IDS là viết tắt của Intrusion Detection System - Hệ thống Phát hiện Xâm nhập. Đây là các phần mềm hoặc công cụ giúp bạn bảo mật hệ thống và cảnh báo mỗi khi có xâm nhập. IDS thường là một phần của các hệ thống bảo mật hoặc phần mềm khác, đi kèm với nhiệm vụ bảo vệ hệ thống thông tin.

Các tính năng quan trọng nhất của IDS bao gồm:

1. Giám sát traffic mạng và các hoạt động khả nghi
2. Đưa ra các cảnh báo về những điểm bất thường cho hệ thống và đơn vị quản trị mạng
3. Kết hợp với tường lửa, phần mềm diệt virus tạo nên một hệ thống bảo mật hoàn chỉnh

1.1. Phân loại

IDS có 2 loại cơ bản:

• Network IDS(NIDS):

Thường được bố trí ở những điểm dễ bị tấn công trong mạng để kiểm tra lưu lượng truy cập từ tất cả các thiết bị trên mạng. NIDS thực hiện quan sát lưu lượng truy cập trên toàn bộ mạng con và so sánh lưu lượng truy cập được truyền trên các mạng con với danh sách tập hợp các cuộc tấn công đã biết. Khi phát hiện 1 cuộc tấn công hoặc có hành vi bất thường, gửi cảnh báo đến quản trị viên. 1 ví dụ về NIDS là đặt NIDS trên mạng con có cài đặt firewall để xem có ai đang cố bẻ khóa firewall không.

Tuy nhiên, Network IDS phân tích 1 lượng lớn các lượt truy cập mạng, đôi khi không phát hiện được các tấn công dưới dạng truy cập được mã hóa. Trong 1 số trường hợp sẽ cần thao tác thủ công của quản trị viên để đảm bảo cấu hình chính xác.

• Host IDS(HIDS):

Thường hoạt động trên các máy chủ độc lập hoặc các thiết bị độc lập trên mạng. HIDS chỉ giám sát các gói dữ liệu (packets) đến và đi từ thiết bị, cảnh báo cho quản trị viên nếu phát hiện hoạt động đáng ngờ hoặc độc hại.

HIDS "chụp" lại các file hệ thống hiện có và so sánh với "ảnh chụp" trước đó. Sau khi phân tích nếu file hệ thống đã bị chỉnh sửa hoặc xóa HIDS sẽ gửi cảnh báo đến quản trị viên để điều tra.

• Nod Network IDS

NNIDS cũng hoạt động như NIDS, tuy nhiên chúng chỉ áp dụng với một máy chủ trong một thời gian nhất định, chứ không phải trên toàn bộ mạng con.

II. IPS là gì?

IPS (Intrusion Prevention System) - Hệ thống ngăn chặn xâm nhập là 1 số biện pháp an ninh mạng quang trọng nhất mà mạng có thể có. Khác với các biện pháp bảo vệ thụ động như IDS, IPS không chỉ phát hiện các mối đe dọa tiềm ẩn đối với hệ thống mạng, cơ sở hạ tầng của nó mà còn tìm cách chủ động đánh chặn bất kỳ kết nối nào có thể là mối đe dọa.

2.1. Phân loại

Dựa vào chức năng IPS được phân thành các loại sau:

• Host-based IPS (Hệ thống chống xâm nhập dựa trên máy chủ)

Mục đích của loại này đảm bảo không có hoạt động độc hại nào xảy ra trong mạng nội bộ (internal network). Khi IPS phát hiện ra bất cứ hoạt động nào có dấu hiệu bất thường, nó thực hiện quét mạng để lấy thông tin chi tiết về hoạt động đó. Bằng cách này IPS sẽ ngăn chặn hoạt động độc hại cụ thể xảy ra trong máy chủ cụ thể.

Tính năng chính của loại này là không bao giờ quản lý toàn bộ mạng, nhưng máy chủ triển khai Host-based IPS sẽ được đảm bảo an toàn và được bảo vệ khỏi các cuộc tấn công thông qua lớp mạng.

• Wireless IPS (Hệ thống chống xâm nhập không dây)

Được triển khai để giám sát hoạt động độc hại trong mạng không dây. Tất cả các gói dữ liệu (packet) di chuyển trong mạng không dây đều được kiểm tra hoặc giám sát bởi loại IPS này với sự trợ giúp của chữ ký.

Nếu IPS tìm thấy bất kỳ gói dữ liệu nào bị đánh dấu là có chữ ký độc hại, nó sẽ ngăn gói dữ liệu đó tiến sâu hơn vào mạng. Là một trong những loại IPS tối ưu hiện nay, một phần vì mạng không dây được sử dụng thường xuyên hơn mạng dựa trên LAN (LAN_based). IPS loại này giúp mạng an toàn hơn, ngăn các gói dữ liệu có hại thực hiện bất kỳ thay đổi nào trong môi trường hiện có.

• Network-based IPS (Hệ thống chống xâm nhập dựa trên mạng)

Được triển khai với mục đích theo dõi hoặc kiểm tra toàn bộ mạng. Bất kỳ hoạt động độc hại nào được phát hiện trong toàn bộ mạng đều có thể được ngăn chặn bằng cách sử dụng loại IPS này

Hệ thống này có thể được tích hợp với các công cụ quét mạng khác như Nexpose,... Các lỗ hổng được phát hiện bởi các công cụ đó cũng sẽ được loại IPS này xem xét và nếu gặp phải bất kỳ cuộc tấn công nào nhắm vào các lỗ hổng của các công cụ kia, IPS loại này vẫn bảo vệ hệ thống ngay cả khi chưa có bản vá cho lỗ hổng đó.

