3. Cho điểm của cán bộ h− ớng dẫn:
2.3.4.2Hệ thống ngăn chặn xõm nhập (Intrusion Prevent System-IPS)
Giải phỏp ngăn ngừa xõm nhập nhằm mục đớch bảo vệ tài nguyờn, dữ liệu và mạng. Chỳng sẽ làm giảm bớt những mối đe dọa tấn cụng bằng việc loại bỏ lưu lượng mạng bất hợp phỏp, trong khi vẫn cho phộp cỏc hoạt động hợp phỏp được tiếp tục.
IPS ngăn chặn cỏc cuộc tấn cụng dưới những dạng sau:
+ Ứng dụng khụng mong muốn và tấn cụng kiểu “Trojan horse” nhằm vào mạng và ứng dụng cỏ nhõn, qua việc sử dụng cỏc nguyờn tắc xỏc định và danh sỏch kiểm soỏt truy nhập.
+ Cỏc tấn cụng từ chối dịch vụ như “lụt” cỏc gúi tin SYN và ICMP bởi
việc dựng cỏc thuật toỏn dựa trờn cơ sở “ngưỡng”.
+ Sự lạm dụng cỏc ứng dụng và giao thức qua việc sử dụng những qui tắc
giao thức ứng dụng và chữ kớ.
+ Những tấn cụng quỏ tải hay lạm dụng ứng dụng bằng việc sử dụng giới
hạn tài nguyờn dựa trờn cơ sở ngưỡng.
Cấu trỳc của IPS gồm 3 modul chớnh:
Modul phõn tớch gúi, modul phỏt hiện tấn cụng, modul phản ứng.
1) Modul phõn tớch gúi:
Nhiệm vụ phõn tớch cấu trỳc thụng tin trong cỏc gúi tin. Card giao tiếp mạng (NIC) của mỏy giỏm sỏt được đặt ở chế độ khụng phõn loại, cỏc gúi tin qua chỳng đều được sao chộp và chuyển lờn lớp trờn.
Bộ phõn tớch gúi đọc thụng tin từng trường trong gúi tin, xỏc định chỳng thuộc kiểu gúi tin nào, dịch vụ gỡ, .... Cỏc thụng tin này được chuyển đến modul phỏt hiện tấn cụng.
2 ) Modul phỏt hiện tấn cụng:
Modul quan trọng nhất trong hệ thống, cú khả năng phỏt hiện cỏc cuộc tấn cụng. Cú 2 phương phỏp phỏt hiện cỏc cuộc tấn cụng xõm nhập:
+ Dũ tỡm sự lạm dụng (Missuse Detection):
Phương phỏp này phõn tớch cỏc hoạt động của hệ thống, tỡm kiếm dựa trờn cỏc dấu hiệu tấn cụng, tức là cỏc sự kiện giống cỏc mẫu tấn cụng đó biết.
Ưu điểm: phỏt hiện cỏc cuộc tấn cụng nhanh và chớnh xỏc, khụng đưa ra
cỏc cảnh bỏo sai làm giảm khả năng hoạt động của mạng, giỳp người quản trị xỏc định cỏc lỗ hổng bảo mật trong hệ thống của mỡnh.
Nhược điểm: Khụng phỏt hiện được cỏc tấn cụng khụng cú trong mẫu, cỏc
tấn cụng mới. Do đú hệ thống phải luụn cập nhật cỏc mẫu tấn cụng mới. + Dũ tỡm sự khụng bỡnh thường (Anomaly Detection):
Là kĩ thuật dũ thụng minh, nhận dạng ra cỏc hành động khụng bỡnh thường của mạng. Chỳng lưu trữ cỏc mụ tả, sơ lược về cỏc hoạt động bỡnh thường của hệ thống. Cỏc cuộc tấn cụng cú những hành động khỏc so với bỡnh thường cú thể sẽ bị nhận dạng.
Một số kĩ thuật giỳp thực hiện dũ sự khụng bỡnh thường của cỏc cuộc tấn cụng: - Dũ tỡm dựa vào ngưỡng (Threshold detection):
Kĩ thuật này nhấn mạnh thuật ngữ “đếm”, cỏc mức ngưỡng về cỏc hoạt động bỡnh thường được đặt ra.
- Dũ tỡm tự học (Self- learning detection):
Kĩ thuật này gồm 2 bước, khi thiết lập hệ thống phỏt hiện tấn cụng nú sẽ chạy ở chế độ tự học thiết lập một lịch sử để ghi lại cỏc hoạt động của mạng. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ cảm ứng theo dừi cỏc hoạt động bất thường của mạng so với lịch sử đó thiết lập.
- Dũ tỡm giao thức khụng bỡnh thường (Anomaly protocol detection): Căn cứ vào hoạt động của cỏc giao thức, cỏc dịch vụ của hệ thống để tỡm ra cỏc gúi tin khụng hợp lệ, cỏc hoạt động bất thường là dấu hiệu của sự xõm nhập, tấn cụng. Kĩ thuật này hiệu quả trong việc ngăn chặn cỏc hỡnh thức quột mạng, quột cổng để thu thập thụng tin.
38
Phương phỏp dũ sự khụng bỡnh thường của hệ thống hữu hiệu trong việc phỏt hiện cỏc cuộc tấn cụng kiểu từ chối dịch vụ. Nú cú thể phỏt hiện cỏc kiểu tấn cụng mới, cung cấp cỏc thụng tin hữu ớch bổ sung cho phương phỏp dũ sự lạm dụng. Tuy nhiờn, nú thường tạo ra một số cảnh bỏo sai lầm làm giảm hiệu suất hoạt động của mạng.
3) Modul phản ứng:
Khi cú dấu hiệu của sự tấn cụng hoặc xõm nhập thỡ modul phỏt hiện tấn cụng sẽ gửi tớn hiệu thụng bỏo đến modul phản ứng. Khi đú, modul phản ứng sẽ kớch hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn cụng. Tại đõy nếu chỉ đưa ra cỏc cảnh bỏo tới người quản trị và dừng lại ở đú thỡ hệ thống này được gọi là hệ thống phũng thủ bị động.
Một số kĩ thuật ngăn chặn:
+ Chấm dứt phiờn làm việc (Terminate Session):
Hệ thống IPS gửi cỏc gúi tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn cụng bị ngừng lại.
Nhược điểm: thời gian gửi gúi tin reset là quỏ chậm so với cuộc tấn cụng; phương phỏp này khụng hiệu quả với cỏc giao thức hoạt động trờn UDP như DNS; cỏc gúi reset phải cú trường Sequence number đỳng thỡ server mới chấp nhận. Do đú nếu hacker gửi cỏc gúi tin với tốc độ nhanh và trường Sequence number thay đổi thỡ phương phỏp này rất khú thực hiện.
+ Hủy bỏ cỏc gúi tin tấn cụng (Drop Attack):
Dựng firewall để hủy bỏ gúi tin hoặc chặn đứng một gúi tin đơn, một phiờn làm việc, một luồng thụng tin giữa hacker và victim. Tuy vậy, nú dễ lầm với cỏc gúi tin hợp lệ.
+ Thay đổi chớnh sỏch của tường lửa (Modify Firewall Policies):
Cho phộp người quản trị cấu hỡnh lại chớnh sỏch bảo mật khi cuộc tấn cụng xảy ra.
+ Cảnh bỏo tức thỡ (Realtime Alerting):
Gửi cỏc cảnh bỏo thời gian thực đến người quản trị để họ nắm được chi tiết cỏc cuộc tấn cụng, đặc điểm và thụng tin về chỳng.
+ Tạo ra bản ghi log (Log packet):
Cỏc dữ liệu của gúi tin được lưu trong hệ thống cỏc file log để người quản trị cú thể theo dừi cỏc luồng thụng tin, và dựa vào đú giỳp cho modul phỏt hiện tấn cụng hoạt động.
Ba modul trờn hoạt động tuần tự tạo nờn IPS hoàn chỉnh. IPS được xem là thành cụng nếu chỳng hội tụ được cỏc yếu tố như thực hiện nhanh, chớnh xỏc, đưa ra cỏc thụng bỏo hợp lý, phõn tớch được toàn bộ thụng lượng, ngăn chặn thành cụng và cú chớnh sỏch quản lớ mềm.
40