TRƯỜNG ĐẠI HỌC SÀI GÒN CHƯƠNG 6: IDS – IPS – FIREWALL GV: LƯƠNG MINH HUẤN NỘI DUNG I IDS II IPS III Firewall I IDS Khái niệm IDS Phân loại Ưu nhược điểm Kiến trúc IDS Chức IDS Quy trình hoạt động IDS Các kiểu cơng thường gặp I.1 KHÁI NIỆM IDS ➢IDS (Intrusion Detection System - Hệ thống phát xâm phạm) hệ thống phòng chống, nhằm phát hành động cơng vào mạng ➢Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình cơng qt cổng I.1 KHÁI NIỆM IDS ➢Một tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa thơng báo cho quản trị viên mạng để khóa kết nối cơng ➢Thêm vào cơng cụ IDS phân biệt cơng từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) I.1 KHÁI NIỆM IDS ➢Nhiệm vụ hệ thống phát xâm phạm phòng chống cho hệ thống máy tính cách phát dấu hiệu cơng đẩy lùi ➢Việc phát cơng phụ thuộc vào số lượng kiểu hành động thích hợp I.1 KHÁI NIỆM IDS ➢Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc ➢Bước thực quản trị viên thân IDS I.1 KHÁI NIỆM IDS ➢Khác với firewall, IDS không thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng ➢Một điểm khác biệt khác hai liên quan đến bảo mật mạng, firewall theo dõi xâm nhập từ bên ngăn chặn chúng xảy ra, firewall không phát công từ bên mạng ➢IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống I.1 KHÁI NIỆM IDS ➢Chức ban đầu IDS phát dấu xâm nhập, IDS tạo cảnh báo công công diễn chí sau cơng hồn tất ➢Càng sau, nhiều kỹ thuật tích hợp vào IDS, giúp có khả dự đốn cơng (prediction) chí phản ứng lại công diễn (Active response) I.2 PHÂN LOẠI IDS Phân loại IDS: ➢Phân loại theo phạm vi giám sát: ▪ Network-based IDS (NIDS): IDS giám sát toàn mạng ▪ Host-based IDS (HIDS): IDS giám sát hoạt động máy tính riêng biệt III.3.2 Kiến trúc Screened host ➢Có thể kết hợp nhiều lối vào cho dịch vụ khác ➢Một số dịch vụ phép vào trực tiếp qua packet filtering ➢Một số dịch vụ khác phép vào gián tiếp qua proxy III.3.3 Kiến trúc Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc firewall có tên Sreened Subnet III.3.3 Kiến trúc Screened Subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội khỏi mạng bên ngồi, tách bastion host khỏi host thơng thường khác Kiểu screened subnet đơn giản bao gồm hai screened router: III.3.3 Kiến trúc Screened Subnet Router (External router gọi access router): nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép hầu hết outbound từ mạng ngoại vi Một số qui tắc packet filtering đặc biệt cài đặt mức cần thiết đủ để bảo vệ bastion host interior router bastion host cịn host cài đặt an toàn mức cao Ngoài qui tắc đó, qui tắc khác cần giống hai Router III.3.3 Kiến trúc Screened Subnet Interior Router (còn gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nội trước ngồi mạng ngoại vi Nó khơng thực hết qui tắc packet filtering toàn firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị cơng bastion host bị tổn thương thoả hiệp với bên ngồi III.3.4 Một số mơ hình firewall ISA ➢Mơ hình Edge Firewall ➢Mơ hình 3-Leg Firewall ➢Mơ hình Front back Firewall 3.4 Một số mơ hình firewall ➢Mơ hình Edge Firewall 3.4 Một số mơ hình firewall ➢Mơ hình 3-Leg Firewall 3.4 Một số mơ hình firewall ➢Mơ hình Front Back Firewall III.5 Những hạn chế firewall Tuy firewall có ưu điểm trội tồn hạn chế khiến firewall bảo vệ hệ thống an toàn cách tuyệt đối Một số hạn chế firewall kể sau: III.5 Những hạn chế firewall ➢Firewall không bảo vệ chống lại đe dọa từ bên nội ví dụ nhân viên cố ý nhân viên vơ tình hợp tác với kẻ cơng bên ngồi ➢Firewall khơng thể bảo vệ chống lại việc chuyển giao chương trình bị nhiễm virus tâp tin Bởi đa dạng hệ điều hành ứng dụng hỗ trợ từ bên nội Sẽ không thực tế có lẽ khơng thể cho firewall qt tập tin gởi đến, email… nhằm phát virus III.5 Những hạn chế firewall ➢Firewall bảo vệ chống lại công bỏ qua tường lửa Ví dụ hệ thống bên có khả dial-out kết nối với ISP mạng LAN bên cung cấp modem pool có khả dial-in cho nhân viên di động hay kiểu công dạng social engineering nhắm đếm đối tượng người dùng mạng ... động bình thường II.4.1 ANOMALY DETECTION ➢Nhược điểm: ▪ Chất lượng profile nhận diện bất thường ▪ Thời gian chuẩn bị ban đầu cao ▪ Khơng có bảo vệ suốt thời gian khởi tạo ban đầu ▪ Thường xuyên... xâm nhập là: ▪ Anomaly detection (Phát bất thường) ▪ Misuse detection (Kiểm tra lạm phát) ▪ Policy-Based detection(Kiểm tra sách ) ▪ Protocol analysis (Phân tích giao thức) II.4.1 ANOMALY DETECTION... ban đầu cho hệ thống I .6 QUY TRÌNH HOẠT ĐỘNG CỦA IDS Một host tạo gói tin mạng,gói tin khơng khác so với gói tin khác tồn gởi từ host khác mạng Các cảm biến mạng đọc gói tin khoảng thời gian