1 MỤC LỤC Lời mở đầu Với nhu cầu trao đổi thong tin ngày bắt buộc quan, tổ chức phải hịa vào mạng tồn cầu Internet An tồn bảo mật thơng tin vấn đề quantrọnghang đầu thực kết nốiInternet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội bộđãđược nghiên cứu triển khai Tuy nhiên, thường xuyên có mạng bị cơng, có cáctổchức bị đánh cắp thông tin,…gây nên hậu vô nghiêmtrọng.Những vụ công nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu khơng báo trước, số lượng vụ cơng tang lên nhanh chóng phương pháp cơng liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải cócác biện pháp đảm bảo an ninh TÌM HIỂU VỀ HỆ THỐNG IDS/IPS I Khái niệm IDS\IPS: Khái niệm IDS Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép Khái niệm IPS Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phịng chống xâm nhập hay IPS • Sự khác IDS IPS Có thể nhận thấy khác biệt hai khái niệm tên gọi: “phát hiện” “ngăn chặn” Các hệ thống IDS thiết kế với mục đích chủ yếu phát cảnh báo nguy xâm nhập mạng máy tính bảo vệtrong đó, hệ thống IPS ngồi khả phát cịn tự hành động chống lại nguy cơtheo quy định người quản trịthiết lập sẵn Tuy vậy, sựkhác biệt thực tếkhông thật sựrõ ràng Một sốhệthống IDS thiết kếvới khảnăng ngăn chặn nhưmột chức tùy chọn Trong sốhệthống IPS lại khơng mang đầy đủchức hệthống phòng chống theo nghĩa Một câu hỏi đặt lựa chọn giải pháp nào, IDS hay IPS? Câu trảlời tùy thuộc vào quy mơ, tính chất mạng máy tính cụthểcũng nhưchính sách an ninh người quản trịmạng Trong trường hợp mạng có quy mơ nhỏ, với máy chủan ninh, giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn Tuy nhiên với mạng lơn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng nhưmột firewall chẳng hạn Khi đó, hệthống cảnh báo sẽchỉcần theo dõi, phát gửi cảnh báo đến hệthống ngăn chặn khác Sựphân chia trách nhiệm sẽlàm cho việc đảm bảo an ninh cho mạng trởnên linh động hiệu quảhơn II Phân loại IDS/IPS: Cách thông thường để phân loại hệ thống IDS (cũng IPS) dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: • Network-based IDS (NIDS): Sử dụng liệu tồn lưu thơng mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập Sơ đồ biểu diễn kịch NIDS điển hình, có cơng cố gắng tạo đường lưu lượng thông qua thiết bị NIDS mạng Thiết bịmàu đỏ biểu thị nơi NIDS cài đặt • Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập HIDS giải pháp toàn diện cho thấy mạnh mẽ mơi trường mạng Nó khơng quan tâm đến vị trí máy tính đặt đâu bảo vệ lúc Các máy màu vàng thể nơi HIDS cài đặt 4 Network based IDS – NIDS NIDS thường bao gồm có hai thành phần logic : • Bộcảm biến – Sensor : đặt đoạn mạng, kiểm sốt lưu thơng nghi ngờ đoạn mạng • Trạm quản lý : nhận tín hiệu cảnh báo từ bộcảm biến thơng báo cho điều hành viên Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin logging Nó tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, bước leo thang đặc quyền không chấp nhận Kiến trúc IDS thường dựa luật (rule-based) đểphân tích hoạt động Ví dụ đặc quyền người sửdụng cấp cao chỉcó thể đạt thơng qua lệnh su-select user, nhưvậy cốgắng liên tục đểlogin vào account root coi công So sánh HID S NID S Các đánh giá Bảo vệ mạng **** LAN **** Cả hai bảo vệ bạn mạng LAN Bảo vệ mạng **** LAN - Chỉ có HIDS Dễ dàng cho việc **** quản trị **** Tương đương xét bối cảnh