Professional Documents
Culture Documents
Trong thời đại kỉ nguyên số 4.0 hàng loạt các tiến bộ về khoa học kĩ thuật
đã có những bước phát triển mới. Trong đó phải kể đến hệ thống mạng Internet
nhằm phục vụ cho yêu cầu kết nối của con người là một trong những mục tiêu,
dự án được đầu tư và phát triển vượt bậc nhất trong vài thập kỉ qua.
Đặc biệt trong thời đại mới, thông tin của cá nhân là vô cùng quan trọng.
Nó có thể gây ảnh hưởng xấu đến cá nhân hoặc tập thể lớn nếu như bị lợi dụng
hay đánh cắp bởi các hacker khi những thông tin đó được cập nhật trên hệ thống
mạng. Chính vì vậy khi Internet và các mạng nội bộ càng ngày càng phổ biến,
thách thức của các vấn đề xâm nhập mạng trái phép đã buộc các tổ chức phải bổ
sung thêm hệ thống để kiểm tra các lỗ hổng về bảo mật CNTT. Một trong những
hệ thống được những người quan tâm đến bảo mật nhắc đến nhiều nhất là hệ
thống phát hiện xâm nhập (IDS). Và đây cũng chính là chủ đề tìm hiểu của bài
viết này.
Chúng em xin cảm ơn cô Phạm Anh Thư đã cho chúng em cơ hội để tìm
hiểu về những chủ đề rất hay và có tính thiết thực cao trong công việc về ngành
học tương lai. Chúng em rất mong nhận được những ý kiến, nhận xét từ cô.
PHẦN 1: TỔNG QUÁT
1.2: Phân tích hiện trạng về bảo mật mạng hiện nay
- Theo thông tin từ Microsoft, trong năm 2019, họ đã chặn được hơn 13 tỷ gói tin
độc hại và đáng ngờ trong đó có hơn 1 tỷ URL được thiết lập với mục tiêu đánh cắp
thông tin xác thực.
- Các kỹ thuật tấn công phổ biến nhất được hacker sử dụng trong thời gian qua là
do thám, thu thập thông tin đăng nhập, phần mềm độc hại và khai thác mạng riêng ảo
VPN.
- Theo thông tin từ Cục An toàn thông tin, Bộ TT&TT Việt Nam ghi nhận trong 3
tháng đầu năm 2021 đã có 1271 cuộc tấn công mạng gây ra sự cố vào các hệ thống
thông tin.
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.
Chính từ thực trạng về tấn công mạng vẫn còn xảy ra với số lượng lớn trong các
năm qua mà ta rút ra được những kết luận:
- Nếu sử dụng các phần mềm bảo mật hay diệt virus cần tìm hiểu và cài đặt các
phần mềm đảm bảo uy tín, và nên bổ sung thêm IDS cho chiến lược bảo mật
của mình vì đa phần phần mềm chống virus không sử dụng IDS.
- Với công nghệ phát triển ngày nay, không có một giải phát bảo mật nào có thể
tồn tại lâu dài. Nên cần kiểm tra và nâng cấp thường xuyên.
- Hệ thống bảo mật IDS là phương pháp bảo mật vẫn còn đang được tin dùng và
có khả năng chống lại các kiểu tấn công mới, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống.
o Chi phí triển khai, phát triển và vận hành hệ thống tương đối lớn.
IDS bao gồm các thành phần chính: thành phần thu thập gói tin (Information
collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response)
nếu gói tin đó được phát hiện là một cuộc tấn công.
2.2.1: Thành phần thu thập gói tin
Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến mạng. Thông thường
các gói tin có địa chỉ không phải của card mạng thì sẽ bị card mạng đó hủy bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao chụp, xử lí, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ
đọc thông tin từng trường, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì,... Các
thông tin này sẽ được chuyển đến phần phát hiện, phân tích.
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan đến hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phân tích sẽ gửi
tín hiệu có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Lúc đó thành phần
phản ứng sẽ kích hoạt tưởng lửa ngăn chặn cuộc tấn công hay cảnh báo tới người quản
trị.
Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm
biến đóng vai trò quyết định. Bộ cảm biến tích hợp với thành phần là sưu tập
dữ liệu và một bộ tạo sự kiến. Cách sưu tập này được xác định bởi chính
sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Vai trò của bộ
cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt
được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách
phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết. Thêm vào đó, cơ sở dữ
liệu giữa các tham số cấu hình, gồm các chế độ truyền thông với module đáp
trả. Bộ cảm biến cũng có sơ sở dữ liệu của riêng nó.
Nhiệm vụ chính của các IDS là phòng chống cho một hệ thống máy tính bằng
cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc phát hiện các tấn công
phụ thuộc vào số lượng và kiểu hành động thích hợp (Hình dưới). Để ngăn chặn xâm
nhập tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các
mối đe dọa. Việc làm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được
bảo vệ là một nhiệm vụ quan trọng khác. Cả hệ thống thực và hệ thống bẫy cần phải
được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm
nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát
hiện các dấu hiệu tấn công (sự xâm nhập).
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị
viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa
để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ
sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một IDS là một
thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý
các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề
xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua emai.
2.3.2: Nguyên lí hoạt động
Sau khi thu thập xong dữ liệu, IDS so khớp lưu lượng mạng với các mẫu lưu
lượng có sẵn của những cuộc tấn công mạng khác (phương pháp này thường được gọi
là tương quan mẫu – Pattern Correlation). Thông qua phương pháp này, hệ thống IDS
có thể xác định xem những hoạt động bất thường có phải là dấu hiệu của sự tấn công
hay không.
Phát hiện dựa trên chữ ký là hình thức phát hiện đơn giản nhất vì nó chỉ so sánh
lưu lượng truy cập với cơ sở dữ liệu chữ ký. Nếu tìm thấy kết quả phù hợp thì
cảnh báo sẽ được tạo, nếu không tìm thấy kết quả phù hợp thì lưu lượng truy
cập sẽ không có vấn đề gì.
Tuy nhiên với cơ chế này, IDS chỉ có thể phát hiện ra các mối đe dọa đã biết và
do đó, không hiệu quả trong việc phát hiện các mối đe dọa chưa biết. Để phát
hiện được một cuộc tấn công, việc khớp chữ ký phải chính xác, nếu không ngay
cả một sự thay đổi đổi nhỏ hệ thống cũng sẽ không biết được. Ví dụ như một
mã độc với chủ đề “Hello” ở trên chỉ cần bỏ 1 ký tự “o” trở thành “Hell”, hệ
thống có thể sẽ không phát hiện ra và cho mã độc xâm nhập.
Cơ sở dữ liệu chữ ký cần được cập nhật liên tục, gần như hàng ngày từ các
phòng nghiên cứu chống virus như McAfee, Synmantec,… và các nhà cung cấp
bảo mật khác. Nếu chữ ký không được cập nhật, rất có thể hệ thống IDS sẽ
không phát hiện được một số cuộc tấn công xâm nhập.
Hồ sơ cơ sở được tạo bằng cách cho phép hệ thống IDS tìm hiểu lưu lượng truy
cập trong một khoảng thời gian để IDS có thể nghiên cứu hành vi lưu lượng
truy cập trong giờ cao điểm, ngoài giờ cao điểm, giờ ban đêm, giờ làm việc đầu
giờ,… Sau khi tìm hiểu, lưu lượng được nghiên cứu và cập nhập tạo hồ sơ cơ
sở. Khi IDS được chuyển từ chế độ học tập sang chế độ phát hiện/ ngăn chặn,
nó sẽ sử dụng dữ liệu từ hồ sơ để so sánh với các dấu hiệu bất thường, nếu có
thì một cảnh báo sẽ được kích hoạt.
Thách thức của phương pháp dựa trên sự bất thường là tạo ra một hồ sơ hiệu
quả. Sau một khoảng thời gian, hồ sơ được cập nhật trở thành bản chính thức,
IDS chuyển sang chế độ phát hiện và mỗi khi có gói tin đến sẽ được so với hồ
sơ cơ sở. Vì vậy khi có bất kỳ hoạt động độc hại nào đã tồn tại từ đầu khi IDS ở
chế độ học tập, tạo hồ sơ cơ sở, hoạt động này sẽ trở thành 1 phần của hồ sơ và
sẽ không bị phát hiện
c) Phát hiện phân tích giao thức trạng thái (Stateful Protocol Analysis
Detection)
Phương pháp này tương tự như phát hiện dựa trên sự bất thường, ngoại trừ việc
các cấu hình được tạo bởi các nhà cung cấp thiết bị cảm biến. Các cấu hình
được xác định trước và tạo thành từ hoạt động lưu lượng mạng lành tính được
chấp nhận chung theo quy định của tiêu chuẩn. “Trạng thái” ở đây có nghĩa là
IDS có khả năng theo dõi trạng thái của giao thức cả ở lớp mạng và lớp ứng
dụng. Ví dụ, trong trường hợp trạng thái thiết lập kết nối TCP, IDS phải nhớ tất
cả các trạng thái kết nối. Tương tự, trong trường hợp xác thực, phiên kết nối
ban đầu ở trạng thái không được phép và IDS cần ghi nhớ những trạng thái này.
Sau khi trao đổi một số thông tin giữa 2 bên, máy khách và máy chủ, người
dùng được xác thực và được phép truy cập vào mạng. Trong giai đoạn này, lưu
lượng truy cập là an toàn và IDS nên ghi nhớ để không dẫn đến các kết quả
dương tính giả.
Phương pháp phát hiện trạng thái bất thường của giao thức sử dụng các cấu
hình đã được tạo dựa trên các tiêu chuẩn và thông số kỹ thuật do nhà cung cấp
chỉ định, những người thường tuân thủ hầu hết các cơ quan tiêu chuẩn. Nếu bất
kì nhà cung cấp nào triển khai các giao thức, với sự thay đổi của các tiêu chuẩn,
thì điều đó sẽ gây khó khăn cho IDS trong việc phát hiện và phân tích các trạng
thái. Trong những lúc như vậy, các mô hình giao thức IDS cũng cần được cập
nhật để thay đổi giao thức phù hợp.
Hạn chế chính của cơ chế này là chúng tốn nhiều quy trình và bộ nhớ giống như
nhiều giao thức, và IDS phải theo dõi trạng thái của chúng đồng thời. Một vấn
đề khác là nếu một cuộc tấn công nằm trong hành vi giao thức được chấp nhận
chung, thì nó có thể đi qua. Nếu việc triển khai các giao thức khác nhau giữa
các hệ điều hành thì IDS có thể không hoạt động tốt trong việc phát hiện các
xâm nhập.
+ Tường lửa xem xét các quy tắc kiểm soát. Một packet sẽ được cho phép hoặc
từ chối. Quy tắc sẽ chỉ ra rằng nên cho phép một máy chủ hay một mạng, một
ứng dụng vào mạng đáng tin cậy hay không. Một tường lửa phải kiểm tra tiêu
đề của giao thức TCP/IP như FTP, HTTP hoặc Telnet. Tuy nhiên, nó không
kiểm tra nội dung dữ liệu của packet mạng. Ngay cả khi dữ liệu chức một mã
độc, tường lửa vẫn sẽ cho phép packet này qua vì tiêu đề của nó đã tuân thủ các
quy tắc được cấu hình trong tường lửa. Do đó, mặc dù bạn có tường lửa nhưng
mạng lưới của bạn vẫn có thể bị xâm nhập.
+ IDS kiểm tra từng nội dung của packet thông qua mạng để phát hiện bất kỳ
hoạt động độc hại nào. Mọi packet đều được bóc tách tới phần “nội dung dữ
liệu” để kiểm tra xem có mã độc nào không rồi packet được ráp lại thành dạng
ban đầu và được gửi đi. Như bạn có thể thấy, mọi packet đều được mổ xẻ và
sau đó lắp ráp trở lại ở tầng ba, điều này làm cho IDS trở nên mạnh hơn khi so
sánh với tường lửa.
Tường lửa là một thành phần không thể thiếu trong cấu trúc liên kết
bảo mật mạng tổng thể nhưng chỉ riêng tường lửa thôi thì không đủ.
Hầu hết các mạng hiện đại đều có IDS như một phần thiết yếu của kiến
trúc bảo mật.
Kiến trúc chung của NIDS dựa trên máy chủ (NIDS). Cấu trúc hoạt động của
NIDS và vị trí của nó trong mạng
* Suricata:
Suricata là một gói mã nguồn mở cung cấp khả năng phát hiện, ngăn chặn xâm
nhập và giám sát mạng trong thời gian thực. Suricata sử dụng các quy tắc, ngôn
ngữ chữ ký, v.v... để phát hiện những mối đe dọa phức tạp.
Suricata có sẵn cho Linux, macOS, Windows và các nền tảng khác. Phần mềm
này miễn phí và có một số sự kiện đào tạo công khai có tính phí được lên lịch
hàng năm để đào tạo nhà phát triển. Các sự kiện đào tạo chuyên dụng cũng có
sẵn từ Open Information Security Foundation (OISF), tổ chức sở hữu code
Suricata.
* Zeek:
Trước đây được gọi là Bro, Zeek là một công cụ phân tích mạng mạnh mẽ tập
trung vào giám sát an ninh cũng như phân tích lưu lượng mạng nói chung.
Ngôn ngữ dành riêng cho domain của Zeek không dựa trên chữ ký truyền
thống. Thay vào đó, Zeek ghi lại mọi thứ nó thấy trong kho lưu trữ hoạt động
mạng cấp cao. Zeek hoạt động với Unix, Linux, Free BSD và Mac OS X.
* Prelude OSS:
Prelude OSS là phiên bản mã nguồn mở của Prelude Siem, một hệ thống phát
hiện xâm nhập sáng tạo được thiết kế theo kiểu mô-đun, phân tán, đáng tin cậy
và nhanh chóng. Prelude PMNM phù hợp với các cơ sở hạ tầng CNTT quy mô
hạn chế, các tổ chức nghiên cứu và đào tạo. Nó không dành cho các mạng kích
thước lớn hoặc quan trọng. Hiệu suất của Prelude OSS bị hạn chế nhưng đóng
vai trò là phần giới thiệu cho phiên bản thương mại.
* Malware Defender
Malware Defender là một hệ thống phát hiện xâm nhập máy chủ (HIDS), theo
dõi một host duy nhất để tìm hoạt động đáng ngờ. Đây là hệ thống phát hiện
phần mềm độc hại và ngăn chặn xâm nhập tương thích với Windows, miễn phí
dành cho người dùng nâng cao.
Malware Defender cũng là một trình phát hiện rootkit tiên tiến, với nhiều công
cụ hữu ích để phát hiện và loại bỏ phần mềm độc hại đã được cài đặt sẵn.
Malware Defender rất phù hợp để sử dụng tại nhà, mặc dù tài liệu hướng dẫn
của nó hơi phức tạp.
Hệ thống phát hiện xâm nhập máy chủ chạy trên từng host hoặc thiết bị trên
mạng. Chúng giám sát các gói gửi đến và đi từ thiết bị, cũng như sẽ cảnh báo
cho người dùng hoặc quản trị viên nếu phát hiện hoạt động đáng ngờ.
Có thể nói, IDS là một công cụ phát hiện xâm nhập được sử dụng nhiều hiện
nay. Trong thời đại bùng nổ của công nghệ số như hiện nay thì việc trang bị một IDS
cho doanh nghiệp là việc cấp thiết và thiết thực để bảo vệ chính doanh nghiệp của
mình khỏi những nguy cơ tiềm ẩn trong hệ thống.
Tuy nhiên, IDS có thể bị tấn công vào hệ thống khi:
- Từ chối dịch vụ (DoS): IDS hoàn toàn có khả năng bị từ chối dịch vụ nhằm
tiêu tốn tài nguyên hệ thống (bộ nhớ, CPU, băng thông mạng,...).
- Tấn công đánh lừa IDS: việc sử dụng các kỹ thuật can thiệp, thay đổi cấu
trúc gói tin để đánh giá khả năng xử lý của IDS đối với các kiểu dữ liệu đầu
vào.
Để IDS được hoạt động tốt nhất, các bạn có thể tham khảo một số tiêu chí triển
khai IDS sau:
- Xác định công nghệ IDS đã, đang hoặc sẽ triển khai.
- Xác định những thành phần của IDS.
- Thiết lập và cấu hình an toàn cho IDS.
- Xác định vị trí hợp lý và phù hợp để lắp đặt IDS.
- Có cơ chế xây dựng, tổ chức và quản lý hệ thống luật - rule.
- Hạn chế các tình huống cảnh báo nhầm hoặc không cảnh báo khi có xâm
nhập.
Hy vọng rằng qua bài tập lớn trên chúng em đã đáp ứng được phần nào các mục tiêu
đã đề ra từ ban đầu, thể hiện một số kiến thức cơ bản của cấu trúc các hệ thống IDS
cũng như một vài hệ thống bảo mật tương tự. IDS cũng là hệ thống bảo mật đặc biệt
cho server, tuy nhiên mỗi người chúng ta cần nâng cao nhận thức về bảo mật thông tin,
đặc biệt là bảo mật dữ liệu cá nhân để tránh các nguy cơ mất an toàn thông tin trên
mạng Internet. Tuy biết rằng chắc chắn sẽ còn nhiều thiếu sót nhưng chúng em sẽ cố
gắng tìm hiểu và trao dồi thêm trong tương lai.
Umesh Hodeghatta Rao và Umesha Nayak, The Infosec Handbook, 1st Editon,
2014
William Stalling, Computer Security – Principles and Practice. Pearson
Education Inc., 7th Edition, 2017.
Các trang web, bài viết tham khảo:
o Hệ thống phát hiện xâm nhập (IDS) (Phần 1) - QuanTriMang.com
o Hệ thống phát hiện xâm nhập IDS gồm những loại nào?
(itnavi.com.vn)
o Top 5 phần mềm phát hiện (IDS) và ngăn chặn xâm nhập (IPS)
miễn phí (quantrimang.com)
o [Network] Tìm hiểu cơ chế, cách hoạt động của IDS (phần 1)
(viblo.asia)
o Advantages and disadvantages of NIDS (solutions24h.com)
o Advantages and disadvantages of HIDS (solutions24h.com)