Tìm hiểu về IDS/IPS
GVHD: Mai Cường Thọ
Lớp: 57MTT


Danh sách nhóm

1. Đinh Hữu Hoàng
2. Nguyễn Thị Thu Cúc


Các nội dung tìm hiểu
Khái niệm IDS
Chức năng của IDS
Thành phần cấu tạo hệ thống IDS
Phân loại IDS
Các vị trí đặt IDS
Một số tiêu chí triển khai IDS
Một số kiểu tấn công vào hệ thống IDS và cách phòng chống

IDS

Khái niệm IPS
Chức năng của IPS
Phân loại IPS
Lý do cần triển khai IPS
Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập
Thiết kế mô hình mạng
Một số tiêu chí triển khai IPS

IPS

IDS

Khái niệm
•

IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm
nhập, đồng thời có thể khởi tạo các hành động trên thiết
bị khác để ngăn chặn tấn công.

•

Khác với tường lửa, IDS không thực hiện các thao tác
ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên
mạng để tìm ra các dấu hiệu của tấn công và cảnh báo
cho người quản trị mạng. Một điểm khác biệt khác đó là
mặc dù cả hai đều liên quan đến bảo mật mạng, nhưng
tường lửa theo dõi sự xâm nhập từ bên ngoài và ngăn
chặn chúng xảy ra, nó giới hạn truy nhập giữa các mạng
để ngăn chặn sự xâm nhập nhưng không phát hiện được
cuộc tấn công từ bên trong mạng. Bên cạnh đó IDS sẽ
đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng
thời phát ra cảnh báo, nó theo dõi được các cuộc tấn công
có nguồn gốc từ bên trong một hệ thống.

 
4



Chức năng của IDS

Chức năng ban đầu của IDS chỉ là phát hiện các
dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra
các cảnh báo tấn công khi tấn công đang diễn ra
hoặc thậm chí sau khi tấn công đã hoàn tất.
Càng về sau, nhiều kỹ thuật mới được tích hợp
vào IDS, giúp nó có khả năng dự đoán được tấn
công (prediction) và thậm chí phản ứng lại các
tấn công đang diễn ra (Active response).


IDS

Thành phần cấu tạo hệ thống IDS

Sensor (bộ cảm nhận)

Signature database

Chặn bắt và phân tích lưu lượng
trên mạng và các nguồn thông
tin khác để phát hiện dấu hiệu
xâm nhập (signature).

Là cơ sở dữ liệu chứa dấu hiệu của các tấn
công đã được phát hiện và phân tích. Cơ chế
làm việc của signature database giống như
virus database trong các chương trình antivirus,
do vậy, việc duy trì một hệ thống IDS hiệu quả

phải bao gồm việc cập nhật thường xuyên cơ sở
dữ liệu này.


Phân loại IDS theo phạm vi giám sát

Phân loại IDS
Phân loại IDS theo phạm vi giám sát

Network-based IDS (NIDS)
Là những IDS giám sát trên toàn bộ mạng. Nguồn thông
tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông
trên mạng. NIDS thường được lắp đặt tại ngõ vào của
mạng, có thể đứng trước hoặc sau tường lửa.

Host-based IDS (HIDS)
 
Là những IDS giám sát hoạt động của từng máy tính riêng
biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngoài lưu
lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu
nhật ký hệ thống (system log) và kiểm tra hệ thống (system
audit).


Phân loại IDS theo phạm vi giám sát

Phân loại IDS
Phân loại IDS theo kỹ thuật thực hiện

Signature-based IDS

Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của
hành vi xâm nhập, thông qua phân tích lưu lượng mạng và
nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở
dữ liệu về các dấu hiệu xâm nhập (signature database) và cơ
sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có
một hình thức hoặc kỹ thuật xâm nhập mới.

Anomaly-based IDS 
Phát hiện xâm nhập bằng cách so sánh các hành vi hiện tại với hoạt
động bình thường của hệ thống để phát hiện các bất thường
(anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện
bình thường, lưu lượng trên một giao tiếp mạng của server là vào
khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời
điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn
nữa, thì có thể giả định rằng server đang bị tấn công DoS. Để hoạt
động chính xác, các IDS loại này phải thực hiện một quá trình
“học”, tức là giám sát hoạt động của hệ thống trong điều kiện bình
thường để ghi nhận các thông số hoạt động, đây là cơ sở để phát
hiện các bất thường về sau.


Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt
IDS tại các vị trí khác nhau để tận dụng tối đa khả
năng của hệ thống này.

1. Đặt giữa router và firewall
Khi đặt trong trường hợp này, IDS sẽ theo dõi
tất cả các lưu lượng trên cả 2 chiều. Khi triển
khai theo cấu trúc này thì IDS phải chịu áp lực
rất lớn về lượng, nhưng lại có khả năng giám

sát toàn bộ lưu lượng của hệ thống mạng. Vì
vậy, trong trường hợp này nên lựa chọn các
thiết bị IDS có khả năng chịu tải cao để nâng
cao hiệu năng.
9

9


2. Đặt trong miền DMZ

Khi đặt trong
trường hợp này,
IDS sẽ theo dõi
tất cả lưu lượng
vào/ra trong
miền DMZ.

10


3. Đặt sau firewall

Khi đặt trong trường hợp này, IDS sẽ theo dõi
tất cả lưu lượng trao đổi phía sau firewall như:
 Dữ liệu trao đổi trong LAN.
 Dữ liệu từ LAN vào/ra DMZ và ngược lại.


Một số tiêu chí triển khai IDS


1
 Xác định công
nghệ IDS/IPS
đã, đang hoặc
dự định triển
khai.

2
 Xác định các
thành phần của
IDS/IPS.
 Thiết đặt và cấu
hình an toàn cho
IDS/IPS.

3

4

5

 Xác định vị trí
hợp lý để đặt
IDS/IPS.

 Có cơ chế xây
dựng, tổ chức,
quản lý hệ
thống luật

(rule).

 Hạn chế thấp nhất
các tình huống cảnh
báo nhầm (false
positive) hoặc
không cảnh báo khi
có xâm nhập (false
negative).


Một số kiểu tấn công vào hệ thống IDS và cách phòng chống
 Từ chối dịch vụ (DoS): cũng như các thiết bị mạng khác, IDS hoàn toàn có khả
năng bị tấn công từ chối dịch vụ, nhằm mục đích tiêu tốn tài nguyên hệ thống
(CPU, bộ nhớ, băng thông mạng…).
 Tấn công đánh lừa IDS: sử dụng các kỹ thuật can thiệp, thay đổi cấu trúc gói tin
để nhằm đánh giá khả năng ứng xử của IDS đối với các kiểu dữ liệu đầu vào.


Một trong những phần mềm IDS phổ biến hiện nay là Snort. Đây là một sản phẩm
NIDS mã nguồn mở với hệ thống signature database (được gọi là rule database)
được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồng Internet.
 

Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đến thời điểm
này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫn chưa thật sự
chứng tỏ được tính hiệu quả của nó trong việc đảm bảo an toàn cho các hệ thống. Xu
hướng hiện nay là chuyển dịch dần sang các hệ thống IPS có khả năng phát hiện và
ngăn chặn một cách hiệu quả các cuộc tấn công mạng, đồng thời giảm thiểu thời gian
chết và các chi phí ảnh hưởng đến hiệu quả hoạt động của mạng.



SNORT

•

Snort là một hệ thống phát hiện xâm nhập mạng,
viết tắt là NIDS (Network intrusion detection
system). Snort là một mã nguồn mở miễn phí với
nhiều tính năng tuyệt vời trong việc bảo vệ hệ thống
bên trong, phát hiện và ngăn chặn sự tấn công từ
bên ngoài vào hệ thống.
• Snort có thể phát hiện tấn công mạng trong thời gian
thực. Tuy nhiên, Snort chỉ có thể chống lại các cuộc
tấn công một cách hiệu quả khi có dấu hiệu bị tấn
công. Đối với những Hacker chuyên nghiệp hay
hacker khét tiếng họ có thể tùy biến signature của
cuộc tấn công theo ý mình, từ đó thiết bị giám sát
mạng snort khó có thể phát hiện.
• Snort cũng có thể được dùng như một chương trình
bắt gói tin (sniffer packet), lưu trữ và kiểm tra logger
(packet logger) hoặc xếp chúng, từ đó snort sẽ tự so
sánh mối nguy hiểm của hiểm họa nhằm phát hiện
xâm nhập.
• Một số hệ thống Snort có thể chạy như: Windows,
Linux, Solaris, HP-UX, AIX, IRIX, OpenBSD,

15



SNORT

Cấu trúc của Snort:
• Mô đun giải mã gói tin (Packet Decoder): là
thiết bị phần cứng hoặc phần mềm được đặt
trong mạng, có nhiệm vụ phân tích các giao
thức TCP, UDP, ICMP,… thành thông tin mà
con người có thể đọc và hiểu được.

16


SNORT

Cấu trúc của Snort:
• Mô đun tiền xử lý (Preprocessors): là plus-in
cho phép phân tích cú pháp dữ liệu theo những
cách khác nhau. Nếu chạy snort mà không có
bất cứ cấu hình nào về preprocessors trong tập
tin cấu hình sẽ chỉ thấy từng gói dữ liệu riêng
rẽ trên mạng.

17


SNORT

Cấu trúc của Snort:
• Mô đun phát hiện (Detection Engine): là một
phần của hệ thống phát hiện xâm nhập dựa trên

dấu hiệu, detection engine lấy và kiểm tra dữ
kiệu theo luật. Nếu các luật đó khớp với dữ liệu
của gói tin nó sẽ gửi tới hệ thống cảnh báo nếu
không nó sẽ bị bỏ qua như hình sau:

18


SNORT

Cấu trúc của Snort:
• Mô đun log và cảnh báo (Logging and Alerting
System): cơ chế log sẽ lưu trữ các gói tin đã
kích hoạt các luật còn cơ chế cảnh báo sẽ thông
báo các phân tích bị thất bại.

19


SNORT

Cấu trúc của Snort:
• Mô đun kết xuất thông tin(Output Modules)
• Mô hình kiến trúc của Snort:

20


IPS


Khái niệm

• IPS (Intrusion Prevention Systems

– Hệ thống ngăn ngừa xâm
nhập) là hệ thống theo dõi, ngăn
ngừa kịp thời các hoạt động xâm
nhập không mong muốn.

21


Chức năng của IPS
Chức năng chính của IPS là xác định các hoạt
động nguy hại, lưu giữ các thông tin này. Sau đó
kết hợp với firewall để dừng ngay các hoạt động
này, và cuối cùng đưa ra các báo cáo chi tiết về
các hoạt động xâm nhập trái phép trên.
Hệ thống IPS được xem là trường hợp mở rộng
của hệ thống IDS, cách thức hoạt động cũng như
đặc điểm của 2 hệ thống này tương tự
nhau. Điểm khác nhau duy nhất là hệ thống IPS
ngoài khả năng theo dõi, giám sát thì còn có chức
năng ngăn chặn kịp thời các hoạt động nguy hại
đối với hệ thống. Hệ thống IPS sử dụng tập luật
tương tự như hệ thống IDS.


Phân loại IDS theo phạm vi giám sát


Phân loại IPS
1.
•
•

•

Hệ thống ngăn ngừa xâm nhập mạng (NIPS –
Network-based Intrusion Prevention)
Thường được triển khai trước hoặc sau firewall.
Khi triển khai IPS trước firewall là có thể bảo vệ
được toàn bộ hệ thống bên trong kể cả firewall,
vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công
từ chối dịch vụ đồi với firewall.
Khi triển khai IPS sau firewall có thể phòng tránh
được một số kiểu tấn công thông qua khai thác
điểm yếu trên các thiết bị di động sử dụng VPN để
kết nối vào bên trong.

2. Hệ thống ngăn ngừa xâm nhập host (HIPS – Hostbased Intrusion Prevention)
• Thường được triển khai với mục đích phát hiện và ngăn
chặn kịp thời các hoạt động thâm nhập trên các host.
• Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng
công nghệ tương tự như các giải pháp antivirus.
• Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm
nhập, HIPS còn có khả năng phát hiện sự thay đổi các
tập tin cấu hình.


Lý do cần triển khai IPS

Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác
nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IPS là một trong những thành
phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:

1

2

3

Theo dõi các hoạt động bất
thường đối với hệ thống.

Xác định ai đang tác động đến
hệ thống và cách thức như thế
nào, các hoạt động xâm nhập
xảy ra tại vị trí nào trong cấu
trúc mạng.

Tương tác với hệ thống
firewall để ngăn chặn kip
thời các hoạt động thâm
nhập hệ thống.


Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập

Ưu điểm

 Cung cấp giải pháp bảo vệ toàn diện

hơn đối với tài nguyên hệ thống.
 Ngăn chặn kịp thời các tấn công đã
biết hoặc chưa được biết.

Hạn chế

 Có thể gây ra tình trạng phát hiện
nhầm (faulse positives), có thể
không cho phép các truy cập hợp lệ
tới hệ thống.