Tải bản đầy đủ (.docx) (83 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu triển khai hệ thống phát hiện xâm nhập mạng với phần mềm mã nguồn mở Snort_Inline

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.85 MB, 83 trang )

1

LỜI CẢM ƠN
Trước tiên, tôi xin gửi lời cảm ơn chân thành đến thầy giáo đã hướng dẫn
tôi hoàn thành đồ án này. Các thầy đã định hướng cho tôi làm đồ án, hướng dẫn,
truyền đạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần
thiết để tôi hoàn thành được đồ án.
Tôi xin cảm ơn các thầy cô trong Học viện Kỹ đã đào tạo và cung cấp cho
tôi những kiến thức hữu ích, làm hành trang để bước vào cuộc sống.


2

LỜI CAM ĐOAN
Để hoàn thành đồ án này, tôi chỉ sử dụng những tài liệu đã ghi trong mục
tài liệu tham khảo, ngoài ra không sử dụng bất kỳ tài liệu nào khác mà không
được ghi.
Nếu sai, tôi xin chịu mọi hình thức kỷ luật theo quy định của Học viện.
Hà Nội, ngày 05 tháng 06 năm 2015
Học viên thực hiện
(Ký và ghi rõ họ tên)


3

MỤC LỤC

CÁC KÝ HIỆU, CHỮ VIẾT TẮT
V

Tiếng Anh



Tiếng Việt

iết tắt
C

Common
Gateway
Công nghệ mô phỏng
GI
Interface
hình ảnh bằng máy tính
D
Distributed
Denial
Of
Tấn công từ chối dịch vụ
DOS
Services
phân tán
D
Domain Name System
Hệ thống tên miền
NS
D
Denial Of Services
Tấn công từ chối dịch vụ
OS
H
Host-base

Intrustion
IDS
Detection System
I
Internet Control Message
Giao thức xử lý các
CMP
Protocol
thông báo trạng thái cho IP
I
Intrustion Detection System
Hệ thống phát hiện xâm
DS
nhập
I
Internet Protocol
Giao thức Internet
P
I
Intrustion
Prevention
Hệ thống ngăn chặn xâm
PS
System
nhập
N
Network Interface Card
Cạc mạng
IC
N

Networt-based
Intrustion
IDS
Detection System
O
Open
Systems
Mô hình kết nối các hệ
SI
Interconnection
thống mở
S
Server Message Block
MB


4

T

Transport Control Protocol

U

User Datagtam Protocol

CP
DP

Giao thức điều khiển

truyền tải


5

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG BIỂU


6

LỜI MỞ ĐẦU
Với sự phát triển của khoa học công nghệ, thông tin được số hóa và được
lưu tại các trung tâm riêng biệt và có thể được chia sẻ rộng rãi trên mạng. Việc
mất mát thông tin trên mạng, lừa đảo trên mạng, tấn công từ chối dịch vụ,…đã
gây nhiều tổn thất trong kinh doanh cũng như gây phiền toái cho người dùng
Internet. Do đó, an toàn thông tin đang là vấn đề đang được quan tâm không chỉ
ở Việt Nam mà còn trên toàn thế giới.
Trong lĩnh vực an toàn thông tin, việc nghiên cứu, phát triển hệ thống bảo
vệ thông tin trước các tấn công bên ngoài và bên trong luôn được các nhà quản
lý chú trọng. Hệ thống phát hiện và ngăn chặn xâm nhập ra đời là một giải pháp
để đáp ứng các nhu cầu của các nhà quản lý.
Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn
mở Snort_inline là sự kết hợp các ưu điểm của hệ thống phát hiện xâm nhập
Snort và kỹ thuật tường lửa Iptables. Nó có khả năng phát hiện và tự động ngăn
chặn các hành động cố ý truy nhập trái phép vào hệ thống, các cuộc tấn công
thăm dò chẳng hạn như tràn bộ đệm, quét các cổng, các cuộc tấn công vào
Common Gateway Interface (CGI), dò Server Message Block (SMB), và nhiều
hơn nữa.

