Tự động hóa việc cập nhật bảng luật lọc gói cho các firewall mã nguồn mở

Bài viết đề xuất và triển khai một mô hình mới về sự kết hợp trong hoạt động giữa IDS và Firewall, nó cho phép IDS tự động cập nhật bảng luật lọc gói của firewall mỗi khi phát hiện có sự bất thường. Điều này giúp việc bảo vệ mạng trước các tấn công từ Internet trở nên tức thời hơn.
Nội dung trích xuất từ tài liệu:
Tự động hóa việc cập nhật bảng luật lọc gói cho các firewall mã nguồn mở 16 N. K. Tuấn, N. T. Thuận, Phan Long / Tạp chí Khoa học và Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 03(40) (2020) 16-25 Tự động hóa việc cập nhật bảng luật lọc gói cho các firewall mã nguồn mở Automating the update of packet filtering rules for open source firewalls Nguyễn Kim Tuấna,b*, Nguyễn Trung Thuậna,b, Phan Longa,b Kim Tuan Nguyena,b*; Trung Thuan Nguyena,b; Long Phana,b a Khoa Công nghệ Thông tin, Trường Đại học Duy Tân, Đà Nẵng, Việt Nam b Viện Nghiên cứu và Phát triển Công nghệ Cao, Trường Ðại học Duy Tân, Ðà Nẵng, Việt Nam a Faculty of Information Technology, Duy Tan University, Da Nang, 550000, Vietnam b Institute of Research and Development, Duy Tan University, Da Nang, 550000, Vietnam (Ngày nhận bài: 20/05/2020, ngày phản biện xong: 12/06/2020, ngày chấp nhận đăng: 27/6/2020) Tóm tắt Trong các hệ thống bảo mật mạng doanh nghiệp dựa vào Intrusion Detection System (IDS) và Firewall (tường lửa bảo mật), thông thường, nhiệm vụ của IDS là theo dõi tất cả dòng traffic vào/ra mạng, để từ đó phát hiện và đưa ra cảnh báo về các dòng traffic bất thường, về các gói tin có nguy cơ mang theo mã độc. Dựa vào những những thông tin cảnh báo này, người quản trị an ninh mạng sẽ thiết kế các luật chính sách mới, tiến hành cập nhật lại bảng luật lọc gói của Firewall, nhờ đó firewall có thể ngăn chặn kịp thời các dòng traffic không mong muốn. Trong bài báo này, chúng tôi đề xuất và triển khai một mô hình mới về sự kết hợp trong hoạt động giữa IDS và Firewall, nó cho phép IDS tự động cập nhật bảng luật lọc gói của firewall mỗi khi phát hiện có sự bất thường. Điều này giúp việc bảo vệ mạng trước các tấn công từ Internet trở nên tức thời hơn. Từ khóa: Tường lửa bảo mật; Bảng luật lọc gói; Hệ thống phát hiện xâm nhập; Nghe lén; Lọc gói tin. Abstract In enterprise network security systems that rely on IDS (Intrusion Detection System) and Firewall, it is the typical task of IDS to monitor all incoming/outgoing network traffic, thereby detecting and giving warnings about abnormal traffic streams, packets which are at risk of bringing malicious code. Based on the warning information, the network system administrator will design new policy rules, update the packet filtering rules of the Firewall, so that the firewall can prevent unwanted traffic in time. In this paper, we propose and deploy a new model of the association between the operation of IDS and Firewall, which allows IDS to automatically update the firewall filter rule table whenever it detects anomalies. This helps to protect the network from Internet attacks. Keywords: Firewall; rule table; intrusion detection system; sniff; packet capture. 1. Đặt vấn đề traffic, mọi packet vào/ra mạng, để từ đó có thể Trong mô hình bảo mật mạng doanh nghiệp, phát hiện ra các xâm nhập trái phép và các hệ thống phát hiện xâm nhập (IDS) đóng vai trò packet, có thể đến từ các nguồn hợp pháp, có quan trọng. Nó có nhiệm vụ giám sát mọi dòng nguy cơ mang theo mã độc vào mạng [1]. *Corresponding Author: Kim Tuan Nguyen; Faculty of Information Technology, Duy Tan University, Da Nang, 550000, Vietnam; Institute of Research and Development, Duy Tan University, Da Nang, 550000, Vietnam. Email: nguyenkimtuan@duytan.edu.vn N. K. Tuấn, N. T. Thuận, Phan Long / Tạp chí Khoa học và Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 17 Khi đã xác định được hành động bất thường từ Theo đó, IPTables vừa thực hiện nhiệm vụ một traffic nào đó thì IDS tiến hành ngay các điều khiển truy cập mạng, vừa sẵn sàng nhận công việc cần thiết như lưu giữ thông tin liên lệnh thay đổi bảng luật lọc gói từ Sniffer. Các quan đến sự bất thường, hay gửi thông tin cảnh dòng traffic, các packet sau khi qua được báo về sự bất thường đến các hệ thống liên firewall IPTables sẽ được hướng tới Sniffer, quan, trong đó có cả người quản trị an ninh của Sniffer bắt lại và lấy ra các thông tin cần thiết mạng. Cần lưu ý rằng, IDS chỉ làm nhiệm vụ từ chúng, từ đó phân tích, thống kê và dự báo, phát hiện và đưa ra cảnh báo, còn việc xử lý sự để xác định nguồn gốc của traffic, của packet bất thường là do các bộ phận khác. Điều này có hành động đáng nghi ngờ. Và rồi thực hiện thường được thực hiện bởi firewall thông qua cập nhật bảng luật của IPTables một cách tự sự điều khiển bảng luật của người quản trị an động và tức thời. Từ đây, firewall IPTables sẽ ninh mạng. Rõ ràng công đoạn này có vẻ thụ ra quyết định điều khiển truy cập theo bảng luật động, cần có thời gian để cập nhật bảng luật, mới này. Đây là mục tiêu hoạt động của mô nên cần được xem xét cải tiến để nâng cao hiệu hình chúng tôi đề xuất. quả trong công tác bảo vệ mạng của tổ chức, Thuận lợi của các firewall mã nguồn mở, doanh nghiệp [2]. trong đó có IPTables, là ta có thể cập nhật bảng Có thể nói, bộ lọc gói và bảng luật lọc gói là luật (chính xác là file luật lọc gói) của nó theo hai trong ba thành phần chính của các firewall cơ chế dòng lệnh, điều này được thực hiện dễ lọc gói. Từ chính sách điều khiển truy cập dàng từ chương trình Python. Đây là một trong mạng, đội quản trị an ninh mạng sẽ xây dựng những lý do khiến chúng tôi nghĩ đến việc tự bảng luật lọc gói cho firewall. Bộ lọc gói ...