An toàn mạng:
Hệ phát hiện xâm nhập
Vo Viet Minh Nhat
Khoa CNTT – Trường ĐHKH
Nội dung trình bày

Mở đầu về sự phát hiện xâm nhập

Hệ phát hiện xâm nhập IDS dựa trên host

Hệ phát hiện xâm nhập IDS dựa trên mạng

Một số phương pháp tấn công qua mặt hệ
thống IDS

Kết luận
Mục đích

Bài trình bày này nhằm

Trình bày một sô khái niệm về hệ IDS

Giải thích sự khác nhau giữa những hệ IDS

Mô tả chi tiết hệ IDS dựa trên host

Mô tả chi tiết hệ IDS dựa trên mạng

Trình bày một số phương pháp tấn công qua mặt
hệ thống IDS
Mở đầu


Để bảo vệ tài nguyên, các công ty không chỉ dựa
trên những hệ thồng bị động như tường lửa,
VPN, các kỹ thuật mã hóa hay một số thứ khác,
mà người ta còn cần các công cụ hay thiết bị
chủ động khác trên mạng: đó chính là sự ra đời
của các hệ IDS

Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn
công vào, lạm dụng hay khai thác một hệ thống. Do
đó, các chính sách an toàn do đó cần phải định
nghĩa ai hay cái gì được xem như là một sự cố gắng
tấn công vào, lạm dụng hay khai thác một hệ thống
Mở đầu

Có hai kiểu kẻ xâm nhập tiềm tàng

Kẻ xâm nhập bên ngoài: được xem như các crackers

Kẻ xâm nhập bên trong : xuất hiện từ bên trong các
tổ chức

IDSs là các giải pháp hiệu quả cho việc
phát hiện 2 loại xâm nhập này. Các hệ IDS
thực hiện liên tục trên mạng, thông báo cho
người quản trị mạng khi phát hiện thất một
cố gắng thâm nhập bất thường nào đó
Mở đầu

IDSs có 2 thành phần chính


IDS sensors: bao gồm các phần mền hay phần cứng được
sử dụng để tập hợp và phân tích các luồng dữ liệu. IDS
sensors được phân thành 2 loại

IDS sensors dựa trên mạng: có thể được gắn với một
thiết bị mạng, hoạt tiết bị độc lập hoạt là một module
giám sát luông dữ liệu

IDS sensors dựa trên host: là một agent đặc biệt thực
hiện trên một server để giám sát hệ điều hành

Phần quản lý IDS: hoạt động như một hệ tập hợp các cảnh
báo và thực hiện các cấu hình hay triền khai các dịch vụ cho
các IDS sensors trên mạng.
Mở đầu

Có hai cách tiếp cận IDS thường được sử
dụng:

Misuse Detection IDS (MD-IDS)

Anomaly Detection IDS (AD-IDS)
Misuse Detection IDS

Misuse Detection IDS (MD-IDS) là tiêu điểm
chính trong việc đánh giá sự tấn công dựa trên
các dấu hiệu (signature) và kiểm tra dấu vết.


Attack signature mô tả một phương pháp thông
thường được thiết lập để tấn công hệ thống. Ví
dụ tấn công TCP flood bắt đầu với số lượng lớn
hoặc các phiên kết nối TCP không thành công.
Nếu MD-IDS có thể biết tấn công TCP flood là gì
thì nó có thể cảnh báo hoặc ngăn cản kẻ tấn
công.
Misuse Detection IDS
Misuse Detection IDS

Phương thức này phân tích các hoạt động của hệ thống, tìm
kiếm các sự kiện giống với mẫu tấn công đã biết trước. Các
mẫu tấn công biết trước này gọi là các dấu hiệu tấn công.
=> phương pháp dò dấu hiệu (Signature Detection).

Ưu điểm:

phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra
các cảnh báo sai làm giảm khả năng hoạt động của mạng và
giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ
thống của mình.

Nhược điểm:

không phát hiện được các cuộc tấn công không có trong mẫu,
các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các
mẫu tấn công mới.
Anomaly Detection IDS

Anomaly Detection IDS (AD-IDS) là kỹ thuật

dò thông minh, nhận dạng ra các hành động
không bình thường của mạng.

Quan niệm của phương pháp này về các
cuộc tấn công là khác so với các hoạt động
thông thường. Ban đầu chúng lưu trữ các
mô tả sơ lược về các hoạt động bình thường
của hệ thống. Các cuộc tấn công sẽ có
những hành động khác so với bình thường
và phương pháp dò này có thể nhận dạng.
Các kỹ thuật dò sự không bình
thường

Threshold detection (phát hiện ngưỡng):
thực hiện đếm các mức ngưỡng
(threshold) về các hoạt động bình
thường được đặt ra, như login với số
lần quá quy định, số lượng các tiến trình
hoạt động trên CPU, số lượng một loại
gói tin được gởi vượt quá mức,…
Các kỹ thuật dò sự không bình
thường

Self learning detection (chế độ tự học): bao
gồm hai bước: khi hệ thống phát hiện tấn
công, nó sẽ chạy ở chế độ tự học để thiết lập 1
profile về cách phản ứng của mạng với các
hoạt động bình thường. Sau thời gian khởi tạo,
hệ thống sẽ chạy ở chế độ sensor (cảm biến)
theo dõi các hoạt động bất thường của mạng

so với profile đã thiết lập. Chế độ tự học có thể
chạy song song với chế độ sensor để cập nhật
bản profile của mình. Nhưng nếu dò ra có tín
hiệu tấn công thì chế độ tự học phải dừng lại
tới khi cuộc tấn công kết thúc.
Các kỹ thuật dò sự không bình
thường

Anomaly protocol detection (phát hiện sự bất thường
của giao thức): căn cứ vào hoạt động của các giao thức,
các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, các dấu hiệu bất thường của sự xâm nhập, tấn công.
Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình
thức quét mạng để thu thập thông tin của hacker, việc
phát hiện các cuộc tấn công kiểu từ chối dịch vụ.

Ưu điểm của phương pháp này là có thể phát hiện ra các
kiểu tấn công mới, cung cấp các thông tin hữu ích bổ
sung cho phương pháp dò sự lạm dụng, tuy nhiên
chúng có nhược điểm thường tạo ra một số lượng lớn
các cảnh báo sai làm giảm hiệu suất hoạt động của
mạng.
Một ví dụ của kỹ thuật dò sự
không bình thường
Các loại IDS

Có 2 nhiều loại IDS

Hệ phát hiện xâm nhập IDS dựa trên host


Hệ phát hiện xâm nhập IDS dựa trên mạng
Hệ phát hiện xâm nhập IDS
dựa trên mạng

NIDS là một thiết bị thông minh được đặt phân tán
khắp trên mạng nhằm giám sát các traffic đi qua
nó.

NIDS có thể là thiết bị phần cứng hoặc phần mềm.

NIDS thường có 2 interface, một để lắng nghe mọi
traffic không được phân loại trên kênh truyền
thông, một còn lại làm nhiệm vụ phân tích lưu
lượng đó dựa trên tập hợp các mẫu (signature)
được thiết lập trước để nhận dạng đó có phải là
luồng dữ liệu bất bình thường hay không.

Nếu đặt NIDS trước firewall thì sẽ giám sát được
tất cả traffic network đi vào mạng.
Hệ phát hiện xâm nhập IDS
dựa trên mạng
Hệ phát hiện xâm nhập IDS
dựa trên mạng

Có 2 loại phản ứng được thực hiện tại
tầng mạng:

Passive Response (phản ứng bị động)

Active Response (phản ứng chủ động)

Phản ứng bị động

Phản ứng bị động bao gồm:

Logging: ghi lại những sự kiện đã xảy ra và tình
huống mà nó đã xảy ra để cung cấp đủ thông tin
cho người quản trị hệ thống biết được việc tấn
công xảy ra để giúp cho việc đánh giá và khắc
phục mối hiểm nguy của hệ thống.

Notification: là sự truyền thông thông tin đến
người quản trị hệ thống khi sự kiện xảy ra để giúp
cho việc phân tích tình hình.

Shunning: tránh xa hoặc bỏ qua sự tấn công
Phản ứng chủ động

Kết thúc kết nối, tiến trình hoặc phiên làm
việc: Nếu phát hiện ra một cuộc tấn công
ngập lụt, IDS có thể yêu cầu hệ thống con
TCP khởi động lại tất cả các phiên đang
hoạt động. Điều này sẽ làm giải phóng tài
nguyên và cho phép TCP tiếp tục hoạt
động bình thường.
TCP gởi cờ RST để đóng 1
phiên kết nối
Phản ứng chủ động

Thay đổi cấu hình mạng: Nếu 1 địa chỉ IP
được xác định là gây ra những cuộc tấn

công lặp đi lặp lại trên hệ thống, thì IDS có
thể chỉ thị cho router biên hoặc firewall
loại bỏ tất cả những yêu cầu hoặc traffic
từ IP này. Sự thay đổi này có thể duy trì
ảnh huởng lâu dài hoặc trong một thời
gian xác định.
IDS chỉ thị Firewall đóng port
80