Tài liệu Network-based ids/ips

3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IDS/IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 1 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IDS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 2 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IDS: khả năng - Giám sát lưu lượng mạng ở chế độ Promiscuous. - So sánh lưu lượng mạng với các dạng tấn công đã được biết trước (signatures); cũng nhận biết các cuộc tấn công “theo kinh nghiệm” (DoS, multi-host scan) và các bất thường của giao thức. - Mặc dầu chức năng chính là hiển thị và phát cảnh báo, tuy nhiên cũng cho phép phản ứng chủ động: TCP reset, ghi lại các phiên IP... Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 3 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 4 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IPS: khả năng - Giám sát dữ liệu giữa 2 giao diện một cách trong suốt. - So sánh lưu lượng mạng với các dạng tấn công đã được biết trước (signatures); cũng nhận biết các cuộc tấn công “theo kinh nghiệm” (DoS, multi-host scan) và các bất thường của giao thức. - Có khả năng cảnh báo cũng như ngăn ngừa thông qua lọc gói dữ liệu. - Loại bỏ một gói dữ liệu đơn (a single packet). - Loại bỏ tất cả các gói dữ liệu cho một kết nối. - Loại bỏ tất cả các lưu lượng từ một địa chỉ IP nguồn. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 5 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IPS: lợi ích - Chuẩn hóa lưu lượng (Traffic normalization): bên cạnh khả năng ngưng các lưu lượng xấu, NIPS còn có thể ngăn ngừa các kỹ thuật tránh né IDS/IPS (evasion) - Thực thi các chính sách an ninh (Security Policy Enforcement): NIPS có khả năng thực thi các chính sách an ninh bởi vì nó có khả năng sửa đổi và loại bỏ các lưu lượng đi vào hệ thống mạng. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 6 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IPS: Giới hạn 1- Tấn công từ Internet vào bên trong hệ thống. 2- Tấn công được thực hiện từ trong nội bộ đến các máy cũng trong nội bộ. 3- Tấn công được thực hiện từ bên trong nội bộ ra bên ngoài Internet. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 7 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IPS: Giới hạn 1- Tấn công từ Internet vào bên trong hệ thống. 2- Tấn công được thực hiện từ trong nội bộ đến các máy cũng trong nội bộ. 3- Tấn công được thực hiện từ bên trong nội bộ ra bên ngoài Internet. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 8 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Network-based IDS: Thuận lợi 1- Tấn công từ Internet vào bên trong hệ thống. 2- Tấn công được thực hiện từ trong nội bộ đến các máy cũng trong nội bộ. 3- Tấn công được thực hiện từ bên trong nội bộ ra bên ngoài Internet. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 9 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khả năng chung của IDS và IPS - Phát cảnh báo (alert) - Ghi log (Initiating IP logging) - Thiết lập lại kết nối TCP (Resetting TCP connections) - Khởi tạo ngăn chặn IP (Initiating IP blocking) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 10 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bắt gói ở chế độ Promiscuous Các thiết bị thường dùng để chuyển các gói dữ liệu tới bộ cảm biến IDS: - Hubs - Network Taps - Switches Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 11 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bắt gói ở chế độ Promiscuous (tt) Hub Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 12 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bắt gói ở chế độ Promiscuous (tt) Network tap: Giám sát lưu lượng mạng của phân đoạn mạng ở giữa 2 thiết bị hạ tầng mạng mà không có thiết bị switch hoặc hub can thiệt vào Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 13 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bắt gói ở chế độ Promiscuous (tt) Switch: Switch cần được cấu hình ánh xạ lưu lượng mạng tới IDS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 14 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bắt gói ở chế độ In-line mode Một số vị trí của bộ cảm biến IPS: - Giữa 2 bộ định tuyến (router). - Giữa tường lửa và bộ định tuyến. - Giữa thiết bị chuyển mạch (switch) và tường lửa. - Giữa các thiết bị chuyển mạch. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 15 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phân tích lưu lượng mạng Hoạt động đơn (Atomic operations) Duy trì trạng thái (Stateful operations) Giải mã giao thức (Protocol decode operations) Hoạt động bất thường (Anomaly operations) Chuẩn hóa (Normalizing operations) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 16 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phân tích lưu lượng mạng Dấu hiệu đơn (Atomic operations) Duy trì trạng thái (Stateful operations) Giải mã giao thức (Protocol decode operations) Hoạt động bất thường (Anomaly operations) Chuẩn hóa (Normalizing operations) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 17 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phân tích lưu lượng mạng Dấu hiệu đơn (Atomic operations) Toàn bộ dấu hiệu (signature) tấn công có thể được quan sát bằng cách phân tích nội dung của một gói dữ liệu đơn (a single packet), không cần duy trì trạng thái. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 18 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phân tích lưu lượng mạng Dấu hiệu đơn (Atomic operations): ví dụ - Signature Name (common): TCP SYN/FIN packet - Signature ID (common): 3041/0 - Engine (common): ATOMIC IP - Mô tả: kích hoạt khi 1 gói dữ liệu TCP đơn với một cặp SYN và FIN cùng được bật và được gửi từ 1 máy tính nào đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 19 3/23/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phân tích lưu lượng mạng Duy trì trạng thái (Stateful operations): Dấu hiệu (signature) có thể được sử lý chỉ khi duy trì trạng thái trên lưu lượng mà bộ cảm biến IPS vừa quan sát trước đó. Hầu hết các dấu hiệu dựa trên TCP đều yêu cầu lưu lượng vừa quan sát phải là 1 phần của kết nối TCP hợp lệ để thật sự kích hoạt các dấu hiệu. Khoảng thời gian duy trì trạng thái được gọi là Event Horizon. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20 20