Đề tài Ứng dụng IDS trong bảo vệ an ninh mạng máy tính

øng dông IDS trong b¶o vÖ an ninh m¹ng m¸y tÝnh KS.Hå Träng §¹t Trung t©m C«ng nghÖ th«ng tin Tãm t¾t: Cã thÓ ®­a ra kh¸i niÖm chung vÒ x©m nhËp vµ kiÓm tra x©m nhËp nh­ sau: “X©m nhËp” lµ c¸ch dïng tr¸i phÐp hoÆc l¹m dông mét hÖ thèng m¸y tÝnh. KiÓm tra x©m nhËp lµ mét kü thuËt b¶o mËt cè g¾ng x¸c ®Þnh vµ c« lËp nh÷ng “x©m nhËp” chèng l¹i c¸c hÖ thèng m¸y tÝnh. Kü thuËt firewall (t­êng löa) kh«ng thÓ b¶o vÖ d÷ liÖu riªng mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét viÖc lín ®ã lµ läc hay che dÊu c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c c«ng ty ph¶i më c¸c cæng trªn firewalls cña hä ®Ó cung cÊp web, email, FTP, dÞch vô tªn miÒn (DNS) vµ c¸c dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c cæng trªn firewall cña hä th× c¸c cæng ®ã kh«ng ®­îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ cã thÓ x©m nhËp vµo hÖ thèng cña b¹n. C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®­îc x©y dùng ®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i ch­a gi¶i quyÕt ®­îc bëi firewalls. Mét hÖ thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn trªn m¹ng. HÖ ph©n tÝch l­u l­îng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai ®ã ®ang göi l­u l­îng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch th­êng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn m¹ng . Ngµy nay, hÖ thèng m¹ng m¸y tÝnh ®· trë nªn phæ biÕn trong hÇu hÕt c¸c ho¹t ®éng cña x· héi, t¸c ®éng trùc tiÕp ®Õn nÒn kü thuËt vµ kinh tÕ cña ®Êt n­íc. Cïng víi sù ph¸t triÓn ®ã, ngµy cµng xuÊt hiÖn nhiÒu h¬n nh÷ng c¸ nh©n, nhãm hoÆc thËm chÝ lµ c¶ nh÷ng tæ chøc ho¹t ®éng víi nh÷ng môc ®Ých xÊu nh»m ph¸ ho¹i c¸c hÖ thèng m¹ng m¸y tÝnh, hÖ thèng th«ng tin, g©y t¸c h¹i v« cïng to lín ®Õn tÝnh an toµn vµ b¶o mËt th«ng tin trªn c¸c hÖ thèng nµy. Do tÝnh ¸c liÖt cña nh÷ng cuéc tÊn c«ng g©y h¹i ®ã, cã rÊt nhiÒu hÖ thèng b¶o vÖ an toµn m¹ng ®· ra ®êi, víi nhiÒu møc kh¸c nhau: b¶o vÖ quyÒn truy nhËp, b¶o vÖ b»ng mËt khÈu, b¶o vÖ b»ng m· hãa th«ng tin, sö dông proxy vµ firewall läc gãi tin, b¶o vÖ truy cËp vËt lý. HÖ thèng kiÓm tra x©m nhËp (Intrusion Detection System – IDS) lµ mét hÖ thèng ®­îc x©y dùng còng víi môc ®Ých b¶o vÖ an toµn th«ng tin. HÖ thèng nµy kiÓm so¸t tµi nguyªn vµ ho¹t ®éng cña hÖ thèng m¹ng, sö dông th«ng tin thu thËp ®­îc tõ nh÷ng nguån nµy, th«ng b¸o cho ng­êi cã tr¸ch nhiÖm khi nã x¸c ®Þnh ®­îc kh¶ n¨ng cã sù x©m nhËp. NÕu firewall ®ãng vai trß nh­ nh©n viªn b¶o vÖ c¬ quan, kiÓm tra mäi ng­êi ®Õn vµ ®i th× hÖ thèng kiÓm tra x©m nhËp gièng nh­ cã mét m¹ng l­íi c¶m biÕn ®Ó th«ng b¸o cho b¹n biÕt khi cã ai ®ã x©m nhËp, hä ®ang ë ®©u vµ lµm g×. Firewall “¸n ng÷” ë ngâ vµo cña m¹ng vµ chØ lµm viÖc víi nh÷ng gãi tin khi chóng ®i vµo vµ ®i ra khái m¹ng. Mét khi kÎ x©m nhËp ®· v­ît qua ®­îc firewall, ng­êi ®ã cã thÓ tung hoµnh tïy ý trªn m¹ng. §ã lµ lý do t¹i sao hÖ thèng kiÓm tra x©m nhËp cã vai trß quan träng. 1. Kh¸i niÖm vÒ kiÓm tra th©m nhËp NhËn thÊy, kü thuËt firewall (t­êng löa) kh«ng thÓ b¶o vÖ d÷ liÖu riªng mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét viÖc lín ®ã lµ läc hay che dÊu c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c c«ng ty ph¶i më c¸c cæng trªn firewalls cña hä ®Ó cung cÊp web, email, FTP, dÞch vô tªn miÒn (DNS) vµ c¸c dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c cæng trªn firewall cña hä th× c¸c cæng ®ã kh«ng ®­îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ cã thÓ x©m nhËp vµo hÖ thèng cña b¹n. C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®­îc x©y dùng ®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i ch­a gi¶i quyÕt ®­îc bëi firewalls. Mét hÖ thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn trªn m¹ng. Nã ph©n tÝch l­u l­îng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai ®ã ®ang göi l­u l­îng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch th­êng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn c¸c m¹ng bËn. KiÓm tra x©m nhËp lµ mét thµnh phÇn quan träng cña hÖ thèng b¶o mËt, vµ nã bæ xung c¸c kü thuËt b¶o mËt kh¸c. B»ng viÖc cung cÊp th«ng tin tíi qu¶n trÞ site, IDS cho phÐp kh«ng nh÷ng kiÓm tra tÊn c«ng cã ®Þa chØ râ rµng bëi c¸c thµnh phÇn b¶o mËt kh¸c (nh­ firewall vµ c¸c tr×nh bao bäc dÞch vô), mµ cßn cè g¾ng cung cÊp th«ng b¸o vÒ tÊn c«ng míi bÊt ngê. C¸c hÖ thèng kiÓm tra x©m nhËp còng cung cÊp th«ng tin ph¸p lý cho phÐp c¸c tæ chøc cã kh¶ n¨ng ph¸t hiÖn ra nguån gèc cña tÊn c«ng. Theo c¸ch nµy, IDS cè g¾ng lµm cho nh÷ng kÎ tÊn c«ng cã tr¸ch nhiÖm h¬n vÒ nh÷ng hµnh ®éng cña chóng, vµ ®­a ra mét sè ®¸nh gi¸, hµnh ®éng ®Ó ng¨n c¶n nh÷ng tÊn c«ng trong t­¬ng lai. 2. M« h×nh kh¸i niÖm cña c¸c hÖ thèng IDS Cã nhiÒu IDS kh¸c nhau ®­îc ph¸t triÓn trªn toµn thÕ giíi, vµ hÇu hÕt lµ do cã nhiÒu thiÕt kÕ kh¸c nhau. Khung kiÓm tra x©m nhËp chung (Common Intrusion Detection Framework) (CIDF) x¸c ®Þnh tËp c¸c thµnh phÇn cïng nhau x¸c ®Þnh mét hÖ thèng kiÓm tra x©m nhËp. C¸c thµnh phÇn nµy gåm c¸c bé t¹o sù kiÖn (event generator) ("E-boxes"), dông cô ph©n tÝch (analysic engine) ("A-boxes"), c¬ cÊu l­u tr÷ (storage