Định nghĩa: Phát
hiện xâm nhập (Intrusion Detection) là nghệ thuật và là khoa học phán
đoán, rà xét khi hệ thống hay mạng bị sử dụng không đúng hay không hợp
lệ. Hệ thống kiểm tra xâm nhập (intrusion detection system-IDS) kiểm
soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin
thu thập được từ những nguồn này, thông báo cho những người có trách
nhiệm khi nó xác định được khả năng có sự xâm nhập.
Nếu tường lửa đóng vai trò như nhân viên bảo vệ cơ
quan, kiểm tra mọi người đến và đi thì hệ thống kiểm tra xâm nhập giống
như có một mạng lưới cảm biến để thông báo cho bạn biết khi có ai đó xâm
nhập, họ đang ở đâu và làm gì.
Tường lửa "án ngữ" ở ngõ vào của mạng và chỉ làm việc
với những gói tin khi chúng đi vào và đi ra khỏi mạng. Một khi kẻ xâm
nhập đã vượt qua được tường lửa, người đó có thể tung hoành tùy trên
mạng. Đó là lý do tại sao hệ thống kiểm tra sự xâm nhập có vai trò quan
trọng.
Có rất nhiều phương pháp để phát hiện kẻ xâm nhập.
Các chuyên gia khuyên rằng nên phối hợp các phương pháp thay vì chỉ dùng
một cơ chế duy nhất.
Kiểm tra trên hệ thống chủ
Có lẽ IDS nổi tiếng nhất là Tripwire, chương trình
được Eugene Spafford và Gene Kim viết vào năm 1992. Tripwire là một minh
họa cho phương pháp dùng chương trình tự động trên hệ thống chủ để phát
hiện sự xâm nhập: khi được cài đặt trên hệ thống chủ nó sẽ kiểm tra
những thay đổi trên hệ thống, bảo đảm những tập tin quan trọng không bị
sửa đổi.
Chương trình này ghi lại những thuộc tính của tập tin
hệ thống quan trọng, sau đó nó sẽ định kỳ so sánh trạng thái hiện hành
của những tập tin này với các thuộc tính được lưu trữ và báo cáo về bất
kỳ thay đổi đáng ngờ nào.
Một cách khác của hướng kiểm tra hệ thống chủ là kiểm soát toàn bộ gói tin khi chúng vào và ra khỏi hệ thống chủ.
Hệ thống kiểm tra xâm nhập theo hướng mạng sẽ kiểm
soát tất cả gói tin trên từng phân mạng, đánh dấu những gói tin bị nghi
ngờ. IDS mạng sẽ tìm kiếm những dấu hiệu đáng ngờ - chỉ thị cho biết
những gói tin có biểu hiện xâm nhập. Những dấu hiệu này có thể tìm thấy
trong nội dung thực của gói tin bằng cách so sánh từng bit với kiểu mẫu
đã biết về dạng tấn công. Ví dụ, hệ thống có thể tìm kiếm những kiểu mẫu
trùng với kiểu tấn công bằng cách sửa đổi các tập tin hệ thống.
|
Những kiểu tấn công khác dựa vào giao thức. Kẻ tấn công thường tìm kiếm các điểm yếu trong mạng bằng cách "sục sạo" vào máy chủ Web, tập tin hay các máy chủ khác được quản trị kém.
Những kiểu tấn công cổng dịch vụ này được xác định
bằng cách theo dõi những cố gắng kết nối vào các cổng dịch vụ mạng kết
hợp với các dịch vụ tương ứng thường dễ bị xâm nhập.
Các dấu hiệu tấn công thường nằm ở phần đầu (header)
của gói tin TCP/IP, dạng cố ý dùng sai chức năng hay luận lý. Ví dụ, kẻ
tấn công có thể thử gửi một gói tin yêu cầu đồng thời đóng và mở một kết
nối TCP; kiểu gói tin này có thể gây nên tình trạng nghẽn mạng
(denial-of-service) cho một số hệ thống.
Những hệ thống kiểm tra xâm nhập mạng có Secure
Intrusion Detection System (trước đây tên là Cisco NetRanger) của Cisco,
RealSecure của Internet Security System và NetProwler của Symantec.
Bạn biết gì, chúng làm gì
Những hệ thống kiểm tra cũng có thể phân loại theo
tri thức hay hành vi. Những hệ thống có sẵn trên thị trường là dạng dựa
trên tri thức, làm việc theo kiểu so trùng các dấu hiệu của các dạng tấn
công đã biết với những thay đổi của hệ thống hay các gói tin trên mạng.
Những hệ thống như vậy rất đáng tin cậy và ít sai sót, nhưng chúng chỉ
có thể phát hiện được những kẻ xâm nhập dùng kiểu tấn công đã được biết.
Vì thế chúng thường không có tác dụng đối với những tấn công mới, nghĩa
là chúng phải được cập nhật thường xuyên về các kiểu tấn công mới.
IDS dựa vào hành vi sẽ xem xét các hoạt động bằng
cách kiểm soát hoạt động của hệ thống hay mạng và đánh dấu bất kỳ hoạt
động nào đáng nghi ngờ. Những hành vi như vậy có thể kích hoạt sự cảnh
báo - thường là cảnh báo sai. Tuy những cảnh báo sai thường phổ biến
trong các IDS hành vi nhưng lại có khả năng phát hiện được những kiểu
tấn công mới.
Một công cụ khác để phát hiện xâm nhập là "hũ mật"
(honeypot) - ở đây tạm dịch là "vùng bẫy", đây là một hệ thống hoàn toàn
dành riêng, được thiết kế để hấp dẫn kẻ tấn công. Những Web site phổ
biến thường dùng vùng bẫy để thu nhận toàn bộ các yêu cầu vào mạng. Bất
kỳ sự tấn công nào vào vùng bẫy cũng được làm cho có vẻ thành công, nhờ
vậy nhà quản trị có thời gian để theo dõi, kiểm soát kẻ tấn công mà
không làm ảnh hưởng đến hệ thống thực đang hoạt động.
Kiểm soát xâm nhập đòi hỏi phải có kế hoạch chặt chẽ.
Cũng giống như việc kiểm soát virus, kiểm soát xâm nhập trên hệ thống
chủ để kiểm soát những thay đổi của hệ thống và tập tin phải được cài
đặt trên những hệ thống "sạch".
Điều quan trọng hơn nữa là phải có sẵn một quy trình
rõ ràng để đối phó với sự xâm nhập. Không phải bao giờ cách tốt nhất
cũng là ngắt kết nối của kẻ xâm nhập.
Tùy vào loại hệ thống và mạng đã được định trước và
bạn muốn điều gì xảy đến cho những kẻ tấn công, người ta thường thích
giữ kẻ tấn công trong hệ thống và nhờ đến cơ quan luật pháp để bắt
chúng. Những quyết định như vậy không thể được thực hiện nóng vội mà
phải thiết lập sẵn những chính sách phản ứng và xây dựng quy trình chu
đáo. Bạn muốn ngăn các kẻ xâm nhập nhưng cũng muốn phát hiện và định vị
chúng một khi chúng xâm nhập thành công.
Computerworld
