Đồ án Xây dựng Firewall & IPS trên checkpoint

tố của Secure Virtual Network. Ví dụ như Firewall Policy, VPN client Security gateway, Network Address Translation, Quality of Service.. Quản lý tất cả các object như user, host, network, service…. mà nó được chia sẻ giữa các ứng dụng. + SmartView Tracker: được dùng để quản lý, theo dõi log và thực hiện cảnh báo. Kiểm tra các quá trình kết nối vào server bằng thời gian thực. Ngoài ra, SmartView Tracker cũng ghi lại các hành động của người quản trị để giúp cho quá trình troubleshoot nhanh hơn. Nếu có sự tấn công mạng từ môi trường bên ngoài hay bên trong thì người quản trị có thể dùng SmartView Tracker để hủy hoặc tạm dừng các tiến trình này để theo dõi. + SmartView Monitor: Cung cấp chức năng theo dõi và thông báo về cho server. + Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau. Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ đồ các traffic trong network. Eventia Report cung cấp cho người dùng một giải pháp thân thiện cho việc theo dõi và thẩm định traffic. Người admin có thể dùng Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau trên NGX, VPN-1 Pro, Secure Client, Smart Defense. + SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center Server. + SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho việc update các software của CheckPoint. 3.1.2 Smart Center Server Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway. Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả. 3.1.3 Security Gateway • Security Gateway chính là firewall machine mà ở đó NGX được cài đặt vào dựa trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một hay nhiều máy tính khác nhau theo mô hình client/server. • NGX Security Gateway có thể triển khai trên một Internet Gateway và một điểm truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra từ những policy. Inspection Code được biên dịch ra từ script và nạp vào Security Gateway để bảo vệ network. 3.2 Firewall Inspect Engine Khi install trên một Security Gateway thì Inspect Engine điều khiển traffic tryền qua lại giữa các network. Inspect Engine được load vào OS một cách tự động và nó sẽ hoạt động giữa layer 2 và layer 3. Mô hình hoạt động khi không có Firewall Inspect Engine như sau: Hình 3: Mô hình hoạt động khi không có Firewall Inspect Engine Mô hình hoạt động khi có Firewall Inspect Engine như sau: Hình 4: Mô hình hoạt động khi có Firewall Inspect Engine 3.3 SVN FOUNDATION Nền tảng của CHECKPOINT SVN (CPSHARED) là một hệ điều hành của Checkpoint và CHECKPOINT SVN được tích hợp trong mỗi sản phẩm của Checkpoint. Nền tảng của SVN bao gồm những thành phần sau:  SIC ( Secure Internal Communication)  CheckPoint Registry  CPShared Daemon  Watch Dog dùng cho critical Service  Cpconfig  License Utilities  SNMP Daemon 3.3.1 Secure Internal Communication - Checkpoint Secure Internal Communication là một tính năng nâng cao tính bảo mật cho network. Nó thực hiện bằng cách bảo mật quá trình quản trị giữa các thành phần trong Checkpoint NGX. Quá trình quản trị giữa các thành phần trong NGX bao gồm các yếu tố sau:  Smart Center Server  Smart Console  Security Gateway  Các ứng dụng OPSEC - Ngoài ra thì SIC cũng góp phần làm cho quá trình quản trị đơn giản hơn, giảm bớt đi các tác vụ. Người admin chỉ cần làm một số thủ tục ban đầu đơn giản. Những lợi điểm về vấn đề bảo mật: SIC cho phép người Security Administrator xác nhận rằng một Smart Console nào đó đang connect đến Smart Center Server thì Smart Console đó được cho phép đã được thẩm định có quyền hạn connect đến Smart Center Server đó. Ngoài ra SIC cũng cho phép người administrator có thể xác nhận những chính sách bảo mật được load trên Security Gateway là được một Smart Center Server đã được thẩm định chuyển đến. SIC cũng bảo đảm những yếu tố thông tin đi trên đường truyền không bị thay đổi và được bảo đảm toàn vẹn.SIC Certificate: Secure Internal Communication được dùng trong các thành phần của Checkpoint SVN đều sử dụng certificate cho quá trình chứng thực và quá trình mã hóa. SIC certificate được tạo ra bởi một engine của Checkpoint hay bởi những ứng dụng OPSEC và nó được truyền qua hệ thống Checkpoint NGX. Certificate được tạo bởi một Internal Certificate Authoriy (ICA) được cài đặt sẵn trên Smart Center Server. ICA có nhiệm vụ là tạo ra certificate phục vụ cho quá trình truyền dữ liệu giữa các thành phần trong hệ thống Checkpoint và được quản lý bởi Smart Center Server. Mỗi một certificate sẽ được cấp cho một máy. VPN certificate ví dụ như certificate dùng cho IKE dùng trong kết nối VPN thì khác so với SIC certificate. Ta không nên nhầm lẫn giữa hai dạng certificate này. Tóm lại SIC certificate chỉ dùng để secure quá trình truyền thông giữa các thành phần thành phần bên trong internal mà thôi. Ta hãy xem xét quá trình hoạt động của nó theo sơ đồ bên dưới : Hình 6: Quá trình hoạt động của certificate trong mô hình client/server - ICA ( Internal Certificate Authority) có nhiệm vụ tạo ra Certificate cho Smart Center Server trong quá trình Smart Center Server được cài đặt vào Smart Center Server trong quá trình cài đặt một cách tự động. - Những Certificate dùng cho các NGX Security Gateway và bất kỳ quá trình trao đổi giữa các thành phần đều được tạo ra thông qua quá trình khởi tạo đơn giản lúc ban đầu từ Smart Console. Thông qua quá trình lúc ban đầu, ICA được tạo ra, được kí xác nhận và phân bổ một certificate đến các thành phần giao tiếp. Mỗi module có thể thẩm định certificate cho quá trình chứng thực. - Quá trình liên lạc giữa Smart Center Server và các thành phần của nó được chứng thực bằng cách sử dụng các certificate và nó còn tùy thuộc vào chính sách bảo mật được định rõ trong file chính sách bảo mật trong mỗi máy. Quá trình liên lạc có thể xảy ra giữa các thành phần bằng cách sử dụng Certificate thì ta phải dùng phiên bản thích hợp và phải chấp nhận phương pháp chứng thực và mã hóa. Smart Center Server và các thành phần của nó được định dạng bởi tên SIC của chính nó, nó cũng được biết đến như là Distinguished Name (tên dùng để phân biệt) 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS - Để thực hiện quá trình truyền thông SIC giữa Smart Center Server và Smart Console, thì Smart Console phải được định nghĩa giống như việc xác định thẩm quyền để sử dụng Smart Center Server. Khi có nhu cầu sử dụng Smart Dash Board trên Smart Console ta cần phải thông qua một số bước như sau:  Security Administrator được yêu cầu thẩm định chính bản thân mình.  Administrator xác định địa chỉ IP của Smart Center Server.  Smart Console vào thời điểm kết nối lúc ban đầu kết nối Smart Center Server dựa trên SSL.  Smart Center Server thẩm định địa chỉ IP đó thuộc Smart Console có thẩm quyền.  Sau đó Smart Center Server sẽ gửi một Certificate. - Dựa trên quá trình chứng thực bằng Certificate của Smart Center Server, Secuirty Administrator bị yêu cầu thẩm định quyền hạn Smart Center Server mà Admin được connect đến. Quá trình thẩm định này được làm bằng cách sử dụng fingerprint của Smart Center Server. Nó thực chất là một chuỗi text, nó đại diện cho giá trị hash được tính toán từ Smart Center Server Certificate. Sau đó Administrator chấp nhận giá trị thẩm định của Smart Center Server, Administrator name và passrword được gửi về một cách bảo mật đến Smart Center Server. Username Administrator và password được dùng tiếp theo để nhận dạng và đê chứng thực user. Vào lần đầu tiên administrator tạo kết nối theo dạng SIC đến một network object nào đó thì sẽ được đệ trình một certificate và quá trình này chỉ được làm một lần. Administrator không thể thay đổi tên các network object. CHƯƠNG 4 : IPS 4.1 Hệ thống ngăn chăn xâm nhập(IPS): 4.1.1 Khái niệm IPS Hệ thống xâm nhập IPS(Instrusion prevention systems) là bất kỳ một thiết bị phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các nguy cơ mất an ninh mạng. IPS là thiết bị tích hợp IDS và hệ thống ngăn chặn nhằm khắc phục điểm yếu của IDS. IPS gồm hai phần chính :  Phần phát hiện xâm nhập chính là IDS.  Phần ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục.  Các phương thức ngăn ngừa: Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists). - Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao. - Sự lạm dụng giao thức và những hành động lảng tránh những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) - Thông qua sự ráp lại thông minh. - Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng. - Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. qua việc sử dụng những quy tắc giao thức ứng dụng và chữ ký. - Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng. 4.1.2 Chức năng của IPS Ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độ mạng và từ các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhập gồn các thành phần chủ yếu sau:  Phát hiện và ngăn ngừa: Nhìn bề ngoài, các giải pháp phát hiện xâm nhập và ngăn ngừa xâm nhập xuất hiện theo kiểu cạnh tranh nhau. Về bản chất, chúng chia sẻ một danh sách các chức năng giống nhau như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP- segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Hình – Hệ thống ghi nhận lại khi có hành động scan vào ip firewall  Phát hiện xâm nhập: Mục đích của “phát hiện xâm nhập” là cung cấp sự giám sát, kiểm tra, tính pháp lý và báo cáo về các hoạt động của mạng. Nó hoạt động trên các gói tin được cho phép thông qua một thiết bị kiểm soát truy nhập. Do những hạn chế về độ tin cậy và những đe dọa bên trong, “Ngăn ngừa Xâm nhập” phải cho phép một số “vùng xám” (gray area) tấn công để tránh các trường hợp báo động giả. Mặt khác, những giải pháp IDS được “nhồi” trí thông minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập, những khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng. Một IDS có thể thực hiện các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng. Hình – Hành động scan port bị phát hiện và ghi nhận bởi hệ thống IPS Hình – Hệ thống IPS ghi nhận hành động Ping of Death (Hping) Bản chất bị động của IDS nằm ở chỗ cung cấp sức mạnh để chỉ đạo phân tích thông minh các lưu lượng gói tin. Những vị trí IDS này có thể nhận ra: - Các cuộc tấn công quen biết theo đường chữ ký (singature) và các quy tắc. - Những biến thiên trong lưu lượng và phương hướng sử dụng những quy tắc và phân tích thống kê phức tạp. - Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng. - Phát hiện hoạt động bất thường có sử dung phân tích độ lệch đường cơ sở (baseline deviation analysis). - Phát hiện các hoạt động đáng nghi nhờ phân tích luồng, các kỹ thuật thống kê và phát hiện sự bất bình thường.  Ngăn ngừa xâm nhập Các giải pháp“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường mạng. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với: - Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists). - Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc độ cao. - Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh. - Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng. Hình – Hệ thống ghi nhận lại khi có tiến trình LAND attack diễn ra trên cổng IP Firewall Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra đều được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong các giao thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định. 4.2 Phân loại IPS 4.2.1 NIPS NIPS (Network-based IPS) là loại IPS được dùng để lắp đặt vào mạng để ngăn chặn sự xâm nhập từ ngoài mạng vào nội mạng. Network IPS cung cấp các thành phần thực hiện trước mà có hiệu quả toàn diện trong toàn bộ khung bảo mật mạng của bạn. Sự kết hợp giữa NIPS với các thành phần như HIPS, IDS và firewall vành đai cung cấp giải pháp bảo mật phòng ngừa chiều sâu mạnh mẽ. Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn. Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý.  Lợi thế của Network-Based IDSs - Quản lý được cả một network segment (gồm nhiều host)- "Trong suốt" với người sử dụng lẫn kẻ tấn công - Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng- Tránh DoS ảnh hưởng tới một host nào đó.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) - Độc lập với OS  Hạn chế của Network-Based IDSs - Có thể xảy ra trường hợp báo động giả (false positive),tức không có intrusion mà NIDS báo là có intrusion.Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…) - NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn - Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. 4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở Kỹ thuật ngăn chặn xâm nhập có thể dừng các đường truyền xâm nhập trước khi nó xâm nhập vào mạng bởi việc đặt sensor ở lớp 2 thiết bị forwading (Switch) trong mạng. Hình 5.2.3.1a: Triển khai Intrusion Prevention Sensor NIPS có thể hủy đường truyền theo các cách sau :  Hủy một gói tin: Kiểu đơn giản nhất của NIPS bao gồm việc xác định một gói tin khả nghi và hủy chúng. Các gói tin xấu sẽ không tới các hệ thống đích bởi thế mạng của bạn sẽ được bảo vệ. Tuy nhiên kẻ tấn công có thể gửi lại các gói tin xấu. Đối với mỗi gói tin IPS cần phân tích gói tin mạng và nơi mà đường truyền cho qua hay từ chối, chi phối tài nguyên trong thiết bị IPS.  Hủy tất cả các gói tin trong kết nối: Thay vì hủy từng gói tin một, hệ thống IPS có thể hủy toàn bộ các gói tin trong kết nối đặc biệt đối với cấu hình theo chu kỳ thời gian. Sự kết nối được xác định tính toán các thành phần: - Địa chỉ nguồn. - Địa chỉ đích. - Cổng đích. - Cổng nguồn (không bắt buộc). Ưu điểm của ngắt kết nối là các gói tin đến sau tính toán kết nối có thể ngắt tự động mà không cần phân tích. Về mặt hạn chê, tuy nhiên kẻ tấn công vẫn có khả năng gửi đường truyền mà không cần tính toán kết nối có thể ngắt.  Hủy tất cả các đường truyền từ địa chỉ nguồn: Cơ chế ngắt cuối cùng là ngắt tất cả các đường truyền từ địa chỉ nguồn đặc biệt. Trong một số trường hợp, khi các gói tin khả nghi được phát hiện, nó sẽ được ngắt, cùng với tất cả đường truyền tương ứng với địa chỉ nguồn đối với cấu hình trong chu kỳ thời gian. Bởi vì tất cả đường truyền từ host tấn công có thể bị ngắt trong vài phiên.Thiết bị IPS sử dụng ít tài nguyên. Hạn chế chính là nếu kẻ tấn công có thể giả mạo địa chỉ nguồn và giả vờ là hệ thống quan trọng như phần thương mại, nếu bắt đầu đăng ký là khả năng lỗi và đường truyền sẽ từ chối mạng của bạn. Lợi ích chính của việc sử dụng NIPS là ngăn chặn tấn công đảm bảo đường truyền bình thường và thực thi các chính sách bảo mật có hiệu quả. 4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS Sản phẩm ngăn chặn xâm nhập mạng cơ sở dùng sensor để phân tích đường truyền mạng tại một số vị trí thông qua mạng. Các sensor này phát triển từ các kiểu nhân tố như: Các thiết bị sensor độc lập (Standalone appliance sensors): Các thiết bị sensor độc lập cung cấp tính linh hoạt nhất khi phát tiển sensor IPS trong mạng. Các sensor này có thể triển khai tại hầu như nhiều vị trí trong mạng. Yếu điểm chính của thiết bị sensor là phải tạo khoảng trống trong việc đặt sensor. Sensor 4200 series là một minh chứng. Blade-based sensors: có thể tạo ưu thế của các thiết bị hạ tầng tồn tại khi triển khai thiết bị IPS. Blade-based sensors không cần khoảng trống lớn để đặt và có nhiều ưu thế của hướng đường truyền nhận từ đường đi của thiết bị hạ tầng nơi mà nó được triển khai. Một yếu điểm của Blade-based sensors là nó có thể có giá nếu như đã tồn tại thiết bị hạ tầngtrong mạng. Prevention Security Service Module (AIP-SSM). Phần mềm Intrusion Prevention System (IPS) tích hợp trong hệ điều hành (OS) trong thiết bị hạ tầng: Khi mà phần mềm IPS được tích hợp trong thiết bị hệ tầng đang tồn tại.Các chức năng được cung cấp thường được so sánh với Blade-based sensors bởi vì thiết bị hạ tầng mang lại nhiều tránh nhiệm và đáp ứng. Sự phụ thuộc vào môi trường mạng nó làm giảm nhiều chức năng không phải là vấn đề. Không quan tâm đến các tác nhân trong mạng, sensor phải nhận được đường truyền mạng mà cần được phân tích. Việc bắt đường truyền biến đổi phụ thuôc vào nơi mà bạn sử dụng mode inline hay mode ngẫu nhiên. Sau khi bắt được đường truyền, sensor sẽ phân tích đường truyền phân theo các kiểu đường chữ ký sử dụng trong đường truyền mạng. Kết quả phân tích đường truyền thực hiện bởi các sensors IPS được dùng để kiểm tra thông qua bảng hiển thị kiểm soát. Giống như các ứng dụng kiểm soát có thể cấu hình có hiệu quả đối với số lượng lớn các sensors IPS trong mạng. Việc quản lý sensor IPS thông qua hai kiểu: Triển khai sensor nhỏ và triển khai sensor rộng lớn. 4.2.2 HIPS Hệ thống phát hiện xâm nhập HIPS là một loại kỹ thuật tương đối mới trong thị trường bảo mật. Ngay từ ngày đầu, nó đã có nhiều lợi ích được chấp thuận và sự sử dụng và được dự đoán là sẽ phát triển nhanh chóng trong tương lai. Mặc dù có được lợi thế đó, song loại thiết bị này không được xác định rõ ràng hơn các kỹ thuật được thiết lập như firewall và antivirus. Các tài liệu kỹ thuật còn mơ hồ, các thuật ngữ mơ hồ và sự phát triển sản phẩm nhanh chóng làm đảo lộn thị trường tới điểm mà thật là khó để xác định các sản phẩm thực sự là hệ thống phát hiện xâm nhập HIPS (Host Intrusion Prevention Systems). HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác. 4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)  Ngăn chặn các tác động có hại: Một HIPS phải có khả năng làm nhiều hơn việc cảnh báo hay tác động vào khi các đoạn mã nguy hiểm tấn công tới các host. Nó sẽ phải có hành động ngắt các tác động của các đoạn mã nguy hiểm. Nếu các hành động này được ngăn chặn các tấn công sẽ thất bại. HIPS cũng có thể giữ việc truy nhập và có khả năng cảnh báo bởi thế mà người dùng sẽ biết HIPS làm gì nhưng với các yêu cầu khác nhau làm cho HIPS cũng có khả năng mang lại các tác động.  Không phá vỡ các hoạt động bình thường: Một cách khác bảo vệ các host là gỡ nó ra khỏi mạng. Không kết nối nó với mạng sẽ tạo ra sự bảo vệ nó tốt hơn nhưng host lại lấy đi ở nó sự đáp ứng các dịch vụ thương mại trong mạng. Ngắt kết nối không phải là cách bảo mật thường dùng bởi vì nó cũng ngắt các hoạt động bình thường.  Phân biệt giữa trạng thái tấn công và trạng thái bình thường: Sản phẩm HIPS phải đủ xác thực để xác định đúng đắn đâu là trạng thái bị tấn công và đâu là trạng thái bình thường để từ đó mới phát hiện ra lỗi hay các cuộc tấn công kịp thời ngăn chặn.  Dừng các tấn công mới và các tấn công không biết: Với mỗi nguy hại và tấn công mới bạn sẽ phải cần update hay xử lý cấu hình lại. Sản phẩm HIPS phải có khả năng dừng các tấn công mới và các tấn công không biết mà không cần cấu hình lại hay update đây là cách mà sản phẩm HIPS dừng các tấn công.  Bảo vệ ngăn chặn các lỗ hổng của các ứng dụng được cho phép: Bằng một vài dấu hiệu, HIPS phải không cho phép các ứng dụng được cho phép bị làm hại bởi các kẻ tấn công. Tuy vậy sản phẩm HIPS cũng có khả năng bảo vệ ngăn chặn các lỗ hổng của các ứng dụng được cho phép.  Ngoài ra HIPS còn có các lợi ích khác như :  Ngăn chặn các tấn công có hại.  Sửa chữa đường dẫn.  Ngăn chặn sự nhân các tấn công nội bộ.  Đưa ra các chính sách có hiệu lực.  Điều chỉnh các yêu cầu. Tuy nhiên HIPS cũng có những yếu điểm đó là không tương thích với tất cả các công việc nó chỉ là phần triển khai các phòng ngừa chiều sâu và có những yếu điểm sau:  Vấn đề về xáo trộn người dùng.  Thiếu việc đưa thông tin hoàn thành.  Các tấn công không nhằm vào các host. 4.2.2b Các thành phần của HIPS: Sản phẩm HIPS có hai thành phần cơ bản: 4.2.2.1 Gói phần mềm để cài đặt tại điểm cuối Dùng để bảo vệ nó còn gọi là client hay agent.Về bản chất HIPS agents cũng ứng dụng xử lý điều khiển truy nhập giống như vậy tới các máy tính. Sự xử lý này được tác động khi hoạt đỗngyar ra trong hệ thống và có thể chia theo các phase dưới đây:  Nhận dạng kiểu tài nguyên được phép truy nhập: Các angets nhận dạng nguồn tài nguyên được truy nhập. Các nhận dạng nguồn tài nguyên chung bao gồm: tài nguyên mạng, bộ nhớ, thực thi ứng dụng, cấu hình hệ thống.  Thu thập dữ liệu về hoạt động: Sản phẩm HIPS thu thậm dữ liệu dùng một hay nhiều cách thức: sự biến đổi nhân, sự chặn hệ thống cuộc gọi, các hệ điều hành ảo, các phân tích đường truyền mạng,  xác định trạng thái của hệ thống: các trạng thái hệ thống bao gồm: location, user, system.  Tham khảo các chính sách bảo mật: Dữ liệu sẽ tập hợp về sự tấn công tài nguyên truy nhập và trạng thái hệ thống được so sánh một hay nhiều chính sách sau: 1. Anomaly-based 2. Atomic rule-based 3. Pattern-based 4. Behavioral 5. Access control matrix  Thực thi tác động: Đó là các trạng thái: cho phép truy nhập vào mạng hay từ chối truy nhập, trong thái nhập vào (log state), hủy gói tin, tắt máy chủ và truy vấn người dùng. Hình 5.2.3.2 : Xử lý điều khiển truy nhập. 4.2.2.2 Hạ tầng quản lý để quản lý các agents này HIPS agents mà có thể có một giao diện sử dụng tốt và đôi khi hoạt động không cùng kiểu quản lý trung tâm. Tuy nhiên các lớp hoạt động HIPS yêu cầu một hạ tầng quản lý. Kiểu đặc trưng, hạ tầng bao gồm trung tâm quản lý hay điểm đầu cuối và giao diện được dùng để truy nhập vào các trạm quản lý. 1. Trung tâm quản lý:  Trung tâm quản lý gồm 3 thành phần cơ bản. Thành phần đầu tiên đó là cơ sở dữ liệu nơi mà lưu trữ các trạng thái, chính sách, agent và các dữ liệu cấu hình khác. Thành phần thứ hai đó là khả năng trình bày trạng thái. Thành phần cuối cùng đó là chính sách quản lý. Chúng phụ thuộc vào mô hình quản lý mỗi thành phần được cài đặt trên các thành phần vật lý khác nhau.  Cơ sở dữ liệu là thành phần quan trọng nhất của trung tâm quản lý. Nó là nơi lưu tất cả các thông tin chính sách. Nó phải đủ mạnh để hỗ trợ các agents sử dụng nó mà không cần xâm nhập và bảo vệ đủ để chống lại kẻ tấn công. Đó là lý do mà tất cả các công ty hoạt động cần phải có nhiều các kiểu cơ sở dữ liệu hoạt động như SQL hay ORACLE  Điều khiển cảnh báo và trạng thái đó là điều khiển sự phân chia các trạng thái ở các trạm quản lý và bao gồm trạng thái mang và phát sinh cảnh báo.Nhờ hai trạnh thái này mà chúng ta biết được tình trạnh mạng hoạt động ra sao, có xâm nhập hai không.  Quản lý chính sách: đó là việc chỉnh sửa các chính sách, các chính sách bảo mật thực thi thông qua thời gian trong các đáp ứng môi trường và thay đổi trong quan hệ bảo mật. Vì vậy cần chỉnh sửa chúng cho phù hợp với sự phân phối chúng tới các agents. 2. Giao diện quản lý: Công cụ quản lý HIPS được dùng tương tác với trung tâm quản lý được gọi là giao diện sử dụng và có hai kiểu: được cài đặt trên giao diện người sử dụng client và giao diện web. Mặc dù giao diện người dùng thường có nhiều chức năng hơn, giao diện web thích ứng tốt hơn với nhà quản lý từ xa. Trong cả hai trường hợp sự giao tiếp giữa giao diện quản lý và trung tâm quản lý cũng được bảo vệ một các cẩn thận như sự giao tiếp giữa gents và MC.  Lợi thế của HIDS: - Có khả năng xác đinh user liên quan tới một event. - HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. - Có thể phân tích các dữ liệu mã hoá. - Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.  Hạn chế của HIDS: - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. - Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". - HIDS phải được thiết lập trên từng host cần giám sát - HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…). - HIDS cần tài nguyên trên host để hoạt động. - HIDS có thể không hiệu quả khi bị DOS. - Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành.  Phân tích so sánh giữa HIDS và NIDS:  Vấn đề dùng NIDS hay HIDS: Nên dử dụng HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải pháp HIDS yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều đến sự quan tâm của người quản trị. Tuy nhiên nếu cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn. IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS. 4.3 Công nghệ ngăn chặn xâm nhập IPS 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu) Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công. Hình - Một Signature based IDS - Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, IPS đi lên từ nền tảng của IDS và cách thức phát hiện các đợt tấn công cũng tương tự nhau. Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads. Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong một ngữ cảnh nào đó. Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu. Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ. Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng. Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.  Lợi ích của việc dùng Signature-Based IPS Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng. Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường. File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiêu cảnh báo. Người quản trị bảo mật có thể có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào không. Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.  Những hạn chế của Signature-Based IPS Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead. Đây là những hạn chế: Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện. Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative). Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời gian cũng như khó khăn. Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn. 4.3.2 Anomaly-Based IPS (Nhận diện bất thường) Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước. Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiện những chức năng công việc chung. Một cách điển hình , những nhóm sử dụng nên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử dụng. Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web server của mình cũng như không muốn lưu lượng SSH đến với mail server của bạn . Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên mạng của bạn. Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người dùng và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile của chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm người dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc và những mạng neural. Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.  Lợi ích của việc dùng Anomaly-Based IPS: Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công. Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi khi mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh báo. File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại hệ IPS. Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo. Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account). Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình thường. Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường. Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.  Hạn chế của việc dùng Anomaly-Based IPS: Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc sáng tạo những profile nhóm người dùng , cũng như chất lượng của những profile này.  Thời gian chuẩn bị ban đầu cao.  Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.  Thường xuyên cập nhật profile khi thói quen người dùng thay đổi. Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự tốt được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những hoạt động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công việc của người dùng hay những trách nhiệm thay đổi thường xuyên.  Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false positive bởi vì chúng thường tìm những điều khác thường.  Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường là sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những phương cách nhằm tạo profile mà thật khó hiểu và giải thích. 4.3.3 Policy-Based IPS Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.  Lợi ích của việc dùng Policy-Based IPS  Ta có thể policy cho từng thiết bị một trong hệ thống mạng.  Một trong những tính năng quan trọng của Policy-Based là xác thực và phản ứng nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi vì người quản trị hệ thống đưa các security policy tới IPS một cách chính xác nó là gì và nó có được cho phép hay không  Hạn chế của việc dùng Policy-Based IPS.  Khi đó công việc của người quản trị cực kỳ là vất vả.  Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.  Khó khăn khi quản trị từ xa. 4.3.4 Protocol Analysis-Based IPS Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.  Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không.  Kiểm tra nội dung trong Payload (pattern matching).  Thực hiện những cảnh cáo không bình thường. PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN  MÔ HÌNH CẤU TRÚC DNS: HÌNH – DNS TRƯỜNG ĐẠI HỌC HOA SEN  Mô hình đề nghị đóng góp thiết lập có hỗ trợ của Firewall Checkpoint cho trường Đại Học Hoa Sen Hình – Mô hình đề nghị cho trường Đại Học Hoa Sen Đặc điểm về sơ đồ mạng kiến nghị 1. Có hai cách thiết lập vùng DMZ: + Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ. + Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ. Mục đích khi thiết lập một vùng DMZ để tránh sự tấn công từ bên ngoài và từ trong mạng nội bộ. 2. Cấu hình Firewall bên ngòai (External) + Trong trường hợp này, chúng ta có thể sử dụng 2 loại Firewall của 2 hãng khác nhau. External là Firewall Checkpoint, Internal là Firewall của 1 hãng khác. + Trên Firewall External, nên dùng 1 NIC nối với Switch, qua Switch kết nối với 2 line của 2 nhà cung cấp khác nhau để thiết lập cơ chế cân bằng tải, tăng sự linh hoạt và đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, giữa các cơ sở Trường Hoa Sen, và người dùng có thể truy xuất Web của trường. + 1 NIC kết nối với vùng DMZ. Địa chỉ mạng IP của DMZ nên khác với mạng LAN, có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing. Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet được thực hiện tốt hơn. Ngoài ra, việc quan trọng không thể thiếu là cấu hình IPS để phát hiện và ngăn chặn những đợt tấn công từ bên ngoài. Kích hoạt tính năng bảo vệ hệ thống bằng những rule và tính năng được định nghĩa trong giao diện cấu hình tại Smart Console. Kích hoạt những tính năng đã được đề cập trong phần IPS của đề án. Chúng ta có thể phát triển thêm nếu áp dụng vào mô hình thực tế. Chú ý : Trên Firewall Checkpoint được đặt ở biên hệ thống là Firewall cứng. Trên Firewall Checkpoint chúng ta chỉ nên cấu hình những giao thức được cho phép ra vào mạng. Những vấn đề liên quan đến user sẽ do Firewall ISA đảm nhiệm. 3. Cấu hình Firewall bên trong (Internal) - Cho phép DMZ truy cập mạng cục bộ. Chúng ta có thể cấu hình rule cho phép chỉ có Server Smart Console có quyền kết nối và cấu hình các server vùng DMZ. Trong trường hợp có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Chúng ta nên tạo range Client gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập. Hình – Cấu hình rule trên Firewall Internal - Chúng ta cấu hình để các Client trong mạng chứng thực bằng Radius Server Lưu ý : Tôi xin phép được đề xuất 2 trường hợp chứng thực user - Máy Firewall không join domain, nhiệm vụ chứng thực sẽ được gửi yêu cầu đến cho RADIUS Server đảm nhiệm. - Máy Firewall join domain, dùng cơ sở dữ liệu trên domain để chứng thực user. Khi đó chúng ta không cần dựng thêm 1 Radius Server. Ở mô hình này chúng tôi đề xuất phương án dựng thêm 1 Radius Serer để tăng tính bảo mật vì Firewall được đặt ở biên hệ thống Internal, dù hacker có truy xuất đến được ISA nhưng vẫn không tìm được toàn vẹn cơ sở dữ liệu bên trong vì cơ sở dữ liệu user được đặt ở máy Domain Controller. . Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của Firewall Checkpoint cho hệ thống mạng: 1) Thiết lập các Rule, Security Policy quản lý các mạng con trong hệ thống của trường. Bảo mật hơn cho mạng wifi bằng các tính năng ngăn chặn tru nhập những website độc, và giới hạn thời gian, quyền truy nhập của Users… 2) Tính năng đáng kể IPS (Instrusion prevention systems) cần được sử dụng bảo vệ các Server hệ thống, nhằm phát hiện và ngăn chặn sự tấn công của tội phạm an ninh mạng, những tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũng như lợi dụng Website Hoa Sen để phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước WebSever, MailServer và một Module đặt tại biên hệ thống. 3) Sử dụng chức năng ISP Redundancy để đảm bảo tính sẵn sàng của hệ thống cũng như đảm bảo điều kiện kết nối Internet cho sinh viên và giảng viên nhằm tăng chất lượng dạy và học của trường. 4) Cơ chế Load Balancing cũng không kém phần quan trọng, cần được áp dụng triệt để để tăng năng suất làm việc cho các Server, đặt trưng là Server đăng ký môn học trực tuyến. Tránh tình trạng tắt nghẽn và quá tải lượng truy cập mạng. 5) Web nội bộ trường Đại Học Hoa Sen chỉ có thể được truy cập đối với những cá nhân có chức trách. Sử dụng tính năng bảo mật của Firewall Checkpoint để luôn đảm bảo sự nghiêm ngặt trong mỗi lần truy cập. PHẦN 6: TÀI LIỆU THAM KHẢO 1. CheckPoint_R70_ReleaseNotes, August 27, 2009. 2. CP_R70_Firewall_AdminGuide, March 5, 2009. 3. CP_R70_IPS_AdminGuide, 701682 March 8, 2009. 4. CP_R70_PerformancePack_AdminGuide, March 8, 2009. 5. CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009. 6. CP_R70_UserAuthority_AdminGuide, March 8, 2009.  Công cụ hỗ trợ: 1. Check_Point_SmartConsole_R75_Windows