2.3.1 Lớ do lựa chọn NIDS
Với cỏc kiểu hệ thống IDS (NIDS-hệ thống IDS trờn mạng, HIDS-hệ thống IDS trờn một mỏy trạm, và Hybrid IDS-lai của hai hệ thống đú), hệ thống NIDS là giải phỏp được chọn lựa vỡ cỏc lớ do sau:
• Cung cấp mức độ bao phủ rộng nhất vỡ nú cú thể được đặt tại cỏc điểm nối chớnh trong mạng vỡ thể thay vỡ đặt một hệ thống host-based hay
hybrid agent trờn mỗi server trong DMZ bạn cú thể đặt một cảm biến mạng đơn trong DMZ
• Rất dễ triển khai như cỏc bộ cảm biến trong một mỏy tớnh độc lập và rất nhiều NIDS ngày nay cú giỏ trị như cỏc thiết bị, hơn thế nữa nú làm giảm tổng thời gian và giả thành triển khai. Cỏc Host IDS và Hybrid IDS yờu cầucài đặt cỏc agent trờn cỏc mỏy cần được bảo vệ và mỗi mỏy được cài đặt đú cần được cập nhật thường xuyờn.
• Cung cấp chi tiết hơn về giao thụng trong mạng để trợ giỳp quyết định và xó định chớnh sỏch thớch hợp.HostIDS và Hybrid IDS chỉ cung cấp thụng tin trờn một mỏy nào đú hoặc trờn server và HIDS khụng cung cấp bất cứ thụng tin nào về giao thụng
• Thị trường NIDS đó rất trưởng thành và đó phục hưng để phỏt triển một số cỏc cụng nghệ bảo mật phức tạp nhất trong nền cụng nghiệp. HIDS rừ ràng vẫn đang ở cỏc cụng nghệ đơn giản với hầu hết những cải tiến đều từ việc giải quyết cỏc vấn đề về triển khai và quản lý cỏc agent. Cỏc cụng nghệ Hybrid vẫn rất mới và vẫn cần đầu tư vào cỏc chiến lược triển khai và quản trị.
• Nhiều hệ thống dũ tỡm sự xõm nhập trờn mạng cú thể block một cuộc tấn cụng để ngăn chặn kẻ tấn cụng truy cập thành cụng. Những phương phỏp block này thay đổi một cỏch hiệu quả nhưng cú thể ngay lập tức phản ứng lại kẻ tấn cụng (cú khả năng đỏp ứng yờu cầu thời gian thực) bằng cỏch đso hạn chế những phỏ hoại cú thể của kẻ tấn cụng. Do HIDS dựa trờn việc phõn tớch cỏc file log nờn nú luụn luụn khụng đỏp ứng được thực tế. Cỏc hệ thống Hybrid cú khả năng đỏp ứng yờu cầu thời gian thực nhưng nú lại chỉ cú thể bảo vệ những host riờng lẻ.
• NIDS cú thể tương tỏc với cỏc cụng nghệ vành đai khỏc để tăng tớnh vững mạnh của vành đai của doanh nghiệp. NIDS cú tỏc dụng đũn bẩy với sự phong toả đang tồn tại trong cỏc cụng nghệ routing và firewall bằng cỏch tự động cập nhật cỏc chớnh sỏch vành đai khỏc nhằm phản ứng lại cỏc mối đe doạ thời gian thực. Hệ thống host-based bị giớii hạn trong một thiết bị đơn và khụng thể hỗ trợ cỏc hệ thống bảo vệ đang tồn tại trong cỏc cụng nghệ an toàn vành đai.
2.3.2 Kiến trỳc NIDS và hoạt động
Mọi hệ thống IDS đều dựa trờn kiến trỳc đa lớp (multi-tier) của kỹ thuật dũ tỡm (Detection Technology): phộp phõn tớch dữ liệu, lớp quản trị cấu hỡnh và giao diện người dựng đồ hoạ (GUI). Trong cỏc tổ chức hoặc quỏ trỡnh phỏt triển cỏc dịch vụ quản trị, mỗi lớp của hệ thống IDS sẽ được phỏt triển độc lập, để thuận tiện cho cỏc thao tỏc, đảm bảo hiệu năng, và hỗ trợ cho cỏc luồng cụng việc cú tổ chức.
Cỏc kỹ thuật dũ tỡm là khỏc nhau tuỳ theo cỏc kiểu hệ thống IDS khỏc nhau:
• Sensors : là phần mềm phỏt triển (kỹ thuật dựa trờn thiết bị), cho phộp NIDS giỏm sỏt lượng tải trờn cỏc mạng tốc độ cao. Cỏc Sensor được đặt tại một vị trớ đặc biệt trờn vành đai của mạng hoặc bờn trong cơ cấu mạng. Cỏc Sensor là cỏc thiết bị xử lý tập trung đũi hỏi hoạt động chớnh xỏc. Sensor sẽ phõn tớch toàn bộ giao thụng mạng, tỡm kiếm cỏc dấu hiệu xõm nhập sau đú bỏo cỏo thụng tin đến một người quản trị tập trung xỏc định theo cỏc thụng số qui định trong NIDS.
• Agents : là phần mềm phỏt triển được cài đặt trờn một mỏy PC riờng biệt trong hệ thống HIDS (Host-based IDS). Phần mềm Agent sử dụng rất ớt cỏc tiến trỡnh nguồn. Chức năng của nú là giỏm sỏt cỏc file đặc biệt hoặc cỏc đăng nhập vào mỏy trạm, bỏo cỏo đến người quản trị trung tõm khi cỏc file này bị truy cập, sửa đổi, xoỏ hoặc sao chộp dựa theo chớnh sỏch an ninh trờn mỏy trạm. Cỏc Agent được xem như những phần mềm thụng minh khi chỳng quyết định chấp thuận cỏc hành động hợp lệ và bỏo cỏo về cỏc can thiệp vào hệ thống an ninh.
• Hybrid agents : bao gồm cỏc tớnh năng của host-based Agent, với kỹ thuật network-based sensor giới hạn chỉ phõn tớch trờn giao thụng mạng được định địa chỉ tại những mỏy trạm đặc biệt nơi mà hybrid agent được cài đặt. Việc sử dụng bộ xử lý của hybrid agent sẽ mạnh hơn host-based agent bởi tớnh liờn tục của cỏc tiến trỡnh giao thụng mạng tại mỏy trạm.
• Collectors : giống như cỏc agent nhưng chỳng là cỏc phần mềm ứng dụng nhẹ hơn, cũng tập trung trờn mỏy trạm như cỏc agent. Điểm khỏc nhau chớnh là cỏc collector được xem như là cỏc thiết bị cõm bởi vỡ chỳng khụng đưa ra quyết định tại mức mỏy trạm. Chức năng của một collector là tập hợp cỏc thụng tin đăng nhập, đăng ký, thụng tin file từ mỏy trạm và chuyển tiếp toàn bộ đến người quản trị trung tõm ngay khi lối vào được mở. Người quản trị trung tõm sẽ thực hiện tất cả cỏc phõn tớch và ra quyết định.
Lược đồ của một hệ thống NIDS:
Thiết bị NIDS kết nối đến một hub của mạng hoặc một switch, kết nối đến router mạng hoặc Firewall. Mọi luồng tải đi đến hoặc đi từ khỏch hàng sẽ được kiểm tra bởi thiết bị NIDS. NIDS quản lý lựa chọn dịch vụ xõm nhập bao gồm sensor, cả hai phần mềm ứng dụng và phần mềm dịch vụ điều khiển. Theo cỏc lớ do an toàn, khỏch hàng khụng thể yờu cầu từng bộ phận mà phải mua toàn bộ bộ phần mềm trung tõm đú.
o Hoạt động:
Trong phần trỡnh bày về IDS, chỳng ta đó tỡm hiểu cỏch thức mà một hệ thống IDS tiến hành phỏt hiện xõm nhập. Đú chớnh là hai cỏch tiếp cận: phỏt hiện sự khụng bỡnh thường và phỏt hiện sự lạm dụng. Cả hai đều được đưa vào thực tế từ năm 1980 đối với một hệ điều hành đơn và được mở rộng cho phự hợp với cỏc hệ thống phõn tỏn và hệ thống mạng.
Như vậy, hoạt động phỏt hiện xõm nhập trong hệ thống NIDS cũng dựa trờn cỏc kỹ thuật xõm nhập đó trỡnh bày cho hệ thống IDS tổng quỏt ở trờn. Cỏc kịch bản xõm nhập vẫn dựa trờn cỏc hành động xõm nhập thực hiện bởi cỏc thực thể. Tuy nhiờn, đa người dựng trờn một hệ thống mạng cú thể làm việc với nhau như là một phần của xõm nhập hợp tỏc trong đú nhiều thực thể cộng tỏc với nhau để thực hiện xõm nhập. Thực tế cũng cho thấy xõm nhập hợp tỏc trờn một mạng xuất hiện thường xuyờn hơn và cung cấp nhiều cơ hội hơn cho hành vi xõm nhập. Kẻ xõm nhập cú thể dựng đa nỳt để cố gắng che giấu hành động của chỳng. Chỳng tận dụng một thực tế rằng những hệ điều hành khỏc nhau cú thể khụng nhận biết được cỏc trạng thỏi khỏc nhau. Để phỏt hiện xõm nhập trờn mạng, bộ dũ tỡm phải cú khả năng so sỏnh tương quan giữa cỏc hành động từ đa nỳt liờn quan trong một xõm nhập hợp tỏc.
Cỏc quỏ trỡnh phỏt hiện sự khụng bỡnh thường và phỏt hiện sự lạm dụng được mở rộng cho phự hợp với xõm nhập trong mụi trường mạng. Dữ liệu kiểm tra (audit data), lời gọi đến cỏc thủ tục của hệ thống, và thụng tin trạng thỏi hệ thống được thu thập và sau đú được phõn tớch theo cỏch thức giống với đó trỡnh bày trong phần IDS,
vẫn trong những khỏi niệm về hành vi bỡnh thường/bất thường và cỏc kịch bản xõm nhập. Chỉ khỏc là trong mụi trường mạng, hệ thống phỏt hiện xõm nhập cần phải tập hợp và tương quan thụng tin từ tất cả cỏc mỏy trạm. Để thực hiện được nhiệm vụ này, bộ dũ tỡm cú thể ỏp dụng cỏch tiếp cận tập trung, theo đú mọi thụng tin được thu thập trờn một mỏy và sau đú được phõn tớch hoặc cú thể tiếp cận theo cỏch phõn quyền (phõn cấp), tại đú chỉ thụng tin cục bộ được phõn tớch và lựa chọn, thụng tin quan trọng được chia sẻ giữa cỏc thành phần phỏt hiện xõm nhập qua cỏc nỳt.
+ Phõn tớch tập trung:
Hệ thống phỏt hiện xõm nhập trờn mạng tập trung được đặc tả bởi phộp thu thập dữ liệu kiểm tra phõn tỏn và phõn tớch tập trung. Trong hầu hết cỏc hệ thống phỏt hiện, dữ liệu kiểm tra được thu thập tại cỏc nỳt riờng lẻ sau đú được bỏo cỏo lờn một vài vị trớ tập trung, nơi mà phộp phõn tớch để phỏt hiện xõm nhập được thực hiện. Cỏch tiếp cận này phự hợp đối với những hệ thống mạng nhỏ nhưng chưa đủ để đỏp ứng đối với những hệ thống lớn.
+ Phõn tớch phõn cấp:
Hệ thống NIDS theo cỏch phõn cấp được đặc tả bởi phộp thu thập dữ liệu kiểm tra được phõn tỏn, sau nữa là phộp phõn tớch phỏt hiện xõm nhập phõn tỏn. Cỏc hệ thống này cú thể mụ hỡnh như quỏ trỡnh phõn cấp. Khụng giống như hệ thống NIDS tập trung, cỏc hệ thống NIDS phõn cấp này ỏp dụng tốt khi phạm vi hệ thống mạng tăng bởi vỡ thành phõn phõn tớch là phõn tỏn và cú ớt thụng tin kiểm tra phải chia sẻ giữa cỏc thành phần khỏc nhau.
