Hệ thống phát hiện và phòng chống xâm nhập được hợp thành bởi
hai hệ thống đó là hệ thống phát hiện xâm nhập (IDS – Instrusion
detection system) và hệ thống phòng chống xâm nhập (IPS –
Instrusion prevention system).
IDS là một hệ thống nhằm phát hiện các hành động tấn công vào
một mạng.
IPS là hệ thống thực thi các biện pháp xử lý các kết nối, biện pháp
phản ứng này có thể được thực hiện hoàn toàn tự động hoặc do
quản trị viên chỉ định phương thức như theo dõi, giám sát, ngăn
chặn,.
31 trang |
Chia sẻ: hongha80 | Lượt xem: 898 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu An toàn bảo mật mạng - Chương 4: Hệ thống phát hiện và phòng chống xâm nhập (IDS & IPS), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
IDS & IPS. 1
AN TOÀN BẢO MẬT MẠNG
(Network Security)
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC
PHẨM TP.HCM
Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT
Email: tottd@cntp.edu.vn
Website: www.oktot.com
Facebook: https://www.facebook.com/oktotcom/
IDS & IPS. 2
NỘI DUNG MÔN HỌC
Chương 1: Tổng quan an toàn và bảo mật thông tin mạng
máy tính.
Chương 2: Tấn công mạng máy tính.
Chương 3: Công nghệ Firewall.
Chương 4: Hệ thống phát hiện và phòng chống xâm
nhập (IDS&IPS).
Chương 5: An ninh mạng WLAN (IEEE 802.11)
Chương 6: Chuẩn an toàn thông tin
IDS & IPS. 3
Các nội dung trình bày
1. Một số khái niệm
2. Triển khai IDS/IPS
3. Kiến trúc hệ thống
IDS & IPS. 4
1. Một số khái niệm
Hệ thống phát hiện và phòng chống xâm nhập được hợp thành bởi
hai hệ thống đó là hệ thống phát hiện xâm nhập (IDS – Instrusion
detection system) và hệ thống phòng chống xâm nhập (IPS –
Instrusion prevention system).
IDS là một hệ thống nhằm phát hiện các hành động tấn công vào
một mạng.
IPS là hệ thống thực thi các biện pháp xử lý các kết nối, biện pháp
phản ứng này có thể được thực hiện hoàn toàn tự động hoặc do
quản trị viên chỉ định phương thức như theo dõi, giám sát, ngăn
chặn,...
IDS & IPS. 5
Hệ thống phát hiện xâm nhập
IDS & IPS. 6
Hệ thống phòng chống xâm nhập
IDS & IPS. 7
Sự khác biệt giữa hệ thống phát hiện và
phòng chống xâm nhập
Cả IDS và IPS cùng có khả năng đo và kiểm soát lưu lượng giao
thông thực tế trên mạng.
Nhưng IDS chỉ kiểm soát với phương thức xem lưu lượng truy cập, tiến
hành sao chép, và cảnh báo về các vi phạm thực sự của các gói tin, kết
nối trên cơ sở đối chiếu với những mục tiêu dự định của hệ thống đã
đặt ra.
IDS & IPS. 8
2. Triển khai IDS
Vị trí đặt IDS thường gắn với các thiết bị chuyển mạnh, tập trung tín
hiệu, điều khiển lưu lượng,... một dòng chảy của mạng sẽ được tách
riêng để chuyển tới bộ phát hiện xâm nhập hoặc các cảm biến (sensor)
của nó.
Dòng thông tin này là bản sao của dòng chính đi qua thiết bị mạng
(Network Tap), vì vậy sẽ đảm bảo không có luồng thông tin nào là
ngoại lệ khi hoạt động, mọi quá trình lưu chuyển thông tin đều được
chuyển tới IDS để thực hiện phân tích.
IDS & IPS. 9
Vị trí triển khai IDS
IDS & IPS. 10
Triển khai IPS
IDS & IPS. 11
Vị trí IPS
Khi nâng cấp IDS trở thành IPS, lúc này thiết bị có khả năng phản ứng
trực tiếp với các kết nối đang hoạt động và sẽ tác động ngay tại thời điểm
ra quyết định, chính vì vậy IPS sẽ kiểm soát ngay tại vị trí luồng thông tin
chính trên mạng, tại các vị trí trọng yếu.
IDS & IPS. 12
Triển khai đa tầng
IDS & IPS. 13
Bộ cảm biến (sensor)
Bộ cảm biến (Sensor) thực hiện thu thập dữ liệu. Ví dụ, bộ cảm
biến mạng thường là các chương trình thu thập dữ liệu từ giao
diện mạng.
Cảm biến cũng có thể thu thập dữ liệu từ các bản ghi hệ thống và
các nguồn khác, chẳng hạn như tường lửa cá nhân và gói tin TCP.
Các cảm biến này chuyển thông tin cho các tác nhân (Agent) đôi
khi còn được gọi là bộ phân tích, giám sát hoạt động xâm nhập
trên máy từng cá nhân.
IDS & IPS. 14
Triển khai bộ cảm biến tại khu vực ngoại
biên của mạng
IDS & IPS. 15
Triển khai bộ cảm biến trong DMZ
IDS & IPS. 16
Triển khai bộ cảm biến theo
phương thức hỗn hợp
IDS & IPS. 17
Triển khai bộ cảm biến
Bộ cảm biến khi triển khai trên hệ thống mạng có thể theo hai
dạng khác nhau đó là chương trình hoặc các thiết bị mạng, chúng
thu thập dữ liệu của các gói tin đi qua một giao diện mạng, trục
chính mạng hoặc bộ chuyển mạch của toàn mạng.
