intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables

Chia sẻ: Van Dinh Quan | Ngày: | Loại File: PDF | Số trang:65

Thêm vào BST
Báo xấu
647
lượt xem 247
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Hệ thống phát hiện xâm nhập ra đời cách đây khoảng 25 năm và nó đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng và hệ thống máy tính. Bằng cách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng hệ thống IDS vẫn có nhiều hạn chế khi đưa ra các cảnh báo sai và cần có người giám sát.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables

  1. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables
  2. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables CHƯƠNG 1 TỔNG QUAN VỀ HỆ T HỐNG PHÁT HIỆN VÀ NGĂN CH ẶN XÂM NH ẬP Hệ th ống phát hiện xâm nhập ra đời cách đây kho ảng 25 năm và nó đã trở n ên rất hữu dụng cho việc bảo vệ các h ệ thống mạng và h ệ thống máy tính. Bằng cách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng h ệ thống IDS vẫn có nhiều hạn chế khi đưa ra các cả nh báo sai và cần có người giám sát. Thế hệ tiếp theo của IDS là h ệ thống IPS ra đời năm 2004, đang trở n ên rất phổ b iến và đang dần thay thế cho các hệ thống IDS. Hệ th ống IPS bao gồ m cơ chế phát h iện, đưa ra các cảnh báo và còn có thể ngăn chặn các hoạt động tấn công bằng cách kết hợp với firewall. 1.1. HỆ THỐ NG PHÁT HIỆN XÂM NHẬP 1.1.1. Khái niệm Hệ thống phát hiện xâm nh ập IDS là thiết bị phần cứng, phần m ềm hay có sự kết h ợp củ a cả hai để thự c hiện việc giám sát, theo dõi và thu thập thông tin từ nhiều n guồn khác nhau. Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát, IDS là hệ thống ph át hiện các d ấu hiệu làm hại đến tính b ảo mật, tính toàn vẹn và tính sẵn dùng củ a hệ thống máy tính hoặc h ệ thống m ạng, làm cơ sở cho b ảo đảm an n inh hệ thống. 1.1.2. Phát hiện xâm nhập Phát hiện xâm nhập là tập h ợp các k ỹ thuật và phương pháp được sử dụng đ ể phát hiện các hành vi đáng ngờ cả ở cấp đ ộ m ạng và máy chủ . Hệ thống phát hiện xâm nhập phân thành hai loại cơ bản: · Hệ thống phát hiện dựa trên dấu hiệu xâm nhập. · Hệ thống phát hiện các d ấu hiệu bất thường. Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiện b ằng cách sử dụng phần m ềm. Bằng cách tìm ra dữ liệu của gói tin mà có chứ a b ất kì dấu hiệu xâm nh ập hoặc d ị thường được biết đ ến. Dự a trên một tập h ợp các dấu Văn Đình Quân-0021 Trang 1
  3. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables h iệu (signatures) hoặc các qui tắc (rules). Hệ thống phát hiện có th ể dò tìm, ghi lại các hoạt động đáng ngờ này và đưa ra các cảnh báo. Anomaly-based IDS thường dựa vào phần header giao thức của gói tin đư ợc cho là bất thường. Trong một số trường h ợp các phương pháp có kết quả tốt hơn với Signature-based IDS. Thông thường IDS sẽ bắt lấy các gói tin trên m ạng và đối chiếu với các rule đ ể tìm ra các d ấu hiệu b ất thường của gói tin. 1.1.3. Chính sách của IDS Trước khi cài đặt một hệ thống IDS lên hệ thống thì cần phải có một chính sách để phát hiện kẻ tấn công và cách xử lý khi phát hiện ra các ho ạt động tấn công. Bằng cách nào đó chúng ph ải được áp dụng. Các chính sách cần chứa các ph ần sau (có th ể thêm tùy theo yêu cầu của từng hệ thống): · Ai sẽ giám sát h ệ thống IDS? Tùy thuộc vào IDS, có thể có cơ chế cảnh báo đ ể cung cấp thông tin về các hành động tấn công. Các cảnh báo này có thể ở h ình thức văn bản đơn giản (simple text) hoặc chúng có thể ở dạng phứ c tạp h ơn. Có thể được tích h ợp vào các hệ thống quản lý m ạng tập trung như HP Openview hoặc MySQL database. Cần phải có người quản trị để giám sát các hoạt động xâm nhập và các chính sách cần có người ch ịu trách nhiệm. Các ho ạt động xâm nh ập có th ể được theo dõi và thông báo theo th ời gian thực bằng cách sử dụ ng cửa sổ pop-up hoặc trên giao diện web. Các nhà quản trị phải có kiến thức về cảnh báo và mứ c độ an toàn của hệ thống. · Ai sẽ điều hành IDS? Như với tất cả các hệ thống, IDS cần được được bảo trì thường xuyên. · Ai sẽ xử lý các sự cố và như th ế nào? Nếu các sự cố không được xử lý thì IDS xem như vô tác dụng. · Các báo cáo có thể được tạo và hiển th ị vào cuối ngày ho ặc cuối tu ần hoặc cuối tháng. · Cập nhật các d ấu hiệu. Các hacker thì luôn tạo ra các kỹ thuật mới để tấn công hệ thống. Các cu ộc tấn công này được phát hiện bởi hệ thống IDS d ựa trên các d ấu hiệu tấn công. · Các tài liệu thì rất cần thiết cho các dự án. Các chính sách IDS nên được mô tả dưới dạng tài liệu khi các cuộc tấn công được phát hiện. Các tài liệu có th ể Văn Đình Quân-0021 Trang 2
  4. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables b ao gồm các log đơn giản ho ặc các văn b ản. Cần phải xây dựng mộ t số hình thức để ghi và lưu trữ tài liệu. Các báo cáo cũng là các tài liệu. 1.1.4. Kiến trúc của hệ thống phát hiệ n xâm nhập Kiến trúc củ a một hệ thống IDS bao gồm các thành phần chính sau: Thành phần thu thập gói tin (information collection), thành ph ần phân tích gói tin (detection) và thành phần ph ản hồi (respotion). Trong ba thành ph ần này, thành phần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quan quyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc củ a m ột hệ thống phát hiện xâm nh ập H ình 1 -1. Kiến trúc của mộ t hệ thống phát hiện xâm nhập Bộ cảm biến được tích hợp với thành ph ần sưu tập dữ liệu. Bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện đ ể định nghĩa ch ế độ lọ c thông tin sự kiện. Bộ tạo sự kiện (h ệ đ iều hành, mạng, ứng dụng) cung cấp một số chính sách thích h ợp cho các sự kiện, có thể là mộ t bản ghi các sự kiện của hệ thống hoặc các gói m ạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Vai trò củ a bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có th ể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mụ c này. Ngoài ra còn có các thành phần: d ấu hiệu tấn công, p rofile hành vi thông thường, các tham số cần thiết (ví dụ : các ngưỡng). Thêm vào Văn Đình Quân-0021 Trang 3
  5. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các ch ế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu củ a riêng nó, gồ m dữ liệu lưu về các xâm phạm phứ c tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể đư ợc sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) ho ặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một m ạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên mộ t host trong mạng được b ảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được b ảo vệ và phụ thuộ c vào phương pháp được đưa ra. Tạo phân tích bước đ ầu và thậm chí đảm trách cả h ành độ ng đáp trả. Mạng các tác nhân hợp tác báo cáo đ ến máy chủ phân tích trung tâm là một trong những thành ph ần quan trọng củ a IDS. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang b ị sự phát hiện các tấn công phân tán. Các vai trò khác củ a tác nhân liên quan đến khả năng lưu động và tính roaming củ a nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến ngh ĩa vụ b ảo vệ liên quan đến các kiểu tấn công mới. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một th ời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong h ệ thống nó kiểm tra. Tác nhân có khả năng đưa ra m ột cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể đư ợc nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát đ ể kiểm tra tất cả các hành động được kiểm soát b ởi các tác nhân ở một host cụ thể nào đó. Các b ộ thu nhận luôn luôn gửi các kết quả hoạt động củ a chúng đ ến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các m ạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó m ột số bộ lọc có thể được đưa ra để chọn lọc và thu th ập dữ liệu. Văn Đình Quân-0021 Trang 4
