Đang tải... (xem toàn văn)
Bài giảng Thiết kế hệ thống mạng LAN - Chương 3: Hệ thống phát hiện xâm nhập IDS cung cấp cho người học các kiến thức: Khái niệm IDS, kiến trúc của IDS, quy trình hoạt động của IDS. Mời các bạn cùng tham khảo nội dung chi tiết.
Trường Cao Đẳng Kỹ Thuật Cao Thắng CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS GV: LƯƠNG MINH HUẤN NỘI DUNG Khái niệm IDS Kiến trúc IDS Quy trình hoạt động IDS I.1 KHÁI NIỆM IDS IDS (Intrusion Detection System - Hệ thống phát xâm ph hệ thống phòng chống, nhằm phát hành động cơng vào mạng Mục đích phát ngăn ngừa hành động phá hoại với vấn đề bảo mật hệ thống, hành động rình cơng qt cổng I.1 KHÁI NIỆM IDS Một tính hệ thống cung cấp thông tin n biết hành động khơng bình thường đưa th báo cho quản trị viên mạng để khóa kết nối cơng Thêm vào cơng cụ IDS phân biệt cơng từ bên tổ chức (từ nhân viên khách hàng ấn cơng bên ngồi (tấn cơng từ hacker) I.1 KHÁI NIỆM IDS Nhiệm vụ hệ thống phát xâm phạm ph chống cho hệ thống máy tính cách phát dấu ấn cơng đẩy lùi Việc phát công phụ thuộc vào số lượng kiểu h động thích hợp I.1 KHÁI NIỆM IDS Khi xâm nhập phát hiện, IDS đưa cảnh báo quản trị viên hệ thống việc Bước thực quản trị viên thân IDS I.1 KHÁI NIỆM IDS Khác với firewall, IDS không thực thao tác ngăn ruy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng Một điểm khác biệt khác hai liên quan bảo mật mạng, firewall theo dõi xâm nhập từ bên n ngăn chặn chúng xảy ra, firewall không phát công từ bên mạng IDS đánh giá xâm nhập đáng ngờ diễn đồng phát cảnh báo, theo dõi cơng có nguồn bên hệ thống I.1 KHÁI NIỆM IDS Chức ban đầu IDS phát dấu nhập, IDS tạo cảnh báo cơng kh cơng diễn chí sau cơng hồn tất Càng sau, nhiều kỹ thuật tích hợp vào IDS, giú có khả dự đốn cơng (prediction) phản ứng lại công diễn (Active response) I.2 PHÂN LOẠI IDS hân loại IDS: Phân loại theo phạm vi giám sát: Network-based IDS (NIDS): IDS giám sát toàn mạng Host-based IDS (HIDS): IDS giám sát hoạt động t máy tính riêng biệt II.4 ALERT NOTIFICATION Thành phần cảnh báo có chức gửi cảnh báo tới n quản trị Trong hệ thống IDS đại, lời cảnh báo n dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP II.5 VỊ TRÍ ĐẶT IDS Tùy vào quy mơ doanh nghiệp mục đích mà ta thiết k rị kiến trúc IDS khác Đặt sau firewall II.5 VỊ TRÍ ĐẶT IDS II.5 VỊ TRÍ ĐẶT IDS Đặt miền DMZ II.5 VỊ TRÍ ĐẶT IDS Là router firewall III.1 CHỨC NĂNG CỦA IDS Chức quan trọng IDS là: giám sát – cảnh báo – vệ: Giám sát: Giám sát lưu lượng mạng hoạt động bất thường hoạt động khả nghi Cảnh báo:Khi biết hoạt động bất thường ( nhóm) truy cập đó, IDS đưa cảnh báo cho hệ thốn người quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ quản trị mà có hành động thiết thực chống lại kẻ xâm nhậ phá hoại III.1 CHỨC NĂNG CỦA IDS Chức mở rộng: Phân biệt “Thù giặc ngoài” : Đây chức hay IDS, phân biệt đâu truy cập hợp lệ (k hợp lệ) từ bên đâu cơng từ bên ngồi thống Phát : Dựa vào so sánh lưu lượng mạng Baseline, IDS phát dấu hiệu bất thường cảnh báo bảo vệ ban đầu cho hệ thống III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS Một host tạo gói tin mạng,gói tin khơng khác so gói tin khác tồn gởi từ host khác mạn Các cảm biến mạng đọc gói tin khoảng thời trước gửi khỏi mạng cục bộ(cảm biến cần đặt cho đọc tất gói tin) Chương trình phát nằm cảm biến kiểm tra xem gói tin có dấu hiệu vi phạm hay khơng.Khi có dấu hiệ phạm cảnh báo tạo gửi đến giao diện khiển III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS Khi giao diện điều khiển lệnh nhận cảnh báo thơng báo cho người nhóm địn trước(thơng wa email,cửa sổ popup,trang web v.v…) Phản hồi khởi tạo theo quy định ứng với dấu hiệu xâm n Các cảnh báo lưu lại để tham khảo tương lai(trên cục sở liệu) Một báo cáo tóm tắt chi tiết cố tạo Cảnh báo so sánh với liệu khác để xác định xem có phải công hay không III.3 CÁC KIỂU TẤN CƠNG THƯỜNG GẶP ấn cơng từ chối dịch vụ Denial of Services Denial of Service (DoS) có mục đích đóng băng hay chặn đứng ngun hệ thống đích Cuối mục tiêu tiếp cận v rả lời gói tin gửi đến DoS cơng vào mục tiêu bao g dạng: mạng, hệ thống ứng dụng III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP uét thăm dò (Scanning Probe) Bộ quét thăm dị tự động tìm kiếm hệ thống mạng để định điểm yếu Việc thăm dị thực cách ping hệ thống kiểm tra cổng TCP UDP để phát ứng dụng có lỗi biết tới Network IDS phát hành động nguy hiểm tr chúng xảy Host IDS có tác dụng kiểu công III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP đặc quyền (Privilege-grabbing) Khi kẻ công xâm nhập hệ thống, chúng cố ch quyền truy cập Khi thành cơng, chúng tìm cách phá hoạ hống đánh cắp thông tin quan trọng Cả NIDS HIDS xác định việc thay đổi quyền trái phép III.3 CÁC KIỂU TẤN CƠNG THƯỜNG GẶP ấn cơng hạ tầng bảo mật (Security infrastructure attack) Có nhiều loại cơng can thiệp vào việc điều khiển củ sở hạ tầng bảo mật tạo tường lửa trái phép, chỉnh sửa tài khoản người dung hay thay đổi quyền file Tấn côn vào sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy cậ hay tạo thêm nhiều đường xâm nhập vào hệ thống HIDS bắt giữ đăng nhập mà thực nhữn hành động ... dạng: mạng, hệ thống ứng dụng III .3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP uét thăm dò (Scanning Probe) Bộ quét thăm dị tự động tìm kiếm hệ thống mạng để định điểm yếu Việc thăm dị thực cách ping hệ thống. .. nhật ký hoạt động hệ thống Anomaly-based IDS: phát xâm nhập cách so sánh (ma tính thống kê) hành vi với hoạt động bình thường củ thống để phát bất thường I .3 IPS IDS hệ thống túy phát xâm... biến chương trình chạy thiết bị mạng máy chuyên dụng đường mạng thiết yếu Bộ cảm biến có vai trị quan trọng có hàng nghìn mục tiêu cần giám sát mạng II .3 NETWORK TAP Bộ phân tích gói tin thiết