Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 37 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
37
Dung lượng
801,39 KB
Nội dung
Chương IX Ố Á À HỆ TH Ố NG PH Á T HIỆN V À NGĂNCHẶN XÂM NHẬP NGĂN CHẶN XÂM NHẬP (IDS – Intrusion Detection System) Bối cảnh Theo Mạng An toàn thông tin VSEC (The VietNamese security network), 70% website tạiViệtNamcóthể bị h h hố hể bị hk kiể xâm n h ập, trên 80% h ệ t hố ng mạng có t hể bị h ac k er kiể m soát. Điềunàychothấy chính sách về bảomậtcủa các hệ thống thông tin của Việt Nam chưa được quan tâm và đầu thống thông tin của Việt Nam chưa được quan tâm và đầu tưđúng mức. Trong bốicảnh đó, việc phát triểnvàsử dụng các hệ thống phát hiệnxâmnhập - IDS ngày càng trở nên phổ biế biế n. Bối cảnh Nhiệmvụ của các IDS này là: T hu thậpdữ liệumạng P hân tích IDS T hu thập dữ liệu mạng P hân tích Internet Đánh giá Cảnh báo cho chuyên gia dấu hiệu tấn công Hệ thống phát hiệnxâmnhậpcó2hướng tiếpcậnchính là Tiếpcậndựa trên phát hiệnbấtthường và Tiếpcậndựa ê dấ hiệ tr ê n dấ u hiệ u Kỹ thuật phát hiện xâm nhập trái phép • Firewall là một hệ thống “ khóa ” chốt chặn ở cửa ngõ Firewall là một hệ thống khóa chốt chặn ở cửa ngõ mạng, thì hệ thống IDS có thểđược coi như các “cảm ứng giám sát” đượcdặtkhắpnơitrongmạng để cảnh báo về các cuộctấncôngđã“quamặt” đượcFirewallhoặc xuất phát từ bên trong mạng Một IDS ó hiệ hâ tí h á ói ti à Fi ll • Một IDS c ó n hiệ mvụ phâ n tí c h c á cg ói ti nm à Fi rewa ll cho phép đi qua, tìm kiếmcácdấuhiệutấn công từ các dấu hiệu đã biết hoặc thông qua việc phân tích các sự dấu hiệu đã biết hoặc thông qua việc phân tích các sự kiệnbấtthường, từđóngănchặncáccuộctấn công trước khi nó có th ể g â y ra nhữn g h ậ u q u ả x ấ uvớit ổ gy g ậ q chức. Các thành phần chính củamộthệ thống IDS Traffi c Alerts Console c Network Sensor Thành phầncủamộthệ thống IDS Engine Thành phần của một hệ thống IDS Các thành phần chính củamộthệ thống IDS • Cảm ứng (Sensor):Làbộ phận làm nhiệmvụ phát hiệncác kiệ ó khẳ ă đ d ih ủ hệ thố s ự kiệ nc ó khẳ n ă ng đ e d ọaann i n h c ủ a hệ thố ng mạng, Sensor có chứcnăng rà quét nội dung của các gói tin trên m ạ n g, so sánh n ộ i dun g với các mẫuvà p hát hi ệ n ra các dấu ạ g, ộ g p ệ hiệutấn công hay còn gọilàsự kiện. • Giao diện(Console):Làbộ phận làm nhiệmvụ tương tác với ời ả t ị hậ lệ h điề khiể h t độ bộ S ngư ời qu ả n t r ị ,n hậ n lệ n h điề u khiể n h oạ t độ ng bộ S ensor, Engine và đưaracảnh báo tấn công. • Bộ xử lý (Engine) : Có nhiệm vụ ghi lại tất cả các báo cáo về Bộ xử lý (Engine) : Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được phát hiệnbởi các Sensor trong mộtcơ sở dữ liệuvàsử dụng mộthệ thống các luật để đưa ra các cảnh báo ê á kiệ ih hậ đ h hệ hố h ặ h tr ê nc á cs ự kiệ nann i n h n hậ n đ ượcc h o hệ t hố ng h o ặ cc h o ngườiquảntrị. Phân loại ¾ Phâ l i d ê đối iá á ¾ Phâ n l oạ i d ựatr ê n đối tượng g iá ms á t Host- b ase d IDS ¾ hâ l i d ê hà h i Network-based IDS ¾ P hâ n l oạ i d ựatr ê n hà n h v i : Phát hiện xâm nhập dựa trên dấu hiệu Phát hiện xâm nhập dựa trên dấu hiệu Phát hiệnxâmnhậpdựa trên phát hiệnbấtthường Phân loại dựa trên đối tượng giám sát • Host-based IDS: ể ể ế HIDS ki ể mtr a lưu thông mạng đang được chuy ể n đ ế n máy trạm, bảovệ máy trạm thông qua việcngănchặn các gói tin nghi ngờ Có khả năng kiểm tra hoạt động các gói tin nghi ngờ . Có khả năng kiểm tra hoạt động đăng nhập vào máy trạm, tìm kiếmcáchoạt động kh ô n g b ình t h ườ n g nh ư dò t ìm passwo r d, l eo t h a n g ôg b t ườ g ư dò t passwo d, eo tag đặc quyền Hệ thống IDS có hiệu quả cao khi phát hiện việc Hệ thống IDS có hiệu quả cao khi phát hiện việc người dùng sử dụng sai các tài nguyên trên mạng. Nếungười dùng cố gắng thựchiện các hành vi không hợpphápthìhệ thống HIDS thông thường phát hiện và tậphợp thông tin thích hợpnhất và nhanh nhất. Phân loại dựa trên đối tượng giám sát • H os t -based IDS: ĐiểmyếucủaHIDSlàcồng kềnh Vị trí của HIDS Phân loại dựa trên đối tượng giám sát • Network-based IDS (NIDS): NIDS là mộtgiải pháp xác định các truy cập trái phép bằng cách kiểmtracácluồng thông tin trên mạng và giám át hiề á t NIDS t hậ à l ồ thô ti s át n hiề um áy t rạm, NIDS t ru y n hậ pv à o l u ồ n g thô n g ti n trên mạng bằng cách kếtnối vào các Hub, Switch để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các các gói tin, phân tích nội dung gói tin và từ đó sinh ra các cảnh báo. Trong hệ thống NIDS, các Sensor được đặt ở các điểm ầ ể ề c ầ nki ể mtratron g mạn g ,thườn g là trướcmi ề n DMZ() hoặc ở vùng biên củamạng, các Sensor bắttấtcả các gói tin lưu thông trên mạng và phân tích nội dung bên trong tin lưu thông trên mạng và phân tích nội dung bên trong củatừng gói để phát hiệncácdấuhiệutấncôngtrong m ạ n g . [...]... XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM Ậ NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort Các thành phần của Snort Bộ giải mã gói tin Bộ tiền xử lý Máy phát hiện Hệ thống ghi dấu và cảnh báo Module ấ M d l xuất XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM Ậ NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort Các chế độ hoạt động Sniffer mode Packet Logger mode Network instruction detect system Inline mode XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM Ậ NHẬP BẤT... giao thức quản trị mạng: là các thống kê về lưu thông mạng Các phương pháp phát hiện bất thường Xác suất thống kê ấ ố Máy trạng thái hữu hạn Phát hiện bất thường bằng mạng Nơ-ron Phát hiện bất thường bằng Hệ chuyên gia Phát hiện bất thường bằng kỹ thuật khai phá dữ liệu XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM Ậ NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort Tổng quan về Snort Snort là một hệ thống bảo mật bao gồm 3 chức... cố an ninh Xâm hậ ừ bên Xâ nhập từ bê ngoài: từ các máy tính khô đ ài ừ á á í h không được xác á minh Xâm nhập từ bên trong: Truy cập vào dl không được phân quyền Lạm quyền: Sử dụng sai quyền truy cập vào hệ thống HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN BẤT THƯỜNG IDS dựa trên phát hiện bất thường IDS dựa trên phát hiện bất thường Hoạt động của IDS dựa trên phát hiện bất thường Các kỹ thuật phát hiện bất thường... Tạo log TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Ậ IDS yêu cầu Firewall chặn cổng 80 trong 60s: HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN BẤT THƯỜNG Định nghĩa bất thường trong mạng Bất thường trong mạng là thuật ngữ dùng để chỉ tình trạng hoạt động của hệ thống mạng hoạt động ngoài trạng thái bình thường Bất thường do hỏng hóc: Lỗi của các thiết bị trong hệ thống, làm giảm hiệu năng của hệ thống ố ố Bất thường... công ạ g g Xâm nhập leo thang Tấn công giả dạng Thâm nhập vào hệ thống điều khiển Rò rỉ thông tin g Tấn công từ chối dịch vụ Mã độc hại Cách phát hiện p ệ Phát hiện bằng các profile bất thường hoặc sự vi phạm chính sách an ninh Phát hiện bằng các profile bất thường hoặc sự vi phạm các chính sách an ninh Phát hiệ bằ cách giám sát một số hà h vi đặ biệt hiện bằng á h iá át ột ố hành i đặc Phát hiện bằng... i ủ á hacker Ưu nhược điểm của phát hiện bất thường Là phương pháp tiên tiến, không cần sử dụng tập mẫu Có khả năng phát hiện các cuộc tấn công mới Các biến thể của bất thường được phát hiện Tỉ lệ False positive thường cao hơn phát hiện dấu hiệu Tỉ lệ False negative thấp hơn phát hiện dựa trên dấu hiệu Không bị overload dữ liệu nhờ các phương pháp mô hình hóa dữ liệu và thuật toán heuristic Cách nhận... CPU, số lượng một loại gói tin được gửi vượt quá mức ứ Các kỹ thuật phát hiện bất thường • Seft-learning Detection: Kỹ thuật dò này bao gồm hai bước, khi thiết lập hệ thống phát hiện tấn công, nó sẽ ế ố ấ chạy ở chế độ tự học và thiết lập một profile mạng với các h t độ bì h th ờ á hoạt động bình thường S thời gian khởi t Sau i tạo, hệ thống sẽ chạy ở chế độ sensor theo dõi các hoạt động bất thường của... dõi ở trong hay ngoài g g y g mạng Nguyên lý hoạt động • Phản ứng (Response): Trong một số hệ thống IDS tiên tiến hiện nay, sau khi các giai đoạn trên phát hiện được dấu hiệu tấn công, hệ thống không những cảnh báo cho ệu tấ cô g, ệ t ố g ô g ữ g cả c o người quản trị mà còn đưa ra các hành vi phòng vệ ngăn chặn hành vi tấn công đó Điều này giúp tăng cường khả năng tự vệ của Mạng, Các hành động mà... phải dừng lại tới khi cuộc tấn công kết thúc Các kỹ thuật phát hiện bất thường • Anomaly protocol detection: Kỹ thuật dò này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động g g g p g bất thường là dấu hiệu của sự xâm nhập, tấn công Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu thập thông tin... Inline mode XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM Ậ NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort Cấu trúc luật của Snort Rule header: Actions, Protocols, IPs, IPd, Subnet mask, mask Ports (IPs IPd) (IPs, IPd) Rule option: đặc tả về tình trạng trùng khớp của các gói ti và các cảnh bá ói tin à á ả h báo Ví dụ: log tcp any any -> any any (msg: "TCP Traffic Logged ;) > TCP Logged";) alert icmp any any -> any any (msg: "ICMP . công Hệ thống phát hiệnxâmnhậpcó2hướng tiếpcậnchính là Tiếpcậndựa trên phát hiệnbấtthường và Tiếpcậndựa ê dấ hiệ tr ê n dấ u hiệ u Kỹ thuật phát hiện xâm nhập trái phép • Firewall là một hệ thống “ khóa ” chốt chặn ở cửa ngõ Firewall là một hệ thống khóa chốt chặn ở cửa ngõ mạng,. Host- b ase d IDS ¾ hâ l i d ê hà h i Network-based IDS ¾ P hâ n l oạ i d ựatr ê n hà n h v i : Phát hiện xâm nhập dựa trên dấu hiệu Phát hiện xâm nhập dựa trên dấu hiệu Phát hiệnxâmnhậpdựa. Chương IX Ố Á À HỆ TH Ố NG PH Á T HIỆN V À NGĂNCHẶN XÂM NHẬP NGĂN CHẶN XÂM NHẬP (IDS – Intrusion Detection System) Bối cảnh Theo