  6. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables Hình 1-2. Giải pháp kiến trúc đa tác nhân 1.1.5. Phân loại hệ thống phát hiện xâm nhập Có hai loại cơ bản là: Network-based IDS và Host-based IDS . 1.1.5.1. Network-based IDS (NIDS) NIDS là một hệ thống phát hiện xâm nhập b ằng cách thu th ập dữ liệu của các gói tin lưu thông trên các phương tiện truyền dẫn như (cables, wireless) bằng cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui tắc của hệ thống, một cảnh báo được tạo ra đ ể thông báo đến nhà quản trị và các file log được lưu vào cơ sở dữ liệu. a . Lợi thế của NIDS · Quản lý đư ợc một phân đoạn mạng (network segment). · Trong suốt với người sử dụng và kẻ tấn công. · Cài đặt và b ảo trì đơn giản, không làm ảnh hưởng đến m ạng. · Tránh được việc bị tấn công dịch vụ đ ến mộ t host cụ thể. · Có khả năng xác định đư ợc lỗi ở tầng network. · Độc lập với hệ đ iều hành. b. Hạ n chế của NIDS · Có thể xảy ra trư ờng hợp báo động giả, tức là không có dấu hiệu bất thường m à IDS vẫn báo. · Không th ể phân tích được các lưu lư ợng đ ã được mã hóa như SSH, IPSec, SSL… Văn Đình Quân-0021 Trang 5
  7. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables · NIDS đ òi hỏ i phải luôn được cập nhật các dấu hiệu tấn công mới nhất đ ể thực sự ho ạt động hiệu quả. · Không thể cho biết việc m ạng bị tấn công có thành công hay không, đ ể n gười quản trị tiến hành bảo trì hệ thống. · Mộ t trong nh ững hạn chế là giới h ạn băng thông. Những bộ thu thập dữ liệu phải thu thập tất cả lưu lượng m ạng, sắp xếp lại và phân tích chúng. Khi tố c độ mạng tăng lên th ì khả năng củ a bộ thu thập thông tin cũng vậy. Một giải pháp là ph ải đảm bảo cho mạng được thiết kế chính xác. Mộ t cách mà hacker cố gắng che đậy cho hoạt động củ a họ khi gặp các h ệ thống IDS là phân mảnh dữ liệu gói tin. Mỗi giao thứ c có một kích cỡ gói dữ liệu có h ạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu b ị phân m ảnh. Phân m ảnh đơn giản là quá trình chia nhỏ dữ liệu. Thứ tự sắp xếp không thành vấn đ ề m iễn là không bị chồng chéo dữ liệu, bộ cảm biến ph ải tái h ợp lại chúng. Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân m ảnh chồng chéo. Mộ t bộ cảm biến không phát hiện được các hoạt động xâm nhập n ếu không sắp xếp gói tin lại mộ t cách chính xác. Văn Đình Quân-0021 Trang 6
  8. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables H ình 1 -3. Network-based IDS 1.1.5.2. Host-based IDS (HIDS) HIDS là h ệ th ống phát hiện xâm nhập được cài đặt trên các máy tính (host). HIDS cài đặt trên nhiều kiểu máy chủ khác nhau, trên máy trạm làm việc ho ặc máy notebook. HIDS cho phép thực hiện một cách linh ho ạt trên các phân đo ạn mạng m à NIDS không thực hiện được. Lưu lượng đã gửi đến host được phân tích và chuyển qua host nếu chúng không tiềm ẩn các mã nguy hiểm. HIDS cụ th ể h ơn với các nền ứng dụng và phục vụ mạnh m ẽ cho hệ điều hành. Nhiệm vụ chính củ a HIDS là giám sát sự thay đổi trên hệ thống. HIDS bao gồm các thàng phần chính: · Các tiến trình. · Các entry củ a registry. · Mứ c độ sử dụng CPU. · Kiểm tra tính toàn vẹn và truy cập trên file hệ thống. · Mộ t vài thông số khác. Các thông số n ày vượt qua một ngưỡng đ ịnh trước hoặc thay đ ổi kh ả nghi trên h ệ thống sẽ gây ra cảnh báo. Văn Đình Quân-0021 Trang 7
  9. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables a . Ưu điểm của HIDS · Có khả năng xác định các user trong hệ thống liên quan đến sự kiện. · HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. · Có khả năng phân tích các dữ liệu đã được mã hóa. · Cung cấp các thông tin về host trong lúc cuộc tấn công đang diễn ra trên host. b. Hạ n chế của HIDS · Thông tin từ HIDS sẽ không còn đáng tin cậy ngay sau khi cu ộc tấn công vào host này thành công. · Khi hệ điều hành bị thỏ a hiệp tức là HIDS cũng m ất tác dụng. · HIDS phải được thiết lập trên từng host cần giám sát. · HIDS không có kh ả năng phát hiện việc thăm dò mạng (Nmap, Netcat…). · HIDS cần tài nguyên trên host để ho ạt động. · HIDS có thể không phát huy được hiệu quả khi bị tấn công từ ch ối d ịch vụ DoS. · Đa số được phát triển trên hệ điều hành Window. Tuy nhiên cũng có một số chạy trên Linux hoặc Unix. Vì HIDS cần được cài đặt trên các máy chủ nên sẽ gây khó khăn cho nhà quản trị khi ph ải nâng cấp phiên bản, b ảo trì ph ần mềm và cấu hình. Gây m ất nhiều th ời gian và phứt tạp. Thường h ệ thống chỉ phân tích được những lưu lượng trên m áy ch ủ nhận được, còn các lưu lượng chống lại một nhóm máy chủ, hoặc các hành động thăm dò như quét cổng thì chúng không phát huy được tác dụng. Nếu máy chủ b ị thỏa hiệp hacker có thể tắt được HIDS trên máy đó. Khi đó HIDS sẽ bị vô hiệu hóa. Do đó HIDS ph ải cung cấp đầy đủ khả năng cảnh báo. Trong môi trường hỗn tạp điều này có thể trở thành vấn đề nếu HIDS phải tương thích với nhiều hệ điều h ành. Do đó, lựa chọn HIDS cũng là vấn đ ề quan trọng Văn Đình Quân-0021 Trang 8
  10. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables Hình 1-4. Host-based IDS 1.1.5.3. So sánh giữa NIDS và HIDS Bảng 1 -1. So sánh, đánh giá giữa NIDS và HIDS Chức năng Các đánh giá HIDS NIDS Cả h ai đều bảo vệ khi user hoạt động Bảo vệ trong mạng LAN **** **** khi trong mạng LAN Bảo vệ ngoài mạng LAN Ch ỉ có HIDS **** - Tương đương như nhau xét về bối Dễ dàng cho việc quản trị **** **** cảnh quản trị chung Tính linh hoạt HIDS là hệ thống linh hoạt hơn **** ** HIDS là hệ thống ưu tiết kiệm hơn Giá thành *** * nếu chọn đúng sản phẩm Dễ dàng trong việc bổ Cả h ai tương đương nhau **** **** sung Văn Đình Quân-0021 Trang 9
  11. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables HIDS yêu cầu việc đào tạo ít hơn Đào tạo ngắn h ạn cần thiết **** ** NIDS Tổng giá thành HIDS tiêu tốn ít hơn *** ** Băng tần cần yêu cầu NIDS sử dụng băng tần LAN rộng, 0 2 trong LAN còn HIDS thì không NIDS cần 2 yêu cầu băng tần mạng Network overhead 1 2 đối với bất kỳ mạng LAN nào Băng tần cần yêu cầu Cả h ai đều cần băng tần Internet để ** ** cập nhật kịp thời các file mẫu (Internet) NIDS yêu cầu phải kích hoạt mở rộng Các yêu cầu về cổng mở cổng để đảm b ảo lưu lượng LAN củ a - **** rộng bạn được quét Chu k ỳ n âng cấp cho các HIDS nâng cấp tất cả các clien t với **** - một file mẫu trung tâm client Kh ả n ăng thích nghi trong NIDS có khả năng thích nghi trong ** **** các n ền ứng dụng các n ền ứng dụng hơn Ch ế độ quét thanh ghi cục Ch ỉ HIDS mới có thể thực hiện các **** - bộ kiểu quét này Cả h ai hệ thống đ ề có ch ức năng b ản Bản ghi *** *** ghi Cả h ai hệ thống đ ều có chức năng Ch ức năng cảnh báo cảnh báo cho từng cá nhân và quản trị *** *** viên Ch ỉ có HIDS quét các vùng mạng cá Quét PAN **** - nhân của b ạn Loại bỏ gói tin Ch ỉ các tính năng NIDS mới có - **** Văn Đình Quân-0021 Trang 10
  12. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables phương thứ c n ày Cần nhiều kiến thức chuyên môn khi Kiến thức chuyên môn cài đặt và sử dụng NIDS đố i với toàn *** **** bộ vấn đề b ảo mật mạng của bạn Qu ản lý tập trung NIDS có chiếm ưu thế hơn ** *** Kh ả n ăng vô hiệu hóa các NIDS có h ệ số rủi ro nhiều hơn so với * **** hệ số rủi ro HIDS Rõ ràng khả năng nâng cấp phần mềm là dễ h ơn phần cứng. HIDS có Kh ả n ăng cập nh ật *** *** thể được nâng cấp thông qua script được tập trung Các nút phát hiện nhiều HIDS có khả năng phát hiện theo **** ** đoạn m ạng LAN nhiều đoạn mạng toàn diện hơn 1.2. HỆ THỐ NG NGĂN CHẶN XÂM NHẬP 1.2.1. Khái niệm Hệ thống ngăn ch ặn xâm nh ập IPS là mộ t kỹ thuật an ninh mới, kết hợp các ưu điểm của k ỹ thu ật firewall và hệ thống phát hiện xâm nh ập IDS. Có khả năng phát hiện các cuộ c tấn công và tự động ngăn chặn các cuộ c tấn công đó. IPS không đ ơn giản là dò các cuộ c tấn công, chúng có kh ả n ăng ngăn chặn hoặc cản trở các cuộ c tấn công đó. Chúng cho phép tổ chứ c ưu tiên, thự c hiện các bước để ngăn chặn tấn công. Phần lớn các hệ thống IPS được đặt ở vành đai m ạng, đủ khả năng b ảo vệ tất cả các thiết bị trong mạng. 1.2.2. Kiến trúc của hệ thống ngăn chặn xâm nhập Mộ t hệ thống IPS gồm có 3 module chính: · Module phân tích gói tin. · Module phát hiện tấn công. · Module phản ứng. Văn Đình Quân-0021 Trang 11
  13. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables 1.2.2.1 Module phân tích gói tin Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin. NIC Card của máy tính được giám sát được đ ặt ở chế độ p romiscuous mode, tất cả các gói tin qua chúng đ ều được sao chép lại và chuyển lên lớp trên. Bộ phân tích gói tin đọ c thông tin từng trường trong gói tin, xác định chúng thuộ c kiểu gói tin gì, d ịch vụ gì, sử dụng loại giao thứ c nào…Các thông tin này được chuyển lên module phát hiện tấn công. 1.2.2.2 Module phát hiệ n tấn công Đây là module quan trọng nh ất của h ệ thống phát hiện xâm nhập, có kh ả n ăng phát hiện ra các cuộc tấn công. Có một số phương pháp để phát hiện ra các d ấu hiệu xâm nhập ho ặc các kiểu tấn công (signature-based IPS, anomally-based IPS,…). a . Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động củ a h ệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các m ẫu tấn công này được gọi là dấu h iệu tấn công. Do vậy phương pháp này còn gọ i là phương pháp dò dấu hiệu. Phương pháp này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai d ẫn đến làm giảm khả năng hoạt động củ a mạng và giúp cho ngư ời qu ản trị xác đ ịnh các lỗ hổng b ảo mật trong hệ thống của minh. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộ c tấn công không có trong cơ sở dữ liệu, các kiểu tấn công m ới, do vậy hệ thống ph ải luôn luôn cập nhật các kiểu tấn công mới. b. Phương pháp dò sự không bình thường: Đây là k ỹ thuật dò thông minh, nh ận d ạng ra các hành động không bình thường củ a m ạng. Quan niệm của phương pháp này về các cuộc tấn công là khác với các ho ạt động bình thường. Ban đầu chúng sẽ lưu trữ các mô tả sơ lược về các ho ạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp này có thể nhận dạng ra. Có một số kỹ thuật dò sự không bình thường của các cu ộc tấn công. Văn Đình Quân-0021 Trang 12
  14. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables · Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên m ạng. Các mức ngưỡng về các ho ạt động bình th ường đư ợc đ ặt ra. Nếu có sự bất thường n ào đó, ví dụ như đăng nhập vào h ệ thống quá số lần qui định, số lư ợng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi quá mức…Thì h ệ thống cho rằng có dấu hiệu của sự tấn công. · Phát hiện nhờ quá trình tự họ c: Kỹ thuật này bao gồm 2 bước, khi b ắt đ ầu thiết lập h ệ thống phát hiện tấn công sẽ chạy ở chế độ tự họ và tạo hồ sơ về cách cư xử của mạng với các hoạt động b ình thường. Sau thời gian kh ởi tạo, h ệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường củ a m ạng b ằng cách so sánh với hồ sơ đ ã được tạo. Chế độ tự họ c có th ể chạy song song với ch ế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra các d ấu hiệu tấn công thì chế độ tự học phải ngừng lại cho đến khi cuộc tấn công kết thúc · Phát hiện sự không bình thường của giao thức: Kỹ thu ật này căn cứ vào hoạt động củ a các giao thức, các d ịch vụ của h ệ thống để tìm ra các gói tin không h ợp lệ, các ho ạt động bất thường vốn là dấu hiệu của sự xâm nhập. Kỹ thuật này rất hiệu qu ả trong việc ngăn chặn các hình thức quét m ạng, quét cổng để thu thập thông tin hệ thống của hacker. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát h iện các kiểu tấn công từ chối d ịch vụ DoS. Ưu điểm của phương pháp này là có th ể phát hiện các kiểu tấn công mới, cung cấp thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng. Tuy nhiên, chúng có như ợc điểm là thường gây ra các cảnh b áo sai làm giảm hiệu suất hoạt đ ộng của mạng. 1 .2.2.3 Module phả n ứng Khi có d ấu hiệu của sự tấn công hoặc xâm nhập, module phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản ứng. Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chứ c năng ngăn chặn cuộ c tấn công. Tại module này, n ếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đ ó th ì hệ thống này được gọi là h ệ thống phòng thủ b ị động. Module phản ứng Văn Đình Quân-0021 Trang 13
  15. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables n ày tùy theo hệ thống mà có các ch ức năng khác nhau. Dưới đây là mộ t số kỹ thu ật n găn chặn: · Terminate session: Cơ chế củ a kỹ thu ật này là hệ thống IPS gửi gói tin reset, thiết lập lại cuộ c giao tiếp tới cả client và server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại, các mụ c đ ích của hacker không đạt được, cuộ c tấn công bị n gừng lại. Tuy nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích là quá lâu so với th ời gian gói tin của hacker đến được Victim, d ẫn đến reset quá chậm so với cuộc tấn công, phương pháp này không hiệu ứng với các giao th ức hoạt động trên UDP như DNS, ngoài ra gói Reset phải có trường sequence number đúng (so với gói tin trước đó từ client) thì server mới ch ấp nhận, do vậy nếu hacker gử i các gói tin với tốc độ nhanh và trường sequence number thay đ ổi thì rất khó thự c hiện được phương pháp này. · Drop attack: Kỹ thuật này dùng firewall để hủ y bỏ gói tin hoặc chặn đường một gói tin đ ơn, một phiên làm việc hoặc một luồng thông tin giữ a hacker và victim. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin h ợp lệ. · Modify firewall polices: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách b ảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổ i các chính sách điều khiển truy cập bởi ngư ời dùng đặc biệt trong khi cảnh báo tới người qu ản trị. · Real-time Alerting: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm đư ợc chi tiết các cuộc tấn công, các đ ặc điểm và thông tin về chúng. · Log packet: Các dữ liệu củ a các gói tin sẽ được lưu trữ trong h ệ thống các file log. Mụ c đ ích để các người qu ản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt đ ộng. Ba module trên họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh. Một h ệ thống IPS đư ợc xem là thành công nếu chúng hội tụ được các yếu tố : thực hiện Văn Đình Quân-0021 Trang 14
  16. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đ a, ngăn chặn thành công và chính sách qu ản lý m ềm dẻo. Các kiểu tấn công mới ngày càng phát triển đe d ọa đến sự an toàn của các h ệ thống mạng. Với các ưu điểm của mình, hệ thống IPS dần trở thành không thể thiếu trong các h ệ thống b ảo mật. 1.2.3. Các kiểu IPS được triển khai trên thực tế Trên thực tế có 2 kiểu IPS được triển khai là: Promiscuous mode IPS và In- line IPS. 1.2.3.1 Promiscuous mode IPS Mộ t IPS đứng trên firewall. Như vậy luồng dữ liệu vào h ệ thống m ạng sẽ cùng đi qua firewall và IPS. IPS có th ể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các d ấu hiệu xâm nhập, tấn công. Với vị trí này, promiscuous mode IPS có th ể quản lý firewall, chỉ dẫn firewall ngăn chặn các hành động đáng ngờ. Hình 1-5. Promiscous mode IPS Văn Đình Quân-0021 Trang 15
  17. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables 1.2.3.2. In-line mode IPS Vị trí IPS đặt trước firewall, luồng dữ liệu phải đi qua chúng trước khi đến được firewall. Điểm khác chính so với promiscouous mode IPS là có thêm chức n ăng traffic-blocking. Điều này làm cho IPS có thể ngăn ch ặn luồng giao thông n guy hiểm nhanh hơn p romiscuous mode IPS nhanh hơn. Tuy nhiên khi đ ặt ở vị trí n ày làm cho tốc độ luồng thông tin ra vào m ạng chậm hơn. Với m ục tiêu ngăn chặn các cu ộc tấn công, hệ thống IPS phải hoạt động theo th ời gian th ực. Tốc độ ho ạt động củ a hệ thống là mộ t yếu tố vô cùng quan trọng. Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn ch ặn các cuộ c tấn công n gay tức thì. Nếu không đáp ứng đư ợc điều này thì các các cu ộc tấn công đ ã th ực h iện xong. Hệ thống IPS trở nên vô tác dụng. Hình 1-6 . Inline mode IPS Văn Đình Quân-0021 Trang 16
  18. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables 1.2.4. Công nghệ ngăn chặn xâm nhập của IPS 1.2.4.1. Signature-based IPS H ình 1-7. Signature-based IPS Là tạo ra các rule gắn liền với những ho ạt động xâm nhập tiêu biểu. Việc tạo ra các signature-based yêu cầu ngư ời qu ản trị phải th ật rõ các kỹ thuật tấn công, những mố i nguy hại và cần ph ải biết phát triển những signature để có th ể dò tìm những cuộc tấn công và các mối nguy hại cho hệ thống củ a mình. Signature-based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị biết về cuộc tấn công đó. Để xác định được một dấu hiệu tấn công thì cần phải biết cấu trúc của kiểu tấn công, signature-based IPS sẽ xem header của gói tin hoặc phần payload của dữ liệu. Mộ t signature-based là một tập những nguyên tắc sử dụng đ ể xác đ ịnh những hoạt động xâm nhập thông thường. Những nghiên cứu về những k ỹ thuật nh ằm tìm ra dấu hiệu tấn công, những m ẫu và phương pháp đ ể viết ra các dấu hiệu tấn công. Khi càng nhiều phương pháp tấn công và phương pháp khai thác được khám phá, những nhà sản xuất cung cấp bản cập nhật file d ấu hiệu. Khi đã cập nhật file dấu h iệu thì h ệ thống IPS có thể phân tích tất cả lưu lượng trên mạng. Nếu có dấu hiệu n ào trùng với file dấu hiệu thì các cảnh báo được khởi tạo a . Lợi ích của việc dùng Signature-Based IPS: Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó n ếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện sử dụng sai sẽ có ít cảnh báo nh ầm (false positive report) hơn kiểu phát hiện sự b ất thường. Phát hiện dựa trên dấu hiệu không theo dõi những m ẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những Văn Đình Quân-0021 Trang 17
