Bài giảng An toàn bảo mật mạng: Chương 4 - ThS. Trần Đắc Tốt

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM

AN TOÀN BẢO MẬT MẠNG (Network Security)

Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/

IDS & IPS.

1

NỘI DUNG MÔN HỌC

Chương 1: Tổng quan an toàn và bảo mật thông tin mạng

máy tính.

Chương 2: Tấn công mạng máy tính.

Chương 3: Công nghệ Firewall.

Chương 4: Hệ thống phát hiện và phòng chống xâm

nhập (IDS&IPS).

Chương 5: An ninh mạng WLAN (IEEE 802.11)

Chương 6: Chuẩn an toàn thông tin

IDS & IPS.

2

Các nội dung trình bày

1. Một số khái niệm

2. Triển khai IDS/IPS

3. Kiến trúc hệ thống

IDS & IPS.

3

1. Một số khái niệm

Hệ thống phát hiện và phòng chống xâm nhập được hợp thành bởi

hai hệ thống đó là hệ thống phát hiện xâm nhập (IDS – Instrusion

detection system) và hệ thống phòng chống xâm nhập (IPS –

Instrusion prevention system).

IDS là một hệ thống nhằm phát hiện các hành động tấn công vào

một mạng.

IPS là hệ thống thực thi các biện pháp xử lý các kết nối, biện pháp

phản ứng này có thể được thực hiện hoàn toàn tự động hoặc do

quản trị viên chỉ định phương thức như theo dõi, giám sát, ngăn

IDS & IPS.

4

chặn,...

Hệ thống phát hiện xâm nhập

IDS & IPS.

5

Hệ thống phòng chống xâm nhập

IDS & IPS.

6

Sự khác biệt giữa hệ thống phát hiện và phòng chống xâm nhập

Cả IDS và IPS cùng có khả năng đo và kiểm soát lưu lượng giao

thông thực tế trên mạng.

hành sao chép, và cảnh báo về các vi phạm thực sự của các gói tin, kết

Nhưng IDS chỉ kiểm soát với phương thức xem lưu lượng truy cập, tiến

nối trên cơ sở đối chiếu với những mục tiêu dự định của hệ thống đã

IDS & IPS.

7

đặt ra.

2. Triển khai IDS

Vị trí đặt IDS thường gắn với các thiết bị chuyển mạnh, tập trung tín

hiệu, điều khiển lưu lượng,... một dòng chảy của mạng sẽ được tách

riêng để chuyển tới bộ phát hiện xâm nhập hoặc các cảm biến (sensor)

của nó.

Dòng thông tin này là bản sao của dòng chính đi qua thiết bị mạng

(Network Tap), vì vậy sẽ đảm bảo không có luồng thông tin nào là

ngoại lệ khi hoạt động, mọi quá trình lưu chuyển thông tin đều được

IDS & IPS.

8

chuyển tới IDS để thực hiện phân tích.

Vị trí triển khai IDS

IDS & IPS.

9

Triển khai IPS

IDS & IPS.

10

Vị trí IPS

Khi nâng cấp IDS trở thành IPS, lúc này thiết bị có khả năng phản ứng

ra quyết định, chính vì vậy IPS sẽ kiểm soát ngay tại vị trí luồng thông tin

trực tiếp với các kết nối đang hoạt động và sẽ tác động ngay tại thời điểm

IDS & IPS.

11

chính trên mạng, tại các vị trí trọng yếu.

Triển khai đa tầng

IDS & IPS.

12

Bộ cảm biến (sensor)

Bộ cảm biến (Sensor) thực hiện thu thập dữ liệu. Ví dụ, bộ cảm

biến mạng thường là các chương trình thu thập dữ liệu từ giao

diện mạng.

Cảm biến cũng có thể thu thập dữ liệu từ các bản ghi hệ thống và

các nguồn khác, chẳng hạn như tường lửa cá nhân và gói tin TCP.

Các cảm biến này chuyển thông tin cho các tác nhân (Agent) đôi

khi còn được gọi là bộ phân tích, giám sát hoạt động xâm nhập

IDS & IPS.

13

trên máy từng cá nhân.

Triển khai bộ cảm biến tại khu vực ngoại biên của mạng

IDS & IPS.

14

Triển khai bộ cảm biến trong DMZ

IDS & IPS.

15

Triển khai bộ cảm biến theo phương thức hỗn hợp

IDS & IPS.

16

Triển khai bộ cảm biến

Bộ cảm biến khi triển khai trên hệ thống mạng có thể theo hai

dạng khác nhau đó là chương trình hoặc các thiết bị mạng, chúng

thu thập dữ liệu của các gói tin đi qua một giao diện mạng, trục

chính mạng hoặc bộ chuyển mạch của toàn mạng.

Một trong những lợi thế lớn nhất khi sử dụng bộ cảm biến cài đặt

trên mạng là có nhiều máy trên toàn hệ thống cung cấp dữ liệu để

IDS & IPS.

17

phân tích.

Tác nhân (Agent)

Tác nhân (Agent) thường được chuyên biệt để thực hiện một và

chỉ một chức năng.

Một tác nhân có thể thực hiện như kiểm tra lưu lượng TCP, hoặc

kiểm tra FTP (File Transfer Protocol), kiểm tra kết nối và cố gắng

kết nối.

Ngoài ra, các tác nhân có thể liên kết đến các công cụ của bên thứ

ba, chẳng hạn như các công cụ giám sát mạng, truy tìm kết nối,...

để phối hợp phân tích và mở rộng phạm vi chức năng của tác nhân

khi thực hiện báo cáo cho bộ quản lý trung tâm.

IDS & IPS.

18

Các chức năng của agent

Thu thập và hiển thị cảnh báo trên một giao diện điều khiển

Kích hoạt một máy nhắn tin hoặc gọi một số điện thoại di động

Lưu trữ thông tin về một sự cố trong một cơ sở dữ liệu

Lấy thêm thông tin có liên quan đến sự cố

Gửi thông tin đến một máy chủ, yêu cầu dừng hoạt động tạm thời

để thực hiện các hướng dẫn nhất định trong bộ nhớ

Gửi lệnh đến một bức tường lửa hoặc thiết bị định tuyến để thay

đổi, thiết lập, kiểm soát các danh sách truy cập.

Cung cấp một giao diện quản lý, giao diện người dùng với bộ quản

IDS & IPS.

19

lý.

Bộ quản lý trung tâm

Bộ quản lý trung tâm cho phép dễ dàng hơn trong việc phân tích

các thông tin từ nhiều hướng, nhiều điểm, nhiều nguồn, bởi vì tất

cả các thông tin đã được tập hợp sẵn sàng tại một địa điểm.

Ngoài ra, ghi dữ liệu về hệ thống trung tâm sẽ đảm bảo việc rà

soát và đối chiếu thông tin được chính sác ngay cả khi kẻ tấn công

IDS & IPS.

20

đã làm thay đổi thông tin gốc trên máy bị chiếm quyền điều khiển.

Triển khai quản lý

Khi triển khai xong hệ thống phát hiện và phòng chống xâm nhập,

đòi hỏi phải có khu vực quản lý, kiểm soát toàn bộ hoạt động của

các thành phần đã thiết lập trên toàn hệ thống.

Có thể triển khai việc quản lý theo các mô hình sau: Mô hình quản

IDS & IPS.

21

lý theo cấp và mô hình quản lý theo vai trò

Quản lý phân cấp

IDS & IPS.

22

Quản lý theo vai trò

IDS & IPS.

23

Mô hình chống chịu lỗi của hệ thống quản lý

IDS & IPS.

24

3. Kiến trúc hệ thống

Kiến ​ ​trúc của hệ thống phát hiện xâm nhập bao gồm bảy thành

phần, mỗi thành phần trong số đó chịu trách nhiệm cho một

nhiệm vụ cụ thể.

Thành phần xử lý nguồn dữ liệu là chịu trách nhiệm về sự tương

tác với các tệp nhật ký (log file), bộ điều hợp mạng (Network

adapter – NIC) hoặc hệ điều hành để có được dữ liệu, trên cơ sở

hệ thống xác định sự hiện diện của một vụ tấn công.

Thành phần quản lý có nhiệm vụ kiểm soát tất cả các thành phần

khác của hệ thống phát hiện xâm nhập và tổ chức tương tác giữa

IDS & IPS.

25

các hoạt động nội bộ, sự kiện bên trong của hệ thống.

Kiến trúc hệ thống phát hiện xâm nhập

IDS & IPS.

26

Phối hợp các thành phần của hệ thống phát hiện xâm nhập

IDS & IPS.

27

Kiến trúc bộ cảm biến

Bộ cảm biến có nhiệm vụ phát hiện xâm nhập có thể

được tích hợp với thành phần thu thập dữ liệu.

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại

bỏ dữ liệu không tương thích đạt được từ các sự kiện

liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện

được các hành động nghi ngờ.

IDS & IPS.

28

Phân giai đoạn thực hiện phát hiện xâm nhập

IDS & IPS.

29

Phân lớp

Cách phân lớp chức năng phổ biến sử dụng với IDS là phân làm 3

lớp khác nhau: Lớp chức năng thu thập thông tin theo sự kiện, lớp

chức năng phát hiện xâm nhập, lớp chức năng phản ứng.

Tuy nhiên, trong một số trường hợp, các hệ thống có thể triển

khai theo nguyên lý cấu trúc một tác nhân để hợp thành cả 3 lớp

chức năng, nơi các thành phần nhỏ được tổ chức trên một máy đặt

IDS & IPS.

30

trong mạng được bảo vệ.

Câu hỏi ?

Ý kiến ?

Đề xuất ?

IDS & IPS.

31