xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống

TÓM TẮT Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết quả sau: - Nắm bắt

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ

TÊN ĐỀ TÀI:

XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG

Tháng 06 / 2010

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ

TÊN ĐỀ TÀI:

XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG

Tháng 06 / 2010

Ngày nộp báo cáo

Người nhận báo cáo (ký tên, ghi rõ họ và tên)

TRƯỜNG ĐẠI HỌC HOA SEN

KHOA KHOA HỌC VÀ CÔNG NGHỆ

PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP

1 Mỗi sinh viên phải viết riêng một báo cáo

2 Phiếu này phải dán ở trang đầu tiên của báo cáo

Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2) 1) SV1 : Nguyễn Đức Tú Lớp : VT071A 2) SV2 : Nguyễn Vương Huy Lớp : VT071A Ngành: Mạng máy tính

Tên đề tài: Xây dựng các phương thức giám sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống

* Các dữ liệu ban đầu:

 ISA Server 2006 ( Forefront security )

* Các kết quả tối thiểu phải có:

 Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng



Ngày giao đề tài: 15/03/2010

TÓM TẮT

Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết quả sau:

- Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành phần của một hệ thống giám sát và tường lửa

- Qui trình xây dựng một hệ thống giám sát

- Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit, Snort, Forefront TMG 2010

- Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ thống

LỜI CẢM ƠN

Chúng tôi chân thành cảm ơn tới các thầy cô trong văn phòng khoa Khoa Học – Công Nghệ, trường Đại học Hoa Sen đã tạo điều kiện cho chúng tôi có cơ hội thực hiện đề tài này, cũng như luôn cập nhật và gửi những thông tin liên quan về quá trình thực hiện đề tài Bên cạnh đó, là sự hỗ trợ nhiệt tình, tư vấn hiệu quả từ giảng viên hướng dẫn – thầy Lộc Đức Huy, và cũng không quên gửi lời cảm ơn tới các anh phụ trách phòng máy

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

MỤC LỤC

PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP i

TÓM TẮT ii

LỜI CẢM ƠN iii

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN iv

MỤC LỤC v

DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU x

ĐẶT VẤN ĐỀ 1

1 Lý Do Chọn Đề Tài 1

2 Mục Tiêu Đạt Được Sau Đề Tài 1

PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN 2

3 Tổng Quan Về Bảo Mật Thông Tin 2

3.1 Khái quát bảo mật thông tin 2

3.2 Các loại tấn công cơ bản 2

3.3 Nhiệm vụ của người quản trị 3

4 Tổng Quan Giám Sát Thông Tin 4

4.1 Khái quát giám sát thông tin 4

4.2 Mục đích 4

4.3 Lợi ích của việc giám sát thông tin 4

4.4 Vai trò của giám sát thông tin 5

5 Nguyên Tắc Về Bảo Mật Thông Tin 8

5.1 Chiến lược bảo mật hệ thống 8

5.2 An ninh bảo mật mạng 9

6 Hệ Thống IDS Và IPS 11

6.1 IDS (Hệ thống phát hiện xâm nhập) 11

6.1.1 Kiến trúc của hệ thống IDS 11

6.1.2 Phân loại IDS 12

6.1.3 Các cơ chế phát hiện xâm nhập 15

6.2 IPS (Hệ thống ngăn chặn xâm nhập) 17

6.2.1 Kiến trúc hệ thống IPS 17

6.2.2 Phân loại IPS 19

6.2.3 Phân loại triển khai IPS 20

6.2.4 Công nghệ ngăn chặn xâm nhập IPS 21

6.3 Đối chiếu IDS và IPS 24

7 Tìm Hiểu Về Hệ Thống Firewall 25

7.1 Chức Năng 25

7.2 Các thành phần và cơ chế hoạt động của Firewall 25

7.2.1 Bộ lọc packet (packet-filtering router) 25

7.2.2 Cổng ứng dụng (application-level-gateway) 26

7.2.3 Cổng vòng (Circuit level Gateway) 27

7.3 Những hạn chế của firewall 27

7.4 Các ví dụ Firewall 28

7.5 Các kiểu tấn công 30

7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) 30

7.5.2 Giả mạo danh tính 32

7.5.3 Tấn công SMB 34

8 CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG 36

9 Audit Policies 37

9.1 Khái quát về các chính sách giám sát sự kiện 37

9.2 Các hạng mục trong Event Viewer 39

9.2.1 Custom view 39

9.2.2 Windows logs 40

9.2.3 Applications and Services Logs 41

9.3 Xây dựng và triển khai mô hình mạng 42

9.3.1 Mô hình lab thực hiện 42

9.4 Thiết lập các chính sách giám sát 42

9.4.1 Application log 42

9.4.2 Audit account logon events 43

9.4.3 Audit account management 45

9.4.4 Audit directory service access 48

9.4.5 Audit logon events 50

9.4.6 Audit object access 52

9.4.7 Audit policy change 56

9.4.8 Audit privilege use 57

9.4.9 Audit process tracking 58

9.4.10 Audit system events 61

9.5 Giám sát hệ thống bằng command-line 62

9.6 Nhận xét 64

10 Xây dựng hệ thống giám sát với SNORT 65

10.1 Giới thiệu Snort 65

10.2 Cấu trúc của Snort 65

10.3.1 Snort hoạt động như một Sniffer 67

10.3.2 Snort là một Packet Logger 70

10.3.3 Snort là một NIDS 70

10.4 Khái quát về Rules 71

10.4.1 Cấu trúc của một rule 71

10.4.2 Cấu trúc của phần Header 72

10.4.3 Cấu trúc của phần Options 73

10.5 Hiện thị cảnh báo 74

10.6 Hiệu năng của Snort 75

10.7 Mô hình triển khai Snort 78

10.8 Tấn công trong mạng nội bộ 79

10.8.1 Tấn công ARP Cache 80

10.8.2 Tấn công SMB 81

10.8.3 Tấn công Smurf attack 82

10.8.4 Tấn công Land attack 82

10.8.5 Tấn công Dos với HTTP Post 82

10.8.6 Một số rule cảnh báo 82

10.9 Nhận xét 83

11 Xây dựng hệ thống giám sát với Forefront TMG 84

11.1 Tìm hiểu tổng quan Forefront TMG 84

11.1.1 Một số tính năng mới trong Forefront TMG: 84

11.1.2 Đặc điểm của Forefront TMG: 85

11.2 Mô hình triển khai 86

11.2.1 Thiết lập chính sách tường lửa 87

11.2.3 Giám sát luồng giao thông 93

11.2.4 Theo dõi tổng quan và hiệu suất hệ thống 96

11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống 97

11.3 Nhận xét 100

KẾT LUẬN 101

PHỤ LỤC SNORT 102

PHỤ LỤC FOREFRONT 121

TÀI LIỆU THAM KHẢO 124

DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU

Hình 1 Kiến trúc IDS 11

Hình 2 IDS dựa trên host 13

Hình 3 IDS dựa vào mạng 14

Hình 4 Xây dựng hệ thống với IPS 17

Hình 5 Hệ thống Promiscuous mode IPS 20

Hình 6 Hệ thống In-line IPS 21

Hình 7 Hệ thống Signature-based IPS 21

Hình 8 Hệ thống Anomaly-based IPS 22

Hình 9 Hệ thống policy – based IPS 23

Hình 10 Bộ lọc ứng dụng 26

Hình 11 Cơ chế cổng vòng 27

Hình 12 Single-Homed Bastion Host 29

Hình 13 Dual-Homed Bastion Host 29

Hình 14 Mô hình vùng phi quân sự 30

Hình 15 Land Attack 31

Hình 16 Smurf Attack 32

Hình 17 Giả mạo ARP Cache 34

Hình 18 Hộp thoại Create Custom View 39

Hình 19 Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views 40

Hình 20 Mô hình Lab triển khai 42

Hình 21 Các chính sách giám sát 43

Hình 22 Thiết lập chính sách giám sát 43

Hình 23.Tài khoản đăng nhập thành công 44

Hình 24 Keberos chứng thực khi user đăng nhập 44

Hình 25 Tài khoản u1 đăng nhập sai password 45

Hình 26 Ghi nhận sự kiện tạo tài khoản u1 46

Hình 27 Thông tin chi tiết khi tạo tài khoản u1 46

Hình 28 Thông tin về việc xóa tài khoản 47

Hình 29 Ghi nhận sự kiện tạo group 47

Hình 30 Thông tin chi tiết của filelog 48

Hình 31 Thiết lập chính sách giám sát 48

Hình 32 Ghi nhận sự kiện domain kết nối với nhau 49

Hình 33 Chi tiết filelog 2 domain bắt đầu replicate 49

Hình 34 Đồng bộ bản sao của một Active Directory kết thúc 49

Hình 35 Thiết lập chính sách giám sát 50

Hình 36 Máy client đăng nhập sai password 50

Hình 37 Không ghi nhận sự kiện đăng nhập sai 51

Hình 38 Ghi nhận và thông báo máy truy cập trái phép vào hệ thống 51

Hình 39 Ghi nhận sự kiện u1 54

Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT 54

Hình 41 Chi tiết các thư mục được user truy cập 55

Hình 42 Ghi nhận sự kiện xâm nhập trái phép 55

Hình 43 Chi tiết tài khoản truy cập 56

Hình 44 Ghi nhận sự kiện thay đổi chính sách Logon/Logoff 56

Hình 45 Thông tin chi tiết của file log đã thay đổi 57

Hình 46 Ghi nhận thay đổi của auditing Object Access 57

Hình 48.Khởi tạo tiến trình của dịch vụ DNS 59

Hình 49.Gán token cho tiến trình vừa khởi tạo 59

Hình 50.Thoát tiến trình 60

Hình 51.Ghi nhận sự kiện khởi động Firewall 61

Hình 52.Ghi nhận sự kiện tắt Firewall 62

Hình 53 Danh sách giám sát trong command-line 62

Hình 54 Liệt kê chi tiết giám sát command-line 63

Hình 55 Thông tin giám sát của account logon trong command-line 64

Hình 56 Mô hình của các thành phần Snort 65

Hình 57 Lệnh snort -W 68

Hình 58 Lệnh snort –v -ix 68

Hình 59 Ví dụ client ping 68

Hình 60 Bảng tóm tắt các gói tin được bắt giữ trên Win 69

Hình 61 Lệnh snort –vd -ix 69

Hình 62 Lệnh snort –vde –ix 69

Hình 63 Cấu trúc của một rule 71

Hình 64 Ví dụ cấu trúc rule 71

Hình 65 Cấu trúc phần Header 72

Hình 66 Base đang hoạt động 74

Hình 67 Thống kế dưới dạng đồ họa 74

Hình 68 Thông tin 5 cảnh báo xảy ra nhiều nhất 75

Hình 69 Thông tin máy ping 75

Hình 70 Thông tin IP 75

Hình 71 Các thông số 77

Hình 73 Triển khai IDS 78

Hình 74 Port Monitor 79

Hình 75 Tấn công nội bộ 79

Hình 76 Máy Victim 1 80

Hình 77 Máy Victim 2 81

Hình 78 Cảnh báo 81

Hình 79 Mô hình triển khai Forefront TMG Server 86

Hình 80 Thiết lập các luật cơ bản cho hệ thống 88

Hình 81 Máy client bị cấm truy cập facebook 89

Hình 82 Các chức năng bảo vệ trong IDS 90

Hình 83 Lọc tấn công DNS 91

Hình 84 Xuất hiện cảnh báo quét cổng 91

Hình 85 Bật tính năng IP Option 92

Hình 86 Ghi nhận chi tiết về việc truy cập facebook 93

Hình 87 Ghi nhận chi tiết về việc truy cập facebook 94

Hình 88 Ghi nhận thông tin chi tiết về cuộc tấn công 95

Hình 89 Cảnh báo luồng thông tin đi vào quá nhanh 95

Hình 90.Bảng Dashboard 96

Hình 91 Tạo báo cáo từ ngày 1/6 đến 6/6 97

Hình 92 Xuất báo cáo dưới dạng HTML 98

Hình 93 Thống kê các giao thức sử dụng 98

Hình 94 Thống kê người dùng truy cập 99

Hình 95 Thống kê các trang web truy xuất 99

Hình 96 Thống kê luồng giao thông ra vào hệ thống 99

Hình 98 Mô hình thử nghiệm Snort 102

Hình 99 Cài đặt thành công 103

Hình 100 service snortd start 105

Hình 101 Not Using PCAP_FRAMES 105

Hình 102 Setup page 108

Hình 103 Create BASE 109

Hình 104 BASE thành công 109

Hình 105 Giao diện BASE 109

Hình 106 Trang web tìm kiếm 110

Hình 107 Thông tin IP 110

Hình 108 lệnh tail –f 110

Hình 109 Bảng tóm tắt các gói tin được bắt giữ 111

Hình 110 Installation Options 112

Hình 111 Not Using PCAP_FRAMES trên Win 113

Hình 112 Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 121

Hình 113 Báo lỗi cài Prepairation tool 123

ĐẶT VẤN ĐỀ

1 Lý Do Chọn Đề Tài

Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn

nhỏ Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan

trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông

tin trái phép xâm nhập vào hệ thống Chính vì thế chúng ta phải lập các kế hoạch,

phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay

truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho

hệ thống để đảm bảo tính ổn định và không bị quá tải

2 Mục Tiêu Đạt Được Sau Đề Tài

Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám

sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống

PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN

3 Tổng Quan Về Bảo Mật Thông Tin

3.1 Khái quát bảo mật thông tin

Ngày nay, mạng Internet đã lan rộng và phát triển rất mạnh mẽ Kéo theo nhu

cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và

công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và lưu

lượng truyền tin

Từ đó các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng

đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong

các máy tính nối mạng Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá

trình truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu

đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép

nào thông qua mạng

3.2 Các loại tấn công cơ bản

Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động

- Tấn công thụ động: Mục tiêu của hacker là chỉ nắm bắt và đánh cắp thông tin

Họ chỉ có thể biết được người gửi, người nhận trong phần IP header và thống kê

được tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh

sửa hoặc làm hủy hoại nội dung thông tin dữ liệu trao đổi Kiểu tấn công này khó

phát hiện nhưng có thể có biện pháp ngăn chặn hiệu quả Đối với tấn công chủ

động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lặp lại gói

tin đó

- Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc

chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vì vậy chúng ta cần

phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn

hơn

3.3 Nhiệm vụ của người quản trị

Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi,

nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự

cố

Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho

hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác

nhau

Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào

tài nguyên mạng Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị

tấn công Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý

muốn

Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng

một cách hài hòa và hợp lý Đó chỉ là điều kiện cần cho những quản trị mạng phải có

để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể

4 Tổng Quan Giám Sát Thông Tin

4.1 Khái quát giám sát thông tin

Khi công nghệ máy tính đã tiên tiến, các tổ chức đã trở nên ngày càng phụ

thuộc vào hệ thống thông tin máy tính để thực hiện các hoạt động quy trình, duy trì, và

báo cáo thông tin cần thiết

Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm

tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin (IT) Một giám

sát IT cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt

động của một tổ chức Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông

tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được

những mục tiêu hay những mục đích của tổ chức

4.2 Mục đích

Mục đích là để đánh giá khả năng bảo vệ thông tin của tổ chức, và phân phối

đúng thông tin cho các bên được uỷ quyền Việc giám sát IT gồm những việc sau:

- Hệ thống máy tính của tổ chức có sẵn cho việc kinh doanh khi cần thiết (Tính

sẵn sàng)

- Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền

(Tính bảo mật)

- Những thông tin được cung cấp bởi hệ thống luôn được chính xác, đáng tin

cậy, và kịp thời (Tính toàn vẹn)

4.3 Lợi ích của việc giám sát thông tin

- Đem lại giá trị

Một trong những kết quả của việc thực hiện giám sát đúng là thông tin phải hợp lệ và chính xác về trạng thái của thông tin như một nguồn tài nguyên

của công ty Chất lượng của kế hoạch và quản lý vì vậy cần cải thiện, chính

xác, hợp lệ và các thông tin luôn sẵn có

- Từ chẩn đoán

Là đặc tính của phần lớn các cuộc giám sát Yếu tố chẩn đoán của giám sát có thể nhận ra các điểm mạnh và điểm yếu được xác định Thông tin có thể

được sử dụng để xây dựng trên những điểm mạnh để loại bỏ những điểm yếu

- Từ phản hồi thông tin

Giám sát thông tin là một yếu tố quan trọng trong quá trình phản hồi

Việc giám sát thông tin được sử dụng để xác định xem thông tin cụ thể đầu vào

cung cấp những thông tin kết quả mong muốn Do đó giám sát thông tin là một

công cụ đánh giá và cung cấp thông tin có thể được sử dụng để lập kế hoạch và

thực hiện hành động khắc phục

- Lợi ích từ huấn luyện

Lợi ích này thường bị bỏ qua Một giám sát thông tin cung cấp cơ hội để tham gia đội ngũ nhân viên trong quá trình giám sát, đồng thời dạy họ thêm về

các quy trình, triết lý và các cấu trúc hỗ trợ việc sử dụng các nguồn tài nguyên

thông tin công ty Các nhân viên sẽ có một sự hiểu biết tốt hơn, hình ảnh của

thông tin và vai trò của nó trong tổ chức

4.4 Vai trò của giám sát thông tin

Thông tin đang ngày càng được công nhận là một nguồn tài nguyên có giá trị

mà cần phải được quản lý

- Quản lý thông tin cá nhân

Một trong những kết quả của giám sát thông tin là kiến thức về các nguồn thông tin sẵn có và nơi chúng được cất giữ Điều này có thể tăng cường

- Quảng bá thông tin

Một giám sát thông tin làm tăng nhận thức về thông tin, phổ biến và sao chép thông tin, tổ chức thông tin, truy cập thông tin, bảo vệ và lưu trữ thông

tin

- Quản lý hoạt động thông tin

Xác định nhu cầu thông tin là một thành phần rất quan trọng của giám sát thông tin Trong quá trình giám sát thông tin, nguồn thông tin xác định được

đánh giá về giá trị cao thích hợp cho người sử dụng biết

- Tổ chức quản lý thông tin

Phát triển và cung cấp một cơ sở hạ tầng công nghệ thông tin: Việc giám sát các thông tin có thể được cấu trúc bao gồm các xét nghiệm công cụ công

nghệ thông tin có thể trợ giúp quản lý thông tin hiệu quả

Xác định giá trị và chi phí của thông tin: Không phải tất cả giám sát thông tin bao gồm các giai đoạn như là một Các nhà nghiên cứu cho rằng điều

quan trọng là các định giá và chi phí của các nguồn thông tin nên tạo thành một

phần của một giám sát thông tin

Việc lập một nơi cất giữ của các chủ thể thông tin: Đây là một thành phần cốt lõi của phần lớn các cuộc giám sát thông tin Việc điều phối và thực

hiện một chính sách thông tin tổ chức: Điều này có thể là một trong những kết

quả của giám sát thông tin Thực hiện việc giám sát thông tin với mục đích

phát triển và thực hiện một chính sách thông tin của tổ chức

Việc tổ chức thông tin trong hệ thống thông tin: sự giám sát thông tin sẽ

đưa ra quyết định như thế nào tổ chức các nguồn thông tin cần được tổ chức

Việc quy hoạch, phát triển và đánh giá liên tục của hệ thống thông tin:

Việc giám sát thông tin nên được lặp đi lặp lại theo chu kỳ thường xuyên cho

mục đích đánh giá hệ thống thông tin và các nguồn

- Công ty, chiến lược quản lý thông tin

Sự phát triển của tài nguyên thông tin để cải thiện việc tổ chức, chiến lược và quyết định Giám sát thông tin có thể đóng góp đáng kể vào việc quản

lý thông tin hiệu quả, tức là nó có thể được coi như một công cụ quản lý thông

tin cực kỳ quan trọng Điều này là do các giám sát thông tin cung cấp thông tin

chi tiết và chính xác của thông tin tổ chức

5 Nguyên Tắc Về Bảo Mật Thông Tin

5.1 Chiến lược bảo mật hệ thống

- Thiết lập và giới hạn quyền cho user

Đối với các user chúng ta phải thiết lập chính sách quyền hạn nhất định đối với tài nguyên mạng cho chúng Từng loại user sẽ có các quyền hạn khác

nhau, ví dụ như một user của trưởng phòng sẽ có nhiều quyền hạn hơn user của

nhân viên Tương tự như vậy user ở cấp độ thấp thì càng ít quyền hạn hơn,

phân quyền như vậy giúp ta hạn chế được những sự truy cập trái phép từ một

user bất kỳ

- Bảo vệ theo chiều sâu

Trong quá trình xây dựng hệ thống bảo mật ta không nên quá tin tưởng

và dựa vào một chế độ bảo vệ an toàn nào cho dù chúng rất mạnh, mà nên tạo

nhiều cơ chế an toàn để tương hỗ lẫn nhau Với một hệ thống bảo vệ nhiều lớp

sẽ giúp ngăn cản và làm chậm quá trình thâm nhập của hacker, vì mỗi lớp bảo

vệ với một cơ chế bảo mật khác nhau nên chúng phải mất rất nhiều thời gian để

có thể phá các cơ chế bảo vệ này, đồng thời ta có thêm thời gian để khắc phục

sự cố một cách kịp thời

- Điểm liên kết yếu nhất

Trong hệ thống bảo vệ không phải lúc nào cũng kiên cố và an toàn, những kẻ tấn công phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn

công, do đó ta cần phải thường xuyên kiểm tra, giám sát hệ thống để kịp thời

phát hiện những lỗ hổng để khắc phục Thông thường chúng ta chỉ quan tâm

đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, vì vậy an toàn vật lý

được coi là điểm yếu nhất của hệ thống chúng ta

thâm nhập vào được hệ thống thì chúng dễ dàng tấn công vào các hệ thống

khác

5.2 An ninh bảo mật mạng

Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải

sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với

các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin

cất giữ trong máy tính

Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường

truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong

cho các hệ thống kết nối vào mạng

- Giám sát quyền truy cập

Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên của mạng và quyền hạn trên tài nguyên đó Hạn chế và phát hiện kịp thời

những lượng truy cập và sử dụng trái phép tài nguyên mạng

- Thiết lập tài khoản và mật khẩu

Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài

nguyên đều phải có một tài khoản và mật khẩu Trong khi đó, người quản trị

mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định

quyền truy cập của những người sử dụng khác

Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật khẩu hay bị đánh cắp mật khẩu Người quản trị mạng chịu trách nhiệm đặt mật

khẩu hoặc thay đổi mật khẩu theo thời gian

máy tính phải được thực hiện một cách khoa học đảm bảo toàn bộ hệ thống

hoạt động bình thường trong giờ làm việc

Song song đó phải có một hệ thống dự phòng khi có sự cố về phần cứng hay phần mềm xảy ra Lập kế hoạch backup dữ liệu quan trọng và bảo dưỡng

mạng theo định kỳ Thiết lập các chính sách bảo mật dữ liệu, phân quyền truy

cập và tổ chức nhóm làm việc trên mạng Thiết lập hệ thống và quy trình để

xác định và ngăn chặn thông tin độc hại hoặc không mong muốn Xây dựng

một quá trình phản hồi để theo dõi và thống kê các chi tiết sự cố, đánh giá rủi

ro Luôn cập nhật thường xuyên các công nghệ mới và các ứng dụng cho tổ

chức

Liên tục cải tiến do môi trường kinh doanh thay đổi , cho phép các tổ chức duy trì tình trạng bảo mật thông tin ở mức độ rủi ro có thể chấp nhận

Đảm bảo việc bảo mật thông tin luôn ở trạng thái sẵn sàng để đáp ứng nhu cầu

của tổ chức ngay khi cần thiết

PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG

6 Hệ Thống IDS Và IPS

6.1 IDS (Hệ thống phát hiện xâm nhập)

Hình 1 Kiến trúc IDS

6.1.1 Kiến trúc của hệ thống IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

- Thành phần thu thập thông tin (information collection)

- Thành phần phát hiện (Detection)

- Thành phần phản ứng (Response)

Trong ba thành phần thì thành phần phân tích gói tin là quan trọng nhất và ở

thành phần này bộ cảm biến đóng vai trò quyết định

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự kiện

Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc

thông tin sự kiện

Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách

thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói

mạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống

được bảo vệ hoặc bên ngoài

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương

thích Vì vậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ

sở dữ liệu chính sách phát hiện cho mục này Thêm vào đó, cơ sở dữ liệu giữ các tham

số cấu hình, gồm có các chế độ truyền thông với hệ thống đáp trả Bộ cảm biến cũng

có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc

phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả

chúng truyền thông với nhau

IDS có khả năng dò tìm và phát hiện những cuộc tấn công vào hệ thống mạng

IDS tạo ra một báo động khi nó biết có sự xâm nhập bất thường vào hệ thống IDS

dựa trên các tiêu chí báo động cho phép nó có thể xác định các cuộc tấn công Tất

nhiên, để có thể phát hiện các cuộc tấn công, một hoặc nhiều hệ thống IDS phải được

đặt một cách thích hợp trong mạng, hoặc cài đặt như các thiết bị mạng lưới giám sát

lưu lượng truy cập trên mạng hoặc cài đặt như máy trạm theo dõi hệ điều hành và ứng

dụng đáng ngờ IDS còn có khả năng phát hiện các cuộc tấn công tinh vi sử dụng các

kỹ thuật lẫn tránh để qua mặt các IDS mà thâm nhập không bị phát hiện

6.1.2 Phân loại IDS

Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính như:

- Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)

- Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS)

- Hệ thống lai (Hybrid IDS – Distributed IDS)

Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng

- Hệ Thống Phát hiện xâm nhập dựa trên host (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và

những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo

dõi OS, ghi nhận các sự kiện và những thông điệp báo lỗi trên hệ thống máy

chủ

Hình 2 IDS dựa trên host

Ưu Điểm Nhược Điểm

- HIDS sẽ phân tích trước khi mã

hóa và sau khi giải mã

- Cho phép xác định liệu một cuộc

tấn công đã thành công hay chưa

(NIDS có thể phát hiện các cuộc tấn

công, nhưng nó đã không có cách nào

xác định liệu các cuộc tấn công đã

- Phát hiện xâm nhập dựa vào mạng (NIDS)

NIDS liên quan đến việc đặt một IDS dành riêng trên một đoạn mạng rõ ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này Một NIDS có

thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ

cho toàn bộ mạng

Hình 3 IDS dựa vào mạng

Trong hình trên, tất cả lưu lượng truy cập từ Internet là thông qua router, giao thông được phản ánh cho một cổng giám sát trên một IDS NIDS thông

thường bao gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo

dõi Cổng giám sát dễ dàng bị quá tải và sẽ có một số luồng giao thông bị bỏ

sót mà có thể chứa các cuộc tấn công chống lại mạng Vì vậy, ta cần phải đặt

IDS cẩn thận, hợp lý để bảo đảm cổng giám sát sẽ không bị quá tải

Ưu Điểm Nhược Điểm

- Một NIDS duy nhất có thể bảo vệ

phần lớn mạng trong hệ thống

- Phát hiện tấn công dựa trên mạng,

chẳng hạn như port scan hoặc ping rà

soát

- Yêu cầu cài đặt trên một đoạn mạng mà việc giám sát các cổng không bị quá tải

- Yêu cầu phải giám sát các phần khác nhau của mạng sử dụng nhiều thiết bị IDS

- Yêu cầu phải tập hợp các giao thông bị phân mảnh (giao thông IP được chia thành nhiều mảnh IP)

- Đòi hỏi CPU đáng kể và nhiều tài nguyên bộ nhớ để có thể phân tích lưu lượng truy cập theo dõi trong thời gian thực

- Không thể phát hiện các cuộc tấn công có trong thông tin liên lạc mã hóa

- Phát hiện xâm nhập IDS lai (Distributed (Hybrid) IDS)

Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế Trong hệ

thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung

tâm quản trị

Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các

hệ IDS lai còn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế

phát hiện bất thường

6.1.3 Các cơ chế phát hiện xâm nhập

Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát

hiện xâm nhập Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển

động của đầu dò Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering

mechanism):

- Phát hiện sự sử dụng sai (dựa trên những dấu hiệu)

Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu (signature-based detection) Phát hiện sử dụng sai đòi hỏi những file dấu hiệu

(signature) để nhận dạng những hành động xâm nhập Những file dấu hiệu sử

dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu

hiệu trong những phần mềm diệt virus

Ưu Điểm Nhược Điểm

- Có ít cảnh báo nhầm hơn kiểu phát

hiện sự bất thường

- Không theo dõi những mẫu lưu

lượng hay tìm kiếm những sự bất

thường

- Theo dõi những hoạt động đơn

giản để tìm sự tương xứng đối với bất

kỳ dấu hiệu nào đã được định dạng

- Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn

- Phát hiện sự không bình thường (dựa trên mô tả sơ lược)

Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát

Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo

mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường

Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group

profiles) Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông

thường và hoạt động mạng Nếu một người sử dụng làm chệch quá xa những gì

họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo

Ưu Điểm Nhược Điểm

- Kẻ xâm nhập không bao giờ biết

lúc nào có, lúc nào không phát sinh

cảnh báo bởi vì họ không có quyền

truy cập vào những profile sử dụng để

phát hiện những cuộc tấn công

- Không dựa trên một tập những dấu

hiệu đã được định dạng hay những đợt

tấn công đã được biết

- Thời gian chuẩn bị ban đầu cao

- Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu

- Thường xuyên cập nhật profile khi thói quen người dùng thay đổi

- Khó khăn trong việc định nghĩa cách hành động thông thường

- Cảnh báo nhầm

- Chọn lựa giữa NIDS và HIDS

Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh

nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN

Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các

máy khách Không có lý do nào giải thích tại sao cả NIDS và HIDS không

được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh NIDS dễ bị vô

hiệu hóa đối với kẻ xâm nhập Rõ ràng cài đặt nhiều nút phát hiện trên mạng

bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ

cho một đoạn mạng

6.2 IPS (Hệ thống ngăn chặn xâm nhập)

Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết

hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion

detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động

ngăn chặn các cuộc tấn công

Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các

thiết bị trong mạng

Hình 4 Xây dựng hệ thống với IPS

6.2.1 Kiến trúc hệ thống IPS

Hệ thống IPS gồm 3 module chính:

- Module phân tích gói

Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin

Card mạng (NIC) của máy giám sát được đặt ở chế độ Promiscuous Mode, tất

cả các gói tin qua chúng đều được copy lại và chuyển lên lớp trên Bộ phân tích

gói đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin

nào, dịch vụ gì? Các thông tin này được chuyển đến module phát hiện tấn công

- Module phát hiện tấn công

Đây là module quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công Có một số phương pháp để phát hiện các cuộc tấn công,

xâm nhập (Signature-Based IPS, Anomaly-Based IPS,…)

Phương pháp phát hiện phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Các mẫu tấn công biết

trước này gọi là các dấu hiệu tấn công

Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ

thống Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được

các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy

hệ thống luôn phải cập nhật các mẫu tấn công mới

- Module phản ứng

Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản

ứng Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chức năng ngăn

chặn cuộc tấn công Tại module này, nếu chỉ đưa ra các cảnh báo tới các người

quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị

động

Module phản ứng này tùy theo hệ thống mà có các chức năng khác

nhau Dưới đây là một số kỹ thuật ngăn chặn:

 Drop attack

Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn

nhân

 Modify firewall polices

Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình lại là tạm thời thay đổi các chính sách

điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người

Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log

Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là

nguồn thông tin giúp cho module phát hiện tấn công hoạt động

Ba module trên họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh

Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu

tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được

toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách

quản lý mềm dẻo

6.2.2 Phân loại IPS

- NIPS: thiết bị cảm biến được kết nối với các phân đoạn mạng để giám sát nhiều

máy

- HIPS: các đại lý phần mềm quản lý trung tâm được cài đặt trên mỗi máy chủ

lưu trữ Các máy chủ được bảo vệ và báo cáo với trung tâm quản lý giao diện điều

khiển HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và bảo vệ HIPS không

đòi hỏi phần cứng đặc biệt

6.2.3 Phân loại triển khai IPS

- Promiscuous Mode IPS

Hệ thống IPS đứng trên firewall Như vậy luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua firewall và IPS IPS có thể kiểm soát luồng dữ liệu vào,

phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vị trí này,

Promiscuous Mode IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành

năng traffic-blocking Điều đó làm cho IPS có thể ngăn chặn luồng giao thông

nguy hiểm nhanh hơn so với Promiscuous Mode IPS Tuy nhiên vị trí này sẽ

làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực Tốc độ họat động của hệ thống là một yếu tố rất quan

trọng Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các

cuộc tấn công ngay lập tức Nếu không đáp ứng được điều này thì các cuộc tấn

công đã được thực hiện xong và hệ thống IPS là vô nghĩa

Hình 6 Hệ thống In-line IPS

6.2.4 Công nghệ ngăn chặn xâm nhập IPS

- Signature - Based IPS

Hình 7 Hệ thống Signature-based IPS

Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập

tiêu biểu Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu

hiện có Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là

một cuộc tấn công Việc tạo ra các Signature-Based yêu cầu người quản trị phải có

những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển

những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống

mạng

- Anomaly-Based IPS

Hình 8 Hệ thống Anomaly-based IPS

Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mô tả sơ lược phân

tích những hoạt động của mạng và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi

tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường là bất

cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường

Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo

mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường Nhà quản trị bảo

mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả

sơ lược nhóm người dùng (user group profiles)

- Policy-Based IPS

Hình 9 Hệ thống Policy – based IPS

Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của

một cấu hình policy xảy ra Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều

phương thức được ưa chuộng để ngăn chặn

- Protocol Analysis-Based IPS

Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi

sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một

hacker bắt đầu chạy một chương trình tấn công tới một Server Trước tiên

hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể

không chứa data trong payload

Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức:

 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay

không?

 Kiểm tra nội dung trong Payload (pattern matching)

 Thực hiện những cảnh cáo không bình thường

6.3 Đối chiếu IDS và IPS

Hiện nay, công nghệ của IDS đã được thay thế bằng các giải pháp IPS Nếu

như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho

người quản trị biết những nguy cơ có thể xảy ra tấn công Với IPS, người quản trị

không những có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công

mà còn giảm thiểu được khả năng xác định sai các lưu lượng Với IPS, các cuộc tấn

công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo quy luật do nhà

quản trị định sẵn

Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện

ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn

công sẽ thành công, gây ảnh hưởng đến hệ thống Thêm vào đó, do các cơ chế của

IDS là tổng quát, dẫn đến tình trạng cảnh báo nhầm, làm tốn thời gian và công sức của

nhà quản trị IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể

tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được

khả năng tấn công của mạng, thêm vào đó, độ chính xác của IPS là cao hơn so với

IDS

Kiểm chứng qua ví dụ như nếu kẻ tấn công giả mạo của một đối tác, ISP, hay

là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ, mặc dù IDS có thể phát hiện

được cuộc tấn công từ chối dịch vụ và IP của khách hàng, của ISP, của đối tác Nhưng

với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là

khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn

công