: Ứng dụng truyền thông và An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

I. Khái niệm về IDS.

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành

vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an

toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty,

các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công

ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các

hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa (firewall)

nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa

trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất

lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu

của hệ thống. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây được

đông đảo những người liên quan đến bảo mật khá quan tâm, có những tính năng

tốt hơn.

I.1 Khái niệm về IDS.

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là

một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ

thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong từ

bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các

hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết

(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát

hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline

(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

I.2 Lịch sử ra đời của IDS:

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James

Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành

vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm

dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống

1

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước

khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm

1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được

xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời

gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công

nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại

lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan

trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ

an ninh được sử dụng nhiều nhất và vẫn còn phát triển.

I.3 Phân biệt những hệ thống không phải là IDS

Các thiết bị bảo mật dưới đây không phải là IDS:

- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối

với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở

đó sẽ có hệ thống kiêm tra lưu lượng mạng.

- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều

hành, dịch vụ mạng (các bộ quét bảo mật).

- Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã

nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng

mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường

cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

- Tường lửa (firewall)

- Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,

Kerberos, Radius…

2

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

II.Chức năng của IDS

Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo.

- Giám sát: lưu lượng mạng và các hoạt động khả nghi.

- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

Chức năng chính của IDS được cụ thể bởi các hành động như:

- Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống

đã được cài đặt từ trước.

- Phân tích thống kê những luồng traffic không bình thường.

- Đánh giá và kiểm tra tính toàn vẹn của các file được xác định.

- Thống kê và phân tích các user và hệ thống đang hoạt động.

- Phân tích luồng traffic.

- Phân tích event log (ghi chú sự kiện).

3

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

III. Kiến trúc của IDS

Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ cảm

biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần cảnh

báo (Alert Notification).

III.1 Trung tâm điều khiển (The Command Console)

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí. Nó

duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều

khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm điều

khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua

một đường mã hóa, và nó là một máy chuyên dụng.

III.2 Bộ cảm biến (Netword Sensor)

Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy

chuyên dụng trên các đường mạng thiết yếu. Bộ cảm biến có một vai trò

quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng.

Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến

trên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các

port trên hub, và có thể phát hiện ra các luồng traffic bất thường. Nhưng

khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin đến

chính xác địa chỉ cần gửi trên từng port. Để giải quyết vấn đề này, một

kỹ thuật thông dụng là sử dụng những con switch có port mở rộng

(expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta

kết nối IDS vào port này. Port này được gọi là Switched Port Analyzer

(SPAN) port. SPAN port cần được cấu hình bởi các chuyên gia bảo mật

để nhân bản mọi luồng dữ liệu của switch.

III.3 Bộ phân tích gói tin (The Network Tap)

4