quản trị chung Tính linh hoạt **** ** HIDS hệ thống linh hoạt Giá thành *** * HIDS hệ thống ưu tiết kiệm chọn sản phẩm Dễ dàng việc **** bổ sung **** Cả hai tương đương Đào tạo ngắn hạn **** cần thiết ** HIDS yêu cầu việc đào tạo NIDS Tổng giá thành ** HIDS tiêu tốn bạn Chức *** Băng tần cần yêu cầu LAN NIDS sử dụng băng tần LAN rộng, cịn HIDS khơng Network overhead NIDS cần yêu cầu băng tần mạng mạng LAN Băng tần cần yêu ** cầu (Internet) ** Cả hai cần băng tần Internet để cập nhật kịp thời file mẫu **** NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN bạn quét Chu kỳ nâng cấp **** cho client - HIDS nâng cấp tất client với file mẫu trung tâm Khả thích nghi ứng ** dụng **** NIDS có khả thích nghi ứng dụng Chế độ quét **** ghi cục - Chỉ HIDS thực kiểu quét Bản ghi *** *** Cả hai hệ thống đề có chức ghi *** *** Cả hai hệ thống có chức cảnh báo cho cá nhân quản trị viên Quét PAN **** - Chỉ có HIDS quét vùng mạng cá nhân bạn Loại bỏ gói tin - **** Chỉ tính NIDS có phương thức *** **** Cần nhiều kiến thức chuyên môn cài đặt sử dụng NIDS toàn vấn đề bảo mật mạng bạn ** *** NIDS có chiếm ưu **** NIDS có hệ số rủi ro nhiều so với HIDS *** Rõ ràng khả nâng cấp phần mềm dễ phần cứng HIDS nâng cấp thơng qua script tập trung ** HIDS có khả phát theo nhiều đoạn mạng toàn diện Các yêu cầu cổng mở rộng Chức báo Kiến môn thức cảnh chuyên Quản lý tập trung - Khả vô hiệu * hóa hệ số rủi ro Khả cập nhật *** Các nút phát nhiều đoạn mạng **** LAN Câu hỏi cho NIDS hay HIDS? Có lẽ bạn nghĩ xem cần NIDS hay HIDS? Câu trả lời HIDS cho giải pháp hoàn tất NIDS cho giải pháp LAN Khi quản lý giải pháp HIDS u cầu kiến thức chuyên sâu, NIDS lại yêu cầu nhiều đến quan tâm bạn Mặc dù cần phải nhấn mạnh bạn cài đặt phần mềm chống virus không tường lửa bạn mà cịn cài đặt tất client Đây lý NIDS HIDS sử dụng kết hợp thành chiến lược IDS mạnh Hồn tồn nhận thấy NIDS dễ dàng bị vơ hiệu hóa bối cảnh kẻ công Nên cài đặt nhiều nút phát mạng doanh nghiệp bạn HIDS với việc có NIDS với vài nút phát mà quét đoạn Nếu bạn quan tâm đến máy tính cụ thể, sợ kẻ cơng cơng nên sử dụng HIDS, định an toàn tương đương việc cài đặt cảnh báo an toàn cho bạn IDS hỗ trợ ghi cách chi tiết, nhiều kiện ghi hàng ngày, bảo đảm có liệu thích hợp chọn lọc bạn không bị ngập liệu không cần thiết HIDS có nhiều ưu điểm vấn đề NIDS sử dụng tài khoản để ghi cho tất máy mạng Nếu xem xét HIDS NIDS bạn phải chắn có hãng chuyên đưa file mẫu kỹ thuật backup có lỗ hổng Nếu có băng tần LAN hạn chế bạn nên quan tâm đến HIDS Nếu giá vấn đề bạn nên xem xét đến giải pháp Giải pháp NIDS thường tốn so với HIDS Ví dụ kết hợp HIDS NIDS Như hình ta thấy sách bảo mật bao gồm Firewall nhằmhạn chế bớt kết nối nguy hiểm với mạng bên Network-based IDS đượcđặt trước đường mạng ngồi nhằm phân tích liệu vào hệ thống Phía bênt r o n g H o s t - b a s e d I D S đ ợ c c i đ ặ t t r ê n c c m y c ầ n b ả o v ệ v p h â n t í c h m ọ i tương tác máy Manager Console nơi nhận cảnh báo từ NIDS HIDS chúng phát có xâm nhập trái phép III Cơ chế hoạt động IDS: Kiến trúc IDS Kiến trúc hệ thống IDS bao gồm thành phần chính: thành phần thuthập gói tin (information collection), thành phần phân tích gói tin(Dectection),thành phần phản hồi (respontion) gói tin phát cơngc ủ a t i n t ặ c Tr o n g b a t h n h p h ầ n n y t h ì t h n h p h ầ n p h â n t í c h g ó i t i n l q u a n trọng thành phần cảm biến đóng vai trị định nên chúng tasẽ vào phân tích cảm biến để hiểu rõ kiến trúc hệ thống phát hiệnxâm nhập Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ.Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu cơng, profile hành vi thơng thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả.Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) - IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ 8 IV Cơ chế hoạt động hệ thống IPS : Có hai cách tiếp cận cơbản việc phát phòng chống xâm nhập :  Phát sựlạm dụng (Misuse Detection Model): Hệthống sẽphát xâm nhập cách tìm kiếm hành động tương ứng với kĩthuật xâm nhập biết đến (dựa dấu hiệu signatures) điểm dễbịtấn công hệthống  Phát sựbất thường (Anomaly Detection Model): Hệthống sẽphát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệthống Phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết.Nó liên quan đến việc mô tả đặc điểm cách thức xâm nhập vào hệthống biết đến, cách thức mô tả mẫu Hệ thống phát lạm dụng thực kiểm sốt mẫu rõ ràng Mẫu xâu bit cố định (ví dụ virus đặc tả việc chèn xâu),…dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Ở đây, ta sử dụng thuật ngữ kịch xâm nhập(intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống bảo vệ thời gian thực ghi kiểm tra ghi lại hệ điều hành 9 Các kỹ thuật để phát lạm dụng khác cách thức mà chúng mơ hình hoá hành vi định xâm nhập Các hệ thống phát lạm dụng hệ sử dụng luật (rules) để mô tả mà nhà quản trị an ninh tìm kiếm hệ thống Một lượng lớn tập luật tích luỹ dẫn đến khó hiểu sửa đổi chúng khơng tạo thành nhóm cách hợp lý kịch xâm nhập Để giải khó khăn này, hệ thống hệ thứ hai đưa biểu diễn kịch xen kẽ, bao gồm tổ chức luật dựa mơ hình biểu diễn phép biến đổi trạng thái Điều mang tính hiệu người dùng hệ thống cần đến biểu diễn hiểu rõ ràng kịch Hệ thống phải thường xuyên trì cập nhật để đương đầu với kịch xâm nhập phát Do kịch xâm nhập đặc tả cách xác, hệ thống phát lạm dụng dựa theo để theo vết hành động xâm nhập Trong chuỗi hành động, hệ thống phát đốn trước bước hành động xâm nhập Bộ dò tìm phân tích thơng tin hệ thống để kiểm tra bước tiếp theo, cần can thiệp để làm giảm tác hại Phát bất thường: Dựa việc định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi khơng mong muốn bất thường, tìm thay đổi, hành vi bất hợp pháp Nhưvậy, phát khơng bình thường phải có khả phân biệt tượng thông thường tượng bất thường Ranh giới dạng thức chấp nhận dạng thức bất thường đoạn mã liệu lưu trữ định nghĩa rõ ràng (chỉ cần bit khác nhau), ranh giới hành vi hợp lệ hành vi bất thường khó xác định Phát khơng bình thường chia thành hai loại tĩnh động  Phát tĩnh Dựa giả thiết ban đầu phần hệ thống kiểm sốt phải ln ln khơng đổi Ở đây, ta quan tâm đến phần mềm vùng hệ thống (với giả sử phần cứng không cần phải kiểm tra) Phần tĩnh hệ thống bao gồm phần con: mã hệ thống liệu phần hệ thống Hai thơng tin biểu diễn dạng xâu bit nhị phân tập xâu Nếu biểu diễn có sai khác so với dạng thức gốc có lỗi xảy kẻ xâm nhập thay đổi nó.Lúc này, phát tĩnh thơng báo để kiểm tra tính toàn vẹn liệu Cụ thể là: phát tĩnh đưa một vài xâu bit cố định để định nghĩa trạng thái mong muốn hệ thống Các xâu giúp ta thu