Hệ thống phát hiện xâm nhập.

[hieuapt]

Hệ thống phát hiện xâm nhập
(Intrusion Detection System)

Giới thiệu
Intrusion Detection System (IDS) giám sát lưu thông trên mạng và các dấu hiệu khả nghi, để thông báo cho người quản trị hệ thống. Trong một vài trường hợp, IDS có thể hoạt động một cách tích cực đối với các dấu hiệu khả nghi bằng cách block user hay địa chỉ IP nguồn của gói tin đó.
Intrusion detection không phải là một dịch vụ bảo mật cho hệ thống. Nó chỉ đơn giản là một nhóm các công cụ và phương pháp giúp chúng ta giám sát hệ thống mạng.

Hoạt động của IDS
Khả năng tìm kiếm các dấu hiệu đặc trưng nguy hiểm
Thiết lập các giới hạn(bandwidth,protocol,port)
IDS thụ động
IDS tích cực

Phương thức hoạt động
Signature-based
Những kẻ xâm nhập thường dùng một số phương pháp để tấng công hệ thống, mỗi phương pháp như vậy đều có một dấu hiệu (signature) (Vd: ) mà ta có thể nhận biết, điều này tương tự như các dấu hiệu để nhận biết virus máy tính. Hệ thống này sẽ tìm trên các gói tin những dấu hiệu có liên quan đến sự xâm nhập hay sự bất bình thường liên quan đến giao thức Internet, rồi so sánh với các dấu hiệu và các luật đã được cấu hình trước để phát ra các cảnh báo.
Anomaly-based
Hoạt động dựa trên các thông tin nằm ở phần đầu về protocol của các gói tin. thông thường, IDS sẽ bắt các gói tin trên mạng và áp luật của nó lên những gói tin này hoặc nó kiểm tra sự bất thường trên những gói tin đó. Trong vài trường hợp, cách này tỏ ra hiệu quả hơn so với Signature-based.

Một số khái niệm
Network Intrusion Detection Systems (NIDS)
NIDS Thường được đặt trong hệ thống mạng để giám sát các giao dịch giữa các thiết bị. Chúng ta có thể quét tất cả các thông tin vào và ra hệ thống.
Host Intrusion Detection System (HIDS)
HIDS chạy trên một máy riêng biệt hoặc các thiết bị trên mạng, nhằm phát hiện ra sự tấn công vào chính các thiết bị đó
HIDS còn có thể giám sát file systems nhằm phát hiện các hành động thay đổi trên các tập tin của hệ thống.
Alerts (cảnh báo)
Khi phát hiện sự xâm nhập, IDS phải gửi thông báo này cho người quản trị bằng các cách như:
• Pop-up windows
• Gửi e-mail
• Đồng thời các hành động này cũng được lưu vào file log
Sensor (bộ cảm biến)
Một máy chạy dịch vụ IDS thì được gọi là một sensor
Vị trí của IDS trong hệ thống
Vị trí của các sensor phụ thuộc vào mô hình của hệ thống mạng. Ta có thể đặt IDS ở một hoặc nhiều nơi. Nó còn tùy thuộc vào loại hoạt động xâm nhập nào mà ta muốn giám sát (internal, external hoặc cả hai). Ví dụ, nếu ta muốn giám sát những hành động xâm nhập từ bên ngoài và ta chỉ có một router kết nối với Internet, thì nơi thích hợp nhất để đặt IDS phía sau thiết bị router (hay firewall). Nếu ta có nhiều đường kết nối với Internet thì ta có thể đặt IDS ở tại mỗi điểm kết nối đến Internet.
Trong một vài trường hợp, chúng ta không cần phải đặt IDS ở tất cả các đoạn mạng mà chỉ đặt ở những vùng nhạy cảm.



Honey pot
Honey pots là hệ thống dùng để hấp dẫn hacker bằng cách vận hành như một hệ thống bảo mật yếu. Khi một Hacker tìm thấy Honey pots, họ sẽ thực hiện các thao tác trên đó. Trong khoản thời gian này, ta có thể log các hành động của hacker lại và từ đó có thể tìm ra phương thức và kỹ thuật xâm nhập của họ để sau này chúng ta có thể dùng các thông tin này cho việc bảo mật hệ thống.


Snort
Snort là một phần mềm NIDS (Network Intrusion Detection System) mã nguồn mở và miễn phí, NIDS là một loại của hệ thống phát hiện xâm nhập (IDS) được sử dụng để giám sát các dữ liệu lưu thông trên mạng. Snort được xem là một trong những hệ thống IDS mạnh nhất hiện nay.
Snort có thể chạy trên nền Linux và Windows.
Snort có khả năng phát ra cảnh báo bằng nhiều cách khác nhau tới nhiều nơi khác nhau.
Phương thức hoạt động
Snort hoạt động dựa trên 2 phương thức:
• signature-based
• anomaly-based
Phương thức hoạt động chính của snort là signature-based. Tuy nhiên, phần header của các gói tin đi vào sẽ được kiểm tra trước bằng phương thức anomaly-based.
Cấu hình của snort được lưu trong file snort.conf. các luật được nhóm theo từng lọai. Snort sẽ đọc file này khi máy khởi động và thành lập cấu trúc dữ liệu của các luật để áp lên các gói tin. Cấu hình các luật và các signature là một công việc khéo léo. Càng nhiều luật thì quá trình xử lý sẽ càng chậm hay nói cách khác càng nhiều luật thì đòi hỏi cấu hình máy phải mạnh. Snort đã cấu hình sẵng rất nhiều thông số, tuy nhiên chúng ta có thể bớt đi một số luật để tránh trường hợp cảnh báo sai.
Snort bao gồm một hoặc nhiều sensor và một server CSDL chính
Các Sensor có thể được đặt trước hoặc sau firewall
• Giám sát các cuộc tấn công vào firewall và hệ thống mạng
• Có khả năng ghi nhớ các cuộc vượt firewall thành công



Bài viết cùng chủ đề:

• Phát hiện và chống xâm nhập Web Server với Mod Security
• Dò tìm dấu vết chỉnh sửa được thực hiện trên hệ thống Linux
• Phát hiện và chống xâm nhập Web Server với Mod Security
• Dò tìm dấu vết chỉnh sửa được thực hiện trên hệ thống Linux
• Phát hiện và chống xâm nhập Web Server với Mod Security