Nghiên cứu về hệ thống phát hiện xâm nhập ids/ips

LỜI CẢM ƠN Em xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học Công Nghệ Thông Tin và Truyền Thông - Đại học Thái Nguyên đã tận tình dạy bảo cho em những kiến thức thật hay và bổ ích trong suốt thời gian học tập tại trường cũng như đã tạo điều kiện cho em thực hiện báo cáo đồ án tốt nghiệp này. Đặc biệt, em xin được gửi lời cảm ơn sâu sắc đến thầy giáo Ths. Lê Tuấn Anh đã tận tình định hướng, chỉ bảo em trong suốt thời gian thực hiện đề tài. Mặc dù em đã cố gắng hoàn thành đề tài nhưng chắc chắn sẽ không tránh khỏi những thiếu sót, em rất mong nhận được sự góp ý của các thầy cô giáo. Một lần nữa, em xin chân thành cảm ơn! Thái Nguyên, tháng 6 năm 2012 Sinh Viên Phạm Hồng Hoàng 1 LỜI CAM ĐOAN Em xin cam đoan: nội dung báo cáo của em không sao chép nội dung của bất kỳ đồ án nào khác. Và đồ án là sản phẩm của chính bản thân em nghiên cứu xây dựng lên. Mọi thông tin và nội dung sai lệch em xin chịu hoàn toàn trách nhiệm trước hội đồng bảo vệ. Thái Nguyên, tháng 6 năm 2012 Sinh viên thực hiên Phạm Hồng Hoàng 2 MỤC LỤC MỤC LỤC.................................................................................................................3 Danh sách từ viết tắt từ tiếng anh..........................................................................5 Danh sách các hình ảnh:..........................................................................................7 CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP............................................................................................................10 1.1. Giới thiệu sơ các phương pháp xâm nhập vào hệ thống.......................................................10 1.2. Các phương pháp phát hiện và ngăn ngừa xâm nhập.............................................................12 1.3. Sự đa dạng của IDS và IPS....................................................................................................13 1.4. So sánh giữa IPS và IDS......................................................................................................16 CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN IDS.....................................................18 2.1. Định nghĩa IDS..............................................................................................18 2.2. Chức năng của IDS...............................................................................................................19 2.3. Kiến trúc hệ thống IDS..........................................................................................................20 2.4. Phân loại IDS........................................................................................................................25 2.5. Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập..................30 2.6. Phân loại các dấu hiệu...........................................................................................................33 CHƯƠNG 3: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS............................37 3.1. Định nghĩa IPS......................................................................................................................37 3.2. Chức năng của IPS................................................................................................................38 3.3. Kiến trúc chung của các hệ thống IPS...................................................................................39 3.4. Phân loại hệ thống IPS..........................................................................................................43 3.4.2 IPS trong luồng (In-line IPS)...............................................................................................44 3.5. Công cụ hỗ trợ IPS................................................................................................................44 3.6. Các kỹ thuật xử lý IPS...........................................................................................................46 3.7. Chữ ký và các kỹ thuật xử lý.................................................................................................53 3 CHƯƠNG 4: PHÂN TÍCH VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP..................................................................................55 1. Phân tích hệ thống phát hiện và ngăn chặn xâm nhập....................................55 1.1 Yêu cầu bài toán:..............................................................................................................55 1.2 Chức năng chính của hệ thống và nhiệm vụ của người quản trị.......................................56 1.3 Khả năng của hệ thống có thể đạt được............................................................................56 1.4 Các modun chính của hệ thống.........................................................................................58 2. Triển khai hệ thống phát hiện và ngăn chặn IPS trên router...............................63 2.1 Mục tiêu của mô phỏng.........................................................................................................63 2.2 Mô hình mô phỏng................................................................................................................63 2.3 Công cụ cần thiết để thực hiện mô phỏng.........................................................................63 2.5 Kết quả thu được từ quá trình mô phỏng...............................................................................78 2.6 Những mặt hạn chế...............................................................................................................79 Tài liệu tham khảo..................................................................................................79 4 Danh sách từ viết tắt từ tiếng anh 1. IDS(Intrusion Detection System ): hệ thống phát hiện xâm nhập 2. Reconnaissance attack : trinh sát 3. access control attack : điều khiển truy cập 4. Denial of service (DoS) attacks : từ chối dịch vụ 5. Dumpster diving : truy cập vật lý 6. Eavesdropping : nghe trộm 7. Snooping : giả mạo 8. Interception : can thiệp 9. Resource Overload : tài nguyên quá tải 10. Unsolicited Commercial E-mail (UCE ) :từ chối thương mại điện tử 11. Fragmentation or Impossible Packets : phân mảnh các gói tin 12. Internet Control Message Protocol : thông điệp điều khiển giao thức mạng 13. IP fragment overlay : phân mảnh lớp phủ IP 14. Signature-based IDS: phát hiện dựa trên chữ kí 15. anomaly-based IDS: phát hiện dựa trên sự bất thường 16. Adaptive Security Appliance: công cụ thích ứng bảo mật 17. Spyware: phần mềm dán điệp 18. Advance Integration Module: phiên bản tích cực nâng cao 19. Sensor : bộ cảm biến 20. Firewall: tường lửa 21. Attacker : kẻ tấn công 22. Sniffer: giả mạo 23. Baseline: thông số đo đạc chuẩn của hệ thống 24. Integrity: tính toàn vẹn 25. Prevention: ngăn chặn 26. Simulation: mô phỏng 27. Intruction monitoring: giám sát xâm nhập 28. Analysis: phân tích 29. Instruction detection: kiểm tra xâm nhập 30. Notification: thông báo 31. Response: trả lời 32. Additional IDS Infrastructure cơ sở hạ tầng IDS 33. information collection: thu thập gói tin 34. Dectection: phân tích 35. Session: phiên 36. false positive: báo động giả 37. audit log: lịch sử sổ sách 5 38. compromised: tấn công 39. network traffic: lưu lượng mạng 40. ping sweep and port scans: quét ping và dò cổng 41. honey pots: cạm bẫy 42. Padded Cell: theo dõi 43. Expert system : hệ chuyên gia 44. User intention identification: Phân biệt ý định người dung 45. State-transition analysis: phân tích trạng thái phiên 46. Colored Petri Nets: phân tích đồ họa 47. Computer immunology Analogies : Hệ suy diễn 48. Machine learning: nghiên cứu cơ chế 49. Profile: hồ sơ cá nhân 50. IPS (intrusion prevention system): hệ thống ngăn chặn xâm nhập. 51. Misuse detection: phát hiện sự lạm dụng 52. Policy-Based IPS: Chính sách cơ bản 53. Protocol Analysis-Based IPS: phân tích giap thức 54. Micro-Engines: xem xét chữ kí 55. Signature Alarms: chữ kí cảnh báo Danh sách các hình ảnh: 1. Hình 1: hệ thống phát hiện 2. Hình 2:. Quá trình của IDS 3. Hình 3: Mô tả chính sách bảo mật 4. Hình 4: Quá trình của IPS 5. Hình5: Mô hình thực hiện của hệ thống 6. Hình 6 : Biểu đồ phân cấp chức năng của hệ thống. 7. Hình 7: Mô hình phân tích. 8. Hình 8: Mô hình mô phỏng GNS3. 9. Hình 9: Chỉnh IP và default getway 10. Hình 10: IP của router chạy SDM 11. Hình 11: cho phép chạy pop up 12. Hình 12: cảnh báo 13. Hình 13: chứng thực username & password 14. Hình 14: cảnh báo secure của IE 15. Hình 15: cảnh báo 16. Hình 16: quá trình nạp SDM 17. Hình 17 : yêu cầu chứng thực username & password 18. Hình 18 : quá trình nạp cấu hình từ router tới lên sdm 19. Hình 19: hiện thỉ các tính năng có trên router 20. hình 20: Tính năng IPS trên router 6 21. Hình 21: thông báo khi chạy ips 22. Hình 22: hướng dẫn các bước cấu hình 23. Hình 23: mô tả cách nạp signature 24. Hình 24: chọn vị trí signature 25. Hình 25: kết thúc các quá trình cấu hình 26. Hình 26: hiễn thị các signature được nạp và cấu hình signature 27. Hình 27: Lệnh cho thấy các ngưỡng giá trị mặc định 28. Hình 28: Lệnh xem vị trí chứ file *.sdf 29. Hình 29:Lệnh xem ips được áp trên interface nào 30. Hình 30: ping kiểm tra. 7 LỜI NÓI ĐẦU An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết.Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác nhau. Trong xu hướng đó, thực tập chuyên ngành này chúng em mong muốn có thể tìm hiểu, nghiên cứu về phát hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các giải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường. Mặc dù đã cố gắng hết sức nhưng do kiến thức và khã năng nhìn nhận vấn đề còn hạn chế nên bài làm không tránh khỏi thiếu sót, rất mong được sự quan tâm và góp ý thêm của thầy cô và tất cả các bạn. Để có thể hoàn thành đươc đồ án này , em xin gửi lời cảm ơn sâu sắc nhất tới các thầy, cô giáo trong bộ môn mạng và truyền thông và đặc biệt là thầy Lê Tuấn Anh nhiệt tình hướng dẫn, chỉ bảo và cung cấp cho chúng em nhiều kiến thức rất bổ ích trong suốt quá trình làm đồ án. Nhờ sự giúp đỡ tận tâm của thầy, chúng em mới có thể hoàn thành được đồ án này. Một lần nữa xin cảm ơn thầy rất nhiều ! 8 CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. . Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. Trước các nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công ty, doanh nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống IDS(Intrusion Detection System ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn công thông qua việc kiểm soát lưu lượng giao thông của hệ thống mạng. IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với một định nghĩa mà người dùng đặt ra cho hệ thống , IDS không thể thực hiện việc ngăn chặn ngay khi phát hiện xâm nhập xảy ra để thực hiện an ninh cho hệ thống mạng thì IPS ra đời. Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó. 1.1. Giới thiệu sơ các phương pháp xâm nhập vào hệ thống Các khả năng xâm nhập vào hệ thống mạng là:  Trinh sát(Reconnaissance attack)  Điều khiển truy cập(access control attack)  Từ chối dịch vụ(Denial of service (DoS) attacks) 9 Trinh sát(Reconnaissance):Để khởi động có hiệu quả một số loại tấn công, một kẻ tấn công thường có nhu cầu hiểu biết về mô hình mạng và các phần cứng đang dược sử dụng. Kỹ thuật thu thập loại thông tin này được gọi là trinh sát. Trinh sát trên một đối tượng trong môi trường, không phải là một mối đe dọa, nhưng kết quả của việc trinh sát thường được sử dụng sau này để tấn công một hệ thống hoặc mạng. Vì vậy, sự đe dọa của các cuộc tấn công một trinh sát chủ yếu là một trong những gián tiếp: sau khi mạng đã được quét, thông tin này sau đó được sử dụng cho các cuộc tấn công. Thông thường các cuộc tấn công trinh sát đi mà không bị phát hiện vì thường là chúng không có tác hại cho hệ thống mạng.cách tốt nhất để phát hiện là xem trong tập tin đăng nhập, nhưng thường củng không thể thấy trong tập tin đăng nhập này.Việc trinh sát này được xem là một phương án khả thi có thể nói lá “tàn hình” để thu thập thông tin một cách tốt nhất cho các kẻ tấn công tìm năng . Các phương pháp dùng cho tấn công trinh sát:  Bằng dòng lệnh hoặc các tiện ích quản lý, nslookup, ping, telnet, finger....  Các công cụ hack như NMAP, Nessus, custom script… Thực hiện trinh sát đòi hỏi phải biết sử dụng các dòng lệnh hoặc các tiện ích quản lý như là sử dụng tiện ích nslookup để xem một địa chỉ ip của một trang web.Kẻ tấn công có thể dễ dàng xác định không gian địa chỉ IP được chỉ định cho một công ty cho hay một tổ chức. Lệnh ping cho phép kẻ tấn công biết rằng một địa chỉ IP còn sống trên mạng. Các công cụ tấn công được sử dụng để thực hiện trinh sát, những công cụ này giúp kẻ tấn công ít hiểu biết có thể dễ trinh sát khi chọn tự động quá trình thông qua giao diện than thiện mà bất cứ ai củng có thể sử dụng. Điều khiển truy cập (access control attack): Tấn công xảy ra khi một cá nhân hoặc một nhóm các cá nhân nỗ lực để truy cập, sửa đổi hoặc thiệt hại một trường và tài nguyên hệ thống. Tấn công truy cập là một cố gắng truy cập vào thông tin mà những kẻ tấn công không có quyền : Phương pháp truy cập vật lý: Dumpster diving Tấn công truy cập trên mạng: 10  Nghe trộm (Eavesdropping).  Giả mạo (Snooping).  Can thiê êp (Interception). Từ chối dịch vụ (Denial of service (DoS) attacks):Cuộc tấn công DoS khác với hầu hết các cuộc tấn công khác, vì chúng không đạt được mục tiêu truy cập tìm kiếm bất kỳ thông tin nào trong hệ thống. Thực hiện cuộc tấn công bằng cách này là nhắm vào tính khả dụng (Availability) của hệ thống, mục đích là ngăn chặn hoạt động bình thường của hệ thống,đặc biệt là đối với hệ thống phục vụ nhiều người như web server,mail server… Các phương thức tấn công DoS:         Làm cho tài nguyên quá tải(Resource Overload) Sức chứa của đĩa cứng,băng thông và bộ đệm Làm tràn các gói ping hay syn hoặc là liên tục đánh bom UDP Unsolicited Commercial E-mail (UCE) Fragmentation or Impossible Packets Phát tán gói ICMP làm tắc nghẽn. IP fragment overlay Same Source and Destination IP packet 1.2. Các phương pháp phát hiện và ngăn ngừa xâm nhập Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo, không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí và có khả năng sau: 11 Mạng lưới trinh sát không thể được ngăn chặn hoàn toàn. IDS ở cấp độ mạng và máy chủ lưu trữ có thể thông báo cho quản trị viên khi một trinh sát tập hợp tấn công (ví dụ: ping và quét cổng). Nếu ICMP echo hỏi và echo-trả lời được tắt trên router bìa thì hạn chế được tắc nghẽn. Một IDS ở mức độ mạng và máy chủ quản lý sẽ thông báo cho người quản trị viên biết rằng có cuộc tấn công trinh sát đang được tiến hành. Điều này giúp cho nhà quản tri viên có thể chuẩn bị tốt hơn cho lần tấn công sắp tới hoặc thông báo cho ISP quản lý của người tung ra cuộc tấn công trinh sát. Các mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương pháp sau đây:  Tính năng Antispoof: cấu hình đúng của antispoof trên router và tường lửa của hệ thống.  Tính năng Anti-DoS :cấu hình đúng của Anti-DoS chống tính năng DoS trên router và tường lửa.  Giới hạn việc đánh giá lưu lượng mạng 1.3. Sự đa dạng của IDS và IPS IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Một số IDS so sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi tấn công đã biết trước hay chữ ký. Khi mà lưu lượng mạng được xem xét cho là phù hợp với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signaturebased IDS. Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét các tình huống mà không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS này gọi là anomaly-based IDS. Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS 12 cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập từ các máy chủ nghi ngờ. Cách tiếp cận phản ứng này không ngăn chặn lưu lượng cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS có thể chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu. 1.3.1 Hệ thống phát hiện xâm nhập mềm(Snort) Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo nhất. Snort có thể chạy trên các hê điều hành như window, linux. 1.3.2 Hệ thống phát hiện xâm nhập cứng(cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền tảng cảm biến sau đây: Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiên tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năng bảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống tiên tiến-x dịch vụ, được xác định như chống virus và spyware. Cisco ASA AIP SSM sản phẩm bao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun. Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn bằng cách giúp phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác. Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có nguy cơ giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả năng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục hồi, và vv. 13 Phiên bản Cisco 6.500 Intrusion Detection System Services Module (IDSM2): 6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS. Nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ sở hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được các giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ cao của bảo vệ. thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạt động tốn kém cho việc phát hiện xâm nhập. Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các giải pháp IPS; Cisco IPS AIM cho Cisco 1841 dịch vụ tích hợp Router và Cisco 2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừa kinh doanh và các môi trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy trên Cisco IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đáp ứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh. Cisco IPS AIM có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạng WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là chạy trên dành riêng cho CPU của nó, vì thế không chiếm CPU của router. Đồng thời, sự tích hợp của IPS lên một dịch vụ tích hợp Router Cisco giữ chi phí thấp và giải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ. 1.4. So sánh giữa IPS và IDS Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn 14 giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đến tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu kẻ tấn công (Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công. 15 CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN IDS 2.1. Định nghĩa IDS IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Phân biệt những hệ thống không phải là IDS 16 Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiêm tra lưu lượng mạng. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật). • Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. • Tường lửa các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius . 2.2. Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. 17 Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp. Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa… Nói tóm lại có thể tóm tắt IDS như sau: Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi. Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị. Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài. Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline. Thông tin sự kiện Thiếết lập sự kiện Hệ thôếng phân tích Hệ thôếng đáp trả Chính sách Thu thập thông tin Hệ thôếng Phản ứng Chính sách thông tin phát hiện phản ứng Phát hiện Hình 1: hệ thống phát hiện Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng: Chính sách thu thập thông tin • • • Ngăn chặn sự gia tăng của những tấn công Bổ sung những điểm yếu mà các hệ thống khác chưa làm được Đánh giá chất lượng của việc thiết kế hệ thống 18 Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng. 2.3. Kiến trúc hệ thống IDS Ngày nay phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống. Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau: 2.3.1 Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp ( Hình 3.1.a). Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm). Giám sát xâm nhập(instruction monitoring) Phân tích(Analysis) Kiểm tra xâm nhập(Intruction detection) 19 Thông báo(notification) Trả Lời(response) Hình 2:. Quá trình của IDS Respons Hình 3: Mô tả chính sách bảo mật Additional IDS Khi một hành động xâm nhập được phát hiện,Infrastructure IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) ,theo các chính sách bảo mật của các tổ chức (Hình 3.1b). Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail. 2.3.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS 20