Bài giảng Thiết kế hệ thống mạng LAN - Chương 3: Hệ thống phát hiện xâm nhập IDS. Nội dung kiến thức trong chương 3 gồm có: Khái niệm IDS, kiến trúc của IDS, quy trình hoạt động của IDS. Mời các bạn cùng tham khảo nội dung chi tiết.
Trang 1Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN
XÂM NHẬP IDS
GV: LƯƠNG MINH HUẤN
Trang 2NỘI DUNG
Khái niệm IDS
Kiến trúc của IDS
III Quy trình hoạt động của IDS
Trang 3I.1 KHÁI NIỆM IDS
IDS (Intrusion Detection System - Hệ thống phát hiện xâm phạm)
là một hệ thống phòng chống, nhằm phát hiện các hành động
công vào một mạng
Mục đích là phát hiện và ngăn ngừa các hành động phá hoại
với vấn đề bảo mật hệ thống, hoặc những hành động trong
trình tấn công như quét các cổng
Trang 4I.1 KHÁI NIỆM IDS
Một tính năng chính của hệ thống này là cung cấp thông tin nhậnbiết về những hành động không bình thường và đưa ra các thông
báo cho quản trị viên mạng để khóa các kết nối đang tấn công
Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những
công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng)
tấn công bên ngoài (tấn công từ hacker)
Trang 5I.1 KHÁI NIỆM IDS
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòngchống cho một hệ thống máy tính bằng cách phát hiện các dấu
tấn công và có thể đẩy lùi nó
Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hànhđộng thích hợp
Trang 6I.1 KHÁI NIỆM IDS
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này
Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS
Trang 7I.1 KHÁI NIỆM IDS
Khác với firewall, IDS không thực hiện các thao tác ngăn
truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra
dấu hiệu của tấn công và cảnh báo cho người quản trị mạng
Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan
bảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên ngoài
và ngăn chặn chúng xảy ra, firewall không phát hiện được cuộc
công từ bên trong mạng
IDS đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng
phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn
từ bên trong một hệ thống
Trang 8I.1 KHÁI NIỆM IDS
Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiệnnhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi
công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất.Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp
có khả năng dự đoán được tấn công (prediction) và thậm
phản ứng lại các tấn công đang diễn ra (Active response).
Trang 9I.2 PHÂN LOẠI IDS
Phân loại IDS:
Phân loại theo phạm vi giám sát:
Network-based IDS (NIDS): là những IDS giám sát trên toàn bộ
mạng.
Host-based IDS (HIDS): là những IDS giám sát hoạt động của từng
máy tính riêng biệt
Trang 11I.2 PHÂN LOẠI IDS
Phân loại theo kỹ thuật:
Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của
hành vi xâm nhập, căn cứ trên nhật ký hoạt động của hệ thống.
Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang
tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường.
Trang 13I.3 IPS
IDS là một hệ thống thuần túy phát hiện xâm nhập, nó không
hiện ngăn chặn xâm nhập mà chỉ cảnh báo cho người quản trị
IPS là một hệ thống giúp phát hiện xâm nhập và ngăn chặn
nhập
Chức năng chính của IPS là xác định các hoạt động nguy hại,
giữ các thông tin này Sau đó kết hợp với firewall để dừng ngaycác hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về
hoạt động xâm nhập trái phép trên
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS
Trang 14I.4 ƯU VÀ NHƯỢC ĐIỂM
Trang 15II KIẾN TRÚC CỦA IDS
Gồm các thành phần chính:
Trung tâm điều khiển (The Command Console)
Bộ cảm biến (Network Sensor)
Bộ phân tích gói tin(Network Tap)
Thành phần cảnh báo (Alert Notification)
Vị trí đặt IDS
Trang 16II.1 COMAND CONSOLE
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí
Nó duy trì kiểm soát thông qua các thành phần của IDS, và ttâm điều khiển có thể được truy cập từ bất cứ nơi nào
Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữacảm biến (Network Sensor) qua một đường mã hóa, và nó là
máy chuyên dụng
Trang 17II.2 NETWORK SENSOR
Bộ cảm biến là chương trình
chạy trên các thiết bị mạng hoặc
máy chuyên dụng trên các
đường mạng thiết yếu
Bộ cảm biến có một vai trò
quan trọng vì có hàng nghìn
mục tiêu cần được giám sát trên
mạng
Trang 18II.3 NETWORK TAP
Bộ phân tích gói tin là một thiết bị phần cứng được kết nối
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng
và gửi cảnh báo khi phát hiện ra hành động xâm nhập
TAP (Test Access Point): là thiết bị dùng để sao chép dữ liệu
2 điểm trên mạng Dữ liệu được sao chép sẽ chuyển đến bộ phântích và giám sát của hệ thống mạng
Trang 20II.4 ALERT NOTIFICATION
Thành phần cảnh báo có chức năng gửi những cảnh báo tới ngườiquản trị
Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiềudạng như: cửa sổ pop-up, tiếng chuông, email, SNMP
Trang 21II.5 VỊ TRÍ ĐẶT IDS
Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế vị trị cũng như kiến trúc của IDS khác nhau
Trang 22II.5 VỊ TRÍ ĐẶT IDS
Đặt sau firewall
Trang 23II.5 VỊ TRÍ ĐẶT IDS
Đặt trong miền DMZ
Trang 24II.5 VỊ TRÍ ĐẶT IDS
Là giữa router và firewall
Trang 25III.1 CHỨC NĂNG CỦA IDS
Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo –
vệ:
Giám sát: Giám sát lưu lượng mạng các hoạt động bất thường và
hoạt động khả nghi.
Cảnh báo:Khi đã biết được các hoạt động bất thường của một (hoặc
một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thống
người quản trị.
Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ
quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập
phá hoại
Trang 26III.1 CHỨC NĂNG CỦA IDS
Chức năng mở rộng:
Phân biệt “Thù trong giặc ngoài” : Đây là chức năng rất hay
IDS, nó có thể phân biệt được đâu là những truy cập hợp lệ (không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài vào
thống.
Phát hiện : Dựa vào sự so sánh lưu lượng mạng hiện tại
Baseline, IDS có thể phát hiện ra những dấu hiệu bất thường và
ra các cảnh báo và bảo vệ ban đầu cho hệ thống.
Trang 27III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS
Một host tạo ra một gói tin mạng,gói tin này không khác gì somột gói tin khác đã tồn tại và được gởi từ host khác trong mạngCác cảm biến trong mạng đọc các gói tin trong khoảng thờitrước khi nó được gửi ra khỏi mạng cục bộ(cảm biến này cầnđược đặt sao cho nó có thể đọc tất cả các gói tin)
Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xemgói tin nào có dấu hiệu vi phạm hay không.Khi có dấu hiệuphạm thì một cảnh báo sẽ được tạo ra và gửi đến giao diệnkhiển
Trang 28III.2 QUY TRÌNH HOẠT ĐỘNG CỦA IDS
Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ
thông báo cho một người hoặc một nhóm đã được chỉ định
trước(thông wa email,cửa sổ popup,trang web v.v…)
Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhậpnày
Các cảnh báo được lưu lại để tham khảo trong tương lai(trên
chỉ cục bộ hoặc trên cơ sở dữ liệu)
Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra
Cảnh báo được so sánh với các dữ liệu khác để xác định xem
có phải là cuộc tấn công hay không
Trang 30III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP
Tấn công từ chối dịch vụ Denial of Services
Denial of Service (DoS) có mục đích đóng băng hay chặn đứng
nguyên hệ thống đích Cuối cùng mục tiêu không thể tiếp cận vàtrả lời các gói tin gửi đến DoS tấn công vào các mục tiêu bao gồm
3 dạng: mạng, hệ thống và ứng dụng
Trang 31III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP
Quét và thăm dò (Scanning và Probe)
Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để
định điểm yếu Việc thăm dò có thể thực hiện bằng cách ping
hệ thống cũng như kiểm tra các cổng TCP hoặc UDP để phát
ra ứng dụng có những lỗi đã được biết tới
Network IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra Host IDS cũng có tác dụng đối với kiểu
công này
Trang 32III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP
Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếmquyền truy cập Khi thành công, chúng sẽ tìm cách phá hoại
thống hoặc đánh cắp thông tin quan trọng
Cả NIDS và HIDS đều có thể xác định được việc thay đổi
quyền trái phép
Trang 33III.3 CÁC KIỂU TẤN CÔNG THƯỜNG GẶP
Tấn công hạ tầng bảo mật (Security infrastructure attack)
Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ
sở hạ tầng bảo mật như tạo tường lửa trái phép, chỉnh sửa tài
khoản của người dung hay thay đổi các quyền của file Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy cập
hay tạo thêm nhiều đường xâm nhập vào hệ thống
HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như trên