firewalls, instrution detection and prevention

1 Mục lục Firewalls 1.1 Khái niệm Firewall 1.1.1 Giới thiệu 1.1.2 Firewall cho mạng .4 1.2 Chức 1.3 Cấu trúc .5 1.4 Các thành phần Firewall chế hoạt động .5 1.4.1 Các thành phần 1.4.2 Cơ chế hoạt động Firewalls 1.5 Các loại Firewall 10 1.6 Kỹ thuật Firewall .10 1.7 Hạn chế Firewall .11 1.8 Một số mơ hình Firewall 12 1.8.1 Packet – Filtering Router ( Bộ trung chuyển có lọc gói) 12 1.8.2 Screened Host Firewall .13 1.8.3 Demilitarized Zone (khu vực phi quân hoá - DMZ) hay Screened-subnet Firewall 15 1.8.4 Proxy server 16 Instrution Detection and Prevention Systems 19 2.1 Tổng quan phát xâm nhập ngăn chặn xâm nhập .19 2.2 Hệ thống phát xâm nhập IDS 19 2.2.1 Chức 19 2.2.2 Phân loại IDS 20 2.2.3 Ưu nhược điểm hệ thống phát xâm lấn IDS 21 2.3 Hệ thống ngăn chặn công xâm nhập IPS 21 2.3.1 Phân loại IPS .22 2.3.2 Ưu điểm hạn chế IPS 23 2.4 Kết luận 23 Firewalls 1.1 Khái niệm Firewall 1.1.1 Giới thiệu Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy nhập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế để bảo vệ mạng tin tưởng khỏi mạng không tin tưởng Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia Internet Vai trị bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên cấm truy nhập từ bên tới số địa định Internet 3 Hình 1.1: Mơ hình tường lửa đơn giản Một cách vắn tắt, firewall hệ thống ngăn chặn việc truy nhập trái phép từ bên vào mạng kết nối không hợp lệ từ bên Firewall thực việc lọc bỏ địa không hợp lệ dựa theo quy tắc hay tiêu định trước Firewall hệ thống phần cứng, phần mềm kết hợp hai  Firewall cứng : Là firewall tích hợp Router Đặc điểm Firewall cứng: - Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) - Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) - Firewall cứng kiểm tra nột dung gói tin Ví dụ Firewall cứng : NAT (Network Address Translate)  Firewall mềm : Là Firewall cài đặt Server Đặc điểm Firewall mềm: - Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức - Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) - Firewal mềm kiểm tra nội dung gói tin (thơng qua từ khóa) Ví dụ Firewall mềm : Zone Alarm, Norton Firewall 1.1.2 Firewall cho mạng Một tường lửa mạng hệ thống cụm hệ thống sử dụng để điều khiển việc truy cập mạng : mạng tin tưởng (trusted network) mạng không tin tưởng ( untrusted network) sử dụng luật lọc cấu hình trước Các tường lửa tạo nhiều router, nhiều hệ thống máy chủ chạy ứng dụng Firewall, thiết bị phần cứng có cung cấp dịch vụ Firewall kết hợp phận Có nhiều cách khác thiết kế hệ thống tường lửa phụ thuộc vào tính năng, kiến trúc, giá Do để có giải pháp tường lửa hoạt động hiệu tổ chức việc quan trọng phải hiểu giải pháp tường lửa khác khơng thể làm 1.2 Chức Chức Firewall kiểm sốt luồng thơng tin Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet - Cho phép cấm dịch vụ truy cập - Cho phép cấm dịch vụ từ truy cập vào - Theo dõi luồng liệu mạng Internet Intranet - Kiểm soát địa truy nhập, cấm cho phép địa truy nhập - Kiểm soát người dùng việc truy cập người dùng - Kiểm sốt nội dung thơng tin lưu chuyển mạng Khi Firewall hoạt động, khảo sát tất luồng lưu lượng hai mạng để xem luồng lưu lượng có đạt chuẩn hay khơng Nếu đạt, định tuyến mạng, ngược lại, lưu lượng bị hủy 5 Bộ lọc Firewall có khả lọc lưu lượng lẫn lưu lượng vào Nó quản lý việc truy cập từ bên vào nguồn tài nguyên bên mạng Firewall sử dụng để ghi lại tất cố gắng truy nhập vào mạng riêng đưa cảnh báo kịp thời thâm nhập trái phép Firewall lọc gói tin dựa vào địa nguồn, địa đích số cổng chúng, gọi lọc địa Firewall lọc