Trường Cao Đẳng Kỹ Thuật Cao Thắng CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS GV: LƯƠNG MINH HUẤN NỘI DUNG I Khái niệm IDS II Kiến trúc IDS III Quy trình hoạt động IDS I.1 KHÁI NIỆM IDS  IDS (Intrusion Detection System - Hệ thống phát xâm phạm) hệ thống phòng chống, nhằm phát hành động công vào mạng  Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình công quét cổng I.1 KHÁI NIỆM IDS  Một tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa thơng báo cho quản trị viên mạng để khóa kết nối cơng  Thêm vào cơng cụ IDS phân biệt cơng từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker).  I.1 KHÁI NIỆM IDS  Nhiệm vụ hệ thống phát xâm phạm phòng chống cho hệ thống máy tính cách phát dấu hiệu cơng đẩy lùi  Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp I.1 KHÁI NIỆM IDS  Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc  Bước thực quản trị viên thân IDS I.1 KHÁI NIỆM IDS  Khác với firewall, IDS không thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng  Một điểm khác biệt khác hai liên quan đến bảo mật mạng, firewall theo dõi xâm nhập từ bên ngồi ngăn chặn chúng xảy ra, firewall khơng phát công từ bên mạng  IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống I.1 KHÁI NIỆM IDS  Chức ban đầu IDS phát dấu xâm nhập, IDS tạo cảnh báo cơng cơng diễn chí sau cơng hồn tất  Càng sau, nhiều kỹ thuật tích hợp vào IDS, giúp có khả dự đốn cơng (prediction) chí phản ứng lại cơng diễn (Active response) I.2 PHÂN LOẠI IDS Phân loại IDS:  Phân loại theo phạm vi giám sát:  Network-based IDS (NIDS): IDS giám sát toàn mạng  Host-based IDS (HIDS): IDS giám sát hoạt động máy tính riêng biệt II.4 ALERT NOTIFICATION  Thành phần cảnh báo có chức gửi cảnh báo tới người quản trị  Trong hệ thống IDS đại, lời cảnh báo nhiều dạng như: cửa sổ pop-up, tiếng chng, email, SNMP II.5 VỊ TRÍ ĐẶT IDS  Tùy vào quy mô doanh nghiệp mục đích mà ta thiết kế vị trị kiến trúc IDS khác II.5 VỊ TRÍ ĐẶT IDS  Đặt sau firewall II.5 VỊ TRÍ ĐẶT IDS  Đặt miền DMZ II.5 VỊ TRÍ ĐẶT IDS   Là router firewall III.1 CHỨC NĂNG CỦA IDS  Chức quan trọng IDS là: giám sát – cảnh báo – bảo vệ:  Giám sát: Giám sát lưu lượng mạng các hoạt động bất thường hoạt động khả nghi  Cảnh báo:Khi biết hoạt động bất thường (hoặc nhóm) truy cập đó, IDS đưa cảnh báo cho hệ thống người quản trị  Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại III.1 CHỨC NĂNG CỦA IDS  Chức mở rộng:  Phân biệt “Thù giặc ngoài” : Đây chức hay IDS, phân biệt đâu truy cập hợp lệ (không hợp lệ) từ bên đâu cơng từ bên ngồi vào hệ thống  Phát hiện : Dựa vào so sánh lưu lượng mạng với Baseline, IDS phát dấu hiệu bất thường đưa cảnh báo bảo vệ ban đầu cho hệ thống III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS Một host tạo gói tin mạng,gói tin khơng khác so với gói tin khác tồn gởi từ host khác mạng Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước gửi ra khỏi mạng cục bộ(cảm biến này cần phải được đặt sao cho nó đọc tất cả các gói tin)  Chương trình phát hiện nằm cảm biến kiểm tra xem có gói tin có dấu hiệu vi phạm hay khơng.Khi có dấu hiệu vi phạm cảnh báo tạo gửi đến giao diện điều khiển III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS Khi giao diện điều khiển lệnh nhận cảnh báo gửi thơng báo cho người nhóm định từ trước(thông wa email,cửa sổ popup,trang web v.v…) Phản hồi khởi tạo theo quy định ứng với dấu hiệu xâm nhập Các cảnh báo được lưu lại để tham khảo trong tương lai(trên địa cục trên cơ sở liệu)  Một báo cáo tóm tắt chi tiết cố tạo  Cảnh báo được so sánh với liệu khác để xác định xem có phải cơng hay khơng III.3 CÁC KIỂU TẤN CƠNG THƯỜNG GẶP Tấn công từ chối dịch vụ Denial of Services  Denial of Service (DoS) có mục đích đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối mục tiêu khơng thể tiếp cận trả lời gói tin gửi đến DoS công vào mục tiêu bao gồm dạng: mạng, hệ thống ứng dụng III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP Quét thăm dò (Scanning Probe)  Bộ quét thăm dò tự động tìm kiếm hệ thống mạng để xác định điểm yếu Việc thăm dò thực cách ping tới hệ thống kiểm tra cổng TCP UDP để phát ứng dụng có lỗi biết tới  Network IDS phát hành động nguy hiểm trước chúng xảy Host IDS có tác dụng kiểu cơng III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP Chiếm đặc quyền (Privilege-grabbing)  Khi kẻ công xâm nhập hệ thống, chúng cố chiếm quyền truy cập Khi thành cơng, chúng tìm cách phá hoại hệ thống đánh cắp thông tin quan trọng  Cả NIDS HIDS xác định việc thay đổi đặc quyền trái phép III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP Tấn công hạ tầng bảo mật (Security infrastructure attack)  Có nhiều loại cơng can thiệp vào việc điều khiển sở hạ tầng bảo mật tạo tường lửa trái phép, chỉnh sửa tài khoản người dung hay thay đổi quyền file Tấn công vào sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy cập hay tạo thêm nhiều đường xâm nhập vào hệ thống  HIDS bắt giữ đăng nhập mà thực hành động ... cách so sánh (mang tính thống kê) hành vi với hoạt động bình thường hệ thống để phát bất thường I .3 IPS  IDS hệ thống túy phát xâm nhập, khơng thực ngăn chặn xâm nhập mà cảnh báo cho người quản... mạng thiết yếu  Bộ cảm biến có vai trò quan trọng có hàng nghìn mục tiêu cần giám sát mạng II .3 NETWORK TAP  Bộ phân tích gói tin thiết bị phần cứng kết nối mạng, khơng có địa IP, kiểm sốt... chi tiết cố tạo  Cảnh báo được so sánh với liệu khác để xác định xem có phải cơng hay khơng III .3 CÁC KIỂU TẤN CƠNG THƯỜNG GẶP Tấn cơng từ chối dịch vụ Denial of Services  Denial of Service (DoS)