03/05/2014 BÀI CÁC HỆ THỐNG PHÒNG CHỐNG VÀ NGĂN CHẶN TẤN CÔNG Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Nội dung • Tổng quan phòng chống phát công • Hệ thống phát công (IDS) • Hệ thống ngăn chặn công (IPS) • Tường lửa 03/05/2014 ĐẶT VẤN ĐỀ Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Vấn đề phát công • Không thể tạo hệ thống hoàn toàn an toàn bảo mật • Giải pháp chung: phát ngăn chặn hành vi công, khai thác lỗ hổng an toàn bảo mật  Bao gồm vấn đề phục hồi sau công, truy vết công, ngăn chặn công  Bảo vệ đa tầng (Defense in depth)  Chú ý: khai thác lỗ hổng tài nguyên sách an toàn bảo mật • Các vấn đề:  Không có mô hình cụ thể nguyên lý để giải  Rất nhiều vấn đề triển khai (vị trí giám sát, phát lỗ hổng thể nào, độ xác, khả vượt qua kẻ công) 03/05/2014 Một ví dụ • Giả sử website công ty FooCorp cung cấp dịch vụ thông qua URL: http://foocorp.com/amazeme.exe?profile=info/luser.txt • Dịch vụ cho phép hiển thị hồ sơ cá nhân nhân viên công ty Kịch truy cập GET /amazeme.exe?profile=xxx Internet FooCorp Servers FooCorp’s border router GET /amazeme.exe?profile=xxx Front-end web server amazeme.exe? profile=xxx Remote client http://foocorp/amazeme.exe?profile=xxx GET /amazeme.exe?profile=xxx bin/amazeme -p xxx 03/05/2014 Kịch truy cập 200 OK Output of bin/amazeme Internet FooCorp Servers FooCorp’s border router 200 OK Output of bin/amazeme Front-end web server Remote client 200 OK Output of bin/amazeme Output of bin/amazeme sent back bin/amazeme -p xxx 10 Trình duyệt hiển thị Thực thi hành vi công • http://foocorp.com/amazeme.exe?profile= / / / / /etc/passwd Kết trả chứa thông tin nhạy cảm 03/05/2014 Làm để phát hiện? • Cách thức 1: Triển khai hệ thống phát công dạng NIDS (Network-based IDS)  Giám sát tất thông điệp HTTP Request  Phát công yêu cầu chứa “/etc/passwd” và/hoặc “ / /” • Ưu điểm? • Hạn chế? GP1: Sử dụng NIDS GET /amazeme.exe?profile=xxx 200 OK Output of bin/amazeme Internet FooCorp’s border router Monitor sees a copy of incoming/outgoing HTTP traffic FooCorp Servers Front-end web server Remote client NIDS bin/amazeme -p xxx 10 03/05/2014 Làm để phát hiện? • Giải pháp 2: sử dụng HIDS (Host-based IDS)  Kiểm tra giá trị truyền cho đối số • Ưu điểm? • Hạn chế? 11 GP2: Sử dụng HIDS Internet FooCorp Servers FooCorp’s border router HIDS instrumentation added inside here Front-end web server amazeme.exe? profile=xxx Remote client Output of bin/amazeme sent back bin/amazeme -p xxx 12 03/05/2014 Làm để phát hiện? • Giải pháp 3: sử dụng tiện ích quét định kỳ file nhật ký (log file) hệ thống  Ưu điểm  Nhược điểm • Giải pháp 4: giám sát lời gọi hệ thống từ web server  Ưu điểm  Nhược điểm • Nhận xét chung giải pháp: gặp vấn đề lớn  Chính xác  Kịp thời 13 Giải pháp tốt • Thay phát công, tìm cách ngăn chặn • Quét lỗ hổng: thực công lên tài nguyên cần bảo vệ, qua phát lỗ hổng ATBM tồn hệ thống • Ưu điểm? • Nhược điểm? 14 03/05/2014 HỆ THỐNG PHÁT HIỆN TẤN CÔNG (IDS) Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 15 Khái niệm • IDS-Intrusion Detection System: Là hệ thống có khả theo dõi, giám sát, phát (có thể) ngăn chặn hành vi công, khai thác trái phép tài nguyên bảo vệ • Yêu cầu:  Chính xác  Kịp thời  Khả chịu lỗi cao 16 03/05/2014 Kiến trúc chung 17 Kiến trúc chung (tiếp)s • Bộ cảm biến (Sensor): thu thập liệu từ hệ thống • • • • giám sát Bộ phát : Thành phần phân tích tổng hợp thông tin từ liệu thu cảm biến dựa sở tri thức hệ thống Bộ lưu trữ : Lưu trữ tất liệu hệ thống IDS, bao gồm: liệu cảm biến, liệu phân tích phát hiện, sở tri thức, cấu hình hệ thống … nhằm phục vụ trình hoạt động hệ thống IDS Bộ phản ứng : Thực phản ứng lại với hành động phát Giao diện người dùng 18 03/05/2014 Tính xác • Đánh giá qua giá trị:  FPR (False Positive Rate): tỉ lệ phát nhầm  FNR (False Negative Rate): tỉ lệ bỏ sót • I: kiện có công xảy • A: kiện hệ thống IDS phát cảnh báo • FPR = P(A | not I) • FNR = P(not A | I) 19 FNR = hay FPR = ? • Trong ví dụ công ty FooCorp, để phát URL độc hại: void my_detector_that_never_misses(char *URL) { printf("yep, it's an attack!\n"); }  Nhận xét: FNR = (Woo-hoo!) • Để FPR = void my_detector_that_never_mistakes(char *URL) { printf(“nope, not an attack!\n"); } 20 10 03/05/2014 Tính xác (tiếp) • Cần cân FPR FNR • Nên lựa chọn hệ thống có FPR thấp hay FNR thấp?  Phụ thuộc vào mức độ thiệt hại hệ thống với dạng lỗi xảy  Phụ thuộc vào tỉ lệ công thực tế • Ví dụ: Giả sử hệ thống có FPR = 0.1% FNR = 2%  Trường hợp 1: ngày hệ thống có 1000 truy cập, có truy cập công:  Phát nhầm: 995 x 0.1% ~ truy cập hợp lệ/1 ngày  Bỏ sót: x 2% ~ 0.1 (bỏ sót