Hệ thống IPS là một kỹ thuật kết hợp các ưu điểm của kỹ thuật tường lửa và hệ thống phát hiện xâm nhập IDS. Có khả năng phát hiện các cuộc tấn công và ngăn chặn các cuộc tấn công đó.
Một IPS là một bổ sung chức năng cho tường lửa đó là thêm vào các IDS để phát hiện xâm nhập, khi phát hiện xâm nhập nó sẽ gửi cảnh báo tới tường lửa để thực hiện những luật nhằm ngăn chặn các hành vi xâm nhập.
Yêu cầu của hệ thống IPS: Một hệ thống IPS cần hội tụ đủ các yêu cầu như một IDS như: thực hiện nhanh, chính xác, đưa ra cảnh báo kịp thời, giám sát được luồng lưu lượng lớn, v.v. còn đòi hỏi khả năng ngăn chặn thành công các xâm nhập và chính sách quản lý mềm dẻo.
Thành phần của hệ thống IPS: Tương tự như IDS, một hệ thống IPS cũng gồm ba thành phần chính là:
- Bộ phân tích gói tin - Bộ phát hiện xâm nhập - Bộ phản ứng
Bộ phân tích gói tin: Thành phần này có nhiệm vụ giám sát tất cả các gói tin đi đến mạng để phân tích cấu trúc thông tin của gói tin. Bộ phân tích gói tin đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì, dịch vụ gì, sử dụng loại giao thức nào, v.v. Các thông tin này sẽ được chuyển lên thành phần phát hiện xâm nhập.
Bộ phát hiện xâm nhập: Đây là thành phần quan trọng nhất của hệ thống có nhiệm vụ phát hiện ra các cuộc tấn công. Có hai phương pháp chính để phát hiện tấn công hoặc xâm nhập là phát hiện sự lạm dụng và phát hiện bất thường.
Bộ phản ứng: Khi có dấu hiệu của sự tấn công hoặc xâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu cảnh báo có sự tấn công hoặc xâm nhập đến thành phần phản ứng. Lúc đó thành phần này sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại thành phần này, nếu chỉ đưa ra các cảnh báo tới những người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Thành phần phản ứng này tùy theo hệ thống mà có các chức năng khác nhau.
Yêu cầu của hệ thống IPS: Một hệ thống IPS không những cần đảm bảo được các yêu cầu như một hệ thống IDS, mà còn phải ngăn chặn được các xâm nhập trái phép, ngăn chặn được các cuộc tấn vông và có chính sách quản lý mềm dẻo.
Phân loại hệ thống IPS: Cũng như IDS, IPS có thể chia làm hai loại là dựa trên mạng (NIPS) và dựa trên host (HIPS). Một IPS có khả năng phát hiện và ngăn chặn dựa trên
39
mạng. Hệ thống này có khả năng khóa luồng dữ liệu bằng cách loại bỏ các gói tin cũng như đơn giản hóa việc tìm các luồng dữ liệu đáng ngờ. IPS cũng có thể giám sát cổng trên một switch, nó nhận tất cả các luồng dữ liệu và sau đó gửi những lệnh thích hợp tới bộ định tuyến hay tường lửa để khóa luồng dữ liệu nghi ngờ. Một IPS cũng có khả năng phát hiện và ngăn chặn xâm nhập dựa trên host như là một IDS, nó có thể loại bỏ luồng dữ liệu đi vào.
IPS dựa trên host (Host-Based IPS)
IPS dựa trên host (HIPS) sử dụng cả hai kỹ thuật là: phát hiện sự lạm dụng và phát hiện bất thường để phát hiện tấn công. Trong trường hợp phát hiện sự lạm dụng, sẽ tập trung phần dữ liệu trong các gói tin, tìm kiếm các mẫu đã được cho là độc hại để đưa ra phản ứng. Trong trường hợp phát hiện bất thường, các IPS tìm kiếm các mẫu hành vi khác với hành vi thông thường để đưa ra hành động ngăn chặn.
Ví dụ một số loại hành vi nguy hiểm được ngăn chặn bởi một HIPS như: Thay đổi tài nguyên hệ thống: Rootkits, Trojan horses, và Backdoors hoạt động bằng cách thay đổi tài nguyên hệ thống, chẳng hạn như các thư viện, thư mục, các thiết lập registry và các tài khoản người dùng.
- Khai thác leo thang đặc quyền: Những cuộc tấn công cố gắng để cung cấp cho người dùng thông thường truy cập với quyền quản trị cao nhất.
- Khai thác tràn bộ đệm (Buffer-overflow)
- Truy cập vào danh sách liên hệ thư điện tử: nhiều loại worm lây lan bằng cách gửi một bản sao của chính nó đến các địa chỉ trong sổ địa chỉ thư điện tử của hệ thống cục bộ.
- Lỗ hổng duyệt thư mục (Directory traversal): lỗ hổng này trong một máy chủ web cho phép tin tặc truy cập vào các tập tin một cách trái phép.
IPS dựa trên mạng (Network-Based IPS):
Một IPS dựa trên mạng (NIPS) về bản chất là một inline NIDS với quyền để loại bỏ các gói tin và ngắt các kết nối TCP. Giống như một NIDS, một NIPS cũng sử dụng hai kỹ thuật chính là phát hiện sự lạm dụng và phát hiện bất thường.
Một trong số các kỹ thuật được sử dụng trong NIPS mà không được áp dụng trong tường lửa là bảo vệ luồng dữ liệu. Kỹ thuật này yêu cầu các gói tin trong một luồng phải được nối lại. Thiế bị IPS áp dụng các bộ lọc vào nội dung đầy đủ của luồng mỗi khi một gói tin mới đến. Khi một luồng được xác định là độc hại, các gói tin mới nhất và tất cả các gói tin tiếp theo thuộc luồng đó sẽ bị ngăn chặn.
Một số phương pháp điển hình được sử dụng bởi một thiết bị NIPS để xác định các gói tin độc hại là:
- So khớp mẫu (Pattern matching): quét dữ liệu các gói tin đến để so khớp với chữ ký các cuộc tấn công đã biết được lưu trữ trong cơ sở dữ liệu.
40
- So khớp trạng thái (Stateful matching): quét các dấu hiệu tấn công trong một luồng lưu lượng thay vì từng gói tin riêng.
- Giao thức bất thường (Protocol anomaly): Tìm sự sai khác so với tiêu chuẩn đặt ra trong các RFC.
- Lưu thông bất thường (Traffic anomaly): Theo dõi các hoạt động lưu thông bất thường, chẳng hạn một loạt các gói tin UDP hoặc dịch vụ mới xuất hiện trên mạng.
- Thống kê bất thường (Statistical anomaly): Đặt ra các ngưỡng hoạt động bình thường của lưu lượng và thông lượng, và cảnh báo khi thấy sự sai lệch so với ngưỡng đã đặt ra.
Các kiểu triển khai hệ thống IPS:
Trên thực tế có hai kiểu triển khai IPS thường dùng là: IPS trong luồng và IPS ngoài luồng.
IPS ngoài luồng: hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Như vậy một luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn cho tường lửa ngăn chặn các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng. IPS trong luồng: IPS được đặt trước tường lửa. Ở vị trí này, luồng dữ liệu phải đi qua IPS trước khi đến được tường lửa. IPS sẽ có thêm chức năng chặn lưu thông. Điều này làm cho IPS có thể ngăn chặn luồng dữ liệu nguy hiểm nhanh hơn. Tuy nhiên khi đặt ở vị trí này sẽ làm cho tốc độ luồng dữ liệu ra vào mạng chậm hơn.
Đến đây chúng ta có thể thấy được sự khác biệt giữa IDS và IPS. Về cơ bản IPS có tất cả tính năng của hệ thống IDS. Ngoài ra nó còn có khả năng ngăn chặn các luồng lưu lượng gây nguy hại đến hệ thống. Nó có thể chấm dứt kết nối với của kẻ đang cố gắng tấn công vào hệ thống, bằng cách chặn tài khoản người dùng, địa chỉ IP, hoặc các thuộc tính liên kết đến kẻ tấn công. Hoặc chặn tất cả các truy cập vào máy chủ, dịch vụ, ứng dụng.
Ngoài ra, một IPS có thể phản ứng với các mối đe dọa theo hai cách. Nó có thể cấu hình lại các điều khiển bảo mật khác như bộ định tuyến hoặc tường lửa, để chặn đứng các cuộc tấn công. Một số IPS thậm chí còn áp dụng các bản vá lỗi nếu máy chủ có lỗ hổng. Ngoài ra, một số IPS có thể loại bỏ các nội dung độc hại từ cuộc tấn công, như xóa các tệp tin đính kèm với mail của người dùng mà chứa nội dung nguy hiểm.