Tìm hiểu về IDSIPS (AN TOÀN MẠNG)

• IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công.. • Khác với tường lửa, IDS không thực hi

Insert or Drag and Drop your Photo

Tìm hiểu về IDS/IPS

GVHD: Mai Cường Thọ Lớp: 57MTT

Danh sách nhóm

Các nội dung tìm hiểu

Khái niệm IDS

Chức năng của IDS

Thành phần cấu tạo hệ thống IDS

Phân loại IDS

Các vị trí đặt IDS

Một số tiêu chí triển khai IDS

Một số kiểu tấn công vào hệ thống IDS và cách phòng chống

Khái niệm IPS

Chức năng của IPS

Phân loại IPS

Lý do cần triển khai IPS

Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập

Thiết kế mô hình mạng

Một số tiêu chí triển khai IPS

IDS

IPS

• IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công

• Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến bảo mật mạng, nhưng tường lửa theo dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xảy ra, nó giới hạn truy nhập giữa các mạng để ngăn chặn sự xâm nhập nhưng không phát hiện được cuộc tấn công từ bên trong mạng Bên cạnh

đó IDS sẽ đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn gốc từ bên trong một hệ thống.

Khái niệm

IDS

4

Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất

Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đoán được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn

ra (Active response).

Chức năng của IDS

Sensor (bộ cảm nhận)

Chặn bắt và phân tích lưu lượng trên mạng và các

nguồn thông tin khác để phát hiện dấu hiệu xâm nhập

(signature)

Signature database

Là cơ sở dữ liệu chứa dấu hiệu của các tấn công đã được phát hiện và phân tích Cơ chế làm việc của signature database giống như virus database trong các chương trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhật thường xuyên cơ sở

dữ liệu này.

Click icon to add picture

Network-based IDS (NIDS)

Là những IDS giám sát trên toàn bộ mạng Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu

đang lưu thông trên mạng NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước

hoặc sau tường lửa

Host-based IDS (HIDS)

Là những IDS giám sát hoạt động của từng máy tính riêng biệt Do vậy, nguồn thông tin chủ yếu của HIDS ngoài lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit).

Phân loại IDS

Phân loại IDS theo phạm vi giám sát

Click icon to add picture

Signature-based IDS

Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu

lượng mạng và nhật ký hệ thống Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm

nhập (signature database) và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức

hoặc kỹ thuật xâm nhập mới.

Anomaly-based IDS 

Phát hiện xâm nhập bằng cách so sánh các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao tiếp mạng của server là vào khỏang 25% băng thông cực đại của giao tiếp Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động của hệ thống trong điều kiện bình thường để ghi nhận các thông số hoạt động, đây là cơ sở để phát hiện các bất thường về sau.

Phân loại IDS

Phân loại IDS theo kỹ thuật thực hiện

Click icon to add picture

9

Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt IDS tại các vị

trí khác nhau để tận dụng tối đa khả năng của hệ thống này.

1 Đặt giữa router và firewall

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả các lưu lượng trên cả 2

chiều Khi triển khai theo cấu trúc này thì IDS phải chịu áp lực rất lớn về lượng,

nhưng lại có khả năng giám sát toàn bộ lưu lượng của hệ thống mạng Vì vậy,

trong trường hợp này nên lựa chọn các thiết bị IDS có khả năng chịu tải cao để

nâng cao hiệu năng

2 Đặt trong miền DMZ

Khi đặt trong trường hợp

này, IDS sẽ theo dõi tất cả

lưu lượng vào/ra trong

miền DMZ.

3 Đặt sau firewall

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng trao đổi phía sau

firewall như:

 Dữ liệu trao đổi trong LAN.

 Dữ liệu từ LAN vào/ra DMZ và ngược lại.

Thiết đặt và cấu hình an toàn cho IDS/IPS.

Xác định vị trí hợp lý

để đặt IDS/IPS.

Có cơ chế xây dựng,

tổ chức, quản lý hệ thống luật (rule).

Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc không cảnh báo khi

có xâm nhập (false negative).

Một số tiêu chí triển khai IDS

Một số kiểu tấn công vào hệ thống IDS và cách phòng chống

 Từ chối dịch vụ (DoS): cũng như các thiết bị mạng khác, IDS hoàn toàn có khả năng bị tấn công từ chối dịch vụ, nhằm mục đích tiêu tốn tài nguyên hệ thống (CPU, bộ nhớ, băng thông mạng…).

 Tấn công đánh lừa IDS: sử dụng các kỹ thuật can thiệp, thay đổi cấu trúc gói tin để nhằm đánh giá khả năng ứng xử của IDS đối với các kiểu dữ liệu đầu vào.

Một trong những phần mềm IDS phổ biến hiện nay là Snort Đây là một sản phẩm NIDS mã nguồn mở với hệ thống signature database

(được gọi là rule database) được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồng Internet.

Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đến thời điểm này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫn chưa thật sự chứng tỏ được tính hiệu quả của nó trong việc đảm bảo an toàn cho các hệ thống Xu hướng hiện nay là chuyển dịch dần sang các hệ thống IPS có khả năng phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, đồng thời giảm thiểu thời gian chết và các chi phí ảnh hưởng đến hiệu quả hoạt động của mạng.

SNORT

15

• Snort là một hệ thống phát hiện xâm nhập mạng, viết tắt là NIDS (Network intrusion detection system) Snort là một mã nguồn mở miễn phí với nhiều tính năng tuyệt vời trong việc bảo vệ hệ thống bên trong, phát hiện và ngăn chặn sự tấn công từ bên ngoài vào hệ thống.

• Snort có thể phát hiện tấn công mạng trong thời gian thực Tuy nhiên, Snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả khi có dấu hiệu bị tấn công Đối với những Hacker chuyên nghiệp hay hacker khét tiếng họ có thể tùy biến signature của cuộc tấn công theo ý mình, từ đó thiết bị giám sát mạng snort khó có thể phát hiện.

• Snort cũng có thể được dùng như một chương trình bắt gói tin (sniffer packet), lưu trữ và kiểm tra logger (packet logger) hoặc xếp chúng, từ đó snort sẽ tự so sánh mối nguy hiểm của hiểm họa nhằm phát hiện xâm nhập.

• Một số hệ thống Snort có thể chạy như: Windows, Linux, Solaris, HP-UX, AIX, IRIX, OpenBSD, FreeBSD…

SNORT

16

Cấu trúc của Snort:

• Mô đun giải mã gói tin (Packet Decoder): là thiết bị phần cứng hoặc phần mềm được đặt trong mạng, có nhiệm vụ phân tích các giao thức TCP, UDP, ICMP,… thành thông tin mà con người có thể đọc và hiểu được

SNORT

17

Cấu trúc của Snort:

• Mô đun tiền xử lý (Preprocessors): là plus-in cho phép phân tích cú pháp dữ liệu theo những cách khác nhau Nếu chạy snort mà không có bất cứ cấu hình nào về preprocessors trong tập tin cấu hình sẽ chỉ thấy từng gói dữ liệu riêng rẽ trên mạng

SNORT

18

Cấu trúc của Snort:

• Mô đun phát hiện (Detection Engine): là một phần của hệ thống phát hiện xâm nhập dựa trên dấu hiệu, detection engine lấy và kiểm tra dữ kiệu theo luật Nếu các luật đó khớp với dữ liệu của gói tin nó sẽ gửi tới hệ thống cảnh báo nếu không

nó sẽ bị bỏ qua như hình sau:

SNORT

19

Cấu trúc của Snort:

• Mô đun log và cảnh báo (Logging and Alerting System): cơ chế log sẽ lưu trữ các gói tin đã kích hoạt các luật còn cơ chế cảnh báo sẽ thông báo các phân tích bị thất bại

SNORT

20

Cấu trúc của Snort:

• Mô đun kết xuất thông tin(Output Modules)

• Mô hình kiến trúc của Snort:

• IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.

Khái niệm

IPS

21

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa

ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.

Chức năng của IPS

Click icon to add picture

2 Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention)

• Thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host.

• Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus.

• Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.

Phân loại IPS

1. Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion

Prevention)

•. Thường được triển khai trước hoặc sau firewall.

•. Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả

firewall, vùng DMZ Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với

firewall.

•. Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua

khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong.

Lý do cần triển khai IPS

Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ

thống Khi triển khai có thể giúp hệ thống:

3

Tương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động thâm nhập hệ thống.

Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập

Ưu điểm

 Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.

 Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.

Hạn chế

Có thể gây ra tình trạng phát hiện nhầm (faulse positives),

có thể không cho phép các truy cập hợp lệ tới hệ thống.

Thiết kế mô hình mạng

Đặt trước firewall Đặt giữa firewall và miền DMZ

Là một module trong giải pháp UTM

Thiết đặt và cấu hình an toàn cho IDS/IPS.

Xác định vị trí hợp lý

để đặt IDS/IPS.

Có cơ chế xây dựng,

tổ chức, quản lý hệ thống luật (rule).

Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc không cảnh báo khi

có xâm nhập (false negative).

Một số tiêu chí triển khai IPS

Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp, nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng Vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy

Click icon to add picture

Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp

Ngoài ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra, giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng

Click icon to add picture

 Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng

 Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuộc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống  

Click icon to add picture

Hệ thống IPS thực tế

THANK YOU!