1.1.3 .Tình hình về an ninh mạng
1.5. CÁC BIỆN PHÁP BẢO MẬT
1.5.1. Mã hóa
Mã hố là cơ chế chính cho việc bảo mật thơng tin. Nó bảo vệ chắc chắn thơng tin trong q trình truyền dữ liệu, mã hố có thể bảo vệ thơng tin trong q trình lưu trữ bằng mã hoá tập tin. Tuy nhiên người sử dụng phải có quyền truy cập vào tập tin này, hệ thống mã hố sẽ khơng phân biệt giữa người sử dụng hợp pháp và bất hợp pháp nếu cả hai cùng sử dụng một khóa giống nhau. Do đó mã hố chính nó sẽ không cung cấp bảo mật, chúng phải được điều khiển bởi khóa mã hố và tồn bộ hệ thống. Q trình mã hóa thể hiện
Hình 1.2. Q trình mã hoá
Mã hoá nhằm đảm bảo các yêu cầu sau:
- Tính bí mật (confidentiality): dữ liệu khơng bị xem bởi “bên thứ 3”. - Tính tồn vẹn (Integrity): dữ liệu khơng bị thay đổi trong q trình
truyền.
Tính khơng từ chối (Non-repudiation): là cơ chế người thực hiện hành
động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được
nguồn gốc hoặc người đưa tin.
1.5.2. Bảo mật máy trạm
Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ
thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được
kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm
thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.
Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức
đưa vào sản xuất, sẽ có một q trình kiểm tra theo một số bước nhất định.
Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ
không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống
mức thấp nhất cho hệ thống.
Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để
xác nhận quy mô của một tấn công vào máy chủ.
1.5.3. Bảo mật truyền thông
Tiêu biểu như bảo mật trên FTP, SSH.. - Bảo mật truyền thơng FTP theo Hình 1.3
Hình 1.3. Bảo mật truyền thông FTP
FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép
truyền dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được
truyền dưới dạng clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấy mật khẩu trong quá trình chứng thực là rất cao, thêm vào
đó user mặc định Anonymous khơng an tồn tạo điều kiện cho việc tấn công
tràn bộ đệm.
Biện pháp đặt ra là sử dụng giao thức S/FTP (S/FTP = FTP + SSL/TSL) có tính bảo mật vì những lí do sau:
+ Sử dụng chứng thực RSA/DSA.
+ Tắt chức năng Anonymous nếu không sử dụng. + Sử dụng IDS để phát hiện tấn công tràn bộ đệm. + Sử dụng IPSec để mã hóa dữ liệu.
- Bảo mật truyền thông SSH
SSH là dạng mã hóa an tồn thay thế cho telnet, rlogin..hoạt động theo
mơ hình client/Server và sử dụng kỹ thuật mã hóa public key để cung cấp
phiên mã hóa, nó chỉ cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được mã hóa. Với telnet hay rlogin quá trình truyền username và
password dưới dạng cleartext nên rất dễ bị nghe lén, bằng cách bắt đầu một
phiên mã hóa.
Khi máy client muốn kết nối phiên an toàn với một host, client phải bắt
đầu kết nối bằng cách thiết lập yêu cầu tới một phiên SSH. Một khi Server
nhận dược yêu cầu từ client, hai bên thực hiện cơ chế three-way handshake trong đó bao gồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi
giữa client và Server, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key, client lúc này có thể bắt đầu một phiên an tồn.
1.5.4. Các cơng nghệ và kỹ thuật bảo mật
- Bảo mật bằng firewall
Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm sốt luồng thơng tin giữa mạng cần bảo vệ và Internet thơng qua các chính sách truy cập đã được thiết lập.
Firewall có thể là phần cứng, phần mềm hoặc cả hai theo Hình 1.4. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó cịn có các tính năng như dự phịng trong trường hợp xảy ra lỗi hệ thống.
Hình 1.4. Sơ đồ kết nối tường lửa
Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là
dễ dàng. Các firewall đều phụ thuộc trên một mơi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin.
- Bảo mật bằng VPN
VPN là một mạng riêng ảo được kết nối thông qua mạng công cộng cung cấp cơ chế bảo mật trong một môi trường mạng khơng an tồn. Đặc điểm của VPN là dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được chứng thực, VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm
tính bảo mật của hệ thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai.
Hình 1.5. Hệ thống mạng
- Bảo mật bằng IDS (Phát hiện tấn công)
IDS là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chng báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker. Có khả năng phát hiện ra các đoạn mã độc hại hoạt động
trong hệ thống mạng và có khả năng vượt qua được firewall. Có hai dạng
chính đó là network based và host based.
1.6. NHỮNG CÁCH PHÁT HIỆN HỆ THỐNG BỊ TẤN CƠNG
Khơng có một hệ thống nào có thể đảm bảo an tồn tuyệt đối; bản thân
mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Đứng trên góc độ người quản trị hệ thống, ngồi việc tìm hiểu phát hiện những lỗ hổng bảo mật cịn ln phải thực hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn cơng hay khơng. Các biện pháp đó là:
- Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash bằng những thơng báo lỗi khơng rõ ràng. Khó xác định ngun nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân về
phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công
- Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản lạ, nhất là uid của tài khoản đó có uid= 0
- Kiểm tra xuất hiện các tập tin lạ. Thường phát hiện thông qua cách đặt tên các tệp tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin
theo một mẫu nhất định để dễ dàng phát hiện tập tin lạ. Dùng các lệnh ls -l để kiểm tra thuộc tính setuid và setgid đối với những tập tinh đáng chú ý (đặc
biệt là các tập tin scripts).
- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, sh hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …
- Kiểm tra hiệu năng của hệ thống. Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …
- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp. Chúng ta đã biết rằng một trong các mục đích tấn cơng là làm cho tê liệt hệ thống (Hình
thức tấn cơng DoS). Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhân trên hệ thống.
- Kiểm tra truy nhập hệ thống bằng các account thơng thường, đề phịng trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp khơng kiểm sóat được.
- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như
/etc/inetd.conf; bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dưới quyền root thì khơng chạy bằng các quyền yếu hơn.
- Kiểm tra các phiên bản của sendmail, /bin/mail, ftp; tham gia các nhóm tin về bảo mật để có thơng tin về lỗ hổng của dịch vụ sử dụng.
CHƯƠNG 2
HỆ THỐNG CẢNH BÁO XÂM NHẬP IDS - SNORT
Trong chương này, chúng tơi trình bày về kiến thức và nguyên lý hoạt
động IDS. Phân loại, phương thức phát hiện và cơ chế hoạt động IDS. Cách
phát hiện các kiểu tấn công thông dụng của IDS.
2.1. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 2.1.1. Tổng quan 2.1.1. Tổng quan
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson [24]. Khi đó người ta cần IDS với mục đích là dị tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên
cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983
đến năm 1988 trước khi được sử dụng tại mạng máy tính của khơng lực Hoa
kỳ [24]. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phỗ biến, một số hệ thống IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ
thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại
lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm
quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên
Wheel [24].
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển [24].
2.1.2. Định nghĩa IDS
Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu thơng
IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp lí
để nhận ra những mối nguy hại có thể tấn công. Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động
xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những
system call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập. IDS cũng có thể phân biệt giữa những tấn công từ bên trong (những người trong công ty) hay tấn công từ bên ngoài (từ các Hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
- Tính chính xác (Accuracy): IDS khơng được coi những hành động
thông thường trong môi trường hệ thống là những hành động bất thường hay
lạm dụng (hành động thông thường bị coi là bất thường được gọi là false
positive).
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện
xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động
xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm
trọng tới hệ thống).
- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập
trái phép nào (xâm nhập không bị phát hiện gọi là false negative). Đây là một điều kiện khó có thể thỏa mãn được vì gần như khơng thể có tất cả thông tin
về các tấn công từ quá khứ,hiên tại va tương lai.
- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại
- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong
trạng thái xấu nhất là khơng bỏ sót thơng tin. u cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị q tải bởi sự tăng trưởng của số lượng sự kiện.
SERVER
IDS
SERVER SERVER SERVER
FIREWALL
SERVER SERVER
FIREWALL IDS SENSOR
STANDORT II STANDORT III
IDS SENSOR
Hình 2.1. Các vị trí đặt IDS
2.1.3. Lợi ích của IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do
định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống
này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn
đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước
những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được
IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
2.1.4. Thành phần và nguyên lý hoạt động IDS
a. Thành phần IDS
Hình 2.2. Thành phần của IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần
thu thập gói tin (information collection), thành phần phân tích gói tin (dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trị quyết
định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc
của hệ thống phát hiện xâm nhập là như thế nào.
Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện(hệ điều hành, mạng,
ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là
một bản ghi các sự kiện của hệ thống hoặc các gói mạng.
Vai trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn cơng, profile hành vi thông thường, các tham số cần thiết. Thêm vào
đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thơng
với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ
liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác
nhau).
b. Nguyên lý hoạt động
Hình 2.3. Nguyên lý hoạt động của IDS
Quá trình phát hiện có thể được mơ tả bởi các yếu tố cơ bản nền tảng