GIẢI PHÁP CỦA HỆ THỐNG CHỐNG XÂM NHẬP (IPS)
Mục tiêu của hệ thống bảo mật
Một hệ thống bảo mật phải thỏa mãn 3 yêu cầu cơ bản là: Tính bảo mật (Confidentiality), Tính toàn vẹn (Integrity), Tính khả dụng (Availabitity) để xây dựng một hệ thống bảo mật phải đảm bảo gồm 3 phần chi tiết sau:
+ Ngăn Chặn: (Prevention) Ngăn chặn các vi phạm đối với chính xác, sự kiện, hạnh vi dẫn đến chính sách vi phạm (Để lộ mật khẩu, quên không thoát khỏi hệ thống khi rời khỏi hệ thống.. hoặc có những hành vi cố gắng tấn công vào hệ thống từ bên ngoài)
+ Phát hiện (Detection) Tập trung vào các sự kiện hạnh vi phạm đang xảy ra trên hệ thống. Về cơ bản các cơ chế phát hiện xâm nhập chủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống (System log) và dữ liệu đang lưu thông trên mạng (Network traffic) để tìm ra dấu hiệu vi phạm, các dấu hiệu vi phạm này gọi là (Signature) thường phải được nhận diện trước và mô tả trong cơ sở dữ liệu của hệ thống (Siguature Database)
+ Phục hồi (Recovery) Mục tiêu thiết kế bao gồm cơ chế nhàm chặn đứng các vi phạm đang diễn ra (Response) hoặc khác phục hậu quả của vi phạm mọt cách nhanh chóng nhất với mực độ thiệt hại thấp nhất (recovery). Một phần quan trọng trong các cơ chế hồi phục là việc nhận diện sơ hở của hệ thống và điều chỉnh những sơ hở đó. Nguồn gốc của sơ hở có thể do chính sách an toàn chưa chặt chẽ hoặc do lỗi kỹ thuật cơ chế
Hệ thống phát hiện xâm nhập IDS (Intrucsion Detection System)
IDS là hệ thống chống phát hiện dấu hiệu tấn công xâm nhâp, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công. Khác với tưởng lừa IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu tấn công và cảnh báo cho người quản trị mạng. Một điểm khác biệt đó là mặc dù cả hai đều liên quan đến bảo mật mạng, nhưng tường lừa theo dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xẩy ra, nói giới hạn truy nhạp giữa mạng để ngăn chặn xâm nhập nhưng không phát hiện được tấn công từ bên ngoài mạng. Bên cạnh đó IDS sẽ đánh giá sự xâm nhập đáng ngờ từ khi nó đã diễn ra đồng thời pháp ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn gốc từ bên ngoài hệ thống.
Chức năng ban đầu của IDS Chỉ là phát hiện các dấu hiệu xâm nhập, dó đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi công công hoàn tất. Càng về sau nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đoán được tấn công (Prediction) và thậm chí phản ứng lại các tấn công đang diễn ra (Active response)
Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là sensor (Bộ cảm nhận) Có chức năng chặn bắt và phân tích lưu lượng trên mạng và các nguồn thông tin khác để phát hiện các dấu hiệu xâm nhập (Signature) Signature Database là cơ sở dữ liệu chứa các dấu hiệu tấn công và được phát hiện và phân tích. Cơ chế làm việc của Signature Database giống như virus database trong các chương trình Antivirus, do vậy việc duy trì hệ thống IDS hiệu quả phải bao gồm việc cập nhận thường xuyên cơ sở dữ liệu này.
Phân tích loại IDS theo phạm vi giám sát:
Dự trên phạm vigiasm sát IDS được chia thành hai loại:
Network –based IDS(NIDS)
Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu dang lưu thông trên mạng. NIDS thường được lắp đặt vào ngõ vào của mạng, có thể đứng trước hoặc sau tường lửa
Host – based IDS (HIDS)
Là những IDS giám sát hoạt động của từng máy tính riêng biệt, Do vậy nguồn thông tin chủ yếu cảu HIDS ngoài lưu lượng dữ liệu đến và đi từ các máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (System log) và kiểm tra hệ thống (System audit)
Phân loại IDS Theo kỹ thuật thực hiện
Dự trên kỹ thuật thực hiện IDS cũng được chia thành hai loại:
Signature – based IDS: Phát hiện xâm nhập dự trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu ượng mạng và nhật ký hệ thống. kỹ thuật này đồi hỏi phải duy trì một cơ sơ dữ liệu về các dấu hiệu xâm nhập (Signature database) và cơ sở dữ liệu này phải được cập nhật thương xuyên mỗi khi có một hình thức kỹ thuật xâm nhập mới.
Anomaly –based IDS: Phát hiện xâm nhập bằng cách so sánh mang tính thống kê, các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường (Anomaly) có thể là dấu hiện của xâm nhập. Trong điều kiện bình thường lưu lượng trên một giao tiếp mạng của server là vào khoảng một % nào đó với bawg thông cực đại giao tiếp. Nếu tại một thời điểm khác, lưu lượng này đột ngột tăng cao hơn gấp đôi hoặc gấp ba thì có thể giả định server bị tấn công Dos. Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “Học’’ tức là giám sát hoạt động hệ thống trong điều kiện bình thường để ghi nhạn các thông số hoạt đông, đây là cơ sở phát hiện các bất thường về sau.
Trong một phần mềm IDS phổ biến hiện nay là Snort. Đấy là sản phẩm NIDS mã nguoonfmowr với hẹ thống Signature (được gọi là rule database) được cập nhật thường xuyên bởi nhiều thành viên công động Internet.
Trong thực tế IDS là một kỹ thuật mới so với Firewall, tuy nhiên cho đén thời điểm này với sự phát triển mạnh mẽ kỹ thuật tấn công thì IDS vãn chưa thật sự tỏ được tính hiệu quả của nó trong việc đảm bảo an toàn các hệ thống. Xu hướng hiện nay là chuyển dịch dần sang các hệ thống IPS Có khả năng phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, đồng thời giảm thiểu thời gian chết và các chi phí ảnh hưởng đến hiệu quả của hoạt động mạng.