H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) MC LC MC LC1 Li NểI U CHNG 1: TNG QUAN V AN NINH MNG 1.1 Cỏc mc tiờu cn bo v 1.2 Cỏc kiu tn cụng mng4 1.3 Cỏc phng phỏp bo v CHNG 2: H THNG PHT HIN XM NHP TRI PHẫP TRấN MNG (NIDS) 2.1 Xõm nhp (Instrusion) 2.1.1 Cỏch thc xõm nhp vo h thng 2.1.2 Nhng l hng an ninh cú th xõm nhp 2.1.3 Nhng du hiu xõm nhp thụng thng 12 2.1.4 Mt kch bn xõm nhp in hỡnh 13 2.2 H thng phỏt hin xõm nhp IDS (Instrusion Detection System).14 2.2.1 nh ngha, chc nng v nguyờn lý lm vic14 2.2.2 V trớ17 2.2.3 Phõn loi.17 2.3 NIDS (Network-based IDS)28 2.3.1 Lớ la chn NIDS 28 2.3.2 Kin trỳc v hot ng29 2.3.3 Mụ hỡnh h thng NIDS.31 2.3.4 Trin khai v iu chnh h thng NIDS33 2.3.5 ỏnh giỏ mt h thng NIDS (value of NIDS) 39 2.3.6 Ti u hoỏ giỏ tr ca NIDS40 2.3.7 NIDS & Firewall.42 2.3.8 Tng kt 43 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) CHNG 3: THIT K H THNG NIDS44 3.1 Mc ớch.44 3.2 Phõn tớch v thit k chng trỡnh 44 TI LIU THAM KHO 45 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) LI NểI U Ngy nay, cụng ngh thụng tin ó v ang phỏt trin mt cỏch mnh m em li nhng li ớch v ng dng vụ cựng to ln cho ngi Mng mỏy tớnh i, m rng v phỏt trin khụng ngng to nờn h thng mng Internet ton cu Ngy cng cú nhiu ngi nhn li ớch ca vic ni mng ( chia s ti nguyờn, cú th trao i v tỡm kim thụng tin hiu qu, nhanh chúng, tit kim thi gian v chi phớ, ), Internet ó thc s tr thnh mt phn khụng th thiu cuc sng ca ngi, thụng tin liờn lc qua Internet ó tr nờn quen thuc vi hu ht mi ngi Tuy nhiờn, vic truyn thụng trờn mng phi qua rt nhiu trm trung gian, nhiu nỳt vi nhiu ngi s dng khỏc v khụng dỏm chc rng thụng tin n tay ngi nhn khụng b thay i hoc khụng b chộp Chỳng ta ó c nghe nhiu v thụng tin b ỏnh cp gõy nhng thit hi nghiờm trng hay nhng k thng xuyờn trm tin ca ngi khỏc, thm n trm mt khu v gi mo nhm phỏ hoi vic giao dch Thc t cng ó cho thy s cỏc v tn cụng vo mng ngy cng tng, cỏc k thut tn cụng ngy cng mi v a dng Chớnh vỡ th m an ton c t lờn hng u núi n vic truyn thụng trờn mng Cú rt nhiu cỏch thc hin an ton trờn mng nh: phng phỏp kim soỏt li vo, ngn cn s xõm nhp trỏi phộp vo h thng cng nh kim soỏt tt c cỏc thụng tin gi bờn ngoi h thng, hay s dng phng phỏp mó hoỏ d liu trc truyn, ký trc truyn, Trong ni dung ti ny chỳng ta s i sõu tỡm hiu v h thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS-Network Intrusion Detection System) Đề tài: Xây dựng hệ thống phát xâm nhập mạng (NIDS Network Intrusion detection System) H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) CHNG 1: TNG QUAN V AN NINH MNG 1.1 Cỏc mc tiờu cn bo v S i v phỏt trin ca Internet l mt bc ngot ln lch s nhõn loi H thng thụng tin khng l trờn Internet c chia s trờn khp th gii Tuy nhiờn, ng thi vi li ớch to ln ca nú, mng Internet cựng vi cỏc cụng ngh liờn quan cng cho thy mt hn ch tt yu l tớnh mt an ton, d b xõm phm, tn cụng Hu qu ca cỏc cuc tn cụng cú th ch l nhng phin phc nh nhng cng cú th lm suy yu hon ton h thng, cỏc d liu, thụng tin quan trng b xúa, s riờng t b xõm phm,Do ú, nhim v ca chỳng ta l phi trỏnh ti a s mt an ton, hay núi mt cỏch khỏc l phi bo v s an ton cho h thng, suy ngh ca chỳng ta phi i kp vi s phỏt trin cụng ngh Cỏc i tng cn m bo an ninh bao gm: D liu: D liu truyn i trờn mng phi ỏp ng c cỏc yờu cu v: - Tớnh mt (Confidentiality): m bo thụng tin khụng th b truy cp trỏi phộp bi nhng ngi khụng cú thm quyn - Tớnh ton (Integrity): m bo thụng tin khụng b thay i quỏ trỡnh truyn - Tớnh sn sng (Availability): m bo d liu luụn sn sng cú yờu cu truy cp Ti nguyờn: Ti nguyờn bao gm cỏc thnh phn phn cng v phn mm ca h thng K tn cụng cú th li dng cỏc l hng an ninh nh cỏc l hng v h iu hnh, mng, ng dng Nu mỏy tớnh khụng cú d liu quan trng thỡ rt cn c bo v bi vỡ k tn cụng cú th t nhp v s dng nú lm tin cho cỏc cuc tn cụng khỏc Danh ting: Nh trờn ó núi k tn cụng cú th dựng mỏy ca mt ngi s dng tn cụng ni khỏc, gõy tn tht v uy tớn ca ngi s dng ú 1.2 Cỏc kiu tn cụng mng Cú rt nhiu cỏch tn cụng ó bit cng nh cha bit, nhiờn hin cú th chia lm loi chớnh: Interruption (lm giỏn on) Interception (ngn chn) Modification (sa i) Fabrication (lm gi) Sau õy, chỳng ta s xem xột tng quan v cỏc kiu tn cụng ú: H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Tn cụng lm giỏn on (Interruption Attack) in hỡnh cho kiu tn cụng ny l tn cụng t chi dch v DoS (Denial of Service) õy l hnh ng m k tn cụng li dng c im hoc li an ton thụng tin ca mt h thng dch v nhm lm ngng tr hoc ngn cn ngi dựng truy nhp dch v ú Cuc tn cụng ny khụng ly mt thụng tin ca h thng, nú thng ch gõy cho chng trỡnh hoc h thng b v hoc b treo, tờ lit tng phn hoc ton b, buc ngi qun tr dch v ú phi tm ngng cung cp dch v v ng li h thng Vic ngng hot ng mt thi gian nht nh ca cỏc h thng dch v gõy nhng thit hi ỏng k Cú hai kiu tn cụng t chi dch v da theo c im ca h thng b tn cụng, th nht l gõy quỏ ti khin cho h thng mt kh nng phc v cho ngi dựng thc s, th hai l da vo li an ton thụng tin ca h thng t ú gõy cho h thng b treo, tờ lit Vi loi th nht, vic gõy quỏ ti c thc hin bng cỏch gi rt nhiu yờu cu dch v gi gii quyt mt yờu cu dch v, h thng phi tn mt lng ti nguyờn nht nh (CPU, b nh, ng truyn) Lng ti nguyờn l gii hn, nhn c quỏ nhiu yờu cu dch v gi, h thng s s dng ton b ti nguyờn ỏp ng cỏc yờu cu ú v khụng cũn ti nguyờn ỏp ng yờu cu thc s khỏc ca ngi dựng, ngi dựng s khụng th truy nhp c vo h thng dch v Vi loi tn cụng t chi dch v th hai, k tn cụng li dng k h an ton thụng tin ca h thng, c ý gi cỏc yờu cu hoc cỏc gúi tin khụng hp l khin cho h thng b tn cụng nhn c yờu cu hay gúi tin ny Vic x lý khụng ỳng hoc khụng theo trỡnh t ó c thit k, dn n s sp cho chớnh h thng ú Phn ln cỏc k h ny xut phỏt t li phn mm Khi k tn cụng gi nhng th khụng nm cỏc kh nng ó d tớnh, thỡ phn mm d dng b li, gõy v h thng Vớ d in hỡnh cho li ny l kiu tn cụng Ping of Death vo nm 1995, gõy treo hoc v cho rt nhiu h thng Ngoi ra, mt s ớt cỏc k h li xut phỏt t chớnh nguyờn lý hot ng ca h thng, c bit l nguyờn lý ca b giao thc mng TCP/IP Vớ d in hỡnh ca kiu tn cụng ny l SYN flooding, gõy cho h thng dch v mt kh nng tip nhn kt ni TCP Hin ti cha cú bin phỏp hu hiu no phũng chng tn cụng t chi dch v, nht l kiu tn cụng gõy quỏ ti Nh cung cp dch v ch cú th hn ch ch khú cú th gi cho dch v ca mỡnh luụn sn sng trc mi cuc tn cụng t chi dch v Bin phỏp tt nht hin chng li cỏc cuc tn cụng t chi dch v, nht l kiu tn cụng da vo li an ton thụng tin ca h thng, l cỏc nh cung cp dch v phi liờn tc cp nht phiờn bn sa li phn mm mi nht cho h thng ca mỡnh ng thi cỏc nh cung cp dch v phi xõy dng v qun tr h thng cho chỳng ớt cú kh nng b li dng phỏt ng tn cụng t chi dch v Tn cụng DoS thc hin ng thi t nhiu a ch khỏc c gi l tn cụng DDoS (Distributed-DoS) H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Tn cụng ngn chn (Interception Attack) Kiu tn cụng ny s dng cỏc b nghe trm bt gi password v cỏc thụng tin nhy cm khỏc c truyn qua li trờn mng Nh nghe trm password k tn cụng cú th ly c mt khu ca ngi s dng, sau ú chỳng truy nhp mt cỏch chớnh quy vo h thng hn ch kiu tn cụng ny, chỳng ta thc hin phõn on h thng mng v s dng cỏc Hub chuyn i Tn cụng lm thay i (Modification Attack) Kiu tn cụng ny thc hin sa i, thay i thụng tin/chng trỡnh, vớ d nh s dng cỏc on mó nguy him, Virus, Trojan gn vo email hoc cỏc Web site, Bin phỏp bo v trng hp tn cụng ny ú l s dng cỏc phn mm chng virus, thc hin lc ti mail server, kim tra tớnh ton d liu Tn cụng gi mo (Fabrication Attack) Tn cụng gi mo IP l k tn cụng t t a ch IP ca mỡnh trựng vi mt a ch no ú mng bờn Khi ú, nú s c i x nh mt mỏy bờn tc l c lm mi th t ú tn cụng, ly trm, phỏ hu thụng tin 1.3 Cỏc phng phỏp bo v Vi cỏc kiu tn cụng a dng nh ó trỡnh by trờn, cỏc phng phỏp bo v an ninh mng cng khụng ngng c to ra, sa i v phỏt trin cho phự hp vi tng h thng ú cú th l nhng phn mm tớch hp trờn h thng, nhng cụng c phn cng hoc kt hp c hai (phn cng ln phn mm), ú cng cú th l nhng chớnh sỏch an ninh Cỏc phng phỏp thụng thng hin bao gm: Firewall Intrusion Detection System Policy Chỳng ta xem xột tng quan tng phng phỏp: Firewall Firewall l sn phm cung cp s an ton kt ni gia mng ni b vi cỏc mng bờn ngoi Firewall ging nh mt hng ro quanh h thng mng, vi mt cp cỏc cng c la chn Hng ro ny khụng cú kh nng phỏt hin mt ú ang c gng xõm nhp vo h thng (nh tỡm mt l hng bờn di nú), hay phỏt hin ú vo qua mt cng c phộp M nú ch n gin hn ch vic truy cp n cỏc im c i din H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Intrusion Detection System (IDS) IDS (h thng phỏt hin xõm nhp trỏi phộp) c to thnh t cỏc thnh phn phn cng v phn mm cựng hot ng tỡm cỏc s kin khụng mong mun, t ú cú th ch mt cuc tn cụng s xy ra, ang xy hoc ó xy Policy a tớnh riờng t, cỏc lut iu khin, nhng vic phi lm nu b tn cụng H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) CHNG 2: H THNG PHT HIN XM NHP TRI PHẫP TRấN MNG (NIDS) 2.1 Xõm nhp (Instrusion) Trong phn ny s trỡnh by nhng khỏi nim liờn quan nh xõm nhp (intrusion), kch bn xõm nhp (intrusion scenario), s tỡm hiu v bn cht, nguyờn nhõn, nhng du hiu ca vic xõm nhp vo h thng, trc i sõu nghiờn cu v trin khai mt h thng phỏt hin xõm nhp Mt xõm nhp l mt vi ngi (hacker hay cracker) c gng phỏ v hay lm dng h thng Hacker v cracker l hai t dựng ch nhng k xõm nhp K xõm nhp c chia thnh hai loi: Outsiders: nhng k xõm nhp t bờn ngoi h thng (xúa Web servers, chuyn tip cỏc spam qua e-mail servers) Chỳng cú th vt qua firewall tn cụng cỏc mỏy ni b mng Nhng k xõm nhp cú th n t Internet, qua ng dõy in thoi, t nhp vt lý hoc t cỏc mng thnh viờn c liờn kt n t chc mng (nh sn xut, khỏch hng,) Insiders: nhng k xõm nhp m c s dng hp phỏp n bờn h thng (nhng ngi s dng c y quyn, hoc gi mo ngi dựng c y quyn mc cao hn ) Loi xõm nhp ny chim 80% 2.1.1 Cỏch thc xõm nhp vo h thng Cỏc cỏch thc chớnh m nhng k xõm nhp cú th i vo h thng: Physical Intrusion (xõm nhp vt lý): nu mt k xõm nhp truy cp vt lý vo mt mỏy (chng hn chỳng cú th dựng bn phớm,) chỳng s cú th xõm nhp vo c h thng System Intrusion (xõm nhp h thng): õy l mt kiu hacking Gi s rng k xõm nhp ó cú mt account ngi dựng c y quyn mc thp h thng Nu h thng khụng cú cỏc bin phỏp an ton mi nht, thỡ s to c hi tt cho k xõm nhp li dng cú c y quyn cao hn (quyn ngi qun tr) Remote Intrusion (xõm nhp t xa): õy l kiu hacking liờn quan n k xõm nhp c gng thõm nhp vo mt h thng t xa qua mng K xõm nhp u tiờn khụng cú mt y quyn c bit no c Cú mt s dng hacking ny H thng NIDS nghiờn cu phm vi ti ny liờn quan chớnh n kiu xõm nhp t xa (Remote Intrusion) H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) 2.1.2 Nhng l hng an ninh cú th xõm nhp Phn mm luụn luụn cú li (bug) Nh qun tr h thng v ngi lp trỡnh khụng bao gi cú th xúa vt v kh mi l hng cú th Nhng k xõm nhp ch cn tỡm mt l hng v xõm nhp vo h thng Chi tit v cỏc li h thng m nhng k xõm nhp cú th li dng thc hin cỏc mc ớch ca chỳng nh sau: Cỏc li phn mm (Software bugs): Cỏc li phn mm c khai thỏc cỏc trỡnh tin ớch trờn server, cỏc ng dng ti client, h iu hnh v cỏc ngn xp mng Cỏc li phn mm cú th c chia thnh cỏc loi sau : Buffer overflows (trn b nh) : hu ht cỏc l hng an ninh c bit n u li ny Vớ d in hỡnh, mt lp trỡnh viờn thit lp 256 kớ t lu tr mt username ng nhp Ngi lp trỡnh viờn ngh rng khụng cú th cú tờn di hn th, nhng mt hacker thỡ s ngh rng iu gỡ xy nu mỡnh gừ vo mt username vt quỏ s kớ t ú, nhng kớ t tha s i õu Nu hacker th luụn, h nhp vo 300 kớ t bao gm c code m s c thc hin bi server v nh vy l h ó xõm nhp c vo h thng Cỏc hacker s phỏt hin nhng li ny theo mt s cỏch Mt l source code cho rt nhiu cỏc dch v trờn mng Hacker s xem cỏc code ny tỡm cỏc on chng trỡnh cú li trn b nh Hai l, hacker cú th nhỡn vo chng trỡnh xem cú li ú tn ti hay khụng, vy vic c mó assembly u l rt khú Ba l hacker s kim tra mi ni chng trỡnh cú u vo v c gng lm trn nú vi mt d liu ngu nhiờn Nu chng trỡnh b li thỡ õy l mt c hi tt hacker thõm nhp vo Lu ý l ny ph bin i vi nhng chng trỡnh vit bng C/C++, nhng him nhng chng trỡnh vit bng JAVA Unexpected combinations (cỏc kt hp khụng c mong i) : cỏc chng trỡnh thng c xõy dng s dng nhiu lp code bao gm lp di h iu hnh nh l lp di cựng ca cỏc lp K xõm nhp cú th thng xuyờn gi u vo vụ ngha i vi mt lp nhng cú ý ngha i vi nhiu lp khỏc Ngụn ng thụng dng nht x lý u vo ngi dựng l PERL Cỏc chng trỡnh vit bng PERL s thng xuyờn gi cỏc u vo ny n cỏc chng trỡnh khỏc c lng Mt k thut hacker ph bin cú th i vo nh "| mail < /etc/passwd" iu ny c thc hin bi vỡ PERL yờu cu h iu hnh ng mt chng trỡnh thờm vo vi u ú Tuy nhiờn, h iu hnh chn kớ t ng ng |, v ng chng trỡnh mail, iu ny cú th dn n vic file password c gi cho k xõm nhp H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Unhandled input (u vo khụng c x lý): hu ht cỏc chng trỡnh c vit x lý u vo hp l a s lp trỡnh viờn khụng xem xột n trng hp l iu gỡ s xy u vo c nhp khụng ỳng theo c t Race condition : hu ht cỏc h thng ngy l a nhim/a lung (multitasking/ multTheaded) iu ny cú ngha l chỳng cú th thc hin hn mt chng trỡnh ti mt thi im S l nguy him nu hai chng trỡnh cựng phi truy cp n mt c s d liu ti cựng mt thi im Gi s hai chng trỡnh A v B cựng mun sa i cựng mt file Mun sa i mt file, chng trỡnh trc tiờn phi c file vo b nh, thay i ni dung b nh sau ú copy t b nh ngc tr li file Race condition xy chng trỡnh A c file vo b nh sau ú thay i, v trc A thc hin ghi lờn file, chng trỡnh B can thip vo v thc hin y c/ sa i/ ghi lờn file Bõy gi chng trỡnh A ghi bn copy ca nú ngc tr file Vỡ chng trỡnh A bt u vi bn copy trc B tin hnh thay i nú nờn mi thay i ca B lờn file s b mt Vỡ bn cn phi thc hin mt chui cỏc s kin theo ỳng mt trt t no ú nờn race condition l him Nhng k xõm nhp thng xuyờn phi c gng hng ngn ln trc thnh cụng v hack vo h thng Li cu hỡnh h thng (System configuration bugs): Li cu hỡnh h thng cú th chia thnh cỏc loi sau : Default configurations : a s cỏc h thng c gi ti cỏc khỏch hng ch mc nh (cu hỡnh d s dng_easy to use) Tht khụng may mn, easy-to-use cng ng ngha vi easy-to-break-in Hu ht cỏc mỏy UNIX hoc WINNT c chuyn cho ban u cú th b hack d dng Lazy administrators: Mt s lng ỏng ngc nhiờn cỏc mỏy c cu hỡnh vi password root/administrator rng ú l vỡ ngi qun tr quỏ lazy cu hỡnh nú v mun bt mỏy, chy mỏy tht nhanh vi vic lm phin ớt nht Khụng may l h khụng bao gi quay li v in password sau ú, nờn k xõm nhp s d dng truy cp vo h thng Mt iu u tiờn m k xõm nhp s lm trờn mt mng l dũ tỡm tt c cỏc mỏy cú password rng Hole creation (vic to l hng) : hu ht cỏc chng trỡnh cú th c nh cu hỡnh chy ch khụng an ton ụi mt s nh qun tr vụ tỡnh m mt l hng Hu ht cỏc hng dn v vic qun tr gi ý rng cỏc nh qun tr nờn tt mi th m hon ton khụng cn thit chy trờn mỏy trỏnh cỏc l hng bt ng Trust relationships : k xõm nhp thng li dng cỏc quan h tin cy trờn mng Mt h thng mng bao gm cỏc mỏy tin cy ln s ch an ton nú cú kt ni yu 10 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) (audit data), li gi n cỏc th tc ca h thng, v thụng tin trng thỏi h thng c thu thp v sau ú c phõn tớch theo cỏch thc ging vi ó trỡnh by phn IDS, nhng khỏi nim v hnh vi bỡnh thng/bt thng v cỏc kch bn xõm nhp Ch khỏc l mụi trng mng, h thng phỏt hin xõm nhp cn phi hp v tng quan thụng tin t tt c cỏc mỏy trm thc hin c nhim v ny, b dũ tỡm cú th ỏp dng cỏch tip cn trung, theo ú mi thụng tin c thu thp trờn mt mỏy v sau ú c phõn tớch hoc cú th tip cn theo cỏch phõn quyn (phõn cp), ti ú ch thụng tin cc b c phõn tớch v la chn, thụng tin quan trng c chia s gia cỏc thnh phn phỏt hin xõm nhp qua cỏc nỳt + Phõn tớch trung: H thng phỏt hin xõm nhp trờn mng trung c c t bi phộp thu thp d liu kim tra phõn tỏn v phõn tớch trung Trong hu ht cỏc h thng phỏt hin, d liu kim tra c thu thp ti cỏc nỳt riờng l sau ú c bỏo cỏo lờn mt vi v trớ trung, ni m phộp phõn tớch phỏt hin xõm nhp c thc hin Cỏch tip cn ny phự hp i vi nhng h thng mng nh nhng cha ỏp ng i vi nhng h thng ln + Phõn tớch phõn cp: H thng NIDS theo cỏch phõn cp c c t bi phộp thu thp d liu kim tra c phõn tỏn, sau na l phộp phõn tớch phỏt hin xõm nhp phõn tỏn Cỏc h thng ny cú th mụ hỡnh nh quỏ trỡnh phõn cp Khụng ging nh h thng NIDS trung, cỏc h thng NIDS phõn cp ny ỏp dng tt phm vi h thng mng tng bi vỡ thnh phõn phõn tớch l phõn tỏn v cú ớt thụng tin kim tra phi chia s gia cỏc thnh phn khỏc Vi cỏch tip cn phõn quyn, cú mt s phng phỏp chia ton b h thng thnh cỏc vựng nh hn khỏc tu theo mc ớch giao tip Vựng (domain) l mt vi ca h thng phõn cp bao gm mt nỳt cú trỏch nhim thu thp v phõn tớch d liu t tt c cỏc nỳt khỏc vựng ú Nỳt ang phõn tớch ny biu din vựng ti cỏc nỳt cao hn phõn cp Cỏc vựng c to bng vic phõn chia h thng da trờn cỏc yu t v: a lý iu khin qun tr Tp hp cỏc nn phn mm ging Cỏc kiu xõm nhp d oỏn 2.3.3 Mụ hỡnh h thng NIDS Nh vy, chỳng ta ó tỡm hiu chi tit nguyờn lý, hot ng ca h thng NIDS v mt lý thuyt p dng vo thc t h thng mng, cỏc cụng vic c th ca nú s nh sau: + Phỏt hin xõm nhp 31 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) + i phú vi xõm nhp Phỏt hin xõm nhp: Bao gm cỏc chc nng thu thp, phõn tớch, lu tr d liu + Thu thp d liu: cú chc nng thu thp v cung cp thụng tin v cỏc s kin h thng c bo v cho cỏc thnh phn phõn tớch lm nhim v x lý Quỏ trỡnh thu thp ny bao gm c vic loi b nhng thụng tin khụng cn thit Trong mụi trng mng, lung ti (traffic) bao gm cỏc bú d liu IP lu thụng dc theo mng NIDS cú th bt gi c cỏc gúi tin ú chỳng truyn trờn dõy NIDS bao gm mt stack TCP/IP c bit hp li cỏc bú d liu IP v cỏc lung TCP + Phõn tớch d liu: s phõn tớch thụng tin nhn c t b phn thu thp d liu Mc ớch ca nú l tinh chnh tip thụng tin cú liờn quan n an ninh, phõn tớch ỏnh giỏ kh nng s xõm nhp ang xy ra, ó xy hay sp xy S dng mt s k thut phõn tớch sau: Protocol stack verification: Mt s xõm nhp, nh "Ping-O-Death" and "TCP Stealth Scanning" s dng cỏc vi phm ca cỏc giao thc c bn IP, TCP, UDP v TCMP tn cụng mỏy tớnh Mt h thng kim tra n gin cú th ỏnh du cỏc gúi tin khụng hp l Application protocol verification: Mt s xõm nhp s dng cỏch chy giao thc khụng hp l, nh WinNuke (dựng giao thc NetBIOS, thờm d liu OOB) hoc b nh m DNS ó b nguy him, cú ch ký hp l nhng khụng thụng thng phỏt hin cỏc xõm nhp ny mt cỏch hiu qu, NIDS cn phi thi hnh li mt lng ln cỏc loi giao thc lp ng dng khỏc dũ cỏc cỏch chy khụng hp l hoc cú nghi ng Creating new loggable events: NIDS cú th c dựng m rng kh nng kim tra phn mm qun tr mng ca bn Chng hn, NIDS cú th n gin ghi li tt c cỏc giao thc lp ng dng c dựng trờn mỏy Sau ú, cỏc h thng ghi s kin (WinNT event, UNIX syslog, SNMP TRAPS, ) s tng quan cỏc s kin c m rng ú vi cỏc s kin khỏc trờn mng + Lu tr d liu: Hai b phn thu thp v phõn tớch d liu cú th to mt s lng rt ln thụng tin Sau ú chỳng s c b lu tr ghi nhn nhm bo m s sn sng ca d liu cho vic phõn tớch Tuy nhiờn, nu ta khụng tin hnh lu tr hp lý s dn ti ton b hiu nng ca c h thng b nh hng D liu thu thp: c ly t nhiu ngun khỏc nhau, vớ d cỏc log file ca Web server, log file ca firewall, cỏc thụng tin v vic s dng ti nguyờn CPU, vic truy cp cỏc ti nguyờn ca HH H thng cú phỏt hin c s xõm nhp hay khụng ph thuc trc tiờn vo vic thu thp d liu Nu vic thu thp d 32 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) liu chm hoc b mt mỏt thỡ rt d b mt du vt ca k xõm nhp, ly vớ d c th, mt chng trỡnh cn giỏm sỏt hot ng xy trờn mng, nú phi cú th bt c ht cỏc gúi tin truyn trờn mng, nu tc mng ln, thụng lng ng truyn cao vic theo kp tc mng l rt khú i phú vi xõm nhp: Bao gm kh nng phỏt cnh bỏo hoc cú th tỏc ng li k tn cụng di dng kt thỳc liờn kt, sa i li bng iu khin ca router ngn chn nhng cuc tn cụng tip theo cú cựng ngun gc H thng NIDS cú mt s hnh ng i phú thụng thng sau Reconfigure firewall: cu hỡnh li firewall lc a ch IP ca k xõm nhp Tuy nhiờn, iu ny cho phộp k xõm nhp tn cụng t nhng a ch khỏc Trm kim soỏt firewall h tr mt SAMP (Suspicious Activity Monitoring Protocol) cu hỡnh cỏc firewall Trm kim soỏt cng cú chun OPSEC ca nú cho vic cu hỡnh li cỏc firewall ngn chn cỏc a ch IP nguy him Chime (chuụng): phỏt ting bớp hoc chy mt file WAV Vớ d, bn cú th nghe thy li cnh bỏo You are under attack SNMP Trap: gi mt bú d liu SNMP Trap n ni qun tr giao tip ngi mỏy nh HP OpenView, Tivoli, Cabletron Spectrum, NT Event: gi mt s kin n WinNT event log syslog: gi mt s kin n h thng s kin UNIX syslog Send e-mail: gi e-mail n nh qun tr thụng bỏo v tn cụng Page: nhn tin (dựng nhng mỏy nhn tin thụng thng) cho nh qun tr h thng Log the attack: ghi li cỏc thụng tin ca cuc tn cụng (nhón thi gian, a ch IP ca k xõm nhp, a ch IP/cng ca mỏy nn nhõn, thụng tin v giao thc) Save evidence (lu li du vt): lu li mt file theo vt cỏc gúi tin s dng cho quỏ trỡnh phõn tớch sau ny Launch program (khi chy chng trỡnh): chy mt chng trỡnh riờng x lý s kin Terminate the TCP session (kt thỳc phiờn TCP) : gi mo mt gúi tin TCP FIN ngt kt ni 2.3.4 Trin khai v iu chnh h thng NIDS (Deploying and Tuning NIDS) Trin khai h thng NIDS Trc õy cỏc h thng NIDS rt t, phc v l dng cu hỡnh one-sizefor-all Kt qu l vic trin khai NIDS gp nhiu khú khn, b gii han gia boderrouter v firewall ni m chỳng c gng kim soỏt hu ht cỏc cuc giao Vỡ th vic tin hnh mt cụng ngh mi lm cho phự hp vi mng mi rt c hoan nghờnh, kin trỳc Ethernet n, 10Mb/s ó thng tr th trng 33 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Ngy ó cú nhiu cỏc mụ hỡnh mng Ethernet, fast Ethernet, Gig Ethernet S thnh cụng ca mi mụ hỡnh mng úng mt vai trũ c bit vic ỏp ng cỏc yờu cu ti chớnh v thay i nhng chỳng khụng m bo s dng chi phớ nh bo mt mng Intrusion.com a mt hp cỏc h thng Network IDS phự hp vi cỏc tc khỏc v cỏc yờu cu trin khai ca cỏc mng hin i Thay th mụ hỡnh one-size-for-all bng mụ hỡnh cú kh nng thay i, tm trin khai ln ca cỏc thit b IDS cho phộp cỏc nh bo mt chuyờn nghip m rng kh nng bo v mng hn trc õy, bng cỏch ú to cỏc thit b iu khin hiu qu hn v cụng vic kinh doanh c an ton hn Thờm vo ú tm bao ph ca mng ngy ln hn rt nhiu so vi trc õy Nhng h thng mng khng l ny c cỏch ly bi cỏc cụng ngh firewall, v c kt ni thụng qua cụng ngh VPN C firewal v VNP u bo v cỏc on mng v bớt cỏc l hng cú th nhỡn thy Khi mt subnet b cỏch ly bi mt firewall thỡ nhng chuyờn gia bo mt khụng cú kh nng nhỡn thy loi v trng thỏi t nhiờn ca cỏc cuc giao on lnh ny Khi giao mng c mó hoỏ (VPN) thỡ cỏc chuyờn gai bo mt cng khụng cú kh nng nhỡn thy trng thỏi t nhiờn ca cỏc cuc giao t mt h thng NIDS ng sau firewall v VNP, c bit l cỏc mng cỏch ly v phõn tỏn rng, cung cp chuyờn gia bo mt cú tm quan sỏt cn thit m bo an ton cho mng Trin khai mt mng n gin o Mc u tiờn th nht: ng sau vnh ca cỏc firewall Bn ch cú kh nng cung cp mt cm bin NIDS, vy thỡ v trớ ny l thớch hp nht t nú õy chớnh l mt im tht trung tõm ca ton b giao thụng vo hoc mt mng riờng (ca mt cụng s hay mt c quan kinh doanh no ú ) V trớ ny cho phộp cm bin NIDS cung cp mt mc cnh bỏo tng th cú im gỡ sai khỏc hoc lm cho nú xuyờn qua firewall vo mng private Nú khụng cung cp kh nng nhỡn thy nhng hnh ng ỏng ng cũn tn ti 34 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) mt subnet cng nh kim soỏt cỏc giao bờn ngoi ti DMZ Mc m ti ngng trin khai ny cho phộp s kớch hot ca cỏc du hiu t nhng hnh ng ỏng ng thụng qua cỏc c gng xõm nhp o Mc u tiờn th hai: Trong DMZ õy l ni m cỏc dch v ca cỏc enterprise truy cp th gii bờn ngoi bao gm web server, FTP server v email server V trớ ny cho phộp b cm bin NIDS cung cp cỏc thụng tin v giao thụng trờn mng v hot ng l nh hng ti cỏc server bao ph bờn ngoi ni trung ca phn ln cỏc dng tn cụng kiu t chi dch v hay khai thỏc web, tn cụng email mc trin khai ny cho phộp s kớch hot ca du hiu t giao thc d thng thụng qua cỏc c gng xõm nhp o Mc u tiờn th ba: Gia border-router v vnh cỏc firewall Mc trin khai ny cung cp kh nng nhỡn thy s trinh v nhng c gng khai thỏc trc tip trờn firewall Mt s qun tr mng mong mun thờm kh nng nhỡn thy mu ca k tn cụng bờn ngoi nh l mt phn nh mt phn ca s phũng v quc gia, cỏc c quan tỡnh bỏo v ton b cỏc c quan bo mt cn c tng cng Mc trim khai ny cho phộp s kớch hot ca cỏc du hiu t cỏc hnh ng ỏng ng thụng qua cỏc c gng xõm nhp Vic trin khai bờn ngoi firewall thng l mt s du hiu ri ro cú th cn tr mt s qun tr la chn chỳng Nhng ri ro ú thng l l cỏc thụng tin tỡnh bỏo hoc cú l c cỏc l hng xuyờn qua firewall Nu s mo him ú ỏng giỏ vi giỏ tr ca kh nng nhỡn thy ca nú, cú ngh cui cựng: + Giao din giỏm sỏt khụng nờn cú a ch IP + Thay i cng truyn thụng cho SecureNet Pro (mc nh l 975) che du nh danh ca NIDS + Tn dng mt a ch non-routable (RFC 1918 nh 10.x.x.x) vi giao din qun tr trờn cm bin ny + p dng mt giao thc danh (alias interface) bờn ngoi firewall ca bn hoc + Thờm mt giao thc cho firewall c bit l cho h thng IDS + To mt mng V_LAN riờng r cho qun tr dũ tỡm s xõm phm iu ny cho phộp giao thụng quay tr li thit b giao tip ngi-mỏy nhng khụng lm cho b cm bin cú th hin th bờn ngoi mng ca bn o Mc u tiờn th t: ng sau subnet cú firewall hoc mt mng LAN chớnh c trng ca mc trin khai ny l bo v cỏc server cú nhim v khú khn nh ERP, CRM, PDM v cỏc h thng tớnh toỏn Thờm vo ú t cỏc server ny ng sau firewall, nú tr nờn thụng dng hn nờn cỏc v, b quan trng (critical 35 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) department) cỏc t chc cú cỏc on mng c ngn cỏch vi giao thụng thụng thng Firewall c s dng bờn cỏch ly cỏc b, v nh sau: + T chc hnh phỏp + T chc ti chớnh + Cỏc ti nguyờn ngi + Cỏc t chc nghiờn cu v phỏt trin + Khoa cụng trỡnh + Cỏc t chc cp bng sỏng ch + T chc phỏp lut Mc trin khai ny cú th s dng bao ph ti cỏc kt ni thng mi in t ti cỏc thnh viờn Firewall khụng ch bo v nhng on mng ny nú cũn cú th dng cỏc h thng IDS khỏc kim soỏt giao thụng sau firewall Khụng cú mt b v no khụng phi chu cỏc cuc tn cụng back door to cỏc l hng vnh mng v a cỏc ti sn thụng tin vo tỡnh trng mo him Mc trin khai ny cho phộp s kớch hot ca tt c cỏc du hiu t cỏc s kin mng thụng qua cỏc cuc tn cụng Thờm vo ú nhng hn ch tng thờm ca cỏc firewall liờn b, nhng vựng ny cú th ng nhiu v phớa cỏc mỏy tớnh t cu hỡnh hoc s c gng ca cỏc user truy cp ti cỏc department khỏc hoc Internet Vic dũ tỡm giao thc bt thng v cỏc du hiu s kin mng n ỳng lỳc dũ cỏc s kin ỏng ng tuõn theo cỏc chớnh sỏch an ton hoc da trờn hnh vi hn l da trờn du hiu o Mc u tiờn th nm: sau firewall ca mt phũng chi nhỏnh hoc xa T chc kinh doanh bõy gi ó l mt t chc no tri di nhiu chi nhỏnh v cỏc phũng xa tt c u cn kt ni ti trung tõm ch huy truy cp cỏc ti sn thụng tin ca t chc Ging nh kch bn trin khai trờn, firewall nh mt vũng cho cỏc phũng chi nhỏnh v cỏc phũng t xa, khụng ch bo v chỳng m cũn dng cỏc IDS doanh nghip kim soỏt giao thụng ti cỏc v trớ ny.Khụng cú mt phũng no khụng phi chu cỏc cuc tn cụng back door to cỏc l hng vnh mng v a cỏc ti sn thụng tin vo tỡnh trng mo him Thờm vo ú khong cỏch ti trung tõm ch huy cỏc phũng t xa cú th ng nhiu hn v phớa cỏc mỏy tớnh t cu hỡnh hoc s c gng ca cỏc user truy cp ti cỏc phũng khỏc hoc Internet Vic dũ tỡm giao thc bt thng v cỏc du hiu s kin mng n ỳng lỳc dũ cỏc s kin ỏng ng tuõn theo cỏc chớnh sỏch an ton hoc da trờn hnh vi hn l da trờn du hiu Mc trin khai ny cho phộp s kớch hot ca tt c cỏc du hiu t cỏc s kin ca mng thụng qua s c gng xõm nhp iu chnh h thng dũ tỡm s xõm nhp 36 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Cú hai yu im chớnh mt h thng dũ tỡm s xõm nhp m k tn cụng cú th khai thỏc to mt cuc tn cụng vo mng m khụng b dũ thy ú l: + Lm mự b cm bin + Lm mự ngi iu hnh Blinding Sensor: Lm mự b cm bin Cỏc hacker c gng lm mự b cm bin lm cho NIDS khú thm khụng th dũ mt cuc tn cụng thc s bng cỏch lm trn ngp mng vi cỏc cuc giao gi n i cuc tn cụng thc s hoc s dng cuc giao kỡ d ln trỏnh h thng dũ tỡm Dng tn cụng stick mi c cụng khai gn õy cú kh nng lm mự hon ton ký ngh dn u NIDS lm cho cỏc cuc tn cụng khỏc cú th c gi i m hon ton khụng b dũ thy.Thờm vo ú mt s b cm bin NIDS khụng hp cỏc gúi c phõn nh li hoc s dng cỏc giỏ tr trung bỡnh n gin, ginh c th trng ca chỳng m khụng thc s phõn phi mt gii phỏp Mt s NIDS yờu cu ghộp li cỏc gúi nhng thc s ch thc hin mt phn ghộp ni ú, cho user cú th b lm hi bi mt k tn cụng thnh tho Bng cỏch thc thi cỏc cụng ngh dũ tỡm s xõm phm ó c ci tin nh l rỏp gúi a ng hay phõn tớch gúi tc cao, mt s h thng dũ tỡm th h hai vi nhiu u im hn, cú tớnh thớch nghi cao hn, v cú hiu qu vic ngn nga cỏc dng tn cụng gõy mự hay tn cụng lng trỏnh Blinding the operator: Lm mự ngi iu hnh i lp vi blinding sensor, blinding operator v cn bn b nh hng ca vic trin khai v iu chnh NIDS m hon ton nm di s kim soỏt ca qun tr an ton Blinding operator cú th c thc hin khỏ n gin bng cỏch to tht nhiu thụng tin gi ti thit b giao tip ngi-mỏy dũ tỡm s xõm phm trờn mng Quỏ nhiu d liu khin cho qum tr an ton khú thm khụng th nhn lp tc s e d liu c a n kim soỏt kh nng lm mự ni iu hnh cỏc b cm bin cn c lm cho phự hp lm phự hp cỏc b cm bin l mt tin trỡnh xỏc nh nhng du hiu no, di cỏc thụng s no c gi l chớnh sỏch nờn c trin khai v bng cỏch no cỏc NIDS cú th c cu hỡnh tng s lng cỏc bỏo cỏo s kin cho thớch hp v t l phn trm cỏc s kin mng Bn bc iu chnh gim thiu kh nng cỏc sensor hay cỏc console b mự Intrusion.com SecureNet Pro cung cp nhiu mc iu chnh cho phộp chuyờn gia an ton tỡm cỏc s kin phự hp vi mng n ca h Qui trỡnh iu chnh gm cú pha: 37 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) + Gii hn s lng cỏc du hiu tỡm kim Bn cn quyt nh xem nhng thnh phn no ca giao thc bn xem nh mt mi e ti mng hoc on mng ca bn + S dng cỏch lc ton th ca SecureNet Pro Cỏc b lc tng th cho phộp bn gii hn s lng d liu c a vo mng t b cm bin Cỏc b lúc tng th cho phộp cỏc chuyờn gia bo mt s dng chớnh sỏch tớn hiu n ton b t chc v sau ú tu chnh cỏc chớnh sỏch c thc hin ti sensor bng Ethernet, IP v giao thc trc vic x lý du hiu xut hờn + Cỏc s kin lc ti console gii hn s lng cỏc d liu c a n chuyờn gia bo mt-lc console li hu ht lng d liu c s d liu phõn tớch nhng gii hn nh hng blinding the operatord bng cỏch ch hin th nhng s kin thớch ỏng + iu chnh du hiu thc s Cỏc du hiu cú th c iu chnh cho phự hp vi cỏc s kin mng c bỏo cỏo khụng sai nh nhng s kin khỏc, cỏc loi s kin cú tớnh e cao hn hoc cnh bỏo cỏc loi s kin ớt e iu chnh du hiu S dng SecureNet Pro, cỏc thụng s ca cỏc du hiu cú th c thay i lm cho chỳng cú th thớch hp vi mi mng n Nú bao gm vic chnh sa mụ t v cỏc trng text khỏc cho cú th thờm cỏc thụng tin c trng v trớ cng nh l cỏc mc khỏc Mc u tiờn ca vic chnh sa du hiu l thay i quyn u tiờn ca cỏc s kin lm thớch hp vi mc quan trng ca mng Nh ó núi n trờn, mt s mng cỏc hot ng ỏng ng ca mt s kin cú th mc u tiờn trung bỡnh Trong mt s khỏc cng vi cỏc s kin ú nhng cú th mc u tiờn cao hn tng kh nng cú th xy m cỏc chuyờn gia bo mt cú th nhỡn thy cỏc thụng tin h tỡm kim, u tiờn du hiu se c phõn tớch khp vi cỏc mc u tiờn ca cỏc chuyờn gia bo mt Thờm vo ú cỏc chuyờn gia bo mt cú th chn phõn tớch s phõn loi ca cỏc du hiu Mi du hiu c phõn loi vo mt cỏc dng tn cụng: c gng xõm nhp, DdoS, DoS, hnh ng ỏng ng, giao thc bt thng v cỏc s kin mng Nhỡn chung vic phõn loaih cỏc s kin ny l c trng ca tt c cỏc t chc Mi chuyờn gia bo mt ca mt doanh nghip nờn nghiờn cu vic phõn loi cỏc s kin theo ng cnh mng ca doanh nghip ú Vớ d nh mt s kin c phõn loi l s kin mng (network event) bi Intrusion.com nhng li c phõn loi li l mt hnh ng ỏng ng thớch hp vi chớnh sỏch mng ca mt doanh nghip no ú Khi s dng Intrusion mó ngun m hoc user to cỏc du hiu so khp chui (string matching signature) cỏc tớn hiu tỡm kim v cỏc thụng s cho cỏc du hiu ny cú th b bin i lm cho cỏc du hiu ỳng n hn Cỏc du hiu so khp chui ngun m cng cú th b nhõn ụi v i tờn to cỏc kh 38 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) nng xỏc minh ph Cỏc du hiu ngun m cú th c to mt console ca SecureNet Pro Linux hoc s dng trỡnh son tho bn Cỏc du hiu so khp chui cú th c thụng s hoỏ nh cac du hiu khỏc, vi nhiu mc u tiờn khỏc nhau, s phõn loi, miờu t, IP, MAC bin i 2.3.5 ỏnh giỏ mt h thng NIDS Mt h thng NIDS núi chung cú c cỏc u im: + t nh hng n c s h tng hin ang tn ti + Qun tr trung + Phm vi bo v rng + Linh hot v chc nng Bờn cnh ú, nú cng tn ti nhng nhc im c bn: + T l xỏc nh sai l cao + D b lm cho quỏ ti + Thng d b phỏ hoc lm mt hiu lc Gi thuyt ca chỳng ta l: cú c chớnh xỏc cc i, cỏc thut toỏn dũ tỡm mt h thng NIDS ch nờn chn d liu u vo cú tớnh rừ rng, d hiu, tin cy cao v thao tỏc trờn d liu ú bi cỏc hm bin i cú th c mụ hỡnh vi chớnh xỏc cao v tỡnh trng khụng an ton l ớt Tng ng ta cú cỏc yờu cu v lung d liu u vo v cỏc hm bin i nh sau: Cỏc c im cn thit v lung ti: + Tớnh rừ rng (Visibility): lung ti cú th i trờn mng m NIDS khụng phỏt hin ra? + Tớnh d hiu (Understandability): NIDS cú th hiu c giao thc? D liu ca quỏ trỡnh dũ tỡm xõm nhp cú c mó húa khụng? + tin cy (Realiability): Thụng tin cú chớnh xỏc nh th no? Cú b gi mo hay khụng? Cỏc hm bin i: + Bin i lung ti mng mt cỏch logic, theo thi gian v/hoc khụng gian + Bin i cỏc ngun d liu nguy him sau NIDS phỏt hin nú + Cú th yờu cu mụ hỡnh theo trng thỏi mụ phng + Phi c mụ phng ngn chn xõm nhp Nh vy, cn nghiờn cu cỏc NIDS bng cỏch ng dng mụ hỡnh ca nú vo cỏc h thng thc t ang tn ti Nh ú ta cú th: 39 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) + Phỏt hin cỏc mt hn ch ca mụ hỡnh + Ch cỏch thc thay i cỏc thut toỏn hoc mụi trng thao tỏc nõng cao chớnh xỏc ca h thng + c lng c tớnh kh thi ca cỏc mc ớch dũ tỡm + Cung cp y cỏc yờu cu ca h thng tng ng vi nhng mc ớch dũ tỡm c a + Thm chỳng ta cú th c tớnh c chớnh xỏc ca h thng dũ tỡm NIDS 2.3.6 Ti u hoỏ giỏ tr ca NIDS Thc o hiu nng Thc o thụng dng nht i vi NIDS l s cỏc gúi b b i hoc cú bao nhiờu gúi m NIDS khụng cú kh nng phõn tớch Nhng ú khụng phi l lý m mt NIDS c la chn Nu nh cỏc router v cỏc firewall l cỏc thit b ni tuyn, b cỏc gúi ngn tr giao thụng ca mng, i vi cỏc thit b ny thỡ thc o ú l rt thớch hp Cỏc h thng dũ tỡm s xõm nhp khụng th b xp loi cựng vi cỏc router v firewall vỡ cỏc im khỏc bit c bn di õy: Cỏc h thng NIDS l cỏc thit b th ng v kt ni ti mng bng mt kt ni hỡnh T vỡ th nú khụng cú kh nng block giao thụng Cỏc h thng NIDS khụng phi l cỏc thit b iu khin truy nhp vỡ th cỏc gúi b hu b khụng th a n vic ng truyn b block Chỡa khoỏ s dng ỳng thc o ca mt NIDS chớnh l lý bn la chn h thng ny Mc ớch ca NIDS l xỏc nh chớnh xỏc mt cuc tn cụng bt chp s phc ca mng boó ho Thc o ỳng n cho mt h thng dũ tỡm s xõm phm chớnh l attack detection dũ cỏc cuc tn cụngti cỏc mc khỏc ca mng bóo ho i vi cỏc on mng 10Mbs, 100Mbs v Gigabit Giỏ tr ca tớnh mm Gia thp k 90 nhiu nh phõn tớch c gng tỡm cỏch tớnh toỏn ỳng n xỏc nh xem mt sn phm cú mang li hiu qu cao hn so vi cỏc sn phm khỏc mt khong thi gian Thc o u tiờn ú l tng giỏ tr quyn s hu Total Cost of Ownership (TCO)-m ó c gng khai thỏc giỏ tr ca vic qun lý, ngi qun tr nhiu giỏ tr khỏc ca cỏc user cui TCO nhanh chúng b theo kp bi mụ hỡnh TEI tng tỏc ng kinh t Trong lnh vc bo mt, tớnh mm cú ý ngha rt ln Cỏc h thng mng khụng ngng phỏt trin v thay i bng cỏc bc tin ỏng kinh ngc Thờm vo ú ti mi bc tin cỏc mi e mi li c phỏt hin v li dng lm tng cỏc ca mng v vic bo v cỏc ti sn thụng tin phỏt huy hiu qu 40 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) NIDS cn phi thớch nghi vi mi s bin i ca mụi trng mng ca doanh nghip Tớnh mm NIDS cú th c o trờn ba vựng chớnh s tu bin, trin khai v qun lý Tu bin (customization) cho phộp chuyờn gia bo mt sa li cho hp vi chớnh sỏch IDS ca mng doanh nghip Kh nng tu bin lm tng giỏ tr ca cỏc thụng tin c sinh bi IDS cung cp cỏc thụng tin cú giỏ tr cao hn v vic s dng mng Trin khai (Deployment) tớnh mm cho phộp hp cỏc d liu ng nht t cỏc on mng khỏc hn Cỏc on Fast Ethernet, Gigabit, cỏc phn mm trin khai trờn cỏc phn cng ang tn ti v cỏc thit b da trờn cỏc gii phỏp cho phộp IT v cỏc chuyờn gia bo mt chi tiờu thớch hp cho cỏc ũi hi ca mng ca h Qun lý (Management) kh nng cú th thay i lm cho nú cú th li dng s u t bo mt Tớnh thụng minh ca mng c nõng cao vi cỏc thụng tin c chun hoỏ t vụ s cỏc on mng mt v trớ n hoc kin trỳc phõn cp Vic tha nhn cỏc giỏ tr lõu di ph thuc nhiu vo kh nng lõu di ca cỏc gii phỏp.Tớnh mm l s m bo rng cụng ngh m bn tỡm kim s thớch hp vi h thng hin thi cng nh h thng tng lai Quan tõm n chớnh sỏch trc tiờn, th hai l cỏc gii phỏp Cỏc chớnh sỏch bo mt l mc ớch u t bo mt ca cỏc cụng ty v nú l bc u tiờn t c giỏ tr ti u bt k mt s u t vo cụng ngh bo mt no Ti u hoỏ giỏ tr dũ tỡm s xõm phm trờn mng bt u bng mt chớnh sỏch bo mt xỏc nh thc o ca s thnh cụng Chớnh sỏch bo mt dũ tỡm s xõm phm cn c nh ngha theo ba im sau: o Mc ớch mua mt h thng NIDS: õy l mt im u n gin nhng rt quan trng Nu khụng cú mt mc ớch rừ rng bn mun NIDS lm gỡ thỡ khụng th xỏc nh vic trin khai cú thnh cụng hay khụng o Kh nng i mt vi nhng nguy him trin khai mt h thng NIDS: Mi mt sensor c trin khai mt h thng thỡ cú mt lot cỏc mi e (ó xỏc nh) s c tỡm kim Gim s lng cỏc mc m NIDS tỡm kim s lm tng hiu nng Khi trin khai mt sensor bờn ngoi firewall, vic phõn tớch giao i cú th c chia thnh dng khụng phõn tớch (non-analysis) hoc l i tt c o Sensor dũ tỡm hot ng bao lõu: Mt s sensor NIDS ó c trin khai s tr thnh mt b phn vnh cu h thng, nhiờn chỳng cng cú th b di chuyn liờn tc nu cn Cn xỏc nh trc khong 41 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) thi gian m sensor c t ti ú cú th a mt chớnh sỏch trin khai hp lý nht Tng thi gian trin khai Mt nhng li ớch chớnh ca NIDS l c trin khai ti mt im n v bo v ton b cỏc on mng Gim thi gian v n lc bo v cỏc im n ny s tng gớ tr c nhn bit ca u t NIDS ti u hoỏ giỏ tr dũ tỡm s xõm phm mt chin lc thụng dng l s dng cỏc thit b lm gim thi gian trin khai 2.3.7 NIDS & Firewall Mc dự cũn cú nhng hn ch, firewall l yu t cn thit cho bt c h thng an ninh mng no Firewall ngn chn cỏc dng tn cụng c nh v iu khin kiu ca lung ti (Web, FTP, Telnet hoc IRC) truyn gia h thng mng bờn ca bn v Internet Tuy nhiờn, cú nhng dng tn cụng m firewall s khụng ngn chn hoc phỏt hin nh tn cụng trờn cng 80 ca web server Firewall bo v vic truyn thụng gia cỏc h thng mng m khụng cung cp cỏc bo v hoc rt ớt cho cỏc tn cụng mng cc b Nu tuyn phũng th ngoi vnh mng b chc thng hoc nu vic lm dng l bờn t chc ca bn thỡ firewall s khụng a cỏc h tr, NIDS s bt gi, phõn tớch, nhn dng v phn ng li vi cỏc kiu tn cụng ú Khi ó cú firewall, cn phi cú NIDS: Thụng thng, mi ngi u ngh rng cỏc firewall nhn dng cỏc tn cụng v ngn chn chỳng iu ny khụng ỳng Firewall n gin l mt thit b thc hin tt (dng) mi th, sau ú bt li ch mt vi mc (item) c chn l hon thin (khụng li) Trong mt th gii hon ho thỡ cỏc h thng ó sn sng locked-down v an ton, firewall l khụng cn thit Tuy nhiờn, thc t, cỏc l hng an ton c phỏt hin ngu nhiờn ú chỳng ta cn phi cú firewall Vỡ vy, ci t mt firewall, iu u tiờn m nú thc hin l dng tt c cỏc truyn thụng Nh qun tr firewall sau ú s ht sc cn thn thờm vo cỏc lut (rules) cho phộp cỏc kiu c bit ca lung ti i qua firewall Vớ d, mt firewall in hỡnh cho phộp truy cp vo Internet s dng tt c cỏc lung bú d liu UDP v ICMP, dng cỏc kt ni TCP i vo, nhng li cho phộp cỏc kt ni TCP i (cú ngha l nú s dng cỏc kt ni t hacker bờn ngoi Internet nhng cho phộp nhng ngi dựng bờn kt ni trc tip bờn ngoi) Núi chung, firewall khụng phi l mt h thng bo v ng nh ngi dựng ngh, m ngc li ú chớnh l IDS IDS thc hin vic nhn dng cỏc tn cụng vo h thng mng m firewall khụng th nhỡn thy 42 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Vớ d nh, vo thỏng nm 1999, rt nhiu ni b tn cụng qua li (bug) ColdFusion Tt c cỏc ni ny u cú firewall nhng firewall ch hn ch truy cp vo Web server ti cng 80, v ú chớnh l Web server b tn cụng, vỡ th firewall trng hp ny khụng cũn cú tỏc dng bo v na Mt khỏc, mt IDS s phỏt hin tn cụng bi vỡ nú so khp ch ký c cu hỡnh trờn h thng Mt khỏc ca firewall l chỳng ch nm trờn ng biờn h thng mng ca bn, m 80% cỏc thit hi v ti chớnh hacker xut phỏt t bờn mng Firewall trờn ng biờn s khụng th nhỡn thy nhng gỡ xy bờn trong, chỳng ch nhn bit c lung ti gia bờn h thng v Internet Mt s lớ cho vic thờm IDS vo firewall l : + Kim tra hai chiu cỏc firewall b cu hỡnh sai + Bt gi cỏc tn cụng m firewall cho phộp i qua mt cỏch hp l + Bt gi cỏc tn cụng tht bi + Bt gi vic tn cụng bờn Nu ó cú mt NIDS, firewall l cn thit: Bi vỡ cú mt lng ln cỏc script-kiddies (on mó con), l cỏc chng trỡnh t ng chy trờn mng (nh SATAN) tỡm kim cỏc l hng Nu khụng cú firewall, cỏc chng trỡnh t ng ny s phỏt hin v li dng cỏc l hng ú 2.3.8 Tng kt Cỏc h thng bo v an ninh trc õy c thc hin trờn c ch ngn chn tn cụng t bờn ngoi vo h thng cn bo v Thc t hin cho thy khụng cú mt h thng ngn chn no bo m chn ng c cỏc cuc tn cụng Hn na, thc t cỏc tng kt cho thy hu ht nguyờn nhõn ca cỏc cuc tn cụng phn ln xut phỏt t h thng m nú bo v H thng IDS khụng phi l mt cụng c b sung thun tỳy cho firewall, m s kt hp gia IDS vi Firewall mi m bo thit lp mt h thng an ton an ninh trn nht 43 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) CHNG 3: THIT K H THNG NIDS 3.1 Mc ớch Thit k chng trỡnh cú kh nng "theo dừi" cỏc hot ng xy trờn mt mng LAN da trờn nguyờn tc thu thp cỏc gúi tin trờn ng truyn v phõn tớch cỏc gúi tin ú 3.2 Phõn tớch v thit k chng trỡnh Phõn chia h thng thnh cỏc chc nng chớnh nh sau: NIDS Phát xâm nhập Đối phó với xâm nhập Thu thập liệu Đưa cảnh báo Phân tích liệu Ghi lại thông tin xâm nhập Lưu trữ liệu H thng phi thu thp c cỏc gúi tin truyn trờn mng, ú l iu bt buc Cỏc gúi tin ó thu thp phi c gii mó: d liu nhn c ban u hon ton l cỏc "byte stream" Gii mó gúi tin l cụng vic c vo lung d liu ny sau ú cú th phõn bit tng loi gúi tin riờng r bng cỏch nhn cỏc trng tiờu ca gúi tin Phõn tớch phỏt hin tn cụng da trờn cỏc k thut phõn tớch ó trỡnh by Cui cựng, phỏt hin tn cụng phi i kốm vi cỏc bin phỏp i phú li (bỏo ng, ghi li thụng tin v cuc tn cụng) 44 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) D kin xõy dng cỏc module x lý nh sau: + Module bt gúi tin trờn ng truyn + Module gii mó gúi tin + Module phõn tớch tỡm kim du hiu tn cụng + Lu tr v i phú TI LIU THAM KHO Robert Graham Faq: Network Intrusion Detection Systems (2000) http://www.robertgraham.com/pubs/network-intrusion-detection.html [Axelsson, 2000c] Axelsson, S (2000c) Intrusion Detection Systems: A Taxonomy and Servey Technical Report 95-15, Dept of Computer Engineering, Chalmers University of Technology Nguyn Quc Cng Internetworking vi TCP/IP (Tp 1) 45 [...]... Scanner) Systems Vulnerability Assessment (Scheduled) canh gác trên mỗi hệ thống, giám sát các file chủ chốt, đột nhập, backdoor, theo thời gian thực xác định chính sách bằng cách tìm ra các lỗ hổng trong HT, phá password, quét các hệ thống mạng để tìm ra những lỗ hổng và những điểm dễ bị xâm phạm trên các that bị canh gác trên các hệ thống mạng, tìm kiếm các dạng tấn công đã biết trong các luồng dữ... thit phi gii mó password, chỳng cú th dựng dng mó húa tn cụng vo h thng iu ny ũi hi chỳng phi lp trỡnh li cỏc phn mm client cho phộp dựng password c mó hoỏ 11 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Ly trm file password: ton b c s d liu ngi dựng c lu tr mt file trờn a Mt khi k xõm nhp ó ly c file ny, chỳng cú th chy nhng chng trỡnh crack tỡm ra nhng password yu trong file Quan sỏt (Observation):... thc chớnh thc hin hnh vi xõm nhp: Do thỏm (Reconnaissance): bao gm vic quột cỏc a ch, DNS, quột cỏc cng TCP, UDP,v cỏc Web server tỡm ra cỏc l hng CGI 12 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Li dng (Exploits): li dng cỏc c tớnh n hoc li truy cp vo h thng T chi dch v (Denial of Service-DoS): k xõm nhp s c gng phỏ v mt dch v, quỏ ti kt ni mng, quỏ ti CPU, hoc lm y a Chỳng s khụng ly... ng ú Mụ hỡnh hay s miờu t ca kch bn xõm nhp s quyt nh kh nng kim soỏt h thng Mt kch bn in hỡnh cú th l : Bc 1 : do thỏm bờn ngoi (outside reconnaissance) 13 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Bc 2 : do thỏm bờn trong (inside reconnaissance) Bc 3 : khai thỏc cỏc l hng (exploit) Bc 4 : theo du vt (foot hold) Bc 5 : li dng cỏc s h (profit) 2.2 H thng phỏt hin xõm nhp (IDS) 2.2.1 nh ngha,... thng ú Cú th c biu din di dng mt xõu bit nh phõn hoc mt tp cỏc xõu (cỏc file) Nu biu din ny cú s sai khỏc so vi dng thc gc thỡ hoc cú li xy ra hoc mt k xõm 14 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) nhp no ú ó thay i nú Lỳc ny, b phỏt hin tnh s c thụng bỏo kim tra tớnh ton vn d liu C th l: b phỏt hin tnh a ra mt hoc mt vi xõu bit c nh nh ngha trng thỏi mong mun ca h thng Chỳng thu c mt biu... bỡnh thng, chp nhn c Mt profile bao gm tp cỏc o lng c xem xột v hnh vi, mi i lng o lng gm nhiu chiu: + Liờn quan n cỏc la chn: thi gian ng nhp, v trớ ng nhp, 15 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) + Cỏc ti nguyờn c s dng trong c quỏ trỡnh hoc trờn mt n v thi gian: chiu di phiờn giao dch, s cỏc thụng ip gi ra mng trong mt n v thi gian, + Chui biu din cỏc hnh ng Sau khi khi to profile c s,... kim tra c ghi li bi h iu hnh Cỏc k thut phỏt hin s lm dng khỏc nhau cỏch thc m chỳng mụ t (mụ hỡnh) hnh vi ch nh mt s xõm nhp Cỏc h thng phỏt hin s lm dng 16 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) th h u tiờn s dng cỏc lut (rules) mụ t nhng gỡ m cỏc nh qun tr an ninh tỡm kim trong h thng Mt lng ln tp lut c tớch lu dn n khú cú th hiu v sa i bi vỡ chỳng khụng c to thnh tng nhúm mt cỏch hp... IDS #3 : Phỏt hin cỏc xõm nhp c gng i qua firewall IDS #4 : Bng cỏch a h thng IDS qua mng ca t chc, cỏc tn cụng bờn trong h thng s c phỏt hin 2.2.3 Phõn loi 17 H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Mc ớch ca mt h thng IDS l cung cp du hiu ca mt cuc tn cụng tim tng hoc mt cuc tn cụng thc s Mt cuc tn cụng hay xõm nhp l mt s kin nht thi trong khi cỏc im d b xõm phm trờn h thng l c nh (mang n...H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Phỏ password (Password cracking): Really weak passwords: hu ht mi ngi dựng tờn ca h, tờn ca bn tr, con vt, hoc nhón hiu xe lm password Cũn cú nhng ngi khụng dựng password iu ny dn n mt danh sỏch... mạng, tìm kiếm các dạng tấn công đã biết trong các luồng dữ liệu, theo thời gian thực Networks hỡnh 1: Technology Landscape 18 Intrusion Detection (real-time) H thng phỏt hin xõm nhp trỏi phộp trờn mng (NIDS) Hỡnh 1 trờn õy ch ra rng cỏc sn phm IDS cú th c phõn loi theo dng phũng nga hay dng i phú (phn ng li sau khi ó b xõm nhp) Chỳng cng cú th c phõn loi theo tm quan trng trong vic quột tỡm trờn mng