Tải bản đầy đủ (.pptx) (25 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

TÌM HIỂU về IDS và IPS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.02 MB, 25 trang )

LOGO
TÌM HIỂU VỀ IDS VÀ IPS
Hồ Minh Thắng
Nguyễn Xuân Hòa
Nguyễn Thị Thảo
ĐỀ TÀI
MÔN: CƠ SỞ AN TOÀN THÔNG TIN
Học viện kĩ thuật mật mã
Khoa an toàn thông tin
NHÓM 9_AT8B

17-9-2014
11
NỘI DUNG
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
I. TỔNG QUAN VỀ AN NINH MẠNG
II. TỔNG QUAN VỀ IDS/ IPS
III. ỨNG DỤNG SNORT TRONG IDS/IPS
17-9-2014 2
I.TỔNG QUAN VỀ AN NINH MẠNG
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
1. BẢO MẬT HỆ THỐNG

Các khía cạnh quan trọng của bảo mật mà ta cần phải quan
tâm đến nhằm gia tăng độ an toàn cho hệ thống:
- Xác thực (Authentication)
- Ủy quyền (Authorization)
- Tính cẩn mật (Confidentiality)
- Tính toàn vẹn (Integrity)


- Tính sẵn sàng (Availability)

Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấn
công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt
mà không cần lo lắng quá về việc tăng nguy cơ bị tấn công.
17-9-2014 3
I.TỔNG QUAN VỀ AN NINH MẠNG
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
2. Những mối đe dọa
- Mối đe dọa không có cấu trúc (Untructured threat)
- Mối đe dọa có cấu trúc ( Structured threat)
- Mối đe dọa từ bên ngoài (External threat)
- Mối đe dọa từ bên trong ( Internal threat )
17-9-2014 4
I. TỔNG QUAN VỀ AN NINH MẠNG
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
3. Các phương thức tấn công ( Attack methods):

Thăm dò (Reconnaisance)

Truy nhập (Access)

Từ chối dịch vụ ( Denial of Service)

Tấn công qua ứng dụng web.
17-9-2014 5
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS

Nhóm 9_ AT8B
1. Định nghĩa:

Hệ thống phát hiện xâm nhập (Intrusion Detection
System- IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện
sự xâm nhập, cũng như các hành vi khai thác trái phép tài
nguyên của hệ thống.

Hệ thống chống xâm nhập (Intrusion Prevention
System - IPS) được định nghĩa là hệ thống theo dõi, ngăn
ngừa kịp thời các hoạt động xâm nhập không mong muốn
17-9-2014 6
II. TỔNG QUAN VỀ IDS/ IPS

Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ
xâm nhập mà nó phát hiện được thì nó được gọi là một hệ
thống phòng chống xâm nhập hay IPS.

IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS
và IPS có thể được gọi chung là IDP - Intrusion Detection
and Prevention.
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B
17-9-2014 7
II. TỔNG QUAN VỀ IDS/ IPS
2. Sự khác nhau giữa IDS và IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B

Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát

hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính
nó đang bảo vệ

Một số hệ thống IDS được thiết kế với khả năng ngăn chặn
như một chức năng tùy chọn

IDS :

IPS:

một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành
động chống lại các nguy cơ theo các quy định được người
quản trị thiết lập sẵn.

đó một số hệ thống IPS lại không mang đầy đủ chức năng của
một hệ thống phòng chống theo đúng nghĩa.
17-9-2014 8
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B

Ưu điểm.
- Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nhập từ
bên trong cũng như bên ngoài hệ thống.
- Những thông tin hệ thống IDPS cung cấp sẽ giúp chúng ta xác định
phương thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc đề ra các
phương án phòng chống các kiểu tấn công tương tự xảy ra trong tương lai

Hạn chế.
- Hệ thống IDS/IPS là một hệ thống giám sát thụ động, cơ chế ngăn chặn

các cuộc tấn công, xâm nhập trái phép rất hạn chế như gửi tin báo cho tường lửa
để chặn các gói lưu lượng kế tiếp xuất phát từ địa chỉ IP của nguồn tấn công. Do
vậy, hệ thống IDS/IPS thường đi kèm với hệ thống bức tường lửa.
- Phần lớn, hệ thống IDS/IPS sẽ đưa ra các cảnh báo khi các cuộc tấn công,
xâm nhập đã ảnh hưởng tới hệ thống do đó sẽ không hiệu quả trong việc ngăn
chặn các cuộc tấn công.
3. Những ưu điểm và hạn chế của hệ thống.
17-9-2014 9
TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B

Host Based IDS (HIDS)

Ưu điểm:

Xác định được kết quả của cuộc tấn công

Giám sát được các hoạt động cụ thể của hệ thống

Phát hiện các xâm nhập mà NIDS bỏ qua

Thích nghi tốt với môi trường chuyển mạch, mã hoá

Không yêu cầu thêm phần cứng

Nhược điểm:

Khó quản trị


Thông tin nguồn không an toàn

Hệ thống host-based tương đối đắt

Chiếm tài nguyên hệ thống
17-9-2014 10
TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B

Network Based IDS (NIDS)
NIDS thường bao gồm có hai thành phần logic :
• Bộ cảm biến – Sensor : đặt tại một đoạn mạng, kiểm soát các cuộc lưu
thông nghi ngờ trên đoạn mạng đó.
• Trạm quản lý : nhận các tín hiệu cảnh báo từ bộ cảm biến và thông báo
cho một điều hành viên.
17-9-2014 11
TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B

