Ứng dụng IDS trong bảo vệ an ninh mạng máy tính: Kinh nghiệm và giải pháp

LÜnh vùc C«ng nghÖ th«ng tin

øng dông IDS trong b¶o vÖ an ninh m¹ng m¸y tÝnh

KS.Hå Träng §¹t

Trung t©m C«ng nghÖ th«ng tin

Tãm t¾t:

Cã thÓ ®a ra kh¸i niÖm chung vÒ x©m nhËp vµ kiÓm tra x©m nhËp nh

sau: “X©m nhËp” lµ c¸ch dïng tr¸i phÐp hoÆc l¹m dông mét hÖ thèng m¸y tÝnh.

KiÓm tra x©m nhËp lµ mét kü thuËt b¶o mËt cè g¾ng x¸c ®Þnh vµ c« lËp

nh÷ng “x©m nhËp” chèng l¹i c¸c hÖ thèng m¸y tÝnh. Kü thuËt firewall (têng löa)

kh«ng thÓ b¶o vÖ d÷ liÖu riªng mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét

viÖc lín ®ã lµ läc hay che dÊu c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c

c«ng ty ph¶i më c¸c cæng trªn firewalls cña hä ®Ó cung cÊp web, email, FTP,

dÞch vô tªn miÒn (DNS) vµ c¸c dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c

cæng trªn firewall cña hä th× c¸c cæng ®ã kh«ng ®îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ

cã thÓ x©m nhËp vµo hÖ thèng cña b¹n.

C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®îc x©y dùng

®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i cha gi¶i quyÕt ®îc bëi firewalls. Mét hÖ

thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn trªn

m¹ng. HÖ ph©n tÝch lu lîng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai ®ã

®ang göi lu lîng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch th-

êng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ

ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn m¹ng .

Ngµy nay, hÖ thèng m¹ng m¸y tÝnh ®· trë nªn phæ biÕn trong hÇu hÕt

c¸c ho¹t ®éng cña x· héi, t¸c ®éng trùc tiÕp ®Õn nÒn kü thuËt vµ kinh tÕ cña

®Êt níc. Cïng víi sù ph¸t triÓn ®ã, ngµy cµng xuÊt hiÖn nhiÒu h¬n nh÷ng c¸

nh©n, nhãm hoÆc thËm chÝ lµ c¶ nh÷ng tæ chøc ho¹t ®éng víi nh÷ng môc

®Ých xÊu nh»m ph¸ ho¹i c¸c hÖ thèng m¹ng m¸y tÝnh, hÖ thèng th«ng tin, g©y

t¸c h¹i v« cïng to lín ®Õn tÝnh an toµn vµ b¶o mËt th«ng tin trªn c¸c hÖ thèng

nµy. Do tÝnh ¸c liÖt cña nh÷ng cuéc tÊn c«ng g©y h¹i ®ã, cã rÊt nhiÒu hÖ

thèng b¶o vÖ an toµn m¹ng ®· ra ®êi, víi nhiÒu møc kh¸c nhau: b¶o vÖ quyÒn

truy nhËp, b¶o vÖ b»ng mËt khÈu, b¶o vÖ b»ng m· hãa th«ng tin, sö dông proxy

vµ firewall läc gãi tin, b¶o vÖ truy cËp vËt lý.

