Tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS

Chương 1:Giới thiệu về IDSIPS 1.1. Khái niệm Một hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS (Intrusion Detection System Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. Thực chất thì ta có thể hiểu về IDSIPS một cách đơn giản là một hệ thống bao gồm chứa đựng cả hai công nghệ IDS và IPS. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDSIPS có thể được gọi chung là IDP Intrusion Detection and Prevention (IPSIDS). Về đặc điểm, kiến trúc, phân loại IDS, IPS sẽ được nhóm trình bày ở mục sau. 1.2. Hoạt động Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDSIPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Chương 2: Hệ thống phát hiện xâm nhập 2.1. Giới thiệu Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới. Vì nó đã được áp dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực an toàn thông tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con. Nguyên lý hoạt động rất đơn giản, hệ thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập. Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong muốn. Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Ta biết rằng, giống như trong thế giới thực tường lửa được dựng lên giống như con người xây tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có thể biết hết các phương pháp mà kẻ trộm có thể tấn công được. Vì vậy ngoài hệ thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thể triển khai các hệ thống cảnh báo như chuông báo động, camera quan sát, hệ thống cảnh báo... Tương tự như vậy trong hệ thống mạng, không ai có thể chắc chắn rằng các phần cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn công cũng như biết được hết các phương pháp của attacker. Chính vì vậy mà cần xây dựng một hệ thống phát hiện xâm nhậpIDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời (Monitor and Logging). 2.2. Định nghĩa IDS (Intrusion Detection System hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng ,… IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.  Chức năng quan trọng nhất : giám sát cảnh báo bảo vệ Giám sát : lưu lượng mạng + các hoạt động khả nghi. Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.  Chức năng mở rộng : Phân biệt : thù trong giặc ngoài. Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.

Học Viện Kỹ Thuật Mật Mã Khoa An Toàn Thông Tin

Đề Tài Tìm Hiểu Hệ Thống Phát Hiện Và Ngăn Chặn Xâm

Nhập IDS/IPS Nhóm Thực Hiện: Đỗ Anh Thăng

Lê Quang Long

Lê Thị Linh Nguyễn Thị Nga

Nội Dung

Giới Thiệu Về IDS/IPS

Hệ Thống Phát Hiện Xâm Nhập

Phân Loại IDS/IPS

So Sánh IDS/IPS

Giới Thiệu Về IDS/IPS

Một hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS

(Intrusion Detection System /Intrusion Prevention System)

được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh

Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn

Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS

theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại

Hệ Thống Phát Hiện Xâm Nhập IDS

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một

thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị

Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ

 Giám sát : lưu lượng mạng + các hoạt động khả nghi.

 Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.

 Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà

có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

 Chức năng mở rộng :

 Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ

vào sự so sánh thông lượng mạng hiện tại với baseline

Hệ Thống Phát Hiện Xâm Nhập IDS

Có 2 loại IDS là Network Based IDS (NIDS) và Host

Based IDS (HIDS)

Hệ Thống Phát Hiện Xâm Nhập IDS

 Các kỹ thuật xử lý dữ liệu

 Hệ thống Expert

 Phân tích dấu hiệu

 Phương pháp Colored Petri Nets

 Phân tích trạng thái phiên

 Phương pháp phân tích thống kê

 Neural Networks

 Phân biệt ý định người dùng

 Computer immunology Analogies

 Machine learning

 Việc tối thiểu hóa dữ liệu

NIDS-Network Based IDS

HIDS-Host Based IDS

Hệ Thống Ngăn Chặn Xâm Nhập IPS

IPS (Intrusion Prevention System - Hệ thống ngăn chặn

xâm nhập) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập -

IDS, có khả năng phát hiện sự xâm nhập, các cuộc tấn công

và tự động ngăn chặn các cuộc tấn công đó

IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở

vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng

Kiến Trúc Hệ Thống IPS

 Module phân tích luồng dữ liệu

 Modul phát hiện tấn công

 Modul phản ứng

 IPS ngoài luồng

 IPS trong luồng

So Sánh IDS/IPS

có dấu hiệu tấn công mà còn giảm thiểu khả năng xác định sai lưu lượng

Việc đáp ứng lại với các cuộc tấn

công chỉ có thể xuất hiện sau khi

các gói tin của kẻ tấn công đã tới

đích

Phát hiện ngay từ đầu dấu hiệu cuộc tấn công và sau đó khóa ngay các lưu lượng mạng này