Tìm hiểu về IDS, IPS và thực nghiệm trên mã nguồn mở SNORT, SNORTSAM
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.91 MB, 71 trang )
Nhận Xét Của Giáo Viên Hướng Dẫn
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
Thành phố Hồ Chí Minh, tháng…. năm 201…..
Giáo viên hướng dẫn
Cô Nguyễn Thị Thanh Vân
Nhận Xét Của Giáo Viên Phản Biện
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
Thành phố Hồ Chí Minh, tháng…. năm 201…..
Giáo viên phản biện
LỜI CẢM ƠN
Trước tiên, chúng em xin chân thành cảm ơn cô Nguyễn Thị Thanh Vân, cô là
người đã trực tiếp hướng dẫn, giúp đỡ chúng em trong quá trình nghiên cứu và hoàn
thành đề tài này.
Chúng em cũng xin cảm ơn tất cả thầy cô khoa Công nghệ thông tin, những
người đã dạy dỗ, truyền đạt kiến thức cho chúng em trong những năm qua.
Do thời gian và kiến thức có hạn, bài làm này chắc chắn sẽ còn nhiều sai sót,
chúng em kính mong quý thầy cô và các bạn đóng góp ý kiến để chúng em có thể hoàn
thiện đề tài.
Thành phố Hồ Chí Minh, tháng ….. năm 20…
Nhóm SVTH:
Mục lục:
PHẦN 1:
MỞ ĐẦU
1.1. Tính cấp thiết của đề tài:
-
Hiện nay, thế giới đang trong giai đoạn phát triển về công nghệ thông tin,
mọi giao dịch đang chuyển dần từ trạng thái giao dịch offline sang online. Ví
-
dụ như: giao dịch ATM, mua hàng trực tuyến, giao dịch bằng thẻ VISA, …
Cùng với sự phát triển đó, các cuộc tấn công mạng diễn ra ngày càng nhiều
cùng với nhiều hình thức ngày càng phức tạp hơn, các cuộc tấn công nhằm
-
mục đích đánh cắp thông tin người dùng, dữ liệu quan trọng, ….
Để phòng chống các cuộc tấn công mạng đó, ta phải sử dụng đến hệ thống
IDS (Instrusion Detection System, có nghĩa là hệ thống phát hiện xâm nhập)
và IPS (Intrusion Prevention System, nghĩa là hệ thống ngăn chặn xâm
nhập).
1.2. Mục tiêu nghiên cứu của đề tài:
-
Các nội dung cơ bản của đề tài:
Tìm hiểu về IDS, IPS.
Triển khai thành công mô hình bảo mật hệ thống dùng Snort làm IDS và
-
Snortsam làm IPS.
Giả lập các cuộc tấn công, kiểm tra khả năng phản ứng của Snort và
Snortsam.
1.3. Phạm vi nghiên cứu:
-
Triển khai trên mã nguồn mở Linux.
Thực nghiệm trên mô hình mạng nhỏ, có mô hình như sau:
PHẦN 2:
NỘI DUNG ĐỀ TÀI
Chương 1: Tổng quan về IDS, IPS
Trang 11
CHƯƠNG 1: TỔNG QUAN VỀ IDS, IPS
1.1. Tổng quan về IDS:
1.1.1. Giới thiệu về IDS:
IDS (intrusion detection system) hay còn được gọi là hệ thống phát hiện
xâm nhập là một hệ thống phòng chống nhằm phát hiện các cuộc tấn công
thông qua mạng. Mục đích của nó là phát hiện các hoạt động phá hoại đối
với vấn đề bảo mật hệ thống, hoặc những hoạt động trong tiến trình tấn công
như thu thập thông tin hay quét cổng (scanning). Một chức năng chính của
hệ thống này là cung cấp thông tin nhận biết về các hoạt động không bình
thường và đưa ra các cảnh báo cho quản trị viên mạng để tiến hành xử lí đối
với các cuộc tấn công. Ngoài ra,hệ thống IDS cũng có thể phân biệt các cuộc
tấn công từ bên trong mạng hay từ bên ngoài mạng.
IDS có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và
phần cứng.
