Hệ thống phát hiện và ngăn chặn xâm nhập.

Một phần của tài liệu Tài liệu Khoá luận Bảo đảm ATTT trong kiểm soát truy nhập pdf (Trang 31 - 34)

M ạng riêng ảo làm ạng dành riêng, để kết nối các máy tính của các tổ chức với nhau thông qua mạng Internet công cộng.

2.3.4Hệ thống phát hiện và ngăn chặn xâm nhập.

2.3.4.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp cho việc bảo vệ bằng cách trang bị cho ta thông tin về cuộc tấn công.

IDS không tựđộng cấm các cuộc tấn công hoặc là ngăn chặn kẻ khai thác một cách thành công. Với sự phát triển mới nhất của IDS tức là hệ thống ngăn chặn xâm nhập, thì nó có thể ngăn chặn các cuộc tấn công khi nó xảy ra.

Network IDS (NIDS)- là hệ thống đọc gói tin ngầm (sniffer), và Host IDS (HIDS)- phân tích log, kiểm tra tích hợp. Sự khác nhau chủ yếu giữa NIDS và HIDS là dữ liệu mà nó tìm kiếm. Trong khi NIDS nhìn vào toàn cảnh các chuyển dịch trên mạng, thì HIDS quan sát các host, hệ điều hành và các ứng dụng.

1) HIDS:

Dùng để kiểm soát lưu lượng thông tin ở từng host, có khả năng tạo ra các riêng biệt cho từng loại máy tính, có thể giám sát các kích thước của file, checksum....

Chức năng của HIDS: a) Giám sát Logfile:

Một HIDS đơn giản nhất là thiết bị giám sát logfile, nó cố gắng phát hiện những xâm nhập bằng cách phân tích các log sự kiện của hệ thống.

Giám sát logfile là một nhiệm vụ của hệ thống IDS dựa trên host bởi chúng thực hiện chức năng giám sát chỉ trên một máy. Tuy nhiên nó có thể giám sát trên nhiều host.

Thiết bị giám sát logfile nổi tiếng là swatch (Simple Watcher) (Xem

quét theo định kì, thì swatch quét tất cả các đầu vào log và tạo cảnh báo theo thời gian thực.

Giám sát logfile được coi là hệ thống phát hiện xâm nhập theo cách đặc biệt. Log cũng chứa nhiều thông tin không trực tiếp liên quan đến sự xâm nhập b) Giám sát tính toàn vẹn:

Một công cụ giám sát tính toàn vẹn sẽ nhìn vào cấu trúc chủ yếu của hệ thống để tìm sự thay đổi. Dù có giới hạn nhưng nó có thể thêm vào các lớp bảo vệ cho hệ thống phát hiện xâm nhập.

Giám sát toàn vẹn phổ biến nhất là Tripwire (http://www.tripwire.com). Tripwire nên được cài đặt trên một hệ thống khi nó còn nguyên bản từ nhà sản xuất, với những ứng dụng cần thiết nhất trước khi kết nối với mạng.

Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thống cho thiết bị phát hiện xâm nhập đó là xác định ranh giới an toàn, và điều này chỉ có thể được thiết lập trước khi hệ thống được kết nối với mạng. Nếu không có trạng thái an toàn thì công cụ kiểm tra toàn vẹn bị hạn chế, vì hacker có thể đã giới thiệu những thay đổi của họ với hệ thống trước khi công cụ này hoạt động lần đầu.

2) NIDS

NIDS có nhiệm vụ giám sát toàn bộ hoạt động của một phân đoạn mạng hay một mạng con. Điều trên thực hiện được là nhờ vào việc thay đổi chế độ trên card giao tiếp mạng (NIC) của NIDS.

Để giám sát toàn bộ lưu lượng trên một phân đoạn mạng, hệ thống phân đoạn mạng sẽ chuyển toàn bộ các gói tin này vào stack để phân tích chúng. Chế độ làm việc này gọi là “hỗn độn” (không phân loại). Trong chế độ này, toàn bộ gói tin sẽ bị nghe trộm trên tất cả các giao tiếp trong phân đoạn mạng.

Chức năng của NIDS:

+ Nhận dạng dấu hiệu (signature matchers):

IDS phát hiện các cuộc tấn công dựa trên CSDL về dấu hiệu tấn công. Khi hacker tìm cách khai thác lỗ hổng đã biết thì, IDS cố gắng đưa lỗi đó vào CSDL của mình.

+ Phát hiện những dấu hiệu bất thường:

Phát hiện dấu hiệu bất thường liên quan đến việc thiết lập một nền móng cơ bản của những hoạt động bình thường của hệ thống hoặc các hành vi trên mạng, sau đó cảnh báo cho ta thấy sự chệch hướng xuất hiện.

Sự khác biệt giữa NIDS và HIDS là HIDS chỉ bảo vệ phân đoạn mà nó nằm bên trong đó, chứ không phải toàn bộ mạng con. Ngoài ra HIDS có thể nhìn thấy lưu lượng thông tin trong một hệ thống, mà hệ thống này chưa từng đi ra ngoài mạng, điều này thì NIDS không thể nhận biết được.

2.3.4.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.

IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

+ Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.

+ Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.

+ Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.

+ Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.

Cấu trúc của IPS gồm 3 modul chính:

Modul phân tích gói, modul phát hiện tấn công, modul phản ứng.

Một phần của tài liệu Tài liệu Khoá luận Bảo đảm ATTT trong kiểm soát truy nhập pdf (Trang 31 - 34)

(49 trang)