Phát hiện xâm nhập mức nhân là một phơng pháp tiếp cận mới đang phát triển, đặc biệt trong Linux (nh các phần mềm OpenWall, LIDS). Bộ phát hiện xâm nhập mức nhân thờng trú trong nhân của hệ điều hành và giám sát hoạt động của hệ thống ở mức thấp nhất. Một số hệ thống phát hiện xâm nhập mức nhân dùng cách tiếp cận phòng ngừa tr n bộ nhớ đệm, tăng cờng bảo vệ hệ thống tệp, ngăn à chặn dấu hiệu và nói chung làm cho kẻ tấn công khó làm tổn hại hệ thống.
Bộ phát hiện xâm nhập mức nhân (LIDS) cũng sử dụng thêm biện pháp phòng ngừa một số hành động do ngời dùng có quyền hạn cao nhất gây ra, nh là họ cài đặt bộ rà gói tin hoặc thay đổi các luật của tờng lửa. Nói chung có nhiều cách tiếp cận giám sát phát hiện xâm nhập mức nhân, nhng tất cả đều nhằm mục đích giám sát hệ thống tệp bảo vệ nhân, và phòng ngừa kẻ bẻ khoá sử dụng hệ thống vào những mục đích không đợc cấp quyền.
1.2.2. u nh ợc điểm của các loại hệ thống phát hiện xâm nhập
Mục này đi sâu vào đánh giá hai loại phát hiện xâm nhập mức mạng và mức máy, còn phát hiện xâm nhập mức nhân là một dạng mới, cần có thời gian kiểm nghiệm, nghiên cứu mới có thể đánh giá đợc u nhợc điểm của chúng [40].
1.2.2.1. Hệ thống phát hiện xâm nhập mức mạng
♦ Ưu điểm: Để thu thập ữ liệu d thì không cần một yêu cầu đặc biệt nào đối với các cơ chế kiểm toán và ghi nhật ký. Trong đa số các trờng hợp, việc thu thập dữ liệu của mạng xuất hiện cùng với cấu hình của cạc giao diện mạng. Việc cài đặt bộ thu tin phát hiện xâm nhập mức mạng vào một hệ thống không ảnh hởng tới dữ liệu của hệ thống. Các bộ thu tin phát hiện xâm nhập mức mạng có thể giám sát và phát hiện các cuộc tấn công mạng.
♦ Nh ợc điểm: Mặc dù một số hệ thống phát hiện xâm nhập mức mạng có thể chẩn đoán đợc điều gì đang xảy ra trên các trạm chủ căn cứ vào thông tin lu thông mạng, song chúng vẫn không thể thông báo đợc hậu quả của các lệnh đợc thực hiện trên một trạm chủ. Nghĩa là nó không phân biệtđợc lỗi của ngời dùng và hành động xâm nhập không đợc cấp quyền. Bộ thu tin phát hiện xâm nhập mức mạng không thể duyệt đợc các giao thức hoặc nội
dung thông tin nếu lu thông mạng bị mã hoá. Trong các mạng chuyển mạch, việc giám sát và phát hiện xâm nhập mức mạng sẽ trở nên khó khăn hơn. Các mạng chuyển mạch thiết lập phân đoạn mạng cho mỗi trạm chủ. Vì vậy các bộ phát hiện xâm nhập mức mạng bị thu hẹp phạm vi hoạt động lại thành việc giám sát một trạm chủ đơn lẻ. Các bộ chuyển mạch mạng có hỗ trợ giám sát duyệt cổng cũng có thể làm giảm nhẹ một phần sự khiếm khuyết này. Hiện nay, các bộ phát hiện xâm nhập mức mạng không thể xử lý kịp những mạng tốc độ cao theo quan điểm thời gian thực.
1.2.2.2. Hệ thống phát hiện xâm nhập mức máy
♦ Ưu điểm: Hệ thống có thể giám sát truy nhập thông tin cụ thể (ai truy nhập cái gì) Hệ thống có thể gán các hoạt động có vấn đề với từng định danh . ngời dùng cụ thể. Hệ thống có thể theo dõi các thay đổi hành vi có tính lạm
dụng. Hệ thống phát hiện xâm nhập mức máy có thể hoạt động trong môi trờng mã hoá, mà hệ thống phát hiện xâm nhập mức mạng không làm đợc điều này. Hệ thống có thể hoạt động trong môi trờng mạng chuyển mạch. Hệ thống có thể phân phối tải trọng xử lý thông tin cho mục đích giám sát qua các trạm chủ có thể có đợc trên các mạng lớn, do đó giảm đợc chi phí khai thác.
