He_Thong_Phat_Hien_Xam_Nhap

Hệ thống phát hiện xâm nhập (1)
Tequila (VietHacker.org Translator Group Leader)
Compose by hieupc (PDF)

Hệ thống phát hiện xâm nhập (IDSs) cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ
cao hơn. Nó được đánh giá giá trị không giống như firewall và VPN là ngăn ngừa các cuộc tấn công mà
IDSs cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, 1 IDS có thể thoả
mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công (và
thỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đưa ra một số cảnh báo chưa đúng.
Nhìn chung, IDSs không tự động cấm các cuộc tấn công hoặc là ngăn chặn những kẻ khai thác 1 cách
thành công, tuy nhiên, một sự phát triển mới nhất của IDS đó là hệ thống ngăn chặn xâm nhập (the
intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn và có thể ngăn chặn các cuộc tấn công
khi
nó
xảy
ra.
Định nghĩa 1 IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS được nhìn nhận như là một cái chuông báo
trộm mà có thể thông báo cho bạn biết khi nào thì bạn bị tấn công. Tuy nhiên, những hệ thống IDS hiện đại
thì phức tạp hơn nhiều và ít người có thể đồng ý rằng nó có mức độ giống như một cái chuông báo trộm
truyền thống đáng tin cậy. Nếu sự giống nhau là cùng được sử dụng, thì một hệ thống IDS trông giống như
những chiếc camera chống trộm hơn là 1 cái chuông, những người có trách nhiệm có thể quan sát chúng
và
đáp
trả
cho
những
đe
doạ
xâm nhập.
Thực tế thì dường như IDS chỉ nói cho chúng ta biết rằng mạng đang bị nguy hiểm. Và điều quan trọng để
nhận ra đó là một vài cuộc tấn công vào mạng đã thành công nếu hệ thống không có IDS. Và như chúng ta
đã thấy, một mạng có thể trở thành thiên đường cho các hacker trong hàng năm mà chủ nhân của nó vẫn
không
hề
hay
biết.
Giá trị chính của 1 hệ thống phát hiện xâm nhập theo quan điểm của chúng tôi đó là nó biết được chuyện gì
sẽ xảy ra. Phải, 1 hệ thống IDS có thể giúp chúng ta ngăn ngừa các sự kiện khi nó chưa xảy ra, cung cấp
các giải pháp cho mạng và host, và thậm chí cũng có thể hoạt động như một cái chuông báo động (với
những giới hạn tương ứng). Tuy nhiên, chức năng chính của nó là thông báo cho bạn biết về các sự kiện có
liên quan đến an ninh hệ thống đang sắp sửa xảy ra bên trong mạng và hệ thống mà bạn kiểm soát.
Trong chương này sẽ cho chúng ta cái nhìn tổng quan về IDS bao gồm cả những điểm mạnh và điểm yếu
của chúng. Chúng ta sẽ đề cập đến cả network IDS (nhiều khi được đề cập đến như 1 sniffer) và cả host
IDS (phân tích log, kiểm tra tích hợp và nhiều thứ khác) .
Sự khác nhau chủ yếu giữa network IDS và host IDS đó là dữ liệu mà nó tìm kiếm. NIDS nhìn vào toàn
cảnh các chuyển dịch trên mạng, trong khi host IDS thì quan sát các host, hệ điều hành và các ứng dụng.
Trong thực tế, nó được chia cắt ra nhiều lĩnh vực khác nhau, chẳng hạn như host IDS ngăn chặn các truy
cập có hại cho mạng, còn NIDS thì cố gắng đoán xem cái gì xảy ra bên trong host.Có một vài giới hạn
không
rõ nét
lắm
như
công nghệ
để phát
triển
tiếp
theo.
Vậy những thuận tiện của Host-base IDS là gì? Sự khác nhau cơ bản giữa chúng đó là trong khi NIDS phát
hiện ra các cuộc tấn công tiềm năng (những thứ sẽ được chuyển tới đích) thì host IDS lại phát hiện ra
những cuộc tấn công mà đã thành công, có kết quả. Bởi vậy có thể nói rằng NIDS mang tính tiền phong
hơn. Tuy nhiên, 1 host IDS sẽ hiệu quả hơn đối với trong các môi trường có tốc độ chuyển dịch lớn, mã hoá
và có chuyển mạch - đây là những môi trường mà NIDS rất khó hoạt động. HIDS được thử thách bởi rất
nhiều những hành động có mức độ phơi bày cao của kẻ tấn công và đã thực sự nâng tầm xử lý của chúng.
Mặt khác thì NIDS lại là 1 phần rất tuyệt cho môi trường tổng hợp như toàn bộ mạng. Vì thế, NIDS có thể
tạo nên một sự quan sát có ý nghĩa đến các phần của vụ tấn công có liên quan đến nhiều host. Nó được
thử thách trong môi trường mạng có chuyển mạch tốc độ cao, môi trường mã hoá và các giao thức ứng
dụng hiện đại phức tạp, bởi vậy nên các kết quả báo sai cũng hất có khả năng xảy ra.
Bởi vậy, chúng tôi khuyên các bạn nên lựa chọn công nghệ IDS và bởi vậy cung cấp cho chúng ta lựa chọn
bổ sung chúng vào mạng của bạn như phân tích Bayesian. Chúng tôi cũng quan tâm đến việc những thay
đổi tương lai trong công nghệ IDS có thể mang lại. Cuối cùng chúng tôi sẽ miêu tả một cách đầy đủ việc bổ
sung mã nguồn trên Linux.



