Insert or Drag and Drop your Photo Tìm hiểu IDS/IPS GVHD: Mai Cường Thọ Lớp: 57MTT Danh sách nhóm Đinh Hữu Hoàng Nguyễn Thị Thu Cúc Các nội dung tìm hiểu Khái niệm IDS Chức IDS Thành phần cấu tạo hệ thống IDS Phân loại IDS Các vị trí đặt IDS Một số tiêu chí triển khai IDS Một số kiểu công vào hệ thống IDS cách phòng chống IDS Khái niệm IPS Chức IPS Phân loại IPS Lý cần triển khai IPS Ưu điểm, hạn chế hệ thống ngăn ngừa xâm nhập Thiết kế mơ hình mạng Một số tiêu chí triển khai IPS IPS Khái niệm IDS • IDS hệ thống phát dấu hiệu cơng xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn cơng • Khác với tường lửa, IDS khơng thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng Một điểm khác biệt khác hai liên quan đến bảo mật mạng, tường lửa theo dõi xâm nhập từ bên ngăn chặn chúng xảy ra, giới hạn truy nhập mạng để ngăn chặn xâm nhập không phát cơng từ bên mạng Bên cạnh IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống   Chức IDS Chức ban đầu IDS phát dấu xâm nhập, IDS tạo cảnh báo cơng cơng diễn chí sau cơng hồn tất Càng sau, nhiều kỹ thuật tích hợp vào IDS, giúp có khả dự đốn cơng (prediction) chí phản ứng lại cơng diễn (Active response) IDS Thành phần cấu tạo hệ thống IDS Sensor (bộ cảm nhận) Signature database Chặn bắt phân tích lưu lượng mạng nguồn thông tin khác để phát dấu hiệu xâm nhập (signature) Là sở liệu chứa dấu hiệu cơng phát phân tích Cơ chế làm việc signature database giống virus database chương trình antivirus, vậy, việc trì hệ thống IDS hiệu phải bao gồm việc cập nhật thường xuyên sở liệu Phân loại IDS the o phạm v i giám sát Phân loại IDS Phân loại IDS theo phạm vi giám sát Host-based IDS (HIDS)   Click Click icon icon to to add add picture picture Network-based IDS (NIDS) Là IDS giám sát tồn mạng Nguồn thơng tin chủ yếu NIDS gói liệu lưu thông mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa Là IDS giám sát hoạt động máy tính riêng biệt Do vậy, nguồn thơng tin chủ yếu HIDS lưu lượng liệu đến từ máy chủ có hệ thống liệu nhật ký hệ thống (system log) kiểm tra hệ thống (system audit) Phân loại IDS the o phạm v i giám sát Phân loại IDS Anomaly-based IDS  Phân loại IDS theo kỹ thuật thực Phát xâm nhập cách so sánh hành vi với hoạt động bình thường hệ thống để phát bất thường (anomaly) dấu hiệu xâm nhập Ví dụ, điều kiện bình thường, lưu lượng giao tiếp mạng server vào khỏang 25% băng thông cực đại giao tiếp Nếu thời điểm đó, lưu lượng đột ngột tăng lên đến 50% nữa, giả định server bị cơng DoS Để hoạt động xác, IDS loại phải thực trình “học”, tức giám sát hoạt động hệ thống điều kiện bình thường để ghi nhận thơng số hoạt động, sở để phát bất thường sau Click Click icon icon to to add add picture picture Signature-based IDS Signature-based IDS phát xâm nhập dựa dấu hiệu hành vi xâm nhập, thơng qua phân tích lưu lượng mạng nhật ký hệ thống Kỹ thuật đòi hỏi phải trì sở liệu dấu hiệu xâm nhập (signature database) sở liệu phải cập nhật thường xun có hình thức kỹ thuật xâm nhập Tùy vào mục đích cấu trúc mạng, đặt IDS vị trí khác để tận dụng tối đa khả hệ thống Đặt router firewall Khi đặt trường hợp này, IDS theo dõi tất lưu lượng Click icon to add picture chiều Khi triển khai theo cấu trúc IDS phải chịu áp lực lớn lượng, lại có khả giám sát toàn lưu lượng hệ thống mạng Vì vậy, trường hợp nên lựa chọn thiết bị IDS có khả chịu tải cao để nâng cao hiệu 9 Đặt miền DMZ Khi đặt trường hợp này, IDS theo dõi tất lưu lượng vào/ra miền DMZ 10 SNORT Cấu trúc Snort: • Mơ đun phát (Detection Engine): phần hệ thống phát xâm nhập dựa dấu hiệu, detection engine lấy kiểm tra kiệu theo luật Nếu luật khớp với liệu gói tin gửi tới hệ thống cảnh báo khơng bị bỏ qua hình sau: 18 SNORT Cấu trúc Snort: • Mơ đun log cảnh báo (Logging and Alerting System): chế log lưu trữ gói tin kích hoạt luật chế cảnh báo thơng báo phân tích bị thất bại 19 SNORT Cấu trúc Snort: • • Mơ đun kết xuất thơng tin(Output Modules) Mơ hình kiến trúc Snort: 20 IPS Khái niệm • IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập khơng mong muốn 21 Chức IPS Chức IPS xác định hoạt động nguy hại, lưu giữ các thơng tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự nhau. Điểm khác hệ thống IPS ngồi khả theo dõi, giám sát có chức ngăn chặn kịp thời hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS Phân loại IDS the o phạm v i giám sát Phân loại IPS Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention) • host Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion • Prevention) • • Khi triển khai IPS trước firewall bảo vệ tồn hệ thống bên kể Ngoài khả phát ngăn ngừa hoạt động thâm nhập, HIPS có khả phát Click Click icon icon to to add add picture picture Khi triển khai IPS sau firewall phòng tránh số kiểu cơng thông qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên • thay đổi tập tin cấu hình firewall, vùng DMZ Có thể giảm thiểu nguy bị cơng từ chối dịch vụ đồi với • Để ngăn chặn công, HIPS sử dụng công nghệ tương tự giải pháp antivirus Thường triển khai trước sau firewall firewall Thường triển khai với mục đích phát ngăn chặn kịp thời hoạt động thâm nhập Lý cần triển khai IPS Mỗi thành phần tham gia kiến trúc mạng có chức năng, điểm mạnh, điểm yếu khác Sử dụng, khai thác mục đích đem lại hiệu cao IPS thành phần quan trọng giải pháp bảo vệ hệ thống Khi triển khai giúp hệ thống: Theo dõi hoạt động bất thường hệ thống Xác định tác động đến hệ thống cách thức nào, hoạt động xâm nhập xảy vị trí cấu trúc mạng Tương tác với hệ thống firewall để ngăn chặn kip thời hoạt động thâm nhập hệ thống Ưu điểm, hạn chế hệ thống ngăn ngừa xâm nhập Ưu điểm  Cung cấp giải pháp bảo vệ toàn diện tài nguyên hệ thống  Ngăn chặn kịp thời công biết chưa biết Hạn chế Có thể gây tình trạng phát nhầm (faulse positives), không cho phép truy cập hợp lệ tới hệ thống Là module giải pháp UTM Thiết kế mơ hình mạng Đặt trước firewall Đặt firewall miền DMZ Một số tiêu chí triển khai IPS Xác định công nghệ IDS/IPS đã, Xác định thành phần IDS/IPS Thiết đặt cấu hình an tồn cho IDS/IPS Xác định vị Có chế trí hợp lý xây dựng, để đặt tổ chức, IDS/IPS quản lý hệ Hạn chế thấp tình cảnh báo nhầm (false positive) khơng cảnh báo có xâm nhập (false negative) Click icon to add picture Các hệ thống IPS triển khai hình thức Gateway để phát ngăn chặn cách hiệu công mạng, giảm thiểu thời gian chết mạng chi phí ảnh hưởng đến hiệu họat động mạng Các hệ thống triển khai vị trí nằm ngòai phạm vi kiểm sóat tường lửa, có khả phát cơng cách xác thơng qua phân tích lưu lượng mạng nhiều phương pháp, nhằm đến kết luận xác mục đích thật kết nối đến mạng Vì hiểu kết nối tin cậy không tin cậy Từ việc phân tích trên, hệ thống thực nhiều tác vụ ghi chép (tạo thành file nhật ký), cảnh báo, xóa kết nối khơng tin cậy từ người quản trị mạng có đáp ứng kịp thời với tình trạng bị cơng nguy hiểm có hành động hợp lý trường hợp Ngồi hệ thống IPS cung cấp cơng cụ phân tích điều tra, giúp cho người quản trị mạng hiểu diễn mạng đưa định sáng suốt, góp phần làm tăng hiệu giải pháp an ninh Click icon to add picture mạng Click icon to add picture  Nhiều hệ thống IPS có khả triển khai chế độ thụ động để thu nhận phân tích gói liệu cho phép quản trị mạng có thơng tin lưu lượng nguy tồn mạng  Tuy chúng chuyển sang chế độ dự phòng chế độ gateway người quản trị mạng cảm thấy hệ thống bị xâm nhập, cơng để phản ứng trước công, loại bỏ lưu lượng kết nối khả nghi để đảm bảo cơng khơng thể gây ảnh hưởng đến hệ thống   Hệ thống IPS thực tế THANK YOU! ...Danh sách nhóm Đinh Hữu Hồng Nguyễn Thị Thu Cúc Các nội dung tìm hiểu Khái niệm IDS Chức IDS Thành phần cấu tạo hệ thống IDS Phân loại IDS Các vị trí đặt IDS Một... • Khác với tường lửa, IDS không thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu cơng cảnh báo cho người quản trị mạng Một điểm khác biệt khác hai liên quan đến bảo... hướng chuyển dịch dần sang hệ thống IPS có khả phát ngăn chặn cách hiệu công mạng, đồng thời giảm thiểu thời gian chết chi phí ảnh hưởng đến hiệu hoạt động mạng • SNORT Snort hệ thống phát xâm nhập