2. Lựa chọn giải pháp cho hệ thống giám sát
2.2. Lựa chọn giải pháp lọc gói tin 49 2.3.
Đối với các hệ thống thông tin nói chung và các hệ thống webserver hiện nay,
tường lửa (firewall) vẫn là công cụ được sử dụng phổ biến và rông rãi nhất. Firewall thường được đặt giữa một mạng nội bộ cần được bảo vệ và một mạng bên ngoài không tin cậy như kết nối với Internet như đã nêu trong chương 2. Các Firewall có khuynh hướng được xem như là một sự bảo vệ giữa Internet và một mạng nội bộ riêng và được quan tâm như một phương tiện để chia thành hai hoặc nhiều mạng được bảo vệ và không được bảo vệ. Dựa vào chức năng cơ bản nhất của Firewall là giám sát và lọc traffic nên có thể lựa chọn phù hợp theo yêu cầu của mỗi đơn vị có hệ thống mạng cần được bảo vệ.
Lọc các gói tin:
+ Định nghĩa các gói tin nào được chuyển tiếp, gói tin nào bị chặn.
+ Có thể cho phép các truy nhập tạm thời qua firewall đối với các cá nhân nhất đị nh.
+ Có thể chỉ cho phép các TCP hoặc UDP "session" traffic qua firewall nếu session được sinh ra trong mạng nội bộ.
Các phương thức lọc gói tin chủ yếu hiện nay là:
TCP intercept: cho phép bảo vệ các server trong mạng đối với các tấn công SYN- flooding, một dạng của các tấn công denial-of-service.
Context-Based Access Control: cho phép kiểm tra không chỉ thông tin ở transport layer và network layer mà cũng kiểm tra thông tin giao thức ở application layer (như thông tin FTP) để biết về trạng thái của các kết nối TCP và UDP.
Security Server Support: có thể được cấu hình như một client của các security server như TACACS+, RADIUS,...
Network Address Translation (NAT): cho phép giấu các địa chỉ IP nội bộ đối với thế giới bên ngoài firewall.
Encryption Technology: cho phép mã hoá một cách lựa chọn các packet khi đi qua các mạng không được bảo vệ như Internet. Sự mã hoá ngăn ngừa các IP packet nhậy cảm khỏi bị chặn, đọc hoặc thay đổi.
IPSec Network Security: cung cấp sự bảo mật đối với các thông tin nhạy cảm khi đi qua các mạng không được bảo vệ như Internet. IPSec hoạt động tại network layer, bảo vệ và xác nhận các IP packet giữa các thiết bị IPSec đang tham dự. Đây cũng là giao thức rất được ưa chuộng trên thế giới để triển khai mạng riêng ảo VPN (Virtual Private Network).
Event Logging: có thể sử dụng để trợ giúp việc quản trị và xác định lỗi, và để theo dõi các vi phạm bảo mật hoặc các hoạt động bất thường qia một mạng.
User Authentication và Authorization: bảo vệ mạng khỏi các truy nhập bởi các user không được phép.
Ưu điểm của việc lựa chọn Firewalls cho lọc các gói tin là:
- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Tuy nhiên, việc lựa chọn Firewalls cho lọc các gói tin còn có các hạn chế như sau: - Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin cua packet. Các packet chuyển qua vẫn có thể mạng theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu các
thông tin ở packet header, dùng để cho phép truyền các packet đó trên mạng: - Địa chỉ IP nguồn. - Địa chi
IP đích.
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP Tunnel). - Cổng TCP/UDP nguồn. - Cổng TCP/UDP đích.
- Dạng thông báo ICMP. - Giao diện packet đến. - Giao diện packet đi.
Nếu luật lệ lọc packet được thỏa mãn thì packet được chuyển qua Firewall, nếu không gói tin sẽ bị loại bỏ. Nhớ vậy mà Firewall có thể ngăn cản được kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định kết nối vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SNMP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
2.3. Các tập luật sử dụng cho lọc gói tin
Như đã nêu trong chương 2, Snort dùng các tập luật (Rules) để phát hiện các xâm nhập trên mạng. Nhìn chung, tập luật lọc gói tin phát hiện các xâm nhập đuợc thực hiện như sau. Có 3 hành động chính được thực hiện khi trùng một packet với các mẫu trong
rules:
- log: tùy theo dạng logging được chọn mà packet sẽ được ghi nhận theo dạng đó. - alert: sinh ra một alert tùy theo dạng alert được chọn và log toàn bộ packet dùng dạng logging đã chọn.
Dạng cơ bản của một rule bao gồm protocol, chiều của gói dữ liệu và port cần quan tâm. Không cần quan tâm đến phần Option. Ví dụ:
log tcp any any -> 172.16.1.0/24 80 : Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 172.16.1.0 trên port 80.
alert tcp any any -> 172.16.1.0/24 80 (content: "/cgi-bin/phf"; msg: "PHF probe!";) : Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ được tạo ra cùng với việc ghi lại toàn bộ gói dữ liệu.
2.4. Giải pháp cho phát hiện và chống xâm nhập trái phép
Ngay cả khi Firewall được thiết kế để cho phép các dữ liệu tin cậy đi qua, từ chối
các dịch vụ có thể gây nên lỗ hổng bảo mật, và ngăn chặn mạng bên trong khỏi các tấn công từ bên ngoài, một tấn công mới có thể thâm nhập vào Firewall tại bất kỳ thời điểm nào.
Phát hiện xâm nhập là tiến trình giám sát các sự kiện xảy ra trong một hệ thống máy hoặc mạng và phân tích chúng đối với các dấu hiệu của sự xâm nhập, được định nghĩa như các cố gắng làm hại đến sự bí mật, tính toàn vẹn và sự sẵn sàng, hoặc để bỏ qua cơ chế bảo mật của một máy tính hay mạng. Sự xâm phạm được gây ra bởi các tấn công truy nhập vào các hệ thống từ Internet, các user được cho phép của các hệ thống cố gắng đạt được các quyền khác mà họ không được cho phép, và các user được cho phép lạm dụng quyền hạn họ được trao.
Khi các tấn công mạng ngày càng tăng về số lượng và tính khốc liệt, các hệ thống phát hiện xâm nhập IDS đã trở thành một nhân tố cần thiết để thiết lập một cơ sở hạ tầng bảo mật. Nó cho phép các tổ chức bảo vệ các hệ thống của họ khỏi các đe doạ gây bởi các nhu cầu kết nối mạng ngày càng tăng và sự tín nhiệm đối với các hệ thống thông tin trên mạng.
Phát hiện và chống xâm nhập trái phép cần được xây dựng dựa trên các nguyên tắc chủ đạo như sau:
Phát hiện, cảnh báo/đáp lại đối với những người lạm dụng hay những kẻ tấn công hệ thống.
Phát hiện các tấn công và các sự vi phạm bảo mật mà không được ngăn chặn bởi các công cụ bảo mật khác.
Phát hiện và xử lý các tiền đề phục vụ cho các tấn công (thông thường là các hoạt động thăm dò mạng và các hoạt động thăm dò "doorknob rattling" khác.
Lập tài liệu mối đe doạ hiện tại đối với hệ thống phòng ngừa rủi ro.
Kiểm soát chất lượng đối với thiết kế và quản trị bảo mật, đặc biệt đối với đơn vị có yêu cầu bảo mật an toàn thông tin.
Cung cấp các thông tin có ích về các xâm phạm phải đối mặt, cho phép cải thiện sự chẩn đoán, khôi phục và hiệu chỉnh các nhân tố liên quan.
Cho phép theo dõi và cảnh báo thông tin về mức độ tấn công và dự báo
Sự kết hợp IDSs với firewall cho phép thiết lập sự bảo vệ có chiều sâu đối với các tấn công ngày càng tăng về số lượng cũng như tính phức tạp.
Hệ thống Phát hiện và chống xâm nhập trái phép có nhiệm vụ rà quét các gói tin trên mạng, phát hiện các truy nhập trái phép, các dấu hiệu tấn công vào hệ thống từ đó cảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn cống trước khi nó xảy ra. Một hệ thống phát hiện các truy nhập trái phép thường phát hiện tất cả các luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thể phát hiện được. Thông thường các cuộc tấn công trên mạng là các cuộc tấn công từ chối dịch vụ, phá hoại các dữ liệu trên các ứng dụng, các cuộc tấn công vào máy trạm như thay đổi quyền trên máy, đăng nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là các loại Virus, Trojan .