Tin tức công nghệ

1.2. ĐẶC ĐIỂM CỦA HỆ THỐNG IDS/IPS

1.2.1 Vai trò và chức năng

Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất  thường trong mạng. Thông thường những  dấu  hiệu  bất  thường  là  những  dấu  hiệu  của  những  cuộc  tấn  công  xâm nhập mạng. IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng.

Hệ thống phòng chống xâm nhập (Intrusion Prevention System  –  IPS) là một phần  mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấn công. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS).

Hệ  thống IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa  (firewall) với hệ thống phát hiện xâm nhập, có khả năng phát hiện sự xâm nhập, các  cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IDS/IPS thường  được đặt  ở phần biên mạng để bảo vệ tất cả các thiết bị trong mạng.

Một vài chức năng cơ bản của IDS/IPS:

+       Nhận diện các nguy cơ có thể xảy ra.

+       Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.

+       Nhận diện các hoạt động thăm dò hệ thống.

+       Nhận diện các yếu khuyết của chính sách bảo mật.

+       Ngăn chặn vi phạm chính sách bảo mật.

+       Lưu giữ thông tin liên quan đến các đối tượng quan sát

+       Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát

+       Ngăn chặn các tấn công (IPS)

+       Xuất báo cáo

1.2.2 Cơ sở hạ tầng của hệ thống phát hiện xâm nhập

Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp.

Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý  của  kẻ  xâm  nhập  từ  các  hệ  thống  cần  bảo  vệ  sang  các  hệ  thống  giả  lập  là nhiệm vụ của 1 dạng IDS riêng biệt (Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát  và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS/IPS) để phát hiện các cuộc tấn công có thể (xâm nhập).

Một khi xâm nhập đã được phát hiện, hệ thống IDS/IPS phát các cảnh báo đến người quản trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản  trị  viên  hoặc  bởi  chính  hệ  thống  IDS/IPS  ,  bằng  cách  áp  dụng  các  biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý v.v)  –  tùy thuộc vào chính sách an ninh của mỗi tổ chức.

Hệ thống IDS/IPS là một thành phần của chính sách bảo mật. Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó có thể hữu ích trong các nghiên cứu giám định sự cố và  tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể.

Hình 1.2: Cơ sở hạ tầng hệ thống IDS/IPS

1.2.3 Kiến trúc hệ thống phát hiện xâm nhập

Sensor / Agent:  Giám  sát  và  phân  tích  các  hoạt  động.  “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS

Management Server:  Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng. 1 số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor/Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện được

Database server: Dùng lưu trữ các thông tin từ Sensor/Agent hay Management Server

Console:  Là chương trình cung cấp giao diện cho IDS/IPS users / Admins. Có thể cài đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.

Trong hệ thống phát hiện xâm nhập, sensor được tích hợp với thành phần sưu tập dữ liệu  –  một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có s ự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

·   Thành phần thu thập gói tin (information collection).

·   Thành phần phân tích gói tin (detection).

·   Thành phần phản hồi (respotion).

Trongbathànhphầnnày,thành phầnphântíchgóitinlà quantrọngnhấtvàbộcảmbiến(sensor)đóngvaitròquan quyếtđịnhnêncầnđượcphântíchđểhiểurõhơnvềkiếntrúccủamộthệthống pháthiệnxâmnhập

Bộcảmbiếnđượctíchhợpvớithànhphầnsưutậpdữliệu.Bộtạosựkiện. Cáchsưutậpnàyđượcxácđịnhbởichínhsáchtạosựkiệnđểđịnhnghĩachếđộlọc thôngtinsựkiện.Bộtạosựkiện(hệ điềuhành,mạng,ứngdụng)cungcấpmộtsố chínhsáchthíchhợpchocácsựkiện,cóthểlàmộtbảnghicácsựkiệncủahệthống hoặccácgóimạng.Sốchínhsách nàycùngvớithôngtinchínhsáchcóthểđượclưu tronghệthốngđượcbảovệhoặc bênngoài.

Vaitròcủabộcảmbiếnlàdùngđểlọcthôngtinvàloạibỏdữliệukhông tươngthíchđạtđượctừcácsựkiệnliênquanvớihệthốngbảovệ,vìvậycóthể pháthiệnđượccáchànhđộngnghingờ.Bộphântíchsửdụngcơsở dữliệuchính sáchpháthiệnchomụcnày.Ngoàiracòncócácthànhphần:dấuhiệutấncông, profilehànhvithôngthường,cácthamsốcầnthiết(vídụ:cácngưỡng).Thêmvào đó,cơsởdữliệugiữcácthamsốcấuhình,gồmcócácchếđộtruyềnthôngvới moduleđáptrả.Bộcảmbiếncũngcócơsởdữliệucủariêngnó,gồm dữliệulưuvề cácxâmphạmphức tạptiềmẩn(tạoratừnhiềuhànhđộngkhácnhau).

Hình 1.3: Kiến trúc của một hệ thống phát hiện xâm nhập

IDScóthể đượcsắpđặttậptrung(vídụnhưđượctíchhợpvàotrongtường lửa)hoặcphântán.MộtIDSphântángồmnhiềuIDSkhác nhautrênmộtmạnglớn, tấtcảchúngtruyềnthôngvớinhau.Nhiềuhệthốngtinhviđitheonguyênlýcấu trúcmộttácnhân,nơicác modulenhỏđượctổchứctrênmộthosttrongmạngđược bảovệ.

 Vaitròcủatácnhânlàđểkiểmtravàlọctấtcảcáchànhđộngbêntrong vùngđượcbảovệvà phụthuộcvàophươngphápđượcđưara.Tạophântíchbước đầuvàthậmchíđảmtráchcảhànhđộngđáptrả.Mạngcáctácnhânhợptácbáocáo đếnmáychủphântíchtrungtâmlàmộttrongnhữngthànhphầnquantrọngcủa IDS.DIDScóthểsửdụngnhiềucôngcụphântíchtinhvihơn,đặcbiệtđượctrang bịsựpháthiệncáctấncôngphântán.Cácvaitròkháccủatácnhânliênquanđến khảnănglưuđộngvàtínhroamingcủanótrongcácvịtrívậtlý.Thêmvàođó,các tácnhâncóthểđặcbiệtdànhchoviệcpháthiệndấuhiệutấncôngđãbiếtnàođó. Đây làmộthệsốquyếtđịnhkhi nói đếnnghĩa vụbảovệliênquanđếncáckiểutấn côngmới.

  Giảiphápkiếntrúcđatácnhânđượcđưaranăm1994làAAFID(cáctác nhântựtrịchoviệcphát hiệnxâmphạm).Nósửdụngcáctácnhânđểkiểmtramột khíacạnhnàođóvềcáchànhvihệthốngởmộtthờiđiểmnàođó.Vídụ:mộttác nhâncóthểchobiếtmộtsốkhôngbìnhthườngcáctelnetsessionbêntronghệ thốngnókiểmtra.Tácnhâncókhảnăngđưaramộtcảnhbáokhiphát hiệnmộtsự kiệnkhảnghi.Cáctácnhâncóthểđượcnháivàthayđổibêntrongcáchệthống khác(tínhnăngtựtrị).Mộtphầntrongcác tácnhân,hệthốngcóthểcócác bộphận thuphátđểkiểmtratấtcảcáchànhđộngđượckiểmsoátbởicáctácnhânởmột hostcụthểnàođó.Các bộthunhậnluônluôngửicáckếtquảhoạtđộngcủachúng đếnbộkiểmtraduynhất.Cácbộkiểmtranhậnthôngtintừcácmạng(khôngchủ từ mộthost),điềuđócónghĩalà chúngcóthểtương quanvớithôngtinphântán. Thêmvàođómộtsốbộlọccóthểđược đưarađểchọnlọcvàthuthậpdữliệu.

Hình 1.4. Các tác nhân tự trị cho việc phát hiện xâm nhập

1.2.4.Các thành phần hệ thống ngăn chặn xâm nhập

Một hệ thống IPS gồm có 3 module chính: Module phân tích gói tin, Module phát hiện tấn công, Module phản ứng.

Modulephântích gói tin: Modulenàycónhiệmvụphântíchcấutrúcthôngtincủagóitin.NICCard củamáytínhđượcgiámsátđượcđặtởchếđộpromiscuousmode,tấtcảcácgóitin quachúngđềuđượcsaochéplạivàchuyểnlênlớptrên.Bộphântíchgóitinđọc thôngtintừngtrườngtronggóitin,xácđịnhchúngthuộckiểugóitingì,dịchvụgì, sửdụngloạigiaothứcnào…Cácthôngtinnàyđượcchuyểnlênmodulepháthiện tấncông.

