Tóm tắt
Khi nhận thức về an ninh mạng và không gian mạng đang tăng lên từng ngày, việc hiểu các khái niệm cốt lõi của Hệ thống phát hiện và phòng thủ xâm nhập (IDS) cũng như Hệ thống ngăn chặn xâm nhập (IPS) là rất quan trọng.
IDS và IPS thường tạo ra sự nhầm lẫn vì cả hai mô-đun được tạo bởi nhiều nhà cung cấp và các thuật ngữ được sử dụng để xác định các khái niệm kỹ thuật cũng giống nhau. Đôi khi cùng một công nghệ có thể được sử dụng để phát hiện và ngăn chặn một số mối đe dọa
Cũng như các sản phẩm khác, Cisco đã phát triển một số giải pháp để triển khai IDS/IPS nhằm bảo mật cho hệ thống mạng. Trong chủ đề này sẽ thảo luận về các khái niệm và phương pháp thực hiện.
Intrusion Detection Systems (IDS)
Vị trí của cảm biến trong mạng phân biệt chức năng của IPS so với IDS. Khi cảm biến được đặt thẳng hàng với mạng, nghĩa là, điểm chung vào/ra của đoạn mạng cụ thể kết thúc trên phần cứng hoặc giao diện logic của cảm biến và đi ra khỏi phần cứng thứ hai hoặc giao diện logic của cảm biến, thì mọi gói tin sẽ được phân tích và chỉ đi qua cảm biến nếu không chứa bất kỳ thứ gì độc hại.
Bằng cách loại bỏ lưu lượng truy cập độc hại, mạng đáng tin cậy hoặc một phần của mạng có thể được bảo vệ khỏi các mối đe dọa và cuộc tấn công đã biết. Đây là hoạt động cơ bản của Intrusion Prevention System (IPS). Tuy nhiên, việc cài đặt nội tuyến và kiểm tra lưu lượng có thể dẫn đến chậm trễ hơn một chút.
IPS cũng có thể trở thành một điểm lỗi duy nhất cho toàn mạng. Nếu chế độ “fail-open” được sử dụng, lưu lượng tốt và độc hại sẽ được phép trong trường hợp xảy ra bất kỳ loại lỗi nào trong cảm biến IPS. Tương tự, nếu chế độ “fail-close” được định cấu hình, toàn bộ lưu lượng IP sẽ bị giảm trong trường hợp cảm biến bị lỗi.
Nếu một bộ cảm biến được lắp đặt ở vị trí như hình dưới đây, một bản sao của mỗi gói tin sẽ được gửi đến bộ cảm biến để phân tích bất kỳ hoạt động độc hại nào.
Nói cách khác, cảm biến đang chạy ở chế độ promiscuous sẽ thực hiện phát hiện và tạo ra cảnh báo nếu được yêu cầu. Vì luồng lưu lượng bình thường không bị xáo trộn, không có độ trễ sẽ được đưa vào bằng cách triển khai IDS. Nhược điểm duy nhất của cấu hình này là IDS sẽ không thể ngăn các gói dữ liệu độc hại xâm nhập vào mạng vì IDS không kiểm soát đường dẫn tổng thể của lưu lượng.
| Tính năng | IPS | IDS |
|---|---|---|
| Định vị | Phù hợp với mạng. Mọi gói tin đều đi qua nó. | Không phù hợp với mạng. Nó nhận được bản sao của mọi gói tin. |
| Chế độ | In-line/Tap | Promiscuous |
| Độ trễ | Gây ra sự chậm trễ vì mọi gói tin đều được phân tích trước khi chuyển tiếp đến đích | Không gây ra độ trễ vì nó không trên cùng với mạng. |
| Nhược điểm | Nếu cảm biến bị hỏng, nó có thể giảm cũng như lưu lượng độc hại xâm nhập vào mạng, tùy thuộc vào chế độ được định cấu hình, nó sẽ fail-open hoặc fail-close | Không ảnh hưởng đến lưu lượng truy cập vì IDS không trên cùng với mạng |
| Giảm thiểu tấn công | Bằng cách loại bỏ lưu lượng độc hại, các cuộc tấn công có thể dễ dàng được giảm thiểu trên mạng. Nếu được triển khai ở chế độ TAP, thì nó sẽ nhận được một bản sao của mỗi gói nhưng không thể giảm thiểu cuộc tấn công | IDS không thể trực tiếp ngăn chặn một cuộc tấn công. Tuy nhiên, nó hỗ trợ một số thiết bị trong dòng như IPS để giảm lưu lượng nhất định giúp ngăn chặn một cuộc tấn công |
| Thao tác gói tin | Có thể sửa đổi lưu lượng IP theo một bộ quy tắc xác định | Vì IDS nhận được lưu lượng được sao chép, vì vậy nó chỉ có thể thực hiện kiểm tra |
Các cách phát hiện xâm nhập
Khi một cảm biến đang phân tích lưu lượng truy cập cho một thứ gì đó lạ, nó sử dụng nhiều kỹ thuật dựa trên các quy tắc được xác định trong cảm biến IPS/IDS. Một số công cụ và kỹ thuật được sử dụng:
- Signature-based IDS/IPS
- Policy-based IDS/IPS
- Anomaly-based IDS/IPS
- Reputation-based IDS/IPS
Signature-based IDS/IPS
Chữ ký tìm kiếm một số chuỗi hoặc hành vi cụ thể trong một gói hoặc luồng gói để phát hiện sự bất thường. Các mô-đun IPS/IDS của Cisco, cũng như tường lửa thế hệ tiếp theo, đi kèm với chữ ký số được tải trước có thể được sử dụng để giảm thiểu các cuộc tấn công đã được phát hiện. Cisco liên tục cập nhật bộ chữ ký cần thiết để quản trị viên mạng tải lên thiết bị.
Không phải tất cả các chữ ký đều được bật theo mặc định. Nếu một số chữ ký đang tạo ra cảnh báo cho lưu lượng được cho phép do một số nhu cầu kinh doanh, quản trị viên mạng cần điều chỉnh mô-đun IPS/IDS để không tạo ra false positive cho lưu lượng hợp pháp.
Policy-Based IDS/IPS
Như tên cho thấy, mô-đun IDS/IPS hoạt động dựa trên chính sách hoặc SOP của một tổ chức. Ví dụ: nếu một tổ chức có chính sách bảo mật rằng mọi phiên quản lý với các thiết bị mạng cũng như thiết bị đầu cuối không được khởi tạo thông qua giao thức TELNET. Quy tắc tùy chỉnh chỉ định chính sách này cần được xác định trên cảm biến.
Nếu nó được cấu hình trên IPS, bất cứ khi nào lưu lượng TELNET chạm vào IPS, một cảnh báo sẽ được tạo ra sau khi chuyển gói tin. Nếu nó được triển khai trên cảm biến dựa trên IDS, thì một cảnh báo sẽ tạo ra cho nó, nhưng lưu lượng truy cập vẫn tiếp tục do IDS hoạt động ở chế độ promiscuous.
Anomaly-Based IDS/IPS
Trong loại này, một đường cơ sở được tạo cho loại lưu lượng cụ thể. Ví dụ, sau khi phân tích lưu lượng, người ta nhận thấy rằng 30 phiên half-open TCP được tạo ra mỗi phút. Sau khi xác định đường cơ sở, 35 half-open TCP kết nối trong một phút, giả sử số lượng kết nối half-open TCP đã tăng lên 150, sau đó dựa trên sự bất thường này, IPS sẽ cảnh báo và loại bỏ các kết half-open thừa.
Reputation-Based IDS/IPS
Nếu sắp xếp một số loại tấn công phổ biến, sẽ thật tuyệt nếu lọc ra lưu lượng đã biết dẫn đến việc lan truyền các cuộc tấn công này trước khi nó tấn công cơ sở hạ tầng quan trọng của tổ chức. IDS/IPS dựa trên danh tiếng thu thập thông tin từ các hệ thống tham gia vào mối tương quan toàn cầu. Nó bao gồm các mô tả tương đối như URL đã biết, tên miền, v.v. Các dịch vụ tương quan toàn cầu được Dịch vụ đám mây của Cisco duy trì.
| Công nghệ IDS/IPS | Ưu điểm | Nhược điểm |
|---|---|---|
| Signature-Based | Thực hiện và quản lý dễ dàng. | Không phát hiện các cuộc tấn công có thể bỏ qua chữ ký. Có thể yêu cầu một số điều chỉnh để ngừng tạo false positive cho lưu lượng truy cập hợp pháp. |
| Anomaly-Based | Có thể phát hiện lưu lượng truy cập độc hại dựa trên đường cơ sở tùy chỉnh. Có thể từ chối bất kỳ loại tấn công mới nhất nào vì chúng sẽ không được xác định trong phạm vi của chính sách cơ sở. | Yêu cầu chính sách cơ sở. Khó thiết kế đường cơ sở cho các mạng lớn. Có thể tạo ra false positive nếu đường cơ sở cấu hình sai. |
| Policy-Based | Thực hiện đơn giản, kết quả đáng tin cậy. Mọi thứ khác ngoài phạm vi của chính sách đã xác định sẽ bị loại bỏ. | Cần thực hiện chính sách theo cách thủ công. Mọi thay đổi nhỏ trong mạng sẽ yêu cầu thay đổi chính sách cấu hình trong IPS/IDS. |
| Reputation-Based | Sử dụng thông tin dịch vụ Cisco cung cấp, trong đó các hệ thống chia sẻ kinh nghiệm từ các cuộc tấn công mạng. Kinh nghiệm của ai đó trở thành sự bảo vệ cho tổ chức. | Yêu cầu cập nhật thường xuyên và tham gia vào dịch vụ Cisco tương quan toàn cầu, trong đó các hệ thống chia sẻ kinh nghiệm của họ với các thành viên khác. |
Các loại hệ thống phát hiện xâm nhập
Tùy thuộc vào kịch bản mạng, có 2 loại cấu hình như sau:
Phát hiện xâm nhập dựa trên máy chủ
Host-based IPS/IDS thường được triển khai để bảo vệ máy chủ cụ thể và hoạt động chặt chẽ với nhân hệ điều hành của máy chủ. Nó tạo ra một lớp lọc và lọc bất kỳ ứng dụng độc hại nào gọi tới hệ thống. Có 4 loại Host-based IPS/IDS:
- Giám sát hệ thống tệp: So sánh các phiên bản của tệp trong một số thư mục với các phiên bản trước của nó và kiểm tra bất kỳ sự giả mạo và thay đổi trái phép nào trong tệp. Các thuật toán băm thường được sử dụng để xác minh tính toàn vẹn của tệp và thư mục.
- Phân tích nhật ký: Phân tích tệp nhật ký của máy chủ và tạo cảnh báo cho quản trị viên hệ thống chịu trách nhiệm bảo mật máy. Một số công cụ và ứng dụng có sẵn hoạt động bằng cách phân tích các mẫu hành vi và tương quan với các sự kiện thực tế.
- Phân tích kết nối: Giám sát các kết nối mạng tổng thể đang được thực hiện với máy bảo mật và tìm các kết nối trái phép. Một số kỹ thuật được sử dụng như quét cổng mở, kết nối TCP half-open, giả mạo, v.v.
- Phát hiện mức hạt nhân: Hạt nhân của hệ điều hành tự phát hiện sự thay đổi trong các mã nhị phân của hệ thống và sự bất thường trong lệnh gọi hệ thống để phát hiện các nỗ lực xâm nhập trên máy đó.
Phát hiện xâm nhập dựa trên mạng
Network-based IPS hoạt động trên cùng với thiết bị ngoại vi hoặc một số phần của mạng tổng thể. Nó hoạt động bằng cách giám sát lưu lượng mạng tổng thể (hoặc các gói dữ liệu), do đó bộ xử lý phải nhanh nhất có thể để độ trễ không xuất hiện trong mạng.
| Tính năng | Host-based IDS/IPS | Network-based IDS/IPS |
|---|---|---|
| Khả năng mở rộng | Không thể mở rộng khi số lượng máy chủ an toàn tăng lên | Khả năng mở rộng cao. Thường được triển khai tại cổng ngoài |
| Hiệu quả/chi phí | Thấp. Nhiều hệ thống hơn cần nhiều mô-đun hơn | Cao. Một cặp có thể giám sát mạng tổng thể. |
| Khả năng | Có khả năng xác minh xem một cuộc tấn công có thành công hay không | Chỉ có khả năng tạo ra cảnh báo về một cuộc tấn công |
| Sức mạnh xử lý | Sức mạnh xử lý của thiết bị chủ được sử dụng | Phải có sức mạnh xử lý cao để khắc phục các vấn đề về độ trễ |
