phần mở đầu, kiến trúc chung của các hệ thống theo dõi, giám sát mạng tập trung thường gồm hai phần chính: 1) Các bộ thu thập dữ liệu (còn gọi là máy trinh sát, thường gọi là Agent hay sensor) thường được đặt tại vị trí giám sát hay tại đối tượng giám sát, 2) Bộ giám sát xử lý tập trung đặt tại trung tâm giám sát [3]. Nhiệm vụ chính của các hệ thống theo dõi, giám sát là bảo vệ cho một hệ thống máy tính dựa trên việc phát hiện các dấu hiệu tấn công và đưa ra cảnh báo. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục.
Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi hệ thông theo dõi, giám sát) để phát hiện các dấu hiệu tấn công. Khi một hành động xâm nhập được phát hiện, hệ thống theo dõi, giám sát đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân hệ thống theo dõi, giám sát bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…). Giữa các nhiệm vụ hệ thống theo dõi, giám sát khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản.
Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để 7 cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Mô hình hệ thống giám sát mạng cấp tỉnh Các Agent có thể là một thiết bị đặt tại đối tượng cần giám sát, hoặc một phần mềm được cài đặt trên đối tượng giám sát. Agent Internet Trung Agent tâm giám sát Agent Agent (Server) Agent Gateway Hình 1. Kiến trúc hệ thống giám sát mạng tập trung Hình 1.2 là sơ đồ kiến trúc tổng quát của một hệ thống giám sát mạng với các Agent và trung tâm giám sát.
Các Agent làm nhiệm vụ thu thập dữ liệu liên 8 quan đến hoạt động của các đối tượng được giám sát (máy chủ Web, máy chủ, máy trạm, router), các sự kiện tấn công và truyền về trung tâm giám sát. Hệ thống giám sát ở trung tâm làm nhiệm vụ: phân tích, phát hiện, cảnh báo và thống kê sự cố. Passive Tap Firewall Phân vùng Internet mạng 1 Sensor Sensor SPAN port FW Sensor Cơ sở dữ liệu FW Lưu trữ Phân vùng Phân vùng mạng 3 mạng 2 Trung tâm giám sát Hình 1. Kiến trúc hệ thống giám sát mạng tập trung cho nhiều phân vùng mạng Hình 1.
là một ví dụ về một hệ thống giám sát tập trung cho ba phân vùng mạng kết nối thông qua Internet với các bộ thu thập thông tin Sensor cài đặt tại các thiết bị (Phân vùng mạng 3), hoặc lấy dữ liệu trích xuất từ các cổng SPAN port của các bộ định tuyến (Phân vùng mạng 1 và 2). Yêu cầu bảo mật, xác thực cho các Agent. Giám sát mạng là một nhu cầu thực tế của các nhà mạng nhằm mục đích theo dõi hoạt động của mạng, sớm phát hiện các lỗi, sự cố do tấn công mạng, suy giảm hoạt động của các thiết bị trên mạng, đưa ra cảnh báo nguy cơ và cung cấp thông tin hỗ trợ xử lý sự cố. Đã có khá nhiều hệ thống giám sát mạng được phát triển và ứng dụng trong thực tiễn.
Trong một hệ thống giám sát mạng tập trung, các Agent (là các máy trinh 9 sát) làm nhiệm vụ thu thập thông tin về tình trạng hoạt động của các thiết bị và mạng. Các thông tin thu thập được chuyển về trung tâm giám sát để xử lý, phân tích, đưa ra cảnh báo về các nguy cơ tấn công, sự cố, lỗi. Một vấn đề thường đặt ra là các Agent có thực sự là thành viên của hệ thống giám sát hay không? Nếu không có cơ chế xác thực, một Agent có thể là một máy do kẻ tấn công cài vào mạng, thực hiện thu thập thông tin và chuyển về cho kẻ tấn công. Vấn đề xác thực Agent hợp pháp không phải luôn có trong mỗi hệ thống giám sát mạng hiện nay.
Do vậy, một yêu cầu đặt ra là cần nghiên cứu giải pháp xác thực các Agent cho hệ thống giám sát mạng. Phương pháp xác thực dựa trên định danh đã được đề xuất áp dụng chủ yếu cho các mạng cảm biến không dây, mạng peer-to- peer, hoặc cho điện toán đám mây. Yêu cầu đặt ra là cần nghiên cứu về giải pháp áp dụng phương pháp xác thực dựa trên định danh cho các Agent trong hệ thống giám sát mạng. Phương pháp định danh (Identification) Khái niệm về định danh: Người dùng cung cấp danh định của mình cho hệ thống.
Định danh là một tên dùng để xác thực một đối tượng duy nhất hay một lớp duy nhất của đối tượng, trong đó “đối tượng” hay lớp có thể là một ý tưởng, một đối tượng vật lý, hay vật chất vật lý. Định danh dược sử dụng rộng rãi trong hầu hết các hệ thống thông tin. Trong khoa học máy tính, định danh có thể là các mã dùng để đặt tên cho các thực thể (ID). Về nguyên tắc, mỗi thuộc tính “duy nhất” cho một đối tượng đều có thể dùng làm định danh cho vật thể đó.
Ví dụ: địa chỉ MAC (Medium Access Control) là duy nhất cho một vỉ mạch mạng, do đó có thể dùng làm định danh cho vỉ mạch liên kết mạng đó, và do đó cho cả máy tính đó. Hàm băm Hash là một giá trị duy nhất cho một tệp dữ liệu, một tệp văn bản, hay một ảnh. Do đó, hàm Hash tạo ra có thể dùng làm định danh cho tệp dữ liệu, tệp văn bản, hay ảnh gốc đó. Mục đích của việc định danh: 10 Xác định định danh cũng tương tự như việc xác định một “vật thể”, nghĩa là tìm kiếm sự tồn tại và quyền hạn của vật thể, hoặc quyền hạn của người dùng đối với vật thể đó.
Về phương pháp xác định định danh: Có thể nêu hai phương pháp điển hình nhất [18], đó là: + Phương pháp khai báo: Người dùng tự nhập thông tin về danh định tức khai báo định danh. Đây là phương pháp phổ biến nhất hiện nay. Ví dụ về thông tin định danh là tên người (username), số tài khoản hoặc tên tài khoản (account, account name). Để khai thác thông tin về định danh, kẻ tấn công có thể thực hiện như sau.
Bước đầu tiên khi một hacker muốn xâm nhập vào một hệ thống là thu thập danh sách các người dùng hợp lệ của hệ thống sau đó dùng nó để tấn công hệ thống. + Phương pháp sử dụng danh định số hóa: Phương pháp này khá phổ biến với việc sử dụng các dữ liệu số hóa thu được từ đối tượng. Ví dụ như dữ liệu sinh trắc, dữ liệu về máy tính, các dữ liệu đặc trưng cho đối tượng khác. Danh định sinh trắc học (Biometric identity) có thể gồm: + Dữ liệu nhận dạng khuôn mặt (Facial recognition) + Dữ liệu Quét tròng mắt (Iris scanners) + Dữ liệu hình học bàn tay (Hand geometry) + Dữ liệu nhận dạng vân tay (Fingerprint) … 11 Dữ liệu sinh trắc còn có thể là bất kỳ dữ liệu nào khác của người dùng.
Danh định máy tính, thiết bị (Computer identity) bao gồm: + Tên máy tính, tên thiết bị (ví dụ tên hãng, model, series,…) + Địa chỉ MAC (địa chỉ vỉ mạch kết nối mạng Internet) + Địa chỉ IP (địa chỉ giao thức Internet) …. Danh định số (Digital identity) gồm: + Chứng nhận số (Digital certificate) + Thẻ thông minh (Smart card) …. Phương pháp xác thực Khái niệm về xác thực: Người dùng cung cấp bằng chứng là danh định đó là đúng và phù hợp với mình. Xác thực là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy.
Trong an ninh máy tính, xác thực là một quy trình nhằm cố gắng xác minh nhận dạng số của phần truyền gửi thông tin trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy tính, hay bản thân một máy tính hoặc một chương trình ứng dụng. 12 Mục đích của việc xác thực: Chứng minh danh định là hợp lệ và phù hợp với người dùng. Quyết định có cho phép người dùng truy cập vào tài nguyên của hệ thống hay không Các phương pháp xác thực: Các phương pháp xác thực có thể được chia làm 3 loại chính, dữ trên cơ sở những dữ liệu sử dụng cho việc xác thực: 1) Những gì bạn biết, 2) Những gì bạn có, 3) Những gì thuộc về bạn.
+ Những gì bạn biết (Something you know): Ví dụ: Password Số PIN (Personal Identification Number) Ưu điểm Tiện lợi Chi phí thấp Khuyết điểm Mức độ bảo mật phụ thuộc vào độ phức tạp của password Những vấn đề của password: Password yếu: dễ đoán (tên người dùng, ngày sinh nhật ,…) Xây dựng chính sách password: Độ dài Có các ký tự đặc biệt (non-letter), có ký viết hoa, viết thường Khác với username, các từ dễ đoán Thay đổi password định kỳ 13 Cần cân bằng giữa: hacker khó đoán và người dùng có thể nhớ Thu thập thông tin bất hợp pháp (Social engineering) Các phần mềm gián điệp (spyware), keystroke logging + Những gì bạn có (Something you have) Thẻ thông minh (smart card): có bộ nhớ nhỏ và có khả năng thực hiện một vài tính toán Trong thẻ có lưu thông tin về người dùng và cả password. Người dùng có thể chọn những password phức tạp và thay đổi khi cần Địa chỉ MAC, địa chỉ IP + Những gì là chính bạn (Something you are): Sử dụng các yếu tố sinh trắc học để xác thực. Nhận dạng khuôn mặt Quét tròng mắt Hình học bàn tay Nhận dạng vân tay Xác thực bằng sinh trắc học gồm 2 bước Đăng ký mẫu Nhận dạng Các lỗi xảy ra khi xác thực bằng sinh trắc học 14 Fraud rate: Tỷ lệ giả mạo, gian lận False accept rate: Tỷ lệ chấp nhận sai sót Insult rate: Tỉ lệ xúc phạm False reject rate: Tỷ lệ từ chối sai sót Tỷ lệ lỗi sinh trắc học Fraud rate = Insult rate Vân tay (5%) Hình học bàn tay (0.1%) Tròng mắt (0.