Tìm hiểu về linux based ids
1. Giới thiệu hệ thống IDSHệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện ra hiện tượng bất thường, các hoạt động trái phép xâm nhập vào hệ thống. IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên ngoài. Show
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như cách phần mềm diệt virus phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể chấp nhận được) để tìm ra các dấu hiệu bất thường. Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
2. Kiến trúc, chức năng và quy trình hoạt động của IDS2.1 Các thành phần của IDSIDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response) nếu gói tin đó được phát hiện là một cuộc tấn công. Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định. Bộ cảm biến tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiến. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết. Thêm vào đó, cơ sở dữ liệu giữa các tham số cấu hình, gồm các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có sơ sở dữ liệu của riêng nó. 2.2 Chức năngChức năng quan trọng nhất của IDS là:
Chức năng mở rộng của IDS:
2.3 Quy trình hoạt động của IDS
3. Phân loại IDSHệ thống IDS được chia làm 2 loại cơ bản:
3.1 Network based IDS - NIDSHệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS). Ưu điểm:
Nhược điểm:
3.2 Host based IDS - HIDSBằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập. Hệ thống dựa trên máy chủ cũng theo dói OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ. HIDS thường được cài đặt trên một máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host quan trọng và các server trong vùng DMS. Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:
Ưu điểm:
Nhược điểm:
4. Những loại tấn công thường gặp và IDS tương ứng4.1 Tấn công từ chối dịch vụ Denial of ServicesDenial of Service (DoS) có mục đích đóng bang hay chặn đứng tài nguyên hệ thống đích. Cuối cùng mục tiêu không thể tiếp cận và trả lời các gói tin gửi đến. DoS tấn công vào các mục tiêu bao gồm 3 dạng: mạng, hệ thống và ứng dụng.
4.2 Quét và thăm dò (Scanning và Probe)Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định điểm yếu. Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như kiểm tra các cổng TCP hoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới.
4.3 Tấn công vào mật khẩu (Password attack)Có các phương thức để tiếp cận:
4.4 Chiếm đặc quyền (Privilege-grabbing)Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truy cập. Khi thành công, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin quan trọng. Một số kỹ thuật thường dung cho việc chiếm đặc quyền:
4.5 Cài đặt mã nguy hiểm (Hostile code insertion)Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập tiếp theo.
4.6 Hành động phá hoại trên máy móc (Cyber vandalism)Hành động phá hoại bao gồm: thay đổi trang web, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa
4.7 Tấn công hạ tầng bảo mật (Security infrastructure attack)Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dung hay thay đổi các quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có them quyền truy cập hay tạo them nhiều đường xâm nhập vào hệ thống
Chúng ta sẽ cùng nghiên cứu demo về HIDS trong phần 2 của bài giới thiệu này. |