Tải bản đầy đủ

Tìm hiểu về IDSIPS (AN TOÀN MẠNG)

Insert or Drag and Drop your Photo

Tìm hiểu về IDS/IPS

GVHD: Mai Cường Thọ
Lớp: 57MTT


Danh sách nhóm

1. Đinh Hữu Hoàng
2. Nguyễn Thị Thu Cúc


Các nội dung tìm hiểu

Khái niệm IDS
Chức năng của IDS
Thành phần cấu tạo hệ thống IDS
Phân loại IDS
Các vị trí đặt IDS

Một số tiêu chí triển khai IDS
Một số kiểu tấn công vào hệ thống IDS và cách phòng chống

IDS

Khái niệm IPS
Chức năng của IPS
Phân loại IPS
Lý do cần triển khai IPS
Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập
Thiết kế mô hình mạng
Một số tiêu chí triển khai IPS

IPS


Khái niệm
IDS


IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành
động trên thiết bị khác để ngăn chặn tấn công.



Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt
động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng. Một
điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến bảo mật mạng, nhưng tường lửa theo
dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xảy ra, nó giới hạn truy nhập giữa các mạng để
ngăn chặn sự xâm nhập nhưng không phát hiện được cuộc tấn công từ bên trong mạng. Bên cạnh
đó IDS sẽ đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo
dõi được các cuộc tấn công có nguồn gốc từ bên trong một hệ thống.

 

4


Chức năng của IDS


Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS
chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí
sau khi tấn công đã hoàn tất.

Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự
đoán được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn
ra (Active response).


IDS

Thành phần cấu tạo hệ thống IDS

Sensor (bộ cảm nhận)

Signature database

Chặn bắt và phân tích lưu lượng trên mạng và các
nguồn thông tin khác để phát hiện dấu hiệu xâm nhập
(signature).

Là cơ sở dữ liệu chứa dấu hiệu của các tấn công đã được phát hiện và
phân tích. Cơ chế làm việc của signature database giống như virus
database trong các chương trình antivirus, do vậy, việc duy trì một hệ
thống IDS hiệu quả phải bao gồm việc cập nhật thường xuyên cơ sở
dữ liệu này.


Phân loại IDS the o phạm v i giám sát

Phân loại IDS

Phân loại IDS theo phạm vi giám sát

Host-based IDS (HIDS)
 
Click
Click icon
icon to
to add
add picture
picture

Network-based IDS (NIDS)
Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu
đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước
hoặc sau tường lửa.

Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của
HIDS ngoài lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system
log) và kiểm tra hệ thống (system audit).


Phân loại IDS the o phạm v i giám sát

Phân loại IDS

Anomaly-based IDS 

Phân loại IDS theo kỹ thuật thực hiện

Phát hiện xâm nhập bằng cách so sánh các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các
bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao
tiếp mạng của server là vào khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng
này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS. Để hoạt động
chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động của hệ thống trong điều
kiện
bình thường để ghi nhận các thông số hoạt động, đây là cơ sở để phát hiện các bất thường về sau.
Click
Click icon
icon to
to add
add picture
picture

Signature-based IDS
Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu
lượng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm
nhập (signature database) và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức
hoặc kỹ thuật xâm nhập mới.


Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt IDS tại các vị
trí khác nhau để tận dụng tối đa khả năng của hệ thống này.

1. Đặt giữa router và firewall

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả các lưu lượng trên cả 2

Click icon to add picture

chiều. Khi triển khai theo cấu trúc này thì IDS phải chịu áp lực rất lớn về lượng,
nhưng lại có khả năng giám sát toàn bộ lưu lượng của hệ thống mạng. Vì vậy,
trong trường hợp này nên lựa chọn các thiết bị IDS có khả năng chịu tải cao để
nâng cao hiệu năng.

9

9


2. Đặt trong miền DMZ

Khi đặt trong trường hợp
này, IDS sẽ theo dõi tất cả
lưu lượng vào/ra trong
miền DMZ.

10


3. Đặt sau firewall

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng trao đổi phía sau
firewall như:
Dữ liệu trao đổi trong LAN.
Dữ liệu từ LAN vào/ra DMZ và ngược lại.





Một số tiêu chí triển khai IDS

1
Xác định
công nghệ
IDS/IPS đã,
đang hoặc

2
Xác định các
thành phần của
IDS/IPS.
Thiết đặt và cấu
hình an toàn cho
IDS/IPS.

3

4

Xác định vị

Có cơ chế

trí hợp lý

xây dựng,

để đặt

tổ chức,

IDS/IPS.

quản lý hệ

5
Hạn chế thấp nhất
các tình huống
cảnh báo nhầm
(false positive) hoặc
không cảnh báo khi
có xâm nhập (false
negative).


Một số kiểu tấn công vào hệ thống IDS và cách phòng chống

 Từ chối dịch vụ (DoS): cũng như các thiết bị mạng khác, IDS hoàn toàn có khả năng bị tấn công từ chối dịch vụ, nhằm mục đích tiêu tốn
tài nguyên hệ thống (CPU, bộ nhớ, băng thông mạng…).

 Tấn công đánh lừa IDS: sử dụng các kỹ thuật can thiệp, thay đổi cấu trúc gói tin để nhằm đánh giá khả năng ứng xử của IDS đối với các
kiểu dữ liệu đầu vào.


Một trong những phần mềm IDS phổ biến hiện nay là Snort. Đây là một sản phẩm NIDS mã nguồn mở với hệ thống signature database
(được gọi là rule database) được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồng Internet.
 

Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đến thời
điểm này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫn chưa
thật sự chứng tỏ được tính hiệu quả của nó trong việc đảm bảo an toàn cho các hệ
thống. Xu hướng hiện nay là chuyển dịch dần sang các hệ thống IPS có khả năng
phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, đồng thời giảm
thiểu thời gian chết và các chi phí ảnh hưởng đến hiệu quả hoạt động của mạng.




SNORT

Snort là một hệ thống phát hiện xâm nhập mạng, viết tắt là NIDS (Network intrusion
detection system). Snort là một mã nguồn mở miễn phí với nhiều tính năng tuyệt vời trong
việc bảo vệ hệ thống bên trong, phát hiện và ngăn chặn sự tấn công từ bên ngoài vào hệ
thống.



Snort có thể phát hiện tấn công mạng trong thời gian thực. Tuy nhiên, Snort chỉ có thể
chống lại các cuộc tấn công một cách hiệu quả khi có dấu hiệu bị tấn công. Đối với những
Hacker chuyên nghiệp hay hacker khét tiếng họ có thể tùy biến signature của cuộc tấn công
theo ý mình, từ đó thiết bị giám sát mạng snort khó có thể phát hiện.



Snort cũng có thể được dùng như một chương trình bắt gói tin (sniffer packet), lưu trữ và
kiểm tra logger (packet logger) hoặc xếp chúng, từ đó snort sẽ tự so sánh mối nguy hiểm
của hiểm họa nhằm phát hiện xâm nhập.



Một số hệ thống Snort có thể chạy như: Windows, Linux, Solaris, HP-UX, AIX, IRIX,
OpenBSD, FreeBSD…

15


SNORT

Cấu trúc của Snort:



Mô đun giải mã gói tin (Packet Decoder): là thiết bị phần cứng hoặc phần mềm
được đặt trong mạng, có nhiệm vụ phân tích các giao thức TCP, UDP, ICMP,…
thành thông tin mà con người có thể đọc và hiểu được.

16


SNORT

Cấu trúc của Snort:



Mô đun tiền xử lý (Preprocessors): là plus-in cho phép phân tích cú pháp dữ liệu
theo những cách khác nhau. Nếu chạy snort mà không có bất cứ cấu hình nào về
preprocessors trong tập tin cấu hình sẽ chỉ thấy từng gói dữ liệu riêng rẽ trên
mạng.

17


SNORT

Cấu trúc của Snort:



Mô đun phát hiện (Detection Engine): là một phần của hệ thống phát hiện xâm
nhập dựa trên dấu hiệu, detection engine lấy và kiểm tra dữ kiệu theo luật. Nếu
các luật đó khớp với dữ liệu của gói tin nó sẽ gửi tới hệ thống cảnh báo nếu không
nó sẽ bị bỏ qua như hình sau:

18


SNORT

Cấu trúc của Snort:



Mô đun log và cảnh báo (Logging and Alerting System): cơ chế log sẽ lưu trữ các
gói tin đã kích hoạt các luật còn cơ chế cảnh báo sẽ thông báo các phân tích bị thất
bại.

19


SNORT

Cấu trúc của Snort:




Mô đun kết xuất thông tin(Output Modules)
Mô hình kiến trúc của Snort:

20


IPS

Khái niệm



IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa
xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt
động xâm nhập không mong muốn.

21


Chức năng của IPS

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin
này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa
ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt
động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy
nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn
chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập
luật tương tự như hệ thống IDS.


Phân loại IDS the o phạm v i giám sát

Phân loại IPS

2. Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention)


1.

trên các host.

Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion



Prevention)

•.
•.

Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả

Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự

Click
Click icon
icon to
to add
add picture
picture

Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua
khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong.



thay đổi các tập tin cấu hình.

firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với

•.

Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp
antivirus.

Thường được triển khai trước hoặc sau firewall.

firewall.

Thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập


Lý do cần triển khai IPS
Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác
đúng mục đích sẽ đem lại hiệu quả cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ
thống. Khi triển khai có thể giúp hệ thống:

1
Theo dõi các hoạt động bất thường
đối với hệ thống.

2
Xác định ai đang tác động đến hệ
thống và cách thức như thế nào, các
hoạt động xâm nhập xảy ra tại vị trí
nào trong cấu trúc mạng.

3
Tương tác với hệ thống firewall để
ngăn chặn kip thời các hoạt động
thâm nhập hệ thống.


Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập

Ưu điểm



Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.



Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.

Hạn chế

Có thể gây ra tình trạng phát hiện nhầm (faulse positives),
có thể không cho phép các truy cập hợp lệ tới hệ thống.


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×