biểu diễn trạng thái đó, dạng nén Sau đó, so sánh biểu diễn trạng thái thu với biểu diễn tương tự tính tốn dựa trạng thái xâu bit cố định Bất kỳ khác thể lỗi hỏng phần cứng có xâm nhập Biểu diễn trạng thái tĩnh có thểlà xâu bit thực tế chọn để định nghĩa cho trạng thái hệ thống, nhiên điều tốn lưu trữ 10 phép toán so sánh Do vấn đề cần quan tâm việc tìm sai khác để cảnh báo xâm nhập sai khác đâu nên ta sử dụng dạng biểu diễn nén để giảm chi phí Nó giá trị tóm tắt tính từ xâu bit sở Phép tính tốn phải đảm bảo cho giá trị tính từ xâu bit sở khác khác Có thể sử dụng thuật tốn checksums, message-digest (phân loại thông điệp), hàm băm.Một số phát xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tảcác đối tượng liệu) thông tin cấu trúc đối tượng kiểm tra Ví dụ, meta-data cho log file bao gồm kích cỡ nó.Nếu kích cỡ log file tăng dấu hiệu xâm nhập  Phát động Trước hết ta đưa khái niệm hành vi hệ thống (behavior) Hành vi hệ thống định nghĩa chuỗi kiện phân biệt, ví dụ nhiều hệ thống phát xâm nhập sử dụng ghi kiểm tra(audit record), sinh hệ điều hành để định nghĩa kiện liên quan, trường hợp hành vi mà kết việc tạo ghi kiểm tra hệ điều hành xem xét Các kiện xảy theo trật tự nghiêm ngặt không thông tin phải tích luỹ Các ngưỡng định nghĩa để phân biệt ranh giới việc sử dụng tài nguyên hợp lý hay bất thường Nếu không chắn hành vi bất thường hay khơng, hệ thống dựa vào tham số thiết lập suốt trình khởi tạo liên quan đến hành vi Ranh giới trường hợp không rõ ràng dẫn đến cảnh báo sai Cách thức thông thường đểxác định ranh giới sửdụng phân loại thống kê độ lệch chuẩn.Khi phân loại thiết lập, ranh giới vạch nhờ sử dụng số độ lệch chuẩn Nếu hành vi nằm bên ngồi cảnh báo có xâm nhập Cụ thể là: hệ thống phát động thường tạo profile (dữ liệu) sở để mô tả đặc điểm hành vi bình thường, chấp nhận Một liệu bao gồm tập đo lường xem xét vềhành vi, đại lượng đo lường gồm nhiều chiều: • Liên quan đến lựa chọn: thời gian đăng nhập, vịtrí đăng nhập,… • Các tài ngun sửdụng cảquá trình đơn vịthời gian: chiều dài phiên giao dịch, sốcác thông điệp gửi mạng đơn vịthời gian,… • Chuỗi biểu diễn hành động Sau khởi tạo dữliệu cơsở, trình phát xâm nhập bắt đầu Phát động lúc giống nhưphát tĩnh chúng kiểm sốt hành vi cách so sánh mơ tả đặc điểm vềhành vi với mô tảban đầu hành vi mong đợi (chính dữliệu cơsở), đểtìm sựkhác Khi hệthống phát xâm nhập thực hiện, xem xét sựkiện liên quan đến thực thểhoặc hành động thuộc tính thực thể.Chúng xây dựng thêm dữliệu 11 Các hệthống phát xâm nhập thếhệtrước phải phụthuộc vào ghi kiểm tra (audit record) đểbắt giữcác sựkiện hành động liên quan Các hệthống sau ghi lại cơsởdữliệu đặc tảcho phát xâm nhập Một sốhệthống hoạt động với thời gian thực, gần thời gian thực, quan sát trực tiếp sựkiện chúng xảy đợi hệ điều hành tạo ghi mơ tảsựkiện Khó khăn hệthống phát động chúng phải xây dựng dữliệu cơsởmột cách xác, sau nhận dạng hành vi sai trái nhờcác dữliệu Các dữliệu cơsởcó thểxây dựng nhờviệc giảchạy hệthống quan sát hành vi người dùng thông thường qua thời gian dài V Một số sản phẩm IDS/IPS Phần giới thiệu sốsản phẩm IDS, IPS thương mại nhưmiễn phí phổbiến, sản phẩm điển hình lĩnh vực phát phịng chống xâm nhập • Cisco IDS-4235 Cisco IDS (cịn có tên NetRanger) hệthống NIDS, có khảnăng theo dõi tồn bộlưu thơng mạng đối sánh gói tin đểphát dấu hiệu xâm nhập Cisco IDS giải pháp riêng biệt, Cisco cung cấp đồng bộphần cứng phần mềm thiết bịchuyên dụng Giải pháp kỹthuật Cisco IDS dạng lai giải mã (decode) đối sánh (grep) Cisco IDS hoạt động hệthống Unix tối ưu hóa vềcấu hình có giao diện tương tác CLI (Cisco Command Line Interface) quen thuộc Cisco • ISS Proventia A201 Proventia A201 sản phẩm hãng Internet Security Systems.Vềmặt chất, Proventia không chỉlà hệthống phần mềm hay phần cứng mà hệthống thiết bị triển khai phân tán mạng bảo vệ Một hệthống Proventia bao gồm thiết bịsau: • Intrusion Protection Appliance: Là trung tâm tồn bộhệthống Proventia Nó lưu trữcác cấu hình mạng, dữliệu đối sánh nhưcác quy định vềchính sách hệthống.Vềbản chất, phiên Linux với driver thiết bịmạng xây dựng tối ưu nhưcác gói dịch vụ tối thiểu hóa • Proventia Network Agent: Đóng vai trị nhưcác bộcảm biến (sensor) Nó bốtrí vịtrí nhạy cảm mạng nhằm theo dõi tồn bộlưu thơng mạng phát nguy cơxâm nhập tiềm ẩn • SiteProtector: Là trung tâm điều khiển hệthống Proventia Đây nơi người quản trịmạng điều khiển tồn bộcấu hình nhưhoạt động hệthống 12 Với giải pháp Proventia, thiết bịsẽ triển khai cho phù hợp với cấu hình mạng cụthể đểcó thể đạt hiệu quảcao • NFR NID-310 NFR sản phẩm NFR Security Inc Cũng giống nhưProventia, NFR NID hệthống hướng thiết bị(appliance-based) Điểm đặc biệt kiến trúc NFR NID họcác bộcảm biến có khảnăng thích ứng với nhiều mạng khác từmạng 10Mbps đến mạng gigabits với thông lượng lớn Một điểm đặc sắc NFR NID mơ hình điều khiển ba lớp Thay thiết bịtrong hệthống điểu khiển trực tiếp giao diện quản trị(Administration Interface – AI) riêng biệt, NFR cung cấp cơchế điều khiển tập trung với middle-ware làm nhiệm vụ điều khiển trực tiếp thiết bị • SNORT Snort phần mềm IDS mã nguồn mở, phát triển Martin Roesh Snort xây dựng Unix sau phát triển sang tảng khác Snort đánh giá IDS mã nguồn mở đáng ý với tính mạnh Kiến trúc snort : bao gồm nhiều thành phần, với phần có chức riêng • Mơđun giải mã gói tin (Packet Decoder) • Mơđun tiền xửlý (Preprocessors) • Mơđun phát (Detection Engine) • Mơđun log cảnh báo (Logging and Alerting System) • Mơđun kết xuất thơng tin (Output Module) • Kiến trúc Snort mơ tả hình sau: Hình IV : Mơ hình kiến trúc hệ thống Snort Khi Snort hoạt động thực việc lắng nghe thu bắt tất gói tin di chuyển qua Các gói tin sau bị bắt đưa vào Mơđun Giải mã gói tin Tiếp theo gói tin đưa vào môđun Tiền xử lý, môđun Phát Tại tùy theo việc có phát xâm nhập hay khơng mà gói tin bỏ qua để lưu thông tiếp đưa vào môđun Log cảnh báo để xử lý Khi cảnh báo xác định môđun Kết xuất thông tin thực việc đưa cảnh báo theo định dạng mong muốn  ... đảm bảo an ninh cho mạng trởnên linh động hiệu quảhơn II Phân loại IDS/ IPS: Cách thông thường để phân loại hệ thống IDS (cũng IPS) dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống. .. **** Chỉ tính NIDS có phương thức *** **** Cần nhiều kiến thức chuyên môn cài đặt sử dụng NIDS toàn vấn đề bảo mật mạng bạn ** *** NIDS có chiếm ưu **** NIDS có hệ số rủi ro nhiều so với HIDS ***... sốh? ?thống IDS thiết kếvới khảnăng ngăn chặn nhưmột chức tùy chọn Trong sốh? ?thống IPS lại khơng mang đầy đủchức h? ?thống phòng chống theo nghĩa Một câu hỏi đặt lựa chọn giải pháp nào, IDS hay IPS?