Tải bản đầy đủ (.doc) (35 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Tìm Hiểu Nhu Cầu Bảo Mật Mạng (Trong Thương Mại Điện Tử)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (197.04 KB, 35 trang )

Phần 1: Tìm hiểu nhu cầu bảo mật mạng (trong thương mại điện tử)
1. Tại sao phải bảo mật mạng ?
Nhiều nhà nghiên cứu ước tính có khoảng hơn 100 triệu host, với hơn 350 triệu người sử
dụng liên quan. Nhiều công ty lệ thuộc nặng nề vào ngành thương mại điện tử cho việc
kinh doanh của họ.Việc hợp nhất internet vào trong tổ chức kinh doanh được đánh giá là
có hiệu quả.Những người sử dụng ở nhà thường xuyên tận dụng sự truy cập tốc độ cao
ma khá rẽ tới cho nhà của họ thông qua những cáp modem và những đường dây đang kí
thuê bao điện thoại kĩ thuật số( DSLs). Điểm cốt yếu là những gì mà Internet mang lại
mang tính công cộng hơn trước kia và vẫn phát triển rộng lơn mà không có thể không có
điểm kết thúc.
Trải qua nhiều năm trước đây,việc kinh doanh trên mạng, hay thương mại điện tử đã
được cải thiện một cách mạnh mẽ về cả chất lượng của những công ty và cả sự tăng về
thu nhập.Những ứng dụng thương mại điện tử như thương nghiệp điện tử, sự quản lí dây
chuyền cung cấp, và điều khiển khả năng truy cập của những công ty vào tiến trình hợp
lí, sự điều hành giá thấp hơn, và làm tăng sự hài lòng của khách hàng.
Vì vậy những ứng dụng đòi hỏi những mạng có nhiệm vụ then chốt như cung cấp âm
thanh, hình ảnh, và dữ liệu công cộng, và những mạng này phải được thích nghi để hỗ trợ
cho việc tăng số người sử dụng và nhu cầu cho dung lượng và sự thực thi lớn hơn. Tuy
nhiên đối với những mạng có nhiều ứng dụng và có nhiều người sử dụng hơn nữa, chúng
trở nên dễ bị tổn hại cho quá nhiều mối đe dọa từ việc bảo mật. Để chống lại các mối đe
dọa này va đảm bảo rằng sự giao dịch thương mại điện tử không bị tổn hại, kĩ thuật bảo
mật phải đóng một vai trò quan trọng trong hệ thống mạng ngày nay.
.................................................. ...................
Tìm hiểu một mạng “kín” trong quá khứ

Một mạng khép kín đơn giản bao gồm một mạng được thiết kế và thực thi trong một môi
trường hợp nhất, và cung cấp sự kết nối chỉ để biết những thành viên và những vị trí của
nó mà không kết nối tới mạng công cộng. Những mạng được thiết kế theo cách này trong
quá khứ và để đảm bảo an toàn một cách hợp lí bởi vì nó không có kết nối với bên ngoài.
Một mạng tiêu biểu ngày nay:


Những mạng ngày nay được thiết kế với khả năng kết nối với Internet và mạng công
cộng, và đó là một yêu cầu chính yếu. Hầu hết các mạng ngày nay có một vài điểm truy
cập tới những mạng khác kể cả mạng công cộng lẫn mạng cá nhân, vì vậy việc bảo mật
cho những mạng này trở thành một nhiệm vụ quan trọng một cách tất yếu.
Những mối đe dọa ngày càng tăng và dễ dàng sử dụng chúng :

Với việc phát triển một một số lớn các mạng đã kéo theo việc tăng những mối đe dọa


việc bảo mật từ 20 năm trước đây. Không chỉ những hacker khám phá ra nhiều chỗ yếu,
mà những công cụ được sử dụng và trình độ kĩ thuật đòi hỏi để hack trở nên quá đơn
giản. Có những ứng dụng có sẵn mà yêu cầu một ít hay không có kiến thức cho tới công
cụ hacking . Cũng có những ứng dụng vốn có cho việc xử lí sự cố một mạng mà khi được
sử dụng không đúng cách có thể dẫn tới nhiều mối đe dọa.
.................................................. ...................
Bảo mật mạng là cấp thiết :

Sự bảo mật đã di chuyển tới mặt trước của sự quản lí và thực thi mạng. Đó là sự cần thiết
cho sự tồn tại của nhiều việc kinh doanh để cho phép mở ra việc truy cập tài nguyên
mạng, và đảm bảo rằng dữ liệu và những tài nguyên được an toàn như có thể.
Nhu cầu của việc bảo mật mạng trở nên quan trọng hơn bởi vì những lí do sau đây:
- Yêu cầu cho thương mại điện tử -- Sự quan trọng của thương mại và nhu cầu cho những
dữ liệu cá nhân để đi qua những mạng công cộng đã làm tăng nhu cầu cho sự bảo mật
mạng.
- Yêu cầu cho việc truyền thông và thực hiện việc kinh doanh một cách an toàn trong
những môi trường không an toàn một cách tiềm tàng. Môi trường kinh doanh ngày nay
đòi hỏi sự truyền thông với nhiều mạng công cộng và những hệ thống mà làm tăng nhu
cầu cho nhiều sự bảo mật mạng có thể xảy ra khi những loại truyền thông được yêu cầu.
- Kết quả là những mạng đòi hỏi những sự phát triển và thi hành của một chính sách bảo
mật mạng diện rộng. Sự thiết lập một chính sách bảo mật sẽ là những bước đầu tiên trong

sự di chuyển một mạng tới một thiết bị an toàn.
.................................................. ...................
2. Bảo mật mạng trong thương mại điện tử :

Bảo mật phải là một thành phần chủ yếu của bất kì chiến lược của thương mại điện tử.
Như những người quản lí hoạt động kinh doanh mạng mở ra những mạng của họ cho
nhiều ứng ụng và nhiều người sử dụng, họ cũng bộc bộc lộ tới sự mạo hiểm cao hơn. Kết
quả đã là một sự gia tăng trong yêu cầu bảo mật kinh doanh.
Internet đã thay đổi sự trông mông cơ bản của khả năng xây dựng những mối quan hệ với
khách hàng của các công ty, nhà cung cấp, những thành viên, và nhân viên. Việc chạy
đua giữa những công ty để trở nên nhanh hơn và cạnh tranh hơn, thương mại điện tử thì
đang cung cấp sự sinh ra những ứng dụng mới thú vị cho thương nghiệp điện tử, sự quản
lí chuỗi cung cấp, sự quan tâm khách hàng, sự lạc quan về lực lượng lao động, và những
ứng dụng việc học qua mạng mà những tiến trình cải thiện, tăng tốc số lần thay đổi hoàn
toàn , giá thấp hơn, và tăng sự hài lòng của người sử dụng.
Thương mại điện tử yêu cầu những mạng có nhiệm vụ then chốt mà xem xét những cử tri
liên tục tăng quanh năm và đòi hỏi cho công suất và sự thực thi lớn hơn. Những mạng
này cũng cần cho việc điều khiển tiếng nói, âm thanh, và dữ liệu cộng cộng như sự hội tụ
mạng thành một môi trường đa phục vụ.


3. Những chính sách bảo mật của chính phủ Mỹ :

Sự phân chia pháp lí của những tổ chức và những lỗ thủng trong sự cẩn mật dữ liệu và
tính liêm chính cũng có thể là vô cùng quí giá cho việc tổ chức. Chính phủ Mỹ cũng ban
hành và đang phát triển những sự sắp đặt để điều khiển những thông tin điện tử cá nhân.
Những sự sắp đặt tồn tại và phụ thuộc trong qui định chung mà sự tổ chức nếu vi phạm
có thể đương đầu một dãy các hình phạt. Những điều sau đây là một số ví dụ:
- Hoạt động Gramm-Leach Bliley( GLB) – Bao gồm một vài sự sắp đặt chính cho sự
thành lập bộ tài chính . Sự thành lập này có thể chống một dãy hình phạt từ sự hoàn thành

của bảo hiểm FDIC để tăng mức hình phạt tiền tệ lên 1 tỉ đô la.
- Hoạt động cải cách bảo mật thông tin của chính phủ (HIPPA) của năm 2000 – Nhiều cơ
quan phải trải qua sự tự đánh giá hàng năm và những đánh giá độc lập của những thực
tiễn và chính sách bảo mật của họ, mà được yêu cầu cho việc xem xét kết quả.
- Hoạt động bảo hiểm sức khỏe có tính khả chuyển và có trách nhiệm giải trình (HIPPA)
của năm 1996 (Bộ luật nhà nước 104-191) – Khía cạnh “ Sự đơn giản hóa việc quản trị ”
của bộ luật đó yêu cầu Bộ phục vụ sức khỏe và con người của Mỹ (DHHS) để phát triển
những chuẩn và sự đòi hỏi cho việc duy trì và sự chuyển giao thông tin nhận dạng những
bệnh nhân riêng biệt. Những chuẩn này được thiết kế cho những việc sau đây :
o Cải thiện tính hiệu quả và chất lượng của hệ thống chăm sóc sức khỏe bằng sự tiêu
chuẩn hóa việc trao đổi dữ liệu điện tử cho sự chuyển giao tài chính và sự quản trị đã
được định rõ.
o Bảo vệ cho sự bảo mật và sự cẩn mật của thông tin sức khỏe.
.................................................. .......................
Dù một hacker bên ngoài là một thủ phạm của một vụ tấn công, việc lưu trữ thông tin mà
thông tin này có thể được tìm thấy là tiềm năng của sự cẩu thả bởi phiên tòa nếu thông tin
không được an toàn một cách thích đáng. Hơn nữa những công ty mà trải qua những sự
rạn nứt trong tính nguyên vẹn của dữ liệu có thể được yêu cầu để bênh vực chống lại sự
kiện cáo bắt đầu bởi những khách hàng mà bác bỏ bị ảnh hưởng bởi những điều không
đúng hay sự tấn công dữ liệu và tìm kiếm tiền tệ hay sự hủy hại ác liệt.
4. Chính sách bảo mật mạng
Một chính sách bảo mật mạng có thể là đơn giản như một chính sách sử dụng có thể chấp
nhận cho những tài nguyên mạng hay nó có thể là một vài trăm trang trong chiều dài và
chi tiết mỗi yếu tố của sự kết nối và những chính sách liên hợp.
Chính sách bảo mật mạng là gì?
Theo Site Security Handbook (RFC 2196) “ Một chính sách bảo mật là một lời tuyên bố
trang trọng của những qui tắc của những người mà được cho sự truy cập tới những tài sản
kĩ thuật và thông tin của một tổ chức mà phải giữ gìn ”. Nó đẩy mạnh những tình trạng, “
Một chính sách bảo mật về cơ bản là một bảng tổng kết cách sự tổ chức sẽ sử dụng và
bảo vệ tài nguyên mạng và máy tính của nó. ”



Tại sao ta phải tạo chính sách bảo mật?
- Để tạo một ranh giới của tình hình bảo mật hiện tại của bạn.
- Để thiết lập một khung sự thi hành bảo mật.
- Vạch rõ những cách đối xử cho phép hoặc không cho phép.
- Để giúp cho việc định rõ những công cụ và thủ tục cần thiết.
- Để giao tiếp sự tương đồng và vạch rõ những vai trò.
- Chỉ ra cách để giữ những cái vốn có của bảo mật.
Những chính sách bảo mật cung cấp nhiều lợi ích và là giá trị cho thời gian và sự nỗ lực
cần để phát triển chúng. Việc phát triển một chính sách bảo mật :
- Cung cấp một tiến trình để kiểm toán sự bảo mật mạng đang tồn tại.
- Cung cấp một khung bảo mật chung cho sự thi hành bảo mật mạng.
- Vạch ra những cách đối xử cho phép hoặc không cho phép.
- Giúp cho việc định rõ những công cụ và thủ tục cần thiết cho một tổ chức.
- Làm cho sự thi hành và sự ép buộc bảo mật toàn cục có thể xảy ra. Sự bảo mật máy tính
bây giờ là một vấn đề thuộc diện rộng và những tình trạng máy tính được trông đợi để
làm cho phù hợp với chính sách bảo mật mạng.
- Tạo ra một tiêu chuẩn cho những hoạt động dựa trên luật pháp nếu cần thiết.
Chính sách bảo mật mạng nên chứa những gì?
- Lời phát biểu của người có thẩm quyền và phạm vi – Mục này chỉ rõ ai là người bảo
đảm chính sách bảo mật mạng và những khu vực nào chính sách bao phủ.
- Chính sách sử dụng có thể chấp nhận được – Mục này chỉ ra những gì công ty sẽ và sẽ
không cho phép thu thập cơ sở hạ tầng thông tin của nó.
- Chính sách sự nhận dạng và sự xác nhận là đúng – Mục này chỉ ra những kĩ thuật nào,
thiết bị nào, hay sự kết nối nào của hai công ty sẽ sử dụng để bảo đảm rằng chỉ một cá thể
riêng lẻ được ủy quyền để truy cập dữ liệu của nó.
- Chính sách truy cập Internet – Mục này chỉ ra những gì mà công ty coi việc truy cập
Internet đúng nội quy và thích hợp.
- Chính sách truy cập khu trường sở -- Mục này chỉ ra cách những người ử dụng trên khu

trường sở sẽ sử dụng cơ ở hạ tầng dữ liệu của công ty đó.
- Điều khiển chính sách truy cập – Mục này chỉ rõ cách điều khiển những người sử dụng
sẽ truy cập cơ sở hạ tầng dữ liệu của công ty đó.
- Cách trình bày thủ tục vốn có – Mục này chỉ rõ cách công ty sẽ tạo một đội trả lời vốn
có và những cách trình bày nó sẽ sử dụng trong suốt và sau ngay khi xảy ra.

Phần 2: Tìm hiểu về chu trình bảo mật mạng
Tác giả: Lê Tài Nguyên
1. Chu trình bảo mật mạng là gì?
Cisco quan trọng nhất là việc bảo mật mạng, và cốt lõi của nó là dùng cho những cơ sở
hạ tầng nghiêm trọng mà những quốc gia được phát triển này và khác phụ thuộc vào.


Mục này tổng kết lại cái nhìn về bảo mật mạng, và nó là một tiến trình liên tục.

Sau khi thiết lập những chính sách thích hợp, một công ty hoặc tổ chức phải có phương
pháp nhận ra sự bảo mật như một phần của những sự điều hành mạng thông thường. Điều
này có thể đơn giản như việc cấu hình những router ngăn cản những dịch vụ hay địa chỉ
trái phép, hay phức tạp như việc cài đặt bức tường lửa, hệ thống phát hiện xâm nhập
(IDS), những máy chủ có quyền tập trung, và những mạng máy tính cá nhân ảo được mã
hóa.
Sau khi phát triển một chính sách bảo mật, bảo đảm mạng của bạn sử dụng một sự đa
dạng của những sản phẩm điểm (firewall, intrusion,…) Tuy nhiên trước khi bạn có thể
bảo vệ mang máy tính của bạn, bạn cần phải kết hợp những sự hiểu biết của bạn về người
sử dụng, những tài sản cần sự bảo vệ và những cấu trúc liên kết mạng.
-------------------------------------------------------Bảo đảm một mạng
Thi hành những giải pháp bảo mật để dừng hay ngăn cản sự truy cập hay những họat
động trái phép để bảo vệ thông tin :
- Sự chứng thực
- Sự mã hóa

- Bức tường lửa
- Sự đắp vá những chỗ yếu.

Những giải pháp sau đây được dùng cho việc bảo mật một mạng :
- Sự chứng thực --- Sự thừa nhận mỗi cá nhân sử dụng, và sự ánh xạ sự nhận dạng của
họ, vị trí, và thời gian cho chính sách; và sự cho phép của những dịch vụ mạng và những
gì họ có thể làm trên mạng.
- Sự mã hóa --- Một phương pháp đảm bảo cho sự cẩn mật, tính nguyên vẹn, tính chất
xác thục của sự truyền thông dữ liệu qua một mạng. Giải pháp của Cisco kết hợp nhiều
chuẩn, bao gồm chuẩn mã hóa dữ liệu (DES).
- Đắp vá những cỗ yếu dễ bị tấn công --- Việc đắp vá và nhận dạng “những lỗ thủng”
bảo mật có thể xảy ra sẽ dàn xếp được một mạng.
-------------------------------------------------------------Giám sát việc bảo mật
- Tìm ra những sự vi phạm cho chính sách bảo mật.
- Giải quyết sự kiểm định và sự phát hiệm xâm nhập thời gian thực của hệ thống.
- Thông qua những sự thi hành của việc bảo mật trong bước 1.

Để đảm bảo rằng một mạng yêu cầu được an toàn, điều quan trọng là phải kiểm tra tình


trạng sẵng sàng bảo mật. máy quét những chỗ yếu dễ bị tấn công của mạng nhận ra khu
vực có tình trạng yếu kém, và IDS có thể kiểm tra và đáp lại sự kiện bảo mật như chúng
xảy ra. Việc sử dụng những phương pháp kiểm tra, những tổ chức có thể thu được một
tầm nhìn chưa từng xảy ra thành cả dòng dữ liệu mạng và sự bố trí bảo mật mạng.
Kiểm tra sự bảo mật
Thông qua những sự có hiệu lực của chính sách mạng bằng việc kiểm định hệ thống và
việc quét những chỗ yếu dễ bị tấn công.

Việc kiểm tra sự bảo mật cũng quan trọng như việc xem xét bảo mật. Nếu không có sự
kiểm tra giải pháp bảo mật ở nơi đó, nó không thể nào biết được những mối đe dọa nào

đang và sắp tấn công. Cộng đồng hacker là một môi trường luôn luôn thay đổi. Bạn có
thể thực thi việc kiểm tra này bằng chính bạn hay bằng một nguồn từ bên ngoài nó như là
nhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA).
Nhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA) là một sự đánh giá tính dễ bị tấn công
của mạng đặc biệt cung cấp một sự hiểu biết sâu sắc nhanh nhạy vào bên trong tình hình
bảo mật của một mạng khách hàng. Được chuyển giao bởi những kĩ sư bảo mật mạng
Cisco chuyên nghiệp cao (NSEs), SPA Cisco bao gồm một số những nhà phân tích hình
hột, sẵn dùng của những mạng nhà cung cấp dịch vụ pâhn tán, co dãn từ hình phối cảnh
của một “hacker ”bên ngoài.
Cải thiện bảo mật
- Sử dụng thông tin từ giai đoạn giám sát và kiểm tra để làm cải thiện tính bảo mật
- Điều chỉnh chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo
mật được nhận dạng.
Hành động giám sát và kiểm tra này cung cấp dữ liệu cần thiết để cải thiện sự bảo mật
mạng. Những kĩ sư và những nhà quản trị mạng nên sử dụng thông tin từ giai đoạn giám
sát và kiểm tra để tạo cho sự cải thiện thành sự thi hành bảo mật tốt như việc Điều chỉnh
chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo mật được nhận
dạng.

2. Những loại nguy hiểm tấn công mạng
Mục này cung cấp một cái nhìn về sự đa dạng của những ảnh hưởng và những sự tấn
công mạng.

Nếu không có sự bảo mật thích hợp, bất kì phần nào của bất kì mạng nào có thể bị ảnh
hưởng của những vụ tấn công hay những hoạt động trái phép mang tính xâm phạm.


Những router, switch, và host tất cả có thể bị xâm phạm bởi những hacker chuyên
nghiệp, những người tấn công công ty, hay ngay cả những nhân viên quốc tế. thật vậy,
theo nhiều sự nghiên cứu, nhiều hơn phân nửa những người tấn công mạng trên thế giới

được trả lương một cách bí mật.
Học viện bảo mật máy tính (CSI) ở San Francisco ước tính rằng khoảng 60 tới 80 phần
trăm sự lạm dụng mạng đến từ bên trong những công trình mà sự lạm dụng đã năm được
nơi đó. Để định rõ cách tốt nhất cho việc bảo vệ chống lại những sự tấn công, những nhà
quản lí IT nên hiểu nhiều loại tấn công mà có thể được dử dụng và những mối nguy hiểm
ma những laọi tấn công này có thể gây ra cho cấu trúc hạ tầng thương mại điện tử.
-------------------------------------------------------------

3. Những mối đe dọa sự bảo mật mạng
Có bốn loại chung có thể tấn công mạng:
- Mối đe dọa không có cấu trúc – unstructured threats
- Mối đe dọa có cấu trúc – structured threats
- Mối đe dọa bên ngoài – external threats
- Mối đe dọa bên trong – internal threats

Bốn loại cụ thể như sau:
- Mối đe dọa không có cấu trúc – unstructured threats – những mối đe dọa đầu tiên
này bao gồm những hacker hiếm khi sử dụng những công cụ chung khác nhau, như là
những tập lệnh vỏ bọc hiểm độc, những tội phạm máy tính ăn cắp password, những người
đề xuất số thẻ tín dụng, và những người đe dọa trình quay số .Mặc dù những hacker trong
loại này có thể có những mục đích hiểm độc, nhiều sự hấp dẫn hơn trong những sự thay
đổi trí óc của những sự bảo vệ sự ăn cắp máy tính hơn việc tạo sự tàn phá.
- Mối đe dọa có cấu trúc – structured threats – Những mối đe dọa này được taọ ra bởi
những hacker mà được thúc đẩy cao hơn và thạo một cách kĩ thuật.Thỉnh thoảng, tội
phạm có tổ chức, những đối thủ công nghiệp, hay những tổ chức thu thập tình trạng bảo
trợ thông minh thuê như những hacker.
- Mối đe dọa bên ngoài – external threats – Những mối đe dọa này bao gồm những mối
đe dọa cấu trúc và không cấu trúc được tổ chức từ một nguồn bên ngoài. Những mối đe
dọa này có thể có những mục đích hiểm độc và phá hoại, hay một cách đơn giản là những
lỗi mà tạo ra một mối đe dọa.

- Mối đe dọa bên trong – internal threats – Những mối đe dọa này tiêu biểu là những
nhân viên hiện tại hay cũ bất bình. Mặc dù những mối đe dọa bên trong có thể dường như
nhiều điềm xấu hơn những mối đe dọa từ những nguồn bên ngoài, thước đo bảo mật thì
sẵn có để dùng cho việc làm giảm bớt những nguy hiểm từ những mối đe dọa bên ngoài


và trả lời khi bị tấn công.
--------------------------------------------------------------------

4. Những loại tấn công đặc biệt
Tất cả những điều sau đây có thể được sử dụng để làm hại hệ thống của bạn:
- Những sniffer packet – packet sniffer
- Điểm yếu của địa chỉ IP – Ip weakness
- Những tấn công vào password – Password attack
- Sự phủ nhận dịch vụ hay Sự phủ nhận được phân tán của dịch vụ -- DoS or DDoS
- Những cuộc tấn công trung gian – Man-in-the-middle attack
- Những cuộc tấnm công vào lớp ứng dụng – application layer attack
- Khai thác sự tín nhiệm. – trust exploitation
- Sự tái điều khiển cổng – port redirection
- Virus
- Con ngựa thành Troa – Trojan horse
- Lỗi điều hành – operator error
- Sự chảy tràn bảng CAM – CAM table flooding
- Bước truyền VLAN – VLAN hopping
- Sự nhiễm độc ARP/MAC—ARP/MAC poisoning
- Sự giả mạo ARP – ARP spoofing
- Tấn công VLAN cá nhân – private VLAN attack
- Multicast brute-force failover
- Sự thiếu DHCP


---------------------------------------------------------------------------------------------------------------------------

5. Ví dụ về Packet Sniffer
Packet sniffer là một ứng dụng phần mềm ma sử dụng một mạch giao tiếp mạng trong
chế độ pha tạp ( một chế độ ở nơi mà một mạch giao tiếp mạng gửi tất cả những gói nhận
được từ mạng vật lí tới nột ứng dụng cho việc xử lí) để bắt giữ tất cả các gói mạng mà
được gửi thông qua một mạng LAN. Đây là một số đặc điểm của packet sniffer :
- Những packet sniffer khai thác thông tin thông qua những đoạn text rõ ràng.Những giao
thức mà thông qua thông tin một cách rõ ràng bao gồm:
o Telnet
o FTP
o SNMP
o POP HTTP
- Packet sniffer phải được ở trên một phạm vi đụng độ giống nhau.


Một giao thức mạng chỉ định cách những gói dữ liệu thì được nhận dạng và đánh nhãn,
mà làm cho một mạng có thê chứng thực nơi mà một gói dữ liệu được dự định cho nó.
Bởi vì sự chỉ rõ cho những giao thức mạng, như là TCP/IP, được công bố một cách rộng
rãi, một tác nhân thứ 3 có thể dễ dàng hiểu được những gói dữ liệu mạng và phát triển
một packet sniffer ( ngày nay mối đe dọa thật sự xảy ra do bởi số lượng lớn từ những
packet sniffer freeware và shareware có sẵn, mà không yêu cầu người sử dụng hiểu bất cứ
điều gì về giao thức cơ bản)
----------------------------------------------------------------Packet Sniffer

Một packet sniffer có thể cung cấp cho những người sử dụng chúng với thông tin có ý
nghĩa và thường bị hỏng, như tên tài khoản và mật khẩu của người sử dụng. Nếu bạn sử
dụng những cơ sở dữ liệu được mạng hóa, một packet sniffer có thể cung cấp một người
tấn công với thông tin mà được truy vấn từ cơ sở dữ liệu, cũng như những mật khẩu và
tên tài khoản người sử dụng dùng để truy cập vào cơ sở dữ liệu. Một vấn đề nghiêm trọng

với việc tìm được mật khẩu và tài khoản truy nhập đó là những người sử dụng dùng lại
những mật khẩu và tên truy nhập của họ thông qua những ứng dụng đa tác vụ.
Thêm vào đó, nhiều nhà quản trị mạng sử dụng những packet sniffer để chẩn đoán và sửa
những vấn đề liên quan mạng. Bởi vì trong tiến trình của sự thông thường và cần thiết
của chúng làm nhiệm vụ quản trị những mạng này ( như những cái đó trong một bộ phận
tiền lương)làm việc trong suốt những giờ nhân viên bình thường, chúng có thể khảo sát
một cách có tiềm năng thông tin dễ bị tổn hại được phân bố thông qua mạng.
Nhiều người sử dụng thuê một mật khẩu đơn lẻ truy cập vào tất cả các ứng dụng và tài
khoản. Bởi vì những kẻ tấn công biết và sử dụng những đặc diểm của con người ( tấn
công những phương pháp được biết chung như những vụ tấn công điền hành thông
thường), như việc sử dụng một mật khẩu đơn lẻ cho nhiều tài khoản đa người dùng,
chúng thường thành công trong việc giành được quyền truy cập thông tin dễ bị tấn công.
------------------------------------------------------------------------Có hai loại chính của packet sniffer :
• Mục đích chung
o Giành được tất cả các gói dữ liệu.
o Bao gồm một vài hệ điều hành.
o Những phiên bản freeware và shareware có sẵn.
• Được thiết kế cho mục đích tấn công
Giành được 300 đến 400 byte đầu tiên
Tiêu biểu giành được những mục đang nhập ( Giao thức truyền bằng file ( FTP), rlogin
và telnet)
Sự di chuyển packet sniffer


Những kĩ thuật và công nghệ sau đây có thể được sử dụng để di chuyển những packet
sniffer :
- Sự xác thực – Việc sử dụng sự xác thực chắc chắn là một sự lựa chọn đầu tiên cho sự
phòng thủ chống lại những packet sniffer. Sự xác thực chắc chắn có thể được định rõ một
cách rộng rãi như một phương pháp xác thực người sử dụng mà không thể dễ dàng bị phá
vỡ. Một ví dụ chung của sự xác thực chắc chắn là mật khẩu một lần (OTPs).

- Mậ mã – sự hoàn trả những packet sniffer không thích hợp, mà là phương pháp có hiệu
quả nhất cho việc chống lại packet sniffer – ngay cả nhiều ảnh hưởng hơn việc ngăn ngừa
hay phát hiện những packet sniffer. Nếu một kênh truyền thông là sự an toàn về mật mã,
thì dữ liệu chỉ là một đoạn text không có giá trị đối với packet sniffer ( bề ngoài chúng
khi là những chuỗi bit) và không là thông điệp gốc. sự phát triển mật mã mức độ mạng
Cisco thì dựa trên IPSee, nó là một phương pháp chuẩn cho những dịch vụ mạng để truyề
thông với việc sử dụng IP một cách riêng biệt. những giao thức mã hóa khác cho sự quản
lí mạng bao gồm giao thức bảo vệ tiện ích (SSH) và lớp bảo vệ lỗ hỏng ( SSL).

