CHƯƠNG 4. HỆ THỐNG PHÁT HIỆN VÀ NGĂN
CHẶN XÂM NHẬP
SỰ CẦN THIẾT CỦA IDS/IPS
4.1. Sự cần thiết của IDS/IPS
Hiện nay nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống.
Các công cụ đó vẫn đang hoạt động hiệu quả, tuy nhiên chúng đều
những hạn chế riêng làm hệ thống vẫn nguy bị tấn công cao thế cần
thiết phải có một thiết bị phát hiện và ngăn chặn các cố gắng xâm nhập vào hệ
thống.
Hình 4-1: Firewall bảo vệ hệ thống
Firewall một công cụ hoạt động ranh giới giữa bên trong hệ thống
Internet bên ngoài (không đáng tin cậy) cung cấp chế phòng thv từ
vành đai. hạn chế việc truyền thông cva hệ thống với những kẻ xâm nhập
tiềm tàng làm giảm rvi ro cho hệ thống. Đây một công cụ không thể
thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng
những điểm yếu sau:
Firewall không quản các hoạt động cva người dùng khi đã vào được
hệ thống, và không thể chống lại sự đe dọa từ trong hệ thống.
Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống,
việc này có thể cho phép việc thăm dò điểm yếu.
50
Chính sách cva Firewall thể chậm tr so với sự thay đổi cva môi
trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
Hacker thể sử dụng phương thức tác động đến yếu tố con người để
được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall.
Firewall không ngăn được việc sử dụng các modem không được xác
thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống.
Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.
Việc sử dụng chế hóa VPN cung cấp khả năng bảo mật cho
việc truyền thông đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác
thực khóa công khai khóa mật cung cấp cho người dùng, người gửi
người nhận sự từ chối, sự tin cậy và toàn vẹn dữ liệu.
Hình 4-2: Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy
Tuy nhiên, các dữ liệu hóa chỉ an toàn với những người không
được xác thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ quản
lý, kể cả những hành động cva người dùng. PKI vai trò như khung làm
việc chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để
bảo đảm an toàn cho dữ liệu. cũng tự động xử để xác nhận chứng
thực người dùng hay ứng dụng. PKI cho phép ứng dụng ngăn cản các hành
động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ
các dự án thí điểm một số dự án quy lớn áp dụng) những do
sau:
51
Chuẩn PKI vẫn đang phát triển với việc hoạt động chung cva các hệ
thống chứng chỉ không đồng nhất.
Có quá ít ứng dụng có sử dụng chứng chỉ.
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy
nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. Phát hiện
xâm nhập trái phép được định nghĩa “một ứng dụng hay tiến trình dùng để
quản môi trường cho mục đích xác định hành động dấu hiệu lạm dụng,
dùng sai hay có ý đồ xấu”.
4.2. Lợi ích của IDS/IPS
Lợi thế cva hệ thống này thể phát hiện được những kiểu tấn công
chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do
định nghĩa quá chung về cuộc tấn công. Thống cho thấy trong hệ thống
này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ
những hành động bình thường, chỉ một vài hành động ý đồ xấu, vấn
đề chỗ hầu hết các hệ thống đều ít khả năng giới hạn các cảnh báo
nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản bảo vệ mạng,
lợi ích đem lại rất lớn. Một mặt giúp hệ thống an toàn trước
những nguy tấn công, mặt khác cho phép nhà quản trị nhận dạng
phát hiện được những nguy tiềm ẩn dựa trên những phân tích báo cáo
được IDS cung cấp. Từ đó, hệ thống IDS thể góp phần loại trừ được một
cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
4.3. Sự khác nhau giữa IDS và IPS
4.3.1. IDS (Intrusion Detection System )
Hệ thống phát hiện xâm nhập (Intrusion Detection SystemIDS)hệ
thống phần cứng hoặc phần mềm chức năng tự động theo dõi các sự kiện
xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan
đến an ninh, bảo mật. Khi số vụ tấn công, đột nhập vào các hệ thống máy
tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng ý nghĩa
quan trọng cần thiết hơn trong nền tảng bảo mật cva các tổ chức.Ý tưởng
cva công nghệ này mọi cuộc tấn công chống lại bất cứ thành phần nào cva
52
môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa
xâm nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập
thể “nắm” lấy bất cứ lưu lượng nào cva các gói tin mạng và đưa ra quyết định
chv ý liệu đây phải một cuộc tấn công hay một sự sử dụng hợp pháp
sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn.
Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay
giám sát thâm nhập một khi tất cả những liên quan đến mối đe doạ đều bị
ngăn chặn.
4.3.2. IPS (phát hiện và ngăn chpn xâm nhập )
IPS hai chức năng chính phát hiện các cuộc tấn công chống lại
các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt vành đai mạng, đv
khả năng bảo vệ tất cả các thiết bị trong mạng. Một hệ thống IPS được xem là
thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa
ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa,
ngăn chặn thành công và chính sách quản lý mềm dẻo.
HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
4.4. Giới thiệu về IDS
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua
một bài báo cva James Anderson. Khi đó người ta cần IDS với mục đích là dò
tìm nghiên cứu các hành vi bất thường thái độ cva người sử dụng trong
mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống
mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu
chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy
tính cva không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn
chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng
thí nghiệm viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ cva công nghệ thông tin. Đến
năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự
đi đầu cva công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng cva
IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại,
53
các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển
4.4.1. Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ
thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu
“xâm nhập bất hợp pháp”. Xâm nhập bất hợp pháp được định nghĩa sự cố
gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin
cậy hay là sự cố gắng vượt qua các cơ chế bảo mật cva hệ thống máy tính hay
mạng đó. Việc xâm nhập thể xuất phát từ một kẻ tấn công nào đó trên
mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng thể một
người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác
họ chưa được cấp phát. Như đã đề cập trên, hệ thống phát hiện xâm
nhập hệ thống phần mềm hoặc phần cứng khả năng tự động theo dõi
phân tích để phát hiện ra các dấu hiệu xâm nhập.
Network IDS hopc NIDS
các hệ thống phát hiện tấn công, thể bắt giữ các gói tin được
truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với
cơ sở dữ liệu các tín hiệu.
Host IDS hopc HIDS
Được cài đặt như một tác nhân trên máy chv. Những hệ thống phát
hiện xâm nhập này thể xem những tệp tin log cva các trình ứng dụng hoặc
cva hệ thống để phát hiện những hành động xâm nhập.
Signature
những phần ta thể thấy được trong một gói dữ liệu. được
sử dụng để phát hiện ra một hoặc nhiều kiểu tấn công. Signature có thể có mặt
trong các phần khác nhau cva một gói dữ liệu. Ví dụ ta có thể tìm thấy các tín
hiệu trong header IP, header cva tầng giao vận (TCP, UDP header) hoặc
header tầng ứng dụng. Thông thường, IDS ra quyết định dựa trên những tín
hiệu tìm thấy hành động xâm nhập. Các nhà cung cấp IDS cũng thường
xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra.
Alert
những lời thông báo ngắn về những hành động xâm nhập bất hợp
pháp. Khi IDS phát hiện ra kẻ xâm nhập, sẽ thông báo cho người quản trị
54