Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Nội dung
03/05/2014 BÀI CÁC HỆ THỐNG PHÒNG CHỐNG VÀ NGĂN CHẶN TẤN CÔNG Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Nội dung • Tổng quan phòng chống phát công • Hệ thống phát công (IDS) • Hệ thống ngăn chặn công (IPS) • Tường lửa 03/05/2014 ĐẶT VẤN ĐỀ Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Vấn đề phát công • Không thể tạo hệ thống hoàn toàn an toàn bảo mật • Giải pháp chung: phát ngăn chặn hành vi công, khai thác lỗ hổng an toàn bảo mật Bao gồm vấn đề phục hồi sau công, truy vết công, ngăn chặn công Bảo vệ đa tầng (Defense in depth) Chú ý: khai thác lỗ hổng tài nguyên sách an toàn bảo mật • Các vấn đề: Không có mô hình cụ thể nguyên lý để giải Rất nhiều vấn đề triển khai (vị trí giám sát, phát lỗ hổng thể nào, độ xác, khả vượt qua kẻ công) 03/05/2014 Một ví dụ • Giả sử website công ty FooCorp cung cấp dịch vụ thông qua URL: http://foocorp.com/amazeme.exe?profile=info/luser.txt • Dịch vụ cho phép hiển thị hồ sơ cá nhân nhân viên công ty Kịch truy cập GET /amazeme.exe?profile=xxx Internet FooCorp Servers FooCorp’s border router GET /amazeme.exe?profile=xxx Front-end web server amazeme.exe? profile=xxx Remote client http://foocorp/amazeme.exe?profile=xxx GET /amazeme.exe?profile=xxx bin/amazeme -p xxx 03/05/2014 Kịch truy cập 200 OK Output of bin/amazeme Internet FooCorp Servers FooCorp’s border router 200 OK Output of bin/amazeme Front-end web server Remote client 200 OK Output of bin/amazeme Output of bin/amazeme sent back bin/amazeme -p xxx 10 Trình duyệt hiển thị Thực thi hành vi công • http://foocorp.com/amazeme.exe?profile= / / / / /etc/passwd Kết trả chứa thông tin nhạy cảm 03/05/2014 Làm để phát hiện? • Cách thức 1: Triển khai hệ thống phát công dạng NIDS (Network-based IDS) Giám sát tất thông điệp HTTP Request Phát công yêu cầu chứa “/etc/passwd” và/hoặc “ / /” • Ưu điểm? • Hạn chế? GP1: Sử dụng NIDS GET /amazeme.exe?profile=xxx 200 OK Output of bin/amazeme Internet FooCorp’s border router Monitor sees a copy of incoming/outgoing HTTP traffic FooCorp Servers Front-end web server Remote client NIDS bin/amazeme -p xxx 10 03/05/2014 Làm để phát hiện? • Giải pháp 2: sử dụng HIDS (Host-based IDS) Kiểm tra giá trị truyền cho đối số • Ưu điểm? • Hạn chế? 11 GP2: Sử dụng HIDS Internet FooCorp Servers FooCorp’s border router HIDS instrumentation added inside here Front-end web server amazeme.exe? profile=xxx Remote client Output of bin/amazeme sent back bin/amazeme -p xxx 12 03/05/2014 Làm để phát hiện? • Giải pháp 3: sử dụng tiện ích quét định kỳ file nhật ký (log file) hệ thống Ưu điểm Nhược điểm • Giải pháp 4: giám sát lời gọi hệ thống từ web server Ưu điểm Nhược điểm • Nhận xét chung giải pháp: gặp vấn đề lớn Chính xác Kịp thời 13 Giải pháp tốt • Thay phát công, tìm cách ngăn chặn • Quét lỗ hổng: thực công lên tài nguyên cần bảo vệ, qua phát lỗ hổng ATBM tồn hệ thống • Ưu điểm? • Nhược điểm? 14 03/05/2014 HỆ THỐNG PHÁT HIỆN TẤN CÔNG (IDS) Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 15 Khái niệm • IDS-Intrusion Detection System: Là hệ thống có khả theo dõi, giám sát, phát (có thể) ngăn chặn hành vi công, khai thác trái phép tài nguyên bảo vệ • Yêu cầu: Chính xác Kịp thời Khả chịu lỗi cao 16 03/05/2014 Kiến trúc chung 17 Kiến trúc chung (tiếp)s • Bộ cảm biến (Sensor): thu thập liệu từ hệ thống • • • • giám sát Bộ phát : Thành phần phân tích tổng hợp thông tin từ liệu thu cảm biến dựa sở tri thức hệ thống Bộ lưu trữ : Lưu trữ tất liệu hệ thống IDS, bao gồm: liệu cảm biến, liệu phân tích phát hiện, sở tri thức, cấu hình hệ thống … nhằm phục vụ trình hoạt động hệ thống IDS Bộ phản ứng : Thực phản ứng lại với hành động phát Giao diện người dùng 18 03/05/2014 Tính xác • Đánh giá qua giá trị: FPR (False Positive Rate): tỉ lệ phát nhầm FNR (False Negative Rate): tỉ lệ bỏ sót • I: kiện có công xảy • A: kiện hệ thống IDS phát cảnh báo • FPR = P(A | not I) • FNR = P(not A | I) 19 FNR = hay FPR = ? • Trong ví dụ công ty FooCorp, để phát URL độc hại: void my_detector_that_never_misses(char *URL) { printf("yep, it's an attack!\n"); } Nhận xét: FNR = (Woo-hoo!) • Để FPR = void my_detector_that_never_mistakes(char *URL) { printf(“nope, not an attack!\n"); } 20 10 03/05/2014 Tính xác (tiếp) • Cần cân FPR FNR • Nên lựa chọn hệ thống có FPR thấp hay FNR thấp? Phụ thuộc vào mức độ thiệt hại hệ thống với dạng lỗi xảy Phụ thuộc vào tỉ lệ công thực tế • Ví dụ: Giả sử hệ thống có FPR = 0.1% FNR = 2% Trường hợp 1: ngày hệ thống có 1000 truy cập, có truy cập công: Phát nhầm: 995 x 0.1% ~ truy cập hợp lệ/1 ngày Bỏ sót: x 2% ~ 0.1 (bỏ sót