Chương 4: GIỚI THIỆU CÁC MÔ HÌNH WAN VÀ BẢO MẬT TRONG WAN
4.2.4 Hệ thống phát hiện đột nhập mạng
Giới thiệu
Như đã trình bầy ở phần trên công nghệ tường lửa không thể bảo vệ an ninh - an toàn mạng đầy đủ, nó chỉ là một phần trong mô hình an ninh-an toàn khi kết nối WAN. Tường lửa không tự nhận ra được các cuộc tấn công và cũng không tự ngăn chặn được các cuộc tấn công đó. Có thể xem hệ thống tường lửa như hàng rào và hệ thống gác cổng vào/ra, không có khả năng phát hiện tin tặc tấn công, cũng không tự phản ứng được với các cuộc tấn công mà nó chưa biết trước.
Trong phần này chúng ta trình bầy một công cụ phục vụ an ninh - an toàn mạng thứ hai, đó là công nghệ phát hiện đột nhập, nó là công cụ bổ sung cho công cụ tường lửa. Nếu tường lửa là các trạm gác, thì hệ thống phát hiện đột nhập được xem như hệ thống các camera/video theo dõi, giám sát và là hệ thống báo động. Nó thường được đặt ở ngay trong trạm gác "tường lửa", hay đặt ở các vị trí quan trọng bên trong của mạng, nhằm chủ
động phát hiện ra dấu hiệu mất an ninh-an toàn, hay phát hiện ra các cuộc tấn công không biết trước.
Hệ phát hiện đột nhập mạng là gì?
Là hệ thống nhằm phát hiện ra việc sử dụng không hợp pháp tài nguyên hệ thống, phát hiện những hoạt động lạm dụng, tấn công vào hệ thống máy tính hoặc mạng máy tính. Hệ phát hiện đột nhập IDS (intrusion detection system) là hệ thống bao gồm phần mềm và phần cứng thực hiện việc theo dõi, giám sát, thu nhận thông tin từ các nguồn khác nhau, sau đó phân tích để phát hiện ra dấu hiệu (“signature”) của sự đột nhập (dấu hiệu của các hoạt động tấn công hay lạm dụng hệ thống), cảnh báo cho quản trị hệ thống, hay ra các quyết định phản ứng để phòng vệ. Nói một cách tổng quát IDS là hệ thống cho phép phát hiện các dấu hiệu làm hại đến tính bảo mật, tính toàn vẹn, và tính sẵn dùng của hệ thống máy tính hay hệ thống mạng máy tính làm cơ sở cho việc phản ứng lại, bảo đảm an ninh - an toàn hệ thống.
Để phát hiện ra những dấu hiệu của sự đột nhập, IDS cần phân tích các hoạt động của hệ thống, đồng thời nó phải có khả năng chỉ ra hoạt động nào là hoạt động tấn công hoặc lạm dụng hệ thống. Đôi khi để phát hiện sự đột nhập cần phải kết hợp nhiều phương pháp phân tích và quá trình phân tích cũng chia ra làm nhiều bước để phát hiện việc đột nhập đã vào chưa và ở mức độ nào (trước khi, trong khi, hay sau khi đã đột nhập thành công vào hệ thống?). Chẳng hạn một cuộc đột nhập bị phát hiện trước khi xảy ra thì người quản trị hệ thống sẽ dễ dàng ngăn chặn hoặc là cơ sở để giăng bẫy để bắt kẻ đột nhập khi chúng đột nhập và tấn công vào hệ thống (thu thập chứng cứ cho việc truy tố sau này). Nếu việc đột nhập được phát hiện trong khi đang xảy ra, hay thậm chí sau khi nó đã hoàn thành, thì điều phải làm đầu tiên của người quản trị hệ thống là đánh giá mức độ gây hại và cô lập đoạn mạng bị tấn công.
Cơ sở để thực hiện phản ứng lại với những hoạt động gây hại thường là ghi các sự kiện ra một hay nhiều nhật ký hệ thống thuận tiện cho việc phân tích sau này. Hệ thống phát hiện đột nhập cũng có thể được cấu hình để báo động khi có dấu hiệu tấn công được phát hiện (dấu hiệu này được lưu trong cơ sở dữ liệu các dấu hiệu về các cuộc tấn công đã được biết). Phản ứng lại với các hoạt động gây hại cũng có thể là ngăn chặn tin tặc truy nhập vào hệ thống hoặc cho phép truy nhập kèm theo giám sát chặt, hoặc kích hoạt hệ thống tường lửa ngăn chặn các tác nhân gây hại.
Những hoạt động đột nhập là những hoạt động xâm nhập vào hệ thống một cách có ý thức mà không được phép của chủ hệ thống, nhằm mục đích:
− Truy cập các thông tin không được phép. − Phá hoại thông tin.
− Phá hoại an ninh- an toàn hệ thống, làm cho hệ thống trở nên không tin cậy hoặc không hoạt động được,....
Người đột nhập trong cuộc xâm nhập vào một hệ thống một cách có ý thức được phân làm hai dạng: từ bên trong và từ bên ngoài. Những kẻ đột nhập từ bên ngoài là những người không có quyền truy nhập vào máy hay mạng. Những kẻ xâm nhập từ bên trong là những người dùng hợp pháp nhưng chỉ được cấp quyền hạn chế trong hệ thống. Họ hoạt động bằng cách cố gắng truy cập tới những phần mà họ không được phép truy nhập của hệ thống. Họ truy nhập vì tò mò hoặc để lấy trộm thông tin không được phép.
Hình 4.7: Sơ đồ cấu trúc của một hệ thống phát hiện đột nhập
Hệ phát hiện đột nhập là một hệ thống có các chức năng sau:
− Theo dõi, giám sát toàn mạng, thu nhận thông tin từ nhiều nguồn khác nhau của hệ thống.
− Phân tích những thông tin đã nhận được, để phát hiện những dấu hiệu phản ánh sự lạm dụng hệ thống hoặc những dấu hiệu phản ánh những hoạt động bất thường xảy ra trong hệ thống.
− Quản lý, phân tích hoạt động của người sử dụng hệ thống.
− Kiểm tra cấu hình hệ thống và phát hiện khả năng hệ thống có thể bị tấn công. − Phân tích bằng thống kê để phát hiện những dấu hiệu thể hiện hoạt động bất thường của hệ thống. Hệ thống cần bải vệ Theo dõi Phản ứng Cấ u hìn h Cơ sở dữ liệu
− Quản lý nhật ký của hệ điều hành để phát hiện các hoạt đông vi phạm quyền của các người dùng.
− Tổ chức tự động phản ứng lại những hành động đột nhập hay gây hại mà nó phát hiện ra, ghi nhận những kết quả của nó.
- Hệ thống phát hiện lỗ hổng an ninh
Hệ thống phát hiện lỗ hổ an ninh là hệ thống gồm các công cụ quét, và thử thăm dò tấn công mạng. Nó được người quản trị mạng dùng để phát hiện ra các lỗ hổng về an ninh an toàn trước khi đưa mạng vào hoạt động, và thường xuyên theo dõi để nâng cấp, vá các lỗ hỏng an ninh.
Hình 4.8: Các vị trí đặt hệ phát hiện đột nhập