Tweet
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa, mã hóa, và mạng riêng ảo.
Sự phát hiện xâm nhập ( Intrusion Detection) là một kĩ thuật mới gần giống như thế.
Mục đích của một hệ thống phát hiện xâm nhập (IDS) là thông báo cho nhà quản trị mạng khi có một hành vi xâm nhập hoặc một sự tấn công được phát hiện. Bạn có thể phát hiện các sự tấn công hoặc xâm nhập theo nhiều cách và nhiều hệ thống IDS có thể được cài đặt trên mạng để phát hiện các cách tấn công này.
Chương này sẽ cung cấp một cái nhìn tổng quát về phát hiện xâm nhập bằng cách mô tả 4 kiểu đe dọa bảo mật, các kiểu tấn công. Ngoài ra, chương này cũng nghiên cứu về các kiểu khác nhau của IDS, ưu điểm và khuyết điểm của từng loại.
Mối đe dọa bảo mật
Để bảo vệ hệ thống của bạn, đầu tiên bạn phải nhận ra bạn cần bảo vệ chúng khỏi ai và khỏi cái gì. Để có thể phòng thủ đối với các sự tấn công, bạn phải hiểu các kiểu đe dọa đến sự bảo mật mạng của bạn. Có 4 mối đe dọa bảo mật
• Mối đe dọa ở bên trong
• Mối đe dọa ở bên ngoài
• Mối đe dọa không có cấu trúc
• Mối đe dọa có cấu trúc
Mối đe dọa ở bên trong
Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản.
Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật. Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của mạng không dây. Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ tầng dễ bị nguy hiểm hơn nhiều. Vì vậy, các phương pháp mã hóa mạnh luôn được sử dụng trong mạng không dây.
Mối đe dọa ở bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ bên ngoài mạng của công ty và bao gồm tất cả những người không có quyền truy cập vào mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa
Mối đe dọa không có cấu trúc
Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một công ty. Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công DoS vào một hệ thống của một công ty. Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước.
Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên các công ty không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các kiddie, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của cộng đồng. Nếu một web server của 1 công ty bị tấn công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của công ty đó, trong khi thật ra các hacker chỉ tấn công được 1 chỗ yếu của server. Các server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất nhiều lớp bảo mật. Cộng đồng thường không hiểu rằng phá vỡ một trang web của một công ty thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của công ty đó. Cộng đồng phải tin tưởng rằng một công ty rất giỏi trong việc bảo mật các thông tin riêng tư của nó.
Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này.
Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập. Họ biết các phương pháp để tránh những cách bảo vệ này.
Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa, mã hóa, và mạng riêng ảo.
Sự phát hiện xâm nhập ( Intrusion Detection) là một kĩ thuật mới gần giống như thế.
Mục đích của một hệ thống phát hiện xâm nhập (IDS) là thông báo cho nhà quản trị mạng khi có một hành vi xâm nhập hoặc một sự tấn công được phát hiện. Bạn có thể phát hiện các sự tấn công hoặc xâm nhập theo nhiều cách và nhiều hệ thống IDS có thể được cài đặt trên mạng để phát hiện các cách tấn công này.
Chương này sẽ cung cấp một cái nhìn tổng quát về phát hiện xâm nhập bằng cách mô tả 4 kiểu đe dọa bảo mật, các kiểu tấn công. Ngoài ra, chương này cũng nghiên cứu về các kiểu khác nhau của IDS, ưu điểm và khuyết điểm của từng loại.
Mối đe dọa bảo mật
Để bảo vệ hệ thống của bạn, đầu tiên bạn phải nhận ra bạn cần bảo vệ chúng khỏi ai và khỏi cái gì. Để có thể phòng thủ đối với các sự tấn công, bạn phải hiểu các kiểu đe dọa đến sự bảo mật mạng của bạn. Có 4 mối đe dọa bảo mật
• Mối đe dọa ở bên trong
• Mối đe dọa ở bên ngoài
• Mối đe dọa không có cấu trúc
• Mối đe dọa có cấu trúc
Mối đe dọa ở bên trong
Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản.
Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật. Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của mạng không dây. Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ tầng dễ bị nguy hiểm hơn nhiều. Vì vậy, các phương pháp mã hóa mạnh luôn được sử dụng trong mạng không dây.
Mối đe dọa ở bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ bên ngoài mạng của công ty và bao gồm tất cả những người không có quyền truy cập vào mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa
Mối đe dọa không có cấu trúc
Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một công ty. Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công DoS vào một hệ thống của một công ty. Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước.
Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên các công ty không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các kiddie, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của cộng đồng. Nếu một web server của 1 công ty bị tấn công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của công ty đó, trong khi thật ra các hacker chỉ tấn công được 1 chỗ yếu của server. Các server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất nhiều lớp bảo mật. Cộng đồng thường không hiểu rằng phá vỡ một trang web của một công ty thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của công ty đó. Cộng đồng phải tin tưởng rằng một công ty rất giỏi trong việc bảo mật các thông tin riêng tư của nó.
Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này.
Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập. Họ biết các phương pháp để tránh những cách bảo vệ này.
Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong.