Bài giảng An toàn bảo mật mạng do ThS. Trần Đắc Tốt biên soạn, trong chương 4 của bài giảng sẽ giới thiệu về Hệ thống phát hiện và phòng chống xâm nhập, với nội dung trình bày cụ thể: một số khái niệm liên quan, triển khai IDS/IPS và Kiến trúc hệ thống IDS & IPS. Để biết rõ hơn về nội dung chi tiết, mời các bạn cùng tham khảo bài giảng.
TRƯỜNG ĐẠI HỌC CƠNG NGHIỆP THỰC PHẨM TP.HCM AN TỒN BẢO MẬT MẠNG (Network Security) Giảng viên: Ths Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/ IDS & IPS NỘI DUNG MÔN HỌC Chương 1: Tổng quan an tồn bảo mật thơng tin mạng máy tính Chương 2: Tấn cơng mạng máy tính Chương 3: Công nghệ Firewall Chương 4: Hệ thống phát phòng chống xâm nhập (IDS&IPS) Chương 5: An ninh mạng WLAN (IEEE 802.11) Chương 6: Chuẩn an tồn thơng tin IDS & IPS Các nội dung trình bày Một số khái niệm Triển khai IDS/IPS Kiến trúc hệ thống IDS & IPS Một số khái niệm Hệ thống phát phòng chống xâm nhập hợp thành hai hệ thống hệ thống phát xâm nhập (IDS – Instrusion detection system) hệ thống phòng chống xâm nhập (IPS – Instrusion prevention system) IDS hệ thống nhằm phát hành động công vào mạng IPS hệ thống thực thi biện pháp xử lý kết nối, biện pháp phản ứng thực hoàn toàn tự động quản trị viên định phương thức theo dõi, giám sát, ngăn chặn, IDS & IPS Hệ thống phát xâm nhập IDS & IPS Hệ thống phòng chống xâm nhập IDS & IPS Sự khác biệt hệ thống phát phòng chống xâm nhập Cả IDS IPS có khả đo kiểm sốt lưu lượng giao thơng thực tế mạng Nhưng IDS kiểm soát với phương thức xem lưu lượng truy cập, tiến hành chép, cảnh báo vi phạm thực gói tin, kết nối sở đối chiếu với mục tiêu dự định hệ thống đặt IDS & IPS Triển khai IDS Vị trí đặt IDS thường gắn với thiết bị chuyển mạnh, tập trung tín hiệu, điều khiển lưu lượng, dòng chảy mạng tách riêng để chuyển tới phát xâm nhập cảm biến (sensor) Dịng thơng tin dịng qua thiết bị mạng (Network Tap), đảm bảo khơng có luồng thơng tin ngoại lệ hoạt động, trình lưu chuyển thơng tin chuyển tới IDS để thực phân tích IDS & IPS Vị trí triển khai IDS IDS & IPS Triển khai IPS IDS & IPS 10 Triển khai cảm biến Bộ cảm biến triển khai hệ thống mạng theo hai dạng khác chương trình thiết bị mạng, chúng thu thập liệu gói tin qua giao diện mạng, trục mạng chuyển mạch tồn mạng Một lợi lớn sử dụng cảm biến cài đặt mạng có nhiều máy toàn hệ thống cung cấp liệu để phân tích IDS & IPS 17 Tác nhân (Agent) Tác nhân (Agent) thường chuyên biệt để thực chức Một tác nhân thực kiểm tra lưu lượng TCP, kiểm tra FTP (File Transfer Protocol), kiểm tra kết nối cố gắng kết nối Ngoài ra, tác nhân liên kết đến cơng cụ bên thứ ba, chẳng hạn công cụ giám sát mạng, truy tìm kết nối, để phối hợp phân tích mở rộng phạm vi chức tác nhân thực báo cáo cho quản lý trung tâm IDS & IPS 18 Các chức agent Thu thập hiển thị cảnh báo giao diện điều khiển Kích hoạt máy nhắn tin gọi số điện thoại di động Lưu trữ thông tin cố sở liệu Lấy thêm thơng tin có liên quan đến cố Gửi thông tin đến máy chủ, yêu cầu dừng hoạt động tạm thời để thực hướng dẫn định nhớ Gửi lệnh đến tường lửa thiết bị định tuyến để thay đổi, thiết lập, kiểm soát danh sách truy cập Cung cấp giao diện quản lý, giao diện người dùng với quản lý IDS & IPS 19 Bộ quản lý trung tâm Bộ quản lý trung tâm cho phép dễ dàng việc phân tích thông tin từ nhiều hướng, nhiều điểm, nhiều nguồn, tất thơng tin tập hợp sẵn sàng địa điểm Ngoài ra, ghi liệu hệ thống trung tâm đảm bảo việc rà sốt đối chiếu thơng tin sác kẻ công làm thay đổi thông tin gốc máy bị chiếm quyền điều khiển IDS & IPS 20 Triển khai quản lý Khi triển khai xong hệ thống phát phòng chống xâm nhập, địi hỏi phải có khu vực quản lý, kiểm sốt tồn hoạt động thành phần thiết lập tồn hệ thống Có thể triển khai việc quản lý theo mơ hình sau: Mơ hình quản lý theo cấp mơ hình quản lý theo vai trò IDS & IPS 21 Quản lý phân cấp IDS & IPS 22 Quản lý theo vai trò IDS & IPS 23 Mơ hình chống chịu lỗi hệ thống quản lý IDS & IPS 24 Kiến trúc hệ thống Kiến trúc hệ thống phát xâm nhập bao gồm bảy thành phần, thành phần số chịu trách nhiệm cho nhiệm vụ cụ thể Thành phần xử lý nguồn liệu chịu trách nhiệm tương tác với tệp nhật ký (log file), điều hợp mạng (Network adapter – NIC) hệ điều hành để có liệu, sở hệ thống xác định diện vụ cơng Thành phần quản lý có nhiệm vụ kiểm soát tất thành phần khác hệ thống phát xâm nhập tổ chức tương tác hoạt động nội bộ, kiện bên hệ thống IDS & IPS 25 Kiến trúc hệ thống phát xâm nhập IDS & IPS 26 Phối hợp thành phần hệ thống phát xâm nhập IDS & IPS 27 Kiến trúc cảm biến Bộ cảm biến có nhiệm vụ phát xâm nhập tích hợp với thành phần thu thập liệu Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ IDS & IPS 28 Phân giai đoạn thực phát xâm nhập IDS & IPS 29 Phân lớp Cách phân lớp chức phổ biến sử dụng với IDS phân làm lớp khác nhau: Lớp chức thu thập thông tin theo kiện, lớp chức phát xâm nhập, lớp chức phản ứng Tuy nhiên, số trường hợp, hệ thống triển khai theo nguyên lý cấu trúc tác nhân để hợp thành lớp chức năng, nơi thành phần nhỏ tổ chức máy đặt mạng bảo vệ IDS & IPS 30 Câu hỏi ? Ý kiến ? Đề xuất ? IDS & IPS 31 ... HỌC Chương 1: Tổng quan an tồn bảo mật thơng tin mạng máy tính Chương 2: Tấn cơng mạng máy tính Chương 3: Cơng nghệ Firewall Chương 4: Hệ thống phát phòng chống xâm nhập (IDS&IPS) Chương 5: An. .. Chương 4: Hệ thống phát phòng chống xâm nhập (IDS&IPS) Chương 5: An ninh mạng WLAN (IEEE 802.11) Chương 6: Chuẩn an tồn thơng tin IDS & IPS Các nội dung trình bày Một số khái niệm Triển khai IDS/IPS... IDS & IPS 14 Triển khai cảm biến DMZ IDS & IPS 15 Triển khai cảm biến theo phương thức hỗn hợp IDS & IPS 16 Triển khai cảm biến Bộ cảm biến triển khai hệ thống mạng theo hai dạng khác chương trình