V. Phát hiện và ngăn chặn xâm nhập (IDS/IPS – Intrusion Detection System/Intrusion
1. Tổng quan về phát hiện và phòng chống xâm nhập IDP (Intrusion Detection
Prevention)
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Lịch sử phát triển của các hệ thống IDP
Phát hiện xâm nhập (Intrusion Detection) là quá trình giám sát các sự kiện xảy ra trong một hệ thống máy tính hoặc một hệ thống mạng, và phân tích chúng để tìm ra các dấu hiệu của sự xâm nhập hoặc dấu hiệu về khả năng hệ thống bị xâm nhập.
Phòng chống xâm nhập (Intrusion Prevention) là hành vi của hệ thống tự động ngăn chặn các xâm nhập trái phép, có khả năng gây hại cho hệ thống.
Một hệ thống tự động phát hiện và phòng chống xâm nhập được gọi là IDP (Intrusion Detection Prevention).
Các vị trí đặt IDS trong mạng
Các dấu hiệu của hành vi xâm nhập trái phép được định nghĩa là việc thực hiện các hành động bất hợp pháp hoặc vượt qua những cơ chế bảo mật của máy tính hay của mạng. Các vụ xâm nhập có thể là do kẻ tấn công truy cập vào hệ thống từ Internet, do những người dùng hợp pháp của hệ thống muốn đạt được sự truy cập vào các đặc quyền mà họ không được phép, và do những người dùng hợp pháp lạm dụng đặc quyền của họ. Các hệ thống phát hiện xâm nhập là các sản phẩm phần cứng hoặc phần mềm trợ giúp quá trình giám sát và phân tích xâm nhập.
Các chức năng chính của một hệ thống IDP:
- Ghi lại nhật ký (log) của các hành vi bị theo dõi: các thông tin về các hành vi bị theo dõi có thể được lưu lại trong hệ thống IDP hoặc được gửi về trung tâm theo dõi an ninh hoặc hệ thống quản trị.
- Đưa ra cảnh báo với quản trị hệ thống về các hành vi nguy hiểm bị theo dõi. Các cảnh báo này có thể được gửi tới quản trị viên bằng email, hộp thoại trong hệ thống IDP hoặc tin nhắn. Các cảnh báo này thường ở dạng ngắn gọn và quản trị viên phải truy nhập vào hệ thống IDP để nhận được nhiều thông tin hơn.
- Tạo báo cáo: các hành vi tấn công và xâm nhập sẽ được phân loại và thể hiện trong báo cáo, các hành động ngăn chặn tương ứng của hệ thống cũng sẽ được phân loại và đưa vào trong báo cáo này.
- Ngăn chặn nguồn tấn công: hệ thống có thể tự động ngăn chặn nguồn tấn công bằng cách ngắt kết nối với mạng được sử dụng để tấn công, khoá việc truy cập tới mục tiêu của nguồn tấn công căn cứ trên tài khoản truy nhập, địa chỉ truy nhập hoặc một số thuộc tính của nguồn tấn công.
- Thay đổi môi trường an ninh: hệ thống có thể cấu hình lại môi trường an ninh để chống lại tấn công bằng cách cấu hình lại các thiết bị mạng (Router, Switch, Firewall, …), thậm chí có những hệ thống IDP có thể tự động vá lỗ hổng bảo mật cho
- Vô hiệu hoá nội dung tấn công: hệ thống IDP có thể thay đổi một phần của đoạn mã tấn công để làm vô hiệu chúng hoặc xoá bỏ một phần đính kèm để tấn công không còn nguy hiểm nữa (ví dụ như hệ thống IDP có thể xoá các file đính kèm độc hại trong email và sau đó vẫn cho phép email được gửi tới người nhận).
Có một số phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDP có thể sử dụng một trong các cách hoặc sử dụng kết hợp:
- Phát hiện dựa trên dấu hiệu của tấn công: các dấu hiệu của hành vi tấn công xâm nhập được thống kê các đặc trưng và lưu lại, hệ thống sẽ thu thập các thông tin của các truy nhập và so sánh với các mẫu dấu hiệu đặc trưng về tấn công đã được lưu trữ trong hệ thống để xác định hành vi này là nguy hiểm hay không.
- Phát hiện sự bất thường: các hoạt động bình thường của hệ thống sẽ được ghi nhận và lưu lại thành một hồ sơ theo dõi, nếu có bất kỳ một hành động nào không bình thường, hệ thống sẽ theo dõi, phân tích để cảnh báo.
- Phát hiện dựa trên phân tích trạng thái của giao thức: là quá trình phân tích các hành vi của giao thức được sử dụng trên cơ sở biết được các định nghĩa về các hoạt động hợp lệ của giao thức để nhận ra các hành vi tấn công.