Hệ thống phát hiện xâm phạm (IDS) (Phần 1)

Do số lượng xâm phạm ngày càng tăng, khi Internet và các mạng nội bộ
càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn
đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống
khác để kiểm tra các lỗ hổng về bảo mật CNTT. Hệ thống phát hiện xâm
phạm (IDS) là một hệ thống gần đây được đông đảo những người liên quan
đến bảo mật khá quan tâm. Bài viết này chúng tôi sẽ giới thiệu cho các bạn
về chủ đề này, cụ thể là vấn đề tổng quan về một số loại tấn công có thể phát
hiện, triệu chứng khi bị tấn công và nhiệm vụ của IDS, các kiến trúc khác
nhau và những khái niệm trong lĩnh vực này.

IDS là gì?

IDS (Hệ thống phát hiện xâm phạm) là một hệ thống phòng chống, nhằm
phát hiện các hành động tấn công vào một mạng. Mục đích của nó là phát
hiện và ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống,
hoặc những hành động trong tiến trình tấn công như sưu tập, quét các cổng.
Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về
những hành động không bình thường và đưa ra các báo cảnh thông báo cho
quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công
cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ
chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công
từ hacker).

Những gì không phải là một IDS?

Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ
thống phát hiện xâm phạm, không phải mọi thứ đều được quy vào mục này.
Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là
IDS:

Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua
Internet.
Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là nguồn đã
thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc từ các
nguồn quay số từ xa). Bây giờ chúng ta hãy xem xét đến các loại tấn công có
thể bị phát hiện bởi công cụ IDS và xếp chúng vào một chuyên mục đặc biệt.
Các loại tấn công dưới đây có thể được phân biệt:

Những tấn công này liên quan đến sự truy cập trái phép đến tài
nguyên.
o
Việc bẻ khóa và sự vi phạm truy cập
o
Trojan horses
o
Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh
chặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
o
Sự giả mạo
o
Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP
o
Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các
gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số
ngăn xếp IP,…
o
Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát
hiện nhưng đôi khi vẫn có thể)
o
Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về

Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi
một số lượng lớn các thông tin không giá trị để làm tắc nghẽn lưu lượng hạn
chế dịch vụ.

Ping (Smurf) – một số lượng lớn các gói ICMP được gửi
đến một địa chỉ quảng bá.

Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các
message trong một thời điểm ngắn.

SYN – khởi tạo một số lượng lớn các yêu cầu TCP và
không tiến hành bắt tay hoàn toàn như được yêu cầu đối với một giao thức.

Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau
o
Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó

Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng
lớn ICMP (vượt quá 64KB))

Tắt hệ thống từ xa

Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể
gây ra như đã nói ở phần trên.
Bạn cần phải nhớ rằng, hầu hết các tấn công không phải là một hành động
đơn, mà nó thường gồm có một số các sự kiện riêng lẻ

Bạn có gặp phải rủi ro

Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi không

Hoạt động mạng khác thường có tính chất định kỳ

Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai thác các
ứng dụng và tiến hành nhiều phương pháp thử. Các hoạt động xâm phạm
thường khác với hoạt động của người dùng đang làm việc với hệ thống. Bất
kỳ một công cụ kiểm tra thâm nhập đều có thể phân biệt các hoạt động khả
nghi sau một ngưỡng. Nếu vượt quá một ngưỡng nào đó đã được đặt trước
thì sẽ có một cảnh báo xuất hiện và công bố cho bạn biết. Đây là kỹ thuật thụ
động cho phép phát hiện kẻ xâm nhập mà không cần phải tìm một chứng cứ
rõ ràng mà chỉ cần qua việc kiểm tra định lượng.

Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập được điều