Bài giảng Phòng chống tấn công mạng: Chương 4 - Bùi Trọng Tùng

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:37

Thêm vào BST

Báo xấu

5
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Phòng chống tấn công mạng: Chương 4 - Hệ thống phát hiện và ngăn chặn tấn công" trình bày những nội dung chính sau đây: Khái niệm cơ bản về IDPS; Các kiến trúc IDPS; Cơ sở lý thuyết về phát hiện tấn công; Các phương pháp phát hiện tấn công. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Phòng chống tấn công mạng: Chương 4 - Bùi Trọng Tùng

BÀI 4. HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 1 1 Nội dung • Khái niệm cơ bản về IDPS • Các kiến trúc IDPS • Cơ sở lý thuyết về phát hiện tấn công • Các phương pháp phát hiện tấn công 2 1 2
1. KHÁI NIỆM CƠ BẢN Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 3 3 Tấn công an toàn bảo mật(nhắc lại) • Tấn công: các hành vi cố ý gây tổn hại tới hệ thống • Kịch bản tấn công:  Thăm dò, thu thập thông tin  Quét, rà soát mục tiêu  Giành quyền truy cập  Duy trì truy cập và khai thác, tấn công  Xóa dấu vết 4 2 4
Hệ thống IDPS • Intrusion Detection and Preventation System: hệ thống có khả năng theo dõi, giám sát, phát hiện và ngăn chặn các hành vi tấn công, khai thác trái phép tài nguyên được bảo vệ • Yêu cầu:  Tính chính xác  Tính kịp thời  Khả năng tự bảo vệ • IDPS vs tường lửa:  Tường lửa: xử lý từng gói tin trên lưu lượng mạng  IDPS: có khả năng theo dõi, giám sát chuỗi các gói tin, hành vi để xác định có phải là hành vi tấn công hay xâm nhập hay không  Các thiết bị tường lửa thế hệ mới thường trang bị tính năng IDPS 5 5 Các chức năng của IDPS • Ngăn chặn (Intrusion Preventation): ngăn cản hoặc giảm xác suất thành công của các hành vi tấn công  Tường lửa có thể được coi là một dạng IPS • Phát hiện (Intrusion Detection): phán đoán một hành vi có phải là tấn công hay không • Phản ứng(Intrusion Response):  Ghi nhận và phát cảnh báo  Cản trở tấn công tiếp diễn  Điều chuyển tấn công sang môi trường cách ly và được giám sát chủ động để thu thập thông tin, đặc điểm của cuộc tấn công  Điều chuyển tấn công sang môi trường có khả năng chống chịu tốt hơn … 6 3 6
Một ví dụ • Giả sử website của công ty FooCorp cung cấp một dịch vụ thông qua URL: http://foocorp.com/amazeme.exe?profile=info/luser.txt • Dịch vụ cho phép hiển thị hồ sơ cá nhân của một nhân viên nào đó trong công ty 7 7 Kịch bản truy cập 2. GET /amazeme.exe?profile=xxx Internet FooCorp FooCorp’s Servers border router 3. GET /amazeme.exe?profile=xxx Front-end web server 4. amazeme.exe? profile=xxx Remote client 1. http://foocorp/amazeme.exe?profile=xxx 5. bin/amazeme -p xxx 2. GET /amazeme.exe?profile=xxx 8 4 8
Kịch bản truy cập 8. 200 OK Output of bin/amazeme Internet FooCorp FooCorp’s Servers border router 7. 200 OK Output of bin/amazeme Front-end web server 6. Output of bin/amazeme sent back Remote client 9. 200 OK Output of bin/amazeme 5. bin/amazeme -p xxx 10. Trình duyệt hiển thị 9 9 Thực thi một hành vi tấn công • http://foocorp.com/amazeme.exe?profile=../../../../../etc/passwd Kết quả trả về chứa các thông tin nhạy cảm 10 5 10
