ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
VÕ TUẤN HẢI
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG
BỘ KHOA HỌC VÀ CÔNG NGHỆ
LUẬN VĂN THẠC SĨ
Hà Nội - 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
VÕ TUẤN HẢI
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG
BỘ KHOA HỌC VÀ CÔNG NGHỆ
Ngành:
Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số:
604805
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS ĐỖ TRUNG TUẤN
Hà Nội - 2011
1
MỤC LỤC
MỞ ĐẦU........................................................................................................................................................4
Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng ..................................................7
1.1 - Hệ thống phát hiện xâm nhập là gì ?..................................................................................................7
1.2 - Các kiểu của hệ thống IDS.................................................................................................................8
1.3 - Giải thích hoạt động cơ bản của hệ thống IDS ................................................................................11
1.4 - Cảm biến (sensor) ............................................................................................................................12
1.4.1 - Chức năng của Sensor ...............................................................................................................12
1.4.2 - Network-Based Sensors ............................................................................................................12
1.4.3 - Host-Based Sensors ..................................................................................................................13
1.4.4 - Vị trí đặt Sensor ........................................................................................................................13
1.4.5 - Các lưu thông mạng đã được mã hóa ........................................................................................14
1.5 - Mô hình phân tích trong hệ thống IDS ............................................................................................15
1.5.1 - Phân tích là gì ? .........................................................................................................................15
1.5.2 - Các bước tiên hành phân tích ....................................................................................................16
1.5.3 - Mô hình phân tích Rule-Based Detection (Misuse Detection) .................................................18
1.6 - Ví dụ về một vài luật của IDS ..........................................................................................................19
1.7 - Đánh giá ưu nhược điểm của hệ thống phát hiện xâm nhập mạng ..................................................20
1.8 - Giới thiệu chung về lừa đảo trên mạng (phishing)...........................................................................20
1.9 - Phân tích các tấn công kiểu phishing ...............................................................................................21
1.9.1 - Ví dụ về phishing ......................................................................................................................21
1.9.2 - Mục tiêu của phisher .................................................................................................................26
1.10 - Phân tích về vỏ lừa đảo ..................................................................................................................27
1.11 - Các phương thức đưa thông báo tới nạn nhân ...............................................................................28
1.11.1 - Bằng email và spam ................................................................................................................28
1.11.2 - Bằng trang Web ......................................................................................................................29
2
1.11.3 - Bằng IRC và Instant messaging ..............................................................................................30
1.11.4 - Bằng các máy đã bị cài Trojan ................................................................................................30
1.11.5 - Bằng VoIP ...............................................................................................................................31
1.11.6 - Bằng spear phishing ................................................................................................................31
1.11.7 - Bằng whaling ..........................................................................................................................32
1.11.8 - Bằng đường bưu điện ..............................................................................................................32
1.12 - Các hỗ trợ kỹ thuật cho phishing ...................................................................................................33
1.12.1 - Kỹ thuật Man-in-the-middle ...................................................................................................33
1.12.2 - Kỹ thuật URL giả ....................................................................................................................34
1.12.3 - Kỹ thuật tấn công Cross-site Scripting ...................................................................................36
1.12.4 - Kỹ thuật đặt trước Session ID .................................................................................................37
1.12.5 - Kỹ thuật ẩn ..............................................................................................................................37
1.12.6 - Kỹ thuật theo dõi thông tin nạn nhân ......................................................................................38
1.12.7 - Kỹ thuật lợi dụng điểm yếu tại máy người dùng ....................................................................39
Chương 2 - Quy trình phòng ngừa và ngăn chặn xâm nhập mạng cho hệ thống mạng Bộ Khoa học và
Công nghệ ....................................................................................................................................................39
2.1 - Phòng ngừa xâm nhập tường lửa .....................................................................................................39
2.2 - Kiểm tra lỗ hổng bảo mật của các Website......................................................................................40
2.3 - Phòng ngừa xâm nhập mạng từ trong nội bộ thông qua tài liệu chia sẻ: .........................................41
2.4 - Phòng ngừa xâm nhập thông qua mạng không dây .........................................................................42
2.5 - Phòng ngừa xâm nhập hệ điều hành ................................................................................................42
2.6 - Phòng ngừa xâm nhập SQL Injection ..............................................................................................43
2.7 - Phòng ngừa và ngăn chặn tấn công từ chối dịch vụ .........................................................................44
2.8 - Phòng ngừa và ngăn chặn phishing..................................................................................................45
2.9 - Phòng ngừa và ngăn chặn spoofing .................................................................................................47
Chương 3 - Xây dựng và triển khai hệ thống phát hiện xâm nhập mạng cho hệ thống mạng Bộ Khoa học
và Công nghệ................................................................................................................................................50
3
3.1 - Mô hình mạng Bộ Khoa học và Công nghệ .....................................................................................50
3.2 - Hệ thống phát hiện xâm nhập xây dựng trên nền tảng mã nguồn mở Snort ....................................52
3.2.1 - Cài đặt .......................................................................................................................................53
3.2.2 - Các chức năng chính của Snort .................................................................................................54
3.2.3 - Cấu hình cho phần mềm Snort ..................................................................................................57
3.2.4 - Quản lý và tạo luật trong phần mềm Snort ...............................................................................70
3.3 - Thiết kế và triển khai hệ thống phát hiện xâm nhập mạng ..............................................................73
3.3.1 - Thiết kế hệ thống phát hiện xâm nhập mạng ............................................................................73
3.3.2 - Triển khai hệ thống phát hiện xâm nhập mạng .........................................................................74
KẾT LUẬN ..................................................................................................................................................92
TÀI LIỆU THAM KHẢO ............................................................................................................................94
4
MỞ ĐẦU
Kể từ khi mạng Internet ra đời đến nay, thế giới đã chứng kiến sự thay đổi vô
cùng to lớn và kì diệu về nhiều mặt của đời sống con người. Nền kinh tế thế giới
và đời sống xã hội đã có nhiều sự biến đổi và ngày càng phụ thuộc vào công nghệ
thông tin nói chung cũng như công nghệ Internet nói riêng. Điều đó cũng dẫn đến
một mặt trái, đó là càng ngày càng nhiều các thông tin quan trọng của các cơ quan,
tổ chức hay cá nhân lưu trữ trên các mạng máy tính, mà các đa số mạng máy tính
này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô
cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn
cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các
tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày
càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ
thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát
luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Trên thế giới đã có rất nhiều công trình nghiên cứu về lĩnh vực an ninh, an
toàn thông tin. Khi xem xét đến lĩnh vực này trên thế giới, thường người ta đặt nó
vào một trong các khía cạnh:
An toàn máy tính (Computer Security): là sự bảo vệ các thông tin cố
định bên trong máy tính (Static Informations), là khoa học về bảo đảm
an toàn thông tin trong máy tính.
An toàn truyền tin (Communication Security) là sự bảo vệ thông tin
trên đường truyền tin (Dynamic Informations), là khoa học về bảo
đảm an toàn thông tin trên đường truyền tin.
Để bảo vệ thông tin bên trong máy tính hay đang trên đường truyền tin, phải
nghiên cứu các nội dung:
An toàn dữ liệu (Data Security).
An toàn cơ sở dữ liệu (Database Security).
5
An toàn hệ điều hành ( peration System Security).
An toàn mạng máy tính (Network Security).
Lĩnh vực nghiên cứu mà luận văn tập trung vào là ở nội dung an toàn mạng
máy tính để xây dựng một hệ thống phát hiện xâm nhập mạng máy tính, nhằm mục
đích bảo vệ mạng máy tính khỏi sự tấn công, đột nhập của tin tặc và trợ giúp quản
trị mạng thực hiện công việc bảo mật bằng các xây dựng quy trình đảm bảo an toàn
cho hệ thống mạng máy tính.
