3. Thiết kế xây dựng mô hình hệ thống giám sát
3.2. Phương thức giám sát, phát hiện xâm nhập trái phép
Hệ thống giám sát bao gồm các thành phần chủ yếu như sau: + Bộ phát hiện (Sensor):
Là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an ninh của hệ thống mạng, Sensor có chức năng rà quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn công.
+ Bộ thiết lập cấu hình và điều khiển sensor:
Là bộ phận làm nhiệm vụ giám sát các sự kiện, các cảnh báo được phát hiện và sinh ra từ các Sensor và điều khiển hoạt động của các bộ Sensor.
+ Bộ xử lý (Webanalyzer):
Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ thống hoặc cho người quảntrị.
Như vậy, hệ thống hoạt động theo cơ chế “phát hiện và cảnh báo”. Các Sensor là bộ phận được bộ trí trên hệ thống tại những điểm cần kiểm soát, Sensor bắt các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn công, nếu gói tin có dấu hiệu tấn
SV: HỒ TRUNG DŨNG 56
công, Sensor lập tức đánh dấu đấy là một sự kiện và gửi báo cáo kết quả về cho bộ xử lý. Bộ xử lý ghi nhận tất cả các báo cáo của tất cả các Sensor, lưu các báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo đối với sự kiện nhận được. Bộ thiết lập cấu hình và điều khiển giám sát làm nhiệm vụ giám sát các sự kiện và cảnh báo đồng thời điều khiển hoạt động của các Sensor.
Hệ thống giám sát bao gồm thành phần (server) cài đặt trên máy chủ Webserver, và thành phần (Client) đặt tại chính máy chủ đó hoặc một máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách phân tích các trao đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp tin trên hệ thống (Các file dạng binary, mật khẩu của file, dung lượng và các danh dách truy acl của các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống để từ đó phát hiện ra các dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép, server lập tức sinh ra một sự kiện và gửi báo cáo về bộ xử lý. Bộ xử lý tiến hành lưu các báo cáo của server vào cơ sở dữ liệu và tiến hành phân tích thông tin để đưa ra các cảnh báo cho người quản trị hoặc hệ thống.
Khi gắn kèm với một thiết bị tường lửa, có thể coi đây là một hệ thống chủ động, có khả năng phát hiện và ngăn ngừa các truy nhập trái phép, có khả năng ngăn chặn các cuộc tấn công, các nguy cơ tiềm ẩn trong nội dung của gói tin. Vì vậy hình thành lên một thế hệ Firewall mới có khả năng hoạt động ở lớp ứng dụng hay còn gọi là Application Layer Firewall.
Sensor:
Trong hệ thống, các Sensor là một phần mềm trên máy trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó.
Các Sensor hoạt động theo cơ chế “so sánh với mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so sánh các xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng với mẫu, Sensor đánh dấu đó là một sự kiện hay đã có dấu hiệu tấn công và sinh ra cảnh báo. Các tín hiệu nhận biết các cuộc tấn công được tổng kết và tập hợp thành một bộ gọi là mẫu hay signatures. Thông thường các mẫu này được hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn công.
Phân tích logfile:
Nhiệm vụ chủ yếu là phân tích các dữ liệu thô lấy được từ logfile, cung cấp cho hệ thống phát hiện xâm nhập.
Quá trình phân tích dữ liệu được tiến hành thông qua việc tách lọc và so sánh thông tin. Vấn đề quan trọng đặt ra cho hệ thống này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu năng phân tích.
SV: HỒ TRUNG DŨNG 57
Phân tích xử lý dữ liệu và phát hiện xâm nhập:
Hệ thống dùng các luật (Rules) để đọc và phát hiện ra các xâm nhập trên mạng. Ví dụ một Rule sau:
alert tcp !172.16.1.0/24 any > any any (flags: SF; msg: “SYN FIN Scan”;) Một rule gồm 2 thành phần chính: Header và Option.
Header: alert tcp !172.16.1.0/24 any > any any Option: (flags: SF; msg: “SYN FIN Scan”;)
Mỗi dấu hiệu xâm nhập sẽ được thể hiện bằng một rule. Bộ phân tích xử lý dữ liệu dùng cấu trúc dữ liệu để quản lý các rules.
Lưu trữ và cảnh báo:
Dùng để thông báo cho các nhà quản trị mạng và ghi lại các hành động xâm nhập hệ thống. Có thể có các dạng logging và kiểu cảnh báo như sau.
+ Các dạng Logging:
Dạng Decoder: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích hợp với các chuyên gia.
Dạng nhị phân tcpdump: Theo dạng tương tự như tcpdump và ghi vào đĩa nhanh chóng, thích hợp với những đòi hỏi hiệu suất cao.
Dạng cây thư mục IP: Sắp xếp hệ thống log theo cấi trúc cây thư mục IP, dễ hiểu đối với người dùng.
+ Các dạng Alerting: Ghi alert vào syslog. Ghi alert vào file text.
Gửi thông điệp Winpopup dùng chương trình smbclient. Full alert: Ghi lại thông điệp cùng với nội dung gói dữ liệu. Fast alert: Chỉ ghi nhận lại header của gói dữ liệu.