Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables

Hệ thống phát hiện xâm nhập ra đời cách đây khoảng 25 năm và nó đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng và hệ thống máy tính. Bằng cách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng hệ thống IDS vẫn có nhiều hạn chế khi đưa ra các cảnh báo sai và cần có người giám sát.
Nội dung trích xuất từ tài liệu:
Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTablesHệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Với Snort và IPTables Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables CHƯƠNG 1 TỔNG QUAN VỀ HỆ T HỐNG PHÁT HIỆN VÀ NGĂN CH ẶN XÂM NH ẬP Hệ th ống phát hiện xâm nhập ra đời cách đây kho ảng 25 năm và nó đã trởn ên rất hữu dụng cho việc bảo vệ các h ệ thống mạng và h ệ thống máy tính. Bằngcách đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Nhưng h ệthống IDS vẫn có nhiều hạn chế khi đưa ra các cả nh báo sai và cần có người giámsát. Thế hệ tiếp theo của IDS là h ệ thống IPS ra đời năm 2004, đang trở n ên rất phổb iến và đang dần thay thế cho các hệ thống IDS. Hệ th ống IPS bao gồ m cơ chế pháth iện, đưa ra các cảnh báo và còn có thể ngăn chặn các hoạt động tấn công bằngcách kết hợp với firewall.1.1. HỆ THỐ NG PHÁT HIỆN XÂM NHẬP1.1.1. Khái niệm Hệ thống phát hiện xâm nh ập IDS là thiết bị phần cứng, phần m ềm hay có sựkết h ợp củ a cả hai để thự c hiện việc giám sát, theo dõi và thu thập thông tin từ nhiềun guồn khác nhau. Sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấncông hệ thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát,IDS là hệ thống ph át hiện các d ấu hiệu làm hại đến tính b ảo mật, tính toàn vẹn vàtính sẵn dùng củ a hệ thống máy tính hoặc h ệ thống m ạng, làm cơ sở cho b ảo đảm ann inh hệ thống.1.1.2. Phát hiện xâm nhập Phát hiện xâm nhập là tập h ợp các k ỹ thuật và phương pháp được sử dụng đ ểphát hiện các hành vi đáng ngờ cả ở cấp đ ộ m ạng và máy chủ . Hệ thống phát hiệnxâm nhập phân thành hai loại cơ bản: · Hệ thống phát hiện dựa trên dấu hiệu xâm nhập. · Hệ thống phát hiện các d ấu hiệu bất thường. Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiệnb ằng cách sử dụng phần m ềm. Bằng cách tìm ra dữ liệu của gói tin mà có chứ a b ấtkì dấu hiệu xâm nh ập hoặc d ị thường được biết đ ến. Dự a trên một tập h ợp các dấuVăn Đình Quân-0021 Trang 1 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTablesh iệu (signatures) hoặc các qui tắc (rules). Hệ thống phát hiện có th ể dò tìm, ghi lạicác hoạt động đáng ngờ này và đưa ra các cảnh báo. Anomaly-based IDS thườngdựa vào phần header giao thức của gói tin đư ợc cho là bất thường. Trong một sốtrường h ợp các phương pháp có kết quả tốt hơn với Signature-based IDS. Thôngthường IDS sẽ bắt lấy các gói tin trên m ạng và đối chiếu với các rule đ ể tìm ra cácd ấu hiệu b ất thường của gói tin.1.1.3. Chính sách của IDS Trước khi cài đặt một hệ thống IDS lên hệ thống thì cần phải có một chínhsách để phát hiện kẻ tấn công và cách xử lý khi phát hiện ra các ho ạt động tấn công.Bằng cách nào đó chúng ph ải được áp dụng. Các chính sách cần chứa các ph ần sau(có th ể thêm tùy theo yêu cầu của từng hệ thống): · Ai sẽ giám sát h ệ thống IDS? Tùy thuộc vào IDS, có thể có cơ chế cảnh báo đ ể cung cấp thông tin về các hành động tấn công. Các cảnh báo này có thể ở h ình thức văn bản đơn giản (simple text) hoặc chúng có thể ở dạng phứ c tạp h ơn. Có thể được tích h ợp vào các hệ thống quản lý m ạng tập trung như HP Openview hoặc MySQL database. Cần phải có người quản trị để giám sát các hoạt động xâm nhập và các chính sách cần có người ch ịu trách nhiệm. Các ho ạt động xâm nh ập có th ể được theo dõi và thông báo theo th ời gian thực bằng cách sử dụ ng cửa sổ pop-up hoặc trên giao diện web. Các nhà quản trị phải có kiến thức về cảnh báo và mứ c độ an toàn của hệ thống. · Ai sẽ điều hành IDS? Như với tất cả các hệ thống, IDS cần được được bảo trì thường xuyên. · Ai sẽ xử lý các sự cố và như th ế nào? Nếu các sự cố không được xử lý thì IDS xem như vô tác dụng. · Các báo cáo có thể được tạo và hiển th ị vào cuối ngày ho ặc cuối tu ần hoặc cuối tháng. · Cập nhật các d ấu hiệu. Các hacker thì luôn tạo ra các kỹ thuật mới để tấn công hệ thống. Các cu ộc tấn công này được phát hiện bởi hệ thống IDS d ựa trên các d ấu hiệu tấn công. · Các tài liệu thì rất cần thiết cho các dự án. Các chính sách IDS nên được mô tả dưới dạng tài liệu khi các cuộc tấn công được phát hiện. Các tài liệu có th ểVăn Đình Quân-0021 Trang 2 Hệ Thống Phát Hiện Và Ngăn Chặn Xâm Nhập Vớ i Snort và IPTables b ao gồm các log đơn giản ho ặc các văn b ản. Cần phải xây dựng mộ t số hình thức để ghi và lưu trữ tài liệu. Các báo cáo cũng là các tài liệu.1.1.4. Kiến trúc của hệ thống phát hiệ n xâm nhập Kiến trúc củ a một hệ thống IDS bao gồm các thành phần chính sau: Thànhphần thu thập gói tin (information collection), thành ph ần phân tích gói tin(detection) và thành phần ph ản hồi (respotion). Trong ba thành ph ần này, thànhphần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quanquyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc củ a m ột hệ thốngphát hiện xâm nh ập H ình 1 -1. Kiến trúc của mộ t hệ thống phát hiện xâm nhập Bộ cảm biến được tích hợp với thành ph ần sưu tập dữ liệu. Bộ tạo sự kiện.Cách sưu tập này được xác định bởi chính sách tạo sự kiện đ ể định nghĩa ch ế độ lọ cthông tin sự kiện. Bộ tạo sự kiện (h ệ đ iều hành, mạng, ứng dụng) cung cấp một sốchính sách thích h ợp cho các sự kiện, có thể là mộ t bản ghi các sự kiện của hệ thốnghoặc các gói m ạng. Số chính sách này cùng với thông tin chính sách có thể được lưutrong hệ thống được bảo vệ hoặc bên ngoài. Vai trò củ a bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có th ểphát hiện ...