III. Hệ thống ngăn chặn xâm nhập IPS 1 Định nghĩa IPS
7.2Chữ ký cảnh báo(Signature Alarms)
7. Chữ ký và các kỹ thuật xử lý
7.2Chữ ký cảnh báo(Signature Alarms)
Năng lực của IDS và IPS cảm biến để phát hiện chính xác một cuộc tấn công hoặc vi phạm một chính sách và tạo ra một báo động là quan trọng đối với các chức năng của các bộ cảm ứng. Cuộc tấn công có thể tạo ra các loại sau đây của các báo động: * Sai tích cực: Một sai tích cực là một báo động được kích hoạt bởi giao thông bình thường hoặc một hành động bình thường. Hãy xem xét kịch bản này: chữ ký tạo ra các báo động nếu mật khẩu của bất kỳ thiết bị mạng được nhập không chính xác. Một viên quản trị mạng cố gắng để đăng nhập vào một router Cisco nhưng nhập mật khẩu sai. Các IDS không thể phân biệt giữa một người sử dụng quấy phá hay là một quản trị mạng, và nó tạo ra một báo động.
* Sai phủ định: Một tiêu cực sai xảy ra khi một chữ ký không được tạo ra khi vi phạm lưu lượng được phát hiện. Phạm vi vi phạm giao thông từ ai đó gửi tài liệu bí mật ở bên ngoài mạng công ty để chống lại các cuộc tấn công các máy chủ web của công ty. Sai âm là lỗi trong phần mềm IDS và IPS và cần được báo cáo. Một âm tính giả nên được coi là một lỗi phần mềm chỉ khi IDS và IPS có một chữ ký đã được thiết kế để phát hiện các vi phạm giao thông.
* Đúng tích cực: Một tích cực thực sự xảy ra khi một chữ ký IDS hay IPS đúng bị vi phạm, và một báo động được tạo ra, khi vi phạm lưu lượng được phát hiện. Ví dụ, hãy xem xét một cuộc tấn công Unicode. Cisco IPS cảm biến có chữ ký mà phát
hiện các cuộc tấn công chống lại Unicode Microsoft Internet Information Services (IIS) các máy chủ web. Nếu một cuộc tấn công Unicode là đưa ra đối với các máy chủ web Microsoft IIS, các cảm biến phát hiện các cuộc tấn công và tạo ra một báo động.
* Đúng phủ định: Một tiêu cực thực sự xảy ra khi một chữ ký không đúng khi không vi phạm lưu lượng bị bắt và phân tích. Nói cách khác, cảm biến không kích hoạt, một báo động khi nó bắt và phân tích "mạng lưới giao thông bình thường". bảng-cung cấp một tóm tắt các loại báo động.
Loại cảnh báo Xâm nhập xảy ra/phát hiện
Xâm nhập không xảy ra/không phát hiện Cảnh báo được kích hoạt Đúng tích cực Sai tích cực
Cảnh báo không được kích hoạt
Sai phủ định Đúng phủ dịnh
Cảnh báo xảy ra khi đươc đáp ứn đúng các nhu cầu. phải cân nhắc với lượng cảnh báo nếu xảy ra quá nhiều cảnh báo sẽ khó mà quản lý được và băng thông sẽ bị chiếm do quá trình bắt và phân tích gói tin và việc gây ra cảnh báo nếu cảnh báo ít quá thì sẽ khó khăn trong việc phát hiện hệ thống có bị xâm nhập không nhưng băng thông của hệ thống không bị chiếm.Nếu hệ thống IPS không sử dụng dúng các cảnh báo thì sẽ gây ra cảnh báo sai tích cực. Do đó cần xem xét mức độ cần thiết để gây ra một cảnh báo, đối với IPS signature được phân ra các cấp độ cảnh báo sau: * Thông tin: Hoạt động kích hoạt các chữ ký không được xem là một mối đe dọa trước mắt, nhưng những thông tin được cung cấp thông tin có ích.
* Thấp: mạng lưới hoạt động bất thường được phát hiện rằng có thể được coi như là độc hại, nhưng một mối đe dọa trước mắt là không có khả năng.
* Trung bình: mạng lưới hoạt động bất thường được phát hiện rằng có thể được coi như là độc hại, và là một mối đe dọa trước mắt có thể.
* Cao: tấn công được sử dụng để truy cập hoặc gây ra một cuộc tấn công DoS được phát hiện, và là một mối đe dọa trước mắt là rất có khả năng.
Ngoài các mức được định nghĩa mặc định có thể chỉnh sữa lại cho phù hợp với hệ thống mạng. Để giảm thiểu sai tích cực cần xem xét lưu lượng mạng tồn tại và sau đó mở signature lên để phát hiện xâm nhập không điển hình (trong các đặt tính) theo như các mẫu qui định. Không nên căn cứ vào chữ ký để chỉnh sữa khác mẫu qui định ,mà sử dụng mẫu chữ ký qui định sẵn để so sánh với các lưu lượng mạng đang có, lấy mẫu qui định sẵn làm điểm tựa để quyết định mẫu lưu lương từ đó gây ra cảnh báo.
VI. MÔ PHỎNG
Mô phỏng giúp thấy được tính năng và thấy rõ được hoạt động củng như các bước cấu hình IDS/IPS trên router . Thực hiện tính năng gây ra cảnh báo nếu có vi phạm.
2. Mô hình mô phỏng
3. Công cụ cần thiết để thực hiện mô phỏng
Hệ diều hành window 7 Phần mềm giả lập GNS3 Tool SDM của cisco
Máy PC phải cài gói java để hộ trợ cho SDM 4. Các bước mô phỏng
Dựng mô hình với gns3 như mô hình
Đặt ip cho các các thiết bị như mô hình