Tinhoc1088's Blog

Icon

Tư Vấn Tin Học

IDS trong bảo mật hệ thống mạng

Trong bài viết này tôi trình bày với các bạn sự khác nhau giữa các dạng Intrusion Detection, các khái niệm về các dạng đó, hiểu cách triển khai và cấu hình mỗi dạng Intrusion Detection System. Intrusion Detection có khả năng phát hiện các nguy cơ bảo mật xảy ra trong cả hệ thống mạng hay trong một hệ thống cụ thể.

Thông tin trọng yếu

Intrusion Detection là thiết bị bảo mật vô cùng quan trọng. Intrusion Detection Systems (IDS) là giải pháp bảo mật được bổ sung cho Firewalls (hình dưới đây thể hiện điều đó). Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được Firewall.

Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó là việc thiết lập các thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị thiết bị IDS cảnh báo là các giao tiếp đó là các đoạn mã nguy hiểm …

Có hai dạng chính của IDS đó là: Network Based Host Based

Network Based

Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

Host Based

Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ giám sát và gi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). A Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ,

Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo mật cho hệ điều hành.


Active Detection and Passive Detection

IDS là một hệ thống tự động giám sát trong thời gian thực (Network-Based IDS) hay xem sét lại các thiết lập giám sát (audit log) nhằm phát hiện ra các lỗi bảo mật và các tấn công trực tiếp tới hệ thống mạng hay tới một máy chủ. Có hai phương thưc cơ bản để IDS phát hiện ra các tấn công hay các nguy cơ bảo mật là: Signature Detection và Anomaly Detection. Signature Detection được hiển thị trong hình dưới đây sẽ so sánh các tình huống thực tế với các dạng tấn công (signatures) được lưu trữ trong dữ liệu của IDS. Anomaly Detection thể hiện hình bên dưới sẽ hoạt động tùy thuộc vào môi trường và có thể phát hiện ra những biến cố bất thường. Anomaly-detection dựa vào những hoạt động bình thường của hệ thống để tự động phát hiện ra những điều không bình thường và phân tích xem đó là dạng tấn công nào.

Hiển thị: Một signature-detection IDS


Một anomaly-detection IDS sử dụng công nghệ đỉnh cao để phân tích dựa trên các thuật toán cao cấp.


Một IDS active detection: phát hiện và trả lời được thiết kế để có hành động nhanh nhất nhằm giảm thiểu các nguy hiểm có thể sảy ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ, ngắt các kết nối (được hiển thị dưới hình dưới đây).

Một IDS với passive detection sẽ trả lời nhưng không có các hành động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ hệ thống và cảnh báo cho người quản trị hệ thống. IDS là thiết bị phát hiện tấn công DoS rất tốt; phát hiện các bugs, flaws hoặc các tính năng ẩn, và quét ports. Nhưng nó không có khả năng phát hiện các tấn công dựa trên các email chứa các đoạn mã nguy hiểm.

Các thành phần của IDS hoạt động để giám sát mạng


IDS instructing TCP reset tất cả các kết nối.


IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào máy chủ Web cài IIS.


Honey Pots

Một honey-pot được thể hiện trong hình dưới là một môi trường giả lập được thiết kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối từ hệ thống mạng bên trong. Honey-pot thường được phát triển như một lớp đệm của hệ thống mạng với những người dùng bình thường, phân chia thành các vùng như: Internet, DMZ, Internal.

Honey-pot hoạt động như một hệ thống mạng thật, với các thông số về dữ liệu và tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các kẻ tấn công. Những kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại honey-pot nhưng đó chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ. Trong một hệ thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó khăn trong việc xác định mạng nào là mạng thật.

Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh cho mạng của bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một môi trường giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không ảnh hưởng tới hệ thống thật.

Một mạng honey pot đánh lừa những kẻ tấn công một cách thông minh.


Incident Response.

Khi một vấn đề bảo mật được phát hiện, incident response sẽ phải được thiết lập. Với tác dụng là lập kế hoạch và các văn bản giảm thiểu sự bất ngờ về mức độ nguy hiểm, tạo các bản recovery cho dữ liệu một cách nhanh chóng, nếu sự cố xảy ra có thể giảm thiểu được thiệt hại và bất ngờ. Với thời gian khắc phục sự cố một cách nhanh nhất.

Nhằm giảm thiểu bạn phải có kế hoạch:

– Ghi lại toàn bộ các vấn đề được phát hiện đã xử lý và nguy cơ tiềm ẩn.

– Tạo các bản backup toàn bộ dữ liệu và thường xuyên kiểm tra các ổ đĩa, có giải pháp phòng sự cố khi ổ đĩa bị hỏng.

– Tổng hợp toàn bộ dữ liệu log được ghi lại đôi khi cũng phải thực hiện tạo ra các bản copy của dữ liệu đó, mặt khác bảo mật dữ liệu log cũng rấ quan trọng.

– Ngoài ra bạn phải có các chính sách nhằm nâng cao độ ổn định của hệ thống như tạo ra các kết nối dư thừa trong tình huống các kết nối chính bị ngắt do một nguyên nhân nào đó thì không ảnh hưởng tới các dịch vụ mạng.

Tổng kết

Trong bài viết này các bạn cần phải nắm được thế nào là một IDS vai trò của nó ra sao trong hệ thống mạng. Các dạng của IDS, phương thức phát hiện ra các tấn công, các hành động khi đã phát hiện ra tấn công. Giải pháp giả lập một mạng nhằm đánh lừa các kẻ tấn công ra sao. Cách giúp một hệ thống hoạt động ổn định và có những giải pháp khắc phục sự cố một cách nhanh nhất.

Vnexperts’s Research Department


Filed under: Bảo Mật-IDS IPS

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

Top 10 Best Hosting

HostGator Review HostGator Review
Hostgator $3.96/mo. 25% Off code: Best25PercentOff
iPage Review iPage Review
Cheapest Hosting - only $1.99/month Visit iPage
BlueHost Review BlueHost Review
Best Personal Hosting - $4.95/mo Visit BlueHost
A2Hosting Review A2Hosting Review
Best SSD Hosting - $4.97/mo Visit A2Hosting
GoDaddy Review GoDaddy Review
Best Budget Hosting - $1.99/mo Visit GoDaddy
Stablehost Review Stablehost Review
Stablehost Coupons 40% Off code: Best40PercentOff
Arvixe Review Arvixe Review
Arvixe hosting - $4/mo Visit Arvixe
InMotion Hosting Review InMotion Hosting Review
Best Business Hosting - $5.99/mo Visit InMotion
Dreamhost Review Dreamhost Review
Dreamhost $75 off code: BEST75USDOFF
IXWebHosting Review IXWebHosting Review
IXWebHosting - $3.95/mo Visit IXWebHosting
View All Web Hosting Coupons

RSS Tư vấn tin học

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS USB 3G

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Di động

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Chat SMS

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Phục hồi dữ liệu

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.
%d bloggers like this: