H Thng Phát Hiện Và Ngăn Chặn Xâm Nhp Vi Snort và IPTables
Văn Đình Quân-0021
Trang 1
CHƯƠNG 1
TNG QUAN V H THNG PHÁT HIỆN NGĂN CHN
M NHP
H thng phát hin xâm nhập ra đời cách đây khoảng 25 năm đã tr
nên rt hu dng cho vic bo v các h thng mng h thng máy nh. Bng
ch đưa ra các cảnh báo khi có du hiu ca sm nhập đến h thống. Nhưng h
thng IDS vn nhiu hn chế khi đưa ra các cảnh báo sai và cần có người giám
sát. Thế h tiếp theo ca IDS là h thống IPS ra đờim 2004, đang trở nên rt ph
biến và đang dần thay thế cho các h thng IDS. H thng IPS bao gồm cơ chế phát
hin, đưa ra các cảnh báo và còn thngăn chặn các hoạt động tn công bng
ch kết hp vi firewall.
1.1. H THNG PHÁT HIN XÂM NHP
1.1.1. Khái nim
H thng pt hin xâm nhp IDSthiết b phn cng, phn mm hay s
kết hp ca c hai để thc hin vic giám sát, theo dõi và thu thp thông tin t nhiu
nguồn khác nhau. Sau đó sẽ phân tích đ tìm ra du hiu ca s xâm nhp hay tn
công h thống và thông báo đến người qun tr h thng. i mt cách tng quát,
IDS h thng phát hin các du hiu làm hại đến tính bo mt, tính toàn vn và
tính sn dùng ca h thng máy tính hoc h thng mng, làm sở cho bảo đảm an
ninh h thng.
1.1.2. Phát hin xâm nhp
Phát hin xâm nhp là tp hp các k thuật và phương pháp đưc s dụng để
phát hiện các hành vi đáng ngờ c cấp đ mng máy ch. H thng phát hin
xâm nhp phân thành hai loại cơ bản:
· H thng phát hin da trên du hiu xâm nhp.
· H thng phát hin các du hiu bất thường.
K tn công nhng du hiu, giống như virus, th đưc phát hin
bng cách s dng phn mm. Bng cách tìm ra d liu ca i tin mà cha bt
du hiu xâm nhp hoc dthường được biết đến. Da trên mt tp hp các du
H Thng Phát Hiện Và Ngăn Chặn Xâm Nhp Vi Snort và IPTables
Văn Đình Quân-0021
Trang 2
hiu (signatures) hoc các qui tc (rules). H thng phát hin th dò tìm, ghi li
các hoạt động đáng ngờ này đưa ra các cnh báo. Anomaly-based IDS thường
da vào phn header giao thc của gói tin đưc cho bất thường. Trong mt s
trường hợp các phương pháp kết qu tt hơn với Signature-based IDS. Thông
thưng IDS s bt ly các i tin trên mng đi chiếu vi các rule đ tìm ra các
du hiu bất thường ca gói tin.
1.1.3. Chính sách ca IDS
Trước khi cài đặt mt h thng IDS lên h thng thì cn phi có mt chính
sách để phát hin k tn công và cách x lý khi phát hin ra các hoạt động tn công.
Bằng cách nào đó chúng phải được áp dng. Các chính sách cn cha các phn sau
(có th thêm tùy theo yêu cu ca tng h thng):
· Ai s giám sát h thng IDS? y thuc vào IDS, thchế cnh báo
đ cung cp thông tin v các hành động tn công. Các cnh báo y th
hình thức văn bản đơn giản (simple text) hoc chúng th dng phc tp
hơn. thđược tích hp vào các h thng qun mng tập trung n HP
Openview hoc MySQL database. Cn phi người qun trđể giám sát
các hoạt động xâm nhp các chính sách cần có người chu trách nhim.
Các hoạt động m nhp thđưc theo i thông báo theo thi gian
thc bng cách s dng ca s pop-up hoc trên giao din web. c nhà
qun tr phi có kiến thc v cnh báo và mức độ an toàn ca h thng.
· Ai sẽ điều hành IDS? N với tt c các h thng, IDS cần được được bo trì
thưng xuyên.
· Ai s x các s cnhư thế nào? Nếu các s c không được x thì
IDS xem n vô tác dụng.
· Các báo cáo thđược to hin th vào cui ny hoc cui tun hoc
cui tháng.
· Cp nht các du hiu. Các hacker thì luôn to ra c k thut mi đ tn
công h thng. Các cuc tn công này được phát hin bi h thng IDS da
trên các du hiu tn công.
· Các tài liu thì rt cn thiết cho các d án. Các chính ch IDS nên được
tả dưới dng tài liu khi các cuc tấn công đưc phát hin. Các tài liu có th
H Thng Phát Hiện Và Ngăn Chặn Xâm Nhp Vi Snort và IPTables
Văn Đình Quân-0021
Trang 3
bao gồm các log đơn giản hoặc các văn bn. Cn phi y dng mt s hình
thc để ghi và lưu trữ tài liu. Các báo o cũng là các tài liu.
