Review máy móc - thiết bị

Giải pháp bảo mật IDS/IPS – (LUẬN văn THẠC sĩ) giải pháp nâng cao an ninh mạng cho doanh nghiệp –

Boy Tech Tháng Chín 20, 2022 2 0

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE

2.4.1 IDS

Khái niệm IDS (Hệ thống phát hiện xâm nhập) là một hệ thống phòng chống, nhằm
phát hiện các hành động tấn công vào một mạng. Mục đích của nó là phát hiện và
ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những
hành động trong tiến trình tấn công như sưu tập, quét các cổng. Một tính năng chính
của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình
thường và đưa ra các cảnh báo thông báo cho quản trị viên hệ thống mạng khóa các
kết nối đang tấn công này. Thêm vào đó công cụ IDS cũng có thể phân biệt giữa
những tấn công từ bên trong doanh nghiệp (từ chính nhân viên hoặc khách hàng) và
tấn công bên ngoài (tấn công từ hacker).

Theo phạm vi giám sát chia làm 2 loại là Network-based IDS (NIDS) & Host-based
IDS (HIDS).

NIDS: Hệ thống phát hiện xâm nhập mạng. Hệ thống sẽ tập hợp gói tin để phân
tích sâu bên trong mà không làm thay đổi cấu trúc gói tin. NIDS có thể là phần
mềm triển khai trên server hoặc dạng thiết bị tích hợp thiết bị.

HIDS: Hệ thống phát hiện xâm nhập host. Theo dõi các hoạt động bất thường
trên các host riêng biệt. HIDS được cài đặt trực tiếp trên các máy (host) cần theo
dõi.

Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm
yếu khác nhau. Sử dụng và khai thác đúng mục đích sẽ đem lại hiệu quả cao. IDS là
một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi
triển khai có thể giúp hệ thống:

 Theo dõi các hoạt động bất thường đối với hệ thống.

 Xác định ai đang tác động đến hệ thống và cách thức như thế nào.

 Các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.
Phân loại dựa trên kỹ thuật thực hiện:

Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập
thông qua phân tích lưu lượng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải
duy trì một CSDL về các dấu hiệu xâm nhập (signature database) và CSDL này phải
được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới.

Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống kê)
các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất
thường có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu
lượng trên một giao tiếp mạng của server là vào khoảng 25% băng thông cực đại
của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến
50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS. Để hoạt
động chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát
hoạt động của hệ thống trong điều kiện bình thường để ghi nhận các thông số hoạt
động, đây là cơ sở để phát hiện các bất thường về sau.

2.4.2 IPS

Khái niệm IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là
hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin
này. Sau đó kết hợp với Firewall để dừng ngay các hoạt động này, và cuối cùng đưa
ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt
động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy
nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn
chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập
luật tương tự như hệ thống IDS.

Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các
dấu hiệu củ a hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện, IDS
cung cấp khả năng cho việc phòng chống trong tương lai với các hoạt động xâm
nhập từ các máy chủ nghi ngờ.

Phân loại IPS: Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based
Intrusion Prevention) thường được triển khai trước hoặc sau Firewall. Khi triển khai
IPS trước Firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả Firewall,
vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đối với Firewall.
Khi triển khai IPS sau Firewall có thể phòng tránh được một số kiểu tấn công thông
qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên
trong. Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion
Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời
các hoạt động thâm nhập trên các host.

2.4.3 So sánh IDS & IPS

Sự giống nhau

Đều là hệ thống phát hiện xâm nhập dùng hệ thống phần cứng hoặc phần mềm có
chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để
phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn công, đột

nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm
nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ
chức.

Sự khác nhau

Sự khác nhau chính là ở IPS. IPS có thêm chức năng là chống lại các cuộc tấn công
đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các
thiết bị trong mạng kiến trúc chung củ a các hệ thống IPS. Một hệ thống IPS có thể:
thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ
thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm
dẻo.

Phương pháp phát hiện xâm nhập

Theo dấu hiệu không bình thường

Hệ thống phát hiện xâm nhập phải có khả năng phân biệt giữa các hoạt động thông
thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy
hiểm kịp thời. Để phân loại các hành động, IDS phải lợi dụng phương pháp phát
hiện

bất thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công.

Hành vi bất thường

Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng
về hoạt động bình thường.

So sánh các sự kiện quan sát được với giá trị ngưỡng bình thường tương ứng để
phát hiện xâm nhập

Dấu hiệu hành vi xấu

Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu
tấn công dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện
xâm nhập thời gian thực (vì sự phức tạp trong tính toán củ a chúng không cao).

Dựa vào tương quan các mẫu tham số

Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháp trước. Nó
được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ thống khác

nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Thông tin
đạt được trong cách này có một môi trường cụ thể không thay đổi.

Related Articles
We will be happy to hear your thoughts

Leave a reply

Giới thiệu

Đỉnh Review là website uy tín chuyên review, đánh giá sản phẩm chất lượng để giúp bạn có thể dễ dàng lựa chọn sản phẩm phù hợp với nhu cầu mua sắm thông minh.

Mời bạn ghé thăm các kênh mạng xã hội của Team Đỉnh Review:

Fanpage: https://www.facebook.com/dinhreview/
Kênh Youtube: https://www.youtube.com/@dinhreview/

Kênh Tiktok: https://www.tiktok.com/@dinhreview.com/ 

Hotline: 0363065152


Thông tin liên hệ

Hồ Chí Minh, Việt Nam
Email: dinhreview@gmail.com

DMCA compliant image

Chuyên mục

Team Đỉnh Review

 

Đỉnh Review
Logo