Xây dựng hệ thống phát hiện xâm nhập mạng áp dụng cho hệ thống mạng Bộ Khoa học và Công nghệ

  • Số trang: 96 |
  • Loại file: PDF |
  • Lượt xem: 25 |
  • Lượt tải: 0
nhattuvisu

Đã đăng 26946 tài liệu

Mô tả:

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ VÕ TUẤN HẢI XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG BỘ KHOA HỌC VÀ CÔNG NGHỆ LUẬN VĂN THẠC SĨ Hà Nội - 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ VÕ TUẤN HẢI XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG BỘ KHOA HỌC VÀ CÔNG NGHỆ Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 604805 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS ĐỖ TRUNG TUẤN Hà Nội - 2011 1 MỤC LỤC MỞ ĐẦU........................................................................................................................................................4 Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng ..................................................7 1.1 - Hệ thống phát hiện xâm nhập là gì ?..................................................................................................7 1.2 - Các kiểu của hệ thống IDS.................................................................................................................8 1.3 - Giải thích hoạt động cơ bản của hệ thống IDS ................................................................................11 1.4 - Cảm biến (sensor) ............................................................................................................................12 1.4.1 - Chức năng của Sensor ...............................................................................................................12 1.4.2 - Network-Based Sensors ............................................................................................................12 1.4.3 - Host-Based Sensors ..................................................................................................................13 1.4.4 - Vị trí đặt Sensor ........................................................................................................................13 1.4.5 - Các lưu thông mạng đã được mã hóa ........................................................................................14 1.5 - Mô hình phân tích trong hệ thống IDS ............................................................................................15 1.5.1 - Phân tích là gì ? .........................................................................................................................15 1.5.2 - Các bước tiên hành phân tích ....................................................................................................16 1.5.3 - Mô hình phân tích Rule-Based Detection (Misuse Detection) .................................................18 1.6 - Ví dụ về một vài luật của IDS ..........................................................................................................19 1.7 - Đánh giá ưu nhược điểm của hệ thống phát hiện xâm nhập mạng ..................................................20 1.8 - Giới thiệu chung về lừa đảo trên mạng (phishing)...........................................................................20 1.9 - Phân tích các tấn công kiểu phishing ...............................................................................................21 1.9.1 - Ví dụ về phishing ......................................................................................................................21 1.9.2 - Mục tiêu của phisher .................................................................................................................26 1.10 - Phân tích về vỏ lừa đảo ..................................................................................................................27 1.11 - Các phương thức đưa thông báo tới nạn nhân ...............................................................................28 1.11.1 - Bằng email và spam ................................................................................................................28 1.11.2 - Bằng trang Web ......................................................................................................................29 2 1.11.3 - Bằng IRC và Instant messaging ..............................................................................................30 1.11.4 - Bằng các máy đã bị cài Trojan ................................................................................................30 1.11.5 - Bằng VoIP ...............................................................................................................................31 1.11.6 - Bằng spear phishing ................................................................................................................31 1.11.7 - Bằng whaling ..........................................................................................................................32 1.11.8 - Bằng đường bưu điện ..............................................................................................................32 1.12 - Các hỗ trợ kỹ thuật cho phishing ...................................................................................................33 1.12.1 - Kỹ thuật Man-in-the-middle ...................................................................................................33 1.12.2 - Kỹ thuật URL giả ....................................................................................................................34 1.12.3 - Kỹ thuật tấn công Cross-site Scripting ...................................................................................36 1.12.4 - Kỹ thuật đặt trước Session ID .................................................................................................37 1.12.5 - Kỹ thuật ẩn ..............................................................................................................................37 1.12.6 - Kỹ thuật theo dõi thông tin nạn nhân ......................................................................................38 1.12.7 - Kỹ thuật lợi dụng điểm yếu tại máy người dùng ....................................................................39 Chương 2 - Quy trình phòng ngừa và ngăn chặn xâm nhập mạng cho hệ thống mạng Bộ Khoa học và Công nghệ ....................................................................................................................................................39 2.1 - Phòng ngừa xâm nhập tường lửa .....................................................................................................39 2.2 - Kiểm tra lỗ hổng bảo mật của các Website......................................................................................40 2.3 - Phòng ngừa xâm nhập mạng từ trong nội bộ thông qua tài liệu chia sẻ: .........................................41 2.4 - Phòng ngừa xâm nhập thông qua mạng không dây .........................................................................42 2.5 - Phòng ngừa xâm nhập hệ điều hành ................................................................................................42 2.6 - Phòng ngừa xâm nhập SQL Injection ..............................................................................................43 2.7 - Phòng ngừa và ngăn chặn tấn công từ chối dịch vụ .........................................................................44 2.8 - Phòng ngừa và ngăn chặn phishing..................................................................................................45 2.9 - Phòng ngừa và ngăn chặn spoofing .................................................................................................47 Chương 3 - Xây dựng và triển khai hệ thống phát hiện xâm nhập mạng cho hệ thống mạng Bộ Khoa học và Công nghệ................................................................................................................................................50 3 3.1 - Mô hình mạng Bộ Khoa học và Công nghệ .....................................................................................50 3.2 - Hệ thống phát hiện xâm nhập xây dựng trên nền tảng mã nguồn mở Snort ....................................52 3.2.1 - Cài đặt .......................................................................................................................................53 3.2.2 - Các chức năng chính của Snort .................................................................................................54 3.2.3 - Cấu hình cho phần mềm Snort ..................................................................................................57 3.2.4 - Quản lý và tạo luật trong phần mềm Snort ...............................................................................70 3.3 - Thiết kế và triển khai hệ thống phát hiện xâm nhập mạng ..............................................................73 3.3.1 - Thiết kế hệ thống phát hiện xâm nhập mạng ............................................................................73 3.3.2 - Triển khai hệ thống phát hiện xâm nhập mạng .........................................................................74 KẾT LUẬN ..................................................................................................................................................92 TÀI LIỆU THAM KHẢO ............................................................................................................................94 4 MỞ ĐẦU Kể từ khi mạng Internet ra đời đến nay, thế giới đã chứng kiến sự thay đổi vô cùng to lớn và kì diệu về nhiều mặt của đời sống con người. Nền kinh tế thế giới và đời sống xã hội đã có nhiều sự biến đổi và ngày càng phụ thuộc vào công nghệ thông tin nói chung cũng như công nghệ Internet nói riêng. Điều đó cũng dẫn đến một mặt trái, đó là càng ngày càng nhiều các thông tin quan trọng của các cơ quan, tổ chức hay cá nhân lưu trữ trên các mạng máy tính, mà các đa số mạng máy tính này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối. Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. Trên thế giới đã có rất nhiều công trình nghiên cứu về lĩnh vực an ninh, an toàn thông tin. Khi xem xét đến lĩnh vực này trên thế giới, thường người ta đặt nó vào một trong các khía cạnh:  An toàn máy tính (Computer Security): là sự bảo vệ các thông tin cố định bên trong máy tính (Static Informations), là khoa học về bảo đảm an toàn thông tin trong máy tính.  An toàn truyền tin (Communication Security) là sự bảo vệ thông tin trên đường truyền tin (Dynamic Informations), là khoa học về bảo đảm an toàn thông tin trên đường truyền tin. Để bảo vệ thông tin bên trong máy tính hay đang trên đường truyền tin, phải nghiên cứu các nội dung:  An toàn dữ liệu (Data Security).  An toàn cơ sở dữ liệu (Database Security). 5  An toàn hệ điều hành ( peration System Security).  An toàn mạng máy tính (Network Security). Lĩnh vực nghiên cứu mà luận văn tập trung vào là ở nội dung an toàn mạng máy tính để xây dựng một hệ thống phát hiện xâm nhập mạng máy tính, nhằm mục đích bảo vệ mạng máy tính khỏi sự tấn công, đột nhập của tin tặc và trợ giúp quản trị mạng thực hiện công việc bảo mật bằng các xây dựng quy trình đảm bảo an toàn cho hệ thống mạng máy tính. Bộ Khoa học và Công nghệ là một cơ quan nhà nước có hệ thống mạng thông tin khá phát triển. Hệ thống mạng Bộ Khoa học và Công nghệ được xây dựng vào những năm 1997-1998. Đây là một hệ thống mạng có chất lượng tốt và được thiết kế theo mô hình công nghệ được đánh giá là tiên tiến của thời điểm những năm cuối thập kỷ 20. Hiện tại Hệ thống mạng Bộ Khoa học và Công nghệ bao gồm hơn 20 máy chủ, gồm nhiều chủng loại như Intel, Sun, IBM, Fujitsu… Các hệ điều hành được sử dụng khá đa dạng bao gồm: Windows NT, Windows Server 2003, Windows Server 2000, RedHat Linux, Solaris. Hệ thống còn bao gồm các thiết bị truyền thông, thiết bị mạng như router, switch, wireless access point… Trong những năm tới, Hệ thống mạng Bộ Khoa học và Công nghệ sẽ có thêm nhiều sự phát triển về quy mô, khi các ứng dụng công nghệ thông tin vào hoạt động của Bộ chạy trên hệ thống ngày càng nhiều. Ý thức được điều này, Bộ Khoa học và Công nghệ đã quan tâm rất nhiều đến vấn đề an ninh, an toàn thông tin. Hệ thống mạng đã được trang bị một số thiết bị để đảm bảo an ninh, an toàn thông tin, như Firewall Checkpoint, Cisco IDS 4215, phần mềm diệt virus cho máy chủ và thư điện tử TrendMicro, hệ thống sao lưu và phục hồi dữ liệu UltraBac, hệ thống lưu trữ SAN. Tuy vậy, việc áp dụng cứng nhắc những sản phẩm này vào hệ thống mạng chưa thể đảm bảo việc nâng mức an toàn lên cao hơn. Bởi yếu tố con người mới là khía cạnh quan trọng nhất trong lĩnh vực bảo mật. Hiện nay, vẫn chưa có một nghiên cứu nào để cung cấp cho các quản trị mạng Bộ Khoa học và Công nghệ những hiểu biết cần thiết để thiết lập các quy tắc đảm bảo an ninh trong hệ thống. Việc nghiên cứu và phát triển các sản phẩm về an ninh thông tin nói chung và an ninh mạng nói riêng là một nhu cầu bức thiết đối với hệ thống mạng Bộ Khoa 6 học và Công nghệ. Khi mà các ứng dụng chạy trên đó ngày càng phát triển về cả quy mô và số lượng, thì những lỗ hổng về bảo mật ẩn chứa trong các hệ thống này cũng ngày càng nhiều. Bên cạnh đó, trình độ của các tin tặc trong nước trong thời gian qua đã có nhiều bước tiến. Các nguyên lý, cách thức tấn công mà các tin tặc vận dụng đã có nhiều bổ sung và vận dụng linh hoạt. Trong khi đó, hệ thống đảm bảo an ninh, an toàn cho hệ thống mạng thông tin Bộ Khoa học và Công nghệ thực chất chỉ bao gồm một thiết bị Cisco IDS 4215 với số lượng mẫu tấn công có thể phát hiện là rất hạn chế. Những hạn chế về an ninh, an toàn của hệ thống mạng Bộ Khoa học và Công nghệ còn thể hiện ở những mặt sau:  Chưa có một nghiên cứu bài bản và có hệ thống nào về các quy trình, phương thức, hay giải pháp hướng dẫn công tác đảm bảo an toàn và bảo mật cho hệ thống mạng. Do vậy việc đảm bảo an toàn hệ thống mạng được thực hiện chủ yếu dựa vào kinh nghiệm của các quản trị mạng. Dẫn đến sự thiếu hiệu quả trong công tác quản trị mạng.  Hệ thống phát hiện xâm nhập của Hệ thống mạng Bộ Khoa học và Công nghệ chỉ có một thiết bị mang tính chất riêng lẻ là Cisco IDS 4215, chưa phải là một hệ thống hoàn chỉnh, do đó rất khó hoạt động hiệu quả. Thiết bị IDS này phát hiện xâm nhập dựa trên những dấu hiệu có sẵn trong thiết bị, đây chưa phải là phương pháp phát hiện xâm nhập hiệu quả. Bản thân những dấu hiệu xâm nhập có sẵn trong thiết bị đã cũ và không được cập nhật thường xuyên. Như vậy, những nội dung nghiên cứu đặt ra ở đề tài này sẽ góp phần giải quyết những mặt hạn chế tồn tại về an ninh, an toàn trong Hệ thống mạng Bộ Khoa học và Công nghệ. Đó là:  Nghiên cứu, xây dựng quy trình đảm bảo an toàn cho hệ thống mạng máy tính Bộ Khoa học và Công nghệ.  Xây dựng, triển khai một hệ thống phần mềm phát hiện xâm nhập mạng dựa trên nền tảng phần mềm mã nguồn mở. 7 Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng 1.1 - Hệ thống phát hiện xâm nhập là gì ? Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức, và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý. Thuật ngữ phát hiện xâm nhập (intrusion detection) có thể coi là chưa chính xác khi là hệ thống phát hiện xâm nhập không hoàn toàn là phát hiện xâm nhập, nó chỉ dò tìm các hành động qua giao thông mạng để đoán xem các hành động đó có là một cuộc xâm nhập hay không. Hệ thống phát hiện xâm nhập là một phần của hệ thống bảo mật, nó được cài đặt trên hệ thống và các thiết bị. Tuy nhiên nó không đứng một mình trong hệ thống bảo mật (thường thì kết hợp với FireWall). Ta có thể kết hợp sử dụng FireWall để khóa cửa sau, hệ thống phát hiện xâm nhập và cảnh báo và hệ thống chống tấn công bằng chó canh cổng. Giả sử bạn có một kho chứa các tài liệu bí mật và bạn muốn bảo vệ chúng với hàng rào bảo vệ gồm hệ thống cảnh báo, khóa cả cửa ra vào, đặt cameras theo dõi. Việc khóa các cửa ra vào sẽ giúp dừng các hành động bất hợp pháp khi đi vào kho của bạn, tuy nhiên nó lại không làm gì để cảnh báo về một cuộc xâm nhập, nhưng nó ngăn chặn được cuộc xâm nhập đó. Hệ thống cảnh báo thì lại cảnh báo với bạn trong trường hợp có ai đó cố gắng lấy thông tin trong kho, nhưng bản thân nó lại không thể ngăn chặn xâm nhập. Và cuối cùng là chó canh cổng, trong một vài trường hợp, nó có khả năng chặn các cuộc xâm nhập bắt hợp pháp. Như đã phân tích ở trên thì the khóa cửa, hệ thống báo động, and chó canh cổng phân chia nhiệm vụ trong một hệ thống bảo mật. Nó cũng đúng với tường lửa, IDS và IPS. Việc kết hợp ngăn chặn, cảnh báo và phòng chống tấn công sẽ làm tăng sức mạnh an ninh cho hệ thống mạng. Một vấn đề quan trọng là IDS và IPS chỉ là hai trong nhiều phương pháp được sử dụng trong hệ thống bảo mật. Việc tiếp cận các tầng, phòng thủ theo chiều sâu trên cơ sở phân tích cẩn thận các rủi ro có thể sẽ quyết định việc bảo vệ thông tin. Điều này có nghĩa là hệ thống mạng cần thiết phải được bảo mật theo nhiều lớp, mỗi lớp sẽ có những chức năng riêng, để đảm bảo sự toàn diện trong bảo mật 8 một hệ thống mạng trong tổ chức của bạn. Hình dưới đây là mô hình phòng thủ theo chiều sâu của hệ thống mạng. Hình 1: Sơ đồ phòng thủ mạng - Your enterprise: tổ chức của bạn - Technology: Công nghệ - Operations: Các hoạt động - People: Con người - Outside threats: các mối hiểm họa từ bên ngoài IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng. Nó sẽ bắt và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng dữ liệu qua hệ thống mạng. Hoạt động của nó gần giống với một phần mềm diệt virus với các dấu hiệu tấn công có sẵn trong cơ sở dữ liệu của nó. 1.2 - Các kiểu của hệ thống IDS IDS có ba kiểu chính : Phát hiện xâm nhập tại một máy, phát hiện xâm nhập trên toàn hệ thống mạng, và cuối cùng là sự kết hợp của cả hai kiểu trên.  Phát hiện xâm nhập tại máy trạm: Host-based intrusion-detection system (HIDS). 9  Phát hiện xâm nhập trên toàn hệ thống mạng: Network-based intrusion-detection system (NIDS).  Kết hợp cả hai kiểu trên (Hybrid IDS). HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự kiện. Nó sẽ kiểm tra bất kỳ một hành động nào trên nhật ký để xem nó có khớp với các sự kiện bất thường được ghi trong cớ sở dữ liệu không. Một hệ thống NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công. NIDS nhận tất cả các gói tin trên các phân đoạn mạng được chỉ định (thậm chí gồm cả những gói tin đi đến chuyển mạch của mạng). Nó cẩn thận trong việc cấu trúc lại các luồng thông tin đó để tiện cho việc phân tích và so sánh chúng với các mẫu có sẵn trong cơ sở dữ liệu. Hầu hết các NIDS đều được cung cấp khả năng ghi lại các hành động diễn ra trên mạng và gửi những cảnh báo tới nhà quản trị với những hành động bất thường. Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều có những ưu và nhược điểm khác nhau. Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phạm vi rộng (trên toàn hệ thống mạng) Phạm vi hẹp (Chỉ trên một máy xác định) Cài đặt phức tạp Dễ cài đặt Tốt cho việc phát hiện xâm nhập từ bên Tốt cho việc phát hiện xâm nhập từ bên ngoài mạng trong Tốn kém Ít tốn kém hơn 10 Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phát hiện trên sở sở nhưng thứ được ghi Phát hiện dựa vào bản ghi nhật ký hệ lại trên toàn hệ thống mạng thống trên chỉ máy đó Kiểm tra phần đầu (header) của gói tin Không kiểm tra phần đầu (header) của gói tin Trả lời gần như ngay lập tức Chỉ trả lời sau khi một hành động trái phép cố gắng thực hiện Không phụ thuộc hệ điều hành Phụ thuộc hệ điều hành Dò tìm tấn công bằng cách phân tích dữ Dò tìm các cuộc tấn công tại chỗ trước liệu trong gói tin khi nó ra khỏi hệ thống mạng Dò tìm các cố gắng tấn công Kiểm tra sự thành công và thất bại của một cuộc tấn công Bảng 1: Phân biệt NIDS và HIDS Quy trình cơ bản của một IDS là nó sẽ chọn lựa dữ liệu, tiền xử lý (processing) và tập hợp chúng. Việc phân tích mang tính thống kê (statistical analysis) kết thúc sẽ quyết định thông tin là một hoạt động bình thường hay không. Hoặc dữ liệu sẽ được đưa đến để so sánh với cơ sở dữ liệu (knowledge base), nếu khớp thì cảnh báo sẽ được đưa ra. 11 Hình 2: Một IDS chuẩn - GUI: giao diện đồ họa - Response Manager: Bộ phản hồi - Host system or network sniffrer: bộ cảm biến mạng và máy tính - Pre-processing: bộ tiền xử lý -Alert manager: bộ báo động - Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu - Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công - Long-term storage: nơi phát hiện dị thường 1.3 - Giải thích hoạt động cơ bản của IDS Gói tin bị bắt từ cảm biến trên máy tính (sensor - host system) hoặc cảm biến mạng (network sniffer) sẽ được chuyển qua bộ sắp xếp. Bộ tiền xử lý: gồm bộ phận giải mã và bộ phận tiền xử lý:  Bộ phận giải mã: giải mã gói tin, nhận biết các trường trong gói tin.  Bộ phận sắp xếp: sắp xếp hoặc chỉnh sửa lại gói tin trước khi đi vào bộ phát hiện. 12 Một số mô-đun này có khả năng phát hiện các gói tin dị thường trong phần đầu (header) và sinh ra cảnh báo. Ngoài ra, nó có thể tái định dạng gói tin (defragment), sắp xếp lại chuỗi. Bộ phát hiện (Detection engine): xảy ra quá trình phân tích gói tin: so sánh mẫu (signature matching) hoặc phân tích các dị thường trong gói tin (statictical analysis) để đưa ra đầu ra (alert manager) quyết định. Cơ sở dữ liệu lưu trữ mẫu dấu hiệu tấn công (knowledgebase). :Nơi chứa các phát hiện dị thường của packet, không được định nghĩa trước (Longterm storage). Bộ phản hồi (Response manager): thực thi đáp ứng của bộ báo động (alert manager) như: ghi nhật ký, hiển thị lên giao diện.... GUI: giao diện đồ họa tương tác. 1.4 - Cảm biến (sensor) Cảm biến là một thành phần chức năng của hệ thống phát hiện xâm nhập và phòng chống tấn công. Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi vào hệ thống sẽ đi qua các cảm biến đầu tiên. 1.4.1 - Chức năng của cảm biến Cảm biến là thành phần quan trọng của hệ thống phát hiện tấn công. Tuy nhiên nó không quá phức tạp, chúng được thiết kế chỉ để giành được dữ liệu và chuyển dữ liệu đó đi. Có hai kiểu cảm biến là : dựa trên mạng (network-based) và dựa trên máy tính (host-based). 1.4.2 - Cảm biến dựa trên mạng Cảm biến dựa trên mạng có thể là chương trình hoặc thiết bị vật lý có khả năng bắt dữ liệu lưu thông qua local Ethernet hoặc Tokenring hoặc điểm rẽ nhánh của mạng (switch). Ưu điểm lớn nhất của cảm biến này là không phụ thuộc vào số lượng máy tính trong một mạng.Trong môi trường tốt, một cảm biến có thể đuợc sử dụng để điều khiển toàn bộ giao thông đến và ra khỏi mạng. Nếu mạng lớn có hàng nghìn máy tính, cảm biến vẫn có thể thu thập đuợc thông tin về dữ liệu lưu thông 13 của tất cả các máy đó. Thêm vào đó, nếu có chính sách cũng như cấu hình hợp lý thì cảm biến cũng sẽ không ảnh hưởng lớn đến tốc độ lưu thông của mạng. Tcpdump là một trong những chương trình được sử dụng là cảm biến rất nhiều. Nó có tác dụng bắt các gói tin lưu thông qua giao tiếp mạng nó quản lý, sau đó phân tích thông tin về gói tin bao gồm ngay giờ, địa chỉ IP nguồn và đích, cờ TCP, độ lớn dữ liệu, ... 1.4.3 - Cảm biến dựa trên máy tính Giống như cảm biến dựa trên máy tính, cảm biến dựa trên mạng có khả năng bắt dữ liệu trên giao tiếp mạng rồi gửi chúng tới nơi khác. Sản phẩm của cảm biến dựa trên máy tính thường là ghi dữ liệu ra nhật ký rồi gửi tới các chương trình phân tích được đặt trên cùng một máy tính. 1.4.4 - Vị trí đặt cảm biến Vị trí của cảm biến trong hệ thống mạng là rất quan trọng. Nhìn hình phía dưới sẽ thấy được những nơi có thể đặt cảm biến. Ta có thể đặt cảm biến tại điểm A để có thể nhìn thấy tất cả các dữ liệu lưu thông giữa internet và mạng cục bộ nhưng lại không thể nhìn thấy dữ liệu giữa DMZ và Internet. Vì thế sẽ có thể bỏ qua những cuộc tấn công vào các máy chủ đặt trong DMZ. 14 Hình 3: Tầm quan trọng của vị trí đặt cảm biến Đặt cảm biến tại điểm B sẽ quan sát được dữ liệu lưu thông giữa DMZ và Internet nhưng không thấy được giao thông giữa Internet và mạng cục bộ. Đặt cảm biến tại điểm C sẽ cho phép nhìn tất cả dữ liệu lưu thông giữa hệ thống mạng và Internet nhưng lại không thể quan sát giao thông giữa mạng cục bộ và DMZ. Việc quyết định đặt cảm biến ở đâu cho hợp lý nhất là tuỳ thuộc vào hệ thống mạng triển khai IDS. Không thể hy vọng để NIDS có thể bắt được tất cả các dữ liệu lưu thông trên mạng. Nên cần có những giải pháp tối ưu nhất. Giải pháp cho vấn đề là đặt cảm biến giữa hệ thống mà quy định các dịch vụ tới Internet (ở đây là DMZ) . Những hệ thống này thường có nguy cơ bị tấn công cao hơn là trên mạng nội bộ. Chúng cũng có thể quy định những dịch vụ tới khách hàng hay những đối tác thương mại của bạn. Những hệ thống quy định các dịch vụ tới Public Internet trong mạng riêng rẽ để giới hạn truy nhập trực tiếp tới mạng nội bộ là rất quan trọng. Điều này cũng dễ quan sát giao thông trên mạng hơn. 1.4.5 - Các lưu thông mạng đã được mã hóa 15 Giả sử dữ liệu được mã hoá tới WebServer để xử lý thanh toán tiền trên trang Web thương mại. Dữ liệu này được mã hoá bằng SSL nên các cảm biến bình thường (như Snort) sẽ không thể xử lý chính xác được. Ví dụ minh hoạ. Hình 4: IDS không thể theo dõi các lưu thông được mã hóa Giải pháp đặt ra là sử dụng một Proxy SSL để quy định giải mã SSL rồi gửi tiếp đến Webserver, tất nhiên Proxy này sẽ đặt sau FireWall. Khi đó cảm biến sẽ đặt giữa Proxy và Webserver. Hình 5: IDS có khả năng theo dõi giao dịch Web 1.5 - Mô hình phân tích trong hệ thống IDS IDS phải có chức năng phân tích thông tin. Nó là rất quan trọng để hiểu tiến trình phân tích thông tin : phân tích cái gì, kiểu phân tích, ưu và nhược điểm của các mô hình phân tích khác nhau. 1.5.1 - Phân tích là gì ? Phân tích là tổ chức, cấu tạo các phần dữ liệu và các quan hệ giữa chúng để nhận dạng bất cứ một hành động bất hợp pháp. Phân tích thời gian thực (Real-time analysis) là một phân tích được thực hiện với dữ liệu đi qua hệ thống hoặc máy tính 16 trong thời gian thực, có thể hiểu là việc phân tích là gần như ngay lập tức khi nhận được dữ liệu. Mục đích chính của việc phân tích là tăng tính bảo mật của hệ thống bảo mật thông tin. Mục đích này có thể đi xa hơn bao gồm :  Tạo các bản ghi về các hành động tiếp theo có liên quan.  Xác định chỗ sai trong mạng bằng việc đi tìm các hành động đặc trưng.  Ghi lại những hành động bất hợp pháp.  Hoạt động để cản trở những hành vi xấu.  Tăng cường khả năng báo cáo và giải trình bằng cách liên kết những hoạt động với những cá nhân khác thông qua hệ thống. Hình dưới đây minh hoạ việc phân tích của IDS. Một hệ thống IDS giúp cho việc nhận dạng các hành động nguy hiểm (anomalous activities) nằm bên ngoài vùng được coi là những hoạt động bình thường (baseline activity). Tuy nhiên vấn đề là ở chỗ làm thế nào để phân biệt được giữa những hành động bất hợp pháp với những hành động bình thường. Có những ý kiến cho rằng rất khó phân biệt ranh giới giữa hai hành động, và có cả những ý kiến cho rằng sự phân biệt là rất dễ dàng. Có thể nói việc phân tích trong hệ thống IDS phải đảm bảo sự khác biệt giữa hai hành động trên là nhỏ nhất. Hình 6: Mối quan hệ giữa những hành động mạng bất thường và bình thường - Baseline activity: hành động bình thường - Anomalous activity: hành động bất thường 1.5.2 - Các bước tiên hành phân tích 17 Các tiến trình của việc phân tích sẽ như sau :  Preprocessing: Tiền xử lý  Analysis: Phân tích  Response: Trả lời  Refinement Tiền xử lý là chức năng tập hợp dữ liệu đến từ cảm biến của IDS. Trong bước này, dữ liệu được tổ chức để tập hợp dữ liệu. Bộ tiền xử lý sẽ quyết định định dạng của dữ liệu. Một khi dữ liệu đã được định dạng, chúng sẽ được đưa tới việc phân loại. Việc phân loại (classifications) phụ thuộc vào từng mô hình phân tích (rulebased detection hoặc anomaly detection). Với mô hình dựa trên luật thì việc phân loại sẽ dựa trên việc miêu tả mẫu để dễ dàng so sánh với các luật. Trong khi mô hình phân tích những thông tin dị thường thì sẽ phân loại thông tin dựa trên một số thuật toán. Sau khi hoàn thành tiến trình phân loại dữ liệu. Dữ liệu sẽ được kết nối và đặt vào phiên bản được định nghĩa hoặc khuôn mẫu của một vài đối tượng bằng cách gán giá trị cho các biến. Những khuôn mẫu này nằm trong kho các mẫu dữ liệu tấn công (knowledge base) được coi là nhân của kỹ thuật phân tích :  Phát hiện sự thay đổi của hệ thống file nhật ký.  Phát hiện sự leo thang đặc quyền không hợp pháp.  Phát hiện việc mở các cửa sau.  Những cố gắng cấp quyền của cơ sở dữ liệu.  … Khi tiền xử lý hoàn thành công việc, việc phân tích bắt đầu. Dữ liệu được so sánh với kho dữ liệu các mẫu tấn công (knowledge base), và ghi ra nhật ký như một cảnh báo có xâm nhập hoặc bỏ qua nếu không có gì bất thường. Bước tiếp theo là Trả lời, nó chỉ có thể đưa ra cảnh báo. 18 Giai đoạn cuối cùng là hoàn chỉnh (refinement). Nó giúp tối ưu hóa IDS, tránh được các cảnh báo sai lầm, tăng cường khả năng bảo mật. Có thể lấy ví dụ về một công cụ Cisco Threat Response (CTR), nó giúp cho việc đảm bảo một cảnh báo được đưa ra là chính xác bằng cách kiểm tra xuất xứ của một hành động tấn công. 1.5.3 - Mô hình phân tích dựa trên luật (Rule-Based Detection) Đây là kỹ thuật sơ khai của hệ thống phát hiện xâm nhập. Nó dựa trên các mẫu có sẵn, các dấu hiệu tấn công có sẵn. Dưới đây là bốn bước của tiến trình phân tích áp dụng cho mô hình phân tích dựa trên luật:  Tiền xử lý (Preprocessing): Bộ tiền xử lý sẽ tập hợp dữ liệu về xâm nhập, lỗi, tấn công và đặt chúng vào một mô hình phân loại hoặc miêu tả mẫu. Việc phân loại được xây dựng theo một định dạng chung. o Signature Name: Tên của dấu hiệu. o Signature ID: ID duy nhất cho dấu hiệu. o Signature Description: Miêu tả dấu hiệu. o Possible False Positive Description: Miêu tả những sai xót về cảnh báo có thể xảy ra. o Related Vulnerability Information: Thông tin về lỗi xảy ra. o User Notes: Thông tin thêm vào tùy từng tổ chức. Miêu tả mẫu có thể dựa trên nội dung, như là phần đầu (header) hay dữ liệu của gói tin, hoặc dựa trên ngữ cảnh, ví dụ như việc chỉ kiểm tra phần đầu (header) thì mẫu sẽ chỉ gồm phần đầu (header). Chú ý là việc miêu tả mẫu sẽ có thể hoặc miêu tả đơn hoặc miêu tả kết hợp. Miêu tả đơn nghĩa là sẽ cảnh báo theo từng gói tin một trong khi miêu tả kết hợp là miêu tả một lúc nhiều gói tin để đồng thời đưa ra cảnh báo.
- Xem thêm -