DEFENSE IN DEPTH
2.7 Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IP
Giám sát, theo dõi sự thay đổi, hành vi bất thường hoặc dấu hiệu tấn công trong mạng và hệ thống có thể gặp nhiều khó khăn, nhưng điều này là tối cần thiết đối với giải pháp Defense in Depth. Dù đã có nhiều biện pháp bảo vệ an toàn cho hệ thống mạng, nhưng không thể nào phòng chống tuyệt đối được các mối nguy hại từ bên ngoài. Giải pháp bảo mật theo chiều sâu chỉ rõ, một hệ thống phải có khả năng phát hiện và cảnh bảo tấn công sớm để có các phương án kịp thời bảo vệ các tài sản quan trọng bị thiệt hại.
Nếu không có hệ thống cảnh báo, kẻ xấu có thể xâm nhập vào hệ thống và đạt được mục tiêu xâm nhập, trước khi có người phát hiện ra. Người quản trị nên nắm được những thay đổi của hệ thống hoặc các nguy cơ xâm nhập. Có thể theo dõi những sự thay đổi này theo nhiều cách như: Các máy chủ đồng bộ nhật ký lưu lượng tập trung cho Linux, hoặc các thiết bị thu thập sự cố Window sử dụng WinRM (Quản lý điều khiển của Windows) and WEVTUTIL (Công cụ thu thập diễn biến của Window). Sau khi thu thập được các
diễn biến này, cần tiến hành theo dõi, nghiên cứu dựa trên nhiều thông tin khác để có được mức độ nguy hiểm của từng trường hợp.
IDS( Intrusion Detection System) là hệ thống phát hiện tấn công, có thể khởi động các quy trình ngăn chặn tấn công trên các thiết bị khác. Hệ thống này phát hiện tấn công bằng các phân tích lưu lượng mạng giữa IP nguồn và IP đích, các giao thức, độ dài gói tin,…
IPS (Intrucsion Prevention System) là hệ thóng chặn đứng tấn công trước khi nó xâm nhập vào mạng. Nó cung cấp khả năng bảo vệ mạng dựa vào định danh, phân loại và ngăn chặn các đe dọa như worm, virus, tấn công ứng dụng,…
IDS/IPS là phần quan trọng không thể thiếu trong giải pháp bảo mật theo chiều sâu bởi vốn dĩ hệ thống mạng có rất nhiều lỗ hổng, một cá nhân đơn lẻ chỉ có thể giám sát hoặc phát hiện được một phần rất nhỏ lưu lượng không mong muốn trong hệ thống. Hệ thống IDS/IPS cung cấp một cách tự động để theo dõi và ngăn chặn những sự cố bất ngờ. Tuy nhiên, cũng có những điều IDS/IPS có thể và không thể làm như sau:
IDS/IPS có thể IDS/IPS không thể
• Cảnh báo tấn công: phát hiện hoạt động có thể bảo trước một cuộc tấn công thật sự.
• Cung cấp dữ liệu để xác định điều gì đã xảy ra. • Cho phép nhận thức tình hình thực tế tốt hơn bằng cách giám sát hành vi của mạng • Xác định phần nào của hệ thống đã bị xâm nhập. • Giám sát các hành động được thực hiện bởi hệ thống điều khiển.
• Thực hiện phân tích sự cố.
Một IDS không bị giới hạn bởi hạ tầng mạng. Nó giống như một hệ thống cảnh báo, có thể cảnh báo các hệ thống có thể bị cấu hình sai trên mạng và cảnh báo khi có kẻ xâm nhập vào hệ thống mà sử dụng những phương pháp đã biết. Phương pháp phát hiện xâm nhập chủ yếu thông qua việc thu thập và phân tích thông tin từ nhiều nguồn khác nhau trong máy tính, mạng máy tính và mạng doanh nghiệp, từ đó xác định được các mối đe dọa từ kẻ xâm nhập cả ở trong và ngoài hệ thống.
Hoạt động của IDS/IPS:
- Nếu hoạt động theo kiểu nhận dạng mẫu packet thì nó sẽ so từng packet với những mẫu tấn công mà nó có, nếu trùng => là loại packet tấn công => cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn
công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus.
- Nếu hoạt động theo kiểu smart heuristic thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động).