TỔNG QUAN VỀ IPS/IDS
Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.
Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền
Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.
1.1. Dựa vào chữ ký (Signature-Based)
Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):
Hình 1.1
1.2. Dựa vào sự bất thường
Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:
Hình 1.2
Hình 1.3
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image008.png[/IMG]
Hình 1.4
1.3. Dựa vào chính sách
Quan sát và gửi cánh báo khi hành vi vi phạm với chính sách (hình 1.5, 1.6).
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image010.png[/IMG]
Hình 1.5
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image012.png[/IMG]
Hình 1.6
Chính sách phụ thuộc vào nguời quản trị đưa ra để có thể nhận biết sự vi phạm.
2. NHỮNG DẠNG CẢNH BÁO
2.1. Cảnh báo sai
Hình 1.7
Hoạt động của thiết bị IDS (hình 1.7).
Hoạt động của thiết bị IPS (hình 1.8).
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image016.png[/IMG]
Hình 1.8
3. SIGNATURE
Một Signature là tập hợp những luật, mà cảm biến (sensor) của bạn dùng để dò tìm những hoạt động xâm nhập, bộ cảm biến hỗ trợ ba loại Signature:
Là một thành phần của bộ cảm biến hỗ trợ một tập hợp được phân loại các Signature. Mỗi Signature của Cisco IPS được điều khiển bởi một Signature Engine được thiết kế để phân tích và kiểm tra một dữ liệu cụ thể. Mỗi engine có một tập hợp các tham số hợp lệ mà có một tập hợp các giá trị.
Những tham số có thể cấu hình cho phép bạn điều chỉnh Signature để làm việc tối ưu trong hệ thống mạng và để tạo Signature mới duy nhất cho môi trường mạng của bạn. 3.2. Cảnh báo
Mặc định, bộ cảm biến tạo ra cảnh báo khi một Signature được kích hoạt, bạn vẫn có thể tắt thiết lập mà tạo cảnh báo. Cảnh báo sẽ được lưu trong bộ lưu trữ sự kiện (Event Store) của thiết bị IPS/IDS.
Thiết bị hay ứng dụng giám sát bên ngoài có thể lấy những cảnh báo này từ bộ cảm biến qua SDEE, nhiều nguồn bên ngoài có thể lấy cảnh báo đồng thời. Cảnh báo có những mức bảo mật:
Đánh giá rủi ro (risk rating) chỉ liên quan đến cảnh báo được tạo, không liên quan đến Signature. Nó dựa trên một vài thành phần để tính toán, trong đó một số có thể được cấu hình, được tập hợp do quá trình phân tích hay được sinh ra từ những tham số cụ thể.
Những thành phần chính ảnh hưởng đến kết quả của quá trình tính toán độ rủi ro. 4.1. Đánh giá mức độ nghiêm trọng của cuộc tấn công
Đánh giá mức độ nghiêm trọng của cuộc tấn công (Attack Severity Rating) được cấu hình trên từng Signature và cho biết sự kiện được phân tích có mức độ nguy hiểm như thế nào. Nó không cho biết mức độ chính xác của sự kiện được phân tích. Được thể hiện bởi 4 mức:
Đánh giá mức quan trọng hệ thống đích (Target Value Rating) được cấu hình trong Event Action Rules, dùng để đánh giá sự quan trọng, giá trị của thiết bị (dựa vào địa chỉ) trong hệ thống của bạn. Được thể hiện bởi 5 mức:
4.3. Đánh giá mức tin cậy của Signature
Đánh giá mức tin cậy của Signature (Signature Fidelity Rating) được cấu hình trên từng Signature, giá trị hợp lệ từ 0 ÷ 100. Nó cho biết mức độ chính xác của sự kiện được phân tích hay những điều kiện mô tả của Signature chính xác như thế nào. Giá trị này không cho biết mức độ tác động của cuộc tấn công. 4.4. Đánh giá mức độ liên quan của cuộc tấn công
Đánh giá mức độ liên quan của cuộc tấn công (Attack Relevancy Rating) của bất kỳ hệ điều hành nào thì được xem xét ở thời điểm cảnh báo được tạo.
Mỗi cuộc tấn công sẽ ảnh hưởng đến một hoặc nhiều hệ điều hành nhất định, việc đánh giá hệ điều hành bị ảnh hưởng của cuộc tấn công sẽ cho biết mức độ rủi ro thực sự của cuộc tấn công. Giá trị được sinh ra và không được cấu hình. Thể hiện bởi ba giá trị:
Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.
Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền
Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.
1.1. Dựa vào chữ ký (Signature-Based)
Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):
- Yêu cầu cơ sở dữ liệu được xây dựng dựa vào sự nhận diện những vi phạm hoặc cuộc tấn công được trước đó.
- Cơ sở dữ liệu này cần được cập nhật thường xuyên, để đảm bảo khả năng nhận diện được những cuộc tấn công mới.
Hình 1.1
1.2. Dựa vào sự bất thường
Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:
- Thống kê (statistical): Lưu lượng dữ liệu sẽ được xây dựng dựa theo ngưỡng, ngưỡng này sẽ được dùng để so sánh với lưu lượng vượt mức trong một khoảng thời gian ngắn (do vấn đề về Worm), nếu vượt quá mức ngưỡng được qui định thì IPS/IDS sẽ cho rằng hệ thống mạng đang ở trạng thái bất thường (hình 1.2).
Hình 1.2
- Không thống kê (nonstatistical): Sự bất thường sẽ được nhận biết dựa vào những việc không tuân theo chuẩn qui định của giao thức so với RFC. Ví dụ gói http, FTP, SNMP... chứa những phương thức, dòng lệnh không được định nghĩa với RFC, đây là sự bất thường về mặt giao thức (hình 1.3, 1.4).
Hình 1.3
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image008.png[/IMG]
Hình 1.4
1.3. Dựa vào chính sách
Quan sát và gửi cánh báo khi hành vi vi phạm với chính sách (hình 1.5, 1.6).
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image010.png[/IMG]
Hình 1.5
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image012.png[/IMG]
Hình 1.6
Chính sách phụ thuộc vào nguời quản trị đưa ra để có thể nhận biết sự vi phạm.
2. NHỮNG DẠNG CẢNH BÁO
2.1. Cảnh báo sai
- False Positive: Những loại dữ liệu thông thường cũng có thể là nguyên nhân chữ ký được kích hoạt hoặc những vi phạm nhưng mức độ ảnh hưởng không đáng kể. Việc kích hoạt chữ ký trong trường hợp này có thể là không cần thiết.
- False Negative: Chữ ký sẽ không được kích hoạt cho dù có sự vi phạm thực sự được tạo ra. Trường hợp này có thể do nguyên nhân bởi thiết bị hoặc chữ ký xây dựng không tốt.
- True Positive: Chữ ký sẽ được kích hoạt khi sự vi phạm thực sự được phát hiện, đây là hành động mong muốn bởi người quản trị
- True Negative: Chữ ký sẽ không được kích hoạt khi không có sự vi phạm, những dữ liệu bình thuờng, những vi phạm mà mức độ ảnh hưởng không đáng kể cũng không là nguyên nhân chữ ký được kích hoạt.
Hình 1.7
Hoạt động của thiết bị IDS (hình 1.7).
Hoạt động của thiết bị IPS (hình 1.8).
[IMG]file:///C:/Users/dangq/AppData/Local/Temp/msohtmlclip1/01/clip_image016.png[/IMG]
Hình 1.8
3. SIGNATURE
Một Signature là tập hợp những luật, mà cảm biến (sensor) của bạn dùng để dò tìm những hoạt động xâm nhập, bộ cảm biến hỗ trợ ba loại Signature:
- Signature mặc định: Là những dấu hiệu tấn công được nhận biết mà đã tích hợp sẵn trong phần mềm cảm biến.
- Signature được điều chỉnh: Là những Signature được xây dựng sẵn nhưng đã được tùy chỉnh bởi người dùng.
- Signature tùy biến: Những Signature mới được tạo bởi người dùng.
Là một thành phần của bộ cảm biến hỗ trợ một tập hợp được phân loại các Signature. Mỗi Signature của Cisco IPS được điều khiển bởi một Signature Engine được thiết kế để phân tích và kiểm tra một dữ liệu cụ thể. Mỗi engine có một tập hợp các tham số hợp lệ mà có một tập hợp các giá trị.
Những tham số có thể cấu hình cho phép bạn điều chỉnh Signature để làm việc tối ưu trong hệ thống mạng và để tạo Signature mới duy nhất cho môi trường mạng của bạn. 3.2. Cảnh báo
Mặc định, bộ cảm biến tạo ra cảnh báo khi một Signature được kích hoạt, bạn vẫn có thể tắt thiết lập mà tạo cảnh báo. Cảnh báo sẽ được lưu trong bộ lưu trữ sự kiện (Event Store) của thiết bị IPS/IDS.
Thiết bị hay ứng dụng giám sát bên ngoài có thể lấy những cảnh báo này từ bộ cảm biến qua SDEE, nhiều nguồn bên ngoài có thể lấy cảnh báo đồng thời. Cảnh báo có những mức bảo mật:
- Thông tin (Informational);
- Thấp (Low);
- Trung bình (Medium);
- Cao (High).
Đánh giá rủi ro (risk rating) chỉ liên quan đến cảnh báo được tạo, không liên quan đến Signature. Nó dựa trên một vài thành phần để tính toán, trong đó một số có thể được cấu hình, được tập hợp do quá trình phân tích hay được sinh ra từ những tham số cụ thể.
Những thành phần chính ảnh hưởng đến kết quả của quá trình tính toán độ rủi ro. 4.1. Đánh giá mức độ nghiêm trọng của cuộc tấn công
Đánh giá mức độ nghiêm trọng của cuộc tấn công (Attack Severity Rating) được cấu hình trên từng Signature và cho biết sự kiện được phân tích có mức độ nguy hiểm như thế nào. Nó không cho biết mức độ chính xác của sự kiện được phân tích. Được thể hiện bởi 4 mức:
- Thông tin (25);
- Thấp (50);
- Trung bình (75);
- Cao (100).
Đánh giá mức quan trọng hệ thống đích (Target Value Rating) được cấu hình trong Event Action Rules, dùng để đánh giá sự quan trọng, giá trị của thiết bị (dựa vào địa chỉ) trong hệ thống của bạn. Được thể hiện bởi 5 mức:
- Mức 0 (50);
- Thấp (75);
- Trung bình (100);
- Cao (150);
- Quan trọng (200).
4.3. Đánh giá mức tin cậy của Signature
Đánh giá mức tin cậy của Signature (Signature Fidelity Rating) được cấu hình trên từng Signature, giá trị hợp lệ từ 0 ÷ 100. Nó cho biết mức độ chính xác của sự kiện được phân tích hay những điều kiện mô tả của Signature chính xác như thế nào. Giá trị này không cho biết mức độ tác động của cuộc tấn công. 4.4. Đánh giá mức độ liên quan của cuộc tấn công
Đánh giá mức độ liên quan của cuộc tấn công (Attack Relevancy Rating) của bất kỳ hệ điều hành nào thì được xem xét ở thời điểm cảnh báo được tạo.
Mỗi cuộc tấn công sẽ ảnh hưởng đến một hoặc nhiều hệ điều hành nhất định, việc đánh giá hệ điều hành bị ảnh hưởng của cuộc tấn công sẽ cho biết mức độ rủi ro thực sự của cuộc tấn công. Giá trị được sinh ra và không được cấu hình. Thể hiện bởi ba giá trị:
- Liên quan (Relevant (10));
- Không biết (Unknow (0));
- Không liên quan (Not Relevant (-10)).