Lĩnh vực Công nghệ thông tin
ứng dụng IDS trong bảo vệ an ninh mạng máy tính
KS.Hồ Trọng Đạt
Trung tâm Công nghệ thông tin
Tóm tắt:
Có thể đa ra khái niệm chung về xâm nhập và kiểm tra xâm nhập nh sau: Xâm
nhập là cách dùng trái phép hoặc lạm dụng một hệ thống máy tính. Kiểm tra xâm nhập là
một kỹ thuật bảo mật cố gắng xác định và cô lập những xâm nhập chống lại các hệ thống
máy tính. Kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả.
Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host. Tuy nhiên,
hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, FTP,
dịch vụ tên miền (DNS) và các dịch vụ khác. Ngay khi một nhà quản trị mở các cổng trên
firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào
hệ thống của bạn.
Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy
những lỗ hổng còn lại cha giải quyết đợc bởi firewalls. Một hệ thống kiểm tra xâm nhập là
một thiết bị giám sát tất cả sự vận chuyển trên mạng. Hệ phân tích lu lợng trong thời gian
thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng.
Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể
phân tích đầy đủ và nhanh mọi gói tin trên mạng .
Ngày nay, hệ thống mạng máy tính đã trở nên phổ biến trong hầu hết các hoạt động
của xã hội, tác động trực tiếp đến nền kỹ thuật và kinh tế của đất nớc. Cùng với sự phát triển
đó, ngày càng xuất hiện nhiều hơn những cá nhân, nhóm hoặc thậm chí là cả những tổ chức
hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống
thông tin, gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống
này. Do tính ác liệt của những cuộc tấn công gây hại đó, có rất nhiều hệ thống bảo vệ an toàn
mạng đã ra đời, với nhiều mức khác nhau: bảo vệ quyền truy nhập, bảo vệ bằng mật khẩu,
bảo vệ bằng mã hóa thông tin, sử dụng proxy và firewall lọc gói tin, bảo vệ truy cập vật lý.
Hệ thống kiểm tra xâm nhập (Intrusion Detection System IDS) là một hệ thống đ-
ợc xây dựng cũng với mục đích bảo vệ an toàn thông tin. Hệ thống này kiểm soát tài nguyên
và hoạt động của hệ thống mạng, sử dụng thông tin thu thập đợc từ những nguồn này, thông
báo cho ngời có trách nhiệm khi nó xác định đợc khả năng có sự xâm nhập. Nếu firewall
đóng vai trò nh nhân viên bảo vệ cơ quan, kiểm tra mọi ngời đến và đi thì hệ thống kiểm tra
xâm nhập giống nh có một mạng lới cảm biến để thông báo cho bạn biết khi có ai đó xâm
nhập, họ đang ở đâu và làm gì. Firewall án ngữ ở ngõ vào của mạng và chỉ làm việc với
những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã vợt qua đợc
firewall, ngời đó có thể tung hoành tùy ý trên mạng. Đó là lý do tại sao hệ thống kiểm tra
xâm nhập có vai trò quan trọng.
1. Khái niệm về kiểm tra thâm nhập
Nhận thấy, kỹ thuật firewall (tờng lửa) không thể bảo vệ dữ liệu riêng một cách có
hiệu quả. Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host. Tuy
nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email,
Học viện Công nghệ BCVT
Hội nghị Khoa học lần thứ 5
FTP, dịch vụ tên miền (DNS) và các dịch vụ khác. Ngay khi một nhà quản trị mở các cổng
trên firewall của họ thì các cổng đó không đợc bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập
vào hệ thống của bạn.
Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và đợc xây dựng để lấp đầy
những lỗ hổng còn lại cha giải quyết đợc bởi firewalls. Một hệ thống kiểm tra xâm nhập là
một thiết bị giám sát tất cả sự vận chuyển trên mạng. Nó phân tích lu lợng trong thời gian
thực để xác định nếu một ai đó đang gửi lu lợng tấn công hoặc cố tình làm hại trên mạng.
Việc phân tích thờng kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể
phân tích đầy đủ và nhanh mọi gói tin trên các mạng bận.
Kiểm tra xâm nhập là một thành phần quan trọng của hệ thống bảo mật, và nó bổ xung
các kỹ thuật bảo mật khác. Bằng việc cung cấp thông tin tới quản trị site, IDS cho phép
không những kiểm tra tấn công có địa chỉ rõ ràng bởi các thành phần bảo mật khác (nh
firewall và các trình bao bọc dịch vụ), mà còn cố gắng cung cấp thông báo về tấn công mới
bất ngờ. Các hệ thống kiểm tra xâm nhập cũng cung cấp thông tin pháp lý cho phép các tổ
chức có khả năng phát hiện ra nguồn gốc của tấn công. Theo cách này, IDS cố gắng làm cho
những kẻ tấn công có trách nhiệm hơn về những hành động của chúng, và đa ra một số đánh
giá, hành động để ngăn cản những tấn công trong tơng lai.
2. Mô hình khái niệm của các hệ thống IDS
Có nhiều IDS khác nhau đợc phát triển trên toàn thế giới, và hầu hết là do có nhiều
thiết kế khác nhau. Khung kiểm tra xâm nhập chung (Common Intrusion Detection
Framework) (CIDF) xác định tập các thành phần cùng nhau xác định một hệ thống kiểm tra
xâm nhập. Các thành phần này gồm các bộ tạo sự kiện (event generator) ("E-boxes"), dụng
cụ phân tích (analysic engine) ("A-boxes"), cơ cấu lu trữ (storage mechanism) ("D-boxes"),
và countermeasure ("C-boxes"). Một thành phần CIDF có thể là một gói phần mềm bên trong
của chính nó, hoặc một phần của hệ thống lớn. Hình 7 biểu diễn quan hệ giữa các thành
phần.
Mục đích của E-box là cung cấp thông tin về những sự kiện cho các phần còn lại của
hệ thống. Một "sự kiện" có thể phức tạp, hoặc nó có thể là một sự cố giao thức mạng mức
thấp. Sự kiện không đòi hỏi phải là dấu hiệu của sự xâm nhập bên trong nó. E-box là bộ giác
quan của toàn bộ IDS --- không có đầu vào E-box, hệ thống kiểm tra xâm nhập sẽ không có
thông tin để tạo ra kết luận về các sự kiện bảo mật.
A-box phân tích đầu vào từ bộ tạo sự kiện. Phần lớn trong việc nghiên cứu kiểm tra
xâm nhập là xem xét việc tạo ra những phơng pháp mới để phân tích luồng sự kiện nhằm tách
thông tin thích hợp, và đã nghiên cứu đợc một số cách tiếp cận khác nhau. Các kỹ thuật phân
tích sự kiện dựa trên việc kiểm tra dị thờng thống kê, phân tích biểu đồ, ...
E-box và A-box có thể đa ra lợng lớn dữ liệu. Những thông tin này phải đợc tạo ra sẵn
sàng cho hệ điều hành của hệ thống khi nó cần sử dụng. Thành phần D-box của IDS xác định
các phơng tiện đợc dùng để lu trữ thông tin bảo mật và tạo thông tin sẵn sàng tại thời điểm
sau.
Học viện Công nghệ BCVT
Lĩnh vực Công nghệ thông tin
Hình 1: Quan hệ giữa các thành phần CIDF
Nhiều hệ thống ID đợc thiết kế chỉ nh là chuông báo động. Tuy nhiên, hầu hết các hệ
thống ID có giá trị thơng mại đều đợc trang bị với một vài dạng coutermeasure (C-box), đi
suốt từ việc đóng các kết nối TCP đến việc sửa đổi các danh sách bộ lọc định tuyến. Điều này
cho phép IDS cố gắng ngăn cản các cuộc tấn công khác từ sau khi dò thấy sự xuất hiện của
các cuộc tấn công đầu tiên.Thậm chí các hệ thống không cung cấp khả năng C-box có thể bị
móc nối vào trong những chơng trình thực hiện tác dụng tơng tự.
3.Khả năng áp dụng thực tế
Cùng với sự phát triển của ADSL, số lợng tổ chức, doanh nghiệp kết nối với Internet tại
Việt Nam đợc dự báo sẽ bùng nổ rất mạnh. Lợi ích thu đợc từ Internet là điều không cần phải
bàn cãi. Nhng những thiệt hại khi bị xâm phạm dữ liệu thì cha có ai đánh giá cụ thể và dự
báo chính xác là bao nhiêu. Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập
mạng ngày càng phổ biến thì khi một tổ chức kết nối với Internet không thể không áp dụng
các phơng pháp phòng chống tấn công, xâm nhập. Sử dụng Firewall chỉ là một trong những
biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin. Sử dụng IDS sẽ
góp phần tăng cờng sức mạng cho nhà quản trị và cảnh báo kịp thời mọi diễn biến bất thờng
qua mạng.
Học viện Công nghệ BCVT