Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Ids
1. Tìm hiểu cơ chế hoạt động
của hệ thống phát hiện xâm nhập IDS
Demo hệ thống Snort
ManhND x PhucTT
2. 1. Giới thiệu về hệ thống phát hiện xâm nhập (IDS)
2. Phân loại IDS
3. Cơ chế hoạt động (Triggering Mechanisms)
4. Demo với Snort
3. Giới thiệu về hệ
thống phát hiện
xâm nhập (IDS)
Khái niệm
IDS là một hệ thống giám sát lưu lượng
mạng nhằm phát hiện ra hiện tượng
bất thường, các hoạt động trái phép
xâm nhập vào hệ thống. IDS có thể
phân biệt được các cuộc tấn công từ
nội bộ hay tấn công từ bên ngoài.
4. Giới thiệu về IDS
Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
+ Tính chính xác (Accuracy)
+ Hiệu năng (Performance)
+ Tính trọn vẹn (Completeness)
+ Tính chịu lỗi (Fault Tolerance)
+ Khả năng mở rộng(Scalability)
5. Giới thiệu về (IDS)
Chức năng của IDS:
+ Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt
động khả nghi.
+ Cảnh báo: Khi phát hiện hoạt động bất thường của 1 truy cập, IDS sẽ đưa ra
cảnh báo về hệ thống cho người quản trị.
+ Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị
mà có những hành động chống lại kẻ xâm nhập.
6. Giới thiệu về hệ thống phát hiện xâm nhập
Quy trình hoạt động của IDS:
Bước 1: Một host tạo ra một gói tin mạng.
Bước 2: Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ.
Bước 3: Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin
nào có dấu hiệu vi phạm hay không.
Bước 4: Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo
cho một người hoặc một nhóm đã được chỉ định từ trước.
7. Giới thiệu về hệ thống phát hiện xâm nhập
Quy trình hoạt động của IDS:
Bước 5: Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
Bước 6: Các cảnh báo được lưu lại để tham khảo trong tương lai.
Bước 7: Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
Bước 8: Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải
là cuộc tấn công hay không.
8. Phân loại IDS Hệ thống IDS chia làm 2 loại:
● Network-based IDS (NIDS): sử
dụng dữ liệu kiểm tra từ một hoặc
một vài máy trạm để phát hiện
xâm nhập.
● Host-based IDS (HIDS): sử dụng
dữ liệu kiểm tra từ một máy trạm
đơn để phát hiện xâm nhập.
9. Phân loại IDS
Network based IDS - NIDS:
+ Hệ thống IDS kiểm tra các giao tiếp
trên mạng -> quét header -> kiểm
tra nội dung các gói -> để phát hiện
đoạn mã nguy hiểm hay các dạng
tấn công.
10. Phân loại IDS
Network based IDS - NIDS -Ưu điểm:
● Quản lý được cả một network segment (gồm nhiều host).
● Cài đặt và bảo trì đơn giản, không ảnh hưởng đến mạng.
● Tránh DOS ảnh hưởng tới một host nào đó.
● Có khả năng xác định lỗi ở tầng Network.
11. Phân loại IDS
Network based IDS - NIDS - Nhược điểm:
+ Có thể xảy ra trường hợp báo động giả.
+ Không thể phân tích các dữ liệu đã được mã hóa (VD: SSH, SSL...)
+ NIDS đòi hỏi phải được cập nhật các signture mới nhất để thực sự an toàn.
+ Có độ trễ giữa thời điểm bị tấn công với thời điểm phát hiện báo động.
+ Hạn chế lớn nhất là giới hạn băng thông.
12. Phân loại IDS
Host based IDS - HIDS:
- Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:
+ Các tiến trình
+ Các entry
+ Mức độ sử dụng CPU
+ Tình trạng ram
13. Phân loại IDS
Host based IDS - HIDS - Ưu điểm:
+ Có khả năng xác định user liên quan đến event.
+ HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thì không.
+ Có thể phân tích các dữ liệu mã hóa.
+ Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
14. Phân loại IDS
Host based IDS - HIDS - Nhược điểm:
+ Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
+ Khi OS bị sập do tấn công, đồng thời HIDS cũng sập.
+ HIDS phải được thiết lập trên từng host cần giám sát.
+ HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat..).
+ HIDS cần tài nguyên trên host để hoạt động.
+ HIDS có thể không hiệu quả khi bị DOS.
15. Cơ chế hoạt động
(Triggering
Mechanisms)
Hai cơ chế hoạt động:
+ Phát hiện bất thường
+ Phát hiện lạm dụng
Giám sát hoạt động xâm nhập xảy ra:
+ Host based
+ Network based
16. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện bất thường: Hệ thống thực hiện so sánh các sự kiện thu bắt được với
các hành vi bình thường của đối tượng.
Sự khác biệt giữa phát hiện bất thường và phát hiện lạm dụng là:
● Phát hiện bất thường sử dụng kỹ thuật dựa trên các đặc điểm của hành vi
bình thường để phát hiện các đặc điểm hành vi xấu.
● Lạm dụng: Dựa trên các hành vi xấu đã được biết đến trước đó để phát hiện
các hành vi xấu được lặp lại.
17. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện bất thường - Ưu điểm:
+ Phát hiện các cuộc tấn công không biết trước.
+ Phát hiện các cuộc tấn công nội gián hoặc đánh cắp tài khoản dễ dàng.
+ Hệ thống dựa trên các cấu hình tùy chỉnh, nên rất khó để kẻ tấn công biết
chắc chắn hoạt động nào đặt cảnh báo và không đặt cảnh báo.
+ Phát hiện sự xâm nhập thông qua học máy.
18. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện bất thường - Nhược điểm:
+ Phương pháp phát hiện bất thường yêu cầu tập dữ liệu huấn luyện lớn.
+ Phát hiện bất thường tạo ra một số lượng lớn về cảnh báo sai đối với các
hành vi chưa dự đoán được của người dùng hay của mạng.
19. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện xâm nhập lạm dụng: Bằng cách so sánh dấu hiệu của các đối tượng
đang quan sát với dấu hiệu của các hình thức xâm nhập đã biết trước.
Hệ thống phát hiện xâm nhập lạm dụng xác định sự xâm nhập bằng cách kết
hợp giữa các sự kiện thu được với các mẫu hoặc dấu hiệu của các cuộc tấn công.
Cơ chế của hệ thống:
20. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện xâm nhập lạm dụng - Ưu điểm:
+ Các bộ phát hiện lạm dụng rất ít cảnh báo sai.
+ Dự đoán được các công cụ hay kỹ thuật tấn công một cách nhanh chóng.
+ Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật tấn
công.
21. Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện xâm nhập lạm dụng - Nhược điểm:
+ Để hiệu quả trong việc phát hiện xâm nhập thì phương pháp này phải
thường xuyên cập nhật dấu hiệu của các hình thức xâm nhập mới.
+ Các dấu hiệu dùng để phát hiện nếu không được thiết kế chặt chẽ thì có thể
sẽ không thể phát hiện ra các cuộc tấn công “biến thể”.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như cách phần mềm diệt virus phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể chấp nhận được) để tìm ra các dấu hiệu bất thường.
Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng
Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phpes trong thời gian thực
Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào. Đây là một điều kiện khó thỏa mãn được
Chịu lỗi (Fault Tolerance): bản thân IDS cũng phải có khả năng chống lại tấn công
Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin nào. Yên cầu này liên quan tới hệ thống mà các sự kiện trong tương lai đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.
Bước 2: cảm biến này cần phải được đặt sao cho nó có thể đọc tất cả các gói tin
Bước 3: Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra và gửi đến giao diện điều khiển.
Bước 4: thông qua email, cửa sổ popup, trang web v.v…
Bước 6: Lưu trên địa chỉ cục bộ hoặc trên cơ sở dữ liệu
Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).
Độc lập với OS
Trong suốt vơi người dùng lẫn kẻ tấn công
4- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động được phát hiện, hệ thống có thể đã bị tổn hại.
5- Hạn chế lớn nhất là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng theo.
Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập. Hệ thống dựa trên máy chủ cũng theo dói OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ. HIDS thường được cài đặt trên một máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host quan trọng và các server trong vùng DMS (hệ thống quản lý phân tán)
Để bảo vệ mạng IDS của bạn phải tạo báo động khi phát hiện hoạt động xâm nhập. Có 2 cơ chế hoạt động:
Bất kể một hành động nào sai lệch so với hành vi bình thường đều được coi là xâm nhập. Điều đó có nghĩa nếu chúng ta thiết lập một dữ liệu của các hoạt động bình thường cho một hệ thống, sau đó chúng ta có thể đánh dấu tất cả các trạng thái khác nhau từ dữ liệu mới được thiết lập.
1- Tuy nhiên, lợi thế này lại trả giá về một tỷ lệ cao các cảnh báo sai bởi vì trong thực tế, bất thường không nhất thiết là xâm nhập.
2- Nếu người dùng thực hoặc ai đó sử dụng tài khoản bị đánh cắp bắt đầu thực hiện các hành động bên ngoài hồ sơ người dùng thông thường, nó sẽ tạo ra một báo động.
4- theo kinh nghiệm là tương đối dễ dàng để duy trì
2 (Không phân biệt lúc nào là tấn công, lúc nào là cảnh báo -> dẫn đến cảnh báo sai)
-> Nếu hành động nào phù hợp với các mẫu của cuộc tấn công trước đây đều được xem là xâm nhập
3-Từ đó người quản trị hệ thống có thể nhanh chóng đưa ra các biện pháp xử lý kịp thời.