Bài giảng Thiết kế hệ thống mạng LAN: Chương 3 - TS. Lương Minh Huấn
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (27.3 MB, 33 trang )
Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN
XÂM NHẬP IDS
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Khái niệm IDS
Kiến trúc của IDS
. Quy trình hoạt động của IDS
I.1 KHÁI NIỆM IDS
IDS (Intrusion Detection System - Hệ thống phát hiện xâm ph
à một hệ thống phòng chống, nhằm phát hiện các hành động
công vào một mạng.
Mục đích là phát hiện và ngăn ngừa các hành động phá hoại
với vấn đề bảo mật hệ thống, hoặc những hành động trong
rình tấn công như quét các cổng.
I.1 KHÁI NIỆM IDS
Một tính năng chính của hệ thống này là cung cấp thông tin n
biết về những hành động không bình thường và đưa ra các th
báo cho quản trị viên mạng để khóa các kết nối đang tấn công.
Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những
công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng
ấn công bên ngoài (tấn công từ hacker).
I.1 KHÁI NIỆM IDS
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là ph
chống cho một hệ thống máy tính bằng cách phát hiện các dấu
ấn công và có thể đẩy lùi nó.
Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu h
động thích hợp
I.1 KHÁI NIỆM IDS
Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo
các quản trị viên hệ thống về sự việc này.
Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể
bản thân IDS
I.1 KHÁI NIỆM IDS
Khác với firewall, IDS không thực hiện các thao tác ngăn
ruy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra
dấu hiệu của tấn công và cảnh báo cho người quản trị mạng.
Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan
bảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên n
và ngăn chặn chúng xảy ra, firewall không phát hiện được cuộc
công từ bên trong mạng.
IDS đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng
phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn
ừ bên trong một hệ thống.
I.1 KHÁI NIỆM IDS
Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện
nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công kh
công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất.
Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giú
có khả năng dự đoán được tấn công (prediction) và thậm
phản ứng lại các tấn công đang diễn ra (Active response).
I.2 PHÂN LOẠI IDS
hân loại IDS:
Phân loại theo phạm vi giám sát:
Network-based IDS (NIDS): là những IDS giám sát trên toàn bộ
mạng.
Host-based IDS (HIDS): là những IDS giám sát hoạt động của t
máy tính riêng biệt
I.2 PHÂN LOẠI IDS
Phân loại theo kỹ thuật:
Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của
hành vi xâm nhập, căn cứ trên nhật ký hoạt động của hệ thống.
Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (ma
tính thống kê) các hành vi hiện tại với hoạt động bình thường củ
thống để phát hiện các bất thường.
I.3 IPS
IDS là một hệ thống thuần túy phát hiện xâm nhập, nó không
hiện ngăn chặn xâm nhập mà chỉ cảnh báo cho người quản trị.
IPS là một hệ thống giúp phát hiện xâm nhập và ngăn chặn
nhập.
Chức năng chính của IPS là xác định các hoạt động nguy hại
giữ các thông tin này. Sau đó kết hợp với firewall để dừng n
các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về
hoạt động xâm nhập trái phép trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống ID
I.4 ƯU VÀ NHƯỢC ĐIỂM
Ưu điểm:
Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ
thống.
Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.
Nhược điểm:
Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể
không cho phép các truy cập hợp lệ tới hệ thống
II. KIẾN TRÚC CỦA IDS
Gồm các thành phần chính:
Trung tâm điều khiển (The Command Console)
Bộ cảm biến (Network Sensor)
Bộ phân tích gói tin(Network Tap)
Thành phần cảnh báo (Alert Notification)
Vị trí đặt IDS
II.1 COMAND CONSOLE
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí.
Nó duy trì kiểm soát thông qua các thành phần của IDS, và t
âm điều khiển có thể được truy cập từ bất cứ nơi nào.
Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa
cảm biến (Network Sensor) qua một đường mã hóa, và nó là
máy chuyên dụng.
II.2 NETWORK SENSOR
Bộ cảm biến là chương trình
chạy trên các thiết bị mạng hoặc
máy chuyên dụng trên các
đường mạng thiết yếu.
Bộ cảm biến có một vai trò
quan trọng vì có hàng nghìn
mục tiêu cần được giám sát trên
mạng.
II.3 NETWORK TAP
Bộ phân tích gói tin là một thiết bị phần cứng được kết nối
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên m
và gửi cảnh báo khi phát hiện ra hành động xâm nhập.
TAP (Test Access Point): là thiết bị dùng để sao chép dữ liệu
2 điểm trên mạng. Dữ liệu được sao chép sẽ chuyển đến bộ p
ích và giám sát của hệ thống mạng.
II.4 ALERT NOTIFICATION
Thành phần cảnh báo có chức năng gửi những cảnh báo tới n
quản trị.
Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới n
dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP.
II.5 VỊ TRÍ ĐẶT IDS
Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết k
rị cũng như kiến trúc của IDS khác nhau.
Đặt sau firewall
II.5 VỊ TRÍ ĐẶT IDS
II.5 VỊ TRÍ ĐẶT IDS
Đặt trong miền DMZ
II.5 VỊ TRÍ ĐẶT IDS
Là giữa router và firewall
III.1 CHỨC NĂNG CỦA IDS
Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo –
vệ:
Giám sát: Giám sát lưu lượng mạng các hoạt động bất thường và
hoạt động khả nghi.
Cảnh báo:Khi đã biết được các hoạt động bất thường của một (
một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thốn
người quản trị.
Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ
quản trị mà có những hành động thiết thực chống lại kẻ xâm nhậ
phá hoại