Làm thế nào để phát hiện? • Giải pháp 1: Triển khai một hệ thống phát hiện tấn công dạng NIDS (Network-based IDS)  Giám sát tất cả các thông điệp HTTP Request  Phát hiện tấn công nếu các yêu cầu chứa “/etc/passwd” và/hoặc “../../” Triển khai một hệ thống phát hiện tấn công dạng NIDS (Network-based IDS) để giám sát tất cả các thông điệp HTTP Request và phát hiện tấn công dựa trên việc kiểm tra các yêu cầu có chứa "/etc/passwd" và/hoặc "../../". Dưới đây là ưu điểm và hạn chế của phương pháp này: • Ưu điểm? Ưu điểm: Phát hiện tấn công trên mạng: Với NIDS, hệ thống có thể giám sát và phân tích toàn bộ thông điệp HTTP Request trên mạng, từ đó phát hiện các yêu cầu đáng ngờ chứa " • Hạn chế? /etc/passwd" và/hoặc "../../". Điều này giúp phát hiện các tấn công từ xa nhằm truy cập vào các tệp quan trọng hoặc thực hiện các cuộc tấn công tràn bộ nhớ đệm (buffer overflow) thông qua việc điều chỉnh các tham số đường dẫn. Tính linh hoạt và mở rộng: Với NIDS, bạn có thể triển khai hệ thống phát hiện tấn công trên nhiều vị trí trong mạng, từ máy chủ chính đến các điểm cuối. Điều này giúp cung cấp một lớp bảo vệ toàn diện và giám sát tất cả các yêu cầu HTTP Request trên mạng. Hạn chế: Không thể phát hiện tấn công truy cập nội bộ: Mặc dù NIDS có thể giám sát các thông điệp HTTP Request qua mạng, nó không thể phát hiện được các tấn công xảy ra trực tiếp trên các máy chủ nội bộ. Nếu một cuộc tấn công xảy ra trên máy chủ trong hệ thống nội bộ mà không thông qua mạng, NIDS sẽ không phát hiện được. False positives: Một số ứng dụng hợp lệ có thể có yêu cầu chứa "/etc/passwd" hoặc "../../" trong các trường hợp hợp lệ. Điều này có thể dẫn đến những cảnh báo sai và làm giảm hiệu suất hệ thống. Khả năng xử lý và hiệu suất: Vì NIDS phải kiểm tra và phân tích tất cả các thông điệp HTTP Request trên mạng, đòi hỏi một khả năng xử lý mạnh mẽ và tài nguyên hệ thống đủ lớn. Nếu lưu lượng mạng lớn hoặc hệ thống không đủ mạnh, NIDS có thể gây ra hiện tượng chậm và ảnh hưởng đến hiệu suất mạng. Không thể ngăn chặn tấn công tức thì: NIDS chỉ có thể cảnh báo và phát hiện các tấn công dựa trên cấu trúc yêu cầu và luồng dữ liệu. Nó không thể ngăn chặn các cuộc tấn công ngay lập tức mà đòi hỏi sự can thiệp thủ công từ người quản trị hệ thống. 11 11 GP1: Sử dụng NIDS 2. GET /amazeme.exe?profile=xxx 8. 200 OK Output of bin/amazeme Internet Monitor sees a copy FooCorp FooCorp’s of incoming/outgoing Servers HTTP traffic border router Front-end web server Remote client NIDS bin/amazeme -p xxx 12 6 12
Làm thế nào để phát hiện? • Giải pháp 2: sử dụng HIDS (Host-based IDS)  Kiểm tra giá trị truyền cho đối số  Phát hiện tấn công nếu đối số chứa “/etc/passwd” và/hoặc “../../” Sử dụng HIDS (Host-based IDS) để phòng chống tấn công có thể giúp phát hiện các hành vi • Ưu điểm? xâm nhập và tấn công trên máy chủ (host). Khi kiểm tra giá trị truyền cho đối số, nếu tìm thấy chuỗi "/etc/passwd" và/hoặc "../../", HIDS có thể xem đây là các dấu hiệu của một cuộc tấn công và có thể cảnh báo hoặc thực hiện các biện pháp phòng ngừa phù hợp. • Hạn chế? Ưu điểm của việc sử dụng HIDS để phát hiện các đối số như "/etc/passwd" và "../../" bao gồm: Phát hiện tấn công: HIDS giúp phát hiện các tấn công dựa trên các đối số đáng ngờ. Khi một tấn công cố gắng truy cập vào tệp /etc/passwd hoặc sử dụng các ký tự "../" để tìm đường dẫn vượt qua giới hạn thư mục, HIDS sẽ cảnh báo về hành vi này và cho phép hành động ngăn chặn kịp thời. Bảo vệ dữ liệu: Phát hiện các yêu cầu truy cập đối tượng nhạy cảm như tệp /etc/passwd có thể giúp bảo vệ dữ liệu trên hệ thống. Bằng cách phát hiện và chặn các yêu cầu không hợp lệ , HIDS giúp ngăn chặn việc truy cập trái phép vào các tệp và thông tin nhạy cảm trên máy chủ. Tuy nhiên, việc sử dụng HIDS để phát hiện các đối số như "/etc/passwd" và "../../" cũng có một số hạn chế: False positives: HIDS có thể phát hiện nhầm các đối số có chứa "/etc/passwd" hoặc "../../" do các tình huống hợp lệ, chẳng hạn như khi hệ thống chạy một ứng dụng hợp lệ yêu cầu truy cập tệp /etc/passwd. Điều này có thể gây ra phiền toái và làm giảm hiệu suất. Khả năng đối phó hạn chế: Mặc dù HIDS có thể phát hiện các đối số đáng ngờ, nó không thể ngăn chặn hoặc giải quyết các cuộc tấn công một cách tự động. Người quản trị hệ thống cần can thiệp và thực hiện các biện pháp bảo mật thích hợp sau khi nhận được cảnh báo từ HIDS 13 13 GP2: Sử dụng HIDS Internet FooCorp FooCorp’s Servers border router HIDS instrumentation Front-end web server added inside here 4. amazeme.exe? profile=xxx Remote client 6. Output of bin/amazeme sent back bin/amazeme -p xxx 14 7 14
Làm thế nào để phát hiện? • Giải pháp 3: quét, phân tích định kỳ file nhật ký (log file) của hệ thống  Ưu điểm  Nhược điểm • Giải pháp 4: giám sát các lời gọi hệ thống từ web server  Ưu điểm  Nhược điểm 15 15 Cấu trúc chung của IDPS 16 8 16
Cấu trúc chung của IDPS (tiếp) • Bộ cảm biến (Sensor): thu thập dữ liệu từ hệ thống được giám sát. • Bộ phát hiện : Thành phần này phân tích và tổng hợp thông tin từ dữ liệu thu được của bộ cảm biến dựa trên cơ sở tri thức của hệ thống • Bộ lưu trữ : Lưu trữ tất cả dữ liệu của hệ thống IDS, bao gồm: dữ liệu của bộ cảm biến, dữ liệu phân tích của bộ phát hiện, cơ sở tri thức, cấu hình hệ thống … nhằm phục vụ quá trình hoạt động của hệ thống IDS. • Bộ phản ứng : Thực hiện phản ứng lại với những hành động phát hiện được. • Giao diện người dùng 17 17 Các bước thực hiện của IDPS • Bước 1: Cài đặt, cấu hình hệ thống 18 9 18
Các bước thực hiện của IDPS • Bước 2: Thu thập thông tin từ sensor 19 19 Các bước thực hiện của IDPS • Bước 3: Phát cảnh báo nếu phát hiện hành vi tấn công 20 10 20
Các bước thực hiện của IDPS • Bước 4: Phản ứng ban đầu(chặn dừng, điều hướng, ghi nhận…) 21 21 Các bước thực hiện của IDPS • Bước 5: Quản trị viên đánh giá tình huống 22 11 22
Các bước thực hiện của IDPS • Bước 6: Phản ứng toàn diện với tấn công 23 23 Các bước thực hiện của IDPS • Bước 7: Đánh giá toàn diện sau tấn công, cập nhật, tùy chỉnh hệ thống 24 12 24
2. CÁC KIẾN TRÚC CỦA IDPS Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 25 25 2.1. NETWORK-BASED IDPS Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 26 13 26
Network-based IDPS (NIDPS) • Chức năng: Thu thập và giám sát lưu lượng mạng dựa trên việc triển khai sensor tại nhiều điểm khác nhau trong mạng  Sensor có thể là các thiết bị có khả năng phân tích, tổng hợp và thống kê thông tin lưu lượng  Sensor phần mềm cài đặt trên một số nút mạng nhất định • Các loại sensor sử dụng cho NIDPS:  Sensor nội tuyến(Inline sensor): đặt tại các vị trí mà lưu lượng mạng bắt buộc phải đi qua  Sensor thụ động (Passive sensor): có thể sao chép lưu lượng mạng  không bắt buộc lưu lượng mạng phải đi qua 27 27 Inline Sensor và passive sensor Inline Sensor Passive sensor 28 14 28
Bố trí NIDPS sensor trên mạng Sensor trên phân vùng Sensor sau firewall, trong DMZ nhạy cảm: cho phép phát hiện tấn công: - Phát hiện tấn công tới - Xuất phát từ bên ngoài các nút mạng quan trọng - Tới các nút mạng trong DMZ - Tập trung bảo vệ những - Xuất phát từ trong DMZ tài nguyên quan trọng nhất khi chi phí bị hạn chế Sensor trên phân vùng backbone: - Phát hiện tấn công ngay tại các phân vùng bên trong - Phát hiện các hành vi vượt quyền truy cập của người dùng 29 29 Tính năng của NIDPS • Phân tích lưu lượng mạng  Có thể trích xuất các đối tượng dữ liệu trong lưu lượng • Phân tích các dấu hiệu, hành vi:  Phát hiện các dạng tấn công đã biết  Các nguồn tấn công đã biết  Hoạt động của malware  Chuỗi và mẫu các hành vi, trạng thái • Shadow execution • Ghi nhật ký 30 15 30
Thu thập thông tin cho NIDPS Từ giao thức SNMP • Simple Network Management Protocol • Cung cấp thông tin thống kê về lưu lượng mạng:  Theo cổng giao tiếp  Theo giao thức • Đặc điểm:  SNMP đã được cài đặt sẵn trên các thiết bị mạng  sensor thu thập thông qua lời gọi các thủ tục SNMP  Thông tin đã được thống kê và chuẩn hóa  giảm chi phí tính toán cho NIDPS 31 31 Thu thập thông tin cho NIDPS Bắt và phân tích lưu lượng mạng theo từng gói tin đơn lẻ, hoặc theo luồng: • Có thể cung cấp các thông tin chi tiết về lưu lượng mạng • Cách thức thu thập đơn giản • Phạm vi thu thập giới hạn trong phân vùng mạng đặt sensor • Khó khăn: phải lựa chọn bộ đặc trưng phù hợp cho từng phương pháp phát hiện 32 16 32
Các đặc trưng lưu lượng mạng • Thông tin phần tiêu đề trong các gói tin Number Feature Description Number Feature Description 1 Ethernet Size 10 IP Source 2 Ethernet Destination 11 IP Destination 3 Ethernet Source 12 TCP Source Port 4 Ethernet Protocol 13 TCP Destination Port 5 IP header Length 14 UDP Source Port 6 IP Type of Service 15 UDP Destination Port 7 IP Length 16 UDP Length 8 IP Time To Live 17 ICMP Type 9 IP Protocol 18 ICMP Code 33 33 Các đặc trưng lưu lượng mạng • Các đặc trưng từ kết nối TCP Number Feature Description 19 Source IP 20 Destination IP 21 Duration of Connection 22 Connection Starting Time 23 Connection Ending Time 25 Number of packets sent from Source to Destination 26 Number of packets sent from Destination to Source 27 Number of data bytes sent from Source to Destination 28 Number of data bytes sent from Destination to Source 29 Number of Fragmented packets 30 Number of Overlapping Fragments 31 Number of Acknowledgement packets 32 Number of Retransmitted packets 33 Number of Pushed packets 34 Number of SYN packets Number of FIN packets 35 Number of TCP header Flags 36 Number of Urgent packets 34 17 34
Các đặc trưng lưu lượng mạng • Các đặc trưng thống kê:  Trong cửa sổ thời gian (t gần nhất): phát hiện các kỹ thuật tấn công diễn ra trong thời gian ngắn  Trong cửa sổ kết nối (k kết nối mới nhất): phát hiện các kỹ thuật tấn công diễn ra trong thời gian dài Number Feature Description No. of unique connections used by the same SrcIP as the 37 current record No. of unique connections used by the same SrcIP on the 38 same Dst- Port as the current record No. of unique connections used by the same SrcIP on 39 different Dst- Port as the current record No. of unique connections used by the same SrcIP as the 40 current record that have SYN flag 35 35 Các đặc trưng lưu lượng mạng • Các đặc trưng thống kê Number Feature Description No. of unique connections used by the same SrcIP as the 41 current record that have RST flag No. of unique connections that use the same DstIP as the 42 current record No. of unique connections that use the same DstIP on the 43 same Dst- Port as the current record No. of unique connections that use the same DstIP on 44 different Dst- Port as the current record No. of unique connections that use the same DstIP as the 45 current record that have SYN flag No. of unique connections that use the same DstIP as the 46 current record that have RST flag 36 18 36
Các đặc trưng lưu lượng mạng • Các đặc trưng thống kê Number Feature Description No. of unique Ports used by the same SrcIP to connect on 47 the same DstIP and the same DstPort as the current record No. of unique Ports opened on the sane DstIP by the same 48 SrcIP as the current record No. of unique connections that use the same service as the 49 current packet No. of unique connections that use the same service and 50 have different DstIP as the current packet No. of unique connections that use the same service as the 51 current packet that have SYN flag No. of unique connections that use the same service as the 52 current packet that have RST flag 37 37 NIDPS • Ưu điểm:  Kiểm soát được toàn bộ hoặc phần lớn hệ thống mạng với yêu cầu số lượng ít các sensor cần triển khai  Trong hầu hết các trường hợp, NIDPS sensor hoạt động ở chế độ thụ động  ít gây ảnh hưởng tới hoạt động của mạng  Khó bị phát hiện bởi kẻ tấn công, chịu lỗi tốt • Nhược điểm:  Lượng thông tin phải xử lý lớn  Không phân tích được các thông tin được mã mật  Tính chính xác thấp 38 19 38
Vượt qua kiểm soát của NIDPS • Giải sử IDPS được cấu hình để xác định lưu lượng chứa từ khóa ‘attack’ là lưu lượng tấn công • Phương pháp: quét nội dung từng gói tin chứa từ khóa  Thuật toán: Boyer-Moore, bộ lọc Bloom… …..…attack…………………………. • Tuy nhiên…  TCP truyền theo byte-stream, biên của dữ liệu không xác định  Phân mảnh gói tin IP  Lưu lượng tấn công được phân chia vào nhiều gói tin …………..…at tack…………….. 39 39 Vượt qua kiểm soát của NIDPS Gửi các gói tin TCP có cùng Seq# hoặc mảnh tin IP có cùng giá trị offset Lưu lượng NIDPS quan sát được: A T T A I C K NIDS Internet Target Lưu lượng tấn công Dữ liệu được xử lý tại mục tiêu: A T T A I C K A T T A I C K NIDPS không biết dữ liệu được xử lý Cùng TCP seq # như thế nào tại mục tiêu cần bảo vệ hoặc cùng IP frag offset 40 20 40