Bài giảng Thiết kế hệ thống mạng LAN - Chương 3: Hệ thống phát hiện xâm nhập IDS cung cấp cho người học các kiến thức: Khái niệm IDS, kiến trúc của IDS, quy trình hoạt động của IDS. Mời các bạn cùng tham khảo nội dung chi tiết.
Trang 1
CHƯƠNG 3: HỆ THÔNG PHÁT HIỆN
XAM NHAP IDS GV: LUONG MINH HUAN
Trang 2
Kiên trúc của IDS
Quy trinh hoat dong cua IDS
Trang 3
a mot hé thong phong chông, nhăm phát hiện các hành độn;
Trang 4
iết về những hành re không bình thường và đưa ra các t
áo cho quản trị viên mạng dé khóa các kết nối đang tân công 'hêm vào đó công cụ IDS cũng có thê phân biệt giữa nhữn; ông từ bên trong tô chức (từ chính nhân viên hoặc khách hàn,
Trang 5
Thiên Vĩ của các hệ thông phát hiện xâm phạm là p
hông cho một hệ thông máy tính băng cách phát hiện các dâu
ân công và có thê đây lùi nó
/iệc phát hiện các tân công phụ thuộc vào sô lượng và kiểu: lộng thích hợp
Trang 6
ác quản trị viên hệ thông về sự việc này
3ƯỚC tiếp theo được thực hiện bởi các quản trỊ viên hoặc có th
yan than IDS
IDS Tasks
Monitoring Notification
Protected System Additional IDS Infrastructure ọ
Trang 7
ruy xuât mà chỉ theo dõi các hoạt động trên mạng dé tim re
lâu hiệu của tân cơng và cảnh báo cho người quản trị mạng
Một điểm khác biệt khác đĩ là mặc dù cả hai đêu liên quan
ảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên r
ra ngan chan chung xay ra, firewall khong phát hiện được cuộ ơng từ bên trong mạng
DS đánh giá sự xâm nhập đáng ngờ khi nĩ đã điện ra đơng
›hát ra cảnh báo, nĩ theo dõi được các cuộc tân cơng cĩ nguợ
ừ bên trong một hệ thơng
Trang 8
+ ~
hap, do do IDS chi co thé tao ra cac cảnh bảo tân công kh
ông đang dién ra hoac tham chi sau khi tan cong da hoan tat
‘ang vé sau, nhiêu kỹ thuật mới duoc tich hop vao IDS, git
ó khả năng dự đoán được tần cong (prediction) va than
›hản ứng lại các tân cOng dang dién ra (Active response)
Trang 9
"hân loại theo phạm vI p1ảm sát:
" /efwork-based IDS (NIDS): là những IDS giam sat trén toan bi
mang
" Host-based IDS (HIDS): \a nhitng IDS giam sat hoat dong cua
máy tính riêng biệt
Trang 10Host based IDS installed
Network based IDS analyzing all incoming traffic outside the
Perimeter network
Trang 11
hân loại theo k
" S7ondqfuuire-based IDS: phát hiện xâm nhập dựa trên dâu hiệu củ: hành v1 xâm nhập, căn cứ trên nhật ký hoạt động của hệ thông
= Anomaly-based IDS: phát hiện xâm nhập băng cách so sánh (m
tính thông kê) các hành vIị hiện tại với hoạt động bình thường củ
thông đê phát hiện các bât thường
Trang 13
niên ngăn chặn xâm nhập mà chỉ cảnh báo cho người quản trỊ
PS là một hệ thông giúp phát hiện xâm nhập và ngăn chặn thập
_hức năng chính của IPS là xác định các hoạt động nguy hại 1Ữ các thông tin này Sau đó kết hợp với firewall dé dừng
ác hoạt động này, và cuôi cùng đưa ra các báo cáo chi tiết vị loạt động xâm nhập trái phép trên
lệ thông IPS duoc xem là trường hợp mở rộng của hệ thông I
Trang 15
36m các thần
= Trung tâm điêu khiến (The Command Console)
= Bo cam biến (Network Sensor)
" Bộ phân tích gói tin(Network Tap)
= Thanh phan canh bao (Alert Notification)
" VỊ trí đặt IDS
Trang 16
Nó duy trì kiếm soát thông qua các thành phân của IDS, va t
âm điêu khiên có thê được truy cập từ bât cứ nơi nào
Flóm lại Trung tâm điêu khiển duy trì một số kênh mở giữ:
‘am bién (Network Sensor) qua một đường mã hóa, và nó là nảy chuyền dụng
Trang 17
hạy trên các thiết bị mạng hoặc ng
náy chuyên dụng trên các
lường mạng thiết yêu
Trang 18
nạng, không có địa chỉ IP, kiêm soát các luông dữ liệu trên r
rà gửi cảnh báo khi phát hiện ra hành động xâm nhập
FAP (Test Access Point): là thiết bị dùng để sao chép dữ liệu ' điểm trên mạng Dữ liệu được sao chép sẽ chuyền đến bộ: ích và giám sát của hệ thông mạng
Trang 20
= bi ậ —
[rong các hệ thông IDS hiện đại, lời cảnh báo có thể ở dưới r
lang nhu: cua so pop-up, tiéng chudng, email, SNMP
Trang 25
ong nhất của IDS là: giám sát — cảnh báo -
" G/đm sáí: Giám sát lưu lượng mạng các hoạt động bất thường v
hoạt động khả ngh1
" Cảnh báo:Khi đã biết được các hoạt động bất thường của một (
một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thôi nguol quan tri
" Bao vé: Dung nhiing thiét lập mặc định và những câu hình tì
quản trỊ mà có những hành động thiệt thực chong lai ke xam nh phá hoại
Trang 26
" Phân biệt “Thù trong giặc ngoài” : Đây là chức năng tất hat IDS, nó có thê phân biệt được đầu là những truy cập hợp lệ (k hợp lệ) từ bên trong và đâu là cuộc tân công từ bên ngoài v: thông
" Phat hién : Dua vào sự so sánh lưu lượng mạng hiện tạ
Baseline, IDS có thê phát hiện ra những dâu hiệu bât thường vị
ra các cảnh báo và bảo vệ ban đầu cho hệ thông
Trang 27
Một host tae 'ä một gói tin mạng,gói tin nay không khác gì s( mot gol tin khác đã tôn tại và được gởi từ host khác trong mại Các cảm biến trong mạng đọc các gói tin trong khoảng thời trước khi nó được gửi ra khỏi mạng cục bộ(cảm biên này can
được đặt sao cho nó có thê đọc tât cả các gói tin)
Chương trình phát hiện năm trong bộ cảm biến kiêm tra xe
261 tin nao co dau hiệu vi phạm hay không.Khi có dầu hi¢
phạm thì một cảnh báo sẽ được tạo ra và gửi đên giao điện
khiến
Trang 28Khi giao'điện điêu khiên lệnh nhận được cảnh báo nó sẽ
thông bảo cho một người hoặc một nhóm da duoc chi dir
trudc(thong wa email,cua so popup,trang web v.v )
Phản hôi được khởi tạo theo quy định ứng với dâu hiệu xâm
này
Các cảnh báo được lưu lại đề tham khảo trong tương lai(trêi
chỉ cục bộ hoặc trên cơ sở dữ liệu)
Một báo cáo tóm tắt về chỉ tiết của sự cỗ được tạo ra
Cảnh báo được so sánh với các đữ liệu khác dé xác định xen
có phải là cuộc tân công hay không
Ss
Trang 291 Packet exists on local segment
2 Sensor reads packet
No, Discard packet
Trang 30n công ich vu Denial of Services
Jenial of Service (DoS) co muc dich dong bang hay chan dun; Ieuyên hệ thong đích Cuối cùng mục tiêu không thể tiếp cận
ra lời các gói tin gửi đến DoS tấn công vào các mục tiêu bao
; dang: mang, hé thong và ứng dụng
DDoS Mitigation
IPS aia IDS
=
am 8m,
.—.—— =~ ees NA fem wm em ew ee = T- =e —— L oad Balancers / d B ADC ADCs
Trang 31L4 ` SH: wt ee _ e `
lét và thăm đò (Scanning và Probe)
3ộ quét và thăm dò tự động sẽ tìm kiếm hệ thông trên mang đi
lịnh điểm yêu Việc thăm dò có thể thực hiện băng cách pin
lệ thông cũng như kiểm tra các công TCP hoặc UDP đề phát
a ứng dụng có những lỗi đã được biết tới
Network IDS có thể phát hiện các hành động nguy hiểm t chỉ chúng xảy ra Host IDS cũng có tác dụng đôi với kiểu
‘Ong nay
Trang 32
e A - = = L2 : ¬ _ = e
Khi kẻ tân công đã xâm nhập được hệ thông, chúng sẽ cô c
Iuyên truy cập Khi thành công, chúng sẽ tìm cách phá ho: hong hoac danh cap thong tin quan trọng
“a NIDS va HIDS déu co thể xác định được việc thay đôi
juyền trái phép
Trang 33
6 nhiéu loai tan công can thiệp vào việc điều khiến cơ bản củ
ở hạ tâng bảo mật như tạo tường lửa trải phép, chỉnh sửa tài
khoản của người dung hay thay đôi các quyên của file Tân côi
ào cơ sở hạ tâng cho phép kẻ xâm nhập có thêm quyên truy c: lay tạo thêm nhiêu đường xâm nhập vào hệ thông
1IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện nhữ
›ành động như trên