• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP))

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP))

    Tác giả: Lê Tài Nguyên

    Phần 1: Tìm hiểu nhu cầu bảo mật mạng (trong thương mại điện tử)


    1. Tại sao phải bảo mật mạng ?

    Nhiều nhà nghiên cứu ước tính có khoảng hơn 100 triệu host, với hơn 350 triệu người sử dụng liên quan. Nhiều công ty lệ thuộc nặng nề vào ngành thương mại điện tử cho việc kinh doanh của họ.Việc hợp nhất internet vào trong tổ chức kinh doanh được đánh giá là có hiệu quả.Những người sử dụng ở nhà thường xuyên tận dụng sự truy cập tốc độ cao ma khá rẽ tới cho nhà của họ thông qua những cáp modem và những đường dây đang kí thuê bao điện thoại kĩ thuật số( DSLs). Điểm cốt yếu là những gì mà Internet mang lại mang tính công cộng hơn trước kia và vẫn phát triển rộng lơn mà không có thể không có điểm kết thúc.
    Trải qua nhiều năm trước đây,việc kinh doanh trên mạng, hay thương mại điện tử đã được cải thiện một cách mạnh mẽ về cả chất lượng của những công ty và cả sự tăng về thu nhập.Những ứng dụng thương mại điện tử như thương nghiệp điện tử, sự quản lí dây chuyền cung cấp, và điều khiển khả năng truy cập của những công ty vào tiến trình hợp lí, sự điều hành giá thấp hơn, và làm tăng sự hài lòng của khách hàng.
    Vì vậy những ứng dụng đòi hỏi những mạng có nhiệm vụ then chốt như cung cấp âm thanh, hình ảnh, và dữ liệu công cộng, và những mạng này phải được thích nghi để hỗ trợ cho việc tăng số người sử dụng và nhu cầu cho dung lượng và sự thực thi lớn hơn. Tuy nhiên đối với những mạng có nhiều ứng dụng và có nhiều người sử dụng hơn nữa, chúng trở nên dễ bị tổn hại cho quá nhiều mối đe dọa từ việc bảo mật. Để chống lại các mối đe dọa này va đảm bảo rằng sự giao dịch thương mại điện tử không bị tổn hại, kĩ thuật bảo mật phải đóng một vai trò quan trọng trong hệ thống mạng ngày nay.
    .................................................. ...................
    Tìm hiểu một mạng “kín” trong quá khứ


    Một mạng khép kín đơn giản bao gồm một mạng được thiết kế và thực thi trong một môi trường hợp nhất, và cung cấp sự kết nối chỉ để biết những thành viên và những vị trí của nó mà không kết nối tới mạng công cộng. Những mạng được thiết kế theo cách này trong quá khứ và để đảm bảo an toàn một cách hợp lí bởi vì nó không có kết nối với bên ngoài.
    Một mạng tiêu biểu ngày nay:


    Những mạng ngày nay được thiết kế với khả năng kết nối với Internet và mạng công cộng, và đó là một yêu cầu chính yếu. Hầu hết các mạng ngày nay có một vài điểm truy cập tới những mạng khác kể cả mạng công cộng lẫn mạng cá nhân, vì vậy việc bảo mật cho những mạng này trở thành một nhiệm vụ quan trọng một cách tất yếu.
    Những mối đe dọa ngày càng tăng và dễ dàng sử dụng chúng :


    Với việc phát triển một một số lớn các mạng đã kéo theo việc tăng những mối đe dọa việc bảo mật từ 20 năm trước đây. Không chỉ những hacker khám phá ra nhiều chỗ yếu, mà những công cụ được sử dụng và trình độ kĩ thuật đòi hỏi để hack trở nên quá đơn giản. Có những ứng dụng có sẵn mà yêu cầu một ít hay không có kiến thức cho tới công cụ hacking . Cũng có những ứng dụng vốn có cho việc xử lí sự cố một mạng mà khi được sử dụng không đúng cách có thể dẫn tới nhiều mối đe dọa.
    .................................................. ...................
    Bảo mật mạng là cấp thiết :


    Sự bảo mật đã di chuyển tới mặt trước của sự quản lí và thực thi mạng. Đó là sự cần thiết cho sự tồn tại của nhiều việc kinh doanh để cho phép mở ra việc truy cập tài nguyên mạng, và đảm bảo rằng dữ liệu và những tài nguyên được an toàn như có thể.
    Nhu cầu của việc bảo mật mạng trở nên quan trọng hơn bởi vì những lí do sau đây:
    - Yêu cầu cho thương mại điện tử -- Sự quan trọng của thương mại và nhu cầu cho những dữ liệu cá nhân để đi qua những mạng công cộng đã làm tăng nhu cầu cho sự bảo mật mạng.
    - Yêu cầu cho việc truyền thông và thực hiện việc kinh doanh một cách an toàn trong những môi trường không an toàn một cách tiềm tàng. Môi trường kinh doanh ngày nay đòi hỏi sự truyền thông với nhiều mạng công cộng và những hệ thống mà làm tăng nhu cầu cho nhiều sự bảo mật mạng có thể xảy ra khi những loại truyền thông được yêu cầu.
    - Kết quả là những mạng đòi hỏi những sự phát triển và thi hành của một chính sách bảo mật mạng diện rộng. Sự thiết lập một chính sách bảo mật sẽ là những bước đầu tiên trong sự di chuyển một mạng tới một thiết bị an toàn.
    .................................................. ...................
    Đặng Hoàng Khánh
    Email: danghoangkhanh@vnpro.org
    ---------------------------
    VnPro - Cisco Authorised Training
    Discuss about Networking, especially Cisco technology: http://vnpro.org
    Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

  • #2
    Tác giả: Lê Tài Nguyên

    2. Bảo mật mạng trong thương mại điện tử :



    Bảo mật phải là một thành phần chủ yếu của bất kì chiến lược của thương mại điện tử. Như những người quản lí hoạt động kinh doanh mạng mở ra những mạng của họ cho nhiều ứng ụng và nhiều người sử dụng, họ cũng bộc bộc lộ tới sự mạo hiểm cao hơn. Kết quả đã là một sự gia tăng trong yêu cầu bảo mật kinh doanh.
    Internet đã thay đổi sự trông mông cơ bản của khả năng xây dựng những mối quan hệ với khách hàng của các công ty, nhà cung cấp, những thành viên, và nhân viên. Việc chạy đua giữa những công ty để trở nên nhanh hơn và cạnh tranh hơn, thương mại điện tử thì đang cung cấp sự sinh ra những ứng dụng mới thú vị cho thương nghiệp điện tử, sự quản lí chuỗi cung cấp, sự quan tâm khách hàng, sự lạc quan về lực lượng lao động, và những ứng dụng việc học qua mạng mà những tiến trình cải thiện, tăng tốc số lần thay đổi hoàn toàn , giá thấp hơn, và tăng sự hài lòng của người sử dụng.
    Thương mại điện tử yêu cầu những mạng có nhiệm vụ then chốt mà xem xét những cử tri liên tục tăng quanh năm và đòi hỏi cho công suất và sự thực thi lớn hơn. Những mạng này cũng cần cho việc điều khiển tiếng nói, âm thanh, và dữ liệu cộng cộng như sự hội tụ mạng thành một môi trường đa phục vụ.

    3. Những chính sách bảo mật của chính phủ Mỹ :



    Sự phân chia pháp lí của những tổ chức và những lỗ thủng trong sự cẩn mật dữ liệu và tính liêm chính cũng có thể là vô cùng quí giá cho việc tổ chức. Chính phủ Mỹ cũng ban hành và đang phát triển những sự sắp đặt để điều khiển những thông tin điện tử cá nhân. Những sự sắp đặt tồn tại và phụ thuộc trong qui định chung mà sự tổ chức nếu vi phạm có thể đương đầu một dãy các hình phạt. Những điều sau đây là một số ví dụ:
    - Hoạt động Gramm-Leach Bliley( GLB) – Bao gồm một vài sự sắp đặt chính cho sự thành lập bộ tài chính . Sự thành lập này có thể chống một dãy hình phạt từ sự hoàn thành của bảo hiểm FDIC để tăng mức hình phạt tiền tệ lên 1 tỉ đô la.
    - Hoạt động cải cách bảo mật thông tin của chính phủ (HIPPA) của năm 2000 – Nhiều cơ quan phải trải qua sự tự đánh giá hàng năm và những đánh giá độc lập của những thực tiễn và chính sách bảo mật của họ, mà được yêu cầu cho việc xem xét kết quả.
    - Hoạt động bảo hiểm sức khỏe có tính khả chuyển và có trách nhiệm giải trình (HIPPA) của năm 1996 (Bộ luật nhà nước 104-191) – Khía cạnh “ Sự đơn giản hóa việc quản trị ” của bộ luật đó yêu cầu Bộ phục vụ sức khỏe và con người của Mỹ (DHHS) để phát triển những chuẩn và sự đòi hỏi cho việc duy trì và sự chuyển giao thông tin nhận dạng những bệnh nhân riêng biệt. Những chuẩn này được thiết kế cho những việc sau đây :
    o Cải thiện tính hiệu quả và chất lượng của hệ thống chăm sóc sức khỏe bằng sự tiêu chuẩn hóa việc trao đổi dữ liệu điện tử cho sự chuyển giao tài chính và sự quản trị đã được định rõ.
    o Bảo vệ cho sự bảo mật và sự cẩn mật của thông tin sức khỏe.
    .................................................. .......................

    Dù một hacker bên ngoài là một thủ phạm của một vụ tấn công, việc lưu trữ thông tin mà thông tin này có thể được tìm thấy là tiềm năng của sự cẩu thả bởi phiên tòa nếu thông tin không được an toàn một cách thích đáng. Hơn nữa những công ty mà trải qua những sự rạn nứt trong tính nguyên vẹn của dữ liệu có thể được yêu cầu để bênh vực chống lại sự kiện cáo bắt đầu bởi những khách hàng mà bác bỏ bị ảnh hưởng bởi những điều không đúng hay sự tấn công dữ liệu và tìm kiếm tiền tệ hay sự hủy hại ác liệt.

    4. Chính sách bảo mật mạng
    Một chính sách bảo mật mạng có thể là đơn giản như một chính sách sử dụng có thể chấp nhận cho những tài nguyên mạng hay nó có thể là một vài trăm trang trong chiều dài và chi tiết mỗi yếu tố của sự kết nối và những chính sách liên hợp.

    Chính sách bảo mật mạng là gì?
    Theo Site Security Handbook (RFC 2196) “ Một chính sách bảo mật là một lời tuyên bố trang trọng của những qui tắc của những người mà được cho sự truy cập tới những tài sản kĩ thuật và thông tin của một tổ chức mà phải giữ gìn ”. Nó đẩy mạnh những tình trạng, “ Một chính sách bảo mật về cơ bản là một bảng tổng kết cách sự tổ chức sẽ sử dụng và bảo vệ tài nguyên mạng và máy tính của nó. ”


    Tại sao ta phải tạo chính sách bảo mật?

    - Để tạo một ranh giới của tình hình bảo mật hiện tại của bạn.
    - Để thiết lập một khung sự thi hành bảo mật.
    - Vạch rõ những cách đối xử cho phép hoặc không cho phép.
    - Để giúp cho việc định rõ những công cụ và thủ tục cần thiết.
    - Để giao tiếp sự tương đồng và vạch rõ những vai trò.
    - Chỉ ra cách để giữ những cái vốn có của bảo mật.

    Những chính sách bảo mật cung cấp nhiều lợi ích và là giá trị cho thời gian và sự nỗ lực cần để phát triển chúng. Việc phát triển một chính sách bảo mật :
    - Cung cấp một tiến trình để kiểm toán sự bảo mật mạng đang tồn tại.
    - Cung cấp một khung bảo mật chung cho sự thi hành bảo mật mạng.
    - Vạch ra những cách đối xử cho phép hoặc không cho phép.
    - Giúp cho việc định rõ những công cụ và thủ tục cần thiết cho một tổ chức.
    - Làm cho sự thi hành và sự ép buộc bảo mật toàn cục có thể xảy ra. Sự bảo mật máy tính bây giờ là một vấn đề thuộc diện rộng và những tình trạng máy tính được trông đợi để làm cho phù hợp với chính sách bảo mật mạng.
    - Tạo ra một tiêu chuẩn cho những hoạt động dựa trên luật pháp nếu cần thiết.

    Chính sách bảo mật mạng nên chứa những gì?

    - Lời phát biểu của người có thẩm quyền và phạm vi – Mục này chỉ rõ ai là người bảo đảm chính sách bảo mật mạng và những khu vực nào chính sách bao phủ.
    - Chính sách sử dụng có thể chấp nhận được – Mục này chỉ ra những gì công ty sẽ và sẽ không cho phép thu thập cơ sở hạ tầng thông tin của nó.
    - Chính sách sự nhận dạng và sự xác nhận là đúng – Mục này chỉ ra những kĩ thuật nào, thiết bị nào, hay sự kết nối nào của hai công ty sẽ sử dụng để bảo đảm rằng chỉ một cá thể riêng lẻ được ủy quyền để truy cập dữ liệu của nó.
    - Chính sách truy cập Internet – Mục này chỉ ra những gì mà công ty coi việc truy cập Internet đúng nội quy và thích hợp.
    - Chính sách truy cập khu trường sở -- Mục này chỉ ra cách những người ử dụng trên khu trường sở sẽ sử dụng cơ ở hạ tầng dữ liệu của công ty đó.
    - Điều khiển chính sách truy cập – Mục này chỉ rõ cách điều khiển những người sử dụng sẽ truy cập cơ sở hạ tầng dữ liệu của công ty đó.
    - Cách trình bày thủ tục vốn có – Mục này chỉ rõ cách công ty sẽ tạo một đội trả lời vốn có và những cách trình bày nó sẽ sử dụng trong suốt và sau ngay khi xảy ra.
    Đặng Hoàng Khánh
    Email: danghoangkhanh@vnpro.org
    ---------------------------
    VnPro - Cisco Authorised Training
    Discuss about Networking, especially Cisco technology: http://vnpro.org
    Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

    Comment


    • #3
      Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

      Phần 2: Tìm hiểu về chu trình bảo mật mạng

      Tác giả: Lê Tài Nguyên

      1. Chu trình bảo mật mạng là gì?

      Cisco quan trọng nhất là việc bảo mật mạng, và cốt lõi của nó là dùng cho những cơ sở hạ tầng nghiêm trọng mà những quốc gia được phát triển này và khác phụ thuộc vào. Mục này tổng kết lại cái nhìn về bảo mật mạng, và nó là một tiến trình liên tục.



      Sau khi thiết lập những chính sách thích hợp, một công ty hoặc tổ chức phải có phương pháp nhận ra sự bảo mật như một phần của những sự điều hành mạng thông thường. Điều này có thể đơn giản như việc cấu hình những router ngăn cản những dịch vụ hay địa chỉ trái phép, hay phức tạp như việc cài đặt bức tường lửa, hệ thống phát hiện xâm nhập (IDS), những máy chủ có quyền tập trung, và những mạng máy tính cá nhân ảo được mã hóa.

      Sau khi phát triển một chính sách bảo mật, bảo đảm mạng của bạn sử dụng một sự đa dạng của những sản phẩm điểm (firewall, intrusion,…) Tuy nhiên trước khi bạn có thể bảo vệ mang máy tính của bạn, bạn cần phải kết hợp những sự hiểu biết của bạn về người sử dụng, những tài sản cần sự bảo vệ và những cấu trúc liên kết mạng.
      --------------------------------------------------------
      Bảo đảm một mạng
      Thi hành những giải pháp bảo mật để dừng hay ngăn cản sự truy cập hay những họat động trái phép để bảo vệ thông tin :
      - Sự chứng thực
      - Sự mã hóa
      - Bức tường lửa
      - Sự đắp vá những chỗ yếu.




      Những giải pháp sau đây được dùng cho việc bảo mật một mạng :
      - Sự chứng thực --- Sự thừa nhận mỗi cá nhân sử dụng, và sự ánh xạ sự nhận dạng của họ, vị trí, và thời gian cho chính sách; và sự cho phép của những dịch vụ mạng và những gì họ có thể làm trên mạng.
      - Sự mã hóa --- Một phương pháp đảm bảo cho sự cẩn mật, tính nguyên vẹn, tính chất xác thục của sự truyền thông dữ liệu qua một mạng. Giải pháp của Cisco kết hợp nhiều chuẩn, bao gồm chuẩn mã hóa dữ liệu (DES).
      - Đắp vá những cỗ yếu dễ bị tấn công --- Việc đắp vá và nhận dạng “những lỗ thủng” bảo mật có thể xảy ra sẽ dàn xếp được một mạng.
      --------------------------------------------------------------
      Giám sát việc bảo mật
      - Tìm ra những sự vi phạm cho chính sách bảo mật.
      - Giải quyết sự kiểm định và sự phát hiệm xâm nhập thời gian thực của hệ thống.
      - Thông qua những sự thi hành của việc bảo mật trong bước 1.




      Để đảm bảo rằng một mạng yêu cầu được an toàn, điều quan trọng là phải kiểm tra tình trạng sẵng sàng bảo mật. máy quét những chỗ yếu dễ bị tấn công của mạng nhận ra khu vực có tình trạng yếu kém, và IDS có thể kiểm tra và đáp lại sự kiện bảo mật như chúng xảy ra. Việc sử dụng những phương pháp kiểm tra, những tổ chức có thể thu được một tầm nhìn chưa từng xảy ra thành cả dòng dữ liệu mạng và sự bố trí bảo mật mạng.

      Kiểm tra sự bảo mật
      Thông qua những sự có hiệu lực của chính sách mạng bằng việc kiểm định hệ thống và việc quét những chỗ yếu dễ bị tấn công.



      Việc kiểm tra sự bảo mật cũng quan trọng như việc xem xét bảo mật. Nếu không có sự kiểm tra giải pháp bảo mật ở nơi đó, nó không thể nào biết được những mối đe dọa nào đang và sắp tấn công. Cộng đồng hacker là một môi trường luôn luôn thay đổi. Bạn có thể thực thi việc kiểm tra này bằng chính bạn hay bằng một nguồn từ bên ngoài nó như là nhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA).

      Nhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA) là một sự đánh giá tính dễ bị tấn công của mạng đặc biệt cung cấp một sự hiểu biết sâu sắc nhanh nhạy vào bên trong tình hình bảo mật của một mạng khách hàng. Được chuyển giao bởi những kĩ sư bảo mật mạng Cisco chuyên nghiệp cao (NSEs), SPA Cisco bao gồm một số những nhà phân tích hình hột, sẵn dùng của những mạng nhà cung cấp dịch vụ pâhn tán, co dãn từ hình phối cảnh của một “hacker ”bên ngoài.

      Cải thiện bảo mật
      - Sử dụng thông tin từ giai đoạn giám sát và kiểm tra để làm cải thiện tính bảo mật
      - Điều chỉnh chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo mật được nhận dạng.


      Hành động giám sát và kiểm tra này cung cấp dữ liệu cần thiết để cải thiện sự bảo mật mạng. Những kĩ sư và những nhà quản trị mạng nên sử dụng thông tin từ giai đoạn giám sát và kiểm tra để tạo cho sự cải thiện thành sự thi hành bảo mật tốt như việc Điều chỉnh chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo mật được nhận dạng.
      Đặng Hoàng Khánh
      Email: danghoangkhanh@vnpro.org
      ---------------------------
      VnPro - Cisco Authorised Training
      Discuss about Networking, especially Cisco technology: http://vnpro.org
      Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

      Comment


      • #4
        Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

        Tác giả: Lê Tài Nguyên

        2. Những loại nguy hiểm tấn công mạng

        Mục này cung cấp một cái nhìn về sự đa dạng của những ảnh hưởng và những sự tấn công mạng.


        Nếu không có sự bảo mật thích hợp, bất kì phần nào của bất kì mạng nào có thể bị ảnh hưởng của những vụ tấn công hay những hoạt động trái phép mang tính xâm phạm. Những router, switch, và host tất cả có thể bị xâm phạm bởi những hacker chuyên nghiệp, những người tấn công công ty, hay ngay cả những nhân viên quốc tế. thật vậy, theo nhiều sự nghiên cứu, nhiều hơn phân nửa những người tấn công mạng trên thế giới được trả lương một cách bí mật.

        Học viện bảo mật máy tính (CSI) ở San Francisco ước tính rằng khoảng 60 tới 80 phần trăm sự lạm dụng mạng đến từ bên trong những công trình mà sự lạm dụng đã năm được nơi đó. Để định rõ cách tốt nhất cho việc bảo vệ chống lại những sự tấn công, những nhà quản lí IT nên hiểu nhiều loại tấn công mà có thể được dử dụng và những mối nguy hiểm ma những laọi tấn công này có thể gây ra cho cấu trúc hạ tầng thương mại điện tử.
        -------------------------------------------------------------

        3. Những mối đe dọa sự bảo mật mạng

        Có bốn loại chung có thể tấn công mạng:

        - Mối đe dọa không có cấu trúc – unstructured threats
        - Mối đe dọa có cấu trúc – structured threats
        - Mối đe dọa bên ngoài – external threats
        - Mối đe dọa bên trong – internal threats



        Bốn loại cụ thể như sau:

        - Mối đe dọa không có cấu trúc – unstructured threats – những mối đe dọa đầu tiên này bao gồm những hacker hiếm khi sử dụng những công cụ chung khác nhau, như là những tập lệnh vỏ bọc hiểm độc, những tội phạm máy tính ăn cắp password, những người đề xuất số thẻ tín dụng, và những người đe dọa trình quay số .Mặc dù những hacker trong loại này có thể có những mục đích hiểm độc, nhiều sự hấp dẫn hơn trong những sự thay đổi trí óc của những sự bảo vệ sự ăn cắp máy tính hơn việc tạo sự tàn phá.

        - Mối đe dọa có cấu trúc – structured threats – Những mối đe dọa này được taọ ra bởi những hacker mà được thúc đẩy cao hơn và thạo một cách kĩ thuật.Thỉnh thoảng, tội phạm có tổ chức, những đối thủ công nghiệp, hay những tổ chức thu thập tình trạng bảo trợ thông minh thuê như những hacker.

        - Mối đe dọa bên ngoài – external threats – Những mối đe dọa này bao gồm những mối đe dọa cấu trúc và không cấu trúc được tổ chức từ một nguồn bên ngoài. Những mối đe dọa này có thể có những mục đích hiểm độc và phá hoại, hay một cách đơn giản là những lỗi mà tạo ra một mối đe dọa.

        - Mối đe dọa bên trong – internal threats – Những mối đe dọa này tiêu biểu là những nhân viên hiện tại hay cũ bất bình. Mặc dù những mối đe dọa bên trong có thể dường như nhiều điềm xấu hơn những mối đe dọa từ những nguồn bên ngoài, thước đo bảo mật thì sẵn có để dùng cho việc làm giảm bớt những nguy hiểm từ những mối đe dọa bên ngoài và trả lời khi bị tấn công.
        --------------------------------------------------------------------

        4. Những loại tấn công đặc biệt


        Tất cả những điều sau đây có thể được sử dụng để làm hại hệ thống của bạn:

        - Những sniffer packet – packet sniffer
        - Điểm yếu của địa chỉ IP – Ip weakness
        - Những tấn công vào password – Password attack
        - Sự phủ nhận dịch vụ hay Sự phủ nhận được phân tán của dịch vụ -- DoS or DDoS
        - Những cuộc tấn công trung gian – Man-in-the-middle attack
        - Những cuộc tấnm công vào lớp ứng dụng – application layer attack
        - Khai thác sự tín nhiệm. – trust exploitation
        - Sự tái điều khiển cổng – port redirection
        - Virus
        - Con ngựa thành Troa – Trojan horse
        - Lỗi điều hành – operator error
        - Sự chảy tràn bảng CAM – CAM table flooding
        - Bước truyền VLAN – VLAN hopping
        - Sự nhiễm độc ARP/MAC—ARP/MAC poisoning
        - Sự giả mạo ARP – ARP spoofing
        - Tấn công VLAN cá nhân – private VLAN attack
        - Multicast brute-force failover
        - Sự thiếu DHCP



        ----------------------------------------------------------------------------------------------------------------------------

        5. Ví dụ về Packet Sniffer

        Packet sniffer là một ứng dụng phần mềm ma sử dụng một mạch giao tiếp mạng trong chế độ pha tạp ( một chế độ ở nơi mà một mạch giao tiếp mạng gửi tất cả những gói nhận được từ mạng vật lí tới nột ứng dụng cho việc xử lí) để bắt giữ tất cả các gói mạng mà được gửi thông qua một mạng LAN. Đây là một số đặc điểm của packet sniffer :

        - Những packet sniffer khai thác thông tin thông qua những đoạn text rõ ràng.Những giao thức mà thông qua thông tin một cách rõ ràng bao gồm:
        o Telnet
        o FTP
        o SNMP
        o POP HTTP
        - Packet sniffer phải được ở trên một phạm vi đụng độ giống nhau.


        Một giao thức mạng chỉ định cách những gói dữ liệu thì được nhận dạng và đánh nhãn, mà làm cho một mạng có thê chứng thực nơi mà một gói dữ liệu được dự định cho nó. Bởi vì sự chỉ rõ cho những giao thức mạng, như là TCP/IP, được công bố một cách rộng rãi, một tác nhân thứ 3 có thể dễ dàng hiểu được những gói dữ liệu mạng và phát triển một packet sniffer ( ngày nay mối đe dọa thật sự xảy ra do bởi số lượng lớn từ những packet sniffer freeware và shareware có sẵn, mà không yêu cầu người sử dụng hiểu bất cứ điều gì về giao thức cơ bản)
        -----------------------------------------------------------------
        Packet Sniffer


        Một packet sniffer có thể cung cấp cho những người sử dụng chúng với thông tin có ý nghĩa và thường bị hỏng, như tên tài khoản và mật khẩu của người sử dụng. Nếu bạn sử dụng những cơ sở dữ liệu được mạng hóa, một packet sniffer có thể cung cấp một người tấn công với thông tin mà được truy vấn từ cơ sở dữ liệu, cũng như những mật khẩu và tên tài khoản người sử dụng dùng để truy cập vào cơ sở dữ liệu. Một vấn đề nghiêm trọng với việc tìm được mật khẩu và tài khoản truy nhập đó là những người sử dụng dùng lại những mật khẩu và tên truy nhập của họ thông qua những ứng dụng đa tác vụ.
        Thêm vào đó, nhiều nhà quản trị mạng sử dụng những packet sniffer để chẩn đoán và sửa những vấn đề liên quan mạng. Bởi vì trong tiến trình của sự thông thường và cần thiết của chúng làm nhiệm vụ quản trị những mạng này ( như những cái đó trong một bộ phận tiền lương)làm việc trong suốt những giờ nhân viên bình thường, chúng có thể khảo sát một cách có tiềm năng thông tin dễ bị tổn hại được phân bố thông qua mạng.

        Nhiều người sử dụng thuê một mật khẩu đơn lẻ truy cập vào tất cả các ứng dụng và tài khoản. Bởi vì những kẻ tấn công biết và sử dụng những đặc diểm của con người ( tấn công những phương pháp được biết chung như những vụ tấn công điền hành thông thường), như việc sử dụng một mật khẩu đơn lẻ cho nhiều tài khoản đa người dùng, chúng thường thành công trong việc giành được quyền truy cập thông tin dễ bị tấn công.
        -------------------------------------------------------------------------

        Có hai loại chính của packet sniffer :
        • Mục đích chung
        o Giành được tất cả các gói dữ liệu.
        o Bao gồm một vài hệ điều hành.
        o Những phiên bản freeware và shareware có sẵn.
        • Được thiết kế cho mục đích tấn công

        Giành được 300 đến 400 byte đầu tiên
        Tiêu biểu giành được những mục đang nhập ( Giao thức truyền bằng file ( FTP), rlogin và telnet)
        Sự di chuyển packet sniffer


        Những kĩ thuật và công nghệ sau đây có thể được sử dụng để di chuyển những packet sniffer :

        - Sự xác thực – Việc sử dụng sự xác thực chắc chắn là một sự lựa chọn đầu tiên cho sự phòng thủ chống lại những packet sniffer. Sự xác thực chắc chắn có thể được định rõ một cách rộng rãi như một phương pháp xác thực người sử dụng mà không thể dễ dàng bị phá vỡ. Một ví dụ chung của sự xác thực chắc chắn là mật khẩu một lần (OTPs).

        - Mậ mã – sự hoàn trả những packet sniffer không thích hợp, mà là phương pháp có hiệu quả nhất cho việc chống lại packet sniffer – ngay cả nhiều ảnh hưởng hơn việc ngăn ngừa hay phát hiện những packet sniffer. Nếu một kênh truyền thông là sự an toàn về mật mã, thì dữ liệu chỉ là một đoạn text không có giá trị đối với packet sniffer ( bề ngoài chúng khi là những chuỗi bit) và không là thông điệp gốc. sự phát triển mật mã mức độ mạng Cisco thì dựa trên IPSee, nó là một phương pháp chuẩn cho những dịch vụ mạng để truyề thông với việc sử dụng IP một cách riêng biệt. những giao thức mã hóa khác cho sự quản lí mạng bao gồm giao thức bảo vệ tiện ích (SSH) và lớp bảo vệ lỗ hỏng ( SSL).
        Đặng Hoàng Khánh
        Email: danghoangkhanh@vnpro.org
        ---------------------------
        VnPro - Cisco Authorised Training
        Discuss about Networking, especially Cisco technology: http://vnpro.org
        Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

        Comment


        • #5
          Trong ISCW em có đọc thấy tool Cisco Security Agent của Cisco cung cấp miễn phí hỗ trợ Host-based IPS nhưng em vào trang Cisco ko tìm đc link. Anh có bộ cài hoặc link thì share cho em với. Em cảm ơn!

          Comment


          • #6
            Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

            Tác giả: Lê Tài Nguyên

            Phần 3: Hệ thống phát hiện xâm nhập


            1. Hệ thống phát hiện xâm nhập là gì?

            Khi bạn đặt một đồng hồ báo động trên những cánh cửa và trên những cửa sổ trong nhà của bạn, giống như việc bạn đang cài đặt một hệ thống phát hiện xâm nhập (IDS) trong nhà bạn vậy. Hệ thống phát hiện xâm nhập( IDSs) được dùng để bảo vệ mạng máy tính của bạn điều hành trong một ki6ẻu đơn giản. Một IDS là một phần mềm và phần cứng hmột cách hợp lí để mà nhận ra những mối nguy hại có thể tấn công chống lại mạng của bạn. Chúng phát hiện những hoạt động xâm phạm mà xâm nhập vào mạng của bạn. Bạn có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và những khu vực khác mà phát ra những dấu hiệu chống lại mạng của bạn.

            Trước sự triển khai một IDS, bạn phải hiểu những lợi ích mà một IDS cung cấp. Bên cạnh việc phát hiện những cuộc tấn công, hầu hết hệ thống phát hiện xâm nhập cũng cung cấp vài loại cách đối phó lại những tấn công, như việc thiết lập những kết nối TCP.
            Việc phát hiện những cuộc tấn công chống lại mạng của bạn( được đề cập trong chương 1, “ Nhu cầu bảo mật mạng”), tuy nhiên trước hết nó là khung thành của sự phát hiện xâm nhập. Những hoạt động xâm nhập có thể bị phát hiện trong nhiều cách khác nhau. Vì vậy, mọi người có thể thiết kế những loại IDSs khác nhau để giải quyết những vấn đề phát hiện xâm nhập.
            Những loại hoạt động giám sát phụ thuộc vào những hệ thống IDS mà bạn sử dụng. Mỗi loại IDS khác nhau có những điểm mạnh và những điểm yếu của nó. Tuy nhiên, bạn có thể đánh giá mỗi IDS bằng việc xem những điều sau đây:

            • Khởi sự(Trigger)
            • Giám sát vị trí(Monitoring location)
            • Những đặc trưng ghép( Hybrid characteristic)


            IDS Trigger-Trigger của hệ thống IDS

            Mục đích của bất kì một IDS cũng là phát hiện khi có một kẻ xâm nhập tấn công mạng của bạn. Tuy nhiên,không chỉ mỗi IDS sử dụng cùng một triggering mechanism để tạo ra một chuông báo động. Hệ thống IDS hiện tại sử dụng 2 triggering mechanism chính:

            • Phát hiện một cách không bình thường( Anomaly detection)
            • Phát hiện sử dụng không đúng( misuse detection)



            Những Trigger mechanism

            Những trigger mechanism đề cập tới những hoạt động mà IDS muốn tạo ra một chuông báo. Trigger mechanism cho một chuông báo động trong nhà có thể là một sự vỡ ra của cửa sổ. Một IDS của mạng có thể sinh ra một chuông báo nếu một hệ thống chắc chắn gọi những thực thi. Bất kì việc gì mà có thể phát tín hiệu như một sự xâm nhập có thể là một trigger mechanism.

            Anomaly detection-Sự phát hiện không bình thường

            Anomaly detection thỉnh thoảng cũng đề cập tới như hệ thống phát hiện profile(profile-based IDS). Với sự phát hiện này, bạn phải xây dựng những hiện trạng ( profile) cho những cá nhân sử dụng riêng. Trong tình huống khác, những profile này kết hợp chặt chẽ với một thói quen người dùng cơ bản, những dịch vụ mà anh ta sử dụng một cách thường xuyên,… Những profile này xác định rõ một vạch ranh giới cho những hoat động mà người dùng thông thường làm một cách thường lệ để thực thi công việc của họ.

            Nhóm sử dụng

            Một nhóm sử dụng miêu tả một nhóm người sử dụng mà thực thi những chức năng đơn giản trong một mạng. Đôi khi, bạn có thể xây dựng những nhóm người sử dụng dự trên sự phân loại công việc, như một nhóm kĩ sư, thư kí,…Mặc khác, bạn có thể muốn thiết kế nhóm người sử dụng dựa trên những phòng ban. Cách mà bạn thiết kế những nhóm không quan trọng, nó dài bằng những người dùng trong nhóm thực thi những hoạt động trên mạng.
            Việc xây dựng và cập nhật những proie này miêu tả một phần ý nghĩa của mạng yêu cầu để triển khai một IDS anomaly-based. Chất lượng của những profile này liên hệ trực tiếp tới cách IDS của bạn thành công ở việc phát hiện những hiểm họa tấn công mạng của bạn. Mọi người có kinh nghiệm với những đường đi( traffic) thông thường cho những người dùng khác nhau trên những mốc thời gian và khi đó tạo ra những qui luật mà làm mẫu những thói quen này.

            Anomaly Detection với mạng thần kinh.

            Anomaly Detection cuối cùng sử dụng gần giống như mạng thần kinh. Những mạng thần kinh là một hình thức của sự thông minh nhân tạo nơi bạn cố gắng làm để gần giống như công việc của một dây thần kinh sinh học, như là những gì tìm thấy trong bộ não của con người. Với những hệ thống này, bạn đào tạo chúng bằng việc trình bày chúng với một số lượng lớn dữ liệu và qui tắc liên quan đến dữ liệu. Sau khi hệ thống được đào tạo, traffic mạng được dùng như một sự kích thích tới mạng thần kinh để chứng minh nơi mà traffic được coi như bình thường.

            Issues-Những kết quả

            Những profile người sử dụng tạo thành trái tim của một IDS anomaly-based. Một vài hệ thống sử dụng một giai đoạn đào tạo ban đầu mà những người giám sát mạng cho một khoảng thời gian định trước. Khi đó đường đi này sử dụng để tạo ra một vạch ranh giới người sử dụng. Vạch ranh giới này định rõ một traffic thông thường trên mạng là như thế nào. Sự bất lợi với sự đến gần này là những điều nếu như công việc của người sử dụng thay đổi theo thời gian, họ bắt đầu tạo ra những chuông báo sai.
            Những hệ thống khác giữ những số liệu thống kê liên tục hay chỉ liên tục cho những chênh lệch nhỏ trong thói quen người sử dụng. Trong môi trường này, sự xác định thông thường chỉ để kê khai liên tục cho những thay đổi trong thói quen điều hành của người sử dụng. Sự bất lợi của sự tiến gần này là những gì mà một kẻ tấn công kiên quyết có thể rèn luyện hệ thống tăng dần cho tới khi traffic tấn công thật sự của anh ta xuất hiện như một traffic thông thường trên mạng.

            Benefits-Những lợi ích

            Hệ thống anomaly detection đề cập một vài sự thuận lợi toàn diện. Đầu tiên họ có thể phát hiện nhiều kẻ tấn công bên ngoài hay kẻ trộm tài khoản một cách dễ dàng. Nếu một tài khoản đặc biệt liên quan tới một một thư kí văn phòng bắt đầu thử những chức năng của một nhà quản trị mạng, ví dụ điều này có thể gây ra một báo động .
            Sự thuận lợi khác là những gì mà một kẻ tấn công không hoàn toàn chắc chắn những gì mà hoạt động tạo ra một cái chuông báo. Với một IDS chữ kí( signature-based IDS) một người tấn công có thể kiểm tra những gì mà traffic có thể tạo ra một cái chuông báo trong một môi trường lab. Bằng việc sử dụng những thông tin này, anh ta có thể sử dụng những công cụ cùng nghề mà đi qua hệ thống sinature-based IDS. Với hệ thống anomaly detection kẻ tấn công không biết dữ liệu đào tạo được sử dụng , ví vậy anh ta không thể chiếm lấy bất kì hoạt động quan trọng nào sẽ rơi vào tình trạng không tìm ra.
            Tuy nhiên sự thuận lợi chính của anomaly detection là những gì mà những chuông báo không dựa trên những chữ kí(signature) đặc biệt, những sự tấn công được biết trước( trong đoạn này, một signature là một thiết lập những qui luật nhận ra đường đi đặc biệt mà mô tả những hoạt động xâm phạm). Thay vì chúng dựa trên một profile mà chỉ định rõ hoạt động của người sử dụng thông thường.

            Vì vậy, một IDS sinature-based có thể tạo ra một chuông báo cho những tấn công không công bố trước đây, giống như những cuộc tấn công mới chênh lệch từ những hoạt động của người sử dụng thông thường. Vì vậy, hệ thống IDS anomaly-based có thể phát hiện những cuộc tấn công mới trong lần đầu tiên chúng sử dụng.

            Những cuộc tấn công không công bố trước đây
            Sau khi những cuộc tấn công được công bố ra công cộng, Những đại lí có thể làm việc trên những bảng đắp vá bảo mật, và những chữ kí có thể được phát triển để phát hiện những đường đi bị tấn công bằng việc sử dụng một hệ thống IDS signature-based.

            Trước khi những cuộc tấn công này được phóng thích ra công cộng, chúng được biết như những tấn công không biết trước. Bởi vì anomaly detection không giống như đường đi đặc biệt( chỉ một sự sai lệch từ bình thường), nó có thể phát hiện nhiều sự tấn công không công khai một cách trước đây khi chúng được sử dụng ban đầu chống lại mạng của bạn.

            Những điều trở ngại (Drawback)


            Trên cạnh dưới, anomaly detection có một vài trở ngại:
            • Thời gian đào tạo ban đầu dài
            • Không có sự bảo vệ mạng trong suốt quá trình đào tạo
            • Khó khăn để xác định thông thường
            • Phải cập nhật những profile của người sử dụng như sự thay đổi nhiều tính cách
            • Những sự phủ định sai nếu đường đi xuất hiện thông thường
            • Khó khăn để hiểu được việc báo động
            • Phức tạp và khó khăn để hiểu

            Đầu tiên bạn phải cài đặt IDS anomaly-based của bạn và thử nó cho những khoảng thời gian đặc biệt, mà có thể nhận lấy hàng tuần. Bạn sử dụng những việc đào tạo này để quan sát đường đi thông thường trên mạng.Việc xác định những thứ cấu thành đường đi thông thường không là một nhiệm vụ đơn giản. Vì vậy, trong suốt thời gian đào tạo này, IDS không bảo vệ mạng của bạn.
            Vấn đề khác là những gì con người hướng về những hoạt động khác nhau của họ.Họ luôn luôn không làm theo những mẫu thật giống nhau một cách thường xuyên. Nếu thời gian huấn luyện ban đầu là không tương xứng, hay sự xác định của tình trạng bình thường thì lỗi thời và sai, tính chất sai lệch là không thể tránh khỏi.
            Khi những người sử dụng lạc từ đường định tuyến thông thường, IDS tạo ra một cái chuông nếu những hoạt động này rơi quá xa từ tình trạng thông thường. IDS tạo ra đồng hồ này dù là không có hoạt động xâm phạm thật sự tham gia nơi đó.
            Sự xác nhận tình trạng thông thường cũng thay đổi trên cuộc sống của mạng của bạn. Như sự thay đổi mạng của bạn, đường đi nhận ra tình trạng thông thường có thể bị thay đổi. Nếu điều này xảy ra, bạn phải cập nhật những profile người sử dụng của bạn để cho thấy những thay đổi đó. Đối với một mạng mà thay đổi một cách liên tục, việc cập nhật những profile người sử dụng có thể trở thành một sự thay đổi chính.
            Hơn nữa, nếu những nhóm người sử dụng của bạn thực thi một thiết lập những hoạt động linh tinh, nó thì hoàn toàn khó khăn đối với bất cứ thứ gì để chống lại như những điều dị thường.
            Một profile-based IDS có thể tạo ra một false negative nếu những hoạt động xâm phạm không lệch khỏi trạng thái không bình thường. Thỉnh thoảng, những hoạt động xâm phạm có thể xuất hiện tương tự như đường đi người sử dụng thông thường.
            Trong tình trạng này, nó có thể là khó khăn hay không thể xảy ra được cho một anomaly-based IDS để phân biệt những hoạt động này như một sự xâm phạm và tạo ra một chuông báo. Điều này có thể là một vấn đề có ý nghĩa nếu những nhóm người dùng của bạn thực thi một thiết lập những hoạt động khác nhau.

            False negative

            Khi một IDS lơ là để tạo ra một chuông báo cho việc nhận biết những hành động xâm nhập, nó được gọi là một false negative. Những negative miêu tả những sự tấn công thật sự mà IDS đã bỏ sót ngay khi nó được lên chương trình để nhận biết sự tấn công này. Hầu hết những người phát triển IDS có khuynh hướng thiết kế những hệ thống của họ để trình bày những false negative. Tuy nhiên,nó thì hơi khó để loại trừ toàn bộ false negative. Hơn nữa, khi bạn nhạy cảm với những hệ thống của bạn để báo cáo một vài false negative, bạn có khuynh hướng làm tăng số lượng false possitive mà nhận báo cáo.Nó là một sự thỏa hiệp bất biến.
            Không giống như misused-based IDS, anomaly-based IDS không có một sự tương quan trực tiếp giữa những cái chuông báo và những sự tấn công tiềm tàng. Khi những hoạt động lệch hướng từ tình trạng thông thường đã được thiết lập của bạn, IDS của bạn sẽ tạo ra một chuông báo. Sau đó nó thì trên nhà quản trị hệ thống của bạn để định rõ ý nghĩa thật sự của chuông báo.
            Drawback cuối cùng cho một anomaly-based IDS là sự phức tạp của nó. Nó thì không dễ để giải thích cách mà hệ thống điều hành. Với một signatured-based IDS, nếu hệ thống thấy một chuỗi dữ liệu đặc biệt, nó tạo ra một chuông báo. Tuy nhiên, với một anomaly-based IDS bạn làm phức tạp những thông số hay lý thuyết thông tin kết hợp với mạng thần kinh. Những người sử dụng thì không thoải mái khi họ không hiểu IDS của họ một cách hoàn toàn. Hơn nữa, nhựng cái thiếu của việc hiểu này làm giảm hiệu quả của người dùng trong IDS.

            Misuse Detection-Phát hiện sự lạm dụng

            Phát hiện sự lạm dụng( Misuse detection), cũng được biết như signature-based detection, giống như hoạt động xâm phạm mà tranh giành những signature đặc biệt. Những signature này được dựa trên một sự thiết lập những qui luật mà giành những mẫu tiêu biểu và khai thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự truy cập vào mạng của bạn. Những kĩ sư mạng khéo léo cấp cao nghiên cứu cách nhận biết tấn công và những chỗ yếu nhằm phát triển những qui luật cho mỗ signature.
            Việc xây dựng những signature rành mạch làm giảm những cơ hội của false possitive trong khi làm nhỏ cơ hội của false negative. Một misuse-detection-based IDS cấu hình hoàn chỉnh tạo ra mức thấp nhất false negative. Nếu một misuse-based IDS liên tục tạo ra những false positive , sự ảnh hưởng toàn diện của nó sẽ được giảm.

            Benefits-Những lợi ích
            Misuse detection cung cấp một số lợi ích. Một vài lợi ích chính bao gồm :
            • Những signature dựa trên những hiểu biết về hoạt động xâm nhập
            • Những tấn công được phát hiện thì rõ ràng
            • Hệ thống thì dễ dàng hiểu
            • Những tấn công được thay đổi liên tục sau khi cài đặt

            Mỗi misuse-based IDS phát hiện một thiết lập rõ ràng của những cuộc tấn công signature. Bằng việc sử dụng một misuse-based IDS, bạn có thể chắc chắn những gì mà những tấn công xâm nhập rõ ràng bị phát hiện. Những kĩ sư mạng thường xuyên phát triển những qui luật để tạo ra những signature dựa trên những tấn công mới. Hơn nữa, những signature phát triển tốt tạo ra những false positive ở mức thất nhất.
            Với một hệ thống misuse-based IDS, mỗi cuộc tấn công vào cơ sở dữ liệu chữ kí có một tên signature và một sự nhận dạng. Một người sử dụng có thể thể hiện tất cả những signature trong cơ sở dữ liệu và chỉ rõ một cách chính xác những tấn công nào mà IDS cần báo động.
            Bằng việc hiểu biết về những tấn công đặc biệtt trong cơ sở dữ liệu signature, người sử dụng có thể tin tưởng vào khả năng của IDS để bảo vệ mạng của họ. Khi những tấn công mới lộ ra, chúng cũng có thể xác nhận những gí mà IDS của họ cập nhật để phát hiện chúng.
            Người sử dụng hiểu những phương pháp luận cơ bản sau một misuse-based IDS. Những kĩ sư mạng phân tích những tấn công thực thụ và sau đó phát triển những signature để phát hiện những hoạt động này. Sẽ tồn tại một sự tương ứng giữa chuông báo và những tấn công. Một người dùng có thể tạo ra một đường đi tấn công và theo dõi một chuông báo đặc biệt.

            Drawbacks-Những trở ngại
            Mặc dù misuse-based IDS cung cấp nhiều lợi ích, nhưng chúng cũng có những bất lợi lớn sau:
            • Việc duy trì tình trạng thông tin( ngay cả phạm vi hiểu biết)
            • Việc cập nhật cơ sở dữ liệu signature
            • Những tấn công mà phá vỡ IDS(false negative)
            • Sự bất lực để phát hiện những tấn công lạ

            Để phát hiện xâm nhập, một misuse-based IDS kiểm tra thông tin và sau đó so sánh nó với signature trong cơ sở dữ liệu của nó. Tuy nhiên,thỉnh thoảng những thông tin này trải dài ra thông qua nhiều gói dữ liệu.
            Khi một signature yêu cầu nhiều mảnh dữ liệu, IDS phải duy trì tình trạng thông tin về một signature bắt đầu khi nó thấy những mảnh dữ liệu đầu tiên. Tình trạng thông tin này phải được duy trì trong khoảng thời gian của event horizon.

            Event horizon
            Để phát hiện ra tấn công, một signature-based IDS kiểm tra dữ liệu được đưa vào nó. Đôi khi nhiều mảnh dữ liệu thì cần thiết để chống lại một cuộc tấn công signature.Một số lượng thời gian cực lớn qua nơi mà một tấn công signature có thể được phát hiện thành công( từ dữ liệu ban đầu tới dữ liệu cuối cần thiết cho việc hoàn thành cuộc tấn công signature) được biết như event horizon. IDS phải duy trì tình trạng thông tin trong suốt event horizon này.
            Chiều dài của event horizon khác nhau. Đối với một vài tấn công, event horizon thì từ người nhập vào hệ thống( logon) tới người rời hệ thống( logoff); bất kì nơi nào đối với những tấn công khác nhau, như một cổng chậm quét qua, event horizon có thể kéo dài cả tụần. Một điểm quan trọng để hiểu là IDS của bạn không thể duy trì tình trạng thông tin một cách vô hạn định; vì vậy nó sử dụng event horizon để gi7ói hạn khoảng thời gian mà no‘ lưu trữ tình trạng thông tin.
            Bởi vì misuse-based IDS so sánh đường đi mạng chống lại những signature được biết trong cơ sở dữ liệu của chúng, những kẻ tấn công cố gắng che đậy những tấn công chúng. Với việc đạt được những thay đổi nhỏ cho sữ liệu tấn công, đôi khi chúng có thể thoát khỏi cuộc tấn công thông qua misuse-based iDS mà không tạo ra một chuông báo, ví vậy là nguyên nhân gây ra một false negative. Tình trạng tốt của sự xác định 1 signature đã chỉ ra cách một misuse-based IDS thành công đó là ở việc trình bày false negative.
            Khi những tấn công mới xuất hiện, cơ sở dữ liệu signature được sử dụng bởi misuse-based IDS phải được cập nhật. Việc cập nhật thường xuyên của cơ sở dữ liệu signature là quan trọng cho signature-based IDS thành công. Tuy nhiên hiện tại việc giữ cơ sở dữ liệu được cập nhật thì rất khó.
            Một trở ngại lớn cho misuse-based IDS đó là sự bất lực của nó để nhận ra những tấn công tiềm ẩn. Tuy nhiên điều này không có nghĩa là một signature-based IDS không thể phát hiện bất kí tấn công mới nào. Khi những người phát triển tạo ra những signature mới, họ thử tạo ra một signature linh hoạt khi có thể, trong khi khả năng false horizon là thấp nhất. Với việc sử dụng kĩ thuật này, nhiều signature phát hiện một lớp tấn công ngay cả chúng dựa trên những thành công đặc biệt.

            IDS Monitoring Location-Sự giám sát những vị trí của IDS
            Bây giờ ta đã có những kiền thức cơ bản của những hoạt động xâm nhập mà có thể tạo ra chuông báo động từ IDS của bạn, đó là thời gian để kiểm tra nơi một I xem đường đi xâm nhập này. Hệ thống IDS giám giát một trong hai vị trí tiêu biểu là:
            • The Host
            • The network

            A . Hệ thống phát hiện xâm nhập Host-Based :
            Host-based IDS kiểm tra sự xâm nhập bằng cách kiểm tra thông tin ở host hay mức hệ điều hành. Hệ thống IDS này kiểm tra nhiều diện mạo host của bạn, như hệ thống những cuộc gọi(system call), bản ghi kiểm toán( audit log), thông điệp lỗi(error message),…Hình dưới đây minh họa cho một sự miệu tả host-based IDS tiêu biểu.


            Mục này miêu tả những đặc điểm của hệ thống phát hiện Host-Based bao gồm một hình ảnh của sự triển khai kệ thống phát hiện xâm nhập host-based cơ bản.


            Một hệ thống phát hiện xâm nhập host-based ( HIDS) kiểm tra những file log vào host,những hệ thống và tài nguyên host file. Một sự tiện lợi của hệ thống HIDS là những gì mà nó có thể xem xét tiến trình của hệ điều hành và bảo vệ những tài nguyên hệ thống đặc biệt bao gồm những tập tin mà có thể chỉ tồn tại trên những host đặc biệt.
            Một hình thức đơn giản của HIPS là có khả năng đang nhập vào một host. Tuy nhiên nó có thể trở thành nhân sự đắc lực để chuyển đổi và phân tích những log này. Phần mềm HIPS ngày nay yêu cầu phần mềm Agent phải được cài đặt trên mỗi host để xem xét những hoat động thực thi trên nó và chông lại những host. Phần mềm Agent thực thi những phân tích và bảo vệ phát hiện xâm nhập vào host.

            Những thuận lợi
            Bởi vì một host-based IDS kiểm tra đường đi sau khi nó tiến tới đích(target) của cuộc tấn công( việc thừa nhận host là một đích), nó có thông tin trực tiếp trên sự thành công của những tấn công. Với một networ-based IDS, chuông báo được tạo ra trên những hoạt động xâm nhập biết trước, nhưng chỉ một host-based IDS có thể xác định sự thành công hay thất bại thật sự của những cuộc tấn công.
            Vấn đề khác như những mảnh vỡ ráp lại và những cuộc tấn công Time-To-Live có thể thay đổi(TTL) thì khó để nhận biết việc ử dụng network-based IDS. Tuy nhiên, một host-based IDS có thể sử dụng cụm IP riêng của host để dễ thỏa thuận với những vấn đề này.

            Những khó khăn
            Host-based IDS có một vài trở ngại hay khó khăn:
            • Giới hạn tầm nhìn mạng
            • Phải xử lí mỗi hệ điều hành trên mạng.

            Khó khăn đầu tiên đối với host-based IDS là giới hạn tầm nhìn mạng với sự liên quan tới sự tấn công. Ví dụ,hầu hết hệ thống IDS này không phát hiện những cú quét port chống lại những host. Vì vậy, nó thì cũng không thể làm được với host-based IDS để phát hiện những cú quét dọ thám chống lại mạng của bạn. Những cú quét này cho thấy một đồng hồ chỉ thị cho nhiều tấn công khác chống lại mạng của bạn.
            Khó khăn khác của host-based IDS đó là phần mềm phải chạy trên mỗi host của mạng. Điều này miêu tả vấn đề phát triển mới cho những mạng hỗn tạp được soan với một số hệ điều hành. Đôi khi, đại lí host-based IDS có thể chọn để hỗ trợ nhiều hệ điều hành bởi vì những vấn đề hỗ trợ này. Nếu phần mềm host-based IDS của bạn không hỗ trợ tất cả hệ điều hành trên mạng, mạng của bạn không bảo vệ toàn vẹn để chống lại những xâm nhập.

            Hình 3.2 sự tấn công Vriable Time-To-Lite


            Sự khó khăn cuối cùng là khi host-based IDS phát hiện một sự tấn công, nó phải truyền thông tin này tới một vài loại phương tiện quản lí trung tâm. Một sự tấn công có thể lấy những truyền thông ngoại tuyến của host. Khi đó host này không thể truyền thông bất kì thông tin nào đến phương tiện truyền thông trung tâm. Hơn nữa, đường đi mạng tới sự quản lí trung tâm có thể thực hiện cho nó một điểm trung tâm của một sự tấn công.


            Hình này minh họa cho sự trình bày HIPS cơ bản. Agent được cài đặt không chỉ trên những server truy cập công cộng, những tập đoàn mail server, những server ứng dụng, mà còn maáy tính cá nhân của người sử dụng. Agent báo cáo những sự kiện tới một server điều khiển trung tâm đặt bên cạnh tập đoàn firewall.
            Đặng Hoàng Khánh
            Email: danghoangkhanh@vnpro.org
            ---------------------------
            VnPro - Cisco Authorised Training
            Discuss about Networking, especially Cisco technology: http://vnpro.org
            Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

            Comment


            • #7
              Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

              Tác giả: Lê Tài Nguyên

              B. Hệ thống phát hiện xâm nhập Network-Based( Network-based IDS)

              Một network-based IDS kiểm tra những gói dữ liệu tới những sự tấn công định vị chống lại mạng. IDS đánh hơi(sniff) những gói mạng và so sánh đường đi chống lại những signature cho những hoạt động xâm nhập.


              Hệ thống phát hiện xâm nhập bảo mật của Cisco( CSIDS) là một network-based IDS. Bằng việc sử dụng signature, CSIDS quan tâm đến mỗi gói đi vào mạng và tạo ra chuông báo khi những sự xâm nhập được phát hiện. Bạn có thể cấu hình CSIDS để không cho những signature và những chỉnh sửa thông số signature vào làm việc một cách tốt nhất trong môi trường mạng của bạn. Hình 3.3 cho thấy sự phát triển của CSIDS.
              Mục này miêu tả đặc điểm của hệ thống phát hiện xâm nhập Network-Based (NIDSs), bao gồm một hình ảnh của một sự trình NIDS cơ bản.


              Những cảm biến được kết nối tới những phân đoạn mạng. Một sensor đơn lẻ có thể kiểm xét nhiều host.
              Sự phát triển của một mạng được bảo vệ một cách dễ dàng. Những host và dịch vụ mới có thể được thêm vào mạng mà không có những sensor thêm vào.
              Những sensor là những ứng dụng mạng được hòa hợp vào những sự phân tích
              - Hệ điều hành thì “được làm cứng”
              - Phần cứng được thiết kế chuyên dụng cho sự phân tích phát hiện xâm nhập.

              Một NIDS bao gồm sự trình bày của những thiết bị kiểm duyệt hay “những sensor” thông qua mạng, mà bắt lại và phân tích lưu lượng khi nó đi ngang qua mạng. Những sensor phát hiện những hoạt động không cho phép và nguy hiểm trong thời gian thực và có thể tham gia hoạt động khi được yêu cầu.
              Những Sensor có thể được trình bày ở một thời điểm mạng được qui định rõ mà có thể là những người quản trị bảo mật để kiểm duyệt những hoạt động mạng trong khi nó đang xảy ra, bất chấp vị trí đích của sự tấn công.

              NIDS cho những nhà quản trị bảo mật nhìn thấy bên trong việc bảo mật thời gian thật của mạng bất chấp sự phát triển của nó. Sự phát triển mạng có thể xảy ra bằng việc thêm vào những host truyền thống hay những mạng mới.NHững mạng truyền thống thêm vào sự tồn tại những mạng được bảo vệ sẽ được bao bọc mà không có bất kì sensor mới nào. Những sensor truyền thống có thể dễ dàng được triển khai để bảo vệ những mạng mới. Một vài nhân tố mà bao gồm sự thêm vào những sensor như sau :

              o Ngoại trừ những công suất lưu lượng – ví dụ , việc thêm vào những phân đoạn gigabit mới đòi hỏi một sensor công suất cao.
              o Khả năng thực thi của Sensor – những sensor hiện tại có thể không được thi hành việc cho một traffic capacity mới.
              o Sự bổ sungmạng – Chính sách bảo mật hay thiết kế mạng có thể yêu cầu những sensor truyền thống để giúp việc thúc ép ranh giới bảo mật.

              Những sensor NIDS được chỉnh một cách tiêu biểu cho sự phân tích phát hiện xâm nhập. Hệ điều hành cơ bản là “ trần trụi” về những dịch vụ mạng không cần thiết và những dịch vụ chủ yếu được bảo mật.

              Phần cứng được chọn cung cấp sự phân tích phát hiện xâm nhập cực đại có khả năng cho những mạng đa dạng khác nhau. Phần cứng bao gồm những phần sau đây :

              - card giao tiếp mạng (NIC) – NIDS phải có khả năng kết nối vào bất kí mạng nào. Card giao tiếp mạng NIDS chungbao gồm Ethernet, Fast Ethernet, GigEthernet, Token Ring và FDDI.
              - Bộ xử lí – Thiết bị phát hiện xâm nhập đòi hỏi khả năng của CPU để thực thi sự phân tích giao thức phát hiện xâm nhập và làm khớp mẫu.
              - Bộ nhớ -- Sự phân tích phát hiện xâm nhập là một bộ nhớ chuyên sâu. Bộ nhớ va chạm với khả năng của một NIDS một cách trực tiếp để phát hiện tấn công một cách có hiệu quả và chính xác .


              Sự thuận lợi
              Một natwork-based IDS có một vài sự thuận lợi như sau:
              • Hình phối cảnh toàn mạng.
              • Không phải chạy trên mỗi hệ điều hành mạng.
              Bằng việc thấy đường đi đên đích với nhiều host, một bộ phận cảm biến nhận một mạng mà cân nhắc trong mối liên hệ với những sự tấn công chống lại mạng của bạn.Nếu một ai đó đang quét nhiều host trên mạng của bạn, những thông tin này thì hiển nhiên sẵn sàng vào bộ cảm biến.
              Sự thuận lợi khác với network-based IDS đó làkhông cần chạy trên mỗi hệ điều hành của mạng. Một network-based IDS chạy trên một số bộ cảm bíến giới hạn và những nền tảng của người quản lí. Những nền tảng này có thể được chọn để tiếp xúc với những yêu cầu thực thi đặc biệt. Bên cạnh việc ẩn trên mạng đang bị giám sát, những dịch vụ này có thể dễ dàng được làm cứng để bảo vệ chúng từ những tấn công bởi vì chúng phục vụ một mục đích đặc biệt trên mạng. Ngay cả CSIDS hỗ trợ một bộ cảm biến mà là một lá trong gia đình 6000 chất xúc tác( xem chương 14.”catalyst 6000 IDS Module Configuration”).

              Những khó khăn
              Một network-based IDS đối diện một vài khó khăn sau:
              • Băng thông-Bandwidth
              • Những mảnh vỡ ráp- Fragment reassembly
              • Sự mã hóa- Encryption
              Khó khăn lớn nhất đối với network-based IDS là băn thông.Như những ông dẫn mạng phát triển ngày càng lớn, nó thì khó để giám sát thành công tất cả đường đi thông qua mạng ở một thời điểm đơn lẻ trong thời gian thực, mà không bỏ sót những packet. Thay vì bạn cần cài đặt nhiều sensor một cách thông thường thông qua mạng ở những vị trí mà những sensor có thể giữ băng thông đường đi.
              Những gói mạng có kích thước cực đại. Nếu một kết nối cần gửi dữ liệu mà vượt quá giới hạn cực đại này, dữ liệu phải được gửi trong nhiều gói. Điều này đượ xem như là fragmentation. Khi việc nhận host lấy những gói fragmantation, nó phải tập hợp lại dữ liệu lại.
              Không phải tất cả host thi hành những tiến trình một cách tập hợp trong bậc(order) giống nhau. Một vài hệ điều hành bắt đầu với fragment cuối cùng và làm việc thông qua cái đầu tiên. Những cái khác bắt đầủơ cái đầu tiên và làm việc thông qua cái cuối cùng. Order không làm sự kiện nếu những fragment không chồng lên nhau. Nếu chúng đè lên nhau, những kết quả khác nhau cho mỗi tiến trình không tập hợp với nhau.
              Để kiểm tra những gói fragmentation, một sensor mạng cũng phải tập hợp những fragment lại. Vấn đề bao gồm việc chọn những order đúng một cách tập hợp. Những kẻ tấn công tấn công trên những fragment lapping để thử phá hỏng hệ thống network-based IDS.
              Một khó khăn khác đối với network-based IDS đến từ việc cố gắng bảo vệ sự tách biệt của những kết nối dữ liệu của họ. Khi nhiều mạng và người sử dụng cung cấp sự mã hoá cho những sessor người dùng, những thông tin ẩn có sẵn vào để giảm bớt một sensor network-based IDS.Khi đường mạng được mã hoá, sensor mạng không thể đối chọi với dữ liệu được mã hoá nhằm chống lại cơ sở dữ liệu signature của nó
              Đặng Hoàng Khánh
              Email: danghoangkhanh@vnpro.org
              ---------------------------
              VnPro - Cisco Authorised Training
              Discuss about Networking, especially Cisco technology: http://vnpro.org
              Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

              Comment


              • #8
                Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

                Tác giả: Lê Tài Nguyên
                Phần 4:Giải pháp của Cisco IDS


                Cisco IDS

                Hệ thống phát hiện xâm nhập bảo mật của Cisco( CSIDS) là một network-based IDS. Bằng việc sử dụng signature, CSIDS quan tâm đến mỗi gói đi vào mạng và tạo ra chuông báo khi những sự xâm nhập được phát hiện. Bạn có thể cấu hình CSIDS để không cho những signature và những chỉnh sửa thông số signature vào làm việc một cách tốt nhất trong môi trường mạng của bạn.CSIDS hỗ trợ cho hai nến tảng Director sau :
                • Sự quản lí giao thức bảo mật Cisco(CSPM)
                • Sự quản trị IDS bảo mật Cisco cho Unix.

                Những sensor CSIDS thì có sẵn trong hai platform riêng. Sensor seri 4200 là những ứng dụng mạng mà có thể được phát triển thông qua mạng của bạn( hãy xem chương 7”việc cài đặt sensor seri 4200 bên trong CSPM”). Môđun hệ thống phát hiện xâm nhập( IDSM) cho họ nhà switch 6000 là một sensor mà cư ngụ trên một blade của dòng 6000 của switch.Thiết bị giám sát IDS cuối cùng là Cisco IOS firewall IDS. Platform này có thể làm cho bạn thay đổi thường trình của bạn vào trong thiết bị giám sát IDS.
                Tất cả những Sensor CSIDS có hai giao diện sau:
                • sự giám sát- Monitoring
                • Dòng lệnh và sự điều khiển.

                Những sensor giám sát đường đi mạng cho những alarm trong thời gian thực thông qua giao diện giám sát. Khi đó tất cả những alarm được truyền đi thông qua giao diện dòng lệnh và sự điều khiển cho những platform Director.
                Khi CSIDS phân tích dữ liệu mạng, nó tìm kiếm những(pattern) kiểu dáng của những sự tấn công. Những parttern có thể được đơn giản như một sự cố gắng để truy cập vào một port đặc biệt trên một host đặc biệt, hay phức tạp như những trình tự của sự điều hành trực tiếp rừ nhiều host trên khaỏng thời gian tuỳ ý nào đó.
                Phần này bao gồm những chuyên đề sau đây:
                • Chức năng và đặc điểm của hệ thống
                • những platform và những module hẹ thống.
                • Những Platform director.
                • CSIDS và giao thức PostOffice.

                Chức năng và đặc điểm của hệ thống
                Những cấu trúc kết nối của CSIDS giữ những sự kết nối giữa 2 thành phần này và trình bày một vấn đề chính khác của CSIDS.
                Tiến trình CSIDS cớ bản thì giống như sau(được đề cập ở hình 4-1):


                Hình 4-1 Sự cấu hình CSIDS cơ bản

                Bước 1: Một sensor chụp hình những gói mạng thông qua giao diện giám sát của nó.
                Bước 2: Những gói packet được tập hợp lại nếu được yêu cầu và được so sánh ngược lại với một signature mà biểu thị những hoạt động xâm nhập cơ bản.
                Bước 3: Nếu một sự tấn công bị phát hiện, sensor ghi những sự tấn công và thông báo cho Director platform thông qua những dòng lệnh và giao diện điều khiển.
                Bước 4: Director platform hiển thị những alarm, ghi những dữ liệu, và tham gia những hoạt động trên những sự tấn công bị phát hiện bởi sensor.
                Bạn có thể lên chương trình những sensor của bạn để response những cách khác nhau trên sự phát hiện alarm. Response này được cấu hình dựa trên tính nghiêm ngặc của những sự tấn công bị khám phá. Response có thể được thực hiện như sau:
                • Thiết lập TCP
                • IP blocking
                • IP logging

                Response thiết lập TCP huỷ đi sự kết nối TCP hiện thời từ những kẻ tấn công bằng việc gửi một gói TCP reset ( xem hình 4-2). Response này thì chỉ ảnh hưởng với những sự kết nối dự trên TCP. Ví dụ, đường đi giao thức UDP thì không bị ảnh hưởng bởi những gói TCP reset.


                Hình 4-2 TCP reset sensor response

                Với tuỳ chọn Ip blocking, sensor cập nhật danh sách điều khiển truy cập (ALC) trên router vành ngoài để từ chối tất cả đường đi từ việc vi phạm địa chỉ IP( xem hình 4-3). Response này ngăn chặn kẻ tấn công từ việc gửi bất kì đường đi xa hơn nữa vào trong mạng được bảo vệ từ những host đặc biệt.
                Chú ý rằng nếu một kẻ tấn công có nhiều host bị làm hại trong sự dàn sếp của anh ta, anh ta có thể giữ phát động những sự tấn công từ những thiết bị mà chưa bao giờ được chặn đứng. Hơn thế nữa, một vài sự tấn công, có thể cho phép những kẻ tấn công bắt chước những host nguồn từ nơi mà anh ta xuất hiện để đi vào. Để chống lại những loại tấn công này, tùy chọn Ip blocking thì không có hiệu quả bởi vì kẻ tấn công luôn luôn có thể chọn ra một địa chỉ nguồn mới cho đường đi tấn công của anh ta.


                Hình 4-3 Response Ip blocking

                Chú ý:
                Việc blocking yêu cầu sự cân nhắc kĩ lưỡng trước khi nó được triển khai, bất cứ nơi nào mộtresponse tự động hay thông qua đường lối chỉ đạo điều hành cho những người quản trị hệ thống. Để blcoking những phương tiện, sensor cấu hình một cách tích cực và nạp lại một ACL của router Cisco IOS.
                Những loại response được tự động bằng những sensor cần để cấu hình cho những signature tấn công với một káh năng của sự phát hiện false-possitive. Trong trường hợp của bất kì hành động nghi ngờ nào mà không làm trigger bloking tự động, bạn có thể sử dụng Director platform để block một cách bình thường. CSIDS có thể được cấu hình để không bao giờ block vào những host hay những mạng đặc biệt. Những thiết bị an toàn này ngăn chặn sự phủ nhận của những sự tấn công dịch vụ( DoS) chống lại CSIDS và những thành phần cơ sở hạ tầng khác.

                Response thứ ba, Ip logging những record trong một session log file ma những kẻ tấn công thì đang làm( xem hình 4-4). Tùy chọn này thị bị động và không ngăn chặn những kẻ tấn công từ việc duy trì sự tấn công của anh ta. Thông tin bị log cung cấp một record của những gì ma những kẻ tấn chống lại mạng.


                Hình 4-4 Response Ip logging
                Đặng Hoàng Khánh
                Email: danghoangkhanh@vnpro.org
                ---------------------------
                VnPro - Cisco Authorised Training
                Discuss about Networking, especially Cisco technology: http://vnpro.org
                Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

                Comment


                • #9
                  Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

                  Tác giả: Lê Tài Nguyên

                  Sensor platform và những Module

                  Những sensor từ những workhorse của CSIDS. Việc giám sát đường đi mạng cố định đang tìm những sự tấn công tiềm tàng. Mỗi sensor kiểm tra đường đi mạng để tìm ra một cách chống lại một trong những cuộc tấn công signature trong cơ sở dữ liệu signature của nó.
                  Mỗi sensor tận dụng hai giao diện mạng. Một trong những hai giao diện giám sat đường đi mạng này là một giao diện dòng lệnh command và một giao diện điều khiển. Tất cả sự kết nối với Director platform xuất hiện trên giao diện dòng lệnh và giao diện điều khiển. Để tìm hiểu thêm những thông tin khác trên sự cấu hình sensor cơ bản, xem chương “ Cấu hình Sensor với CSPM”.
                  Khi một sữ liệu mạng trigger một signature, sensor ghi lại những sự kiện và gửi sự khai báo vào cho Director platform. Bên cạnh việc khai báo với Dirctoe platform sensor cũng có một vài tùy chọn response. Nếu những kẻ tấn công đang sử dụng một kết nối TCP, sensor có thể gửi một reset TCP đến sự kết nối này. Để ngắt những kẻ tấn công từ mạng, sensor có thể block địa chỉ Ip của kẻ tấn công bằng việc cập nhật một ACL trên một router Cisco IOS( IP blocking). Sensor cũng có thể log vào session IP mà trigger những signature. Một Response cuối cùng là cho một sự điều hành để block host hay mạng một cách thông thường mà được tạo ra từ một alarm. Hành động này sẽ chọn ra một nơi trên Director platform.
                  Tất cả sensor là những ứng dụng phần cứng mà được chỉnh cho sự thực thi tốt nhất. Phần cứng bao gồm CPU và bộ nhớ chính cho mỗi ứng dụng cung cấp một sự thực thi IDS tốt nhất, trong khi đang diễn ra việc duy trì này. Để bảo vệ những sensor, hệ điều hành host của những ứng dụng phải được cấu hình một cách an toàn. Sư hiểu biết về sự bảo mật những tình trạng dễ bị tấn công phải được vá lại, và những dịch vụ không cần thiết phải được bỏ đi.
                  Section này bao gồm những chủ đề sau đây:
                  • Những sensor seri 4200
                  • Module IDS cho dòng switch 6000


                  Những Sensor seri 4200

                  Những Sensor seri 4200 có hai phiên bản: IDS-4230 và IDS 4210. IDS-4230 thì mạnh hơn của hai sensor này và được giới thiệu trong hình 4-5. Một vài đặc điểm của IDS-4230 như sau:
                  • Sự thực thi: 100Mbps
                  • Bộ xử lí: Pentium III kép 600 MHz
                  • Bộ nhớ chính: 512 MB
                  • Card giao tiếp mang: FE/SFDDI/DFDDI


                  Hình 4-5: Sensor IDS 4230

                  IDS-4210 là một sensor nhiều compact( xem hình 4-6). Với kích thước nhỏ hơn đến từ một đặc điểm được làm thất hơn so với IDS 4230. Đặc điểm của IDS-4210
                  • Sự thực thi: 45 Mbps
                  • Bộ xử lí: Celeron đơn 566 MHz
                  • Bộ nhớ chính: 256MB
                  • Card giao tiếp mạng: Ethernet


                  Hình 4-6: IDS-4210 sensor

                  Bảng 4-1: Những điểm khác nhau nổi bậc giữa những sensor này là:

                  Để xem thông tin chi tiết cho việc cài đặt nHững sensor dòng 4200, hãy xem chương 7

                  IDS Module cho dòng switch 6000

                  IDS Module( IDSM) cho dòng swith 6000 được thiết kế một cách đặc biệt để chỉ ra những môi trường được chuyển đổi thông qua việc hợp nhất những chức năng vào trong switch một cách trực tiếp. IDSM nhận được đường đi ngay tức thì backplane của switch, bằng cáh ấy việc kết nối cả việc swtching và chức năng bảo mật vào trong chassis giống nhau( Hình 4-7)


                  Hình 4-7: IDS Module dòng switch 6000

                  Để đơn giản cho dòng sensor 4200, IDSM phát hiện những hoạt động trái phép trên mạng và gửi những alarm tới cho Director platform, trình bày tỉ mỉ những sự kiện. Sensor này cư ngụ một cách trực tiếp trên switch,việc chụp hình dữ liệu một cách trực tiếp từ backplane của switch. Hai phương pháp của việc chụp hình dữ liệu sau:
                  • Người phân tích port Switch( SPAN)
                  • Danh sách điều khiển truy cập VLAN

                  Việc sử dụng một port SPAN có thể làm cho bạn bảo switch thực hiện việc copy những gói dữ liệu mà được thiết kế cho những port có sẵn trên switch. Danh sách truy cập VLAN có thể làm cho bạn định rõ việc giám sát nhiều hình hột. Việc giám sát này có thể dựa trên địa chỉ IP đặc biệt và những dịch vụ mạng. Hơn thế nữa, IDSM có thể giám sat một bộ đầy 100 Mbps mà không có sự va chạm nào giữa các sự thực thi. Việc giám sát thì ở bị động và được kiểm tra việc sau lưu những gói tin được kiểm tra.
                  Một vài đặc điểm chính của IDSM:
                  • Line Card được tích hợp một cách đầy đủ.
                  • Khả năng Multi-VLAN .
                  • Thiết lập chữ kí đầy đủ.
                  • Sự cấu hình và giám sát chung.
                  • Thực thi 100 Mbps.
                  • Không có sự va chạm giữa các sự thực thi .
                  Đặng Hoàng Khánh
                  Email: danghoangkhanh@vnpro.org
                  ---------------------------
                  VnPro - Cisco Authorised Training
                  Discuss about Networking, especially Cisco technology: http://vnpro.org
                  Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

                  Comment


                  • #10
                    Tìm Hiểu Về Hệ Thống Phát Hiện Và Ngăn Ngừa Xâm Nhập (IDS/IDP)

                    Tác giả: Lê Tài Nguyên

                    Phần 5: Hệ thống phát hiện xâm nhập trên Linux


                    Hệ thống phát hiện xâm nhập của Linux( LIDS)

                    Root là nguồn gốc của tất cả vấn đề. Thường nó chỉ có ý nghĩa đối với người quản trị hệ thống Unix/Linux. Sau khi việc truy cập vào root không thẩm định được sự xác nhận thì việc kiểm soát mức độ thiệt hại dường như rất vô vọng đối với bạn.
                    Trong hệ thống mặc định của Red Hat Linux, một số hệ thống con thường không được bảo vệ.
                    • Filesystem. Hệ thống có nhiều file quan trọng chẳng hạn như /bin/login, mà các hacker thường xuyên phát hiện ra bởi vì chúng được bảo vệ. Nếu một hacker tấn công, bạn có thể truy cập hệ thống này bằng cách tải lên chương trình đăng nhập đã được sửa đổi cẳhn hạn như /bin/login. Trong thực tế không được thay đổi thường xuyên( hoàn toàn)- do đó chúng sẽ không được bảo vệ.
                    • Các tiến trình thực thi. Nhiều tiến trình chạy với quyền sử dụng root, nghĩa là khi chúng được phát hiện ra bằng cách sử dụng các thủ thuật chẳng hạn như phương pháp tràn bộ đệm, người tấn công sẽ đạt được toàn bộ sự truy cập root lên hệ thống.

                    LIDS nâng cao tính bảo mật hệ thống bằng cách giảm năng lực sử dụng của người dùng root. LIDS cũng thi hành một mô hình bảo mật cấp thấp trong kernel- cho các mục đích như sau:
                    • Bảo vệ tính bảo mật
                    • Phát hiện sự nguy hiểm
                    • Các khả năng để đối phó với nguy hiểm

                    Ví dụ, LIDS có thể cung cấp việc bảo vệ như sau:
                    • Bảo vệ các file quan trọng và các thư mục tránh việc truy cập không hợp lệ trên ổ cứng của bạn mà không quan tâm đến filesystem cục bộ nào mà chúng nằm trên đó.
                    • Bảo vệ các file và thư mục đã chọn để tránh việc sửa đổi từ người dùng root, do đó việc truy cập root trái phép không thể biến người xâm nhập thành người giám sát.
                    • Bảo vệ các quá trình quan trọng không bị kết thúc từ một người nào khác kể cả người dùng root( một lần nữa, phương pháp này sẽ giảm đi các khả năng của người dùng root).
                    • Ngăn các chương trình trái phép truy cập đến các thao tác nhập xuất.
                    • Bảo vệ bản ghi khởi động chính của đĩa cứng( MBR).

                    LIDS có thể phát hiện khi một người nào đó kiểm tra hệ thống của bạn bằng cách sử dụng các chương trình quét cổng- và cho người quản trị hệ thống biết thông tin đó qua email. LIDS cũng có thể cho người quản trị hệ thống biết bất cứ những gì có liên quan đến sự xâm nhập không hợp pháp đối với các quy tắc mà bạn đã áp đặt – và ghi nhật ký các thông báo chi tiết về sự xâm nhập đó( trong các chống trộm cắp được bảo vệ của LIDS). LIDS không chỉ có thể ghi nhật ký và gửi mail vào các lần xâm nhập trái phép mà nó còn chấm dứt khi làm việc tương tác của người xâm nhập.

                    Xây dựng hệ thống Linux dựa trên LIDS

                    LIDS( Linux Intrustion Detection System) là một phần mềm vá lỗi của kernel và là một bộ các công cụ quản trị để nâng cao tính bảo mật từ bên trong kernel của hệ điều hành Linux. LIDS sử dụng mô hình bảo mật reference monitor( kiểm soát tham chiếu), đặt mọi thứ mà nó tham chiếu đến chủ đề, đối tượng và loại truy cập – trong kernel. Nếu bạn muốn biết thêm nhiều thông tin về phương pháp này, hãy đến đến Website www.lids.org/about.html
                    Một hệ thống Linux sử dụng LIDS chạy một kernel tùy biến, do đó bạn phải có mã nguồn kernel mới nhất từ một vị trí đáng tin cậy chẳng hạn như www.kernel.org. sau khi bạn tải và rút trích kernel trong /usr/src/linux, tải phần mềm vá lỗi LIDS cho kernel mà bạn đã xác định. Ví dụ, nếu bạn sử dụng kernel 2.4.1, chắc chắn bạn tải phần mềm vá lỗi LIDS và gói công cụ quản trị có tên là lids-x.x.x.y.y.y.tar.gz, ở đây x.x.x đại diện cho số phiên bản LIDS và y.y.y đại diện cho số phiên bản của kernel( ví dụ lids-1.0.5-2.4.1).

                    Thủ thuật
                    Bạn sử dụng LIDS 1.0.5 cho kernel 2.4.1 trong các phần hướng dẫn sau đây. Chắc chắn bạn thay đổi số phiên bản cần thiết. Trích phần mềm phân phối LIDS trong thư mục /usr/local/src bằng cách sử dụng lệnh tar xvzflids-1.0.5-2.4.1.tar.gz từ mục /usr/local/src. Bây giờ bạn có thể dán vào kernel.

                    Ghi chú
                    Chắc chắn /usr/src/linux trỏ đến phần mềm phân phối nguồn kernel mới nhất mà bạn đã tải. Bạn có thể đơn giản chạy ls -1/usr/src/linux để xem thư mục nào mà liên kết biểu tượng trỏ đến. Nếu nó trỏ đến nguồn kernel cũ hơn, loại bỏ liên kết bằng cách sử dụng rm –file /usr/src/linux và tạo lại liên kết nó bằng cách sử dụng ln –s / usr/src/linux –version usr/src/linux, ở đây version là phiên bản kernel mà bạn đã tải.Ví dụ, ln –s usr/src/linux-2.4.1 usr/src/linux liên kết đến nguồn kernel 2.4.1 mới nhất vào usr/src/linux.
                    Dán, biên dịch và cài đặt kernel bằng LIDS. Trước khi bạn có thể sử dụng LIDS trong hệ thống, bạn cần dán nguồn kernel, sau đó biên dịch và cài đặt kernel được cập nhật. Sau đây là cách bạn có thể thực hiện điều đó:
                    1- Dưới dạng root, trích gói LIDS trong thư mục thích hợp mà bạn lựa chọn.
                    Thông thường, bạn giữ mã nguồn cho phần mềm được biên dịch cục bộ trong thư mục usr/local/src. Giả định bạn sẽ thực hiện thao tác này. Vì thế từ thư mục /usr/local/src, chạy lệnh tar xvzf lids-1.0.5-2.4.1.tar.gz. Thực hiện điều này tạo một thư mục con mới có tên là lids-1.0.5-2.4.1.
                    2- Thay đổi thư mục đến usr/src/linux và chạy lệnh patch –p < usr/local/srclids-1.0.5-2.4.1.patch để dán phần mềm phân phối nguồn kernel.
                    3- Chạy lệnh make menuconfig từ thư mục usr/src/linux để khởi động chương trình cấu hình kernel dựa trên menu.

                    Ghi chú
                    Thay vì sử dụng lệnh make menuconfig, bạn cũng có thể sử dụng lệnh make config để cấu hình kernel.

                    4- Từ menu chính, chọn menu con Code maturity level options và chọn tùy chọn Prompt for development and/or incomplete code/drivers bằng cách nhấn phím spacebar; sau đó thoát khỏi menu con này.
                    5- Chọn Sysctl support từ menu con general setup; sau đó thoát khỏi menu con.
                    6- Từ menu chính, chọn menu con Linux Intrusion Detection System.

                    Ghi chú
                    Menu con này chỉ xuất hiện nếu bạn đã thực hiện xong bước 4 và 5, nằm ở phần dưới cùng của menu chính; bạn có thể cuộn qua một ít.

                    7- Từ menu con LIDS,chọn tùy chọn LIDS support( Experimental)( New)
                    Bạn sẽ nhìn thấy danh sách các tùy chọn:
                    (1024) Maximum protected objects to manage ( New)
                    (1024) Maximum ACL subjects to manage ( New)
                    (1024) Maximum ACL objects to manage ( New)
                    (1024) Maximum protected proceed ( New)
                    [] hang up console when raising a security alert( New)
                    [] Security alert when executing unprotected programs before sealing LIDS ( New)
                    [] Try not to flood logs( New)
                    [] allow switching LIDS protection( New)
                    [] port Scanner Detector in kernel( New)
                    [] Send security alerts though network ( New)
                    [] LIDS Debug ( New)

                    Thủ thuật
                    Các giới hạn mặc định cho các đối tượng được bảo vệ, quản lí, các đối tượng chủ đề ACL và các quá trình được bảo vệ phù hợp đối với hầu hết hệ thống. Bạn có thể để chúng ở dạng mặc định.

                    • Nếu bạn muốn LIDS hủy kết nối console khi một người dùng xâm nhập đến một quy tắc bảo mật, chọn tùy chọn Hang up console when raising a security alert.
                    • Nếu bạn đưa ra một cảnh báo bảo mật khi chương trình được thực thi trước khi LIDS được sử dụng, chọn tùy chọn Security alert when executing unprotected program before sealing LIDS.

                    Lưu ý
                    LIDS được mở trong lúc khởi động( như được mộ tả ở phần sau trong chương này), do đó có thể bạn sẽ chạy các chương trình khác trước khi chạy LIDS.Tuy nhiên, khi bạn chọn tùy chọn này, bạn cũng có thể bỏ qua s ự thực thi của các chương trình không được bảo vệ bằng cách sử dụng tùy chọn. Do not execute unprotected programs before sealing LIDS. Tốt hơn bạn không nên vô hiệu hóa các chương trình không được bảo vệ hoàn toàn trong suốt quá trình khởi động trừ khi bạn chắc chắn mọi thứ mà bạn muốn chạy trong lúc bạn khởi động( chẳng hạn như các tiện ích và daemon) được bảo vệ và không dừng quá trình khởi động thông thường.

                    8- Sử dụng tùy chọn Try not to flood logs( New)

                    Thủ thuật
                    Để thời gian trì hoãn mặc định là 60 giây giữa việc ghi nhật ký của hai mục nhập đồng nhất. Thực hiệc điều này sẽ giúp bạn bảo vệ được sự đúng đắn của mình bằng cách giới hạn kích thước của file nhật ký. Sự trì hoãn sẽ đảm bảo nhiều mục nhập ký không được viết một cách nhanh chóng.

                    9- Chọn tùy chọn Allow switching LIDS protection nếu bạn muốn sử dụng việc chuyển đổi về tính bảo vệ của LIDS. Nếu bạn thực hiện, bạn có thể tùy biến điều này bằng cách chọn giá trị cho các tùy chọn sau đây:
                    • Number of attempts to submit password
                    • Time to wait after a fail( seconds)
                    • Allow remote users to switch LIDS protections
                    • Allow any program to switch LIDS protections
                    • Allow reloading config.file
                    Sau đây là các tùy chọn mẫu:[*] Allow switching LIDS protections( New)
                    (3) Number of attempts to submit password ( New)
                    (3) Time to wait after a fail ( Seconds) ( New)[*] Allow remote users to switch LIDS protections ( New)
                    [ ] Allow any program to switch LIDS protections ( New)[*] Allow reloading config.file( New)
                    10- Chọn các tùy chọn Port Scanner Detector in kernel và send security alerts through network. Đừng thay đổi giá trị mặc định cho tùy chọn thứ hai.
                    11- Lưu cấu hình kernel và chạy các lệnh sau đây để biên dịch kernel mới cũng như các module của nó( nếu có).
                    make depend
                    make bzlmage
                    make modules
                    make modules_install

                    Lưu ý
                    Nếu bạn không biên dịch phiên bản kernel mới hơn so với phiên bản đang chạy trên hệ thống, sao lưu thư mục /bin/modules/current-version( ở đây current-version là số phiên bản kernel hiện hành). Ví dụ, nếu bạn đang biên dịch 2.4.1 và bạn đã chạy lệnh cp –r /lib/modules/2.4.1 /lib/modules/2.4.1.bak để sao lưu các module hiện tại. Trong trường hợp vấn đề xảy ra với kernel mới, bạn có thể xóa các module của kernel bị hỏng và đổi tên thư mục này thành tên gốc của mình.

                    12. Sao chép ảnh kernel được tạo mới hơn /usr/src/linux/arch/ỉ86/boot/bzImage vào /boot /vmlinux-lids-1.0.5-2.4.1 bằng cách sử dụng lệnh /usr/src/linux/arch/ỉ86/boot/vmlinux-lids-1.0.5-2.4.1.
                    13. Trong file /etc/lilo.config, thêm các dòng sau đây:
                    image=/boot/vmlinux-1.0.5-2.4.1
                    label=lids
                    read-only
                    root= /dev/hda1
                    Nếu /dev/hda1 không phải là thiết bị root, chắc chắn bạn thay đổi nó một cách thích hợp.
                    14. Chạy /sbin/lilo để cấu hình lại LILO.
                    Khi cấu hình LILO lại, cấu hình kernel hoàn tất.

                    Biên dịch, cài đặt, và cấu hình LIDS
                    Sau khi cấu hình kernel, bạn có thể tiếp tục với phần còn lại của cấu hình LIDS.
                    Sau đây là cách biên dịch và cài đặt chương trình quản trị LIDS lidsadm.
                    1. Giả định bạn đã cài đặt nguồn LIDS trong thư mục /usr/local/src, thay đổi sang /usr/local/src/lids-1.0.5-2.4.1/lidsadm-1.0.5.
                    2. chạy lệnh make, theo sau là lệnh make install.
                    Các lệnh này thực hiện những hoạt động sau:
                    • Cài đặt chương trình lidsadm trong /sbin.
                    • Tạo các file cấu hình cần thiết( lids.cap, lids.conf, lids.net, lids.pw) trong /etc/lids.
                    3. Chạy lệnh /sbin/lidsadm –p và nhập vào một password cho hệ thống LIDS.
                    Password này được lưu trữ trong file /etc/lids/lids.pw, theo dạng mã hóa RipeMD-160.
                    4. Chạy lệnh /sbin/lidsadm –u để cập nhật các số inode/dev.
                    5. Cấu hình file /etc/lids/lids.net. File /etc/lids/lids.net được trình bày vắn tắt trong danh sách 8.1.
                    MAIL_RELAY=127.0.0.1:25
                    MAIL_SOURCE=lids.sinocluster.com
                    MAIL_FROM= LIDS_ALERT@lids.sinocluster.com
                    MAIL_TO= root@localhost
                    MAIL_SUBJECT= LIDS Alert

                    • Tùy chọn MAIL_SWITCH có thể là 1 hay 0( 1 bật chức năng cảnh báo e-mail, 0 tắt chức năng này).Để lại giá trị mặc định (1) này.
                    • Xác lập tùy chọn MAIL_RELAY sang địa chỉ IP của mail server mà LIDS sẽ sử dụng để gửi thông điệp cảnh báo.

                    Nếu bạn chạy mail server trên cùng máy tính mà bạn đang cấu hình LIDS, hãy để lại giá trị mặc định này. Số cổng, 25, là cổng SMTP mặc định và nên để yên đó trừ khi bạn đang chạy mail server của bạn trên một cổng khác.
                    • Xác lập tùy chọn MAIL_SOURCE sang tên của máy chủ đang được cấu hình. Thay đổi giá trị mặc định sang tên máy chủ thích hợp của hệ thống.
                    • Xác lập tùy chọn MAIL_FROM sang một địc chỉ mà cho bạn biết hệ thống nào mà cảnh báo đến từ đó, thay đổi giá trị mặc định tương ứng với tên máy chủ của hệ thống.

                    Thủ thuật
                    Bạn không cần phải có một tài khoản thư thật sự cho địa chỉ from. Tùy chọn MAIL_TO nên xác lập sang địa chỉ e-mail của người quản trị trong hệ thống đang được cáu hình. Bởi vì địa chỉ root, root@localhost là tài khoản mặc định trong việc quản lí, do đó bạn có thể để nó ở dạng mặc định này. Tùy chọn MAIL_SUBJECT phải rõ ràng và sẽ được thay đổi khi cần thiết.

                    6. Chạy lệnh /sbin/lidsadm –L, lệnh này sẽ trình bày kết quả như sau:
                    LIST
                    Subject ACCESS TYPE Object
                    -----------------------------------------------------
                    Any File READ /sbin
                    Any File READ /bin
                    ANY File READ /boot
                    Any File READ /lib
                    Any File READ /usr
                    Any File DENY /etc/shadow/bin/login READ /etc/shadow
                    /bin/su READ /etc/shadow
                    Any File APPEND /var/log
                    Any File WRITE /var/log/wtmp
                    /sbin/fsck.ext2 WRITE /etc/mtab
                    Any File WIRTE /etc/mtab
                    Any File WRITE /etc
                    /sbin/sendmail WRITE /var/log/sendmail.st
                    /bin/login WRITE /var/log/lastlog
                    /bin/cat READ /home/httpd
                    Any File DENY /etc/httpd/conf
                    /usr/sbin/sendmail WRITE /var/log/sendmail.st
                    /usr/X11R6/bin/XF86_SVGA NO_INHERIT RAWIO
                    /usr/sbin/in.ftpd READ /etc/shadow
                    /usr/sbin/httpd NO_INHERIT HIDDEN

                    Bước này sẽ trình bày những file nào được bảo vệ theo mặc định.
                    Bởi vì có thể bạn không có /home/xhg( thư mục chủ của LIDS), bạn có thể xóa bỏ việc cấu hình cho nó bằng cách sử dụng lệnh /sbin/lidsadm –D –s /bin/cat –o /home/xhg. Bạn có thể để mọi thứ trở lại dạng mặc định, thực hiện các thay đổi nếu cần.
                    7. Thêm dòng sau đây vào file /etc/rc.d/rc.local để niêm phong lại kernel trong lúc kết thúc quá trình khởi động.
                    /sbin/lidsadm -l
                    8. Nhập lids tại dòng nhắc LILO
                    Bước này khởi động lại hệ thống và chọn kernel sử dụng lids.
                    Khi hệ thống khởi động và cahỵ lệnh /sbin/lidsadm –I từ script /etc/rc.d/rc.local, nó niêm phong kernel và hệ thống được bảo vệ từ LIDS.
                    Quản lý LIDS
                    Sau khi bạn có hệ thống Linux sử dụng LIDS, bạn có thể sửa đổi các xác lập ban đầu theo các yêu cầu thay đổi của tổ chức. Ngoại trừ file /etc/lids/lids.net, bạn phải sử dụng chương trình /sbin/lidsadm để sửa đổi các file cấu hình LIDS: /etc/lids/lids.conf, /etc/lids/lids.pw, và /etc/lids/lids.cap.
                    • File /etc/lids.lids.conf lưu trữ thông tin về ACL( Access Control List – danh sách điều khiển truy cập).
                    • File /etc/lids/lids.cap chứa tất cả các quy tắc sử dụng cho hệ thống
                    Bạn có thể bật hoặc vô hiệu hóa tính năng cụ thể trên hệ thống bằng cách hiệu chỉnh file này, sử dụng lệnh /sbin/lidsadm. Đặt một dấu cộng (+) phía trước tên của tính năng để bật nó; sử dụng dấu trừ (-) để loại bỏ.
                    • Sử dụng file /etc/lids/lids.net cấu hình quá trình cài đặt thư cần thiết cho việc gửi thông tin về các cảnh báo bảo mật. bạn có thể sử dụng một trình soạn thảo văn bản chẳng hạn như vi, emac hay pico đểhiệu chỉnh file này.
                    Khi LIDS phải dừng các tác vụ quản lý hệ thống, thực hiện như sau:
                    • Sử dụng lệnh /sbin/lidsadm –S -- -LIDS hoặc /sbin/lidsadm –S -- -LIDS_GLOBAL.
                    • Cung cấp password LIDS để tắt LIDS.
                    Sau khi bạn đã thực hiện các thay đổi trong một file cấu hình LIDS( bằng cách sử dụng lệnh lidsadm), tải lại cấu hình được cập nhật bên trong kernel bằng cách chạy lệnh /sbin/lidsadm –S -- + RELOAD_CONF.
                    Để thêm một ACL mới trong file /etc/lids/lids.conf, sử dụng lệnh /sbin/lidsadm như sau:
                    /sbin/lidsadm –A [-s subject] [text –d | -i] –o object –j TARGET
                    Trong dòng trên của mã
                    • Tùy chọn –A yêu cầu chương trình /sbin/lidsadm thêm một ACL mới.
                    • Tùy chọn –s subject xác định chủ đề của ACL.

                    Chủ đề có thể là bất kì chương trình nào ( Ví dụ, /bin/cat)

                    Thủ thuật
                    Khi bạn không xác định một chủ đề, ACL áp dụng vào mọi thứ.

                    • Các tùy chọn –t, -d và –I thường không được sử dụng.
                    • Tùy chọn –o object xác định tên của đối tượng, vốn có thể là một trong các đối tượng sau:
                    o Tập tin
                    o Thư mục
                    o Tính năng
                    Mỗi ACL yêu cầu một đối tượng có tên.
                    • Tùy chọn –j TARGET xác định mục tiêu của ACL.
                    o Khi ACL mới có một file hoặc thư mục là đối tượngm mục tiêu có thể là READ,WRITE,APPEND,DENY hay IGNORE.
                    o Nếu đối tượng là một tính năng của Linux, mục tiêu phải là INHERIT hoặc NO_INHERIT. Điều này xác định thành phần con của đối tượng có thể có cùng tính năng sử dụng.
                    Bảo vệ các file và thư mục
                    Bạn có thể sử dụng lidsadm để bảo vệ các file và thư mục quan trọng.LIDS cung cấp các kiểu bảo vệ sau cho các file và thư mục:
                    • READ: tạo một file hoặc một thư mục chỉ đọc.
                    • WRITE: cho phép sửa đổi file hoặc thư mục.
                    • IGNORE: bỏ qua tất cả các bảo vệ khác có thể xác lập cho một file hoặc thư mục.
                    • APPEND: cho phép thêm vào file.
                    • DENY: từ chối tất cả các thao tác truy cập đến file hoặc thư mục.
                    Tạo các file hoặc thư mục chỉ đọc.
                    1. Để tạo một file có tên là /path/filename ở chế độ chỉ đọc để không một ai có thể thay đổi nó, chạy lệnh sau đây:
                    /sbin/lids –A –o /path/filenamw –j READ
                    2. Để tạo một thư mục có tên là /mypath ở chế độ chỉ đọc, chạy lệnh như sau:
                    /sbin/lids –A –o /mypath –j READ

                    Ghi chú
                    Không có chương trình nào có thể viết vào file hoặc thư mục. Bởi vì bạn không xác định một chủ đề trong bất kì lệnh trước đó, ACL áp dụng vào tất cả các chương trình.

