LỜI MỞ ĐẦU Với nhu cầu trao đổi thông tin ngày nay bắt buộc các c á n h â n c ũ n g n h ư c á c cơ quan

, tổ chức phải hoà mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối Internet. Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công không được báo trước, số lượng các vụ tấn công tăng lên nhanh chóng và các phương pháp tấn công cũng liên tục được hoàn thiện. Vì vậy việc kết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải có các biện pháp đảm bảo an ninh. Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên phải đối mặt trên môi trường Internet em đã quyết định chọn đề tài: Nghiên cứu, ứng dụng hệ thống phát hiện xâm nhập với mục đích tìm hiểu nguyên tắc hoạt động và cơ sở lý thuyết cùng một số kỹ thuật xử lý làm nền tảng xây dựng hệ thống phát hiện xâm nhập. Em xin trân thành cảm ơn sự hướng dẫn tận tình của PGS.TS Nguyễn Thị Việt Hương. Do trình độ còn hạn chế và lĩnh vực An ninh mạng vẫn là một lĩnh vực còn mới nên Luận văn này không tránh khỏi sai sót, em rất mong được sự chỉ bảo của các thầy cô. Nội dung chính của cuốn Luận gồm 4 chương như sau: Chương I: Tổng quan về an ninh mạng máy tính Chương II: Xây dựng mô hình an ninh mạng và giới thiệu một số công nghệ bảo mật Chương III: Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) Chương IV: Ứng dụng – Thực nghiệm

1

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH
I. TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng. Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó. Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người.
1.

Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ Để thấy được tầm quan trọng của việc đảm bảo an ninh mạng ta tìm hiểu các tác động của việc mất an ninh mạng và từ đó đưa ra các yếu tố cần bảo vệ:  Tác hại của việc không đảm bảo an ninh mạng - Làm tốn kém chi phí - Tốn kém thời gian - Ảnh hưởng đến tài nguyên hệ thống - Ảnh hưởng danh dự, uy tín - Mất cơ hội kinh doanh  Các yếu tố cần bảo vệ - Dữ liệu - Tài nguyên: con người, hệ thống, đường truyền - Danh tiếng 2. Các tiêu chí đánh giá mức độ an ninh an toàn mạng Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng. Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh mạng.

2

2.1 Đánh giá trên phương diện vật lý An toàn thiết bị Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau: - Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap). - Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm. - Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv... An toàn dữ liệu - Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong các tình huống phát sinh. - Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trong các trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv.. 2.2. Đánh giá trên phương diện logic Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau: Tính bí mật, tin cậy (Condifidentislity) Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động. Có thể dùng vài mức bảo vệ để chống lại kiểu tấn công này. Dịch vụ rộng nhất là bảo vệ mọi dữ liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thời gian. Nếu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó. Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng lẻ hay những trường hợp cụ thể bên trong một bản tin. Khía cạnh khác của tin bí mật là việc bảo vệ lưu lượng khỏi việc phân tích. Điều này làm cho những kẻ tấn công không thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặc điểm khác của lưu lượng trên một phương tiện giao tiếp. Tính xác thực (Authentication) Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy. Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà nó xác nhận là đúng. Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối,
3

dịch vụ đảm bảo rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép. Tính toàn vẹn (Integrity) Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, một bản tin riêng biệt hoặc những trường lựa chọn trong bản tin. Một lần nữa, phương thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằng các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vị hoặc tái sử dụng. Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này. Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu và cả từ chối dữ liệu. Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quan tới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi. Bởi vì dịch vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới phát hiện hơn là ngăn chặn. Nếu một sự vi phạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản là báo cáo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từ những vi phạm đó. Có những cơ chế giành sẵn để khôi phục lại những mất mát của việc toàn vẹn dữ liệu. Không thể phủ nhận (Non repudiation) Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ 1 bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ. Khả năng điều khiển truy nhập (Access Control) Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế các truy nhập với máy chủ thông qua đường truyền thông. Để đạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc được xác nhận sao cho quyền truy nhập có thể được đáp ứng nhu cầu đối với từng người. Tính khả dụng, sẵn sàng (Availability)

4

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ. Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra. 3. Xác định các mối đe dọa đến an ninh mạng 1. Mối đe dọa không có cấu trúc ( Untructured threat) Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Những trường hợp đó có ảnh hưởng xấu đến hệ thống và hình ảnh của công ty. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống. Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống. 2. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn công này thì có rất nhiều. Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Các cuộc tấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh. Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả

5

nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. 3. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. 4. Mối đe dọa từ bên trong ( Internal threat ) Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. 4. Xác định lỗ hổng hệ thống (Vulnerable) và các nguy cơ (Risk)
4.1

Lỗ hổng hệ thống Lỗ hổng hệ thống là nơi mà đối tượng tấn công có thể khai thác để thực hiện các hành vi tấn công hệ thống. Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng hoặc trong thủ tục quản trị mạng.

6

- Lỗ hổng lập trình (back-door) - Lỗ hổng Hệ điều hành - Lỗ hổng ứng dụng - Lỗ hổng vật lý - Lỗ hổng trong thủ tục quản lý (mật khẩu, chia sẽ,…)
4.2

Nguy cơ hệ thống Nguy cơ hệ thống được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống, các mối đe dọa đến hệ thống và các biện pháp an toàn hệ thống hiện có Nguy cơ = Mối đe dọa + Lỗ hổng hệ thống + Các biện pháp an toàn hiện có  Xác định các lỗ hổng hệ thống việc xác định các lỗ hổng hệ thống được bắt đầu từ các điểm truy cập vào hệ thống như: - Kết nối mạng Internet - Các điểm kết nối từ xa - Kết nối đến các tổ chức khác - Các môi trường truy cập vật lý đến hệ thống - Các điểm truy cập người dùng - Các điểm truy cập không dây  Xác định các mối đe dọa Việc xác định các mối đe dọa là rất khó khăn vì các lý do: - Các mối đe dọa thường không xuất hiện rõ ràng (ẩn) - Các hình thức và kỹ thuật tấn công đa dạng: • DoS/DDoS, BackDoor, Tràn bộ đệm,… • Virus, Trojan Horse, Worm • Social Engineering - Thời điểm tấn công không biết trước - Qui mô tấn công không biết trước
 Kiểm tra các biện pháp an ninh mạng hiện có

Các biện pháp an ninh gồm các loại sau:
7

- Bức tường lửa - Firewall - Phần mềm diệt virus - Điều khiển truy nhập - Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…) - Mã hóa dữ liệu - Hệ thống dò xâm nhập IDS - Các kỹ thuật khác: AD, VPN, NAT - Ý thức người sử dụng - Hệ thống chính sách bảo mật và tự động vá lỗi hệ thống 5. Nhận dạng các hiểm họa 1. Virus Virus máy tính là một chơng trình có thể tự động nhân bản và lây truyền từ máy tính này sang máy tính khác bất chấp sự cho phép của ngời dùng. Chơng trình nguồn Virus và các bản copy của nó có thể tự biến thể. Virus chỉ có thể lây nhiễm từ máy này sang máy khác khi máy tính có giao tiếp với nguồn gây bệnh thông qua các phơng thức trao đổi dữ liệu như qua đĩa mềm, CD hoặc USB, đặc biệt trong trờng hợp trao đổi qua hệ thống mạng. 2. Con ngựa thành Troya (Trojan Horse) Trojan là một file xuất hiện một cách vô hại trớc khi thi hành. Trái ngược với Virus Trojan không chèn các đoạn mã lệnh vào các file khác. Trojan thường đợc gắn vào các chơng trình trò chơi hoặc phần mềm miễn phí, vô thởng vô phạt. Khi một ứng dụng đợc thực thi thì Trojan cũng đồng thời thực hiện nhiệm vụ của nó. Nhiều máy tính cá nhân khi kết nối Internet là điều kiện thuận lợi để bị lây nhiễm Trojan. Ngày nay Trojan đợc cài đặt như là một bộ phận của phần mềm thâm nhập vào cửa sau của hệ thống và từ đó phát hiện các lỗ hổng bảo mật. 3. Con sâu-Worm Con sâu Worm có thể lây nhiễm tự động từ máy này sang máy khác không nhất thiết phải dịch chuyển như là một bộ phận của host. Worm là chương trình có thể tự tái tạo thông qua giao dịch tìm kiếm các file đã bị lây nhiễm của hệ điều hành. Hiện nay Worm thường lây nhiễm qua đường thư điện tử, Worm tự động nhân bản và gửi đến các địa chỉ trong danh mục địa chỉ thư của ngời dùng. Worm cũng có thể lây nhiễm thông qua việc download

8

file, sự nguy hiểm của Worm là nó có thể làm vô hiệu hoá các chương trình diệt virus và các biện pháp an ninh nh là việc ăn cắp mật khẩu,... 4. Bom logic – Logic Bombs Logic Bombs là một đoạn mã lệnh ngoại lai đợc chèn vào hệ thống phần mềm có mục đích phá hoại được cài đặt ở chế độ tắt, khi gặp điều kiện thuận lợi sẽ đợc kích hoạt để phá hoại. Ví dụ ngời lập trình sẽ cài ẩn vào phần mềm của mình đoạn mã lệnh xoá file nếu trong quá trình sử dụng khách hàng không trả phí. Thông thờng logic Bombs đợc kích hoạt theo chế độ giới hạn thời gian. Các kỹ thuật này cũng đợc sử dụng trong các chương trình Virus và Worm hoặc các Trojan đợc kích hoạt đồng loạt tại một thời điểm nào đó gọi là “Time bombs”. 5. Adware - advertising-supported software Adware hay còn gọi là phần mềm hỗ trợ quảng cáo là một gói phần mềm tự động thực hiện, trình diễn hoặc tải về các chất liệu quảng cáo sau khi được kích hoạt. 6. Spyware Spyware là phần mềm máy tính dùng để thu thập các thông tin của cá nhân không được sự chấp thuận của họ. Thuật ngữ Spyware xuất hiện năm 1995 và được phổ biến rộng rãi sau đó 5 năm. Thông tin cá nhân bao gồm hệ thống khoá truy cập (username, password, ...), địa chỉ các trang Web thường xuyên truy cập, các thông tin đợc luư trữ trên đĩa cứng của máy tính cá nhân... Spyware thường dùng phương thức đánh lừa khi khai báo để truy cập vào trang Web nào đó, đặc biệt là các thông tin mật, số PIN của thẻ tín dụng, số điện thoại,... 7. Backdoor Backdoor một giải pháp tìm đường vòng để truy cập từ xa vào hệ thống được đảm bảo an ninh một cách vô hình từ sự cẩu thả quá trình kiểm duyệt. Backdoor có thể đợc đặt kèm theo chơng trình hoặc biến đổi từ một chương trình hợp pháp. II. Một số phương thức tấn công mạng máy tính và phòng chống Các kiểu tấn công vào mạng ngày càng vô cùng tinh vi, phức tạp và khó lường, gây ra nhiều tác hại. Các kỹ thuật tấn công luôn biến đổi và chỉ được phát hiện sau khi đã để lại những hậu quả xấu. Một yêu cầu cần thiết để bảo vệ an toàn cho mạng là phải phân tích, thống kê và phân loại được các kiểu tấn công, tìm ra các lỗ hổng có thể bị lợi dụng để tấn công. Có thể phân loại các kiểu tấn công theo một số cách sau.
9

Theo tính chất xâm hại thông tin - Tấn công chủ động: Là kiểu tấn công can thiệp được vào nội dung và luồng thông tin, sửa chữa hoặc xóa bỏ thông tin. Kiểu tấn công này dễ nhận thấy khi phát hiện được những sai lệch thông tin nhưng lại khó phòng chống. - Tấn công bị động: Là kiểu tấn công nghe trộm, nắm bắt được thông tin nhưng không thể làm sai lạc hoặc hủy hoại nội dung và luồng thông tin. Kiểu tấn công này dễ phòng chống nhưng lại khó có thể nhận biết được thông tin có bị rò rỉ hay không Theo vị trí mạng bị tấn công - Tấn công trực tiếp vào máy chủ cung cấp dịch vụ làm tê liệt máy chủ dẫn tới ngưng trệ dịch vụ, hay nói cách khác là tấn công vào các thiết bị phần cứng và hệ điều hành. - Tấn công vào cơ sở dữ liệu làm rỏ rỉ, sai lệch hoặc mất thông tin. - Tấn công vào các điểm (node) truyền tin trung gian làm nghẽn mạng hoặc có thể làm gián đoạn mạng - Tấn công đường truyền (lấy trộm thông tin từ đường truyền vật lý) Theo kỹ thuật tấn công - Tấn công từ chối dịch vụ (Denied of service): tấn công vào máy chủ làm tê liệt một dịch vụ nào đó - Tấn công kiểu lạm dụng quyền truy cập (Abose of acccess privileges): kẻ tấn công chui vào máy chủ sau khi đã vượt qua được các mức quyền truy cập. Sau đó sử dụng các quyền này để tấn công hệ thống. - Tấn công kiểu ăn trộm thông tin vật lý (Physical theft): lấy trộm thông tin trên đường truyền vật lý. - Tấn công kiểu thu lượm thông tin (information gather): bắt các tập tin lưu thông trên mạng, tập hợp thành những nội dung cần thiết - Tấn công kiểu bẻ khóa mật khẩu (password cracking): dò, phá, bẻ khóa mật khẩu - Tấn công kiểu khai thác những điểm yếu, lỗ hổng (exploitation of system and network vulnerabilities): tấn công trực tiếp vào các điểm yếu, lỗ hổng của mạng - Tấn công kiểu sao chép, ăn trộm thông tin (spoofing): giả mạo người khác để tránh bị phát hiện khi gửi thông tin vô nghĩa hoặc tấn công mạng

10

- Tấn công bằng các đoạn mã nguy hiểm (malicious code): gửi theo gói tin đến hệ thống các đoạn mã mang tính chất nguy hại đến hệ thống. 1 Các phương pháp xâm nhập hệ thống 1.Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng. 2. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: bruteforce attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork. 3.Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó. 4.Phương thức tấn công hệ thống DNS DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng. Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS
11

DNS.

Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm

5.Phương thức tấn công Man-in-the-middle attack Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer. 6.Phương thức tấn công để thăm dò mạng Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan. 7.Phương thức tấn công Trust exploitation Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall. 8.Phương thức tấn công Port redirection Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside. 9.Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.

12

10.Phương thức tấn Virus và Trojan Horse Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. 2 Các phương pháp phát hiện và ngăn ngừa xâm nhập 1.Phương thức ăn cắp thống tin bằng Packet Sniffers Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet sniffer bằng một số cách như sau:  Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn.  Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng. Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó.  Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.
13

 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu. 2. Phương thức tấn công mật khẩu Password attack Phương pháp giảm thiểu tấn công password:  Giới han số lần login sai  Đặt password dài  Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa 3.Phương thức tấn công bằng Mail Relay Phương pháp giảm thiểu :  Giới hạn dung lương Mail box  Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP.  Sử dụng gateway SMTP riêng 4.Phương thức tấn công hệ thống DNS Phương pháp hạn chế:  Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS  Cài đặt hệ thống IDS Host cho hệ thống DNS  Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. 5.Phương thức tấn công Man-in-the-middle attack Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. 6.Phương thức tấn công để thăm dò mạng Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng. 7.Phương thức tấn công Trust exploitation

14

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng. 8.Phương thức tấn công Port redirection Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó. 9.Phương thức tấn công lớp ứng dụng Một số phương cách để hạn chế tấn công lớp ứng dụng:  Lưu lại log file, và thường xuên phân tích log file  Luôn cập nhật các patch cho OS và các ứng dụng  Dùng IDS, có 2 loại IDS: • HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó. • NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó. Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo. 10.Phương thức tấn Virus và Trojan Horse Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới.

15

CHƯƠNG II XÂY DỰNG MÔ HÌNH AN NINH MẠNG VÀ GIỚI THIỆU MỘT SỐ CÔNG NGHỆ BẢO MẬT
I. MÔ HÌNH AN NINH MẠNG Trong một hệ thống truyền thông ngày nay, các loại dữ liệu như các quyết định, chỉ thị, tài liệu,.. được lưu chuyển trên mạng với một lưu lượng lớn, khổng lồ và đa dạng. Trong quá trình dữ liệu đi từ người gửi đến người nhận, chúng ta quan tâm đến vấn đề sau: - Dữ liệu có bị sửa đổi không? - Dữ liệu có bị mạo danh không? Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức độ bảo vệ khác nhau trước các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin trên các kho dữ liệu được cài đặt trong các Server của mạng. Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng. 1. Quy trình xây dựng hệ thống thông tin an toàn 1.1. Đánh giá và lập kế hoạch - Có các khóa đào tạo trước triển khai để người trực tiếp thực hiện nắm vững các thông tin về an toàn thông tin. Sau quá trình đào tạo người trực tiếp tham gia công việc biết rõ làm thể nào để bảo vệ các tài nguyên thông tin của mình. - Đánh giá mức độ an toàn hệ thống về mọi bộ phận như các ứng dụng mạng, hệ thống, hệ điều hành, phần mềm ứng dụng, vv... Các đánh giá được thực hiện cả về mặt hệ thống mạng logic lẫn hệ thống vật lý. Mục tiêu là có cài nhìn tổng thể về an toàn của hệ thống của bạn, các điểm mạnh và điểm yếu. - Các cán bộ chủ chốt tham gia làm việc để đưa ra được chính xác thực trạng an toàn hệ thống hiện tại và các yêu cầu mới về mức độ an toàn. - Lập kế hoạch an toàn hệ thống. 1.2. Phân tích hệ thống và thiết kế

- Thiết kế hệ thống an toàn thông tin cho mạng. - Lựa chọn các công nghệ và tiêu chuẩn về an toàn sẽ áp dụng. - Xây dựng các tài liệu về chính sách an toàn cho hệ thống 1.3. Áp dụng vào thực tế - Thiết lập hệ thống an toàn thông tin trên mạng. - Cài đặt các phần mềm tăng cường khả năng an toàn như firewall, các bản chữa lỗi, chương trình quét và diệt virus, các phần mềm theo dõi và ngăn chặn truy nhập bất hợp pháp. - Thay đổi cấu hình các phần mềm hay hệ thống hiện sử dụng cho phù hợp. - Phổ biến các chính sách an toàn đến nhóm quản trị hệ thống và từng người sử dụng trong mạng, quy định để tất cả mọi người nắm rõ các chức năng và quyền hạn của mình. 1.4. Duy trì và bảo dưỡng - Đào tạo nhóm quản trị có thể nắm vững và quản lý được hệ thống. - Liên tục bổ sung các kiến thức về an toàn thông tin cho những người có trách nhiệm như nhóm quản trị, lãnh đạo... - Thay đổi các công nghệ an toàn để phù hợp với những yêu cầu mới. 2. Xây dựng mô hình an ninh mạng Hiện nay vai trò bảo đảm an ninh mạng rất được coi trọng, nhiều công nghệ và kỹ thuật mới được đề cập. Để bảo đảm an ninh mạng tốt, chúng ta phải lường trước hết mọi khả năng vi phạm có thể xảy ra. Có hai loại vi phạm thường xảy ra là thụ động và bị động. Vi phạm thụ động đôi khi do vô tình hoặc không cố ý, còn vi phạm chủ động có mục đích phá hoại rõ ràng và hậu quả khôn lường.

Hệ thống phát hiện xâm nhập (IDS/IPS) Fire wall – Tường lửa Physical protection – Bảo vệ vật lý Data encryption – Mã hóa dữ liệu Loggin password – Mã truy nhập Right access – Quyền truy cập

Database

Hình 2 – 1: Mô hình an ninh mạng 1. Lớp quyền truy cập – Right Acces. Nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn sử dụng tài nguyên đó. Việc kiểm soát càng chi tiết càng tốt 2. Lớp đăng nhập tên/mật khẩu Login Password.

Nhằm kiểm soát quyền truy cập ở mức hệ thống. Mỗi người sử dụng muốn vào được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu. Người quản trị mạng có trách nhiệm quả lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của người sử dụng khác tuỳ theo không gian và thời gian 3. Lớp mã hoá thông tin Data Encryption. Để bảo mật thông tin truyền trên mạng người ta còn sử dụng các phương pháp mã hoá thông tin trên đường truyền. Có hai phương pháp cơ bản: mã hoá đối xứng và bất đối xứng, người ta đã xây dựng nhiều phương pháp mã hoá khác nhau. 4. Lớp bảo vệ vật lý Physical Protection. Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, quy định chặt chẽ các chế độ khai thác và sử dụng mạng,... 5. Lớp bảo vệ bức tường lửa . Để bảo vệ từ xa một mạng máy tính hoặc cho cả một mạng nội bộ người ta dùng một hệ thống đặc biệt là bức tường lửa để ngăn chặn các thâm nhập trái phép, lọc bỏ các gói tin không cho gửi hoặc nhận từ trong ra ngoài hoặc ngược lại. II. MỘT SỐ PHƯƠNG PHÁP BẢO MẬT Có nhiều biện pháp và công cụ bảo mật hệ thống, ở đây xin liệt kê một số loại phổ biến, thường áp dụng 2.1 Phương pháp mã hoá Mã hoá là cơ chế chính cho việc bảo mật thông tin. Nó bảo vệ chắc chắn thông tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quá trình lưu trữ bằng mã hoá tập tin. Tuy nhiên người sử dụng phải có quyền truy cập vào tập tin này, hệ thống mã hoá sẽ không phân biệt giữa người sử dụng hợp pháp và bất hợp pháp nếu cả hai cùng sử dụng một key giống nhau. Do đó mã hoá chính nó sẽ không cung cấp bảo mật, chúng phải được điều khiển bởi key mã hoá và toàn bộ hệ thống.

Hình 2-2: Quy trình mã hóa Mã hoá nhằm đảm bảo các yêu cầu sau: - Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”. - Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình truyền. Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc người đưa tin. Các giải thuật mã hoá: 1. Giải thuật băm (Hashing Encryption) Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng (cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã. Kết quả của tiến trình hashing còn được gọi là một hash (xử lý băm), giá trị hash (hash value), hay thông điệp đã được mã hoá (message digest) và tất nhiên không thể tái tạo lại dạng ban đầu. Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thế nhưng độ dài của xử lý Hash lại là cố định. Hashing được sử dụng trong một số mô hình xác thực password. Một giá trị hash có thể được gắn với một thông điệp điện tử (electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợ xác định trách nhiệm không thể chối từ (non-repudiation).

Hình 2-3 Mô hình giải thuật băm Một số giải thuật băm - MD5 (Message Digest 5): giá trị băm 128 bit. - SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit.
2. Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)

Mã hoá đối xứng hay mã hoá chia sẻ khoá (shared-key encryption) là mô hình mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chung một khoá. Khoá này phải được chuyển giao bí mật giữa hai đối tượng tham gia giao tiếp. Có thể bẻ khoá bằng tấn công vét cạn (Brute Force).

Hình 2-4 Giải thuật mã hóa đồng bộ/đối xứng Cách thức mã hoá như sau: - Hai bên chia sẻ chung 1 khoá (được giữ bí mật). - Trước khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau. - Mỗi phía của thành phần liên lạc yêu cầu một khoá chia sẻ duy nhất, khoá này không chia sẻ với các liên lạc khác. Bảng dưới đây cho thấy chi tiết các phương pháp mã hóa đối xứng thông dụng. Các loại mã hóa Đặc tính Data Encryption Standard (DES) - Sử dụng một khối 64 bit hoặc một khóa 56 bit. - Có thể dễ dàng bị bẻ khóa.

Triple DES (3DES)

- Áp dụng DES 3 lần. - Sử dụng một khóa 168bit. - Bị thay thế bởi AES.

Advanced Encryption Standard - Sử dụng Rhine doll có khả năng đề (AES) kháng với tất cả tấn công đã biết.
- Dùng một khóa và khóa chiều dài có

thể thay đổi (128-192 hoặc 256 bit).
3. Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)

Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa công (public keys). Thông thường, một thông điệp được mã hóa với private key, và chắc chắn rằng key này là của người gửi thông điệp (message sender). Nó sẽ được giải mã với public key, bất cứ người nhận nào cũng có thể truy cập nếu họ có key này. Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải mã dữ liệu đã mã hóa với private key tương ứng. Và private key thì không bao giờ được chia sẻ với bất kỳ ai và do đó nó giữ được tính bảo mật, với dạng mã hóa này được ứng dụng trong chữ ký điện tử.

Hình 2-5 Giải thuật mã hóa không đồng bộ/không đối xứng Các giải thuật - RSA (Ron Rivest, Adi Shamir, and Leonard Adleman). - DSA (Digital Signature Standard). - Diffie-Hellman (W.Diffie and Dr.M.E.Hellman).

2.2 Chứng thực người dùng Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống. Các loại chứng thực như: 1. Username/password Là loại chứng thực phổ biến nhất và yếu nhất của chứng thực, username/password được giữ nguyên dạng chuyển đến Server.

Hình 2-6 Chứng thực bằng user và password - Tuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh cắp trong quá trình đến server.
- Giải pháp:

 Đặt mật khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tượng.  Thay đổi password: 01 tháng/lần.  Không nên đặt cùng password ở nhiều nơi. 2. CHAP (Challenge Hanshake Authentication Protocol) Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thử thách/hồi đáp. Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5. Hoạt động của CHAP như sau:  Xem xét việc cung cấp password cho ai.

Hình 2-7 Hoạt động của CHAP 3. Kerberos Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách (client-server) và đảm bảo nhận thực cho cả hai chiều. Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng của người sử dụng.). Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhận dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó.

Hình 2- 8 Mã hóa Kerberos
4. Chứng chỉ (Certificates)

Một Server (Certificates Authority - CA) tạo ra các certificates.

- Có thể là vật lý: smartcard - Có thể là logic: chữ ký điện tử Sử dụng public/private key (bất cứ dữ liệu nào được mã hóa bằng public key chỉ có thể giải mã bằng private key). Sử dụng “công ty thứ 3” để chứng thực. Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và mã hóa email. Nhược điểm: - Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém. - Smart cards làm tăng giá triển khai và bảo trì. - Dịch vụ CA tốn kém. 5. Sinh trắc học Có thể dùng các phương pháp sau: mống mắt/võng mạc, vân tay, giọng nói. Ưu điểm của phương pháp này rất chính xác, thời gian chứng thực nhanh, tuy nhiên giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sai lệch. 6. Kết hợp nhiều phương pháp (Multi-factor) Sử dụng nhiều hơn một phương pháp chứng thực như: mật khẩu/ PIN, smart card, sinh trắc học, phương pháp này nhằm tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau. - Ưu điểm: làm giảm sự phụ thuộc vào password, hệ thống chứng thực mạnh hơn và cung cấp khả năng cho Public Key Infrastructure (PKI). - Nhược điểm tăng chi phí triển khai, tăng chi phí duy trì, chi phí nâng cấp Các hệ thống phần cứng cơ bản:  Smart card: Card thông minh (Smart card) là thiết bị có kích thước giống như thẻ tín dụng bao gồm: 01 bộ vi xử lý và 01 bộ nhớ. Để đọc các thông tin từ Smart card cần 01 đầu đọc. Smart card có thể lu trữ một khoá riêng của từng người dùng cùng với bất kỳ ứng dụng nào được gài đặt nhằm đơn giản hoá quá trình xác thực, đặc biệt đối với người dùng di động. Hiện nay xuất hiện một số SC gồm một bộ đồng xử lý mã hoá và giải mã, khi đó việc mã và giải mã dễ dàng và

nhanh chóng. Các hệ thống chứng nhận điện tử đơn giản nhất yêu cầu người nhập vào số nhận diện cá nhân PIN để hoàn tất tiến trình xác thực. Trong rất nhiều hệ thống người ta kết hợp giữa PIN của SC và các thông tin về sinh trắc học của người dùng như vân tay. Để dùng hệ thống này người ta trang bị 1 máy quét vân tay, sau đó so sánh với dữ liệu được luư trên SC.  PC card: Là một bo mạch nhỏ được cắm vào slot mở rộng trên bo mạch chủ của máy tính. Các PC card kém linh hoạt hơn nhưng có bộ nhớ lớn hơn SC nên có thể luư trữ lượng thông tin xác thực lớn hơn. Thẻ bài được xây dựng dựa trên phần cứng riêng biệt dùng để hiển thị các mã nhận dạng (pascode) thay đổi mà người dùng phải nhập vào máy. Bộ xử lý bên trong thẻ bài luư giữ một tập các khoá mã bí mật được dùng để phát các mã nhận dạng một lần. Các mã này được chuyển đến một máy chủ bảo mật trên mạng, máy chủ này kiểm tra tính hợp lệ và chuyển quyền truy cập cho người dùng. Trước khi người dùng được xác thực, các thiết bị thẻ yêu cầu một PIN, sau đó sử dụng một trong ba cơ chế sau: 1. Cơ chế đáp ứng thách đố máy chủ bảo mật phát ra một con số ngẫu nhiên khi người dùng đăng nhập vào mạng. Một con số thách đố xuất hiện trên màn hình, người dùng nhập vào số các số trong thẻ bài. Thẻ bài mã hoá các con số thách đố này với mã khoá bí mật của nó và hiển thị lên màn hình LCD, sau đó ngời dùng nhập kết quả này vào máy tính. Trong khi đó, máy chủ mã hoá con số thách đố với cùng một khoá và nếu như hai kết quả này phù hợp thì người dùng sẽ được phép vào mạng. 2. Cơ chế đồng bộ thời gian Ở đây thẻ bài hiển thị một số được mã hoá với khoá bí mật mà khoá này thay đổi cứ 60 giây. Người dùng đợc nhắc cho con số khi cố gắng đăng nhập vào máy chủ. Bởi đồng hồ trên máy chủ và thẻ được đồng bộ, cho nên máy chủ có thể xác nhận ngời dùng bằng cách giải mã con số thẻ và so sánh kết quả. 3. Cơ chế đồng bộ sự kiện Ở đây, một bộ đếm ghi lại số lần vào mạng của ngời dùng. Sau mỗi lần vào mạng, bộ đếm đợc cập nhật và một mã nhận dạng khác đợc tạo ra cho lần đăng nhập kế tiếp.

2.3 Bảo mật máy trạm Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc. Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống. Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ. 2.4 Bảo mật truyền thông Tiêu biểu như bảo mật trên FTP, SSH..  Bảo mật truyền thông FTP

Hình 2-9 Bảo mật FTP FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép truyền dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được truyền dưới dạng clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấy mật khẩu trong quá trình chứng thực là rất cao, thêm vào đó user mặc định Anonymous không an toàn tạo điều kiện cho việc tấn công tràn bộ đệm. Biện pháp đặt ra là sử dụng giao thức S/FTP (S/FTP = FTP + SSL/TSL) có tính bảo mật vì những lí do sau:

- Sử dụng chứng thực RSA/DSA . - Sử dụng cổng TCP 990 cho điều khiển, cổng TCP 989 cho dữ liệu. - Tắt chức năng Anonymous nếu không sử dụng. - Sử dụng IDS để phát hiện tấn công tràn bộ đệm. - Sử dụng IPSec để mã hóa dữ liệu.  Bảo mật truyền thông SSH SSH là dạng mã hóa an toàn thay thế cho telnet, rlogin..hoạt động theo mô hình client/server và sử dụng kỹ thuật mã hóa public key để cung cấp phiên mã hóa, nó chỉ cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được mã hóa. Với telnet hay rlogin quá trình truyền username và password dưới dạng cleartext nên rất dễ bị nghe lén, bằng cách bắt đầu một phiên mã hóa. Khi máy client muốn kết nối phiên an toàn với một host, client phải bắt đầu kết nối bằng cách thiết lập yêu cầu tới một phiên SSH. Một khi server nhận dược yêu cầu từ client, hai bên thực hiện cơ chế three-way handshake trong đó bao gồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi giữa client và server, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key, client lúc này có thể bắt đầu một phiên an toàn 2.5 Bảo mật ứng dụng  Hệ thống thư điện tử Thư điện tử hay email là một hệ thống chuyển nhận thư từ qua các mạng máy tính, là một phương tiện thông tin rất nhanh. Một mẫu thông tin (thư từ) có thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua các mạng máy tính đặc biệt là mạng Internet. Nó có thể chuyển mẫu thông tin từ một máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc. Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thể truyền được các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệt các phần mềm thư điện tử kiểu mới còn có thể hiển thị các email dạng sống động tương thích với kiểu tệp HTML. - Gửi: giao thức SMTP (TCP 25) - Nhận: giao thức POP3/IMAP (TCP 110/143)

Hình 2-10 Thư điện tử Lợi ích của thư điện tử như tốc độ di chuyển cao, chi phí rẻ và tiện lợi. Tuy nhiên có những vấn đề về bảo mật, spam mail, sự lây lan của virus, trojan..  Bảo vệ hệ thống email  Sử dụng S/MIME nếu có thể
 Cấu hình Mail Server tốt, không bị open relay

 Ngăn chặn Spam trên Mail Server  Cảnh giác với email lạ Bảo mật ứng dụng Web - Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin giữa Client và Server, hoạt động tầng Transport, sử dụng mã hóa không đối xứng và MD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client và Server và TSL bảo mật tốt hơn. Vấn đề đặt ra là trong quá trình chứng thực cả Client và Server đều phải cần triển khai PKI, ảnh hưởng đến Performance, việc triển khai tiềm tàng một số vấn đề: phương thức triển khai, cấu hình hệ thống, lựa chọn phần mềm. - Web Client: Trong mô hình client/server, máy client là một máy trạm mà chỉ được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho nó. Các điểm yếu của Client như JavaScript, ActiveX, Cookies, Applets. - Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tài nguyên của hệ thống. Vai trò của server như là một nhà cung cấp dịch vụ cho các clients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn, truyền file, hệ thống... Các lỗi thường xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/ Server Script và HTTP, HTTPS

2.6 Thống kê tài nguyên

Hình 2-11 Thống kê tài nguyên bằng Monitoring Là khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm:
 Logging: Ghi lại các hoạt động phục vụ cho việc thống kê các sự kiện

trên mạng. Ví dụ muốn kiểm soát xem những ai đã truy cập file server, trong thời điểm nào, làm gì (Event Viewer).
 Scanning: Quét hệ thống để kiểm soát những dịch vụ gì đang chạy

trên mạng, phân tích các nguy cơ của hệ thống mạng. Ví dụ Task manager.
 Monitoring: Phân tích logfile để kiểm tra các tài nguyên mạng được

sử dụng như thế nào. Ví dụ các syslog server. III. MỘT SỐ CÔNG NGHỆ BẢO MẬT 1. Bảo mật bằng VPN (Virtual Private Network) Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa thích. VPN cho phép kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của bộ, công ty và đối tác của bộ đang sử dụng chung một mạng công cộng Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm cho phép những giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong IP. . VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận này thường được định ra trong một giới hạn trên cho phép độ trễ trung bình của gói trên mạng VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS  Sau đây là các ưu điểm của VPN:

- Giảm chi phí thường xuyên: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền - Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. - Giảm chi phí quản lý và hỗ trợ: với qui mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị so với việc tự quản lý mạng. - Truy cập mọi lúc mọi nơi: Phân cấp VPN Các VPN truy cập từ xa (Remote Access VPN): các VPN này cung cấp truy cập tin cậy cho những người dùng ở xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của một đơn vị.

NAS y AAA

ISP

Telco /Internet /ISP

VPDN

y AAA

Hình 2-12 Phân cấp VPN

L2 2TP F/L

- Các VPN nội bộ (Intranet VPN): cho phép các văn phòng chi nhánh được liên kết một cách bảo mật đến trụ sở chính của đơn vị. - Các VPN mở rộng (Extranet VPN): cho phép các người dùng, các nhà quản lý và các đối tác có thể truy cập một cách bảo mật đến mạng Intranet của đơn vị. Cấu trúc VPN Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộng bằng cách sử dụng dịch vụ bảo mật, bao gồm việc định đường hầm (tunneling) và các biện pháp mã hóa dữ liệu.  Các loại mạng VPN Có hai cách chủ yếu sử dụng các VPN. Các VPN có thể kết nối hai mạng với nhau, điều này được biết đến như một mạng kết nối LAN-LAN VPN hay một mạng site-nối-site VPN. Thứ 2, một VPN truy cập từ xa có thể kết nối một người dùng từ xa với mạng. Các khối trong mạng VPN Có 4 thành phần chính của mạng Internet VPN đó là Internet, cổng nối bảo mật, máy chủ chính sách bảo mật (security policy server) và cấp quyền CA (certificate authority) (hình 2-13)
y ch nh om t y ch nh om t

Internet
C ng n i om t C ng n i om t

ng LAN đ ov

c

Di đ ng Client C p quy n CA

Hình 2-13 Bảo mật bằng VPN 2. Tường lửa (Firewall)

Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập. Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống.

