Tài liệu nói về hệ thống phát hiện xâm nhập IDS, qua các khái niệm, lợi ich của IDS và phân loại rõ ràng các mạng IDS và kiến trúc.IDS giúp chúng ta khám phá, phân tích một nguy cơ tấn công mới. Từ đó vạch ra phương án phòng chống, ở một góc độ nào đó có thể lần tìm được thủ phạm gây ra một cuộc tấn công.
ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Mục lục Mở đầu Ngày nay, giới công nghệ thông tin phát triển nhanh, mang lại lợi ích thiết thực nhiều mặt như: kinh tế, xã hội, trị, y tế, quân sự… họp tổ chức, quan, công ty hay buổi hội thảo xuyên quốc gia, xuyên lục địa (Video Conference) Mạng Internet ngày đóng vai trò quan trọng hoạt động người Với lượng thông tin ngày phong phú đa dạng Khơng có ý nghĩa nơi tra cứu tin tức kiện diễn đời sống hàng ngày, Internet đóng vai trò cầu nối liên kết người với vùng địa lý Các khoảng cách địa lý khơng ý nghĩa, người cách nửa vòng trái đất họ trao đổi thông tin, chia sẻ liệu cho người văn phòng Ði đơi với phát triển bảo mật mạng nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại công xâm nhập thực trao đổi thông tin, giao dịch qua mạng an tồn Cơng nghệ có ưu điểm nhược điểm Người cơng (Attacker) chúng lợi dụng lỗ hổng hệ thống để truy xuất bất hợp phát vào khai thác thơng tin quan trọng, liệu có tính chất bảo mật, nhạy cảm, thơng tin mật quốc phòng… Vì cần phải có biện pháp, phương pháp để phát truy nhập trái phép Hiện có nhiều cơng ty tổ chức áp dụng biện pháp khác Trong tiểu luận tìm hiểu cơng hệ hệ thống phát xâm nhập IDS ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Sự cần thiết IDS: I) Hiện có nhiều cơng cụ nhằm gia tăng tính bảo mật cho hệ thống Các cơng cụ hoạt động có hiệu quả, nhiên chúng có hạn chế riêng làm hệ thống có nguy bị cơng cao Hình 1: Firewall bảo vệ hệ thống Firewall công cụ hoạt động ranh giới bên hệ thống Internet bên ngồi cung cấp chế phòng thủ từ vành đai Nó hạn chế việc truyền thơng hệ thống với kẻ xâm nhập tiềm tàng làm giảm rủi ro cho hệ thống Đây công cụ thiếu giải pháp bảo mật tổng thể Tuy nhiên Firewall có điểm yếu sau: • Firewall khơng quản lý hoạt động người dùng vào hệ thống, chống lại đe dọa từ hệ thống • Firewall cần phải đảm bảo mức độ truy cập tới hệ thống, việc cho phép việc thăm dò điểm yếu • Chính sách Firewall chậm trễ so với thay đổi mơi trường, điều tạo nên hội cho việc xâm nhập cơng s Hacker sử dụng phương thức tác động đến yếu tố người để truy nhập cách tin cậy loại bỏ chế firewall • Firewall khơng ngăn việc sử dụng modem khơng xác thực khơng an tồn gia nhập rời khỏi hệ thống • Firewall khơng hoạt động tốc độ có lợi cho việc triển khai Intranet IDS cung cấp chế thăm dò dự đoán hoạt động gây hại cho hệ thống nên bù đắp thiếu sót Firewall Sự kết hợp hai công cụ gia tăng tính bảo mật ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS II) Giới thiệu IDS: Là hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài ra,IDS đảm nhận việc phản ứng lại lưu thơng bất thừong hay có hại hành động thiết lập từ trước khóa người dùng hay hay địa IP nguồn truy cập hệ thống mạng IDS phân biệt công bên từ bên (từ người công ty) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường Hệ thống phát xâm nhập trái phép ứng dụng phần mềm chuyên dụng để phát xâm nhập vào hệ thống mạng cần bảo vệ IDS thiết kế khơng phải với mục đích thay phương pháp bảo mật truyền thống, mà để hoàn thiện Một hệ thống phát xâm nhập trái phép cần phải thỏa mãn u cầu sau: • Tính xác (Accuracy): IDS khơng coi hành động thông thường môi trường hệ thống hành động bất thường hay lạm dụng (hành động thông thường bị coi bất thường gọi false positive) • Hiệu năng:Hiệu IDS phải đủ để phát xâm nhập trái phép thời gian thực (thời gian thực nghĩa hành động xâm nhập trái phép phải phát trước xảy tổn thương nghiêm trọng tới hệ - theo [Ranum, 2000] phút) • Tính trọn vẹn (Completeness): IDS khơng bỏ qua xâm nhập trái phép (xâm nhập không bị phát gọi false negative) Đây điều kiện khó thỏa mãn vĩ gần khơng thể có tất thơng tin công từ khứ, tương lai • Chịu lỗi (Fault Tolerance): thân IDS phải có khả chống lại cơng • Khả mở rộng (Scalability): IDS phải có khả xử lý trạng thái xấu không bỏ sót thơng tin u cầu có liên quan đến hệ thống mà kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Một số khái niệm IDS III) a) Network IDS NIDS Là hệ thống phát cơng, bắt giữ gói tin truyền thiết bị mạng (cả hữu tuyến vô tuyến) so sánh chúng với sở liệu tín hiệu b) HostIDS HIDS Được cài đặt tác nhân máy chủ Những hệ thống phát xâm nhập xem tệp tin log trình ứng dụng hệ thống để phát hành động xâm nhập c) Signature Là phần mà ta thấy gói liệu Nó sử dụng để phát nhiều kiểu cơng Signature có mặt phần khác gói liệu Ví dụ ta tìm thấy tín hiệu header IP, header tầng giao vận (TCP, UDP header) header tầng ứng dụng Thông thường, IDS định dựa tín hiệu tim thấy hành động xâm nhập Các nhà cung cap IDS thường xuyên cập nhật tín hiệu công chúng bị phát d) Alert Là lời thông báo ngắn hành động xâm nhập bất hơp pháp Khi IDS phát kẻ xâm nhập, thơng báo cho người quản trị bảo mật bang alert Alert hĩnh, đăng nhập bang mail bàng nhiều cách khác Alert lưu vào file vào sở liệu để chuyên gia bảo mật xem lại e) Log Thông thường, thông tin mà IDS thu lưu lại file Chúng lưu lại dạng text dạng nhị phân Tốc độ lưu lại thông tin dạng nhị phân nhanh dạng text f) False Alarm Là thông báo dấu giống dấu hiệu xâm nhập hành động g) Sensor Là thiết bị mà hệ thống phát xâm nhập chạy vĩ sử dụng giác quan mạng Cũng tương tự sensor tài liệu kỹ thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu sắc, áp xuất sensor bắt tín hiệu có dấu hiệu xâm nhập bất họp pháp ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Vị trí sensor phụ thuộc vào mơ hĩnh hệ thống mạng Ta đặt nhiều nơi, phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external 2) IV) Lợi ích chức IDS 1) Lợi ích IDS Lợi hệ thống phát kiểu công chưa biết trước Sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng, lợi ích mà đem lại lớn Một mặt giúp hệ thống an tồn trước nguy cơng, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng 2) Chức IDS Hệ thống phát xâm nhập cho phép tổ chức bảo vệ hệ thống họ khỏi đe dọa với việc gia tăng kết nối mạng tin cậy hệ thống thông tin Những đe dọa an ninh mạng ngày trở nên cấp thiết đặt câu hỏi cho nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát xâm nhập trừ đặc tính hệ thống phát xâm nhập hữu ích cho họ, bổ sung điểm yếu hệ thống khác IDS có chấp nhận thành phần thêm vào cho hệ thống an tồn hay khơng câu hỏi nhiều nhà quản trị hệ thống Một vài lý nên sử dụng hệ thống IDS: • Bảo vệ tính tồn vẹn (integrity) liệu, bảo đảm quán liệu hệ thống.Các biện pháp đưa ngăn chặn việc thay đổi bất hợp pháp phá hoại liệu • Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ngồi Bảo vệ tính khả dụng, tức hệ thống sẵn sàng thực yêu cầu truy nhập thơng tin người dùng họp pháp • Bảo vệ tính riêng tư, tức đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo chức năng, nhiệm vụ phân cấp, ngăn chặn truy nhập thông tin bất hợp pháp • Cung cấp thơng tin xâm nhập, đưa sách đối phó, khơi phục, sửa chữa Nói tóm lại ta tóm tắt IDS sau: ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Chức quan trọng là: giám sát - cảnh báo - bảo vệ • Giám sát: lưu lượng mạng hoạt động khả nghi • Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị • Bảo vệ: Dùng thiết lập mặc định cấu hĩnh từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Chức mở rộng: • Phân biệt: "thù giặc ngồi" cơng bên cơng bên ngồi • Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline Ngoài hệ thống phát xâm nhập IDS có chức năng: • Ngăn chặn gia tăng cơng • Bổ sung điểm yếu mà hệ thống khác chưa làm • Đánh giá chất lượng việc thiết kế hệ thống Khi IDS chạy thời gian đưa điểm yếu điều hiển nhiên Việc đưa điểm yếu nhằm đánh giá chất lượng việc thiết kế mạng cách bố trí bảo vệ phòng thủ nhà quản trị mạng V) Phân loại IDS: 1) Network Base IDS (NIDS) Hình 2: ví dụ NIDS Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hĩnh nhằm tim biện pháp ngăn chặn xâm nhập xa NIPS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng Được đặt kết nối hệ thống mạng bên mạng bên để giám sát tồn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lưu lượng mạng sử dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao a) Lợi Network-Based IDSs: • Quản lý network segment (gồm nhiều host) • "Trong suốt" với người sử dụng lẫn kẻ công • Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng • Tránh DOS ảnh hưởng tới host • Có khả xác định lỗi tầng Network (trong mơ hình OSI) • Độc lập với OS b) Hạn chế Network-Based IDSs: • Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion • Khơng thể phân tích lưu lượng đóng gói (vd: SSL, SSH, IPSec ) • NIDS đòi hỏi phải cập nhật chữ ký để thực an tồn • Có độ trễ thời điểm bị công với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại • Khơng cho biết việc cơng có thành cơng hay khơng Một hạn chế giới hạn băng thơng Những dò mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên thi khả đầu dò Một giải pháp bảo đảm cho mạng thiết kế xác phép đặt nhiều đầu dò Khi mà mạng phát triển, thi nhiều đầu dò lắp thêm vào để bảo đảm truyền thông bảo mật tốt ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Một cách mà hacker cố gắng nhằm che đậy cho hoạt động họ gặp hệ thống IDS dựa mạng phân mảnh gói thơng tin họ Mỗi giao thức có kích cỡ gói liệu giới hạn, liệu truyền qua mạng lớn kích cỡ thi gói liệu phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu mẫu nhỏ Thứ tự việc xếp lại không thành vấn đề miễn không xuất hiện tượng chồng chéo Neu có tượng phân mảnh chồng chéo, cảm biến phải biết trình tái họp lại cho Nhiều hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo Một cảm biến không phát hoạt động xâm nhập cảm biến xếp lại gói thơng tin cách xác 2) Host Based IDS (HIDS) Hình 3: ví dụ HIDS Bằng cách cài đặt phần mềm tất máy tính chủ, IPS dựa máy chủ quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dõi OS, gọi hệ thống, lịch sử sổ sách (audit log) thông điệp báo lỗi hệ thống máy chủ Trong đầu dò mạng phát cơng, thi có hệ thống dựa máy chủ xác định xem cơng có thành cơng hay không Thêm là, hệ thống dựa máy chủ ghi nhận việc mà người cơng làm máy chủ bị công Không phải tất công thực qua mạng Bằng cách giành quyền truy cập mức vật lý vào hệ thống máy tính, kẻ xâm nhập cơng hệ thống hay liệu mà không cần phải tạo lưu lượng mạng Hệ thống ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS dựa máy chủ phát công mà không qua đường public hay mạng theo dõi, hay thực từ cổng điều khiển với kẻ xâm nhập có hiểu biết, có kiến thức hệ IDS nhanh chóng tắt tất phần mềm phát có quyền truy cập vật lý Một ưu điểm khác IDS dựa máy chủ ngăn chặn kiểu cơng dùng phân mảnh TTL Vì host phải nhận tái hợp phân mảnh xử lí lưu lượng nên IDS dựa host giám sát chuyện HIDS thường cài đặt máy tính đinh Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính HIDS thường đặt host xung yếu tổ chức, server vùng DMZ - thường mục tiêu bị cơng Nhiêm vụ HIDS giám sát thay đổi hệ thống, bao gồm • Các tiến trình • Các entry Registry • Mức độ sử dụng CPU • Kiểm tra tính tồn vẹn truy cập hệ thống file • Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống file gây báo động a) Lợi HIDS • Có khả xác đinh user liên quan tới event • HIDS có khả phát công diễn máy, NIDS khơng có khả • Có thể phân tích liệu mã hố • Cung cấp thông tin host lúc công diễn host b) Hạn chế HIDS • Thơng tin từ HIDS khơng đáng tin cậy công vào host thành cơng • Khi OS bị "hạ" cơng, đồng thời HIDS bị "hạ" ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS • HIDS phải thiết lập host cần giám sát • HIDS khơng có khả phát dò qt mạng (Nmap, Netcat ) • HIDS cần tài nguyên host để hoạt động s HIDS khơng hiệu bị DOS • Đa số chạy hệ điều hành Window Tuy nhiên có số chạy UNIX hệ điều hành khác Vì hệ thống IDS dựa máy chủ đòi hỏi phần mềm IDS phải cài đặt tất máy chủ nên ác mộng nhà quản trị nâng cấp phiên bản, bảo trì phần mềm, cấu hình phần mềm trở thành công việc tốn nhiều thời gian việc làm phức tạp Bởi hệ thống dựa máy chủ phân tích lưu lượng máy chủ nhận được, chúng phát cơng thăm dò thơng thường thực nhằm chống lại máy chủ nhóm máy chủ Hệ thống IDS dựa máy chủ không phát chức quét ping hay dò cổng nhiều máy chủ Nếu máy chủ bị thỏa hiệp thi kẻ xâm nhập hồn tồn tắt phần mềm IDS hay tắt kết nối máy chủ Một điều xảy thi máy