Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng 1.1 - Hệ thống phát hiện xâm nhập là gì ? Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức, và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý. Thuật ngữ phát hiện xâm nhập (intrusion detection) có thể coi là chưa chính xác khi là hệ thống phát hiện xâm nhập không hoàn toàn là phát hiện xâm nhập, nó chỉ dò tìm các hành động qua giao thông mạng để đoán xem các hành động đó có là một cuộc xâm nhập hay không. Hệ thống phát hiện xâm nhập là một phần của hệ thống bảo mật, nó được cài đặt trên hệ thống và các thiết bị. Tuy nhiên nó không đứng một mình trong hệ thống bảo mật (thường thì kết hợp với FireWall).
Ta có thể kết hợp sử dụng FireWall để khóa cửa sau, hệ thống phát hiện xâm nhập và cảnh báo và hệ thống chống tấn công bằng chó canh cổng. Giả sử bạn có một kho chứa các tài liệu bí mật và bạn muốn bảo vệ chúng với hàng rào bảo vệ gồm hệ thống cảnh báo, khóa cả cửa ra vào, đặt cameras theo dõi. Việc khóa các cửa ra vào sẽ giúp dừng các hành động bất hợp pháp khi đi vào kho của bạn, tuy nhiên nó lại không làm gì để cảnh báo về một cuộc xâm nhập, nhưng nó ngăn chặn được cuộc xâm nhập đó. Hệ thống cảnh báo thì lại cảnh báo với bạn trong trường hợp có ai đó cố gắng lấy thông tin trong kho, nhưng bản thân nó lại không thể ngăn chặn xâm nhập.
Và cuối cùng là chó canh cổng, trong một vài trường hợp, nó có khả năng chặn các cuộc xâm nhập bắt hợp pháp. Như đã phân tích ở trên thì the khóa cửa, hệ thống báo động, and chó canh cổng phân chia nhiệm vụ trong một hệ thống bảo mật. Nó cũng đúng với tường lửa, IDS và IPS. Việc kết hợp ngăn chặn, cảnh báo và phòng chống tấn công sẽ làm tăng sức mạnh an ninh cho hệ thống mạng.
Một vấn đề quan trọng là IDS và IPS chỉ là hai trong nhiều phương pháp được sử dụng trong hệ thống bảo mật. Việc tiếp cận các tầng, phòng thủ theo chiều sâu trên cơ sở phân tích cẩn thận các rủi ro có thể sẽ quyết định việc bảo vệ thông tin. Điều này có nghĩa là hệ thống mạng cần thiết phải được bảo mật theo nhiều lớp, mỗi lớp sẽ có những chức năng riêng, để đảm bảo sự toàn diện trong bảo mật TIEU LUAN MOI download : skknchat@gmail.com 8 một hệ thống mạng trong tổ chức của bạn. Hình dưới đây là mô hình phòng thủ theo chiều sâu của hệ thống mạng.
Hình 1: Sơ đồ phòng thủ mạng - Your enterprise: tổ chức của bạn - Technology: Công nghệ - Operations: Các hoạt động - People: Con người - Outside threats: các mối hiểm họa từ bên ngoài IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng. Nó sẽ bắt và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng dữ liệu qua hệ thống mạng. Hoạt động của nó gần giống với một phần mềm diệt virus với các dấu hiệu tấn công có sẵn trong cơ sở dữ liệu của nó.2 - Các kiểu của hệ thống IDS IDS có ba kiểu chính : Phát hiện xâm nhập tại một máy, phát hiện xâm nhập trên toàn hệ thống mạng, và cuối cùng là sự kết hợp của cả hai kiểu trên. Phát hiện xâm nhập tại máy trạm: Host-based intrusion-detection system (HIDS).
TIEU LUAN MOI download : skknchat@gmail.com 9 Phát hiện xâm nhập trên toàn hệ thống mạng: Network-based intrusion-detection system (NIDS). Kết hợp cả hai kiểu trên (Hybrid IDS). HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự kiện. Nó sẽ kiểm tra bất kỳ một hành động nào trên nhật ký để xem nó có khớp với các sự kiện bất thường được ghi trong cớ sở dữ liệu không.
Một hệ thống NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công. NIDS nhận tất cả các gói tin trên các phân đoạn mạng được chỉ định (thậm chí gồm cả những gói tin đi đến chuyển mạch của mạng). Nó cẩn thận trong việc cấu trúc lại các luồng thông tin đó để tiện cho việc phân tích và so sánh chúng với các mẫu có sẵn trong cơ sở dữ liệu. Hầu hết các NIDS đều được cung cấp khả năng ghi lại các hành động diễn ra trên mạng và gửi những cảnh báo tới nhà quản trị với những hành động bất thường.
Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều có những ưu và nhược điểm khác nhau. Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phạm vi rộng (trên toàn hệ thống mạng) Phạm vi hẹp (Chỉ trên một máy xác định) Cài đặt phức tạp Dễ cài đặt Tốt cho việc phát hiện xâm nhập từ bên Tốt cho việc phát hiện xâm nhập từ bên ngoài mạng trong Tốn kém Ít tốn kém hơn TIEU LUAN MOI download : skknchat@gmail.com 10 Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phát hiện trên sở sở nhưng thứ được ghi Phát hiện dựa vào bản ghi nhật ký hệ lại trên toàn hệ thống mạng thống trên chỉ máy đó Kiểm tra phần đầu (header) của gói tin Không kiểm tra phần đầu (header) của gói tin Trả lời gần như ngay lập tức Chỉ trả lời sau khi một hành động trái phép cố gắng thực hiện Không phụ thuộc hệ điều hành Phụ thuộc hệ điều hành Dò tìm tấn công bằng cách phân tích dữ Dò tìm các cuộc tấn công tại chỗ trước liệu trong gói tin khi nó ra khỏi hệ thống mạng Dò tìm các cố gắng tấn công Kiểm tra sự thành công và thất bại của một cuộc tấn công Bảng 1: Phân biệt NIDS và HIDS Quy trình cơ bản của một IDS là nó sẽ chọn lựa dữ liệu, tiền xử lý (processing) và tập hợp chúng. Việc phân tích mang tính thống kê (statistical analysis) kết thúc sẽ quyết định thông tin là một hoạt động bình thường hay không. Hoặc dữ liệu sẽ được đưa đến để so sánh với cơ sở dữ liệu (knowledge base), nếu khớp thì cảnh báo sẽ được đưa ra.
TIEU LUAN MOI download : skknchat@gmail.com 11 Hình 2: Một IDS chuẩn - GUI: giao diện đồ họa - Response Manager: Bộ phản hồi - Host system or network sniffrer: bộ cảm biến mạng và máy tính - Pre-processing: bộ tiền xử lý -Alert manager: bộ báo động - Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu - Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công - Long-term storage: nơi phát hiện dị thường 1.3 - Giải thích hoạt động cơ bản của IDS Gói tin bị bắt từ cảm biến trên máy tính (sensor - host system) hoặc cảm biến mạng (network sniffer) sẽ được chuyển qua bộ sắp xếp. Bộ tiền xử lý: gồm bộ phận giải mã và bộ phận tiền xử lý: Bộ phận giải mã: giải mã gói tin, nhận biết các trường trong gói tin. Bộ phận sắp xếp: sắp xếp hoặc chỉnh sửa lại gói tin trước khi đi vào bộ phát hiện. TIEU LUAN MOI download : skknchat@gmail.com 12 Một số mô-đun này có khả năng phát hiện các gói tin dị thường trong phần đầu (header) và sinh ra cảnh báo.
Ngoài ra, nó có thể tái định dạng gói tin (defragment), sắp xếp lại chuỗi. Bộ phát hiện (Detection engine): xảy ra quá trình phân tích gói tin: so sánh mẫu (signature matching) hoặc phân tích các dị thường trong gói tin (statictical analysis) để đưa ra đầu ra (alert manager) quyết định. Cơ sở dữ liệu lưu trữ mẫu dấu hiệu tấn công (knowledgebase). :Nơi chứa các phát hiện dị thường của packet, không được định nghĩa trước (Long- term storage).
Bộ phản hồi (Response manager): thực thi đáp ứng của bộ báo động (alert manager) như: ghi nhật ký, hiển thị lên giao diện. GUI: giao diện đồ họa tương tác.4 - Cảm biến (sensor) Cảm biến là một thành phần chức năng của hệ thống phát hiện xâm nhập và phòng chống tấn công. Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi vào hệ thống sẽ đi qua các cảm biến đầu tiên.1 - Chức năng của cảm biến Cảm biến là thành phần quan trọng của hệ thống phát hiện tấn công. Tuy nhiên nó không quá phức tạp, chúng được thiết kế chỉ để giành được dữ liệu và chuyển dữ liệu đó đi.
Có hai kiểu cảm biến là : dựa trên mạng (network-based) và dựa trên máy tính (host-based).2 - Cảm biến dựa trên mạng Cảm biến dựa trên mạng có thể là chương trình hoặc thiết bị vật lý có khả năng bắt dữ liệu lưu thông qua local Ethernet hoặc Tokenring hoặc điểm rẽ nhánh của mạng (switch). Ưu điểm lớn nhất của cảm biến này là không phụ thuộc vào số lượng máy tính trong một mạng.Trong môi trường tốt, một cảm biến có thể đuợc sử dụng để điều khiển toàn bộ giao thông đến và ra khỏi mạng. Nếu mạng lớn có hàng nghìn máy tính, cảm biến vẫn có thể thu thập đuợc thông tin về dữ liệu lưu thông TIEU LUAN MOI download : skknchat@gmail.com 13 của tất cả các máy đó. Thêm vào đó, nếu có chính sách cũng như cấu hình hợp lý thì cảm biến cũng sẽ không ảnh hưởng lớn đến tốc độ lưu thông của mạng.
Tcpdump là một trong những chương trình được sử dụng là cảm biến rất nhiều. Nó có tác dụng bắt các gói tin lưu thông qua giao tiếp mạng nó quản lý, sau đó phân tích thông tin về gói tin bao gồm ngay giờ, địa chỉ IP nguồn và đích, cờ TCP, độ lớn dữ liệu, .3 - Cảm biến dựa trên máy tính Giống như cảm biến dựa trên máy tính, cảm biến dựa trên mạng có khả năng bắt dữ liệu trên giao tiếp mạng rồi gửi chúng tới nơi khác. Sản phẩm của cảm biến dựa trên máy tính thường là ghi dữ liệu ra nhật ký rồi gửi tới các chương trình phân tích được đặt trên cùng một máy tính.4 - Vị trí đặt cảm biến Vị trí của cảm biến trong hệ thống mạng là rất quan trọng. Nhìn hình phía dưới sẽ thấy được những nơi có thể đặt cảm biến.
Ta có thể đặt cảm biến tại điểm A để có thể nhìn thấy tất cả các dữ liệu lưu thông giữa internet và mạng cục bộ nhưng lại không thể nhìn thấy dữ liệu giữa DMZ và Internet.