- Network-Based IDS (NIDS):
NIDS giám sát toàn bộ mạng con (hoặc phân đoạn mạng) của nó bằng cách lắng nghe tất cả các gói tin trên mạng con đó (nó thay đổi chế độ hoạt động của card mạng (NIC). Bình thƣờng, một NIC hoạt động ở chế độ nonpromiscuous, nghĩa là nó chỉ nhận chỉ các gói tin mà có địa chỉ MAC đích trùng với là địa chỉ của nó, các gói tin khác sẽ không đƣợc xử lý và bị loại bỏ. Để giám sát tất cả các truyền thông trong mạng con, NDIS phải chấp nhận tất cả các gói tin và chuyển chúng tới stack để xử lý. Do vậy nó sẽ phải thiết lập chế độ hoạt động cho card mạng là promiscuous.
Hình dƣới đây minh hoạ một mạng mà sử dụng 3 NDIS. Các NIDS đƣợc đặt trên các mạng con khác nhau.
Server ServerWeb
Web Server DNS NDIS INTERNET Firewall NDIS NDIS
Hình 3-11. Network-Based IDS (NIDS)
+ Ƣu điểm của Network-based IDS (NIDS): Network-based IDS có nhiều ƣu điểm qua việc bắt gói và phân tích thời gian thực mà không dễ đƣợc thực hiện với chỉ riêng Host-based IDS. Dƣới là một vài ƣu điểm đặc trƣng của NIDS:
. Giá thành:
Network-based IDS cho phép tạo chiến lƣợc lâu dài chỉ cần sử dụng các điểm truy cập then chốt để xem xét luồng truyền thông trên mạng mà đã đƣợc dự trù từ trƣớc cho một số hệ thống mà cần đƣợc bảo vệ. Nó không yêu cầu phần mềm đƣợc cài đặt và đƣợc quản lý trên nhiều máy nhƣ Host-based IDS.
. Phân tích gói:
Network-based IDS kiểm tra tất cả các phần trong gói tin để tìm ra dấu hiệu của một cuộc tấn công trái phép bao gồm: Các phần đầu (header) của gói tin và phần nội dung của gói tin (payload).
. Chống lại việc xóa dấu vết của Hacker:
Network-based IDS kiểm tra tất cả luồng thông tin trên mạng một cách tức thời để phát hiện tấn công vì thế Hacker không thể xóa dấu vết của cuộc tấn công. Việc bắt dữ liệu không những giúp tìm ra tấn công mà nó còn chứa thông tin về kẻ tấn công giúp cho việc xác định định danh của kẻ tấn công đó, đây có thể đƣợc coi làm bằng chứng.
. Phát hiện và đáp ứng thời gian thực:
Network-based IDS phát hiện các cuộc tấn công đang xảy ra trong thời gian thực và do vậy tạo ra các phản ứng nhanh hơn. Ví dụ, một hacker khởi tạo một tấn công từ chối dịch vụ (DoS) dựa trên TCP, tấn công này có thể bị chặn bằng cách IDS sẽ gửi một TCP reset để ngăn phiên TCP này, do vậy tấn công gắn với phiên TCP đó bị loại bỏ trƣớc khi nó làm sụp đổ hay phá hoại hệ thống.
. Độc lập với hệ điều hành:
Network-based IDS thì không phụ thuộc vào hệ điều hành trong việc phát hiện tấn công. - Host Based IDS (HIDS):
Các Host-based IDS sử dụng các tệp theo dõi nhật ký của hệ thống giúp cho việc phát hiện các xâm nhập, nhƣng chúng đƣợc tự động hóa, mềm dẻo, và làm việc thời gian thực trong việc phát hiện và phản ứng lại với các tấn công. Các hệ thống Host-based IDS dùng phần mềm để giám sát các tệp nhật ký của hệ thống. Một vài Host-based IDS sẽ lắng nghe trên các cổng và đƣa ra các hành động, cảnh báo cho phép phát hiện tấn công mạng.
Hệ thống phát hiện xâm nhập cho các máy trạm (HIDS) khác so với hệ thống phát hiện xâm nhập cho mạng ở 2 điểm chính sau:
+ Thứ nhất, HIDS đƣợc cài đặt trên các máy trạm và bảo vệ cho chính hệ thống này. Nó không bảo vệ cho toàn bộ mạng con nhƣ NIDS.