chủ tạo cảnh báo Phần mềm IDS phải cài đặt hệ thống mạng nhằm cung cấp đầy đủ khả cảnh báo mạng Trong môi trường hỗn tạp, điều vấn đề vĩ phần mềm IDS phải tương ứng nhiều hệ điều hành khác Do trước chọn hệ thống IDS, phải phù hợp chạy tất hệ điều hành 3) So sánh NIDS HIDS Network-based IDS thường sử dụng phương pháp phát anomaly-based phân tích liệu thời gian thực Network-based IDS khơng có tác động tới mạng hay host, nên bảo vệ hệ xác định khỏi cơng thấy cấp mạng Nó quản lý tải truyền thông hữu với workstation, cấu hĩnh lại network routing cần thiết với mơi trường chuyển mạch Host-based IDS sử dụng hai phương pháp công misuse-based anomaly-based HIDS phù hợp với việc giám sát thu thập vết kiểm toán hệ thống thời gian thực định kỳ, phân phối tận dụng CPU mạng đồng thời cung cấp phương thức mềm dẻo cho trình quản trị bảo mật Do hoạt động host nên HIDS khơng thể chống kiểu công vào mạng syn flood, giảm bớt cơng việc cho NIDS đặc biệt với công vào hệ 10 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS thống console network-based IDS môi trường chuyển mạch, khả thực thi sách bảo mật nhà quản trị, Host-based IDS thiết kế để thực thi sách cách dễ dàng, network-based IDS cần phải cập nhật sách offline gây ảnh hưởng mặt an ninh mạng thời gian ngừng hoạt động Nói chung network-based IDS thích hơp với việc xác định giao dịch phức tạp mạng xác định vi phạm bảo mật Việc thực thi NIDS lợi lớn lọc cảnh báo giống HIDS điều khiển từ trung tâm, điều tiện cho việc quản lý phản ứng với cơng Như nói trên, tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hành, hệ thống tập trung vào HIDS Cho dù NIDS có giá trị riêng cần kết họp chặt chẽ thành giải pháp IDS họp lý, khơng phù hơp để phát triển tuân theo kỹ thuật phát triển truyền liệu Hầu hết NIDS không hoạt động tốt mạng chuyển mạch, mạng tốc độ cao 100Mbps, mạng có mã hóa Hơn nữa, khoảng 80 - 85% vụ vi phạm bảo mật có nguồn gốc từ tổ chức Do đó, hệ thống phát xâm nhập trái phép dựa phần lớn vào HIDS, nên sử dụng NIDS để đảm bảo an tồn Nói chung mơi trường thực an toàn cần thực HIDS NIDS nhằm cung cấp khả bảo mật cao cách vừa quản lý tải truyền thông mạng việc khai thác trực tiếp host mạng 11 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Hình 4: Ví dụ kết hợp NIDS HIDS Như hình ta thấy sách bảo mật bao gồm Firewall nhằm hạn chế bớt kết nối nguy hiểm với mạng bên Network-based IDS đặt trước đường mạng ngồi nhằm phân tích liệu vào hệ thống Phía bên Host-based IDS cài đặt máy cần bảo vệ phân tích tương tác máy Manager Console nơi nhận cảnh báo từ NIDS HIDS chúng phát có xâm nhập trái phép Ta giải thích giới hạn loại IDS ví dụ đây, đồng thời nói đến lợi ích việc kết họp hai giải pháp Giả sử hacker muốn xâm nhập vào hệ thống Một IDS ứng dụng phát hacker định ghi đè root directory web server tập file Nhưng khơng thể phát kẻ cơng xóa thư mục quan trọng hệ điều hành /etc UNIX server Trong IDS hệ điều hành phát hacker định xóa thư mục quan trọng hệ điều hành phát hacker định thực cơng dạng mạng LAND (trong gói tin IP sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack khơng thể phục vụ được) Còn network-based IDS với dấu hiệu tĩnh phát hacker thực công mạng dạng DoS attack LAND, khơng thể phát kẻ công thực đánh cắp thông tin credit card thông qua ứng dụng sở liệu Việc kết hợp host-based network- based IDS phát tất kiểu công 12 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS VI) Kiến trúc hệ thống phát xâm nhập 1)Mơ hình chung hệ thống IDS Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác sử dụng IDS Mơ hình cấu trúc chung cho hệ IDS: Hình Mơ hình chung hệ thống IDS Kiến trúc IDS gồm ba thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin ( Detection), thành phần phản hồi (Respontion) gói tin phát cơng tin tặc Trong ba thành phần thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trò định Nhiệm vụ hệ thống phát xâm nhập phòng chống cho hệ thống máy tính cách phát dấu hiệu cơng đẩy lùi Việc phát cơng phụ thuộc vào số lượng kiểu hành động thích hợp Việc làm lệch hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng Cả hệ thống thực cần phải kiểm tra cách liên tục Dữ liệu tạo hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ…) theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình 13 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đơi đưa cảnh báo sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua email 2) Cấu trúc hệ thống phát xâm phạm dạng tập trung: Bộ cảm ứng tích hợp với thành phần thu thập liệu, tạo kiện Cách thu thập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thơng tin sách lưu hệ thống bảo vệ bên ngồi Trong trường hợp đó, ví dụ, luồng liệu kiện truyền tải trực tiếp đến phân tích mà khơng có lưu liệu thực Ðiều liên quan chút đến gói mạng Hình Cấu trúc tập trung Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi có thành phần: Dấu hiệu công, hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thơng với module đáp trả Bộ cảm ứng có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ 14 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS 3) Cấu trúc đa tác nhân Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa ra, tạo phân tích bước đầu chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS IDS sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt trang bị phát cơng phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vị trí vật lý Thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu cơng biết dó Ðây hệ số định nói đến ý nghĩa bảo vệ liên quan đến kiểu công Các giải pháp dựa tác nhân IDS tạo chế phức tạp cho việc nâng cấp sách đáp trả Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số khơng bình thường telnet session bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể Các thu nhận ln ln gửi kết hoạt động chúng đến kiểm tra Hình Cấu trúc đa tác nhân 15 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS 4) Mơ hình giám sát mạng tích hợp Trong hệ thống giám sát mạng với tính kể trên, mơ hình giám sát mạng tích hợp với thành phần: thành phần phát phòng chống xâm nhập (IDS/IPS), thành phần giám sát lưu lượng, thành phần giám sát thiết bị dịch vụ mạng thành phần báo động Các thành phần mơ tả hình sau: Hình Mơ hình giám sát tích hợp Thành phần phát phòng chống xâm nhập mạng: Hệ thống phát xâm nhập (IDS) dùng để lắng nghe, dò tìm gói tin qua hệ thống mạng để phát dấu hiệu bất thường mạng Thông thường dấu hiệu bất thường dấu hiệu công xâm nhập mạng IDS phát tín hiệu cảnh báo tới người quản trị mạng Hệ thống phòng chống xâm nhập (IPS) phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy mạng bị cơng Hệ thống phòng chống xâm nhập kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập có khả phát xâm nhập tự động ngăn chặn cơng Hệ thống IDS/IPS thường đặt phần biên mạng để bảo vệ tất thiết bị mạng Có hai phương pháp dùng việc phân tích kiện để phát vụ công: Phát dựa dấu hiệu phát bất thường Phát dựa dấu hiệu: Phương pháp nhận dạng kiện tập hợp kiện phù hợp với mẫu kiện định nghĩa cơng • Phát bất thường: Cơng cụ thiết lập trạng hoạt động bình thường sau trì trạng hành cho hệ thống Khi hai yếu tố xuất khác biệt, nghĩa có xâm nhập • Q trình phát mô tả ba yếu tố tảng sau: 16 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Thu thập thơng tin: Kiểm tra tất gói tin mạng Phân tích: Phân tích tất gói tin thu thập biết hành động cơng • Cảnh báo: Hành động cảnh báo cho cơng phân tích Thành phần giám sát lưu lượng: • • Một hệ thống IDS/IPS phát phòng chống công xâm nhập mạng dựa vào dấu hiệu công lưu trữ cập nhập thường xuyên Tuy nhiên không tránh khỏi trường hợp có dạng cơng mà dấu hiệu chưa biết tới Hệ thống giám sát lưu lượng hỗ trợ cho người quản trị mạng giám sát lưu lượng trao đổi thiết bị mạng Nó hoạt động thời gian thực thể lưu lượng giao tiếp mạng (các giao tiếp Router, Switch, Server, ), hoạt động CPU, RAM cách trực quan thông qua đồ thị, Ðiều giúp người quản trị mạng có phân tích tình trạng hoạt động thiết bị mạng hệ thống Ngồi ra, người quản trị thiết lập ngưỡng cảnh báo để kết hợp với hệ thống báo động để giúp người quản trị nhanh chóng có thông tin công hay phát bất thường hệ thống Những bất thường lưu lượng giao tiếp mạng hoạt động bất thường hay CPU hoạt động tải (đặt ngưỡng cảnh báo) Thành phần giám sát thiết bị dịch vụ: Hệ thống giám sát thiết bị dịch vụ có chức theo dõi trạng thái hoạt động thiết bị dịch vụ hệ thống mạng Ngồi ra, giám sát tài nguyên thiết bị dung lượng trống ổ cứng Server, kiểm tra trạng thái hoạt động cổng Switch trung tâm… Mọi hoạt động bất thường có thiết bị ngừng làm việc hay dịch vụ mạng ngưng hoạt động, hay dung lượng ổ cứng server q (thiết lập ngưỡng theo dõi) gửi cảnh báo tới người quản trị mạng Thành phần báo động: Hệ thống báo động thành phần quan trọng hệ thống giám sát mạng Hệ thống báo động giúp người quản trị mạng nắm bắt trạng thái hoạt động hệ thống mạng Ðây yêu cầu lớn đặt cho hệ thống giám sát mạng Hệ thống báo động kết hợp với hệ thống dò tìm xâm nhập, hệ thống giám sát thiết bị dịch vụ phát tín hiệu cảnh báo đến người quản trị hệ thống có cố xâm nhập hay cố bất thường khác… Những thông tin từ thiết bị phát xâm nhập hay hệ thống phát dấu hiệu bất thường chuyển tới hệ thống báo động để phát cảnh báo tới người quản trị 17 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS VII) Cách phát kiểu công thông dụng IDS: 1) Denial of Service attack (Tấn công từ chối dịch vụ) Cho dù đa dạng kích cỡ hĩnh dạng, từ subtle malformed packet đến fullblown packet storm, Denial of service (DoS) attack có mục đích chung đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối cùng, mục tiêu trở nên khơng thể tiếp cận trả lời DoS công vào mục tiêu bao gồm dạng mạng, hệ thống ứng dụng • Network flooding bao gồm SYN flood, Ping flood hay multi echo request, • Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, kiểu tan công nhằm lợi dụng lỗ hổng hệ điều hành nhằm phá hoại, gây tải hệ thống Sự kiện xảy cách gửi gói tin có định dạng khác thường tới hệ thống thiết bị, chúng tạo công cụ công lập trình trước • Phá hoại, gây q tải ứng dụng bao gồm kỹ thuật phá hoại gây tải hệ thống cách lợi cụng điểm yếu ứng dụng, sở liệu, email, trang web, Ví dụ email dài hay số lượng lớn email, hay số lượng lớn yêu cầu tới trang web gây tải cho server ứng dụng Giải pháp IDS: Một firewall dạng proxy hiệu để ngăn chặn gói tin khơng mong muốn từ bên ngồi, nhiên Network IDS phát cơng dạng gói tin 2) Scanning Probe (Qt thăm dò) Bộ quét thăm dò tự động tìm kiếm hệ thống mạng để xác định điểm yếu Tuy công cụ thiết kế cho mục đích phân tích để phòng ngừa, chúng sử dụng để gây hại cho hệ thống Các cơng cụ qt thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, AXENT NetRecon Việc thăm dò thực cách ping đến hệ thống kiểm tra cổng TCP UDP để phát ứng dụng có lỗi biết đến Vĩ công cụ cơng cụ đắc lực cho mục đích xâm nhập Giải pháp IDS: Network-based IDS phát hành động nguy hiểm trước chúng xảy Yếu tố “time-to -response” quan trọng trường hợp để chống kiểu cơng trước có thiệt hại Host-based IDS có tác dụng kiểu công này, không hiệu giải pháp dựa mạng 18 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Hình 9: Chính sách bảo mật theo chiều sâu 3) Password attack (Tấn cơng vào mật mã) Có phương thức tiếp cận kiểu công Passwork attack Kiểu dễ nhận thấy ăn trộm mật mã, mang lại quyền hành tính linh động cao cho kẻ cơng truy nhập tới thông tin thành phần mạng Đốn hay bẻ khóa mật mã phương thức tiếp cận gọi brute force cách thử nhiều mật mã để mong tìm mật mã Với bẻ khóa, kẻ cơng cần truy nhập tới mật mã mã hóa, hay file chửa mật mã mã hóa, kẻ cơng sử dụng chương trình đốn nhiều mã với thuật tốn mã hóa sử dụng để xác định mã Vớỉ tốc độ máy tính nay, việc bẻ khóa hiệu trường hợp mật mã từ có nghĩa (trong từ điển), bất cử mã nhỏ kỷ tự, tên thơng dụng phép hốn vị Hiện nay, Internet cung cấp nhiều chương trình “password hackerware” tải sử dụng dễ dàng Các công cụ kỹ sư sử dụng với mục đích tốt tìm lại mật mã, hay tìm kiếm thơng tin cần thiết cho q trình điều tra tội phạm • Ta có ví dụ trộm mật mã nghe trộm mật mã gửi mạng (LOPHT2.0), gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngồi không kể tới phương thức công vào yếu tố người nhìn ữộm, dùng vũ lực ép buộc, • Dự đốn bẻ khóa ví dụ như: đốn từ tên, thơng tin cá nhân, từ từ thơng dụng (có thể dùng biết usemame mà mật mã), sử dụng tài khoản khách chiếm quyền quản trị; phương thức cơng brute force, đốn mật mã mã hóa từ từ từ điển, ta có số công cụ LOPHT Crack, pwldump, Giải pháp IDS: Một Network-based IDS phát ngăn chặn cố gắng đốn mã (có thể ghi nhận sau số lần thử khơng thành cơng), khơng có 19 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chương trình bẻ khóa Trong Host-based IDS lại có hiệu việc phát việc đoán mật mã phát truy nhập trái phép tới file chứa mật mã 4) Privilege-grabbing (Chiếm đặc quyền) Khi kẻ công xâm nhập vào hệ thống, chúng cố chiếm quyền truy nhập Khi thành công, chúng chiếm hệ thống Trong hệ điều hành UNIX, điều nghĩa trở thành “root”, Windows NT “Administrator”, NetWare “Supervisor” Các câu lệnh mã thực cho kỳ thuật kiếm Internet, ví dụ khai thác lỗi tràn đệm hệ điều hành hay phần mềm ứng dụng để ghi đè segment vào nhớ Khi chiến thuật sử dụng với chương trình hệ điều hành đặc quyền, thường gây lỗi hỏng core, dẫn đến kẻ cơng có quyền truy cập “superuser” Dưới số kỳ thuật thường dùng cho việc chiếm đặc quyền: • Đốn hay bẻ khóa root hay administrator • Gây tràn đệm • Khai thác Windows NT registry • Truy nhập khai thác console đặc quyền • Thăm dò file, scrip hay lỗi hệ điều hành ứng dụng Giải pháp IDS: Cả Network Host-based IDS xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDS tìm kiếm người dùng khơng có đặc quyền trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS ngừng hành động Ngồi hành động chiếm đặc quyền hệ điều hành ứng dụng định nghĩa tập dấu hiệu công Network-based IDS nhằm ngăn chặn việc công xảy 5) Hostile code insertion (Cài đặt mã nguy hiểm) Một số loại cơng cài đặt mã nguy hiểm vào hệ thống Mã lấy trộm liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép Ta có số ví dụ việc cài đặt mã nguy hiểm sau: 20 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS • Virus : chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, có khơng có hại, ln dẫn đến việc tạo file hệ thống, file ứng dụng hay liệu Virus thường xác định nhờ vào hành động có hại chúng, kích hoạt dựa kiện, ngày, • Trojan Horse : chương trình hay đoạn mã mà thực thi dẫn đến số hành động tự động, thường có hại, khơng có mục đích nhân Thường Trojan Horse đặt tên hay mơ tả chương trình mà người ta muốn sử dụng, thưc tế chúng kích hoạt hành động dẫn đến hỏng file hay hệ thống • Backdoor : loại Trojan đặc biệt thực việc thay chương trình có sẵn chương trình cho phép kẻ xâm nhập truy nhập vào hệ thống tương lai (như “msgina.dll” Windows NT) • Malicious Apple : loại Trojan, chúng thường Java hay ActiveX applet mà người dùng gặp duyệt trang web Applet thực chức bĩnh thường ẩn hành động nguy hiểm tải file lên web site kẻ công Giải pháp IDS: Cài đặt phần mềm bảo mật có tác dụng chống virus đoạn mã nguy hiểm lên gateway, server workstation phương pháp hiệu để giảm mức độ nguy hiểm Các file quan trọng quản lý Host IDS đảm bảo chương trình file quan trọng hệ điều hành không bị điều khiển Ket họp với kiện khác, IDS xác định cố gắng cài đoạn mã nguy hiểm, ví dụ phát định thay chương trình ghi log bàng backdoor Networkbased IDS thị để quản lý hệ thống file ảnh cho mục đích kiểm tra tính tồn vẹn 6) Cyber vandalism (Hành động phá hoại máy móc) Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động chương trình hệ điều hành, format đĩa Giải pháp IDS: Đối với giải pháp Host-based IDS, cài đặt cấu hĩnh cẩn thận xác định tất vấn đề liên quan đến cyber vandalism Ví dụ thay đổi trang web ghi lại biên kiểm kê thiết bị mà trang web nằm Không cấu hĩnh để quản lý thay đổi trang web, Host-based IDS thực hành động đối phó, hành động 21 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Security Administrator cấu hĩnh Network-based IDS thi sử dụng dấu hiệu công định nghĩa trước để phát xác việc truy nhập trái phép vào hệ điều hành, ứng dụng xóa file thay đổi trang web 7) Proprietary data theft (Ăn trộm liệu quan trọng) Mặc dù 80% công liên quan đến thông tin quan trọng xảy tổ chức đó, số cơng từ bên ngồi liên tục tăng vài năm qua Ngồi việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng việc chép liệu, nghe trộm việc truyền nhằm lấy liệu quan trọng Giải pháp IDS: Mô hĩnh Host-based IDS thực