Giới thiệu hệ thống ngăn chặn xâm nhập
Hệ thống ngăn chặn xâm nhập (IPS) là công nghệ tự động theo dõi và ngăn chặn các sự kiện liên quan đến bảo mật trong mạng, phân tích lưu lượng gói tin để xác định cuộc tấn công hay truy cập hợp pháp IPS ra đời vào năm 2003, nhằm khắc phục hạn chế của hệ thống phát hiện xâm nhập (IDS) bằng cách tự động ngăn chặn các cuộc tấn công, giảm thiểu công việc cho quản trị viên Với khả năng phát hiện và ngăn chặn các mối đe dọa, IPS đã dần thay thế IDS, mặc dù nó vẫn có thể hoạt động như một hệ thống IDS khi tắt tính năng ngăn chặn.
Hệ thống ngăn chặn xâm nhập (IPS) bao gồm cả phần mềm và phần cứng, nhằm theo dõi các sự kiện trên mạng và thông báo cho quản trị viên về tình trạng an ninh Có hai loại IPS chính: Signature-Based IPS, so sánh các gói tin với danh sách tấn công đã biết để ngăn chặn lưu lượng nghi ngờ, và Anomaly-Based IPS, theo dõi lưu lượng mạng theo thời gian để phát hiện các hành vi bất thường và ngăn chặn chúng.
Snort là một phần mềm phát hiện xâm nhập mã nguồn mở kết hợp với tường lửa, tạo thành hệ thống ngăn chặn xâm nhập (IPS) để giám sát và phát hiện các cuộc tấn công Nhiều tổ chức đã phát triển Snort thành sản phẩm thương mại như Sourcefire và Astaro Để cài đặt Snort, cần xem xét quy mô mạng và yêu cầu như không gian lưu trữ cho file log, một máy chủ mạnh và lựa chọn hệ điều hành phù hợp Snort có thể hoạt động trên Windows và Linux, và chủ yếu là hệ thống phát hiện xâm nhập (IDS) dựa trên luật được lưu trữ trong các file text có thể chỉnh sửa bởi quản trị viên, với các luật được nhóm theo kiểu và lưu trữ trong các file khác nhau.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-1 Mô hình Snort kết hợp Firewall
Hệ thống phát hiện xâm nhập cứng của Cisco bao gồm nhiều thiết bị phát hiện và ngăn chặn xâm nhập, với các loại cảm biến đa dạng giúp xác định vị trí tối ưu để giám sát hoạt động xâm nhập trong hệ thống Cisco cung cấp nhiều loại cảm biến khác nhau để đáp ứng nhu cầu bảo mật.
Cisco ASA AIP SSM là một sản phẩm bảo mật tiên tiến, sử dụng công nghệ phòng chống xâm nhập hiệu quả Trong đó, Cisco ASA AIP SSM-10 được trang bị 1-GB bộ nhớ, mang lại khả năng bảo vệ mạng tối ưu cho người dùng.
Hệ thống ngăn chặn xâm nhập Cisco IPS 4.200 cung cấp các cảm biến mạnh mẽ nhằm bảo vệ mạng bằng cách phát hiện, phân loại và ngăn chặn các mối đe dọa như sâu, phần mềm gián điệp, phần mềm quảng cáo, virus mạng và lạm dụng ứng dụng Với phiên bản phần mềm Cisco IPS Sensor 5.1, giải pháp này kết hợp các dịch vụ phòng chống xâm nhập nội tuyến cùng công nghệ tiên tiến, nâng cao độ chính xác trong việc bảo vệ hệ thống.
The Cisco 6,500 Series Intrusion Detection System Services Module (IDSM-2) is an integral component of the Cisco IPS solution, designed to work in conjunction with other elements to ensure robust data protection.
Sơ lược các kiểu tấn công và cách phòng chống
Các loại tấn công
Hiểu rõ các điểm yếu trong bảo mật là rất quan trọng để triển khai các chính sách bảo mật hiệu quả Những điểm yếu này bao gồm: yếu tố kỹ thuật, cấu hình và chính sách bảo mật Về mặt kỹ thuật, điểm yếu có thể xuất hiện trong các giao thức, hệ điều hành và thiết bị phần cứng như máy chủ, switch, router Còn điểm yếu trong cấu hình hệ thống thường do quản trị viên gây ra, bao gồm các thiếu sót như không bảo mật tài khoản người dùng và sử dụng cấu hình mặc định trên các thiết bị như switch, router, modem Dựa vào hành động của cuộc tấn công, có thể phân loại các cuộc tấn công thành hai loại khác nhau.
Tấn công thụ động là phương pháp mà hacker lắng nghe và phân tích thông điệp truyền trên mạng mà không làm thay đổi nội dung của chúng Đối với thông điệp không mã hóa, hacker có thể dễ dàng hiểu nội dung như người gửi Trong trường hợp thông điệp đã được mã hóa, hacker vẫn có thể nhận được nhưng việc giải mã và hiểu nội dung là khó khăn, phụ thuộc vào điểm yếu của thuật toán mã hóa Kết quả của tấn công thụ động có thể cung cấp thông tin về các giao thức truyền thông như TCP, UDP, cũng như các thông tin liên quan đến mạng như subnet, gateway, router, nội dung thông điệp và khóa mã hóa.
Tấn công chủ động là phương pháp can thiệp vào nội dung thông điệp truyền tải trên mạng hoặc tác động trực tiếp đến các thiết bị và máy tính, ảnh hưởng đến tính toàn vẹn, sẵn sàng và xác thực của dữ liệu.
Có một số cách thức tấn công chủ động như sau:
Giả mạo xác nhận quyền truy cập - Authentication Spoofing
Thay đổi nội dung thông điệp - Message Modification
Phương pháp tấn công qua người trung gian - Man-In-Middle Attack
Cuộc tấn công có thể được phân loại thành hai loại dựa trên nguồn gốc: tấn công từ bên trong và tấn công từ bên ngoài.
Tấn công từ bên trong: Là những tấn công xuất phát từ bên trong hệ thống mạng.
Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập, lấy thông tin nhiều hơn quyền cho phép.
Tấn công từ bên ngoài: Là những tấn công xuất phát từ bên ngoài Internet hay các kết nối truy cập từ xa.
Các bước tấn công thường gặp
Bước 1: Kẻ tấn công khảo sát, thu thập thông tin về nơi tấn công để phát hiện các máy chủ, địa chỉ IP, các dịch vụ mạng, …
Trong bước 2, kẻ tấn công sử dụng thông tin thu thập được để tìm hiểu thêm về lỗ hổng và điểm yếu của hệ thống mạng, thường áp dụng các công cụ quét cổng, quét IP và dò tìm lỗ hổng Tiếp theo, ở bước 3, kẻ tấn công khai thác các lỗ hổng đã tìm thấy để xâm nhập vào hệ thống, sử dụng các kỹ thuật như tràn bộ đệm và tấn công từ chối dịch vụ (DoS).
Khi kẻ tấn công đã xâm nhập vào hệ thống, bước tiếp theo là duy trì các xâm nhập này thông qua các phần mềm độc hại như Backdoors và Trojans Việc kiểm soát những phần mềm này cho phép kẻ tấn công gây hại cho hệ thống, đánh cắp thông tin, hoặc thậm chí sử dụng hệ thống để thực hiện các cuộc tấn công DDoS vào các mục tiêu khác.
Khi kẻ tấn công đã xâm nhập vào hệ thống, bước tiếp theo là họ cần xóa mọi dấu vết để không để lại chứng cứ, bao gồm việc xóa các tập tin log và xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Để nhận biết hệ thống mạng đang bị tấn công, việc phát hiện sớm ngay từ hai bước đầu tiên là rất quan trọng Trong bước 2 và bước 3, kẻ tấn công thường thay đổi lưu lượng kết nối và ảnh hưởng đến tài nguyên của hệ thống máy chủ Khi không thể xâm nhập vào hệ thống, kẻ tấn công có thể sử dụng các cuộc tấn công từ chối dịch vụ DoS hoặc DDoS để ngăn chặn người dùng hợp lệ truy cập vào tài nguyên của hệ thống.
Phương pháp tấn công
Gồm hai bước cơ bản sau: Nhận packet và thi hành tấn công.
Kỹ thuật tấn công ARP
Khi máy tính A cần biết địa chỉ MAC từ một IP, nó sẽ gửi gói tin ARP dạng Broadcasting lên mạng Máy tính B nhận gói tin ARP và so sánh giá trị IP của mình với IP trong gói tin từ A Nếu hai giá trị này trùng khớp, máy tính B sẽ gửi gói tin reply chứa địa chỉ MAC của mình cho máy tính A.
A, khi A nhận được gói tin do B reply nó sẽ lưu địa chỉ MAC của B trong ARP table ARP cache để dùng cho lần truyền tiếp theo
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-3 Phương thức nhiễm ARP cache
Kỹ thuật tấn công Man-in-the-middle (MITM) yêu cầu hacker phải truy cập vào mạng WLAN và nắm bắt thông tin về địa chỉ IP, MAC của một số máy tính trong mạng để thực hiện phương pháp tấn công ARP.
Ví dụ: Lây nhiễm ARP cache như sau:
Có 2 máy tính A, B với địa chỉ IP và MAC tương ứng như sau:
A (IP = 10.0.0.2, MAC = AA:AA:AA:AA:AA:AA)
B (IP = 10.0.0.3, MAC = BB:BB:BB:BB:BB:BB)
Máy tính của hacker có địa chỉ: H (IP = 10.0.0.4, MAC = HH:HH:HH:HH:HH:HH)
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-4 Nhận và chuyển Packet
H sẽ gửi thông điệp ARP reply cho A, thông báo rằng địa chỉ IP 10.0.0.3 tương ứng với địa chỉ MAC HH:HH:HH:HH:HH:HH Do đó, ARP table của A sẽ cập nhật với thông tin IP 10.0.0.3 và địa chỉ MAC HH:HH:HH:HH:HH:HH.
H sẽ gửi thông điệp ARP reply cho B, thông báo rằng địa chỉ IP 10.0.0.2 tương ứng với địa chỉ MAC HH:HH:HH:HH:HH:HH Kết quả là ARP table của B sẽ cập nhật với thông tin IP= 10.0.0.2 và MAC HH:HH:HH:HH:HH:HH Khi A cần truyền thông điệp đến B, A sẽ tham khảo ARP table để tìm thông tin cần thiết.
B có địa chỉ Ethernet là HH:HH:HH:HH:HH:HH, do đó nó sẽ gửi thông điệp đến H thay vì B H nhận được thông điệp, xử lý và có khả năng truyền lại thông điệp đó đến B.
Trường hợp B cần gửi thông điệp đến A thì quy trình cũng tương tự như trên.
H là người trung gian giữa A và B, nhận và chuyển tiếp thông điệp mà cả hai không biết H có khả năng thay đổi nội dung thông điệp trước khi gửi đến máy đích.
Một kiểu tấn công DoS đơn giản là gửi một gói dữ liệu lớn qua lệnh ping đến máy đích, dẫn đến việc hệ thống của họ bị treo.
Tấn công từ chối dịch vụ DNS:
Hacker có khả năng thay đổi lối vào trên Domain Name Server A của hệ thống nạn nhân, dẫn đến một website B do hacker kiểm soát Khi máy khách truy cập vào Server A, thay vì đến trang web mong muốn, họ sẽ bị chuyển hướng đến trang web do hacker tạo ra.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-5 Sơ đồ tấn công DNS
Giải pháp phòng chống
Để bảo vệ hệ thống mạng hiệu quả, cần thường xuyên cập nhật bản vá lỗi và hệ thống, triển khai các dịch vụ mạng thiết yếu, xây dựng hệ thống IDS/IPS nhằm ngăn ngừa tấn công, thiết lập tường lửa chống xâm nhập và virus, cùng với chính sách quản lý mật khẩu chặt chẽ Bên cạnh đó, việc sử dụng các công cụ bảo mật để bảo vệ tài liệu quan trọng và thường xuyên sao lưu dữ liệu là rất cần thiết Đặc biệt, mối đe dọa từ các cuộc tấn công DoS có thể được giảm thiểu thông qua ba phương pháp: cấu hình chính xác tính năng Antispoof trên router và tường lửa, thiết lập Anti-DoS để đối phó với tấn công DoS, và giới hạn việc đánh giá lưu lượng mạng.
Kỹ thuật nhận biết và ngăn chặn xâm nhập của hệ thống IPS
Nhận biết qua dấu hiệu - Signature Based
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-6 Signature Based
Hệ thống ngăn chặn xâm nhập (IPS) kết hợp hai cơ chế chính là phát hiện và ngăn ngừa tấn công, yêu cầu người quản trị có kiến thức sâu về các cuộc tấn công và mối đe dọa đối với mạng Một trong những phương pháp là Signature Based, giám sát toàn bộ lưu lượng và so sánh với dữ liệu đã biết để cảnh báo người quản trị Tuy nhiên, do sự gia tăng các cuộc tấn công và phương pháp tấn công mới, các nhà sản xuất thiết bị IPS cần cung cấp các bản cập nhật thường xuyên, tương tự như phần mềm diệt virus, để bảo vệ hiệu quả hệ thống mạng.
Lợi ích việc dùng dấu hiệu - Signature Based
Các file dấu hiệu được tạo ra từ các phương pháp tấn công đã biết, giúp theo dõi hoạt động để phát hiện các dấu hiệu tấn công tương ứng Những dấu hiệu này cho phép bảo vệ mạng ngay lập tức, dựa trên các tín hiệu thay vì lưu lượng mạng Mỗi dấu hiệu trong cơ sở dữ liệu kiểm soát luồng dữ liệu ra vào hệ thống và thực hiện các hành động ngăn chặn khác nhau Tuy nhiên, cơ chế phát hiện này có hạn chế trong việc nhận diện các cuộc tấn công mới hoặc chưa biết, vì hệ thống ngăn chặn xâm nhập chỉ có thể phát hiện những hoạt động tấn công đã được xác định trước Các file dấu hiệu đi kèm với thiết bị IPS, tạo cơ hội cho hacker kiểm tra và điều chỉnh phương pháp tấn công Do đó, trách nhiệm của người quản trị là đảm bảo cơ sở dữ liệu luôn được cập nhật để ngăn chặn các cuộc tấn công hiệu quả.
Nhận biết qua sự bất thường - Anomaly Based
Phát hiện xâm nhập dựa vào sự bất thường là quá trình nhận diện những hoạt động không tuân thủ các nguyên tắc thông thường bằng cách so sánh các định nghĩa sự kiện Để xác định hoạt động bình thường, chúng ta tạo ra mô tả nhóm người dùng, phản ánh ranh giới giữa hoạt động bình thường và bất thường Mô tả này đóng vai trò là định nghĩa cho người sử dụng và hoạt động mạng Khi một người dùng vi phạm các tiêu chí đã được xác định, hệ thống sẽ phát sinh cảnh báo Tóm lại, phương pháp này phân tích hoạt động mạng và lưu lượng để phát hiện sự bất thường và kích hoạt tín hiệu cảnh báo khi có dấu hiệu vi phạm.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-7 Anomaly Based
Phương pháp phát hiện dựa trên bất thường (Anomaly Based) mang lại nhiều lợi ích, đặc biệt là khả năng linh hoạt trong việc điều chỉnh để phát hiện các mối đe dọa chưa từng biết đến Với phương pháp này, kẻ tấn công không thể dự đoán thời điểm phát sinh cảnh báo, vì các hồ sơ người dùng liên tục thay đổi và rất giống nhau với cơ sở dữ liệu Hệ thống có thể phát hiện các hành vi đáng ngờ từ bên trong, như khi một người dùng cố gắng truy cập vào IPS để thực hiện quản trị, từ đó ngăn chặn xâm nhập và cảnh báo cho quản trị viên Điểm mạnh lớn nhất của phương pháp này là không dựa vào các dấu hiệu đã được định dạng hay các cuộc tấn công đã biết, mà sử dụng các hồ sơ động và trí tuệ nhân tạo để nhận diện các hoạt động bất thường, thích hợp cho việc phát hiện các cuộc tấn công mới mà các phương pháp phát hiện dựa trên dấu hiệu không thể phát hiện được.
Hạn chế của việc dùng Anomaly Based
Các hệ thống dựa trên sự bất thường thường gặp khó khăn trong việc xác định hành động bình thường và bất thường, dẫn đến nhiều cảnh báo sai Để hoạt động hiệu quả, các hệ thống ngăn chặn xâm nhập cần định nghĩa rõ ràng các hành động này và thường xuyên cập nhật khi thói quen người dùng thay đổi Thêm vào đó, phương pháp này yêu cầu thời gian chuẩn bị ban đầu cao do cơ chế tự học, và không cung cấp bảo vệ trong suốt giai đoạn khởi tạo.
Nhận biết qua chính sách - Policy Based
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-8 Policy Based
Policy Based là một chính sách được thiết lập sẵn, giúp phản ứng nhanh chóng với các hành động xâm nhập và cho phép thiết lập các chính sách bảo mật cho từng thiết bị trong hệ thống mạng Điều này đảm bảo rằng hệ thống IPS có thể được truy cập một cách chính xác, giảm thiểu cảnh báo sai Tuy nhiên, Policy Based cũng có những hạn chế, như việc quản trị hệ thống trở nên khó khăn khi có thiết bị mới được thêm vào, yêu cầu cấu hình và quản lý từ xa gặp nhiều trở ngại.
Nhận biết qua sự phân tích - Protocol Analysis Based
Phân tích giao thức dựa trên Protocol Analysis là một giải pháp hiệu quả trong việc ngăn chặn xâm nhập, tương tự như phương pháp dựa trên chữ ký, nhưng với khả năng phân tích sâu hơn các giao thức trong gói tin Khi một hacker thực hiện tấn công vào một máy chủ, bước đầu tiên là gửi một gói tin IP kèm theo kiểu giao thức theo quy định của RFC.
Protocol Analysis Based dò kiểu tấn công trên các giao thức:
Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không.
Kiểm tra nội dung trong Payload.
Thực hiện cảnh báo những giao thức không bình thường.
Kiến trúc của hệ thống ngăn ngừa xâm nhập
Modul phân tích gói tin
Modul này phân tích cấu trúc thông tin trong các gói tin khi chúng đi qua Card mạng ở chế độ Promiscuous Mode Tất cả các gói tin được sao chép để xử lý và phân tích Bộ phân tích gói đọc thông tin từng trường trong gói tin để xác định loại gói tin và dịch vụ liên quan Các thông tin này sau đó được chuyển đến modul phát hiện tấn công.
Modul phát hiện tấn công
Mô-đun này là phần quan trọng nhất trong hệ thống, với nhiều phương pháp để phát hiện các cuộc tấn công, bao gồm việc dò tìm sự lạm dụng và phát hiện sự không bình thường.
Phương pháp dò sự lạm dụng
Phương pháp phân tích hoạt động của hệ thống tìm kiếm các sự kiện tương tự với các mẫu tấn công đã biết, được gọi là dấu hiệu tấn công Phương pháp này, còn gọi là dò dấu hiệu, có ưu điểm là phát hiện nhanh và chính xác các cuộc tấn công mà không gây ra cảnh báo sai, giúp giảm thiểu ảnh hưởng đến hoạt động của mạng và hỗ trợ quản trị viên xác định lỗ hổng bảo mật Tuy nhiên, nhược điểm của phương pháp này là không phát hiện được các cuộc tấn công mới hoặc không có trong cơ sở dữ liệu, do đó, hệ thống cần được cập nhật thường xuyên các mẫu tấn công.
Phương pháp dò sự không bình thường là kỹ thuật thông minh giúp nhận diện các hành động không bình thường trong mạng Kỹ thuật này hoạt động bằng cách so sánh các hoạt động hiện tại với các mô tả sơ lược về hoạt động bình thường của hệ thống Những cuộc tấn công thường tạo ra các hành động khác thường, và phương pháp này có khả năng phát hiện chúng Một số kỹ thuật hỗ trợ cho việc dò sự không bình thường trong các cuộc tấn công bao gồm
Kỹ thuật phát hiện mức ngưỡng giúp theo dõi các hoạt động bình thường trên mạng và nhận diện những bất thường, chẳng hạn như số lần đăng nhập vượt quá quy định, quá nhiều tiến trình hoạt động trên CPU, hoặc lượng gói tin gửi đi vượt ngưỡng cho phép Khi có những dấu hiệu này, hệ thống có thể đang bị tấn công.
Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước:
Khi thiết lập hệ thống phát hiện tấn công, ban đầu hệ thống sẽ hoạt động ở chế độ tự học để tạo ra hồ sơ Sau thời gian khởi tạo, hệ thống chuyển sang chế độ làm việc, theo dõi và phát hiện các hoạt động bất thường bằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thể hoạt động song song với chế độ làm việc để cập nhật hồ sơ, tuy nhiên, nếu phát hiện tín hiệu tấn công, chế độ tự học sẽ tạm dừng cho đến khi cuộc tấn công kết thúc.
Kỹ thuật phát hiện sự không bình thường của các giao thức dựa trên hoạt động của hệ thống để nhận diện các gói tin không hợp lệ, giúp ngăn chặn hiệu quả các hình thức quét mạng và quét cổng từ hacker Phương pháp này đặc biệt hữu ích trong việc phát hiện các cuộc tấn công từ chối dịch vụ, đồng thời có khả năng nhận diện các kiểu tấn công mới và cung cấp thông tin bổ sung cho việc dò lường sự lạm dụng Tuy nhiên, nhược điểm của kỹ thuật này là thường phát sinh nhiều cảnh báo sai, làm giảm hiệu suất hoạt động của mạng.
Modul phản ứng
Khi phát hiện dấu hiệu tấn công, modul phát hiện sẽ gửi tín hiệu đến modul phản ứng để kích hoạt các biện pháp ngăn chặn Nếu modul này chỉ đưa ra cảnh báo cho quản trị viên mà không thực hiện hành động cụ thể, nó được gọi là hệ thống phòng thủ bị động hay hệ thống phát hiện xâm nhập (IDS) Modul phản ứng có thể có các chức năng khác nhau tùy thuộc vào hệ thống, và dưới đây là một số kỹ thuật ngăn chặn.
Kỹ thuật IPS hoạt động bằng cách gửi gói tin Reset để thiết lập lại cuộc giao tiếp giữa Client và Server, nhằm ngăn chặn các mục đích tấn công của hacker Tuy nhiên, phương pháp này gặp một số nhược điểm, như thời gian gửi gói tin Reset quá lâu so với tốc độ tấn công của hacker, dẫn đến việc phản ứng không kịp thời Ngoài ra, phương pháp này không hiệu quả với các giao thức UDP như DNS, và gói Reset cần phải có trường Sequence number chính xác từ gói tin trước đó để Server chấp nhận Do đó, nếu hacker gửi gói tin với tốc độ nhanh và thay đổi Sequence number, việc áp dụng phương pháp này sẽ trở nên khó khăn.
Kỹ thuật này sử dụng Firewall để loại bỏ hoặc chặn gói tin, phiên làm việc, hoặc luồng thông tin giữa Hacker và Nạn nhân Phương pháp phản ứng này được coi là an toàn nhất, tuy nhiên, nó có nhược điểm là dễ nhầm lẫn với các gói tin hợp lệ.
Kỹ thuật này cho phép người quản trị điều chỉnh tạm thời chính sách bảo mật trong quá trình xảy ra cuộc tấn công, nhằm thay đổi các quy định kiểm soát truy cập của người dùng.
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Dữ liệu của gói tin sẽ được lưu trữ trong hệ thống file log, cho phép các quản trị viên theo dõi luồng thông tin và cung cấp nguồn thông tin hỗ trợ cho mô-đun phát hiện tấn công hoạt động hiệu quả.
Hệ thống IPS hoạt động theo tuần tự, tạo thành một cấu trúc hoàn chỉnh và ngày càng trở nên thiết yếu trong các giải pháp bảo mật nhờ vào những ưu điểm vượt trội của nó.
Phân loại hệ thống ngăn chặn xâm nhập
Network Base
Hệ thống ngăn chặn xâm nhập dựa trên mạng (NIPS) là công cụ quan trọng trong việc giám sát và phân tích hoạt động hệ thống cũng như các giao thức ứng dụng NIPS có khả năng bắt giữ và so sánh các gói tin truyền qua thiết bị mạng, từ đó nhận diện các hoạt động khả nghi Để đảm bảo hiệu quả, NIPS cần được triển khai trong một đoạn mạng quản trị, hoặc sử dụng mạng riêng ảo (VLAN) nếu không có mạng quản trị riêng Việc lựa chọn vị trí mạng cho các thành phần của hệ thống và vị trí của các cảm biến cũng đóng vai trò quan trọng trong khả năng nhận diện của NIPS.
Hệ thống IPS kết hợp các chức năng của IDS và tường lửa, với cấu trúc Network Base sử dụng ít nhất hai card mạng Card đầu tiên kết nối với mạng nội bộ và card thứ hai kết nối với bên ngoài Khi gói tin đi qua card mạng đầu tiên, IPS sẽ kiểm tra và phát hiện các gói tin độc hại, loại bỏ những gói tin gây hại và tạo phiên TCP cho các gói tin hợp pháp Gói tin hợp pháp sẽ được chuyển qua card mạng thứ hai đến điểm đích Một lợi ích quan trọng của Network Base là kiểm tra các gói tin bị phân mảnh hoặc chồng chéo trước khi gửi tới máy chủ, đảm bảo loại bỏ hoàn toàn các gói tin bất hợp pháp Điều này giúp ngăn chặn các gói tin khả nghi trước khi chúng xâm nhập vào hệ thống và có thể đánh rớt các gói tin khả nghi tiếp theo.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-11 Thành phần của Network Base Packet Decode: Module thực hiện giải mã các gói tin mạng.
Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thực hiện phát hiện các cuộc xâm nhập.
Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộc xâm nhập trái phép.
Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát hiện có xâm nhập.
Output modules: Đưa các thông tin cảnh báo ra một chương trình khác hoặc tới các server log.
Graphic Interface: Xây dựng các công cụ để phân tích và thống kê các dữ liệu bằng giao diện đồ họa.
Network Behavior Analysis System
Hệ thống phát hiện tấn công dựa trên lưu lượng bất thường giúp nhận diện các hành vi đáng ngờ trong quá trình truy cập ứng dụng Khi một người dùng truy cập một lượng lớn thông tin, hệ thống sẽ nghi ngờ và cảnh báo về khả năng tấn công xâm nhập Nếu người dùng truy cập vào các tập tin hay thư mục không hợp lệ, hệ thống sẽ tự động ngăn chặn và cảnh báo về nguy cơ xâm nhập.
Hệ thống phát hiện tấn công dựa trên hành động dị thường có khả năng nhận diện các cuộc tấn công mà không cần dấu hiệu cụ thể, nhưng yêu cầu cấu hình cẩn thận để nhận ra các mẫu tin không mong muốn Việc cập nhật cấu hình là cần thiết khi có ứng dụng mới hoặc thay đổi ứng dụng hiện tại Sự khác biệt giữa Network Behavior và Network Base là NBAS phân tích lưu lượng mạng hoặc thống kê lưu lượng để phát hiện các luồng lưu lượng bất thường.
Hệ thống Network Behavior có hai hình thức triển khai: thụ động và thẳng hàng Ở dạng thụ động, hệ thống ngăn chặn xâm nhập được đặt tại các vị trí giám sát quan trọng như ranh giới mạng Trong khi đó, kiểu thẳng hàng, tương tự như Network Base, thường được triển khai cùng với Firewall ở phía trước để giảm thiểu số lượng tấn công có thể làm quá tải Firewall.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-12 Mô hình Network Behavior
Host Based
Hệ thống Ngăn chặn Xâm nhập Dựa trên Máy chủ (HIPS) là phần mềm được triển khai trên các máy chủ quan trọng như máy chủ công cộng và máy chủ dữ liệu nhạy cảm, nhằm phát hiện các hoạt động đáng ngờ HIPS có thể hoạt động dựa trên các quy tắc đã được thiết lập trước hoặc thông qua hành vi tự học, giúp ngăn chặn các hành động nguy hiểm và các cuộc tấn công, bảo vệ hệ thống khỏi việc chỉnh sửa registry hay viết lại thư viện liên kết động HIPS cũng có khả năng kiểm tra và ghi lại các file log, file hệ thống, cho phép theo dõi các tiến trình của hệ điều hành và bảo vệ các tài nguyên quan trọng, bao gồm cả các file chỉ tồn tại trên một máy chủ cụ thể thông qua hệ thống ghi log triển khai trên máy tính đó.
Hệ thống ngăn chặn xâm nhập IPS-13 Mô hình Host Based được cài đặt trên mỗi máy chủ để theo dõi và bảo vệ hoạt động của máy tính và hệ thống mạng Việc lựa chọn giữa cài đặt agent lên host hoặc sử dụng thiết bị agent-Based là rất quan trọng; cài đặt agent trực tiếp trên host được khuyến khích vì nó tương tác tốt hơn với các đặc tính của host, giúp phát hiện và ngăn chặn xâm nhập hiệu quả hơn Tuy nhiên, do sự tương thích hạn chế với một số hệ điều hành và ảnh hưởng đến hiệu suất hoạt động, thiết bị agent-Based cũng là một lựa chọn khả thi Hệ thống Host Based cung cấp nhiều khả năng bảo mật, bao gồm ghi log, phát hiện tấn công, phân tích hành vi, nhận diện buffer-overflow, giám sát ứng dụng và hàm thư viện, phân tích lưu lượng mạng, kiểm tra tính toàn vẹn và thuộc tính truy cập của tập tin, cũng như giám sát cấu hình mạng và ngăn chặn mã độc cùng các dịch vụ hoặc giao thức không được phép.
Wireless
Hệ thống Ngăn chặn Tấn công Không dây (WIPS) là công cụ quan trọng để bảo vệ mạng không dây, giám sát cả bên trong lẫn bên ngoài hệ thống WIPS có khả năng phát hiện các cuộc tấn công khai thác lỗ hổng và cung cấp lớp bảo mật bổ sung để chống lại các mối đe dọa không dây như giả mạo ARP, giám sát tần số sóng và lỗi cấu hình WLAN Hệ thống này theo dõi toàn bộ mạng WLAN, thu thập và phân tích lưu lượng từ các bộ cảm biến, và sẽ hiển thị cảnh báo nếu phát hiện bất thường trong lưu lượng đã phân tích.
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-14 Mô hình Wireless
1.6 So sánh hệ thống phát hiện xâm nhậpvà ngăn chặn xâm nhập
Hình Tổng quan về hệ thống ngăn chặn xâm nhập IPS-15 Mô hình chung
Hệ thống phát hiện xâm nhập (IDS) là giải pháp giám sát thụ động, chỉ cảnh báo người quản trị về các nguy cơ tấn công, trong khi việc ngăn chặn hoàn toàn phụ thuộc vào khả năng của họ trong việc nhận diện lưu lượng khả nghi Công nghệ IDS của Cisco đã được thay thế bằng hệ thống ngăn chặn xâm nhập (IPS), cho phép không chỉ xác định lưu lượng đáng ngờ mà còn giảm thiểu sai sót trong việc phát hiện IPS hoạt động theo quy luật do quản trị viên định sẵn, giúp loại bỏ các cuộc tấn công ngay khi có dấu hiệu xâm nhập, trong khi IDS chỉ sử dụng một hoặc hai cơ chế phát hiện, dễ dẫn đến việc không phát hiện được các tấn công với cơ chế không định sẵn Điều này có thể làm tăng khả năng thành công của các cuộc tấn công và gây lãng phí thời gian cho quản trị viên do cảnh báo nhầm Hệ thống IPS được xây dựng trên nhiều cơ chế tấn công khác nhau và có khả năng tạo mới các cơ chế phù hợp với các dạng tấn công mới, từ đó giảm thiểu khả năng tấn công và nâng cao độ chính xác so với IDS.
Hệ thống IDS chỉ có khả năng phản ứng với các cuộc tấn công sau khi gói tin đã đến đích, dẫn đến việc phải gửi yêu cầu đến Firewall để xóa kết nối giữa máy tấn công và máy chủ, điều này có thể gây tác động phụ không mong muốn Chẳng hạn, nếu kẻ tấn công giả mạo IP của một đối tác hoặc khách hàng để thực hiện cuộc tấn công từ chối dịch vụ, IDS có thể chặn cuộc tấn công nhưng cũng sẽ khóa IP của khách hàng và đối tác, dẫn đến thiệt hại vẫn xảy ra Ngược lại, IPS có khả năng phát hiện sớm dấu hiệu tấn công và ngay lập tức chặn các gói tin này, giúp giảm thiểu rủi ro và thiệt hại.
Các sản phẩm trên thị trường hiện nay
Tipping Point IPS cung cấp chức năng bảo vệ tự động và kiểm soát truy cập hiệu quả, ngăn chặn các cuộc tấn công mà không làm chậm hay nghẽn mạng Hệ thống này không yêu cầu đầu tư nhân lực bổ sung và có thể được cài đặt in-line trong mạng vận hành Với giá thành hợp lý, Tipping Point IPS hỗ trợ băng thông từ 15G-20G và có khả năng tối đa 11 segment cho mỗi thiết bị phần cứng.
Hai model thiết bị phòng chống xâm nhập mới, Proventia G400 và G2000, được thiết kế để bảo vệ vành đai mạng với khả năng bảo vệ nhiều phân vùng Giải pháp này giúp ngăn chặn các cuộc tấn công từ chối dịch vụ, mã độc và các dạng tấn công hỗn hợp, đồng thời hỗ trợ tính sẵn sàng cao Thiết bị còn có khả năng ngăn chặn phần mềm gián điệp, cho phép cài đặt, quản trị và giám sát dễ dàng qua giao diện web, cũng như có thể giám sát bằng giao thức SNMP.
Gải pháp chống xâm nhập Cyberoam – IPS
Cyberoam cung cấp giải pháp bảo mật UTM tích hợp nhiều tính năng như tường lửa, mạng riêng ảo, Gateway chống virus và spam, lọc nội dung, quản lý băng thông và chia tải Giải pháp này dựa trên định danh, cho phép quản trị viên khai báo định danh cho từng người dùng hoặc nhóm người dùng, đồng thời hỗ trợ nhập từ Active Directory, Windows Domain và LDAP, nhằm bảo vệ hệ thống mạng một cách toàn diện.
Hệ thống IPS-1 là giải pháp phòng chống xâm nhập chuyên dụng, mang lại bảo vệ cho các trường hợp quan trọng với khả năng quản lý và phân tích chứng cứ độc đáo Được điều khiển bởi hệ thống quản trị tập trung mạnh mẽ, IPS-1 hỗ trợ nhiều hình thức triển khai từ nhỏ đến lớn Dịch vụ Smart Defense Services giúp cập nhật và cấu hình hệ thống bảo vệ theo thời gian thực, nhằm đối phó hiệu quả với các nguy cơ mới.
Giới thiệu tổng quan thiết bị IOS IPS
Giới thiệu
Chữ ký (Signature) là tập hợp các quy tắc dùng để phát hiện và kiểm tra sự xâm nhập trái phép, cũng như các cuộc tấn công gây hại đến tài nguyên hệ thống và người dùng Các thiết bị IPS thường dựa vào những chữ ký này để xác định hành động nào là xâm nhập và hành động nào không Để đảm bảo an toàn, quản trị viên cần thường xuyên cập nhật các tín hiệu tấn công mới khi chúng được phát hiện.
Alert là thông báo về hành động xâm nhập bất hợp pháp khi hệ thống phát hiện kẻ xâm nhập Hệ thống sẽ thông báo cho quản trị viên qua các tín hiệu báo động hiển thị trên màn hình theo dõi hoặc gửi qua email Thông tin này cũng được lưu trữ vào file hoặc cơ sở dữ liệu để quản trị viên bảo mật có thể xem lại sau này.
Cảm biến là yếu tố thiết yếu trong hệ thống IPS, có nhiệm vụ phát hiện các cuộc xâm nhập Thiết bị này hoạt động như các giác quan trên mạng, tương tự như cảm biến trong các lĩnh vực kỹ thuật khác dùng để nhận diện âm thanh, màu sắc, và áp suất Cảm biến trong IPS sẽ bắt các tín hiệu có dấu hiệu xâm nhập trái phép Nó thu thập dữ liệu từ ba nguồn thông tin chính: cơ sở kiến thức của IPS, Syslog và lịch sử hoạt động, từ đó tạo nền tảng cho việc phát hiện các cuộc tấn công từ hacker.
Các hệ thống Cisco IPS có thể được triển khai theo hai cách: tập trung và phân tán Triển khai tập trung tích hợp IPS với các thành phần an ninh khác như firewall để bảo vệ hệ thống, trong khi triển khai phân tán (distributed IDS) bao gồm nhiều hệ thống IPS kết nối trong một mạng lớn, nhằm nâng cao khả năng nhận diện xâm nhập và phản ứng kịp thời.
Hình Giới thiệu tổng quan thiết bị IOS IPS-16 Các thành phần của Cisco IPS
Virtual Sensor có khả năng nhận và xử lý gói tin để xác định việc tạo ra cảnh báo Mỗi Virtual Sensor IPS cho phép chạy nhiều Sensor ảo trên cùng một thiết bị, được cấu hình với các dấu hiệu và lưu lượng đầu vào khác nhau Các bộ xử lý trên Virtual Sensor thực hiện các chức năng đa dạng để đảm bảo hiệu quả trong việc giám sát và phát hiện.
Capture Producer: Nhận các gói tin và đẩy chúng đến các bộ xử lý khác.
Fragment Reassembly Unit - FRU: Tập hợp các IP fragments.
Database Handler: Là nơi lưu trữ cho việc theo dõi các luồng dữ liệu ra vào hệ thống.
Stream Reassembly Unit - SRU: Tập hợp và chuyển dữ liệu đi.
Signature Handler là một thành phần quan trọng trong việc điều khiển và chuyển gói tin đến các engine nhận diện dấu hiệu Kỹ thuật Blocking dựa trên các dấu hiệu để ngăn chặn truy cập, dựa vào các thông số như địa chỉ nguồn, địa chỉ đích, cổng đích và giao thức Chức năng này cho phép khóa đăng nhập của các profile bất hợp pháp, ngăn chặn thiết bị không được phép truy cập, và điều chỉnh định tuyến để bảo vệ hệ thống.
2.1.2 Chức năng của một hệ thống ngăn chặn xâm nhập
Hệ thống ngăn chặn xâm nhập (IPS) cung cấp khả năng giám sát lưu lượng mạng và phát hiện các hoạt động khả nghi, giúp nhanh chóng loại bỏ các nguy cơ trước khi chúng ảnh hưởng đến hệ thống IPS có thể kiểm soát tất cả lưu lượng nội bộ, từ đó phát hiện các cuộc tấn công từ bên trong Được tích hợp trong hệ điều hành Cisco IOS thông qua tính năng Cisco Firewall, IPS lưu trữ hơn 700 dấu hiệu tấn công và cho phép bổ sung hoặc chỉnh sửa các dấu hiệu hiện có Nó có khả năng quét đồng thời và hỗ trợ ACL để thực hiện các hành động tự động nhằm ngăn chặn kẻ xâm nhập và các lưu lượng bất thường, bao gồm phần mềm gián điệp, tấn công từ chối dịch vụ (DoS), Trojan, backdoor, luồng http độc hại và file đính kèm e-mail Các dấu hiệu nhận dạng cuộc tấn công được phân loại thành 4 loại.
Khai thác: Là một hành động nắm quyền truy xuất vào hệ thống hay các tài nguyên mạng.
Dịch vụ DoS (Denial of Service) là hành động gửi một lượng lớn yêu cầu đến hệ thống hoặc tài nguyên mạng nhằm gây ngưng trệ và làm tổn hại đến hoạt động bình thường của chúng.
Dò thám là quá trình thu thập thông tin nhằm tập hợp dữ liệu từ hệ thống và các tài nguyên mạng, từ đó xác định các mục tiêu cho các cuộc tấn công trong tương lai.
Sử dụng không đúng: Là những hành động vi phạm đến chính sách của hệ thống. Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau :
Các dấu hiệu đơn lẻ kích hoạt hệ thống IPS sử dụng ít bộ nhớ do không cần thu thập nhiều dữ liệu.
Kết hợp: các loại dữ liệu này đòi hỏi IPS thu thập và so sánh với số lượng lớn dữ liệu sau đó mới kích hoạt sự kiện.
Cơ chế nhận dạng tấn công của hệ thống ngăn chặn xâm nhập (IPS) dựa vào việc phát hiện các hoạt động bất thường thông qua các dấu hiệu cụ thể Hệ thống xác định các giao thức bằng cách so sánh các sự kiện với cấu hình đã được định trước, nhờ vào sự hỗ trợ của phần mềm như Event Store, nơi lưu trữ tất cả các sự kiện.
Detection Application Programming Interface (IDAPI) là chương trình ứng dụng tìm ra sự xâm nhập, SensorApp có nhiệm vụ bắt gói tin và phân tích chúng.
Hệ thống Cisco IOS IPS-17 hoạt động bằng cách phát hiện và ngăn chặn các cuộc tấn công mạng thông qua ba bước chính: thu thập thông tin từ tất cả các gói tin trên mạng, phân tích các gói tin để xác định hành động tấn công, và đưa ra cảnh báo cũng như quyết định loại bỏ các gói tin độc hại Khi phát hiện traffic có khả năng gây hại, IOS IPS sẽ gửi cảnh báo đến Server Syslog và Server Monitor để xử lý, như loại bỏ traffic hoặc reset kết nối Hệ thống này cung cấp khả năng bảo vệ đa dạng ở cả mức độ host và mạng, với nhiều thành phần hỗ trợ ngăn chặn xâm nhập hiệu quả.
Chức năng cảnh báo và phát hiện xâm nhập
Hệ thống giám sát mạng có nhiệm vụ kiểm tra tính hợp pháp và báo cáo các hoạt động thông qua việc giám sát các gói tin qua thiết bị kiểm soát Bằng cách phân tích lưu lượng gói tin, hệ thống phát hiện xâm nhập nhận diện các cuộc tấn công thông qua dấu hiệu, biến thiên lưu lượng và các quy tắc phân tích thống kê phức tạp Hệ thống báo động là thành phần quan trọng, giúp quản trị viên nắm bắt trạng thái hoạt động của mạng và lưu trữ cảnh báo để chuyên gia bảo mật có thể xem lại Cảnh báo có thể hiển thị trên màn hình, qua email hoặc các phương thức khác Khi kết hợp với hệ thống dò tìm xâm nhập và giám sát thiết bị, hệ thống báo động cung cấp tín hiệu cảnh báo cho người quản trị khi có sự cố xâm nhập hoặc bất thường xảy ra Thông tin từ thiết bị phát hiện xâm nhập được chuyển tới hệ thống báo động để phát cảnh báo kịp thời.
Giải pháp ngăn chặn xâm nhập đóng vai trò quan trọng trong việc bảo vệ tài nguyên và dữ liệu, giúp giảm thiểu các mối đe dọa tấn công bằng cách loại bỏ lưu lượng mạng có hại mà không gây ra báo động giả, từ đó nâng cao năng suất người dùng Những giải pháp này được thiết kế để bảo vệ mạng và ứng dụng cá nhân khỏi các cuộc tấn công như Trojan horse, thông qua việc áp dụng các nguyên tắc xác định và danh sách điều khiển truy cập Chúng cũng sử dụng bộ lọc gói tốc độ cao để chống lại các gói tin tấn công như LAND và WinNuke, đồng thời ngăn chặn sự lạm dụng giao thức và các cuộc tấn công từ chối dịch vụ (DOS/DDOS) bằng cách áp dụng các thuật toán lọc dựa trên ngưỡng Ngoài ra, các giải pháp này còn bảo vệ chống lại các cuộc tấn công đã biết và chưa biết nhằm vào các giao thức như HTTP, FTP, DNS, SMTP thông qua việc sử dụng quy tắc giao thức ứng dụng và chữ ký.
Mô hình của hệ thống ngăn chặn xâm nhập
Trong thực tế có hai mô hình khi triển khai một hệ thống ngăn chặn xâm nhập là ngoài luồng và trong luồng.
2.2.1 IPS ngoài luồng - Promiscous Mode
Mô hình IPS hoạt động song song với Firewall, nơi luồng dữ liệu từ bên ngoài vào hệ thống mạng phải đi qua cả hai thiết bị IPS có khả năng kiểm soát và phân tích dữ liệu để phát hiện các dấu hiệu xâm nhập hoặc tấn công Trong cấu trúc này, chế độ Promiscous Mode của IPS phối hợp với Firewall để chỉ dẫn chặn các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng Do đó, IPS đóng vai trò như một IDS, chỉ đưa ra cảnh báo mà không thực hiện chức năng ngăn chặn.
Hình Giới thiệu tổng quan thiết bị IOS IPS-18 Promiscuos mode
2.2.2 IPS trong luồng - In-line mode
Mô hình IPS hoạt động trước Firewall, yêu cầu dữ liệu phải đi qua IPS trước khi đến Firewall, khác với mô hình Promiscous Mode IPS nhờ vào chức năng traffic-blocking, giúp ngăn chặn thông tin nguy hiểm nhanh hơn Tuy nhiên, vị trí này có thể làm giảm tốc độ thông tin ra vào hệ thống Để ngăn chặn các cuộc tấn công hiệu quả, hệ thống ngăn chặn xâm nhập cần hoạt động theo thời gian thực với tốc độ nhanh, đảm bảo phát hiện và ngăn chặn kịp thời, nếu không sẽ trở nên vô nghĩa khi các cuộc tấn công đã diễn ra.
Hình Giới thiệu tổng quan thiết bị IOS IPS-19 Inline Mode
Cấu trúc của Cisco IOS IPS Sensor
Tệp định nghĩa dấu hiệu (SDF) là tập tin lưu trữ các dấu hiệu tấn công và hành động tương ứng, cho phép Cisco IOS IPS cập nhật cấu hình của hệ thống bảo mật trên Router SDF thường ở định dạng XML và chứa 132 dấu hiệu được cài sẵn trong Cisco IOS IPS, giúp nhận diện các cuộc tấn công Tệp này có thể lưu trữ trong bộ nhớ Flash của Router hoặc trên các máy chủ hỗ trợ TFTP, FTP, SCP, và RCP Cisco IOS IPS hỗ trợ ba cấu hình SDF: 128MB.sdf, 256MB.sdf, và attack-drop.sdf Từ phiên bản IOS 12.3(8)T trở lên, Router đã được cấu hình sẵn với tệp Attack-drop.sdf, chứa 118 dấu hiệu tấn công và worm phổ biến, có thể được cập nhật thường xuyên bởi Cisco Người dùng có thể tải và hợp nhất các dấu hiệu mới với dấu hiệu hiện có thông qua các công cụ quản lý như Cisco SDM và Cisco IDM, mà không cần tạo SDF riêng.
Cisco IOS IPS sử dụng Signature Micro Engine để tải và quét các file SDF, nhằm phát hiện các dấu hiệu nguy hiểm qua mẫu đã định nghĩa Cơ chế của Signature Micro Engine cho phép phân tích các giá trị từ gói dữ liệu, tìm kiếm hoạt động đáng ngờ bằng kỹ thuật quét song song, giúp quét gói tin hiệu quả và nhanh chóng tại bất kỳ thời điểm nào.
Các loại dấu hiệu và cảnh báo
Dấu hiệu là tập hợp các quy tắc mà hệ thống IPS sử dụng để phát hiện và phản ứng với các hoạt động xâm nhập đã biết Việc cài đặt và chỉnh sửa chữ ký trở nên dễ dàng thông qua phần mềm quản lý IDS và IPS như Cisco IDM và SDM IOS IPS cung cấp nhiều chức năng để xác định các hoạt động xâm nhập và đối phó với các cuộc tấn công, trong khi Cisco IPS mang đến nhiều loại dấu hiệu giúp hệ thống giám sát lưu lượng truy cập và khả năng bảo mật Để bảo vệ hệ thống mạng khỏi các cuộc tấn công, việc tìm hiểu các loại dấu hiệu và các hành động xâm nhập mà chúng thực hiện là rất quan trọng.
Signature Engine: Ta có thể thấy các dấu hiệu Signature Engine như bảng dưới đây:
Atomic Dấu hiệu này kiểm tra các gói ICMP và UDP
Service Dấu hiệu kiểm tra nhiều dịch vụ, phân tích các lưu lượng trên lớp 5 String Dấu hiệu dựa trên các mẫu để phát hiện xâm nhập.
Multi-string Hỗ trợ các mô hình kết hợp linh hoạt
Khi nhận ra tấn công Flood từ một host hoặc toàn bộ mạng, các dấu hiệu chính bao gồm Flood.Net và Flood.Host Ngoài ra, cần áp dụng các kỹ thuật khác để xử lý và phát hiện các dấu hiệu tấn công này một cách hiệu quả.
Bảng Giới thiệu tổng quan thiết bị IOS IPS-1 Tóm tắt các loại dấu hiệu
The image 2-2 illustrates various attack indicators used by hackers to infiltrate network systems, including Adware/Spyware, Code Execution, Command Execution, DDoS, DoS, File Access, General Attacks, IDS Evasion, Informational breaches, Policy Violations, Reconnaissance, and Viruses/Worms/Trojans These attack types have been predefined by providers to safeguard the systems.
Hình Giới thiệu tổng quan thiết bị IOS IPS-20 Các dấu hiệu Attack
The L2/L3/L4 Protocols encompass various attack prevention signals, including ARP, General ICMP, General IP, General TCP, and General UDP These protocols help mitigate threats such as ICMP floods, host sweeps, protocol anomalies, IP fragments, and TCP-related issues like floods, hijacks, and port sweeps By employing these protocols, networks can enhance their security against a wide range of potential attacks.
Hình Giới thiệu tổng quan thiết bị IOS IPS-21 Các dấu hiệu về giao thức
Hành động Chữ ký là những biện pháp nhằm ngăn chặn các gói tin độc hại, bao gồm từ chối truy cập, ghi lại thông tin vào file log, thiết lập lại kết nối hoặc khóa những kết nối có thể gây hại cho hệ thống.
Sau khi cài đặt dấu hiệu qua các nhóm, người dùng có thể cấu hình nhiều hoạt động khác nhau cho dấu hiệu, bao gồm việc xem thông tin trong cơ sở dữ liệu, kích hoạt dấu hiệu, chỉnh sửa và định nghĩa chúng Dưới đây là chi tiết về các dấu hiệu.
ATOMIC.IP Cảnh báo IP lớp 3
ATOMIC.ICMP Cảnh báo icmp dựa trên: type, code, sequence, and ID ATOMIC.IPOPTIONS Cảnh báo chức năng giải mã ở lớp 3
ATOMIC.UDP cung cấp cảnh báo cho các gói UDP dựa trên các thông số như cổng, phương diện và chiều dài dữ liệu ATOMIC.TCP cảnh báo về các gói tin TCP dựa trên cổng, điểm đến và cờ Dịch vụ SERVICE.DNS thực hiện phân tích dịch vụ DNS.
SERVICE.RPC Phân tích dịch vụ diều khiển từ xa RPC
SERVICE.SMTP Kiểm tra phương thức gửi mail SMTP
SERVICE.HTTP Cung cấp các giao thức HTTP
SERVICE.FTP Cung cấp các giao thức FTP
STRING.TCP Có tính năng cảnh báo các gói tin dạng TCP
STRING.UDP Có tính năng cảnh báo các gói tin dạng UDP
STRING.ICMP Có tính năng cảnh báo các gói tin dạng ICMP
MULTI-STRING Hỗ trợ các mô hình kết hợp linh hoạt
SWEEP Sử dụng để dò ra những cuộc tấn công mạng
TROJAN Tìm ra những chương trình Trojan
TRAFFIC Phân tích các giao thức: TFN2K, LOKI,và
DDOS Bảng Giới thiệu tổng quan thiết bị IOS IPS-2 Bảng mô tả chi tiết dấu hiệu
Hệ thống ngăn ngừa xâm nhập đóng vai trò quan trọng trong việc phát hiện chính xác các cuộc tấn công hoặc vi phạm chính sách, đồng thời ngăn chặn chúng Các cuộc tấn công này có thể kích hoạt nhiều loại báo động khác nhau, ảnh hưởng đến chức năng của các bộ cảm ứng.
Báo động sai xảy ra khi hệ thống phát hiện hoạt động bình thường như giao thông mạng hoặc hành động hợp lệ, dẫn đến việc kích hoạt cảnh báo không cần thiết Chẳng hạn, nếu mật khẩu của một thiết bị mạng được nhập sai, hệ thống có thể báo động mà không phân biệt được giữa người dùng cố tình quấy rối và quản trị viên mạng hợp pháp, gây ra những cảnh báo không chính xác.
Báo động đúng xảy ra khi một dấu hiệu IPS vi phạm và lưu lượng tấn công được phát hiện, dẫn đến việc tạo ra báo động Chẳng hạn, Cisco IPS có chữ ký phát hiện các cuộc tấn công nhằm vào Unicode trên các máy chủ web Microsoft Internet Information Services (IIS) Khi một cuộc tấn công Unicode xảy ra đối với các máy chủ này, cảm biến sẽ nhận diện và tạo ra một báo động tương ứng.
Cảnh báo xảy ra khi nhu cầu được đáp ứng đúng, nhưng cần cân nhắc lượng cảnh báo để tránh tình trạng quá tải, làm khó quản lý và chiếm băng thông do quá trình bắt và phân tích gói tin Việc sử dụng không đúng các cảnh báo trong hệ thống IPS có thể dẫn đến cảnh báo sai Do đó, cần xem xét mức độ cần thiết để kích hoạt một cảnh báo, với các IPS signature được phân loại theo các cấp độ cảnh báo khác nhau.
Thông tin: Hoạt động kích hoạt các chữ ký không được xem là một mối đe dọa trước mắt.
Mạng lưới hoạt động bất thường được phát hiện có thể được xem là độc hại, tuy nhiên, mối đe dọa hiện tại không đáng lo ngại.
Trung bình: Mạng lưới hoạt động bất thường được phát hiện có thể được coi như là độc hại, và có thể là một mối đe dọa trước mắt.
Cao: Mối đe dọa hiện tại rất khả thi, với việc tấn công có thể được sử dụng để truy cập trái phép hoặc thực hiện cuộc tấn công DoS đã được phát hiện.
Quản lý hiệu quả hệ thống là yếu tố then chốt cho sự thành công của việc triển khai hệ thống IPS Hệ thống Cisco IPS cung cấp nhiều chế độ báo động, mỗi chế độ được thiết kế để hỗ trợ cảnh báo từ các hoạt động xâm nhập trong các tình huống khác nhau, giúp nâng cao khả năng cảnh báo của hệ thống.
Các báo động trên có thể là một trong các giá trị sau:
Attacker address: Địa chỉ của kẻ tấn công
Attacker address and victim port: Port của kẻ tấn công và nạn nhân
Attacker and victim addresses: Địa chỉ của kẻ tấn công và nạn nhân
Attacker and victim addresses and ports: Địa chỉ và Port của kẻ tấn công và nạn nhân
Victim address: Địa chỉ của nạn nhân
Để giảm thiểu báo động sai trong hệ thống mạng, cần điều chỉnh các mức định nghĩa mặc định và xem xét lưu lượng mạng Việc mở dấu hiệu để phát hiện xâm nhập không điển hình nên dựa trên các mẫu qui định Thay vì chỉnh sửa mẫu qui định, hãy sử dụng chữ ký qui định sẵn để so sánh với lưu lượng mạng hiện tại, từ đó xác định mẫu lưu lượng và đưa ra cảnh báo chính xác hơn.
Phương pháp quản lý và hạn chế của hệ thống ngăn chặn xâm nhập
Thiết bị IPS cho phép quản lý linh hoạt qua giao diện dòng lệnh, giúp cấu hình luật, cài đặt thông số và bảo vệ hệ thống mạng, nhưng một số tính năng như reset kết nối TCP không khả thi trên giao diện này Để quản lý hiệu quả hơn, đặc biệt trong môi trường thường xuyên bị tấn công, người dùng có thể sử dụng các phần mềm hỗ trợ qua giao diện web như Cisco Intrusion Prevention System Device Manager (IDM), Adaptive Security Device Manager (ASDM) và Cisco Security Manager (CSM) Các phần mềm này cung cấp chính sách quản lý toàn diện, đảm bảo an toàn cho hệ thống mạng.
Hệ thống ngăn chặn xâm nhập cung cấp chức năng quản lý hệ thống qua giao thức SNMP, một giao thức lớp ứng dụng giúp giám sát và điều khiển thiết bị mạng như Switch và Router SNMP cho phép quản trị viên quản lý hiệu suất mạng, phát hiện và khắc phục sự cố Chẳng hạn, người dùng có thể tắt một giao diện trên router, theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và nhận cảnh báo khi nhiệt độ vượt ngưỡng an toàn Giao thức này có thể áp dụng cho các hệ thống Unix, Windows, máy in, và nguồn điện, giúp quản lý tất cả thiết bị hỗ trợ thông tin SNMP.
Một trong những vấn đề quan trọng khi tải lên dấu hiệu trên Cisco Router là giới hạn dung lượng bộ nhớ Cụ thể, Router có 128MB RAM chỉ hỗ trợ tối đa 563 dấu hiệu, trong khi Router với 256MB RAM có thể tăng khả năng này lên 737 dấu hiệu.
Dấu hiệu Bộ nhớ MB
Bảng giới thiệu tổng quan về thiết bị IOS IPS-3, bao gồm bộ nhớ các dấu hiệu tấn công Lưu ý rằng các dấu hiệu tấn công mà Cisco IOS IPS từ phiên bản 12.3(8)T trở về sau sẽ không được hỗ trợ.
1100 Tấn công dùng IP fragment (attack, atomic)
1105 Dùng địa chỉ nguồn broadcast (compound/attack)
1106 Dùng địa chỉ nguồn multicast (compound/attack)
8000 File password của FTP (attack/atomic)
Bảng Giới thiệu tổng quan thiết bị IOS IPS-4 Các dấu hiệu không hỗ trợ
Các lệnh trong Cisco IOS IPS
2.6.1 Các mode của Command Line Interface
Chế độ đầu tiên của IPS Cisco khi nhập lệnh Enable là nơi khởi động hệ thống, thiết lập ngày giờ, và khởi động lại IPS Nó cũng giới hạn một phiên đăng nhập và hiển thị cấu hình hệ thống, cùng nhiều lệnh khác có thể được truy cập bằng cách nhập “ ? ”.
Mode Global Configuration là chế độ thứ hai cho phép thay đổi các thông số cấu hình trong IPS Để vào chế độ này, người dùng sử dụng lệnh “configure terminal” từ mode Privileged Exec Trong chế độ này, các nhiệm vụ bao gồm thay đổi tên máy chủ (host name), tạo người dùng, cấu hình SSH, Telnet, Transport Layer Security (TLS), cập nhật IOS cho hệ thống, và truy cập vào cấu hình mode Service.
Mode Service Đây là mode mức thứ ba trong CLI dùng để cấu hình các dịch vụ và các sự kiện cho IPS như :
Service analysis-engine: Có nhiệm vụ tạo một Virtual Sensor mới ấn định dấu hiệu và các sự kiện vào virtual Sensor
IPS(config)# service analysis-engine
Service authentication: Ở mode này ta có thể thiết lập cho user truy cập, nếu user truy cập vượt quá số lần cho phép thì account bị Disable
Service Event-Action-Rules: Có nhiệm vụ định nghĩa các rủi ro cho phép, lọc các sự kiện, cấu hình các luât cho hệ thống
IPS(config)# service event-action-rules rules0
The service host offers essential functions including the configuration of network settings such as IP address, default gateway, and access list, as well as the ability to enable or disable Telnet functionality Additionally, it supports various services such as service interface, service logger, service network access, service notification, service signature definition, service SSH known hosts, and service web server.
2.6.2 Tìm hiểu các luật của Cisco IOS IPS
Để quản lý và giám sát hệ thống IPS, người dùng cần tạo tài khoản với bốn loại quyền truy cập: Administrator, Operator, Viewer và Service Administrator có quyền cao nhất, cho phép thêm người dùng, đặt mật khẩu, mở hoặc tắt các giao diện, và cấu hình hệ thống Operator có quyền hạn thứ hai, có thể thay đổi mật khẩu, điều chỉnh các dấu hiệu và quản lý router để khóa địa chỉ IP Viewer là người dùng có quyền hạn thấp nhất, chỉ có thể xem cấu hình và sự kiện trong hệ thống Cuối cùng, Service user cho phép tạo tài khoản để nâng cao khả năng xử lý sự cố trong hệ thống.
Cú pháp : ips(config)# username [password password][privilege privilege]
Ví dụ: Ta tạo 1 user tên Admin password: adminpass ips(config)#username Admin password admin privilege administrator
Cấu hình Account Lockout sử dụng lệnh “attemptLimit” để giới hạn số lần đăng nhập của người dùng trước khi tài khoản bị vô hiệu hóa Các tài khoản bị vô hiệu hóa sẽ được hiển thị trong dấu ngoặc khi thực hiện lệnh “show user all” Người dùng có quyền administrator có khả năng mở khóa tài khoản bằng cách thay đổi mật khẩu.
Ví dụ: Giới hạn cho user login 3 lần ips(config-aut)# attemptLimit 3
Cisco IOS IPS cho phép cài đặt các dấu hiệu mới trên Router Để tạo ra luật và áp dụng vào các interface nhằm kiểm tra lưu lượng đi vào và đi ra trong hệ thống, bạn sử dụng câu lệnh sau: "ip ips name name", trong đó "name" là tên mà bạn đặt cho luật của IPS.
IPS#ip ips name iosips Áp luật vào interface của IPS để theo dõi các lưu lượng bằng lệnh:
IPS(config-if)# ip ips iosips in
IPS(config-if)# ip ips iosips out
The command to download an SDF file containing signatures from a specified location is utilized in global configuration mode The "location" parameter can refer to Flash memory, an FTP server, RCP, or a TFTP server If the router is unable to locate the required file in the specified parameter, it will not proceed with the operation.
To prevent the router from downloading its built-in signature files, use the command "no ip ips sdf built-in" in global configuration mode, followed by "ip ips sdf location location." This ensures that only the specified signature files are utilized.
IPS(config)# ip ips sdf location flash:128BM.sdf hoặc
IPS(config)# copy tftp://192.168.3.1/128MB.sdf Để xem các dấu hiệu hiện có ta dùng lệnh ips# list signature-definition-configuration
To add a Virtual Sensor in IOS IPS, log in to the IPS CLI with administrator privileges and enter the service analysis-engine mode Use the command `ips(config)# service analysis-engine` followed by `ips(config-ana)# virtual-sensor vs0` to define the Virtual Sensor To set the action rules for the Virtual Sensor, execute `ips(config-ana-vir)#event-action-rules rules1`, and to create signature definitions, use `ips(config-ana-vir)#signature-definition sig1`.
Thêm card mạng cho virtual Sensor ips(config-ana-vir)# physical-interface gigabitEthernet0/2
To configure an inline VLAN pair using a single interface, begin by accessing the interface configuration mode with the command `ips(config)# service interface` Then, specify the physical interface by entering `ips(config-int)# physical-interfaces gigabitEthernet0/1` Next, set the subinterface type to inline VLAN pair with `ips(config-int-phy)# subinterface-type inline-vlan-pair` Create the first subinterface for VLAN 50 using `ips(config-int-phy-inl)# subinterface 1` followed by `ips(config-int-phy-inl-sub)# vlan 50`, and then define the second subinterface for VLAN 51 with `ips(config-int-phy-inl-sub)# vlan 51`.
Cisco IOS IPS sử dụng các dấu hiệu để phát hiện các cuộc tấn công mạng Nếu các dấu hiệu này không đủ mạnh, có thể kết hợp với file Attack-drop.sdf Để loại bỏ các dấu hiệu trùng lặp, sử dụng lệnh: ip ips fail closed Để giảm thiểu cảnh báo sai, cần cấu hình chính xác các giá trị ngưỡng hoặc tắt một số dấu hiệu Để gán chính sách cho một dấu hiệu, sử dụng lệnh: ip ips signature signature-id [:sub-signature-id] {delete | disable}.
Chúng ta định nghĩa hành động theo dõi hệ thống thông qua dấu hiệu để kiểm tra sự xuất hiện của các gói tin ICMP, nhằm mục đích cảnh báo, ngăn chặn và thiết lập lại kết nối.
IPS(config)# ip ips signature-definition
IPS(config-sigdef-sig)# engine
IPS(config-sigdef-sig-engine)# event-action produce-alert
IPS(config-sigdef-sig-engine)# event-action deny-packet-inline
IPS(config-sigdef-sig-engine)# event-action reset-tcp-connection IPS(config-sigdef-sig-engine)# exit
IPS(config-sigdef-sig)# exit
Do you want to accept these changes? [confirm] yes
Sau khi áp luật vào thì IPS sẽ bắt các gói tin đi qua nó.
*Feb 19 09:30:41.823: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
*Feb 19 09:30:41.879: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
Khi không bắt những gói tin ICMP từ ngoài vào ta dùng lệnh
To log events in the Virtual Sensor, use the command “iplog name ip_address.” To view the IPs you have monitored, execute the “iplog-status brief” command To delete a log, apply the command “no iplog ip_address.”
Ví dụ: Để ghi lại những sự kiện của một IP nào đó ta làm như sau
Lệnh “Show version” cung cấp thông tin về cấu hình, phiên bản và các ứng dụng đang hoạt động, bao gồm phiên bản của các ứng dụng, mức sử dụng bộ nhớ và dung lượng đĩa cứng Để thực hiện, sử dụng lệnh: ips# show version.
Cisco Intrusion Prevention System, Version 5.1(6)E1
OS Version: 2.4.26-IDS-smp-bigphys
The "Show events" command displays various events such as evAlert, evError, evStatus, evLogTransaction, and evShunRqst For instance, executing the command "ips# show events evStatus" reveals event details like eventId91205996295819067, vendor information (Cisco), the originator's hostId, and application name It also includes timestamps, such as 2010/11/01 01:27:24 to 2010/11/01 01:29:24 CET, and notes that traffic flow has started on the interface named GigabitEthernet0/1.
Lệnh “Show configuration”: thể hiện thông tin cấu hình hệ thống
Lệnh “Show setting”: thể hiện nội dung cấu hình ở sub-mode hiện tại
Lệnh “Show statistics”: Thể hiện số liệu thống kê đc yêu cầu.
Lệnh “Reset”: shutdown các ứng dụng chạy trên Cisco IPS và khởi động lại nó.
Các lỗi thường gặp khi cấu hình bằng Comman - Line
Nhập tên của rules không hợp lệ
IPS(config)# service event-action-rules rules
Error: Cannot create a new alarm channel configuration "rules0" is currently the only configuration allowed.
Tên dấu hiệu không có trong IPS
IPS(config)# service signature-definition MySig
Error: Cannot create a new signature definition configuration.
"sig0" is currently the only configuration allowed.
Lỗi thay đổi password là user không tồn tại trong hệ thống.
Lỗi trùng tên người dùng
Lỗi khi dùng lệnh copy là không thể tìm thấy file cấu hình conf
Could not load CLI configuration files, can not complete request.
Lỗi các tập tin không có khi dùng lệnh copy hay xóa
Packet-file does not exist.
Khi ta dùng lệnh này bị lỗi do có người khác đang theo dõi
Another user is currently capturing into the packet-file Please try again later.
Lỗi khi dùng lệnh này là ta không có quyền xóa một phiên CLI của một người dùng khác.
You do not have permission to terminate the requested CLI session.