♦ Nh ợc điểm: Hoạt động của mạng là vô hình đối với các bộ phát hiện xâm nhập mức máy. Việc chạy cơ chế kiểm toán có thể phải chịu tổng phí tài nguyên tăng thêm nhiều. Khi các vết kiểm toán đợc dùng nh là các nguồn dữ liệu, chúng có thể chiếm một bộ nhớ lu trữ đáng kể. Những điểm xung yếu của hệ điều hành có thể phá hoại tính toàn vẹn của các bộ phát hiện xâm nhập mức máy. Bộ phát hiện xâm nhập mức máy cần phải mang đặc trng nền nhiều hơn, mà điều này sẽ tăng thêm chi phí khai thác. Chi phí quản lý và khai thác khi sử dụng các hệ thống phát hiện xâm nhập mức máy thờng cao hơn so với các cách tiếp cận khác.
1.2.3. Mô hình an toàn an ninh mạng Intranet với nhiều lớp bảo vệ
Trớc hết ta phải biết mạng máy tính cần đợc bảo vệ đang bị những kiểu tấn công nào đe doạ, ở trong môi trờng nào. Cũng cần đề phòng các cuộc tấn công vào các lỗ hổng an toàn của hệ thống. Trong phần trên đã trình bày về nhiều loại công cụ với các chức năng khác nhau trong việc đảm bảo an toàn cho một mạng nói chung và cho một máy tính nói riêng. Các lớp bảo vệ an toàn cho mạng nội bộ (Intranet) của một tổ chức đợc minh hoạ ở Hình 1.2.
Để đảm bảo cho môi trờng làm việc của mạng đợc bảo vệ tốt nhất, cần phải sử dụng đồng thời nhiều loại công cụ. Mỗi một loại công cụ hình thành một lớp bảo vệ trong trờng hợp những công cụ khác bị vô hiệu hoá. Đối với một mạng Intranet, có thể đa ra một chiến lợc an toàn nh sau [25]:
Lớp bảo vệ đầu tiên phải là tờng lửa. Ví dụ: có thể dùng bộ định tuyến (Router) lọc gói kết hợp với máy hai giao diện mạng (Dual homed) mang chức - năng máy chủ uỷ nhiệm Proxy để làm tờng lửa, hoặc dùng Router lọc gói kết hợp với máy pháo đài (Bastion Host).
D ua l- ho m ed mail server web server file server Internet's server
Miền địa chỉ thực on line Internet
In te rn et F ir ew al l Internet's switch LANalyser Network Monitor Hub HostSentry PortSentry Internet switch Router VAREnet of NIT Institute Firewall VNnet Proxy VAREnet Proxy Modem Modem VNnet of VDC company Leaseline Internet Telephone line
Remote Access PCs outside
Firewall
Firewall
Small Switch or HUB
workstations workstations
mail.home server home server home.office server Intranet's server
Hệ điều hành Linux, solaris,
unix hoặc
Windows NT Intranet với địa chỉ IP dùng riêng,
không truy cập đ ợc từ Internet
Router Router
( kết hợp proxy, router lọc gói với bộ phân tích Lan, bộ giám sát mạng, Hostsentry và Portsent
Sơ đồ minh hoạ hệ thống đảm bảo an ninh nhiều lớp cho mạng Intranet / Internet
Hình 1.2 – Hệ thống an toàn an ninh nhiều lớp cho mạng nội bộ (Intranet)
Lớp bảo vệ thứ hai là một hệ thống phát hiện xâm nhập mức mạng sẽ nắm bắt bất kỳ nhánh nào của tờng lửa. Ví dụ Các bộ rà gói tin nh LANalyser và bộ : giám sát mạng nh Microsoft Network Monitor, các bộ phát hiện xâm nhập nh RealSecure Engine và bộ Network Flight Recorder.
Tiếp theo, lớp bảo vệ thứ ba là một bộ công cụ giám sát các cuộc thử kết nối. Ví dụ nh các bộ công cụ giám sát kết nối PortSentry và HostSentry. Lớp bảo vệ thứ t là các công cụ để nắm bắt một sự can thiệp hiện tại nh là LogCheck hoặc Tripwire. Lớp bảo vệ trong cùng có thể là các phần mềm kiểm soát truy nhập.
1.3. Xác thực và logic xác thực 1.3.1. Các ph ơng pháp xác thực 1.3.1. Các ph ơng pháp xác thực
Xác thực ngời dùng khi đăng nhập máy tính có thể dựa trên những điều sau: ngời dùng biết một cái gì đó nh là một mật khẩu (password); ngời dùng sở hữu một cái gì đó, nh là một thẻ bài (token) mật mã : thẻ tín dụng Credit Card, thẻ
thông minh Smart Card; ngời dùng thể hiện một cái gì đó dới dạng dấu hiệu sinh trắc học ví dụ nh dấu vân tay, giọng nói, hình ảnh mắt, : [34].