Do đó, em chọn thực hiện đồ án “Nghiên cứu, triển khai hệ thống phát
hiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn mở Snort_inline”
nhằm nghiên cứu, tìm hiểu hệ thống phát hiện xâm nhập Snort, hệ thống kiểm
soát truy cập với Iptables và từ đó triển khai hệ thống phát hiện và ngăn chặn
xâm nhập dựa trên phần mềm mã nguồn mở Snort_inline.


7

Nội dung đồ án chia thành 3 chương:
Chương 1: Tổng quan về hệ thống phát hiện và ngăn chăn xâm nhập
Chương này trình bày những kiến thức cơ bản về hệ thống phát hiện và
ngăn chặn xâm nhập: khái niệm, chức năng, phân loại, kiến trúc chung, phương
thức hoạt động… của hệ thống.
Chương 2: Hệ thống phát hiện xâm nhập Snort và tường lửa Iptables
Chương này trình bày về hệ thống phát hiện xâm nhập Snort, tường lửa
Iptables của Linux và sự kết hợp của hai hệ thống này để xây dựng một hệ thống
IPS.
Chương 3: Triển khai hệ thống phát hiện và ngăn chặn xâm nhập dựa
trên phần mềm mã nguồn mở Snort_inline
Chương này trình bày về quá trình triển khai một hệ thống IPS dựa trên
phần mềm mã nguồn mở Snort_inline để phát hiện và ngăn chặn xâm nhập mạng
trái phép.


8

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN
VÀ NGĂN CHẶN XÂM NHẬP
Hệ thống phát hiện xâm nhập (IDS) ra đời cách đây khoảng 30 năm và nó

đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng máy tính. Bằng cách
đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Thế hệ tiếp
theo của hệ thống phát hiện xâm nhập là hệ thống ngăn chặn xâm nhập (IPS) ra
đời năm 2004, đang trở nên phổ biến và dần thay thế cho hệ thống IDS. Hệ thống
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc
tấn công đó.
1.1. Hệ thống phát hiện xâm nhập (IDS – Intruction Detection System)
1.1.1. Giới thiệu về IDS
Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng hay phần mềm có
chức năng tự động giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác
nhau, sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ
thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát, IDS là
hệ thống phát hiện các dấu hiệu xâm hại đến tính bảo mật, tính toàn vẹn và tính
sẵn sàng của hệ thống máy tính và hệ thống mạng, làm cơ sở cho bảo đảm an
ninh hệ thống.
1.1.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa bởi việc gia tăng kết nối mạng và làm tăng sự tin cậy của hệ
thống thông tin này. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp
thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng
hệ thống phát hiện xâm nhập khi những đặc tính của hệ thống phát hiện xâm


9

nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác. IDS có được
chấp nhận là thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là
một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về các
chức năng mà IDS làm được, có thể tóm tắt các chức năng chính như sau:
Các chức năng quan trọng nhất: Giám sát – cảnh báo – bảo vệ

- Giám sát: Lưu lượng mạng và các hoạt động khả nghi, các thiết bị và
dịch vụ mạng, nguồn tài nguyên trên hệ thống.
- Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
- Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Chức năng mở rộng:
- Phân biệt: Các tấn công trong và ngoài mạng
- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc
nhờ vào sự so sánh lưu lượng mạng hiện tại với baseline.
Ngoài ra, hệ thống phát hiện xâm nhập IDS còn có chức năng:
- Ngăn chăn sự gia tăng của những tấn công
- Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
- Đánh giá chất lượng của việc thiết kế hệ thống
1.1.3. Phân loại IDS
Dựa vào đặc điểm của nguồn dữ liệu thu thập được, hệ thống phát hiện
xâm nhập được chia làm hai loại cơ bản sau:
- Networt-based IDS (NIDS): Sử dụng dữ liệu lưu thông trên toàn bộ
mạng, cùng nguồn dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện
xâm nhập.


10

- Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn
để phát hiện xâm nhập.
1.1.3.1. Networt-based IDS (NIDS)

Hình 1.1: Network-based IDS
NIDS là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của
các gói tin lưu thông trên các phương tiện truyền dẫn như (dây cáp, không dây)

bằng cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui tắc
của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các tập
tin log được lưu vào cơ sở dữ liệu.
Ưu điểm:
- Quản lý được cả một phân đoạn mạng (gồm nhiều host)
- Trong suốt với người sử dụng và kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng đến mạng
- Tránh tấn công DOS ảnh hưởng đến một host nào đó
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)


11

- Độc lập với hệ điều hành
Nhược điểm:
- Không thể phân tích các luồng dữ liệu đã được mã hóa (VD: SSL, SSH,
IPSec…).
- NIDS đòi hỏi phải được cập nhận các dấu hiệu mới nhất để thực hiện an
toàn.
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động.
- Hầu hết các hệ thống NIDS không thể xác định được hành động tấn
công, xâm nhập của kẻ tấn công có thành công hay không, tác động như thế nào
đến tài nguyên mạng. NIDS chỉ phát hiện dấu hiệu hành động tấn công, xâm
nhập ở bên ngoài mạng.
- Hệ thống NIDS gặp nhiều khó khăn với các hành động tấn công sử dụng
phương pháp phân đoạn gói tin do các hệ thống này thường không có cơ chế tái
hợp gói tin để kiểm tra.
1.1.3.2. Host-based IDS (HIDS)



12

Hình 1.2: Host-based IDS
HIDS là hệ thống phát hiện xâm nhập được cài đặt trên các máy tính
(host). HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việc
hoặc máy tính. HIDS cho phép thực hiện một cách linh hoạt trên các phân đoạn
mạng mà NIDS không thực hiện được. Lưu lượng đã gửi đến máy chủ được
phân tích và chuyển qua máy chủ nếu chúng không tiềm ẩn các mã nguy hiểm.
HIDS cụ thể hơn với các nền ứng dụng và phục vụ mạnh mẽ cho hệ điều hành.
Nhiệm vụ chính của HIDS là giám sát sự thay đổi trên host.
Ưu điểm:
- Có khả năng xác định người dùng (user) liên quan đến một sự kiện
(event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,
NIDS không có khả năng này.
- Có thể phân tích các dữ liệu mã hóa.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host


13

này.
Nhược điểm:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.
- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc tấn công dò quét mạng
(Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị tấn công DoS

- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
trên được UNIX và những hệ điều hành khác.
1.1.4. Kiến trúc của IDS
Ngày nay người dùng phân biệt các hệ thống IDS khác nhau thông qua
việc phân tích và kiểm tra của các hệ thống. Một hệ thống IDS được xem là
thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra
các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn
chặn thành công và chính sách hợp lý mềm dẻo. Mỗi hệ thống có những ưu điểm
cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả chung như
sau:
Mô hình chung của hệ thống IDS gồm 3 thành phần chính:
- Thành phần thu thập gói tin: bao gồm các điểm có nhiệm vụ bắt các gói
tin truyền trên mạng. Thường các điểm thu thập thông tin được đặt tại các điểm
kết nối giữa mạng nội bộ và mạng bên ngoài, nơi mà mọi trao đổi dữ liệu của
mạng đi qua.


14

- Thành phần phân tích gói tin: nhận các dữ liệu từ các điểm thu thập
thông tin gửi về, từ đó phân tích các mục đích của các gói tin, dựa vào hệ thống
thông tin và chính sách an ninh để tìm ra các hoạt động tấn công, xâm nhập trái
phép.
- Thành phần phản hồi: có nhiệm vụ đưa ra các cảnh báo cho nhà quản trị
mạng dựa vào các kết quả phân tích hoặc đưa ra các phản ứng trước những hành
động bất hợp pháp.
Trong 3 thành phần này thì thành phần phân tích gói tin là quan trọng nhất
và ở thành phần này bộ cảm biến đóng vai trò quyết định nên đồ án sẽ đi sâu vào
phân tích bộ cảm biến.


Hình 1.3: Mô hình chung hệ thống IDS
Bộ cảm biến được tích hợp với thành phần thu thập dữ liệu, một bộ tạo sự
kiện. Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa
chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng)
cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các


15

sự kiện của hệ thống hoặc các gói tin. Số chính sách này cùng với thông tin
chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu
chính sách phát hiện cho mục đích này.
1.1.1.5. Các phương pháp nhận biết tấn công
Hiện nay một số loại hệ thống phát hiện xâm nhập, được phân biệt bởi
phương pháp theo dõi và phân tích. Mỗi phương pháp có những lợi điểm và
những hạn chế nhất định. Tuy nhiên, mọi phương pháp đều có thể mô tả thông
qua một mô hình tiến trình chung tổng quát cho hệ thống phát hiện xâm nhập.
1.1.5.1. Nhận biết qua tập sự kiện
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ
trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều
được kết hợp vào cuộc kiểm định và được viết dưới dạng nguyên tắc if-then-else.
1.1.5.2. Phát hiện dựa trên tập luật (Rule-Based)
Phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự
mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu
tấn công có thể được tìm thấy trong các bản ghi (record). Một kịch bản tấn công
có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công
hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương

pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát
hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.
1.1.5.3. Phát hiện dựa trên phân biệt ý định người dùng (User intention
identification)


16

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng
một tập nhiệm vụ mức cao mà người dùng có thể thực hiện được trên hệ thống
(liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số
hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân
tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi
nào một sự không hợp lệ được phát hiện thh́ì một cảnh báo sẽ được sinh ra.
1.1.5.4. Phát hiện dựa trên phân tích trạng thái phiên (State-transition analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được
thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình
bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ
tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước.
1.1.5.5. Phát hiện dựa trên phương pháp phân tích thống kê (Statistical analysis
approach)
Đây là phương pháp thường được sử dụng. Hành vi người dùng hay hệ
thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến
như là: Đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng
thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có
thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho
mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ
trước.
1.1.5.6. Phát hiện dựa vào dấu hiệu
Phát hiện xâm nhập dựa vào dấu hiệu (Signature - Based Detection) để xác

định một sự kiện có phải là một mối nguy hiểm không. Việc phát hiện xâm nhập
dựa vào dấu hiệu hiệu quả với những mối đe dọa đã được biết đến. Tuy nhiên,


17

cách này vô hiệu hóa đối với những mối đe dọa chưa được biết đến, được che
giấu bằng cách nào đó hoặc những biến thể của những mối đe dọa đã biết.
Phương thức này không hiểu được nhiều giao thức hoạt động của mạng, giao
thức hoạt động của các ứng dụng, không theo dõi và hiểu các trạng thái liên lạc
phức tạp.
1.1.5.7. Phát hiện xâm vào sự bất thường
Phương thức phát hiện dựa vào sự bất thường (Anomaly – Based
Detection) là quá trình so sánh các định nghĩa sự kiện được cho là bình thường
với các sự kiện được quan sát để xác định các vấn đề bất thường. Ưu điểm của
phương thức này là sự đa dạng, có thể được chỉnh sửa, thay đổi để đạt hiệu quả
khi phát hiện những mối đe dọa chưa biết trước đó. Nhược điểm là có thể đưa ra
cảnh báo nhầm.
1.2. Hệ thống ngăn chặn xâm nhập (IPS – Intruction Prevention System)
1.2.1. Khái niệm
Hệ thống ngăn chặn xâm nhập IPS là một kỹ thuật an ninh mới, kết hợp
các ưu điểm của kỹ thuật tường lửa và hệ thống phát hiện xâm nhập IDS. Có
khả năng phát hiện các cuộc tấn công và tự động ngăn chặn hoặc cản trở các
cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn
chặn tấn công. Phần lớn các hệ thống IPS được đặt ở vành đai mạng, đủ khả
năng bảo vệ tất cả các thiết bị trong mạng.
1.2.2. Chức năng của IPS
Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp
lại các đoạn, ráp lại các phân khúc của giao thức điều khiển truyền tải (TCPsegment), xác nhận tính hợp lệ giao thức. Một IPS hoạt động giống như một



18

người bảo vệ gác cổng cho một khu dân cư, cho phép hoặc từ chối truy nhập dựa
trên cơ sở các ủy nhiệm và tập quy tắc nội quy nào đó.
Các giải pháp IPS “Ngăn ngừa xâm nhập” nhằm mục đích bảo vệ tài
nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công
bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho
phép các hoạt động hợp pháp tiếp tục.
1.2.3. Kiến trúc chung của hệ thống IPS
Một hệ thống IPS gồm có 3 thành phần chính:
- Module phân tích gói tin
- Module phát hiện tấn công
- Mudule phản ứng
1.2.3.1. Module phân tích gói tin
Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin. NIC
Card của máy tính được giám sát được đặt ở chế độ ngoài luồng, tất cả các gói
tin qua chúng đều được sao chép lại và chuyển lên lớp trên. Bộ phân tích gói tin
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì,
dịch vụ gì, sử dụng loại giao thức nào…Các thông tin này được chuyển lên
module phát hiện tấn công.
1.2.3.2. Module phát hiện tấn công
Đây là module quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các
cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là:
dò sự lạm dụng và dò sự không bình thường.
- Phương pháp dò sự lạm dụng:
+ Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm
các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công này



19

được gọi là dấu hiệu tấn công. Do vậy phương pháp này còn gọi là phương pháp
dò dấu hiệu.
+ Phương pháp này có ưu điểm là phát hiện các cuộc tấn công nhanh
và chính xác, không đưa ra các cảnh báo sai dẫn đến làm giảm khả năng hoạt
động của mạng và giúp cho người quản trị xác định các lỗ hổng bảo mật trong hệ
thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện
được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do
vậy hệ thống phải luôn luôn cập nhật các kiểu tấn công mới.
- Phương pháp dò sự không bình thường:
+ Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không
bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là
khác với các hoạt động bình thường.
+ Ban đầu chúng sẽ lưu trữ các mô tả sơ lược về các hoạt động bình
thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình
thường và phương pháp này có thể nhận dạng ra.
+ Một số kỹ thuật dò sự không bình thường của các cuộc tấn công:
• Phát hiện mức ngưỡng
• Phát hiện nhờ quá trình tự học
• Phát hiện sự không bình thường của giao thức
+ Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu
trong việc phát hiện các kiểu tấn công từ chối dịch vụ DOS. Ưu điểm của
phương pháp này là có thể phát hiện các kiểu tấn công mới, cung cấp thông tin
hữu ích bổ sung cho phương pháp dò sự lạm dụng. Tuy nhiên, chúng có nhược
điểm là thường gây ra các cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
1.2.3.3. Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, module phát hiện tấn



20

công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản
ứng. Lúc đó module phản ứng sẽ khởi động tường lửa thực hiện chức năng ngăn
chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động. Module phản ứng này tùy theo hệ thống mà có các chức năng khác nhau.
Một số kỹ thuật ngăn chặn:
- Chấm dứt phiên (Terminate session)
- Bỏ tấn công (Drop attack)
- Thay đổi luật của tường lửa (Modify firewall polices)
- Cảnh báo thời gian thực (Real-time Alerting)
- Ghi lại vào tệp tin (Log packet)
Ba module trên hoạt động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:
thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ
thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm
dẻo.
1.2.4. Phân loại IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng (Promiscuous Mode
IPS) và IPS trong luồng (In_line IPS).
1.2.4.1. IPS ngoài luồng
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu.
Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể
kiểm soát dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn
công. Với vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn tường lửa chặn lại các
hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.


21


Hình 1.4: Promiscuous Mode IPS
1.2.4.2. IPS trong luồng
Hệ thống IPS trong luồng nằm trước tường lửa, luồng dữ liệu phải đi qua
IPS trước khi đi qua tường lửa. Điểm khác nhau so với IPS ngoài luồng là có
thêm chức năng chặn lưu thông. Điều đó làm cho IPS có thể ngăn chặn luồng
giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng. Tuy nhiên, vị trí này sẽ
làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS trong luồng phải
làm việc theo thời gian thực. Tốc độ hoạt động của hệ thống là một yếu tố rất
quan trọng. Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các
cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn
công đã được thực hiện xong và hệ thống IPS là vô nghĩa.


22

Hình 1.5: In_line Mode IPS
1.2.5. Các kỹ thuật xử lý IPS
Mục đích của IPS là phát hiện và ngăn chặn kẻ tấn công xâm nhập trái
phép vào hệ thống, Không phải một IPS có thể phát hiện và ngăn chặn được tất
cả các kiểu tấn công mà IPS chỉ có thể phát hiện và ngăn chặn những kiểu tấn
công đã được định nghĩa sẵn. Các kỹ thuật được áp dụng trong hệ thống phát
hiện và ngăn chặn xâm nhập là:
- Phát hiện sự bất thường (Anomaly detection)
- Phát hiện sự lạm dụng (Misuse detection)
- Kiểm tra các chính sách (Policy-Based detection)
- Phân tích giao thức (Protocol analysis)



23

1.2.5.1. Phát hiện sự bất thường
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt
động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi
tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường
là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông
thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị
bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bình thường. Nhà
quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo
ra những bản mô tả sơ lược nhóm người dùng (user group profiles).
- Lợi ích của việc dùng Anomaly-Based IPS
+ Kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh
cảnh báo.
+ Tập tin dấu hiệu được cung cấp kèm theo với hệ thống IPS.
+ Kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo.
+ Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn
công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp.
+ Ưu điểm lớn nhất của phát hiện dựa trên mô tả sơ lược hay sự bất
thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay
những đợt tấn công đã được biết mô tả sơ lược có thể là động và có thể sử dụng
trí tuệ nhân tạo để xác định những hoạt động bình thường.
+ Bởi vì phát hiện dựa trên mô tả sơ lược không dựa trên những dấu
hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề
được biết trước đây miễn là nó chệch khỏi mô tả bình thường. Phát hiện dựa trên
mô tả sơ lược được sử dụng để phát hiện những phương pháp tấn công mới mà
phát hiện bằng dấu hiệu không phát hiện được.
- Hạn chế của việc dùng Anomaly-Based IPS:



24

+ Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với
việc sáng tạo những mô tả nhóm người dùng, cũng như chất lượng của những mô
tả này.
+Thời gian chuẩn bị ban đầu dài.
+ Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
+ Thường xuyên cập nhật mô tả sơ lược khi thói quen người dùng thay
đổi.
+ Khó khăn trong việc định nghĩa cách hành động thông thường.
+ Có thể xảy ra cảnh báo nhầm.
+ Khó hiểu, phức tạp.
1.2.5.2. Phát hiện sự lạm dụng
Phát hiện sự lạm dụng cũng được biết như Signature-based IPS, giống như
hoạt động xâm phạm để tranh giành dấu hiệu đặc biệt. Những dấu hiệu này được
dựa trên một sự thiết lập những quy luật mà giành những mẫu tiêu biểu và khai
thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự truy nhập vào
mạng.
Một signature-based là một tập những nguyên tắc sử dụng để xác định
những hoạt động xâm nhập thông thường. Những nghiên cứu về các kỹ thuật
nhằm tìm ra dấu hiệu tấn công, những mẫu và phương pháp để viết ra các dấu
hiệu tấn công. Khi càng nhiều phương pháp tấn công và phương pháp khai thác
được khám phá, những nhà sản xuất cung cấp bản cập nhật tập tin dấu hiệu. Khi
đã cập nhật tập tin dấu hiệu thì hệ thống IPS có thể phân tích tất cả lưu lượng
trên mạng. Nếu có dấu hiệu nào trùng với tập tin dấu hiệu thì các cảnh báo được
khởi tạo.
- Lợi ích của việc dùng Signature-based IPS


25


+ Những tập tin dấu hiệu được tạo nên từ những hoạt động và phương
pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một
cuộc tấn công là rất cao.
+ Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu,
không phải những mẫu lưu lượng. Hệ thống IPS có thể được định dạng và có thể
bắt đầu bảo vệ mạng ngay lập tức.
+ Tập tin dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu
hành động nào phải được tương xứng cho một tín hiệu cảnh báo. Người quản trị
bảo mật có thể bật những dấu hiệu lên, sau đó thực hiện cuộc kiểm tra trên toàn
mạng và xem xem có cảnh báo nào không.
+ Chính vì phát hiện sử dụng sai dễ hiểu, bổ sung, kiểm tra nên nhà
quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ
thống IPS của họ.
- Những hạn chế của Signature-Based IPS:
+ Không có khả năng phát hiện những cuộc tấn công mới hay chưa
được biết.
+ Không có khả năng phát hiện những sự thay đổi của những cuộc tấn
công đã biết.
1.2.5.3. Kiểm tra các chính sách (Policy-Based detection)
Một Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự
vi phạm của một cấu hình chính sách xảy ra. Bởi vậy, một Policy-Based IPS
cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.
- Lợi ích của việc dùng Policy-Based IPS:
+ Người dùng có thể thiết lập chính sách cho từng thiết bị trong hệ
thống mạng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×