Giới thiệu Hệ thống tự động phát xâm nhap -Hệ thống phòng chống thâm nhập IPS kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn công nhằm vào điểm yếu hệ thống 1.Đặt vấn đề Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu qủa Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm soát luồng thông tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Hệ thống phòng chống thâm nhập IPS kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn công Nguyên lý hoạt động hệ thống IPS có hai chức nǎng phát công chống lại công Phần lớn hệ thống IPS đặt vành đai mạng, đủ khả nǎng bảo vệ tất thiết bị mạng 2.1 Kiến trúc chung hệ thống IPS Một hệ thống IPS xem thành công chúng hội tụ yếu tố: thực nhanh, xác, đưa thông báo hợp lý, phân tích toàn thông lượng, cảm biến tối đa, ngǎn chặn thành công sách quản lý mềm dẻo Hệ thống IPS gồm modul chính: modul phân tích luồng liệu, modul phát công, modul phản ứng a) Module phân tích luồng liệu: Modul có nhiệm vụ lấy tất gói tin đến mạng để phân tích Thông thường gói tin có địa card mạng bị card mạng huỷ bỏ card mạng IPS đặt chế độ thu nhận tất Tất gói tin qua chúng chụp, xử lý, phân tích đến trường thông tin Bộ phân tích đọc thông tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ Các thông tin chuyển đến modul phát công b) Modul phát công: Đây modul quan trọng hệ thống có nhiệm vụ phát công Có hai phương pháp để phát công, xâm nhập dò lạm dụng dò không bình thường Phương pháp dò lạm dụng: Phương pháp phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu công biết trước Các mẫu công biết trước gọi dấu hiệu công Do phương pháp gọi phương pháp dò dấu hiệu Kiểu phát công có ưu điểm phát công nhanh xác, không đưa cảnh báo sai làm giảm khả nǎng hoạt động mạng giúp người quản trị xác định lỗ hổng bảo mật hệ thống Tuy nhiên, phương pháp có nhược điểm không phát công sở liệu, kiểu công mới, hệ thống phải cập nhật mẫu công Phương pháp dò không bình thường: Đây kỹ thuật dò thông minh, nhận dạng hành động không bình thường mạng Quan niệm phương pháp công khác so với hoạt động thông thường Ban đầu, chúng lưu trữ mô tả sơ lược hoạt động bình thường hệ thống Các công có hành động khác so với bình thường phương pháp dò nhận dạng Có số kỹ thuật giúp thực dò không bình thường công đây: - Phát mức ngưỡng: Kỹ thuật nhấn mạnh việc đo đếm hoạt động bình thường mạng Các mức ngưỡng hoạt động bình thường đặt Nếu có bất thường đǎng nhập với số lần quy định, số lượng tiến trình hoạt động CPU, số lượng loại gói tin gửi vượt mức hệ thống có dấu hiệu bị công - Phát nhờ trình tự học: Kỹ thuật bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát công chạy chế độ tự học tạo hồ sơ cách cư xử mạng với hoạt động bình thường Sau thời gian khởi tạo, hệ thống chạy chế độ làm việc, tiến hành theo dõi, phát hoạt động bất thường mạng cách so sánh với hồ sơ thiết lập Chế độ tự học chạy song song với chế độ làm việc để cập nhật hồ sơ dò có tín hiệu công chế độ tự học phải dừng lại công kết thúc - Phát không bình thường giao thức: Kỹ thuật cǎn vào hoạt động giao thức, dịch vụ hệ thống để tìm gói tin không hợp lệ, hoạt động bất thường vốn dấu hiệu xâm nhập, công Kỹ thuật hiệu việc ngǎn chặn hình thức quét mạng, quét cổng để thu thập thông tin tin tặc Phương pháp dò không bình thường hệ thống hữu hiệu việc phát công kiểu từ chối dịch vụ Ưu