại biên kiểm kê thiết bị mà trang web nằm Khơng cấu hình để quản lý thay đổi trang web, Hostbased IDS thực hành động đối phó, hành động Security Administrator cấu hình Network-based IDS sử dụng dấu hiệu cơng định nghĩa trước để phát xác việc truy nhập trái phép vào hệ điều hành, ứng dụng xóa file thay đổi trang web 2.4.2.7 Ăn trộm liệu quan trọng (Proprietary data theft): Mặc dù 80% công liên quan đến thông tin quan trọng xảy tổ chức đó, số cơng từ bên ngồi liên tục tăng vài năm qua Ngoài việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng việc chép liệu, nghe trộm việc truyền nhằm lấy liệu quan trọng Giải pháp IDS: Mơ hình Host-based IDS thực việc quản lý liệu quan trọng phát file bị chép bất hợp pháp Trong số trường hợp IDS dựa vào biên hệ điều hành, nhiều trường hợp việc ghi biên có chứa nhiều overhead (như với Winddows NT) Trong trường hợp đó, Host-based IDS cần phải thực việc quản lý riêng biệt với file quan trọng Cịn Network-based IDS chỉnh sửa để quản lý việc truy nhập vào file quan trọng xác định việc truyền thông có chứa key word Trong số trường hợp khó phát host nghe trộm mạng, phần mềm IDS host phát host bị đặt trạng thái ngẫu nhiên nghe trộm việc tuyền thông 2.4.2.8 Gian lận, lãng phí lạm dụng (Fraud, waste, abuse): Gian lận, lãng phí lạm dụng tài nguyên máy tính vấn đề liên quan đến kinh tế thời kỳ Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số 25 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS credit card, can thiệp vào tài khoản nhà băng, thao túng chương trình kiểm tra viết (check writing) Lãng phí lạm dụng xảy tài ngun sử dụng (tình cờ hay chủ đích) cho cơng việc ngược lại với mục đích tổ chức Giải pháp IDS: Network-based IDS thay đổi nhằm ngăn URL, nhiên chương trình chun dụng để ngăn URL có liên hệ với firewall hoạt động hiệu hơn, trì danh sách URL động sách lạm dụng dựa USERID Host-based IDS thực thi sách cơng ty đặt ra, truy nhập trái phép sửa đổi file hệ thống phát thơng qua host-based IDS network-based IDS Bất thay đổi lâp tức ghi biên hệ thống, agent dễ dàng theo dõi hành động Hình 2.11: HIDS có hiệu Internal threat 2.4.2.9 Can thiệp vào biên (Audit trail tampering): Như nói đến trên, hầu hết thông tin tạo nên từ hành động người dùng ghi audit trail riêng hệ thống doanh nghiệp Can thiệp vào biên cách ưa thích để loại bỏ hay che dấu vết Dưới phương thức hacker thường dùng để công vào audit trail che dấu vết: - Audit Deletion : xóa biên bản, vào hệ thống - Deactivation : ngừng tiến trình ghi kiện lên audit trail 26 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS - Modification : sửa kiện mà ghi nhận trước thoát khỏi hệ thống - Flooding : tạo kiện làm nhiễu để ngụy trang cho dấu vết công Giải pháp IDS: Host-based IDS agent quản lý việc can thiệp vào biên (xóa, ngừng hay sửa đổi) thực hành động phù hợp Network-based IDS cung cấp ngữ cảnh cần thiết để phát audit trail bị truy nhập hay sửa đổi 2.4.2.10 Tấn công hạ tầng bảo mật (Security infrastructure attack): Có nhiều loại công can thiệp vào việc điều khiển sở hạ tầng bảo mật, tạo tường lửa trái phép, chỉnh sửa tài khoản người dùng hay router, hay thay đổi quyền file Tấn công vào sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng Cuộc công tạo thay đổi cách truy nhập trái phép tới chức quản trị, tìm console quản trị khơng ý, hay tác động lên người quản trị để thực hành động Trong trường hợp khó phân biệt hành động công hành động người quản trị mạng Giải pháp IDS: Các hành động quản trị mạng thường đăng nhập vào audit trail host hay router node lựa chọn mạng SYSLOG UNIX Host-based IDS bắt giữ đăng nhập mà thực hành động đưa thêm tài khoản có đặc quyền, hay router firewall bị thay đổi cách đáng nghi Còn network-based IDS cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng Phần III Mơ hình hệ thống Network-Based IDS Hệ thống phát xâm nhập trái phép mơ tả dựa nguồn liệu xử lý Theo cách mô tả ta phân hệ thống thành hai loại là: host-based IDS network-based IDS 27 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hình 3.1: Sơ đồ phân loại IDS 3.1 NIDS (Network Intrusion Detection System) NIDS đặt kết nối hệ thống mạng bên mạng bên để giám sát tồn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính (Snort) NIDS sử dụng dò bộ cảm biến cài đặt tồn mạng Những dị theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIPS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng 28 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hình 3.3: Mơ hình Network IDS Người ta thường sử dụng kiểu triển khai sau: Thẳng hàng (Inline ): Một Sensor thẳng hàng đặt cho lưu lượng mạng mà giám sát xuyên qua giống trường hợp cùa firewall Thực tế số Sensor thẳng hàng sử dụng loại lai firewall NIDS, số khác NIDS túy Động việc triển khai Sensor kiểu thẳng hàng dừng công việc chặn lưu lượng mạng (blocking network traffic) Sensor thẳng hàng thường triển khai vị trí tương tự với firewall thiết bị bảo mật khác: ranh giới mạng 29 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hình 3.4: Mơ hình triển khai Sensor kiểu Inline Sensor thẳng hàng cịn triển khai vùng mạng bảo mật phía trước thiết bị bảo mật firewall để bảo vệ giảm tải cho thiết bị Thụ động (Passive ): Sensor kiểu thụ động triển khai cho giám sát lưu lượng mạng Thường triển khai giám sát vị trí quan trọng mạng ranh giới mạng, đoạn mạng quan trọng ví dụ Server farm DMZ Sensor thụ động giám sát lưu lượng mạng qua nhiều cách Spanning port (hoặc Mirror port), Network tap IDS loadbalancer 30 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Hình 3.5: Mơ hình triển khai Sensor kiểu Passive 3.2 Lợi Network IDS: Quản lý network segment (gồm nhiều host) "Trong suốt" với người sử dụng lẫn kẻ cơng Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng Tránh DOS ảnh hưởng tới host Có khả xác định lỗi tầng Network (trong mơ hình OSI) Độc lập với OS 3.3 Hạn chế Network IDS: Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion Khơng thể phân tích traffic encrypt (vd: SSL, SSH, IPSec…) 31 Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B ... Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Sensor yếu tố cốt lõi hệ thống phát xâm nhập, có trách nhiệm phát xâm nhập nhờ chứa cấu định xâm nhập Sensor nhận liệu thô từ ba... Hệ thống phát xâm nhập IDS 2.1 Cơ IDS Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS 2.1.1 Định nghĩa IDS (Intrusion Detection System) hệ. ..2 Nghiên hệ thống phát xâm nhập IDS Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B Nghiên hệ thống phát xâm nhập IDS Phần I: Tổng quan an ninh