Modulepháthiệntấn công: Đâylàmodulequantrọngnhấtcủahệthốngpháthiệnxâmnhập,cókhả năngpháthiệnracáccuộctấncông.Cómộtsốphươngphápđểpháthiệnracác dấuhiệuxâmnhập hoặc cáckiểutấncông (signature-basedIPS,anomally-based IPS,…).

·   Phươngphápdòsựlạmdụng: Phương phápnàyphântíchcáchoạtđộngcủahệthống,tìmkiếmcácsựkiện giốngvớicácmẫutấncôngđãbiếttrước.Cácmẫutấncôngnàyđượcgọilàdấu hiệutấncông.Dovậyphươngphápnàycòngọilàphươngphápdòdấuhiệu. Phươngphápnàycóưuđiểmlàpháthiệncáccuộctấncôngnhanhvàchính xác,khôngđưaracáccảnhbáosaidẫnđếnlàmgiảmkhảnănghoạtđộngcủamạng và giúpchongười quảntrịxácđịnhcáclỗhổngbảomậttronghệthốngcủaminh. Tuy nhiên,phươngphápnàycónhượcđiểmlàkhôngpháthiệnđượccáccuộctấn côngkhôngcótrongcơsởdữliệu,cáckiểutấncôngmới,dovậyhệthốngphải luônluôncập nhậtcáckiểutấncôngmới.

·   Phương pháp dò sự không bình thường: Đâylàkỹ thuậtdòthôngminh,nhậndạngracáchànhđộngkhôngbình thườngcủamạng.Quanniệmcủaphươngphápnàyvềcáccuộctấncônglàkhác vớicáchoạtđộngbìnhthường. Banđầuchúngsẽlưutrữcácmôtảsơlượcvềcáchoạtđộngbìnhthường củahệthống.Cáccuộctấncôngsẽcónhữnghànhđộngkhácsovới bìnhthườngvà phươngphápnàycóthểnhậndạngra.

Cómộtsốkỹthuậtdòsựkhôngbìnhthường củacáccuộctấncông.

·   Pháthiệnmứcngưỡng:Kỹthuậtnàynhấnmạnhviệcđođếmcáchoạtđộngbìnhthườngtrênmạng. Cácmứcngưỡngvềcáchoạtđộngbìnhthườngđượcđặtra.Nếucósựbấtthường nàođó,vídụnhưđăngnhậpvàohệthốngquásốlầnquiđịnh,sốlượngcáctiến trìnhhoạtđộngtrênCPU,sốlượngmộtloạigóitinđượcgửiquámức…Thìhệ thốngchorằngcódấuhiệucủasựtấncông.

·   Pháthiệnnhờquátrìnhtựhọc:Kỹthuậtnàybaogồm2bước,khibắtđầuthiếtlậphệthốngpháthiệntấn côngsẽchạyởchếđộtựhọvàtạohồsơvềcáchcưxửcủamạngvớicáchoạtđộng bìnhthường.Sauthờigiankhởitạo,hệthốngsẽchạy ởchếđộlàmviệc,tiếnhành theodõi,pháthiệncáchoạtđộngbấtthườngcủamạngbằngcáchsosánhvớihồsơ đãđượctạo. Chếđộtựhọccóthểchạysongsongvớichếđộlàmviệcđểcậpnhậthồsơ củamìnhnhưngnếudòracácdấuhiệutấncôngthìchếđộtựhọcphảingừnglại chođếnkhi cuộctấncôngkếtthúc

·   Pháthiệnsựkhôngbìnhthườngcủagiaothức:Kỹthuậtnàycăncứvàohoạtđộngcủacácgiaothức,cácdịchvụcủahệ thốngđểtìmracácgóitinkhônghợplệ,cáchoạtđộngbấtthườngvốnlàdấuhiệu củasựxâmnhập.Kỹthuậtnàyrấthiệuquảtrongviệcngănchặncáchìnhthứcquét mạng, quétcổngđểthuthậpthôngtinhệthốngcủahacker.Phươngphápdòsựkhôngbìnhthườngcủahệthốngrấthữuhiệutrongviệcphát hiệncáckiểutấncôngtừchốidịchvụDoS.Ưuđiểmcủaphươngphápnàylàcóthể pháthiệncáckiểutấncôngmới,cungcấpthôngtinhữuíchbổsungchophương phápdòsựlạmdụng.Tuynhiên,chúngcónhượcđiểmlàthườnggâyracáccảnh báosai làmgiảmhiệusuấthoạtđộngcủamạng.

