Hiểu về hệ thống phát hiện xâm nhập (IDS) – Phần 1

Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin tặc).

IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường.

Tính năng quan trọng nhất của hệ thống phát hiện xâm nhập – IDS là:
•    Giám sát lưu lượng mạng và các hoạt động khả nghi.
•    Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
•    Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.

Phân loại IDS (hệ thống phát hiện xâm nhập)
•    NIDS: hệ thống phát hện xâm nhập mạng.  Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà không làm thay đổi cấu trúc gói tin. NIDS có thể là phần mềm triển khai trên server hoặc dạng thiết bị tích hợp appliance.
•    HIDS: hệ thống phát hiện xâm nhập host. Theo dõi các hoạt động bất thường trên các host riêng biệt. HIDS được cài đặt trực tiếp trên các máy (host) cần theo dõi.

Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IDS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:
•    Theo dõi các hoạt động bất thường đối với hệ thống.
•    Xác định ai đang tác động đến hệ thống và cách thức nhưu thế nào.
•    Các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.

Ưu điểm, hạn chế của hệ thống phát hiện xâm nhập
Ưu điểm:
•    Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng mạng.
•    Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
•    Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.
Hạn chế:
•    Có thể gây ra tình trạng báo động nhầm nếu cấu hình không hợp lý.
•    Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
•    Chi phí triển khai và vận hành hệ thống tương đối lớn .

Hệ thống luật của IDS
Tập luật là thành phần quan trọng nhất của một hệ thống phát hiện xâm nhập. Đây là tập sẽ định ra dấu hiệu (mẫu) để so sánh, đói chiếu với dữ liệu ở đầu vào. Thông thường, tập luật bao gồm rất nhiều luật, mỗi luật sẽ gồm 2 thành phần cơ bản: Rule Header và Rule Options.

Rule header bao gồm các thông tin sau:
•    Rule Action: Cho biết các hoạt động sẽ được thực thi khi “khớp” luật (alert, log, pass, active, dynamic, drop…).
•    Protocol: Cho biết giao thức sẽ kiểm tra (TCP, UDP, ICMP, IP…)
•    IP address: Cho biết thông tin về địa chỉ ip.
•    Port number: Cho biết thông tin về cổng.
•    Direction: Cho biết hướng của dữ liệu mà được so khớp.
Rule options chia làm 4 danh mục:
•    General: cung cấp thông tin chung về luật (msg, reference, rev, classtype…).
•    Payload: Tìm kiếm nội dung payload của gói tin (content, offset, depth, distance, within…).
•    Non-payload: Tìm kiếm nội dung non-payload của gói tin (ttl, ack, tos, id, dsize…).
•    Post-detection: cung cấp các phương pháp thực thi kế tiếp(logto, session, tag…).

Nguồn: TTNC&PTCN