system)
FortiGate NIDS là thời gian thực rất nhạy trong việc dò tìm những sự đáng nghi ngờ xâm nhập vào
mạng bao gồm trực tiếp tấn công, và các hành động đ−ợc yêu cầu. NIDS dùng các định danh tấn công đ−ợc l−u trữ trong cơ sở dữ liệu tấn công, để xác định sự tấn công. Để đối phó lại sự tấn công, FortiGate NIDS bảo vệ kết nối mạng tới nó bằng cách :
• Cắt đứt kết nối
• Chặn đứng những gói tin từ vị trí của sự tấn công
• Khóa cổng mạng, những giao thức, hoặc những dịch vụ đ−ợc sử dụng cho việc tấn công Thông báo cho ng−ời quản trị hệ thống về sự tấn công bằng các th− cảnh báo.
Những chức năng của cơ sở dữ liệu tấn công t−ơng tự nh− cơ sở dữ liệu antivirus. FortiNet cập nhật cơ sở dữ liệu tấn công định kỳ. Ta có thể tải xuống và cài đặt cập nhật vào cơ sở dữ liệu tấn công bằng tay .Ta cũng có thể cấu hình cho FortiGate để tự động kiểm tra và tải xuống cập nhật vào cơ sở dữ liệu tấn công .
Ch−ơng này mô tả : • Những đặc tính của NIDS • Cấu hình sự dò tìm của NIDS • Xem danh sách tấn công
• Cấu hình cho NIDS đối phó lại các sự tấn công Những đặc tính NIDS
FortiGate NIDS bảo vệ các kết nối tới mạng khỏi những sự tấn công đ−ợc mô tả ở bên d−ới : • Từ chối các dịch vụ dùng để tấn công
• Khảo sát thăm dò tr−ớc • Khai thác
• Sự lẩn tránh NIDS
Từ chối các dịch vụ dùng để tấn công
Từ chối các dịch vụ tấn công tới một dịch vụ hoặc một máy tính làm cho mạng bị quá tải bởi những liên kết mạng , quá tải CPU, hoặc tràn dung l−ợng đĩa. Kẻ tấn công không phải cố gắng để tìm kiếm thông
tin, nh−ng hành động đó làm cản trở những ng−ời truy nhập vào những tài nguyên trên mạng. NIDS bảo vệ FortiGate chống lại sự tấn công :
• Gói tin gây nên sự tràn ngập mạng nh− tràn ngập TCP SYN, tràn ngập UDP, và ICMP • Sự không nghiêm túc đến từ các gói tin bao gồm Ping of Death, Chargen, Tear drop, land, và WinNuke
Khảo sát thăm dò tr−ớc
Các sự khảo sát thăm dò tìm kiếm thông tin về một mạng máy tính để chuẩn bị cho một sự tấn công. Sử dụng các thông tin kiếm đ−ợc, kẻ tấn công có thể xác định và tấn công vào những điểm yếu . FortiGate NIDS bảo vệ chống lại các sự khảo sát thăm dò tr−ớc để tấn công :
• l−u lại dấu vết • Ping
• Quét cổng
• Những sự tràn bộ đệm bao gồm VRFY và SMTP EXPN SMTP • Quét các tài khoản
• Sự nhận diện hệ điều hành (OS) Khai thác
Những khai thác là những sự cố gắng nắm những lợi thế của những đặc tính hoặc những lỗ hỏng cấm truy nhập tới một máy tính hoặc mạng. FortiGate NIDS bảo vệ chống lại chung sau những khai thác : • Cầm thú Bắt buộc Tấn công
• những nguyên bản CGI bao gồm Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi,handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, và
FormMail
• Tấn công web Server
• Tấn công web brower bao gồm URL, HTTP, HTML, JavaScript, Frames, Java, và ActiveX
• Tấn công SMTP (SendMail) • IMAP/POP
• Tràn Bộ đệm
• Tấn công DNS bao gồm sự Bind và Cache • IP Spoofing
• Virus Trojan Horse tấn công bao gồm BackOrifice 2K, IniKiller, Netbus, NetSpy Priority, Ripper, Striker, và SubSeven
Sự lẩn tránh NIDS
Những kẻ tấn công trở nên tinh vi hơn, chúng đang phát triển kỹ thuật để tránh hệ thống NIDS. FortiGate NIDS có thể phát hiện ra kỹ thuật lảng tránh NIDS sau :
• Bắt ch−ớc sự định danh • Mã hóa định danh • Phân đoạn IP • Phân rã TCP/UDP Cấu hình sự dò tìm NIDS
1 Đi tới NIDS > Detection > General.
2 Chọn giao diện theo dõi, lựa chọn giao diện màn hình NIDS cho sự theo dõi việc tấn công mạng. Việc chọn lựa giao diện không làm ngừng sự theo dõi của NIDS.
3 Kiểm tra kiểu l−u thông trên mạng .
Tổng kiểm tra xác minh những file đi qua FortiGate không có sự thay đổi. NIDS có thể chạy kiểm tra xác minh về IP, TCP, UDP, và ICMP.
Để cho sự bảo vệ là lớn nhất, ta có thể cho kiểm tra tất cả các kiểu l−u thông trên mạng.
Tuy nhiên, nếu FortiGate không cần tổng kiểm tra, thì ta có thể tắt 1 vài hoặc tất cả các kiểu l−u thông trên mạng để cải thiện tốc độ đ−ờng truyền. Ta có thể không cần để chạy kiểm tra nếu phía sau FortiGate có cài đặt router .
4 Nhắp nút Apply để l−u lại những sự thay đổi.
Hình 38 : cấu hình dò tìm NIDS Hinh trang 93
Xem danh sách tấn công
Sử dụng thủ tục sau để hiển thị những sự tấn công trong cơ sở dữ liệu tấn công hiện hành : 1 Hiển thị danh sách virus , đi tới NIDS > Detection > Attack List.
2 Cuộn danh sách virut lên để xem tên của tất cả các virus trong danh sách. Cấu hình cách đối phó cho NIDS
Sử dụng những thủ tục sau để cấu hình những cách đối phó cho NIDS : • Những đối phó chung NIDS
• Những sự báo động NIDS • Sự đăng ký NIDS
Những đối phó chung NIDS
Cấu hình khi NIDS gửi những thông báo báo động khi phát hiện ra một sự tấn công : 1 Đi tới NIDS > Responses > General .
2 Đặt ph−ơng thức bảo đảm cho những sự báo động : ALL
TCP Session
NIDS gởi cảnh báo cho tất cả các cuộc tấn công đ−ợc tìm thấy từ
sự l−u thông trên mạng đến giao diện giám sát
NIDS chỉ gởi cảnh báo các cuộc tấn công của các kết nối đ−ợc