1.3.2.1. Giải pháp phát hiện và phòng tránh xâm nhập [3]
Hệ thống phát hiện xâm nhập IDS (Intrusion Detect System) là một hệ thống giám sát lƣu thông mạng để từ đó tìm ra các hoạt động khả nghi và đƣa ra cảnh báo cho hệ thống và ngƣời quản trị. Ngoài ra, IDS cũng đảm nhận việc phản ứng lại các lƣu thông bất thƣờng hay có hại bằng các hành động đã đƣợc thiết lập từ trƣớc. IDS còn có thể phân biệt giữa những tấn công từ bên trong (Từ những ngƣời trong công ty) hay tấn công từ bên ngoài (Từ các Hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (Giống nhƣ các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lƣu thông mạng hiện tại với baseline (Thông số chuẩn đƣợc thiết lập sẵn trong hệ thống) để tìm ra các dấu hiệu bất thƣờng. Các IDS thƣờng cho phép ngƣời quản trị tự định nghĩa các dấu hiệu mẫu (Các luật) cho việc phát hiện xâm nhập, tấn công.
Hình 1.9. Vị trí của IDS trên mạng
IDS đƣợc đặt trên mạng nhƣ một thành phần của đƣờng truyền và thƣờng đặt sau Firewall để phát hiện xâm nhập trái phép từ Internet cho toàn bộ hệ thống mạng nội bộ. Hoặc IDS có thể đặt tại các phân vùng mạng có nguy cơ tấn công cao mà cần phải đƣợc bảo vệ, Ví dụ nhƣ phân vùng DMZ, hay phân vùng đặt cơ sở dữ liệu và các phân vùng quan trọng
Có 2 phƣơng pháp phát hiện xâm nhập mạng: Phát hiện dựa trên dấu hiệu và Phát hiện sự bất thƣờng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ * Phát hiện dựa trên dấu hiệu (Signature-based detection).
Những tệp dấu hiệu sử dụng trong phƣơng pháp phát hiện sử xâm nhập thì tƣơng tự nhƣ những tệp dấu hiệu trong những phần mềm diệt virus.
Một tệp dấu hiệu là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thƣờng. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phƣơng pháp để viết tệp dấu hiệu. Khi mà càng nhiều phƣơng pháp tấn công cũng nhƣ phƣơng pháp khai thác đƣợc khám phá, những nhà sản xuất IDS phải cung cấp những bản cập nhật tệp dấu hiệu, giống nhƣ những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ. Khi đã cập nhật tệp dấu hiệu thì hệ thống IDS có thể phân tích tất cả các lƣu lƣợng. Nếu có những lƣu lƣợng nào trùng với dấu hiệu thì cảnh báo đƣợc khởi tạo. Những hệ thống IDS điển hình thƣờng kèm theo dữ liệu của tệp dấu hiệu. Nhƣợc điểm lớn nhất của Phát hiện dựa trên dấu hiệu là không có khả năng phát hiện những cuộc tấn công mới hay chƣa đƣợc biết.
* Phát hiện dựa trên sự bất thƣờng
Mô tả sơ lƣợc phân tích những hoạt động của mạng máy tính và lƣu lƣợng mạng nhằm tìm kiếm sự bất thƣờng. Khi tìm thấy sự bất thƣờng, một tín hiệu cảnh báo sẽ đƣợc khởi phát. Sự bất thƣờng là bất cứ sự chệch hƣớng hay đi khỏi những thứ tự, dạng nguyên tắc thông thƣờng. Chính vì dạng phát hiện này tìm kiếm những bất thƣờng nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lƣu lƣợng bất thƣờng. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thƣờng bằng cách tạo ra những bản mô tả sơ lƣợc nhóm ngƣời dùng (User group profiles).
Ƣu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thƣờng là nó không dựa trên một tập những dấu hiệu đã đƣợc định dạng hay những đợt tấn công đã đƣợc biết. Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thƣờng. Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chƣa hề đƣợc biết trƣớc đây miễn là nó chệch khỏi profile bình thƣờng.
Nếu máy tính của bạn không đƣợc bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều đƣợc cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ cắp thông tin cá nhân của bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trƣớc khi nó đến hệ thống của bạn. Vì vậy một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tƣờng lửa (Fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng.
1.3.2.2. Giải pháp kỹ thuật bức tƣờng lửa (Firewall technology) [5]
Hình 1.10. Bức tƣờng lửa
a. Định nghĩa, chức năng của Bức tường lửa. (BTL)
Bức tƣờng lửa là thiết bị hoặc hệ thống dùng để điều khiển các dòng lƣu lƣợng giữa các mạng sử dụng các kiểu dáng an toàn khác nhau, chẳng hạn bảo vệ một mạng LAN riêng với mạng công cộng không an toàn Internet. Các Firewall có thể quyết định các dịch vụ bên trong nào có thể đƣợc truy cập từ bên ngoài và ngƣợc lại. Các ý nghĩa và ứng dụng thực tế của Firewall đƣợc áp dụng rất rộng, nhƣng về nguyên tắc cơ bản các firewall có thể đƣợc xem nhƣ một cặp hai quy tắc: một là ngăn chặn (Block) các lƣu lƣợng, và một là cho phép (Permit) các lƣu lƣợng. Một firewall thực hiện công việc lớn hơn việc khoá (Lock) cửa trƣớc của mạng, nó nhƣ một cổng bảo vệ mạng (Lecurity guard)
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát ngƣời sử dụng và việc truy nhập của ngƣời sử dụng. - Kiểm soát nội dung thông tin lƣu chuyển trên mạng.
b. Phân loại bức tƣờng lửa
Firewall bao gồm các loại sau:
- Bức tƣờng lửa lọc gói tin (Packet-filtering router). - Bức tƣờng lửa ứng dụng (Proxy).
- Bức tƣờng lửa nhiều tầng
* Firewall lọc gói
Hình 1.11. Firewall lọc gói
Bức tƣờng lửa lọc gói làm việc ở tầng 3 đối với mô hình OSI. Thông tin đƣợc đƣa lên tầng 3 sau đó lại tiếp tục đƣợc chuyển đi. Nếu thông tin đƣợc ở dƣới tầng 3 thì bức tƣờng lửa lọc gói không thể kiểm soát đƣợc, ví dụ nhƣ mạng LAN không dây dữ liệu đƣợc truyền ở dƣới tầng 3.
Do vậy, bức tƣờng lửa không thể kiểm soát đƣợc mà mạng LAN không dây phải dùng một phần mềm khác để bảo vệ và kiểm soát dữ liệu.
Bộ lọc gói cho phép hay từ chối mỗi gói mà nó nhận đƣợc. Khi nhận đƣợc gói tin từ Internet, nó kiểm tra toàn bộ dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các luật lệ của gói đặt ra hay không. Các luật lệ này là dựa trên thông tin ở đầu mỗi gói (packet header).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ SA DA Port Get Index html
- SA (Source Address): Địa chỉ IP nguồn. - DA (Destination Address): Địa chỉ IP đích.
Nghĩa là nếu đi từ bên trong ra bên ngoài thì địa chỉ nguồn là ở bên trong mạng nội bộ còn địa chỉ đích là bên ngoài. Nếu đi từ bên ngoài vào bên trong thì địa chỉ nguồn sẽ là ở bên ngoài còn địa chỉ đích sẽ là ở bên trong mạng nội bộ.
- Port: Lọc theo cổng nguồn, cổng đích của giao thức tƣơng ứng với TCP hay UDP. - Các giao thức (UDP, TCP, ICMP…): Nó có thể cấm và cho phép, ví dụ có thể cấm giao thức UDP và chỉ cho TCP và ICMP hoặc Cấm ICMP cho phép TCP và UDP…
- Dạng thông điệp ICMP (Internet control message protocol).
Nếu luật đƣợc thỏa mãn thì gói đƣợc chuyển qua firewall, nếu không thỏa mãn thì gói sẽ bị hủy đi. Nhờ vậy mà firewall có thể ngăn chặn đƣợc các kết nối vào máy chủ hoặc mạng nào đó đƣợc xác định hoặc khóa việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Nhƣ vậy, việc kiểm soát càng làm cho firewall có khả năng chỉ cho phép một một số loại kết nối nhất định vào máy chủ nào đó hoặc chỉ một số dịch vụ nào đó (Telnet, SMNP, FTP…) đƣợc phép mới chạy đƣợc trên hệ thống mạng cục bộ.
Mặc dù firewall loại này có tốc độ kiểm tra nhanh nhƣng chúng cũng tƣơng đối dễ bị qua mặt. Một phƣơng pháp để vƣợt qua firewall kiểu này là giả mạo địa chỉ IP (IP spoofing), ví dụ nhƣ trong hệ thống mạng của một công ty, khi một ngƣời nào đó đi công tác ở xa nhƣng vẫn phải truy nhập vào mạng của công ty để lấy dữ liệu. Khi đó, firewall vẫn phải mở các dịch vụ để ngƣời đó vào lấy dữ liệu và nhân cơ hội này thì hacker ăn trộm địa chỉ IP và tấn công vào mạng và làm cho firewall tƣởng rằng các gói của hacker đến từ nguồn thực sự.
Một số ưu điểm của lọc gói
- Do bức tƣờng lửa lọc gói ở tầng 3 nên nó kiểm tra tất cả các ứng dụng đi qua nó. Nó không phụ thuộc vào ứng dụng mặc dù của mail hay web.
- Chi phí thấp vì cơ chế lọc gói đã đƣợc bao gồm trong mỗi phần mềm router và nó chỉ xem xét thông tin của đầu gói tin, do đó thời gian trì hoãn thấp.
- Sẵn sàng cho nhiều sản phẩm phần mềm và phần cứng, cả trong các sản phẩm thƣơng mại và miễn phí.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Ngoài ra bộ lọc gói là trong suốt đối với ngƣời sử và các ứng dụng vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
- Giúp bảo vệ toàn mạng, một thuận lợi chính của nó là đơn giản và tƣơng đối nhẹ.
Một số nhược điểm của lọc gói
- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi ngƣời quản trị cần có các hiểu biết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trƣờng. Khi đòi hỏi sự lọc là càng lớn thì các quy tắc về lọc gói càng trở lên dài và phức tạp, rất khó để quản lý và điều khiển.
- Do làm việc dựa trên header của gói tin, bộ lọc gói không kiểm soát đƣợc nội dung thông tin của gói tin. Các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
* Bức tường lửa ứng dụng(Application firewall)
Hình 1.12. Tƣờng lửa ứng dụng
Làm việc ở tầng 7 của mô hình OSI.
Nguyên tắc hoạt động chung
- Firewall này đƣợc thiết lập từ phần mềm ứng dụng. - Không chuyển tiếp các gói tin IP.
- Tốc độ xử lí chậm.
- Mỗi một dịch vụ phải có kết nối chƣơng trình tƣơng ứng: Ví dụ đối với web thì phải có kết nối tƣơng ứng để quản lí web và chƣơng trình tƣơng ứng để cho phép hay cấm, đối với mail thì cũng phải có kết nối tƣơng ứng để quản lí mail và chƣơng trình tƣơng ứng để cho phép hay cấm.
- Vì nó làm việc ở tầng ứng dụng do đó nó cho phép nhiều công cụ ghi lại quá trình kết nối.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Do quản lí kết nối nên các chƣơng trình yêu cầu dịch vụ của client gốc có thể phải thay đổi để thích ứng với proxy.
- Quá trình kết nối đƣợc thực hiện theo kiểu đại diện chính vì vậy firewall kiểu này ngƣời ta còn gọi là proxy.
Proxy có hai thành phần
- Proxy Server: là chƣơng trình ứng sử với server bên ngoài thay mặt cho các yêu cầu của ngƣời sử dụng bên trong. Nó chuyển tiếp các yêu cầu hợp lệ của mọi ngƣời sử dụng và quyết định cái nào cho qua, cái nào ngăn lại.
- Proxy Client: là chƣơng trình của ngƣời sử dụng làm việc với Proxy server thay vì với server thực.
* Bức tường lửa nhiều tầng
\
Hình 1.13. tƣờng lửa nhiều tầng
- Kết hợp từ tầng 3 với tầng ứng dụng, có thể cấm và cho phép ở tầng phiên, tầng trình, tầng giao vận. Đối với bức tƣờng lửa lọc gói ngoài những thông số kiểm soát nhƣ địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức tầng trên (TCP, UDP, ICMP) thì còn có bức tƣờng lửa phân tích chi tiết hơn về gói tin. Ví dụ ACK, ACK = 0 (Khởi động một kết nối của gói tin đầu của kết nối), ACK = 1 (Là các gói theo sau). ACK = 0, SYN = 1 (Yêu cầu kết nối), ACK = 1, SYN = 1 (Trả lời kết nối). Kiểm tra chi tiết về gói tin để bảo vệ hệ thống tốt hơn, chống các dịch vụ từ bên ngoài.
c. Kiến trúc và cơ chế hoạt động của bức tƣờng lửa lọc gói [5]
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ Firewall kiến trúc kiểu Dual - homed host đƣợc xây dựng dựa trên máy tính dual - homed host. Một máy tính đƣợc gọi là dual - homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm. Kiến trúc dual - homed host rất đơn giản, máy dual - homed host ở giữa, một bên đƣợc nối với internet và bên còn lại nối với mạng nội bộ (Mạng cần đƣợc bảo vệ).
Gồm có các đặc điểm sau:
- Phải disable chức năng routing của dual - homed host để cấm hòan toàn lƣu thông IP từ ngoài vào.
- Các hệ thống bên trong và bên ngoài dual - homed host chỉ có thể liên lạc với dual - homed host mà chúng không liên lạc trực tiếp đƣợc với nhau.
- Dual - homed host cung cấp dịch vụ thông qua proxy server hoặc login trực tiếp vào dual - homed host.
Hình 1.14. Kiến trúc máy chủ trung gian
* Kiến trúc máy chủ sàng lọc (Screened Host Architeture)
Trong kiến trúc này chức năng bảo mật chính đƣợc cung cấp bởi chức năng packet filtering tại screening router.
Packet filtering trên screening router đƣợc setup sao cho bastion host là máy duy nhất trong internal network mà các host trên internet có thể mở kết nối đến. Packet filtering cũng cho phép bastion host mở các kết nối (hợp pháp) ra bên ngoài (External network).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Cho phép các internal hosts mở kết nối đến các host trên Internet đối với một số dịch vụ đƣợc phép.
- Cấm tất cả kết nối từ các internal hosts.
Khi hacker đã tấn công đƣợc vào bastion host thì không còn một rào chắn nào cho các internal hosts.
Hình 1.15. Kiến trúc máy chủ sàng lọc
* Kiến trúc mạng con sàng lọc (Screened Subnet archtecture)
Thêm một perimeter network để cô lập internal network với Internet. Nhƣ vậy dù hacker đã tấn công đƣợc vào bastion host vẫn còn một rào chắn nữa phải vƣợt qua là Interior router. Các lƣu thông trong internal network đƣợc bảo vệ an toàn cho dù bastion đã bị “chiếm”. Các dịch vụ nào ít tin cậy và có khả năng dễ bị tấn công thì nên để ở perimeter network. Bastion host là điểm liên lạc cho các kết nối từ ngoài vào nhƣ: SMTP, FTP, DNS. Còn đối với việc truy cập các dịch vụ từ internal clients đến các server trên internet thì đƣợc điều khiển nhƣ sau:
- Set up packet filtering trên cả hai exterior và interior router để cho phép