- NIDS: đặt tại những điểm quan trọng của hệ thống mạng, để phát hiện xâm nhập cho khu vực đó. Công việc chính của IDS/IPS: - Nếu hoạt động theo kiểu nhận dạng mẫu packet thì nó sẽ so trùng từng packet với những mẫu tấn công mà nó có, nếu trùng ==> là loại packet tấn công ==> cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. - Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch thế nào cho phải) thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Nhân tiện nói về IDS, vậy ta làm một phép so sánh thử giữa IDS và IPS xem sao :) : - Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên ta có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. - IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó (Có thể tham khảo thêm các bài viết về DoS của tui ), vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS. - Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đên tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu Attacker giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ Block luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công. IPS đôi điều cần biết Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố IPS - Intrusion Prevention System Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập: - Cung cấp khả năng điều khiển truy cập mạng - Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện) - Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng: + Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu). + Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng. Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống Tác giả: Five - Consultant avnol Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS - IDS: phát hiện xâm nhập - IPS: phát hiện và ngăn chặn xâm nhập Được chia làm 2 loại chính: - HIDS (và cả IPS): triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy - NIDS: đặt tại những điểm quan trọng của hệ thống mạng, để phát hiện xâm nhập cho khu vực đó. Công việc chính của IDS/IPS: - Nếu hoạt động theo kiểu nhận dạng mẫu packet thì nó sẽ so trùng từng packet với những mẫu tấn công mà nó có, nếu trùng ==> là loại packet tấn công ==> cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. - Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch thế nào cho phải) thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Nhân tiện nói về IDS, vậy ta làm một phép so sánh thử giữa IDS và IPS xem sao :) : - Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên ta có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. - IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó (Có thể tham khảo thêm các bài viết về DoS của tui ), vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS. - Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đên tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu Attacker giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ Block luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công. Vấn đề IDS/IPS trong wireless Vấn đề bảo mật cho Wireless hiện nay đã được nói rất nhiều. Hiện tại hầu hết các mô hình đang ứng dụng công nghệ WEP. Một giải pháp được đưa ra mới hơn đó là giải pháp Radius. - Giải pháp WEP được đưa ra để có thể khống chế các truy cập không được phép do đòi hỏi các user muốn đăng nhập phải cung cấp Key cho AP nhằm xác thực việc truy cập của User. Độ dài của Key là do bạn quy định 64 bit, 128 bit. Việc Crack WEP tương đối khó. Bạn có thể tham khảo thêm các bài viết trên diễn đàn tại BOX Wireless. Nhưng WEP lại gặp một khó khăn đó là nếu có một người trong công ty bạn nắm được Key, nếu người đó tiết lộ ra ngoài sẽ gây ảnh hưởng đến vấn đề truy cập của hệ thống.TUy cung cấp đến 4 key để truy cập, tuy nhiên tại mỗi thời điểm, bạn chỉ có thể sử dụng 1 Key duy nhất cho mạng mà thôi. Một cách cũng được sử dụng để khống chế vấn đề truy cập mạng Wireless đó là sử dụng Access Control List trên chính AP. - Đối với Radius, mỗi máy sẽ được cấp 1 Key và công nghệ này đang được ứng dụng để triển khai các mạng Wireless lớn. Radius hiện nay đã hỗ trợ trên các thiết bị mới và đang được đặt rất nhiều hy vọng. Bạn có thể thao khảo qua mô hình bên dưới. Việc triển khai Radius có thể giúp cho các ISP thực hiện việc tính cước khi các máy tham gia truy cập. Chẳng hạn như bán thẻ trả trước như các thẻ VNN hiện nay.