Nguyên tắc chống tấn công DoS là cần phải lọc và gạt bỏ được các luồng tin tấn công, và tốt hơn nữa là ngặn chặn được các nguồn tấn công. Để chống DDoS phải vô hiệu hóa được hoạt động của các mạng botnet. Để làm được điều này một
40
cách hiệu quảthường đòi hỏi các biện pháp điều phối ứng cứu sự cốở quy mô quốc gia hay thậm chí phối hợp nhiều nước.
Đối với các cơ quan nhà nước đang quản trị và sử dụng cổng thông tin điện tử khi phát hiện tấn công DoS/DdoS cần áp dụng các biện pháp và công cụ kỹ thuật tại chỗ cần được thực hiện để nâng cao năng lực bảo vệ các cổng thông tin điện tử.. Bên cạnh đó các đơn vị quản lý cổng thông tin điện tử cần báo cho Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) càng sớm càng tốt để nhận được sự hỗ trợ.
2.4.2. Một số biện pháp kỹ thuật phòng chống tấn công từ chối dịch vụ:
- Tăng cường khảnăng xử lý của hệ thống:
• Tối ưu hóa các thuật toán xử lý, mã nguồn của máy chủ web,
• Nâng cấp hệ thống máy chủ,
• Nâng cấp đường truyền và các thiết bị liên quan,
• Cài đặt đầy đủ các bản vá cho hệ điều hành và các phần mềm khác để phòng ngừa khảnăng bị lỗi tràn bộđệm, cướp quyền điều khiển, v.v... - Hạn chế số lượng kết nối tại thiết bị tường lửa tới mức an toàn hệ thống cho
phép.
- Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn các kết nối nhằm tấn công hệ thống.
- Phân tích luồng tin để phát hiện các dấu hiệu tấn công và cài đặt các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) ngăn chặn theo các dấu hiệu đã phát hiện.
2.4.3. Một số công cụ kỹ thuật phòng chống tấn công từ chối dịch vụ:
Tùy khả năng đầu tư, các cổng thông tin điện tử có thể trang bị giải pháp hoặc sử dụng dịch vụ chống DoS/DDoS với các công cụ kỹ thuật sau:
- Sử dụng hệ thống thiết bị, phần mềm hoặc dịch vụ giám sát an toàn mạng (đặc biệt vềlưu lượng) để phát hiện sớm các tấn công từ chối dịch vụ.
41
- Sử dụng thiết bị bảo vệ mạng có dịch vụ chống tấn công DDoS chuyên nghiệp kèm theo, ví dụnhư: Arbor, Checkpoint, Imperva, Perimeter,...
2.4.4. Giải pháp phòng chống DDOS.
Đối với tấn công DDOS vẫn chưa có giải pháp ngăn chặn triệt để kiểu tấn công DDoS, chỉ thể hạn chế phần nào thiệt hại hay giảm bớt cường độ tấn công như: Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ; Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống; Thiết lập hệ thống cảnh báo phát hiện tấn công, và phòng chống tấn công; Giả lập máy chủ giả giống với máy chủ chính để hacker tấn công sang địa chỉ giả đó.
Hiện nay trên thế giới có rất nhiều cách phòng chống DDoS nói chung và phòng chống DDoS cho máy chủ Web nói riêng như sử dụng Firewall, triển khai IPS (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân bằng tải), WAF (Tường lửa ứng dụng web). Trong luận văn này tác giả xin chọn giải pháp IDS/IPS cho việc phòng chống tấn công DdoS. Bởi hệ thống này kết hợp được những ưu điểm của hệ thống Firewall, nó có khả nǎng phát hiện các cuộc tấn công và tựđộng ngǎn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Tóm tắt:
Qua chương này tác giả đã đi giới thiệu chi tiết các hình thức tấn công từ chối dịch vụđặc biệt là hình thức tấn công DdoS qua đó thấy được ảnh hưởng của hình thức này với các cổng thông tin/trang thông tin điện tử. Tác giả giới thiệu một sốcơ chế phòng vệ cho hệ thống kết nối mạng. Từđó, tác giả đề xuất lựa chọn giải pháp cho phòng, chống, phát hiện và ngăn ngừa xâm nhập mạng. Sang chương sau tác giả giới thiệu tổng quan về biện pháp phòng, chống tấn công IDS/IPS.
