Lĩnh vực Công nghệ thông tin ứng dụng IDS trong bảo vệ an ninh mạng máy tính KS.Hồ Trọng Đạt Trung tâm Công nghệ thông tin Tóm tắt: Có thể đa ra khái niệm chung về xâm nhập và kiểm tra xâm nhập nh sau: Xâm nhập là cách dùng trái phép hoặc lạm dụng một hệ thống máy tính. Kiểm tra xâm nhập là một kỹ thuật bảo mật cố gắng xác định và cô lập những xâm nhập chống lại các hệ thống máy tính. Kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả. Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host. Tuy nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, FTP, dịch vụ tên miền (DNS) và các dịch vụ khác. Ngay khi một nhà quản trị mở các cổng trên firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào hệ thống của bạn. Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy những lỗ hổng còn lại cha giải quyết đợc bởi firewalls. Một hệ thống kiểm tra xâm nhập là một thiết bị giám sát tất cả sự vận chuyển trên mạng. Hệ phân tích lu lợng trong thời gian thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng. Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể phân tích đầy đủ và nhanh mọi gói tin trên mạng . Ngày nay, hệ thống mạng máy tính đã trở nên phổ biến trong hầu hết các hoạt động của xã hội, tác động trực tiếp đến nền kỹ thuật và kinh tế của đất nớc. Cùng với sự phát triển đó, ngày càng xuất hiện nhiều hơn những cá nhân, nhóm hoặc thậm chí là cả những tổ chức hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống này. Do tính ác liệt của những cuộc tấn công gây hại đó, có rất nhiều hệ thống bảo vệ an toàn mạng đã ra đời, với nhiều mức khác nhau: bảo vệ quyền truy nhập, bảo vệ bằng mật khẩu, bảo vệ bằng mã hóa thông tin, sử dụng proxy và firewall lọc gói tin, bảo vệ truy cập vật lý. Hệ thống kiểm tra xâm nhập (Intrusion Detection System IDS) là một hệ thống đ- ợc xây dựng cũng với mục đích bảo vệ an toàn thông tin. Hệ thống này kiểm soát tài nguyên và hoạt động của hệ thống mạng, sử dụng thông tin thu thập đợc từ những nguồn này, thông báo cho ngời có trách nhiệm khi nó xác định đợc khả năng có sự xâm nhập. Nếu firewall đóng vai trò nh nhân viên bảo vệ cơ quan, kiểm tra mọi ngời đến và đi thì hệ thống kiểm tra xâm nhập giống nh có một mạng lới cảm biến để thông báo cho bạn biết khi có ai đó xâm nhập, họ đang ở đâu và làm gì. Firewall án ngữ ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã vợt qua đợc firewall, ngời đó có thể tung hoành tùy ý trên mạng. Đó là lý do tại sao hệ thống kiểm tra xâm nhập có vai trò quan trọng. 1. Khái niệm về kiểm tra thâm nhập Nhận thấy, kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả. Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host. Tuy nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, Học viện Công nghệ BCVT Hội nghị Khoa học lần thứ 5 FTP, dịch vụ tên miền (DNS) và các dịch vụ khác. Ngay khi một nhà quản trị mở các cổng trên firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào hệ thống của bạn. Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy những lỗ hổng còn lại cha giải quyết đợc bởi firewalls. Một hệ thống kiểm tra xâm nhập là một thiết bị giám sát tất cả sự vận chuyển trên mạng. Nó phân tích lu lợng trong thời gian thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng. Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể phân tích đầy đủ và nhanh mọi gói tin trên các mạng bận. Kiểm tra xâm nhập là một thành phần quan trọng của hệ thống bảo mật, và nó bổ xung các kỹ thuật bảo mật khác. Bằng việc cung cấp thông tin tới quản trị site, IDS cho phép không những kiểm tra tấn công có địa chỉ rõ ràng bởi các thành phần bảo mật khác (nh firewall và các trình bao bọc dịch vụ), mà còn cố gắng cung cấp thông báo về tấn công mới bất ngờ. Các hệ thống kiểm tra xâm nhập cũng cung cấp thông tin pháp lý cho phép các tổ chức có khả năng phát hiện ra nguồn gốc của tấn công. Theo cách này, IDS cố gắng làm cho những kẻ tấn công có trách nhiệm hơn về những hành động của chúng, và đa ra một số đánh giá, hành động để ngăn cản những tấn công trong tơng lai. 2. Mô hình khái niệm của các hệ thống IDS Có nhiều IDS khác nhau đợc phát triển trên toàn thế giới, và hầu hết là do có nhiều thiết kế khác nhau. Khung kiểm tra xâm nhập chung (Common Intrusion Detection Framework) (CIDF) xác định tập các thành phần cùng nhau xác định một hệ thống kiểm tra xâm nhập. Các thành phần này gồm các bộ tạo sự kiện (event generator) ("E-boxes"), dụng cụ phân tích (analysic engine) ("A-boxes"), cơ cấu lu trữ (storage mechanism) ("D-boxes"), và countermeasure ("C-boxes"). Một thành phần CIDF có thể là một gói phần mềm bên trong của chính nó, hoặc một phần của hệ thống lớn. Hình 7 biểu diễn quan hệ giữa các thành phần. Mục đích của E-box là cung cấp thông tin về những sự kiện cho các phần còn lại của hệ thống. Một "sự kiện" có thể phức tạp, hoặc nó có thể là một sự cố giao thức mạng mức thấp. Sự kiện không đòi hỏi phải là dấu hiệu của sự xâm nhập bên trong nó. E-box là bộ giác quan của toàn bộ IDS --- không có đầu vào E-box, hệ thống kiểm tra xâm nhập sẽ không có thông tin để tạo ra kết luận về các sự kiện bảo mật. A-box phân tích đầu vào từ bộ tạo sự kiện. Phần lớn trong việc nghiên cứu kiểm tra xâm nhập là xem xét việc tạo ra những phơng pháp mới để phân tích luồng sự kiện nhằm tách thông tin thích hợp, và đã nghiên cứu đợc một số cách tiếp cận khác nhau. Các kỹ thuật phân tích sự kiện dựa trên việc kiểm tra dị thờng thống kê, phân tích biểu đồ, . E-box và A-box có thể đa ra lợng lớn dữ liệu. Những thông tin này phải đợc tạo ra sẵn sàng cho hệ điều hành của hệ thống khi nó cần sử dụng. Thành phần D-box của IDS xác định các phơng tiện đợc dùng để lu trữ thông tin bảo mật và tạo thông tin sẵn sàng tại thời điểm sau. Học viện Công nghệ BCVT Lĩnh vực Công nghệ thông tin Hình 1: Quan hệ giữa các thành phần CIDF Nhiều hệ thống ID đợc thiết kế chỉ nh là chuông báo động. Tuy nhiên, hầu hết các hệ thống ID có giá trị thơng mại đều đợc trang bị với một vài dạng coutermeasure (C-box), đi suốt từ việc đóng các kết nối TCP đến việc sửa đổi các danh sách bộ lọc định tuyến. Điều này cho phép IDS cố gắng ngăn cản các cuộc tấn công khác từ sau khi dò thấy sự xuất hiện của các cuộc tấn công đầu tiên.Thậm chí các hệ thống không cung cấp khả năng C-box có thể bị móc nối vào trong những chơng trình thực hiện tác dụng tơng tự. 3.Khả năng áp dụng thực tế Cùng với sự phát triển của ADSL, số lợng tổ chức, doanh nghiệp kết nối với Internet tại Việt Nam đợc dự báo sẽ bùng nổ rất mạnh. Lợi ích thu đợc từ Internet là điều không cần phải bàn cãi. Nhng những thiệt hại khi bị xâm phạm dữ liệu thì cha có ai đánh giá cụ thể và dự báo chính xác là bao nhiêu. Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập mạng ngày càng phổ biến thì khi một tổ chức kết nối với Internet không thể không áp dụng các phơng pháp phòng chống tấn công, xâm nhập. Sử dụng Firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ góp phần tăng cờng sức mạng cho nhà quản trị và cảnh báo kịp thời mọi diễn biến bất thờng qua mạng. Học viện Công nghệ BCVT . Lĩnh vực Công nghệ thông tin ứng dụng IDS trong bảo vệ an ninh mạng máy tính KS.Hồ Trọng Đạt Trung tâm Công nghệ thông tin Tóm. hệ thống bảo vệ an toàn mạng đã ra đời, với nhiều mức khác nhau: bảo vệ quyền truy nhập, bảo vệ bằng mật khẩu, bảo vệ bằng mã hóa thông tin, sử dụng proxy