CHƯƠNG 4 : IPS
4.2 Phân loại IPS
4.2.1 NIPS
NIPS (Network-based IPS) là loại IPS được dùng để lắp đặt vào mạng để ngăn chặn sự xâm nhập từ ngoài mạng vào nội mạng.
Network IPS cung cấp các thành phần thực hiện trước mà có hiệu quả tồn diện trong tồn bộ khung bảo mật mạng của bạn. Sự kết hợp giữa NIPS với các thành phần như HIPS, IDS và firewall vành đai cung cấp giải pháp bảo mật phòng ngừa chiều sâu mạnh mẽ.
Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà khơng phải tồn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì khơng thể mở rộng
điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng cịn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn khơng có profile chặt chẽ thì bạn hồn tồn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng khơng có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn.
Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thơng lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng khơng nguy hiểm. Q trình này được thực hiện bởi các bộ lọc tiền xử lý.
Lợi thế của Network-Based IDSs
- Quản lý được cả một network segment (gồm nhiều host)- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, khơng ảnh hưởng tới mạng- Tránh DoS ảnh hưởng tới một host nào đó.Có khả năng xác định lỗi ở tầng Network (trong mơ hình OSI)
- Độc lập với OS
Hạn chế của Network-Based IDSs
- Có thể xảy ra trường hợp báo động giả (false positive),tức khơng có intrusion mà NIDS báo là có intrusion.Khơng thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.Không cho biết việc attack có thành cơng hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất
cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dị được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thơng tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói
dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng.
Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến khơng thể sắp xếp lại những gói thơng tin một cách chính xác.