2.2.1.Chức năng của sensor
2.2.2.Triển khai sensor
Sensor có thể đặt bên ngoài firewall hoặc bên trong hoặc cả hai. Sensor bên ngoài firewall lưu lại thông tin về cuộc tấn công.
Web server, FTP server, DNS server, và mail server thường được đặt bên ngoài firewall làm cho chúng dễ bị tấn công hơn. Đặt server bên ngoài mạng là dễ bị tấn công hơn, Đặt ít nhất một sensor nền mạng là một ý tưởng hay trong một hoặc nhiều vùng phi quân sự. (DMZ )
Hình 1.6 Triển khai sensor với một DMZ
Cài đặt sensor nền host (host-based sensor) làm cho việc phân tích chính xác, vì tất cả dữ liệu thu thập bởi mỗi sensor là từ mỗi một host cụ thể, bởi vì dữ liệu cần chỉ rõ host nhận. Trái ngược với sensor đặt tại các điểm trung gian trong mạng chúng ghi lại dữ liệu về traffic mà có thể hoặc không có thể đi tới host đó. Hơn nữa sensor nền host phù hợp với việc cung cấp thông tin về cuộc tấn công trong nội bộ mạng.
Mặc dù sensor nền mạng thu thập dữ liệu trên đơn vị rộng, bao phủ rất nhiều host, nhưng chúng cũng có những hạn chế.
Mối quan tâm chính là tỷ lệ thông lượng. Một sensor có thể nhận rất nhiều dữ liệu vào và đơn giản là chúng không có thể lưu dữ chúng. Một số loại sensor khó có thể điều khiển lượng thông lượng lớn hơn 350-400Mbps, một số gặp khó khăn khi tỷ lệ dữ liệu vào là thấp. Một sensor có thể loại bỏ gói tin vượt quá giới hạn. Các sensor quá tải chiếm dụng tài nguyên của máy và điều này là không tốt.
Mức độ càng phức tạp hơn đối với traffic mạng được mã hóa. Giải pháp phổ biến sử dụng là đặt sensor lại điểm mà traffic mạng chưa được mã hóa.
Việc bắt gói tin trong mạng chuyển mạch là vấn đề không đơn giản, nhưng để thực hiện được nó được miêu tả ở một lần khác. Nếu chúng ta muốn biết thêm thông tin về vấn đề này. Có thể vào: www.newriders.com.
Giải pháp cho vấn đề băng thông là cài đặt bộ lọc nó giới hạn loại gói tin mà sensor có thể nhận. Theo kinh nghiệm của chúng tôi, Tất cả giao thức (TCP, UDP, và ICMP), TCP là giao thức quan trọng nhất bởi vì nó liên đới tới rất nhiều cuộc tấn công. Hoặc có thể đưa ra lựa chọn phân tích traffic TCP, UDP, ICMP. Giải pháp này chưa phải là giải pháp tối ưu bởi vì chúng có thể mất dữ liệu quan trọng.
Một mở rộng của chiến lược này là cài đặt bộ lọc chỉ chấp nhận traffic TCP trên một vài sensor, và cài đặt bộ lọc chỉ chấp nhận traffic UDP trên các sensor khác, và tương tự cho ICMP khác. Sensor có thể đặt xa các điểm có lưu lượng lớn như gateway. Như hình sau:
Hình 1.7 Triển khai sensor trong thiết bị ngoại vi
Lai giứa hai cách tiếp cận các sensor nền mạng đặt cả ở bên ngoài gateway và cả ở điểm giữa gateway và subnet Như hình sau:
Hình 1.8 Kết hợp 2 phương phát triển khai sensor 2.2.3. Đảm bảo an toàn Sensor
Xem xét tính bảo mật của sensor là một trong ba thành phần chính của kiến trúc đa tầng, trong đó sensor là thành phần bị tấn công nhiều nhất.
Sensor mức thấp nhất chỉ thực hiện bắt traffic mạng, Trong trường hợp xấu nhất, kẻ tấn công tấn công sensor và chèn dữ liệu xấu và gửi đến client hoặc là nguyên nhân gây lên tấn công từ chối dịch vụ. Tuy nhiên, sensor mức cao được thêm các chính sách vì vậy thực hiện xử lý dữ liệu trước sau đó gửi cho agent, Một trường hợp xấu nhất là toàn bộ hệ thống IDS có thể bị phá hủy. Những thành phần khác của hệ thống có thể bị tấn công bởi vì sensor này đã bị kẻ tấn công chiếm quyền điều khiển. Sự phụ thuộc giữa hệ thống và thiết bị có thể là nguyên nhân kẻ tấn công chiếm quyền truy nhập vào thành phần (trong trường hợp này là sensor) do đó chiếm quyền truy nhập vào các thành phần khác. Sensor có thể chứa thông tin liên quan cấu hình của hệ thống khác. Chúng phụ thuộc lẫn nhau và cho phép truy nhập vào hệ thống khác. Chúng nhận ra host nơi các sensor cài đặt. Lý tưởng mỗi thành phần trong kiến trúc đa tầng độc lập với các thành phần khác, nhưng thực tế không phải là vậy.
Điều cốt yếu là sensor phải có lớp bảo vệ. Ít nhất, host (cài đặt sensor) cần thắt chặt quyền, giới hạn quyền truy nhập tới hệ thống, cài đặt bản vá lỗi, vv. Mỗi
sensor nên được đặt ở những nơi cần thiết, nhưng tốt nhất đặt sau tường lửa, bởi vì ít nhất ngăn chặn được một số tấn công từ internet.
Hơn nữa, phải thông báo ngay khi sensor bị lỗi. Việc một hoặc hai sensor bị hỏng làm giảm khả năng bảo vệ hệ thống, nhưng nếu nhiều sensor bị hỏng thì gây hậu quả rất xấu nếu như hoạt động của tổ chức phụ thuộc vào hệ thống phát hiện xâm nhập. Hệ thống IDS luôn thường xuyên tiếp xúc với tất cả sensor để phát hiện sensor hỏng đây là chú ý quan trọng.
Kênh truyền thông giữa các sensor và các thành phần khác phải đảm bảo tin cậy. Ngăn chặn truyền thông giữa các sensor và các thành phần khác có thể dẫn đến những hậu quả không mong muốn, kẻ tấn công tìm ra thông tin cá nhân nếu thông tin cá nhân có trong gói tin mà sensor bắt lấy. Xác thực và mã hóa kênh giữa các sensor và các thành phần khác là giải pháp hợp lý cho vấn đề này.
2.3. Agent
Agent là phần tử tiếp theo của hệ thống phát hiện xâm nhập, Trong phần này chúng ta xem xét chức năng, triển khai agent và những vấn đề về bảo mật liên quan đến Agent.