Hệ thống phát hiện xâm nhập trái phép tên mạng (NIDS)

45 1.1K 14
Hệ thống phát hiện xâm nhập trái phép tên mạng (NIDS)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Luận Văn: Hệ thống phát hiện xâm nhập trái phép tên mạng (NIDS)

Hệ thống phát xâm nhập trái phép mạng (NIDS) MỤC LỤC MỤC LỤC…………………………………………………………………………1 LỜi NÓI ĐẦU…………………………………………………………………… CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG…………………………… 1.1 Các mục tiêu cần bảo vệ……………………………………………… … 1.2 Các kiểu công mạng……………………………………………………4 1.3 Các phương pháp bảo vệ………………………………………………… CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊN MẠNG (NIDS)…………………………………………………………………………… 2.1 Xâm nhập (Instrusion)…………………………………………………… 2.1.1 Cách thức xâm nhập vào hệ thống………………………………… 2.1.2 Những lỗ hổng an ninh xâm nhập…………………………… 2.1.3 Những dấu hiệu xâm nhập thông thường………………………… 12 2.1.4 Một kịch xâm nhập điển hình………………………………… 13 2.2 Hệ thống phát xâm nhập IDS (Instrusion Detection System)……….14 2.2.1 Định nghĩa, chức nguyên lý làm việc………………………14 2.2.2 Vị trí…………………………………………………………………17 2.2.3 Phân loại…………………………………………………………….17 2.3 NIDS (Network-based IDS)………………………………………………28 2.3.1 Lí lựa chọn NIDS……………………………………………… 28 2.3.2 Kiến trúc hoạt động………………………………………………29 2.3.3 Mơ hình hệ thống NIDS…………………………………………….31 2.3.4 Triển khai điều chỉnh hệ thống NIDS……………………………33 2.3.5 Đánh giá hệ thống NIDS (value of NIDS)…………………… 39 2.3.6 Tối ưu hoá giá trị NIDS…………………………………………40 2.3.7 NIDS & Firewall…………………………………………………….42 2.3.8 Tổng kết…………………………………………………………… 43 Hệ thống phát xâm nhập trái phép mạng (NIDS) CHƯƠNG 3: THIẾT KẾ HỆ THỐNG NIDS……………………………………44 3.1 Mục đích………………………………………………………………….44 3.2 Phân tích thiết kế chương trình……………………………………… 44 TÀI LIỆU THAM KHẢO……………………………………………………… 45 Hệ thống phát xâm nhập trái phép mạng (NIDS) LỜI NĨI ĐẦU Ngày nay, cơng nghệ thơng tin phát triển cách mạnh mẽ đem lại lợi ích ứng dụng vơ to lớn cho người Mạng máy tính đời, mở rộng phát triển không ngừng tạo nên hệ thống mạng Internet tồn cầu Ngày có nhiều người nhận lợi ích việc nối mạng (để chia sẻ tài ngun, trao đổi tìm kiếm thơng tin hiệu quả, nhanh chóng, tiết kiệm thời gian chi phí, ), Internet thực trở thành phần thiếu sống người, thông tin liên lạc qua Internet trở nên quen thuộc với hầu hết người Tuy nhiên, việc truyền thông mạng phải qua nhiều trạm trung gian, nhiều nút với nhiều người sử dụng khác không dám thông tin đến tay người nhận không bị thay đổi không bị chép Chúng ta nghe nhiều vấn đề thông tin bị đánh cắp gây thiệt hại nghiêm trọng hay kẻ thường xuyên trộm tin người khác, chí ăn trộm mật giả mạo nhằm phá hoại việc giao dịch Thực tế cho thấy số vụ công vào mạng ngày tăng, kỹ thuật công ngày đa dạng Chính mà vấn đề an tồn đặt lên hàng đầu nói đến việc truyền thơng mạng Có nhiều cách để thực an tồn mạng như: phương pháp kiểm sốt lối vào, ngăn cản xâm nhập trái phép vào hệ thống kiểm sốt tất thơng tin gửi bên hệ thống, hay sử dụng phương pháp mã hoá liệu trước truyền, ký trước truyền, Trong nội dung đề tài sâu tìm hiểu hệ thống phát xâm nhập trái phép mạng (NIDS-Network Intrusion Detection System) Đề tài: Xây dựng hệ thống phát xâm nhập mạng (NIDS - Network Intrusion detection System) CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG Hệ thống phát xâm nhập trái phép mạng (NIDS) 1.1 Các mục tiêu cần bảo vệ Sự đời phát triển Internet bước ngoặt lớn lịch sử nhân loại Hệ thống thông tin khổng lồ Internet chia sẻ khắp giới Tuy nhiên, đồng thời với lợi ích to lớn nó, mạng Internet với cơng nghệ liên quan cho thấy mặt hạn chế tất yếu tính an tồn, dễ bị xâm phạm, cơng Hậu cơng phiền phức nhỏ làm suy yếu hồn tồn hệ thống, liệu, thơng tin quan trọng bị xóa, riêng tư bị xâm phạm,…Do đó, nhiệm vụ phải tránh tối đa an tồn, hay nói cách khác phải bảo vệ an toàn cho hệ thống, suy nghĩ phải kịp với phát triển công nghệ Các đối tượng cần đảm bảo an ninh bao gồm: • Dữ liệu: Dữ liệu truyền mạng phải đáp ứng yêu cầu về: - Tính mật (Confidentiality): Đảm bảo thơng tin khơng thể bị truy cập trái phép người thẩm quyền - Tính tồn vẹn (Integrity): Đảm bảo thơng tin khơng bị thay đổi q trình truyền - Tính sẵn sàng (Availability): Đảm bảo liệu ln sẵn sàng có u cầu truy cập • Tài nguyên: Tài nguyên bao gồm thành phần phần cứng phần mềm hệ thống Kẻ cơng lợi dụng lỗ hổng an ninh lỗ hổng hệ điều hành, mạng, ứng dụng Nếu máy tính khơng có liệu quan trọng cần bảo vệ kẻ cơng đột nhập sử dụng làm tiền đề cho cơng khác • Danh tiếng: Như nói kẻ cơng dùng máy người sử dụng để công nơi khác, gây tổn thất uy tín người sử dụng 1.2 Các kiểu cơng mạng Có nhiều cách công biết chưa biết, nhiên chia làm loại chính: • Interruption (làm gián đoạn) • Interception (ngăn chặn) • Modification (sửa đổi) • Fabrication (làm giả) Sau đây, xem xét tổng quan kiểu cơng đó: Tấn cơng làm gián đoạn (Interruption Attack) Điển hình cho kiểu cơng cơng từ chối dịch vụ DoS (Denial of Service) Đây hành động mà kẻ công lợi dụng đặc điểm lỗi an tồn thơng Hệ thống phát xâm nhập trái phép mạng (NIDS) tin hệ thống dịch vụ nhằm làm