Phần 3: Hệ thống phát hiện xâm nhập
1. Hệ thống phát hiện xâm nhập là gì?
Khi bạn đặt một đồng hồ báo động trên những cánh cửa và trên những cửa sổ trong nhà
của bạn, giống như việc bạn đang cài đặt một hệ thống phát hiện xâm nhập (IDS) trong
nhà bạn vậy. Hệ thống phát hiện xâm nhập( IDSs) được dùng để bảo vệ mạng máy tính
của bạn điều hành trong một ki6ẻu đơn giản. Một IDS là một phần mềm và phần cứng
hmột cách hợp lí để mà nhận ra những mối nguy hại có thể tấn công chống lại mạng của
bạn. Chúng phát hiện những hoạt động xâm phạm mà xâm nhập vào mạng của bạn. Bạn
có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những
host log, những system call, và những khu vực khác mà phát ra những dấu hiệu chống lại
mạng của bạn.
Trước sự triển khai một IDS, bạn phải hiểu những lợi ích mà một IDS cung cấp. Bên
cạnh việc phát hiện những cuộc tấn công, hầu hết hệ thống phát hiện xâm nhập cũng cung
cấp vài loại cách đối phó lại những tấn công, như việc thiết lập những kết nối TCP.
Việc phát hiện những cuộc tấn công chống lại mạng của bạn( được đề cập trong chương
1, “ Nhu cầu bảo mật mạng”), tuy nhiên trước hết nó là khung thành của sự phát hiện
xâm nhập. Những hoạt động xâm nhập có thể bị phát hiện trong nhiều cách khác nhau. Vì
vậy, mọi người có thể thiết kế những loại IDSs khác nhau để giải quyết những vấn đề
phát hiện xâm nhập.
Những loại hoạt động giám sát phụ thuộc vào những hệ thống IDS mà bạn sử dụng. Mỗi
loại IDS khác nhau có những điểm mạnh và những điểm yếu của nó. Tuy nhiên, bạn có

thể đánh giá mỗi IDS bằng việc xem những điều sau đây:


• Khởi sự(Trigger)
• Giám sát vị trí(Monitoring location)
• Những đặc trưng ghép( Hybrid characteristic)
IDS Trigger-Trigger của hệ thống IDS
Mục đích của bất kì một IDS cũng là phát hiện khi có một kẻ xâm nhập tấn công mạng
của bạn. Tuy nhiên,không chỉ mỗi IDS sử dụng cùng một triggering mechanism để tạo ra
một chuông báo động. Hệ thống IDS hiện tại sử dụng 2 triggering mechanism chính:
• Phát hiện một cách không bình thường( Anomaly detection)
• Phát hiện sử dụng không đúng( misuse detection)
Những Trigger mechanism
Những trigger mechanism đề cập tới những hoạt động mà IDS muốn tạo ra một chuông
báo. Trigger mechanism cho một chuông báo động trong nhà có thể là một sự vỡ ra của
cửa sổ. Một IDS của mạng có thể sinh ra một chuông báo nếu một hệ thống chắc chắn gọi
những thực thi. Bất kì việc gì mà có thể phát tín hiệu như một sự xâm nhập có thể là một
trigger mechanism.
Anomaly detection-Sự phát hiện không bình thường
Anomaly detection thỉnh thoảng cũng đề cập tới như hệ thống phát hiện profile(profilebased IDS). Với sự phát hiện này, bạn phải xây dựng những hiện trạng ( profile) cho
những cá nhân sử dụng riêng. Trong tình huống khác, những profile này kết hợp chặt chẽ
với một thói quen người dùng cơ bản, những dịch vụ mà anh ta sử dụng một cách thường
xuyên,… Những profile này xác định rõ một vạch ranh giới cho những hoat động mà
người dùng thông thường làm một cách thường lệ để thực thi công việc của họ.
Nhóm sử dụng
Một nhóm sử dụng miêu tả một nhóm người sử dụng mà thực thi những chức năng đơn
giản trong một mạng. Đôi khi, bạn có thể xây dựng những nhóm người sử dụng dự trên
sự phân loại công việc, như một nhóm kĩ sư, thư kí,…Mặc khác, bạn có thể muốn thiết kế
nhóm người sử dụng dựa trên những phòng ban. Cách mà bạn thiết kế những nhóm
không quan trọng, nó dài bằng những người dùng trong nhóm thực thi những hoạt động

trên mạng.
Việc xây dựng và cập nhật những proie này miêu tả một phần ý nghĩa của mạng yêu cầu
để triển khai một IDS anomaly-based. Chất lượng của những profile này liên hệ trực tiếp
tới cách IDS của bạn thành công ở việc phát hiện những hiểm họa tấn công mạng của
bạn. Mọi người có kinh nghiệm với những đường đi( traffic) thông thường cho những
người dùng khác nhau trên những mốc thời gian và khi đó tạo ra những qui luật mà làm
mẫu những thói quen này.


Anomaly Detection với mạng thần kinh.
Anomaly Detection cuối cùng sử dụng gần giống như mạng thần kinh. Những mạng thần
kinh là một hình thức của sự thông minh nhân tạo nơi bạn cố gắng làm để gần giống như
công việc của một dây thần kinh sinh học, như là những gì tìm thấy trong bộ não của con
người. Với những hệ thống này, bạn đào tạo chúng bằng việc trình bày chúng với một số
lượng lớn dữ liệu và qui tắc liên quan đến dữ liệu. Sau khi hệ thống được đào tạo, traffic
mạng được dùng như một sự kích thích tới mạng thần kinh để chứng minh nơi mà traffic
được coi như bình thường.
Issues-Những kết quả
Những profile người sử dụng tạo thành trái tim của một IDS anomaly-based. Một vài hệ
thống sử dụng một giai đoạn đào tạo ban đầu mà những người giám sát mạng cho một
khoảng thời gian định trước. Khi đó đường đi này sử dụng để tạo ra một vạch ranh giới
người sử dụng. Vạch ranh giới này định rõ một traffic thông thường trên mạng là như thế
nào. Sự bất lợi với sự đến gần này là những điều nếu như công việc của người sử dụng
thay đổi theo thời gian, họ bắt đầu tạo ra những chuông báo sai.
Những hệ thống khác giữ những số liệu thống kê liên tục hay chỉ liên tục cho những
chênh lệch nhỏ trong thói quen người sử dụng. Trong môi trường này, sự xác định thông
thường chỉ để kê khai liên tục cho những thay đổi trong thói quen điều hành của người sử
dụng. Sự bất lợi của sự tiến gần này là những gì mà một kẻ tấn công kiên quyết có thể rèn
luyện hệ thống tăng dần cho tới khi traffic tấn công thật sự của anh ta xuất hiện như một
traffic thông thường trên mạng.

Benefits-Những lợi ích
Hệ thống anomaly detection đề cập một vài sự thuận lợi toàn diện. Đầu tiên họ có thể
phát hiện nhiều kẻ tấn công bên ngoài hay kẻ trộm tài khoản một cách dễ dàng. Nếu một
tài khoản đặc biệt liên quan tới một một thư kí văn phòng bắt đầu thử những chức năng
của một nhà quản trị mạng, ví dụ điều này có thể gây ra một báo động .
Sự thuận lợi khác là những gì mà một kẻ tấn công không hoàn toàn chắc chắn những gì
mà hoạt động tạo ra một cái chuông báo. Với một IDS chữ kí( signature-based IDS) một
người tấn công có thể kiểm tra những gì mà traffic có thể tạo ra một cái chuông báo trong
một môi trường lab. Bằng việc sử dụng những thông tin này, anh ta có thể sử dụng những
công cụ cùng nghề mà đi qua hệ thống sinature-based IDS. Với hệ thống anomaly
detection kẻ tấn công không biết dữ liệu đào tạo được sử dụng , ví vậy anh ta không thể
chiếm lấy bất kì hoạt động quan trọng nào sẽ rơi vào tình trạng không tìm ra.
Tuy nhiên sự thuận lợi chính của anomaly detection là những gì mà những chuông báo
không dựa trên những chữ kí(signature) đặc biệt, những sự tấn công được biết
trước( trong đoạn này, một signature là một thiết lập những qui luật nhận ra đường đi đặc
biệt mà mô tả những hoạt động xâm phạm). Thay vì chúng dựa trên một profile mà chỉ
định rõ hoạt động của người sử dụng thông thường.
Vì vậy, một IDS sinature-based có thể tạo ra một chuông báo cho những tấn công không


công bố trước đây, giống như những cuộc tấn công mới chênh lệch từ những hoạt động
của người sử dụng thông thường. Vì vậy, hệ thống IDS anomaly-based có thể phát hiện
những cuộc tấn công mới trong lần đầu tiên chúng sử dụng.
Những cuộc tấn công không công bố trước đây
Sau khi những cuộc tấn công được công bố ra công cộng, Những đại lí có thể làm việc
trên những bảng đắp vá bảo mật, và những chữ kí có thể được phát triển để phát hiện
những đường đi bị tấn công bằng việc sử dụng một hệ thống IDS signature-based.
Trước khi những cuộc tấn công này được phóng thích ra công cộng, chúng được biết như
những tấn công không biết trước. Bởi vì anomaly detection không giống như đường đi
đặc biệt( chỉ một sự sai lệch từ bình thường), nó có thể phát hiện nhiều sự tấn công không

công khai một cách trước đây khi chúng được sử dụng ban đầu chống lại mạng của bạn.
Những điều trở ngại (Drawback)
Trên cạnh dưới, anomaly detection có một vài trở ngại:
• Thời gian đào tạo ban đầu dài
• Không có sự bảo vệ mạng trong suốt quá trình đào tạo
• Khó khăn để xác định thông thường
• Phải cập nhật những profile của người sử dụng như sự thay đổi nhiều tính cách
• Những sự phủ định sai nếu đường đi xuất hiện thông thường
• Khó khăn để hiểu được việc báo động
• Phức tạp và khó khăn để hiểu
Đầu tiên bạn phải cài đặt IDS anomaly-based của bạn và thử nó cho những khoảng thời
gian đặc biệt, mà có thể nhận lấy hàng tuần. Bạn sử dụng những việc đào tạo này để quan
sát đường đi thông thường trên mạng.Việc xác định những thứ cấu thành đường đi thông
thường không là một nhiệm vụ đơn giản. Vì vậy, trong suốt thời gian đào tạo này, IDS
không bảo vệ mạng của bạn.
Vấn đề khác là những gì con người hướng về những hoạt động khác nhau của họ.Họ luôn
luôn không làm theo những mẫu thật giống nhau một cách thường xuyên. Nếu thời gian
huấn luyện ban đầu là không tương xứng, hay sự xác định của tình trạng bình thường thì
lỗi thời và sai, tính chất sai lệch là không thể tránh khỏi.
Khi những người sử dụng lạc từ đường định tuyến thông thường, IDS tạo ra một cái
chuông nếu những hoạt động này rơi quá xa từ tình trạng thông thường. IDS tạo ra đồng
hồ này dù là không có hoạt động xâm phạm thật sự tham gia nơi đó.
Sự xác nhận tình trạng thông thường cũng thay đổi trên cuộc sống của mạng của bạn.
Như sự thay đổi mạng của bạn, đường đi nhận ra tình trạng thông thường có thể bị thay
đổi. Nếu điều này xảy ra, bạn phải cập nhật những profile người sử dụng của bạn để cho
thấy những thay đổi đó. Đối với một mạng mà thay đổi một cách liên tục, việc cập nhật
những profile người sử dụng có thể trở thành một sự thay đổi chính.
Hơn nữa, nếu những nhóm người sử dụng của bạn thực thi một thiết lập những hoạt động
linh tinh, nó thì hoàn toàn khó khăn đối với bất cứ thứ gì để chống lại như những điều dị
thường.

Một profile-based IDS có thể tạo ra một false negative nếu những hoạt động xâm phạm


không lệch khỏi trạng thái không bình thường. Thỉnh thoảng, những hoạt động xâm phạm
có thể xuất hiện tương tự như đường đi người sử dụng thông thường.
Trong tình trạng này, nó có thể là khó khăn hay không thể xảy ra được cho một anomalybased IDS để phân biệt những hoạt động này như một sự xâm phạm và tạo ra một chuông
báo. Điều này có thể là một vấn đề có ý nghĩa nếu những nhóm người dùng của bạn thực
thi một thiết lập những hoạt động khác nhau.
False negative
Khi một IDS lơ là để tạo ra một chuông báo cho việc nhận biết những hành động xâm
nhập, nó được gọi là một false negative. Những negative miêu tả những sự tấn công thật
sự mà IDS đã bỏ sót ngay khi nó được lên chương trình để nhận biết sự tấn công này.
Hầu hết những người phát triển IDS có khuynh hướng thiết kế những hệ thống của họ để
trình bày những false negative. Tuy nhiên,nó thì hơi khó để loại trừ toàn bộ false
negative. Hơn nữa, khi bạn nhạy cảm với những hệ thống của bạn để báo cáo một vài
false negative, bạn có khuynh hướng làm tăng số lượng false possitive mà nhận báo
cáo.Nó là một sự thỏa hiệp bất biến.
Không giống như misused-based IDS, anomaly-based IDS không có một sự tương quan
trực tiếp giữa những cái chuông báo và những sự tấn công tiềm tàng. Khi những hoạt
động lệch hướng từ tình trạng thông thường đã được thiết lập của bạn, IDS của bạn sẽ tạo
ra một chuông báo. Sau đó nó thì trên nhà quản trị hệ thống của bạn để định rõ ý nghĩa
thật sự của chuông báo.
Drawback cuối cùng cho một anomaly-based IDS là sự phức tạp của nó. Nó thì không dễ
để giải thích cách mà hệ thống điều hành. Với một signatured-based IDS, nếu hệ thống
thấy một chuỗi dữ liệu đặc biệt, nó tạo ra một chuông báo. Tuy nhiên, với một anomalybased IDS bạn làm phức tạp những thông số hay lý thuyết thông tin kết hợp với mạng
thần kinh. Những người sử dụng thì không thoải mái khi họ không hiểu IDS của họ một
cách hoàn toàn. Hơn nữa, nhựng cái thiếu của việc hiểu này làm giảm hiệu quả của người
dùng trong IDS.
Misuse Detection-Phát hiện sự lạm dụng
Phát hiện sự lạm dụng( Misuse detection), cũng được biết như signature-based detection,

giống như hoạt động xâm phạm mà tranh giành những signature đặc biệt. Những
signature này được dựa trên một sự thiết lập những qui luật mà giành những mẫu tiêu
biểu và khai thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự truy cập vào
mạng của bạn. Những kĩ sư mạng khéo léo cấp cao nghiên cứu cách nhận biết tấn công
và những chỗ yếu nhằm phát triển những qui luật cho mỗ signature.
Việc xây dựng những signature rành mạch làm giảm những cơ hội của false possitive
trong khi làm nhỏ cơ hội của false negative. Một misuse-detection-based IDS cấu hình
hoàn chỉnh tạo ra mức thấp nhất false negative. Nếu một misuse-based IDS liên tục tạo ra
những false positive , sự ảnh hưởng toàn diện của nó sẽ được giảm.
Benefits-Những lợi ích
Misuse detection cung cấp một số lợi ích. Một vài lợi ích chính bao gồm :
• Những signature dựa trên những hiểu biết về hoạt động xâm nhập


• Những tấn công được phát hiện thì rõ ràng
• Hệ thống thì dễ dàng hiểu
• Những tấn công được thay đổi liên tục sau khi cài đặt
Mỗi misuse-based IDS phát hiện một thiết lập rõ ràng của những cuộc tấn công signature.
Bằng việc sử dụng một misuse-based IDS, bạn có thể chắc chắn những gì mà những tấn
công xâm nhập rõ ràng bị phát hiện. Những kĩ sư mạng thường xuyên phát triển những
qui luật để tạo ra những signature dựa trên những tấn công mới. Hơn nữa, những
signature phát triển tốt tạo ra những false positive ở mức thất nhất.
Với một hệ thống misuse-based IDS, mỗi cuộc tấn công vào cơ sở dữ liệu chữ kí có một
tên signature và một sự nhận dạng. Một người sử dụng có thể thể hiện tất cả những
signature trong cơ sở dữ liệu và chỉ rõ một cách chính xác những tấn công nào mà IDS
cần báo động.
Bằng việc hiểu biết về những tấn công đặc biệtt trong cơ sở dữ liệu signature, người sử
dụng có thể tin tưởng vào khả năng của IDS để bảo vệ mạng của họ. Khi những tấn công
mới lộ ra, chúng cũng có thể xác nhận những gí mà IDS của họ cập nhật để phát hiện
chúng.

Người sử dụng hiểu những phương pháp luận cơ bản sau một misuse-based IDS. Những
kĩ sư mạng phân tích những tấn công thực thụ và sau đó phát triển những signature để
phát hiện những hoạt động này. Sẽ tồn tại một sự tương ứng giữa chuông báo và những
tấn công. Một người dùng có thể tạo ra một đường đi tấn công và theo dõi một chuông
báo đặc biệt.
Drawbacks-Những trở ngại
Mặc dù misuse-based IDS cung cấp nhiều lợi ích, nhưng chúng cũng có những bất lợi lớn
sau:
• Việc duy trì tình trạng thông tin( ngay cả phạm vi hiểu biết)
• Việc cập nhật cơ sở dữ liệu signature
• Những tấn công mà phá vỡ IDS(false negative)
• Sự bất lực để phát hiện những tấn công lạ
Để phát hiện xâm nhập, một misuse-based IDS kiểm tra thông tin và sau đó so sánh nó
với signature trong cơ sở dữ liệu của nó. Tuy nhiên,thỉnh thoảng những thông tin này trải
dài ra thông qua nhiều gói dữ liệu.
Khi một signature yêu cầu nhiều mảnh dữ liệu, IDS phải duy trì tình trạng thông tin về
một signature bắt đầu khi nó thấy những mảnh dữ liệu đầu tiên. Tình trạng thông tin này
phải được duy trì trong khoảng thời gian của event horizon.
Event horizon
Để phát hiện ra tấn công, một signature-based IDS kiểm tra dữ liệu được đưa vào nó. Đôi
khi nhiều mảnh dữ liệu thì cần thiết để chống lại một cuộc tấn công signature.Một số
lượng thời gian cực lớn qua nơi mà một tấn công signature có thể được phát hiện thành
công( từ dữ liệu ban đầu tới dữ liệu cuối cần thiết cho việc hoàn thành cuộc tấn công
signature) được biết như event horizon. IDS phải duy trì tình trạng thông tin trong suốt
event horizon này.
Chiều dài của event horizon khác nhau. Đối với một vài tấn công, event horizon thì từ


người nhập vào hệ thống( logon) tới người rời hệ thống( logoff); bất kì nơi nào đối với
những tấn công khác nhau, như một cổng chậm quét qua, event horizon có thể kéo dài cả

tụần. Một điểm quan trọng để hiểu là IDS của bạn không thể duy trì tình trạng thông tin
một cách vô hạn định; vì vậy nó sử dụng event horizon để gi7ói hạn khoảng thời gian mà
no‘ lưu trữ tình trạng thông tin.
Bởi vì misuse-based IDS so sánh đường đi mạng chống lại những signature được biết
trong cơ sở dữ liệu của chúng, những kẻ tấn công cố gắng che đậy những tấn công chúng.
Với việc đạt được những thay đổi nhỏ cho sữ liệu tấn công, đôi khi chúng có thể thoát
khỏi cuộc tấn công thông qua misuse-based iDS mà không tạo ra một chuông báo, ví vậy
là nguyên nhân gây ra một false negative. Tình trạng tốt của sự xác định 1 signature đã
chỉ ra cách một misuse-based IDS thành công đó là ở việc trình bày false negative.
Khi những tấn công mới xuất hiện, cơ sở dữ liệu signature được sử dụng bởi misusebased IDS phải được cập nhật. Việc cập nhật thường xuyên của cơ sở dữ liệu signature là
quan trọng cho signature-based IDS thành công. Tuy nhiên hiện tại việc giữ cơ sở dữ liệu
được cập nhật thì rất khó.
Một trở ngại lớn cho misuse-based IDS đó là sự bất lực của nó để nhận ra những tấn công
tiềm ẩn. Tuy nhiên điều này không có nghĩa là một signature-based IDS không thể phát
hiện bất kí tấn công mới nào. Khi những người phát triển tạo ra những signature mới, họ
thử tạo ra một signature linh hoạt khi có thể, trong khi khả năng false horizon là thấp
nhất. Với việc sử dụng kĩ thuật này, nhiều signature phát hiện một lớp tấn công ngay cả
chúng dựa trên những thành công đặc biệt.
IDS Monitoring Location-Sự giám sát những vị trí của IDS
Bây giờ ta đã có những kiền thức cơ bản của những hoạt động xâm nhập mà có thể tạo ra
chuông báo động từ IDS của bạn, đó là thời gian để kiểm tra nơi một I xem đường đi xâm
nhập này. Hệ thống IDS giám giát một trong hai vị trí tiêu biểu là:
• The Host
• The network
A . Hệ thống phát hiện xâm nhập Host-Based :
Host-based IDS kiểm tra sự xâm nhập bằng cách kiểm tra thông tin ở host hay mức hệ
điều hành. Hệ thống IDS này kiểm tra nhiều diện mạo host của bạn, như hệ thống những
cuộc gọi(system call), bản ghi kiểm toán( audit log), thông điệp lỗi(error message),…
Hình dưới đây minh họa cho một sự miệu tả host-based IDS tiêu biểu.


Mục này miêu tả những đặc điểm của hệ thống phát hiện Host-Based bao gồm một hình
ảnh của sự triển khai kệ thống phát hiện xâm nhập host-based cơ bản.

Một hệ thống phát hiện xâm nhập host-based ( HIDS) kiểm tra những file log vào
host,những hệ thống và tài nguyên host file. Một sự tiện lợi của hệ thống HIDS là những
gì mà nó có thể xem xét tiến trình của hệ điều hành và bảo vệ những tài nguyên hệ thống


đặc biệt bao gồm những tập tin mà có thể chỉ tồn tại trên những host đặc biệt.
Một hình thức đơn giản của HIPS là có khả năng đang nhập vào một host. Tuy nhiên nó
có thể trở thành nhân sự đắc lực để chuyển đổi và phân tích những log này. Phần mềm
HIPS ngày nay yêu cầu phần mềm Agent phải được cài đặt trên mỗi host để xem xét
những hoat động thực thi trên nó và chông lại những host. Phần mềm Agent thực thi
những phân tích và bảo vệ phát hiện xâm nhập vào host.
Những thuận lợi
Bởi vì một host-based IDS kiểm tra đường đi sau khi nó tiến tới đích(target) của cuộc tấn
công( việc thừa nhận host là một đích), nó có thông tin trực tiếp trên sự thành công của
những tấn công. Với một networ-based IDS, chuông báo được tạo ra trên những hoạt
động xâm nhập biết trước, nhưng chỉ một host-based IDS có thể xác định sự thành công
hay thất bại thật sự của những cuộc tấn công.
Vấn đề khác như những mảnh vỡ ráp lại và những cuộc tấn công Time-To-Live có thể
thay đổi(TTL) thì khó để nhận biết việc ử dụng network-based IDS. Tuy nhiên, một hostbased IDS có thể sử dụng cụm IP riêng của host để dễ thỏa thuận với những vấn đề này.
Những khó khăn
Host-based IDS có một vài trở ngại hay khó khăn:
• Giới hạn tầm nhìn mạng
• Phải xử lí mỗi hệ điều hành trên mạng.
Khó khăn đầu tiên đối với host-based IDS là giới hạn tầm nhìn mạng với sự liên quan tới
sự tấn công. Ví dụ,hầu hết hệ thống IDS này không phát hiện những cú quét port chống
lại những host. Vì vậy, nó thì cũng không thể làm được với host-based IDS để phát hiện
những cú quét dọ thám chống lại mạng của bạn. Những cú quét này cho thấy một đồng

hồ chỉ thị cho nhiều tấn công khác chống lại mạng của bạn.
Khó khăn khác của host-based IDS đó là phần mềm phải chạy trên mỗi host của mạng.
Điều này miêu tả vấn đề phát triển mới cho những mạng hỗn tạp được soan với một số hệ
điều hành. Đôi khi, đại lí host-based IDS có thể chọn để hỗ trợ nhiều hệ điều hành bởi vì
những vấn đề hỗ trợ này. Nếu phần mềm host-based IDS của bạn không hỗ trợ tất cả hệ
điều hành trên mạng, mạng của bạn không bảo vệ toàn vẹn để chống lại những xâm nhập.
Hình 3.2 sự tấn công Vriable Time-To-Lite

Sự khó khăn cuối cùng là khi host-based IDS phát hiện một sự tấn công, nó phải truyền
thông tin này tới một vài loại phương tiện quản lí trung tâm. Một sự tấn công có thể lấy
những truyền thông ngoại tuyến của host. Khi đó host này không thể truyền thông bất kì
thông tin nào đến phương tiện truyền thông trung tâm. Hơn nữa, đường đi mạng tới sự
quản lí trung tâm có thể thực hiện cho nó một điểm trung tâm của một sự tấn công.


Hình này minh họa cho sự trình bày HIPS cơ bản. Agent được cài đặt không chỉ trên
những server truy cập công cộng, những tập đoàn mail server, những server ứng dụng,
mà còn maáy tính cá nhân của người sử dụng. Agent báo cáo những sự kiện tới một
server điều khiển trung tâm đặt bên cạnh tập đoàn firewall.
B. Hệ thống phát hiện xâm nhập Network-Based( Network-based IDS)
Một network-based IDS kiểm tra những gói dữ liệu tới những sự tấn công định vị chống
lại mạng. IDS đánh hơi(sniff) những gói mạng và so sánh đường đi chống lại những
signature cho những hoạt động xâm nhập.

Hệ thống phát hiện xâm nhập bảo mật của Cisco( CSIDS) là một network-based IDS.
Bằng việc sử dụng signature, CSIDS quan tâm đến mỗi gói đi vào mạng và tạo ra chuông
báo khi những sự xâm nhập được phát hiện. Bạn có thể cấu hình CSIDS để không cho
những signature và những chỉnh sửa thông số signature vào làm việc một cách tốt nhất
trong môi trường mạng của bạn. Hình 3.3 cho thấy sự phát triển của CSIDS.
Mục này miêu tả đặc điểm của hệ thống phát hiện xâm nhập Network-Based (NIDSs),

bao gồm một hình ảnh của một sự trình NIDS cơ bản.

Những cảm biến được kết nối tới những phân đoạn mạng. Một sensor đơn lẻ có thể kiểm
xét nhiều host.
Sự phát triển của một mạng được bảo vệ một cách dễ dàng. Những host và dịch vụ mới
có thể được thêm vào mạng mà không có những sensor thêm vào.
Những sensor là những ứng dụng mạng được hòa hợp vào những sự phân tích
- Hệ điều hành thì “được làm cứng”
- Phần cứng được thiết kế chuyên dụng cho sự phân tích phát hiện xâm nhập.
Một NIDS bao gồm sự trình bày của những thiết bị kiểm duyệt hay “những sensor” thông
qua mạng, mà bắt lại và phân tích lưu lượng khi nó đi ngang qua mạng. Những sensor
phát hiện những hoạt động không cho phép và nguy hiểm trong thời gian thực và có thể
tham gia hoạt động khi được yêu cầu.
Những Sensor có thể được trình bày ở một thời điểm mạng được qui định rõ mà có thể là
những người quản trị bảo mật để kiểm duyệt những hoạt động mạng trong khi nó đang
xảy ra, bất chấp vị trí đích của sự tấn công.
NIDS cho những nhà quản trị bảo mật nhìn thấy bên trong việc bảo mật thời gian thật của
mạng bất chấp sự phát triển của nó. Sự phát triển mạng có thể xảy ra bằng việc thêm vào
những host truyền thống hay những mạng mới.NHững mạng truyền thống thêm vào sự
tồn tại những mạng được bảo vệ sẽ được bao bọc mà không có bất kì sensor mới nào.
Những sensor truyền thống có thể dễ dàng được triển khai để bảo vệ những mạng mới.


Một vài nhân tố mà bao gồm sự thêm vào những sensor như sau :
o Ngoại trừ những công suất lưu lượng – ví dụ , việc thêm vào những phân đoạn gigabit
mới đòi hỏi một sensor công suất cao.
o Khả năng thực thi của Sensor – những sensor hiện tại có thể không được thi hành việc
cho một traffic capacity mới.
o Sự bổ sungmạng – Chính sách bảo mật hay thiết kế mạng có thể yêu cầu những sensor
truyền thống để giúp việc thúc ép ranh giới bảo mật.

Những sensor NIDS được chỉnh một cách tiêu biểu cho sự phân tích phát hiện xâm nhập.
Hệ điều hành cơ bản là “ trần trụi” về những dịch vụ mạng không cần thiết và những dịch
vụ chủ yếu được bảo mật.
Phần cứng được chọn cung cấp sự phân tích phát hiện xâm nhập cực đại có khả năng cho
những mạng đa dạng khác nhau. Phần cứng bao gồm những phần sau đây :
- card giao tiếp mạng (NIC) – NIDS phải có khả năng kết nối vào bất kí mạng nào. Card
giao tiếp mạng NIDS chungbao gồm Ethernet, Fast Ethernet, GigEthernet, Token Ring và
FDDI.
- Bộ xử lí – Thiết bị phát hiện xâm nhập đòi hỏi khả năng của CPU để thực thi sự phân
tích giao thức phát hiện xâm nhập và làm khớp mẫu.
- Bộ nhớ -- Sự phân tích phát hiện xâm nhập là một bộ nhớ chuyên sâu. Bộ nhớ va chạm
với khả năng của một NIDS một cách trực tiếp để phát hiện tấn công một cách có hiệu
quả và chính xác .

Sự thuận lợi
Một natwork-based IDS có một vài sự thuận lợi như sau:
• Hình phối cảnh toàn mạng.
• Không phải chạy trên mỗi hệ điều hành mạng.
Bằng việc thấy đường đi đên đích với nhiều host, một bộ phận cảm biến nhận một mạng
mà cân nhắc trong mối liên hệ với những sự tấn công chống lại mạng của bạn.Nếu một ai
đó đang quét nhiều host trên mạng của bạn, những thông tin này thì hiển nhiên sẵn sàng
vào bộ cảm biến.
Sự thuận lợi khác với network-based IDS đó làkhông cần chạy trên mỗi hệ điều hành của
mạng. Một network-based IDS chạy trên một số bộ cảm bíến giới hạn và những nền tảng
của người quản lí. Những nền tảng này có thể được chọn để tiếp xúc với những yêu cầu
thực thi đặc biệt. Bên cạnh việc ẩn trên mạng đang bị giám sát, những dịch vụ này có thể
dễ dàng được làm cứng để bảo vệ chúng từ những tấn công bởi vì chúng phục vụ một
mục đích đặc biệt trên mạng. Ngay cả CSIDS hỗ trợ một bộ cảm biến mà là một lá trong
gia đình 6000 chất xúc tác( xem chương 14.”catalyst 6000 IDS Module Configuration”).
Những khó khăn

Một network-based IDS đối diện một vài khó khăn sau:
• Băng thông-Bandwidth


• Những mảnh vỡ ráp- Fragment reassembly
• Sự mã hóa- Encryption
Khó khăn lớn nhất đối với network-based IDS là băn thông.Như những ông dẫn mạng
phát triển ngày càng lớn, nó thì khó để giám sát thành công tất cả đường đi thông qua
mạng ở một thời điểm đơn lẻ trong thời gian thực, mà không bỏ sót những packet. Thay
vì bạn cần cài đặt nhiều sensor một cách thông thường thông qua mạng ở những vị trí mà
những sensor có thể giữ băng thông đường đi.
Những gói mạng có kích thước cực đại. Nếu một kết nối cần gửi dữ liệu mà vượt quá giới
hạn cực đại này, dữ liệu phải được gửi trong nhiều gói. Điều này đượ xem như là
fragmentation. Khi việc nhận host lấy những gói fragmantation, nó phải tập hợp lại dữ
liệu lại.
Không phải tất cả host thi hành những tiến trình một cách tập hợp trong bậc(order) giống
nhau. Một vài hệ điều hành bắt đầu với fragment cuối cùng và làm việc thông qua cái đầu
tiên. Những cái khác bắt đầủơ cái đầu tiên và làm việc thông qua cái cuối cùng. Order
không làm sự kiện nếu những fragment không chồng lên nhau. Nếu chúng đè lên nhau,
những kết quả khác nhau cho mỗi tiến trình không tập hợp với nhau.
Để kiểm tra những gói fragmentation, một sensor mạng cũng phải tập hợp những
fragment lại. Vấn đề bao gồm việc chọn những order đúng một cách tập hợp. Những kẻ
tấn công tấn công trên những fragment lapping để thử phá hỏng hệ thống network-based
IDS.
Một khó khăn khác đối với network-based IDS đến từ việc cố gắng bảo vệ sự tách biệt
của những kết nối dữ liệu của họ. Khi nhiều mạng và người sử dụng cung cấp sự mã hoá
cho những sessor người dùng, những thông tin ẩn có sẵn vào để giảm bớt một sensor
network-based IDS.Khi đường mạng được mã hoá, sensor mạng không thể đối chọi với
dữ liệu được mã hoá nhằm chống lại cơ sở dữ liệu signature của nó


Phần 4:Giải pháp của Cisco IDS
Cisco IDS
Hệ thống phát hiện xâm nhập bảo mật của Cisco( CSIDS) là một network-based IDS.
Bằng việc sử dụng signature, CSIDS quan tâm đến mỗi gói đi vào mạng và tạo ra chuông
báo khi những sự xâm nhập được phát hiện. Bạn có thể cấu hình CSIDS để không cho
những signature và những chỉnh sửa thông số signature vào làm việc một cách tốt nhất
trong môi trường mạng của bạn.CSIDS hỗ trợ cho hai nến tảng Director sau :
• Sự quản lí giao thức bảo mật Cisco(CSPM)
• Sự quản trị IDS bảo mật Cisco cho Unix.
Những sensor CSIDS thì có sẵn trong hai platform riêng. Sensor seri 4200 là những ứng
dụng mạng mà có thể được phát triển thông qua mạng của bạn( hãy xem chương 7”việc
cài đặt sensor seri 4200 bên trong CSPM”). Môđun hệ thống phát hiện xâm nhập( IDSM)
cho họ nhà switch 6000 là một sensor mà cư ngụ trên một blade của dòng 6000 của
switch.Thiết bị giám sát IDS cuối cùng là Cisco IOS firewall IDS. Platform này có thể
làm cho bạn thay đổi thường trình của bạn vào trong thiết bị giám sát IDS.
Tất cả những Sensor CSIDS có hai giao diện sau:


• sự giám sát- Monitoring
• Dòng lệnh và sự điều khiển.
Những sensor giám sát đường đi mạng cho những alarm trong thời gian thực thông qua
giao diện giám sát. Khi đó tất cả những alarm được truyền đi thông qua giao diện dòng
lệnh và sự điều khiển cho những platform Director.
Khi CSIDS phân tích dữ liệu mạng, nó tìm kiếm những(pattern) kiểu dáng của những sự
tấn công. Những parttern có thể được đơn giản như một sự cố gắng để truy cập vào một
port đặc biệt trên một host đặc biệt, hay phức tạp như những trình tự của sự điều hành
trực tiếp rừ nhiều host trên khaỏng thời gian tuỳ ý nào đó.
Phần này bao gồm những chuyên đề sau đây:
• Chức năng và đặc điểm của hệ thống
• những platform và những module hẹ thống.

• Những Platform director.
• CSIDS và giao thức PostOffice.
Chức năng và đặc điểm của hệ thống
Những cấu trúc kết nối của CSIDS giữ những sự kết nối giữa 2 thành phần này và trình
bày một vấn đề chính khác của CSIDS.
Tiến trình CSIDS cớ bản thì giống như sau(được đề cập ở hình 4-1):

Hình 4-1 Sự cấu hình CSIDS cơ bản
Bước 1: Một sensor chụp hình những gói mạng thông qua giao diện giám sát của nó.
Bước 2: Những gói packet được tập hợp lại nếu được yêu cầu và được so sánh ngược lại
với một signature mà biểu thị những hoạt động xâm nhập cơ bản.
Bước 3: Nếu một sự tấn công bị phát hiện, sensor ghi những sự tấn công và thông báo
cho Director platform thông qua những dòng lệnh và giao diện điều khiển.
Bước 4: Director platform hiển thị những alarm, ghi những dữ liệu, và tham gia những
hoạt động trên những sự tấn công bị phát hiện bởi sensor.
Bạn có thể lên chương trình những sensor của bạn để response những cách khác nhau
trên sự phát hiện alarm. Response này được cấu hình dựa trên tính nghiêm ngặc của
những sự tấn công bị khám phá. Response có thể được thực hiện như sau:
• Thiết lập TCP
• IP blocking
• IP logging
Response thiết lập TCP huỷ đi sự kết nối TCP hiện thời từ những kẻ tấn công bằng việc
gửi một gói TCP reset ( xem hình 4-2). Response này thì chỉ ảnh hưởng với những sự kết
nối dự trên TCP. Ví dụ, đường đi giao thức UDP thì không bị ảnh hưởng bởi những gói
TCP reset.

Hình 4-2 TCP reset sensor response


Với tuỳ chọn Ip blocking, sensor cập nhật danh sách điều khiển truy cập (ALC) trên

router vành ngoài để từ chối tất cả đường đi từ việc vi phạm địa chỉ IP( xem hình 4-3).
Response này ngăn chặn kẻ tấn công từ việc gửi bất kì đường đi xa hơn nữa vào trong
mạng được bảo vệ từ những host đặc biệt.
Chú ý rằng nếu một kẻ tấn công có nhiều host bị làm hại trong sự dàn sếp của anh ta, anh
ta có thể giữ phát động những sự tấn công từ những thiết bị mà chưa bao giờ được chặn
đứng. Hơn thế nữa, một vài sự tấn công, có thể cho phép những kẻ tấn công bắt chước
những host nguồn từ nơi mà anh ta xuất hiện để đi vào. Để chống lại những loại tấn công
này, tùy chọn Ip blocking thì không có hiệu quả bởi vì kẻ tấn công luôn luôn có thể chọn
ra một địa chỉ nguồn mới cho đường đi tấn công của anh ta.

Hình 4-3 Response Ip blocking
Chú ý:
Việc blocking yêu cầu sự cân nhắc kĩ lưỡng trước khi nó được triển khai, bất cứ nơi nào
mộtresponse tự động hay thông qua đường lối chỉ đạo điều hành cho những người quản
trị hệ thống. Để blcoking những phương tiện, sensor cấu hình một cách tích cực và nạp
lại một ACL của router Cisco IOS.
Những loại response được tự động bằng những sensor cần để cấu hình cho những
signature tấn công với một káh năng của sự phát hiện false-possitive. Trong trường hợp
của bất kì hành động nghi ngờ nào mà không làm trigger bloking tự động, bạn có thể sử
dụng Director platform để block một cách bình thường. CSIDS có thể được cấu hình để
không bao giờ block vào những host hay những mạng đặc biệt. Những thiết bị an toàn
này ngăn chặn sự phủ nhận của những sự tấn công dịch vụ( DoS) chống lại CSIDS và
những thành phần cơ sở hạ tầng khác.
Response thứ ba, Ip logging những record trong một session log file ma những kẻ tấn
công thì đang làm( xem hình 4-4). Tùy chọn này thị bị động và không ngăn chặn những
kẻ tấn công từ việc duy trì sự tấn công của anh ta. Thông tin bị log cung cấp một record
của những gì ma những kẻ tấn chống lại mạng.

Hình 4-4 Response Ip logging
Sensor platform và những Module

Những sensor từ những workhorse của CSIDS. Việc giám sát đường đi mạng cố định
đang tìm những sự tấn công tiềm tàng. Mỗi sensor kiểm tra đường đi mạng để tìm ra một
cách chống lại một trong những cuộc tấn công signature trong cơ sở dữ liệu signature của
nó.
Mỗi sensor tận dụng hai giao diện mạng. Một trong những hai giao diện giám sat đường
đi mạng này là một giao diện dòng lệnh command và một giao diện điều khiển. Tất cả sự
kết nối với Director platform xuất hiện trên giao diện dòng lệnh và giao diện điều khiển.
Để tìm hiểu thêm những thông tin khác trên sự cấu hình sensor cơ bản, xem chương “


Cấu hình Sensor với CSPM”.
Khi một sữ liệu mạng trigger một signature, sensor ghi lại những sự kiện và gửi sự khai
báo vào cho Director platform. Bên cạnh việc khai báo với Dirctoe platform sensor cũng
có một vài tùy chọn response. Nếu những kẻ tấn công đang sử dụng một kết nối TCP,
sensor có thể gửi một reset TCP đến sự kết nối này. Để ngắt những kẻ tấn công từ mạng,
sensor có thể block địa chỉ Ip của kẻ tấn công bằng việc cập nhật một ACL trên một
router Cisco IOS( IP blocking). Sensor cũng có thể log vào session IP mà trigger những
signature. Một Response cuối cùng là cho một sự điều hành để block host hay mạng một
cách thông thường mà được tạo ra từ một alarm. Hành động này sẽ chọn ra một nơi trên
Director platform.
Tất cả sensor là những ứng dụng phần cứng mà được chỉnh cho sự thực thi tốt nhất. Phần
cứng bao gồm CPU và bộ nhớ chính cho mỗi ứng dụng cung cấp một sự thực thi IDS tốt
nhất, trong khi đang diễn ra việc duy trì này. Để bảo vệ những sensor, hệ điều hành host
của những ứng dụng phải được cấu hình một cách an toàn. Sư hiểu biết về sự bảo mật
những tình trạng dễ bị tấn công phải được vá lại, và những dịch vụ không cần thiết phải
được bỏ đi.
Section này bao gồm những chủ đề sau đây:
• Những sensor seri 4200
• Module IDS cho dòng switch 6000
Những Sensor seri 4200

Những Sensor seri 4200 có hai phiên bản: IDS-4230 và IDS 4210. IDS-4230 thì mạnh
hơn của hai sensor này và được giới thiệu trong hình 4-5. Một vài đặc điểm của IDS4230 như sau:
• Sự thực thi: 100Mbps
• Bộ xử lí: Pentium III kép 600 MHz
• Bộ nhớ chính: 512 MB
• Card giao tiếp mang: FE/SFDDI/DFDDI

Hình 4-5: Sensor IDS 4230
IDS-4210 là một sensor nhiều compact( xem hình 4-6). Với kích thước nhỏ hơn đến từ
một đặc điểm được làm thất hơn so với IDS 4230. Đặc điểm của IDS-4210
• Sự thực thi: 45 Mbps
• Bộ xử lí: Celeron đơn 566 MHz
• Bộ nhớ chính: 256MB
• Card giao tiếp mạng: Ethernet

Hình 4-6: IDS-4210 sensor


Bảng 4-1: Những điểm khác nhau nổi bậc giữa những sensor này là:

Để xem thông tin chi tiết cho việc cài đặt nHững sensor dòng 4200, hãy xem chương 7
IDS Module cho dòng switch 6000
IDS Module( IDSM) cho dòng swith 6000 được thiết kế một cách đặc biệt để chỉ ra
những môi trường được chuyển đổi thông qua việc hợp nhất những chức năng vào trong
switch một cách trực tiếp. IDSM nhận được đường đi ngay tức thì backplane của switch,
bằng cáh ấy việc kết nối cả việc swtching và chức năng bảo mật vào trong chassis giống
nhau( Hình 4-7)

Hình 4-7: IDS Module dòng switch 6000
Để đơn giản cho dòng sensor 4200, IDSM phát hiện những hoạt động trái phép trên mạng

và gửi những alarm tới cho Director platform, trình bày tỉ mỉ những sự kiện. Sensor này
cư ngụ một cách trực tiếp trên switch,việc chụp hình dữ liệu một cách trực tiếp từ
backplane của switch. Hai phương pháp của việc chụp hình dữ liệu sau:
• Người phân tích port Switch( SPAN)
• Danh sách điều khiển truy cập VLAN
Việc sử dụng một port SPAN có thể làm cho bạn bảo switch thực hiện việc copy những
gói dữ liệu mà được thiết kế cho những port có sẵn trên switch. Danh sách truy cập
VLAN có thể làm cho bạn định rõ việc giám sát nhiều hình hột. Việc giám sát này có thể
dựa trên địa chỉ IP đặc biệt và những dịch vụ mạng. Hơn thế nữa, IDSM có thể giám sat
một bộ đầy 100 Mbps mà không có sự va chạm nào giữa các sự thực thi. Việc giám sát
thì ở bị động và được kiểm tra việc sau lưu những gói tin được kiểm tra.
Một vài đặc điểm chính của IDSM:
• Line Card được tích hợp một cách đầy đủ.
• Khả năng Multi-VLAN .
• Thiết lập chữ kí đầy đủ.
• Sự cấu hình và giám sát chung.
• Thực thi 100 Mbps.
• Không có sự va chạm giữa các sự thực thi .

Phần 5: Hệ thống phát hiện xâm nhập trên Linux
Hệ thống phát hiện xâm nhập của Linux( LIDS)
Root là nguồn gốc của tất cả vấn đề. Thường nó chỉ có ý nghĩa đối với người quản trị hệ
thống Unix/Linux. Sau khi việc truy cập vào root không thẩm định được sự xác nhận thì
việc kiểm soát mức độ thiệt hại dường như rất vô vọng đối với bạn.


Trong hệ thống mặc định của Red Hat Linux, một số hệ thống con thường không được
bảo vệ.
• Filesystem. Hệ thống có nhiều file quan trọng chẳng hạn như /bin/login, mà các hacker
thường xuyên phát hiện ra bởi vì chúng được bảo vệ. Nếu một hacker tấn công, bạn có

thể truy cập hệ thống này bằng cách tải lên chương trình đăng nhập đã được sửa đổi cẳhn
hạn như /bin/login. Trong thực tế không được thay đổi thường xuyên( hoàn toàn)- do đó
chúng sẽ không được bảo vệ.
• Các tiến trình thực thi. Nhiều tiến trình chạy với quyền sử dụng root, nghĩa là khi chúng
được phát hiện ra bằng cách sử dụng các thủ thuật chẳng hạn như phương pháp tràn bộ
đệm, người tấn công sẽ đạt được toàn bộ sự truy cập root lên hệ thống.
LIDS nâng cao tính bảo mật hệ thống bằng cách giảm năng lực sử dụng của người dùng
root. LIDS cũng thi hành một mô hình bảo mật cấp thấp trong kernel- cho các mục đích
như sau:
• Bảo vệ tính bảo mật
• Phát hiện sự nguy hiểm
• Các khả năng để đối phó với nguy hiểm
Ví dụ, LIDS có thể cung cấp việc bảo vệ như sau:
• Bảo vệ các file quan trọng và các thư mục tránh việc truy cập không hợp lệ trên ổ cứng
của bạn mà không quan tâm đến filesystem cục bộ nào mà chúng nằm trên đó.
• Bảo vệ các file và thư mục đã chọn để tránh việc sửa đổi từ người dùng root, do đó việc
truy cập root trái phép không thể biến người xâm nhập thành người giám sát.
• Bảo vệ các quá trình quan trọng không bị kết thúc từ một người nào khác kể cả người
dùng root( một lần nữa, phương pháp này sẽ giảm đi các khả năng của người dùng root).
• Ngăn các chương trình trái phép truy cập đến các thao tác nhập xuất.
• Bảo vệ bản ghi khởi động chính của đĩa cứng( MBR).
LIDS có thể phát hiện khi một người nào đó kiểm tra hệ thống của bạn bằng cách sử
dụng các chương trình quét cổng- và cho người quản trị hệ thống biết thông tin đó qua
email. LIDS cũng có thể cho người quản trị hệ thống biết bất cứ những gì có liên quan
đến sự xâm nhập không hợp pháp đối với các quy tắc mà bạn đã áp đặt – và ghi nhật ký
các thông báo chi tiết về sự xâm nhập đó( trong các chống trộm cắp được bảo vệ của
LIDS). LIDS không chỉ có thể ghi nhật ký và gửi mail vào các lần xâm nhập trái phép mà
nó còn chấm dứt khi làm việc tương tác của người xâm nhập.
Xây dựng hệ thống Linux dựa trên LIDS
LIDS( Linux Intrustion Detection System) là một phần mềm vá lỗi của kernel và là một

bộ các công cụ quản trị để nâng cao tính bảo mật từ bên trong kernel của hệ điều hành
Linux. LIDS sử dụng mô hình bảo mật reference monitor( kiểm soát tham chiếu), đặt mọi
thứ mà nó tham chiếu đến chủ đề, đối tượng và loại truy cập – trong kernel. Nếu bạn
muốn biết thêm nhiều thông tin về phương pháp này, hãy đến đến Website
www.lids.org/about.html
Một hệ thống Linux sử dụng LIDS chạy một kernel tùy biến, do đó bạn phải có mã nguồn
kernel mới nhất từ một vị trí đáng tin cậy chẳng hạn như www.kernel.org. sau khi bạn tải


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×