6 Các công trình nghiên cứu liên quan
2.2 Đặc điểm, kiến trúc hệ thống của IDS/IPS
2.2.1 Cơ sở hạ tầng của hệ thống IDS/IPS
Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp.
Hình 2.1 Hoạt động của hệ thống IDS/IPS[13]
của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt (Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS) để phát hiện các cuộc tấn công có thể (xâm nhập).
Một khi xâm nhập đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS/IPS , bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức.
Hệ thống IDS/IPS là một thành phần của chính sách bảo mật. Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể.
Hình 2.2 Cơ sở hạ tầng hệ thống IDS/IPS[7]
26
2.2.2.1 Cấu trúc
Sensor / Agent: Giám sát và phân tích các hoạt động. “Sensor”
thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS
Management Server: Là 1 thiết bị trung tâm dùng thu nhận các
thông tin từ Sensor / Agent và quản lý chúng. 1 số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện được
Database server: Dùng lưu trữ các thông tin từ Sensor / Agent hay
Management Server
Console: Là 1 chương trình cung cấp giao diện cho IDS/IPS users
/ Admins. Có thể cài đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.
2.2.2.2 Kiến trúc của hệ thống IDS/IPS
Trong hệ thống phát hiện xâm nhập, sensor được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: + Thành phần thu thập thông tin (information collection). + Thành phần phân tích gói tin (Detection).
+ Thành phần phản hồi (response).
Hình 2.4 Thành phần của kiến trúc IDS[7]
28
nhất và trong thành phần này sensor đóng vai trò quyết định. Sensor được tích hợp với thành phần thu thập dữ liệu. Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài.
Vai trò của sensor là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau được gọi là cấu trúc đa tác nhân. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa bảo vệ liên quan đến các kiểu tấn công mới. Các giải pháp dựa trên tác nhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chính sách đáp trả.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994. Giải pháp này sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ như một tác nhân có thể cho biết một số thông tin không bình thường của các phiên Telnet bên trong hệ thống nó kiểm tra.
Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được sao chép và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó, một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.
Hình 2.5 Các tác nhân tự trị cho việc phát hiện xâm nhập[7]
2.3 Phân loại IDS/IPS
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
30
+ Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công.
+ Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (information collection): Kiểm tra tất cả các gói tin trên mạng.
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho
biết hành động nào là tấn công.
- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân
tích ở trên.
2.3.1 Host-based IDS/IPS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (không phải là tất cả):
32 - Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. - Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.
Hình 2.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng
2.3.2 Network Base IDS/IPS (NIDS/IPS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và sensor cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những sensor thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm
quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao
Hình 2.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ
34
liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
2.3.3 Triển khai hệ thống IDS/IPS
Thông thường có nhiều cách để triển khai một hệ thống IDS/IPS, tuy nhiên thường được dùng nhiều để triển khai trong một hệ thống mạng là 02 cách thức triển khai như sau:
+ In-line (thẳng hàng)
Hình 2.9 Mô hình triển khai theo kiểu thẳng hàng
Người ta đặt một sensor thẳng hàng sao cho nó có thể giám sát được các lưu lượng mạng đi qua nó như trong trường hợp của firewall. Thực tế là 1 số Sensor thẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng. Sensor thẳng
hàng có thể được triển khai ở những vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật, firewall mục đích để giảm tải cho các thiết bị này.
Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn, với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IDS/IPS phải hoạt động theo thời gian thực. Tốc độ hoạt động của hệ thống là một yếu tố rất quan trọng. Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức.
+ Passive (Thụ động)
Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 01 bản sao của các lưu lượng trên mạng. Thường được triển khai giám sát các vị trí quan trọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ như Server farm hoặc DMZ. Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer.
36
Khả năng thu thập thông tin bao gồm nhận dạng các host, hệ điều hành, các ứng dụng, đặc điểm mạng. Khả năng ghi log file. Khả năng nhận diện những hoạt động thăm dò, vi phạm chính sách hoặc các dịch vụ ứng dụng không mong đợi. Khả năng ngăn chặn của kiểu thụ động là ngắt phiên TCP hiện tại
Cần lưu ý khi triển khai hệ thống IDS/IPS là phải triển khai các Sensor ở