1.1.2. Thành phần của IDS:
1.1.2.1. Cảm biến (Sensor):
Bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an
ninh của hệ thống mạng, Sensor có chức năng quét nội dung của các gói tin
trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn
công.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên
bất kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên
hub, và có thể phát hiện ra các luồng traffic bất thường. Nhưng khi hệ thống
cần sử dụng các switch, các switch chỉ gửi gói tin đến chính xác địa chỉ cần
gửi trên từng port. Để giải quyết vấn đề này, một kỹ thuật thông dụng là sử
Chương 1: Tổng quan về IDS, IPS
Trang 12
dụng những con switch có port mở rộng (expansion port) . Port này được gọi
là Switched Port Analyzer (SPAN) port.
Hình 1.1
Có hai vị trí đặt Sensor là : Trước firewall và sau firewall.
Sensor nằm ở trước firewall có các đặc điểm sau:
•
•
•
Nhìn thấy tất cả các traffic được gửi đến mạng nội bộ.
Không phát hiện được các tấn công bên trong.
Có khả năng cao sẽ đưa ra cảnh báo giả (false possitive).
Sensor nằm ở sau firewall có các đặc điểm sau:
•
Chỉ nhìn thấy những traffic đã được cho phép bởi firewall.
Vì thế các Sensor được firewall bảo vệ khỏi những vi phạm
mà firewall đã lọc.
• Các cảnh báo yêu cầu các đáp ứng ngay lập tức.
• Có khả năng thấp sẽ đưa ra cảnh báo giả (false possitive).
1.1.2.2. Trung tâm điều khiển (Connsole):
Thành phần phát hiện là bộ phận làm có nhiệm vụ giám sát các sự
kiện, các cảnh báo được phát hiện và sinh ra từ Sensor và điều khiển hoạt
động của các bộ Sensor.
Chương 1: Tổng quan về IDS, IPS
Trang 13
Hình 1.2
1.1.2.3.
Engine:
Engine có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được
phát hiện bởi các Sensor trang một cơ sở dữ liệu và sử dụng hệ thống các
luật để đưa ra các cảnh báo trên các sự kiện nhận được cho hệ thống hoặc
cho người quản trị.
1.1.2.4.
Bộ phận phân tích gói tin (Network Trap):
Bộ phận phân tích gói tin là một thiết bị phần cứng được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi
cảnh báo khi phát hiện hành động xâm nhập.
1.1.2.5.
Thành phần cảnh báo (Alert Notification):
Chương 1: Tổng quan về IDS, IPS
Trang 14
Thành phần cảnh báo có chức năng gữi những cảnh báo tới người
quản trị. Trong các hệ thống IDS hiện đại, lời cảnh báo có thể xuất hiện ở
nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, …
1.1.2.6.
Vị trí đặt IDS:
Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế vị trí
cũng như kiến trúc của IDS khác nhau. Ta có thể đặt IDS ở trước hoặc sau
tường lửa tùy theo lựa chọn.
Hình 1.3
1.1.3. Hoạt động của IDS:
1.1.3.1. Cơ chế:
Chương 1: Tổng quan về IDS, IPS
Trang 15
Hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”. Các
Sensor là bộ phận được bố trí trên hệ thống tại những điểm cần kiểm soát,
Sensor bắt các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn
công, nếu gói tin có dấu hiệu tấn công, Densor lập tức đánh dấu gói tin đó và
gửi báo cáo kết quả về cho Engine, Engine sẽ ghi lại tất cả báo cáo của
Sensor, lưu vào cơ sở dữ liệu và quyết định đưa ra mức cảnh báo đối với sự
kiện nhân được. Console làm nhiệm vụ giám sát các sự kiện và cảnh báo
đồng thời điều khiển hoạt động các Sensor.
1.1.3.2. Các phương pháp hoạt động:
Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập: Misuse
Detextion (dò sự lạm dụng) và Anomaly Detection (dò sự bất thường).
Misuse Detection:
•
Các Sensor hoạt động theo cơ chế “ so sánh với mẫu”, các Sensor bắt
các gói tin trên mạng, đọc nội dung gói tin và so sánh các chuỗi ký tự
trong gói tin với các mẫu tín hiệu nhận biết tấn công hoặc mã độc gây
hại cho hệ thống, nếu trong nội dung gói tin có một chuỗi ký tự trùng
với mẫu, Sensor đánh dấu gói tin đó và sinh ra cảnh báo. Vì thế
phương pháp này được gọi là phương pháp dò sự lạm dụng.
• Các tín hiệu để nhận biết các cuộc tấn công được tổng kết và tập hợp
thành một bộ gọi là mẫu hay signatures. Thông thường các mẫu này
được hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn
công, các mẫu này được các trung tâm chuyên nghiên cứu về IDS đưa
ra để cung cấp cho hệ thống IDS trên toàn cầu.
• Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn
công nhanh và chính xác, không đưa ra các cảnh báo sai và giúp
người quản trị tìm ra các lỗ hổng bảo mật trong hệ thống. Tuy nhiên,
phương pháp này có nhược điểm là không phát hiện được các cuộc
Chương 1: Tổng quan về IDS, IPS
Trang 16
tấn công có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn
phải cập nhật các mẫu tấn công mới.
• Để minh họa cho ưu nhược điểm của phương pháp này ta xét ví dụ
sau: Một gói tin có chứa mã độc có chuỗi ký tự là “GET”, và IDS
cũng có mẫu của loại mã độc này vì thế IDS sẽ nhận dạng được loại
mã độc này. Nhưng nếu cùng gói tin đó với cùng mã độc đó nhưng
chuỗi ký tự bị đổi thành “TEG” vậy thì IDS sẽ không nhận dạng được
loại mã độc đó.
Anomaly Detection:
•
Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không
bình thường của mạng. Quan niệm của phương pháp này là các cuộc
tấn công sẽ có hoạt động khác với hoạt động thông thường. Ban đầu,
IDS lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ
thống. Các cuộc tấn công sẽ có những hành động khác so với bình
thường và phương pháp dò này có thể nhận dạng. Có một số kỹ thuật
giúp thực hiện dò sữ bất thướng cửa các cuộc tấn công như dưới đây:
• Threshold Detection: kỹ thuật này nhấn mạnh thuật ngữ đếm “count”.
Các mức ngững (theshhold) về các hoạt động bình thường được đặt
ra, nếu có sự bất thường nào đó như login sai mật khẩu quá số lần lần
quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một
loại gói tin được gửi vượt quá mức (chẳng hạn như tấn công DDOS),
•
…
Seft-learning Detection: kỹ thuật dò này bao gồm hai bước, khi thiết
lập hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học thiết lập
một pro file về cách cư sử mạng với các hoạt động bình thường. Sau
thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor theo dõi cách
hoạt động bất thường của mạng so với profile đã thiết lập. Chế độ tự
học có thể chạy song song với chế độ sensor để cập nhật bản profile
Chương 1: Tổng quan về IDS, IPS
Trang 17
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải
dừng lại tới khi cuộc tấn công kết thúc.
• Anomaly protocol detection:kỹ thuật dò này căn cứ vào hoạt động của
các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không
hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn
công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức
•
quét mạng, quét cổng để thu thập thông tin các hacker.
Phương pháp dò sự bất thường rất hữu ích trong việc phát hiện các
cuộc tấn công kiểu DDOS.
• Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công
mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò
theo signature. Tuy nhiên chúng có nhược điểm là thường tạo ra các
cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
1.1.3.3.
Quy trình hoạt động của IDS:
Một host A nằm trên internet (ngoài firewall) tạo ra một gói tin, sau đó
gửi nó đến một host B nằm trong mạng nội bộ có hệ thống IDS.
Các cảm biến đọc gói tin được gửi từ host A trong thời gian trước khi
gói tin đó được gửi đến host B (Cảm biến này cần phải có khả năng đọc tất
cả các gói tin).
Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin
nào có dấu hiệu vi phạm hay không. Khi có dấu hiệu vi phạm thì một cảnh
báo sẽ được tạo ra và gửi đến trung tâm điều khiển.
Khi trung tâm điều khiển nhận được cảnh báo nó sẽ gửi thông báo cho
một người hoặc một nhóm người đã được chỉ định từ trước ( thông qua popup window, email, web,…).
Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
Chương 1: Tổng quan về IDS, IPS
Các cảnh báo được lưu lại để tham khảo.
Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
Trang 18
Chương 1: Tổng quan về IDS, IPS
Trang 19
Hình 1.4
1.1.4. Phân loại IDS:
IDS thường được phân loại dựa vào nguồn dữ liệu thu thập được. Trong
trường hợp này, các hệ thống IDS được chia thành các loại sau:
•
Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm để
phát hiện xâm nhập.
• Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông
mạng, cùng với dữ liệu kiểm tra từ một hoặc nhiều máy trạm để phát
hiện xâm nhập.
1.1.4.1. HIDS (Host-based Intrusion Detection System):
Trong hệ thống HIDS, các Sensor thường là một phần mềm trên máy
trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó
nằm trên đó.
Hình 1.5 : Hình ảnh một HIDS
Chương 1: Tổng quan về IDS, IPS
Trang 20
Hệ thống HIDS bao gồm thành phần (Agent) cài đặt trên các máy trạm,
nó xác định các truy cập trái phép vào hệ thống bằng cách phân tích các trao
đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp tin hệ
thống, các hoạt động và trạng thái của hệ thống để từ đó phát hiện ra các truy
cập trai phep1vao2 hệ thống. Khi phát hiện ra các truy cập trái phép Agent
lập tức sinh ra một sự kiện và gửi báo cào về Engine, Engine tiến hành lưu
các báo cáo của Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin để
đưa ra các cảnh báo cho người quản trị hệ thống.
1.1.4.2. NIDS (Network-based Itrusion Detection System):
NIDS là một giải pháp để xác định các truy cập trái phép bằng cách
kiểm tra các luồng thông tin trên mạng và giám sát nhiều máy trạm.
NIDS quan sát luồng thông tin trên mạng bằng cách kết nối vào các
Hub, Switch được cấu hình port mirroring hoặc Network tap để bắt
các gói tin, phân tích nội dung gói tin và từ đó sinh ra các cảnh báo.
Hình 1.6: Hình ảnh một hệ thống NIDS
Port mirroning được sử dụng trong một switch mạng để gửi một bản
sao của tất cả các gói tin trên mạng khin ó đi qua cổng Switch tới một
thiết bị giám sát mạng trên cổng khác của Switch đó. Nó thường được
Chương 1: Tổng quan về IDS, IPS
Trang 21
sử dụng để các thiết bị mạng cần giám sát luồng trên mạng, ví dụ hệ
thống IDS. Port mirroring trên Switch của Cisco System thường được
gọi là Switch Port Analyzed (SPAN) hoặc của 3Com là Roving
Analysis Port (RAP).
Network tap là một thiết bị phần cứng cung cấp phương tiện để truy
cập vào luồng dữ liệu đi ngang qua một máy tính mạng. Các máy tính
mạng bao gồm cà Internet là một tập hợp các thiết bị như máy tính,
router, Switch và nối với các hệ thống khác. Các kết nối có thể bằng
nhiều công nghệ khác nhau như là Ethernet, 802.11, FDDI và ATM.
Trong nhiều trường hợp nó được xem là một thành phần thứ 3 để
giám sát luồng dữ liệu được trao đổi giữa hai điểm mạng : Điểm A và
điểm B. Nếu mạng giữa điểm A và điểm B chứa một kết nối vật lý,
một Network tap là giải pháp tốt nhất cho việc giám sát. Network tap
có ít nhất 3 cổng kết nối, một cổng A , một cổng B và một cổng giám
sát. Để đặt Network tap cho qua tất cả các dữ liệu giữa A và B vì thế
giữa hai diểm A và B vẫn diễn ra bình thường, tuy nhiên dữ liêu trao
đổi đã bị Network tap cao chép và đưa vào thiết bị giám sát thông qua
cổng giám sát.
Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra
trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng,
các Sensor bắt tất cả các gói tin lưu thông trên mạng và phân tích nội
dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công
trong mạng.
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ
thống nhỏ đó là Protocol-based Intrusion Detection System (PIDS) và
Application Protocol-based Intrusion Detection System(APIDS).
PIDS và APIDS được sử dụng để giám sát các ggiao thức không hợp
lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn
ngữ giao tiếp.
Chương 1: Tổng quan về IDS, IPS
Trang 22
Hệ thống PIDS chứa một hệ thống hoặc một thành phần (Agent)
thường được đặt ngay trước một máy chủ, giám sát và phân tích các
giao thức trao đổi giữa các thiết bị được nối mạng (Một máy trạm
hoặc một hệ thống).
Một hệ thống APIDS bao gồm một hệ thống hoặc một thành phần
thường nằm giữa một nhóm các máy chủ, giám sát và phân tích và
phân tích các trao đổi ở lớp ứng dụng cửa một giao thức định sẵn. Ví
dụ: trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao
thức SQL để ngăn chặn các truy cập vào ứng dụng khi trao đổi với cơ
sở dữ liệu.
1.2. Tổng quan về IPS:
1.2.1. Các khái niệm về IPS:
IPS là viết tắt của Intrusion Prevention System hay còn được gọi là hệ
thống ngăn chặn truy cập trái phép.
IPS là hệ thống kết hợp giữa các ưu điểm giữa IDS và firewall.
1.2.2. Kiến trúc chung của hệ thống IPS:
Một hệ thống IPS gồm 3 modul chính:
1.2.2.1. Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất cả các gói tin lưu thông qua mạng để phân
tích. Thông thường các gói tin có địa chỉ không phải của một card mạng thì
sẽ bị card mạng đó sẽ hủy gói tin nhưng card mạng của IPS được đặt ở chế
độ thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý,
phân tích đến từng trường thông tin. Bộ phận phân tích đọc thông tin từng
trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ nào…
Các thông tin này được chuyển đến modul phát hiện tấn công.
Chương 1: Tổng quan về IDS, IPS
Trang 23
1.2.2.2. Modul phát hiện tấn công:
Đây là Modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các
cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm
nhập là dò sự lạm dụng và dò sự bất thường.
1.2.2.3. Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn
công sẽ gửi tín hiệu báo hiệu có tấn công hoặc xâm nhập đến modul phản
ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức năng
ngăn chặn cuộc tấn công hoặc cảnh báo cho người quản trị. Tại modul này,
nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ
thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng này tùy
theo hệ thống mà có các chức năng và phương pháp ngăn chặn khác nhau.
Dưới đây là một số kỹ thuật ngăn chặn:
•
Kết thúc tiến trình: cơ chế của kỹ thuật này là hệ thống IPS gửi các
gói tin nhằm phá hủy tiến trình bị nghi ngờ. Tuy nhiên phương pháp
này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn
so với thời điểm tin tặc tấn công, dẫn đến tình trạng tấn công xong rồi
mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các giao
thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải
có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến
trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực
hiện được phương pháp này.
• Hủy bỏ tấn công: kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc
chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng
thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có
nhược điểm là dễ nhầm với các gói tin hợp lệ.
Chương 1: Tổng quan về IDS, IPS
•
Trang 24
Thay đổi các chính sách của tường lửa: kỹ thuật này cho phép người
quản trị cấu hình lại chính sách bào mật khi cuộc tấn công mới xảy ra.
Sự cấu hình lại là tạm thời thay đổi các chính sách điểu khiển truy cập
•
bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị.
Cảnh báo thời gian thực: gửi các cảnh báo thời gian thực đến người
quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và
•
thông tin về chúng.
Ghi lại vào tập tin: các dữ liệu cửa cá gói tin sẽ được lưu trữ trong hệ
thống các tệp tin log. Mục đích để các người quản trị có thể theo dõi
các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện
tấn công hoạt động.
1.2.3. Các kiểu hệ thống IPS:
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
1.2.3.1. IPS ngoài luồng (Out-of-band IPS):
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu.
Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có
thể kiểm soát luồng dữ liệu vào phân tích và phát hiện các dấu hiệu của sự
xâm nhập, tấn công. Vói vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn nó
chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu
thông mạng.
1.2.3.2. IPS trong luồng (In-line IPS):
Vị trí IPS nằm trước tường lửa, luồng dữ liệu phải đi qua IPS trước khi
tới tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng
chặn lưu thông nguy hiểm nhanh hơn so với IPS ngoài luồng. Tuy nhiên, vị
trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
1.2.4.
Phân loại:
Chương 1: Tổng quan về IDS, IPS
1.2.4.1.
Trang 25
Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network- based
IPS):
Có hai cách triển khai : trước firewall hoặc sau firewall.
Khi triển khai IPS trước firewall thì hệ thống NIPS có thể bảo vệ toàn
bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ
bị tấn công từ chối dịch vụ với firewall.
Hình 1.7
Khi triển khai IPS sau fire wall có thể phòng tránh được một số kiểu
tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN
để kết nối vào bên trong.
