Phát hiện xâm nhập mức nhân

Phát hiện xâm nhập mức nhân là một phơng pháp tiếp cận mới đang phát triển, đặc biệt trong Linux (nh các phần mềm OpenWall, LIDS). Bộ phát hiện xâm nhập mức nhân thờng trú trong nhân của hệ điều hành và giám sát hoạt động của hệ thống ở mức thấp nhất. Một số hệ thống phát hiện xâm nhập mức nhân dùng cách tiếp cận phòng ngừa tr n bộ nhớ đệm, tăng cờng bảo vệ hệ thống tệp, ngăn à chặn dấu hiệu và nói chung làm cho kẻ tấn công khó làm tổn hại hệ thống.

Bộ phát hiện xâm nhập mức nhân (LIDS) cũng sử dụng thêm biện pháp phòng ngừa một số hành động do ngời dùng có quyền hạn cao nhất gây ra, nh là họ cài đặt bộ rà gói tin hoặc thay đổi các luật của tờng lửa. Nói chung có nhiều cách tiếp cận giám sát phát hiện xâm nhập mức nhân, nhng tất cả đều nhằm mục đích giám sát hệ thống tệp bảo vệ nhân, và phòng ngừa kẻ bẻ khoá sử dụng hệ thống vào những mục đích không đợc cấp quyền.

1.2.2. u nh ợc điểm của các loại hệ thống phát hiện xâm nhập

Mục này đi sâu vào đánh giá hai loại phát hiện xâm nhập mức mạng và mức máy, còn phát hiện xâm nhập mức nhân là một dạng mới, cần có thời gian kiểm nghiệm, nghiên cứu mới có thể đánh giá đợc u nhợc điểm của chúng [40].

1.2.2.1. Hệ thống phát hiện xâm nhập mức mạng

♦ Ưu điểm: Để thu thập ữ liệu d thì không cần một yêu cầu đặc biệt nào đối với các cơ chế kiểm toán và ghi nhật ký. Trong đa số các trờng hợp, việc thu thập dữ liệu của mạng xuất hiện cùng với cấu hình của cạc giao diện mạng. Việc cài đặt bộ thu tin phát hiện xâm nhập mức mạng vào một hệ thống không ảnh hởng tới dữ liệu của hệ thống. Các bộ thu tin phát hiện xâm nhập mức mạng có thể giám sát và phát hiện các cuộc tấn công mạng.

♦ Nh ợc điểm: Mặc dù một số hệ thống phát hiện xâm nhập mức mạng có thể chẩn đoán đợc điều gì đang xảy ra trên các trạm chủ căn cứ vào thông tin lu thông mạng, song chúng vẫn không thể thông báo đợc hậu quả của các lệnh đợc thực hiện trên một trạm chủ. Nghĩa là nó không phân biệtđợc lỗi của ngời dùng và hành động xâm nhập không đợc cấp quyền. Bộ thu tin phát hiện xâm nhập mức mạng không thể duyệt đợc các giao thức hoặc nội

dung thông tin nếu lu thông mạng bị mã hoá. Trong các mạng chuyển mạch, việc giám sát và phát hiện xâm nhập mức mạng sẽ trở nên khó khăn hơn. Các mạng chuyển mạch thiết lập phân đoạn mạng cho mỗi trạm chủ. Vì vậy các bộ phát hiện xâm nhập mức mạng bị thu hẹp phạm vi hoạt động lại thành việc giám sát một trạm chủ đơn lẻ. Các bộ chuyển mạch mạng có hỗ trợ giám sát duyệt cổng cũng có thể làm giảm nhẹ một phần sự khiếm khuyết này. Hiện nay, các bộ phát hiện xâm nhập mức mạng không thể xử lý kịp những mạng tốc độ cao theo quan điểm thời gian thực.

1.2.2.2. Hệ thống phát hiện xâm nhập mức máy

♦ Ưu điểm: Hệ thống có thể giám sát truy nhập thông tin cụ thể (ai truy nhập cái gì) Hệ thống có thể gán các hoạt động có vấn đề với từng định danh . ngời dùng cụ thể. Hệ thống có thể theo dõi các thay đổi hành vi có tính lạm

dụng. Hệ thống phát hiện xâm nhập mức máy có thể hoạt động trong môi trờng mã hoá, mà hệ thống phát hiện xâm nhập mức mạng không làm đợc điều này. Hệ thống có thể hoạt động trong môi trờng mạng chuyển mạch. Hệ thống có thể phân phối tải trọng xử lý thông tin cho mục đích giám sát qua các trạm chủ có thể có đợc trên các mạng lớn, do đó giảm đợc chi phí khai thác.

♦ Nh ợc điểm: Hoạt động của mạng là vô hình đối với các bộ phát hiện xâm nhập mức máy. Việc chạy cơ chế kiểm toán có thể phải chịu tổng phí tài nguyên tăng thêm nhiều. Khi các vết kiểm toán đợc dùng nh là các nguồn dữ liệu, chúng có thể chiếm một bộ nhớ lu trữ đáng kể. Những điểm xung yếu của hệ điều hành có thể phá hoại tính toàn vẹn của các bộ phát hiện xâm nhập mức máy. Bộ phát hiện xâm nhập mức máy cần phải mang đặc trng nền nhiều hơn, mà điều này sẽ tăng thêm chi phí khai thác. Chi phí quản lý và khai thác khi sử dụng các hệ thống phát hiện xâm nhập mức máy thờng cao hơn so với các cách tiếp cận khác.

1.2.3. Mô hình an toàn an ninh mạng Intranet với nhiều lớp bảo vệ

Trớc hết ta phải biết mạng máy tính cần đợc bảo vệ đang bị những kiểu tấn công nào đe doạ, ở trong môi trờng nào. Cũng cần đề phòng các cuộc tấn công vào các lỗ hổng an toàn của hệ thống. Trong phần trên đã trình bày về nhiều loại công cụ với các chức năng khác nhau trong việc đảm bảo an toàn cho một mạng nói chung và cho một máy tính nói riêng. Các lớp bảo vệ an toàn cho mạng nội bộ (Intranet) của một tổ chức đợc minh hoạ ở Hình 1.2.

Để đảm bảo cho môi trờng làm việc của mạng đợc bảo vệ tốt nhất, cần phải sử dụng đồng thời nhiều loại công cụ. Mỗi một loại công cụ hình thành một lớp bảo vệ trong trờng hợp những công cụ khác bị vô hiệu hoá. Đối với một mạng Intranet, có thể đa ra một chiến lợc an toàn nh sau [25]:

Lớp bảo vệ đầu tiên phải là tờng lửa. Ví dụ: có thể dùng bộ định tuyến (Router) lọc gói kết hợp với máy hai giao diện mạng (Dual homed) mang chức - năng máy chủ uỷ nhiệm Proxy để làm tờng lửa, hoặc dùng Router lọc gói kết hợp với máy pháo đài (Bastion Host).

D ua l- ho m ed mail server web server file server Internet's server

Miền địa chỉ thực on line Internet

In te rn et F ir ew al l Internet's switch LANalyser Network Monitor Hub HostSentry PortSentry Internet switch Router VAREnet of NIT Institute Firewall VNnet Proxy VAREnet Proxy Modem Modem VNnet of VDC company Leaseline Internet Telephone line

Remote Access PCs outside

Firewall

Firewall

Small Switch or HUB

workstations workstations

mail.home server home server home.office server Intranet's server

Hệ điều hành Linux, solaris,

unix hoặc

Windows NT Intranet với địa chỉ IP dùng riêng,

không truy cập đ ợc từ Internet

Router Router

( kết hợp proxy, router lọc gói với bộ phân tích Lan, bộ giám sát mạng, Hostsentry và Portsent

Sơ đồ minh hoạ hệ thống đảm bảo an ninh nhiều lớp cho mạng Intranet / Internet

Hình 1.2 – Hệ thống an toàn an ninh nhiều lớp cho mạng nội bộ (Intranet)

Lớp bảo vệ thứ hai là một hệ thống phát hiện xâm nhập mức mạng sẽ nắm bắt bất kỳ nhánh nào của tờng lửa. Ví dụ Các bộ rà gói tin nh LANalyser và bộ : giám sát mạng nh Microsoft Network Monitor, các bộ phát hiện xâm nhập nh RealSecure Engine và bộ Network Flight Recorder.

Tiếp theo, lớp bảo vệ thứ ba là một bộ công cụ giám sát các cuộc thử kết nối. Ví dụ nh các bộ công cụ giám sát kết nối PortSentry và HostSentry. Lớp bảo vệ thứ t là các công cụ để nắm bắt một sự can thiệp hiện tại nh là LogCheck hoặc Tripwire. Lớp bảo vệ trong cùng có thể là các phần mềm kiểm soát truy nhập.

1.3. Xác thực và logic xác thực 1.3.1. Các ph ơng pháp xác thực 1.3.1. Các ph ơng pháp xác thực

Xác thực ngời dùng khi đăng nhập máy tính có thể dựa trên những điều sau: ngời dùng biết một cái gì đó nh là một mật khẩu (password); ngời dùng sở hữu một cái gì đó, nh là một thẻ bài (token) mật mã : thẻ tín dụng Credit Card, thẻ

thông minh Smart Card; ngời dùng thể hiện một cái gì đó dới dạng dấu hiệu sinh trắc học ví dụ nh dấu vân tay, giọng nói, hình ảnh mắt, : [34].

Xác thực dựa trên mật khẩu là kỹ thuật xác thực thông dụng, phổ biến nhất, nhng nó còn nhiều vấn đề nổi cộm cần phải khắc phục. Chẳng hạn, mật khẩu bị lộ khi thao tác bàn phím bị theo dõi hoặc bị tìm ra bằng các chơng trình dò tìm mật khẩu. Việc quản lý mật khẩu đòi hỏi ngời dùng phải thờng xuyên thay đổi mật khẩu của họ, phải chọn các mật khẩu tốt, đủ độ phức tạp và bảo vệ chúng cẩn thận. Việc quản lý mật khẩu căng thẳng quá mức tạo ra sự trở ngại cho ngời dùng và ngời quản trị. Một lỗ hổng an toàn trong xác thực dựa trên mật khẩu đó là một ngời dùng có thể chia sẻ mật khẩu với ngời dùng khác một cách tuỳ tiện. Tuy nhiên, xác thực dựa trên mật khẩu vẫn là một phơng pháp xác thực a dùng do tính hiệu quả và chi phí thấp của nó.

Kỹ thuật xác thực thứ hai là xác thực thẻ bài. Mỗi thẻ bài có một khoá mật

mã bí mật duy nhất đợc lu giữ bên trong thẻ bài. Khoá mật mã này dùng để chứng minh định danh của thẻ bài thông qua việc bắt tay đáp ứng thách thức. Bên tham gia khi thiết lập xác thực sẽ phát ra một thách thức đòi hỏi một đáp ứng đợc tính toán khi dùng khoá bí mật của thẻ bài. Đôi khi thách thức đòi hỏi đáp ứng tức thì trong thời gian thực.

Dựa trên kỹ thuật mật mã khoá, các phơng pháp xác thực đợc chia thành hai loại [14]:

• Loại 1: xác thực dựa trên mật mã khoá bất đối xứng, tức khoá công khai. • Loại 2: xác thực dựa trên mật mã khoá đối xứng, tức khoá bí mật.

Tiêu biểu cho loại 1 là xác thực dựa trên giấy chứng nhận (certificate). Tiêu biểu cho loại 2 là xác thực Kerberos [2], [14]. Kerberos là một giao thức xác thực, phát triển từ giao thức Needham-Schroeder dùng khoá bí mật. Kerberos đợc nghiên cứu xây dựng ở Học viện Kỹ thuật Massachusetts (Massachusetts Institute of Technology – MIT) để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena (1988) nhằm cung cấp một miền các tiện ích xác nhận và an toàn sử dụng trong mạng máy tính Campus Athena và các hệ thống mở khác. Giao thức Kerberos đã

trải qua một số lần sửa đổi và nâng cấp từ kinh nghiệm và phản hồi của các tổ chức ngời dùng. Phiên bản mới gần đây của giao thức này là version 5.

So sánh hai phơng pháp xác thực nêu trên cho thấy [1] [6], [20], [, 46], [50]: • Để mã hoá và giải mã cùng một khối lợng thông tin, mật mã khoá công khai sử dụng giải thuật có độ phức tạp tính toán bậc lớn hơn rất nhiều so với mật mã khoá bí mật, do đó chi phí cao và tốc độ khá chậm. Ví dụ: trong khi

thời gian mã hoá của phơng pháp mã hoá bằng khoá bí mật DES (Data Encryption Standard) chỉ đòi hỏi vài micro giây thì phơng pháp mã hoá bằng khoá công khai RSA lại đòi hỏi tới vài mili-giây, do đó hạn chế thông

lợng ở mức 50 Kb/s (Phơng pháp này sử dụng thuật toán mật mã dùng

khoá công khai, dựa trên tính khó tìm ớc số của các số là tích của 2 số nguyên tố cực lớn, thậm chí lớn hơn 10100, do Rivest, Shamir và Adelman đề xuất năm 1978). Điều này ảnh hởng tới lu thông trên mạng, nhất là trong tình hình bùng nổ thông tin nh hiện nay đòi hỏi tốc độ giao dịch rất lớn. • Tuy nhiên, mật mã khoá công khai có u thế là khả năng mở rộng qui mô

trong việc phân phối khoá so với mật mã khoá bí mật, rất thích hợp trong môi trờng liên mạng, nhất là mạng toàn cầu Internet.

• Mã hoá dùng khoá công khai có thể tiện cho việc cài đặt hơn bởi vì phơng pháp này không đòi hỏi một kênh truyền bí mật để phân phối khoá nhng nó , lại đòi hỏi sự giao tiếp có xác nhận. Khi có một máy chủ phân phối khoá, phơng pháp mã hoá dùng khoá công khai có thể đợc dùng để thiết lập mối liên hệ ban đầu giữa mỗi đối tợng mới với máy chủ để truyền một khoá mật mà sẽ đợc dùng cho tất cả các phiên giao dịch sau đó.

• Việc xác thực dựa trên mật mã khoá công khai cần một số phơng tiện để chứng nhận khoá trong khi mật mã khoá bí mật thì không cần. Để thực hiện xác thực dựa trên mật mã khoá công khai, mỗi dịch vụ thờng cần phải duy trì một số lợng lớn giấy chứng nhận.

• Khi so sánh với các phơng pháp mật mã dựa trên khoá công khai hàng đầu nh RSA thì các phơng pháp mật mã khoá bí mậtmạnh hơn nhiều.

Với những lý do trên, trong luận án sử dụng một cơ sở hạ tầng xác thực dựa trên mật mã khoá bí mật.

1.3.2. Logic xác thực BAN

Michael Burrows, Martin Abadi và Roger Needham mô tả logic xác thực năm 1989, đợc gọi tắt là logic BAN [7], [14]. Logic BAN đã đợc áp dụng để phân tích nhiều giao thức nh giao thức xác thực Needham-Schroeder và giao thức xác thực Kerberos.

1.3.2.1. Các khái niệm và k pháp của logic BAN ý

Trong một hệ thống mạng, ta xét: P, Q là các đối tợng; X là một mệnh đề hoặc một mục dữ liệu, đơn giản nh là một mã hiệu , n hoặc kết hợp cả hai đợc chứa trong một thông báo phát đi từ một đối tợng K là một khoá bí mật dùng để mã ; hoá các thông báo. Ta có các khái niệm và ký pháp của logic BAN nh sau [7], [24]:

(i) P |≡≡≡≡≡ X : Đối tợng P tin cậy X là đúng. X có thể đúng, có thể sai, nhng P hành động nh thể X là đúng.

(ii) P X : Đối tợng P nhận đợc một thông báo chứa X. P có thể thực hiện việc giải mã để rút X từ thông báo. P có khả năng lặp lại X trong các thông báo gửi cho các đối tợng khác.

(iii) P |∼. X : Đối tợng P đợc coi là đã gửi một thông báo chứa X ở một thời điểm nào đó trong quá khứ. Điều này ngụ ý P tin cậy X khi nó gửi thông báo.

(iv) P |⇒ X : P có quyền hạn đối với X. Đối tợng P đợc uỷ thác nh một đối tợng có thẩm quyền về X.

(v) #(X) : X là mới. Ví dụ đối tợng P gửi cho đối tợng Q một thông báo chứa mã hiệu n. Sau đó Q gửi lại cho P một thông báo chứa X và mã hiệu n này thì X đợc coi là mới.

(vi) P K Q : P và Q đợc giao quyền sử dụng khoá bí mật K. K là một khoá bí mật giữa P và Q và có thể giữa các đối tợng khác đợc P và Q uỷ nhiệm.

(vii) Nếu K là một khoá thì {X}Kđợc hiểu là X đợc mã hoá với khoá K. Nếu X và Y là các mệnh đề thì ta viết : X,Y nghĩa là “X và Y”.

P | ≡≡≡≡≡ #(X), P | ≡≡≡≡≡ Q |∼.X P | ≡≡≡≡≡ Q | ≡≡≡≡≡ X P |≡≡≡≡≡ Q |⇒ X , P |≡≡≡≡≡ Q|≡≡≡≡≡ X P |≡≡≡≡≡X P |≡≡≡≡≡ P K Q , P {X}K P |≡≡≡≡≡ Q |∼ X

1.3.2.2. Các luật suy diễn của logic BAN

Biểu thị sự kết hợp của các mệnh đề X và Y kéo theo mệnh đề Z là : Các luật suy diễn chính của logic BAN nh sau [7]:

(i) Luật ý nghĩa thông báo:

Nếu P tin rằng nó chia sẻ khoá bí mật K với Q và nếu P nhận đợc một thông báo chứa X đợc mã hoá bằng khoá K thì P tin rằng Q đã gửi X (tức là Q đã tin tởng X và đã gửi một thông báo chứa X).

(ii ) Luật kiểm tra mã hiệu:

Nếu P tin rằng X là mới và nếu P tin rằng Q đã gửi X thì P tin rằng Q đang tin cậy X. Chú ý là X phải không bị mã hoá. Nếu X bị mã hoá thì Q đơn thuần chỉ là lặp lại một mệnh đề đã mã hoá và Q không cần thiết tin cậy vào X.

(iii )Luật quyền hạn:

Nếu P tin rằng Q có quyền hạn đối với X trong bất cứ trờng hợp nào và nếu P tin rằng Q đang tin cậy X thì P phải tin X.