Bài giảng Phòng chống tấn công mạng: Chương 4 - Bùi Trọng Tùng

Bài giảng "Phòng chống tấn công mạng: Chương 4 - Hệ thống phát hiện và ngăn chặn tấn công" trình bày những nội dung chính sau đây: Khái niệm cơ bản về IDPS; Các kiến trúc IDPS; Cơ sở lý thuyết về phát hiện tấn công; Các phương pháp phát hiện tấn công. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Phòng chống tấn công mạng: Chương 4 - Bùi Trọng Tùng BÀI 4. HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 11 Nội dung • Khái niệm cơ bản về IDPS • Các kiến trúc IDPS • Cơ sở lý thuyết về phát hiện tấn công • Các phương pháp phát hiện tấn công 2 12 1. KHÁI NIỆM CƠ BẢN Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 33 Tấn công an toàn bảo mật(nhắc lại) • Tấn công: các hành vi cố ý gây tổn hại tới hệ thống • Kịch bản tấn công: Thăm dò, thu thập thông tin Quét, rà soát mục tiêu Giành quyền truy cập Duy trì truy cập và khai thác, tấn công Xóa dấu vết 4 24 Hệ thống IDPS • Intrusion Detection and Preventation System: hệ thống có khả năng theo dõi, giám sát, phát hiện và ngăn chặn các hành vi tấn công, khai thác trái phép tài nguyên được bảo vệ • Yêu cầu: Tính chính xác Tính kịp thời Khả năng tự bảo vệ • IDPS vs tường lửa: Tường lửa: xử lý từng gói tin trên lưu lượng mạng IDPS: có khả năng theo dõi, giám sát chuỗi các gói tin, hành vi để xác định có phải là hành vi tấn công hay xâm nhập hay không Các thiết bị tường lửa thế hệ mới thường trang bị tính năng IDPS 55 Các chức năng của IDPS • Ngăn chặn (Intrusion Preventation): ngăn cản hoặc giảm xác suất thành công của các hành vi tấn công Tường lửa có thể được coi là một dạng IPS • Phát hiện (Intrusion Detection): phán đoán một hành vi có phải là tấn công hay không • Phản ứng(Intrusion Response): Ghi nhận và phát cảnh báo Cản trở tấn công tiếp diễn Điều chuyển tấn công sang môi trường cách ly và được giám sát chủ động để thu thập thông tin, đặc điểm của cuộc tấn công Điều chuyển tấn công sang môi trường có khả năng chống chịu tốt hơn … 6 36 Một ví dụ • Giả sử website của công ty FooCorp cung cấp một dịch vụ thông qua URL: http://foocorp.com/amazeme.exe?profile=info/luser.txt • Dịch vụ cho phép hiển thị hồ sơ cá nhân của một nhân viên nào đó trong công ty 77 Kịch bản truy cập 2. GET /amazeme.exe?profile=xxx Internet FooCorp FooCorp’s Servers border router 3. GET /amazeme.exe?profile=xxx Front-end web server 4. amazeme.exe? profile=xxx Remote client 1. http://foocorp/amazeme.exe?profile=xxx 5. bin/amazeme -p xxx 2. GET /amazeme.exe?profile=xxx 8 48 Kịch bản truy cập 8. 200 OK Output of bin/amazeme Internet FooCorp FooCorp’s Servers border router 7. 200 OK Output of bin/amazeme Front-end web server 6. Output of bin/amazeme sent back Remote client 9. 200 OK Output of bin/amazeme 5. bin/amazeme -p xxx ...