Triển khai và điều chỉnh hệ thống NIDS

Một phần của tài liệu Hệ thống phát hiện xâm nhập trái phép trên mạng (NIDS) (Trang 33 - 39)

Triển khai hệ thống NIDS

Trước đõy cỏc hệ thống NIDS rất đắt, phức tạp và là dạng cấu hỡnh one-size-for- all. Kết quả là việc triển khai NIDS gặp nhiều khú khăn, bị giới hịan giữa boderrouter và firewall nơi mà chỳng cố gắng kiểm soỏt hầu hết cỏc cuộc giao vận. Vỡ thế việc tiến hành một cụng nghệ mới làm cho phự hợp với mạng mới rất được hoan nghờnh, kiến trỳc Ethernet đơn, 10Mb/s đó thống trị thị trường.

Ngày nay đó cú nhiều cỏc mụ hỡnh mạng Ethernet, fast Ethernet, Gig Ethernet. Sự thành cụng của mỗi mụ hỡnh mạng đúng một vai trũ đặc biệt trong việc đỏp ứng cỏc yờu cầu tài chớnh và thay đổi nhưng chỳng khụng đảm bảo sử dụng chi phớ như nhau trong bảo mật mạng. Intrusion.com đưa ra một tập hợp cỏc hệ thống Network IDS phự hợp với cỏc tốc độ khỏc nhau và cỏc yờu cầu triển khai của cỏc mạng hiện

đại. Thay thế mụ hỡnh one-size-for-all bằng mụ hỡnh cú khả năng thay đổi, tầm triển khai lớn của cỏc thiết bị IDS cho phộp cỏc nhà bảo mật chuyờn nghiệp mở rộng khả năng bảo vệ mạng hơn trước đõy, bằng cỏch đú tạo ra cỏc thiết bị điều khiển hiệu quả hơn và cụng việc kinh doanh được an toàn hơn.

Thờm vào đú tầm bao phủ của mạng ngày nay lớn hơn rất nhiều so với trước đõy. Những hệ thống mạng khổng lồ này được cỏch ly bởi cỏc cụng nghệ firewall, và được kết nối thụng qua cụng nghệ VPN. Cả firewal và VNP đều bảo vệ cỏc đoạn mạng và bớt cỏc lỗ hổng cú thể nhỡn thấy.

• Khi một subnet bị cỏch ly bởi một firewall thỡ những chuyờn gia bảo mật khụng cú khả năng nhỡn thấy loại và trạng thỏi tự nhiờn của cỏc cuộc giao vận trong đoạn lệnh này.

• Khi giao vận mạng được mó hoỏ (VPN) thỡ cỏc chuyờn gai bảo mật cũng khụng cú khả năng nhỡn thấy trạng thỏi tự nhiờn của cỏc cuộc giao vận.

Đặt một hệ thống NIDS đằng sau firewall và VNP, đặc biệt là trong cỏc mạng cỏch ly và phõn tỏn rộng, cung cấp chuyờn gia bảo mật cú tầm quan sỏt cần thiết để đảm bảo an toàn cho mạng.

Triển khai trong một mạng đơn giản

o Mức ưu tiờn thứ nhất: Đằng sau vành đai của cỏc firewall

Bạn chỉ cú khả năng cung cấp một cảm biến NIDS, vậy thỡ vị trớ này là thớch hợp nhất để đặt nú. Đõy chớnh là một điểm thắt trung tõm của toàn bộ giao thụng vào hoặc ra khỏi một mạng riờng (của một cụng sở hay một cơ quan kinh doanh nào đú..). Vị trớ này cho phộp cảm biến NIDS cung cầp một mức cảnh bỏo tổng thể cú điểm gỡ sai khỏc hoặc làm cho nú xuyờn qua firewall vào trong mạng private. Nú khụng cung cấp khả năng nhỡn thấy những hành động đỏng ngờ cũn tồn tại trong một subnet cũng như kiểm soỏt cỏc giao vận bờn ngoài tới DMZ. Mức độ mở tại ngưỡng triển khai này cho phộp sự kớch hoạt của cỏc dấu hiệu từ những hành động đỏng ngờ thụng qua cỏc cố gắng xõm nhập.

Đõy là nơi mà cỏc dịch vụ của cỏc enterprise truy cập ra thế giới bờn ngoài bao gồm web server, FTP server và email server. Vị trớ này cho phộp bộ cảm biến NIDS cung cấp cỏc thụng tin về giao thụng trờn mạng và hoạt động là ảnh hưởng tới cỏc server bao phủ bờn ngoài nơi tập trung của phần lớn cỏc dạng tấn cụng kiểu từ chối dịch vụ hay khai thỏc web, tấn cụng email. Ở mức triển khai này cho phộp sự kớch hoạt của dấu hiệu từ giao thức dị thường thụng qua cỏc cố gắng xõm nhập.

o Mức ưu tiờn thứ ba: Giữa border-router và vành đai cỏc firewall

Mức triển khai này cung cấp khả năng nhỡn thấy sự trinh thỏm và những cố gắng khai thỏc trực tiếp trờn firewall. Một số quản trị mạng mong muốn thờm khả năng nhỡn thấy mẫu của kẻ tấn cụng bờn ngoài như là một phần như một phần của sự phũng vệ quốc gia, cỏc cơ quan tỡnh bỏo và tàon bộ cỏc cơ quan bảo mật cần được tăng cường. Mức triểm khai này cho phộp sự kớch hoạt của cỏc dấu hiệu từ cỏc hành động đỏng ngờ thụng qua cỏc cố gắng xõm nhập.

Việc triển khai bờn ngoài firewall thường lộ ra một số dấu hiệu rủi ro cú thể cản trở một số quản trị lựa chọn chỳng. Những rủi ro đú thường là lộ ra cỏc thụng tin tỡnh bỏo hoặc cú lẽ cả cỏc lỗ hổng xuyờn qua firewall. Nếu sự mạo hiểm đú đỏng giỏ với giỏ trị của khả năng nhỡn thấy của nú, cú 6 đề nghị cuối cựng:

+ Giao diện giỏm sỏt khụng nờn cú địa chỉ IP.

+ Thay đổi cổng truyền thụng cho SecureNet Pro (mặc định là 975) để che dấu định danh của NIDS.

+ Tận dụng một địa chỉ non-routable (RFC 1918 như 10.x.x.x) đúi với giao diện quản trị trờn cảm biến này.

+ Áp dụng một giao thức bớ danh (alias interface) bờn ngoài firewall của bạn hoặc.

+ Thờm một giao thức cho firewall đặc biệt là cho hệ thống IDS. + Tạo một mạng V_LAN riờng rẽ cho quản trị dũ tỡm sự xõm phạm.

Điều này cho phộp giao thụng quay trở lại thiết bị giao tiếp người-mỏy nhưng khụng làm cho bộ cảm biến cú thể hiển thị ra bờn ngoài mạng của bạn.

o Mức ưu tiờn thứ tư: Đằng sau subnet cú firewall hoặc một mạng LAN chớnh

Đặc trưng của mức triển khai này là bảo vệ cỏc server cú nhiệm vụ khú khăn như ERP, CRM, PDM và cỏc hệ thống tớnh toỏn. Thờm vào đú đặt cỏc server này đằng sau firewall, nú trở nờn thụng dụng hơn nờn cỏc vụ, bộ quan trọng (critical

department) trong cỏc tổ chức cú cỏc đoạn mạng đựơc ngăn cỏch với giao thụng

thụng thường. Firewall được sử dụng bờn trong để cỏch ly cỏc bộ, vụ như sau: + Tổ chức hành phỏp

+ Tổ chức tài chớnh

+ Cỏc tài nguyờn con người

+ Khoa cụng trỡnh

+ Cỏc tổ chức cấp bằng sỏng chế + Tổ chức phỏp luật

Mức triển khai này cú thể sử dụng để bao phủ tới cỏc kết nối thương mại điện tử tới cỏc thành viờn.

Firewall khụng chỉ bảo vệ những đoạn mạng này nú cũn cú thể dừng cỏc hệ thống IDS khỏc kiểm soỏt giao thụng sau firewall. Khụng cú một bộ vụ nào khụng phải chịu cỏc cuộc tấn cụng back door tạo ra cỏc lỗ hổng trong vành đai mạng và đưa cỏc tài sản thụng tin vào tỡnh trạng mạo hiểm.

Mức triển khai này cho phộp sự kớch hoạt của tất cả cỏc dấu hiệu từ cỏc sự kiện mạng thụng qua cỏc cuộc tấn cụng.

Thờm vào đú do những hạn chế tăng thờm của cỏc firewall liờn bộ, những vựng này cú thể ngả nhiều về phớa cỏc mỏy tớnh tự cấu hỡnh hoặc sự cố gắng của cỏc user để truy cập tới cỏc department khỏc hoặc Internet. Việc dũ tỡm giao thức bất thường và cỏc dấu hiệu sự kiện mạng đến đỳng lỳc để dũ cỏc sự kiện đỏng ngờ tuõn theo cỏc chớnh sỏch an toàn hoặc dựa trờn hành vi hơn là dựa trờn dấu hiệu.

oMức ưu tiờn thứ năm: sau firewall của một văn phũng chi nhỏnh hoặc ở xa

Tổ chức kinh doanh bõy giờ đó là một tổ chức nào trải dài ra nhiều chi nhỏnh và cỏc văn phũng ở xa tất cả đều cần kết nối tới trung tõm chỉ huy để truy cập cỏc tài sản thụng tin của tổ chức.

Giống như trong kịch bản triển khai ở trờn, firewall như một vũng đai cho cỏc văn phũng chi nhỏnh và cỏc văn phũng từ xa, khụng chỉ bảo vệ chỳng mà cũn dừng cỏc IDS doanh nghiệp kiểm soỏt giao thụng tại cỏc vị trớ này.Khụng cú một văn phũng nào khụng phải chịu cỏc cuộc tấn cụng back door tạo ra cỏc lỗ hổng trong vành đai mạng và đưa cỏc tài sản thụng tin vào tỡnh trạng mạo hiểm. Thờm vào đú do khoảng cỏch tới trung tõm chỉ huy cỏc văn phũng từ xa cú thể ngả nhiều hơn về phớa cỏc mỏy tớnh tự cấu hỡnh hoặc sự cố gắng của cỏc user để truy cập tới cỏc văn phũng khỏc hoặc Internet. Việc dũ tỡm giao thức bất thường và cỏc dấu hiệu sự kiện mạng đến đỳng lỳc để dũ cỏc sự kiện đỏng ngờ tuõn theo cỏc chớnh sỏch an toàn hoặc dựa trờn hành vi hơn là dựa trờn dấu hiệu.

Mức triển khai này cho phộp sự kớch hoạt của tất cả cỏc dấu hiệu từ cỏc sự kiện của mạng thụng qua sự cố gắng xõm nhập.

Điều chỉnh hệ thống dũ tỡm sự xõm nhập

Cú hai yếu điểm chớnh trong một hệ thống dũ tỡm sự xõm nhập mà kẻ tấn cụng cú thể khai thỏc để tạo một cuộc tấn cụng vào mạng mà khụng bị dũ thấy đú là:

+ Làm mự bộ cảm biến + Làm mự người điều hành.

