Tiểu luận môn mạng máy tính và bảo mật TÌM HIỂU VỀ HỆ THỐNG IDS IPS

Khái niệm IDS Hệ thống phát hiện xâm nhập IDS là hệ thống có nhiệm vụ theo dõi, phát hiện và có thể ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống

MỤC LỤC

I Khái niệm IDS\IPS: 2

1 Khái niệm IDS 2

2 Khái niệm IPS 2

II Phân loại IDS/IPS: 3

1 Network based IDS – NIDS 3

2 Host based IDS – HIDS 4

III Cơ chế hoạt động của hệ thống IDS/IPS : 4

1 Phát hiện sự lạm dụng 4

2 Phát hiện sự bất thường: 5

IV Một số sản phẩm của IDS/IPS 7

 Cisco IDS-4235 8

 ISS Proventia A201 8

 NFR NID-310 8

Lời mở đầu

Với nhu cầu trao đổi thong tin ngày nay bắt buộc các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu Internet An toàn và bảo mật thông tin là một trong những vấn đề quantrọnghang đầu khi thực hiện kết nốiInternet

Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộđãđược nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có cáctổchức bị đánh cắp thông tin,…gây nên những hậu quả vô cùng nghiêmtrọng.Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên mạng Internet, đa phần vì các mục đích xấu và không được báo trước, số lượng các vụ tấn công tang lên nhanh chóng và các phương pháp tấn công cũng liên tục được hoàn thiện

Vì vậy việc kết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải cócác biện pháp đảm bảo an ninh

TÌM HIỂU VỀ HỆ THỐNG IDS/IPS

I Khái niệm IDS\IPS:

1 Khái niệm IDS

Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống

Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thống được bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép

2 Khái niệm IPS

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa

ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi

Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm nhập hay IPS

Sự khác nhau giữa IDS và IPS

Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và

“ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệtrong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơtheo các quy định được người quản trịthiết lập sẵn

Tuy vậy, sựkhác biệt này trên thực tếkhông thật sựrõ ràng Một sốhệthống IDS được thiết kếvới khảnăng ngăn chặn nhưmột chức năng tùy chọn Trong

khi đó một sốhệthống IPS lại không mang đầy đủchức năng của một hệthống

phòng chống theo đúng nghĩa Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trảlời tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụthểcũng nhưchính sách an ninh của những người quản trịmạng Trong trường hợp các mạng có quy mô nhỏ, với một máy chủan ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó Tuy nhiên với các mạng lơn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng nhưmột firewall chẳng hạn Khi đó, hệthống cảnh báo sẽchỉcần theo dõi, phát hiện và gửi các cảnh báo đến một hệthống ngăn chặn khác Sựphân chia trách nhiệm này sẽlàm cho việc đảm bảo an ninh cho mạng trởnên linh động và hiệu quảhơn

II Phân loại IDS/IPS:

Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựa vào đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IDS được chia thành các loại sau:

• Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công đang cố gắng tạo đường lưu lượng thông qua thiết bị NIDS trên mạng Thiết bịmàu đỏ biểu thị nơi NIDS được cài đặt.

• Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn

để phát hiện xâm nhập

HIDS là một giải pháp toàn diện hơn và cho thấy sự mạnh mẽ hơn trong các môi trường mạng Nó không quan tâm đến vị trí các máy tính đặt ở đâu và được bảo vệ mọi lúc Các máy màu vàng thể hiện nơi HIDS được cài đặt.

1 Network based IDS – NIDS

NIDS thường bao gồm có hai thành phần logic :

• Bộcảm biến – Sensor : đặt tại một đoạn mạng, kiểm soát các cuộc lưu

thông nghi ngờ trên đoạn mạng đó

• Trạm quản lý : nhận các tín hiệu cảnh báo từ bộcảm biến và thông báo

cho một điều hành viên.

2 Host based IDS – HIDS

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường

sử dụng các cơ chế kiểm tra và phân tích các thông tin được logging Nó tìm kiếm các hoạt động bất thường như login, truy nhập file không thích hợp, bước leo thang các đặc quyền không được chấp nhận

Kiến trúc IDS này thường dựa trên các luật (rule-based) đểphân tích các hoạt động Ví dụ đặc quyền của người sửdụng cấp cao chỉcó thể đạt được thông qua lệnh su-select user, nhưvậy những cốgắng liên tục đểlogin vào account root có thể được coi

là một cuộc tấn công

So sánh

Chức năng HID

S

NID

S Các đánh giá

Bảo vệ trong mạng

LAN **** **** Cả hai đều bảo vệ bạn khi trong mạng LAN

Bảo vệ ngoài mạng

LAN **** - Chỉ có HIDS

Dễ dàng cho việc

quản trị **** ****

Tương đương như nhau xét về bối cảnh quản trị chung

Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn

Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn nếu chọn

đúng sản phẩm

Dễ dàng trong việc

bổ sung **** **** Cả hai tương đương nhau

Đào tạo ngắn hạn

cần thiết **** ** HIDS yêu cầu việc đào tạo ít hơn NIDS

Tổng giá thành *** ** HIDS tiêu tốn của bạn ít hơn

Băng tần cần yêu

cầu trong LAN 0 2

NIDS sử dụng băng tần LAN rộng, còn HIDS thì không

Network overhead 1 2 NIDS cần 2 yêu cầu băng tần mạng đối với

bất kỳ mạng LAN nào Băng tần cần yêu

cầu (Internet) ** **

Cả hai đều cần băng tần Internet để cập nhật kịp thời các file mẫu

Các yêu cầu về

cổng mở rộng - ****

NIDS yêu cầu phải kích hoạt mở rộng cổng

để đảm bảo lưu lượng LAN của bạn được quét

Chu kỳ nâng cấp

cho các client ****

-HIDS nâng cấp tất cả các client với một file mẫu trung tâm

Khả năng thích nghi

trong các nền ứng

dụng

** **** NIDS có khả năng thích nghi trong các nền

ứng dụng hơn Chế độ quét thanh

ghi cục bộ ****

-Chỉ HIDS mới có thể thực hiện các kiểu quét này

Bản ghi *** *** Cả hai hệ thống đề có chức năng bản ghi

Chức năng cảnh

báo *** ***

Cả hai hệ thống đều có chức năng cảnh báo cho từng cá nhân và quản trị viên

Quét PAN **** - Chỉ có HIDS quét các vùng mạng cá nhân

của bạn Loại bỏ gói tin - **** Chỉ các tính năng NIDS mới có phương thức

này Kiến thức chuyên

môn *** ****

Cần nhiều kiến thức chuyên môn khi cài đặt

và sử dụng NIDS đối với toàn bộ vấn đề bảo mật mạng của bạn

Quản lý tập trung ** *** NIDS có chiếm ưu thế hơn

Khả năng vô hiệu

hóa các hệ số rủi ro * **** NIDS có hệ số rủi ro nhiều hơn so với HIDS

Khả năng cập nhật *** ***

Rõ ràng khả năng nâng cấp phần mềm là dễ hơn phần cứng HIDS có thể được nâng cấp thông qua script được tập trung

Các nút phát hiện

nhiều đoạn mạng

LAN

**** ** HIDS có khả năng phát hiện theo nhiều đoạn

mạng toàn diện hơn

Câu hỏi cho NIDS hay HIDS?

Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN Khi quản lý một giải pháp HIDS

nó yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều

đến sự quan tâm của bạn

Mặc dù vậy cần phải nhấn mạnh ở đây rằng nếu bạn cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các client Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện

mà chỉ quét được một đoạn Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn

IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ

có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản

để ghi cho tất cả máy trên mạng Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp Giải pháp NIDS thường tốn kém hơn so với HIDS

Ví dụ kết hợp giữa HIDS và NIDS

Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằmhạn chế bớt các kết nối nguy hiểm với mạng bên ngoài Network-based IDS đượcđặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống Phía bênt r o n g H o s t - b a s e d I D S đ ư ợ c c à i đ ặ t t r ê n c á c m á y cầ n

b ả o vệ v à p h â n t í c h m ọ i tương tác trên máy đó Manager Console là nơi nhận các cảnh báo từ NIDS vàHIDS khi chúng phát hiện ra có xâm nhập trái phép

III Cơ chế hoạt động của IDS:

Kiến trúc IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thuthập gói tin (information collection), thành phần phân tích gói tin(Dectection),thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn côngc ủ a t i n t ặc T r o n g b a t hà n h p hầ n n à y t h ì

t h à n h p h ầ n p hâ n t í c h g ó i t i n l à q u a n trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng tasẽ đi vào phân tích bộ cảm biến

để hiểu rõ hơn kiến trúc của hệ thống phát hiệnxâm nhập là như thế nào

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ.Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả.Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm

ẩn (tạo ra từ nhiều hành động khác nhau)

- IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ

IV Cơ chế hoạt động của hệ thống IPS :

Có hai cách tiếp cận cơbản đối với việc phát hiện và phòng chống xâm nhập là :

 Phát hiện sựlạm dụng (Misuse Detection Model): Hệthống sẽphát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩthuật xâm nhập đã được biết đến (dựa trên các dấu hiệu -signatures) hoặc các điểm dễbịtấn công của hệthống

 Phát hiện sựbất thường (Anomaly Detection Model): Hệthống sẽphát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành

vi thông thường của người dùng hay hệthống

1 Phát hiện sự lạm dụng Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết.Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệthống đã được biết đến, mỗi cách thức này được mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ

Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập(intrusion scenario) Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ

thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành Hệ thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành

Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô hình hoá các hành vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó

có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn

về phép biến đổi trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng

hệ thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thống phát hiện sự lạm dụng sẽ dựa theo đó để theo vết hành động xâm nhập

Trong một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập Bộ dò tìm phân tích thông tin hệ thống

để kiểm tra bước tiếp theo, và khi cần sẽ can thiệp để làm giảm bởi tác hại có thể

2 Phát hiện sự bất thường:

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của hệ

thống để phân biệt chúng với các hành vi không mong muốn hoặc bất thường, tìm

ra các thay đổi, các hành vi bất hợp pháp

Nhưvậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn

Phát hiện sự không bình thường được chia thành hai loại tĩnh và động

 Phát hiện tĩnh

Dựa trên giả thiết ban đầu là phần hệ thống được kiểm soát phải luôn luôn không đổi Ở đây, ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả sử là phần cứng không cần phải kiểm tra) Phần tĩnh của một hệ thống bao

gồm 2 phần con: mã hệ thống và dữ liệu của phần hệ thống đó Hai thông tin này đều được biểu diễn dưới dạng một xâu bit nhị phân hoặc một tập các xâu Nếu biểu diễn này có sự sai khác so với dạng thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