ngưng trệ ngăn cản người dùng truy nhập dịch vụ Cuộc công không lấy thông tin hệ thống, thường gây cho chương trình hệ thống bị đổ vỡ bị treo, tê liệt phần tồn bộ, buộc người quản trị dịch vụ phải tạm ngừng cung cấp dịch vụ khởi động lại hệ thống Việc ngừng hoạt động thời gian định hệ thống dịch vụ gây thiệt hại đáng kể Có hai kiểu công từ chối dịch vụ dựa theo đặc điểm hệ thống bị công, thứ gây tải khiến cho hệ thống khả phục vụ cho người dùng thực sự, thứ hai dựa vào lỗi an tồn thơng tin hệ thống để từ gây cho hệ thống bị treo, tê liệt Với loại thứ nhất, việc gây tải thực cách gửi nhiều yêu cầu dịch vụ giả Để giải yêu cầu dịch vụ, hệ thống phải tốn lượng tài nguyên định (CPU, nhớ, đường truyền…) Lượng tài nguyên giới hạn, nhận nhiều yêu cầu dịch vụ giả, hệ thống sử dụng toàn tài nguyên để đáp ứng u cầu khơng cịn tài ngun để đáp ứng yêu cầu thực khác người dùng, người dùng truy nhập vào hệ thống dịch vụ Với loại công từ chối dịch vụ thứ hai, kẻ công lợi dụng kẽ hở an tồn thơng tin hệ thống, cố ý gửi u cầu gói tin khơng hợp lệ khiến cho hệ thống bị công nhận yêu cầu hay gói tin Việc xử lý khơng khơng theo trình tự thiết kế, dẫn đến sụp đổ cho hệ thống Phần lớn kẽ hở xuất phát từ lỗi phần mềm Khi kẻ công gửi thứ khơng nằm khả dự tính, phần mềm dễ dàng bị lỗi, gây đổ vỡ hệ thống Ví dụ điển hình cho lỗi kiểu công Ping of Death vào năm 1995, gây treo đổ vỡ cho nhiều hệ thống Ngoài ra, số kẽ hở lại xuất phát từ nguyên lý hoạt động hệ thống, đặc biệt nguyên lý giao thức mạng TCP/IP Ví dụ điển hình kiểu cơng SYN flooding, gây cho hệ thống dịch vụ khả tiếp nhận kết nối TCP Hiện chưa có biện pháp hữu hiệu để phịng chống cơng từ chối dịch vụ, kiểu công gây tải Nhà cung cấp dịch vụ hạn chế khó giữ cho dịch vụ ln sẵn sàng trước cơng từ chối dịch vụ Biện pháp tốt để chống lại công từ chối dịch vụ, kiểu cơng dựa vào lỗi an tồn thông tin hệ thống, nhà cung cấp dịch vụ phải liên tục cập nhật phiên sửa lỗi phần mềm cho hệ thống Đồng thời nhà cung cấp dịch vụ phải xây dựng quản trị hệ thống cho chúng có khả bị lợi dụng để phát động công từ chối dịch vụ Tấn công DoS thực đồng thời từ nhiều địa khác gọi công DDoS (Distributed-DoS) Tấn công ngăn chặn (Interception Attack) Kiểu công sử dụng nghe trộm để bắt giữ password thông tin nhạy cảm khác truyền qua lại mạng Nhờ nghe trộm password kẻ Hệ thống phát xâm nhập trái phép mạng (NIDS) cơng lấy mật người sử dụng, sau chúng truy nhập cách quy vào hệ thống Để hạn chế kiểu công này, thực phân đoạn hệ thống mạng sử dụng Hub chuyển đổi Tấn công làm thay đổi (Modification Attack) Kiểu công thực sửa đổi, thay đổi thông tin/chương trình, ví dụ sử dụng đoạn mã nguy hiểm, Virus, Trojan gắn vào email Web site, Biện pháp bảo vệ trường hợp cơng sử dụng phần mềm chống virus, thực lọc mail server, kiểm tra tính tồn vẹn liệu Tấn cơng giả mạo (Fabrication Attack) Tấn công giả mạo IP kẻ công tự đặt địa IP trùng với địa mạng bên Khi đó, đối xử máy bên tức làm thứ để từ cơng, lấy trộm, phá huỷ thông tin 1.3 Các phương pháp bảo vệ Với kiểu công đa dạng trình bày trên, phương pháp bảo vệ an ninh mạng không ngừng tạo ra, sửa đổi phát triển cho phù hợp với hệ thống Đó phần mềm tích hợp hệ thống, công cụ phần cứng kết hợp hai (phần cứng lẫn phần mềm), sách an ninh Các phương pháp thơng thường bao gồm: • Firewall • Intrusion Detection System • Policy Chúng ta xem xét tổng quan phương pháp: Firewall Firewall sản phẩm cung cấp an toàn kết nối mạng nội với mạng bên Firewall giống hàng rào quanh hệ thống mạng, với cặp cổng lựa chọn Hàng rào khơng có khả phát cố gắng xâm nhập vào hệ thống (như tìm lỗ hổng bên nó), hay phát vào qua cổng phép Mà đơn giản hạn chế việc truy cập đến điểm đại diện Intrusion Detection System (IDS) Hệ thống phát xâm nhập trái phép mạng (NIDS) IDS (hệ thống phát xâm nhập trái phép) tạo thành từ thành phần phần cứng phần mềm hoạt động để tìm kiện khơng mong muốn, từ cơng xảy ra, xảy xảy Policy Đưa tính riêng tư, luật điều khiển, việc phải làm bị công Hệ thống phát xâm nhập trái phép mạng (NIDS) CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊN MẠNG (NIDS) 2.1 Xâm nhập (Instrusion) Trong phần trình bày khái niệm liên quan xâm nhập (intrusion), kịch xâm nhập (intrusion scenario), tìm hiểu chất, nguyên nhân, dấu hiệu việc xâm nhập vào hệ thống, trước sâu nghiên cứu triển khai hệ thống phát xâm nhập Một xâm nhập vài người (“hacker” hay “cracker”) cố gắng phá vỡ hay lạm dụng hệ thống Hacker cracker hai từ dùng để kẻ xâm nhập Kẻ xâm nhập chia thành hai loại: • Outsiders: kẻ xâm nhập từ bên ngồi hệ thống (xóa Web servers, chuyển tiếp spam qua e-mail servers) Chúng vượt qua firewall để công máy nội mạng Những kẻ xâm nhập đến từ Internet, qua đường dây điện thoại, đột nhập vật lý từ mạng thành viên liên kết đến tổ chức mạng (nhà sản xuất, khách hàng,…) • Insiders: kẻ xâm nhập mà sử dụng hợp pháp đến bên hệ thống (những người sử dụng ủy quyền, giả mạo người dùng ủy quyền mức cao hơn… ) Loại xâm nhập chiếm 80% 2.1.1 Cách thức xâm nhập vào hệ thống Các cách thức mà kẻ xâm nhập vào hệ thống: • Physical Intrusion (xâm nhập vật lý): kẻ xâm nhập truy cập vật lý vào máy (chẳng hạn chúng dùng bàn phím,…) chúng xâm nhập vào hệ thống • System Intrusion (xâm nhập hệ thống): kiểu hacking Giả sử kẻ xâm nhập có account người dùng ủy quyền mức thấp hệ thống Nếu hệ thống khơng có biện pháp an tồn nhất, tạo hội tốt cho kẻ xâm nhập lợi dụng để có ủy quyền cao (quyền người quản trị) • Remote Intrusion (xâm nhập từ xa): kiểu hacking liên quan đến kẻ xâm nhập cố gắng thâm nhập vào hệ thống từ xa qua mạng Kẻ xâm nhập khơng có ủy quyền đặc biệt Có số dạng hacking Hệ thống NIDS nghiên cứu phạm vi đề tài liên quan đến kiểu xâm nhập từ xa (Remote Intrusion) Hệ thống phát xâm nhập trái phép mạng (NIDS) 2.1.2 Những lỗ hổng an ninh xâm nhập Phần mềm ln ln có lỗi (bug) Nhà quản trị hệ thống người lập trình khơng xóa vết khử lỗ hổng Những kẻ xâm nhập cần tìm lỗ hổng xâm nhập vào hệ thống Chi tiết lỗi hệ thống mà kẻ xâm nhập lợi dụng để thực mục đích chúng sau: Các lỗi phần mềm (Software bugs): Các lỗi phần mềm khai thác trình tiện ích server, ứng dụng client, hệ điều hành ngăn xếp mạng Các lỗi phần mềm chia thành loại sau : • Buffer overflows (tràn nhớ) : hầu hết lỗ hổng an ninh biết đến lỗi Ví dụ điển hình, lập trình viên thiết lập 256 kí tự để lưu trữ username đăng nhập Người lập trình viên nghĩ khơng có tên dài thế, hacker nghĩ điều xảy gõ vào username vượt q số kí tự đó, kí tự thừa đâu Nếu hacker thử luôn, họ nhập vào 300 kí tự bao gồm code mà thực server họ xâm nhập vào hệ thống Các hacker phát lỗi theo số cách Một source code cho nhiều dịch vụ mạng Hacker xem code để tìm đoạn chương trình có lỗi tràn nhớ Hai là, hacker nhìn vào chương trình để xem có lỗi tồn hay khơng, việc đọc mã assembly đầu khó Ba hacker kiểm tra nơi chương trình có đầu vào cố gắng làm tràn với liệu ngẫu nhiên Nếu chương trình bị lỗi hội tốt để hacker thâm nhập vào Lưu ý vấn đề phổ biến chương trình viết C/C++, chương trình viết JAVA • Unexpected combinations (các kết hợp khơng mong đợi) : chương trình thường xây dựng sử dụng nhiều lớp code bao gồm lớp hệ điều hành lớp lớp Kẻ xâm nhập thường xuyên gửi đầu vào vô nghĩa lớp có ý nghĩa nhiều lớp khác Ngơn ngữ thông dụng để xử lý đầu vào người dùng PERL Các chương trình viết PERL thường xuyên gửi đầu vào đến chương trình khác để ước lượng Một kỹ thuật hacker phổ biến vào "| mail < /etc/passwd" Điều thực PERL yêu cầu hệ điều hành khởi động chương trình thêm vào với đầu Tuy nhiên, hệ điều hành chặn kí tự đường ống “|”, khởi động chương trình mail, điều dẫn đến việc file password gửi cho kẻ xâm nhập • Unhandled input (đầu vào khơng xử lý): hầu hết chương trình viết để xử lý đầu vào hợp lệ Đa số lập trình viên khơng xem xét đến Hệ thống phát xâm nhập trái phép mạng (NIDS) trường hợp điều xảy đầu vào nhập khơng theo đặc tả • Race condition : hầu hết hệ thống ngày đa nhiệm/đa luồng (multitasking/ multỉTheaded) điều có nghĩa chúng thực chương trình thời điểm Sẽ nguy hiểm hai chương trình phải truy cập đến sở liệu thời điểm Giả sử hai chương trình A B muốn sửa đổi file Muốn sửa đổi file, chương trình trước tiên phải đọc file vào nhớ, thay đổi nội dung nhớ sau copy từ nhớ ngược trở lại file Race condition xảy chương trình A đọc file vào nhớ sau thay đổi, trước A thực ghi lên file, chương trình B can thiệp vào thực đầy đủ đọc/ sửa đổi/ ghi lên file Bây chương trình A ghi copy ngược trở file Vì chương trình A bắt đầu với copy trước B tiến hành thay đổi nên thay đổi B lên file bị Vì bạn cần phải thực chuỗi kiện theo trật tự nên race condition Những kẻ xâm nhập thường xuyên phải cố gắng hàng ngàn lần trước thành công hack vào hệ thống Lỗi cấu hình hệ thống (System configuration bugs): Lỗi cấu hình hệ thống chia thành loại sau : • Default configurations : đa số hệ thống gửi tới khách hàng chế độ mặc định (cấu hình dễ sử dụng_easy to use) Thật không may mắn, easy-to-use đồng nghĩa với easy-to-break-in Hầu hết máy UNIX WINNT chuyển cho ban bị hack dễ dàng • Lazy administrators: Một số lượng đáng ngạc nhiên máy cấu hình với password root/administrator rỗng Đó người quản trị q lazy để cấu hình muốn bật máy, chạy máy thật nhanh với việc làm phiền Không may họ không quay lại điền password sau đó, nên kẻ xâm nhập dễ dàng truy cập vào hệ thống Một điều mà kẻ xâm nhập làm mạng dị tìm tất máy có password rỗng • Hole creation (việc tạo lỗ hổng) : hầu hết chương trình định cấu hình để chạy chế độ khơng an tồn Đơi số nhà quản trị vơ tình mở lỗ hổng Hầu hết hướng dẫn việc quản trị gợi ý nhà quản trị nên tắt thứ mà hồn tồn khơng cần thiết chạy máy để tránh lỗ hổng bất ngờ • Trust relationships : kẻ xâm nhập thường lợi dụng quan hệ tin cậy mạng Một hệ thống mạng bao gồm máy tin cậy lẫn an toàn có kết nối yếu 10 Hệ thống phát xâm nhập trái phép mạng (NIDS) khái niệm hành vi bình thường/bất thường kịch xâm nhập Chỉ khác môi trường mạng, hệ thống phát xâm nhập cần phải tập hợp tương quan thông tin từ tất máy trạm Để thực nhiệm vụ này, dị tìm áp dụng cách tiếp cận tập trung, theo thơng tin thu thập máy sau phân tích tiếp cận theo cách phân quyền (phân cấp), thơng tin cục phân tích lựa chọn, thông tin quan trọng chia sẻ thành phần phát xâm nhập qua nút + Phân tích tập trung: Hệ thống phát xâm nhập mạng tập trung đặc tả phép thu thập liệu kiểm tra phân tán phân tích tập trung Trong hầu hết hệ thống phát hiện, liệu kiểm tra thu thập nút riêng lẻ sau báo cáo lên vài vị trí tập trung, nơi mà phép phân tích để phát xâm nhập thực Cách tiếp cận phù hợp hệ thống mạng nhỏ chưa đủ để đáp ứng hệ thống lớn + Phân tích phân cấp: Hệ thống NIDS theo cách phân cấp đặc tả phép thu thập liệu kiểm tra phân tán, sau phép phân tích phát xâm nhập phân tán Các hệ thống mơ q trình phân cấp Khơng giống hệ thống NIDS tập trung, hệ thống NIDS phân cấp áp dụng tốt phạm vi hệ thống mạng tăng thành phân phân tích phân tán có thơng tin kiểm tra phải chia sẻ thành phần khác Với cách tiếp cận phân quyền, có số phương pháp để chia tồn hệ thống thành vùng nhỏ khác tuỳ theo mục đích giao tiếp Vùng (domain) vài tập hệ thống phân cấp bao gồm nút có trách nhiệm thu thập phân tích liệu từ tất nút khác vùng Nút phân tích biểu diễn vùng tới nút cao phân cấp Các vùng tạo việc phân chia hệ thống dựa yếu tố về:  Địa lý  Điều khiển quản trị  Tập hợp phần mềm giống  Các kiểu xâm nhập dự đốn 2.3.3 Mơ hình hệ thống NIDS Như vậy, tìm hiểu chi tiết nguyên lý, hoạt động hệ thống NIDS mặt lý thuyết Áp dụng vào thực tế hệ thống mạng, cơng việc cụ thể sau: + Phát xâm nhập + Đối phó với xâm nhập Phát xâm nhập: 31 Hệ thống phát xâm nhập trái phép mạng (NIDS) Bao gồm chức thu thập, phân tích, lưu trữ liệu + Thu thập liệu: có chức thu thập cung cấp thông tin “sự kiện” hệ thống bảo vệ cho thành phần phân tích để làm nhiệm vụ xử lý Quá trình thu thập bao gồm việc loại bỏ thông tin không cần thiết Trong môi trường mạng, luồng tải (traffic) bao gồm bó liệu IP lưu thơng dọc theo mạng NIDS bắt giữ gói tin chúng truyền dây NIDS bao gồm stack TCP/IP đặc biệt để tập hợp lại bó liệu IP luồng TCP + Phân tích liệu: phân tích thơng tin nhận từ phận thu thập liệu Mục đích tinh chỉnh tiếp thơng tin có liên quan đến vấn đề an ninh, phân tích đánh giá khả xâm nhập xảy ra, xảy hay xảy Sử dụng số kỹ thuật phân tích sau:  Protocol stack verification: Một số xâm nhập, "Ping-O-Death" and "TCP Stealth Scanning" sử dụng vi phạm giao thức IP, TCP, UDP TCMP để công máy tính Một hệ thống kiểm tra đơn giản đánh dấu gói tin khơng hợp lệ  Application protocol verification: Một số xâm nhập sử dụng cách chạy giao thức không hợp lệ, “WinNuke” (dùng giao thức NetBIOS, thêm liệu OOB) nhớ đệm DNS bị nguy hiểm, có chữ ký hợp lệ không thông thường Để phát xâm nhập cách hiệu quả, NIDS cần phải thi hành lại lượng lớn loại giao thức lớp ứng dụng khác để dị cách chạy khơng hợp lệ có nghi ngờ  Creating new loggable events: NIDS dùng để mở rộng khả kiểm tra phần mềm quản trị mạng bạn Chẳng hạn, NIDS đơn giản ghi lại tất giao thức lớp ứng dụng dùng máy Sau đó, hệ thống ghi kiện (WinNT event, UNIX syslog, SNMP TRAPS, ) tương quan kiện mở rộng với kiện khác mạng + Lưu trữ liệu: Hai phận thu thập phân tích liệu tạo số lượng lớn thơng tin Sau chúng lưu trữ ghi nhận nhằm bảo đảm sẵn sàng liệu cho việc phân tích Tuy nhiên, ta khơng tiến hành lưu trữ hợp lý dẫn tới toàn hiệu hệ thống bị ảnh hưởng Dữ liệu thu thập: lấy từ nhiều nguồn khác nhau, ví dụ log file Web server, log file firewall, thông tin việc sử dụng tài nguyên CPU, việc truy cập tài nguyên HĐH Hệ thống có phát xâm nhập hay không phụ thuộc trước tiên vào việc thu thập liệu Nếu việc thu thập liệu chậm bị mát dễ bị dấu vết kẻ xâm nhập, lấy ví dụ cụ thể, chương trình cần giám sát hoạt động xảy mạng, phải bắt hết gói tin truyền mạng, tốc độ mạng lớn, thông lượng đường truyền cao việc theo kịp tốc độ mạng khó Đối phó với xâm nhập: 32 Hệ thống phát xâm nhập trái phép mạng (NIDS) Bao gồm khả phát cảnh báo tác động lại kẻ công dạng kết thúc liên kết, sửa đổi lại bảng điều khiển router để ngăn chặn cơng có nguồn gốc Hệ thống NIDS có số hành động đối phó thơng thường sau  Reconfigure firewall: cấu hình lại firewall để lọc địa IP kẻ xâm nhập Tuy nhiên, điều cho phép kẻ xâm nhập cơng từ địa khác Trạm kiểm sốt firewall hỗ trợ SAMP (Suspicious Activity Monitoring Protocol) để cấu hình firewall Trạm kiểm sốt có chuẩn “OPSEC” cho việc cấu hình lại firewall để ngăn chặn địa IP nguy hiểm  Chime (chng): phát tiếng bíp chạy file WAV Ví dụ, bạn nghe thấy lời cảnh báo “You are under attack ”  SNMP Trap: gửi bó liệu SNMP Trap đến nơi quản trị giao tiếp người máy HP OpenView, Tivoli, Cabletron Spectrum,  NT Event: gửi kiện đến WinNT event log  syslog: gửi kiện đến hệ thống kiện UNIX syslog  Send e-mail: gửi e-mail đến nhà quản trị để thông báo công  Page: nhắn tin (dùng máy nhắn tin thông thường) cho nhà quản trị hệ thống  Log the attack: ghi lại thông tin công (nhãn thời gian, địa IP kẻ xâm nhập, địa IP/cổng máy nạn nhân, thông tin giao thức)  Save evidence (lưu lại dấu vết): lưu lại file theo vết gói tin để sử dụng cho q trình phân tích sau  Launch program (khởi chạy chương trình): chạy chương trình riêng để xử lý kiện  Terminate the TCP session (kết thúc phiên TCP) : giả mạo gói tin TCP