Preprocessors (Bộ phận xử lý trước)

Một phần của tài liệu Kết hợp firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ điều hành linux (Trang 75 - 76)

Đây là module thành phần được sử dụng để sắp xếp hoặc thay đổi dữ liệu trong gói tin trước khi module phát hiện xâm nhập (detection engine) thực hiện các thao tác tìm kiếm trên gói tin để tìm ra các xâm nhập trái phép. Ngoài ra Preprocessors còn thực hiện phát hiện các dị thường trong phần đầu của gói tin IP và sinh ra các cảnh báo. Preprocessors là một module thành phần rất quan trọng cho bất kỳ một hệ thống IDS nào nhằm mục đích chuẩn bị gói dữ liệu để phân tích với các nguyên tắc trong module phát hiện xâm nhập.

Các kẻ phá hoại (hacker) thường sử dụng các kỹ thuật khác nhau nhằm đánh lừa một hệ thống IDS. Cho ví dụ, nếu người quản trị IDS tạo ra các nguyên tắc để tìm kiếm một mẫu dấu hiệu xâm nhập “script/iisadmin” trong gói tin HTTP. Nếu IDS tìm kiếm một mẫu chính xác như vậy, thì rất có thể IDS sẽ bị các hacker đánh lừa bằng cách thay đổi một chút về mẫu này và như vậy IDS sẽ không thể phát hiện ra các tấn công kiểu đó, ví dụ có thể thay đổi thành mẫu như sau:

 “script/./iisadmin”

 “script/example/iisadmin”

 “script\iisadmin”

 “script.\iisadmin”

Module Preprocessor sẽ tổ chức lại mẫu dấu hiệu xâm nhập cho phù hợp nhằm mục đích không bị các hacker đánh lừa theo kiểu như vậy. Ngoài ra,

Preprocessor còn được sử dụng cho mục đích tập hợp các gói tin bị phân mảnh (packet defragmention). Khi một lượng dữ liệu lớn được truyền trên mạng, thì gói tin đó thường bị phân ra thành nhiều gói tin nhỏ để phù hợp với MTU (Maximum Transfer Unit) của giao diện truyền thông. Bên phía nhận sẽ phải tập hợp lại các gói tin bị phân mảnh để khôi phục lại gói tin ban đầu. Trên IDS, trước khi ta có thể áp dụng bất kỳ một nguyên tắc nào để tìm kiếm một dấu hiệu tấn công, thì hệ thống cũng phải tập hợp lại các gói tin bị phân mảnh. Cho ví dụ, một nửa của một dấu hiệu có thể nằm ở gói tin phân mảnh đầu tiên, trong khi một nửa khác lại nằm ở trong gói tin phân mảnh thứ 2, như vậy để phát hiện ra đúng một mẫu dấu hiệu xâm nhập thì ta phải kết hợp 2 gói tin này với nhau. Các hacker thường sử dụng kỹ thuật phân mảnh gói tin để đánh lừa hệ thống IDS.

Preprocessor được sử dụng để chống lại những tấn công kiểu như trên. Trong Snort, Preprocessor có thể làm những công việc như: tập hợp các gói tin bị phân mảnh (defragment packets), sắp xếp lại gói tin HTTP URI, tập hợp lại các luồng TCP ... Những chức năng này thì khá quan trong trong một hệ thống IDS.

Một phần của tài liệu Kết hợp firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ điều hành linux (Trang 75 - 76)

Tải bản đầy đủ (PDF)

(114 trang)