Blinding Sensor: Làm mự bộ cảm biến

Cỏc hacker cố gắng làm mự bộ cảm biến để làm cho NIDS khú thậm chớ khụng thể dũ ra một cuộc tấn cụng thực sự bằng cỏch làm tràn ngập mạng với cỏc cuộc giao vận giả để ẩn đi cuộc tấn cụng thực sự hoặc sử dụng cuộc giao vận kỡ dị để lấn trỏnh hệ thống dũ tỡm. Dạng tấn cụng “stick” mới được cụng khai gần đõy cú khả năng làm mự hoàn toàn ký nghệ dẫn đầu NIDS làm cho cỏc cuộc tấn cụng khỏc cú thể được gửi đi mà hoàn toàn khụng bị dũ thấy.Thờm vào đú một số bộ cảm biến NIDS khụng tập hợp cỏc gúi được phõn nhỏ lại hoặc sử dụng cỏc giỏ trị trung bỡnh đơn giản, giành được thị trường của chỳng mà khụng thực sự phõn phối một giải phỏp. Một số NIDS yờu cầu ghộp lại cỏc gúi nhưng thực sự chỉ thực hiện một phần ghộp nối đú, để cho user vẫn cú thể bị làm hại bởi một kẻ tấn cụng thành thạo. Bằng cỏch thực thi cỏc cụng nghệ dũ tỡm sự xõm phạm đó được cải tiến như là rỏp gúi đa đường hay phõn tớch gúi tốc độ cao, một số hệ thống dũ tỡm thế hệ hai vời nhiều ưu điểm hơn, cú tớnh thớch nghi cao hơn, và cú hiệu quả trong việc ngăn ngừa cỏc dạng tấn cụng gõy mự hay tấn cụng lảng trỏnh.

Blinding the operator: Làm mự người điều hành.

Đối lập với blinding sensor, blinding operator về căn bản bị ảnh hưởng của việc triển khai và điều chỉnh NIDS mà hoàn toàn nằm dưới sự kiểm soỏt của quản trị an toàn.

Blinding operator cú thể được thực hiện khỏ đơn giản bằng cỏch tạo ra thật nhiều thụng tin gửi tới thiết bị giao tiếp người-mỏy dũ tỡm sự xõm phạm trờn mạng. Quỏ nhiều dữ liệu khiến cho quảm trị an toàn khú thậm chớ khụng thể nhận ra ngay lập tức sự đe doạ trong dữ liệu được đưa đến.

Để kiếm soỏt khả năng làm mự nười điều hành cỏc bộ cẩm biến cần được làm cho phự hợp. làm phự hợp cỏc bộ cảm biến là một tiến trỡnh xỏc định những dấu hiệu nào, dưới cỏc thụng số nào được gọi là chớnh sỏch nờn được triển khai và bằng cỏch nào cỏc NIDS cú thể được cấu hỡnh để tăng số lượng cỏc bỏo cỏo sự kiện cho thớch hợp và tỷ lệ phần trăm cỏc sự kiện mạng.

Bốn bước để điều chỉnh.

Để giảm thiểu khả năng cỏc sensor hay cỏc console bị mự Intrusion.com SecureNet Pro cung cấp nhiều mức điều chỉnh cho phộp chuyờn gia an toàn tỡm ra cỏc sự kiện phự hợp với mạng đơn của họ. Qui trỡnh điều chỉnh gồm cú 4 pha:

+ Giới hạn số lượng cỏc dấu hiệu tỡm kiếm. Bạn cần quyết định xem những

thành phần nào của giao thức bạn xem như một mối đe doạ tới mạng hoặc đoạn mạng của bạn.

+ Sử dụng cỏch lọc toàn thể của SecureNet Pro. Cỏc bộ lọc tổng thể cho phộp

bạn giới hạn số lượng dữ liệu được đưa vào mạng từ bộ cảm biến. Cỏc bộ lúc tổng thể cho phộp cỏc chuyờn gia bảo mật sử dụng chớnh sỏch tớn hiệu đơn trong

toàn bộ tổ chức và sau đú tuỳ chỉnh cỏc chớnh sỏch được thực hiện tại sensor bằng Ethernet, IP và giao thức trước khi việc xử lý dấu hiệu xuất hịờn.

