Xây dựng hệ thống chống xâm nhập dựa vào Intrusion Prevention System IPS - Luận văn Công nghệ thông tin

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm

BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN

-o0o -ĐỒ ÁN TỐT NGHIỆP

 Đề tài 

Xây dựng hệ thống chống xâm nhập dựa vào

Intrusion Prevention System - IPS

Sinh viên thực hiện:

TÔ THANH BÌNH –

TÔ THANH BÌNH – MSSV MSSV: 08B1020122 : 08B1020122   

THÀNH PHỐ HỒ CHÍ MINH NĂM 2010

đồ án.

Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trương Đại Học Kỹ ThuậtCông Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang ápdụng vào cuộc sống

Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp

Tô Thanh Bình

Mục Lục

LỜI CẢM ƠN

LỜI CẢM ƠN 1 1

Danh mục từ viết tắt

Danh mục từ viết tắt 5 5

Danh mục Danh mục hình minh họa hình minh họa 8 8

Danh mục Danh mục bảng bảng 10 10

M MỞ Ở ĐĐẦẦUU 1111 Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhập IPS

Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhập IPS 13 13

1.1 1.1 Giới Giới thiệu thiệu hệ thhệ thống nống ngăn chgăn chặn xâặn xâm nhập m nhập 13 13

1.2 1.2 Sơ lược Sơ lược các kiểu các kiểu tấn côntấn công và g và cách pcách phòng chhòng chống ống 15 15

1.2 1.2.11 Các Các loại tấn loại tấn côngcông 15 15

1.2 1.2.22 Các bước tấn cônCác bước tấn công thường thường gặp g gặp 17 17

1.2 1.2.33 PhươPhương ng pháp tấn pháp tấn côngcông 18 18

1.2 1.2.44 Giải Giải phápháp p phòphòng ng chốnchống g 20 20

1.3 1.3 Kỹ thuật Kỹ thuật nhận binhận biết và ngết và ngăn chặn xăn chặn xâm nhập âm nhập của hệ tcủa hệ thống IPS hống IPS 20 20

1.3 1.3.11 Nhận biNhận biết qua dấu hiết qua dấu hiệu - Signatệu - Signature Basure Based ed 21 21

1.3 1.3.22 Nhận biếNhận biết qua sự t qua sự bất thườbất thường - Anomng - Anomaly Based.aly Based 22 22

1.3 1.3.33 Nhận biếNhận biết qua chính sách - Polit qua chính sách - Policy Based cy Based 24 24

1.3.4 1.3.4 Nhận bNhận biết quiết qua sự a sự phân típhân tích - Pch - Protocol rotocol AnalysiAnalysis Based s Based 24 24

1.4 1.4 Kiến Kiến trúc trúc của của hệ thệ thống hống ngăn ngăn ngừa ngừa xâm nxâm nhập hập 25 25

1.4.1 1.4.1 Modul Modul phân phân tích tích gói gói tin tin 25 25

1.4 1.4.22 ModuModul phát l phát hiện tấn công hiện tấn công 25 25

1.4.3 1.4.3 Modul Modul phản phản ứng ứng 27 27

1.5 1.5 Phân Phân loại loại hệ hệ thống thống ngăn ngăn chặn chặn xâm xâm nhập nhập 28 28

1.5 1.5.11 NetwNetwork ork BaseBase 28 28

1.5 1.5.22 NetwNetwork Behavioork Behavior Analyr Analysis System sis System 30 30

1.5.3 1.5.3 Host Host Based Based 31 31

1.5 1.5.44 WWirelireless.ess 32 32

1.6 1.6 So sánh So sánh hệ thống hệ thống phát hiphát hiện xâm nện xâm nhậpvà nghậpvà ngăn chặn ăn chặn xâm nhập xâm nhập 33 33

Chương 2 Giới thiệu tổng quan thiết bị IOS IPS Chương 2 Giới thiệu tổng quan thiết bị IOS IPS 36 362.1

2.1 Giới Giới thiệu thiệu 36 362.1.1

2.1.1 Một Một vài vài định định nghĩa nghĩa 36 362.1

2.1.22 Chức năChức năng của một hng của một hệ thống nệ thống ngăn chặgăn chặn xâm nhận xâm nhập p 37 372.2

2.2 Mô hìMô hình củnh của hệ a hệ thống thống ngăn ngăn chặn xchặn xâm nhâm nhập ập 40 402.2.1

2.2.1 IPS IPS ngoài ngoài luồng luồng - - Promiscous Promiscous Mode Mode 41 412.2

2.2.22 IPS trong luồnIPS trong luồng - g - In-liIn-line mode ne mode 41 412.3

2.3 Cấu trúc của Cấu trúc của CiscCisco IOS o IOS IPS Sensor.IPS Sensor 42 422.3

2.3.11 SignSignaturature e DefiDefinitinition on File - File - SDF SDF 42 422.3.2

2.3.2 Signature Signature Micro Micro Engine Engine - - SME SME 43 432.4

2.4 Các lCác loại oại dấu dấu hiệu hiệu và và cảnh cảnh báo báo 43 43

3.1 Mô Mô tả tả thực thực nghiệm nghiệm 57 573.2

3.2 Hạ Hạ tầng tầng mạng mạng thực thực nghiệm nghiệm 58 583.3

3.3 Một sMột số phố phần mềm ần mềm dùng dùng để tđể triển riển khai khai 59 593.3

3.3.11 Mô Mô tả tả thithiết ết bị bị 59 593.3

3.3.22 Phần Phần mềm mềm cho cho PC PC 59 593.3

3.3.33 Mô tả Mô tả các kết nối các kết nối 60 603.4

3.4 Cấu Cấu hình hình và và kiểm kiểm thử thử 61 613.4.1

3.4.1 Cấu Cấu hình hình cho cho từng từng thiết thiết bị bị 61 61

3.5.11 Tấn Tấn côngcông 76 763.5

3.5.22 Ngăn Ngăn chặnchặn 78 783.5

3.5.33 Kết quả thống kê thực nghiệm Kết quả thống kê thực nghiệm 79 79

KẾT LUẬN KẾT LUẬN 82 82TÀI LIỆU THAM KHẢO TÀI LIỆU THAM KHẢO 83 83

Danh mục từ viết tắt

V

Viiếết t ttắắtt TTiiếếnng g AAnnhh TTiiếếnng g VViiệệttACL AAcccceesss s CCoonnttrrool l LLiisstt DDaannh h ssáácch h ccáác c ccââu u llệệnnhhASDM

ASDM AdapAdaptivtive Secue Security Drity Devicevice Mane Managerager ChươChương trng trình dình dùng đùng để cấu hể cấu hình Rình Routeoute

CSAAIC Cisco Cisco Security AApppplliiccaattiioon ISecurity Agent n Innssppeeccttiioon aAgent n annd Cd Coonnttrrooll Phần Phần mềm mềm bảo bảo mật mật cho cho CiscoCiscoARP AAddddrresess s RResesololuuttioion n PrPrototoococoll GiGiao ao tthứhức c AAdddrdreess ss ReRessololuuttioion n PrPrototoococollIOS IInntteerrnneettwwoorrk k OOppeerraattiinng g SSyysstteemm

SDM Cisco Cisco Security Security Device Device Manager Manager Chương Chương trình trình dùng dùng để để cấu cấu hình hình CiscoCiscoCSM Cisco Security Manager

MARSMARS Security Monitoring, AnalysisSecurity Monitoring, Analysis, , andand

Response System

Chương trình dùng để cấu hình Cisco

CLI Command Command Line Line Interface Interface Giao Giao diện diện dòng dòng lệnhlệnhCSA Cisco Security Agent

DdoS DDiissttrriibbuutteed d DDeenniiaal l oof f SSeerrvviiccee TTấấn n ccôônng g ttừ ừ cchhốối i ddịịcch h vvụụ

DNSDoS Domain Name SystemDDeenniiaall ooff sseerrvviiccee Hệ thống tên miềnTTấấn n ccôônng g ttừ ừ cchhốối i ddịịcch h vvụụNBA  Network b Network behavior anomehavior anomalyaly Dựa trên các Dựa trên các dấu hiệu dị dấu hiệu dị thườngthườngFRU Fragment Fragment Reassembly Reassembly Unit Unit Tập Tập hợp hợp các các IP IP fragments.fragments

FTP FFiille e TTrraannssffeer r PPrroottooccooll GGiiaao o tthhứức c ttrruuyyềền n ddữ ữ lliiệệuuGMT Time-zone-Time-zone-Tame Tame Giờ Giờ GMTGMT

HIPS Host-Based Intrusion Prevention

SystemHTTP HHyyppeerrtteexxt Tt Trraannssffeer Pr Prroottooccooll GGiiaao to thhứức tc trruuyyềền n ttảải si siiêêu u vvăăn bn bảảnnHTTPS

HTTPS Hypertext Transfer ProtocolHypertext Transfer Protocol

Device Manager 

Chương trình dùng để cấu hình IPS

IDP IntrIntrusiousion Detn Detectiection anon and Pred Preventventionion Ngăn Ngăn ngừa ngừa tấn ctấn công vông và phòà phòng chng chốngốngIDS IInnttrruussiioon n DDeetteeccttiioon n SSyysstteemm HHệ ệ tthhốốnng g pphháát t hhiiệện n xxââm m nnhhậậpp

MC Management Management Center Center Trung Trung tâm tâm quản quản lýlýIDAPI Intrusion Detection Application

Programming InterfaceIPS Intrusion Intrusion Prention Prention System System Hệ Hệ thống thống phát phát hiện hiện xâm xâm nhậpnhậpTCP TTrraannssppoorrt t CCoonnttrrool l PPrroottooccooll GGiiaao o tthhứức c đđiiềều u kkhhiiểển n ttrruuyyềền n ttảảii

Protocol trúc thư mụcMAC MMeeddiia a AAcccceesss s CCoonnttrrooll ĐĐịịnnh h ddaannh h đđưượợc c ggáán n cchho o tthhiiếết t bbị ị mmạạnnggMITM

MITM Man-in-the-Man-in-the-middle middle Tấn Tấn công công thụ thụ độngđộngVPN VViirrttuuaal l PPaatthh MMạạnng g rriiêênng g ảảooNTP  Network  Network TimTime Protocol e Protocol Nhận dạng Nhận dạng kênh ảo trkênh ảo trong tế bàoong tế bàoNIPS  Network-Bas Network-Base Intrusione Intrusion

Prevention SystemNIC nneettwwoorrk k iinntteerrffaacce e CCoonnttrroollPOP Post Post Office Office Protocol Protocol Giao Giao thức thức dùng dùng để để nhận nhận các các thư thư điện điện tửtửOSI OOppeen Sn Syysstteemms Is Inntteerrccoonnnneeccttiioonn MMô Hô Hììnnh h MMạạnng Og OSS

RCP RReemmootteeccooppy y PPrroottooccoollSCP SSeeccuurre e CCooppy y PPrroottooccoollSSH Secure shell

SDEE SSeeccuurriitty y DDeevviicce e EEvveennt t EExxcchhaannggeeCSM Security Manager

SDF Signature Definition fileSME Signature micro-eninesSNMP Simple Network Management

Protocol

Giao thức giám sát và điều khiển thiết

 bị mạngSMTP SiSimpmplle Me Maaiil l TTrarannssfefer Pr Prroototococo GiGiao ao tthứhức tc trruyuyền ền tảtải ti thhư tư tín ín đơđơn gn giiảnảnTFTP TTrriivviiaal l FFiille e TTrraannssffeer r PPrroottooccoo GGiiaao o tthhứức c ttrruuyyềền n ttảải i ffiillee

TLS Transport Transport Layer Layer Security Security Giao Giao thức thức bảo bảo vệ vệ và và mã mã hóa hóa dữ dữ liệuliệuUDP UUsseer r DDaattaaggrraam m PPrroottooccoo GGiiaao o tthhứức c ccốốt t llõõi i ccủủa a ggiiaao o tthhứức c TTCCPP//IIPPUTM UUnniiffiieed d TThhrreeaat t MMaannaaggeemmeenntt QQuuảản n llí í BBảảo o mmậật t HHợợp p nnhhấấtt

VPN VVirtual irtual Private Private Network Network Mạng Mạng riêng riêng ảoảoW

WANAN WWiidde e AArreea a NNeettwwoorrkk MMạạnng g ddiiệện n rrộộnnggWIPS Wireless Intrusion Prevention

System

Hệ thống phòng chống xâm

Hệ thống phòng chống xâm nhập mạngnhập mạngkhông dây

WLANWLAN WWiirreelleesss s LLAANN MMạạnng g kkhhôônng g ddâây y nnộội i bbộộXML eeXXtteennssiibblle e MMaarrkkuup p LLaanngguuaaggee NNggôôn n nnggửửi i đđáánnh h ddấấu u mmở ở rrộộnnggWIDS Wireless Intrusion Detection

System

Hệ thống phát hiện xâm nhập mạngkhông dây

Danh mục hình minh họa

Hình 1-1 Mô hình Snort kết hợp Firewall 14

Hình 1-2 Mô hình ngăn chặn xâm nhâp cứng 15

Hình 1-3 Phương thức nhiễm A Hình 1-3 Phương thức nhiễm ARP cache RP cache 1818 Hình 1-4 Nhận và chuyển Packet 19

Hình 1-5 Sơ đồ tấn công DNS

Hình 1-5 Sơ đồ tấn công DNS 2020 Hình 1-6 Signature Based 21

Hình 1-7 Anomaly Based 23

Hình 1-8 Policy Based

Hình 1-8 Policy Based 2424 Hình 1-9 Kiến trúc chung của hệ thống ngăn chặn xâm nhập 25

Hình 1-10 Mô hình Network Base 28

Hình 1-11 Th Hình 1-11 Thành phần của Network Base ành phần của Network Base 2929 Hình 1-12 Mô hình Netwo Hình 1-12 Mô hình Network Behavior rk Behavior Analysis SysAnalysis System tem 3131 Hình 1-13 Mô hình Host Based Hình 1-13 Mô hình Host Based 3232 Hình 1-14 Mô hình Wireless 33

Hình 1-15 Mô hình chung 34

Hình 2-1 Các thành phần của Cisco IPS

Hình 2-1 Các thành phần của Cisco IPS 3737 Hình 2-2 Cơ chế hoạt động của hệ thống ngăn ch Hình 2-2 Cơ chế hoạt động của hệ thống ngăn chặn xâm nhập ặn xâm nhập 39 39

Hình 2-3 Promiscuos mode 41

Hình 2-4 Inline Mode 42

Hình 2-5 Các dấu hiệu Attack 44

Hình 2-6 Các dấu hiệu về giao thức 45

Hình 3-1 Mô hình thực nghiệm 57

Hình 3-2 Sơ đồ hệ thống cần mô phỏng 59

Hình 3-3 Bắt đầu cài GNS3

Hình 3-3 Bắt đầu cài GNS3 6464 Hình 3-4 Cài W Hình 3-4 Cài WinpCap inpCap 6464 Hình 3-5 Kết thúc trình cài đặt GNS3 65

Hình 3-6Giao diện chính của GNS3

Hình 3-6Giao diện chính của GNS3 6565 Hình 3-7 Bắt đầu cài SDM 66

Hình 3-10 Giao diện chính của SDM 68

Hình 3-11 Tính năng IPS trên router 68

Hình 3-12 Thông báo khi chạy IPS 69

Hình 3-13 Danh sách card mạng 69

Hình 3-14 Mô tả cách nạp signature

Hình 3-14 Mô tả cách nạp signature 7070 Hình 3-15 Kết thúc các quá trình cấu hình 70

Hình 3-16 Kết thúc quá trình cấu hình 71

Hình 3-17 Nạp file SDF cho IOS IPS

Hình 3-17 Nạp file SDF cho IOS IPS 7171 Hình 3-18 Card mạng IPS đang theo dõi

Hình 3-18 Card mạng IPS đang theo dõi 7272 Hình 3-19 Định nghĩ Hình 3-19 Định nghĩa hành động cho dấu hiệu a hành động cho dấu hiệu 72 72

Hình 3-20 Chỉnh sửa dấu hiệu Hình 3-20 Chỉnh sửa dấu hiệu 7373 Hình 3-21 Truy cập HTTP 76

Hình 3-22 Truy cập FTP

Hình 3-22 Truy cập FTP 7676 Hình 3-23 Nmap kiểm tra các port trên server

Hình 3-23 Nmap kiểm tra các port trên server 7777 Hình 3-24 IPS bắt gói tin của Hacker

Hình 3-24 IPS bắt gói tin của Hacker 7878 Hình 3-25 Chương trình Scanport 80

Hình 3-26 IPS chặn kết nối FTP Hình 3-26 IPS chặn kết nối FTP 8181

Danh mục bảng

Bảng 2-1 Tóm tắt các loại dấu hiệu 44

Bảng 2-2 Bảng mô tả chi tiết dấu hiệu 46

Bảng 2-3 Bộ nhớ các dấu hiệu 49

Bảng 2-4 Các dấu hiệu không hỗ trợ 49

MỞ ĐẦU

11 GGiiớới i tthhiiệệuuCông nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộcsống Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hếtcác công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày Tuy nhiên, sự phát triển

 phát triển này cũng này cũng kèm theo kèm theo vấn vấn đề an đề an ninh máy ninh máy tính đang tính đang ngày càng ngày càng trở nên trở nên nóngnóng bỏng,

 bỏng, tội tội phạm phạm máy máy tính tính là là một một trong trong những những hành hành vi vi phạm phạm tội tội có có tốc tốc độ độ phát phát triểntriểnnhanh nhất trên toàn hành tinh Vì vậy

nhanh nhất trên toàn hành tinh Vì vậy, việc xây dựng , việc xây dựng một nền an ninh máy một nền an ninh máy tính, thiếttính, thiết

kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sửdụng máy tính không thể thiếu ở nhiều lĩnh vực

Qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập Intrusion

Detection System - IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường

và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền đểgiám sát tài sản hệ

giám sát tài sản hệ thống mạng Tthống mạng Tuy nhiên, gần đây khái niệm uy nhiên, gần đây khái niệm ngăn chặn xâm nhập đãngăn chặn xâm nhập đãxuất hiện, các nghiên cứu về hệ thống ngăn chặn xâm nhập Intrusion PreventionSystem – IPS đã được nghiên cứu chính thức từ đó và cho tới nay đã được áp dụngrộng rãi ở các tổ chức, doanh nghiệp trên toàn thế giới

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ

ạt trên quy mô lớn như các cuộc tấn công của Code Red, NIMDA, SQL Slammer, một

vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ khôngchỉ đưa ra

chỉ đưa ra các cảnh báo nhằm giảm các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thiểu công việc của người quản trị hệ thống, ngàythống, ngàynay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS,tuy nhiên để ngăn chặn xâm nhập thì trước hết cần phải phát hiện nó

Cơ sở hạ tầng CNTT càng phát triển thì vấn đề phát triển mạng lại càng quan trọng,

mà trong việc phát triển mạng thì việc đảm bảo an ninh mạng là một vấn đề tối quantrọng Sau hơn chục năm phát triển, vấn đề an ninh mạng tại Việt Nam đã dần đượcquan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì

quan tâm đúng mức hơn Trước khi có một giải pháp toàn diện thì mỗi một mạng phảimỗi một mạng phải

tự thiết lập một hệ thống tích hợp IPS của riêng mình Trong luận văn này, chúng ta sẽ

tìm hiểu về cấu trúc một hệ thống IPS và tìm hiểu về cấu trúc một hệ thống IPS và đi sâu tìm hiểu phát triển hệ thống Cisco IPSđi sâu tìm hiểu phát triển hệ thống Cisco IPS

