IDS trong bảo mật hệ thống mạng
Nguồn :
forum.t3h.vn
Trong bài viết này tôi trình bày với các bạn sự khác nhau giữa các dạng Intrusion
Detection, các khái niệm về các dạng đó, hiểu cách triển khai và cấu hình mỗi
dạng Intrusion Detection System. Intrusion Detection có khả năng phát hiện các
nguy cơ bảo mật xảy ra trong cả hệ thống mạng hay trong một hệ thống cụ thể.
Thông tin trọng yếu
Intrusion Detection là thiết bị bảo mật vô cùng quan trọng. Intrusion Detection
Systems (IDS) là giải pháp bảo mật được bổ sung cho Firewalls (hình dưới đây thể
hiện điều đó). Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động
trong hệ thống mạng và có khả năng vượt qua được Firewall.
Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó là việc thiết lập các
thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị thiết bị IDS cảnh báo là
các giao tiếp đó là các đoạn mã nguy hiểm …
Có hai dạng chính của IDS đó là: Network Based và Host Based
Network Based
Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao tiếp trên mạng với
thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin,
và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm
hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy
trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào
băng thông (bandwidth-based) của tấn công Denied of Service (DoS).
Host Based
Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ giám sát và ghi lại
log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và
ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và
các ứng dụng cũng như toàn bộ service của máy chủ đó). A Host-Based IDS có
khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và
ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ,
Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo
mật cho hệ điều hành.
Active Detection and Passive Detection
IDS là một hệ thống tự động giám sát trong thời gian thực (Network-Based IDS)
hay xem sét lại các thiết lập giám sát (audit log) nhằm phát hiện ra các lỗi bảo mật
và các tấn công trực tiếp tới hệ thống mạng hay tới một máy chủ. Có hai phương
thưc cơ bản để IDS phát hiện ra các tấn công hay các nguy cơ bảo mật là:
Signature Detection và Anomaly Detection. Signature Detection được hiển thị
trong hình dưới đây sẽ so sánh các tình huống thực tế với các dạng tấn công
(signatures) được lưu trữ trong dữ liệu của IDS. Anomaly Detection thể hiện hình
bên dưới sẽ hoạt động tùy thuộc vào môi trường và có thể phát hiện ra những biến
cố bất thường. Anomaly-detection dựa vào những hoạt động bình thường của hệ
thống để tự động phát hiện ra những điều không bình thường và phân tích xem đó
là dạng tấn công nào.
Hiển thị: Một signature-detection IDS
Một anomaly-detection IDS sử dụng công nghệ đỉnh cao để phân tích dựa trên các
thuật toán cao cấp.
Một IDS active detection: phát hiện và trả lời được thiết kế để có hành động
nhanh nhất nhằm giảm thiểu các nguy hiểm có thể xảy ra với hệ thống. Việc trả lời
có thể như tắt máy chủ hay tắt các dịch vụ, ngắt các kết nối (được hiển thị dưới
hình dưới đây).
Một IDS với passive detection sẽ trả lời nhưng không có các hành động trực tiếp
chống lại các tấn công. Nó có thể ghi lại log của toàn bộ hệ thống và cảnh báo cho
người quản trị hệ thống. IDS là thiết bị phát hiện tấn công DoS rất tốt; phát hiện
các bugs, flaws hoặc các tính năng ẩn, và quét ports. Nhưng nó không có khả năng
phát hiện các tấn công dựa trên các email chứa các đoạn mã nguy hiểm.
Các thành phần của IDS hoạt động để giám sát mạng
IDS instructing TCP reset tất cả các kết nối.
IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào
máy chủ Web cài IIS.
Honey Pots
Một honey-pot được thể hiện trong hình dưới là một môi trường giả lập được thiết
kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối từ hệ thống mạng
bên trong. Honey-pot thường được phát triển như một lớp đệm của hệ thống mạng
với những người dùng bình thường, phân chia thành các vùng như: Internet, DMZ,
Internal.
Honey-pot hoạt động như một hệ thống mạng thật, với các thông số về dữ liệu và
tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các kẻ tấn công. Những
kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại honey-pot nhưng đó
chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ. Trong một hệ
thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và
nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó
khăn trong việc xác định mạng nào là mạng thật.
Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh cho mạng của
bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một môi trường
giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không ảnh hưởng tới
hệ thống thật.
Một mạng honey pot đánh lừa những kẻ tấn công một cách thông minh.
Incident Response.
Khi một vấn đề bảo mật được phát hiện, incident response sẽ phải được thiết lập.
Với tác dụng là lập kế hoạch và các văn bản giảm thiểu sự bất ngờ về mức độ
nguy hiểm, tạo các bản recovery cho dữ liệu một cách nhanh chóng, nếu sự cố xảy
ra có thể giảm thiểu được thiệt hại và bất ngờ. Với thời gian khắc phục sự cố một
cách nhanh nhất.
Nhằm giảm thiểu bạn phải có kế hoạch:
- Ghi lại toàn bộ các vấn đề được phát hiện đã xử lý và nguy cơ tiềm ẩn.
- Tạo các bản backup toàn bộ dữ liệu và thường xuyên kiểm tra các ổ đĩa, có giải
pháp phòng sự cố khi ổ đĩa bị hỏng.
- Tổng hợp toàn bộ dữ liệu log được ghi lại đôi khi cũng phải thực hiện tạo ra các
bản copy của dữ liệu đó, mặt khác bảo mật dữ liệu log cũng rấ quan trọng.
- Ngoài ra bạn phải có các chính sách nhằm nâng cao độ ổn định của hệ thống như
tạo ra các kết nối dư thừa trong tình huống các kết nối chính bị ngắt do một
nguyên nhân nào đó thì không ảnh hưởng tới các dịch vụ mạng.
Tổng kết
Trong bài viết này các bạn cần phải nắm được thế nào là một IDS vai trò của nó ra
sao trong hệ thống mạng. Các dạng của IDS, phương thức phát hiện ra các tấn
công, các hành động khi đã phát hiện ra tấn công. Giải pháp giả lập một mạng
nhằm đánh lừa các kẻ tấn công ra sao. Cách giúp một hệ thống hoạt động ổn định
và có những giải pháp khắc phục sự cố một cách nhanh nhất.