So sánh kỹ thuật phát hiện và ngăn chặn xâm nhập của Hệ thống phát hiện xâm nhập mềm và cứng cho trường đại học công nghệ thông tin và truyền thông

Sự đa dạng của IDS và IPS

So sánh giữa IPS và IDS

Ví dụ như nếu kẻ tấn công (Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.

HỆ THỐNG PHÁT HIỆN IDS

• Kiến trúc hệ thống IDS
• Phân loại IDS
• Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập
• Phân loại các dấu hiệu

Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả năng phát hiện sự lạm dụng quyền của người dùng.

HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 3.1. Định nghĩa IPS

• Kiến trúc chung của các hệ thống IPS
• Phân loại hệ thống IPS
• Công cụ hỗ trợ IPS
• Các kỹ thuật xử lý IPS
• Chữ ký và các kỹ thuật xử lý

Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.\\Sự lạm dụng các ứng dụng và những thao tác giao thức các cuộc tấn công đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát.

File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại hệ IPS. Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình thường. Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường.

Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rừ về tấn cụng (attacks), những mối nguy hại và phải biết phát triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình. Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Ví dụ, một số ứng dụng mạng hoặc hệ điều hành có thể gửi nhiều thông điệp Internet Control Message Protocol (ICMP) , có một chữ ký trên cơ sở phát hiện hệ thống có thể giải thích như một nỗ lực của kẻ tấn công để vẽ ra một phân đoạn mạng.

PHÂN TÍCH VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

Triển khai hệ thống phát hiện và ngăn chặn IPS trên router 1 Mục tiêu của mô phỏng

Trên pc cài đặt gói java và tool SDM cho computer và chạy ciscoSDM Tại màn hình SDM Launcher chọn ip của router ips:192.168.12.2. Màn hình load SDM tới máy tính bắt đầu và yêu cầu đổi username và password cho lần đầu tiên sau đó đăng nhập lại với user mới. Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu hình tính năngCisco IOS IPS , theo mặc định, thông báo SDEE không được kích hoạt.

Cửa sổ “Add a signature location” xuất hiện chọn secify sdf using url và chọn tftp (để thực hiện được quá trình copy File .sdf này ở pc chạy tftp ),hoặc có thể qua bước này để chọn add file .SDF từ pc. Tại màn hình này cũng có thể chỉnh lại hoạt động của chữ ký bằng cách kích chọn vào chữ ký->action và chọn lựa hành động muốn ở đây chọn alarm.(hình 19). Lưu ý: trong quá trình nạp signature thêm vào CPU sẽ hoạt động cao và trong lúc nạp không nên làm các hành động khác sẽ làm cho quá trình nạp signature chậm lại.

Kết quả nhận được trờn router ips sẽ gõy ra cảnh bỏo ghi rừ vi phạm chữ ký bao nhiêu và đi với gói tin gì,từ đâu đến đâu. Hệ thống phát hiện và ngăn chặn xâm nhập rất hiệu quả trong lĩnh vực bảo mật cho hệ thống mạng của các doanh nghiệp,tổ chức,công ty có nhu cầu bảo mật cao. Thông qua việc mô phỏng có thể thấy được cách cài đặt và sử dụng tính năng IPS trên router hệ thống sẽ gây ra cảnh báo hay ngắt kết nối nếu vi phạm chữ ký được định nghĩa chữ ký trên ios router.