Häc viÖn C«ng nghÖ BCVT

Héi nghÞ Khoa häc lÇn thø 5

HÖ thèng kiÓm tra x©m nhËp (Intrusion Detection System – IDS) lµ mét

hÖ thèng ®îc x©y dùng còng víi môc ®Ých b¶o vÖ an toµn th«ng tin. HÖ thèng

nµy kiÓm so¸t tµi nguyªn vµ ho¹t ®éng cña hÖ thèng m¹ng, sö dông th«ng tin

thu thËp ®îc tõ nh÷ng nguån nµy, th«ng b¸o cho ngêi cã tr¸ch nhiÖm khi nã x¸c

®Þnh ®îc kh¶ n¨ng cã sù x©m nhËp. NÕu firewall ®ãng vai trß nh nh©n viªn

b¶o vÖ c¬ quan, kiÓm tra mäi ngêi ®Õn vµ ®i th× hÖ thèng kiÓm tra x©m

nhËp gièng nh cã mét m¹ng líi c¶m biÕn ®Ó th«ng b¸o cho b¹n biÕt khi cã ai ®ã

x©m nhËp, hä ®ang ë ®©u vµ lµm g×. Firewall “¸n ng÷” ë ngâ vµo cña m¹ng vµ

chØ lµm viÖc víi nh÷ng gãi tin khi chóng ®i vµo vµ ®i ra khái m¹ng. Mét khi kÎ

x©m nhËp ®· vît qua ®îc firewall, ngêi ®ã cã thÓ tung hoµnh tïy ý trªn m¹ng. §ã

lµ lý do t¹i sao hÖ thèng kiÓm tra x©m nhËp cã vai trß quan träng.

1. Kh¸i niÖm vÒ kiÓm tra th©m nhËp

NhËn thÊy, kü thuËt firewall (têng löa) kh«ng thÓ b¶o vÖ d÷ liÖu riªng

mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét viÖc lín ®ã lµ läc hay che dÊu

c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c c«ng ty ph¶i më c¸c cæng trªn

firewalls cña hä ®Ó cung cÊp web, email, FTP, dÞch vô tªn miÒn (DNS) vµ c¸c

dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c cæng trªn firewall cña hä th×

c¸c cæng ®ã kh«ng ®îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ cã thÓ x©m nhËp vµo hÖ

thèng cña b¹n.

C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®îc x©y

dùng ®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i cha gi¶i quyÕt ®îc bëi firewalls. Mét

hÖ thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn

trªn m¹ng. Nã ph©n tÝch lu lîng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai

®ã ®ang göi lu lîng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch

thêng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ

ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn c¸c m¹ng bËn.

KiÓm tra x©m nhËp lµ mét thµnh phÇn quan träng cña hÖ thèng b¶o mËt,

vµ nã bæ xung c¸c kü thuËt b¶o mËt kh¸c. B»ng viÖc cung cÊp th«ng tin tíi

qu¶n trÞ site, IDS cho phÐp kh«ng nh÷ng kiÓm tra tÊn c«ng cã ®Þa chØ râ

rµng bëi c¸c thµnh phÇn b¶o mËt kh¸c (nh firewall vµ c¸c tr×nh bao bäc dÞch

vô), mµ cßn cè g¾ng cung cÊp th«ng b¸o vÒ tÊn c«ng míi bÊt ngê. C¸c hÖ thèng

kiÓm tra x©m nhËp còng cung cÊp th«ng tin ph¸p lý cho phÐp c¸c tæ chøc cã

kh¶ n¨ng ph¸t hiÖn ra nguån gèc cña tÊn c«ng. Theo c¸ch nµy, IDS cè g¾ng lµm

Häc viÖn C«ng nghÖ BCVT

LÜnh vùc C«ng nghÖ th«ng tin

cho nh÷ng kÎ tÊn c«ng cã tr¸ch nhiÖm h¬n vÒ nh÷ng hµnh ®éng cña chóng, vµ

®a ra mét sè ®¸nh gi¸, hµnh ®éng ®Ó ng¨n c¶n nh÷ng tÊn c«ng trong t¬ng lai.

2. M« h×nh kh¸i niÖm cña c¸c hÖ thèng IDS

Cã nhiÒu IDS kh¸c nhau ®îc ph¸t triÓn trªn toµn thÕ giíi, vµ hÇu hÕt lµ

do cã nhiÒu thiÕt kÕ kh¸c nhau. Khung kiÓm tra x©m nhËp chung (Common

Intrusion Detection Framework) (CIDF) x¸c ®Þnh tËp c¸c thµnh phÇn cïng nhau

x¸c ®Þnh mét hÖ thèng kiÓm tra x©m nhËp. C¸c thµnh phÇn nµy gåm c¸c bé t¹o

sù kiÖn (event generator) ("E-boxes"), dông cô ph©n tÝch (analysic engine) ("A-

boxes"), c¬ cÊu lu tr÷ (storage mechanism) ("D-boxes"), vµ countermeasure ("C-

boxes"). Mét thµnh phÇn CIDF cã thÓ lµ mét gãi phÇn mÒm bªn trong cña

chÝnh nã, hoÆc mét phÇn cña hÖ thèng lín. H×nh 7 biÓu diÔn quan hÖ gi÷a

c¸c thµnh phÇn.

Môc ®Ých cña E-box lµ cung cÊp th«ng tin vÒ nh÷ng sù kiÖn cho c¸c

phÇn cßn l¹i cña hÖ thèng. Mét "sù kiÖn" cã thÓ phøc t¹p, hoÆc nã cã thÓ lµ

mét sù cè giao thøc m¹ng møc thÊp. Sù kiÖn kh«ng ®ßi hái ph¶i lµ dÊu hiÖu

ra kÕt luËn vÒ c¸c sù kiÖn b¶o mËt.

tÝch luång sù kiÖn nh»m t¸ch th«ng tin thÝch hîp, vµ ®· nghiªn cøu ®îc mét sè

E-box vµ A-box cã thÓ ®a ra lîng lín d÷ liÖu. Nh÷ng th«ng tin nµy ph¶i

®îc t¹o ra s½n sµng cho hÖ ®iÒu hµnh cña hÖ thèng khi nã cÇn sö dông. Thµnh

phÇn D-box cña IDS x¸c ®Þnh c¸c ph¬ng tiÖn ®îc dïng ®Ó lu tr÷ th«ng tin b¶o

mËt vµ t¹o th«ng tin s½n sµng t¹i thêi ®iÓm sau.

Häc viÖn C«ng nghÖ BCVT

Héi nghÞ Khoa häc lÇn thø 5

H×nh 1: Quan hÖ gi÷a c¸c thµnh phÇn CIDF

NhiÒu hÖ thèng ID ®îc thiÕt kÕ chØ nh lµ chu«ng b¸o ®éng. Tuy nhiªn, hÇu

hÕt c¸c hÖ thèng ID cã gi¸ trÞ th¬ng m¹i ®Òu ®îc trang bÞ víi mét vµi d¹ng

coutermeasure (C-box), ®i suèt tõ viÖc ®ãng c¸c kÕt nèi TCP ®Õn viÖc söa ®æi

c¸c danh s¸ch bé läc ®Þnh tuyÕn. §iÒu nµy cho phÐp IDS cè g¾ng ng¨n c¶n c¸c

cuéc tÊn c«ng kh¸c tõ sau khi dß thÊy sù xuÊt hiÖn cña c¸c cuéc tÊn c«ng ®Çu

tiªn.ThËm chÝ c¸c hÖ thèng kh«ng cung cÊp kh¶ n¨ng C-box cã thÓ bÞ mãc nèi

vµo trong nh÷ng ch¬ng tr×nh thùc hiÖn t¸c dông t¬ng tù.

3.Kh¶ n¨ng ¸p dông thùc tÕ

Cïng víi sù ph¸t triÓn cña ADSL, sè lîng tæ chøc, doanh nghiÖp kÕt nèi víi

Internet t¹i ViÖt Nam ®îc dù b¸o sÏ bïng næ rÊt m¹nh. Lîi Ých thu ®îc tõ

ph¹m d÷ liÖu th× cha cã ai ®¸nh gi¸ cô thÓ vµ dù b¸o chÝnh x¸c lµ bao nhiªu.

cµng phæ biÕn th× khi mét tæ chøc kÕt nèi víi Internet kh«ng thÓ kh«ng ¸p

ph¹m th«ng tin. Sö dông IDS sÏ gãp phÇn t¨ng cêng søc m¹ng cho nhµ qu¶n trÞ

vµ c¶nh b¸o kÞp thêi mäi diÔn biÕn bÊt thêng qua m¹ng.

Häc viÖn C«ng nghÖ BCVT

Ứng dụng IDS trong bảo vệ an ninh mạng máy tính

Chủ đề:

Tài liệu liên quan

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Hỗ trợ

Phương thức thanh toán

Theo dõi chúng tôi