Đã có rất nhiều công nghệ đảm bảo một hệ thống kiểm soát truy cập an toàn, hiệu quả. Tuy nhiên, vẫn cần phải có một hệ thống cảnh báo và ngăn chặn các cuộc tấn công nếu xảy ra. Trên thực tế đã có rất nhiều những tổ chức, cá nhân chịu thiệt hại nặng nề bởi những cuộc tấn công vì họ chưa có được một hệ thống phòng thủ bên trong vững chắc. Bởi vì đối với hệ thống tường lửa hay mạng riêng ảo chỉ có thể ngăn chặn được các nguy cơ tấn công từ bên ngoài, không thể phát hiện ra những cuộc tấn công ẩn (các gói tin được mã hóa). Khi xảy ra tấn công thì hầu như không thể ngăn chặn.
Trên cơ sở đó, một hệ thống phòng thủ bên trong được đề xuất. Khái niệm IDS/IPS cũng được đề cập khá nhiều hiện nay. Do hạn chế của tôi trong quá trình nghiên cứu vì thế trong phần này tôi chỉ đưa ra được cái nhìn đúng đắn về một hệ thống phòng thủ (cảnh báo và ngăn chặn) các cuộc tấn công và đưa ra một số kỹ thuật cảnh báo cơ bản đến với người dùng khi tấn công xảy ra.
2.2.3.1. Hệ thống phát hiện xâm nhập IDS
1/. Giới thiệu
Hệ thống phát hiện xâm nhập (IDS) là hệ thống phát hiện những hoạt động không phù hợp, không chính xác, hoặc bất thường dựa trên những luật mà người
quản trị thiết lập. Trong số các công cụ khác, một hệ thống phát hiện xâm nhập có thể được sử dụng để xác định xem một mạng máy tính hoặc máy chủ xảy ra xâm nhập trái phép hay không.
Ngoài ra, công cụ IDS có khả năng phân biệt giữa các cuộc tấn công nội có nguồn gốc từ bên trong tổ chức (đến từ các nhân viên hoặc khách hàng) và những người bên ngoài (các cuộc tấn công gây ra bởi hacker).
Hình 2.7. Mô hình phát hiện xâm nhập bằng phần mềm IDS (snort)
2/. Các loại hệ thống phát hiện xâm nhập
a/. Phân loại theo phạm vi hoạt động
i/. Hệ thống phát hiện xâm nhập Host-based (HIDS)
Host IDS cần phải được triển khai trên mỗi máy được bảo vệ (máy chủ hoặc máy trạm). Nó phân tích dữ liệu cục bộ để máy như hệ thống file log, các đường mòn kiểm toán và thay đổi hệ thống tập tin, và đôi khi quá trình và các cuộc gọi hệ thống. HIDS cảnh báo cho người quản trị trong trường hợp vi phạm các quy định trước xảy ra. HIDS có thể sử dụng mô hình kết hợp trong các đường mòn kiểm toán quan sát hoặc tạo ra một hồ sơ hành vi bình thường và sau đó so sánh các sự kiện hiện tại với cấu hình này.
ii/. Hệ thống phát hiện xâm nhập Network-based (NIDS)
Là hệ thống gồm nhiều cảm biến được đặt ở nhiều vị trí trong toàn mạng. Dùng để lắng nghe và theo dõi hệ thống khi các gói tin được vận chuyển, từ đó phát hiện các cuộc tấn công (nếu có) hoặc bất cứ một hoạt động trái phép nào.
Ngoài ra, hệ thống NIDS có thể quét các tệp hệ thống để tìm kiếm và phát hiện các hoạt động trái phép.
b. Phân loại theo cách triển khai
Inline IDS được đặt trong đường truyền gói tin. IDS kiểm tra tất cả các gói tin đi qua nó để xâm nhập và nếu bị phát hiện thì cảnh báo cho người quản trị mạng. Ngoài ra, nó có thể ngăn chặn sự xâm nhập khi chúng tiếp tục. Thông thường, IDS được đặt tại vành đai của mạng, phía sau tường lửa hoặc cùng với các bức tường lửa.
ii/. Hệ thống phát hiện xâm nhập Sniffer IDS
Đây là IDS theo dõi và kiểm tra các gói bên trong một mạng. Sniffer IDS không đi kèm trong cách chuyển gói tin. Thay vào đó, nó thụ động nhận được tất cả các gói dữ liệu từ mạng và thực hiện phân tích xâm nhập vào các gói tin. Thông thường, sniffers được đặt ở một vị trí trên mạng, nơi chúng có thể đọc tất cả các gói dữ liệu chạy qua mạng.
2.2.3.2. Hệ thống ngăn chặn xâm nhập IPS.
1/. Giới thiệu
Theo truyền thống, tường lửa và các chương trình anti-virus cố gắng để ngăn chặn các cuộc tấn công và IDS cố gắng xác định các cuộc tấn công khi nó xảy ra. Kỹ thuật như vậy rất quan trọng để phòng thủ trong cách tiếp cận sâu đến an ninh, nhưng có những hạn chế. Một bức tường lửa có thể ngăn chặn các dịch vụ bằng cách ngăn chặn các số cổng nhất định, nhưng nó ít để đánh giá lưu lượng truy cập có sử dụng phép số cổng. IDS có thể đánh giá giao thông đi qua các cổng mở nhưng không thể ngăn chặn nó. Còn IPS có thể chủ động ngăn chặn các cuộc tấn công.
Hệ thống ngăn chặn xậm nhập bổ sung cho hệ thống phát hiện xâm nhập. Giúp phát hiện chính xác hơn các cuộc tấn công, giảm tỉ lệ báo động sai và đặc biệt là nó có thể ngăn chặn các cuộc tấn công từ bên ngoài hoặc bên trong. IPS có thể là phần mềm hoặc phần cứng.
IPS là một giải pháp 2 trong 1 (hai chức năng trong một sản phẩm) – đối với IDS chỉ là một chức năng (phát hện xâp nhập). Trong tương lai, IPS sẽ thay thế được IDS, tuy nhiên đối với những lựa chọn ưu tiên mức độ chi phí đầu tư để triển khai thì IDS có phần rẻ hơn.
2/. Các phương pháp được sử dụng
a/. Phương pháp phỏng đoán.
- Cách tiếp cận này là tương tự như phát hiện bất thường IDS, sử dụng thuật toán mạng nơron với khả năng thêm hành động chống lại sự xâm nhập và ngăn chặn
chúng.
b/. Phương pháp giới hạn – khoanh vùng
- Một số loại mã như ActiveX, Java applet và các ngôn ngữ kịch bản khác nhau được cách ly trong một sandbox - một khu vực có giới hạn truy cập đến các phần còn lại của các tài nguyên hệ thống. Hệ thống chạy các mã trong sandbox này và giám sát nó. Nếu mã vi phạm chính sách được xác định trước nó dừng lại và ngăn cản thực thi, cản trở các cuộc tấn công.
c/. Phương pháp lai
- Network-based IPS (NIPS), các phương pháp phát hiện khác nhau, bao
gồm cả một số giao thức riêng bất thường, lưu lượng bất thường, và việc phát hiện chữ ký cùng nhau để xác định một cuộc tấn công sắp xảy ra và ngăn chặn lưu lượng
đến từ một bộ định tuyến nội tuyến.
d/. Phương pháp bảo vệ trung tâm
- Sử dụng Host-based IPS (HIPS). Hầu hết các hệ điều hành hạn chế truy cập
vào các trung tâm bằng một ứng dụng người dùng. Các điều khiển trung tâm truy cập vào tài nguyên hệ thống như bộ nhớ, thiết bị vào ra, và CPU, ngăn chặn người dùng truy cập trực tiếp. Để sử dụng các tài nguyên ứng dụng, người dùng gửi yêu cầu hoặc các cuộc gọi hệ thống trung tâm, mà sau đó thực hiện các hoạt động.
Các nhà cung cấp đang sử dụng một sự kết hợp của các phương pháp nêu trên để tránh khỏi các loại tấn công kết hợp nhìn thấy trên mạng ngày nay. Mặc dù phương pháp trên là khác nhau, mục tiêu là như nhau - để ngăn chặn các cuộc tấn công trong thời gian thực trước khi chúng gây hại.
3. Các loại hệ thống ngăn chặn truy cập trái phép IPS
a/. Hệ thống Host based Intrusion Prevention System (HIPS)
Sử dụng một phương pháp tiếp cận trung tâm và hoạt động trên máy chủ và máy trạm. Các thức làm việc: bộ sưu tập các quy tắc kiểm soát truy cập dựa trên hành vi chấp nhận được, có thể dùng out-of-the-box cho các ứng dụng phổ biến như
Microsoft SQL Server, Instant Messenger, và IIS Server. Chính sách kiểm soát những gì tài nguyên đang được sử dụng, những hoạt động đang được gọi, và các ứng dụng đang gọi đến, ngăn chặn các cuộc gọi hệ thống.
Các hệ thống ngăn chặn:
+ Ngăn chặn tệp hệ thống: Chặn tất cả các tập tin yêu cầu đọc và ghi.
+ Ngăn chặn mạng - chặn các sự kiện gói tại các trình điều khiển hoặc vận chuyển cấp.
+ Ngăn chặn cấu hình - chặn các yêu cầu đọc/ghi vào registry trên Windows hoặc tập tin RC trên UNIX.
+ Ngăn chặn không gian thực hiện – Những yêu cầu ghi vào bộ nhớ không phải thuộc sở hữu của các ứng dụng sẽ bị chặn. Ví dụ, các cuộc tấn công tràn bộ đệm sẽ bị chặn ở đây. Do đó nó duy trì sự toàn vẹn của mỗi ứng dụng thời gian thực.
b/. Hệ thống Network based Intrusion Prevention System (NIPS)
NIPS là hệ thống inline, NIPS ngăn chặn giao dịch đáng ngờ sau khi phát hiện một cuộc tấn công. Chúng sử dụng các phương pháp khác nhau phát hiện, phát hiện chữ ký, phát hiện bất thường, và một số phương pháp riêng, để ngăn chặn các cuộc tấn công cụ thể.
Một số phương pháp ngăn chặn : + Nhận diện chữ ký
Nó nhìn vào phần có liên quan của giao dịch, nơi mà các cuộc tấn công có thể được diễn ra. Nó làm điều này bằng cách theo dõi trạng thái và dựa trên bối cảnh do người sử dụng phát hiện một cuộc tấn công. Nó không phải là hoàn toàn tự động.
+ Phát hiện giao thức bất thường
Chúng phân tích gói tin chi tiết động cơ của giao thức để đảm bảo các gói tin đáp ứng yêu cầu giao thức.
Chương 3: ỨNG DỤNG KIỂM SOÁT TRUY NHẬP HỆ THỐNG THÔNG TIN
Trường THPT Nguyễn Trãi – Thái Bình luôn đi đầu trong việc áp dung công nghệ thông tin trong nhà trường. Trong đó có ứng dụng các biện pháp kiểm soát truy cập để bảo vệ hệ thống thông tin trên đường truyền mạng. Là người quản lý trực tiếp vấn đề đảm bảo an toàn về hệ thống thông tin trong nhà trường, tôi đã áp dụng kết hợp nhiều phương pháp khác nhau để bảo vệ thông tin trên đường truyền mạng.
Bài toán đặt ra : Trường THPT Nguyễn Trãi – Thái Bình có hệ thống quản lý thông tin giáo viên và học sinh trong nhà trường. Nhà trường có nhiều đối tượng khác nhau cùng muốn truy cập vào hệ thống máy chủ của nhà trường để khai thác các thông tin theo đúng chức năng và nhiệm vụ của mình tại những vị trí địa lý khác nhau đối tượng là cán bộ, giáo viên có thể truy cập khi đang làm việc trong mạng nội bộ nhà trường hoặc truy cập khi đi công tác hoặc tại gia đình. Đối tượng là học sinh, phụ huynh học sinh muốn truy cập tại nhà để biết thông tin chi tiết về học sinh, giáo án và tài liệu mà nhà trường cung cấp. Vì thế đòi hỏi phải có cơ chế kiểm soát việc truy cập phù hợp để bảo vệ hệ thống thông tin của nhà trường được an toàn, hoạt động hiệu quả.
Qua thực tế và những kiến thức đã nghiên cứu trong quá trình học tập tôi có áp dụng các biện pháp kiểm soát truy cập và kệt hợp chúng lại để tạo ra một hệ thống có khả năng bảo vệ hệ thống thông tin trong nhà trường khi sử dụng để trao đổi thông qua hệ thống mạng toàn cầu. Các phương pháp đã được áp dụng như sau:
+ Kiểm soát truy cập tự động: Sử dụng mạng riêng ảo, tường lửa, cảnh báo khi có xảy ra truy cập bất hợp pháp. Để ngăn chặn từ xa vòng bên ngoài của hệ thống.
+ Kiểm soát truy cập trực tiếp: Chứng thực người truy cập thông qua thông qua chữ ký số, các phương pháp sử dụng mật khẩu an toàn, phân quyền truy cập phù hợp với đối tượng.
+ Ngoài ra, tôi còn đào tạo cho đội ngũ đối tượng có nhu cầu truy cập các kiến thức về sử dụng mạng an toàn để tránh những người truy cập đó biến thành đối tượng lợi dụng của những kẻ có mục đích tấn công vào hệ thống.
Hình 3.1. Sơ đồ áp dụng kết hợp các phương pháp kiểm soát truy cập HTTT
3.1. KIỂM SOÁT TRUY NHẬP TRỰC TIẾP
Phương pháp này nhằm tạo ra một không gian an toàn bên trong hệ thống thông tin. Đảm bảo tất cả các giao dịch được diễn ra hợp pháp, những người có hành vi xâm nhập bất hợp pháp đều không thể thực hiện được các hành lấy cắp thông tin. Hệ thống làm giảm tối thiểu những tổn thất do những hanh vi xâm nhập bất hợp pháp mang lại.