1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.4.3 Phát hiện sự xâm nhập tường lửa IOS
Đặc tính Hệ thống phát hiện sự xâm nhập tường lửa IOS (IOS Firrewall
Intrusion Detection System – IDS) mở rộng những đặc tính phát hiện xâm nhập tới
các bộ định tuyến Cisco và cung cấp một phương pháp hiệu quả để mở rộng dịch vụ bảo mật qua những ranh giới mạng. Các hệ thống phát hiện sự xâm nhập cung cấp một mức bảo vệ bên ngoài tường lửa bằng việc bảo vệ mạng khỏi tấn công từ bên trong và từ bên ngoài vào và những đe dọa gây ra bởi những bộ định tuyến chuyển tiếp lưu lượng từ mạng này sang mạng khác. Bằng việc thúc đẩy những đặc tính của phát hiện sự xâm nhập IDS, bộ định tuyến có thể làm việc như một bộ thăm dò đường vào khảo sát các gói tin và lưu lượng để so với các dấu hiệu IDS hiện thời, như vậy việc cung cấp thiết bị thăm dò và cảm biến cùng các đặc tính có thể được cung cấp mà không thêm phần cứng bổ sung lên trên mạng. Phát hiện sự xâm nhập cần phải được triển khai trong tất cả các bộ phận của mạng ngoại trừ các những phần tử lớp lõi trong thiết kế mạng.
Phát hiện sự xâm nhập gồm có ba thành phần :
− Bộ cảm biến (Sensor) – Một thiết bị mạng – trong trường hợp này là bộ định tuyến có nạp tập đặc tính tường lửa IDS – sử dụng phương tiện rules-based để phiên dịch số lượng lớn của lưu lượng mạng IP thành các trường hợp bảo mật có ý nghĩa. Phần tử cảm biến cũng có thể ghi dữ liệu bảo mật và đóng các phiên TCP.
− Thiết bị quản lý (Director) – Một thiết bị cung cấp sự quản lý tập trung và báo cáo đối với các vấn đề bảo mật. Những phần tử cảm biến được quản lý qua một giao diện người dùng đồ họa, và Thiết bị quản lý có thể cung cấp một số những dịch vụ khác bên ngoài báo cáo tập trung.
− Văn phòng dữ liệu (Post Office) – Một giao thức cung cấp cho mạng đường trục tất cả các thiết bị IDS truyền thông giữa nhau.
IOS Firewall IDS sử dụng việc theo dõi thời gian thực những gói mạng để phát hiện ra sự xâm nhập hoặc hoạt động mạng cố tình gây hại thông qua việc sử dụng các dấu hiệu tấn công. IOS Firewall IDS tìm kiếm những mẫu dùng sai bằng
việc khảo sát phần dữ liệu hoặc phần mào đầu của những gói mạng. Hiện nay, IOS Firewall IDS nhận dạng 59 dấu hiệu tấn công.
Khi IOS Firewall IDS phát hiện ra lưu lượng mạng khả nghi, và trước khi lưu lượng gây ra khóa chính sách bảo mật của mạng, IDS trả lời và khóa tất cả sự hoạt động tới một máy chủ syslog hoặc tới thiết bị quản lý IDS sử dụng giao thức POP (Post Office Protocol).
Những người quản lý bảo mật có khả năng về phần mềm IOS Firewall IDS để cấu hình cách thức trả lời các gói tin phù hợp với một trong những dấu hiệu tấn công đã được đề cập. Phần mềm IOS Firewall IDS có thể được cấu hình để sử dụng bốn phương pháp khác nhau để đáp lại sự tấn công:
− Phát ra những cảnh báo.
− Phát ra log – các log sự kiện có thể được gửi cho máy chủ syslog riêng biệt theo thứ tự phân tích sự kiện.
− Khởi tạo lại các kết nối TCP.
− Tránh sự tấn công.
Nếu có nhiều dấu hiệu so khớp trong một phiên, thì chỉ sự so khớp đầu tiên gây ra một hành động từ IOS Firewall IDS. Những sự so khớp khác trong những mô đun khác gây ra cảnh báo bổ sung, nhưng chỉ cho một phiên. Quá trình này khác với thiết bị cảm biến IDS chuyên biệt, nó xác định tất cả dấu hiệu so khớp cho mỗi gói. Những khả năng IOS Firewall IDS cung cấp thêm tầm bảo mật bổ sung ở phạm vi biên mạng doanh nghiệp. Người quản lý bảo mật có được nhiều sự bảo vệ chống lại những sự tấn công hơn cho mạng và có thể tự động đáp trả những đe dọa từ bên trong hoặc ngoài host.