để có thể áp dụng trong hệ thống mạng của mình có khả năng phát hiện những xâmnhập và phòng chống tấn công mạng

33 HHưướớnng g ttiiếếp p ccậận n ggiiảải i qquuyyếếtt

Để thực hiện được mục tiêu đặt ra, luận văn trình bày khá chi tiết công nghệ IPSnói chung và tiến hành thực nghiệm mô phỏng công nghệ này trên thiết bị chuyêndụng hay trên Router Cisco hỗ trợ IPS

44 BBố ố ccụục c lluuậận n vvăănn

Với mục tiêu và định hướng trên, nội dung của đề tài này được chia làm 3 chương:Chương 1 Tổng quan về hệ thống ngăn chặn

Chương 1 Tổng quan về hệ thống ngăn chặn xâm nhậpxâm nhậpGiới thiệu công nghệ IPS, các phương pháp và phòng chống tấn công, phân tích sựkhác biệt cơ bản giữa IPS và IDS, các mô hình của hệ thống IPS, cách hoạt động củaIPS và phân loại IPS để đưa ra những ứng dụng mà công nghệ IPS mạng lại

Chương 2 Giới thiệu chung về thiết Chương 2 Giới thiệu chung về thiết bị IOS IPSbị IOS IPSTrình bày các khái niệm của Cisco IPS, khả năng ứng dụng IPS, tìm hiểu các câulệnh và cách tạo luật trong IOS IPS và những khó khăn mắc phải khi triển khai IPS

Chương 3 Mô phỏng và thực nghiệm Chương này trình bày cách cấu hình trên một hệ thống mạng và được mô phỏngtrên GNS3 và VMWare

Ch Chư ươ ơng ng 1 1 Tổ Tổng ng q qu uan an vvề ề hệ hệ tthố hống ng n ngă găn n ch chặn ặn xxâm âm n nhậ hập p IP IPS S

1

1.11 GiGiới ới ththiệiệu hu hệ tệ thốhống ng ngngăn ăn chchặn ặn xâxâm nm nhậhậppIntrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập có chứcnăng tự động theo dõi và

năng tự động theo dõi và ngăn chặn các sự ngăn chặn các sự kiện xảy ra trong và kiện xảy ra trong và ngoài hệ thống mạng,ngoài hệ thống mạng, phân tích

 phân tích và và ngăn ngừa ngăn ngừa các các vấn đề vấn đề liên quan liên quan tới bảo tới bảo mật mật và và an ninh an ninh Hệ Hệ thống ngănthống ngănchặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết địnhliệu đây có phải là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiệnhành động thích hợp để bảo vệ hệ thống mạng Trước các hạn chế của hệ thống pháthiện xâm nhập – Intrusion Detection Syst

hiện xâm nhập – Intrusion Detection System (IDS), một vấn đề được đặt em (IDS), một vấn đề được đặt ra là làm saora là làm sao

Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm và phần

cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo chonhà quản trị biết về an ninh của hệ thống Một số IPS so sánh các gói tin nghe đượctrên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượngmạng được xem là phù hợp với một dấu hiệu thì chúng sẽ ngăn chặn, hệ thống này gọi

là Signature-Based IPS Đối với việc quan sát lưu lương của hệ thống theo thời gian

và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thốngnày gọi là anomaly-Based IPS Sau đây ta tìm hiểu từng loại hệ thống:

Hệ thống phát hiện xâm nhập mềm (Snort): Snort là một phần mềm phát hiện xâmnhập mã nguồn mở kết hợp với tường lửa (Hình 1-1) để tạo thành một hệ thống ngăn

chặn xâm nhập - IPS, nó hoạt động dựa trên các chặn xâm nhập - IPS, nó hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiệndấu hiệu cho phép giám sát, phát hiệnnhững cuộc tấn công Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thànhsản phẩm thương mại như Sourcefire, Astaro, …Để cài được snort thì đầu tiên xemxét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là: cần khônggian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort, phải có một máy chủkhá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thìngười quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạonhất Snort có thể chạy trên các hê điều hành như Window, Linux Snort chủ yếu làmột hệ thống phát hiện xâm nhập - IDS dựa trên luật được lưu trữ trong các file text

có thể được chỉnh sửa bởi người quản trị, các luật được nhóm thành các kiểu và mỗiloại được lưu trong các file khác nhau

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết xâm nhập IPS-1 Mô hình Snort kết hợp Firewall hợp Firewall

Hệ thống phát hiện xâm

Hệ thống phát hiện xâm nhập cứng (Cisco): Cisco cung cấp nhiều loại nhập cứng (Cisco): Cisco cung cấp nhiều loại thiết bị phátthiết bị pháthiện và ngăn chặn xâm nhập, có nhiều loại cảm biến cho phép quyết định vị trí tốtnhất để giám sát hoạt động xâm nhập cho hệ thống (Hình 1-2), Cisco cung cấp cácloại cảm biến sau đây:

Cisco ASA AIP SSM sử dụng công nghệ tiên tiến phòng chống xâm nhập, sản phẩm bao gồm Cisco ASA

 phẩm bao gồm Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM-10 với 1-GB bộ nhớ, một Cisco ASA AIP SSM-AIP

SSM-Hình Tổng quan về hệ thống ngăn chặn

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhập IPS-2 Mô hình ngăn chặn xâm nhâp xâm nhâp

cứngCisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng bằng cách phát hiện, phân loại, và ng

 phân loại, và ngăn chặn các mối đe dọăn chặn các mối đe dọa, bao gồm cả sâu, phần ma, bao gồm cả sâu, phần mềm gián điệp và phềm gián điệp và phầnầnmềm quảng cáo virus mạng, và lạm dụng ứng dụng Sử dụng Cisco IPS Sensor Software Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ phòng chống xâm nhậpnội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác

Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): là một phần của

 phần của giải pháp giải pháp của của Cisco IPS, Cisco IPS, nó hoạt nó hoạt động kết động kết hợp với hợp với các các thành phần thành phần khác đểkhác để bảo vệ dữ l

 bảo vệ dữ liệu.iệu

Ðiểm yếu trong cấu hình hệ thống: Đây là lỗi do nhà quản trị tạo ra Lỗi này do cácthiếu sót trong việc cấu hình hệ thống như: Không bảo mật tài khoản khách hàng, sửdụng các cấu hình mặc định trên thiết bị như switch, router, modem…Nếu dựa vàohành động của cuộc tấn công có thể chia tấn công ra làm hai loại là:

Tấn công thụ động Tấn công thụ động : Là phương pháp tấn công không tác động đến nội dung thông: Là phương pháp tấn công không tác động đến nội dung thôngđiệp được truyền trên mạng mà

điệp được truyền trên mạng mà chỉ lắng nghe và phân chỉ lắng nghe và phân tích nội dung của thông điệp, từtích nội dung của thông điệp, từ

đó hacker có những thông tin cần thiết chuẩn bị cho các phương pháp tấn công tiếptheo Đối với thông điệp không được mã hoá thì hacker có thể bắt và hiểu được đầy đủnội dung thông tin gửi đi giống như người gửi đã gửi cho chính hacker, còn với nhữngthông điệp đã được mã hóa trước khi gửi thì hacker vẫn nhận được những thông điệptrên đường truyền nhưng việc hiểu đúng nội dung packet không phải là dễ dàng, vì nộidung thông điệp mà hacker nhận được chỉ ở dạng mã hóa, việc phân tích để hiểu nội

dung thông điệp tùy thuộc vào các điểm yếu của thuật toán mã hóa Kết quả nhậnđược từ hình thức tấn công này có thể là thông tin về các giao thức truyền thông trênmạng TCP, UDP, các thông tin về mạng network, subnet, gateway, router, nội dungthông điệp, khoá dùng để mã hóa cho thông điệp,…

Tấn công chủ động Tấn công chủ động : Là phương pháp tấn công can thiệp vào nội dung của thông: Là phương pháp tấn công can thiệp vào nội dung của thôngđiệp được truyền trên mạng hoặc tác động trực tiếp đến các thực thể như các thiết bị,máy tính,… làm ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu

Có một số cách thức tấn công chủ động như sau:

 Giả mạo xác nhận quyền truy cập - Authentication Spoofing

 Thay đổi nội dung thông điệp - Message Modification

 Phương pháp tấn công qua người trung gian - Man-In-Middle Attack  Nếu

 Nếu dựa dựa vào vào nguồn nguồn gốc gốc của của cuộc cuộc tấn tấn công công thì thì có có thể thể phân phân loại loại tấn tấn công công làm làm haihailoại Tấn công từ bên trong và tấn công từ bên ngoài:

Tấn công từ bên trong Tấn công từ bên trong : Là những tấn công xuất phát từ bên trong hệ thống mạng.: Là những tấn công xuất phát từ bên trong hệ thống mạng

Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tinnhiều hơn quyền cho phép

Tấn công từ bên ngoàiTấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các: Là những tấn công xuất phát từ bên ngoài Internet hay cáckết nối truy cập từ xa.

1.2

1.2.22 Các Các bước bước tấn tấn công công thườthường ng gặpgặp

Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện cácmáy chủ, địa chỉ IP, các dịch vụ mạng, …

Bước 2: Kẻ tấn công sử dụng các thông tin thu thập được từ buớc 1 để tìm kiếmthêm thông tin về lỗ hổng và điểm yếu của hệ thống mạng, các công cụ thường được

sử dụng cho quá trình này là các công cụ quét cổng Scan port, quét IP, dò tìm lỗ hổng.Bước 3: Các lỗ hổng được tìm thấy trong bước 2, kẻ tấn công sử dụng nó để khaithác xâm nhập vào hệ thống, chúng có thể

thác xâm nhập vào hệ thống, chúng có thể dùng các kỹ thuật như tràn bộ dùng các kỹ thuật như tràn bộ đệm, từ chốiđệm, từ chốidịch vụ DoS

Bước 4: Một khi kẻ tấn công đã xâm Bước 4: Một khi kẻ tấn công đã xâm nhập được vào hệ thống bước tiếp theo là làmnhập được vào hệ thống bước tiếp theo là làmsao để duy trì các xâm nhập này

sao để duy trì các xâm nhập này nhằm khai thác và xâm nhập tiếp trong tương lai nhưnhằm khai thác và xâm nhập tiếp trong tương lai nhưBackboors, Trojans… và khi đã làm chủ chúng có thể gây ra những nguy hại cho hệthống hoặc đánh cắp thông tin Ngoài ra, chúng có thể sử dụng hệ thống này để tấncông vào các hệ thống khác như tấn công DDoS

Bước 5: Khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập bước tiếp theo

là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ xâm nhập như xóa cáctập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập

Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước trên, làm sao để nhận biết

hệ thống mạng đang bị tấn công ngay từ hai bước đầu tiên là hết sức quan trọng, ở  bước

 bước 2 2 và và bước bước 3 3 kẻ kẻ tấn tấn công công thường thường làm làm lưu lưu lượng lượng kết kết nối nối thay thay đổi đổi khác khác với với lúclúcmạng bình thường, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng, ở  bước 3 là xâm

 bước 3 là xâm nhập thì khnhập thì không dễ dànông dễ dàng đối với kg đối với kẻ tấn công ẻ tấn công Do vậyDo vậy, khi không , khi không thể xâmthể xâmnhập được vào hệ thống để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấncông từ chối dịch vụ DoS hay DDoS để ngăn không cho người dùng hợp lệ truy xuấttài nguyên hệ thống

1.21.2.3.3 PhPhươnương phg pháp táp tấn ấn côncông g Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.

 Kỹ thuật t

 Kỹ thuật tấn công ấn công ARP ARP Khi một máy tính A cần biết địa chỉ MAC Khi một máy tính A cần biết địa chỉ MAC từ một IP nó sẽ từ một IP nó sẽ gửi gói tin ARP có chứagửi gói tin ARP có chứathông tin yêu cầu IP address ở dạng Broadcasting lên mạng, máy tính B khi nhận đượcgói tin ARP này sẽ so sánh giá trị IP của nó với IP nhận được từ gói tin do A gửi nếu 2giá trị này trùng khớp thì B

giá trị này trùng khớp thì B sẽ gửi gói tin reply có sẽ gửi gói tin reply có chứa thông tin địa chỉ IP của B chochứa thông tin địa chỉ IP của B cho

A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP tableARP cache để dùng cho lần truyền tiếp theo

Hình Tổng quan về hệ thống ngăn chặn xâm Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache nhập IPS-3 Phương thức nhiễm ARP cache

 Kỹ thuật t

 Kỹ thuật tấn công Mấn công Man-in-the-man-in-the-middle (MITiddle (MITM):M):

Điều kiện cần của phương pháp tấn Điều kiện cần của phương pháp tấn công công ARP là hacker phải đạt được ARP là hacker phải đạt được sự truy xuấtsự truy xuấtvào mạng WLAN và biết một số thông tin về IP, MAC của một số máy tính trênmạng

Ví dụ: Lây nhiễm ARP cache như sau:

Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:

A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)

B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)

Hình Tổng quan về hệ thống ngăn chặn xâm Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet nhập IPS-4 Nhận và chuyển Packet

H sẽ gửi thông điệp ARP reply cho A nói rằng IP: 10.0.0.3 có địa chỉ MAC làHH:HH:HH:HH:HH:HH Lúc này ARP table của A sẽ là IP= 10.0.0.3 có địa chỉMAC= HH:HH:HH:HH:HH:HH

H sẽ gửi thông điệp ARP reply cho B nói rằng IP: 10.0.0.2 có địa chỉ MAC làHH:HH:HH:HH:HH:HH Lúc này ARP table của B sẽ là IP= 10.0.0.2– MAC=HH:HH:HH:HH:HH:HH Khi A cần truyền thông điệp đến B, nó thấy trong ARP table

B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH nên nó sẽ gửi thông điệp đến cho H

thay vì đến B, H nhận được thông điệp này, xử lý và có thể truyền lại thông điệp đóđến B

Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên

 Như vậy Như vậy, H đóng , H đóng vai trò là nvai trò là người trungười trung gian nhg gian nhận và chuyểận và chuyển thông đin thông điệp giữa ệp giữa A A và Bvà B

mà hai host này không hề hay biết, H có thể thay đổi thông điệp trước khi truyền đếnmáy đích

 Ping of D Ping of Death:eath:

Kiểu DoS attack này, ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qualệnh ping đến máy đích thì hệ thống của họ sẽ bị treo

VD : ping –l 65000Tấn công từ chối dịch vụ DNS:

Hacker có thể đổi một lối vào trên Domain Name Server A của hệ thống nạn nhânrồi chỉ đến một website B nào đó của hacker Khi máy khách truy cập đến Server A thìthay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chínhhacker tạo ra

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn xâm nhập IPS-5 Sơ đồ tấn công DNS công DNS1.2

1.2.4.4 GiGiải pải pháp háp phòphòng cng chốhống ng Thường xuyên cập nhật các bản vá lỗi và update hệ thống, triển khai những dịch vụ

hệ thống mạng cần

hệ thống mạng cần thiếthiết, xây t, xây dựng hệ thống IDS/IPS để dựng hệ thống IDS/IPS để ngăn ngừa tấn công, tườngngăn ngừa tấn công, tườnglửa chống xâm nhập và virus, chính sách sử dụng, quản lý password, sử dụng các trình bảo mật

 bảo mật để bảo để bảo vệ các vệ các tài liệu tài liệu tập tin tập tin quan trọng, quan trọng, thường xuyên back-up thường xuyên back-up dữ liệu dữ liệu tuytuynhiên, mối đe dọa của các cuộc tấn công DoS có thể được giảm thông qua ba phương pháp

 pháp sau: sau: cấu cấu hình hình đúng đúng tính tính năng năng của của AntispoAntispoof of trên trên router router và và tường tường lửa lửa của của hệhệthống, cấu hình đúng tính năng của Anti-DoS để chống tấn công DoS trên router vàtường lửa, giới hạn việc đánh giá lưu lượng mạng

1

1.33 Kỹ tKỹ thuhuật nật nhậhận bin biết vết và ngà ngăn căn chặhặn xân xâm nm nhậhập củp của ha hệ thệ thốnống IPg IPSSHiện nay một số loại hệ thống ngăn chặn xâm nhập được phân biệt bởi cách thứctheo dõi và phân tích Mỗi phương pháp có những lợi điểm và những hạn chế nhất

định Tđịnh Tuy nhiên, mỗi phương pháp đều có uy nhiên, mỗi phương pháp đều có thể mô tả thể mô tả thông qua một mô hình tiến trìnhthông qua một mô hình tiến trìnhchung tổng quát cho hệ thống ngăn ngừa xâm nhập

1.3

1.3.11 Nhận bNhận biết quiết qua dấu hia dấu hiệu - Sigệu - Signatunature Bre Based ased 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based

Hệ thống ngăn chặn xâm nhập sử dụng kết hợp hai cơ chế là phát hiện và ngănngừa tấn công nó có thể tạo ra một luật gắn liền với những hoạt động xâm nhập đãđược biết trước, việc tạo ra các luật yêu cầu người quản trị có những kỹ năng hiểu biết

rõ về các cuộc tấn công, những mối nguy hại với hệ thống mạng của mình MộtSignature Based là những dấu hiệu giám sát tất cả các lưu lượng và so sánh dữ liệuhiện có và đưa ra cảnh báo cho người quản trị biết Ngoài ra, một Signature Based làmột tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thôngthường, tuy nhiên ngày càng nhiều các cuộc tấn công và phương pháp khác nhau

những nhà sản xuất thiết bị IPS những nhà sản xuất thiết bị IPS phải cung cấp những bản cập phải cung cấp những bản cập nhật như các phần mềmnhật như các phần mềmdiệt virus

 Lợi ích vi Lợi ích việc dùng dấu ệc dùng dấu hiệu - Signahiệu - Signaturture Based e Based    Những file

 Những file dấu dấu hiệu hiệu được được tạo tạo nên nên từ từ những phương những phương pháp pháp tấn tấn công công đã đã biết biết chúngchúngtheo dõi những hoạt động để tìm các dấu hiệu tấn công tương ướng đã được định dạngsẵn, các dấu hiệu này có thể phát hiện và bảo vệ mạng ngay tức khắc vì chúng dựatrên những dấu hiệu không phải dựa trên lưu lượng của mạng, mỗi dấu hiệu trong cơ 

sở dữ liệu cho phép hay không cho phép những luồng dữ liệu khác nhau ra vào hệ

thống, và cũng có những hành động ngăn cản khác nhau, file dấu hiệu này có thể đượcngười quản trị xây dựng và biết hành động nào tương xứng với một tín hiệu cảnh báo.Bên cạnh những lợi ích của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiềuhạn chế như không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết, hệ thống ngăn ch

 biết, hệ thống ngăn chặn xâm nhập phải biết trướặn xâm nhập phải biết trước những hoạt động tấn công để nó cóc những hoạt động tấn công để nó cóthể nhận ra cuộc tấn công đó, những dạng tấn công mới mà chưa từng được biết haykhám phá trước đây thường sẽ không bị phát hiện và không có khả năng phát hiệnnhững sự thay đổi của cuộc tấn công đã biết Các File dấu hiệu được cung cấp kèmtheo thiết bị IPS vì thế hacker có thể sử dụng thiết bị đó để kiểm tra, một khi kẻ xâmnhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công, cũngnhư các công cụ

như các công cụ tấn công để đánh bại tấn công để đánh bại hệ thống ngăn chặn xâm nhập Ngoài ra, hệ thống ngăn chặn xâm nhập Ngoài ra, nhữngnhữngfile dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa

trên sự bất thường, nếu thay đổi cách tấn công kẻ xâm nhập có thể thực hiện cuộc xâmnhập mà không bị phát hiện, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS cái gì làm phát sinh cảnh b

 phát sinh cảnh báo, do đó trách nháo, do đó trách nhiệm của người quiệm của người quản trị là bảo đảm file cơ sản trị là bảo đảm file cơ sở dữ liệuở dữ liệuluôn cập nhật thường xuyên

1.3

1.3.22 Nhận bNhận biết quiết qua sự bất ta sự bất thườnhường - Anog - Anomalmaly Basey Based d Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướnghay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sựkiện được cho đâu là

kiện được cho đâu là những hoạt động bình thường đâu là hoạt những hoạt động bình thường đâu là hoạt động bất bình thường,động bất bình thường,

ta có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả

sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như nhữnglưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụngnhư là định nghĩa cho người sử dụng thông thường và hoạt động mạng, nếu một người

sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập

sẽ phát sinh cảnh báo Tóm lại, phát hiện dựa trên sự bất thường hay phân tích sơ lượcnhững hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường nếu tìm thấythì một tín hiệu cảnh báo sẽ được khởi phát

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based xâm nhập IPS-7 Anomaly Based Lợi ích của

 Lợi ích của việc dùng việc dùng Anomaly BAnomaly Based ased   

Ưu điểm của phương thức này là sự đa dạng nó có thể được chỉnh sửa, thay đổi đểđạt hiệu quả khi phát hiện những mối

đạt hiệu quả khi phát hiện những mối đe dọa chưa biết trước đó, đe dọa chưa biết trước đó, với phương pháp nàyvới phương pháp này

kẻ tấn công không biết lúc nào có lúc

kẻ tấn công không biết lúc nào có lúc nào không phát sinh cảnh báo và cái gì làm nào không phát sinh cảnh báo và cái gì làm phátphátsinh cảnh báo vì những profile của nhóm người dùng rất giống cơ sở dữ liệu và dấuhiệu này luôn thay đổi Phát hiện bất

hiệu này luôn thay đổi Phát hiện bất thường có thể phát hiện tấn công từ thường có thể phát hiện tấn công từ bên trong, víbên trong, ví

dụ nếu một user nào đó trong hệ thống cố tình truy cập vào IPS để thi hành quản trị thì

hệ thống ngăn chặn xâm nhập phát hiện sự bất thường này và cảnh báo cho Admin biết và có

 biết và có thể khóa hoặc ngăn thể khóa hoặc ngăn chặn user đó chặn user đó Ưu điểm lớn Ưu điểm lớn nhất của phát nhất của phát hiện dựa trênhiện dựa trên profile hay sự bất th

 profile hay sự bất thường là nó không dường là nó không dựa trên những dấu hiệu đựa trên những dấu hiệu đã được định dạng hayã được định dạng haynhững cuộc tấn công đã biết trước, Profile có thể là động và có thể sử dụng trí tuệnhân tạo để xác định những hoạt động bất thường nó thực sự phù hợp cho việc pháthiện những cuộc tấn công chưa được biết trước đây và được dùng để phát hiện những phương pháp tấn công mới mà phương pháp phát hiện bằng dấu hiệu không phát hiệnđược

 Hạn chế củ Hạn chế của việc dùna việc dùng Anomg Anomaly Based aly Based    Những hệ

 Những hệ thống dựa thống dựa trên sự trên sự bất thường có bất thường có thể gây thể gây ra ra nhiều cảnh báo nhiều cảnh báo nhầm bởi nhầm bởi vìvìchúng thường tìm những điều khác thường, một hạn chế nữa là khó khăn trong việcđịnh nghĩa các hành động thông thường vì hệ thống ngăn chặn xâm nhập thật sự tốtkhi nó định nghĩa những hành động nào là bình thường hành động nào bất bình

thường, do đó cần phải thường xuyên cập nhật bản mô tả khi người dùng thay đổi,

ngoài ra phương pháp này nhờ vào cơ chế tự học cho nên thời gian chuẩn bị ban đầucao và không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.

1.3

1.3.33 Nhận Nhận biết biết qua cqua chính hính sách sách - Pol- Policy Bicy Based ased 

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy BasedPolicy Based là một chính sách được xây dựng sẵn nó sẽ phản ứng nếu có nhữnghành động xâm nhập xảy ra, lợi ích là ta có thể thiết lập các chính sách cho từng thiết

 bị

 bị trong trong hệ hệ thống thống mạng mạng đưa đưa ra ra các các chính chính sách sách bảo bảo mật mật tới tới hệ hệ thống thống IPS IPS một một cáchcáchchính xác và được phép truy cập vào hay không, một trong những tính năng quantrọng của Policy Based là xác thực và phản ứng nhanh và ít có những cảnh báo sai.Bên cạnh những lời ích đó Policy Based

Bên cạnh những lời ích đó Policy Based cũng có những hạn chế như quản cũng có những hạn chế như quản trị hệ thốngtrị hệ thốnggặp nhiều khó khăn khi một thiết bị mới được thêm vào trong mạng thì lại phải cấuhình và quản trị từ xa gặp nhiều hạn chế

1.3.41.3.4 Nhận bNhận biết quiết qua sự a sự phân phân tích - tích - PrProtocol otocol Analysis Analysis Based Based Protocol Analysis Based là giải pháp phân tích giao thức về việc chống xâm nhậpcũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về

cũng tương tự như Signature Based nhưng nó sẽ đi sâu hơn về việc phân tích các giaoviệc phân tích các giaothức trong gói tin Ví dụ một hacker bắt đầu chạy một chương trình tấn công tới mộtServer, trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức theo mộtRFC

Protocol Analysis Based dò kiểu tấn công trên các giao thức:

 Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không

 Kiểm tra nội dung trong Payload

 Thực hiện cảnh báo những giao thức không bình thường

chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tíchgói tin, modul phát hiện tấn công và modul phản ứng.

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-9 Kiến trúc xâm nhập IPS-9 Kiến trúc chung của hệ thống chung của hệ thống

ngăn chặn xâm nhập1.4

1.4.1.1 MoModul dul phphân tân tích gích gói tói tininModul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tinnày đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thìchúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin từngtrường trong gói tin xác định chúng thuộc kiểu gói tin nào

trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó dịch vụ gì sau đó các thôngcác thôngtin này được chuyển đến modul phát hiện tấn công

1.41.4.2.2 MoModul dul phphát hát hiện tiện tấn cấn cônông g Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để pháthiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường

 Phươn Phương pháp g pháp dò sự dò sự lạm dụlạm dụng ng Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm Phương pháp này phân tích các hoạt động của hệ thống tìm kiếm các sự kiện giốngcác sự kiện giốngvới các mẫu tấn công đã biết trước các mẫu này gọi là các dấu hiệu tấn công, do vậy phương ph

 phương pháp này còn được gọáp này còn được gọi là phương phái là phương pháp dò dấu hiệu, chúnp dò dấu hiệu, chúng có ưu điểm là phátg có ưu điểm là pháthiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảmkhả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật

trong hệ thống Tuy nhiên, phương pháp này có nhược điểm là không phát hiện đượccác cuộc tấn công không có trong cơ sở dữ liệu hay các kiểu tấn công mới cho nên hệthống luôn phải cập nhật các mẫu tấn công thường xuyên.

 Phươn Phương pháp g pháp dò sự dò sự không không bình tbình thường hường Đây là kỹ thuật dò thông minh nhận dạng các hành động không bình thường củamạng cơ chế hoạt động của phương pháp này là tìm sự khác nhau so với các hoạt độngthông thường, ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thườngcủa hệ thống các cuộc tấn công sẽ có

của hệ thống các cuộc tấn công sẽ có những hành động khác thường so với hành độngnhững hành động khác thường so với hành động bình thườ

 bình thường và phương và phương pháp dò ng pháp dò này có thể nhnày có thể nhận dạng đượận dạng được chúng Có mộc chúng Có một số kỹ tht số kỹ thuậtuậtgiúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:

   Phát  Phát hiện hiện mức mức ngưỡng ngưỡng : Kỹ thuật này đo đếm các hoạt động bình thường trên: Kỹ thuật này đo đếm các hoạt động bình thường trênmạng, nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượngcác tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức thì hệ thống có dấu hiệu bị tấn công

   Phát hiện  Phát hiện nhờ quá tnhờ quá trình tự họrình tự họcc: Kỹ thuật này bao gồm hai bước:: Kỹ thuật này bao gồm hai bước:

Khi bắt đầu thiết lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ramột hồ sơ, sau thời gian khởi tạo hệ thống sẽ chạy ở chế độ làm việc tiến hành theodõi phát hiện các hoạt động bất

dõi phát hiện các hoạt động bất thường của mạng bằng cách so sánh với thường của mạng bằng cách so sánh với hồ sơ đã thiếthồ sơ đã thiếtlập, chế độ tự học này có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới

khi cuộc tấn công kết thúc

   Phát hiện s Phát hiện sự không bìnự không bình thường củh thường của các giao tha các giao thứcức: Kỹ thuật này cǎn cứ vào hoạt: Kỹ thuật này cǎn cứ vào hoạtđộng của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ,

kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng đểthu thập thông tin của các hacker Phương pháp này rất hữu hiệu trong việc phát hiệncác cuộc tấn công kiểu từ chối dịch vụ, ưu điểm là có thể phát hiện ra các kiểu tấncông mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng,tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng các cảnh báo sai làmgiảm hiệu suất hoạt động của mạng

1.4.4.33 MoModudul pl phảhản ứn ứng ng Khi có dấu hiệu của sự tấn công modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu

có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các

có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các dấu hiệudấu hiệuthực hiện chức năng ngăn chặn cuộc tấn công Ở modul này, nếu chỉ đưa ra các cảnh báo

 báo tới tới các các người người quản quản trị trị và và dừng dừng lại lại ở ở đó đó thì thì hệ hệ thống thống này này được được gọi gọi là là hệ hệ thốngthống phòng thủ bị đ

 phòng thủ bị động hay còn gọi lộng hay còn gọi là hệ thống phát hà hệ thống phát hiện xâm nhập - IDS, modiện xâm nhập - IDS, modul phản ứngul phản ứngnày tùy theo hệ thống mà có các chức năng khác nhau, dưới đây là một số kỹ thuậtngăn chặn:

TTerminate erminate SessionSession

Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin Reset thiết lập lại cuộc giao tiếpgiữa Client và Server, kết quả cuộc giao tiếp sẽ được bắt đầu lại các mục đích củahacker không đạt được và cuộc tấn công bị ngừng lại Tuy nhiên phương pháp này cómột số nhược điểm như thời gian

một số nhược điểm như thời gian gửi gói tin reset đến đích gửi gói tin reset đến đích là quá lâu so là quá lâu so với thời gianvới thời giangói tin của hacker đến được Victim dẫn đến reset quá chậm so với cuộc tấn công, phương ph

 phương pháp này khônáp này không ứng với cg ứng với các giao thức ác giao thức hoạt động thoạt động trên UDP rên UDP như DNS, ngnhư DNS, ngoài raoài ragói Reset phải có trường Sequence number đúng với gói tin trước đó từ Client thìServer mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc độ nhanh và trườngSequence number thay đổi thì rất khó thực hiện được phương pháp này

 Dro Drop Attp Attack ack 

Kỹ thuật này dùng Firewall để hủy bỏ gói tin hoặc chặn đường một gói tin, một phiên làm việc hoặc một luồng thôn

 phiên làm việc hoặc một luồng thông tin giữa Hacker và Vg tin giữa Hacker và Victim, kiểu phản ứng này làictim, kiểu phản ứng này là

an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ

 Modify F Modify Firewairewall Policesll Polices

Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấncông xảy ra, sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy cập bởingười dùng

 Real-time  Real-time AlertinAlerting g   Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết cáccuộc tấn công, các đặc điểm và thông tin về chúng

 Log Packet Các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các file log để các ngườiquản trị có thể theo

quản trị có thể theo dõi các luồng thông tin và là dõi các luồng thông tin và là nguồn thông tin giúp cho modul phátnguồn thông tin giúp cho modul pháthiện tấn công hoạt động

Ba modul trên hoạt động theo tuần tự tạo nên một hệ thống IPS hoàn chỉnh, với các

ưu điểm này hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo mật

 phân tích hoạt động hoạt động hệ thống hệ thống và phân và phân tích các tích các giao thức giao thức ứng dụng, ứng dụng, nó có nó có thể bắt thể bắt giữgiữcác gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánhchúng với các tín hiệu hiện có từ đó nhận diện các hoạt động khả nghi Ngoài ra, hệthống Network Base được triển khai trong một đoạn mạng phục vụ cho mục đích quảntrị hệ thống, trong trường hợp không có mạng quản trị riêng thì một mạng riêng ảo(VLAN) là cần thiết để bảo vệ các kết nối giữa các hệ thống NIPS, bên cạnh việc lựa

chọn vị trí mạng phù hợp cho các thành phần của hệ thống Network Base, việc lựachọn vị trí phù hợp cho

chọn vị trí phù hợp cho các Sensor cũng là một các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khảvấn đề quan trọng ảnh hưởng đến khảnăng nhận diện của hệ thống Network Base

Các hệ thống IPS kết hợp các tính năng tiêu chuẩn của một IDS, như một tường lửathông thường, Network Base có ít nhất hai card mạng một card nối với mạng nội bộ

và card còn lại được nối với bên ngoài, khi các gói tin đi qua card mạng thứ nhất lúcnày thiết bị IPS kiểm tra và phát hiện các gói tin độc hại xác định các gói tin này cónguy hiểm hay không nó sẽ loại bỏ các gói tin gây hại các gói tin còn lại tạo nên một phiên TCP đến các thiết bị IPS, còn gói tin hợp pháp được chuyển qua

 phiên TCP đến các thiết bị IPS, còn gói tin hợp pháp được chuyển qua card mạng thứcard mạng thứhai và đi tới điểm đích Một công dụng hữu ích của Network Base là bất kỳ những góitin bị phân mảnh hay các gói tin chồng chéo sẽ được kiểm tra trước khi chuyển tớimáy chủ và các gói tin bất hợp pháp được loại bỏ hoàn toàn, vì vậy khi một gói tin

khả nghi đã được phát hiện trước khi đi vào bên trong hệ thống nó sẽ được loại bỏkhông những thế mà các gói tin khả nghi tiếp theo có thể bị đánh rớt Các thành phầncủa Network Base:

Hình Tổng quan về hệ thống ngăn chặn xâm Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-11 T nhập IPS-11 Thành phần của Network BasePacket Decode: Module thực hiện giải mã các gói tin mạng

Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thựchiện phát hiện các cuộc xâm nhập

Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộcxâm nhập trái phép

Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát hiện

có xâm nhập

Output modules: Đưa các thông tin cảnh báo ra Output modules: Đưa các thông tin cảnh báo ra một chương trình khác hoặc tới cácmột chương trình khác hoặc tới cácserver log.

Graphic Interface: Xây dựng các công cụ để Graphic Interface: Xây dựng các công cụ để phân tích và thống kê các phân tích và thống kê các dữ liệu bằngdữ liệu bằnggiao diện đồ họa

1.5

1.5.22 NetwNetwork Bork Behavehavior ior AnalAnalysis ysis SystSystemem

Là hệ thống được triển khai trong hệ thống nhằm phát hiện tấn công dựa trên cácluồng lưu lượng bất thường Ví dụ người dùng có thể truy cập hợp pháp vào các ứngdụng của hệ thống tại một thời điểm nào đó

dụng của hệ thống tại một thời điểm nào đó nếu hệ thống phát hiện có sự truy cập nếu hệ thống phát hiện có sự truy cập mộtmột

số lượng lớn thì chúng sẽ bị nghi ngờ đó là một tấn công xâm nhập, nếu một ngườidùng truy cập vào một tập tập tin hay thư mục nào đó trong hệ thống và truy cập vàocác loại thông tin khác khi đó hệ thống ngăn chặn xâm nhập sẽ cảnh báo

Không giống như hệ thống dựa trên dấu hiệu các tấn công có thể bị Không giống như hệ thống dựa trên dấu hiệu các tấn công có thể bị phát hiện vì cácphát hiện vì cáctấn công đó có dấu hiệu nhận diện hợp lệ với hệ thống xâm nhập dựa trên hành động

dị thường Tuy nhiên nhược điểm của các hệ thống này là phải được cấu hình cẩn thận

để nhận ra các mẫu tin không mong muốn, những cấu hình phải được cập nhật khi cácứng dụng mới được bổ sung hoặc các ứng dụng hiện tại được thay đổi Sự khác biệtgiữa Network Behavior và Network Base ở chổ là NBAS phân tích lưu lượng mạnghoặc các thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng bất thường

Hệ thống Network Behavior có thể được triển khai dưới hai dạng là thụ động và thẳnghàng Với kiểu thụ động hệ thống ngăn chặn xâm nhập được triển khai tại các vị trícần giám sát như ranh giới mạng, các đoạn mạng quan trọng Với kiểu thẳng hàng,tương tự như Network Base có thể triển khai cùng với Firewall thường là phía trước

để giảm thiểu số lượng các tấn công đến có thể làm quá tải Firewall

Hình Tổng quan về hệ thống ngăn chặn

Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-12 Mô hình Network Behavior  xâm nhập IPS-12 Mô hình Network Behavior 

Analysis System1

1.5.5.33 HoHost st BaBasesed d Host Based Intrusion PreventioHost Based Intrusion Prevention System viết tắt n System viết tắt HIPS là một HIPS là một phần mềm được triểnphần mềm được triểnkhai trên máy chủ quan trọng trong hệ thống như Public Servers, Sensitive DataServers, hoặc một dịch vụ quan trọng nào đó nhằm nhận

Servers, hoặc một dịch vụ quan trọng nào đó nhằm nhận diện các hoạt động khả nghi.diện các hoạt động khả nghi.Host Based này có thể được sử dụng dựa trên các quy tắc định trước hoặc hành vi tựhọc để ngăn chặn những hành động nguy hiểm, ngăn chặn kẻ tấn công, chỉnh sửaregistry hay viết lại thư viện liên kết động hoặc thông qua các phương tiện khác đểkiểm soát truy cập vào hệ thống Host Based có khả năng kiểm tra và ghi lại các logfiles, file systems, ưu điểm là có thể theo dõi các tiến trình của hệ điều hành và bảo vệcác tài nguyên quan trọng của hệ thống gồm cả các

các tài nguyên quan trọng của hệ thống gồm cả các file chỉ tồn tại trên một host cụ file chỉ tồn tại trên một host cụ thểthể bằng cách l

 bằng cách là triển khai à triển khai hệ thống hệ thống logging tlogging trên một máy rên một máy tính cụ thtính cụ thể.ể

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-13 Mô hình Host Based xâm nhập IPS-13 Mô hình Host Based Ngày nay

 Ngày nay, Host Based được cài , Host Based được cài đặt trên mỗi host để đặt trên mỗi host để theo dõi các hoạt động để theo dõi các hoạt động để bảobảo

vệ các may

vệ các may tính và hệ thống mạng Một tính và hệ thống mạng Một trong những lưu ý quan trọng trong việc triểntrong những lưu ý quan trọng trong việc triểnkhai hệ thống Host Based là cân nhắc giữa việc cài đặt agent lên host hay sử dụngagent-Based appliances, trên phương diện phát hiện và ngăn chặn xâm nhập việc càiđặt agent lên host được khuyến khích vì agent tương tác trực

đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các đặc tính tiếp với các đặc tính củacủahost và qua đó có thể phát hiện và ngăn chặn một cách hiệu quả hơn Tuy nhiên, doagent thường chỉ tương thích với một số

agent thường chỉ tương thích với một số hệ điều hành nhất định nên hệ điều hành nhất định nên trong trường hợptrong trường hợpnày người ta sử dụng thiết bị, một lý do khác để sử dụng thiết bị là việc cài đặt agentlên host có thể ảnh hưởng đến hiệu suất hoạt động của host Hệ thống Host Basedcung cấp các khả năng bảo mật như ghi lại log, phát hiện tấn công, phân tích hành vi,nhận diện buffer-overflow, giám sát danh sách ứng dụng và hàm thư viện, phân tích vàlọc lưu lượng mạng, kiểm tra tính toàn vẹn, thuộc tính truy cập của tập tin, giám sátcấu hình mạng, ngoài ra nó còn có khả năng ngăn chặn các loại mã độc hại các dịch

vụ hoặc giao thức không được phép

môi trường truyền là không khí các thiết bị hỗ trợ chuẩn 802.11 trong phạm vi phủsóng đều có thể truy cập vào mạng, do đó cần có sự giám sát cả bên trong lẩn bênngoài hệ thống mạng, WIPS có thể phát hiện các tấn công khai thác các lỗ hổng vàcung cấp thêm lớp bảo mật để bảo vệ cho hệ thống Wireless trong việc chống lại cácmối đe dọa không dây như giả mạo ARP, giám sát các tần số sóng, lỗi cấu hình củakiến trúc WLAN Hệ thống Wireless IPS giám sát toàn bộ WLAN chuyển tiếp lưulượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến sau đó phân tích lưulượng đã thu thập được nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo

sẽ được hiển thị

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-14 Mô hình Wireless xâm nhập IPS-14 Mô hình Wireless1

1.66 So sSo sánánh hệ h hệ ththốnống phg phát hát hiệiện xân xâm nm nhậhậpvpvà ngà ngăn ăn chchặn xặn xâm âm nhnhậpập

Hình Tổng quan về hệ thống ngăn chặn Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-15 Mô hình chung xâm nhập IPS-15 Mô hình chung

Hệ thống phát hiện xâm nhập Intrusion Detection System viết tắt là IDS một giải pháp giám sát thụ động chỉ để cảnh báo cho người quản trị biết những nguy cơ có thểxảy ra tấn công, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàntoàn phụ thuộc vào người quản trị, vì vậy yêu cầu rất cao đối với nhà quản trị trongviệc xác định các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công, công nghệ phát hiện

 phát hiện xâm nhập xâm nhập - - IDS của IDS của Cisco đã Cisco đã được thay được thay thế bằng thế bằng các các giải pháp giải pháp ngăn chặnngăn chặnxâm nhập - IPS, bởi vì với hệ thống IPS không những có thể xác định được các lưulượng khả nghi mà còn giảm thiểu được khả năng xác định sai các lưu lượng, do đócác cuộc tấn công sẽ bị loại bỏ ngay khi có dấu hiệu xâm nhập và nó hoạt động tuântheo một quy luật do nhà quản trị định sẵn, còn hệ thống phát hiện xâm nhập IDS chỉ

sử dụng từ một đến hai cơ chế để phát hiện tấn công, vì mỗi cuộc tấn công có các cơ chế khác nhau của nó vì vậy cần có các cơ chế khác nhau để

chế khác nhau của nó vì vậy cần có các cơ chế khác nhau để phân biệt, nên có thể dẫnphân biệt, nên có thể dẫnđến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn,dẫn đến khả năng thành công cho các cuộc tấn công gây ảnh hưởng đến hệ thống,thêm vào đó, do các cơ chế của IDS tổng quát dẫn đến tình trạng cảnh báo nhầm làmtốn thời gian và công sức của nhà quản trị Với hệ thống IPS thì được xây dựng trênrất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp các dạng tấncông mới nên sẽ giảm được khả năng tấn công của mạng và độ chính xác của hệ thốngIPS cao hơn so với hệ thống IDS

Với hệ thống IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khigói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là gửi các yêucầu đến hệ thống Firewall để xoá các kết nối giữa máy tấn công và máy chủ, tuy nhiênviệc làm này đôi khi lại gây tác động phụ đến hệ thống Ví dụ nếu như Attacker giảmạo (sniffer) của một đối tác khác hay là khách hàng để tạo một cuộc tấn công từ chốidịch vụ thì IDS có thể chặn được cuộc tấn công từ chối dịch vụ, nhưng nó cũng sẽkhóa luôn cả IP của khách hàng, của ISP và của đối tác, như vậy thiệt hại vẫn tồn tại

và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công thất bại, nhưng

với IPS thì khác, nó sẽ phát hiện dấu hiệu của cuộc tấn công ngay từ và sau đó nókhóa ngay các gới tin này.

1

1.77 CáCác sc sản ản phphẩm ẩm trtrên ên ththị tị trưrườnờng hg hiệiện nn nayay

Tipping Point IPS :: bao gồm chức năng bảo vệ tự động, kiểm soát truy cập và cáccuộc tấn công, không làm chậm hay nghẽn mạng, không đòi hỏi đầu tư nhân lực cho

hệ thống, có thể đặt in-line vào ngay trong mạng vận hành, giá thành hợp lý, hỗ trợ 15G-20G và có thể có tối đa 11 segment/1 thiết bị phần cứng

 Pr Proventiaoventia::

Có hai model thiết bị phòng chống xâm nhập mới là Proventia G400 và G2000được thiết kế cho bảo vệ vành đai với khả năng bảo vệ nhiều phân vùng mạng giải pháp

 pháp bảo bảo vệ vệ mạng mạng một một cách cách chủ chủ động động trước trước khi khi xảy xảy ra ra tấn tấn công công giúp giúp khách khách hànghàng

đương đầu với các cuộc tấn công từ chối dịch vụ, các đoạn mã nguy hiểm, các dạngtấn công hỗn hợp hỗ trợ tính sẵn sàng cao, ngăn chặn các phần mềm gián điệp nhưspyware, cài đặt, quản trị và giám sát đơn giản dựa trên giao diện web và có thể giámsát bằng giao thức SNMP

Gải pháp chống xâm nhập Cyberoam – IPS 

Là giải pháp tích hợp nhiều tính năng nhằm cung cấp việc bảo vệ hệ thống mạngtoàn diện như tường lửa, mạng riêng ảo, Gateway chống virus và spam, lọc nội dung,quản lý băng thông và chia tải, Cyberoam cung cấp giải phảp bảo mật UTM dựa trênđịnh danh, thiết bi có cơ sở dữ liệu riêng, cho phép người quản trị khai báo định danhtừng người dùng hay nhóm người dùng, hoặc có thể nhập từ Active Directory,Windows Domain, LDAP

CheckPoint IPS-1

Là một hệ thống phòng chống xâm nhập chuyên dụng cung cấp sự bảo vệ chonhững trường hợp quan trọng thiết yếu với khả năng quản lý và phân tích chứng cứđộc đáo và triển khai linh hoạt, toàn bộ các chức năng của IPS-1 được điều khiển bởi

hệ thống quản trị tập trung mạnh mẽ sẵn sàng hỗ trợ các hình thức triển khai từ nhỏđến lớn, được hỗ trợ bởi dịch vụ Smart Defense Services nhằm chống lại các nguy cơ mới bằng cách cập nhật và cấu hình hệ thống bảo vệ theo thời gian thực

Ch hư ươ ơn ng g 2 2 G Giiớ ới i tth hiiệệu u ttổổn ng g q qu uaan n tth hiiếết t b bị ị IIO OS S IIPS PS

22 11 GGiiớới i tthhiiệệuu

2.12.1.1.1 MộMột vt vài ài địnđịnh nh nghĩghĩaaSignature là những tập luật để kiểm tra và phát hiện ra sự xâm nhập trái phép cáccuộc tấn công hay một sự lạm dụng đến tài nguyên của hệ thống gây hại đến ngườidùng, thông thường những thiết bị IPS dựa trên những dấu hiệu này để xác định hànhđộng nào là xâm nhập hành động nào không xâm nhập, người quản trị phải thườngxuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra

Alert là những thông báo về những hành động xâm Alert là những thông báo về những hành động xâm nhập bất hợp pháp khi hệ thốngnhập bất hợp pháp khi hệ thống

ngăn chặn xâm nhập phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị bằng các

 bằng các tín hiệu tín hiệu báo động, báo động, các tín các tín hiệu này hiệu này hiện ngay hiện ngay trên màng trên màng hình theo hình theo dõi hoặcdõi hoặcgữi bằng mail đến người quản trị và nhiều cách khác, và nó được lưu vào một filehoặc lưu vào cơ sở dữ liệu để người quản trị bảo mật có thể xem lại

Sensor là một yếu tố quan trọng trong một hệ thống IPS nó có trách nhiệm pháthiện các cuộc xâm nhập, thiết bị này được sử dụng như các giác quan trên mạng nócũng tương tự như các sensor trong các tài liệu kỹ thuật khác dùng để bắt tín hiệu âmthanh, màu sắc, áp xuất thì ở đây sensor sẽ bắt các tín hiệu có dấu hiệu của xâmnhập bất hợp pháp, Sensor nhận dữ

nhập bất hợp pháp, Sensor nhận dữ liệu từ ba nguồn thông tin liệu từ ba nguồn thông tin chính: kiến thức cơ bảnchính: kiến thức cơ bản(knowledge base) của IPS, Syslog và lịch sử hoạt động (audit trail), các thông tin nàytạo cơ sở cho quá trình phát hiện các cuộc tấn công của hacker

Các hệ thống Cisco IPS có thể được triển khai theo hai hướng là tập trung và phântán Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IPS cùng với cácthành phần an ninh khác như firewall để bảo vệ hệ thống, còn triển khai phân tán( distributed IDS ) là bao gồm nhiều hệ thống IPS trong một hệ thống mạng lớn đượckết nối với nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ranhững phản ứng thích hợp

Hình Giới thiệu tổng quan thiết bị IOS IPS-16 Các thành phần của Cisco IPSVirtual Sensor có chức năng là nhận các gói tin, xử lý chúng và sau đó xác định cótạo ra cảnh báo hay không, mỗi Virtual Sensor IPS cung cấp khả năng chạy nhiềuSensor ảo trên cùng thiết bị, được cấu hình với các dấu hiệu khác nhau và lưu lượngđầu vào cũng khác nhau Các bộ xử lý nằm trên Virtual Sensor có một chức năng khácnhau như:

 Capture Producer: Nhận các gói tin và đẩy chúng đến các bộ xử lý khác

 Fragment Reassembly Unit - FRU: Tập hợp các IP fragments

 Database Handler: Là nơi lưu trữ cho việc theo dõi các luồng dữ liệu ra vào hệthống

 Stream Reassembly Unit - SRU: Tập hợp và chuyển dữ liệu đi

 Signature Handler: Điều khiển và chuyển gói tin đến các signature engines

Blocking là kỹ thuật dựa trên các Blocking là kỹ thuật dựa trên các dấu hiệu quyết định ngăn chặn đươc dựa trên dấu hiệu quyết định ngăn chặn đươc dựa trên cáccácthông số như địa chỉ nguồn, địa chỉ đích, cổng đích, và giao thức, chức năng ngănchặn này có thể khóa đăng nhập của các Profiles bất hợp pháp, hay khóa các thiết bịkhông cho người dùng truy cập vào, khóa định tuyến …

thống, nếu có tấn công thì hệ thống IPS sẽ nhanh chóng tương tác và loại bỏ các thống, nếu có tấn công thì hệ thống IPS sẽ nhanh chóng tương tác và loại bỏ các nguynguy

cơ trước khi nó gây ảnh hưởng không tốt đến hệ thống, tuy nhiên nó có thể kiểm soátđược tất cả các lưu lượng nội bộ do đó nó có thể phát hiện được các cuộc tấn công từ bên trong nếu

 bên trong nếu có IOS IPS có IOS IPS này được tích này được tích hợp trong hệ điều hợp trong hệ điều hành Cisco IOS bằng hành Cisco IOS bằng đặcđặctính Cisco Firewall, các tính năng này có những đặc điểm như lưu trữ hơn 700 dấuhiệu tấn công, có thể bổ sung hoặc chỉnh sửa những dấu hiệu hiện có và quét đồngthời các dấu hiệu song song, có khả năng hỗ trợ ACL để có những hành động thiếtthực chống lại kẻ xâm nhập một cách tự động và

thực chống lại kẻ xâm nhập một cách tự động và ngăn chặn các lưu lượng bất thường,ngăn chặn các lưu lượng bất thường,các phần mềm gián điệp như Spyware, tấn công từ chối dịch vụ (DoS), Trojan, backdoor

 backdoor, , các các luồng http luồng http độc độc hại hại và và các các file file đính kèm đính kèm e-mail Các e-mail Các dấu dấu hiệu để hiệu để nhậnnhậndạng ra một cuộc tấn công được chia làm 4 loại:

 Khai thác: Là một hành động nắm quyền truy xuất vào hệ thống hay các tài

nguyên mạng

 Từ chói dịch vụ DoS: Là hành động gửi một lượng lớn các yêu cầu đến một hệthống hay các tài nguyên mạng với ý định gây ngưng trệ làm tổn hại đến các hoạtđộng bình thường

 Dò thám: Là quá trình thu thập thông tin để tập hợp dữ liệu trên hệ thống và cáctài nguyên mạng để biến chúng thành các mục tiêu cho các cuộc tấn công sau này

 Sử dụng không đúng: Là những hành động vi phạm đến chính sách của hệ thống.Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau :

 Đơn lẻ: Các dấu hiệu đơn lẻ kích hoạt hệ thống IPS, những loại dấu hiệu này sửdụng ít bộ nhớ vì IPS không cần thu thập dữ liệu nhiều

 Kết hợp: các loại dữ liệu này đòi hỏi IPS  Kết hợp: các loại dữ liệu này đòi hỏi IPS thu thập và so sánh với số lượng lớn dữthu thập và so sánh với số lượng lớn dữliệu sau đó mới kích hoạt sự kiện

Cơ chế nhận dạng tấn công của hệ thống ngăn chặn xâm nhập là dựa trên các dấuhiệu để phát hiện các hoạt động động nghi ngờ bất bình thường, xác định các giaothức bằng cách so sánh các sự kiện với những cấu hình được định trước nhờ vào các phần mềm được hổ trợ trong IPS

 phần mềm được hổ trợ trong IPS như Event Store lưu trử tất cả như Event Store lưu trử tất cả các sự kiện, Intrusioncác sự kiện, Intrusion

Detection Application Programming Interface (IDAPI) là chương trình ứng dụng tìm

ra sự xâm nhập, SensorApp có nhiệm vụ bắt gói tin và phân tích chúng

Hình Giới thiệu tổng quan thiết bị IOS IPS-17 Cơ chế hoạt động của hệ thống ngăn chặn

xâm nhập Hình trên minh họa cho ta thấy cách thức hoạt động của Cisco IOS IPS đáp ứngvới một tấn công, quá trình phát hiện có thể được mô tả bởi 3 yếu tố sau: Thu thậpthông tin kiểm tra tất cả các gói tin trên mạng và phân tích tất cả các gói tin đã thuthập để biết hành động nào là tấn công sau đó đưa ra cảnh báo cho sự tấn công được phân tích ở trên và đưa ra quyết định có loại b

 phân tích ở trên và đưa ra quyết định có loại bỏ các gói tin độc hại hay không, khi cácỏ các gói tin độc hại hay không, khi cáctraffic có khả năng gây hại được nhận dạng thì IOS IPS gửi một cảnh báo đến cácServer Syslog và Server Monitor quản lý để loại bỏ traffic hay reset lại kết nối Hệthống ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độmạng và các mức độ khác nhau, khả năng

mạng và các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhậpcung cấp bởi hệ thống ngăn chặn xâm nhậpgồm các thành phần sau:

Chức năng cảnh báo và phát hiện xâm nhậpChức năng cảnh báo và phát hiện xâm nhập  Mục đích là giám sát và kiểm tra tính hợp pháp và báo cáo các hoạt động của mạng,

nó giám sát các gói tin được cho phép thông qua một thiết bị kiểm soát Bản chất của

hệ thống phát hiện xâm nhập là phân tích các lưu lượng gói tin để nhận ra các cuộc tấncông quen biết thông qua các dấu hiệu (singature), những biến thiên trong lưu lượng

và phương hướng sử dụng những quy tắc và phân tích thống kê phức tạp Hệ thống báo động l

 báo động là một trong à một trong những thnhững thành phần qành phần quan trọng uan trọng trong hệ thtrong hệ thống giám sống giám sát mạng Hát mạng Hệệthống báo động giúp người quản trị mạng nắm bắt được trạng thái hoạt động của hệthống mạng đây cũng là một yêu cầu lớn đặt ra cho hệ thống giám sát mạng Nhữngcảnh báo cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảomật có thể xem lại Cảnh báo có thể, hiện trên màng hình, khi đăng nhập hoặc bằngemail và bằng nhiều cách khác Hệ thống báo động kết hợp với hệ thống dò tìm xâmnhập, hệ thống giám sát thiết bị

nhập, hệ thống giám sát thiết bị và dịch vụ phát ra và dịch vụ phát ra những tín hiệu cảnh báo đến ngườinhững tín hiệu cảnh báo đến ngườiquản trị khi hệ thống có sự cố xâm nhập hay sự cố bất thường khác… Những thông tin

từ thiết bị phát hiện xâm nhập hay hệ thống phát hiện những dấu hiệu bất thường được

chuyển tới hệ thống báo động để phát cảnh báo tới người quản trị

Chức năng ngăn chặn xâm nhập:

Chức năng ngăn chặn xâm nhập: Các giải pháp ngăn ngừa xâm nhập nhằm mụcCác giải pháp ngăn ngừa xâm nhập nhằm mụcđích bảo vệ tài nguyên và dữ liệu, chúng làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượ

 bằng việc loại bỏ những lưu lượng mạng có hại mà không có những báo động giả nàong mạng có hại mà không có những báo động giả nàolàm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi roquá mức bên trong Điều này có nghĩa là các giải pháp này được đặt vào đúng vị trí để phục vụ

 phục vụ cho việc cho việc bảo mật, bảo mật, những cuộc tấn những cuộc tấn công Trojan horse nhằm vào công Trojan horse nhằm vào các mạng các mạng vàvàcác ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sáchđiều khiển truy nhập (access control lists), hay các gói tin tấn công giống như nhữnggói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao Sự lạmdụng giao thức và những hành động lảng tránh, các tấn công từ chối dịch vụ(DOS/DDO

(DOS/DDOS) như “lụt” các gói S) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các tin SYN và ICMP bởi việc sử dụng các thuật toán lọcthuật toán lọcdựa trên cơ sở ngưỡng Sự lạm dụng các ứng dụng và những giao thức, các cuộc tấncông đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP v.v qua việc sử dụngnhững quy tắc giao thức ứng dụng và chữ ký và những cuộc tấn công quá tải