3.1. Hệ thống phát hiện và chống xâm nhập 3.1.1. Các bộ lọc gói tin 3.1.1. Các bộ lọc gói tin
Hệ thống Internet Firewall phổ biến nhất chỉ bao gồm một packe filtering router đặt giữa mạng nội bộ và Internet. Một packet filtering router có hai chức năng chính: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông.
Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet bị giới hạn truy nhập tới máy tính bên trong mạng nội bộ.
Ưu điểm:
Giá thành thấp, cấu hình đơn giản. Trong suốt đối với người sử dụng.
SV: HỒ TRUNG DŨNG 27
Các bộ lọc được cấu hình không hoàn hảo dễ bị tấn công hoặc bị tấn công ngầm dưới những dịch vụ đã được phép.
Các packet được trao đổi trực tiếp giữa hai mạng thông qua router nên mỗi host truy nhập vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và phải thường xuyên được kiểm tra bởi nhà quản trị mạng.
Nếu một packet filtering router do một sự cố nào đó phải ngừng hoạt động thì tất cả hệ thông trên mạng nội bộ có thể bị tấn công.
Hình 14. Mô hình Firewall phổ biến một packet filter
3.1.2. Pháo đài phòng thủ (Bastion Host) Single^Homed Bastion Host: Single^Homed Bastion Host:
Hệ thống này bao gồm một packet filtering router và một bastion host. Hệ thống
này cung cấp độ bảo mật cao hơn packet filtering router vì nó thực hiện bảo mật ở cả tầng network (packet filtering) lẫn ở tầng ứng dụng (application level).
SV: HỒ TRUNG DŨNG 28
Bastion host được cấu hình ở trong mạng nội bộ. Qui luật filtering trên packet filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên bastion host và packet filtering router. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy. Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user logon được vào bastion host thì họ có thể đăng nhập toàn bộ mạng nội bộ.Vì vậy cần phải cấm không cho user logon vào bastion host.
Dual ^ Homed Bastion Host:
Demilitarized Zone (DMZ) hay Screened subnet Firewall. Hệ thống bao gồm hai packet filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một vùng mạng "phi quân sự". Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.
Hình 16. Mô hình hệ thống Dual Homed Bastion Host
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo dịa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều
SV: HỒ TRUNG DŨNG 29
khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.
3.1.3. Hệ thống phát hiện xâm nhập (Intrusion Detection System ^ IDS) Khái niệm và cấu trúc IDS Khái niệm và cấu trúc IDS
IDS có nhiệm vụ rà quét các gói tin trên mạng, phát hiện các truy nhập trái phép, các dấu hiệu tấn công vào hệ thống từ đó cảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn cống trước khi nó xảy ra. Một hệ thống phát hiện các truy nhập trái phép thường phát hiện tất cả các luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thể phát hiện được. Thông thường các cuộc tấn công trên mạng là các cuộc tấn công từ chối dịch vụ, phá hoại các dữ liệu trên các ứng dụng, các cuộc tấn công vào máy trạm như thay đổi quyền trên máy, đăng nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là các loại Virus, Trojan ….
Thông thường, hệ thống IDS bao gồm bộ phát hiện (sensor), bộ giao diện (consol) và bộ xử lý (Engine). Sensor là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an ninh của hệ thống mạng thông qua việc rà quét nội dung của các gói tin trên mạng. Console là bộ phận làm nhiệm vụ giám sát các sự kiện, các cảnh báo được phát hiện và sinh ra từ các Sensor. Engine có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đưa ra các cảnh báo về các sự kiện an ninh.
Mô hình và phân loại IDS
Có nhiều mô hình và cách để phân loại các hệ thống IDS, có thể dựa theo loại và vị trí đặt của các Sensor hoặc phương pháp sử dụng của Engine để sinh ra các cảnh báo. Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor, Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng.
Network^based Intrusion Detection System (NIDS):
Đây là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm tra các luồng thông tin trên mạng và giám sát nhiều máy trạm. NIDS truy nhập vào luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch được cấu hình Port mirroring hoặc Network tap để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các cảnh báo. Các Sensor được đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, bắt tất cả các gói tin lưu thông trên mạng
SV: HỒ TRUNG DŨNG 30 (adsbygoogle = window.adsbygoogle || []).push({});
và phân tích nội dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng.
Hình 17. Mô hình hệ thống NIDS
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ đó là Protocol^based Intrusion Detection System (PIDS) và Application Protocol^based Intrusion Detection System (APIDS). PIDS và APIDS được sử dụng để giám sát các giao vận và giao thức không hợp lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn ngữ giao tiếp.
Hệ thống Protocol^based Intrusion Detection System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường được đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đổi giữa các thiết bị được nối mạng (Một máy trạm hoặc một hệ thống).
Một hệ thống Application Protocol^based Intrusion Detection System (APIDS)
bao gồm một hệ thống (System) hoặc một thành phần (Agent) thường nằm giữa một nhóm các máy chủ, giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao thức định sẵn. Ví dụ; trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao thức SQL để ngăn chặn các truy nhập vào ứng dụng khi trao đổi với cơ sở dữ liệu.
Host^based Intrusion Detection System (HIDS):
Trong hệ thống HIDS, các Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó.
SV: HỒ TRUNG DŨNG 31 Hình 18. Mô hình hệ thống HIDS
Hybrid Intrusion Detection System:
Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Network^ based IDS và Hệ thống Host^based IDS. Nó kết hợp một hoặc nhiều các thành phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu thập được trên máy trạm (host agent data) kết hợp với thông tin thu thập được ở trên mạng để có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng.
3.1.3. Hệ thống chống xâm nhập trái phép (Intrusion Prevention System ^ IPS)
IPS [6,21] là hệ thống kết hợp giữa hệ thống IDS và hệ thống Firewall, nó có ba thành phần chính đó là: Hệ thống Firewall, hệ thống IDS và thành phần trung gian kết nối hai hệ thống trên lại với nhau.
+ Firewall: là thành phần bảo vệ hệ thống mạng ở vùng biên, Firewall căn cứ trên tập luật mà nó được thiết lập từ trước để xác định cho phép hay không cho phép các gói tin được hay không được phép đi qua nó.
+ IDS: làm nhiệm vụ ra quét tất cả các gói tin trước khi hoặc sau khi đi vào mạng, đọc nội dung gói tin, phát hiện ra các dấu hiệu tấn công chứa đựng trong gói tin, nếu phát hiện có dấu hiệu tấn công, nó sinh ra cảnh báo cho hệ thống.
+ Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận các cảnh báo và thông tin đưa ra từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên hệ thống Firewall để cấu hình lại tập luật trên đó nhằm ngăn chặn các cuộc tấn công.
Một thiết bị IPS sẽ có khả năng bảo vệ đối với các cuộc tấn công đã biết (Known Attack), các cuộc tấn công chưa biết (Un known Attack) và các cuộc tấn công đã được mã hóa (Encrypted Attack). Các sản phẩm IPS thường ở dạng Network IPS (Bảo vệ cho một segment mạng) và Host IPS (Bảo vệ một Server). IPS có thể triển khai vào mạng như sau:
SV: HỒ TRUNG DŨNG 32 Hình 19. Mô hình hệ thống IPS
3.1.4. Proxy Server:
Proxy [20] gồm những chương trình mức ứng dụng (application level programs), dùng để thay thế hoặc là thêm vào phần mềm hệ thống. Ðối với mỗi dịch vụ, cần có một phần mềm tương ứng làm nhiệm vụ lọc các bản tin. Proxy server là một server đứng giữa một ứng dụng của client, như web browser, và một server ở xa (remote server). Proxy server xem xét các request xem nó có thể xử lý bằng cache của nó không, nếu không thể, nó sẽ chuyển yêu cầu này đến remote server. Proxy server là một loại Firewall mềm.
SV: HỒ TRUNG DŨNG 33
SMTP Gateway Proxy server cho dịch vụ SMTP (Simple Mail Tranfer Protocol) FTP Gateway Proxy server cho dịch vụ Ftp
Telnet Gateway Proxy server cho dịch vụ Telnet
HTTP Gateway Proxy server cho dịch vụ HTTP (World Wide Web) Rlogin Gateway Proxy server cho dịch vu rlogin
Plug Gateway Proxy server cho dịch vụ kết nối server tức thời dùng giao thức TCP (TCP Plug Board Connection server)
SOCKS Proxy server cho các dịch vụ theo chuẩn SOCKS
NETACL Ðiều khiển truy nhập mạng dùng cho các dịch vụ khác IP filter – Proxy diều khiển mức IP
SMTP Gateway Proxy server cho cổng SMTP
3.1.5. Hệ thống gài bẫy (Honeypot và Honeynet)
Honeypot: Honeypot [6] là một hệ thống tài nguyên thông tin được xây dựng với mục đích đánh lừa những kẻ sử dụng không hợp pháp (hacker), thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. (adsbygoogle = window.adsbygoogle || []).push({});
Hệ thống tài nguyên thông tin có nghĩa Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào. Nó có thể là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với hacker và tìm cách khai thác thông tin về hacker như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công. + Các loại hình Honeypot:
Có rất nhiều loại hình Honeypot, mô hình Honeypot cũng như phương thức triển khai. Ta có thể tìm hiểu Honeypot dưới góc độ khả năng tương tác của chúng với hacker.
Hình 21. Các loại hình Honeypot theo mức độ tương tác
^ Honeypot tương tác ở mức thấp: Đại diện đầu tiên của nó là BackOfficer Friendly (BOF). Một loại hình Honeypot rất dễ vận hành và cấu hình và có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
SV: HỒ TRUNG DŨNG 34
hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.
Honeyd [6] là một Honeypot mã nguồn mở được viết dành riêng cho hệ điều hành trên nền Unix. Phát triển hơn hai loại honeypot trên Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân. Một đặc trưng nữa là Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau. Nó không chỉ mô phỏng hệ điều hành ở mức độ ứng dụng mà còn ở mức IP Stack, điều này khiến cho Honeyd rất khó bị phát hiện. Hiện nay, Honeyd có thể mô phỏng được 473 hệ điều hành và các phiên bản khác nhau của chúng. Honeyd loại hình Honeypot tương tác thấp có nhiều ư u điểm nhất tuy nhiên Honeyd vẫn tồn tại những nh ư ợc điểm đó là không thể cung cấp một hệ điều hành thật để tương tác với hacker và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm
Honetnet: Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường. Honeynet là một công cụ vô cùng linh hoạt và có thể hoàn thành tất cả các vai trò của các loại hình honeypot khác. Ưu điểm lớn nhất là khi kẻ tấn công tấn công vào Honeynet, chúng rất khó để biết là mình đang ở trong môi trường ảo bởi chúng hoàn toàn tương tác với hệ thống thật, với các ứng dụng thật.
Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là gateway ở giữa honeypots và mạng bên ngoài. Nó hoạt động ở tầng 2 như là Bridged. Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.
Mô hình kiến trúc honeynet (GenII) được mô tả trong hình 22.
SV: HỒ TRUNG DŨNG 35 ‚ Các chức năng của Honeynet:
a. Điều khiển dữ liệu:
Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động. Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế.
Hình 23. Mô hình traffic trên honeynet
b. Phân tích dữ liệu
Mục đích chính của honey net chính là thu thập thông tin. Khi đã có thông tin thì người dùng cần phải có khả năng để phân tích các thông tin này.
c. Thu thập dữ liệu
Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp dụng cho các tổ chức có nhiều honeynets. Đa số các tổ chức chỉ có một honeynet.
3.2. Kỹ thuật và công cụ bảo mật
3.2.1. Kỹ thuật tạo đường hầm (Tunneling)
Tunneling [9] là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Đây được coi là phương thức bảo mật trong mạng riêng ảo VPN. Dữ liệu truyền sau khi được chia nhỏ thành những frame