Professional Documents
Culture Documents
Giới thiệu
Hệ thống phát hiện xâm nhập
(Intrusion Detection System) và
Hệ thống ngăn ngừa xâm nhập
(Intrusion Prevention System)
IDS (tt)
IDS (tt)
IDS có thể phát hiện những cuộc tấn công:
- Tấn công lớp Ứng dụng (Application layer): quét cây thư mục, tràn bộ đệm...
- Quét mạng (network scans)
- Tấn công từ chối dịch vụ (DoS): TCP SYN packets, số lượng lớn ICMP packet...
- Các bất thường của mạng được phát hiện bởi IDS: IP datagram không hợp lệ, TCP packet
không hợp lệ, yêu cầu hoặc đáp ứng ARP không hợp lệ.
IDS (tt)
Sau khi phát hiện lưu lượng mạng bất
thường, IDS sẽ tạo ra các cảnh báo (alert).
Người quản trị mạng sẽ theo dõi các cảnh
báo này và đưa ra các quyết định đối phó.
Chú ý: bản thân IDS không tự ngăn chặn các
cuộc tấn công hoặc các lưu lượng nguy hiểm.
IPS (tt)
IPS có thể phân tích lưu lượng mạng như sau:
■ Tập hợp lại (lắp ghép) các session ở tầng 4 và phân tích nội dung của chúng
■ Theo dõi, giám sát tỷ lệ giữa packet và session để phát hiện và ngăn chặn sự sai lệch so
với mạng cơ bản
■ Phân tích nhóm các gói (packet) để xác định xem chúng có phải dùng để do thám hệ
thống mạng hay không
■ Giải mã các giao thức lớp Ứng dụng (application layer) và phân tích nội dung của chúng
■ Phân tích các gói (packet) để đối phó với hoạt động xấu được chứa trong một gói đơn
Chế độ Promiscuous
Chế độ Promiscuous chỉ yêu cầu 1 cổng
(interface) giám sát. Khi thực thi chế độ
promiscuous, bộ cảm biến sẽ sao chép
lưu lượng mạng. Sau đó, bộ cảm biến sẽ
phân tích lưu lượng sao chép này và có
thể phát hiện lưu lượng xấu.
Chế độ Inline
Chế độ Inline yêu cầu ít nhất 2 cổng
(interface) giám sát. Ở chế độ này, bộ
cảm biến sẽ giám sát trực tiếp lưu lượng
gốc đi qua nó. Vì vậy, bộ cảm biến có thể
loại bỏ các lưu lượng xấu trước khi
chúng tới được đích (kể cả trigger
packet).
Trả lời:
Sử dụng IDS hay IPS? (tt)
IDS và IPS đều có khả năng nhận biết được các cuộc tấn
công. Tuy nhiên, điều khác nhau cơ bản là cách hoạt động
và vị trí đặt chúng trong hệ thống mạng. Do vậy, IPS không
thể thay thế IDS. 2 giải pháp này có thể hỗ trợ lẫn nhau.
Cách hoạt động:
- IDS hoạt động ở chế độ promicuous. Ở chế độ này
IDS sẽ sao chép lưu lượng để phân tích. Nói 1 cách khác, IDS
không phân tích trực tiếp lên lưu lượng gốc.
- IPS hoạt động ở chế độ inline. Ở chế độ này, IPS trực
tiếp phân tích lên lưu lượng gốc. Điều này sẽ giúp cho IPS có
thể ngăn chặn kịp thời lưu lượng có hại, kể cả những trigger
packet