1.1.4. Kiến trúc ca h thng phát hin xâm nhp
Kiến trúc ca mt h thng IDS bao gm các thành phn chính sau: Thành
phn thu thp gói tin (information collection), thành phn phân tích gói tin
(detection) thành phn phn hi (respotion). Trong ba thành phn này, thành
phn phân tích gói tin là quan trng nht b cm biến (sensor) đóng vai trò quan
quyết định nên cn được phân tích đ hiu hơn về kiến trúc ca mt h thng
phát hin xâm nhp
Hình 1-1. Kiến trúc ca mt h thng phát hin xâm nhp
B cm biến đưc tích hp vi thành phn sưu tập d liu. B to s kin.
Cách sưu tập này được xác định bi chính sách to s kiện để định nghĩa chế độ lc
thông tin s kin. B to s kin (hđiều hành, mng, ng dng) cung cp mt s
chính sách thích hp cho các s kin, thmt bn ghi các s kin ca h thng
hoc các gói mng. S chính sách này cùng vi thông tin chính sách có thđược lưu
trong h thống được bo v hoc bên ngoài.
Vai tca b cm biến dùng để lc thông tin loi b d liu không
ơng thích đạt được t các s kin liên quan vi h thng bo v, vy th
phát hiện được c hành động nghi ng. B phân tích s dng sở d liu chính
sách phát hin cho mc y. Ngoài ra còn các thành phn: du hiu tn công,
profile hành vi thông thường, các tham s cn thiết (ví d: các ngưỡng). Thêm vào
H Thng Phát Hiện Và Ngăn Chặn Xâm Nhp Vi Snort và IPTables
Văn Đình Quân-0021
Trang 4
đó, cơ sở d liu gi các tham s cu hình, gm có các chế độ truyn thông vi
module đáp trả. B cm biến cũng có sở d liu ca riêng nó, gm d liệu u v
các xâm phm phc tp tim n (to ra t nhiều hành đng khác nhau).
IDS th đưc sắp đặt tp trung (ví d như đưc tích hợp vào trong tường
la) hoc phân tán. Mt IDS phânn gm nhiu IDS khác nhau trên mt mng ln,
tt c chúng truyn thông vi nhau. Nhiu h thống tinh vi đi theo nguyên lý cu
trúc mt tác nhân, nơi các module nhỏ được t chc trên mt host trong mạng đưc
bo v.
Vai trò của tác nhân đ kim tra lc tt ccác hành động bên trong
vùng được bo v và ph thuc vào phương pháp được đưa ra. Tạo phân tích bước
đu thậm chí đm trách cả hành động đáp trả. Mng các tác nhân hp tác báo cáo
đến máy ch phân tích trung tâm mt trong nhng thành phn quan trng ca
IDS. DIDS có th s dng nhiu công c phân tích tinh vi hơn, đặc biệt được trang
b s phát hin các tn công phân tán. Các vai trò khác ca tác nhân liên quan đến
khnăng lưu động tính roaming ca trong các v trí vt lý. Thêm vào đó, các
tác nhân có thđặc bit dành cho vic phát hin du hiu tn ng đã biết nào đó.
Đây là một h s quyết định khi nói đến nghĩa v bo vliên quan đến các kiu tn
công mi.
Gii pháp kiến trúc đa tác nhân được đưa ra năm 1994 AAFID (các c
nhân t tr cho vic pt hin xâm phm). Nó s dụng các tác nhân đ kim tra mt
khía cạnh nào đó v các hành vi h thng mt thời điểm nào đó. Ví dụ: mt c
nhân th cho biết mt s không bình thường các telnet session bên trong h
thng kim tra. Tác nhân khnăng đưa ra mt cnh báo khi phát hin mt s
kin kh nghi. Các tác nhân có thđược nhái thay đổi bên trong c h thng
khác (tính năng tự tr). Mt phn trong các tác nhân, h thng có th các b phn
thu phát đ kim tra tt c c hành động đưc kim soát bi các tác nhân mt
host c tho đó. Các b thu nhn luôn luôn gi các kết qu hoạt động ca chúng
đến b kim tra duy nht. Các b kim tra nhn thông tin t các mng (không ch
t một host), điều đó nghĩa là chúng thơng quan với thông tin phân tán.
Thêm vào đó mt s b lc có th được đưa ra để chn lc và thu thp d liu.
H Thng Phát Hiện Và Ngăn Chặn Xâm Nhp Vi Snort và IPTables
Văn Đình Quân-0021
Trang 5
Hình 1-2. Gii pháp kiến trúc đa tác nhân
1.1.5. Phân loi h thng phát hin xâm nhp
hai loi cơ bản là: Network-based IDS Host-based IDS.
1.1.5.1. Network-based IDS (NIDS)
NIDS là mt h thng phát hin xâm nhp bng cách thu thp d liu ca các
i tin lưu thông trên các phương tin truyn dẫn như (cables, wireless) bng cách
s dng các card giao tiếp. Khi mt gói d liu phù hp vi qui tc ca h thng,
mt cảnh báo được tạo ra để thông báo đến nhà qun tr các file log được lưu vào
cơ s d liu.
a. Li thế ca NIDS
· Quản lý đưc một phân đoạn mng (network segment).
· Trong sut với người s dng và k tn công.
· Cài đt và bo trì đơn giản, không làm ảnh hưởng đến mng.
· Tránh được vic b tn công dch vụ đến mt host c th.
· khả năng xác định đưc li tng network.
· Độc lp vi hệ điều hành.
b. Hn chế ca NIDS
· th xảy ra trường hợp báo động gi, tc không du hiu bất thường
mà IDS vn báo.
· Không thphân tích được các lưu lượng đã được hóa như SSH, IPSec,
SSL…