Bộ Khoa học và Công nghệ là một cơ quan nhà nước có hệ thống mạng
thông tin khá phát triển. Hệ thống mạng Bộ Khoa học và Công nghệ được xây dựng
vào những năm 1997-1998. Đây là một hệ thống mạng có chất lượng tốt và được
thiết kế theo mô hình công nghệ được đánh giá là tiên tiến của thời điểm những
năm cuối thập kỷ 20. Hiện tại Hệ thống mạng Bộ Khoa học và Công nghệ bao gồm
hơn 20 máy chủ, gồm nhiều chủng loại như Intel, Sun, IBM, Fujitsu… Các hệ điều
hành được sử dụng khá đa dạng bao gồm: Windows NT, Windows Server 2003,
Windows Server 2000, RedHat Linux, Solaris. Hệ thống còn bao gồm các thiết bị
truyền thông, thiết bị mạng như router, switch, wireless access point…
Trong những năm tới, Hệ thống mạng Bộ Khoa học và Công nghệ sẽ có thêm
nhiều sự phát triển về quy mô, khi các ứng dụng công nghệ thông tin vào hoạt động
của Bộ chạy trên hệ thống ngày càng nhiều. Ý thức được điều này, Bộ Khoa học và
Công nghệ đã quan tâm rất nhiều đến vấn đề an ninh, an toàn thông tin. Hệ thống
mạng đã được trang bị một số thiết bị để đảm bảo an ninh, an toàn thông tin, như
Firewall Checkpoint, Cisco IDS 4215, phần mềm diệt virus cho máy chủ và thư
điện tử TrendMicro, hệ thống sao lưu và phục hồi dữ liệu UltraBac, hệ thống lưu
trữ SAN.
Tuy vậy, việc áp dụng cứng nhắc những sản phẩm này vào hệ thống mạng
chưa thể đảm bảo việc nâng mức an toàn lên cao hơn. Bởi yếu tố con người mới là
khía cạnh quan trọng nhất trong lĩnh vực bảo mật. Hiện nay, vẫn chưa có một
nghiên cứu nào để cung cấp cho các quản trị mạng Bộ Khoa học và Công nghệ
những hiểu biết cần thiết để thiết lập các quy tắc đảm bảo an ninh trong hệ thống.
Việc nghiên cứu và phát triển các sản phẩm về an ninh thông tin nói chung
và an ninh mạng nói riêng là một nhu cầu bức thiết đối với hệ thống mạng Bộ Khoa
6
học và Công nghệ. Khi mà các ứng dụng chạy trên đó ngày càng phát triển về cả
quy mô và số lượng, thì những lỗ hổng về bảo mật ẩn chứa trong các hệ thống này
cũng ngày càng nhiều. Bên cạnh đó, trình độ của các tin tặc trong nước trong thời
gian qua đã có nhiều bước tiến. Các nguyên lý, cách thức tấn công mà các tin tặc
vận dụng đã có nhiều bổ sung và vận dụng linh hoạt. Trong khi đó, hệ thống đảm
bảo an ninh, an toàn cho hệ thống mạng thông tin Bộ Khoa học và Công nghệ thực
chất chỉ bao gồm một thiết bị Cisco IDS 4215 với số lượng mẫu tấn công có thể
phát hiện là rất hạn chế.
Những hạn chế về an ninh, an toàn của hệ thống mạng Bộ Khoa học và Công
nghệ còn thể hiện ở những mặt sau:
Chưa có một nghiên cứu bài bản và có hệ thống nào về các quy trình,
phương thức, hay giải pháp hướng dẫn công tác đảm bảo an toàn và
bảo mật cho hệ thống mạng. Do vậy việc đảm bảo an toàn hệ thống
mạng được thực hiện chủ yếu dựa vào kinh nghiệm của các quản trị
mạng. Dẫn đến sự thiếu hiệu quả trong công tác quản trị mạng.
Hệ thống phát hiện xâm nhập của Hệ thống mạng Bộ Khoa học và
Công nghệ chỉ có một thiết bị mang tính chất riêng lẻ là Cisco IDS
4215, chưa phải là một hệ thống hoàn chỉnh, do đó rất khó hoạt động
hiệu quả. Thiết bị IDS này phát hiện xâm nhập dựa trên những dấu
hiệu có sẵn trong thiết bị, đây chưa phải là phương pháp phát hiện xâm
nhập hiệu quả. Bản thân những dấu hiệu xâm nhập có sẵn trong thiết
bị đã cũ và không được cập nhật thường xuyên.
Như vậy, những nội dung nghiên cứu đặt ra ở đề tài này sẽ góp phần giải
quyết những mặt hạn chế tồn tại về an ninh, an toàn trong Hệ thống mạng Bộ Khoa
học và Công nghệ. Đó là:
Nghiên cứu, xây dựng quy trình đảm bảo an toàn cho hệ thống mạng
máy tính Bộ Khoa học và Công nghệ.
Xây dựng, triển khai một hệ thống phần mềm phát hiện xâm nhập
mạng dựa trên nền tảng phần mềm mã nguồn mở.
7
Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên
mạng
1.1 - Hệ thống phát hiện xâm nhập là gì ?
Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức,
và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động
diễn ra trái phép trong hệ thống mạng nó quản lý. Thuật ngữ phát hiện xâm nhập
(intrusion detection) có thể coi là chưa chính xác khi là hệ thống phát hiện xâm
nhập không hoàn toàn là phát hiện xâm nhập, nó chỉ dò tìm các hành động qua giao
thông mạng để đoán xem các hành động đó có là một cuộc xâm nhập hay không.
Hệ thống phát hiện xâm nhập là một phần của hệ thống bảo mật, nó được cài đặt
trên hệ thống và các thiết bị. Tuy nhiên nó không đứng một mình trong hệ thống
bảo mật (thường thì kết hợp với FireWall).
Ta có thể kết hợp sử dụng FireWall để khóa cửa sau, hệ thống phát hiện xâm
nhập và cảnh báo và hệ thống chống tấn công bằng chó canh cổng. Giả sử bạn có
một kho chứa các tài liệu bí mật và bạn muốn bảo vệ chúng với hàng rào bảo vệ
gồm hệ thống cảnh báo, khóa cả cửa ra vào, đặt cameras theo dõi. Việc khóa các
cửa ra vào sẽ giúp dừng các hành động bất hợp pháp khi đi vào kho của bạn, tuy
nhiên nó lại không làm gì để cảnh báo về một cuộc xâm nhập, nhưng nó ngăn chặn
được cuộc xâm nhập đó. Hệ thống cảnh báo thì lại cảnh báo với bạn trong trường
hợp có ai đó cố gắng lấy thông tin trong kho, nhưng bản thân nó lại không thể ngăn
chặn xâm nhập. Và cuối cùng là chó canh cổng, trong một vài trường hợp, nó có
khả năng chặn các cuộc xâm nhập bắt hợp pháp.
Như đã phân tích ở trên thì the khóa cửa, hệ thống báo động, and chó canh
cổng phân chia nhiệm vụ trong một hệ thống bảo mật. Nó cũng đúng với tường lửa,
IDS và IPS. Việc kết hợp ngăn chặn, cảnh báo và phòng chống tấn công sẽ làm
tăng sức mạnh an ninh cho hệ thống mạng.
Một vấn đề quan trọng là IDS và IPS chỉ là hai trong nhiều phương pháp
được sử dụng trong hệ thống bảo mật. Việc tiếp cận các tầng, phòng thủ theo chiều
sâu trên cơ sở phân tích cẩn thận các rủi ro có thể sẽ quyết định việc bảo vệ thông
tin. Điều này có nghĩa là hệ thống mạng cần thiết phải được bảo mật theo nhiều
lớp, mỗi lớp sẽ có những chức năng riêng, để đảm bảo sự toàn diện trong bảo mật
8
một hệ thống mạng trong tổ chức của bạn. Hình dưới đây là mô hình phòng thủ
theo chiều sâu của hệ thống mạng.
Hình 1: Sơ đồ phòng thủ mạng
- Your enterprise: tổ chức của bạn - Technology: Công nghệ
- Operations: Các hoạt động
- People: Con người
- Outside threats: các mối hiểm họa từ bên ngoài
IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình
mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng. Nó sẽ bắt
và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng
dữ liệu qua hệ thống mạng. Hoạt động của nó gần giống với một phần mềm diệt
virus với các dấu hiệu tấn công có sẵn trong cơ sở dữ liệu của nó.
1.2 - Các kiểu của hệ thống IDS
IDS có ba kiểu chính : Phát hiện xâm nhập tại một máy, phát hiện xâm nhập
trên toàn hệ thống mạng, và cuối cùng là sự kết hợp của cả hai kiểu trên.
Phát hiện xâm nhập tại máy trạm: Host-based intrusion-detection
system (HIDS).
9
Phát hiện xâm nhập trên toàn hệ thống mạng: Network-based
intrusion-detection system (NIDS).
Kết hợp cả hai kiểu trên (Hybrid IDS).
HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét
toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự
kiện. Nó sẽ kiểm tra bất kỳ một hành động nào trên nhật ký để xem nó có khớp với
các sự kiện bất thường được ghi trong cớ sở dữ liệu không.
Một hệ thống NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các
gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công. NIDS nhận tất cả
các gói tin trên các phân đoạn mạng được chỉ định (thậm chí gồm cả những gói tin
đi đến chuyển mạch của mạng). Nó cẩn thận trong việc cấu trúc lại các luồng thông
tin đó để tiện cho việc phân tích và so sánh chúng với các mẫu có sẵn trong cơ sở
dữ liệu. Hầu hết các NIDS đều được cung cấp khả năng ghi lại các hành động diễn
ra trên mạng và gửi những cảnh báo tới nhà quản trị với những hành động bất
thường.
Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều
có những ưu và nhược điểm khác nhau.
Hệ thống phát hiện xâm nhập NIDS và HIDS
NIDS
HIDS
Phạm vi rộng (trên toàn hệ thống mạng)
Phạm vi hẹp (Chỉ trên một máy xác
định)
Cài đặt phức tạp
Dễ cài đặt
Tốt cho việc phát hiện xâm nhập từ bên Tốt cho việc phát hiện xâm nhập từ bên
ngoài mạng
trong
Tốn kém
Ít tốn kém hơn
10
Hệ thống phát hiện xâm nhập NIDS và HIDS
NIDS
HIDS
Phát hiện trên sở sở nhưng thứ được ghi Phát hiện dựa vào bản ghi nhật ký hệ
lại trên toàn hệ thống mạng
thống trên chỉ máy đó
Kiểm tra phần đầu (header) của gói tin
Không kiểm tra phần đầu (header) của
gói tin
Trả lời gần như ngay lập tức
Chỉ trả lời sau khi một hành động trái
phép cố gắng thực hiện
Không phụ thuộc hệ điều hành
Phụ thuộc hệ điều hành
Dò tìm tấn công bằng cách phân tích dữ Dò tìm các cuộc tấn công tại chỗ trước
liệu trong gói tin
khi nó ra khỏi hệ thống mạng
Dò tìm các cố gắng tấn công
Kiểm tra sự thành công và thất bại của
một cuộc tấn công
Bảng 1: Phân biệt NIDS và HIDS
Quy trình cơ bản của một IDS là nó sẽ chọn lựa dữ liệu, tiền xử lý
(processing) và tập hợp chúng. Việc phân tích mang tính thống kê (statistical
analysis) kết thúc sẽ quyết định thông tin là một hoạt động bình thường hay không.
Hoặc dữ liệu sẽ được đưa đến để so sánh với cơ sở dữ liệu (knowledge base), nếu
khớp thì cảnh báo sẽ được đưa ra.
11
Hình 2: Một IDS chuẩn
- GUI: giao diện đồ họa
- Response Manager: Bộ phản hồi
- Host system or network sniffrer: bộ cảm biến mạng và máy tính
- Pre-processing: bộ tiền xử lý
-Alert manager: bộ báo động
- Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu
- Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công
- Long-term storage: nơi phát hiện dị thường
1.3 - Giải thích hoạt động cơ bản của IDS
Gói tin bị bắt từ cảm biến trên máy tính (sensor - host system) hoặc cảm biến
mạng (network sniffer) sẽ được chuyển qua bộ sắp xếp.
Bộ tiền xử lý: gồm bộ phận giải mã và bộ phận tiền xử lý:
Bộ phận giải mã: giải mã gói tin, nhận biết các trường trong gói tin.
Bộ phận sắp xếp: sắp xếp hoặc chỉnh sửa lại gói tin trước khi đi vào bộ
phát hiện.
