VPN (Virtual Private Network) về cơ bản đây là kết nối từ 1 vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụ hỗ trợ như email, intranet... chỉ được truy cập khi người dùng khai báo đúng các thông tin đã được thiết lập sẵn.
Các thiết bị Cisco ASA, ngoài chức năng tường lửa, có thể được sử dụng kết nối bảo mật mạng LAN từ xa (VPN Site-to-Site) hoặc cho phép Remote user/teleworkers an toàn giao tiếp với mạng công ty (VPN Remote Access).
Cisco hỗ trợ một số dạng VPN trên ASA nhưng nói chung là phân ra 2 loại hoặc là "IPSec VPNs " hoặc "SSL VPNs":
- IPSec Based VPNs :
Lan-to-Lan IPSec VPN: được sử dụng để kết nối các mạng LAN từ xa thông qua phương tiện truyền thông không an toàn. Nó chạy giữa ASA-to-ASA hoặc Router ASA-to-Cisco.
Remote Access with IPSec VPN Client: Một phần mềm VPN Client được cài đặt trên máy tính của người dùng để cung cấp truy cập từ xa vào mạng trung tâm.
- SSL Based VPNs (WebVPN):
Clientless Mode WebVPN: đây là triển khai đầu tiên WebVPN SSL hỗ trợ từ ASA phiên bản 7.0 và sau đó. Nó cho phép người dùng thiết lập bảo mật từ xa truy cập VPN đường hầm bằng cách sử dụng chỉ là một trình duyệt Web. Khôngcần cho một phần mềm hoặc phần cứng nào. Tuy nhiên, chỉ các ứng dụng giới hạn có thể được truy cập từ xa.
AnyConnect WebVPN: cung cấp kết nối mạng đầy đủ (tương tự như với IPSec cho phép truy cập từ xa). Tất cả các ứng dụng tại trang Web trung tâm có thể được truy cập từ xa.
36 2.5.2. Site – to – site VPN
Hình 2.6. Sơ đồ mạng mô tả kết nối site to site IPSec VPN.
Site-to-Site IPSec VPN được gọi là LAN-to-LAN VPN. Đây làloại VPN kết nối hai mạng LAN xa qua Internet.
Bằng cách cấu hình Site-to-Site IPSec VPN giữa hai bức tường lửa ASA, có thể thiết lập một đường hầm an toàn qua Internet.
2.5.3. Remote access VPN
Remote Access VPN là loại VPN cho phép remote users/teleworkers với truy cập Internet để thiết lập một đường hầm IPSec VPN an toàn giữa mạng của công ty, tổ chức.
Người sử dụng phải có một phần mềm CiscoVPN client được cài đặt trên máy tính của họ sẽ cho phép một giao tiếp an toàn với ASAFirewall trong văn phòng trung tâm.
Sau khi VPN được thiết lập giữa người dùng từ xa và các bức tường lửa ASA, người dùng được gán một địa chỉ IP riêng được xác định trước, và sau đó được xác lập trên mạng LAN doanh nghiệp.
37
Hình 2.7. Sơ đồ mạng mô tả kết nối Remote Access VPN.
2.5.4. AnyConnect VPN
AnyConnect VPN cung cấp đầy đủ kết nối mạng tới người dùng ở xa. Firewall Cisco ASA làm việc như một máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở xa và người sử dụng mạng. Vì vậy, tất cả các giao thức IP và những ứng dụng thông qua đường hầm VPN mà không có bất kỳ vấn đề gì.
38 Có hai lựa chọn cài đặt ban đầu :
- Sử dụng clientless WebVPN portal. - Cài đặt bằng tay bởi người sử dụng.
2.6. Một số loại Cisco ASA
Hiện nay, tường lửa Cisco ASA có một số dòng sản phẩm ASA seri 5500, phân chia theo chứa năng và mức độ đối với từng đối tượng có mô hình từ bé đến lớn, và theo mức giá của các sản phẩm.
Hình 2.9. Các dòng sản phẩm Cisco ASA 5500.
2.6.1. Cisco ASA 5510
Dòng sản phầm ASA 5510 nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ.
- Cung cấp lên tới 130,000 kết nối đồng thời. - Thông lượng có thể đáp ứng tới 300-Mbps. - Các interface được hỗ trợ:
Lên tới 5 cổng 10/100 Fast Ethernet. Lên tới 25 VLANs.
39 Lên tới 5 ngữ cảnh (contexts). - Hỗ trợ failover:
Active/standby. - Hỗ trợ VPNs :
Site to site (250 peers). Remote access.
WebVPN.
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port).
2.6.2. Cisco ASA 5520
- Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa.
- Cung cấp lên tới 280,000 kết nối đồng thời. - Thông lượng có thể đáp ứng 450-Mbps. - Các interface được hỗ trợ :
4 10/100/1000 Gigabit Ethernet interfaces. 1 10/100 Fast Ethernet interface.
Lên tới 100 VLANs. Lên tới 20 contexts. - Hỗ trợ failover :
Active/standby. Active/active. - Hỗ trợ VPNs
Site to site (750 peers). Remote access.
WebVPN.
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port).
40 2.6.3. Cisco ASA 5540
- Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả VPN cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ. - Cung cấp lên tới 400,000 kết nối đồng thời.
- Thông lượng đáp ứng 650-Mbps. - Các interface hỗ trợ :
4 10/100/1000 Gigabit Ethernet interfaces. 1 10/100 Fast Ethernet interface.
Lên tới 200 VLANs. Lên tới 50 contexts. - Hỗ trợ failover :
Active/standby. Active/active. - Hỗ trợ VPNs :
Site to site (5,000 peers). Remote access.
WebVPN.
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, 4 port Gigabit Ethernet SSM).
2.6.4. Đặc điểm phần cứng của thiết bị bảo mật Cisco ASA 5510, 5520, 5540 5540
- Mặt trước của dòng thiết bị ASA gồm các loại đèn báo: Power
Status Active Flash
41
Hình 2.10. Mặt trước dòng sản phẩm Cisco ASA 5510, 5520, 5540.
Mặt sau của dòng thiết bị ASA gồm: Bộ nhớ flash.
Các module SSMs. Các Interface cố định. Công tắc nguồn.
Hình 2.11. Mặt sau dòng sản phầm Cisco ASA 5510, 5520, 5540.
- Các cổng kết nối của dòng thiết bị ASA bao gồm : Cổng quản trị outband.
Cổng Console. 2 cổng USB 2.0.
42
4 cổng 10/100/1000 Gigabit Ethernet. Cổng AUX.
Nguồn điện (AC hoặc DC).
Hình 2.12. Các cổng kết nối của dòng sản phầm Cisco ASA 5510, 5520, 5540.
2.6.5. Cisco ASA Security Services Module
- Module cung cấp các dịch vụ mở rộng cho thiết bị bảo mật. - Sử dụng bộ nhớ flash để tăng cường độ tin cậy.
43
44
CHƯƠNG 3. HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS
3.1. Lịch sử phát triển IDS/IPS
Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây 25 năm nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong các phòng thí nghiệm và các viện nghiên cứu mạng. Đến năm 1997 hệ thống phát hiện xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập mạng.
IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System-IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention.
Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS là cần thiết, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an ninh mạng.
45
3.2. Vai trò, chức năng IDS/IPS
Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất thường trong mạng. Thông thường những dấu hiệu bất thường là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng.
Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS) là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấn công. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS).
Hệ thống IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IDS/IPS thường được đặt ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng.
Một vài chức năng cơ bản của IDS/IPS: + Nhận diện các nguy cơ có thể xảy ra.
+ Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ. + Nhận diện các hoạt động thăm dò hệ thống.
+ Nhận diện các yếu khuyết của chính sách bảo mật. + Ngăn chặn vi phạm chính sách bảo mật.
+ Lưu giữ thông tin liên quan đến các đối tượng quan sát
+ Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát + Ngăn chặn các tấn công (IPS)
46
3.3. Đặc điểm, kiến trúc hệ thống của IDS/IPS
3.3.1. Cơ sở hạ tầng của hệ thống IDS/IPS
Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp.
Hình 3.1. Hoạt động của hệ thống IDS/IPS.
Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt (Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS) để phát hiện các cuộc tấn công có thể (xâm nhập).
Một khi xâm nhập đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS/IPS , bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến
47
Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức.
Hệ thống IDS/IPS là một thành phần của chính sách bảo mật. Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể.
Hình 3.2. Cơ sở hạ tầng hệ thống IDS/IPS.
3.3.2. Kiến trúc hệ thống phát hiện xâm nhập
3.3.2.1. Cấu trúc
Sensor/Agent: Giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS
Management Server: Là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor/Agent và quản lý chúng. Một số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor/Agent đơn lẻ không thể nhận diện được
48
Database server: Dùng lưu trữ các thông tin từ Sensor/Agent hay Management Server
Console: Là 1 chương trình cung cấp giao diện cho IDS/IPS users/Admins. Có thể cài đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.
3.3.2.2. Kiến trúc của hệ thống IDS/IPS
Hình 3.3. Hệ thống mẫu phát hiện xâm nhập.
Trong hệ thống phát hiện xâm nhập, sensor được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: + Thành phần thu thập thông tin (information collection).
49 + Thành phần phân tích gói tin (Detection). + Thành phần phản hồi (response).
Hình 3.4. Thành phần của kiến trúc IDS.
Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và trong thành phần này sensor đóng vai trò quyết định. Sensor được tích hợp với thành phần thu thập dữ liệu. Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài.
Vai trò của sensor là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp
50
trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau được gọi là cấu trúc đa tác nhân. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.