Trong
bài này chúng tôi sẽ giới thiệu cho các bạn hai phương pháp ngăn chặn
các tấn công mạng: phương pháp dựa trên chữ ký và phương pháp phân tích
hành vi mạng dựa trên các dấu hiệu dị thường (NBA).
Các tấn công mạng được thực hiện thành công đã trở
nên quá tầm thường đến nỗi chúng hầu như không còn là những tin tức mới.
Các hacker thường đột nhập vào các site thương mại để đánh cắp các
thông tin về thẻ tín dụng hay thích đột nhập vào các site của bộ quốc
phòng nhằm tìm kiếm các kế hoạch quân sự tối mật. Bên cạnh đó các tấn
công từ chối dịch vụ (DoS) cũng làm cho người dùng xác thực không thể
truy cập vào các site. Trong khi đó các hệ thống ngăn chặn xâm nhập và
tường lửa trong các mạng doanh nghiệp thường cho biết có đến hàng trăm
các cố gắng tấn công mỗi ngày.
Để ngăn chặn các tấn công thành công, hai phương pháp
phát hiện chính được giới thiệu đó là: phương pháp dựa trên chữ ký số
và phân tích hành vi mạng (NBA).
Phát hiện và bảo vệ xâm nhập dựa trên việc phân tích chữ ký số
Các hệ thống dựa trên chữ ký số đặc biệt hiệu quả đối
với các kiểu tấn công đã được phát hiện trước đây. Chúng có thể được
cài đặt một cách nhanh chóng và cho hiệu quả ngay tức khắc. Các hệ thống
này sẽ kiểm tra các gói dữ liệu gửi đến và so sánh nội dung bên trong
chúng với danh sách các cơ chế tấn công được biết trước đây. Các báo cáo
được tạo ra một cách dễ hiểu vì mỗi một sự việc đều chỉ thị một kiểu
tấn công bị phát hiện.
Các hệ thống dựa trên chữ ký số tỏ ra khá hiệu quả
với các kiểu tấn công đã được biết trước đây, tuy nhiên chúng không thể
phát hiện các tấn công zero-day. Các hacker hiểu rằng
bất cứ một tấn công mới nào cũng sẽ nhanh chóng bị phát hiện và các biện
pháp đối phó sẽ được chấp thuận bởi các hãng phòng chống xâm nhập. Vì
vậy chúng thường khởi chạy các tấn công trên một số lượng lớn các site
ngay khi có phương pháp tấn công mới được phát triển.
Chính vì điều đó nên các hệ thống dựa trên chữ ký số
phải được cập nhật một cách liên tục. Các hãng phải chọn và kiểm tra các
báo cáo tấn công trên toàn thế giới. Họ cũng cần sưu tầm dữ liệu từ các
sản phẩm được cài đặt tại các site khách hàng. Khi một khách hàng nhận
thấy tấn công, các nhân viên của hãng sẽ phân tích nó, tìm ra cách khắc
phục và phân phối nâng cấp đến tất cả các site khách hàng. Tuy nhiên khi
các hãng có thể phát hiện các phương pháp tấn công mới và đưa ra lời
khuyên một cách nhanh chóng nhưng những site đầu tiên bị tấn công chắc
chắn sẽ bị thỏa hiệp.
Các hệ thống phát hiện xâm nhập dựa trên các dấu hiệu dị thường
Các hệ thống phát hiện tấn công dựa trên các hành vi
dị thường sẽ phát hiện hành động mạng không phù hợp với mẫu hành vi mong
đợi. Hệ thống sẽ được cấu hình, theo sản phẩm, với các thông tin trên
các mẫu hành vi thông thường. Cho ví dụ, các ứng dụng có thể truy cập
hợp pháp vào một bản ghi cơ sở dữ liệu tại một thời điểm nào đó. Nếu hệ
thống phát hiện xâm nhập phát hiện có sự truy cập đến một số lượng lớn
các bản ghi thì chúng sẽ bị nghi đó là một tấn công. Tương tự như vậy,
nếu một người dùng với điều khoản truy cập vào một tập các bản ghi hạn
chế bắt đầu có cố gắng truy cập vào các loại thông tin khác, khi đó máy
trạm của họ có thể đã bị tiêm nhiễm.
Không giống như các hệ thống dựa trên chữ ký số, các tấn công zero-day
có thể bị phát hiện vì các tấn công không có mẫu có thể nhận diện hợp
lệ với hệ thống xâm nhập dựa trên hành động dị thường. Tuy nhiên nhược
điểm của các hệ thống này là phải được cấu hình một cách cẩn thận nhằm
nhận ra các mẫu hành vi mong muốn. Các cấu hình phải được cập nhậ khi
các ứng dụng mới được bổ sung hoặc các ứng dụng tồn tại được thay đổi.
Cấu hình IPS để phòng chống các tấn công tinh vi
Các tấn công theo kiểu dàn trải nhiều lệnh, chẳng hạn
như việc dàn trải các thông điệp HTTP trong các tấn công web đều gây ra
khó khăn cho cả hai hệ thống kể trên. Với các hệ thống dựa trên chữ ký
số, chữ ký có thể được trải rộng bằng một loạt các lệnh mà không có gói
dữ liệu nào phù hợp với profile tấn công. Các hệ thống dựa trên dấu hiệu
dị thường có thể thất bại trong việc phát hiện tấn công đồng thời nhắm
vào một số máy chủ. Một chuỗi được gửi đến mỗi host có thể xuất hiện hợp
lệ nhưng cũng có thể làm thủng các ứng dụng trên các máy chủ.
Thêm vào sự khó khăn đó, không chỉ tất cả các gói có
thể vào mạng tại cùng một điểm hoặc một gateway. Mặc dù các mạng doanh
nghiệp thường duy trì nhiều cổng để truy cập Internet với các hệ thống
phát hiện xâm nhập ở mỗi cổng nhưng hầu như tất cả các cổng đều không đủ
khả năng.
Bên cạnh đó virus có thể xâm nhập vào một mạng của
công ty bạn thông qua các địa điểm khác ngoài các cổng. Các nhân viên có
thể mang laptop được sử dụng với mạng gia đình của họ đến công ty. Khi
họ kết nối lại laptop này vào mạng nội bộ, virus có thể xâm nhập vào
mạng công ty mà không cần thâm nhập qua cổng Internet. Các mạng không
dây cũng có lỗ hổng khác và khó có thể phát hiện khi thực thi một hệ
thống ngăn chặn xâm nhập. Một hacker nào đó bên ngoài đang tấn công
thông qua LAN không dây (WLAN) cũng có thể xâm nhập vào các cổng mạng.
Chính vì vậy các hệ thống phát hiện xâm nhập cũng
phải được cài đặt tại các điểm chính trong toàn bộ mạng (giống như một
switch kết nối các cổng mạng với máy chủ, nơi các ứng dụng chạy hoặc kết
nối đến máy chủ cơ sở dữ liệu) để phát hiện các tấn công này. Các hệ
thống phải trao đổi thông tin với nhau và đánh giá các báo cáo từ nhiều
nguồn chẳng hạn như các router và các bản ghi máy chủ để tương quan
chuỗi các gói dữ liệu nhằm phát hiện sự tấn công.
Trong khi các hệ thống dựa trên chữ ký số có thể được
cài đặt nhanh chóng và thực thi ngay lập tức, nhưng việc thiết kế, cấu
hình và cài đặt một hệ thống dựa trên hành vi dị thường lại khá phức
tạp. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho
các bạn các bước có liên quan đến việc cấu hình và cài đặt hệ thống phát
hiện xâm nhập dựa trên hành vi dị thường.
bài này chúng tôi sẽ giới thiệu cho các bạn hai phương pháp ngăn chặn
các tấn công mạng: phương pháp dựa trên chữ ký và phương pháp phân tích
hành vi mạng dựa trên các dấu hiệu dị thường (NBA).
