III. MỘT SỐ CÔNG NGHỆ BẢO MẬT
3.Bảo mật bằng IDS/IPS (Hệ thống Phát hiện/ Ngăn chặn xâm nhập)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn, nó tương tự như một hệ thống chuông báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được firewall. Có hai dạng chính đó là network based và host based
Hình 2 -15 Hệ thống chống xâm nhập IDS
IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Một số IDS so sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi
tấn công đã biết trước hay chữ ký. Khi mà lưu lượng mạng được xem xét cho là phù hợp với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signature-based IDS. Đối với việc quan sát lưu lương của hệ thống theo thời gian và xem xét các tình huống mà không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS này gọi là anomaly-based IDS.
Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật. Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập từ các máy chủ nghi ngờ. Cách tiếp cận phản ứng này không ngăn chặn lưu lượng cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS (the intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn, có thể chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu.
Hệ thống phát hiện xâm nhập mềm(Snort)
Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu cầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghi lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng một cách thành thạo nhất.Snort có thể chạy trên các hê điều hành như window,linux.
Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền tảng cảm biến sau đây:
- Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiên tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năng bảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống tiên tiến-x dịch vụ, được xác định như chống virus và spyware. Cisco ASA AIP SSM sản phẩm bao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun.
- Cisco IPS 4.200 loạt các cảm biến: Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn bằng cách giúp phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software Version 5.1,
Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác. Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có nguy cơ giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả năng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục hồi, và vv.
- Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): 6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS. Nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ sở hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được các giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ cao của bảo vệ. thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạt động tốn kém cho việc phát hiện xâm nhập.
- Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các giải pháp IPS; Cisco IPS AIM cho Cisco 1841 Integrated Services Router và Cisco 2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừa kinh doanh( small and medium-sized business (SMB) ) và các môi trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy trên Cisco IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đáp ứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh. Cisco IPS AIM có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạng WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là chạy trên dành riêng cho CPU của nó, vì thế không chiếm CPU của router. Đồng thời, sự tích hợp của IPS lên một Integrated Services Router Cisco giữ chi phí thấp và giải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ.
So sánh giữa IPS và IDS
Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. IDS hiện nay chỉ sử dụng từ một
đến 2 cơ chế để phát hiện tấn. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đến tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu kẻ tấn công (Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.