                    Từ chối việc truy cập đến file hoặc thư mục. để từ chối việc truy cập đến file có tên là /etc/shadow, chạy lệnh sau đây:
                    /sbin/lids –A –o /etc/shadow –j DENY
                    Sau khi bạn chạy lệnh trước đó và cấu hình LIDS được tải lại, bạn có thể chạy các lệnh chẳng hạn như ls –l /etc/shadow và cat /etc/shadow để kiểm tra xem bạn có thể truy cập đến file đó hay không. Không có chương trình nào ở đây có thể xem file bởi vì bạn đã xác định chủ đề là tất cả các chương trình trong hệ thống.Tuy nhiên, nếu một chương trình chẳng hạn như /bin/login truy cập đến file /etc/shadow, bạn có thể cho phép nó truy cập file bằng cách tạo một ACL mới như trong lệnh sau đây:
                    /sbin/lids –A –s /bin/login –o /etc/shadow –j READ
                    Cho phép truy cập ở chế độ append-only. Thông thường, các chương trình cần truy cập ở chế độ append-only vào các sổ nhật lí trọng yếu chẳng hạn như /var/log/messages hoặc /var/log/secure.Bạn có thể bật chế độ append only cho hai file này bằng cách sử dụng lệnh sau:
                    /sbin/lids –A –o /var/log/messages –j APPEND
                    /sbin/lids –A –o /var/log/secure –j APPEND
                    Cho phép truy cập ở chế độ write-only. Để cho phép một chương trình có tên là /usr/local/apache/bin/httpd viết đến một thư mục được bảo vệ có tên là /home/httpd, chạy các lệnh sau đây:
                    /sbin/lids –A –o /home/httpd –j DENY
                    /sbin/lids –A –s /usr/local/apache/bin/httpd –o /home/httpd –j READ
                    Xóa một ACL,để xóa tất cả các quy tắc của ACL, chạy lệnh /sbin/lidsadm –Z. Để xóamột wuy tắc ACL, đơn giản xác định chủ đề ( nếu có) và /hoặc đối tượng của ACL. Ví dụ, nếu bạn chạy lệnh /sbin/lidsadm –D –o /bin, tất cả các quy tắc ACL với /bin là đối tượng bị xóa. Tuy nhiên, nếu bạn chạy /sbin/lidsadm –D –s /bin/login –o /bin thì chỉ ACL xác định /bin/login làm chủ đề và /bin làm đối tượng bị xóa.

                    Lưu ý
                    Về việc xác định tùy chọn –Z hay –D mà không có bất kì tham số nào sẽ xóa bỏ tất ảc các quy tắc của ACL của bạn.

                    Ngoài trừ việc bảo vệ các file và thư mục của bạn bằng cách sử dụng kỹ thuật trước đó, LIDS có thể sử dụn Linux Capabilities để giới hạn các tính năng của một chương trình đang cahỵ( nghĩa là một tiến trình). Trong hệ thống Linux truyền thống, người dùng root, có tất cả” Capabilities” hoặc khả năng thực hiện bất kì tác vụ từ bất kì tiến trình nào đang chạy.LIDS sử dụng Linux Capabilities để phân chia tất cả sức mạnh của root thành các phần để bạn có thể tinh chỉnh các tính năng của một tiến trình cụ thể. Để có thể tìm hiểu thêm về Linux Capabilities bạn có thể xem file /usr/include/linux/capability.h header.
                    Bảo vệ hệ thống bằng cách sử dụng Linux Capabilities của LIDS
                    Bạn có thể sử dụng các tính năng mà LIDS cung cấp để bảo vệ hệ thống, sau đây bạn sẽ học cách sử dụng Linux Capabilities( LC) từ LIDS.
                    Bảo vệ các daemon không bị hủy diệt từ root. Thông thường, tiến trình init khởi động cactiến trình daemon chẳng hạn như chương trình tải thư seandmail va Apache Web server. Nếu bạn muốn bảo vệ chúng khỏi bị hủy diệt từ người dùng root, sửa đổi các xác lập CAP_INIT_KILL trong /etc/lids/lids.cap như sau:
                    -30:CAP_INIT_KILL
                    Dấu + cho phép bạn bật tính năng, dấu – cho vô hiệu hóa nó.Sau khi bạn tải cấu hình LIDS( bằng cách dùng lệnh /sbin/lidsadm –S -- + RELOAD_CONF) hoặc khởi động lại hệ thống và niêm phong kernel( bằng cách sử dụng lệnh /sbin/lidsadm –I trong script /etc/rc.d/rc.local) bạn ( dưới dạng root) không thể loại bỏ chương trình con ban đầu. Điều này đảm bảo ngay cả nếu hệ thống của bạn bị tổn thương và người xâm nhập đạt được quyền root, họ không thể hủy các daemon và thay thế chúng bằng các phiên bản trojan.
                    Che giấu các tiến trình khỏi người sử dụng. Theo mặc định, tính năng CAP_HIDDEN được bậc trong file cấu hình /etc/lids/lids.cap. Điều này có thể che giấu một tiến trình khỏi người sử dụng bằng cách sử dụng lệnh sau đây ( /path/to/binary là đường dẫn đầy đủ có thể thực thi mà bạn muốn che giấu khi chạy):
                    Lidsadm –A –s /path/to/binary –t –o CAP_HIDDEN –j INHERIT
                    Ví dụ để che giấu các tiến trình của Apache server /usr/local/apache/bin/httpd khi chạy, đơn giản chạy lệnh sau đây:
                    Lidsadm –A –s /usr/local/apache/bin/httpd –t –o CAP_HIDDEN –j INHERIT
                    Điều này sẽ làm cho tiến trình ở dạng ẩn trong kernel và nó không thể tìm thấy bằng cách sử dụng bất kì công cụ của người dùng chẳng hạn như ps, top hoặc thậm chí qua việc kiểm tra file trong filesystem /proc.
                    Vô hiệu hóa việc truy cập thiết bị từ các tiến trình.Thông thường, chỉ các tiến trình đặc biệt cần truy cập đến các thiết bị thô. Vì thế bạn nên vô hiệu hóa khả năng truy cập đến các thiết bị thô và cho phép truy cập đến nó nếu cần thiết sao cho phù hợp với khái niệm bảo mật tổng quát là “đóng tất cả” chỉ mở những gì bạn cần.
                    Việc truy cập thiết bị thô được điều khiển bằng cách sử dụng tính năng CAP_SYS_RAWIO, tính năng này vô hiệu hóa theo mặc định trong file cấu hình /etc/lids/lids.cap. Nếu tính năng này được phép sử dụng, các tiên trình có thể truy cập các thiết bị khối chẳng hạn như:
                    - ioperm/iopi
                    - /dev/port
                    - /dev/mem
                    - /dev/kmem
                    Ví dụ, khi tính năng này tắt( ở dạng mặc định) thì chương trình /sbin/lilo không thể hoạt động chính xác bởi vì nó cần truy nhập ở mức độ thiết bị thô đến ổ cứng.
                    Nhưng một số chương trình đặc biệt có thể yêu cầu tính năng này phải chạy chính xác chẳng hạn như XF86_SVGA. Trong trường hợp này, bạn có thể thêm chương trình trong danh sách ngoai lệ sau:
                    Lidsadm –A –s /usr/X11R6/bin/XF86_SVGA –t –o CAP-SYS_RAWIO –j INHERIT
                    Dòng này sẽ làm cho XF86_SVGA có tinbh năng là CA_SYS_RAWIO trong khi các chương trình khác không được phép sử dụng CAP_SYS_RAWIO.
                    Vô hiệu hóa các tác vụ quản lí mạng. Theo mặc định, tính năng CAP_NET_ADMIN bị tắt, nghĩa là người quản trị mạng( thường là người dùng root) không thể thực hiện các tác vụ quản lí mạng như sau:
                    - Cấu hình giao diện Ethernet
                    - Quản lí việc tính toán, sự giả mạo và tường lửa IP.
                    - Xác lập tùy chọn gỡ lỗi cho các socket.
                    - Sửa lỗi các bản định tuyến.
                    - Xác lập tiến trình hoặc nhóm tiến trình tùy ý trên các socket.
                    - Liên kết đến bất kì địa chỉ sử dụng proxy trong suốt.
                    - Xác lập Type Of Service( TOS) .
                    - Xóa bỏ số liệu thống kê của bô điều khiển.
                    - Kĩ thuật multicasting.
                    - Đọc/viết các bộ đăng kí đặc trưng cho thiết bị.
                    Xác lập mặc định ( khả năng này bị tắt) nên sử dụng. Đối với bất kì tác vụ ở trên, đơn giản tháo gỡ LIDS tạm thời bằng cách sử dụng lệnh /sbin/lidsadm –S -- -LIDS.
                    Bảo vệ cờ hiệu của Linux cho các file. Filesystem ext2 có một tính năng mở rộng có thể tạo cờ hiệu cho một file dạng không đổi. Điều này được thực hiện bằng cách sử dụng lệnh chartr. Ví dụ, chartr +I /path/to/myfile biến /path/to/myfile thành một filr không thể thay đổi được. Một file với thuộc tính không thể được sửa lỗi hoặc bị xóa hay được đổi tên, thậm chí được liên kết làm biểu tượng. Tuy nhiên, người dùng root có thể thay đổi cờ hiệu bằng cách sử dụng lệnh chattr –I /path/to/myfile. Bây giờ, bạn có thể bảo vệ các file không đổi thậm chí từ người dùng root bằng cách vô hiệu hóa tính năng CAP_LINUX_IMMUTABLE.

                    Ghi chú
                    Tính năng CAP_LINUX_IMMUTABLE bị vô hiệu hóa theo mặc định trong /etc/lids/lids.cap.

                    Phát hiện các máy quét. Nếu bạn sử dụng một máy quét cổng tạo sẵn trong lúc biên dịch kernel chẳng hạn như trong quá trình dán, biên dịch và cài đặc kernel với LIDS, bạn có thể phát hiện ra các máy quét cổng. Máy quét này có thể phát hiện ra ra việc quét cổng lén lút của SYN, Stealth FIN, Xmas, Null Scan,…Bộ kiểm tra có thể nhận ra các công cụ này bằng Nmap và Satan – nó hữu dụng khi socket raw ( CAP_NET_RAW) bị vô hiệu hóa.

                    Ghi chú
                    Khi CAP_NET_RAW bị bắt, một số máy quét phổ biến có sẵc đối với người dùng( hầu hết đều dựa trên kĩ thuật sniffing) không làm việc chính xác. Nhưng máy quét dựa trên kernel được cung cấp từ LIDS thì bảo mật hơn mà bạn có thể sử dụng – nó không sử dụng bất kì socket nào. Bạn có thể nghĩ đến việc sử dụng bộ quét được hỗ trợ từ LIDS song song với( hoặc thay vì) tắt socket raw.

                    Đối phó lại người xâm nhập
                    Khi LIDS phát hiện sự xâm nhập vào bất kì qui tắc ACL nào, nó có thể phản hồi hoạt động từ các phương pháp sau đây:
                    • Ghi nhật kí thông điệp. Khi một người nào đó xâm phạm đến quy tắc ACL, LIDS ghi nhật kí thông điệp bằng cách sử dụng chương trình nhật kí của kernel.
                    • Gửi thư đếm người có thẩm quyền thích hợp.LIDS có thể gửi thư khi sự xâm nhập xảy ra. Tính năng này được điều khiển từ file /etc/lids/lids.net.
                    • Trì hoãn console. Nếu bạn đã bật tùy chọn này trong lúc gắn kernel vào LIDS( được thảo luận ở bước 9 trong phần “dán,biên dịch và cài đặt kernel với LIDS”), console bị treo khi người dùng xâm phạm đến qui tắc ACL.
                    Một hệ thống tương tự khác đối với LIDS là dự án OpenWall( www.openall.com/linux). Dự án OpenWall có một số tính năng bảo mật khác so với các tính năng của LIDS – một trong các chương trình vá lỗi củaOpenWall( ví dụ ) tạo một vùng ngăn xếp của một tiên trình không khả thi.
                    Tổng kết
                    LIDS là công cụ tốt nhất bảo vệ Linux của bạn tránh khỏi những người xâm nhập. Bởi vì LIDS là một lược đồ bảo vệ xâm nhập ở cấp độ kernel, do đó nó rất khó bị đánh bại bằng cách sử dụng các phương pháp xâm nhập truyền thống.Trong thực tế hệ thống LIDS bị niêm phong rất khó khăn để xâm nhập.Do đó đây là công cụ cải thiện đáng kể về tính bảo mật của hệ thống.
                    Đặng Hoàng Khánh
                    Email: danghoangkhanh@vnpro.org
                    ---------------------------
                    VnPro - Cisco Authorised Training
                    Discuss about Networking, especially Cisco technology: http://vnpro.org
                    Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

                    Comment


                    • #11
                      post nguyen ban tieng anh di ban, dung pm dich tieng viet doc chang ra cai gi ca

                      Comment


                      • #12
                        bài viết rất bổ ích,thanks! mà sao không thấy hình ảnh bạn ơi?bạn xem dùm nhé?

                        Comment


                        • #13
                          sao giống copy paste vô translate google dịch vậy, đọc thấy chẳng ra câu cú gì cả, nhưng thật sự cảm ơn anh đã có công, công lao đáng ghi nhận

                          Comment

                          Working...
                          X