FIN để ngắt kết nối 2.3.4 Triển khai điều chỉnh hệ thống NIDS (Deploying and Tuning NIDS) Triển khai hệ thống NIDS Trước hệ thống NIDS đắt, phức tạp dạng cấu hình one-size-forall Kết việc triển khai NIDS gặp nhiều khó khăn, bị giới hịan boderrouter firewall nơi mà chúng cố gắng kiểm soát hầu hết giao vận Vì việc tiến hành cơng nghệ làm cho phù hợp với mạng hoan nghênh, kiến trúc Ethernet đơn, 10Mb/s thống trị thị trường Ngày có nhiều mơ hình mạng Ethernet, fast Ethernet, Gig Ethernet Sự thành công mô hình mạng đóng vai trị đặc biệt việc đáp ứng yêu cầu tài thay đổi chúng khơng đảm bảo sử dụng chi phí bảo mật mạng Intrusion.com đưa tập hợp hệ thống Network IDS phù hợp với tốc độ khác yêu cầu triển khai mạng 33 Hệ thống phát xâm nhập trái phép mạng (NIDS) đại Thay mô hình one-size-for-all mơ hình có khả thay đổi, tầm triển khai lớn thiết bị IDS cho phép nhà bảo mật chuyên nghiệp mở rộng khả bảo vệ mạng trước đây, cách tạo thiết bị điều khiển hiệu cơng việc kinh doanh an tồn Thêm vào tầm bao phủ mạng ngày lớn nhiều so với trước Những hệ thống mạng khổng lồ cách ly công nghệ firewall, kết nối thông qua công nghệ VPN Cả firewal VNP bảo vệ đoạn mạng bít lỗ hổng nhìn thấy • Khi subnet bị cách ly firewall chun gia bảo mật khơng có khả nhìn thấy loại trạng thái tự nhiên giao vận đoạn lệnh • Khi giao vận mạng mã hố (VPN) chun gai bảo mật khơng có khả nhìn thấy trạng thái tự nhiên giao vận Đặt hệ thống NIDS đằng sau firewall VNP, đặc biệt mạng cách ly phân tán rộng, cung cấp chuyên gia bảo mật có tầm quan sát cần thiết để đảm bảo an toàn cho mạng Triển khai mạng đơn giản o Mức ưu tiên thứ nhất: Đằng sau vành đai firewall Bạn có khả cung cấp cảm biến NIDS, vị trí thích hợp để đặt Đây điểm thắt trung tâm tồn giao thơng vào khỏi mạng riêng (của công sở hay quan kinh doanh ) Vị trí cho phép cảm biến NIDS cung cầp mức cảnh báo tổng thể có điểm sai khác làm cho xun qua firewall vào mạng private Nó khơng cung cấp khả nhìn thấy hành động đáng ngờ cịn tồn subnet kiểm sốt giao vận bên tới DMZ Mức độ mở ngưỡng triển khai cho phép kích hoạt dấu hiệu từ hành động đáng ngờ thông qua cố gắng xâm nhập o Mức ưu tiên thứ hai: Trong DMZ 34 Hệ thống phát xâm nhập trái phép mạng (NIDS) Đây nơi mà dịch vụ enterprise truy cập giới bên bao gồm web server, FTP server email server Vị trí cho phép cảm biến NIDS cung cấp thông tin giao thông mạng hoạt động ảnh hưởng tới server bao phủ bên nơi tập trung phần lớn dạng công kiểu từ chối dịch vụ hay khai thác web, công email Ở mức triển khai cho phép kích hoạt dấu hiệu từ giao thức dị thường thông qua cố gắng xâm nhập o Mức ưu tiên thứ ba: Giữa border-router vành đai firewall Mức triển khai cung cấp khả nhìn thấy trinh thám cố gắng khai thác trực tiếp firewall Một số quản trị mạng mong muốn thêm khả nhìn thấy mẫu kẻ cơng bên ngồi phần phần phòng vệ quốc gia, quan tình báo tàon quan bảo mật cần tăng cường Mức triểm khai cho phép kích hoạt dấu hiệu từ hành động đáng ngờ thông qua cố gắng xâm nhập Việc triển khai bên firewall thường lộ số dấu hiệu rủi ro cản trở số quản trị lựa chọn chúng Những rủi ro thường lộ thơng tin tình báo có lẽ lỗ hổng xun qua firewall Nếu mạo hiểm đáng giá với giá trị khả nhìn thấy nó, có đề nghị cuối cùng: + Giao diện giám sát khơng nên có địa IP + Thay đổi cổng truyền thông cho SecureNet Pro (mặc định 975) để che dấu định danh NIDS + Tận dụng địa non-routable (RFC 1918 10.x.x.x) đói với giao diện quản trị cảm biến + Áp dụng giao thức bí danh (alias interface) bên ngồi firewall bạn + Thêm giao thức cho firewall đặc biệt cho hệ thống IDS + Tạo mạng V_LAN riêng rẽ cho quản trị dị tìm xâm phạm Điều cho phép giao thông quay trở lại thiết bị giao tiếp người-máy không làm cho cảm biến hiển thị bên ngồi mạng bạn o Mức ưu tiên thứ tư: Đằng sau subnet có firewall mạng LAN Đặc trưng mức triển khai bảo vệ server có nhiệm vụ khó khăn ERP, CRM, PDM hệ thống tính tốn Thêm vào đặt server đằng sau firewall, trở nên thơng dụng nên vụ, quan trọng (critical department) tổ chức có đoạn mạng đựơc ngăn cách với giao thông thông thường Firewall sử dụng bên để cách ly bộ, vụ sau: + Tổ chức hành pháp + Tổ chức tài + Các tài nguyên người + Các tổ chức nghiên cứu phát triển 35 Hệ thống phát xâm nhập trái phép mạng (NIDS) + Khoa công trình + Các tổ chức cấp sáng chế + Tổ chức pháp luật Mức triển khai sử dụng để bao phủ tới kết nối thương mại điện tử tới thành viên Firewall không bảo vệ đoạn mạng cịn dừng hệ thống IDS khác kiểm sốt giao thơng sau firewall Khơng có vụ khơng phải chịu công back door tạo lỗ hổng vành đai mạng đưa tài sản thơng tin vào tình trạng mạo hiểm Mức triển khai cho phép kích hoạt tất dấu hiệu từ kiện mạng thông qua cơng Thêm vào hạn chế tăng thêm firewall liên bộ, vùng ngả nhiều phía máy tính tự cấu hình cố gắng user để truy cập tới department khác Internet Việc dị tìm giao thức bất thường dấu hiệu kiện mạng đến lúc để dò kiện đáng ngờ tn theo sách an tồn dựa hành vi dựa dấu hiệu o Mức ưu tiên thứ năm: sau firewall văn phòng chi nhánh xa Tổ chức kinh doanh tổ chức trải dài nhiều chi nhánh văn phòng xa tất cần kết nối tới trung tâm huy để truy cập tài sản thông tin tổ chức Giống kịch triển khai trên, firewall vòng đai cho văn phòng chi nhánh văn phòng từ xa, khơng bảo vệ chúng mà cịn dừng IDS doanh nghiệp kiểm sốt giao thơng vị trí này.Khơng có văn phịng khơng phải chịu công back door tạo lỗ hổng vành đai mạng đưa tài sản thông tin vào tình trạng mạo hiểm Thêm vào khoảng cách tới trung tâm huy văn phòng từ xa ngả nhiều phía máy tính tự cấu hình cố gắng user để truy cập tới văn phòng khác Internet Việc dị tìm giao thức bất thường dấu hiệu kiện mạng đến lúc để dị kiện đáng ngờ tn theo sách an toàn dựa hành vi dựa dấu hiệu Mức triển khai cho phép kích hoạt tất dấu hiệu từ kiện mạng thông qua cố gắng xâm nhập Điều chỉnh hệ thống dị tìm xâm nhập Có hai yếu điểm hệ thống dị tìm xâm nhập mà kẻ cơng khai thác để tạo công vào mạng mà khơng bị dị thấy là: + Làm mù cảm biến + Làm mù người điều hành 36 Hệ thống phát xâm nhập trái phép mạng (NIDS) Blinding Sensor: Làm mù cảm biến Các hacker cố gắng làm mù cảm biến để làm cho NIDS khó chí khơng thể dị công thực cách làm tràn ngập mạng với giao vận giả để ẩn công thực sử dụng giao vận kì dị để lấn tránh hệ thống dị tìm Dạng công “stick” công khai gần có khả làm mù hồn tồn ký nghệ dẫn đầu NIDS làm cho cơng khác gửi mà hồn tồn khơng bị dị thấy.Thêm vào số cảm biến NIDS khơng tập hợp gói phân nhỏ lại sử dụng giá trị trung bình đơn giản, giành thị trường chúng mà không thực phân phối giải pháp Một số NIDS yêu cầu ghép lại gói thực thực phần ghép nối đó, user bị làm hại kẻ công thành thạo Bằng cách thực thi cơng nghệ dị tìm xâm phạm cải tiến ráp gói đa đường hay phân tích gói tốc độ cao, số hệ thống dị tìm hệ hai vời nhiều ưu điểm hơn, có tính thích nghi cao hơn, có hiệu việc ngăn ngừa dạng công gây mù hay công lảng tránh Blinding the operator: Làm mù người điều hành Đối lập với blinding sensor, blinding operator bị ảnh hưởng việc triển khai điều chỉnh NIDS mà hoàn toàn nằm kiểm sốt quản trị an tồn Blinding operator thực đơn giản cách tạo thật nhiều thông tin gửi tới thiết bị giao tiếp người-máy dị tìm xâm phạm mạng Quá nhiều liệu khiến cho quảm trị an tồn khó chí khơng thể nhận đe doạ liệu đưa đến Để kiếm soát khả làm mù nười điều hành cẩm biến cần làm cho phù hợp làm phù hợp cảm biến tiến trình xác định dấu hiệu nào, thơng số gọi sách nên triển khai cách NIDS cấu hình để tăng số lượng báo cáo kiện cho thích hợp tỷ lệ phần trăm kiện mạng Bốn bước để điều chỉnh Để giảm thiểu khả sensor hay console bị mù Intrusion.com SecureNet Pro cung cấp nhiều mức điều chỉnh cho phép chun gia an tồn tìm kiện phù hợp với mạng đơn họ Qui trình điều chỉnh gồm có pha: + Giới hạn số lượng dấu hiệu tìm kiếm Bạn cần định xem thành phần giao thức bạn xem mối đe doạ tới mạng đoạn mạng bạn + Sử dụng cách lọc toàn thể SecureNet Pro Các lọc tổng thể cho phép bạn giới hạn số lượng liệu đưa vào mạng từ cảm biến Các lóc tổng thể cho phép chuyên gia bảo mật sử dụng sách tín hiệu đơn 37 Hệ thống phát xâm nhập trái phép mạng (NIDS) toàn tổ chức sau tuỳ chỉnh sách thực sensor Ethernet, IP giao thức trước việc xử lý dấu hiệu xuất hịên + Các kiện lọc console Để giới hạn số lượng liệu đưa đến chuyên gia bảo mật-lọc console để lại hầu hết lượng liệu sở liệu để phân tích giới hạn ảnh hưởng blinding the “operatordữ” cách thị kiện thích đáng + Điều chỉnh dấu hiệu thực Các dấu hiệu điều chỉnh cho phù hợp với kiện mạng báo cáo không sai kiện khác, loại kiện có tính đe doạ cao cảnh báo loại kiện đe doạ Điều chỉnh dấu hiệu Sử dụng SecureNet Pro, thông số dấu hiệu thay đổi để làm cho chúng thích hợp với mạng đơn Nó bao gồm việc chỉnh sửa mô tả trường text khác cho thêm thơng tin đặc trưng vị trí mục khác Mức việc chỉnh sửa dấu hiệu thay đổi quyền ưu tiên kiện để làm thích hợp với mức độ quan trọng mạng Như nói đến trên, số mạng hoạt động đáng ngờ kiện mức ưu tiên trung bình Trong số khác với kiện mức ưu tiên cao Để tăng khả xảy mà chuyên gia bảo mật nhìn thấy thơng tin họ tìm kiếm, ưu tiên dấu hiệu se phân tích để khớp với mức ưu tiên chuyên gia bảo mật Thêm vào chuyên gia bảo mật chọn để phân tích phân loại dấu hiệu Mỗi dấu hiệu phân loại vào dạng công: cố gắng xâm nhập, DdoS, DoS, hành động đáng ngờ, giao thức bất thường kiện mạng Nhìn chung việc phân loaih kiện đặc trưng tất tổ chức Mỗi chuyên gia bảo mật doanh nghiệp nên nghiên cứu việc phân loại kiện theo ngữ cảnh mạng doanh nghiệp Ví dụ kiện phân loại kiện mạng (network event) Intrusion.com lại phân loại lại hành động đáng ngờ để thích hợp với sách mạng doanh nghiệp Khi sử dụng Intrusion mã nguồn mở user tạo dấu hiệu so khớp chuỗi (string matching signature) tín hiệu tìm kiếm thơng số cho dấu hiệu bị biến đổi để làm cho dấu hiệu đắn Các dấu hiệu so khớp chuỗi nguồn mở bị nhân đôi đổi tên để tạo khả xác minh phụ Các dấu hiệu nguồn mở tạo console SecureNet Pro Linux sử dụng trình soạn thảo văn Các dấu hiệu so khớp chuỗi thơng số hoá cac dấu hiệu khác, với nhiều mức ưu tiên khác nhau, phân loại, miêu tả, IP, MAC biến đổi 38 Hệ thống phát xâm nhập trái phép mạng (NIDS) 2.3.5 Đánh giá hệ thống NIDS Một hệ thống NIDS nói chung có ưu điểm: + Ít ảnh hưởng đến sở hạ tầng tồn + Quản trị tập trung + Phạm vi bảo vệ rộng + Linh hoạt chức Bên cạnh đó, tồn nhược điểm bản: + Tỷ lệ xác định sai cao + Dễ bị làm cho tải + Thường dễ bị phá làm hiệu lực Giả thuyết là: để có độ xác cực đại, thuật tốn dị tìm hệ thống NIDS nên chọn liệu đầu vào có tính rõ ràng, dễ hiểu, độ tin cậy cao thao tác liệu hàm biến đổi mơ hình với độ xác cao tình trạng khơng an tồn Tương ứng ta có u cầu luồng liệu đầu vào hàm biến đổi sau: Các đặc điểm cần thiết luồng tải: + Tính rõ ràng (Visibility): luồng tải mạng mà NIDS khơng phát ra? + Tính dễ hiểu (Understandability): NIDS hiểu giao thức? Dữ liệu q trình dị tìm xâm nhập có mã hóa khơng? + Độ tin cậy (Realiability): Thơng tin có độ xác nào? Có bị giả mạo hay không? Các hàm biến đổi: + Biến đổi luồng tải mạng cách logic, theo thời gian và/hoặc không gian + Biến đổi nguồn liệu nguy hiểm sau NIDS phát + Có thể u cầu mơ hình theo trạng thái để mô + Phải mô để ngăn chặn xâm nhập Như vậy, cần nghiên cứu NIDS cách ứng dụng mơ hình vào hệ thống thực tế tồn Nhờ ta có thể: + Phát mặt hạn chế mô hình + Chỉ cách thức để thay đổi thuật tốn mơi trường thao tác để nâng cao độ xác hệ thống + Ước lượng tính khả thi mục đích dị tìm + Cung cấp đầy đủ yêu cầu hệ thống tương ứng với mục đích dị tìm đưa 39 Hệ thống phát xâm nhập trái phép mạng (NIDS) + Thậm chí ước tính độ xác hệ thống dị tìm NIDS 2.3.6 Tối ưu hố giá trị NIDS Thước đo hiệu Thước đo thông dụng NIDS số gói bị bỏ có gói mà NIDS khơng có khả phân tích Nhưng khơng phải lý mà NIDS lựa chọn Nếu router firewall thiết bị nội tuyến, bỏ gói ngăn trở giao thơng mạng, thiết bị thước đo thích hợp Các hệ thống dị tìm xâm nhập khơng thể bị xếp loại với router firewall điểm khác biệt đây: • Các hệ thống NIDS thiết bị thụ động kết nối tới mạng kết nối hình T khơng có khả block giao thơng • Các hệ thống NIDS khơng phải thiết bị điều khiển truy nhập gói bị huỷ bỏ đưa đến việc đường truyền bị block Chìa khố để sử dụng thước đo NIDS lý để bạn lựa chọn hệ thống Mục đích NIDS xác định xác cơng bất chấp phức tạp mạng bỗ hồ Thước đo đắn cho hệ thống dị tìm xâm phạm “attack detection” dị cơngtại mức khác mạng bão hoà đoạn mạng 10Mbs, 100Mbs Gigabit Giá trị tính mềm dẻo Giữa thập kỷ 90 nhiều nhà phân tích cố gắng tìm cách tính tốn đắn để xác định xem sản phẩm có mang lại hiệu cao so với sản phẩm khác khoảng thời gian Thước đo tổng giá trị quyền sở hữu Total Cost of Ownership (TCO)-mà cố gắng khai thác giá trị việc quản lý, người quản trị nhiều giá trị khác user cuối TCO nhanh chóng bị theo kịp mơ hình TEI tổng tác động kinh tế Trong lĩnh vực bảo mật, tính mềm dẻo có ý nghĩa lớn Các hệ thống mạng không ngừng phát triển thay đổi bước tiến đáng kinh ngạc Thêm vào bước tiến mối đe doạ lại phát lợi dụng làm tăng vấn đề mạng việc bảo vệ tài sản thông tin Để phát huy hiệu NIDS cần phải thích nghi với biến đổi mơi trường mạng doanh nghiệp Tính mềm dẻo NIDS đo ba vùng tuỳ biến, triển khai quản lý • Tuỳ biến (customization) cho phép chuyên gia bảo mật sửa lại cho hợp với sách IDS mạng doanh nghiệp Khả tuỳ biến làm tăng giá trị 40 Hệ thống phát xâm nhập trái phép mạng (NIDS) thông tin sinh IDS để cung cấp thơng tin có giá trị cao việc sử dụng mạng • Triển khai (Deployment) tính mềm dẻo cho phép tập hợp liệu đồng từ đoạn mạng khác hẳn Các đoạn Fast Ethernet, Gigabit, phần mềm triển khai phần cứng tồn thiết bị dựa giải pháp cho phép IT chuyên gia bảo mật chi tiêu thích hợp cho địi hỏi mạng họ • Quản lý (Management) khả thay đổi làm cho lợi dụng đầu tư bảo mật Tính thơng minh mạng nâng cao với thông tin chuẩn hố từ vơ số đoạn mạng vị trí đơn kiến trúc phân cấp Việc thừa nhận giá trị lâu dài phụ thuộc nhiều vào khả lâu dài giải pháp.Tính mềm dẻo đảm bảo cơng nghệ mà bạn tìm kiếm thích hợp với hệ thống thời hệ thống tương lai Quan tâm đến sách trước tiên, thứ hai giải pháp Các sách bảo mật mục đích đầu tư bảo mật cơng ty bước để đạt giá trị tối ưu đầu tư vào công nghệ bảo mật Tối ưu hố giá trị dị tìm xâm phạm mạng bắt đầu sách bảo mật xác định thước đo thành cơng Chính sách bảo mật dị tìm xâm phạm cần định nghĩa theo ba điểm sau: o Mục đích mua hệ thống NIDS: Đây điểm khởi đầu đơn giản quan trọng Nếu khơng có mục đích rõ ràng bạn muốn NIDS làm khơng thể xác định việc triển khai có thành cơng hay không o Khả đối mặt với nguy hiểm triển khai hệ thống NIDS: Mỗi sensor triển khai hệ thống có loạt mối đe doạ (đã xác định) tìm kiếm Giảm số lượng mục mà NIDS tìm kiếm làm tăng hiệu Khi triển khai sensor ỏ bên ngồi firewall, việc phân tích giao vận đựơc chia thành dạng khơng phân tích (non-analysis) lờ tất o Sensor dị tìm hoạt động bao lâu: Một số sensor NIDS triển khai trở thành phận vĩnh cửu hệ thống, nhiên chúng bị di chuyển liên tục cần Cần xác định trước khoảng thời gian mà sensor đặt để đưa sách triển khai hợp lý Tổng thời gian triển khai Một lợi ích NIDS triển khai điểm đơn bảo vệ toàn đoạn mạng 41 Hệ thống phát xâm nhập trái phép mạng (NIDS) Giảm thời gian nỗ lực để bảo vệ điểm đơn tăng gí trị nhận biết đầu tư NIDS Để