Đang tải... (xem toàn văn)
Bài giảng An toàn thông tin: Chương 7 Tường lửa và IDS/IPS, được biên soạn gồm các nội dung chính sau: Topo mạng với tường lửa; Lọc gói tin (Packet Filtering); Cổng ứng dụng (Application-level gateway); Lọc có trạng thái (Stateful firewall). Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN TỒN THƠNG TIN Chương 7: Tường lửa IDS/IPS Số tín chỉ: Số tiết: 30 tiết (Lý Thuyết) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn Tường lửa • Giới thiệu: • Tất gói tin từ từ ngồi vào phải qua tường lửa • Chỉ gói tin hợp lệ phép qua tường lửa (xác định sách an ninh – cụ thể hóa luật) • Bản thân tường lửa phải miễn dịch với loại cơng • Tường lửa ngăn chặn nhiều hình thức cơng mạng, IP spoofing Tường lửa • Topo mạng với tường lửa: Tường lửa • Topo mạng với tường lửa: Tường lửa bảo vệ máy chủ dịch vụ Tường lửa • Topo mạng với tường lửa: Hệ thống tường lửa bảo vệ máy chủ dịch vụ máy trạm Tường lửa • Các loại tường lửa: • Lọc gói tin (Packet-Filtering): • Áp dụng tập luật cho gói tin đi/đến để định chuyển tiếp hay loại bỏ gói tin • Các tường lửa dạng thường lọc gói tin lớp IP • Các cổng ứng dụng (Application-level gateway): • Cịn gọi proxy server, thường dùng để phát lại (relay) traffic mức ứng dụng • Tường lửa ứng dụng web (WAF – Web Application Firewall) dạng cổng ứng dụng sử dụng rộng rãi • Cổng chuyển mạch (Circuit-level gateway): • Hoạt động tương tự chuyển mạch Tường lửa • Lọc gói tin (Packet Filtering): Tường lửa • Cổng ứng dụng (Application-level gateway): Tường lửa • Cổng chuyển mạch (Circuit-level gateway): Tường lửa • Lọc có trạng thái (Stateful firewall): • Có khả lưu trạng thái kết nối mạng qua nó; • Nó lập trình để phân biệt gói tin thuộc kết nối mạng khác nhau; • Chỉ gói tin thuộc kết nối mạng hoạt động qua tường lửa, cịn gói tin khác (khơng thuộc kết nối hoạt động) bị chặn lại IDS/IPS • So sánh IDS/IPS: Giống: Về IPS IDS giống chức giám sát Khác: • IPS thường đặt đường truyền thơng chủ động ngăn chặn cơng/xâm nhập bị phát hiện; • IDS thường kết nối vào định tuyến, switch, card mạng chủ yếu làm nhiệm vụ giám sát/cảnh báo, khơng có khả chủ động ngăn chặn công, xâm nhập IDS/IPS IDS/IPS • Phân loại: ❑ Theo nguồn liệu: • Hệ thống phát xâm nhập mạng (NIDS – Network-based IDS): phân tích lưu lượng mạng để phát công, xâm nhập cho mạng phần mạng • Hệ thống phát xâm nhập cho host (HIDS – Host-based IDS): phân tích kiện xảy hệ thống/dịch vụ để phát công, xâm nhập cho hệ thống IDS/IPS • Phân loại: ❑ Theo kỹ thuật phân tích: • Phát xâm nhập dựa chữ ký phát lạm dụng (Signature-based / misuse instrusion detection); • Phát xâm nhập dựa bất thường (Anomaly instrusion detection) IDS/IPS • NIDS HIDS IDS/IPS • SNORT IDS/IPS • HIDS - OSSEC IDS/IPS • Phát xâm nhập dựa chữ ký Xây dựng sở liệu chữ ký/dấu hiệu loại công, xâm nhập biết; • Hầu hết chữ ký/dấu hiệu nhận dạng mã hóa thủ cơng; • Dạng biểu diễn thường gặp luật (rule) phát • Giám sát sát hành vi hệ thống, cảnh báo phát chữ ký công, xâm nhập IDS/IPS • Phát xâm nhập dựa chữ ký ❑ Ưu điểm: • Có khả phát công, xâm nhập biết cách hiệu quả; • Tốc độ cao, yêu cầu tài ngun tính tốn tương đối thấp ❑ Nhược điểm: • Khơng có khả phát cơng, xâm nhập mới, chữ ký chúng chưa có sở liệu chữ ký; • Địi hỏi nhiều công sức xây dựng cập nhật sở liệu chữ ký/dấu hiệu công, xâm nhập IDS/IPS • Phát xâm nhập dựa bất thường ❑ Phương pháp dựa giả thiết: Các hành vi xâm nhập thường có quan hệ chặt chẽ với hành vi bất thường ❑ Quá trình xây dựng triển khai gồm giai đoạn: • Xây dựng hồ sơ (profile) đối tượng chế độ làm việc bình thường Cần giám sát đối tượng điều kiện bình thường khoảng thời gian đủ dài để thu thập liệu huấn luyện • Giám sát hành vi hệ thống cảnh báo có khác biệt rõ nét hành vi hồ sơ đối tượng IDS/IPS • Phát xâm nhập dựa bất thường Ví dụ: Tình trạng bình thường (Log(P) lớn) bất thường (Log(P) nhỏ) IDS/IPS • Phát xâm nhập dựa bất thường HMM-Based Anomaly Detection IDS/IPS • Phát xâm nhập dựa bất thường ❑ Ưu điểm: • Có tiềm phát loại xâm nhập mà không yêu cầu biết trước thông tin chúng ❑ Nhược điểm: • Tỷ lệ cảnh báo sai tương đối cao so với phương pháp dựa chữ ký; • Tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng phân tích hành vi IDS/IPS • Phát xâm nhập dựa bất thường ❑ Các phương pháp xử lý, phân tích liệu mơ hình hóa phát xâm nhập dựa bất thường: • Thống kê (statistics) • Học máy (machine learning): HMM, máy trạng thái (state-based) • Khai phá liệu (data mining) • Mạng nơ ron (neural networks) Cám ơn ! ... (Circuit-level gateway): • Hoạt động tương tự chuyển mạch Tường lửa • Lọc gói tin (Packet Filtering): Tường lửa • Cổng ứng dụng (Application-level gateway): Tường lửa • Cổng chuyển mạch (Circuit-level... chuyển chương trình file bị nhiễm virus phần mềm độc hại IDS/IPS • Các hệ thống phát hiện/ngăn chặn công, xâm nhập (IDS/IPS) thường sử dụng lớp phòng vệ quan trọng lớp giải pháp đảm bảo an tồn... lạm dụng (Signature-based / misuse instrusion detection); • Phát xâm nhập dựa bất thường (Anomaly instrusion detection) IDS/IPS • NIDS HIDS IDS/IPS • SNORT IDS/IPS • HIDS - OSSEC IDS/IPS • Phát