Các tấn công mạng được thực hiện thành công đã trở
nên quá tầm thường đến nỗi chúng hầu như không còn là những tin tức mới.
Các hacker thường đột nhập vào các site thương mại để đánh cắp các
thông tin về thẻ tín dụng hay thích đột nhập vào các site của bộ quốc
phòng nhằm tìm kiếm các kế hoạch quân sự tối mật. Bên cạnh đó các tấn
công từ chối dịch vụ (DoS) cũng làm cho người dùng xác thực không thể
truy cập vào các site. Trong khi đó các hệ thống ngăn chặn xâm nhập và
tường lửa trong các mạng doanh nghiệp thường cho biết có đến hàng trăm
các cố gắng tấn công mỗi ngày.
Để ngăn chặn các tấn công thành công, hai phương pháp
phát hiện chính được giới thiệu đó là: phương pháp dựa trên chữ ký số
và phân tích hành vi mạng (NBA).
Phát hiện và bảo vệ xâm nhập dựa trên việc phân tích chữ ký số
Các hệ thống dựa trên chữ ký số đặc biệt hiệu quả đối
với các kiểu tấn công đã được phát hiện trước đây. Chúng có thể được
cài đặt một cách nhanh chóng và cho hiệu quả ngay tức khắc. Các hệ thống
này sẽ kiểm tra các gói dữ liệu gửi đến và so sánh nội dung bên trong
chúng với danh sách các cơ chế tấn công được biết trước đây. Các báo cáo
được tạo ra một cách dễ hiểu vì mỗi một sự việc đều chỉ thị một kiểu
tấn công bị phát hiện.
Các hệ thống dựa trên chữ ký số tỏ ra khá hiệu quả
với các kiểu tấn công đã được biết trước đây, tuy nhiên chúng không thể
phát hiện các tấn công zero-day. Các hacker hiểu rằng
bất cứ một tấn công mới nào cũng sẽ nhanh chóng bị phát hiện và các biện
pháp đối phó sẽ được chấp thuận bởi các hãng phòng chống xâm nhập. Vì
vậy chúng thường khởi chạy các tấn công trên một số lượng lớn các site
ngay khi có phương pháp tấn công mới được phát triển.
Chính vì điều đó nên các hệ thống dựa trên chữ ký số
phải được cập nhật một cách liên tục. Các hãng phải chọn và kiểm tra các
báo cáo tấn công trên toàn thế giới. Họ cũng cần sưu tầm dữ liệu từ các
sản phẩm được cài đặt tại các site khách hàng. Khi một khách hàng nhận
thấy tấn công, các nhân viên của hãng sẽ phân tích nó, tìm ra cách khắc
phục và phân phối nâng cấp đến tất cả các site khách hàng. Tuy nhiên khi
các hãng có thể phát hiện các phương pháp tấn công mới và đưa ra lời
khuyên một cách nhanh chóng nhưng những site đầu tiên bị tấn công chắc
chắn sẽ bị thỏa hiệp.
Các hệ thống phát hiện xâm nhập dựa trên các dấu hiệu dị thường
Các hệ thống phát hiện tấn công dựa trên các hành vi
dị thường sẽ phát hiện hành động mạng không phù hợp với mẫu hành vi mong
đợi. Hệ thống sẽ được cấu hình, theo sản phẩm, với các thông tin trên
các mẫu hành vi thông thường. Cho ví dụ, các ứng dụng có thể truy cập
hợp pháp vào một bản ghi cơ sở dữ liệu tại một thời điểm nào đó. Nếu hệ
thống phát hiện xâm nhập phát hiện có sự truy cập đến một số lượng lớn
các bản ghi thì chúng sẽ bị nghi đó là một tấn công. Tương tự như vậy,
nếu một người dùng với điều khoản truy cập vào một tập các bản ghi hạn
chế bắt đầu có cố gắng truy cập vào các loại thông tin khác, khi đó máy
trạm của họ có thể đã bị tiêm nhiễm.
Không giống như các hệ thống dựa trên chữ ký số, các tấn công zero-day
có thể bị phát hiện vì các tấn công không có mẫu có thể nhận diện hợp
lệ với hệ thống xâm nhập dựa trên hành động dị thường. Tuy nhiên nhược
điểm của các hệ thống này là phải được cấu hình một cách cẩn thận nhằm
nhận ra các mẫu hành vi mong muốn. Các cấu hình phải được cập nhậ khi
các ứng dụng mới được bổ sung hoặc các ứng dụng tồn tại được thay đổi.
Cấu hình IPS để phòng chống các tấn công tinh vi
Các tấn công theo kiểu dàn trải nhiều lệnh, chẳng hạn
như việc dàn trải các thông điệp HTTP trong các tấn công web đều gây ra
khó khăn cho cả hai hệ thống kể trên. Với các hệ thống dựa trên chữ ký
số, chữ ký có thể được trải rộng bằng một loạt các lệnh mà không có gói
dữ liệu nào phù hợp với profile tấn công. Các hệ thống dựa trên dấu hiệu
dị thường có thể thất bại trong việc phát hiện tấn công đồng thời nhắm
vào một số máy chủ. Một chuỗi được gửi đến mỗi host có thể xuất hiện hợp
lệ nhưng cũng có thể làm thủng các ứng dụng trên các máy chủ.
Thêm vào sự khó khăn đó, không chỉ tất cả các gói có
thể vào mạng tại cùng một điểm hoặc một gateway. Mặc dù các mạng doanh
nghiệp thường duy trì nhiều cổng để truy cập Internet với các hệ thống
phát hiện xâm nhập ở mỗi cổng nhưng hầu như tất cả các cổng đều không đủ
khả năng.
Bên cạnh đó virus có thể xâm nhập vào một mạng của
công ty bạn thông qua các địa điểm khác ngoài các cổng. Các nhân viên có
thể mang laptop được sử dụng với mạng gia đình của họ đến công ty. Khi
họ kết nối lại laptop này vào mạng nội bộ, virus có thể xâm nhập vào
mạng công ty mà không cần thâm nhập qua cổng Internet. Các mạng không
dây cũng có lỗ hổng khác và khó có thể phát hiện khi thực thi một hệ
thống ngăn chặn xâm nhập. Một hacker nào đó bên ngoài đang tấn công
thông qua LAN không dây (WLAN) cũng có thể xâm nhập vào các cổng mạng.
Chính vì vậy các hệ thống phát hiện xâm nhập cũng
phải được cài đặt tại các điểm chính trong toàn bộ mạng (giống như một
switch kết nối các cổng mạng với máy chủ, nơi các ứng dụng chạy hoặc kết
nối đến máy chủ cơ sở dữ liệu) để phát hiện các tấn công này. Các hệ
thống phải trao đổi thông tin với nhau và đánh giá các báo cáo từ nhiều
nguồn chẳng hạn như các router và các bản ghi máy chủ để tương quan
chuỗi các gói dữ liệu nhằm phát hiện sự tấn công.
Trong khi các hệ thống dựa trên chữ ký số có thể được
cài đặt nhanh chóng và thực thi ngay lập tức, nhưng việc thiết kế, cấu
hình và cài đặt một hệ thống dựa trên hành vi dị thường lại khá phức
tạp. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho
các bạn các bước có liên quan đến việc cấu hình và cài đặt hệ thống phát
hiện xâm nhập dựa trên hành vi dị thường.
| ||||
Văn Linh (Theo Searchnetworking) |