  19. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables hoạt động đơn giản để tìm sự tương xứng đối với b ất k ỳ d ấu hiệu nào đã được định d ạng. Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu, không phải những m ẫu lưu lư ợng. Hệ thống IPS có thể được đ ịnh dạng và có thể bắt đầu b ảo vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở d ữ liệu ch ứa những ho ạt động xâm nhập đ ã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được th ấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được đ ịnh d ạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai d ễ h iểu cũng như dễ định d ạng hơn những hệ thống phát hiện sự b ất thường . File d ấu hiệu có th ể d ễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiệu cảnh báo. Người quản trị bảo m ật có th ể có th ể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào không. Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có nh ững khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ. b. Những hạn chế của Signature-Based IPS: Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong đ ịnh dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự m ất mát những chức năng và o verhead. Đây là những h ạn ch ế: · Không có khả năng phát hiện những cuộ c tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công m ới m à chưa từng được biết hay khám phá trư ớc đây thường sẽ không bị phát hiện. · Không có khả năng phát hiện những sự thay đ ổ i của những cuộ c tấn công đ ã b iết : Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với mộ t vài h ệ thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn công, mộ t kẻ xâm nh ập có th ể thự c hiện cuộc xâm nhập mà không bị phát h iện(false negative). Văn Đình Quân-0021 Trang 18
  20. Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables Khả năng quản trị cơ sở dữ liệu những d ấu hiệu : Trách nhiệm củ a nhà quản trị b ảo m ật là bảo đ ảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều th ời gian cũng như khó khăn. Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như firewall, bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu h ết những bộ cảm biến giữ trạng thái thông tin trong bộ nh ớ để tìm lại nhanh hơn, nhưng mà kho ảng trống thì giới h ạn. 1.2.4.2. Anomaly-based IPS Phát hiện d ựa trên sự bất thường hay mô tả sơ lược phân tích những ho ạt động của mạng máy tính và lưu lượng mạng nh ằm tìm kiếm sự bất thường. Khi tìm th ấy sự bất thường, một tín hiệu cảnh báo sẽ đ ược kh ởi phát. Sự b ất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo m ật phải đ ịnh ngh ĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo m ật có thể định nghĩa những ho ạt động bình thường b ằng cách tạo ra những bản mô tả sơ lư ợc nhóm người dùng (user group profiles). Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữ a những hoạt độ ng cũng như những lưu lượng m ạng trên một nhóm ngư ời dùng cho trước. Những nhóm ngư ời dùng được định nghĩa bởi kỹ sư b ảo mật và được dùng đ ể th ể h iện những chức năng công việc chung. Mộ t cách điển hình, những nhóm sử dụng n ên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử dụng. Mộ t web server phải có b ản mô tả sơ lược củ a nó dựa trên lưu lượng web, tương tự như vậy đ ối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web server của mình cũng như không muốn lưu lượng SSH đến với mail server. Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên mạng của bạn. Đa dạng những kỹ thu ật được sử dụng đ ể xây dựng nh ững bản mô tả sơ lư ợc ngư ời dùng và nhiều hệ thống IPS có thể được đ ịnh dạng để xây d ựng những profile củ a chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lư ợc nhóm người dùng là lấy m ẫu thống kê (statistical sampling), dựa trên những nguyên tắc và những mạng neural. Văn Đình Quân-0021 Trang 19
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

LV.26: Bộ 320 Luận Văn Thạc Sĩ Y Học
320 tài liệu
1246 lượt tải
THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2