12
Một số mô-đun này có khả năng phát hiện các gói tin dị thường trong phần đầu
(header) và sinh ra cảnh báo. Ngoài ra, nó có thể tái định dạng gói tin (defragment),
sắp xếp lại chuỗi.
Bộ phát hiện (Detection engine): xảy ra quá trình phân tích gói tin: so sánh mẫu
(signature matching) hoặc phân tích các dị thường trong gói tin (statictical analysis)
để đưa ra đầu ra (alert manager) quyết định.
Cơ sở dữ liệu lưu trữ mẫu dấu hiệu tấn công (knowledgebase).
:Nơi chứa các phát hiện dị thường của packet, không được định nghĩa trước (Longterm storage).
Bộ phản hồi (Response manager): thực thi đáp ứng của bộ báo động (alert
manager) như: ghi nhật ký, hiển thị lên giao diện....
GUI: giao diện đồ họa tương tác.
1.4 - Cảm biến (sensor)
Cảm biến là một thành phần chức năng của hệ thống phát hiện xâm nhập và
phòng chống tấn công. Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi
vào hệ thống sẽ đi qua các cảm biến đầu tiên.
1.4.1 - Chức năng của cảm biến
Cảm biến là thành phần quan trọng của hệ thống phát hiện tấn công. Tuy
nhiên nó không quá phức tạp, chúng được thiết kế chỉ để giành được dữ liệu và
chuyển dữ liệu đó đi. Có hai kiểu cảm biến là : dựa trên mạng (network-based) và
dựa trên máy tính (host-based).
1.4.2 - Cảm biến dựa trên mạng
Cảm biến dựa trên mạng có thể là chương trình hoặc thiết bị vật lý có khả
năng bắt dữ liệu lưu thông qua local Ethernet hoặc Tokenring hoặc điểm rẽ nhánh
của mạng (switch). Ưu điểm lớn nhất của cảm biến này là không phụ thuộc vào số
lượng máy tính trong một mạng.Trong môi trường tốt, một cảm biến có thể đuợc sử
dụng để điều khiển toàn bộ giao thông đến và ra khỏi mạng. Nếu mạng lớn có hàng
nghìn máy tính, cảm biến vẫn có thể thu thập đuợc thông tin về dữ liệu lưu thông
13
của tất cả các máy đó. Thêm vào đó, nếu có chính sách cũng như cấu hình hợp lý
thì cảm biến cũng sẽ không ảnh hưởng lớn đến tốc độ lưu thông của mạng.
Tcpdump là một trong những chương trình được sử dụng là cảm biến rất
nhiều. Nó có tác dụng bắt các gói tin lưu thông qua giao tiếp mạng nó quản lý, sau
đó phân tích thông tin về gói tin bao gồm ngay giờ, địa chỉ IP nguồn và đích, cờ
TCP, độ lớn dữ liệu, ...
1.4.3 - Cảm biến dựa trên máy tính
Giống như cảm biến dựa trên máy tính, cảm biến dựa trên mạng có khả năng
bắt dữ liệu trên giao tiếp mạng rồi gửi chúng tới nơi khác. Sản phẩm của cảm biến
dựa trên máy tính thường là ghi dữ liệu ra nhật ký rồi gửi tới các chương trình phân
tích được đặt trên cùng một máy tính.
1.4.4 - Vị trí đặt cảm biến
Vị trí của cảm biến trong hệ thống mạng là rất quan trọng. Nhìn hình phía
dưới sẽ thấy được những nơi có thể đặt cảm biến. Ta có thể đặt cảm biến tại điểm
A để có thể nhìn thấy tất cả các dữ liệu lưu thông giữa internet và mạng cục bộ
nhưng lại không thể nhìn thấy dữ liệu giữa DMZ và Internet. Vì thế sẽ có thể bỏ
qua những cuộc tấn công vào các máy chủ đặt trong DMZ.
14
Hình 3: Tầm quan trọng của vị trí đặt cảm biến
Đặt cảm biến tại điểm B sẽ quan sát được dữ liệu lưu thông giữa DMZ và
Internet nhưng không thấy được giao thông giữa Internet và mạng cục bộ.
Đặt cảm biến tại điểm C sẽ cho phép nhìn tất cả dữ liệu lưu thông giữa hệ
thống mạng và Internet nhưng lại không thể quan sát giao thông giữa mạng cục bộ
và DMZ.
