An toàn bảo mật mạng - Chương 4: Hệ thống phát hiện và phòng chống xâm nhập (IDS & IPS)

IDS & IPS. 1 AN TOÀN BẢO MẬT MẠNG (Network Security) TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/ IDS & IPS. 2 NỘI DUNG MÔN HỌC Chương 1: Tổng quan an toàn và bảo mật thông tin mạng máy tính. Chương 2: Tấn công mạng máy tính. Chương 3: Công nghệ Firewall. Chương 4: Hệ thống phát hiện và phòng chống xâm nhập (IDS&IPS). Chương 5: An ninh mạng WLAN (IEEE 802.11) Chương 6: Chuẩn an toàn thông tin IDS & IPS. 3 Các nội dung trình bày 1. Một số khái niệm 2. Triển khai IDS/IPS 3. Kiến trúc hệ thống IDS & IPS. 4 1. Một số khái niệm Hệ thống phát hiện và phòng chống xâm nhập được hợp thành bởi hai hệ thống đó là hệ thống phát hiện xâm nhập (IDS – Instrusion detection system) và hệ thống phòng chống xâm nhập (IPS – Instrusion prevention system). IDS là một hệ thống nhằm phát hiện các hành động tấn công vào một mạng. IPS là hệ thống thực thi các biện pháp xử lý các kết nối, biện pháp phản ứng này có thể được thực hiện hoàn toàn tự động hoặc do quản trị viên chỉ định phương thức như theo dõi, giám sát, ngăn chặn,... IDS & IPS. 5 Hệ thống phát hiện xâm nhập IDS & IPS. 6 Hệ thống phòng chống xâm nhập IDS & IPS. 7 Sự khác biệt giữa hệ thống phát hiện và phòng chống xâm nhập Cả IDS và IPS cùng có khả năng đo và kiểm soát lưu lượng giao thông thực tế trên mạng. Nhưng IDS chỉ kiểm soát với phương thức xem lưu lượng truy cập, tiến hành sao chép, và cảnh báo về các vi phạm thực sự của các gói tin, kết nối trên cơ sở đối chiếu với những mục tiêu dự định của hệ thống đã đặt ra. IDS & IPS. 8 2. Triển khai IDS Vị trí đặt IDS thường gắn với các thiết bị chuyển mạnh, tập trung tín hiệu, điều khiển lưu lượng,... một dòng chảy của mạng sẽ được tách riêng để chuyển tới bộ phát hiện xâm nhập hoặc các cảm biến (sensor) của nó. Dòng thông tin này là bản sao của dòng chính đi qua thiết bị mạng (Network Tap), vì vậy sẽ đảm bảo không có luồng thông tin nào là ngoại lệ khi hoạt động, mọi quá trình lưu chuyển thông tin đều được chuyển tới IDS để thực hiện phân tích. IDS & IPS. 9 Vị trí triển khai IDS IDS & IPS. 10 Triển khai IPS IDS & IPS. 11 Vị trí IPS Khi nâng cấp IDS trở thành IPS, lúc này thiết bị có khả năng phản ứng trực tiếp với các kết nối đang hoạt động và sẽ tác động ngay tại thời điểm ra quyết định, chính vì vậy IPS sẽ kiểm soát ngay tại vị trí luồng thông tin chính trên mạng, tại các vị trí trọng yếu. IDS & IPS. 12 Triển khai đa tầng IDS & IPS. 13 Bộ cảm biến (sensor) Bộ cảm biến (Sensor) thực hiện thu thập dữ liệu. Ví dụ, bộ cảm biến mạng thường là các chương trình thu thập dữ liệu từ giao diện mạng. Cảm biến cũng có thể thu thập dữ liệu từ các bản ghi hệ thống và các nguồn khác, chẳng hạn như tường lửa cá nhân và gói tin TCP. Các cảm biến này chuyển thông tin cho các tác nhân (Agent) đôi khi còn được gọi là bộ phân tích, giám sát hoạt động xâm nhập trên máy từng cá nhân. IDS & IPS. 14 Triển khai bộ cảm biến tại khu vực ngoại biên của mạng IDS & IPS. 15 Triển khai bộ cảm biến trong DMZ IDS & IPS. 16 Triển khai bộ cảm biến theo phương thức hỗn hợp IDS & IPS. 17 Triển khai bộ cảm biến Bộ cảm biến khi triển khai trên hệ thống mạng có thể theo hai dạng khác nhau đó là chương trình hoặc các thiết bị mạng, chúng thu thập dữ liệu của các gói tin đi qua một giao diện mạng, trục chính mạng hoặc bộ chuyển mạch của toàn mạng. Một trong những lợi thế lớn nhất khi sử dụng bộ cảm biến cài đặt trên mạng là có nhiều máy trên toàn hệ thống cung cấp dữ liệu để phân tích. IDS & IPS. 18 Tác nhân (Agent) Tác nhân (Agent) thường được chuyên biệt để thực hiện một và chỉ một chức năng. Một tác nhân có thể thực hiện như kiểm tra lưu lượng TCP, hoặc kiểm tra FTP (File Transfer Protocol), kiểm tra kết nối và cố gắng kết nối. Ngoài ra, các tác nhân có thể liên kết đến các công cụ của bên thứ ba, chẳng hạn như các công cụ giám sát mạng, truy tìm kết nối,... để phối hợp phân tích và mở rộng phạm vi chức năng của tác nhân khi thực hiện báo cáo cho bộ quản lý trung tâm. IDS & IPS. 19 Các chức năng của agent Thu thập và hiển thị cảnh báo trên một giao diện điều khiển Kích hoạt một máy nhắn tin hoặc gọi một số điện thoại di động Lưu trữ thông tin về một sự cố trong một cơ sở dữ liệu Lấy thêm thông tin có liên quan đến sự cố Gửi thông tin đến một máy chủ, yêu cầu dừng hoạt động tạm thời để thực hiện các hướng dẫn nhất định trong bộ nhớ Gửi lệnh đến một bức tường lửa hoặc thiết bị định tuyến để thay đổi, thiết lập, kiểm soát các danh sách truy cập. Cung cấp một giao diện quản lý, giao diện người dùng với bộ quản lý. IDS & IPS. 20 Bộ quản lý trung tâm Bộ quản lý trung tâm cho phép dễ dàng hơn trong việc phân tích các thông tin từ nhiều hướng, nhiều điểm, nhiều nguồn, bởi vì tất cả các thông tin đã được tập hợp sẵn sàng tại một địa điểm. Ngoài ra, ghi dữ liệu về hệ thống trung tâm sẽ đảm bảo việc rà soát và đối chiếu thông tin được chính sác ngay cả khi kẻ tấn công đã làm thay đổi thông tin gốc trên máy bị chiếm quyền điều khiển. IDS & IPS. 21 Triển khai quản lý Khi triển khai xong hệ thống phát hiện và phòng chống xâm nhập, đòi hỏi phải có khu vực quản lý, kiểm soát toàn bộ hoạt động của các thành phần đã thiết lập trên toàn hệ thống. Có thể triển khai việc quản lý theo các mô hình sau: Mô hình quản lý theo cấp và mô hình quản lý theo vai trò IDS & IPS. 22 Quản lý phân cấp IDS & IPS. 23 Quản lý theo vai trò IDS & IPS. 24 Mô hình chống chịu lỗi của hệ thống quản lý IDS & IPS. 25 3. Kiến trúc hệ thống Kiến ​​trúc của hệ thống phát hiện xâm nhập bao gồm bảy thành phần, mỗi thành phần trong số đó chịu trách nhiệm cho một nhiệm vụ cụ thể. Thành phần xử lý nguồn dữ liệu là chịu trách nhiệm về sự tương tác với các tệp nhật ký (log file), bộ điều hợp mạng (Network adapter – NIC) hoặc hệ điều hành để có được dữ liệu, trên cơ sở hệ thống xác định sự hiện diện của một vụ tấn công. Thành phần quản lý có nhiệm vụ kiểm soát tất cả các thành phần khác của hệ thống phát hiện xâm nhập và tổ chức tương tác giữa các hoạt động nội bộ, sự kiện bên trong của hệ thống. IDS & IPS. 26 Kiến trúc hệ thống phát hiện xâm nhập IDS & IPS. 27 Phối hợp các thành phần của hệ thống phát hiện xâm nhập IDS & IPS. 28 Kiến trúc bộ cảm biến Bộ cảm biến có nhiệm vụ phát hiện xâm nhập có thể được tích hợp với thành phần thu thập dữ liệu. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. IDS & IPS. 29 Phân giai đoạn thực hiện phát hiện xâm nhập IDS & IPS. 30 Phân lớp Cách phân lớp chức năng phổ biến sử dụng với IDS là phân làm 3 lớp khác nhau: Lớp chức năng thu thập thông tin theo sự kiện, lớp chức năng phát hiện xâm nhập, lớp chức năng phản ứng. Tuy nhiên, trong một số trường hợp, các hệ thống có thể triển khai theo nguyên lý cấu trúc một tác nhân để hợp thành cả 3 lớp chức năng, nơi các thành phần nhỏ được tổ chức trên một máy đặt trong mạng được bảo vệ. IDS & IPS. 31 Câu hỏi ? Ý kiến ? Đề xuất ?