Công cụ phát hiện xâm nhập (IDS)

Một phần của tài liệu Nghiên cứu giải pháp đảm bảo an ninh an toàn thông tin cho các cổng trang thông tin điện tử (Trang 43)

Phát hiện xâm nhập là dịch vụ an ninh giám sát, phân tích các sự kiện trong hệ thống để tìm ra và cung cấp cảnh báo theo thời gian thực. Hệ thống phát hiện xâm nhập có thể là hệ thống phần cứng hoặc phần mềm có nhiệm vụ theo dõi và thu thập thông tin nhằm phát hiện các hành vi truy cập trái phép vào tài nguyên được bảo vệ của hệ thống. Hệ thống thu thập thông tin dựa vào việc giám sát lưu thông trên mạng, kiểm tra các tập tin nhật ký của máy chủ, v.v. sau đó thực hiện quá trình phân tích để phát hiện những xâm nhập trái phép.

Thành phần của hệ thống IDS: Về cơ bản một hệ thống IDS gồm ba thành phần sau: Cảm biến (sensors): chịu trách nhiệm thu thập thông tin. Đầu vào cho một cảm biến là dữ liệu của hệ thống bao gồm các gói tin mạng, các tập tin nhật ký, và dữ liệu truy vết các cuộc gọi hệ thống. Cảm biến thu thập và chuyển các thông tin này cho bộ phân tích.

Bộ phân tích (Analyzers): nhận đầu vào từ một hay nhiều cảm biến hoặc từ các bộ phân tích khác, từ đó thực hiện việc phân tích để quyết định một hành vi có phải là hành động xâm nhập hay không. Đầu ra của thành phần này là một dấu hiệu cho biết có hành động xâm nhập xảy ra (có thể bao gồm cả các bằng chứng về hành động xâm nhập). Bộ phân tích cũng có thể đưa ra các gợi ý để hành động khi có sự xâm nhập.

Giao diện người dùng (User interface): giao diên người dùng cho phép người dùng có thể xem kết quả từ hệ thống hoặc điều khiển hành vi của hệ thống.

Yêu cầu của hệ thống IDS: Một hệ thống phát hiện xâm nhập phải đảm bảo được các yêu cầu sau:

35

- Có khả năng kháng lỗi, khi một bộ phận ngừng hoạt động thì hệ thống vẫn hoạt động.

- Kháng được việc chiếm dụng phá hoại. Sử dụng hệ điều hành tinh xảo không có ứng dụng thừa.

- Không ảnh hưởng đến hiệu năng hoạt động của hệ thống. - Được cấu hình theo chính sách an ninh của hệ thống.

- Thích nghi với những thay đổi của hệ thống và người dùng.

- Cho phép giám sát một số lượng lớn các hệ thống. Lượng thông tin đi vào nhiều vẫn xử lý được. Mức độ dịch vụ có thể giảm nhưng không quá nhiều.

- Cho phép cấu hình động.

Phân loại hệ thống IDS: Dựa vào cách thu thập nguồn thông tin, có thể chia hệ thống phát hiện xâm nhập thành hai loại sau:

- Hệ thống phát hiện thâm nhập dựa trên máy (Host-Based IDS -HIDS): Chỉ giám sát thông tin trong máy nhất định những gì diễn ra chỉ trên máy đó. Hệ thống có thể phát hiện bất thường. Tức là thu thập những hành vi thông thường của người dùng hợp lệ từ đó đưa ra khuôn mẫu bình thường. Sau đó so sánh hành vi người dùng với khuôn mẫu bình thường nếu thấy sai khác thì suy ra đó là hành vi xâm nhập. Hoặc hệ thống có thể dựa theo chữ ký, tức là thu thập thông tin theo cách thức của những kẻ tấn công. Mỗi loại lại có một chữ ký, phân tích thông tin truy cập được nếu trùng khớp với chữ ký thì suy ra là hành vi tấn công.

- Hệ thống phát hiện thâm nhập dựa trên mạng (Network-Based IDS - NIDS): Là lớp bảo vệ bên trong giám sát những thông tin lưu chuyển trên mạng. Chúng sẽ phân tích dữ liệu, phân tích giao thức (những gì bất thường không theo giao thức ở tầng mạng, tầng giao vận, tầng ứng dụng thì sẽ đưa ra những nghi ngờ). Ưu điểm là phát hiện được cả xâm nhập từ bên ngoài và bên trong.

Hoạt động của hệ thống IDS:

Có hai cách tiếp cận cơ bản đối với quá trình phát hiện xâm nhập, đó là phát hiện sự bất thường (anomaly detection) và phát hiện sự lạm dụng (misuse detection).

Phát hiện bất thường: Hệ thống sẽthu thập những hành vi của người dùng hợp lệ từ đó đưa ra một khuôn mẫu bình thường. Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi bình thường đó để phân biệt chúng với các hành vi bất thường. Nếu có các hành vi truy cập hệ thống sai khác với khuôn mẫu bình thường thì nó được coi là hành vi xâm nhập. Phát hiện bất thường có thể dựa theo ngưỡng hoặc theo hồ sơ. Theo ngưỡng, tức là quy định ra một ngưỡng đếm số lần xuất hiện của một sự kiện trong một khoảng thời gian đối với hành vi thông thường nếu vượt quá ngưỡng thì đó là hành vi xâm nhập trái phép. Phát hiện bất thường theo hồ sơ, xây dựng một hồ sơ với rất nhiều giá trị khác nhau đặc trưng cho những hành vi thông thường như: số lần kết nối, đăng nhập, ứng dụng đang chạy, số lỗi gây ra khi truy nhập, v.v. từ đó so sánh hành vi của

36

người dùng với hồ sơ. Nếu hành vi sai khác với hồ sơ chứa những hành vi thông thường thì đó là hành vi xâm nhập.

Phát hiện sự lạm dụng: Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu xâm nhập đã được biết trước dựa trên các dấu hiệu (signature-based) hoặc các điểm yếu dễ bị tấn công của hệ thống (vulnerability signature). Nó liên quan đến việc mô tả đặc điểm của các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện việc kiểm soát đối với các mẫu rõ ràng. Một hệ thống phát hiện sự lạm dụng sẽ liên tục so sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành. Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thống phát hiện sự lạm dụng có thể dựa vào đó để theo vết hành động xâm nhập. Trong một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập. Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo, có thể can thiệp để làm giảm bớt tác hại có thể. Ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng và giúp người quản trị xác định các lỗ hổng bảo mật trên hệ thống của mình. Nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.

Qua nghiên cứu tìm hiểu tôi đề xuất áp dụng một số vị trí triển khai cảm biến phát hiện xâm nhập dựa trên mạng (NIDS) như sau (xem hình 2.8):

Hình 2.8: Một số vị trí thường đặt cảm biến NIDS

Vị trí 1: Cảm biến NIDS được đặt ở phía trong tường lửa phía ngoài. Những điểm thuận lợi của vị trí này là:

Cảm biến NIDS Tường lửa phía ngoài các máy chủ (web, mail, DNS, v.v. Tường lửa phía trong LAN switch hay router Tường lửa phía trong LAN switch hay router LAN switch hay router Mạng máy chủ nội bộ và nguồn dữ liệu Mạng máy trạm

37

- Thấy được các tấn công từ bên ngoài, những tấn công này đã vượt qua tường lửa phía ngoài. Cho thấy các vấn đề hạn chế đối với chính sách và hiệu năng của tường lửa phía ngoài.

- Thấy được những tấn công vào các máy chủ ở vùng mạng DMZ.

- Các IDS ở vị trí này có thể phát hiện được các cuộc tấn công từ trong ra ngoài. IDS ở vị trí này có thể nhận ra các lưu lượng được gửi ra ngoài từ các máy bị xâm nhập ở phía trong. Ví dụ máy chủ bên trong bị chiếm quyền để tấn công hệ thống khác hay phát tán spam.

Vị trí 2: Đặt cảm biến NIDS phía bên ngoài tường lửa phía ngoài thay vì ở phía trong như vị trí 1. Những lợi thế khi đặt ở vị trí này là:

- Giám sát tất cả lưu lượng truy cập mạng chưa được lọc từ ngoài vào và giám sát được lưu lượng từ trong ra.

- Thấy được tấn công vào tường lửa bên ngoài

- Thống kê được các cuộc tấn công xuất phát từ bên ngoài nhằm vào mạng. - Giám sát được dữ liệu của các cuộc tấn công xuất phát từ bên ngoài nhằm vào

mạng.

Cảm biến ở vị trí số 2 này sẽ phải xử lý lượng thông tin nhiều hơn ở các vị trí khác trên mạng.

Vị trí 3: Có thể cấu hình một tường lửa và một hay nhiều cảm biến NIDS để bảo vệ các vùng mạng xương sống phía trong, hỗ trợ máy chủ và nguồn dữ liệu. Những lợi ích khi đặt cảm biến NIDS ở vị trí này:

- Giám sát một lượng lớn lưu lượng của mạng ra vào vùng mạng này, do đó làm tăng khả năng phát hiện các cuộc tấn công.

- Phát hiện các hoạt động trái phép của người dùng được phép nằm trong phạm vi mạng cụ bộ.

Như vậy, một cảm biến ở vị trí số 3 có thể theo dõi cho cả các cuộc tấn công từ bên trong và bên ngoài mạng cục bộ.

Vị trí 4: Có thể cấu hình một tường lửa và một bộ cảm biến NIDS để cung cấp bảo vệ bổ sung cho một mạng con nhất định, các máy chủ đặc trưng cho một bộ phận, hay người dùng máy trạm, hoặc các hệ thống quan trọng khác như mạng nhân sự, mạng tài chính. Đó chính là vị trí số 4 trên hình vẽ, ưu điểm khi triển khai cảm biên NIDS ở vị trí này là:

- Phát hiện các tấn công nhằm vào các hệ thống quan trọng và các tài nguyên thiết yếu.

- Cho phép tập trung các tài nguyên quan trọng và có giá trị lớn vào vùng mạng này để được bảo vệ bởi hệ thống phát hiện xâm.

38

Các cảm biến ở vị trí số 3 và 4 có thể được điều chỉnh cho các giao thức đặc trưng và các loại tấn công, do đó giúp giảm gánh nặng xử lý.

Một phần của tài liệu Nghiên cứu giải pháp đảm bảo an ninh an toàn thông tin cho các cổng trang thông tin điện tử (Trang 43)

Tải bản đầy đủ (PDF)

(105 trang)