Tìm hiểu vê IDS và IDS trong mạng không dây (P1)

I. IDS(Intrusion Detection Systems) I.1. Khái niệm về IDS IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,….. IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những...
Nội dung trích xuất từ tài liệu:
Tìm hiểu vê IDS và IDS trong mạng không dây (P1) Tìm hiểu vê IDS và IDS trong mạng không dây I. IDS(Intrusion Detection Systems) I.1. Khái niệm về IDS IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,….. IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Trích: Ta có thể hiểu tóm tắt về IDS như sau : + Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ --------Giám sát : lưu lượng mạng + các hoạt động khả nghi. --------Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. -------- Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. + Chức năng mở rộng : ------- Phân biệt : thù trong giặc ngoài ------- Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline I.2. Phân loại IDS Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS): I.2.1. NIDS : Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. Trích: NIDS : ------Ví trí : mạng bên trong --NIDS---mạng bên ngoài ------Loại : hardware (phần cứng) hoặc software (phần mềm) ------Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng. ------Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức cao. Một số sản phẩm NIDS : -Cisco IDS -Dragon® IDS/IPS I.2.2. HIDS Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác. Trích: HIDS : ------Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS. ------Loại : software (phần mềm) ------Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS ------Ưu điểm : ----------------+ Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ ... ----------------+ Phân tích lưu lượng mạng rồi mới forward. ------Nhược điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1 số chạy được trên Unix và những hệ điều hành khác. Một số sản phẩm HIDS : -Snort(Miễn phí_ open source) -GFI EventsManager 7 -ELM 5.0 TNT software: I.3. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập: Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS. -Hệ thống Expert (Expert systems) Trích: Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T). -Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection): Trích: Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)). -Phân biệt ý định người dùng(User intention identification): Trích: Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra. -Phân tích trạng thái phiên (State-transition analysis): Trích: Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng ...