Hạn chế của Network-Based IDSs:

Một phần của tài liệu Hệ thống phát hiện xâm nhập IDS SNORT (Trang 28 - 33)

C .hức năng của IDS

3. Hạn chế của Network-Based IDSs:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion.

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn - Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.

- Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.

4.Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host).

Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.

HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường

được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all):

 Các tiến trình.

 Các entry của Registry.

 Mức độ sử dụng CPU.

 Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.

 Một vài thông số khác.

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.

5.Lợi thế của HIDS:

 Có khả năng xác đinh user liên quan tới một event.

 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này.

 Có thể phân tích các dữ liệu mã hoá.

 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

6.Hạn chế của HIDS:

 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.

 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".  HIDS phải được thiết lập trên từng host cần giám sát .

 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).

 HIDS cần tài nguyên trên host để hoạt động.

 HIDS có thể không hiệu quả khi bị DOS.

 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ

thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành.

7.DIDS

DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. Mỗi sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server để xử lý.

DIDS có khả năng xử lý tập trung, giúp cho người quản trị có khả năng theo dõi toàn bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung tâm ISC (Internet Storm Center) của viện SANS.

SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS

Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân tích dữ liệu trong thời gian thực. Network-based IDS không có tác động tới mạng hay host, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch.

Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của network-based IDS và trên môi trường chuyển mạch.

Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động.

Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công.

Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ở mạng có mã hóa. Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng.

Một ví dụ sử dụng kết hợp NIDS và HIDS.

Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép.

Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một hacker muốn xâm nhập vào hệ thống. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và không thể phục vụ được). Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông tin credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và network-based IDS có thể phát hiện được tất cả các kiểu tấn công trên.

Một phần của tài liệu Hệ thống phát hiện xâm nhập IDS SNORT (Trang 28 - 33)

Tải bản đầy đủ (DOC)

(81 trang)
w