tối ưu hố giá trị dị tìm xâm phạm chiến lược thông dụng sử dụng thiết bị để làm giảm thời gian triển khai 2.3.7 NIDS & Firewall Mặc dù cịn có hạn chế, firewall yếu tố cần thiết cho hệ thống an ninh mạng Firewall ngăn chặn dạng công cố định điều khiển kiểu luồng tải (Web, FTP, Telnet IRC) truyền hệ thống mạng bên bạn Internet Tuy nhiên, có dạng cơng mà firewall khơng ngăn chặn phát công cổng 80 web server Firewall bảo vệ việc truyền thông hệ thống mạng mà không cung cấp bảo vệ cho cơng mạng cục Nếu tuyến phịng thủ ngồi vành đai mạng bị chọc thủng việc lạm dụng bên tổ chức bạn firewall không đưa hỗ trợ, NIDS bắt giữ, phân tích, nhận dạng phản ứng lại với kiểu cơng Khi có firewall, cần phải có NIDS: Thơng thường, người nghĩ firewall nhận dạng công ngăn chặn chúng Điều không Firewall đơn giản thiết bị thực tắt (dừng) thứ, sau bật lại vài mục (item) chọn hồn thiện (khơng lỗi) Trong giới hồn hảo hệ thống sẵn sàng “locked-down” an tồn, firewall khơng cần thiết Tuy nhiên, thực tế, lỗ hổng an toàn phát ngẫu nhiên cần phải có firewall Vì vậy, cài đặt firewall, điều mà thực dừng tất truyền thơng Nhà quản trị firewall sau cẩn thận thêm vào luật (“rules”) cho phép kiểu đặc biệt luồng tải qua firewall Ví dụ, firewall điển hình cho phép truy cập vào Internet dừng tất luồng bó liệu UDP ICMP, dừng kết nối TCP vào, lại cho phép kết nối TCP (có nghĩa dừng kết nối từ hacker bên Internet cho phép người dùng bên kết nối trực tiếp bên ngồi) Nói chung, firewall khơng phải hệ thống bảo vệ động người dùng nghĩ, mà ngược lại IDS IDS thực việc nhận dạng công vào hệ thống mạng mà firewall khơng thể nhìn thấy Ví dụ như, vào tháng năm 1999, nhiều nơi bị công qua lỗi (bug) ColdFusion Tất nơi có firewall firewall hạn chế truy cập vào Web server cổng 80, Web server bị cơng, firewall trường hợp khơng cịn có tác dụng bảo vệ Mặt khác, IDS phát cơng so khớp chữ ký cấu hình hệ thống Một vấn đề khác firewall chúng nằm đường biên hệ thống mạng bạn, mà 80% thiệt hại tài hacker xuất phát từ bên 42 Hệ thống phát xâm nhập trái phép mạng (NIDS) mạng Firewall đường biên khơng thể nhìn thấy xảy bên trong, chúng nhận biết luồng tải bên hệ thống Internet Một số lí cho việc thêm IDS vào firewall : + Kiểm tra hai chiều firewall bị cấu hình sai + Bắt giữ công mà firewall cho phép qua cách hợp lệ + Bắt giữ công thất bại + Bắt giữ việc công bên Nếu có NIDS, firewall cần thiết: Bởi có lượng lớn “script-kiddies” (đoạn mã con), chương trình tự động chạy mạng (như SATAN) để tìm kiếm lỗ hổng Nếu khơng có firewall, chương trình tự động phát lợi dụng lỗ hổng 2.3.8 Tổng kết Các hệ thống bảo vệ an ninh trước thực chế ngăn chặn cơng từ bên ngồi vào hệ thống cần bảo vệ Thực tế cho thấy khơng có hệ thống ngăn chặn bảo đảm chặn đứng công Hơn nữa, thực tế tổng kết cho thấy hầu hết nguyên nhân công phần lớn xuất phát từ hệ thống mà bảo vệ Hệ thống IDS khơng phải công cụ bổ sung túy cho firewall, mà kết hợp IDS với Firewall đảm bảo thiết lập hệ thống an toàn an ninh trọn vẹn 43 Hệ thống phát xâm nhập trái phép mạng (NIDS) CHƯƠNG 3: THIẾT KẾ HỆ THỐNG NIDS 3.1 Mục đích Thiết kế chương trình có khả "theo dõi" hoạt động xảy mạng LAN dựa nguyên tắc thu thập gói tin đường truyền phân tích gói tin 3.2 Phân tích thiết kế chương trình Phân chia hệ thống thành chức nh sau: NIDS Phát xâm nhập Đối phó với xâm nhập Thu thập liệu Đưa cảnh báo Phân tích liệu Ghi lại thông tin xâm nhập Lưu trữ liệu H thng phi thu thập gói tin truyền mạng, điều bắt buộc Các gói tin thu thập phải giải mã: liệu nhận ban đầu hoàn tồn "byte stream" Giải mã gói tin cơng việc đọc vào luồng liệu sau phân biệt loại gói tin riêng rẽ cách nhận trường tiêu đề gói tin Phân tích phát cơng dựa kỹ thuật phân tích trình bày Cuối cùng, phát công phải kèm với biện pháp đối phó lại (báo động, ghi lại thơng tin công) Dự kiến xây dựng module xử lý sau: + Module “bắt” gói tin đường truyền + Module giải mã gói tin + Module phân tích tìm kiếm dấu hiệu cơng + Lưu trữ đối phó 44 Hệ thống phát xâm nhập trái phép mạng (NIDS) TÀI LIỆU THAM KHẢO Robert Graham Faq: Network Intrusion Detection Systems (2000) http://www.robertgraham.com/pubs/network-intrusion-detection.html [Axelsson, 2000c] Axelsson, S (2000c) Intrusion Detection Systems: A Taxonomy and Servey Technical Report 95-15, Dept of Computer Engineering, Chalmers University of Technology Nguyễn Quốc Cường Internetworking với TCP/IP (Tập 1) 45 ... công Hệ thống phát xâm nhập trái phép mạng (NIDS) CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊN MẠNG (NIDS) 2.1 Xâm nhập (Instrusion) Trong phần trình bày khái niệm liên quan xâm nhập. .. hở (profit) 2.2 Hệ thống phát xâm nhập (IDS) 2.2.1 Định nghĩa, chức năng, nguyên lý làm việc 13 Hệ thống phát xâm nhập trái phép mạng (NIDS) Định nghĩa: Hệ thống phát xâm nhập hệ thống có nhiệm... lý thuyết Áp dụng vào thực tế hệ thống mạng, công việc cụ thể sau: + Phát xâm nhập + Đối phó với xâm nhập Phát xâm nhập: 31 Hệ thống phát xâm nhập trái phép mạng (NIDS) Bao gồm chức thu thập,

Ngày đăng: 10/12/2012, 10:45

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan