Tài liệu trình bày về hệ thống phát hiện và ngăn chặn xâm nhập trong mạng, bao gồm các khái niệm về tấn công, các loại tấn công mạng, cùng với kiến trúc và vai trò của IDS và IPS. IDS giúp giám sát và phát hiện các hành vi khả nghi trong khi IPS có khả năng ngăn chặn các cuộc tấn công trước khi chúng gây hại. Cuối cùng, tài liệu cũng đề cập đến các thiết bị cụ thể như Proventia G200 trong việc bảo vệ hệ thống trước các cuộc tấn công từ bên ngoài.

1. HỆ THỐNG IDS/IPS
TRONG HỆ THỐNG MẠNG
1

2. 5. Ngăn chặn tấn công bằng IDS/IPS
4. Kiến trúc bảo mật sử dụng IDS/IPS
3. Tìm hiểu hệ thống ngăn ngừa xâm nhập - IPS
2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
1. Tấn công và thâm nhập
2
NỘI DUNG

3. 1. Tấn công và thâm nhập
1.1 Khái niệm
3
Thâm nhập là tác
động bất kỳ đưa hệ
thống từ trạng thái an
toàn vào tình trạng
nguy hiểm, dẫn đến
việc phá huỷ tính toàn
vẹn, tính bí mật, tính
sẵn sàng của hệ thống
Tấn công là hoạt
động có chủ ý của
hacker lợi dụng các
thương tổn của hệ
thống thông tin và
tiến hành phá vỡ tính
tính toàn vẹn và tính
bí mật của hệ thống
Tấn Công &
Thâm nhập

4. 4
 Các nguy cơ an ninh mạng
1. Tấn công và thâm nhập
1.1 Khái niệm

5. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
5
 Tấn công Dos

6. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
6
 Tấn công DDos

7. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
7
Virus
Những chương trình hay đoạn mã tự nhân bản và sao chép
chính nó vào các đối tượng khác nhằm phá hoại, gây ra lỗi thi
hành, thay đổi vị trí, mã hóa hoặc hủy thông tin.
 Virus, Worm, Trojan
Worm
Sâu máy tính là một chương trình độc lập được thiết kế để khai
thác khả năng truyền thông tin có trên những máy tính có các
đặc điểm chung - cùng hệ điều hành hoặc cùng chạy một phần
mềm mạng - và được nối mạng với nhau.
Trojan
Trojan không có chức năng tự sao chép nhưng lại có chức năng
hủy hoại tương tự virus. Nó có thể hủy ổ cứng, hủy dữ liệu.

8. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
8
 Tấn công lỗ hổng bảo mật web
Tấn công thông qua VPN
SQL injection
Tấn công vào CSDL
Lỗ hổng
bảo mật Web

9. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
9
 Tấn công lỗ hổng bảo mật web
Một đoạn mã code SQL enjection

10. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
10
 Sniffer
Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các
lưu lượng thông tin trong một hệ thống mạng.
Là Sniffing qua Switch, nó
rất khó thực hiện và dễ bị
phát hiện.
- Attacker kết nối đến
Switch bằng cách gởi địa chỉ
MAC nặc danh.
- Switch xem địa chỉ kết
hợp với mỗi khung (frame).
- Máy tính trong LAN gởi
dữ liệu đến cổng kết nối.
Đây là loại Sniffing lấy dữ
liệu chủ yếu qua Hub. Nó
được gọi là Sniffing thụ
động vì rất khó có thể phát
hiện ra loại Sniffing này.
Attacker sử dụng máy tính
của mình kết nối đến Hub
và bắt đầu Sniffing.
Active Passive

11. 1. Tấn công và thâm nhập
1.2 Các dạng tấn công hệ thống mạng
11
 Sniffer

12. 1. Tấn công và thâm nhập
1.3 Các bước tấn công hệ thống mạng
12

13. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.1 IDS là gì?
13
IDS là một hệ thống
giám sát lưu thông
mạng, các hoạt động
khả nghi và cảnh báo
cho hệ thống, nhà
quản trị
IDS cũng đảm nhận
việc phản ứng lại các
lưu thông bất thường
hay có hại bằng các
hành động đã được
thiết lập từ trước như
khóa người dùng hay
hay địa chỉ IP nguồn
đó truy cập hệ thống
mạng
IDS phát hiện dựa
trên các dấu hiệu
đặc biệt về các nguy
cơ đã biết hay dựa
trên so sánh lưu
thông mạng hiện tại
với baseline để tìm
ra các dấu hiệu khác
thường

14. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.2 Kiến trúc IDS
14
Phản hồi
Phân
tích gói
tin
Thu
thập gói
tin

15. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.2 Kiến trúc IDS
15

16. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.3 Các vịtrí đặt IDS trong mạng
16

17. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.4 Phân loại IDS
17
 Network base – NIDS
NIDS dựa trên nền tảng mạng. Đây là hệ thống phát hiện thâm
nhập dựa trên mạng kiểm tra những gói tin lưu chuyển trên
mạng và so sánh những lưu thông với những dấu hiệu đột nhập
biết trước.

18. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.4 Phân loại IDS
18
 Kiến trúc Network base (NIDS)

19. 2. Tìm hiểu hệ thống phát hiện xâm nhập - IDS
2.4 Phân loại IDS
19
 Host base – HIDS
HIDS là hệ thống phát hiện xâm phạm được cài đặt
trên các máy tính (host). Hệ thống phát hiện thâm nhập dựa
trên máy trạm kiểm tra những hoạt động trái phép bằng
cách kiểm tra thông tin ở mức máy hoặc mức hệ điều hành

20. 3. Hệ thống ngăn ngừa xâm nhập - IPS
3.1 Khái niệm
20
IPS là một kỹ
thuật an ninh mới,
kết hợp các ưu
điểm của kỹ thuật
firewall và hệ
thống phát hiện
xâm nhập IDS.
Mọi cuộc tấn công
chống lại bất cứ
thành phần nào
của môi trường
được bảo vệ sẽ bị
làm chệch hướng
bằng các giải pháp
ngăn ngừa xâm
nhập.
IPS có hai chức
năng chính là phát
hiện các cuộc tấn
công và chống lại
các cuộc tấn công
đó.

21. 3. Hệ thống ngăn ngừa xâm nhập - IPS
3.2 Kiến trúc IPS
21
Mudole
phản ứng
Mudule
phát hiện
tấn công
Module
phân tích
luồng dữ
liệu

22. 3. Hệ thống ngăn ngừa xâm nhập - IPS
3.3 Phân loại IPS
22
 SPromiscuous mode IP
Một IPS đứng trên
firewall
Luồng dữ liệu vào hệ
thống mạng sẽ cùng đi
qua firewall và IPS
Promiscuous mode
IPS có thể quản lý
firewall, chỉ dẫn
firewall ngăn chặn các
hành động đáng ngờ

23. 3. Hệ thống ngăn ngừa xâm nhập - IPS
3.3 Phân loại IPS
23
 In-line IPS
In-line IPS đặt trước firewall
Luồng dữ liệu phải đi qua chúng trước
khi đến được firewall.
Có thêm chức năng traffic-blocking,
ngăn chặn luồng giao thông nguy hiểm
nhanh hơn promiscuous mode IPS

24. 3. Hệ thống ngăn ngừa xâm nhập - IPS
3.3 Phân loại IPS
24
 In-line IPS

25. 4. Kiến trúc bảo mật kết hợp IDS/IPS
25
IDS khá thụ động, theo dõi
dữ liệu của packet đi qua
mạng từ một port giám sát,
so sánh các traffic này đến
các rules được thiết lập và
đưa ra các cảnh báo nếu phát
hiện bất kỳ dấu hiệu bất
thường nào
IPS ngăn chặn các luồng lưu
lượng gấy nguy hại đến hệ
thống, chấm dứt sự kết nối
mạng của kẻ đang cố gắng
tấn công vào hệ thống hoặc
chặn tất cả các truy cập vào
máy chủ, dịch vụ, ứng dụng.

26. 4. Kiến trúc bảo mật kết hợp IDS/IPS
26
Trong thực tế, người ta
thường kết hợp IDS và
IPS để đạt được hiệu
quả bảo mật tốt nhất qua
việc tận dụng được lợi
thế của cả 2 giao thức và
bù trừ các khuyết điểm
của nhau nhằm mục
đích bảo vệ hai lần.

27. 5. Ngăn chặn tấn công bằng IPS/IDS
5.1 Thiết Bị IPS Proventia G200
27
Là hệ thống IDS/IPS dựa trên network
base, phân tích tấn công thâm nhập
dựa trên dấu hiệu của tấn công hay
thâm nhập có sẵn trong cơ sở dữ liệu.
Proventia G Series kiểm tra sâu tới nội
dung gói tin và ngăn chặn các tấn công
bao gồm các tấn công DDoS,
BackDoors, và các lỗ hổng an ninh…
Thiết bị có cơ chế cho phép người
quản trị tự tạo các dấu hiệu nhận biết
tấn công thâm nhập riêng.

28. 5. Ngăn chặn tấn công bằng IPS/IDS
5.1 Thiết Bị IPS Proventia G200
28
Inline Protection
Inline Simulation
Passive Monitor
Cho phép ta kết hợp
thiết bị vào hạ tầng
mạng. Trong hình thái
này, ngoài những luật
ngăn chặn và cách ly
bình thường, tất cả các
luật của firewall cùng
với tất cả các luật an
ninh của thiết bị đều
được bật.
Hình thái này cho
phép ta giám sát
mạng mà không ảnh
hưởng đến lưu
thông.
Hình thái này sử
dụng cho việc thử
nghiệm những luật
an ninh mà không
ảnh hưởng đến lưu
thông mạng.
Hình thái này hoạt
động như hệ thống
phát hiện xâm nhập
(IDS), nó giám sát
mạng mà không điều
khiển. Thường nó phản
ứng với thâm nhập
bằng những luật ngăn
chặn phổ thông.
 Các hình thái hoạt động

29. 5. Ngăn chặn tấn công bằng IPS/IDS
5.2 Siteprotector System
29
SiteProtector
System là một hệ
thống quản lý tập
trung cung cấp khả
năng ra lệnh, điều
khiển và giám sát
cho tất cả các sản
phẩm IBM ISS

30. 5. Ngăn chặn tấn công bằng IPS/IDS
5.3 Ngăn chặn tấn công bằng IPS Proventia G200
30
 Ngăn chặn các hình thức thu thập thông tin
Với thiết bị IPS Proventia G200, tất cả những hành động này đều bị phát
hiện và có thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên
toàn mạng và tra xét theo từng dấu hiệu.

31. 5. Ngăn chặn tấn công bằng IPS/IDS
5.3 Ngăn chặn tấn công bằng IPS Proventia G200
31
 Ngăn chặn tấn công Dos
IPS Proventia G200 Security Events cài đặt sẵn khả năng phòng chống rất
nhiều cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một
loại tấn công nào, ta chỉ cần đánh dấu vào ô textbox ở cột Enable cho các
kiểu tấn công tương ứng.

32. 5. Ngăn chặn tấn công bằng IPS/IDS
5.3 Ngăn chặn tấn công bằng IPS Proventia G200
32
 Ngăn chặn tấn công Dos

33. 5. Ngăn chặn tấn công bằng IPS/IDS
5.3 Ngăn chặn tấn công bằng IPS Proventia G200
33
 Ngăn chặn thâm nhập qua Backdoor – Trojan
Dựa trên những lưu thông TCP mà phía client của trojan gây ra phía client
của trojan này sẽ bị chặn và không thể gửi được các tín hiệu điều khiển tới
cho phía máy bị nhiễm.

34. 5. Ngăn chặn tấn công bằng IPS/IDS
5.3 Ngăn chặn tấn công bằng IPS Proventia G200
34
 Ngăn chặn tấn công thông qua lổ hổng bảo mật
Dấu hiệu của việc tấn công này là sử dụng MSRPC Remote Activation
Request hoặc System Activation Request để thực hiện việc tràn bộ đệm.
Tiếp đó chiếm quyền điều khiển máy. IPS sẽ dựa vào các gói tin với các
yêu cầu như trên để xác định việc tấn công vào lỗ hổng MSRPC.

35. 5. Ngăn chặn tấn công bằng IPS/IDS
5.4 Demo ngăn chặn tấn công bằng IPS Proventia
G200
35