Bài giảng An toàn mạng - Hệ phát hiện xâm nhập

ppt 45 trang hapham 2370
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn mạng - Hệ phát hiện xâm nhập", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pptbai_giang_mang_may_tinh_an_toan_mang_he_phat_hien_xam_nhap.ppt

Nội dung text: Bài giảng An toàn mạng - Hệ phát hiện xâm nhập

  1. An toàn mạng: Hệ phát hiện xâm nhập Vo Viet Minh Nhat Khoa CNTT – Trường ĐHKH
  2. Nội dung trình bày l Mở đầu về sự phát hiện xâm nhập l Hệ phát hiện xâm nhập IDS dựa trên host l Hệ phát hiện xâm nhập IDS dựa trên mạng l Một số phương pháp tấn công qua mặt hệ thống IDS l Kết luận
  3. Mục đích l Bài trình bày này nhằm l Trình bày một sô khái niệm về hệ IDS l Giải thích sự khác nhau giữa những hệ IDS l Mô tả chi tiết hệ IDS dựa trên host l Mô tả chi tiết hệ IDS dựa trên mạng l Trình bày một số phương pháp tấn công qua mặt hệ thống IDS
  4. Mở đầu l Để bảo vệ tài nguyên, các công ty không chỉ dựa trên những hệ thồng bị động như tường lửa, VPN, các kỹ thuật mã hóa hay một số thứ khác, mà người ta còn cần các công cụ hay thiết bị chủ động khác trên mạng: đó chính là sự ra đời của các hệ IDS l Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống. Do đó, các chính sách an toàn do đó cần phải định nghĩa ai hay cái gì được xem như là một sự cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống
  5. Mở đầu l Có hai kiểu kẻ xâm nhập tiềm tàng l Kẻ xâm nhập bên ngoài: được xem như các crackers l Kẻ xâm nhập bên trong : xuất hiện từ bên trong các tổ chức l IDSs là các giải pháp hiệu quả cho việc phát hiện 2 loại xâm nhập này. Các hệ IDS thực hiện liên tục trên mạng, thông báo cho người quản trị mạng khi phát hiện thất một cố gắng thâm nhập bất thường nào đó
  6. Mở đầu l IDSs có 2 thành phần chính l IDS sensors: bao gồm các phần mền hay phần cứng được sử dụng để tập hợp và phân tích các luồng dữ liệu. IDS sensors được phân thành 2 loại l IDS sensors dựa trên mạng: có thể được gắn với một thiết bị mạng, hoạt tiết bị độc lập hoạt là một module giám sát luông dữ liệu l IDS sensors dựa trên host: là một agent đặc biệt thực hiện trên một server để giám sát hệ điều hành l Phần quản lý IDS: hoạt động như một hệ tập hợp các cảnh báo và thực hiện các cấu hình hay triền khai các dịch vụ cho các IDS sensors trên mạng.
  7. Mở đầu l Có hai cách tiếp cận IDS thường được sử dụng: l Misuse Detection IDS (MD-IDS) l Anomaly Detection IDS (AD-IDS)
  8. Misuse Detection IDS l Misuse Detection IDS (MD-IDS) là tiêu điểm chính trong việc đánh giá sự tấn công dựa trên các dấu hiệu (signature) và kiểm tra dấu vết. l Attack signature mô tả một phương pháp thông thường được thiết lập để tấn công hệ thống. Ví dụ tấn công TCP flood bắt đầu với số lượng lớn hoặc các phiên kết nối TCP không thành công. Nếu MD- IDS có thể biết tấn công TCP flood là gì thì nó có thể cảnh báo hoặc ngăn cản kẻ tấn công.
  9. Misuse Detection IDS
  10. Misuse Detection IDS l Phương thức này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. => phương pháp dò dấu hiệu (Signature Detection). l Ưu điểm: l phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. l Nhược điểm: l không phát hiện được các cuộc tấn công không có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
  11. Anomaly Detection IDS l Anomaly Detection IDS (AD-IDS) là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. l Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng.
  12. Các kỹ thuật dò sự không bình thường l Threshold detection (phát hiện ngưỡng): thực hiện đếm các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, như login với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gởi vượt quá mức,
  13. Các kỹ thuật dò sự không bình thường l Self learning detection (chế độ tự học): bao gồm hai bước: khi hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học để thiết lập 1 profile về cách phản ứng của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết lập. Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của mình. Nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại tới khi cuộc tấn công kết thúc.
  14. Các kỹ thuật dò sự không bình thường l Anomaly protocol detection (phát hiện sự bất thường của giao thức): căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các dấu hiệu bất thường của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng để thu thập thông tin của hacker, việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. l Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
  15. Một ví dụ của kỹ thuật dò sự không bình thường
  16. Các loại IDS l Có 2 nhiều loại IDS l Hệ phát hiện xâm nhập IDS dựa trên host l Hệ phát hiện xâm nhập IDS dựa trên mạng
  17. Hệ phát hiện xâm nhập IDS dựa trên mạng l NIDS là một thiết bị thông minh được đặt phân tán khắp trên mạng nhằm giám sát các traffic đi qua nó. l NIDS có thể là thiết bị phần cứng hoặc phần mềm. l NIDS thường có 2 interface, một để lắng nghe mọi traffic không được phân loại trên kênh truyền thông, một còn lại làm nhiệm vụ phân tích lưu lượng đó dựa trên tập hợp các mẫu (signature) được thiết lập trước để nhận dạng đó có phải là luồng dữ liệu bất bình thường hay không. l Nếu đặt NIDS trước firewall thì sẽ giám sát được tất cả traffic network đi vào mạng.
  18. Hệ phát hiện xâm nhập IDS dựa trên mạng
  19. Hệ phát hiện xâm nhập IDS dựa trên mạng l Có 2 loại phản ứng được thực hiện tại tầng mạng: l Passive Response (phản ứng bị động) l Active Response (phản ứng chủ động)
  20. Phản ứng bị động l Phản ứng bị động bao gồm: l Logging: ghi lại những sự kiện đã xảy ra và tình huống mà nó đã xảy ra để cung cấp đủ thông tin cho người quản trị hệ thống biết được việc tấn công xảy ra để giúp cho việc đánh giá và khắc phục mối hiểm nguy của hệ thống. l Notification: là sự truyền thông thông tin đến người quản trị hệ thống khi sự kiện xảy ra để giúp cho việc phân tích tình hình. l Shunning: tránh xa hoặc bỏ qua sự tấn công
  21. Phản ứng chủ động l Kết thúc kết nối, tiến trình hoặc phiên làm việc: Nếu phát hiện ra một cuộc tấn công ngập lụt, IDS có thể yêu cầu hệ thống con TCP khởi động lại tất cả các phiên đang hoạt động. Điều này sẽ làm giải phóng tài nguyên và cho phép TCP tiếp tục hoạt động bình thường.
  22. TCP gởi cờ RST để đóng 1 phiên kết nối
  23. Phản ứng chủ động l Thay đổi cấu hình mạng: Nếu 1 địa chỉ IP được xác định là gây ra những cuộc tấn công lặp đi lặp lại trên hệ thống, thì IDS có thể chỉ thị cho router biên hoặc firewall loại bỏ tất cả những yêu cầu hoặc traffic từ IP này. Sự thay đổi này có thể duy trì ảnh huởng lâu dài hoặc trong một thời gian xác định.
  24. IDS chỉ thị Firewall đóng port 80
  25. Phản ứng chủ động l Deception (giả mạo): Một phản ứng chủ động giả mạo có thể làm cho kẻ tấn công nghĩ rằng cuộc tấn công này đã thành công trong khi đó nó vẫn giám sát những hoạt động và gởi lại một lần nữa cho kẻ tấn công đến hệ thống là hệ thống này đã bị phá. Điều này cho phép quản trị hệ thống tập hợp dữ liệu về cuộc tấn công này đang được thực hiện như thế nào và những kỹ thuật nào được sử dụng trong cuộc tấn công này.
  26. IDS sử dụng honeyPot để thu thập phương thức tấn công
  27. Ưu & Nhược điểm của NIDS l Ưu điểm l Giám sát được toàn bộ lưu lượng vào ra hệ thống l Có thể capture nội dung của tất cả gói tin trên kênh truyền thông. l Nhược điểm: l Chỉ có thể cảnh báo được nếu traffic đó vi phạm các quy tắc đã được thiết lập trong rule base hoặc signature l NIDS không thể phát hiện được sự xâm nhập nếu hệ thống đã bị tấn công thành công. l NIDS không thể phân tích được traffic đã được mã hóa
  28. Hệ phát hiện xâm nhập IDS dựa trên host l HIDS được thiết kế như là 1 dịch vụ hoặc như một tiến trình nền trong hệ thống máy tính. l Hệ thống HIDS sẽ kiểm soát logfile, những sự kiện hệ thống và tương tác ứng dụng. l Bình thường hệ thống HIDS không giám sát các lưu lượng mạng đi vào đến host.
  29. Hệ phát hiện xâm nhập IDS dựa trên host
  30. Hệ phát hiện xâm nhập IDS dựa trên host l HIDS có 2 nhược điểm: l nếu hệ thống bị xâm nhập thành công thì logfile mà IDS sử dụng có thể bị sai hoặc không chính xác. Điều này làm cho việc xác định lỗi trở nên khó khăn hoặc hệ thống mất độ tin cậy. l HIDS chỉ triển khai trên hệ thống mà chúng ta cần giám sát nên không mang lại hiệu quả kinh tế cao nếu nó được triển khai trong một hệ thống mạng lớn có nhiều server dịch vụ. l HIDS thực hiện tính toán check sum của file. Nếu checksum này bị thay đổi thì nó sẽ thông báo cho người quản trị hệ thống rằng hệ thống có thể đã bị tấn công.
  31. Một số loại HIDS sensors l Log analyzers (phân tích log) l Là một tiến trình chạy trên server và xem log file trong hệ thống. Nếu có một log file không đúng với các tập luật trong tiến trình HIDS sensor thì hành động này sẽ bị giữ lại. l Log file thông thường dùng để ghi nhận lại mọi hành động, mọi sự thay đổi diễn ra trong hệ thống và mọi hành vi từ bên ngoài tác động vào hệ thống. Phân tích log nhằm mục đích phát hiện ra dấu hiệu hệ thống đã bị xâm nhập.
  32. Một số loại HIDS sensors l Signature-based sensors (Cảm biến dựa trên dấu hiệu) l là một tập hợp các dấu hiệu được thiết lập để kiểm tra các traffic khi đi vào hệ thống. Khác với Log-based, signature-based phân tích được mọi lưu lượng đi vào hệ thống. l Signature-based phát hiện nhanh các cuộc tấn công, nhưng để phát hiện các cuộc tấn công khác thường, tinh vi thì signature database trong IDS phải lớn và được cập nhật thường xuyên.
  33. Một số loại HIDS sensors l Application behavior analyzers (phân tích hành vi ứng dụng) l Nó hoạt động như 1 phần mềm đứng giữa trình ứng dụng và hệ điều hành. Nó sẽ phân tích hành vi của trình ứng dụng, nếu thấy không hợp lệ sẽ cảnh báo hành vi đó. l Ví dụ, web server thông thường cho phép kết nối ở port 80 và đọc file trong thư mục web root, nếu web server ghi file hoặc đọc file trong 1 thư mục khác hoặc mở 1 connection thì cảm biến sẽ cảnh báo hành vi bất hợp lệ này
  34. Một số loại HIDS sensors l File integrity checkers (bộ kiểm tra tính toàn vẹn) l Kiểm tra sự thay đổi của file thông qua các phương pháp mã hóa như check sum hoặc digital signature của file.
  35. Tiêu chí triển khai một IDS l Xác định được mục đích của IDS, chọn loại sự kiện cần giám sát, thiết đặt các ngưỡng và thi hành các chính sách. l Các mục tiêu lớn của IDS là: phát hiện tấn công, ngăn ngừa tấn công, phát hiện sự vi phạm chính sách, sự ép buộc sử dụng chính sách l Khi lựa chọn IDS phải xác định được rằng IDS cần giám sát cái gì trong môi trường mà nó đang hoạt động
  36. Một số phương pháp tấn công qua mặt hệ thống IDS l Tấn công Insertion l Tấn công Evasion l Tấn công dựa trên timeout của việc hợp nhất fragment (Fragmentation Reassembly timeout attacks)
  37. Tấn công Insertion l Một trong những dấu hiệu đáng khả nghi mà bất kỳ hệ NIDS nào cũng quan tâm là traffic telnet, TCP port 23. Ví dụ rằng nếu traffic này có nội dung là REWT thì xem như nó là account backdoor để telnet.
  38. Tấn công Insertion
  39. Tấn công Evasion l Kịch bản cho cách tấn công này là gởi kèm dữ liệu trong 1 kết nối SYN. Mặc dù rằng loại kết nối này không phải là bình thường nhưng nó lại hợp lệ theo như mô tả RFC 793.
  40. Tấn công Evasion
  41. Tấn công dựa trên timeout của việc hợp nhất fragment l Fragmentation: Mỗi packet/fragment đều có 1 giá trị TTL (time to live) sẽ bị giảm đi 1 khi đi qua mỗi router. Khi TTL có giá trị là 0, nó sẽ loại bỏ packet/fragment và gởi 1 thông báo lỗi ICMP “Time Exceeded In Transit” quay trở lại nơi gởi l The IP Fragment Reassembly Timeout: Một chuỗi fragment sẽ có 1 thời gian hợp nhất (thời gian hợp nhất này tùy thuộc vào mỗi hệ thống IDS). Khi fragment đầu tiên được nhận, thời gian hợp nhất sẽ được thiết lập và đây cũng là tham số timeout cho các fragment tiếp theo sau. l ICMP Fragment Reassembly Time Exceeded message: Khi hết thời gian hợp nhất mà vẫn chưa nhận đủ fragment thì IDS sẽ hủy datagram và gởi 1 Time Exceeded Message
  42. Tấn công dựa trên timeout của việc hợp nhất fragment
  43. Tấn công dựa trên timeout của việc hợp nhất fragment
  44. Tấn công dựa trên timeout của việc hợp nhất fragment