Hệ thống phát hiện xâm phạm IDS (Phần 1)

Do số lượng xâm phạm ngày càng tăng, khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật CNTT. Hệ thống IDS là một hệ thống gần đây được đông đảo những người liên quan đến bảo mật khá quan tâm. Bài viết này chúng tôi sẽ giới thiệu cho các bạn về chủ đề này, cụ thể là vấn đề tổng quan về một số loại tấn công có thể phát hiện, triệu chứng khi bị tấn công và nhiệm vụ của IDS, các kiến trúc khác nhau và những khái niệm trong lĩnh vực này.

IDS là gì?

IDS là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng. Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như sưu tập, quét các cổng. Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker).

Những gì không phải là một IDS?

Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát hiện xâm phạm, không phải mọi thứ đều được quy vào mục này. Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS:

• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công DoS- Denial of Service/ Tấn công từ chối dịch vụ trên một mạng nào đó. Ở đó sẽ có hệ thống kiêm tra lưu lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

Tường lửa :

• Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius
• Các loại tấn công được phân thành hai loại như sau:
• Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm nhập vào hệ thống mà không cần đến sự đồng ý của tài nguyên CNTT)
• Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tài nguyên CNTT)

Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn công được chia thành:

• Bên trong, những tấn công này đến từ chính các nhân viên của công ty, đối tác làm ăn hoặc khách hàng
• Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet.

Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là nguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc từ các nguồn quay số từ xa). Bây giờ chúng ta hãy xem xét đến các loại tấn công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào một chuyên mục đặc biệt. Các loại tấn công dưới đây có thể được phân biệt:

Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên.

• Việc bẻ khóa và sự vi phạm truy cập
• Trojan horses
• Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh chặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
• Sự giả mạo
• Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP
• Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,…
• Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát hiện nhưng đôi khi vẫn có thể)
• Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về quyền sở hữu.
• Lạm dụng tính xác thực; một loại hình tấn công bên trong, ví dụ: nghi ngờ sự truy cập của một người dùng xác thực có thuộc tính kỳ lạ (đến từ một địa chỉ không mong muốn)
• Các kết nối mạng trái phép
• Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập vào các trang có hoạt động không lành mạnh
• Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các quyền truy cập mức cao.
  
  
  Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập)
• Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền quản trị viên hệ thống.
• Thay đổi và xóa thông tin
• Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máy tính của chính phủ.
• Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ mạng (máy chủ)

Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi một số lượng lớn các thông tin không giá trị để làm tắc nghẽn lưu lượng hạn chế dịch vụ.

• Ping (Smurf) – một số lượng lớn các gói ICMP được gửi đến một địa chỉ quảng bá.
• Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các message trong một thời điểm ngắn.
• SYN – khởi tạo một số lượng lớn các yêu cầu TCP và không tiến hành bắt tay hoàn toàn như được yêu cầu đối với một giao thức.
• Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau

Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó

• Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng lớn ICMP (vượt quá 64KB))
• Tắt hệ thống từ xa

Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể gây ra như đã nói ở phần trên.

Bạn cần phải nhớ rằng, hầu hết các tấn công không phải là một hành động đơn, mà nó thường gồm có một số các sự kiện riêng lẻ