Xác thực dựa trên mật khẩu là kỹ thuật xác thực thông dụng, phổ biến nhất, nhng nó còn nhiều vấn đề nổi cộm cần phải khắc phục. Chẳng hạn, mật khẩu bị lộ khi thao tác bàn phím bị theo dõi hoặc bị tìm ra bằng các chơng trình dò tìm mật khẩu. Việc quản lý mật khẩu đòi hỏi ngời dùng phải thờng xuyên thay đổi mật khẩu của họ, phải chọn các mật khẩu tốt, đủ độ phức tạp và bảo vệ chúng cẩn thận. Việc quản lý mật khẩu căng thẳng quá mức tạo ra sự trở ngại cho ngời dùng và ngời quản trị. Một lỗ hổng an toàn trong xác thực dựa trên mật khẩu đó là một ngời dùng có thể chia sẻ mật khẩu với ngời dùng khác một cách tuỳ tiện. Tuy nhiên, xác thực dựa trên mật khẩu vẫn là một phơng pháp xác thực a dùng do tính hiệu quả và chi phí thấp của nó.
Kỹ thuật xác thực thứ hai là xác thực thẻ bài. Mỗi thẻ bài có một khoá mật
mã bí mật duy nhất đợc lu giữ bên trong thẻ bài. Khoá mật mã này dùng để chứng minh định danh của thẻ bài thông qua việc bắt tay đáp ứng thách thức. Bên tham gia khi thiết lập xác thực sẽ phát ra một thách thức đòi hỏi một đáp ứng đợc tính toán khi dùng khoá bí mật của thẻ bài. Đôi khi thách thức đòi hỏi đáp ứng tức thì trong thời gian thực.
Dựa trên kỹ thuật mật mã khoá, các phơng pháp xác thực đợc chia thành hai loại [14]:
• Loại 1: xác thực dựa trên mật mã khoá bất đối xứng, tức khoá công khai. • Loại 2: xác thực dựa trên mật mã khoá đối xứng, tức khoá bí mật.
Tiêu biểu cho loại 1 là xác thực dựa trên giấy chứng nhận (certificate). Tiêu biểu cho loại 2 là xác thực Kerberos [2], [14]. Kerberos là một giao thức xác thực, phát triển từ giao thức Needham-Schroeder dùng khoá bí mật. Kerberos đợc nghiên cứu xây dựng ở Học viện Kỹ thuật Massachusetts (Massachusetts Institute of Technology – MIT) để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena (1988) nhằm cung cấp một miền các tiện ích xác nhận và an toàn sử dụng trong mạng máy tính Campus Athena và các hệ thống mở khác. Giao thức Kerberos đã
trải qua một số lần sửa đổi và nâng cấp từ kinh nghiệm và phản hồi của các tổ chức ngời dùng. Phiên bản mới gần đây của giao thức này là version 5.
So sánh hai phơng pháp xác thực nêu trên cho thấy [1] [6], [20], [, 46], [50]: • Để mã hoá và giải mã cùng một khối lợng thông tin, mật mã khoá công khai sử dụng giải thuật có độ phức tạp tính toán bậc lớn hơn rất nhiều so với mật mã khoá bí mật, do đó chi phí cao và tốc độ khá chậm. Ví dụ: trong khi
thời gian mã hoá của phơng pháp mã hoá bằng khoá bí mật DES (Data Encryption Standard) chỉ đòi hỏi vài micro giây thì phơng pháp mã hoá bằng khoá công khai RSA lại đòi hỏi tới vài mili-giây, do đó hạn chế thông
lợng ở mức 50 Kb/s (Phơng pháp này sử dụng thuật toán mật mã dùng
khoá công khai, dựa trên tính khó tìm ớc số của các số là tích của 2 số nguyên tố cực lớn, thậm chí lớn hơn 10100, do Rivest, Shamir và Adelman đề xuất năm 1978). Điều này ảnh hởng tới lu thông trên mạng, nhất là trong tình hình bùng nổ thông tin nh hiện nay đòi hỏi tốc độ giao dịch rất lớn. • Tuy nhiên, mật mã khoá công khai có u thế là khả năng mở rộng qui mô
trong việc phân phối khoá so với mật mã khoá bí mật, rất thích hợp trong môi trờng liên mạng, nhất là mạng toàn cầu Internet.
• Mã hoá dùng khoá công khai có thể tiện cho việc cài đặt hơn bởi vì phơng pháp này không đòi hỏi một kênh truyền bí mật để phân phối khoá nhng nó , lại đòi hỏi sự giao tiếp có xác nhận. Khi có một máy chủ phân phối khoá, phơng pháp mã hoá dùng khoá công khai có thể đợc dùng để thiết lập mối liên hệ ban đầu giữa mỗi đối tợng mới với máy chủ để truyền một khoá mật mà sẽ đợc dùng cho tất cả các phiên giao dịch sau đó.
• Việc xác thực dựa trên mật mã khoá công khai cần một số phơng tiện để chứng nhận khoá trong khi mật mã khoá bí mật thì không cần. Để thực hiện xác thực dựa trên mật mã khoá công khai, mỗi dịch vụ thờng cần phải duy trì một số lợng lớn giấy chứng nhận.
• Khi so sánh với các phơng pháp mật mã dựa trên khoá công khai hàng đầu nh RSA thì các phơng pháp mật mã khoá bí mậtmạnh hơn nhiều.
Với những lý do trên, trong luận án sử dụng một cơ sở hạ tầng xác thực dựa trên mật mã khoá bí mật.
1.3.2. Logic xác thực BAN
Michael Burrows, Martin Abadi và Roger Needham mô tả logic xác thực năm 1989, đợc gọi tắt là logic BAN [7], [14]. Logic BAN đã đợc áp dụng để phân tích nhiều giao thức nh giao thức xác thực Needham-Schroeder và giao thức xác thực Kerberos.
1.3.2.1. Các khái niệm và k pháp của logic BAN ý
Trong một hệ thống mạng, ta xét: P, Q là các đối tợng; X là một mệnh đề hoặc một mục dữ liệu, đơn giản nh là một mã hiệu , n hoặc kết hợp cả hai đợc chứa trong một thông báo phát đi từ một đối tợng K là một khoá bí mật dùng để mã ; hoá các thông báo. Ta có các khái niệm và ký pháp của logic BAN nh sau [7], [24]:
(i) P |≡≡≡≡≡ X : Đối tợng P tin cậy X là đúng. X có thể đúng, có thể sai, nhng P hành động nh thể X là đúng.
(ii) P X : Đối tợng P nhận đợc một thông báo chứa X. P có thể thực hiện việc giải mã để rút X từ thông báo. P có khả năng lặp lại X trong các thông báo gửi cho các đối tợng khác.
(iii) P |∼. X : Đối tợng P đợc coi là đã gửi một thông báo chứa X ở một thời điểm nào đó trong quá khứ. Điều này ngụ ý P tin cậy X khi nó gửi thông báo.
(iv) P |⇒ X : P có quyền hạn đối với X. Đối tợng P đợc uỷ thác nh một đối tợng có thẩm quyền về X.
(v) #(X) : X là mới. Ví dụ đối tợng P gửi cho đối tợng Q một thông báo chứa mã hiệu n. Sau đó Q gửi lại cho P một thông báo chứa X và mã hiệu n này thì X đợc coi là mới.
(vi) P K Q : P và Q đợc giao quyền sử dụng khoá bí mật K. K là một khoá bí mật giữa P và Q và có thể giữa các đối tợng khác đợc P và Q uỷ nhiệm.
(vii) Nếu K là một khoá thì {X}Kđợc hiểu là X đợc mã hoá với khoá K. Nếu X và Y là các mệnh đề thì ta viết : X,Y nghĩa là “X và Y”.
P | ≡≡≡≡≡ #(X), P | ≡≡≡≡≡ Q |∼.X P | ≡≡≡≡≡ Q | ≡≡≡≡≡ X P |≡≡≡≡≡ Q |⇒ X , P |≡≡≡≡≡ Q|≡≡≡≡≡ X P |≡≡≡≡≡X P |≡≡≡≡≡ P K Q , P {X}K P |≡≡≡≡≡ Q |∼ X
1.3.2.2. Các luật suy diễn của logic BAN
Biểu thị sự kết hợp của các mệnh đề X và Y kéo theo mệnh đề Z là : Các luật suy diễn chính của logic BAN nh sau [7]:
(i) Luật ý nghĩa thông báo:
Nếu P tin rằng nó chia sẻ khoá bí mật K với Q và nếu P nhận đợc một thông báo chứa X đợc mã hoá bằng khoá K thì P tin rằng Q đã gửi X (tức là Q đã tin tởng X và đã gửi một thông báo chứa X).
(ii ) Luật kiểm tra mã hiệu:
Nếu P tin rằng X là mới và nếu P tin rằng Q đã gửi X thì P tin rằng Q đang tin cậy X. Chú ý là X phải không bị mã hoá. Nếu X bị mã hoá thì Q đơn thuần chỉ là lặp lại một mệnh đề đã mã hoá và Q không cần thiết tin cậy vào X.
(iii )Luật quyền hạn:
Nếu P tin rằng Q có quyền hạn đối với X trong bất cứ trờng hợp nào và nếu P tin rằng Q đang tin cậy X thì P phải tin X.