việc quản lý liệu quan trọng phát file bị chép bất hợp pháp Trong số trường hợp IDS dựa vào biên hệ điều hành, nhiều trường hợp việc ghi biên có chứa nhiều overhead (như với Winddows NT) Trong trường họp đó, Host-based IDS cần phải thực việc quản lý riêng biệt với file quan trọng Còn Network-based IDS chỉnh sửa để quản lý việc truy nhập vào file quan trọng xác định việc truyền thơng có chứa key word Trong số trường hợp khó Có thể phát host nghe trộm mạng, thi phần mềm IDS host phát host bị đặt trạng thái ngẫu nhiên nghe trộm việc tuyền thông 8) Fraud, waste, abuse (Gian lận, lãng phí lạm dụng) Gian lận, lãng phí lạm dụng tài nguyên máy tính vấn đề liên quan đến kinh tế thời kỳ Gian lận liên quan đến việc chuyển tiền bất họp pháp, trộm số credit card, can thiệp vào tài khoản nhà băng, thao túng chương trình kiểm tra viết (check writing) Lãng phí lạm dụng xảy tài nguyên sử dụng (tĩnh cờ hay chủ đích) cho cơng việc ngược lại với mục đích tổ chức Giải pháp IDS: Network-based IDS thay đổi nhằm ngăn URL, nhiên chương trình chun dụng để ngăn URL có liên hệ với firewall hoạt động hiệu hơn, trĩ danh sách URL động sách lạm dụng dựa USERID Host-based IDS thực thi sách cơng ty đặt ra, truy nhập trái phép sửa đổi file hệ thống phát thơng qua host-based IDS network-based IDS Bất thay đổi lâp tức ghi biên hệ thống, agent dễ dàng theo dõi hành động 22 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS 9) Audit trail tampering (Can thiệp vào biên bản) Như nói đến trên, hầu hết thông tin tạo nên từ hành động người dùng ghi audit trail riêng hệ thống doanh nghiệp Can thiệp vào biên cách ưa thích để loại bỏ hay che dấu vết Dưới phương thức hacker thường dùng để công vào audit trail che dấu vết: • Audit Deletion : xóa biên bản, vào hệ thống • Deactivation : ngừng tiến trình ghi kiện lên audit trail • Modification : sửa kiện mà ghi nhận trước khỏi hệ thống • Flooding : tạo kiện làm nhiễu để ngụy trang cho dấu vết công Giải pháp IDS: Host-based IDS agent quản lý việc can thiệp vào biên (xóa, ngừng hay sửa đổi) thực hành động phù họp Network-based IDS cung cấp ngữ cảnh cần thiết để phát audit trail bị truy nhập hay sửa đổi 10) Security infrastructure attack (Tấn công hạ tầng bảo mật) Có nhiều loại cơng can thiệp vào việc điều khiển sở hạ tầng bảo mật, tạo tường lửa trái phép, chỉnh sửa tài khoản người dùng hay router, hay thay đổi quyền file Tấn công vào sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng Cuộc công tạo thay đổi cách truy nhập trái phép tới chức quản trị, tìm console quản trị khơng ý, hay tác động lên người quản trị để thực hành động Trong trường hợp khó phân biệt hành động công hành động người quản trị mạng Giải pháp IDS: Các hành động quản trị mạng thường đăng nhập vào audit trail host hay router node lựa chọn mạng SYSLOG UNIX Host- based IDS bắt giữ đãng nhập mà thực hành động đưa thêm tài khoản có đặc quyền, hay router firewall bị thay đổi cách đáng nghi Còn network-based IDS cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng Tổng kết 23 ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP-IDS Hệ thống phát xâm nhập (IDS) có vai trò khơng phần quan trọng IDS giúp khám phá, phân tích nguy cơng Từ vạch phương án phòng chống, góc độ lần tìm thủ phạm gây cơng IDS với phương pháp bảo mật tạo nên biện pháp bảo mật tốt cho thông tin truyền mạng ngăn chặn cách kịp thời có nguy bị cơng Bài tiểu luận đề cập đến khái niệm hệ thống phát xâm nhập phân loại phần IDS Và phương pháp phát đối phó IDS trước nguy bị xâm nhập, công 24 ... NHẬP -IDS Một số khái niệm IDS III) a) Network IDS NIDS Là hệ thống phát công, bắt giữ gói tin truyền thiết bị mạng (cả hữu tuyến vô tuyến) so sánh chúng với sở liệu tín hiệu b) HostIDS HIDS Được... mạng cách bố trí bảo vệ phòng thủ nhà quản trị mạng V) Phân loại IDS: 1) Network Base IDS (NIDS) Hình 2: ví dụ NIDS Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dò theo... tin từ HIDS không đáng tin cậy công vào host thành cơng • Khi OS bị "hạ" công, đồng thời HIDS bị "hạ" ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN XÂM NHẬP -IDS • HIDS phải thiết lập host cần giám sát • HIDS khơng