Dùng để giám sát lưu lượng trong hệ thống mạng hay một thiết bị nào đó và phân tích hoạt động giao thức mạng hay hoạt động của ứng dụng để xác định các hành động khả nghi. Thường triển khai ở biên của hệ thống mạng, nằm gần firewall hay router, server VPN, remote access server và mạng wireless. IDS thông dụng nhất đại diện network - based là Snort. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. Ngoài ra còn có công cụ kiểm soát và giám sát hệ thống như Netflow, các hệ thống đánh lừa và cảnh báo xâm nhập như Virtual Honeypot.
Ưu điểm :
Quản lý được cả một network segment (gồm nhiều host), “Trong suốt” đối với cả người dùng lẫn kẻ tấn công, cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng, tránh DoS ảnh hưởng tới một host nào đó, có khả năng xác định lỗi ở tầng network (trong mô hình OSI), độc lập với hệ điều hành (OS)
Nhược điểm:
Có thể xảy ra hiện tượng nghẽn mạng khi mạng hoạt động ở mức độ cao, có thể xảy ra hiện tượng báo động giả (false positive) tức không có xâm nhập (intrusion) mà NIDS vẫn báo có intrusion, không thể phân tích các traffic đã được mã hóa (encrypt)
(VD: SSL, SSH, Ipsec…), NIDS đòi hỏi phải cập nhật các signature mới nhất để đảm bảo an toàn, có độ trễ giữa thời điểm bị tấn công và thời điểm báo động. Khi báo động phát ra hệ thống có thể đã bị tổn hại, không cho biết việc tấn công có thành công hay không. Hình 1-7 Mô hình NIDS Một số sản phẩm NIDS: - Cisco IDS - Dragon® IDS/IPS 1.6.2 Wireless
Wireless Intrusion Detection System viết tắt WIDS là hệ thống ngăn chặn tấn công không dây chúng làm việc khác biệt so với môi trường mạng có dây, trong WLAN môi trường truyền là không khí các thiết bị hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Giám sát lưu lượng mạng và phân tích các giao thức để tìm ra các hành động khả nghi. Wireless IDS thường được triển khai trong hệ thống mạng wireless để giám sát lưu lượng, nhưng cũng có thể triển khai IDS wireless ở những vị trí thường hay xuất hiện những mạng wireless chưa được xác minh.
Hình 1-8 Mô hình WIDS tập trung
1.6.3 Network Behavior Analysis (NBA)
NBA kiểm tra lưu lượng mạng để xác định các mối đe dọa có thể tạo ra luồng lưu lượng bất thường, ví dụ như tấn công Ddos, malware… Hệ thống NBA thường triển khai để giám sát các lưu lượng trong nội mạng, hay vị trí có thể giám sát được lưu lượng giữa nội mạng và ngoại mạng.
1.6.4 Host – Based
Một Host-Based IDS chỉ làm nhiệm vụ giám sát và ghi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ.
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện
được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng Unix và nhiều hệ điều hành khác. Một số dịch vụ cho phép admin theo dõi và giám sát như Syslog, File Fingerprinting, System Integrity Check và Systrace.
Ưu điểm:
Cài đặt trên nhiều dạng máy tính (PC, laptop, máy chủ…), phân tích lưu lượng mạng rồi mới forward, có khả năng xác định người dùng (user) liên quan tới sự kiện (event), HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này, có thể phân tích các dữ liệu đã mã hoá, cung cấp các thông tin về host trong khi cuộc tấn công đang diễn ra trên host này.
Nhược điểm:
Đa số chạy trên hệ điều hành Windows, tuy nhiên đã có một số chạy trên Unix và các hệ thống khác, thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công, khi hệ điều hành (OS) bị vô hiệu hóa do tấn công thì HIDS cũng bị vô hiệu hóa, HIDS phải được thiết kế trên từng host cần được giám sát, HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat, …), HIDS cần tài nguyên trên Host để hoạt động, HIDS có thể không hiệu quả khi bị DoS
Network - based và Host - based phổ biến và đáng tin cậy hơn, đã được các tổ chức, cơ quan… áp dụng nhiều hơn trong nhiều năm trong khi NBA xuất hiện sau này, một phần được phát triển để chống lại tấn công Ddos, một phần để giám sát hoạt động lưu lượng trong nội mang. IDS wireless được phát triển sau khi công nghệ wireless ra đời để quản lý lưu lượng trong mạng Wireless Local Area Network (WLAN) và để ngăn chặn các mối đe dọa xuất hiện trong mạng wireless. Vì lý do đó, trong phạm vi luận văn này sẽ chỉ nghiên cứu sâu về hai loại IDS phổ biến nhất hiện nay là Network - Based và Host - Based.
