CHƯƠNG II: CÁC THÀNH PHÀN CHÍNH CỦA MỘT MÔ HÌNH MẠNG AN TOÀN
1.2.IDS/IPS 1 IDS
1.2.1. IDS
Là từ viết tắt tiếng Anh của Intrusion Detection System hay còn gọi là hệ thống phát hiện các truy nhập trái phép. IDS có nhiệm vụ rà quét các gói tin trên mạng, phát hiện các truy nhập trái phép, các dấu hiệu tấn công hệ thống, và thực hiệncảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn cống trước khi nó xảy ra.
Một hệ thống phát hiện các truy nhập trái phép thường phát hiện tất cả các luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thế phát hiện được. Thông thường các cuộc tấn công trên mạng là tấn công từ chối dịch vụ, phá
hoại dữ liệu trên các ứng dụng, tấn công vào máy trạm như thay đối quyền trên máy, đăng nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là các loại Virus, Trojan, Worm độc hại khác.
Một hệ thống phát hiện truy nhập trái phép IDS bao gồm các thành phần:
Bộ phát hiện (Sensor): Làm nhiệm vụ phát hiện các sự kiện có khả năng
đe dọa an ninh của hệ thống mạng, Sensor có chức năng rà quét nội dung các gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn công hay còn gọi là sự kiện.
Bộ giao diện (Console): Là bộ phận làm nhiệm vụ giám sát các sự kiện,
các cảnh báo được phát hiện và sinh ra tù' các Sensor và điều khiến hoạt động của các bộ Sensor.
Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện
được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật đế đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ thống
hoặc cho người quản trị.
Như vậy, hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”. Các Sensor là bộ phận được bộ trí trên hệ thống tại những điểm cần kiểm soát, Sensor bắt các gói tin trên mạng, phân tích gói tin đế tìm các dấu hiệu tấn công, nếu gói tin có dấu hiệu tấn công, Sensor lập tức đánh dấu đấy là một sự kiện và gửi báo cáo kết quả về cho Engine, Engine ghi nhận tất cả các báo cáo của tất cả các Sensor, luu các báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo đối với sự kiện nhận được. Console làm nhiệm vụ giám sát các sự kiện và cảnh báo đồng thời điều khiến hoạt động của các Sensor.
Signatures: Các Sensor hoạt động theo cơ chế “so sánh với mẫu”, có
nghĩa là các Sensor bắt các gói tin trên mạng, đọc nội dung, so sánh các xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng với mẫu, Sensor đánh dấu đó là một sự kiện hay đã có dấu hiệu tấn công và sinh ra cảnh báo. Các tín hiệu nhận biết các cuộc tấn công được tổng kết và tập hợp thành một bộ gọi là mẫu hay signatures. Thông thường các mẫu này được hình thành dựa trên kinh nghiệm phòng chống tấn công, thành lập các trung tâm chuyên nghiên cứu và đưa ra các mẫu so sánh này tiến hành cung cấp cho hệ thống IDS
trên toàn thế giới.
- Mô hình hoạt động và phân loại của thiết bị phát hiện xâm nhập:
Có nhiều mô hình và cách đế phân loại các hệ thống 1DS, có thế dựa theo loại và vị trí đặt của các Sensor hoặc phương pháp sử dụng của Engine đế sinh ra các cảnh báo. Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor, Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng.
luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch được cấu hình Port mirroring hoặc Network tap đế bắt các gói tin, phân tích nội dung gói tin và tù' đó sinh ra các cảnh báo.
(Port mirroring được sử dụng trong một switch mạng đế gửi một bản sao của tất cả các gói tin trên mạng khi nó đi qua cống của Switch tới một thiết bị giám sát mạng trên cổng khác của Switch đó. Nó thường được sử dụng đế các thiết bị mạng cần giám sát luồng trên mạng, ví dụ hệ thống IDS, Port mirroring trên Switch của Cisco System thường được gọi là Switched Port Analyzer (SPAN) hoặc của 3Com là Roving Analysis Port (RAP).
Network tap là một thiết bị phần cứng cung cấp phuong tiện đế truy nhập vào luồng dữ liệu đi ngang qua một máy tính mạng. Các máy tính mạng bao gồm cả Internet là một tập hợp các thiết bị như máy tính, router, switch và nối với các hệ thống khác. Các kết nối có thể bằng nhiều công nghệ khác nhau như là Etherenet, 802.11, FDDI và ATM. Trong nhiều trường hợp nó được xem như là một thành phần thứ 3 đế giám sát luồng dữ liệu trao đối giữa hai điếm trên mạng, điếm A và điểm B. Neu mạng giữa điểm A và điểm B chứa một kết nối vật lý, một network tap là giải pháp tốt cho việc giám sát. Network tap có ít nhất là 3 cổng kết nối, một cống A, một cống B, và một cống giám sát. Đe đặt Network tap giữa điếm A và điểm B, cáp mạng giữa hai điểm A, B được thay thế bằng một cặp dây, một dây đấu vào cống A và dây kia đấu vào cống B. Network tap cho qua tất cả các dữ liệu giữa A và B vì thế giao tiếp giữa hai điếm A và B vẫn diễn ra bình thường, tuy nhiên dữ liệu trao đổi đã bị Network tap sao chép và đưa vào thiết bị giám sát thông qua cống giám sát).
Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensor được đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensor bắt tất cả các gói tin lun thông trên mạng và phân tích nội dung bên trong của từng gói tin đế phát hiện các dấu hiệu tấn công trong
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ đó là Protocol-based Intrusion Detection System (PIDS) và Application Protocol- based Intrusion Detection System (APIDS).
PIDS và APIDS được sử dụng để giám sát các giao vận và giao thức không hợp lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn ngũ’ giao tiếp.
Hệ thống Protocol-based Intrusion Detection System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường được đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đôi giữa các thiết bị được nối mạng (Một
máy trạm hoặc một hệ thống).
Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm một hệ thống (System) hoặc một thành phần (Agent) thường nằm giữa một nhóm các máy chủ, giám sát và phân tích các trao đối ở lớp ứng dụng của một giao thức định sẵn. Ví dụ; trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao thức SQL để ngăn chặn các truy nhập vào ứng dụng khi trao đổi với cơ sở
Hệ thống Host-based Intrusion Detection System (HIDS)
Trong hệ thống HĨDS, các Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó.
Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent) cài đặt trên các máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách phân tích các trao đối của hệ thống, các bản ghi của các ứng dụng, sự sửa đối các tệp tin trên hệ thống (Các file dạng binary, mật khẩu của file, dung lượng và các acl của các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống đế từ đó phát hiện ra các dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép, Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Engine tiến hành lưu các báo cáo của Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin đế đưa ra các cảnh báo cho người quản trị hoặc hệ thống.
Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống (adsbygoogle = window.adsbygoogle || []).push({});
Network-based IDS và Hệ thống Host-based IDS. Nó kết họp một hoặc nhiều các thành phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu được trên máy trạm (Host agent data) kết hợp với thông tin thu được trên mạng đế có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng.
Hệ thống ngăn ngừa truy nhập trái phép (IPS)