1. Sự cần thiết của IDS/IPS
Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao vì thế cần thiết phải có một thiết bị phát hiện và ngăn chặn các cố gắng xâm nhập vào hệ thống.
Hình 3-1: Firewall bảo vệ hệ thống
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống. Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng có những điểm yếu sau: Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ
thống, và không thể chống lại sự đe dọa từ trong hệ thống.
Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể cho phép việc thăm dò điểm yếu.
Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall.
Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống.
Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa công khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối, sự tin cậy và toàn vẹn dữ liệu.
Hình 3-2: Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy
Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả những hành động của người dùng. PKI có vai trò như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng. PKI cho phép ứng dụng ngăn cản các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:
Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng chỉ không đồng nhất.
Có quá ít ứng dụng có sử dụng chứng chỉ.
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
C.Sự khác nhau giữa IDS và IPS
1. IDS (Intrusion Detection System )
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn.
2. IPS (phát hiện và ngăn chặn xâm nhập )
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ
thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo.