Buổi 1

Mỗi buổi có bài tập, câu hỏi trả lời

Có thể thay đổi thành phàn điểm cuối kỳ

Intrusion là hành động xâm nhập CIA trái phép, qua mặt cơ chế bảo mật hoặc trạng
thái không được mời, right, đón tiếp.
Nguyên nhân: malware, nội gián, ...
Dấu hiệu chung của xâm nhập
- Log ngắn và không đầy đủ
- Hiệu suât hệ thống bất thường
- Processes bất thường
- Hệ thống bị crash hoặc reboot
- Hiển thông tin bất thường
Xâm nhập hệ thống: file/app lạ, quyền file bị thay đổi, thiếu file
Xâm nhập mạng: thăm dò liên tục, kết nối từ vị trí bất thường, đăng nhập liên tục
từ host ở xa, dữ liệu bất thường trong file log, dấu hiệu của DoS hoặc hướng tới
crash dịch vụ

Intrusion detection - phát hiện xâm nhập là quy trình theo dõi các sự kiện diễn ra
trong một hệ thống máy tính hoặc mạng máy tính và phân tích để nhận biết các dấu
hiệu của sự bất thường (hành vi xâm nhập - instrusion).
IDS - là hệ thống phần mềm hoặc phần cứng tự động thực hiện quy trình phát hiện
xâm nhập
IPS - là hệ thống có tất cả chức năng của IDS, và có thể dừng sự xâm nhập

IDS và IPS: tùy ngữ cảnh sẽ sử dụng, có những mô hình mạng không thể sử dụng IPS

IDPS: tập trung xác định các sự cố có thể xảy ra và hỗ trợ ứng phó với sự cố

Các cơ chế bảo mật Internet đã có: firewall honeypot, antivirus

Buổi 2
Khái niệm, phân loại, phân loại
Phân loại dựa trên tiêu chí
- Dựa trên các kỹ thuật phát hiện tấn công: signature-based, anomaly-based

Signature là một pattern tương ứng với một nguy cơ tấn công (CSDL đã biết trước)
VD: một kết nối với username root là dấu hiệu vi phạm chính sách bảo mật, một
email có title Free pictures! có đính kèm file freepics.exe có đặc điểm malware đã
biết

Anomaly: tạo ra một profile cơ sở đại diện cho các hành vi bình thường/dự kiến
trong mạng, dựa trên đó, bất kỳ hoạt động mạng đang xem xét nào có sai khác so với
profile này đều bị xem là bất thường. (Profile đại diện cho hoạt động mạng bình
thường được tạo thông qua phân tích lưu lượg mạng (qua các hàm thống kê, máy
học, clustering, fuzzy logic, heuristics, ...)
Ưu điểm: phát hiện được các tấn công mới, sau đó dùng làm signature-based
Nhược điểm: tỷ lệ phát hiện sai cao (FP và FN), không hiệu quả trong môi trường
mạng động thay đổi nhiều, yêu cầu tài nguyên để xây dựng profile.

Specification-based
Thu thập các hoạt động chính xác của một chương trình hoặc giao thức và theo dõi
hoạt động của nó dựa trên các ràng buộc. VD: thực hiền nhiều câu lệnh khi ở trạng
thái chua chứng thực trong FTP thường bị xem là bất thường.

Hybrid
Kết hợp các kỹ thuật trên
Ưu điểm: Đối phó được với các thay đổi tinh vi trong tấn công, tích hợp các lợi
ích của ba kỹ thuật trước,
Nhược:

- Dựa trên nguồn dữ liệu: network based, host based, hybrid (lai)
Network-based: theo dõi lưu lượng mạng cho một phần mạng network-based hoặc các
thiết bị, phân tích các hoạt động mạng và các giao thức, ứng dụng để xác định các
hành vi bất thường, thường triển khai ở biên mạng, như gần firewall hoặc router
biên, server VPN, server remote access và mạng không dây, gồm nhiều sensor đặt ở
nhiều điểm khác nhau trong mạng để theo dõi lưu lượng mạng.