Một trong những lợi thế lớn nhất khi sử dụng bộ cảm biến cài đặt
trên mạng là có nhiều máy trên toàn hệ thống cung cấp dữ liệu để
phân tích.
IDS & IPS. 18
Tác nhân (Agent)
Tác nhân (Agent) thường được chuyên biệt để thực hiện một và
chỉ một chức năng.
Một tác nhân có thể thực hiện như kiểm tra lưu lượng TCP, hoặc
kiểm tra FTP (File Transfer Protocol), kiểm tra kết nối và cố gắng
kết nối.
Ngoài ra, các tác nhân có thể liên kết đến các công cụ của bên thứ
ba, chẳng hạn như các công cụ giám sát mạng, truy tìm kết nối,...
để phối hợp phân tích và mở rộng phạm vi chức năng của tác nhân
khi thực hiện báo cáo cho bộ quản lý trung tâm.
IDS & IPS. 19
Các chức năng của agent
Thu thập và hiển thị cảnh báo trên một giao diện điều khiển
Kích hoạt một máy nhắn tin hoặc gọi một số điện thoại di động
Lưu trữ thông tin về một sự cố trong một cơ sở dữ liệu
Lấy thêm thông tin có liên quan đến sự cố
Gửi thông tin đến một máy chủ, yêu cầu dừng hoạt động tạm thời
để thực hiện các hướng dẫn nhất định trong bộ nhớ
Gửi lệnh đến một bức tường lửa hoặc thiết bị định tuyến để thay
đổi, thiết lập, kiểm soát các danh sách truy cập.
Cung cấp một giao diện quản lý, giao diện người dùng với bộ quản
lý.
IDS & IPS. 20
Bộ quản lý trung tâm
Bộ quản lý trung tâm cho phép dễ dàng hơn trong việc phân tích
các thông tin từ nhiều hướng, nhiều điểm, nhiều nguồn, bởi vì tất
cả các thông tin đã được tập hợp sẵn sàng tại một địa điểm.
Ngoài ra, ghi dữ liệu về hệ thống trung tâm sẽ đảm bảo việc rà
soát và đối chiếu thông tin được chính sác ngay cả khi kẻ tấn công
đã làm thay đổi thông tin gốc trên máy bị chiếm quyền điều khiển.
IDS & IPS. 21
Triển khai quản lý
Khi triển khai xong hệ thống phát hiện và phòng chống xâm nhập,
đòi hỏi phải có khu vực quản lý, kiểm soát toàn bộ hoạt động của
các thành phần đã thiết lập trên toàn hệ thống.
Có thể triển khai việc quản lý theo các mô hình sau: Mô hình quản
lý theo cấp và mô hình quản lý theo vai trò
IDS & IPS. 22
Quản lý phân cấp
IDS & IPS. 23
Quản lý theo vai trò
IDS & IPS. 24
Mô hình chống chịu lỗi của hệ
thống quản lý
IDS & IPS. 25
3. Kiến trúc hệ thống
Kiến trúc của hệ thống phát hiện xâm nhập bao gồm bảy thành
phần, mỗi thành phần trong số đó chịu trách nhiệm cho một
nhiệm vụ cụ thể.
Thành phần xử lý nguồn dữ liệu là chịu trách nhiệm về sự tương
tác với các tệp nhật ký (log file), bộ điều hợp mạng (Network
adapter – NIC) hoặc hệ điều hành để có được dữ liệu, trên cơ sở
hệ thống xác định sự hiện diện của một vụ tấn công.
Thành phần quản lý có nhiệm vụ kiểm soát tất cả các thành phần
khác của hệ thống phát hiện xâm nhập và tổ chức tương tác giữa
các hoạt động nội bộ, sự kiện bên trong của hệ thống.
IDS & IPS. 26
Kiến trúc hệ thống phát hiện xâm
nhập
IDS & IPS. 27
Phối hợp các thành phần của hệ
thống phát hiện xâm nhập
IDS & IPS. 28
Kiến trúc bộ cảm biến
Bộ cảm biến có nhiệm vụ phát hiện xâm nhập có thể
được tích hợp với thành phần thu thập dữ liệu.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại
bỏ dữ liệu không tương thích đạt được từ các sự kiện
liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ.
IDS & IPS. 29
Phân giai đoạn thực hiện phát hiện
xâm nhập
IDS & IPS. 30
Phân lớp
Cách phân lớp chức năng phổ biến sử dụng với IDS là phân làm 3
lớp khác nhau: Lớp chức năng thu thập thông tin theo sự kiện, lớp
chức năng phát hiện xâm nhập, lớp chức năng phản ứng.
Tuy nhiên, trong một số trường hợp, các hệ thống có thể triển
khai theo nguyên lý cấu trúc một tác nhân để hợp thành cả 3 lớp
chức năng, nơi các thành phần nhỏ được tổ chức trên một máy đặt
trong mạng được bảo vệ.
IDS & IPS. 31
Câu hỏi ?
Ý kiến ?
Đề xuất ?
Các file đính kèm theo tài liệu này:
- lession_04_v1_0_0_5354.pdf