19.1 Ví dụ về IDS

Phần này sẽ miêu tả một vài hệ thống IDS bao gồm giám sát logfile, quét các dấu hiệu và phát hiện các dấu
hiệu bất thường.

19.1.1 Host IDSs

Host-based network IDSs có thể được phân chia lỏng lẻo thành các kiểm soát log, kiểm tra độ tích hợp và
các module nhân của hệ thống. Những phần sao sẽ miêu tả từng phần của chúng với các ví dụ cụ thể.

19.1.1.1 Giám sát Logfile :

Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors), thiết bị này sẽ cố gắng phát hiện những
sự xâm nhập bằng cách phân tích các log sự kiện của hệ thống. Ví dụ như, một thiết bị giám sát logfile sẽ
tìm kiếm những logfile ghi nhận những truy cập Apache để truy cập tới Apache để tìm ra đặc điểm của yêu
cầu /cgi-bin/ . Công nghệ này bị giới hạn bởi vì nó chỉ tìm kiếm trong các sự kiện đã được log - là những thứ
mà kẻ tấn công rất dễ để thay thế. Thêm vào đó, hệ thống có thể bỏ qua các sự kiện hệ thống cấp thấp mà
chỉ ghi lại các hoạt động cấp cao.Ví dụ như, HIDS sẽ bỏ qua nếu kẻ tấn công chỉ đọc nội dung file như file
/etc/passwd chẳng hạn. Điều này sẽ xảy ra nếu bạn không đặt file vào chế độ bảo vệ của hệ thống.
Giám sát Logfile là một ví dụ chính cho các hệ thống IDS dựa trên host bởi chúng thực hiện chức năng
giám sát của chúng trên chỉ 1 máy. Tuy nhiên, một hệ thống giám sát host logfile hoàn toàn có thể giám sát
trên nhiều host, thậm chí trên 1 loggging server tích hợp. Sự phát triển của nền tảng host đưa lại một số
thuận tiện cho việc giám sát với các công cụ hệ thống được xây dựng, bởi vì host IDSs có kênh chuyển dịch
tổng hợp an toàn tới 1 server trung tâm, không giống như những syslog thông thường khác. Nó cũng cho
phép tích hợp những logs mà không bình thường để tích hợp trong 1 máy đơn (chẳng hạn như log sự kiện
của Windows.

Mặt khác, NIDS thường quét toàn mạng trên mức độ gói tin, trực tiếp từ đường truyền giống như những
sniffer. Bởi vậy NIDS có thể phối hợp với rất nhiều host có dữ liệu chuyển qua. Giống như những gì chúng
ta thấy trong chương này, mỗi một loại đều có tác dụng và thuận tiện của chúng trong những trường hợp
khác nhau.

Thiết bị giám sát logfile nổi tiếng đó là swatch (http://www.oit.ucsb.edu/~eta/swatch/), là nói tắt của "Simple
Watcher." Trong khi hầu hết các phần mềm phân tích log chỉ quét log theo định kỳ, thì swatch quét tất cả
các đầu vào log và tạo báo cáo cảnh báo theo thời gian thực. Những công cụ khác như logwatch (được tích
hợp cùng với Red Hat Linux thì rất tốt cho các thao tác ngoài. Tuy nhiên, mặc dù swatch đi cùng với nhiều
bước có liên quan thì nó vẫn đòi hỏi nhiều tính năng động và cấu hình khác với những công cụ khác.

Sau đây chúng ta sẽ miêu tả việc cài đặt swatch. Công cụ này khá là ổn định, do đó mà dường như không
thay đổi nhiều trong tương lai. Trước khi cài đặt swatch, bạn cần download và cài đặt Perl modules cần thiết
cho nó. Để cài đặt những module này, đầu tiên hãy download phiên bản mới nhất của swatch và chạy các
bước sau:

perl Makefile.PL

make

make test

make install

make realclean

swatch sử dụng diễn dịch thông thường để tìm đến những dòng lệnh thích hợp. Một khi mà nó tìm đúng
phần cần thiết, nó liền hành động, chẳng hạn như biểu diễn ra màn hình, email 1 cảnh báo hoặc là làm theo
hành động đã được người sử dụng định ra từ trước.



Tiếp



sau



là



1 ví



dụ



script cấu



hình



swatch



đơn



giản:
watchfor /[dD]enied|/DEN.*ED/

echo bold

bell 3

mail

exec "/etc/call_pager 5551234 08"

Trong ví dụ này, swatch tìm đến dòng có chứa từ “denied”, có thể là “Denied” hoặc bất cứ từ nào có bắt đầu
bằng “den” và kết thức với “ed”. Khi mà tìm thấy, nó bôi đen dòng tìm thấy và chuyển tới thiết bị đầu cuối
đồng thời rung chuông 3 lần. Sau đó, swatch gửi mail tới người sử dụng swatch (là người có quyền truy cập
tới các logfile được giám sát – thông thường được giới hạn cho root) với 1 cảnh báo và thực thi chương
trình /etc/call_pager với các lựa chọn đã đựoc đưa ra .

Giám sát logfile có thể được coi như 1 hệ thống phát hiện xâm nhập theo một cách đặc biệt. Logs cũng
chứa rất nhiều thông tin không trực tiếp lên quan đến sự xâm nhập (chỉ là những thông tin mà NIDS nghe
trộm được trên đường truyền). Logs có thể được coi như một cái bể lớn chứa thông tin, một số thông tin
bình thường (như thông tin về kết nối của người chịu trách nhiệm, thông tin cấu hình lại daemon…) và
những thông tin đáng ngờ chẳng hạn như thông tin về đăng nhập từ 1 IP động, truy cập root một cách kỳ
lạ… và rất nhiều những thông tin (malicious) chẳng hạn như RPC buffer overflow được ghi nhận từ
rpc.statd. Xem xét và chọn lọc toàn bộ những thông tin đó chỉ dễ hơn 1 chút so với lắng nghe trên mạng và
tìm kiếm những cuộc tấn công vào web hoặc là các gói tin dị hình.

Nếu tất cả các ứng dụng đều có một hệ thống log an toàn mà tất cả các sự kiện xấu đều được ghi nhận và
đóng gói, những nguời phân tích log có thể không cần đến 1 hệ thống phát hiện xâm nhập. Trong thực tế,
nếu một sự kiện có thể được chỉ ra trong 1 file log hoàn chỉnh thì nó có thể là 1 sự xâm nhập. Tuy nhiên,
trong đời thực thì việc tìm kiếm từng phần trong logs đôi khi cũng giá trị như việc tìm kiếm từng phần trên
đường dẫn.

Thực tế thì việc đi kèm phân tích log hệ thống với NIDS log là một đặt điểm rất có ích đối với người phân
tích log. Người phân tích sẽ nhìn thấy được nhiều hơn là chỉ nhìn trên đường dẫn và tạo ra các chức năng
của meta IDS. Ví dụ như, giải pháp quản lý như netForensics cho phép phân tích log qua các thiết bị, bình
thường hóa và liên kết chúng (bằng các phần dựa trên rule) sau đó phân tích các sự ki