Giới thiệu 1. Tường lửa ❖ Tất cả các gói tin từ trong ra và từ ngoài vào đều phải đi qua tường lửa. ❖ Chỉ các gói tin hợp lệ được phép đi qua tường lửa (xác định bởi chính sách an ninh – cụ thể hóa bằng các luật). ❖ Bản thân tường lửa phải miễn dịch với các loại tấn công. ❖ Tường lửa có thể ngăn chặn nhiều hình thức tấn công mạng, như IP spoofing
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Chương VII Tường lửa IDS / IPS Tường lửa IDS( Intrusion Detection System) IPS(Intrusion Prevention System) Tường lửa Giới thiệu ❖ Tất gói tin từ từ ngồi vào phải qua tường lửa ❖ Chỉ gói tin hợp lệ phép qua tường lửa (xác định sách an ninh – cụ thể hóa luật) ❖ Bản thân tường lửa phải miễn dịch với loại cơng ❖ Tường lửa ngăn chặn nhiều hình thức cơng mạng, IP spoofing Tường lửa Topo mạng với tường lửa Tường lửa Topo mạng với tường lửa Tường lửa bảo vệ máy chủ dịch vụ Tường lửa Topo mạng với tường lửa Hệ thống tường lửa bảo vệ máy chủ dịch vụ máy trạm Tường lửa Các loại tường lửa ❖Lọc gói tin (Packet-Filtering): ▪ Áp dụng tập luật cho gói tin đi/đến để định chuyển tiếp hay loại bỏ gói tin ▪ Các tường lửa dạng thường lọc gói tin lớp IP ❖Các cổng ứng dụng (Application-level gateway): ▪ Còn gọi proxy server, thường dùng để phát lại (relay) traffic mức ứng dụng ▪ Tường lửa ứng dụng web (WAF – Web Application Firewall) dạng cổng ứng dụng sử dụng rộng rãi ❖Cổng chuyển mạch (Circuit-level gateway): ▪ Hoạt động tương tự chuyển mạch Tường lửa Lọc gói tin (Packet-Filtering): Tường lửa Cổng ứng dụng (Application-level gateway): Tường lửa Cổng chuyển mạch (Circuit-level gateway): IDS / IPS ❖So sánh IDS/IPS: ▪ Giống: Về IPS IDS giống chức giám sát ▪ Khác: • IPS thường đặt đường truyền thông chủ động ngăn chặn cơng/xâm nhập bị phát hiện; • IDS thường kết nối vào định tuyến, switch, card mạng chủ yếu làm nhiệm vụ giám sát/cảnh bảo, khơng có khả chủ động ngăn chặn công, xâm nhập IDS / IPS IDS / IPS Phân loại ❖ Theo nguồn liệu: ❖Theo kỹ thuật phân tích: ▪ Hệ thống phát xâm nhập mạng ▪ Phát xâm nhập dựa chữ ký phát (NIDS – Network-based IDS): phân tích lạm dụng (Signature-based / misuse lưu lượng mạng để phát công, instrusion detection); xâm nhập cho mạng phần ▪ Phát xâm nhập dựa bất thường mạng (Anomaly instrusion detection) ▪ Hệ thống phát xâm nhập cho host (HIDS – Host-based IDS): phân tích kiện xảy hệ thống/dịch vụ để phát cơng, xâm nhập cho hệ thống IDS / IPS NIDS HIDS IDS / IPS SNORT IDS / IPS HIDS - OSSEC IDS / IPS Phát xâm nhập dựa chữ ký ❖Xây dựng sở liệu chữ ký/dấu hiệu loại công, xâm nhập biết; ▪ Hầu hết chữ ký/dấu hiệu nhận dạng mã hóa thủ cơng; ▪ Dạng biểu diễn thường gặp luật (rule) phát ❖Giám sát sát hành vi hệ thống, cảnh báo phát chữ ký công, xâm nhập IDS / IPS Phát xâm nhập dựa chữ ký ❖Ưu điểm: ▪ Có khả phát công, xâm nhập biết cách hiệu quả; ▪ Tốc độ cao, u cầu tài ngun tính tốn tương đối thấp ❖Nhược điểm: ▪ Khơng có khả phát công, xâm nhập mới, chữ ký chúng chưa có sở liệu chữ ký; ▪ Địi hỏi nhiều cơng sức xây dựng cập nhật sở liệu chữ ký/dấu hiệu công, xâm nhập IDS / IPS Phát xâm nhập dựa bất thường ❖Phương pháp dựa giả thiết: hành vi xâm nhập thường có quan hệ chặt chẽ với hành vi bất thường ❖Quá trình xây dựng triển khai gồm giai đoạn: ▪Xây dựng hồ sơ (profile) đối tượng chế độ làm việc bình thường • Cần giám sát đối tượng điều kiện bình thường khoảng thời gian đủ dài để thu thập liệu huấn luyện ▪Giám sát hành vi hệ thống cảnh báo có khác biệt rõ nét hành vi hồ sơ đối tượng IDS / IPS Phát xâm nhập dựa bất thường Ví dụ: Tình trạng bình thường (Log(P) lớn) bất thường (Log(P) nhỏ) IDS / IPS Phát xâm nhập dựa bất thường HMM-Based Anomaly Detection IDS / IPS Phát xâm nhập dựa bất thường ❖Ưu điểm: ▪ Có tiềm phát loại xâm nhập mà không yêu cầu biết trước thông tin chúng ❖Nhược điểm: ▪ Tỷ lệ cảnh báo sai tương đối cao so với phương pháp dựa chữ ký; ▪ Tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng phân tích hành vi IDS / IPS Phát xâm nhập dựa bất thường ❖Các phương pháp xử lý, phân tích liệu mơ hình hố phát xâm nhập dựa bất thường: ▪ Thống kê (statistics) ▪ Học máy (machine learning): HMM, máy trạng thái (state-based) ▪ Khai phá liệu (data mining) ▪ Mạng nơ ron (neural networks) TÓM TẮT CHƯƠNG Tường lửa IDS / IPS 31 Thanks ... Tường lửa Topo mạng với tường lửa Tường lửa bảo vệ máy chủ dịch vụ Tường lửa Topo mạng với tường lửa Hệ thống tường lửa bảo vệ máy chủ dịch vụ máy trạm Tường lửa Các loại tường lửa ❖Lọc gói tin. .. Tường lửa IDS / IPS Tường lửa IDS( Intrusion Detection System) IPS(Intrusion Prevention System) Tường lửa Giới thiệu ❖ Tất gói tin từ từ vào phải qua tường lửa ❖ Chỉ gói tin hợp lệ phép qua tường. .. tường lửa (xác định sách an ninh – cụ thể hóa luật) ❖ Bản thân tường lửa phải miễn dịch với loại cơng ❖ Tường lửa ngăn chặn nhiều hình thức cơng mạng, IP spoofing Tường lửa Topo mạng với tường lửa