Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 02-10-2009, 07:32 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Công nghệ ngăn chặn xâm nhập của IPS
Công nghệ ngăn chặn xâm nhập của IPS
Công nghệ ngăn chặn xâm nhập IPS

1 Signature - Based IPS.


Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình.
Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công.
Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads. Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong một ngữ cảnh nào đó.
Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu .
Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ.
Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng . Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.
Lợi ích của việc dùng Signature-Based IPS:
Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng.
Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường .
File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiêu cảnh báo. Người quản trị bảo mật có thể có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào không.
Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.
Những hạn chế của Signature-Based IPS:
Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead.
Đây là những hạn chế:
Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện.
Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative).
Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời gian cũng như khó khăn.
Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn.

2 Anomaly-Based IPS.

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường
Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles).
Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước .
Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiện những chức năng công việc chung. Một cách điển hình , những nhóm sử dụng nên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử dụng.
Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web server của mình cũng như không muốn lưu lượng SSH đến với mail server của bạn . Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên mạng của bạn.
Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người dùng và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile của chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm người dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc và những mạng neural.
Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.
Lợi ích của việc dùng Anomaly-Based IPS:
Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công.
Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi khi mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh báo .
File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại hệ IPS.
Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo.
Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account) .
Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình thường.
Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường.
Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.
Hạn chế của việc dùng Anomaly-Based IPS:
Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc sáng tạo những profile nhóm người dùng , cũng như chất lượng của những profile này .
Thời gian chuẩn bị ban đầu cao.
Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.
Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự tốt được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những hoạt động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công việc của người dùng hay những trách nhiệm thay đổi thường xuyên.
Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false positive bởi vì chúng thường tìm những điều khác thường.
Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường là sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những phương cách nhằm tạo profile mà thật khó hiểu và giải thích.

3 Policy-Based IPS.


Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.
Lợi ích của việc dùng Policy-Based IPS.
• Ta có thể policy cho từng thiết bị một trong hệ thống mạng.
• Một trong những tính năng quan trọng của Policy-Based là xác thực và phản ứng nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi vì người quản trị hệ thống đưa các security policy tới IPS một cách chính xác nó là gì và nó có được cho phép hay không?
Hạn chế của việc dùng Policy-Based IPS.
• Khi đó công việc của người quản trị cực kỳ là vất vả.
• Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.
• Khó khăn khi quản trị từ xa.

4 Protocol Analysis-Based IPS.
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.
• Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không?.
• Kiểm tra nội dung trong Payload (pattern matching).
• Thực hiện những cảnh cáo không bình thường.


  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 05:40 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.