Chương 1:Giới thiệu về IDSIPS 1.1. Khái niệm Một hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS (Intrusion Detection System Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. Thực chất thì ta có thể hiểu về IDSIPS một cách đơn giản là một hệ thống bao gồm chứa đựng cả hai công nghệ IDS và IPS. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDSIPS có thể được gọi chung là IDP Intrusion Detection and Prevention (IPSIDS). Về đặc điểm, kiến trúc, phân loại IDS, IPS sẽ được nhóm trình bày ở mục sau. 1.2. Hoạt động Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDSIPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Chương 2: Hệ thống phát hiện xâm nhập 2.1. Giới thiệu Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới. Vì nó đã được áp dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực an toàn thông tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con. Nguyên lý hoạt động rất đơn giản, hệ thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập. Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong muốn. Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Ta biết rằng, giống như trong thế giới thực tường lửa được dựng lên giống như con người xây tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có thể biết hết các phương pháp mà kẻ trộm có thể tấn công được. Vì vậy ngoài hệ thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thể triển khai các hệ thống cảnh báo như chuông báo động, camera quan sát, hệ thống cảnh báo... Tương tự như vậy trong hệ thống mạng, không ai có thể chắc chắn rằng các phần cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn công cũng như biết được hết các phương pháp của attacker. Chính vì vậy mà cần xây dựng một hệ thống phát hiện xâm nhậpIDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời (Monitor and Logging). 2.2. Định nghĩa IDS (Intrusion Detection System hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng ,… IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Chức năng quan trọng nhất : giám sát cảnh báo bảo vệ Giám sát : lưu lượng mạng + các hoạt động khả nghi. Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. Chức năng mở rộng : Phân biệt : thù trong giặc ngoài. Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.
Trang 1Học Viện Kỹ Thuật Mật Mã Khoa An Toàn Thông Tin
Đề Tài Tìm Hiểu Hệ Thống Phát Hiện Và Ngăn Chặn Xâm
Nhập IDS/IPS Nhóm Thực Hiện: Đỗ Anh Thăng
Lê Quang Long
Lê Thị Linh Nguyễn Thị Nga
Trang 2Nội Dung
Giới Thiệu Về IDS/IPS
Hệ Thống Phát Hiện Xâm Nhập
Phân Loại IDS/IPS
So Sánh IDS/IPS
Trang 3Giới Thiệu Về IDS/IPS
Một hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS
(Intrusion Detection System /Intrusion Prevention System)
được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh
Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn
Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS
theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại
Trang 4Hệ Thống Phát Hiện Xâm Nhập IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một
thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát : lưu lượng mạng + các hoạt động khả nghi.
Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Chức năng mở rộng :
Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lượng mạng hiện tại với baseline
Trang 5Hệ Thống Phát Hiện Xâm Nhập IDS
Có 2 loại IDS là Network Based IDS (NIDS) và Host
Based IDS (HIDS)
Trang 6Hệ Thống Phát Hiện Xâm Nhập IDS
Các kỹ thuật xử lý dữ liệu
Hệ thống Expert
Phân tích dấu hiệu
Phương pháp Colored Petri Nets
Phân tích trạng thái phiên
Phương pháp phân tích thống kê
Neural Networks
Phân biệt ý định người dùng
Computer immunology Analogies
Machine learning
Việc tối thiểu hóa dữ liệu
Trang 7NIDS-Network Based IDS
Trang 8HIDS-Host Based IDS
Trang 9Hệ Thống Ngăn Chặn Xâm Nhập IPS
IPS (Intrusion Prevention System - Hệ thống ngăn chặn
xâm nhập) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập -
IDS, có khả năng phát hiện sự xâm nhập, các cuộc tấn công
và tự động ngăn chặn các cuộc tấn công đó
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở
vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng
Trang 10Kiến Trúc Hệ Thống IPS
Module phân tích luồng dữ liệu
Modul phát hiện tấn công
Modul phản ứng
Trang 11 IPS ngoài luồng
Trang 12 IPS trong luồng
Trang 13So Sánh IDS/IPS
có dấu hiệu tấn công mà còn giảm thiểu khả năng xác định sai lưu lượng
Việc đáp ứng lại với các cuộc tấn
công chỉ có thể xuất hiện sau khi
các gói tin của kẻ tấn công đã tới
đích
Phát hiện ngay từ đầu dấu hiệu cuộc tấn công và sau đó khóa ngay các lưu lượng mạng này