Network Based IDS (NIDS)

Ưu điểm:

Chi phí thấp

Phát hiện được các cuộc tấn công mà HIDS bỏ qua:

Khó xoá bỏ dấu vết (evidence)


Phát hiện và đối phó kịp thời

Có tính độc lập cao

Nhược điểm:

Bị hạn chế với Switch

Hạn chế về hiệu năng

Tăng thông lượng mạng

Gặp khó khăn khi phát hiện xử lý các cuộc tấn công bị mã hóa
17-9-2014 12
So sánh giữa hệ thống HIDS và NIDS
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B
17-9-2014 13
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B
3. Cơ chế hoạt động của hệ thống IDS/IPS
Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng
chống xâm nhập là :

Phát hiện sự lạm dụng (Misuse Detection Model):
Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm
các hành động tương ứng với các kĩ thuật xâm nhập đã

được biết đến (dựa trên các dấu hiệu - signatures) hoặc
các điểm dễ bị tấn công của hệ thống.

Phát hiện sự lạm dụng

Phát hiện sự bất thường
Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario).
17-9-2014 14
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B

Phát hiện sự bất thường (Anomaly Detection Model):
Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các
hành động khác với hành vi thông thường của người dùng hay
hệ thống.
Phát hiện sự không bình thường được chia thành hai
loại:

- Phát hiện tĩnh
- Phát hiện động
17-9-2014 15
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B
Bảng So sánh 2 mô hình phát hiện
17-9-2014 16
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B

Hệ thống kết hợp 2 mô hình phát hiện
17-9-2014 17
II. TỔNG QUAN VỀ IDS/ IPS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9_ AT8B
4. Một số sản phẩm của IDS/IPS

Cisco IDS-4235

ISS Proventia A201

Intrusion Protection Appliance

NFR NID-310

SNORT :
- phần mềm IDS mã nguồn mở phát triển bởi Martin Roesh
- đầu tiên được xây dựng trên Unix sau đó phát triển sang các
nền tảng khác
17-9-2014 18
III. ỨNG DỤNG SNORT
1. Giới thiệu về Snort

Snort là một NIDS được Martin Roesh phát triển dưới
mô hình mã nguồn mở

Nhiều tính năng tuyệt vời phát triển theo kiểu module

Cơ sở dữ liệu luật lên đến 2930 luật


Snort hỗ trợ hoạt động trên các giao thức: Ethernet,
Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PE
của Open BDS
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
17-9-2014 19
III. ỨNG DỤNG SNORT
TÌM HIỂU VỀ IDS/ IPS
2. Kiến trúc Snort

Modun giải mã gói tin (Packet Decoder)

Modun tiền xử lý (Preprocessors)

Modun phát hiện (Detection Eng)

Modun log và cảnh báo (Logging and Alerting System)

Modun kết xuất thông tin (Output module)
Nhóm 9 _ AT8B
17-9-2014 20
III. ỨNG DỤNG SNORT
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
3. Bộ luật của snort
Tất cả các Luật của Snort về logic đều gồm 2 phần:

Phần Header : chứa thông tin về hành động mà luật đó sẽ
thực hiện khi phát hiện ra có xâm nhập nằm trong gói tin và nó
cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó.

Cấu trúc chung của phần Header của một luật Snort:
17-9-2014 21

Phần Option: chứa một thông điệp cảnh báo và các thông
tin về các phần của gói tin dùng để tạo nên cảnh báo. Nó chứa
các tiêu chuẩn phụ thêm để đối sánh luật với gói tin.
-
Phần Rule Option nằm ngay sau phần Rule Header và được bao bọc
trong dấu ngoặc đơn.
-
Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng
dấu chấm phẩy ”,”.
-
Nếu nhiều option được sử dụng thì các option này phải đồng thời
được thoã mãn tức là theo logic các option này liên kết với nhau bằng
AND
Một option gồm 2 phần:

một từ khoá

một tham số
III. ỨNG DỤNG SNORT
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
17-9-2014 22
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
III. ỨNG DỤNG SNORT
Một số các option của luật Snort :


Từ khoá ack

Từ khoá classtype

Từ khoá content

Từ khoá dsize

Từ khoá flags

Từ khoá fragbits
17-9-2014 23
TÌM HIỂU VỀ IDS/ IPS
Nhóm 9 _ AT8B
III. ỨNG DỤNG SNORT
4. Chế độ ngăn chặn của Snort :

Tích hợp khả năng ngăn chặn vào Snort

Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode.
Snort – Inline
- Snort-inline là một nhánh phát triển của Snort do William Metcalf khởi
xướng và lãnh đạo.
- Đến phiên bản 2.3.0 RC1 của Snort, inline-mode đã được tích hợp vào
bản chính thức do snort.org phát hành. Sự kiện này đã biến Snort từ một IDS
thuần túy trở thành một hệ thống có các khả năng của một IPS, mặc dù chế
độ này vẫn chỉ là tùy chọn chứ không phải mặc định.
- Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của
iptables vào bên trong snort
- Đó là đưa thêm 3 hành động: DROP, SDROP, INJECT và thay đổi

trình tự ưu tiên của các luật trong Snort
17-9-2014 24
LOGO
Thank You !
17-9-2014
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×