3. Cho điểm của cán bộ h− ớng dẫn:
2.3.4.1 Hệ thống phỏt hiện xõm nhập (Intrusion Detect System IDS)
Hệ thống phỏt hiện xõm nhập cung cấp thờm cho việc bảo vệ thụng tin mạng ở mức độ cao hơn. IDS cung cấp cho việc bảo vệ bằng cỏch trang bị cho ta thụng tin về cuộc tấn cụng.
IDS khụng tự động cấm cỏc cuộc tấn cụng hoặc là ngăn chặn kẻ khai thỏc một cỏch thành cụng. Với sự phỏt triển mới nhất của IDS tức là hệ thống ngăn chặn xõm nhập, thỡ nú cú thể ngăn chặn cỏc cuộc tấn cụng khi nú xảy ra.
Network IDS (NIDS)- là hệ thống đọc gúi tin ngầm (sniffer), và Host IDS (HIDS)- phõn tớch log, kiểm tra tớch hợp. Sự khỏc nhau chủ yếu giữa NIDS và HIDS là dữ liệu mà nú tỡm kiếm. Trong khi NIDS nhỡn vào toàn cảnh cỏc chuyển dịch trờn mạng, thỡ HIDS quan sỏt cỏc host, hệ điều hành và cỏc ứng dụng.
1) HIDS:
Dựng để kiểm soỏt lưu lượng thụng tin ở từng host, cú khả năng tạo ra cỏc riờng biệt cho từng loại mỏy tớnh, cú thể giỏm sỏt cỏc kớch thước của file, checksum....
Chức năng của HIDS: a) Giỏm sỏt Logfile:
Một HIDS đơn giản nhất là thiết bị giỏm sỏt logfile, nú cố gắng phỏt hiện những xõm nhập bằng cỏch phõn tớch cỏc log sự kiện của hệ thống.
Giỏm sỏt logfile là một nhiệm vụ của hệ thống IDS dựa trờn host bởi chỳng thực hiện chức năng giỏm sỏt chỉ trờn một mỏy. Tuy nhiờn nú cú thể giỏm sỏt trờn nhiều host.
Thiết bị giỏm sỏt logfile nổi tiếng là swatch (Simple Watcher) (Xem
http://www.oit.ucsb.edu/~eta/swatch ). Hầu hết cỏc phần mềm phõn tớch log chỉ
quột theo định kỡ, thỡ swatch quột tất cả cỏc đầu vào log và tạo cảnh bỏo theo thời gian thực.
Giỏm sỏt logfile được coi là hệ thống phỏt hiện xõm nhập theo cỏch đặc biệt. Log cũng chứa nhiều thụng tin khụng trực tiếp liờn quan đến sự xõm nhập
34
b) Giỏm sỏt tớnh toàn vẹn:
Một cụng cụ giỏm sỏt tớnh toàn vẹn sẽ nhỡn vào cấu trỳc chủ yếu của hệ thống để tỡm sự thay đổi. Dự cú giới hạn nhưng nú cú thể thờm vào cỏc lớp bảo vệ cho hệ thống phỏt hiện xõm nhập.
Giỏm sỏt toàn vẹn phổ biến nhất là Tripwire (http://www.tripwire.com). Tripwire nờn được cài đặt trờn một hệ thống khi nú cũn nguyờn bản từ nhà sản xuất, với những ứng dụng cần thiết nhất trước khi kết nối với mạng.
Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thống cho thiết bị phỏt hiện xõm nhập đú là xỏc định ranh giới an toàn, và điều này chỉ cú thể được thiết lập trước khi hệ thống được kết nối với mạng. Nếu khụng cú trạng thỏi an toàn thỡ cụng cụ kiểm tra toàn vẹn bị hạn chế, vỡ hacker cú thể đó giới thiệu những thay đổi của họ với hệ thống trước khi cụng cụ này hoạt động lần đầu.
2) NIDS
NIDS cú nhiệm vụ giỏm sỏt toàn bộ hoạt động của một phõn đoạn mạng hay một mạng con. Điều trờn thực hiện được là nhờ vào việc thay đổi chế độ trờn card giao tiếp mạng (NIC) của NIDS.
Để giỏm sỏt toàn bộ lưu lượng trờn một phõn đoạn mạng, hệ thống phõn đoạn mạng sẽ chuyển toàn bộ cỏc gúi tin này vào stack để phõn tớch chỳng. Chế độ làm việc này gọi là “hỗn độn” (khụng phõn loại). Trong chế độ này, toàn bộ gúi tin sẽ bị nghe trộm trờn tất cả cỏc giao tiếp trong phõn đoạn mạng.
Chức năng của NIDS:
+ Nhận dạng dấu hiệu (signature matchers):
IDS phỏt hiện cỏc cuộc tấn cụng dựa trờn CSDL về dấu hiệu tấn cụng. Khi hacker tỡm cỏch khai thỏc lỗ hổng đó biết thỡ, IDS cố gắng đưa lỗi đú vào CSDL của mỡnh.
+ Phỏt hiện những dấu hiệu bất thường:
Phỏt hiện dấu hiệu bất thường liờn quan đến việc thiết lập một nền múng cơ bản của những hoạt động bỡnh thường của hệ thống hoặc cỏc hành vi trờn mạng, sau đú cảnh bỏo cho ta thấy sự chệch hướng xuất hiện.
Sự khỏc biệt giữa NIDS và HIDS là HIDS chỉ bảo vệ phõn đoạn mà nú nằm bờn trong đú, chứ khụng phải toàn bộ mạng con. Ngoài ra HIDS cú thể nhỡn thấy lưu lượng thụng tin trong một hệ thống, mà hệ thống này chưa từng đi ra ngoài mạng, điều này thỡ NIDS khụng thể nhận biết được.
36