Hình 2 - 14 Mô hình tổng quát firewall Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin..  Các thành phần của Firewall và cơ chế hoạt động Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: - Bộ lọc packet ( packet-filtering router ) - Cổng ứng dụng (application-level gateway hay proxy server ) - Cổng mạch (circuite level gateway)

- Bộ lọc gói tin (Packet filtering router)  Nguyên lý Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: - Địa chỉ IP nơi xuất phát ( IP Source address) - Địa chỉ IP nơi nhận (IP Destination address) - Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) - Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) - Cổng TCP/UDP nơi nhận (TCP/UDP destination port) - Dạng thông báo ICMP ( ICMP message type) - Giao diện packet đến ( incomming interface of packet) - Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.  Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.  Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. 3. Bảo mật bằng IDS/IPS (Hệ thống Phát hiện/ Ngăn chặn xâm nhập) IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn, nó tương tự như một hệ thống chuông báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được firewall. Có hai dạng chính đó là network based và host based

Hình 2 -15 Hệ thống chống xâm nhập IDS IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Một số IDS so sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi

tấn công đã biết trước hay chữ ký. Khi mà lưu lượng mạng được xem xét cho là phù hợp với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signature-based IDS. Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét các tình huống mà không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS này gọi là anomaly-based IDS. Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập từ các máy chủ nghi ngờ. Cách tiếp cận phản ứng này không ngăn chặn lưu lượng cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS (the intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn, có thể chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu.
 Hệ thống phát hiện xâm nhập mềm(Snort)

Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo nhất.Snort có thể chạy trên các hê điều hành như window,linux.
 Hệ thống phát hiện xâm nhập cứng(cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền tảng cảm biến sau đây: - Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiên tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năng bảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống tiên tiến-x dịch vụ, được xác định như chống virus và spyware. Cisco ASA AIP SSM sản phẩm bao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun. - Cisco IPS 4.200 loạt các cảm biến: Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn bằng cách giúp phát hiện, phân loại, và ngăn chặn các

mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác. Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có nguy cơ giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả năng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục hồi, và vv. - Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): 6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS. Nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ sở hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được các giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ cao của bảo vệ. thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạt động tốn kém cho việc phát hiện xâm nhập. - Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các giải pháp IPS; Cisco IPS AIM cho Cisco 1841 Integrated Services Router và Cisco 2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừa kinh doanh( small and medium-sized business (SMB) ) và các môi trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy trên Cisco IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đáp ứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh. Cisco IPS AIM có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạng WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là chạy trên dành riêng cho CPU của nó, vì thế không chiếm CPU của router. Đồng thời, sự tích hợp của IPS lên một Integrated Services Router Cisco giữ chi phí thấp và giải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ.
 So sánh giữa IPS và IDS

Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu

hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đến tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu kẻ tấn công (Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.

CHƯƠNG III HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP (IDS/IPS)
I. SỰ CẦN THIẾT CỦA IDS/IPS 1. Sự cần thiết của IDS/IPS Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao vì thế cần thiết phải có một thiết bị phát hiện và ngăn chặn các cố gắng xâm nhập vào hệ thống.

Hình 3-1: Firewall bảo vệ hệ thống Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống. Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng có những điểm yếu sau:  Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và không thể chống lại sự đe dọa từ trong hệ thống.
 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này

có thể cho phép việc thăm dò điểm yếu.  Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.  Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall.  Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống.  Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.

Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa công khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối, sự tin cậy và toàn vẹn dữ liệu.

Hình 3-2: Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng. PKI có vai trò như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng. PKI cho phép ứng dụng ngăn cản các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:  Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng chỉ không đồng nhất.  Có quá ít ứng dụng có sử dụng chứng chỉ. Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”. 2. Lợi ích của IDS/IPS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó. Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng. C.Sự khác nhau giữa IDS và IPS 1. IDS (Intrusion Detection System ) Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn. 2. IPS (phát hiện và ngăn chặn xâm nhập ) IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ

thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo. II. HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 1. Giới thiệu về IDS Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển
1.1 Khái niệm “Phát hiện xâm nhập”

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. Như đã đề cập ở trên, hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập.  Network IDS hoặc NIDS Là các hệ thống phát hiện tấn công, nó có thể bắt giữ các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín hiệu.  Host IDS hoặc HIDS

Được cài đặt như là một tác nhân trên máy chủ. Những hệ thống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống để phát hiện những hành động xâm nhập.  Signature Là những phần mà ta có thể thấy được trong một gói dữ liệu. Nó được sử dụng để phát hiện ra một hoặc nhiều kiểu tấn công. Signature có thể có mặt trong các phần khác nhau của một gói dữ liệu. Ví dụ ta có thể tìm thấy các tín hiệu trong header IP, header của tầng giao vận (TCP, UDP header) hoặc header tầng ứng dụng. Thông thường, IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập. Các nhà cung cấp IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra.  Alert Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp. Khi IDS phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị bảo mật bằng alert. Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều cách khác. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảo mật có thể xem lại.  Log o Thông thường, những thông tin mà IDS thu được sẽ lưu lại trong file. Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân. Tốc độ lưu lại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text.  False Alarm Là những thông báo đúng về một dấu giống dấu hiệu xâm nhập nhưng hành động .  Sensor Là những thiết bị mà hệ thống phát hiện xâm nhập chạy trên nó bởi vì nó được sử dụng như các giác quan trên mạng. Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu sắc, áp xuất... thì sensor ở đây sẽ bắt các tín hiệu có dấu hiệu của xâm nhập bất hợp pháp. Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. Ta có thể đặt ở một hoặc nhiều nơi, nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external hoặc cả 2). Ví dụ, nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có một router kết nối với internet thì nơi thích hợp nhất là

đặt phía sau thiết bị router (hay firewall). Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi điểm kết nối với Internet. Ta có thể hình dung qua hình vẽ sau:

Hình 3-3: Hệ thống phát hiện xâm nhập
1.2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)

là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thông bất thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng. - IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó. Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

 Tính chính xác (Accuracy): IDS không được coi những hành động thông

thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive).  Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo [Ranum, 2000] là dưới 1 phút).
 Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái

phép nào (xâm nhập không bị phát hiện được gọi là false negative). Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương lai.  Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công.  Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.
1.3 Phân biệt những hệ thống không phải là IDS

Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát hiện xâm nhập, không phải mọi thứ đều được qui vào mục này. Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật). • Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus, trojan horse, worm,...Mặc dù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. • Tường lửa – firewall • Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,..

2. Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: - Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. - Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. - Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp. - Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa… Nói tóm lại ta có thể tóm tắt IDS như sau: Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ  Giám sát: lưu lượng mạng và các hoạt động khả nghi.  Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.  Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.  Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài. Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.

Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:  Ngăn chặn sự gia tăng của những tấn công  Bổ sung những điểm yếu mà các hệ thống khác chưa làm được  Đánh giá chất lượng của việc thiết kế hệ thống Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng. 3. Phân loại IDS Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.  Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công.  Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.  Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau: Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.  Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công.  Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên. 1.Network Base IDS (NIDS)

Hình 3-4: NIDS Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.  Lợi thế của Network-Based IDSs: - Quản lý được cả một network segment (gồm nhiều host) - "Trong suốt" với người sử dụng lẫn kẻ tấn công - Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới một host nào đó. - Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) - Độc lập với OS  Hạn chế của Network-Based IDSs:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion. - Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…) - NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn - Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. - Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. 2. Host Based IDS (HIDS)

Hình 3-5: HIDS Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.

HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all):  Các tiến trình.  Các entry của Registry.  Mức độ sử dụng CPU.  Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.  Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.  Lợi thế của HIDS:  Có khả năng xác đinh user liên quan tới một event.  HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này.  Có thể phân tích các dữ liệu mã hoá.  Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.  Hạn chế của HIDS:  Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.  Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".  HIDS phải được thiết lập trên từng host cần giám sát .  HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).  HIDS cần tài nguyên trên host để hoạt động.  HIDS có thể không hiệu quả khi bị DOS.  Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. 3. DIDS DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. Mỗi sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server để xử lý. DIDS có khả năng xử lý tập trung, giúp cho người quản trị có khả năng theo dõi toàn bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung tâm ISC (Internet Storm Center) của viện SANS.

Hình 3-6: DIDS 4. So sánh HOST-BASED IDS và NETWORK-BASED IDS Network-based IDS thường sử dụng phương pháp phát hiện là anomalybased và phân tích dữ liệu trong thời gian thực. Network-based IDS không có tác động tới mạng hay host, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch. Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misusebased và anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của networkbased IDS và trên môi trường chuyển mạch. Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động.

Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công. Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ở mạng có mã hóa. Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng.

Hình 3-7: Một ví dụ sử dụng kết hợp NIDS và HIDS. Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép.

Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một hacker muốn xâm nhập vào hệ thống. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và không thể phục vụ được). Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông tin credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và network-based IDS có thể phát hiện được tất cả các kiểu tấn công trên. 4. Kiến trúc của IDS Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống. Một hệ thống IDS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau: 4.1 Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).

prevention Simulation Intrustion Monitoring Analysis Intruction detection Notification Respose

IDS Tasks

Monitoring

Notification

Protected system Response

Additional IDS Infas tructure

Sessions

Hình 3-8: Nhiệm vụ IDS Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức (Hình 2.3.1b). Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện

các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail. 4.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Hình 3-9: Kiến trúc IDS Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin(Dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.

Hình 3-10: Kiến trúc IDS Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.

Hình 3-11: Kiến trúc IDS Ngoài ra còn có 1 số điểm chú ý sau: - Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp. - Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát , kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm.

+Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát, kiểm tra báo cáo. 5. Phương thức phát hiện 1. Misuse – based system Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based. Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. Match ?
Audit Data Knowledge Base Attack

Hình 3-12: Knowledge – based IDS Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh báo. Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo, và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau:  Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.

 Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.  Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó. Ví dụ quen thuộc về signature-based là Snort, EMERALD và nhiều sản phẩm thương mại khác. Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai, chúng có sự khác biệt cơ bản về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập trái phép).
 Stateless IDS coi các sự kiện là độc lập với nhau, khi việc xử lý sự kiện

hiện tại đã hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. Phương pháp tiếp cận này đã đơn giản hóa việc thiết kế hệ thống, đặc biệt là A–box, vì nó không cần phải lưu trữ và bảo quản thông tin về các hành động trước đây. Hệ stateless thường có hiệu năng cao đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó với cơ sở dữ liệu, không cần phải xử lý thêm gì nữa. Tuy nhiên, hệ stateless cũng có nhiều giới hạn. Trước tiên là nó không có khả năng phát hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau, vì hệ này chỉ xử lý từng hành động một và không lưu chúng lại. Còn nếu ta đưa dấu hiệu về các hành động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi, thì có thể tạo ra số lượng lớn các cảnh báo nhầm, vì hành động đó có thể là một hành động thông thường, phải nằm trong chuỗi các hành động khác mới có khả năng xâm nhập. Điều này ngược với lợi thế chính của hệ misuse–based IDS. Hơn nữa, hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng cảnh báo lớn. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra chuỗi các sự kiện được mô tả là có ý đồ xấu, gây nên “alert storm” làm tê liệt IDS và che dấu ý đồ tấn công thực.
 Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ. Vì thế, tác

động của các sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. Trong khi kiểu tiếp cận này làm tăng độ phức tạp cho hệ thống, đặc biệt là A–box, nó cho thấy lợi thế rõ rệt. Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước, hơn nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một kiểu tấn công sẽ khó khăn hơn. Tuy nhiên, hệ thống này dễ bị tấn công bằng kiểu tấn công trạng thái, khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn, làm giảm hiệu năng của hệ thống.

Hình 3-13: Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái (state transition), trong đó state là trạng thái tạm thời của hệ thống, thể hiện giá trị vùng nhớ của hệ. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an toàn ban đầu sang trạng thái có hại cuối cùng, thông qua các trạng thái trung gian. Kỹ thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. IDS sẽ tìm kiếm sự biến đổi đó, vì thế hệ này thuộc dạng stateful. Mô hình chuyển đổi trạng thái này có khả năng diễn tả rất tốt các dạng tấn công, kể cả việc mô tả bằng đồ họa. Trong thực tế, các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình chuyển đổi trạng thái. Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo, vì toàn bộ chuỗi hành động gây cảnh báo có thể được cung cấp. Hơn nữa, nó cho phép triển khai phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng, điều này hiệu quả hơn là chỉ phát hiện ra cuộc tấn công. Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc. 2. Anomaly – based system Anomaly–based system dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho).

Statistically Anomalous ?
Audit Data System Profile Attack

Hình 3-14: Anomaly-based IDS Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó. Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện. Vì thế ta có những nghiên cứu về các hệ anomaly – based IDS chuyên sâu và có thể ứng dụng được vào việc phát hiện xâm nhập trái phép trong hệ IDS. 6. Phân loại các dấu hiệu 6.1 Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện dị thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản. 6.2 Các mẫu hành vi thông thường- phát hiện bất thường

Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ thống. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể. Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học” trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này, nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường. Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. Ngoài ra, còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống, một nhiệm vụ khó khăn và tốn thời gian. Cho một tập các profile hành vi thông thường, mọi thứ không hợp với profile được lưu sẽ được coi như là một hoạt động nghi ngờ. Do đó, các hệ thống này được đặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là mới có trong hệ thống), tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về một số vấn đề.
 Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát

hiện các tấn công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả năng phát hiện sự lạm dụng quyền của người dùng.
 Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai

nhiều. Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào tạo. Do đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không hợp lý. Các hành vi người dùng có thể thay đổi theo thời gian, do đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông thường.Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực). 6.3 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao).

Các dấu hiệu hành vi xấu được chia thành hai loại:  Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật. Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.  Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ. Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. Do đó, độ chính xác của chúng rất cao (số báo cảnh sai thấp). Tuy nhiên chúng không thực hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới. Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:  Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP, TCP, UDP hoặc ICMP. Với kiểm tra đơn giản về tập các cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ, gói nào không. Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. Tương tự, một số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ. Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS.  Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập. Để phát hiện có hiệu quả các tấn công như vậy, IDS phải được bổ sung nhiều giao thức lớp ứng dụng. Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai thấp, thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công, dễ dàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu. Một số nhược điểm:  Khó khăn trong việc nâng cấp các kiểu tấn công mới.  Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. Phải nâng cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó.  Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các lỗ hổng bảo mật, đó là một quá trình tốn kém thời gian.

 Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDS dựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc nghiêm ngặt của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sử dụng…)  Chúng dường như khó quản lý các tấn công bên trong. Điển hình, sự lạm dụng quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công).  Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai lý do. Trước tiên, nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn công đã biết và để gán tên đối với một tấn công. Thứ hai, cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện). 6.4 Tương quan các mẫu tham số Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháp trước. Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi. Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. Nó có thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. Sự khác nhau ở đây nằm ở chỗ trong thực tế, một profile là một phần hiểu biết của con người. Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công không biết. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối với chính hoạt động đó. Nó kế thừa những nhược điểm trong thực tế là con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa là các tấn công nào đó có thể vượt qua mà không bị phát hiện. 7. Cách phát hiện các kiểu tấn công của IDS 1. Denial of Service attack (Tấn công từ chối dịch vụ) Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến full-blown packet storm, Denial of service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng.

 Network flooding bao gồm SYN flood, Ping flood hay multi echo request, …  Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước.  Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web,… Ví dụ như một email rất dài hay một số lượng lớn email, hay một số lượng lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng đó. Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin. 2. Scanning và Probe (Quét và thăm dò) Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng chúng có thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon. Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập. Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp này để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại. Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng.

Hình 3-15: Chính sách bảo mật theo chiều sâu 3. Password attack (Tấn công vào mật mã) Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị. Hiện nay, Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm lại mật mã, hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm…  Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0), gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngoài ra không thể không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm, dùng vũ lực ép buộc,…

 Dự đoán và bẻ khóa ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa từ các từ trong từ điển, ta có một số công cụ như LOPHT Crack, pwldump,… Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã. 4. Privilege-grabbing (Chiếm đặc quyền) Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là “Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:  Đoán hay bẻ khóa của root hay administrator  Gây tràn bộ đệm  Khai thác Windows NT registry  Truy nhập và khai thác console đặc quyền  Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng. Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ. Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS có thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảy ra.

Hình 3-16: Sensor IDS nhận dữ liệu về cuộc tấn công 5. Hostile code insertion (Cài đặt mã nguy hiểm) Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:  Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống, file của ứng dụng hay dữ liệu. Virus thường được xác định nhờ vào những hành động có hại của chúng, có thể được kích hoạt dựa trên sự kiện, ngày,…  Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, thường có hại, nhưng không có mục đích nhân bản. Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống.
 Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một

chương trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống trong tương lai (như “msgina.dll” trên Windows NT).  Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có vẻ như thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như tải file lên web site của kẻ tấn công. Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp

hiệu quả nhất để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết hợp với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor. Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục đích kiểm tra tính toàn vẹn. 6. Cyber vandalism (Hành động phá hoại trên máy móc) Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa. Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang web nằm trên đó. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web, Host-based IDS còn có thể thực hiện các hành động đối phó, là những hành động được Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trang web. 7. Proprietary data theft (Ăn trộm dữ liệu quan trọng) Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra ngay trong tổ chức đó, số các cuộc tấn công từ bên ngoài đã liên tục tăng trong một vài năm qua. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Giải pháp của IDS: Mô hình Host-based IDS thực hiện việc quản lý các dữ liệu quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp IDS có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi biên bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp đó, Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Còn Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan trọng và xác định việc truyền thông có chứa key word. Trong một số trường hợp rất khó có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDS trên host đó có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền thông.

8. Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng) Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh tế trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà băng, và thao túng chương trình kiểm tra viết (check writing). Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho các công việc đi ngược lại với mục đích của tổ chức. Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các URL, tuy nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể hoạt động hiệu quả hơn, có thể duy trì một danh sách URL động và chính sách lạm dụng dựa trên USERID. Host-based IDS có thể thực thi một chính sách do công ty đặt ra, các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua host-based IDS cũng như network-based IDS. Bất cứ thay đổi có thể ngay lâp tức được ghi trong biên bản hệ thống, agent có thể dễ dàng theo dõi các hành động đó.

HIDS rất có hiệu quả đối với Internal threat 9. Audit trail tampering (Can thiệp vào biên bản) Như đã nói đến ở trên, hầu hết các thông tin tạo nên từ các hành động của người dùng được ghi trong các audit trail riêng của hệ thống của doanh nghiệp. Can thiệp vào biên bản là cách được ưa thích để loại bỏ hay che dấu vết. Dưới đây là các phương thức hacker thường dùng để tấn công vào audit trail và che dấu vết:  Audit Deletion : xóa biên bản, khi đã vào được hệ thống.

 Deactivation : ngừng tiến trình ghi sự kiện lên audit trail.  Modification : sửa sự kiện mà nó ghi nhận được trước khi thoát khỏi hệ thống.  Flooding : tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn công. Giải pháp của IDS: Host-based IDS agent có thể quản lý việc can thiệp vào biên bản (xóa, ngừng hay sửa đổi) và thực hiện các hành động phù hợp. Networkbased IDS có thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi. 10. Security infrastructure attack (Tấn công hạ tầng bảo mật) Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng. Cuộc tấn công tạo ra thay đổi bằng cách truy nhập trái phép tới chức năng quản trị, tìm console quản trị không được chú ý, hay tác động lên người quản trị để thực hiện hành động nào đó. Trong các trường hợp đó rất khó có thể phân biệt giữa một hành động tấn công và một hành động của người quản trị mạng. Giải pháp của IDS: Các hành động quản trị mạng thường là đăng nhập vào audit trail trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX. Host-based IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi. Còn network-based IDS có thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng. III. HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 1. Định nghĩa IPS Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng. Hệ thống

IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng. 2. Chức năng của IPS Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Một IPS hoạt động giống như một người bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các uỷ nhiệm và tập quy tắc nội quy nào đó. Các giải pháp IPS “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo, không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với: - Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists). - Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao. - Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh. - Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng. - Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. – qua việc sử dụng những quy tắc giao thức ứng dụng và chữ ký. - Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng. Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra đều được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong

các giao thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định. 3. Kiến trúc chung của các hệ thống IPS Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng. 3.1 Module phân tích luồng dữ liệu Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này được chuyển đến modul phát hiện tấn công. 3.2 Modul phát hiện tấn công Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò sự không bình thường. Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới. Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường

của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây: - Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu hiệu bị tấn công. - Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. - Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin tặc. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn. 3.3 Modul phản ứng Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống

phòng thủ bị động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn: - Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này. - Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ. - Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị. - Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng. - Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động. 4. Phân loại hệ thống IPS Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng. 4.1 IPS ngoài luồng(Promiscuous Mode IPS) Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng. 4.2 IPS trong luồng (In-line IPS)

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông (traffic-blocking). Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng(Promiscuous Mode IPS). Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn. Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực. Tốc độ họat động của hệ thống là một yếu tố rất quan trọng. Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn công đã được thực hiện xong và hệ thống IPS là vô nghĩa. 5. Công cụ hỗ trợ IPS(Giống của IDS) 6. Các kỹ thuật xử lý IPS Mục đích IPS là để phát hiện và ngăn chặn kẻ tấn công xâm nhập trái phép vào hệ thống. Không phải môt IPS có thể phát hiện và ngăn chặn được tất cả các kiểu tấn công mà chỉ có những kiểu tấn công được định nghĩa sẵn,và các kỹ thuật được áp dụng trong hệ thống phát hiện xâm nhập là: • Anomaly detection(Phát hiện sự bất thường) • Misuse detection (Kiểm tra lạm phát) • Policy-Based detection(Kiểm tra các chính sách ) • Protocol analysis (Phân tích giao thức) 1. Anomaly detection Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước . Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiện những chức năng công việc chung. Một cách điển hình , những nhóm sử

dụng nên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử dụng. Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web server của mình cũng như không muốn lưu lượng SSH đến với mail server của bạn . Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên mạng của bạn. Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người dùng và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile của chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm người dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc và những mạng neural. Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.  Lợi ích của việc dùng Anomaly-Based IPS: - Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công. - Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi khi mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh báo . - File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại hệ IPS. - Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo. - Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account). Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ

gây ra một cảnh báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình thường. - Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường. - Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.

Hạn chế của việc dùng Anomaly-Based IPS - Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc sáng tạo những profile nhóm người dùng , cũng như chất lượng của những profile này . - Thời gian chuẩn bị ban đầu cao. - Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu. - Thường xuyên cập nhật profile khi thói quen người dùng thay đổi. - Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự tốt được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những hoạt động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công việc của người dùng hay những trách nhiệm thay đổi thường xuyên. Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false positive bởi vì chúng thường tìm những điều khác thường. Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường là sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những phương cách nhằm tạo profile mà thật khó hiểu và giải thích. 2. Misuse detection Phát hiện sự lạm dụng( Misuse detection), cũng được biết như signaturebased detection, giống như hoạt động xâm phạm mà tranh giành những signature đặc biệt. Những signature này được dựa trên một sự thiết lập những qui luật mà giành những mẫu tiêu biểu và khai thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự truy cập vào mạng. Những kỉ sư mạng khéo léo cấp cao

nghiên cứu cách nhận biết tấn công và những chỗ yếu nhằm phát triển những qui luật cho mỗi signature. Việc xây dựng những signature rành mạch làm giảm những cơ hội của false possitive trong khi làm nhỏ cơ hội của false negative. Một misuse-detectionbased IDS cấu hình hoàn chỉnh tạo ra mức thấp nhất false negative. Nếu một misuse-based IDS liên tục tạo ra những false positive , sự ảnh hưởng toàn diện của nó sẽ được giảm. Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về tấn công (attacks), những mối nguy hại và phải biết phát triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công. Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads. Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong một ngữ cảnh nào đó. Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu . Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ. Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng . Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.  Lợi ích của việc dùng Signature-Based IPS - Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn

công là rất cao. Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng. - Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệukhông phải những mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường . File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiệu cảnh báo. Người quản trị bảo mật có thể có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào không. - Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.  Những hạn chế của Signature-Based IPS Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead. Đây là những hạn chế: - Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện. Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative).

Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời gian cũng như khó khăn. - Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn. 3. Policy-Based IPS Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.

Lợi ích của việc dùng Policy-Based IPS - Có thể áp policy cho từng thiết bị một trong hệ thống mạng. - Một trong những tính năng quan trọng của Policy-Based là xác thực và phản ứng nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi vì người quản trị hệ thống đưa các security policy tới IPS một cách chính xác .Hạn chế của việc dùng Policy-Based IPS. - Khi đó công việc của người quản trị cực kỳ là vất vả. - Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình. - Khó khăn khi quản trị từ xa. 4. Protocol Analysis-Based IPS. Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức. - Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không hợp pháp. - Kiểm tra nội dung trong Payload (pattern matching). - Thực hiện những cảnh cáo không bình thường.

7. Chữ ký và các kỹ thuật xử lý Chữ ký là một tập các quy tắc mà một IDS và một IPS sử dụng để phát hiện điển hình hoạt động xâm nhập, như các cuộc tấn công DoS. Có thể dễ dàng cài đặt chữ ký bằng cách sử dụng phần mềm quản lý IDS và IPS như Cisco IDM,SDM và có thể dễ dàng chỉnh sữa hoặc có thể tạo mới. Giống như bộ cảm biến quét các packet, IOS IPS sử dụng chữ ký để phát hiện các cuộc tấn công đã biết và phản ứng với hành động được xác định trước. Một luồng gói độc hại có một loại cụ thể của hoạt động và chữ ký, và một bộ cảm biến IDS hoặc IPS kiểm tra dữ liệu lưu lượng sử dụng chữ ký khác nhau. Khi một IDS hoặc IPS cảm biến phù hợp với một chữ ký với lưu lượng dữ liệu, cảm biến sẽ hành động, chẳng hạn như sự kiện đăng nhập hoặc gửi báo động để IDS hoặc phần mềm quản lý IPS, chẳng hạn như SDM của Cisco. Chữ kí dựa trên phát hiện xâm nhập có thể đưa ra một cảnh báo sai bởi vì một số mạng lưới hoạt động bình thường có thể được hiểu sai như hoạt động độc hại. Ví dụ, một số ứng dụng mạng hoặc hệ điều hành có thể gửi nhiều thông điệp Internet Control Message Protocol (ICMP) , có một chữ ký trên cơ sở phát hiện hệ thống có thể giải thích như một nỗ lực của kẻ tấn công để vẽ ra một phân đoạn mạng. Có thể giảm thiểu tích cực điều chỉnh sai bởi cảm biến của hệ thống bằng cách điều chỉnh thông số qui định được xây dựng trong chữ ký (điều chỉnh chữ ký) bằng cách điều chỉnh các thông số chữ ký cho đúng theo như hoạt động của hệ thống. 1. Chữ ký Micro-Engines Một chữ ký Micro-Engines là một thành phần của một IDS và IPS cảm biến có hỗ trợ một nhóm các chữ ký dược phổ biến trong danh sách công cộng. Mỗi động cơ(engine) là tùy chỉnh cho các giao thức và lĩnh vực mà nó được thiết kế để kiểm tra và xác định một tập hợp các thông số quy phạm pháp luật có phạm vi cho phép hoặc tập hợp các giá trị. Chữ ký Micro-Engines tìm kiếm các hoạt động độc hại trong một giao thức cụ thể. Chữ ký có thể được định nghĩa cho bất kỳ chữ ký Micro-Engines sử dụng các thông số được cung cấp bởi động cơ vi sinh hỗ trợ. Các gói dữ liệu được quét bởi Micro-Engines có thể hiểu được giao thức chứa trong gói. Cisco signature micro-engines thực hiện song song các công cụ quét. Tất cả các chữ ký trong một chữ ký cho Micro-Engines được quét song song, chứ không phải là chuỗi. Mỗi chữ ký Micro-Engines chiết xuất từ các giá trị gói và vượt qua các phần của gói cho công cụ và không gian . Một kỷ thuật xử lý biểu

hiên thường xuyên được quét song song, điều này làm tăng hiệu quả và kết quả truong việc thương lương cao hơn. Khi IDS (chế độ promiscuous) hoặc IPS (inline mode) được kích hoạt, một chữ ký vi động cơ (signature micro-engine)được nạp (hoặc xây dựng) trên với router. Khi một chữ ký vi công cụ được xây dựng, router có thể cần phải biên dịch biểu thức thông thường được tìm thấy trong một chữ ký. Biên dịch biều hiện thường xuyên đòi hỏi bộ nhớ nhiều hơn dung lượng cuối cùng của biều hiện thường xuyên. Hãy chắc chắn để xác định các yêu cầu bộ nhớ cuối cùng của chữ ký đã hoàn thành việc sáp nhập trước khi tải và kết hợp chữ ký. Chú ý: - Một biểu hiện thường xuyên là một cách có hệ thống để xác định một tìm kiếm một kiểu mẫu trong một loạt các byte. Ví dụ: một biểu hiện thường xuyên được sử dụng để ngăn chặn có chứa dữ liệu . Exe hay com hay bat. Thông qua bức tường lửa có thể. Giống như thế này: * ".* \. ([Ee] [Xx] [Ee] | [Cc] [Oo] [Mm] | [Bb] [Aa] [Tt])". Chú ý - Đối với danh sách hiện đang được hỗ trợ chữ ký vi động cơ, hãy tham khảo danh sách "của Công cụ hỗ trợ Chữ ký" trên trang chủ của cisco. Tóm tắt các loại động cơ chữ ký có sẵn trong Cisco IOS Release: Signature Engine Atomic Service String Chữ ký sử dụng biểu thức thông thường dựa trên các mẫu để phát hiện xâm nhập. Multi-string Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ xu hướng chữ ký Other Kỹ thuật bên trong để xử lý chữ ký linh tinh Description Chữ ký này thì kiểm tra các gói đơn giản, chẳng hạn như ICMP và UDP Chữ ký này là kiểm tra nhiều dịch vụ đang bị tấn công

Bảng: Mô tả chi tiết Signature Engine ATOMIC.IP ATOMIC.ICMP ATOMIC.IPOPTIONS ATOMIC.UDP Cung cấp các gói UDP đơn giản báo động dựa trên các thông số: cổng, phương diện,và chiều dài dữ liệu ATOMIC.TCP Cung cấp các gói tin TCP báo động đơn giản, dựa trên các thông số: cổng, điểm đến, và cờ SERVICE.DNS SERVICE.RPC SERVICE.SMTP SERVICE.HTTP Cung cấp các giao thức HTTP giải mã cơ bản dựa trên chuỗi động cơ; bao gồm anti-evasive URL deobfuscation SERVICE.FTP FTP cung cấp dịch vụ đặc biệt giải mã cảnh báo STRING.TCP UDP cung cấp thường xuyên biểu Phân tích dịch vụ DNS Phân tích dịch vụ diều khiển từ xa rpc Kiểm tra phương thúc gửi mail SMTP Description Cảnh báo ip lớp 3 Cảnh báo icmp dựa trên :type, code, sequence, and ID Cảnh báo chức năng giải mã ở lớp 3

hiện dịch vụ dựa trên mô hình động cơ kiểm tra STRING.UDP UDP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra ICMP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra MULTI-STRING Other Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ mô hình chữ ký xu hướng . Cung cấp các công cụ nội bộ để xử lý chữ ký linh tinh.

STRING.ICMP

Cisco IOS IPS và Cisco IPS AIM không thể được sử dụng cùng nhau. Cisco IOS IPS phải được vô hiệu hóa khi IPS AIM được cài đặt. Cisco IOS IPS là một ứng dụng cung cấp khả năng kiểm tra cho lưu lượng chạy qua router. Mặc dù nó được bao gồm trong IOS Cisco nâng cao tính năng bảo mật thiết, nó sử dụng CPU router và bể bộ nhớ chia sẻ để thực hiện việc kiểm tra. Cisco IOS IPS cũng chạy một tập con của chữ ký IPS. Cisco AIM IPS, thảo luận trước đó trong chương này, chạy với một CPU và bộ nhớ chuyên dụng, giảm tải xử lý tất cả các chữ ký IPS từ CPU router. Nó có thể tải một chữ ký đầy đủ các thiết lập và cung cấp các tính năng nâng cao IPS không có sẵn trên Cisco IOS IPS. 2. Chữ ký cảnh báo(Signature Alarms) Năng lực của IDS và IPS cảm biến để phát hiện chính xác một cuộc tấn công hoặc vi phạm một chính sách và tạo ra một báo động là quan trọng đối với các chức năng của các bộ cảm ứng. Cuộc tấn công có thể tạo ra các loại sau đây của các báo động: Sai tích cực: Một sai tích cực là một báo động được kích hoạt bởi giao thông bình thường hoặc một hành động bình thường. Hãy xem xét kịch bản này: chữ ký tạo ra các báo động nếu mật khẩu của bất kỳ thiết bị mạng được nhập không chính xác. Một viên quản trị mạng cố gắng để đăng nhập vào một router Cisco nhưng nhập mật khẩu sai. Các IDS không thể phân biệt giữa một người sử dụng quấy phá hay là một quản trị mạng, và nó tạo ra một báo động.

Sai phủ định: Một tiêu cực sai xảy ra khi một chữ ký không được tạo ra khi vi phạm lưu lượng được phát hiện. Phạm vi vi phạm giao thông từ ai đó gửi tài liệu bí mật ở bên ngoài mạng công ty để chống lại các cuộc tấn công các máy chủ web của công ty. Sai âm là lỗi trong phần mềm IDS và IPS và cần được báo cáo. Một âm tính giả nên được coi là một lỗi phần mềm chỉ khi IDS và IPS có một chữ ký đã được thiết kế để phát hiện các vi phạm giao thông. Đúng tích cực: Một tích cực thực sự xảy ra khi một chữ ký IDS hay IPS đúng bị vi phạm, và một báo động được tạo ra, khi vi phạm lưu lượng được phát hiện. Ví dụ, hãy xem xét một cuộc tấn công Unicode. Cisco IPS cảm biến có chữ ký mà phát hiện các cuộc tấn công chống lại Unicode Microsoft Internet Information Services (IIS) các máy chủ web. Nếu một cuộc tấn công Unicode là đưa ra đối với các máy chủ web Microsoft IIS, các cảm biến phát hiện các cuộc tấn công và tạo ra một báo động. Đúng phủ định: Một tiêu cực thực sự xảy ra khi một chữ ký không đúng khi không vi phạm lưu lượng bị bắt và phân tích. Nói cách khác, cảm biến không kích hoạt, một báo động khi nó bắt và phân tích "mạng lưới giao thông bình thường". Bảng: cung cấp một tóm tắt các loại báo động: Loại cảnh báo Xâm nhập xảy ra/phát Xâm nhập không xảy hiện ra/không phát hiện Sai tích cực Đúng phủ dịnh

Cảnh báo được kích Đúng tích cực hoạt Cảnh báo không được Sai phủ định kích hoạt

Cảnh báo xảy ra khi đươc đáp ứn đúng các nhu cầu. phải cân nhắc với lượng cảnh báo nếu xảy ra quá nhiều cảnh báo sẽ khó mà quản lý được và băng thông sẽ bị chiếm do quá trình bắt và phân tích gói tin và việc gây ra cảnh báo nếu cảnh báo ít quá thì sẽ khó khăn trong việc phát hiện hệ thống có bị xâm nhập không nhưng băng thông của hệ thống không bị chiếm.Nếu hệ thống IPS không sử dụng dúng các cảnh báo thì sẽ gây ra cảnh báo sai tích cực. Do đó cần xem xét mức độ cần thiết để gây ra một cảnh báo, đối với IPS signature được phân ra các cấp độ cảnh báo sau:

 Thông tin: Hoạt động kích hoạt các chữ ký không được xem là một

mối đe dọa trước mắt, nhưng những thông tin được cung cấp thông tin có ích.
 Thấp: Mạng lưới hoạt động bất thường được phát hiện rằng có thể

được coi như là độc hại, nhưng một mối đe dọa trước mắt là không có khả năng.
 Trung bình: Mạng lưới hoạt động bất thường được phát hiện rằng

có thể được coi như là độc hại, và là một mối đe dọa trước mắt có thể.
 Cao: Tấn công được sử dụng để truy cập hoặc gây ra một cuộc tấn

công DoS được phát hiện, và là một mối đe dọa trước mắt là rất có khả năng. Ngoài các mức được định nghĩa mặc định có thể chỉnh sữa lại cho phù hợp với hệ thống mạng. Để giảm thiểu sai tích cực cần xem xét lưu lượng mạng tồn tại và sau đó mở signature lên để phát hiện xâm nhập không điển hình (trong các đặt tính) theo như các mẫu qui định. Không nên căn cứ vào chữ ký để chỉnh sữa khác mẫu qui định ,mà sử dụng mẫu chữ ký qui định sẵn để so sánh với các lưu lượng mạng đang có, lấy mẫu qui định sẵn làm điểm tựa để quyết định mẫu lưu lượng từ đó gây ra cảnh báo.

CHƯƠNG IV ỨNG DỤNG - THỰC NGHIỆM