• Thứ Năm, 01/09/2005 10:42 (GMT+7)

    Intrusion Detection

    Định nghĩa: Phát hiện xâm nhập (Intrusion Detection) là nghệ thuật và là khoa học phán đoán, rà xét khi hệ thống hay mạng bị sử dụng không đúng hay không hợp lệ. Hệ thống kiểm tra xâm nhập (intrusion detection system-IDS) kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin thu thập được từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập.

    Nếu tường lửa đóng vai trò như nhân viên bảo vệ cơ quan, kiểm tra mọi người đến và đi thì hệ thống kiểm tra xâm nhập giống như có một mạng lưới cảm biến để thông báo cho bạn biết khi có ai đó xâm nhập, họ đang ở đâu và làm gì.

    Tường lửa "án ngữ" ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã vượt qua được tường lửa, người đó có thể tung hoành tùy trên mạng. Đó là lý do tại sao hệ thống kiểm tra sự xâm nhập có vai trò quan trọng.

    Có rất nhiều phương pháp để phát hiện kẻ xâm nhập. Các chuyên gia khuyên rằng nên phối hợp các phương pháp thay vì chỉ dùng một cơ chế duy nhất.

    Kiểm tra trên hệ thống chủ

    Có lẽ IDS nổi tiếng nhất là Tripwire, chương trình được Eugene Spafford và Gene Kim viết vào năm 1992. Tripwire là một minh họa cho phương pháp dùng chương trình tự động trên hệ thống chủ để phát hiện sự xâm nhập: khi được cài đặt trên hệ thống chủ nó sẽ kiểm tra những thay đổi trên hệ thống, bảo đảm những tập tin quan trọng không bị sửa đổi.

    Chương trình này ghi lại những thuộc tính của tập tin hệ thống quan trọng, sau đó nó sẽ định kỳ so sánh trạng thái hiện hành của những tập tin này với các thuộc tính được lưu trữ và báo cáo về bất kỳ thay đổi đáng ngờ nào.

    Một cách khác của hướng kiểm tra hệ thống chủ là kiểm soát toàn bộ gói tin khi chúng vào và ra khỏi hệ thống chủ.

    Hệ thống kiểm tra xâm nhập theo hướng mạng sẽ kiểm soát tất cả gói tin trên từng phân mạng, đánh dấu những gói tin bị nghi ngờ. IDS mạng sẽ tìm kiếm những dấu hiệu đáng ngờ - chỉ thị cho biết những gói tin có biểu hiện xâm nhập. Những dấu hiệu này có thể tìm thấy trong nội dung thực của gói tin bằng cách so sánh từng bit với kiểu mẫu đã biết về dạng tấn công. Ví dụ, hệ thống có thể tìm kiếm những kiểu mẫu trùng với kiểu tấn công bằng cách sửa đổi các tập tin hệ thống.


    Những kiểu tấn công khác dựa vào giao thức. Kẻ tấn công thường tìm kiếm các điểm yếu trong mạng bằng cách "sục sạo" vào máy chủ Web, tập tin hay các máy chủ khác được quản trị kém.

    Những kiểu tấn công cổng dịch vụ này được xác định bằng cách theo dõi những cố gắng kết nối vào các cổng dịch vụ mạng kết hợp với các dịch vụ tương ứng thường dễ bị xâm nhập.

    Các dấu hiệu tấn công thường nằm ở phần đầu (header) của gói tin TCP/IP, dạng cố ý dùng sai chức năng hay luận lý. Ví dụ, kẻ tấn công có thể thử gửi một gói tin yêu cầu đồng thời đóng và mở một kết nối TCP; kiểu gói tin này có thể gây nên tình trạng nghẽn mạng (denial-of-service) cho một số hệ thống.

    Những hệ thống kiểm tra xâm nhập mạng có Secure Intrusion Detection System (trước đây tên là Cisco NetRanger) của Cisco, RealSecure của Internet Security System và NetProwler của Symantec.

    Bạn biết gì, chúng làm gì

    Những hệ thống kiểm tra cũng có thể phân loại theo tri thức hay hành vi. Những hệ thống có sẵn trên thị trường là dạng dựa trên tri thức, làm việc theo kiểu so trùng các dấu hiệu của các dạng tấn công đã biết với những thay đổi của hệ thống hay các gói tin trên mạng. Những hệ thống như vậy rất đáng tin cậy và ít sai sót, nhưng chúng chỉ có thể phát hiện được những kẻ xâm nhập dùng kiểu tấn công đã được biết. Vì thế chúng thường không có tác dụng đối với những tấn công mới, nghĩa là chúng phải được cập nhật thường xuyên về các kiểu tấn công mới.

    IDS dựa vào hành vi sẽ xem xét các hoạt động bằng cách kiểm soát hoạt động của hệ thống hay mạng và đánh dấu bất kỳ hoạt động nào đáng nghi ngờ. Những hành vi như vậy có thể kích hoạt sự cảnh báo - thường là cảnh báo sai. Tuy những cảnh báo sai thường phổ biến trong các IDS hành vi nhưng lại có khả năng phát hiện được những kiểu tấn công mới.

    Một công cụ khác để phát hiện xâm nhập là "hũ mật" (honeypot) - ở đây tạm dịch là "vùng bẫy", đây là một hệ thống hoàn toàn dành riêng, được thiết kế để hấp dẫn kẻ tấn công. Những Web site phổ biến thường dùng vùng bẫy để thu nhận toàn bộ các yêu cầu vào mạng. Bất kỳ sự tấn công nào vào vùng bẫy cũng được làm cho có vẻ thành công, nhờ vậy nhà quản trị có thời gian để theo dõi, kiểm soát kẻ tấn công mà không làm ảnh hưởng đến hệ thống thực đang hoạt động.

    Kiểm soát xâm nhập đòi hỏi phải có kế hoạch chặt chẽ. Cũng giống như việc kiểm soát virus, kiểm soát xâm nhập trên hệ thống chủ để kiểm soát những thay đổi của hệ thống và tập tin phải được cài đặt trên những hệ thống "sạch".

    Điều quan trọng hơn nữa là phải có sẵn một quy trình rõ ràng để đối phó với sự xâm nhập. Không phải bao giờ cách tốt nhất cũng là ngắt kết nối của kẻ xâm nhập.

    Tùy vào loại hệ thống và mạng đã được định trước và bạn muốn điều gì xảy đến cho những kẻ tấn công, người ta thường thích giữ kẻ tấn công trong hệ thống và nhờ đến cơ quan luật pháp để bắt chúng. Những quyết định như vậy không thể được thực hiện nóng vội mà phải thiết lập sẵn những chính sách phản ứng và xây dựng quy trình chu đáo. Bạn muốn ngăn các kẻ xâm nhập nhưng cũng muốn phát hiện và định vị chúng một khi chúng xâm nhập thành công.

    Computerworld

    ID: A0107_74