Việc quyết định đặt cảm biến ở đâu cho hợp lý nhất là tuỳ thuộc vào hệ
thống mạng triển khai IDS. Không thể hy vọng để NIDS có thể bắt được tất cả các
dữ liệu lưu thông trên mạng. Nên cần có những giải pháp tối ưu nhất.
Giải pháp cho vấn đề là đặt cảm biến giữa hệ thống mà quy định các dịch vụ
tới Internet (ở đây là DMZ) . Những hệ thống này thường có nguy cơ bị tấn công
cao hơn là trên mạng nội bộ. Chúng cũng có thể quy định những dịch vụ tới khách
hàng hay những đối tác thương mại của bạn. Những hệ thống quy định các dịch vụ
tới Public Internet trong mạng riêng rẽ để giới hạn truy nhập trực tiếp tới mạng nội
bộ là rất quan trọng. Điều này cũng dễ quan sát giao thông trên mạng hơn.
1.4.5 - Các lưu thông mạng đã được mã hóa
15
Giả sử dữ liệu được mã hoá tới WebServer để xử lý thanh toán tiền trên trang
Web thương mại. Dữ liệu này được mã hoá bằng SSL nên các cảm biến bình
thường (như Snort) sẽ không thể xử lý chính xác được. Ví dụ minh hoạ.
Hình 4: IDS không thể theo dõi các lưu thông được mã hóa
Giải pháp đặt ra là sử dụng một Proxy SSL để quy định giải mã SSL rồi gửi
tiếp đến Webserver, tất nhiên Proxy này sẽ đặt sau FireWall. Khi đó cảm biến sẽ
đặt giữa Proxy và Webserver.
Hình 5: IDS có khả năng theo dõi giao dịch Web
1.5 - Mô hình phân tích trong hệ thống IDS
IDS phải có chức năng phân tích thông tin. Nó là rất quan trọng để hiểu tiến
trình phân tích thông tin : phân tích cái gì, kiểu phân tích, ưu và nhược điểm của
các mô hình phân tích khác nhau.
1.5.1 - Phân tích là gì ?
Phân tích là tổ chức, cấu tạo các phần dữ liệu và các quan hệ giữa chúng để
nhận dạng bất cứ một hành động bất hợp pháp. Phân tích thời gian thực (Real-time
analysis) là một phân tích được thực hiện với dữ liệu đi qua hệ thống hoặc máy tính
16
trong thời gian thực, có thể hiểu là việc phân tích là gần như ngay lập tức khi nhận
được dữ liệu.
Mục đích chính của việc phân tích là tăng tính bảo mật của hệ thống bảo mật
thông tin. Mục đích này có thể đi xa hơn bao gồm :
Tạo các bản ghi về các hành động tiếp theo có liên quan.
Xác định chỗ sai trong mạng bằng việc đi tìm các hành động đặc trưng.
Ghi lại những hành động bất hợp pháp.
Hoạt động để cản trở những hành vi xấu.
Tăng cường khả năng báo cáo và giải trình bằng cách liên kết những hoạt
động với những cá nhân khác thông qua hệ thống.
Hình dưới đây minh hoạ việc phân tích của IDS. Một hệ thống IDS giúp cho
việc nhận dạng các hành động nguy hiểm (anomalous activities) nằm bên ngoài
vùng được coi là những hoạt động bình thường (baseline activity). Tuy nhiên vấn
đề là ở chỗ làm thế nào để phân biệt được giữa những hành động bất hợp pháp với
những hành động bình thường. Có những ý kiến cho rằng rất khó phân biệt ranh
giới giữa hai hành động, và có cả những ý kiến cho rằng sự phân biệt là rất dễ dàng.
Có thể nói việc phân tích trong hệ thống IDS phải đảm bảo sự khác biệt giữa hai
hành động trên là nhỏ nhất.
Hình 6: Mối quan hệ giữa những hành động mạng bất thường và bình thường
- Baseline activity: hành động bình thường
- Anomalous activity: hành động bất thường
1.5.2 - Các bước tiên hành phân tích
17
Các tiến trình của việc phân tích sẽ như sau :
Preprocessing: Tiền xử lý
Analysis: Phân tích
Response: Trả lời
Refinement
Tiền xử lý là chức năng tập hợp dữ liệu đến từ cảm biến của IDS. Trong
bước này, dữ liệu được tổ chức để tập hợp dữ liệu. Bộ tiền xử lý sẽ quyết định định
dạng của dữ liệu. Một khi dữ liệu đã được định dạng, chúng sẽ được đưa tới việc
phân loại.
Việc phân loại (classifications) phụ thuộc vào từng mô hình phân tích (rulebased detection hoặc anomaly detection). Với mô hình dựa trên luật thì việc phân
loại sẽ dựa trên việc miêu tả mẫu để dễ dàng so sánh với các luật. Trong khi mô
hình phân tích những thông tin dị thường thì sẽ phân loại thông tin dựa trên một số
thuật toán.
Sau khi hoàn thành tiến trình phân loại dữ liệu. Dữ liệu sẽ được kết nối và
đặt vào phiên bản được định nghĩa hoặc khuôn mẫu của một vài đối tượng bằng
cách gán giá trị cho các biến. Những khuôn mẫu này nằm trong kho các mẫu dữ
liệu tấn công (knowledge base) được coi là nhân của kỹ thuật phân tích :
Phát hiện sự thay đổi của hệ thống file nhật ký.
Phát hiện sự leo thang đặc quyền không hợp pháp.
Phát hiện việc mở các cửa sau.
Những cố gắng cấp quyền của cơ sở dữ liệu.
…
Khi tiền xử lý hoàn thành công việc, việc phân tích bắt đầu. Dữ liệu được so
sánh với kho dữ liệu các mẫu tấn công (knowledge base), và ghi ra nhật ký như một
cảnh báo có xâm nhập hoặc bỏ qua nếu không có gì bất thường.
Bước tiếp theo là Trả lời, nó chỉ có thể đưa ra cảnh báo.
18
Giai đoạn cuối cùng là hoàn chỉnh (refinement). Nó giúp tối ưu hóa IDS,
tránh được các cảnh báo sai lầm, tăng cường khả năng bảo mật. Có thể lấy ví dụ về
một công cụ Cisco Threat Response (CTR), nó giúp cho việc đảm bảo một cảnh
báo được đưa ra là chính xác bằng cách kiểm tra xuất xứ của một hành động tấn
công.
1.5.3 - Mô hình phân tích dựa trên luật (Rule-Based Detection)
Đây là kỹ thuật sơ khai của hệ thống phát hiện xâm nhập. Nó dựa trên các
mẫu có sẵn, các dấu hiệu tấn công có sẵn.
Dưới đây là bốn bước của tiến trình phân tích áp dụng cho mô hình phân tích
dựa trên luật:
Tiền xử lý (Preprocessing): Bộ tiền xử lý sẽ tập hợp dữ liệu về xâm nhập,
lỗi, tấn công và đặt chúng vào một mô hình phân loại hoặc miêu tả mẫu.
Việc phân loại được xây dựng theo một định dạng chung.
o Signature Name: Tên của dấu hiệu.
o Signature ID: ID duy nhất cho dấu hiệu.
o Signature Description: Miêu tả dấu hiệu.
o Possible False Positive Description: Miêu tả những sai xót về cảnh báo
có thể xảy ra.
o Related Vulnerability Information: Thông tin về lỗi xảy ra.
o User Notes: Thông tin thêm vào tùy từng tổ chức.
Miêu tả mẫu có thể dựa trên nội dung, như là phần đầu (header)
hay dữ liệu của gói tin, hoặc dựa trên ngữ cảnh, ví dụ như việc
chỉ kiểm tra phần đầu (header) thì mẫu sẽ chỉ gồm phần đầu
(header). Chú ý là việc miêu tả mẫu sẽ có thể hoặc miêu tả đơn
hoặc miêu tả kết hợp. Miêu tả đơn nghĩa là sẽ cảnh báo theo
từng gói tin một trong khi miêu tả kết hợp là miêu tả một lúc
nhiều gói tin để đồng thời đưa ra cảnh báo.
- Xem thêm -