Với cỏch tiếp cận phõn quyền, cú một số phương phỏp để chia toàn bộ hệ thống thành cỏc vựng nhỏ hơn khỏc nhau tuỳ theo mục đớch giao tiếp. Vựng (domain) là một vài tập con của hệ thống phõn cấp bao gồm một nỳt cú trỏch nhiệm thu thập và phõn tớch dữ liệu từ tất cả cỏc nỳt khỏc trong vựng đú. Nỳt đang phõn tớch này biểu diễn vựng tới cỏc nỳt cao hơn trong phõn cấp. Cỏc vựng được tạo ra bằng việc phõn chia hệ thống dựa trờn cỏc yếu tố về:
Địa lý
Điều khiển quản trị
Tập hợp cỏc nền phần mềm giống nhau
Cỏc kiểu xõm nhập dự đoỏn
2.3.3 Mụ hỡnh hệ thống NIDS
Như vậy, chỳng ta đó tỡm hiểu chi tiết nguyờn lý, hoạt động của hệ thống NIDS về mặt lý thuyết. Áp dụng vào thực tế hệ thống mạng, cỏc cụng việc cụ thể của nú sẽ như sau:
+ Phỏt hiện xõm nhập
+ Đối phú với xõm nhập Phỏt hiện xõm nhập:
Bao gồm cỏc chức năng thu thập, phõn tớch, lưu trữ dữ liệu.
+ Thu thập dữ liệu: cú chức năng thu thập và cung cấp thụng tin về cỏc “sự kiện” trong hệ thống được bảo vệ cho cỏc thành phần phõn tớch để làm nhiệm vụ xử lý. Quỏ trỡnh thu thập này bao gồm cả việc loại bỏ những thụng tin khụng cần thiết.
Trong mụi trường mạng, luồng tải (traffic) bao gồm cỏc bú dữ liệu IP lưu thụng dọc theo mạng. NIDS cú thể bắt giữ được cỏc gúi tin đú khi chỳng truyền trờn dõy. NIDS bao gồm một stack TCP/IP đặc biệt để tập hợp lại cỏc bú dữ liệu IP và cỏc luồng TCP.
+ Phõn tớch dữ liệu: sẽ phõn tớch thụng tin nhận được từ bộ phận thu thập dữ liệu. Mục đớch của nú là tinh chỉnh tiếp thụng tin cú liờn quan đến vấn đề an ninh, phõn tớch đỏnh giỏ khả năng sự xõm nhập đang xảy ra, đó xảy ra hay sắp xảy ra.
Sử dụng một số kỹ thuật phõn tớch sau:
Protocol stack verification: Một số xõm nhập, như "Ping-O-Death" and "TCP Stealth Scanning" sử dụng cỏc vi phạm của cỏc giao thức cơ bản IP, TCP, UDP và TCMP để tấn cụng mỏy tớnh. Một hệ thống kiểm tra đơn giản cú thể đỏnh dấu cỏc gúi tin khụng hợp lệ.
Application protocol verification: Một số xõm nhập sử dụng cỏch chạy giao thức khụng hợp lệ, như “WinNuke” (dựng giao thức NetBIOS, thờm dữ liệu OOB) hoặc bộ nhớ đệm DNS đó bị nguy hiểm, cú chữ ký hợp lệ nhưng khụng thụng thường. Để phỏt hiện cỏc xõm nhập này một cỏch hiệu quả, NIDS cần phải thi hành lại một lượng lớn cỏc loại giao thức lớp ứng dụng khỏc nhau để dũ cỏc cỏch chạy khụng hợp lệ hoặc cú nghi ngờ.
Creating new loggable events: NIDS cú thể được dựng để mở rộng khả năng kiểm tra phần mềm quản trị mạng của bạn. Chẳng hạn, NIDS cú thể đơn giản ghi lại tất cả cỏc giao thức lớp ứng dụng được dựng trờn mỏy. Sau đú, cỏc hệ thống ghi sự kiện (WinNT event, UNIX syslog, SNMP TRAPS,... ) sẽ tương quan cỏc sự kiện được mở rộng đú với cỏc sự kiện khỏc trờn mạng.
+ Lưu trữ dữ liệu: Hai bộ phận thu thập và phõn tớch dữ liệu cú thể tạo ra một số lượng rất lớn thụng tin. Sau đú chỳng sẽ được bộ lưu trữ ghi nhận nhằm bảo đảm sự sẵn sàng của dữ liệu cho việc phõn tớch. Tuy nhiờn, nếu ta khụng tiến hành lưu trữ hợp lý sẽ dẫn tới toàn bộ hiệu năng của cả hệ thống bị ảnh hưởng.
Dữ liệu thu thập: được lấy từ nhiều nguồn khỏc nhau, vớ dụ cỏc log file của Web server, log file của firewall, cỏc thụng tin về việc sử dụng tài nguyờn CPU, việc truy cập cỏc tài nguyờn của HĐH ...Hệ thống cú phỏt hiện được sự xõm nhập hay khụng phụ thuộc trước tiờn vào việc thu thập dữ liệu. Nếu việc thu thập dữ liệu chậm hoặc bị mất mỏt thỡ rất dễ bị mất dấu vết của kẻ xõm nhập, lấy vớ dụ cụ thể, một chương trỡnh cần giỏm sỏt hoạt động xảy ra trờn mạng, nú phải cú thể bắt được hết cỏc gúi tin truyền trờn mạng, nếu tốc độ mạng lớn, thụng lượng đường truyền cao việc theo kịp tốc độ mạng là rất khú.
Bao gồm khả năng phỏt ra cảnh bỏo hoặc cú thể tỏc động lại kẻ tấn cụng dưới dạng kết thỳc liờn kết, sửa đổi lại bảng điều khiển của router để ngăn chặn những cuộc tấn cụng tiếp theo cú cựng nguồn gốc.
Hệ thống NIDS cú một số hành động đối phú thụng thường sau
Reconfigure firewall: cấu hỡnh lại firewall để lọc địa chỉ IP của kẻ xõm nhập. Tuy nhiờn, điều này vẫn cho phộp kẻ xõm nhập tấn cụng từ những địa chỉ khỏc. Trạm kiểm soỏt firewall hỗ trợ một SAMP (Suspicious Activity Monitoring Protocol) để cấu hỡnh cỏc firewall. Trạm kiểm soỏt cũng cú chuẩn “OPSEC” của nú cho việc cấu hỡnh lại cỏc firewall để ngăn chặn cỏc địa chỉ IP nguy hiểm.
Chime (chuụng): phỏt ra tiếng bớp hoặc chạy một file .WAV. Vớ dụ, bạn cú thể nghe thấy lời cảnh bỏo “You are under attack ”.
SNMP Trap: gửi một bú dữ liệu SNMP Trap đến nơi quản trị giao tiếp người mỏy như HP OpenView, Tivoli, Cabletron Spectrum,...
NT Event: gửi một sự kiện đến WinNT event log.
syslog: gửi một sự kiện đến hệ thống sự kiện UNIX syslog.
Send e-mail: gửi e-mail đến nhà quản trị để thụng bỏo về tấn cụng.
Page: nhắn tin (dựng những mỏy nhắn tin thụng thường) cho nhà quản trị hệ thống.
Log the attack: ghi lại cỏc thụng tin của cuộc tấn cụng (nhón thời gian, địa chỉ IP của kẻ xõm nhập, địa chỉ IP/cổng của mỏy nạn nhõn, thụng tin về giao thức).
Save evidence (lưu lại dấu vết): lưu lại một file theo vết cỏc gúi tin để sử dụng cho quỏ trỡnh phõn tớch sau này.
Launch program (khởi chạy chương trỡnh): chạy một chương trỡnh riờng để xử lý sự kiện.
Terminate the TCP session (kết thỳc phiờn TCP) : giả mạo một gúi tin TCP FIN để ngắt kết nối.
2.3.4 Triển khai và điều chỉnh hệ thống NIDS (Deploying and Tuning NIDS)Triển khai hệ thống NIDS Triển khai hệ thống NIDS
Trước đõy cỏc hệ thống NIDS rất đắt, phức tạp và là dạng cấu hỡnh one-size-for- all. Kết quả là việc triển khai NIDS gặp nhiều khú khăn, bị giới hịan giữa boderrouter và firewall nơi mà chỳng cố gắng kiểm soỏt hầu hết cỏc cuộc giao vận. Vỡ thế việc tiến hành một cụng nghệ mới làm cho phự hợp với mạng mới rất được hoan nghờnh, kiến trỳc Ethernet đơn, 10Mb/s đó thống trị thị trường.