1.7 Các sản phẩm IDS trên thị trường
1.7.1 Intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt vời. Ðưa ra với một giao diện báo cáo với hơn 1.000 báo cáo khác nhau, giúp kiểm soát được Nhập phức tạp. Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác. Dưới đây là một số tính năng cơ bản của Instrust:
Tính năng cảnh báo toàn diện Tính năng báo cáo toàn diện
Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng Lọc dữ liệu cho phép xem lại một cách dễ dàng
Kiểm tra thời gian thực
Phân tích dữ liệu đã được capture Tuân thủ theo các chuẩn công nghiệp Sự bắt buộc theo một nguyên tắc
1.7.2 ELM
Là sản phẩm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo chi tiết. Cơ sở dữ liệu được bổ
sung thêm để bảo đảm cơ sở dữ liệu của phần mềm được an toàn. Ðiều này có nghĩa là nếu cơ sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạo một cơ sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cơ sở dữ liệu chính online trở lại. Dưới đây là một số mô tả các tính năng về ELM Enterprise Manager 3.0
ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt
Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các bản ghi sự kiện và bộ đếm hiệu suất
Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ các báo cáo HTML và ASCII
Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
Client chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML Hỗ trợ giao diện kiến thức cơ sở
Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT Hỗ trợ cơ sở dữ liệu SQL Server và Oracle
Các truy vấn tương thích WMI cho mục đích so sánh Ðưa ra hành động sửa lỗi khi phát hiện xâm nhập
1.7.3 SNORT
Snort là một sản phẩm tuyệt vời và nó đã được nhiều tổ chức, cơ quan, doanh nghiệp đưa vào hoạt động trong môi trường Unix. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ nền Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian và băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại được trong bất kỳ tổ chức nào. Dưới đây là những tính năng về sản phẩm này:
Hỗ trợ cấu hình hiệu suất cao trong phần mềm Hỗ trợ tốt cho Unix
Hỗ trợ mã nguồn mở linh hoạt Hỗ trợ tốt SNMP
Hỗ trợ mô đun quản lý tập trung
Hỗ trợ việc cảnh báo và phát hiện xâm nhập Có các gói bản ghi
Phát hiện tấn công toàn diện
Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
1.7.4 Cisco IDS
Giải pháp này là của Cisco, với giải pháp này chúng ta thấy được chất lượng, cảm nhận cũng như danh tiếng truyền thống của nó. Dưới đây là những tính năng về thiết bị này:
Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai
Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco
Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành động trái phép
Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau
Cho hiệu suất mạng cao
Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của kẻ xâm nhập
Quản lý GUI tập trung Quản lý từ xa
Email thông báo sự kiện
1.7.5 Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Ðây là một giải phát IDS
toàn diện, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó. Dưới đây là những tính năng về Dragon:
Dragon hỗ trợ cả NIDS và HIDS
Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX Ðược mô đun hóa và có thể mở rộng
Kiểm tra quản lý tập trung Phân tích và báo cáo toàn diện
Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh
Kiểm tra bảo mật hiệu quả, tích hợp các switch, firewall và router Quản lý biên dịch báo cáo
Giới thiệu tổng quan về Firewall Iptable và IDS Snort
1.8 Tổng quan về Firewall
Hiện nay internet ngày trở nên phổ biến và việc kết nối hầu như đã trở nên quen thuộc với nhiều người từ các máy tính đơn đến các hệ thống mạng của các tổ chức, cơ quan, doanh nghiệp. Vấn đề đặt ra là nếu các máy tính hệ thống này không được bảo vệ thì sẽ trở thành mục tiêu cho hacker xâm nhập. Do đó nhiều tính năng bảo mật đã được phát triển nhằm hạn chế sự xâm nhập trái phép của hacker trong đó đáng chú ý là Firewall.
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và phần mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau, có chức năng quản lý lưu lượng thông tin giữa internet và hệ thống mạng cá nhân. Firewall có thể chia hệ thống mạng nội bộ thành hai hay nhiều phần khác nhau và điều khiển việc trao đổi dữ liệu giữa các vùng này.
Các chức năng cơ bản của firewall:
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập. Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong. Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng. Kiểm soát khả năng truy cập người sử dụng giữa hai mạng. Kiểm soát nội dung thông tin truyền tải giữa hai mạng. Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ, do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng. Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại.
Hình 2-9 Mô hình Firewall
1.9 Phân loại firewall
Có khá nhiều loại firewall, mỗi loại có những ưu và nhược điểm riêng. Tuy nhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm hai loại chính: Packet filtering và Application-proxy firewall.
- Packet filtering: là hệ thống firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng có kiểm soát.
- Application-proxy firewall: là hệ thống firewall thực hiện các kết nối thay cho
các kết nối trực tiếp từ máy khách yêu cầu.
1.9.1 Packet Filtering
Firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filtering).
Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật
đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng google.com được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao giờ đến được mạng trong.
Các firewall hoạt động ở lớp mạng (tương tự như một router) thường cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị hạn chế bởi tính tin cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy nó sẽ có được một số mức truy nhập vào mạng bên trong.
Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử dụng, port…
Firewall Packet Filtering có thể được phân thành hai loại:
Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP.
Hình 2-10 Packet filtering firewall
Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình giao thức TCP/IP.
Hình 2-11 Circuit level gateway
1.9.2 Application-proxy firewall
Firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một người dùng đến mạng sử dụng firewall thì kết nối đó sẽ bị chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công