mechanism) ("D-boxes"), vµ countermeasure ("C-boxes"). Mét thµnh phÇn CIDF cã thÓ lµ mét gãi phÇn mÒm bªn trong cña chÝnh nã, hoÆc mét phÇn cña hÖ thèng lín. H×nh 7 biÓu diÔn quan hÖ gi÷a c¸c thµnh phÇn. Môc ®Ých cña E-box lµ cung cÊp th«ng tin vÒ nh÷ng sù kiÖn cho c¸c phÇn cßn l¹i cña hÖ thèng. Mét "sù kiÖn" cã thÓ phøc t¹p, hoÆc nã cã thÓ lµ mét sù cè giao thøc m¹ng møc thÊp. Sù kiÖn kh«ng ®ßi hái ph¶i lµ dÊu hiÖu cña sù x©m nhËp bªn trong nã. E-box lµ bé gi¸c quan cña toµn bé IDS --- kh«ng cã ®Çu vµo E-box, hÖ thèng kiÓm tra x©m nhËp sÏ kh«ng cã th«ng tin ®Ó t¹o ra kÕt luËn vÒ c¸c sù kiÖn b¶o mËt. A-box ph©n tÝch ®Çu vµo tõ bé t¹o sù kiÖn. PhÇn lín trong viÖc nghiªn cøu kiÓm tra x©m nhËp lµ xem xÐt viÖc t¹o ra nh÷ng ph­¬ng ph¸p míi ®Ó ph©n tÝch luång sù kiÖn nh»m t¸ch th«ng tin thÝch hîp, vµ ®· nghiªn cøu ®­îc mét sè c¸ch tiÕp cËn kh¸c nhau. C¸c kü thuËt ph©n tÝch sù kiÖn dùa trªn viÖc kiÓm tra dÞ th­êng thèng kª, ph©n tÝch biÓu ®å, ... E-box vµ A-box cã thÓ ®­a ra l­îng lín d÷ liÖu. Nh÷ng th«ng tin nµy ph¶i ®­îc t¹o ra s½n sµng cho hÖ ®iÒu hµnh cña hÖ thèng khi nã cÇn sö dông. Thµnh phÇn D-box cña IDS x¸c ®Þnh c¸c ph­¬ng tiÖn ®­îc dïng ®Ó l­u tr÷ th«ng tin b¶o mËt vµ t¹o th«ng tin s½n sµng t¹i thêi ®iÓm sau. H×nh 1: Quan hÖ gi÷a c¸c thµnh phÇn CIDF NhiÒu hÖ thèng ID ®­îc thiÕt kÕ chØ nh­ lµ chu«ng b¸o ®éng. Tuy nhiªn, hÇu hÕt c¸c hÖ thèng ID cã gi¸ trÞ th­¬ng m¹i ®Òu ®­îc trang bÞ víi mét vµi d¹ng coutermeasure (C-box), ®i suèt tõ viÖc ®ãng c¸c kÕt nèi TCP ®Õn viÖc söa ®æi c¸c danh s¸ch bé läc ®Þnh tuyÕn. §iÒu nµy cho phÐp IDS cè g¾ng ng¨n c¶n c¸c cuéc tÊn c«ng kh¸c tõ sau khi dß thÊy sù xuÊt hiÖn cña c¸c cuéc tÊn c«ng ®Çu tiªn.ThËm chÝ c¸c hÖ thèng kh«ng cung cÊp kh¶ n¨ng C-box cã thÓ bÞ mãc nèi vµo trong nh÷ng ch­¬ng tr×nh thùc hiÖn t¸c dông t­¬ng tù. 3.Kh¶ n¨ng ¸p dông thùc tÕ Cïng víi sù ph¸t triÓn cña ADSL, sè l­îng tæ chøc, doanh nghiÖp kÕt nèi víi Internet t¹i ViÖt Nam ®­îc dù b¸o sÏ bïng næ rÊt m¹nh. Lîi Ých thu ®­îc tõ Internet lµ ®iÒu kh«ng cÇn ph¶i bµn c·i. Nh­ng nh÷ng thiÖt h¹i khi bÞ x©m ph¹m d÷ liÖu th× ch­a cã ai ®¸nh gi¸ cô thÓ vµ dù b¸o chÝnh x¸c lµ bao nhiªu. Trong hoµn c¶nh hiÖn nay, víi tÇn xuÊt tÊn c«ng vµ x©m nhËp m¹ng ngµy cµng phæ biÕn th× khi mét tæ chøc kÕt nèi víi Internet kh«ng thÓ kh«ng ¸p dông c¸c ph­¬ng ph¸p phßng chèng tÊn c«ng, x©m nhËp. Sö dông Firewall chØ lµ mét trong nh÷ng biÖn ph¸p c¨n b¶n, s¬ khai trong c«ng t¸c phßng chèng x©m ph¹m th«ng tin. Sö dông IDS sÏ gãp phÇn t¨ng c­êng søc m¹ng cho nhµ qu¶n trÞ vµ c¶nh b¸o kÞp thêi mäi diÔn biÕn bÊt th­êng qua m¹ng.