điểm phương pháp phát kiểu công mới, cung cấp thông tin hữu ích bổ sung cho phương pháp dò lạm dụng, nhiên chúng có nhược điểm thường tạo số lượng cảnh báo sai làm giảm hiệu suất hoạt động mạng Phương pháp hướng nghiên cứu nhiều hơn, khắc phục nhược điểm gặp, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác c) Modul phản ứng Khi có dấu hiệu công thâm nhập, modul phát công gửi tín hiệu báo hiệu có công thâm nhập đến modul phản ứng Lúc modul phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị Tại modul này, đưa cảnh báo tới người quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Modul phản ứng tùy theo hệ thống mà có chức nǎng phương pháp ngǎn chặn khác Dưới số kỹ thuật ngǎn chặn: - Kết thúc tiến trình: Cơ chế kỹ thuật hệ thống IPS gửi gói tin nhằm phá huỷ tiến trình bị nghi ngờ Tuy nhiên phương pháp có số nhược điểm Thời gian gửi gói tin can thiệp chậm so với thời điểm tin tặc bắt đầu công, dẫn đến tình trạng công xong bắt đầu can thiệp Phương pháp không hiệu với giao thức hoạt động UDP DNS, gói tin can thiệp phải có trường thứ tự gói tin phiên làm việc tiến trình công Nếu tiến trình công xảy nhanh khó thực phương pháp - Huỷ bỏ công: Kỹ thuật dùng tường lửa để hủy bỏ gói tin chặn đường gói tin đơn, phiên làm việc luồng thông tin công Kiểu phản ứng an toàn lại có nhược điểm dễ nhầm với gói tin hợp lệ - Thay đổi sách tường lửa: Kỹ thuật cho phép người quản trị cấu hình lại sách bảo mật công xảy Sự cấu hình lại tạm thời thay đổi sách điều khiển truy nhập người dùng đặc biệt cảnh báo tới người quản trị - Cảnh báo thời gian thực: Gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng - Ghi lại vào tệp tin: Các liệu gói tin lưu trữ hệ thống tệp tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho modul phát công hoạt động 2.2 Các kiểu hệ thống IPS Có hai kiểu kiến trúc IPS IPS luồng IPS luồng a) IPS luồng Hệ thống IPS luồng không can thiệp trực tiếp vào luồng liệu Luồng liệu vào hệ thống mạng qua tường lửa IPS IPS kiểm soát luồng liệu vào, phân tích phát dấu hiệu xâm nhập, công Với vị trí này, IPS quản lý tường lửa, dẫn chặn lại hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông mạng b) IPS luồng Vị trí IPS nằm trước tường lửa, luồng liệu phải qua IPS trước tới tường lửa Điểm khác so với IPS luồng có thêm chức nǎng chặn lưu thông Điều làm cho IPS ngǎn chặn luồng giao thông nguy hiểm nhanh so với IPS luồng Tuy nhiên, vị trí làm cho tốc độ luồng thông tin vào mạng chậm Kết luận Với tính nǎng ưu việt mình, IPS dần chiếm lĩnh quan tâm hàng đầu công ty, nhà cung cấp dịch lĩnh vực an ninh mạng máy tính Các sản phẩm IPS nghiên cứu, phát triển phần cứng lẫn phần mềm IPS dần hoàn thiện triển khai phổ biến thay hệ thống bảo mật tường lửa tuý ... modul quan trọng hệ thống có nhiệm vụ phát công Có hai phương pháp để phát công, xâm nhập dò lạm dụng dò không bình thường Phương pháp dò lạm dụng: Phương pháp phân tích hoạt động hệ thống, tìm kiếm... vượt mức hệ thống có dấu hiệu bị công - Phát nhờ trình tự học: Kỹ thuật bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát công chạy chế độ tự học tạo hồ sơ cách cư xử mạng với hoạt động bình... lại hệ thống gọi hệ thống phòng thủ bị động Modul phản ứng tùy theo hệ thống mà có chức nǎng phương pháp ngǎn chặn khác Dưới số kỹ thuật ngǎn chặn: - Kết thúc tiến trình: Cơ chế kỹ thuật hệ thống