3/3/2013 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 1 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Giới thiệu Hệ thống phát hiện xâm nhập (Intrusion Detection System) và Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System) 3/3/2013 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 2 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Hệ thống phát hiện xâm nhập (Intrusion Detection System) Hệ thống phát hiện xâm nhập (IDS) là một biện pháp an ninh có khả năng phát hiện sự bất thường, sự lạm dụng hoặc sự truy cập trái phép vào tài nguyên của hệ thống mạng. 3/3/2013 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 3 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải IDS (tt) 3/3/2013 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 4 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải IDS (tt) IDS có thể phát hiện những cuộc tấn công: - Tấn công lớp Ứng dụng (Application layer): quét cây thư mục, tràn bộ đệm - Quét mạng (network scans) - Tấn công từ chối dịch vụ (DoS): TCP SYN packets, số lượng lớn ICMP packet - Các bất thường của mạng được phát hiện bởi IDS: IP datagram không hợp lệ, TCP packet không hợp lệ, yêu cầu hoặc đáp ứng ARP không hợp lệ. 3/3/2013 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 5 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải IDS (tt) Sau khi phát hiện lưu lượng mạng bất thường, IDS sẽ tạo ra các cảnh báo (alert). Người quản trị mạng sẽ theo dõi các cảnh báo này và đưa ra các quyết định đối phó. Chú ý: bản thân IDS không tự ngăn chặn các cuộc tấn công hoặc các lưu lượng nguy hiểm. 3/3/2013 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 6 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Ưu và nhược điểm của IDS Ưu điểm: - Không tác động lên toàn mạng (không gây ra độ trễ). - Nếu 1 bộ cảm biến bị lỗi, sẽ không làm ảnh hưởng đến hệ thống mạng - Nếu bộ cảm biến quá tải, sẽ không làm ảnh hưởng đến hệ thống mạng 3/3/2013 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 7 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Ưu và nhược điểm của IDS Nhược điểm: - Không thể ngưng các trigger packet - Cần có chính sách bảo mật tốt - Các kỹ thuật tránh né (được dùng bởi kẻ xâm nhập) dễ dàng đánh lừa IDS 3/3/2013 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 8 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System) Hệ thống ngăn chặn xâm nhập (IPS) là một biện pháp an ninh có khả năng phát hiện(detect) và ngăn ngừa (prevent) sự bất thường, sự lạm dụng hoặc sự truy cập trái phép vào tài nguyên của hệ thống mạng. 3/3/2013 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 9 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải IPS (tt) IPS có thể phân tích lưu lượng mạng như sau: ■ Tập hợp lại (lắp ghép) các phiên (session) ở tầng 4 và phân tích nội dung của chúng. ■ Theo dõi, giám sát tỷ lệ giữa gói (packet) và phiên (session) để phát hiện và ngăn chặn sự sai lệch so với mạng cơ bản. ■ Phân tích nhóm các gói (packet) để xác định xem chúng có phải dùng để do thám hệ thống mạng hay không. ■ Giải mã các giao thức lớp Ứng dụng (application layer) và phân tích nội dung của chúng. ■ Phân tích các gói (packet) để đối phó với hoạt động xấu được chứa trong một gói đơn. 3/3/2013 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 10 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Phân loại IPS IPS có thể được triển khai ở cả 2 dạng: - IPS triển khai trên mạng (Network-based IPS (NIPS)) - IPS triển khai trên hệ thống đầu cuối (Host-based IPS (HIPS)) [...]... promiscuous, bộ cảm biến sẽ sao chép lưu lượng mạng Sau đ , bộ cảm biến sẽ phân tích lưu lượng sao chép này và có thể phát hiện lưu lượng xấu Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 19 19 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chế độ Promiscuous (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 20 3/3/2013 Đại học Công nghệ thông... hiện và ngăn ngừa xâm nhập ThS Hồ Hải 27 27 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các kỹ thuật phát hiện (detection) Phát hiện dựa trên dấu hiệu (Signature) Phát hiện dựa trên chính sách (Policy) Phát hiện dựa trên sư bất thường (Anomaly) Phát hiện dựa trên Honey pot Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 28 28 3/3/2013 Đại học Công nghệ thông... động này Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 34 34 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phát hiện dựa trên Policy (Policy-base detection) (tt) Ưu điểm: - Phát hiện cả mối nguy hiểm đã được biết và chưa được biết đến Nhược điểm: - Phải được xây dựng từ đầu theo chính sách an ninh mạng Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS... có hại, kể cả những trigger packet Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 25 25 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sử dụng IDS hay IPS? (tt) Vị trí đặt IDS và IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 26 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sử dụng IDS hay IPS? (tt) Do đ , việc... sát Ở chế độ này, bộ cảm biến sẽ giám sát trực tiếp lưu lượng gốc đi qua nó Vì vậy, bộ cảm biến có thể loại bỏ các lưu lượng xấu trước khi chúng tới được đích (kể cả trigger packet) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 21 21 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chế độ Inline (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải... - HIPS có thể tập trung bảo vệ các ứng dụng và tài nguyên của máy chủ Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 17 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Triển khai NIDS, NIPS và HIPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 18 18 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chế độ Promiscuous Chế... thường của lưu lượng trong hệ thống mạng - Cả 2 đều có thể phát hiện các dạng atomic (packet đơn) hoặc dạng composite (nhiều packet) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 24 24 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sử dụng IDS hay IPS? (tt) Trả lời: IDS và IPS đều có khả năng nhận biết được các cuộc tấn công Tuy nhiên, điều khác nhau cơ bản là... hiện và ngăn ngừa xâm nhập ThS Hồ Hải 12 12 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sử dụng NIPS hay HIPS? Hỏi: NIPS có khả năng giám sát tất cả lưu lượng mạng đi qua n , bao gồm cả lưu lượng mạng sẽ tới máy đích được thiết lập HIPS Như vậy việc cài đặt HIPS trên máy đích đó có dư thừa và thực sự cần thiết hay không? Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS... m , tính chất, chính sách an ninh của hệ thống mạng Ví dụ: trong mô hình mạng nhỏ với 1 máy chủ an ninh, thì giải pháp IPS thương được cân nhắc Do nó có thể phát hiện và trực tiếp ngăn chặn tấn công -Với quy mô lớn hơn thì có thể kết hợp IDS và IPS lại để hỗ trợ cho nhau Ví dụ: thiết bị IDS có thể thêm vào hệ thống mạng đã được triển khai IPS để kiểm tra sự hoạt động của IPS Hệ thống tìm kiếm, phát hiện. .. ngừa xâm nhập ThS Hồ Hải 13 13 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông IPS triển khai trên hệ thống đầu cuối (HIPS) - Phần mềm được cài đặt lên từng host - Phát hiện và bảo vệ từng máy - Không yêu cầu phần cứng chuyên dụng Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 14 14 3/3/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sử dụng . nghệ thông tin Khoa Mạng máy tính và truyền thông 1 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Giới thiệu Hệ thống phát hiện xâm nhập (Intrusion Detection System) và Hệ thống. kẻ xâm nhập) dễ dàng đánh lừa IDS 3/3/2013 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 8 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Hệ thống ngăn ngừa xâm. thông 18 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải Triển khai NIDS, NIPS và HIPS 3/3/2013 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông 19 Hệ thống tìm kiếm, phát