Nội dung IDS trong bảo mật hệ thống mạng
Bài
viết giúp các bạn biết thế nào là một IDS vai trò của nó trong mạng. Các dạng
của IDS, phương thức phát hiện ra các tấn công, các hành động khi phát hiện ra
tấn công, cách giả lập 1 mạng đánh lừa kẻ tấn công, cách giúp 1 hệ thống hoạt
động ổn định và có những giải pháp khắc phục sự cố 1 cách nhanh nhất.
Trong bài viết này tôi trình bày với các bạn sự khác nhau
giữa các dạng Intrusion Detection, các khái niệm về các dạng đó, hiểu cách triển
khai và cấu hình mỗi dạng Intrusion Detection System. Intrusion Detection có khả
năng phát hiện các nguy cơ bảo mật xảy ra trong cả hệ thống mạng hay trong một
hệ thống cụ thể.
Thông tin trọng yếu
Intrusion Detection là thiết bị bảo mật vô cùng quan trọng.
Intrusion Detection Systems (IDS) là giải pháp bảo mật được bổ sung cho
Firewalls (hình dưới đây thể hiện điều đó). Một IDS có khả năng phát hiện ra các
đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được
Firewall.
Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó
là việc thiết lập các thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị
thiết bị IDS cảnh báo là các giao tiếp đó là các đoạn mã nguy hiểm …
Có hai dạng chính của IDS đó là: Network Based và Host Based
Network Based
Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao
tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét
header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện
ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS
hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví
dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).
Host Based
Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ
giám sát và gi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới
hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (nó bao gồm
cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). A
Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó
được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực
tiếp tới một máy chủ,
Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm
nâng cao bảo mật cho hệ điều hành.
Active Detection and
Passive Detection
IDS là một hệ thống tự động giám sát trong thời gian thực
(Network-Based IDS) hay xem sét lại các thiết lập giám sát (audit log) nhằm phát
hiện ra các lỗi bảo mật và các tấn công trực tiếp tới hệ thống mạng hay tới một
máy chủ. Có hai phương thưc cơ bản để IDS phát hiện ra các tấn công hay các nguy
cơ bảo mật là: Signature Detection và Anomaly Detection. Signature Detection
được hiển thị trong hình dưới đây sẽ so sánh các tình huống thực tế với các dạng
tấn công (signatures) được lưu trữ trong dữ liệu của IDS. Anomaly Detection thể
hiện hình bên dưới sẽ hoạt động tùy thuộc vào môi trường và có thể phát hiện ra
những biến cố bất thường. Anomaly-detection dựa vào những hoạt động bình thường
của hệ thống để tự động phát hiện ra những điều không bình thường và phân tích
xem đó là dạng tấn công nào.
Hiển thị: Một signature-detection IDS
Một anomaly-detection IDS sử dụng công nghệ đỉnh cao để phân
tích dựa trên các thuật toán cao cấp.
Một IDS active detection: phát hiện và trả lời được thiết kế
để có hành động nhanh nhất nhằm giảm thiểu các nguy hiểm có thể sảy ra với hệ
thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ, ngắt các kết nối
(được hiển thị dưới hình dưới đây).
Một IDS với passive detection sẽ trả lời nhưng không có các
hành động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ hệ
thống và cảnh báo cho người quản trị hệ thống. IDS là thiết bị phát hiện tấn
công DoS rất tốt; phát hiện các bugs, flaws hoặc các tính năng ẩn, và quét
ports. Nhưng nó không có khả năng phát hiện các tấn công dựa trên các email chứa
các đoạn mã nguy hiểm.
Các thành phần của IDS hoạt động để giám sát mạng
IDS instructing TCP reset tất cả các kết nối.
IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại
các tấn công vào máy chủ Web cài IIS.
Honey Pots
Một honey-pot được thể hiện trong hình dưới là một môi trường
giả lập được thiết kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối
từ hệ thống mạng bên trong. Honey-pot thường được phát triển như một lớp đệm của
hệ thống mạng với những người dùng bình thường, phân chia thành các vùng như:
Internet, DMZ, Internal.
Honey-pot hoạt động như một hệ thống mạng thật, với các thông
số về dữ liệu và tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các
kẻ tấn công. Những kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại
honey-pot nhưng đó chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ.
Trong một hệ thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với
thiết lập và nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công
sẽ rất khó khăn trong việc xác định mạng nào là mạng thật.
Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh
cho mạng của bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một
môi trường giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không
ảnh hưởng tới hệ thống thật.
Một mạng honey pot đánh lừa những kẻ tấn công một cách thông
minh.
Incident Response.
Khi một vấn đề bảo mật được phát hiện, incident response sẽ
phải được thiết lập. Với tác dụng là lập kế hoạch và các văn bản giảm thiểu sự
bất ngờ về mức độ nguy hiểm, tạo các bản recovery cho dữ liệu một cách nhanh
chóng, nếu sự cố xảy ra có thể giảm thiểu được thiệt hại và bất ngờ. Với thời
gian khắc phục sự cố một cách nhanh nhất.
Nhằm giảm thiểu bạn phải có kế hoạch:
- Ghi lại toàn bộ các vấn đề được phát hiện đã xử lý và nguy
cơ tiềm ẩn.
- Tạo các bản backup toàn bộ dữ liệu và thường xuyên kiểm tra
các ổ đĩa, có giải pháp phòng sự cố khi ổ đĩa bị hỏng.
- Tổng hợp toàn bộ dữ liệu log được ghi lại đôi khi cũng phải
thực hiện tạo ra các bản copy của dữ liệu đó, mặt khác bảo mật dữ liệu log cũng
rấ quan trọng.
- Ngoài ra bạn phải có các chính sách nhằm nâng cao độ ổn
định của hệ thống như tạo ra các kết nối dư thừa trong tình huống các kết nối
chính bị ngắt do một nguyên nhân nào đó thì không ảnh hưởng tới các dịch vụ mạng.
Tổng kết
Trong bài viết này các bạn cần phải nắm được thế nào là một
IDS vai trò của nó ra sao trong hệ thống mạng. Các dạng của IDS, phương thức
phát hiện ra các tấn công, các hành động khi đã phát hiện ra tấn công. Giải pháp
giả lập một mạng nhằm đánh lừa các kẻ tấn công ra sao. Cách giúp một hệ thống
hoạt động ổn định và có những giải pháp khắc phục sự cố một cách nhanh nhất.
Theo 3c
Source IDS trong bảo mật hệ thống mạng: ThongTinBaoMat.ComIDS trong bảo mật hệ thống mạng Tags
Bảo mật | thông tin mật | virus | công cụ | quản trị mạng | thiết bị di động | hệ điều hành | Quản trị mạng Những bài viết tương tự IDS trong bảo mật hệ thống mạng:
Những thao tác cơ bản để xóa bỏ phần mềm bảo mật giả mạo | Cyberoam: Thị trường bảo mật Việt Nam nhiều tiềm năng | Báo động tình trạng bảo mật server | Android và iOS bảo mật tốt hơn hệ điều hành PC | 3 thiếu sót về bảo mật của Google+ | IBM giới thiệu công cụ bảo mật AppScan | Cách kiểm tra các kết nối không bảo mật | Bảo mật Passwords đã lưu trên Internet Explorer | Chuyên gia bảo mật chỉ trích Google | Giải pháp bảo mật và phân tích môi trường NetBotz thế hệ mới | 