42
CHƯƠNG III HỆ THỐNG PHÁT HIỆN TẤN CÔNG VÀ NGĂN CHẶN TẤN CÔNG IDS/IPS
3.1. TỔNG QUAN 3.1.1 Khái niệm 3.1.1 Khái niệm
Hệ thống phát hiện tấn công – IDS là phần mềm tự động hóa quá trình phát hiện hiện tượng bất thường, theo dõi, giám sát, phát hiện và (có thể) ngăn chặn các hành vi tấn công, khai thác trái phép tài nguyên được bảo vệ. IDS có thể phân biệt được những cuộc xâm nhập từ bên trong hay xâm nhập từ bên ngoài. Bên cạnh đó IDS còn có thể cung cấp mức độ kiểm soát chất lượng để đảm bảo chính sách bảo mật và ngăn chặn các hành vi vi phạm tới chính sách bảo mật của hệ thống.
Hệ thống ngăn chặn tấn công - IPS là phần mềm có tất cả khả năng của hệ thống phát hiện tấn công cũng như có thểngăn ngừa tấn công. Chức năng chính của IPS là xác định các hoạt động nguy hại. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
IDS và IPS có nhiều tính năng tương tự, quản trị mạng có thểthay đổi tính năng trong IPS để biến chúng hoạt động như một IDS (IPS được xem như là trường hợp mở rộng của hệ thống IDS, các hình thức hoạt động của chúng là như nhau). Vì vậy người ta dùng IDPS thuật ngữ phát hiện tấn công và ngăn chặn tấn công IDS/IPS.
3.1.2 Điểm khác nhau giữa IDS, IPS
IPS có thể chấm dứt kết nối mạng hoặc các phiên làm việc của người dùng khi phát hiện có xâm nhập vào hệ thống. (adsbygoogle = window.adsbygoogle || []).push({});
IPS ngăn chặn kịp thời các hoạt động nguy hại đến đích, máy chủ dịch vụ và các ứng dụng hệ thống của kẻ tấn công.
43
IPS thay đổi môi trường bảo mật. IPS có thể thay đổi cấu hình bảo mật để kiểm soát cũng như ngăn chặn được các cuộc tấn công.
IPS thay đổi nội dụng cuộc tấn công. Khi sử dụng công nghệ IPS nó có thể thay đổi, hoặc tháo phần độc hại để biến chúng trở lên vô hại.
3.1.3 Chức năng và phân loại IDPS
IDPS là giải pháp để phát hiện sự cố, phát hiện khi có kẻ tấn công vào lỗ hổng của hệ thống sau đó IDPS báo cáo sự cố cho người quản trị. Quản trị viên nhanh chóng khắc phục sự cố tránh ảnh hưởng nghiêm trọng tới hệ thống.
Một số IDPS có thểthay đổi thông tin khi phát hiện được mối đe dọa. Nhiều IDPS có thểngăn chặn các hoạt động thăm dò gây ảnh hưởng tới hệ thống cho quản trị viên. Ngoài ra còn giám sát lưu lượng mạng và các hoạt động có thể xảy ra với hệ thống. Ghi nhận các thông tin liên quan tới việc giám sát, những thông tin này thường được ghi nhận từdưới, và được gửi tới hệ thống máy chủ, thông tin bảo mật và hệ thống quản lý.
Phát hiện tấn công và ngăn chặn tấn công( IDPS ) chủ yếu tập trung vào tính đồng nhất sự cố có thể, cố gắng chặn, và cảnh báo cho người quản trị.
IDPSs hiện đã trở thành sự bổ sung cần thiết vào kết cấu hạ tầng an toàn của các tổ chức nhằm phát hiện tấn công và ngăn chặn tấn công. Có hai loại chính là:
Network-Based IDPS: Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà không làm thay đổi cấu trúc gói tin. Nó có thể là phần mềm triển khai trên server hoặc dạng thiết bị tích hợp ứng dụng.
Host-Based IDPS: Theo dõi các hoạt động bất thường trên các host riêng biệt. Nó được cài đặt trực tiếp trên các máy (host) cần theo dõi.
IDPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống: Theo dõi các hoạt động bất thường
44
đối với hệ thống, xác định ai đang tác động đến hệ thống và cách thức như thế nào và các hoạt động tấn công xảy ra tại vị trí nào trong cấu trúc mạng.
3.2. Network-Based IDPS 3.2.1 Tổng quan về mạng 3.2.1 Tổng quan về mạng
TCP/IP là một bộ các giao thức cung cấp truyền thông mạng. Khi người dùng muốn chuyển giao dữ liệu qua mạng, dữ liệu được chuyển từ tầng cao nhất qua tầng trung gian đến tầng thấp nhất.
Bốn tầng trong bộ giao thức TCP/IP bao gồm: Tầng ứng dụng, tầng giao vận, tầng mạng và tầng liên kết.
3.2.2 Thành phần, kiến trúc
Network-Based IDPS bao gồm bộ cảm biến, một hoặc nhiều quản lý máy chủ, nhiều giao diện điều khiển, và có thể có một hoặc nhiều máy chủcơ sở dữ liệu. Qua mạng thiết bị hiển thị bộ cảm biến IDPS và phân tích hoạt động mạng trên một hoặc nhiều phân đoạn mạng. Tùy vào mục đích cũng như cấu trúc mạng, có thểđặt IDPS tại các vịtrí khác nhau để tận dụng tối đa khảnăng của hệ thống này.
Có 2 dạng thiết kế cho mô hình này
Dạng 1: Bộ cảm biến được đặt ở một vị trí sao cho lưu lượng mạng đều phải đi qua đó. Theo hình 21 thì Bộ cảm biến IDPS được đặt sau bức tường lửa và trước thiết bị chia mạng switch. Nó có thể giúp ngừng tấn công bằng cách làm cản trở việc lưu thông trên hệ thống mạng. Khi đặt trong trường hợp này, IDPS sẽ theo dõi tất cảlưu lượng trao đổi phía sau firewall.
45
Hình 18 Thệ thống IPDS được đặt sau Friewall
Dạng 2: Bộ cảm biến IDPS được triển khai trên hệ thống sao cho nó giám sát lưu lượng mạng thực tế; lưu lượng không đi qua nó(hình 22).
46
Bộ cảm biến IDPS thường được đặt ở vị trí sao cho nó có thể giám sát vị trí mạng, phân chia các mạng, và phân đoạn mạng quan trọng, trên khu vực cho phép( DMZ ). Nó giám sát lưu lượng qua phương pháp khác nhau, bao gồm phương pháp sau:
- Spanning Port. Nhiều thiết bị chuyển mạch có một cổng mở rộng, nó có thể nhìn thấy tất cả lưu lượng truy cập mạng đi qua thiết bị chuyển mạch. Với mô hình này nó cho phép bộ cảm biến có thể theo dõi lưu lượng truy cập vào/ra trên nhiều máy chủ. Ưu điểm của phương pháp giám sát này là không tốn kém, kết nối dễ dàng. Tuy nhiên nó có nhược điểm như: Không kiểm soát được dung lượng mạng truy cập, sử dụng nhiều tài nguyên.
- Network Tap: Khai thác mạng là kết nối trực tiếp giữa bộ cảm biến và phương tiện truyền thông của mạng vật lý.
3.2.3 Tính chất.
Network-based IDPS cung cấp rất nhiều khả năng bảo mật. Bộ cảm biến IDPS gồm bốn thành phần: (adsbygoogle = window.adsbygoogle || []).push({});
Thu thập thông tin: Network-based IDPSs đưa ra giới hạn thu thập thông tin, nó có thể thu thập thông tin về máy chủ và hoạt động mạng bao gồm máy chủđó.
Nhận dạng hệ điều hành. IDPS bộ cảm biến có thể nhận dạng Hệ điều hành và phiên bản hệđiều hành được sử dụng qua các kỹ thuật khác nhau. Biết rõ hệđiều hành được sử dụng sẽ giúp ích trong việc phát hiện tấn công tiềm ẩn tới máy chủ.
Nhận dạng ứng dụng. Đối với một vài ứng dụng, bộ cảm biến IDPS có thể nhận dạng phiên bản ứng dụng đang dùng. Thông tin về phiên bản ứng dụng có thể được dùng để nhận ra ứng dụng dễ lổ hổng của ứng dụng.
Nhận dạng đặc điểm mạng. Một số bộ cảm biến IDPS thu thập thông tin về lưu lượng mạng liên quan đến cấu hình của thiết bị mạng và máy chủ. Việc này sẽ giúp ích khi phát hiện thay đổi cấu hình mạng.
47
Ghi nhật kí: Network-based IDPSs thường thực hiện ghi nhật kí của dữ liệu đến khi có phát hiện. Dữ liệu này được dùng để xác nhận tính hợp lệ của cảnh báo, đểđiều tra sự cố.
3.2.4 Hạn chế của Network-based IDPSs:
Network-based IDPSs không thể phát hiện tấn công trong mạng đã được mã hóa, bao gồm kết nối mạng riêng ảo(VPN), HTTP trên SSL( HTTPS ), và phiên SSH.
Network-based IDPSs đôi khi không thể thực hiện phân tích đầy đủ các tình huống tấn công. Network-based IDPSs nhạy cảm với các hình thức tấn công mạng.
3.3. Host-Based IDPS 3.3.1 Thành phần 3.3.1 Thành phần
Host-based IDPSs là phần mềm được đặt trên máy chủ host.
Host-based IDPSs khi được đặt trên hệ thống máy chủ sẽ thực hiện các biện pháp ngăn ngừa khi phát hiện bất thường. Về mặt kỹ thuật, Host-based IDPSs có thểđược xem như là Network-based IDPSs, vì nó cũng được triển khai bên trong để giám sát lưu lượng mạng. Tuy nhiên, chúng thường giám sát cho hoạt động cụ thể, như là một máy chủ web hoặc máy chủ cơ sở dữ liệu, vì thế Host-based IDPSs sâu hơn Network-based IDPS.
Host-based IDPS được thiết kế để bảo vệ: Máy chủ, máy khách và dịch vụ ứng dụng của máy chủ
3.3.2 Kiến trúc
48
Hình 20 Mô hình triển khai Host-Based IDPS
Host-Based IDPS thường được triển khai đơn giản. Nó được triển khai trên hệ thống máy chủ, nó được quản lý qua mạng thay vì quản lý trực tiếp. Nó giúp ngăn cản truy cập trái phép
3.3.3 Tính chất
Host-based IDPSs cung cấp nhiều khảnăng bảo mật. Gồm các thành phần:
Ghi nhật kí: Host-based IDPSs thường thực hiện ghi nhật kí rộng của dữ liệu liên quan đến phát hiện sự kiện. Dữ liệu này có thểđược dùng để xác nhận tính hợp lệ của cảnh báo, để điều tra sự cố, và để tương quan hoạt động của Host-based IDPSs và nguồn ghi nhật kí khác.
Phát hiện: Hầu hết Host-based IDPSs có khả năng để phát hiện các sự cố. Chúng thường dùng kỹ thuật kết hợp của chữ ký - dựa vào phát hiện để nhận dạng
49
các kỹ thuật tấn công cũng như bất thường của hệ thống. Host-based IDPSs thường phát hiện với khảnăng sau:
o Phát hiện sự kiện: Kỹ thuật cụ thể thường được dùng trong Host- based IDPSs bao gồm: Phân tích mã; Phân tích hệ thống mạng; Phân tích lưu lượng mạng; Hệ thống giám sát tập tin; Phân tích nhật kí đăng nhập; Mạng giám sát.
o Độ chính xác phát hiện: Host-based IDPSs thường gây ra xác định nhầm và báo động giả. Host-based IDPSs sử dụng kỹ thuật kết hợp của và phát hiện nên thường có khả năng đạt được nhiều phát hiện chính xác hơn.
o Thay đổi theo yêu cầu: Host-based IDPSs có thể chuyển hóa theo yêu cầu.
Khả năng ngăn ngừa: Host-based IDPSs là tác nhân đưa ra khả năng ngăn
chặn xâm nhập khác nhau.
Phạm trù khác: Host-based IDPSs cũng có thể đưa ra phạm trù khác như là
phần mềm diệt vi - rút, lọc thư rác, và lọc nội dung thư điện tử. (adsbygoogle = window.adsbygoogle || []).push({});
3.3.4 Hạn chế của Host-Based IDPSs
- Cảnh báo chậm trễ
- Sử dụng nguồn lực của máy chủ
- Xung đột với thiết bị bảo mật khác: Host-Based IDPSs đưa ra khả năng ngăn chặn xâm nhập khác nhau. Có thể sảy ra xung đột giữa máy chủ
- Đôi khi còn yêu cầu khởi động lại máy chủ
3.4. PHÂN TÍCH ĐỀ XUẤT GIẢI PHÁP
Qua nghiên cứu tìm và tìm hiểu về hệ phát hiện tấn công và ngăn chặn tấn công IDPS, em đã biết được tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an toàn.
50
Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các phương pháp phát hiện và cách phòng chống tấn công một hệ thống. Dùng hệ phát hiện tấn công và ngăn chặn tấn công IDPS, các nhiệm vụ an ninh mạng sau sẽđược đảm bảo như:
- Phát hiện tấn công và ngăn chặn tấn công và các vi phạm an ninh không