Tải bản đầy đủ - 0 (trang)
Hình 1.2 - Host Based IDS

Hình 1.2 - Host Based IDS

Tải bản đầy đủ - 0trang

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

1.3.2.2. Hạn chế của Host Based IDS

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành

công.

- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".

- HIDS phải được thiết lập trên từng host cần giám sát.

- HIDS không có khả năng phát hiện các cuộc dò qt mạng (Nmap, Netcat…).

- HIDS cần tài nguyên trên host để hoạt động.



1.4. Cách thức hoạt động của IDS:

-Mục đích chính của IDS không chỉ là ngăn ngừa sự xâm nhập mà còn cảnh báo đến người

quản trị ngay lập tức khi có tấn cơng xảy ra. Người quản trị có thể xác minh các phương

pháp và kĩ thuật được sử dụng bởi kẻ tấn công, kể cả nguồn tấn công.

-IDS hoạt động theo các bước sau đây :

+IDS có cảm biến để phát hiện ra signature và một số IDS tiên tiến có thể xác định được các

hành vi nghi ngờ nguy hiểm. Ngay cả khi signature không trùng khớp, hệ thống phát hiện

hoạt động vẫn có thể cảnh báo cho người quản trị các cuộc tấn cơng có thể xảy ra.

+ Nếu signature trùng khớp, nó sẽ di chuyển đến bước kế tiếp hoặc các kết nối sẽ bị cắt từ

nguồn IP đó, gói tin sẽ bị loại bỏ và thông báo báo động đến quản trị viên rằng các gói tin đã

bị loại bỏ.

+ Một khi signature trùng khớp, cảm biến sẽ truyền các phát hiện bất thường, cho dù các gói

tin đã nhận hoặc đã yêu cầu có phù hợp hay khơng.

+ Nếu gói dữ liệu đã thơng qua các giai đoạn bất thường thì việc phân tích giao thức trạng

thái được hồn thành. Sau đó thơng qua chuyển đổi các gói tin được truyền trên mạng. Nếu

sai lệch bất cứ điều gì một lần nữa, các kết nối sẽ bị cắt từ nguồn IP, các gói tin bị loại bỏ,

và báo động thông báo cho admin rằng gói tin có thể bị loại bỏ.



Hình

1.3 Cách thức hoạt động của IDS



1.5. Các cách để phát hiện một cuộc xâm nhập:

Có 3 cách để phát hiện một cuộc xâm nhập

1.5.1. Phát hiện dấu hiệu(signature):

Là việc xác định các sự kiệnlạm dụng trong hệ thống.Nó được thực hiện bằng cách tạo ra

mơ hình của sự xâm nhập.Các sự kiện đang đến sẽ được so sánh với các mơ hình xâm

nhập.Trong khi tạo signature, mơ hình phải phát hiện sự tấn công mà không làm ảnh hưởng

đến hệ thống.Các cuộc tấn cơng phải trùng khớp với các mơ hình.

-Hình thức đơn giản của việc công nhận signature là sử dụng mô hình kết hợp đơn giản để

so sánh các gói dữ liệu mạng với chữ ký nhị phân của các cuộc tấn cơng được biết đến. Một

signature nhị phân có thể được định nghĩa cho một phần cụ thể của gói tin, chẳng hạn như

những TCP flags.

-Việc cơng nhận chữ kí có thể phát hiện các cuộc tấn cơng. Tuy nhiên, có một khả năng rằng

các gói dữ liệu trùng khớp có thể mơ tả lại signature sau đó kích hoạt tín hiệu khơng có

thật.Chữ ký có thể được tùy chỉnh để mà ngay cả người dùng có đầy đủ thơng tin có thể tạo

ra chúng.

-Signatures được hình thành khơng đúng cách có thể gây ra các tín hiệu giả. Để phát hiện

việc này, số lượng signature yêu cầu là rất lớn.Các nhiều signature hơn thì càng có nhiều tấn

cơng được phát hiện.



- Băng thông của mạng được tiêu thụ cùng với sự gia tăng của signature.

1.5.2. Phát hiện các bất thường:

Đây là kỹ thuật dò thơng minh, nhận dạng ra các hành động khơng bình thường của mạng.

Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông

thường.Ban đầu chúng lưu trữ các mơ tả sơ lược về các hoạt động bình thường của hệ

thống. Các cuộc tấn cơng sẽ có những hành động khác so với bình thường và phương pháp

dò này có thể nhận dạng.

Có một số kỹ thuật giúp thực hiện dò sự khơng bình thường của các cuộc tấn công như dưới

đây:

-Threshold detection (phát hiện ngưỡng): Kỹ thuật này nhấn mạnh thuật ngữ đếm("count")

các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, nếu có sự bất

thường nào đó như login với số lần quá quy định, số lượng các tiến trình hoạt động trên

CPU, số lượng một loại gói tin được gởi vượt quá mức...

-Self learning detection (chế độ tự học và theo dõi): kỹ thuật dò này bao gồm hai bước, khi

thiết lập hệ thống phát hiện tấn cơng, nó sẽ chạy ở chế độ tự học thiết lập 1 profile về cách

cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở

chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết

lập. Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của

mình. Nhưng nếu dò ra có tín hiệu tấn cơng thì chế độ tự học phải dừng lại tới khi cuộc tấn

công kết thúc.

-Lợi thế của hệ thống này là nó có thể phát hiện được hững kiểu tấn công chưa biết trước.

Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn

công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó

có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý

đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm

đó.

1.5.3. Anomaly protocol detection (phát hiện sự bất thường của giao thức):

Kỹ thuật dò này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra

các gói tin khơng hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công.

Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu

thập thông tin của hacker. Phương pháp dò sự khơng bình thường của hệ thống rất hữu hiệu



trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này

là có thể phát hiện ra các kiểu tấn cơng mới, cung cấp các thơng tin hữu ích bổ sung cho

phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng

lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Tuy nhiên phương pháp này là

hướng được nghiên cứu nhiều hơn, hồn thiện các nhược điểm, đưa ra ít cảnh báo sai để hệ

thống chạy chuẩn xác hơn.



CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL

2.1. KHÁI NIỆM VỀ FIREWALL

2.1.1. Khái niệm

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái

phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống

của một số thơng tin khác khơng mong muốn.Cũng có thể hiểu rằng Firewall là một cơ chế

để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network).

Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, và

một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngồi ra, Firewall có

thể giúp cho máy tính tránh tham gia các cuộc tấn cơng vào các máy tính khác mà không

hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính ln kết nối

Internet, như trường hợp có một kết nối băng thơng rộng hoặc kết nối DSL/ADSL.

2.1.2. Các lựa chọn Firewall

Có một số cơng ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần

cứng và Firewall phần mềm.

2.1.2.1. Firewall phần cứng

Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall

phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm

dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ,đặc biệtcho

những cơng ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên

cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng.

Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm

thường phải cài trên mọi máy tính cá nhân trong mạng.

Trong số các cơng ty cung cấp Firewall phần cứng có thể kể tới Linksys

(http://www.linksys.com) và NetGear (http://www.netgear.com).Tính năng Firewall phần

cứng do các cơng ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng

cho mạng của các doanh nghiệp nhỏ và mạng gia đình.



2.1.2.2. Firewall phần mềm

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi

cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thể

hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ

định tuyến chỉ làm việc tốt trong mạng có qui mơ nhỏ. Firewall phần mềm cũng là một lựa

chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy

tính đi bất kỳ nơi nào.

2.2. Chức năng Firewall:

Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành

hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập

không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một

số địa chỉ nhất định trên Internet.

FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của

một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET FIREWALL - INTERNET).



Hình 2.1 - Firewall

Một Firewall làm việc bằng cách kiểm tra thơng tin đến và ra Internet.Nó nhận dạng

và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài đặt

Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn cơng khơng

thể phát hiện ra máy tính.

2.3. Các loại Firewall và cơ chế hoạt động:

2.3.1. Packet Filtering Firewall

Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có

kiểm sốt. Firewall mức mạng thường hoạt động theo ngun tắc router hay còn được gọi là

router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mơ hình này

hoạt động theo ngun tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm tra



địa chỉ nguồn nơi chúng xuất phát.Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục

được kiểm tra với các luật đã đặt ra trên router.

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử

lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà khơng cần biết địa chỉ đó là địa chỉ sai hay

bị cấm.Đây chính là hạn chế của kiểu Firewall này vì nó khơng đảm bảo tính tin cậy.

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.Khi

một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập

để vào bên trong mạng.



Hình 2.2 - Packet



filtering router



2.3.1.1. Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm

của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được bao gồm

trong mỗi phần mềm router.

2.3.1.2. Hạn chế

Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet khơng kiểm sốt được

nội dung thơng tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành

động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.



2.3.2. Application-proxy firewall

Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì

kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu

cầu kết nối. Nếu việc kiểm tra thành cơng, có nghĩa là các trường thơng tin đáp ứng được

các luật đặt ra trên



Firewall



Firewall sẽ tạo mộ



cầu kết nối cho gói



tin đi qua.



thì



Hình 2.3 - Application level gateway

2.3.2.1. Ưu điểm



 Khơng có chức năng chuyển tiếp các gói tin IP.

 Cho phép người quản trị hồn tồn điều khiển được từng dịch vụ trên mạng, bởi vì

ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập

được bởi các dịch vụ.

 Đưa ra công cụ cho phép ghi lại quá trình kết nối.

2.3.2.2. Nhược điểm

 Tốc độ xử lý khá chậm.

 Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từmạng

ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập.

 Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi

dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ftp proxy,

Http proxy).



2.3.3. Circuit Level Gateway

Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng

đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động

xử lý hay lọc packet nào.

Hình bên dưới cho thấy, cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà

không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tuc telnet nào.Cổng vòng sao

chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngồi (outside

connection).Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà

quản trị mạng thật sự tin tưởng những người dùng bên trong.



Hình 2.4 - Circuit level gateway



2.4. Kiến trúc của Firewall:

2.4.1. Bastion host:

+ Gồm một Packet Filtering và một bastion host



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Hình 1.2 - Host Based IDS

Tải bản đầy đủ ngay(0 tr)

×