+ Cỏc sự kiện lọc tại console. Để giới hạn số lượng cỏc dữ liệu được đưa đến

chuyờn gia bảo mật-lọc console để lại hầu hết lượng dữ liệu trong cơ sở dữ liệu để phõn tớch nhưng giới hạn ảnh hưởng blinding the “operatordữ” bằng cỏch chỉ hiện thị những sự kiện thớch đỏng.

+ Điều chỉnh dấu hiệu thực sự. Cỏc dấu hiệu cú thể được điều chỉnh cho phự

hợp với cỏc sự kiện mạng được bỏo cỏo khụng sai như những sự kiện khỏc, cỏc loại sự kiện cú tớnh đe doạ cao hơn hoặc cảnh bỏo cỏc loại sự kiện ớt đe doạ.

Điều chỉnh dấu hiệu

Sử dụng SecureNet Pro, cỏc thụng số của cỏc dấu hiệu cú thể được thay đổi để làm cho chỳng cú thể thớch hợp với mỗi mạng đơn. Nú bao gồm việc chỉnh sửa mụ tả và cỏc trường text khỏc sao cho cú thể thờm cỏc thụng tin đặc trưng vị trớ cũng như là cỏc mục khỏc.

Mức đầu tiờn của việc chỉnh sửa dấu hiệu là thay đổi quyền ưu tiờn của cỏc sự kiện để làm thớch hợp với mức độ quan trọng của mạng. Như đó núi đến ở trờn, ở một số mạng cỏc hoạt động đỏng ngờ của một sự kiện cú thể ở mức ưu tiờn trung bỡnh. Trong khi ở một số khỏc cũng với cỏc sự kiện đú nhưng cú thể ở mức ưu tiờn cao hơn. Để tăng khả năng cú thể xảy ra mà cỏc chuyờn gia bảo mật cú thể nhỡn thấy cỏc thụng tin họ tỡm kiếm, ưu tiờn dấu hiệu se được phõn tớch để khớp với cỏc mức ưu tiờn của cỏc chuyờn gia bảo mật.

Thờm vào đú cỏc chuyờn gia bảo mật cú thể chọn để phõn tớch sự phõn loại của cỏc dấu hiệu. Mỗi dấu hiệu được phõn loại vào một trong cỏc dạng tấn cụng: cố gắng xõm nhập, DdoS, DoS, hành động đỏng ngờ, giao thức bất thường và cỏc sự kiện mạng. Nhỡn chung việc phõn loaih cỏc sự kiện này là đặc trưng của tất cả cỏc tổ chức. Mỗi chuyờn gia bảo mật của một doanh nghiệp nờn nghiờn cứu việc phõn loại cỏc sự kiện theo ngữ cảnh mạng của doanh nghiệp đú. Vớ dụ như một sự kiện được phõn loại là sự kiện mạng (network event) bởi Intrusion.com nhưng lại được phõn loại lại là một hành động đỏng ngờ để thớch hợp với chớnh sỏch mạng của một doanh nghiệp nào đú.

Khi sử dụng Intrusion mó nguồn mở hoặc user tạo ra cỏc dấu hiệu so khớp chuỗi (string matching signature) cỏc tớn hiệu tỡm kiếm và cỏc thụng số cho cỏc dấu hiệu này cú thể bị biến đổi để làm cho cỏc dấu hiệu đỳng đắn hơn. Cỏc dấu hiệu so khớp chuỗi nguồn mở cũng cú thể bị nhõn đụi và đổi tờn để tạo ra cỏc khả năng xỏc minh phụ. Cỏc dấu hiệu nguồn mở cú thể được tạo ra trong một console của SecureNet Pro Linux hoặc sử dụng trỡnh soạn thảo văn bản.

Cỏc dấu hiệu so khớp chuỗi cú thể được thụng số hoỏ như cac dấu hiệu khỏc, với nhiều mức ưu tiờn khỏc nhau, sự phõn loại, miờu tả, IP, MAC... biến đổi.

Một phần của tài liệu Hệ thống phát hiện xâm nhập trái phép trên mạng (NIDS) (Trang 33 - 39)

Tải bản đầy đủ (DOC)

(45 trang)
w