MỤC LỤC
Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng ta an toàn với sự dựng sai, và làm sao để theo dừi được khi ta bị tấn cụng?” Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật. Chúng có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của công ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các scanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ công.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo [Ranum, 2000] là dưới 1 phút).
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm cú chức năng tự động theo dừi cỏc sự kiện xảy ra trờn hệ thống mỏy tớnh, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn. IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng. • Module phân tích luồng dữ liệu:. Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì.. Các thông tin này được chuyển đến modul phát hiện tấn công. • Modul phát hiện tấn công:. Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò sự không bình thường. Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới. Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:. - Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các ức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức.. thì hệ thống có dấu hiệu bị tấn công. - Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dừi, phỏt hiện cỏc hoạt động bất thường của mạng bằng cỏch so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. - Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt. động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin tặc. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn.). Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:. - Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này. - Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ. - Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị. - Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng. - Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Mục đớch để cỏc người quản trị cú thể theo dừi cỏc luồng thụng tin và là nguồn thụng tin giúp cho modul phát hiện tấn cônghoạtđộng. Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.a) IPS ngoài luồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.
Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà khụng đi qua đường public hay mạng được theo dừi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và không thể phục vụ được).
Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả năng phát hiện sự lạm dụng quyền của người dùng.
Preprocessors là những thành phần hay những plug-in được sử dụng cùng với Snort để sắp xếp và thay đổi những gói dữ liệu trước khi detection engine thực hiện công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm. Direction trong rule không đóng vai trò gí cả bởi vì rule được áp dụng lên tất cả các gói ICMP di chuyển cả hai bên, do đã sử dụng từ khóa “any” trong cả hai thành phần địa chỉ nguồn và đích.
Icode trong Snort rule sử dụng để tìm giá trị trường code trong ICMP header. Nếu icode dùng một mình thường không đạt được công việc tốt bởi vì những loại ICMP khác cũng có thể có cùng giá trị code giống nhau.