Module phản ứng: Khicódấuhiệucủasựtấncônghoặcxâmnhập,modulepháthiệntấncông sẽgửitínhiệubáohiệucósựtấncônghoặcxâmnhậpđếnmodulephảnứng.Lúc đó module phảnứngsẽkíckhoạtfirewallthựchiệnchức năngngănchặncuộctấn công.Tạimodulenày,nếuchỉđưaracáccảnhbáotớicácngườiquảntrịvàdừng lạiởđóthìhệthốngnàyđượcgọilàhệthốngphòngthủbịđộng.Modulephảnứng nàytùytheohệthốngmàcócácchứcnăngkhácnhau.Dưới đây là một số kỹ thuật ngăn chặn:

-         Terminatesession: CơchếcủakỹthuậtnàylàhệthốngIPSgửigóitinreset,thiếtlậplạicuộc giaotiếptớicảclientvàserver.Kết quảcuộcgiaotiếpsẽđượcbắtđầulại,cácmục đíchcủahackerkhôngđạtđược,cuộctấncôngbịngừnglại.Tuynhiênphương phápnàycómộtsốnhượcđiểmnhưthờigiangửigóitinresetđếnđíchlàquálâu sovớithờigiangóitincủahackerđếnđượcVictim,dẫnđếnresetquá chậmsovới cuộctấncông,phươngphápnày khônghiệuứngvớicácgiaothứchoạtđộngtrên UDPnhưDNS,ngoàiragóiResetphảicótrườngsequencenumberđúng(sovới góitintrướcđótừclient)thìservermớichấpnhận,dovậynếuhackergửicácgói tinvớitốcđộnhanhvàtrườngsequencenumberthayđổithìrấtkhóthựchiệnđược phươngphápnày.

-         Dropattack:Kỹthuậtnàydùngfirewallđểhủybỏgóitinhoặcchặnđườngmộtgóitin đơn,mộtphiênlàmviệchoặcmộtluồngthông tingiữahackervàvictim.Kiểuphản ứng nàylàantoànnhấtnhưnglạicónhượcđiểmlàdễnhầmvớicácgóitinhợplệ.

-         Modifyfirewallpolices: Kỹthuậtnàychophépngườiquảntrịcấuhìnhlạichínhsáchbảomậtkhi cuộctấncôngxảyra.Sựcấuhìnhlạilàtạmthờithay đổicácchínhsáchđiềukhiển truycậpbởingườidùngđặcbiệttrongkhi cảnhbáotớingườiquảntrị.

-         Real-timeAlerting: Gửicáccảnhbáothờigianthựcđếnngườiquảntrịđểhọnắmđượcchitiết cáccuộctấncông,cácđặcđiểmvàthôngtinvềchúng.

-         Logpacket: Cácdữliệucủa cácgóitinsẽđượclưutrữtronghệthốngcácfilelog.Mục đíchđểcácngườiquảntrịcóthểtheodõicác luồngthôngtinvàlànguồnthôngtin giúpchomodulepháthiệntấncônghoạtđộng.

Bamoduletrên họatđộngtheotuầntựtạonênhệthốngIPShoànchỉnh.Một hệthốngIPSđượcxemlàthànhcôngnếuchúnghộitụđượccácyếutố:thựchiện nhanh,chínhxác,đưaracácthôngbáohợplý,phântíchđượctoànbộthônglượng, cảmbiếntốiđa,ngănchặnthànhcôngvàchínhsáchquảnlýmềmdẻo.

Cáckiểutấncôngmớingàycàngpháttriểnđedọađếnsựantoàncủacáchệ thốngmạng.Vớicácưuđiểmcủamình,hệthốngIPS dầntrởthànhkhôngthểthiếu trongcáchệthốngbảomật.