Host-based, theo dõi các đặc điểm của một host riêng lẻ và các sự kiện xảy ra
trong host đó để phát hiện sự bất thường. Theo dõi: lưu lượng mạng, log hệ thống,
các hoạt động ứng dụng. Được triển khai trên host quan trọng (Các server có thể
truy cập từ bên ngoài).

Hybrid: xem xét tất dữ liệu từ các sự kiện trên host và sự kiện trong các phần
mạng, kết hợp chức năng của của network và host-based IDPS

Các công nghệ sử dụng

- Sensor (network) hoặc agent (host): theo dõi và phân tích các hoạt động
- Server quản lý: thiết bị trung tâm nhận các thông tin từ các sensor và agent để
quản lý
- Server CSDL: nơi lưu trữ các thông tin sự kiện

Các khả năng:

1. Thu thập thông tin trên host hoặc mạng từ csac hoạt động quan sát được

2. Ghi log: dữ liệu liên quan đến sự kiện phát hiện được, kiểm tra tính hợp lệ
của cảnh báo, log nên được lưu trữ ở cả nội bộ và tập trung để đảm bảo tính toàn
vẹn và sẵn sàng của dữ liệu.

3. Phát hiện:
- Ngưỡng (thresholds): là một giá trị thiết lập giới hạn giữa hành vi bình thường
và bât thường, xác định mức độ tối đa có thể chấp nhận được.
- Blacklist và Whitelist:
- Thiết lập cảnh báo: email. SMS, thông báo ứng dụng
- Xem và chỉnh sửa mã nguồn:

4. Ngăn chặn:
- IDPS cho phép quản trị viên cấu hình khă năng ngăn chặn cho mỗi loại cảnh báo mà
nó đưa ra
- Thường bao gồm bật/tắt

Buổi 3

Promiscuous mode: cho phép bắt các gói tin khác địa chỉ MAC

Inline Sensor vài inline là lai frewall/IDPS hoặc chỉ là IDPS:

- đều phải đi qua nó, tương tự lưu lượgn qua tường lửa
- cho phép ngăn chặn tấn công bằng chặn lưu lựogn mạng

Passive sensor (vị trí chia giữa các mạng, segment mạng quan trọng như DMZ):
- theo dõi bản sao lưu lượng mạng; không có lưu lượgn thực tế nào đi qua sensor

Các phương phân theo dõi mạng

Networks TAPs
- kết nối trực tiếp giữa sensor và đường truyền vật lý.
- cung cấp bản sao lưu lượng mạng
- fail-safe, TAP hư vẫn chạy được nhưng không copy được bản sao.
- Nhược: cần thêm chi phí trang bị
Switch port mirroring: sao chép các frame của một hoặc nhiều port gửi đến SPAN
(switch port analyzer) port, có thể kết nối đến thiết bị phân tích

Công cụ theo dõi mạng:

- Bộ phân tích giao thức: wireshark
- NetFlow:
- SIEM: hỗ trợ báo cáo theo thời gian thực
- SNMP:

Ghi log:

Phát hiện tấn công:

Hạn chế:
- bị giới hạn không thể phân tích lưu lượng mạng đã hóa
- xử lý tải lưu lượng cao
- hứng chịu các tấn công vào chính NIDPS

Ngăn chặn tấn công

Chỉ Passive mode

Chỉ có inline mode

- thực hiện chức năng tường lửa
- giới hạn băng thông
- thay đổi nội dung độc hại

Buổi 4 - triển khai netwỏk IDPS

tap, port mirroring, reset interface, inline mode

Buổi 5 - HIDPS

Endpoint security
- Endpoint các host nhưn laptop, máy bàn, máy in, servers,
- Hạ tầng mạng - các thiết bị trong LAN kết nối endpoints, gồm switch, thiết bị
không dây,

4 bước bảo vệ endpoint: Discover -> Inventory -> Monitor -> Protect
Gồm antivirus, anti-phising, safe browsing, Host-based, Firewall và chức năng ghi
log

Malware Protection
Các phần mềm antimalware/antivirusL singnature-based, heuristics-based (tính năng
chung thường được malware sử dụng), behavior-based (phân tích hành vi đáng ngờ).

Host-based firewall
- Windows firewall dùng profile-based
- Iptables - rules trên linux
- Nftables -
- TCP Wrapper

Host-based IDPS
Theo dõi các đặc điểm của 1 host và event trong host
- Trafic mạng có dây và không
- Log hệ thống, process running, files, access and modify files, registry
(WWindows)
- Không lắng nghe gói tin khi chsung đi vào LAN
Các thành phần,
- Agent: phần mềm hoặc phần cứng chung dụng hoạt động trên 1 host

Triển khai agent trên server và máy bàn/laptops

Các kiến trúc Host

- Cấu hình tập trung: agent gửi tất cả dữ liệu đến 1 vị trí, performance không bị
ảnh hưởng bởi IDPS, cảnh báo không theo thời gian thực. 9ít tài nguyên)

- Cấu hình phân tán: phân tán giữa host và console, host tạo và phân tích event
theo thời gian thực, giảm hiệu suất trên các host 9 các host được trang bị tối đa
CPU, RAM, ổ cứng.

Hoạt động của HIDPS

Khả năng phát hiện tấn công

- Phân tích code: xác định hành động đáng ngờ, phân tích hành động của code, BOF,
system call, danh sách thư viện

- Phân tích lưu lượng mạng

- Lọc traffic
- Theo dõi hệ thống file
- Phân tích log
- Theo dõi cấu hình mạng

Độ chính xác
- Thách thức hơn HIDPS,sử dụng nhiều kỹ thuật hơn, nhưng yếu tố chính phải là con
người

Tùy chỉnh

Các khả năng khác

- Removale device
- Giám sát thiết bị nghe nhìn
- Host Hardening
- Theo dõi trạng thái tiến trình
- Làm sạch (sanitize) lưu lượng mạng

Quản lý
- Triển khai: kiểm tra các thành phần, bảo vệ các thành phần
- Vận hành

Các hạn chế

- Độ trễ khi tạp alert và báo cáo tập trung
- Sử dụng tài nguyên của host
- Xung đột với các cơ chế kiểm soát an ninh đang có

Khi cài antivirus ở ngoài thi nên disable defender và firewall trên WWindwos để
tránh xung đột

Ưu và nhược
- Ưu:

Buổi 6 -
Giám sát an ninh
Thu thập và phân tích thông tin để phát hiện hành vi đáng ngờ hoặc thay đổi trên
hệ thống
Syslog và NEtwork time protocol
- Syslog lắng nghe ở UDP 514, gửi các log hệ thống hoặc các thông điệp sự kiện đến
server
- Các server syslog có thể thành target
- Hacker có thể ngăn việc truyền dữ liệu, làm giả dữ liệu log hoặc giả mạo các
phần mềm tạo và truyền log
- Cải tiến cung cấp trong syslog-ng (next generation).

NTP
- Gói tin syslog thường được gán nhãn thời gian với giao thức NTP
- Hoạt độnng trên UDP 123
- Nhãn thời gian rất quan trọng trong việc phát hiện tấn công

DNS
- Attack đóng gói các giao thức mạng khác nhau bên trong các gói DNS bypass
- Malware sử dụng DNS để giao tiếo với server C&C và đánh cắp các dữ liệu đực
ngụy trang thành truy vấn DNS thông thường.
- Malware mã hóa dữ liệu đáp cắp được trong phần subdomain trong truy vấn DNS

HTTP và HTTPS
DUyệt web -. Server trả về chứng chỉ -> Client gửi đến CA server ->

Các giao thức Email

SMTP, POP3, IMAP,

ICMP

ACLs
- Kẻ tấn công có thể xác định được các IP, giao thức và port nào cho phép bới
ACLs,

Mã hóa và Tunneling

Mạng peer-to-peer và tor

- P2P phá võ biện pháp bảo vệ của firewall và thường là phương pháp để lây lan
malware, không xài trong công ty
- Tor là một nền tảng phần mềm và một mạng các host kết nối pp2 hoạt động như
router tor

Load Balancing
- Cân bằng phân phối lưu lượng mạng giữa các thiết bị hoặc đường mạng để tránh
quá tải tài nguyên mạng

Dữ liệu cảnh báo

Syslog
Log của server
SIEM và thu thập log