3/3/2013
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
1
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Giới thiệu
Hệ thống phát hiện xâm nhập
(Intrusion Detection System) và
Hệ thống ngăn ngừa xâm nhập
(Intrusion Prevention System)
3/3/2013
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
2
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Hệ thống phát hiện xâm nhập
(Intrusion Detection System)
Hệ thống phát hiện xâm nhập (IDS) là một
biện pháp an ninh có khả năng phát hiện sự
bất thường, sự lạm dụng hoặc sự truy cập trái
phép vào tài nguyên của hệ thống mạng.
3/3/2013
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
3
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải
IDS (tt)
3/3/2013
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
4
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
IDS (tt)
IDS có thể phát hiện những cuộc tấn công:
- Tấn công lớp Ứng dụng (Application layer): quét cây thư
mục, tràn bộ đệm
- Quét mạng (network scans)
- Tấn công từ chối dịch vụ (DoS): TCP SYN packets, số
lượng lớn ICMP packet
- Các bất thường của mạng được phát hiện bởi IDS: IP
datagram không hợp lệ, TCP packet không hợp lệ, yêu cầu
hoặc đáp ứng ARP không hợp lệ.
3/3/2013
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
5
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
IDS (tt)
Sau khi phát hiện lưu lượng mạng bất
thường, IDS sẽ tạo ra các cảnh báo (alert).
Người quản trị mạng sẽ theo dõi các cảnh

báo này và đưa ra các quyết định đối phó.
Chú ý: bản thân IDS không tự ngăn chặn
các cuộc tấn công hoặc các lưu lượng nguy
hiểm.
3/3/2013
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
6
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Ưu và nhược điểm của IDS
Ưu điểm:
- Không tác động lên toàn mạng (không gây
ra độ trễ).
- Nếu 1 bộ cảm biến bị lỗi, sẽ không làm ảnh
hưởng đến hệ thống mạng
- Nếu bộ cảm biến quá tải, sẽ không làm ảnh
hưởng đến hệ thống mạng
3/3/2013
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
7
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Ưu và nhược điểm của IDS
Nhược điểm:
- Không thể ngưng các trigger packet
- Cần có chính sách bảo mật tốt

- Các kỹ thuật tránh né (được dùng bởi kẻ
xâm nhập) dễ dàng đánh lừa IDS
3/3/2013
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
8
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Hệ thống ngăn ngừa xâm nhập
(Intrusion Prevention System)
Hệ thống ngăn chặn xâm nhập (IPS) là một
biện pháp an ninh có khả năng phát
hiện(detect) và ngăn ngừa (prevent) sự bất
thường, sự lạm dụng hoặc sự truy cập trái
phép vào tài nguyên của hệ thống mạng.
3/3/2013
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
9
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
IPS (tt)
IPS có thể phân tích lưu lượng mạng như sau:
■ Tập hợp lại (lắp ghép) các phiên (session) ở tầng 4 và
phân tích nội dung của chúng.
■ Theo dõi, giám sát tỷ lệ giữa gói (packet) và phiên
(session) để phát hiện và ngăn chặn sự sai lệch so với
mạng cơ bản.

■ Phân tích nhóm các gói (packet) để xác định xem chúng
có phải dùng để do thám hệ thống mạng hay không.
■ Giải mã các giao thức lớp Ứng dụng (application layer)
và phân tích nội dung của chúng.
■ Phân tích các gói (packet) để đối phó với hoạt động xấu
được chứa trong một gói đơn.
3/3/2013
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
10
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Phân loại IPS
IPS có thể được triển khai ở cả 2 dạng:
- IPS triển khai trên mạng (Network-based IPS (NIPS))
- IPS triển khai trên hệ thống đầu cuối (Host-based IPS
(HIPS))
3/3/2013
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
11
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Đặc điểm của IPS triển khai trên mạng
(Network IPS)
- Có khả năng phát hiện các cuộc tấn công trên các hệ điều hành
và ứng dụng khác nhau.
- Có thể ngăn chặn được trigger packet (do hoạt động ở inline)

- Giảm chi phí lắp đặt, thi công, bảo trì và triển khai hệ thống
mạng. Do chỉ cần 1 thiết bị NIPS có thể phân tích lưu lượng của
toàn mạng.
- Có cái nhìn tổng quan về hệ thống mạng. Khi bộ cảm biến
quan sát các sự kiện đến hoặc từ có host và các phần khác nhau
của mạng, thì bộ cảm biến có thể tương quan các sự kiện này lại
với nhau để có cái nhìn sâu và kiến thức sâu hơn về các hoạt động
xấu trong toàn mạng.
- NIPS là vô hình với kẻ tấn công, vì nó có Interface được dành
riêng để giám sát mạng.
3/3/2013
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
12
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Giới hạn của Network IPS
- Yêu cầu có kiến thức tốt để điều chỉnh bộ
cảm biến thích ứng với hệ thống mạng, host
và môi trường ứng dụng.
- Bộ cảm biến NIPS không có khả năng phân
tích lưu lượng trên tầng ứng dụng khi mà lưu
lượng này đã mã hóa (IPSec hoặc SSL).
- NIPS có thể bị quá tải. Điều này sẽ làm tê
liệt hệ thống mạng.
3/3/2013
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

13
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Sử dụng NIPS hay HIPS?
Hỏi: NIPS có khả năng giám sát tất cả
lưu lượng mạng đi qua nó, bao gồm cả
lưu lượng mạng sẽ tới máy đích được
thiết lập HIPS. Như vậy việc cài đặt
HIPS trên máy đích đó có dư thừa và
thực sự cần thiết hay không?
3/3/2013
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
14
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
IPS
triển khai trên hệ thống đầu cuối
(HIPS)
- Phần mềm được cài đặt lên từng host
- Phát hiện và bảo vệ từng máy
- Không yêu cầu phần cứng chuyên dụng
3/3/2013
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
15
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải

Sử dụng NIPS hay HIPS? (tt)
Đáp: NIPS không thể phân tích các lưu lượng
mạng được mã hóa ở lớp Ứng dụng
(Application layer) với IPSec hoặc SSL. Từ đó,
điều gì sẽ xảy ra nếu dữ liệu độc hại được chứa
trong lưu lượng đã được mã hóa? Do đó, giả sử
có 1 kết nối SSL giữa máy tính đích đến server,
thì lưu lượng SSL sẽ không thể được phân tích
bởi cảm biến NIPS. Thay vào đó, HIPS sẽ thực
hiện việc này thay cho NIPS. HIPS sẽ phân
tích dữ liệu chứa trong SSL sau khi lưu
lượng SSL đã được giải mã.
3/3/2013
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
16
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Sử dụng NIPS hay HIPS? (tt)
3/3/2013
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
17
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Triển khai NIPS và HIPS
Dựa trên đặc điểm của NIPS và HIPS,
cả 2 nên được triển khai trong hệ

thống mạng để hỗ trợ cho nhau.
- NIPS có khả năng phân tích lưu lượng
mạng để ngăn chặn tấn công DoS hoặc
các packet thăm dò mạng.
- HIPS có thể tập trung bảo vệ các ứng
dụng và tài nguyên của máy chủ.
3/3/2013
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
18
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Triển khai NIDS, NIPS và HIPS
3/3/2013
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
19
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Chế độ Promiscuous
Chế độ Promiscuous chỉ yêu cầu 1 cổng
(interface) giám sát. Khi thực thi chế độ
promiscuous, bộ cảm biến sẽ sao chép
lưu lượng mạng. Sau đó, bộ cảm biến sẽ
phân tích lưu lượng sao chép này và có
thể phát hiện lưu lượng xấu.
3/3/2013
20

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
20
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Chế độ Promiscuous (tt)
3/3/2013
21
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
21
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Chế độ Inline
Chế độ Inline yêu cầu ít nhất 2 cổng
(interface) giám sát. Ở chế độ này, bộ
cảm biến sẽ giám sát trực tiếp lưu lượng
gốc đi qua nó. Vì vậy, bộ cảm biến có
thể loại bỏ các lưu lượng xấu trước khi
chúng tới được đích (kể cả trigger
packet).
3/3/2013
22
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
22
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Chế độ Inline (tt)
3/3/2013

23
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
23
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Sử dụng IDS hay IPS?
Hỏi: IPS có thể thay thế hoàn toàn
IDS hay không? Tại sao?
3/3/2013
24
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
24
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
Đặc điểm chung của IDS và IPS
- Cả 2 kỹ thuật đều sử dụng các cảm biến (sensor)
- Cả 2 kỹ thuật đều sử dụng các signature để phát
hiện các dạng bất thường của lưu lượng trong hệ
thống mạng
- Cả 2 đều có thể phát hiện các dạng atomic
(packet đơn) hoặc dạng composite (nhiều packet)
3/3/2013
25
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
25
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải

Sử dụng IDS hay IPS? (tt)
Trả lời:
IDS và IPS đều có khả năng nhận biết được các cuộc
tấn công. Tuy nhiên, điều khác nhau cơ bản là cách hoạt
động và vị trí đặt chúng trong hệ thống mạng. Do vậy, IPS
không thể thay thế IDS. 2 giải pháp này có thể hỗ trợ lẫn
nhau.
Cách hoạt động:
- IDS hoạt động ở chế độ promicuous. Ở chế độ này
IDS sẽ sao chép lưu lượng để phân tích. Nói 1 cách khác,
IDS không phân tích trực tiếp lên lưu lượng gốc.
- IPS hoạt động ở chế độ inline. Ở chế độ này, IPS
trực tiếp phân tích lên lưu lượng gốc. Điều này sẽ giúp cho
IPS có thể ngăn chặn kịp thời lưu lượng có hại, kể cả những
trigger packet