+ Thứ hai, Card mạng của hệ thống mà đƣợc cài đặt HIDS thì hoạt động ở chế độ bình thƣờng (nonpromiscuous). Với đặc điểm này có ƣu điểm là nó không tiêu tốn thời gian xử lý CPU của máy (dẫn tới hệ thống hoạt động chậm).
Hình dƣới đây minh hoạ việc sử dụng các HIDS để bảo vệ các máy chủ (Server) và các HIDS để bảo vệ cho các máy trạm. Tập các nguyên tắc cho HIDS trên Mail Server đƣợc tối ƣu để bảo vệ cho các xâm nhập mail.
Mail Server Web Server Web Server DNS INTERNET Firewall HIDS HIDS HIDS HIDS
Hình 3-12. Host Based IDS (HIDS)
+ Ƣu điểm của Host-based IDS: Do Host-based IDS đƣợc cài đặt trên một máy trạm cụ thể và dùng thông tin cung cấp bởi Hệ điều hành (OS) nên nó sẽ có những khả năng mà Netword-based IDS không thể có, đó là:
. Kiểm tra tấn công
Vì HIDS sử dụng các tệp nhật ký của hệ thống để phát hiện xâm nhập, những tệp này chứa các sự kiện đã xảy ra, do vậy HIDS có thể biết đƣợc cuộc tấn công có thành công hay không. Rõ ràng Network-based IDS rất khó có thể biết đƣợc điều này.
. Giám sát các hành động đăng nhập và truy nhập tệp tin
HIDS có thể giám sát các hành động của ngƣời dùng, cũng nhƣ hành động truy nhập các tệp tin (file). Mỗi khi các thủ tục đăng nhập (Login) hoặc thoát ra (Logoff) đƣợc thực hiện, chúng sẽ đƣợc ghi lại ở trong nhật ký, sau đó HIDS có thể giám sát các tệp nhật ký đó dựa trên các chính sách hiện hành. Ngoài ra, HIDS có thể giám sát sự truy nhập vào tệp tin và biết đƣợc thời điểm đóng, mở tệp tin đó.
. Giám sát các thành phần hệ thống
Host-based IDS cho ta khả năng giám sát các thành phần hệ thống quan trọng nhƣ các thành phần hệ thống có thể thực thi, chẳng hạn là các file DLL và NT Registry. Những file đó có thể gây ảnh hƣởng đến an toàn của hệ thống và mạng. Host-based IDS có thể đƣa ra các cảnh báo mỗi khi các file đó đƣợc thực thi. Giám sát nhằm phát hiện các cuộc tấn công của Hacker có ý dùng đĩa cứng Server làm kho lƣu trữ.
. Phát hiện và phản ứng gần thời gian thực
Host-based IDS có khả năng phát hiện và phản ứng ở “gần thời gian thực”. Thay vì phải sử dụng một tiến trình để kiểm tra trạng thái và nội dung của các tệp nhật ký ở một khoảng thời gian xác định trƣớc, ngày nay các HIDS có thể phát hiện và phản ứng ngay sau khi các tệp nhật ký đƣợc cập nhật. Phát hiện “gần thời gian thực” có thể giúp tìm ra các kẻ phá hoại trƣớc khi hắn có thể làm thiệt hại và xoá bỏ dấu vết trên hệ thống.
. Không cần bổ sung phần cứng
HIDS không cần bổ xung thêm một thiết bị phần cứng nào để thực hiện các phát hiện xâm nhập. Nó đƣợc cài đặt trên chính máy mà cần bảo vệ.
- Hệ thống phát hiện xâm nhập phân tán (DIDS):
Hệ thống phát hiện xâm nhập phân tán (DIDS) là kết hợp giữa NIDS và HIDS và đƣợc cài đặt phân tán trên toàn bộ mạng. Tất cả các thống kê từ các IDS sensor sẽ đƣợc gửi về một hệ thống quản lý tập trung. Các bản ghi nhật ký về tấn công đƣợc sinh ra trên các sensor sẽ đƣợc gửi về một server trung tâm, ở đó chúng đƣợc lƣu vào một cơ sở dữ liệu tập trung.
Server ServerWeb
Web Server DNS NDIS MANAGEMENT STATION NDIS 1 NDIS 2 NDIS 3 NDIS 4 INTERNET Firewall Private management Network Private management Network
Hình 3-13. Hệ thống phát hiện xâm nhập phân tán (DIDS)
Hình trên đây minh hoạ một hệ thống DIDS gồm 4 sensor và một máy quản lý dữ liệu tập trung từ 4 sensor gửi đến. Sensor NIDS1 và NIDS2 hoạt động trong chế độ promiscuous và chúng đƣợc sử dụng để bảo vệ các Server nhƣ Mail, Web, DNS ở mạng bên ngoài. Còn Sensor NIDS 3 và NIDS 4 đƣợc sử dụng để bảo vệ các máy trạm ở mạng bên trong.
-Stack-based IDS:
Stack-based IDS làm việc bằng cách tích hợp với chồng giao thức TCP/IP. Cho phép giám sát các gói trên các tầng OSI. Việc xem xét các gói tin theo cách này sẽ cho phép IDS lấy gói tin ra khỏi stack trƣớc khi hệ điều hành hay ứng dụng có cơ hội để xử lý gói. Stack-based IDS cần phải xem xét luồng dữ liệu cả chiều đi và đến trên một hệ thống.
3.4.5.Một số phương pháp phát hiện xâm nhập của IDS
-Phát hiện sự bất thường:
Phát hiện dựa trên sự bất thƣờng hay mô tả sơ lƣợc phân tích những hoạt động của mạng máy tính và lƣu lƣợng mạng nhằm tìm kiếm sự bất thƣờng . Khi tìm thấy sự bất thƣờng, một tín hiệu cảnh báo sẽ đƣợc khởi phát. Sự bất thƣờng là bất cứ sự chệch hƣớng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thƣờng.
Một web server phải có bản mô tả sơ lƣợc của nó dựa trên lƣu lƣợng web, tƣơng tự nhƣ vậy đối với mail server. Bạn chắc chắn không mong đợi lƣu lƣợng telnet với web server của mình cũng nhƣ không muốn lƣu lƣợng SSH đến với mail server của bạn .Nếu một ngƣời sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.
- Phương pháp bắt gói tin (Packet Sniffing):
NIDS đƣợc sử dụng để dò tìm các xâm nhập mạng bằng cách thiết lập một giao diện hoạt động ở trong chế độ promiscuous và bắt tất cả gói tin đi vào giao diện này. Nhƣ
vậy, NIDS sẽ bắt các gói tin mà đƣợc truyền trong mạng cục bộ và chúng sẽ không thể nhìn thấy đƣợc các gói tin mà ở trong TCP/IP stack bên trong máy. Nhiều hệ thống HIDS cũng thực hiện phân tích truyền thông bằng kỹ thuật này, tuy nhiên chúng không phân tích toàn bộ các gói tin mà chỉ phân tích những gói tin đi vào chính máy mà cài HIDS.
-Phát hiện sử dụng sai:
Phát hiện sử dụng sai thông thƣờng còn có tên là phát hiện dựa trên dấu hiệu (signature-based detection) . Phát hiện sử dụng sai đũi hỏi những file dấu hiệu để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử dụng trong phƣơng pháp phát hiện sử dụng sai thỡ tƣơng tự nhƣ những file dấu hiệu trong những phần mềm diệt virus.
-Giám sát các cuộc gọi hệ thống (System Call Monitoring):
Một cuộc gọi hệ thống chính là một yêu cầu (request) từ một ứng dụng đối với nhân của hệ điều hành. HIDS có các module ở bên trong nhân của hệ điều hành, và nó sẽ kiểm tra các cuộc gọi hệ thống ác ý. Nếu HIDS nghi ngờ rằng đây là một cuộc gọi hệ thống ác ý thì nó có thể tạo ra các cảnh báo.
-Kiểm tra các tệp hệ thống (Filesystem Watching):
Đây là một phƣơng pháp mà HIDS hay sử dụng. Với phƣơng pháp này, HIDS sẽ lƣu các dấu vết của các tệp hệ thống ví dụ nhƣ kích thƣớc tệp, thuộc tính của tệp... Nếu nhân của hệ điều hành phát hiện ra sự thay đổi các thuộc tính này mà ngƣời quản trị mạng không biết thì đây rất có thể là các hành động ác ý nào đó và HIDS sẽ sinh ra các cảnh báo tới ngƣời quản trị mạng. Một số công cụ cài đặt kỹ thuật này nhƣ Tripwire hoặc AIDS (Advanced Intrusion Detection Enviroment).
Chƣơng 4:
CÀI ĐẶT THỬ NGHIỆM CHƢƠNG TRÌNH KHAI THÁC LỖ HỔNG BẢO MẬT TRÊN HỆ THỐNG MÁY TÍNH