M ạng riêng ảo làm ạng dành riêng, để kết nối các máy tính của các tổ chức với nhau thông qua mạng Internet công cộng.
3) Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bịđộng.
Một số kĩ thuật ngăn chặn:
+ Chấm dứt phiên làm việc (Terminate Session):
Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽđược bắt đầu lại và cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp
nhận. Do đó nếu hacker gửi các gói tin với tốc độ nhanh và trường Sequence number thay đổi thì phương pháp này rất khó thực hiện.
+ Hủy bỏ các gói tin tấn công (Drop Attack):
Dùng firewall để hủy bỏ gói tin hoặc chặn đứng một gói tin đơn, một phiên làm việc, một luồng thông tin giữa hacker và victim. Tuy vậy, nó dễ lầm với các gói tin hợp lệ.
+ Thay đổi chính sách của tường lửa (Modify Firewall Policies):
Cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra.
+ Cảnh báo tức thì (Realtime Alerting):
Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, đặc điểm và thông tin về chúng.
+ Tạo ra bản ghi log (Log packet):
Các dữ liệu của gói tin được lưu trong hệ thống các file log để người quản trị có thể theo dõi các luồng thông tin, và dựa vào đó giúp cho modul phát hiện tấn công hoạt động.
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách quản lí mềm.
2.3.4.3 Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
Hầu hết các sản phẩm IPS không thể mã hóa và giải mã các gói tin truyền trên mạng. Nếu hacker mã hóa các gói tin của họ bằng công nghệ như SSL, thì hệ thống IPS không thể phát hiện ra.
Các sản phẩm IPS không thể nhận biết được các cuộc tấn công mới. Hầu hết các hệ thống IDS/ IPS đều có một CSDL chứa thông tin về các cuộc tấn công đã từng xảy ra. Nếu hacker dùng cách tấn công khác, thì IPS có thể không phát hiện ra.
Hầu hết hệ thống IPS không thể bảo vệ các ứng dụng web được sửa đổi liên tục. Trong khi đó thực tế các website luôn được nâng cấp, cập nhật thông tin mới, điều này làm cho việc bảo mật diễn ra rất khó.
2.3.5 Tường lửa ứng dụng Web (Web Application Firewall - WAF).
2.3.5.1 Khái niệm WAF.
WAF là công nghệ bảo mật mới xuất hiện cách đây vài năm, nó không chỉ bảo vệ ở tầng mạng, mà còn bảo vệ ở tầng ứng dụng. Nó có khả năng tự động tạo ra mô hình bảo mật động của ứng dụng web một cách chủđộng.
Mục tiêu hoạt động của WAF là: + Duy trì 1 gateway:
Thay vì phải chạy đi lắp miếng vá cho từng ứng dụng, thì nó cung cấp Firewall tại một vị trí duy nhất, nhằm đảm bảo an ninh và chống lại sự tấn công vào mọi luồng dữ liệu web. Như vậy giảm được chi phí và thời gian trong việc bảo đảm an ninh cho các ứng dụng web.
+ Thay đổi mô hình an ninh, ngăn chặn tất cả các cuộc tấn công trước khi chúng kịp xâm nhập vào ứng dụng.
+ Nhằm khắc phục hiện trạng phải vá ứng dụng khi đã bị tấn công, nó xây dựng ngân hàng các dấu hiệu tấn công để kiểm tra, ngăn chặn các cuộc tấn công trước khi chúng kịp xâm nhập vào ứng dụng.
2.3.5.2 Các tính năng của WAF.