HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (INTRUSION DETECTION SYSTEM)

Tổng quan an ninh mạng 5 nội dung chính của bảo mật:  Xác thực (authentication)  Ủy quyền (authorization)  Cẩn mật (confidentiality)  Toàn vẹn (integrity)  Sẵn sàng (availability) Xâm nhập – Khái niệm  Xâm nhập (intrusion): các hành động phá vỡ tính an toàn bảo mật để truy nhập vào hệ thống thông tin  Lạm dụng (misuse): các hành động không hợp lệ nhằm sử dụng, tác động đến tài nguyên bên trong của tổ chức  Phát hiện xâm nhập: tiến trình nhằm phát hiện các xâm nhập vào bên trong hệ thống Tấn công Website (Web application attack)  Truy nhập không được ủy quyền đến tài nguyên hệ thống:  Password cracking  Scanning ports and services  Spoofing e.g. DNS spoofing  Network packet listening  Stealing information  Unauthorized network access  Uses of IT resources for private purpose

BÀI TẬP LỚN : MẬT MÃ VÀ AN TOÀN DỮ LIỆU

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

(INTRUSION DETECTION SYSTEM)

GIẢNG VIÊN: PGS-TS TRỊNH NHẬT TIẾN HỌC VIÊN: BÙI AN LỘC – K20HTTT

1

NỘI DUNG

Tổng quan về ninh mạng Xâm nhập (Intrusion)

Hệ thống IDS SNORT

Triển khai thực tế

2

Tổng quan an ninh mạng

 Các nguy cơ tấn công đối với hệ thống:

 Có cấu trúc (structured threat)

 Không cấu trúc (unstructured thread)

 Từ bên ngoài (external threat)

 Từ bên trong (internal threat)

4

Xâm nhập – Khái niệm

đến tài nguyên bên trong của tổ chức

 Phát hiện xâm nhập: tiến trình nhằm

phát hiện các xâm nhập vào bên trong hệ

thống

5

 Scanning ports and services

 Spoofing e.g DNS spoofing

 Network packet listening

 Stealing information

 Unauthorized network access

Xâm nhập – Hình thức

 Tác động không được ủy quyền đến tài

nguyên hệ thống:

 Falsification of identity

 Information altering and deletion

 Unauthorized transmission and creation of data

 Configuration changes to systems and n/w

Thu thập

thông tin

8

Giải pháp bảo mật truyền thống

Firewall

Password Protection

Antivirus

VPN Security

Không phát hiện ra các tấn công và ngăn chặn chúng

Vẫn bị can thiệp giữa đường truyền

Hệ thống IDS

 IDS (Intrusion Detection System) là hệ

thống giám sát lưu thông mạng (có thể là

một phần cứng hoặc phần mềm), có khả

năng nhận biết những hoạt động khả nghi

hay những hành động xâm nhập trái phép

trên hệ thống mạng trong tiến trình tấn

công (FootPrinting, Scanning, Sniffer…),

cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị

10

Các chức năng của IDS

- Các yếu khuyết của chính sách bảo mật

2 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ

- Ghi lại và lưu giữ log các sự kiện khả nghi xảy ra

- Báo cáo cho quản trị hệ thống

3 Ngăn chặn vi phạm chính sách bảo mật

11

Yêu cầu đối với IDS

và hoạt động tốt khi bị tấn công

5 Phải có khả năng xử lý trong trạng thái xấu nhất mà không

bỏ sót thông tin, trong các kiến trúc mạng lớn

1 Không xem những hành động

Ma trận trạng thái của IDS

Sự kiện khi một thông điệp thông

báo hệ thống phát hiện một hành

động xâm nhập thật sự

TRUE-POSITIVE FALSE-POSITIVE

FALSE-NEGATIVE TRUE-NEGATIVE

Ma trận tiêu chuẩn true-false của IDS

Sự kiện khi một thông điệp thông báo hệ thống phát hiện một hành động xâm nhập nhưng lại không phải là xâm nhập thật sự

Sự kiện khi hệ thống không

sinh ra thông điệp thông báo

và không có hành động xâm

nhập thật sự

Sự kiện khi hệ thống không sinh ra thông điệp thông báo trong khi có hành động xâm nhập thật sự đang diễn ra

13

• Thiết bị trung tâm thu nhận các thông

tin từ Sensor/Agent và quản lý chúng

• Lưu trữ thông tin từ Sensor/Agent, từ

Management Server

Console

• Giao diện quản trị cho IDS user/Admin

14

Tiến trình xử lý của IDS

15

Ví dụ IDS

16

Phương pháp nhận diện

so sánh các dấu hiệu của

đối tượng quan sát với các

dấu hiệu của các mối nguy

hại đã biết

so sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát nhằm xác định các độ lệch (threshold detection & statistical

measures)

so sánh các profile định trước của hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó

Detection, Anormaly-base Detection

và Stateful Protocol Analysis

17

Các mô hình hệ thống IDS

HIDS (Host-based Intrusion Detection System)

NIDS (Network-based Intrusion Detection System)

DIDS (Distributed Intrusion Detection System) Wireless IDS (WIDS)

NBAS (Network Behavior Analysis System) &

HoneyPot IDS

Hệ thống IDS có thể triển khai theo các mô hình sau (phụ thuộc vào qui

mô, phạm vi, tính chất của hệ thống, lớp mạng cần bảo vệ)

18

 Kiểm tra tính toàn vẹn

và truy cập trên hệ thống file

19

Mô hình IDS - HIDS

 Lợi thế

 Xác đinh user liên

quan tới một event

tin về host trong lúc

cuộc tấn công diễn ra

trên host này

 Không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

 Có thể không hiệu quả khi bị DOS

20

Mô hình IDS - NIDS

 Cài đặt và bảo trì đơn giản,

không ảnh hưởng tới mạng

 Tránh DoS ảnh hưởng tới

 Có thể phát sinh False positive

 Không thể phân tích các traffic đã được mã hóa

 Phải được cập nhật các signature mới nhất

 Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động

 Không cho biết việc attack có thành công hay không

 Giới hạn băng thông

 Có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động

ở mức cao

22

Các mô hình IDS

 DIDS (Distributed Intrusion Detection System)

23

Các mô hình IDS

 WIDS (Wireless Intrusion Detection

System)

24

Các mô hình IDS

 NBAS(Network Behavior Analysis

System): là một NIDS nhận diện các nguy cơ tạo

ra các luồng dữ liệu bất thường trong mạng

25

Các thành phần của Snort

 Packet Sniffer

 Preprocessor

27

Các thành phần của Snort

 Detection Engine

28

Các thành phần của Snort

 Logging và Alerting System

 Output Modules

29

Kiến trúc Snort

 Kiến trúc chung của Snort

30

WinIDS - Snort

32

Hệ thống IPS thực tế

33

Share & Success Together!

34