Tìm hiểu IDS/IPS GVHD: Mai Cường Thọ Lớp: 57MTT Danh sách nhóm Đinh Hữu Hồng Nguyễn Thị Thu Cúc Các nội dung tìm hiểu Khái niệm IDS Chức IDS Thành phần cấu tạo hệ thống IDS Phân loại IDS Các vị trí đặt IDS Một số tiêu chí triển khai IDS Một số kiểu cơng vào hệ thống IDS cách phòng chống IDS Khái niệm IPS Chức IPS Phân loại IPS Lý cần triển khai IPS Ưu điểm, hạn chế hệ thống ngăn ngừa xâm nhập Thiết kế mô hình mạng Một số tiêu chí triển khai IPS IPS IDS Khái niệm • IDS hệ thống phát dấu hiệu công xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn cơng • Khác với tường lửa, IDS không thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu cơng cảnh báo cho người quản trị mạng Một điểm khác biệt khác hai liên quan đến bảo mật mạng, tường lửa theo dõi xâm nhập từ bên ngăn chặn chúng xảy ra, giới hạn truy nhập mạng để ngăn chặn xâm nhập không phát công từ bên mạng Bên cạnh IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống   Chức IDS Chức ban đầu IDS phát dấu xâm nhập, IDS tạo cảnh báo công công diễn chí sau cơng hồn tất Càng sau, nhiều kỹ thuật tích hợp vào IDS, giúp có khả dự đốn cơng (prediction) chí phản ứng lại công diễn (Active response) IDS Thành phần cấu tạo hệ thống IDS Sensor (bộ cảm nhận) Signature database Chặn bắt phân tích lưu lượng mạng nguồn thông tin khác để phát dấu hiệu xâm nhập (signature) Là sở liệu chứa dấu hiệu công phát phân tích Cơ chế làm việc signature database giống virus database chương trình antivirus, vậy, việc trì hệ thống IDS hiệu phải bao gồm việc cập nhật thường xuyên sở liệu Phân loại IDS theo phạm vi giám sát Phân loại IDS Phân loại IDS theo phạm vi giám sát Network-based IDS (NIDS) Là IDS giám sát tồn mạng Nguồn thơng tin chủ yếu NIDS gói liệu lưu thơng mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa Host-based IDS (HIDS)   Là IDS giám sát hoạt động máy tính riêng biệt Do vậy, nguồn thơng tin chủ yếu HIDS ngồi lưu lượng liệu đến từ máy chủ có hệ thống liệu nhật ký hệ thống (system log) kiểm tra hệ thống (system audit) Phân loại IDS theo phạm vi giám sát Phân loại IDS Phân loại IDS theo kỹ thuật thực Signature-based IDS Signature-based IDS phát xâm nhập dựa dấu hiệu hành vi xâm nhập, thơng qua phân tích lưu lượng mạng nhật ký hệ thống Kỹ thuật đòi hỏi phải trì sở liệu dấu hiệu xâm nhập (signature database) sở liệu phải cập nhật thường xuyên có hình thức kỹ thuật xâm nhập Anomaly-based IDS  Phát xâm nhập cách so sánh hành vi với hoạt động bình thường hệ thống để phát bất thường (anomaly) dấu hiệu xâm nhập Ví dụ, điều kiện bình thường, lưu lượng giao tiếp mạng server vào khỏang 25% băng thông cực đại giao tiếp Nếu thời điểm đó, lưu lượng đột ngột tăng lên đến 50% nữa, giả định server bị cơng DoS Để hoạt động xác, IDS loại phải thực trình “học”, tức giám sát hoạt động hệ thống điều kiện bình thường để ghi nhận thông số hoạt động, sở để phát bất thường sau Tùy vào mục đích cấu trúc mạng, đặt IDS vị trí khác để tận dụng tối đa khả hệ thống Đặt router firewall Khi đặt trường hợp này, IDS theo dõi tất lưu lượng chiều Khi triển khai theo cấu trúc IDS phải chịu áp lực lớn lượng, lại có khả giám sát tồn lưu lượng hệ thống mạng Vì vậy, trường hợp nên lựa chọn thiết bị IDS có khả chịu tải cao để nâng cao hiệu 9 Đặt miền DMZ Khi đặt trường hợp này, IDS theo dõi tất lưu lượng vào/ra miền DMZ 10 SNORT Cấu trúc Snort: • Mô đun phát (Detection Engine): phần hệ thống phát xâm nhập dựa dấu hiệu, detection engine lấy kiểm tra kiệu theo luật Nếu luật khớp với liệu gói tin gửi tới hệ thống cảnh báo khơng bị bỏ qua hình sau: 18 SNORT Cấu trúc Snort: • Mơ đun log cảnh báo (Logging and Alerting System): chế log lưu trữ gói tin kích hoạt luật chế cảnh báo thơng báo phân tích bị thất bại 19 SNORT Cấu trúc Snort: • Mô đun kết xuất thông tin(Output Modules) • Mô hình kiến trúc Snort: 20 IPS Khái niệm • IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập không mong muốn 21 Chức IPS Chức IPS xác định hoạt động nguy hại, lưu giữ các thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự nhau. Điểm khác hệ thống IPS khả theo dõi, giám sát có chức ngăn chặn kịp thời hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS Phân loại IDS theo phạm vi giám sát Phân loại IPS • • • Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion Prevention) Thường triển khai trước sau firewall Khi triển khai IPS trước firewall bảo vệ toàn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiểu nguy bị cơng từ chối dịch vụ đồi với firewall Khi triển khai IPS sau firewall phòng tránh số kiểu công thông qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên Hệ thống ngăn ngừa xâm nhập host (HIPS – Hostbased Intrusion Prevention) • Thường triển khai với mục đích phát ngăn chặn kịp thời hoạt động thâm nhập host • Để ngăn chặn cơng, HIPS sử dụng công nghệ tương tự giải pháp antivirus • Ngồi khả phát ngăn ngừa hoạt động thâm nhập, HIPS có khả phát thay đổi tập tin cấu hình Lý cần triển khai IPS Mỗi thành phần tham gia kiến trúc mạng có chức năng, điểm mạnh, điểm yếu khác Sử dụng, khai thác mục đích đem lại hiệu cao IPS thành phần quan trọng giải pháp bảo vệ hệ thống Khi triển khai giúp hệ thống: Theo dõi hoạt động bất thường hệ thống Xác định tác động đến hệ thống cách thức nào, hoạt động xâm nhập xảy vị trí cấu trúc mạng Tương tác với hệ thống firewall để ngăn chặn kip thời hoạt động thâm nhập hệ thống Ưu điểm, hạn chế hệ thống ngăn ngừa xâm nhập Ưu điểm  Cung cấp giải pháp bảo vệ toàn diện tài nguyên hệ thống  Ngăn chặn kịp thời công biết chưa biết Hạn chế  Có thể gây tình trạng phát nhầm (faulse positives), khơng cho phép truy cập hợp lệ tới hệ thống Thiết kế mô hình mạng Đặt trước firewall Đặt firewall miền DMZ Là module giải pháp UTM Một số tiêu chí triển khai IPS 1  Xác định cơng nghệ IDS/IPS đã, dự định triển khai 2  Xác định thành phần IDS/IPS  Thiết đặt cấu hình an tồn cho IDS/IPS 3 4 5  Xác định vị trí hợp lý để đặt IDS/IPS  Có chế xây dựng, tổ chức, quản lý hệ thống luật (rule)  Hạn chế thấp tình cảnh báo nhầm (false positive) khơng cảnh báo có xâm nhập (false negative) Các hệ thống IPS triển khai hình thức Gateway để phát ngăn chặn cách hiệu công mạng, giảm thiểu thời gian chết mạng chi phí ảnh hưởng đến hiệu họat động mạng Các hệ thống triển khai vị trí nằm ngòai phạm vi kiểm sóat tường lửa, có khả phát cơng cách xác thơng qua phân tích lưu lượng mạng nhiều phương pháp, nhằm đến kết luận xác mục đích thật kết nối đến mạng Vì hiểu kết nối tin cậy không tin cậy Từ việc phân tích trên, hệ thống thực nhiều tác vụ ghi chép (tạo thành file nhật ký), cảnh báo, xóa kết nối khơng tin cậy từ người quản trị mạng có đáp ứng kịp thời với tình trạng bị cơng nguy hiểm có hành động hợp lý trường hợp Ngoài hệ thống IPS cung cấp cơng cụ phân tích điều tra, giúp cho người quản trị mạng hiểu diễn mạng đưa định sáng suốt, góp phần làm tăng hiệu giải pháp an ninh mạng Nhiều hệ thống IPS có khả triển khai chế độ thụ động để thu nhận phân tích gói liệu cho phép quản trị mạng có thông tin lưu lượng nguy tồn mạng Tuy chúng chuyển sang chế độ dự phòng chế độ gateway người quản trị mạng cảm thấy hệ thống bị xâm nhập, cơng để phản ứng trước công, loại bỏ lưu lượng kết nối khả nghi để đảm bảo cơng khơng thể gây ảnh hưởng đến hệ thống   Hệ thống IPS thực tế THANK YOU! ... nội dung tìm hiểu Khái niệm IDS Chức IDS Thành phần cấu tạo hệ thống IDS Phân loại IDS Các vị trí đặt IDS Một số tiêu chí triển khai IDS Một số kiểu cơng vào hệ thống IDS cách phòng chống IDS Khái... hệ thống IDS hiệu phải bao gồm việc cập nhật thường xuyên sở liệu Phân loại IDS theo phạm vi giám sát Phân loại IDS Phân loại IDS theo phạm vi giám sát Network-based IDS (NIDS) Là IDS giám sát... NIDS gói liệu lưu thơng mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa Host-based IDS (HIDS)   Là IDS giám sát hoạt động máy tính riêng biệt Do vậy, nguồn thơng tin chủ yếu HIDS