do đó Nmap sẽ biết được host nào đang up, host nào đang down. Nếu đây là một stateful firewall thì ACK Scan của Nmap sẽ không có tác dụng bởi vì stateful firewall khi nhận được một ACK packet, nó sẽ nhìn vào connection tracking table của nó để tìm một SYN packet cùng một cặp với ACK packet mà nó vừa nhận, và do tìm không thấy nên nó sẽ ngay lập tức drop cái packet. Lưu ý điều này, ta có thể sử dụng ACK Scan của Nmap để xác định một firewall là stateful firewall hay chỉ đơn giản là một static packet filter. Xem thêm manpage của nmap. -6-: Xem thêm http://www.hvaonline.net/forum/index.php?s ic=38514&st=20# -7-: Host IDS điển hình mà mọi người thường dùng là ZoneAlarm, bên *nix thì là Tripwire(?). Theo nhận xét của riêng tôi, Network IDS có thể làm Host IDS nhưng ngược lại thì không. Tác giả: mrro - HVAOnline IDS - IPS - IDP đôi điều cần biết Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố IPS - Intrusion Prevention System Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập: - Cung cấp khả năng điều khiển truy cập mạng - Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện) - Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng: + Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu). + Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng. Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống Tác giả: Five - Consultant avnol IPS đôi điều cần biết Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố IPS - Intrusion Prevention System Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập: - Cung cấp khả năng điều khiển truy cập mạng - Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện) - Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng: + Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu). + Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng. Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống Tác giả: Five - Consultant avnol Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS - IDS: phát hiện xâm nhập - IPS: phát hiện và ngăn chặn xâm nhập Được chia làm 2 loại chính: - HIDS (và cả IPS): triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy - NIDS: đặt tại những điểm quan trọng của hệ thống mạng, để phát hiện xâm nhập cho khu vực đó. Công việc chính của IDS/IPS: - Nếu hoạt động theo kiểu nhận dạng mẫu packet thì nó sẽ so trùng từng packet với những mẫu tấn công mà nó có, nếu trùng ==> là loại packet tấn công ==> cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. - Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch thế nào cho phải) thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). IPS đôi điều cần biết Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố IPS - Intrusion Prevention System Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập: - Cung cấp khả năng điều khiển truy cập mạng - Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện) - Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng: + Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu). + Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng. Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống Tác giả: Five - Consultant avnol Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS - IDS: phát hiện xâm nhập - IPS: phát hiện và ngăn chặn xâm nhập Được chia làm 2 loại chính: - HIDS (và cả IPS): triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy