1. Trang chủ
  2. » Đề thi

Slide bài giảng môn thiết kế mạng LAN: Chương 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

33 229 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 33
Dung lượng 1,05 MB

Nội dung

I.1 KHÁI NIỆM IDSIDS Intrusion Detection System - Hệ thống phát hiện xâm phạm là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng.. I.1 KHÁI NIỆM IDSMột tín

Trang 1

Trường Cao Đẳng Kỹ Thuật Cao Thắng

CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN

XÂM NHẬP IDS

GV: LƯƠNG MINH HUẤN

Trang 2

NỘI DUNG

I Khái niệm IDS

II Kiến trúc của IDS

III Quy trình hoạt động của IDS

Trang 3

I.1 KHÁI NIỆM IDS

IDS (Intrusion Detection System - Hệ thống phát hiện xâm phạm)

là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng

Mục đích là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như quét các cổng

Trang 4

I.1 KHÁI NIỆM IDS

Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các thông báo cho quản trị viên mạng để khóa các kết nối đang tấn công

Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker)

Trang 5

I.1 KHÁI NIỆM IDS

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó

Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp

Trang 6

I.1 KHÁI NIỆM IDS

Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này

Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS

Trang 7

I.1 KHÁI NIỆM IDS

Khác với firewall, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng

Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến bảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên ngoài

và ngăn chặn chúng xảy ra, firewall không phát hiện được cuộc tấn công từ bên trong mạng

IDS đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn gốc từ bên trong một hệ thống

Trang 8

I.1 KHÁI NIỆM IDS

Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất

Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó

có khả năng dự đoán được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn ra (Active response).

Trang 9

I.2 PHÂN LOẠI IDS

Phân loại IDS:

Phân loại theo phạm vi giám sát:

Network-based IDS (NIDS): là những IDS giám sát trên toàn bộ

mạng.

Host-based IDS (HIDS): là những IDS giám sát hoạt động của từng

máy tính riêng biệt

Trang 11

I.2 PHÂN LOẠI IDS

Phân loại theo kỹ thuật:

Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của

hành vi xâm nhập, căn cứ trên nhật ký hoạt động của hệ thống.

Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang

tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường.

Trang 13

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS

Trang 14

I.4 ƯU VÀ NHƯỢC ĐIỂM

Trang 15

II KIẾN TRÚC CỦA IDS

Gồm các thành phần chính:

 Trung tâm điều khiển (The Command Console)

 Bộ cảm biến (Network Sensor)

 Bộ phân tích gói tin(Network Tap)

 Thành phần cảnh báo (Alert Notification)

 Vị trí đặt IDS

Trang 16

II.1 COMAND CONSOLE

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí

Nó duy trì kiểm soát thông qua các thành phần của IDS, và trung tâm điều khiển có thể được truy cập từ bất cứ nơi nào

Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã hóa, và nó là một máy chuyên dụng

Trang 17

II.2 NETWORK SENSOR

Bộ cảm biến là chương trình

chạy trên các thiết bị mạng hoặc

máy chuyên dụng trên các

đường mạng thiết yếu

Bộ cảm biến có một vai trò

quan trọng vì có hàng nghìn

mục tiêu cần được giám sát trên

mạng

Trang 18

II.3 NETWORK TAP

Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trên mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng

và gửi cảnh báo khi phát hiện ra hành động xâm nhập

TAP (Test Access Point): là thiết bị dùng để sao chép dữ liệu giữa

2 điểm trên mạng Dữ liệu được sao chép sẽ chuyển đến bộ phân tích và giám sát của hệ thống mạng

Trang 20

II.4 ALERT NOTIFICATION

Thành phần cảnh báo có chức năng gửi những cảnh báo tới người quản trị

Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP

Trang 21

II.5 VỊ TRÍ ĐẶT IDS

Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế vị trị cũng như kiến trúc của IDS khác nhau

Trang 22

II.5 VỊ TRÍ ĐẶT IDS

Đặt sau firewall

Trang 23

II.5 VỊ TRÍ ĐẶT IDS

Đặt trong miền DMZ

Trang 24

II.5 VỊ TRÍ ĐẶT IDS

Là giữa router và firewall

Trang 25

III.1 CHỨC NĂNG CỦA IDS

Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo – bảo vệ:

Giám sát: Giám sát lưu lượng mạng các hoạt động bất thường và các

hoạt động khả nghi.

Cảnh báo:Khi đã biết được các hoạt động bất thường của một (hoặc

một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thống và người quản trị.

Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà

quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

Trang 26

III.1 CHỨC NĂNG CỦA IDS

Chức năng mở rộng:

Phân biệt “Thù trong giặc ngoài” : Đây là chức năng rất hay của

IDS, nó có thể phân biệt được đâu là những truy cập hợp lệ (không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài vào hệ thống.

Phát hiện : Dựa vào sự so sánh lưu lượng mạng hiện tại với

Baseline, IDS có thể phát hiện ra những dấu hiệu bất thường và đưa

ra các cảnh báo và bảo vệ ban đầu cho hệ thống.

Trang 27

III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS

1 Một host tạo ra một gói tin mạng,gói tin này không khác gì so với

một gói tin khác đã tồn tại và được gởi từ host khác trong mạng

2 Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian

trước khi nó được gửi ra khỏi mạng cục bộ(cảm biến này cần phải được đặt sao cho nó có thể đọc tất cả các gói tin)

3 Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có

gói tin nào có dấu hiệu vi phạm hay không.Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra và gửi đến giao diện điều khiển

Trang 28

III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS

4 Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi

thông báo cho một người hoặc một nhóm đã được chỉ định từ trước(thông wa email,cửa sổ popup,trang web v.v…)

5 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập

này

6 Các cảnh báo được lưu lại để tham khảo trong tương lai(trên địa

chỉ cục bộ hoặc trên cơ sở dữ liệu)

7 Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra

8 Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây

có phải là cuộc tấn công hay không

Trang 30

III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP

Tấn công từ chối dịch vụ Denial of Services

Denial of Service (DoS) có mục đích đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối cùng mục tiêu không thể tiếp cận và trả lời các gói tin gửi đến DoS tấn công vào các mục tiêu bao gồm

3 dạng: mạng, hệ thống và ứng dụng

Trang 31

III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP

Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định điểm yếu Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như kiểm tra các cổng TCP hoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới

Network IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra Host IDS cũng có tác dụng đối với kiểu tấn công này

Trang 32

III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP

Chiếm đặc quyền (Privilege-grabbing)

Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truy cập Khi thành công, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin quan trọng

Cả NIDS và HIDS đều có thể xác định được việc thay đổi đặc quyền trái phép

Trang 33

III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP

Tấn công hạ tầng bảo mật (Security infrastructure attack)

Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ

sở hạ tầng bảo mật như tạo tường lửa trái phép, chỉnh sửa tài

khoản của người dung hay thay đổi các quyền của file Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy cập hay tạo thêm nhiều đường xâm nhập vào hệ thống

HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như trên

Ngày đăng: 04/06/2019, 10:06

TỪ KHÓA LIÊN QUAN

w