loại lưu lượng đặc biệt mạng gọi lọc giao thức Một số Firewall có chức cao cấp như: đánh lừa Hacker, làm cho Hacker nhầm tưởng phá vỡ hệ thống an toàn bản, phát cơng tiếp quản nó, dẫn dắt kẻ cơng theo hướng định nhằm để Hacker tin họ vào phần hệ thống truy cập xa hơn, họat động kẻ cơng ghi lại theo dõi 1.3 Cấu trúc Firewall bao gồm : - Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router - Các phần mềm quản lí an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) 1.4 Các thành phần Firewall chế hoạt động 1.4.1 Các thành phần Firewall chuẩn gồm hay nhiều thành phần sau :  Bộ lọc packet (packet- filtering router)  Cổng ứng dụng (application-level gateway hay proxy server)  Cổng mạch (circuite level gateway) 1.4.2 Cơ chế hoạt động Firewalls  Bộ lọc packet: Firewall hoạt động chặt chẽ với giao thức TCP/IP, giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành gói liệu (data packets) gán cho gói địa nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Hình 1.2: Lọc gói tin Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (header), dùng phép truyền packet mạng Bao gồm: • Địa IP nơi xuất phát (Source) • Địa IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thơng báo ICMP • Giao diện packet đến • Giao diện packet Nếu packet thỏa luật lệ thiết lập trước Firewall packet chuyển qua, khơng thỏa bị loại bỏ Việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định phép vào hệ thống mạng cục  Ưu điểm - Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet đảm bảo thông qua lưu lượng mạng - Bộ lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt  Hạn chế Việc định nghĩa chế độ lọc packet việc phức tạp, địi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển  Cổng ứng dụng (application-level gateway hay proxy server) Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service (dịch vụ uỷ quyền) Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code (mã uỷ nhiệm) định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài chủ (bastion host), thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host : - Bastion host chạy version (phiên bản) an toàn phần mềm hệ thống (Operating system) Các version an toàn thiết kế chun cho mục đích chống lại cơng vào Operating System, đảm bảo tích hợp firewall - Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ cài đặt, khơng thể bị cơng Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host - Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card - Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống - Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại - Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ proxy có vấn để  Ưu điểm: - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá - Cổng ứng dụng cho phép kiểm tra độ xác thực tốt có nhật ký ghi chép lại thơng tin truy nhập hệ thống 9 - Luật lệ filtering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet  Hạn chế: Yêu cầu users thực thao tác chỉnh sửa phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ bước Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet  Cổng mạch (circuite level gateway) Cổng mạch chức đặc biệt thực cổng ứng dụng Cổng mạch đơn giản chuyển tiếp kết nối TCP mà không thực hành động xử lý hay lọc packet Hình 1.3 minh hoạ hành động sử dụng nối telnet qua cổng mạch Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet Cổng mạch làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall nên che dấu thơng tin mạng nội out in out in out in outside host Circuit-level Gateway Inside host Hình 1.3: Cổng mạch Cổng mạch thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết 10 nối đến cổng mạch cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ cơng bên ngồi 1.5 Các loại Firewall Firewall lọc gói thường định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thông tin header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại firewall có hai cửa nối đến mạng khác Ví dụ cửa nối tới mạng bên ngồi khơng tín nhiệm cịn cửa nối tới mạng nội tín nhiệm Đặc điểm lớn firewall gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an toàn cao so với hệ thống Firewall lọc gói thơngthường đảm bảo an tồn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an tồn nhất, đảm bảo chức an toàn tầng ứng dụng 1.6 Kỹ thuật Firewall Lọc khung (Frame Filtering): Hoạt động hai tầng mơ hình OSI, lọc, kiểm tra mức bit nội dung khung tin Trong tầng khung liệu không tin cậy bị từ chối trước vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mơ hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận Nó kiểm tra 11 toàn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc packet dựa vào thông tin Packet header Nếu quy tắc lọc packet thoả mãn gói tin chuyển qua Firewall Nếu khơng bị bỏ Như Firewall ngăn cản kết nối vào hệ thống khoá việc truy nhập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng thường cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngồi trường địa IP kiểm tra cịn có thông tin khác kiểm tra với quy tắc tạo Firewall, thơng tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có hai loại : a Packet filtering Firewall : Hoạt động tầng mạng mơ hình OSI hay tầng IP mơ hình TCP/IP Kiểu Firewall không quản lý giao dịch mạng b Circuit level gateway : Hoạt động tầng phiên mơ hình OSI hay tầng TCP mơ hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống người dùng cuối (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạng thái người truy nhập 1.7 Hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa 12 Firewall ngăn chặn công công khơng "đi qua" Một cách cụ thể, firewall chống lại công từ đường dial-up, dị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà qt virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt firewall Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi 1.8 Một số mơ hình Firewall 1.8.1 Packet – Filtering Router ( Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến bao gồm packet-filtering router đặt mạng nội Internet Một packe-filtering router có hai chức : chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay t chi truyn thụng Bên Packet filtering router The Internet Hỡnh 1.4: Packet-filtering router Bên Mạng nội bé 13 Căn bản, quy luật lọc định nghĩa cho host mạng nộ quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mơ hình cấu trúc firewall tất khơng ràng có nghĩa bị từ chối  Ưu điểm: - Giá thành thấp, cấu hình đơn giản - Trong suốt user  Hạn chế: - Dễ bị cơng vào lọc mà cấu hình đặt khơng hồn hảo bị cơng ngầm dịch vụ phép - Do cac packet trao đổi trực tiếp hai mạng thông qua router, nguy bị công định số lượng host dịch vụ phép Điều dẫn đến host phép truy nhập trực tiếp vào Internet cần phải cung cấp hệ thống xác thực phức tạp thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu công không - Nếu packet-filtering router cố ngừng hoạt động , tất hệ thống mạng nội bị công 1.8.2 Screened Host Firewall Hệ thống bao gồm packet-filtering router bastion host (pháo đài chủ) Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network tầng ứng dụng Đồng thời kẻ công phải phá vỡ hai tầng bảo mật để cơng vào mạng nội 14 Bªn Bên Packet filtering router Bastion host máy nội bé The Internet Information server Hình 1.5: Single- Homed Bastion Host Trong hệ thống này, bastion host cấu hình mạng nội Quy luật filtering router định nghĩa cho tất hệ thống bên ngồi truy nhập bastion host Việc truyền thông tới tất hệ thống bên bị khố, hệ thống nội bastion host mạng, sách bảo mật tố chức định xem hệ thống nội phép truy nhập trực tiếp vào bastion Internet chúng phải sử dụng dịch vụ proxy bastion host Việc bắt buộc user nội thực cách đặt cấu hình lọc router cho chấp nhận truyền thông nội xuất phát từ bastion host  Ưu điểm : Máy chủ cung cấp thông tin cơng cộng qua dịch vụ Web FTP đặt packet-filtering router bastion Trong trường hợp u cầu độ an tồn cao nhất, bastion host chạy dịch vụ proxy yêu cầu tất user truy nhập qua bastion host trước nối với máy chủ Trường hợp không u cầu độ an tồn cao máy nội nối thẳng với máy chủ Nếu cần độ bảo mật cao dùng hệ thống firewall dual-home (hai chiều) bastion host Một hệ thống bastion host có giao diện mạng (network interface), khả truyền thơng trực tiếp hai giao diện qua dịch vụ proxy l b cm 15 Bên Bên Packet filtering router Bastion host m¸y néi bé The Internet Information server Hình 1.6: Dual- Homed Bastion Host  Hạn chế : Bởi bastion host hệ thống bên truy nhập từ Internet, công giới hạn đến bastion host mà Tuy nhiên, người dùng truy nhập vào bastion host họ dễ dàng truy nhập tồn mạng nội Vì cần phải cấm không cho người dùng truy nhập vào Bastion Host 1.8.3 Demilitarized Zone (khu vực phi quân hoá - DMZ) hay Screened- subnet Firewall Hệ thống bao gồm hai packet-filtering router bastion host Hệ thống có độ an tồn cao cung cấp mức bảo mật network application, định nghĩa mạng “phi qn sự” Mạng DMZ đóng vai trị mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ truyền trực tiếp qua mạng DMZ Với thơng tin đến, router ngồi chống lại công chuẩn (như giả mạo địa IP) điều khiển truy nhập tới DMZ Hệ thống cho phép bên truy nhập vào bastion host Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host 16 information server Quy luật filtering router yêu cầu sử dụng dịch vụ proxy cách cho phép thông tin bắt nguồn từ bastion host  Ưu điểm: Kẻ công cần phá vỡ tầng bảo vệ : router ngoài, bastion host router Bởi router ngồi quảng cáo DMZ network tới Internet, hệ thống mạng nội khơng thể nhìn thấy, có số hệ thống chọn DMZ biết đến Internet qua routing table DNS niformation exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo uer bên bắt buộc phải truy nhập Internet qua dịch vụ proxy Bªn DMZ Bªn ngoµi Packet filtering router Bastion host The Internet Outside router Inside router Information server Hình 1.7 : Mơ hình Screened-Subnet Firewall 1.8.4 Proxy server Chúng ta xây dựng Firewall theo kiến trúc application-level gateway (cổng vào mức ứng dụng), theo chương trình proxy (uỷ quyền) đặt gateway cách mạng bên tới Internet 17 Bộ chương trình proxy phát triển dựa công cụ xây dựng Internet Firewall TIS (Trusted Information System - Hệ thống thông tin tin cậy), bao gồm chương trình đặt lại cấu hình hệ thống để nhằm mục đích xây dựng Firewall Bộ chương trình thiết kế để chạy hệ Unix sử dụng TCP/IP với giao diện socket Berkeley Hình 1.8: Mơ hình Proxy đơn giản Bộ chương trình proxy thiết kế cho số cấu hình firewall, theo dạng bản: dual-home gateway, screened host gateway screened subnet gateway Thành phần bastion host firewall đóng vai trị người chuyển tiếp thơng tin, ghi nhật ký truyền thông cung cấp dịch vụ, địi hỏi độ an tồn cao Proxy server giống vệ sĩ bảo vệ khỏi rắc rối internet Một Proxy server thường nằm bên tường lửa, trình duyệt web server thật, làm chức tạm giữ yêu cầu Internet máy khách để chúng không giao tiếp trực tiếp Internet Người dùng không truy cập trang web không cho phép (bị cơng ty cấm ).Ví dụ : Khơng muốn nhân viên mua bán cổ phiếu làm việc admin dùng Proxy server để khóa việc truy cập vào site tài số Mọi yêu cầu máy khách phải qua Proxy server, địa IP có proxy, nghĩa Web site lưu trữ cục bộ, trang đươc truy cập mà không cần phải kết nối Internet, khơng có Proxy server trang không bị cấm 18 yêu cầu chuyển đến server thật Internet Proxy server lưu trữ cục trang Web thường truy cập đệm dẫn đến giảm chi phí mà tốc độ hiển thị trang Web nhanh Proxy server bảo vệ mạng nội khỏi bị xác định bên cách mang lại cho mạng hai định danh : cho nội bộ, cho bên Điều tạo “bí danh” giới bên ngồi gây khó khăn người dùng “tự tung tự tác” hay tay bẻ khóa muốn xâm nhập trực tiếp máy Proxy server làm cho việc sử dụng băng thông hiệu 19 Instrution Detection and Prevention Systems 2.1 Tổng quan phát xâm nhập ngăn chặn xâm nhập Instrution Detection and Prevention Systems ( Hệ thống phát ngăn chặn xâm nhập trái phép (IDS/IPS) Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu xâm nhập bất hợp pháp Xâm nhập bất hợp pháp định nghĩa cố gắng tìm cách để xâm hại đến tính tồn vẹn, tính sẵn sàng, tính tin cậy cố gắng vượt qua chế bảo mật hệ thống máy tính hay mạng Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng ta làm giảm bớt mối đe dọa công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hồn hảo- khơng có báo động giả làm giảm suất người dung cuối khơng có từ chối sai tạo rủi ro mức bên môi trường Một hệ thống chống xâm nhập (Instrution Prevention System – IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ thống IDPS – Instrusion Detection and Prevention System 2.2 Hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập trái phép ứng dụng phần mềm chuyên dụng để phát xâm nhập vào hệ thống mạng cần bảo vệ IDS thiết kế khơng 20 phải với mục đích thay phương pháp bảo mật truyền thống, mà để hồn thiện 2.2.1 Chức Chức quan trọng là: giám sát – cảnh báo – bảo vệ  Giám sát: Lưu lượng mạng hệ thống khả nghi  Cảnh báo: Báo cáo tình trạng mạng cho hệ thống nhà quản trị  Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Ngoài ra, IDS có chức mở rộng như: - Phân biệt: Tấn cơng bên cơng bên ngồi - Phát hiện: Những dấu hiệu bất thường dựa biết dựa vào so sánh thơng lượng mạng với baseline 2.2.2 Phân loại IDS Có nhiều loại IDS khác nhau, loại có chức nhiệm vụ riêng Dựa phạm vị giám sát IDS chia làm loại: • NIDS: Network-based Intrusion Detection Systems thường bố trí điểm dễ bị công hệ thống NIDS sử dụng để giám sát traffic đến từ tất thiết bị mạng Điểm cộng lớn NIDS quét tất traffic inbound outbound, việc làm giảm tốc độ chung mạng 21 Hình 2.1: NIDS sử dụng để giám sát traffic đến từ tất thiết bị mạng • HIDS: Host- Based Intrusion Detection Systems, hệ thống phát xâm nhập hoạt động tất thiết bị hệ thống kết nối Internet HIDS giám sát gói liệu inbound outbound từ thiết bị hành động đáng ngờ cấp truy cập nội Phân loại IDS theo kĩ thuật thực hiện: • Signature-Based: Đây IDS hoạt động dựa chữ ký, giám sát gói tin mạng tương tự cách phần mềm diệt virus hoạt động Tuy nhiên SignatureBased khơng phát mối đe dọa mới, chữ ký để nhận biết chưa IDS cập nhật • Anomaly-Based: IDS sử dụng để phát mối đe dọa dựa bất thường Anomaly-Based giám sát traffic mạng so sánh với baseline thiết lập từ trước Baseline xác định đâu mức bình thường mạng cảnh báo cho quản trị viên mạng người dùng phát traffic truy cập bất thường khác biệt so với baseline Ngồi ra: • Passive: Đây IDS thụ động phát cảnh báo Khi phát traffic đáng ngờ độc hại, tạo gửi cảnh báo đến nhà quản trị người dùng Những hành động sau phụ thuộc vào người quản trị • Reactive: Loại IDS ngồi nhiệm vụ IDS Passive, thực hành động thiết lập sẵn để phản ứng lại mối đe dọa cách nhanh chóng, ví như: chặn nguồn truy cập, khóa IP 2.2.3 Ưu nhược điểm hệ thống phát xâm lấn IDS  Ưu điểm IDS  Thích hợp sử dụng để thu thập số liệu, giúp kiểm tra cố xảy hệ thống mạng với chứng thuyết phục  Đem đến nhìn bao qt tồn diện tồn hệ thống mạng 22  Là cơng cụ thích hợp để thu thập chứng phục vụ cho việc kiểm tra cố hệ thống mạng  Nhược điểm IDS • Nếu khơng cấu hình hợp lý dễ gây tình trạng báo động nhầm • Khả phân tích lưu lượng mã hóa tương đối thấp • Chi phí triển khai, phát triển vận hành hệ thống tương đối lớn 2.3 Hệ thống ngăn chặn công xâm nhập IPS IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập khơng mong muốn Chức IPS xác định hoạt động nguy hại, lưu giữ thơng tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS khả theo dõi, giám sát cịn có chức ngăn chặn kịp thời hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS 2.3.1 Phân loại IPS Phân loại IPS thành loại: Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion Prevention) thường triển khai trước sau firewall Khi triển khai IPS trước firewall bảo vệ tồn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiểu nguy bị công từ chối dịch vụ đồi với firewall Khi triển khai IPS sau firewall phịng tránh số kiểu cơng thơng qua khai thác điểm yếu thiết bị di động sử dụng VPN để kết nối vào bên 23 Hình 2.2: NIPS Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention) thường triển khai với mục đích phát ngăn chặn kịp thời hoạt động thâm nhập host Để ngăn chặn cơng, HIPS sử dụng công nghệ tương tự giải pháp antivirus Ngoài khả phát ngăn ngừa hoạt động thâm nhập, HIPS cịn có khả phát thay đổi tập tin cấu hình Hình 2.3: HIPS 2.3.2 Ưu điểm hạn chế IPS  Ưu điểm:  Cung cấp giải pháp bảo vệ toàn diện tài nguyên hệ thống 24  Ngăn chặn kịp thời công biết chưa biết  Hạn chế: - Có thể gây tình trạng phát nhầm (faulse positives), khơng cho phép truy cập hợp lệ tới hệ thống 2.4 Kết luận So sánh IDS IPS Cả IDS / IPS đọc gói mạng so sánh nội dung với sở liệu mối đe dọa biết Sự khác biệt chúng xảy IDS công cụ phát giám sát không tự thực IPS hệ thống điều khiển chấp nhận từ chối gói dựa quy tắc IDS yêu cầu người hệ thống khác xem xét kết xác định hành động cần thực tiếp theo, cơng việc tồn thời gian tùy thuộc vào lượng lưu lượng truy cập mạng tạo ngày IDS làm cho công cụ pháp y sau khám nghiệm tử thi tốt để CSIRT sử dụng phần điều tra cố an ninh họ Mục đích IPS, mặt khác, để bắt gói nguy hiểm thả chúng trước chúng đến mục tiêu chúng Nó thụ động IDS, cần yêu cầu sở liệu cập nhật thường xuyên với liệu mối đe dọa * Điểm nhấn mạnh: IDS / IPS hiệu sở liệu công mạng họ Luôn cập nhật chúng sẵn sàng thực điều chỉnh thủ công công nổ tự nhiên / chữ ký cơng khơng có sở liệu ... làm cho việc sử dụng băng thông hiệu 19 Instrution Detection and Prevention Systems 2.1 Tổng quan phát xâm nhập ngăn chặn xâm nhập Instrution Detection and Prevention Systems ( Hệ thống phát ngăn... ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ thống IDPS – Instrusion Detection and Prevention System 2.2 Hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập trái phép ứng dụng... dung cuối khơng có từ chối sai tạo rủi ro mức bên môi trường Một hệ thống chống xâm nhập (Instrution Prevention System – IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn