Mô tả:
công nghệ thông tin,an ninh,bảo mật
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IDS/IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
1
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IDS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
2
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IDS: khả năng
- Giám sát lưu lượng mạng ở chế độ
Promiscuous.
- So sánh lưu lượng mạng với các dạng tấn công
đã được biết trước (signatures); cũng nhận biết
các cuộc tấn công “theo kinh nghiệm” (DoS,
multi-host scan) và các bất thường của giao thức.
- Mặc dầu chức năng chính là hiển thị và phát
cảnh báo, tuy nhiên cũng cho phép phản ứng chủ
động: TCP reset, ghi lại các phiên IP...
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
3
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
4
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IPS: khả năng
- Giám sát dữ liệu giữa 2 giao diện một cách trong suốt.
- So sánh lưu lượng mạng với các dạng tấn công đã
được biết trước (signatures); cũng nhận biết các cuộc tấn
công “theo kinh nghiệm” (DoS, multi-host scan) và các
bất thường của giao thức.
- Có khả năng cảnh báo cũng như ngăn ngừa thông
qua lọc gói dữ liệu.
- Loại bỏ một gói dữ liệu đơn (a single packet).
- Loại bỏ tất cả các gói dữ liệu cho một kết nối.
- Loại bỏ tất cả các lưu lượng từ một địa chỉ IP nguồn.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
5
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IPS: lợi ích
- Chuẩn
hóa
lưu
lượng
(Traffic
normalization): bên cạnh khả năng ngưng các
lưu lượng xấu, NIPS còn có thể ngăn ngừa các kỹ
thuật tránh né IDS/IPS (evasion)
- Thực thi các chính sách an ninh (Security
Policy Enforcement): NIPS có khả năng thực thi
các chính sách an ninh bởi vì nó có khả năng sửa
đổi và loại bỏ các lưu lượng đi vào hệ thống
mạng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
6
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IPS: Giới hạn
1- Tấn công từ Internet vào
bên trong hệ thống.
2- Tấn công được thực hiện
từ trong nội bộ đến các máy
cũng trong nội bộ.
3- Tấn công được thực hiện
từ bên trong nội bộ ra bên
ngoài Internet.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
7
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IPS: Giới hạn
1- Tấn công từ Internet
vào bên trong hệ thống.
2- Tấn công được thực hiện
từ trong nội bộ đến các máy
cũng trong nội bộ.
3- Tấn công được thực
hiện từ bên trong nội bộ ra
bên ngoài Internet.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
8
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Network-based IDS: Thuận lợi
1- Tấn công từ Internet vào
bên trong hệ thống.
2- Tấn công được thực hiện
từ trong nội bộ đến các máy
cũng trong nội bộ.
3- Tấn công được thực hiện từ
bên trong nội bộ ra bên ngoài
Internet.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
9
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các khả năng chung của IDS và IPS
- Phát cảnh báo (alert)
- Ghi log (Initiating IP logging)
- Thiết lập lại kết nối TCP (Resetting
TCP connections)
- Khởi tạo ngăn chặn IP (Initiating IP
blocking)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
10
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bắt gói ở chế độ Promiscuous
Các thiết bị thường dùng để chuyển các
gói dữ liệu tới bộ cảm biến IDS:
- Hubs
- Network Taps
- Switches
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
11
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bắt gói ở chế độ Promiscuous (tt)
Hub
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
12
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bắt gói ở chế độ Promiscuous (tt)
Network tap:
Giám sát lưu lượng
mạng của phân
đoạn mạng ở giữa 2
thiết bị hạ tầng
mạng mà không có
thiết bị switch
hoặc hub can thiệt
vào
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
13
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bắt gói ở chế độ Promiscuous (tt)
Switch:
Switch cần được
cấu hình ánh xạ
lưu lượng mạng
tới IDS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
14
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bắt gói ở chế độ In-line mode
Một số vị trí của bộ cảm biến IPS:
- Giữa 2 bộ định tuyến (router).
- Giữa tường lửa và bộ định tuyến.
- Giữa thiết bị chuyển mạch (switch) và
tường lửa.
- Giữa các thiết bị chuyển mạch.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
15
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phân tích lưu lượng mạng
Hoạt động đơn (Atomic operations)
Duy trì trạng thái (Stateful operations)
Giải mã giao thức (Protocol decode
operations)
Hoạt động bất thường (Anomaly
operations)
Chuẩn hóa (Normalizing operations)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
16
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phân tích lưu lượng mạng
Dấu hiệu đơn (Atomic operations)
Duy trì trạng thái (Stateful operations)
Giải mã giao thức (Protocol decode
operations)
Hoạt động bất thường (Anomaly
operations)
Chuẩn hóa (Normalizing operations)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
17
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phân tích lưu lượng mạng
Dấu hiệu đơn (Atomic operations)
Toàn bộ dấu hiệu (signature) tấn công có
thể được quan sát bằng cách phân tích nội
dung của một gói dữ liệu đơn (a single
packet), không cần duy trì trạng thái.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
18
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phân tích lưu lượng mạng
Dấu hiệu đơn (Atomic operations): ví dụ
- Signature Name (common): TCP SYN/FIN
packet
- Signature ID (common): 3041/0
- Engine (common): ATOMIC IP
- Mô tả: kích hoạt khi 1 gói dữ liệu TCP đơn
với một cặp SYN và FIN cùng được bật và
được gửi từ 1 máy tính nào đó.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
19
3/23/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phân tích lưu lượng mạng
Duy trì trạng thái (Stateful operations):
Dấu hiệu (signature) có thể được sử lý chỉ
khi duy trì trạng thái trên lưu lượng mà bộ
cảm biến IPS vừa quan sát trước đó.
Hầu hết các dấu hiệu dựa trên TCP đều yêu
cầu lưu lượng vừa quan sát phải là 1 phần của kết
nối TCP hợp lệ để thật sự kích hoạt các dấu hiệu.
Khoảng thời gian duy trì trạng thái được gọi
là Event Horizon.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
20
- Xem thêm -