1.1. GIỚI THIỆU CHUNG
Được ra đời từ các nghiên cứu về hệ thống phát hiện xâm nhập cách đây 25 năm nhưng trong khoảng thời gian từ năm 1983 đến năm 1988 các nghiên cứu về hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) mới chính thức được công bố chính thức và đến 1996 đã có một số các hệ thống IDS được ứng dụng chủ yếu trong các phòng thí nghiệm và các viện nghiên cứu mạng. Đến năm 1997 hệ thống phát hiện xâm nhập IDS mới được biết đến rộng rãi và đưa vào thực nghiệm đem lại nhiều lợi nhuận cho ISS - công ty đi đầu trong việc nghiên cứu hệ thống phát hiện xâm nhập mạng.
IPS được hiểu là một hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention.
Trước những mặt hạn chế của IDS thì việc phát triển một hệ thống IPS là cần thiết, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo mục đích nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS và còn phát triển mạnh trong công nghệ an ninh mạng.
1.1.1. Hệ thống phát hiện xâm nhập (IDS)
Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và có thể ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, toàn vẹn và tính sẵn sàng của hệ thống. Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thống được bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép.
Pháthiệnxâmnhậplàtậphợpcáckỹthuậtvàphươngphápđượcsửdụngđể pháthiệncáchànhviđángngờcảởcấpđộmạngvàmáy chủ.Hệthốngpháthiện xâmnhậpphânthànhhailoạicơ bản:
·Hệthốngpháthiệndựatrêndấuhiệuxâmnhập.
·Hệthốngpháthiệncácdấuhiệubấtthường.
HệthốngIDS đượcsửdụng đểtạosựbảo mậtđốivớicácgóivàovàratrongmạng.IDS thường đượcsửdụng đểpháthiệngóimạngbằngviệccungcấpchobạnmộtsự hiểubiếtvềnhữnggì đangthựcsựxảyratrongmạng.Cóhaitùychọnchínhkhibổ sung IDS trênHIDS (Host-Based IDS) vàNIDS (Network-Based IDS). Một số IDS cókhảnăngphânbiệtsựkhácnhaugiữacácloạilưulượngmạngtrêncùngmột cổng vànó cóthểchỉchobạnxemyêucầucóphảilàyêucầuHTTP (HyperText Transfer Protocol) trêncổng80 haykhông hoặc ngườidùng đangsửdụng hệthốngInstantMessage đượcưutiêntrêncổng80 không. IDS cókhảnăngloạibỏ cácmãnguy hiểmcóthểlàmhạimạngcủabạn.Đâylàsựnângcaovềcông nghệmớinhấttronglĩnhvựctườnglửavàbởivìIDS cócácfilemẫumàbạncóthểtinchắcrằng cácvấnđềgâylỗimạnggầnđâynhấtsẽđượcgiảiquyếtđốivớimạngLAN (Local Area Network), WAN (Wide Area network), WLAN (Wireless lAN) hay PAN củabạn.HIDS cóthểhoạtđộng nếubạnbậthaytắtmộtmạngLAN hoặcmạngđượckết nốinhưnó cưtrútrênmộtmáytínhnộibộ.
Kẻtấncôngcónhữngdấuhiệu,giốngnhưlàvirus,cóthểđượcpháthiện bằngcáchsửdụngphầnmềm.Bằngcáchtìmradữliệucủagóitinmàcóchứabất kìdấuhiệuxâmnhậphoặcdịthườngđượcbiếtđến.Dựatrênmộttậphợpcácdấu hiệu(signatures)hoặccácquitắc(rules).Hệthốngpháthiệncóthểdòtìm,ghilại cáchoạtđộngđángngờnàyvàđưaracáccảnhbáo.Anomaly-basedIDSthường dựavàophầnheadergiaothứccủagóitinđượccholàbấtthường.Trongmộtsố trườnghợpcácphươngphápcókếtquảtốthơnvớiSignature-basedIDS.Thông thườngIDSsẽbắtlấy cácgóitintrênmạngvàđốichiếuvớicácruleđểtìmracác dấuhiệubất thườngcủagói tin.
Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó đươc gọi là hệ thống phòng chống xâm nhập mạng hay IPS. Hình 1.1 minh họa các vị trí thường cài đặt IDS trong mạng:
Hình 1.1: Các vị trí thường đặt NIDS/NIPS trong mạng
1.1.2. Hệ thống ngăn chặn xâm nhập IPS
Hệ thống ngăn chặn xâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall và hệ thống phát hiện xâm nhập IDS. Có khả năng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó.
IPS không đơn giản là dò các cuộc tấn công, chúng có khả năng ngăn chặn hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn tấn công. Phần lớn các hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.
Một hệ thống ngăn chặn xâm nhập được thiết kế để kiểm tra traffic dựa trên các cấu hình hoặc chính sách bảo mật, nó có thể loại bỏ, giữa lại hoặc chuyển hướng các mối đe dọa về traffic. Càng ngày càng có nhiều công ty cung cấp giải pháp NIPS thay vì NIDS.
Ví dụ: Enterasys Intrusion Prevention System (còn gọi là Dragon IPS), Check Point Security Applicances, McAfee IntruShield …NIPS không chỉ loại bỏ hoặc chuyển hướng traffic mà nó còn chuyển hướng đến một vùng được gọi là padded cell khi phát hiện ra kẻ tấn công. Padded cell là một vùng đệm và đặc biệt hơn nó không chứa bất cứ thông tin nào. Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
· IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.
· IPS trong luồng: vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông. Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào trong mạng chậm hơn.
1.1.3. Sự khác nhau giữa IDS và IPS
Sự khác biệt giữa 2 khái niệm IDS và IPS là chức năng “phát hiện” và “ngăn chặn”. Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn.
Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó một hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng nghĩa.
Tùy thuộc vào quy mô, tính chất của từng máy tính cụ thể cũng như chính sách an ninh của những người quản tri mạng chúng ta chọn lựa chọn giải pháp IDS hay IPS. Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiêu hơn do tính chất kết hợp giữa phát hiện cảnh báo và ngăn chặn của nó. Tuy nhiên với các mạng lớn hơn thì chức năng ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng như một Firewall chẳng hạn. Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một hệ thống ngăn chặn khác. Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an ninh cho mạng trở nên linh động và hiệu quả hơn.
» Tin mới nhất:
» Các tin khác: