CHƯƠNG 2. ỨNG DỤNG SO KHỚP MẪU TRONG QUÁ TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG
2.1.3. Hệ thống phát hiện xâm nhập trái phép
Các hệ thống tùy vào qui mô sẽ có các biện pháp an ninh khác nhau để ngăn chặn các hành vi xâm nhập trái phép. Tuy nhiên, không có một biện pháp nào có thể ngăn chặn được mọi hành vi xâm nhập mạng. Người ta chỉ có thể ngăn chặn được hành vi xâm nhập mạng đã biết. Do vậy, việc phát hiện xâm nhập trái phép là khâu quan trọng nhất trong việc đảm bảo an toàn cho hệ thống máy tính và mạng.
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng để phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ. Phát hiện xâm nhập có thể dựa trên (i) dấu hiệu xâm nhập; (ii) hoặc dựa vào dấu hiệu bất thường. Kẻ tấn công
có những dấu hiệu có thể được phát hiện bằng cách sử dụng phần mềm. Hệ thống phát hiện dựa trên dấu hiệu tìm ra dữ liệu của gói tin mà có chứa bất kì dấu hiệu xâm nhập hoặc bất thường được biết đến. Dựa trên một tập hợp các dấu hiệu này, hệ thống phát hiện xâm nhập có thể dò tìm, ghi lại các hoạt động đáng ngờ này và đưa ra các cảnh báo. Hệ thống phát hiện xâm nhập dựa vào bất thường thường dựa vào phần tiêu đề giao thức của gói tin được cho là bất thường. Thông thường hệ thống dựa trên bất thường sẽ bắt lấy các gói tin trên mạng và so sánh với các luật, các qui luật để tìm ra các dấu hiệu bất thường của gói tin.
2.1.3.1. Hệ thống phát hiện xâm nhập mạng
Hệ thống phát hiện xâm nhập IDS [6] là thiết bị phần cứng hoặc phần mềm hay kết hợp của cả hai để thực hiện việc giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác nhau. Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến người quản trị hệ thống. Nói cách khác, IDS là hệ thống phát hiện các dấu hiệu làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn dùng của hệ thống máy tính hoặc hệ thống mạng và IDS là cơ sở ban đầu cho bảo đảm an ninh hệ thống. Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau:
- Thành phần thu thập gói tin (information collection), - Thành phần phân tích gói tin (detection)
- Thành phần phản hồi (respotion).
Hình 2.1. Kiến trúc hệ thống phát hiện xâm nhập mạng
Trong kiến trúc này, thành phần phân tích gói tin (information collection) được xem là quan trọng nhất để thu thập các thông tin trên mạng dựa trên các sự kiện phát sinh và lưu kết quả lại trong các file log trước khi phân tích. Bộ phân tích trong giai
đoạn phát hiện đóng vai trò cốt lõi trong một hệ thống phát hiện xâm nhập với trách nhiệm phát hiện các hành vi xâm nhập mạng dựa trên cơ chế ra quyết định. Từ dữ liệu thô nhận được từ bộ thu thập gói tin, dựa trên các chính sách nhất quán được áp dụng các sự kiện bộ phân tích sẽ đánh giá hành vi đang được xem xét và loại bỏ dữ liệu không tương thích từ các sự kiện liên quan cần bảo vệ. Từ đó có thể phát hiện được các hành động nghi ngờ. Bộ cảm biến cũng có cơ sở dữ liệu của riêng lưu lại các hành vi xâm nhập từ nhiều hành động khác nhau.
2.1.3.2. Phân loại hệ thống phát hiện xâm nhập mạng
Người ta thường phân loại các hệ thống IDS dựa trên nguồn cung cấp dữ liệu cho phát hiện đột nhập. Có hai loại hệ thống phát hiện xâm nhập IDS cơ bản:
1. Hệ thống phát hiện xâm nhập mạng;
2. Hệ thống phát hiện xâm nhập trạm chủ.
Hệ thống phát hiện xâm nhập mạng NIDS được đặt tại các nút mạng, lưu giữ và phân tích các gói tin trên mạng để phát hiện tấn công. Tuy nhiên hệ thống gặp nhiều khó khăn khi mạng có lưu lượng lớn.
Hình 2.2. Hệ thống phát hiện đột nhập cho mạng NIDS
Một cách mà những kẻ tấn công cố gắng che đậy cho hoạt động của họ khi gặp các hệ thống IDS là phân mảnh dữ liệu gói tin. Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu. Mỗi giao thức có một kích cỡ gói dữ liệu có hạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu bị phân mảnh. Thứ tự sắp xếp không quan trọng miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp lại chúng. Những kẻ tấn công cố gắng ngăn chặn phát hiện bằng cách gửi nhiều gói dữ
liệu phân mảnh chồng chéo. Một bộ cảm biến không phát hiện được các hoạt động xâm nhập nếu không sắp xếp gói tin lại một cách chính xác.
Hệ thống phát hiện xâm nhập cho trạm chủ (HIDS) phát hiện tấn công bằng cách phân tích thông tin thu được trong nội bộ một hệ thống. Điều này cho phép hệ thống này cung cấp một cơ chế phân tích toàn diện hành vi hệ thống, phát hiện một cách chính xác các thành phần tấn công của hệ thống. HIDS có thể sử dụng các dịch vụ mã hóa dựa trên máy trạm chủ, để kiểm tra các lưu lượng, dữ liệu, hành vi đã được mã hóa. Nhược điểm của hệ thống này là việc thu thập dữ liệu xảy ra trên mỗi trạm chủ và ghi vào logs do đó có thể làm giảm hiệu năng mạng. IDS cho trạm chủ có thể bị vô hiệu hoá bởi các tấn công từ chối dịch vụ DoS, vì DoS có thể ngăn chặn bất kì lưu lượng nào đến trạm chủ - nơi chúng đang hoạt động và ngăn chặn thông báo các tấn công tới các nơi khác trong mạng.
Hình 2.3. Hệ thống phát hiện đột nhập cho trạm chủ - HIDS
HIDS thường phân tích các thành phần chính sau:
- Các tiến trình;
- Các lối vào đăng nhập;
- Mức độ sử dụng CPU;
- Kiểm tra tính toàn vẹn và truy cập trên tệp hệ thống;
- Một vài thông số khác.
Các thông số này vượt qua một ngưỡng định trước hoặc thay đổi khả nghi trên hệ thống sẽ gây ra cảnh báo.
Trên đây đã giới thiệu khái quát về hệ thống IDS, phần tiếp theo sẽ trình bày cụ thể một hệ thống phát hiện xâm nhập đang được sử dụng rộng rãi trong thực tế cũng như nghiên cứu.
2.1.3.3. Hệ thống phát hiện xâm nhập Snort
Snort [4] là một phần mềm dạng IDS được Martin Roesh phát triển dưới mô hình mã nguồn mở có chức năng ngăn chặn và phát hiện xâm nhập mạng dựa trên những dấu hiệu đã được thiết lập sẵn, hệ thống sẽ kết hợp dấu hiệu của các chữ ký, giao thức và sự bất thường dựa trên các phương pháp kiểm tra. Khi chạy, Snort sẽ trả về kết quả dưới dạng nhật ký hoặc cảnh báo và được lưu trữ nhờ sử dụng hệ quản trị cơ sở dữ liệu MySQL, PostgreSQL, MSQL hoặc Oracle. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng đặc biệt mà không phải sản phẩm thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu mô đun, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các mô đun. Snort có thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS. Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông thường, Snort còn có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau:
Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
Snort là một hệ thống ngăn chặn xâm nhập và phát hiện xâm nhập kết hợp những lợi ích của dấu hiệu, giao thức và dấu hiệu bất thường. Snort là đã được triển khai rộng rãi trên toàn thế giới. Snort là một ứng dụng bảo mật hiện đại với các chức năng chính phục vụ như một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin và phát hiện xâm nhập mạng. Bên cạnh đó có rất nhiều tính năng cho Snort để quản lý, tức ghi truy cập, quản lý, tạo các luật,… Tuy không phải là phần lõi của Snort nhưng các thành phần này đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính năng của Snort. Thông thường, Snort chỉ phân tích và cảnh báo trên giao thức TCP/IP do giao thức này là giao thức của Internet. Mặc dù vậy, với các phần tùy chỉnh mở rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác, chẳng hạn như Novell’s IPX.
Kiến trúc của Snort: Snort bao gồm nhiều thành phần (mô đun), với mỗi mô đun có một chức năng riêng. Các mô đun chính đó là:
- Giải mã gói tin;
- Tiền xử lý;
- Phát hiện;
- Truy cập và cảnh báo;
- Kết xuất thông tin.
Kiến trúc của Snort được mô tả trong hình sau:
Kiến trúc hệ thống SNORT
Giải mã
gói tin Tiền xử lý Phát hiện Log &
Cảnh báo
Tập luật
Cơ sở dữ liệu cảnh báo
`1
Cảnh báo
Thu nhận và nắm bắt các gói tin
Hình 2.4. Kiến trúc hệ thống Snort
Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào di chuyển qua nó. Các gói tin sau khi “bị bắt” được đưa vào mô đun “giải mã gói tin”. Tiếp theo gói tin sẽ được đưa vào mô đun “tiền xử lý”, rồi chuyển sang mô đun
“phát hiện”. Tại đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được bỏ qua để lưu thông tiếp hoặc được đưa vào mô đun “log và cảnh báo” để xử lý. Khi các cảnh báo được xác định, mô đun “kết xuất thông tin” sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn. Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.