• Network behavior analysis (Phân tích hành vi mạng)

Loại IPS này dùng để hiểu hành vi của mạng, và các hoạt động trên toàn mạng vẫn nằm trong sự giám sát liên tục của hệ thống này. Khi hệ thống phát hiện gói dữ liệu có chữ ký độc hại, IPS đảm bảo chặn gói này để nó không gây hại cho ứng dụng.

Mục đích chính của loại IPS này là đảm bảo không có gói dữ liệu độc hại nào được truyền qua mạng nội bộ (internal network). Các tổ chức sử dụng loại IPS này luôn được bảo vệ trước các cuộc tấn công như DOS(Denial of Service) hoặc bất kỳ cuộc tấn công nào dựa trên vi phạm quyền riêng tư.

III. Ứng dụng của IDS/IPS

3.1. Suricata

Là một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) và hệ thống ngăn chặn xâm nhập (IPS-Intrusion Prevention System) dựa trên mã nguồn mở đa nền tảng và thuộc tổ chức OISF(Open Infomation Security Foundation). Suricata là công cụ miễn phí được các doanh nghiệp lớn nhỏ sử dụng.

Hệ thống sử dụng bộ quy tắc (rule set) và ngôn ngữ chữ ký (signature language) để phát hiện và ngăn chặn các mối đe dọa. Có thể chạy trên Windows, Mac, Unix, Linux.

Việc Suricata được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có nhưng sẽ mang lại ý tưởng và công nghệ mới trong lĩnh vực an ninh mạng.

3.2. Vai trò của Suricata trong giám sát an ninh mạng

Suricata có thể được triển khai theo 2 cơ chế: phát hiện(IDS) và ngăn chặn (IPS). Theo mặc định, Suricata được cấu hình để chạy như một hệ thống phát hiện xâm nhập, hệ thống này chỉ tạo cảnh báo và ghi lại lưu lượng truy cập đáng ngờ. Khi chế độ ngăn chặn (IPS), Suricata có thể chủ động loại bỏ lưu lượng mạng đáng ngờ.

Suricata có dung lượng nhẹ, chi phí thấp và có thể cung cấp cái nhìn sâu sắc về những gì đang xảy ra trên mạng theo góc độ bảo mật.

Suricata được thiết kế để tương thích với các thành phần an ninh mạng hiện có hỗ trợ đa luồng, tức là có thể sử dụng nhiều lõi một lúc, cho phép cân bằng tải tốt hơn.

Các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) cũng có thể tận dụng output của Suricata để tăng cường các quy tắc và quy trình phát hiện.

Sơ đồ triển khai

3.3. Cài đặt và cấu hình Suricata

Bước 1: Cài đặt Suricata

• Cài đặt EPEL repository:

sudo yum install epel-release

• Cài đặt Suricata:

sudo yum install suricata -y

Bước 2: Cấu hình Suricata

Suricata bao gồm một Community ID trong đầu ra JSON của nó để giúp dễ dàng khớp các bản ghi sự kiện riêng lẻ với các bản ghi trong các bộ dữ liệu được tạo bởi các công cụ khác. Ở đây dùng Elasticsearch

Mở

sudo yum install suricata -y

2 sử dụng vi:

sudo vi /etc/suricata/suricata.yaml

Tìm dòng

Community Flow ID. Thay đổi community-id thành true để bật cài đặt.

Xác định interface và IP cần suricata giám sát

Sử dụng

sudo yum install suricata -y

3 để xác định ip mà suricata sẽ giám sát

• Interface ens32 và ip 10.15.242.163

Mở

sudo yum install suricata -y

4

sudo vi /etc/suricata/suricata.yaml

Thay đổi nội dung file suricata.yaml như sau:

af-packet:
interface: ens32

Bước 3: Cập nhật Suricata Rulesets:

Suricata bao gồm một công cụ được gọi là suricata-update có thể lấy rules từ các nhà cung cấp bên ngoài:

sudo suricata-update

Thêm nguồn cung cấp rules:

Có thể liệt kê tập hợp các nguồn cung cấp rules mặc định bằng cách sử dụng

sudo yum install suricata -y

5 gắn cờ

sudo yum install suricata -y

6 như thế này:

sudo suricata-update list-sources

Liệt kê các nhà cung cấp ruleset:

suricata-update list-sources

Nếu muốn thêm ruleset của nhà cung cấp nào thì bật bộ ruleset đó. Ví dụ của tgreen/hunting:

suricata-update enable-source tgreen/hunting

Bước 4: Xác thực cấu hình suricata

Bật chế độ kiểm tra tích hợp sẽ kiểm tra file cấu hình, và mọi quy tắc bao gồm về tính hợp lệ:

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Trong đó:

• -T: Chạy Suricata ở chế độ thử nghiệm.
• -v: Sẽ in một số thông tin bổ sung.
• -c: Cho Suricata biết nơi tìm tệp cấu hình của nó.

Bước 5: Chạy suricata

Bây giờ đã có cấu hình và quy tắc Suricata hợp lệ, có thể khởi động máy chủ suricata. Chạy theo sau

sudo yum install suricata -y

7 lệnh: