Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của
Firewall Checkpoint cho hệ thống mạng:
1) Thiết lập các Rule, Security Policy quản lý các mạng con tron g hệ thống của trường.
Bảo mật hơn cho mạng wifi bằng các tính năng n găn chặn tru nhập những website độc,
và giới hạn thời gian, quyền truy nhập của Users
2) Tính năng đáng kể IPS ( Instrusion prevention systems) cần được sử dụng bảo vệ các
Server hệ thốn g, nhằm phát hiện và ngăn ch ặn sự tấn công của tội phạm an ninh mạn g,
nhữn g tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũng như lợi dụng
Website Hoa Sen đ ể phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước
WebSever, MailServer và một Module đặt tại biên hệ thống.
94 trang |
Chia sẻ: lylyngoc | Lượt xem: 3884 | Lượt tải: 6
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng Firewall & IPS trên checkpoint, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
tố của Secure Virtual
Network. Ví dụ như Firewall Policy, VPN client Security gateway, Network Address
Translation, Quality of Service.. Quản lý tất cả các object như user, host, network,
service…. mà nó được chia sẻ giữa các ứng dụng.
+ SmartView Tracker: được dùng để quản lý, theo dõi log và thực hiện
cảnh báo. Kiểm tra các quá trình kết nối vào server bằng thời gian thực.
Ngoài ra, SmartView Tracker cũng ghi lại các hành động của người quản trị để giúp
cho quá trình troubleshoot nhanh hơn. Nếu có sự tấn công mạng từ môi trường bên
ngoài hay bên trong thì người quản trị có thể dùng SmartView Tracker để hủy hoặc tạm
dừng các tiến trình này để theo dõi.
+ SmartView Monitor: Cung cấp chức năng theo dõi và thông báo về cho server.
+ Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau.
Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định
nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ
đồ các traffic trong network. Eventia Report cung cấp cho người dùng một giải pháp
thân thiện cho việc theo dõi và thẩm định traffic. Người admin có thể dùng
Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau
trên NGX, VPN-1 Pro, Secure Client, Smart Defense.
+ SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center
Server.
+ SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho
việc
update các software của CheckPoint.
3.1.2 Smart Center Server
Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security
Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ
vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm
các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway.
Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các policy được
tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính
sách nhóm một cách tập trung nâng cao hiệu quả.
3.1.3 Security Gateway
• Security Gateway chính là firewall machine mà ở đó NGX được cài đặt vào dựa
trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một
hay nhiều máy tính khác nhau theo mô hình client/server.
• NGX Security Gateway có thể triển khai trên một Internet Gateway và một điểm
truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được
lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra
từ những policy. Inspection Code được biên dịch ra từ script và nạp vào
Security Gateway để bảo vệ network.
3.2 Firewall Inspect Engine
Khi install trên một Security Gateway thì Inspect Engine điều khiển traffic tryền qua
lại giữa các network. Inspect Engine được load vào OS một cách tự động và nó sẽ hoạt
động giữa layer 2 và layer 3. Mô hình hoạt động khi không có Firewall Inspect Engine
như sau:
Hình 3: Mô hình hoạt động khi không có Firewall Inspect Engine
Mô hình hoạt động khi có Firewall Inspect Engine như sau:
Hình 4: Mô hình hoạt động khi có Firewall Inspect Engine
3.3 SVN FOUNDATION
Nền tảng của CHECKPOINT SVN (CPSHARED) là một hệ điều
hành của Checkpoint và CHECKPOINT SVN được tích hợp trong mỗi sản phẩm của
Checkpoint. Nền tảng của SVN bao gồm những thành phần sau:
SIC ( Secure Internal Communication)
CheckPoint Registry
CPShared Daemon
Watch Dog dùng cho critical Service
Cpconfig
License Utilities
SNMP Daemon
3.3.1 Secure Internal Communication
- Checkpoint Secure Internal Communication là một tính năng nâng cao tính
bảo mật cho network. Nó thực hiện bằng cách bảo mật quá trình quản trị giữa các thành
phần
trong Checkpoint NGX. Quá trình quản trị giữa các thành phần trong NGX bao gồm các
yếu tố sau:
Smart Center Server
Smart Console
Security Gateway
Các ứng dụng OPSEC
- Ngoài ra thì SIC cũng góp phần làm cho quá trình quản trị đơn giản hơn, giảm bớt
đi các tác vụ. Người admin chỉ cần làm một số thủ tục ban đầu đơn giản. Những lợi điểm
về vấn đề bảo mật: SIC cho phép người Security Administrator xác nhận rằng một Smart
Console nào đó đang connect đến Smart Center Server thì Smart Console đó được cho
phép đã được thẩm định có quyền hạn connect đến Smart Center Server đó. Ngoài ra SIC
cũng cho phép người administrator có thể xác nhận những chính sách bảo mật được load
trên Security Gateway là được một Smart Center Server đã được thẩm định chuyển đến.
SIC cũng bảo đảm những yếu tố thông tin đi trên đường truyền không bị thay đổi và được
bảo đảm toàn vẹn.SIC Certificate: Secure Internal Communication được dùng trong các
thành phần của Checkpoint SVN đều sử dụng certificate cho quá trình chứng thực và quá
trình mã hóa. SIC certificate được tạo ra bởi một engine của Checkpoint hay bởi những
ứng dụng OPSEC và nó được truyền qua hệ thống Checkpoint NGX. Certificate được tạo
bởi một Internal Certificate Authoriy (ICA) được cài đặt sẵn trên Smart Center Server.
ICA có nhiệm vụ là tạo ra certificate phục vụ cho quá trình truyền dữ liệu giữa các thành
phần trong hệ thống Checkpoint và được quản lý bởi Smart Center Server.
Mỗi một certificate sẽ được cấp cho một máy. VPN certificate ví dụ như certificate
dùng cho IKE dùng trong kết nối VPN thì khác so với SIC certificate. Ta không nên
nhầm lẫn giữa hai dạng certificate này. Tóm lại SIC certificate chỉ dùng để secure quá
trình truyền thông giữa các thành phần thành phần bên trong internal mà thôi. Ta hãy
xem xét quá trình hoạt
động của nó theo sơ đồ bên dưới :
Hình 6: Quá trình hoạt động của certificate trong mô hình client/server
- ICA ( Internal Certificate Authority) có nhiệm vụ tạo ra Certificate cho
Smart Center Server trong quá trình Smart Center Server được cài đặt vào Smart Center
Server trong quá trình cài đặt một cách tự động.
- Những Certificate dùng cho các NGX Security Gateway và bất kỳ quá trình trao
đổi giữa các thành phần đều được tạo ra thông qua quá trình khởi tạo đơn giản lúc ban
đầu từ Smart Console. Thông qua quá trình lúc ban đầu, ICA được tạo ra, được kí xác
nhận và phân bổ một certificate đến các thành phần giao tiếp. Mỗi module có thể thẩm
định certificate cho quá trình chứng thực.
- Quá trình liên lạc giữa Smart Center Server và các thành phần của nó được chứng
thực bằng cách sử dụng các certificate và nó còn tùy thuộc vào chính sách bảo mật được
định rõ trong file chính sách bảo mật trong mỗi máy. Quá trình liên lạc có thể xảy ra giữa
các thành phần bằng cách sử dụng Certificate thì ta phải dùng phiên bản thích hợp
và phải chấp nhận phương pháp chứng thực và mã hóa. Smart Center Server và các
thành phần của nó được định dạng bởi tên SIC của chính nó, nó cũng được
biết đến như là
Distinguished Name (tên dùng để phân biệt)
3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS
- Để thực hiện quá trình truyền thông SIC giữa Smart Center Server và
Smart
Console, thì Smart Console phải được định nghĩa giống như việc xác định thẩm quyền để
sử dụng Smart Center Server. Khi có nhu cầu sử dụng Smart Dash Board trên
Smart
Console ta cần phải thông qua một số bước như sau:
Security Administrator được yêu cầu thẩm định chính bản thân mình.
Administrator xác định địa chỉ IP của Smart Center Server.
Smart Console vào thời điểm kết nối lúc ban đầu kết nối Smart Center Server dựa
trên SSL.
Smart Center Server thẩm định địa chỉ IP đó thuộc Smart Console có thẩm quyền.
Sau đó Smart Center Server sẽ gửi một Certificate.
- Dựa trên quá trình chứng thực bằng Certificate của Smart Center Server, Secuirty
Administrator bị yêu cầu thẩm định quyền hạn Smart Center Server mà
Admin được connect đến. Quá trình thẩm định này được làm bằng cách sử dụng
fingerprint của Smart Center Server. Nó thực chất là một chuỗi text, nó đại diện cho giá
trị hash được tính toán
từ Smart Center Server Certificate. Sau đó Administrator chấp nhận giá trị thẩm định của
Smart Center Server, Administrator name và passrword được gửi về một cách bảo
mật đến Smart Center Server. Username Administrator và password được dùng tiếp
theo để nhận dạng và đê chứng thực user. Vào lần đầu tiên administrator tạo kết nối
theo dạng SIC đến một network object nào đó thì sẽ được đệ trình một certificate và quá
trình này
chỉ được làm một lần. Administrator không thể thay đổi tên các network object.
CHƯƠNG 4 : IPS
4.1 Hệ thống ngăn chăn xâm nhập(IPS):
4.1.1 Khái niệm IPS
Hệ thống xâm nhập IPS(Instrusion prevention systems) là bất kỳ một thiết bị phần
cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các nguy cơ mất an ninh
mạng.
IPS là thiết bị tích hợp IDS và hệ thống ngăn chặn nhằm khắc phục điểm yếu của
IDS. IPS gồm hai phần chính :
Phần phát hiện xâm nhập chính là IDS.
Phần ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu
lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục.
Các phương thức ngăn ngừa:
Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm
vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các
danh sách điều khiển truy nhập (access control lists).
- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử
dụng các bộ lọc gói tốc độ cao.
- Sự lạm dụng giao thức và những hành động lảng tránh những thao tác giao thức
mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits)
- Thông qua sự ráp lại thông minh.
- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP
bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.
- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết
và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. qua việc sử dụng những quy tắc
giao thức ứng dụng và chữ ký.
- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn
tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.
4.1.2 Chức năng của IPS
Ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độ mạng và
từ các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhập gồn các
thành phần chủ yếu sau:
Phát hiện và ngăn ngừa:
Nhìn bề ngoài, các giải pháp phát hiện xâm nhập và ngăn ngừa xâm nhập xuất hiện
theo kiểu cạnh tranh nhau. Về bản chất, chúng chia sẻ một danh sách các
chức năng giống nhau như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp
lại các TCP- segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng
chữ ký.
Hình – Hệ thống ghi nhận lại khi có hành động scan vào ip firewall
Phát hiện xâm nhập:
Mục đích của “phát hiện xâm nhập” là cung cấp sự giám sát, kiểm tra, tính pháp lý và
báo cáo về các hoạt động của mạng. Nó hoạt động trên các gói tin được cho phép thông
qua một thiết bị kiểm soát truy nhập. Do những hạn chế về độ tin cậy và những đe dọa
bên trong, “Ngăn ngừa Xâm nhập” phải cho phép một số “vùng xám” (gray
area) tấn công để tránh các trường hợp báo động giả. Mặt khác, những giải pháp IDS
được “nhồi”
trí thông minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập,
những khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng. Một IDS có thể thực
hiện các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng.
Hình – Hành động scan port bị phát hiện và ghi nhận bởi hệ thống IPS
Hình – Hệ thống IPS ghi nhận hành động Ping of Death (Hping)
Bản chất bị động của IDS nằm ở chỗ cung cấp sức mạnh để chỉ đạo phân tích thông
minh các lưu lượng gói tin. Những vị trí IDS này có thể nhận ra:
- Các cuộc tấn công quen biết theo đường chữ ký (singature) và các quy tắc.
- Những biến thiên trong lưu lượng và phương hướng sử dụng những quy tắc và
phân tích thống kê phức tạp.
- Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng.
- Phát hiện hoạt động bất thường có sử dung phân tích độ lệch đường
cơ sở
(baseline deviation analysis).
- Phát hiện các hoạt động đáng nghi nhờ phân tích luồng, các kỹ thuật thống kê và
phát hiện sự bất bình thường.
Ngăn ngừa xâm nhập
Các giải pháp“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu
lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục.
Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm
năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên
trong môi trường mạng. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực
hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp
“Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với:
- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm
vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các
danh sách điều khiển truy nhập (access control lists).
- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử
dụng các bộ lọc gói tốc độ cao.
- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức
mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông
qua sự ráp lại thông minh.
- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn
tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.
Hình – Hệ thống ghi nhận lại khi có tiến trình LAND attack diễn ra trên cổng IP Firewall
Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra
đều được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong các giao
thức
truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp
nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định.
4.2 Phân loại IPS
4.2.1 NIPS
NIPS (Network-based IPS) là loại IPS được dùng để lắp đặt vào mạng để ngăn chặn
sự xâm nhập từ ngoài mạng vào nội mạng.
Network IPS cung cấp các thành phần thực hiện trước mà có hiệu quả toàn diện trong
toàn bộ khung bảo mật mạng của bạn. Sự kết hợp giữa NIPS với các thành
phần như HIPS, IDS và firewall vành đai cung cấp giải pháp bảo mật phòng ngừa chiều
sâu mạnh mẽ.
Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các
switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển
mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách
trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng
dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng
cổng và
điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên
từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế
hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ.
Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và
làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở
rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị
khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể
gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này.
Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập
được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn.
Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập
mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng,
máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết
bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu
lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách
giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu
để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù
hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó
nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó
cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý.
Lợi thế của Network-Based IDSs
- Quản lý được cả một network segment (gồm nhiều host)- "Trong suốt" với người
sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng- Tránh DoS ảnh hưởng
tới một host nào đó.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
Hạn chế của Network-Based IDSs
- Có thể xảy ra trường hợp báo động giả (false positive),tức không có
intrusion mà NIDS báo là có intrusion.Không thể phân tích các traffic đã được encrypt
(vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được
phát ra, hệ thống có thể đã bị tổn hại.Không cho biết việc attack có thành
công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải
nhận tất
cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi
tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho
mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng
phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật
tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ
khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi
giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích
cỡ này thì gói
dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra
những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện
hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết
quá trình tái hợp lại cho đúng.
Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh
chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm
biến không thể sắp xếp lại những gói thông tin một cách chính xác.
4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở
Kỹ thuật ngăn chặn xâm nhập có thể dừng các đường truyền xâm nhập trước khi nó xâm
nhập vào mạng bởi việc đặt sensor ở lớp 2 thiết bị forwading (Switch) trong mạng.
Hình 5.2.3.1a: Triển khai Intrusion Prevention Sensor
NIPS có thể hủy đường truyền theo các cách sau :
Hủy một gói tin: Kiểu đơn giản nhất của NIPS bao gồm việc xác định một gói tin
khả nghi và hủy chúng. Các gói tin xấu sẽ không tới các hệ thống đích bởi thế mạng của
bạn sẽ được bảo vệ. Tuy nhiên kẻ tấn công có thể gửi lại các gói tin xấu. Đối với mỗi gói
tin IPS cần phân tích gói tin mạng và nơi mà đường truyền cho qua hay từ chối, chi phối
tài nguyên trong thiết bị IPS.
Hủy tất cả các gói tin trong kết nối: Thay vì hủy từng gói tin một, hệ thống IPS có
thể hủy toàn bộ các gói tin trong kết nối đặc biệt đối với cấu hình theo chu kỳ thời gian.
Sự kết nối được xác định tính toán các thành phần:
- Địa chỉ nguồn.
- Địa chỉ đích.
- Cổng đích.
- Cổng nguồn (không bắt buộc).
Ưu điểm của ngắt kết nối là các gói tin đến sau tính toán kết nối có thể ngắt tự động
mà không cần phân tích. Về mặt hạn chê, tuy nhiên kẻ tấn công vẫn có khả
năng gửi
đường truyền mà không cần tính toán kết nối có thể ngắt.
Hủy tất cả các đường truyền từ địa chỉ nguồn:
Cơ chế ngắt cuối cùng là ngắt tất cả các đường truyền từ địa chỉ nguồn
đặc biệt. Trong một số trường hợp, khi các gói tin khả nghi được phát hiện, nó sẽ được
ngắt, cùng
với tất cả đường truyền tương ứng với địa chỉ nguồn đối với cấu hình trong chu kỳ thời
gian. Bởi vì tất cả đường truyền từ host tấn công có thể bị ngắt trong vài phiên.Thiết bị
IPS sử dụng ít tài nguyên. Hạn chế chính là nếu kẻ tấn công có thể giả mạo địa chỉ nguồn
và giả vờ là hệ thống quan trọng như phần thương mại, nếu bắt đầu đăng ký là khả năng
lỗi và đường truyền sẽ từ chối mạng của bạn.
Lợi ích chính của việc sử dụng NIPS là ngăn chặn tấn công đảm bảo đường truyền
bình thường và thực thi các chính sách bảo mật có hiệu quả.
4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS
Sản phẩm ngăn chặn xâm nhập mạng cơ sở dùng sensor để phân tích đường truyền
mạng tại một số vị trí thông qua mạng. Các sensor này phát triển từ các kiểu nhân tố như:
Các thiết bị sensor độc lập (Standalone appliance sensors): Các thiết bị sensor độc lập
cung cấp tính linh hoạt nhất khi phát tiển sensor IPS trong mạng. Các sensor này có thể
triển khai tại hầu như nhiều vị trí trong mạng. Yếu điểm chính của thiết bị sensor là phải
tạo khoảng trống trong việc đặt sensor. Sensor 4200 series là một minh chứng.
Blade-based sensors: có thể tạo ưu thế của các thiết bị hạ tầng tồn tại khi triển khai
thiết bị IPS. Blade-based sensors không cần khoảng trống lớn để đặt và có nhiều ưu thế
của hướng đường truyền nhận từ đường đi của thiết bị hạ tầng nơi mà nó được triển khai.
Một yếu điểm của Blade-based sensors là nó có thể có giá nếu như đã tồn tại thiết bị hạ
tầngtrong mạng. Prevention Security Service Module (AIP-SSM).
Phần mềm Intrusion Prevention System (IPS) tích hợp trong hệ điều hành (OS) trong
thiết bị hạ tầng: Khi mà phần mềm IPS được tích hợp trong thiết bị hệ tầng
đang tồn tại.Các chức năng được cung cấp thường được so sánh với Blade-based
sensors bởi vì thiết bị hạ tầng mang lại nhiều tránh nhiệm và đáp ứng. Sự phụ thuộc
vào môi trường mạng nó làm giảm nhiều chức năng không phải là vấn đề.
Không quan tâm đến các tác nhân trong mạng, sensor phải nhận được đường truyền
mạng mà cần được phân tích. Việc bắt đường truyền biến đổi phụ thuôc vào nơi mà bạn
sử dụng mode inline hay mode ngẫu nhiên. Sau khi bắt được đường truyền,
sensor sẽ phân tích đường truyền phân theo các kiểu đường chữ ký sử dụng trong
đường truyền mạng.
Kết quả phân tích đường truyền thực hiện bởi các sensors IPS được dùng để kiểm tra
thông qua bảng hiển thị kiểm soát. Giống như các ứng dụng kiểm soát có thể cấu hình có
hiệu quả đối với số lượng lớn các sensors IPS trong mạng. Việc quản lý sensor IPS thông
qua hai kiểu: Triển khai sensor nhỏ và triển khai sensor rộng lớn.
4.2.2 HIPS
Hệ thống phát hiện xâm nhập HIPS là một loại kỹ thuật tương đối mới trong thị
trường bảo mật. Ngay từ ngày đầu, nó đã có nhiều lợi ích được chấp thuận và sự sử dụng
và được dự đoán là sẽ phát triển nhanh chóng trong tương lai. Mặc dù có được lợi thế đó,
song loại thiết bị này không được xác định rõ ràng hơn các kỹ thuật được thiết lập như
firewall và antivirus. Các tài liệu kỹ thuật còn mơ hồ, các thuật ngữ mơ hồ và sự phát
triển sản phẩm nhanh chóng làm đảo lộn thị trường tới điểm mà thật là khó để xác định
các sản phẩm thực sự là hệ thống phát hiện xâm nhập HIPS (Host Intrusion Prevention
Systems).
HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều
so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như
các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh
hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host
được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm. HIDS ưu
việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả
mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh
mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm
hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.
4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)
Ngăn chặn các tác động có hại: Một HIPS phải có khả năng làm nhiều hơn việc
cảnh báo hay tác động vào khi các đoạn mã nguy hiểm tấn công tới các host. Nó sẽ
phải có hành động ngắt các tác động của các đoạn mã nguy hiểm. Nếu các hành động
này được ngăn chặn các tấn công sẽ thất bại. HIPS cũng có thể giữ việc truy nhập
và
có khả năng cảnh báo bởi thế mà người dùng sẽ biết HIPS làm gì nhưng với các yêu
cầu khác nhau làm cho HIPS cũng có khả năng mang lại các tác động.
Không phá vỡ các hoạt động bình thường: Một cách khác bảo vệ các host là gỡ nó
ra khỏi mạng. Không kết nối nó với mạng sẽ tạo ra sự bảo vệ nó tốt hơn nhưng host lại
lấy đi ở nó sự đáp ứng các dịch vụ thương mại trong mạng. Ngắt kết nối không phải là
cách bảo mật thường dùng bởi vì nó cũng ngắt các hoạt động bình thường.
Phân biệt giữa trạng thái tấn công và trạng thái bình thường: Sản phẩm HIPS phải
đủ xác thực để xác định đúng đắn đâu là trạng thái bị tấn công và đâu là trạng thái bình
thường để từ đó mới phát hiện ra lỗi hay các cuộc tấn công kịp thời ngăn chặn.
Dừng các tấn công mới và các tấn công không biết: Với mỗi nguy hại và tấn công
mới bạn sẽ phải cần update hay xử lý cấu hình lại. Sản phẩm HIPS phải có khả năng
dừng các tấn công mới và các tấn công không biết mà không cần cấu
hình lại hay update đây là cách mà sản phẩm HIPS dừng các tấn công.
Bảo vệ ngăn chặn các lỗ hổng của các ứng dụng được cho phép: Bằng một vài dấu
hiệu, HIPS phải không cho phép các ứng dụng được cho phép bị làm hại bởi các kẻ tấn
công. Tuy vậy sản phẩm HIPS cũng có khả năng bảo vệ ngăn chặn các lỗ hổng của các
ứng dụng được cho phép.
Ngoài ra HIPS còn có các lợi ích khác như :
Ngăn chặn các tấn công có hại.
Sửa chữa đường dẫn.
Ngăn chặn sự nhân các tấn công nội bộ.
Đưa ra các chính sách có hiệu lực.
Điều chỉnh các yêu cầu.
Tuy nhiên HIPS cũng có những yếu điểm đó là không tương thích với tất cả các công
việc nó chỉ là phần triển khai các phòng ngừa chiều sâu và có những yếu điểm sau:
Vấn đề về xáo trộn người dùng.
Thiếu việc đưa thông tin hoàn thành.
Các tấn công không nhằm vào các host.
4.2.2b Các thành phần của HIPS:
Sản phẩm HIPS có hai thành phần cơ bản:
4.2.2.1 Gói phần mềm để cài đặt tại điểm cuối
Dùng để bảo vệ nó còn gọi là client hay agent.Về bản chất HIPS agents cũng ứng dụng
xử lý điều khiển truy nhập giống như vậy tới các máy tính. Sự xử lý này được tác động khi
hoạt đỗngyar ra trong hệ thống và có thể chia theo các phase dưới đây:
Nhận dạng kiểu tài nguyên được phép truy nhập: Các angets nhận dạng nguồn tài
nguyên được truy nhập. Các nhận dạng nguồn tài nguyên chung bao gồm: tài
nguyên mạng, bộ nhớ, thực thi ứng dụng, cấu hình hệ thống.
Thu thập dữ liệu về hoạt động: Sản phẩm HIPS thu thậm dữ liệu dùng một hay
nhiều cách thức: sự biến đổi nhân, sự chặn hệ thống cuộc gọi, các hệ điều hành ảo, các
phân tích đường truyền mạng,
xác định trạng thái của hệ thống: các trạng thái hệ thống bao gồm: location, user,
system.
Tham khảo các chính sách bảo mật: Dữ liệu sẽ tập hợp về sự tấn công tài nguyên
truy nhập và trạng thái hệ thống được so sánh một hay nhiều chính sách sau:
1. Anomaly-based
2. Atomic rule-based
3. Pattern-based
4. Behavioral
5. Access control matrix
Thực thi tác động: Đó là các trạng thái: cho phép truy nhập vào mạng hay từ chối
truy nhập, trong thái nhập vào (log state), hủy gói tin, tắt máy chủ và truy vấn
người
dùng.
Hình 5.2.3.2 : Xử lý điều khiển truy nhập.
4.2.2.2 Hạ tầng quản lý để quản lý các agents này
HIPS agents mà có thể có một giao diện sử dụng tốt và đôi khi hoạt động không cùng
kiểu quản lý trung tâm. Tuy nhiên các lớp hoạt động HIPS yêu cầu một hạ tầng quản lý.
Kiểu đặc trưng, hạ tầng bao gồm trung tâm quản lý hay điểm đầu cuối và giao diện được
dùng để truy nhập vào các trạm quản lý.
1. Trung tâm quản lý:
Trung tâm quản lý gồm 3 thành phần cơ bản. Thành phần đầu tiên đó là cơ sở dữ
liệu nơi mà lưu trữ các trạng thái, chính sách, agent và các dữ liệu cấu
hình khác. Thành phần thứ hai đó là khả năng trình bày trạng thái. Thành phần cuối
cùng đó là chính sách quản lý. Chúng phụ thuộc vào mô hình quản lý mỗi thành
phần được cài
đặt trên các thành phần vật lý khác nhau.
Cơ sở dữ liệu là thành phần quan trọng nhất của trung tâm quản lý. Nó là nơi lưu
tất cả các thông tin chính sách. Nó phải đủ mạnh để hỗ trợ các agents sử dụng nó mà
không cần xâm nhập và bảo vệ đủ để chống lại kẻ tấn công. Đó là lý do mà tất cả các
công ty hoạt động cần phải có nhiều các kiểu cơ sở dữ liệu hoạt động như SQL hay
ORACLE
Điều khiển cảnh báo và trạng thái đó là điều khiển sự phân chia các trạng thái ở
các trạm quản lý và bao gồm trạng thái mang và phát sinh cảnh báo.Nhờ hai trạnh thái
này mà chúng ta biết được tình trạnh mạng hoạt động ra sao, có xâm nhập hai không.
Quản lý chính sách: đó là việc chỉnh sửa các chính sách, các chính sách bảo mật
thực thi thông qua thời gian trong các đáp ứng môi trường và thay đổi trong quan hệ
bảo mật. Vì vậy cần chỉnh sửa chúng cho phù hợp với sự phân phối
chúng tới các agents.
2. Giao diện quản lý:
Công cụ quản lý HIPS được dùng tương tác với trung tâm quản lý được gọi là giao
diện sử dụng và có hai kiểu: được cài đặt trên giao diện người sử dụng client và giao diện
web. Mặc dù giao diện người dùng thường có nhiều chức năng hơn, giao diện web thích
ứng tốt hơn với nhà quản lý từ xa. Trong cả hai trường hợp sự giao tiếp giữa giao diện
quản lý và trung tâm quản lý cũng được bảo vệ một các cẩn thận như sự giao tiếp giữa
gents và MC.
Lợi thế của HIDS:
- Có khả năng xác đinh user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có
khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành
công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS.
- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên
UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất
cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên
bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và
là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu
lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công
thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm
máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét
ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa
hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ
đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ
khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn
đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi
chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ
điều hành.
Phân tích so sánh giữa HIDS và NIDS:
Vấn đề dùng NIDS hay HIDS:
Nên dử dụng HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi
quản lý một giải pháp HIDS yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó
NIDS lại yêu cầu nhiều đến sự quan tâm của người quản trị.
Tuy nhiên nếu cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó
còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS
không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận
thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút
phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS
với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy
tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định
an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn.
IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ
có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần
thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi
cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn
rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu
có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề
thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với
HIDS.
4.3 Công nghệ ngăn chặn xâm nhập IPS
4.3.1 Signature - Based IPS (Nhận diện dấu hiệu)
Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu
biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu
biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dò
tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng
của mình. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu
hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là
một cuộc tấn
công.
Hình - Một Signature based IDS
- Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, IPS đi lên từ nền
tảng của IDS và cách thức phát hiện các đợt tấn công cũng tương tự nhau.
Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng
của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads.
Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong
một ngữ cảnh nào đó.
Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt
động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm
ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu.
Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám
phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu,
giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản
cập nhật cho phần mềm của họ.
Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng. Nếu
có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống
IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.
Lợi ích của việc dùng Signature-Based IPS
Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được
biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện
sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện
sự bất
thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm
những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương
xứng đối với bất kỳ dấu hiệu nào đã được định dạng.
Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những
mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay
lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và
bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho
phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động
ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử
dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường.
File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được
tương xứng cho một tín hiêu cảnh báo. Người quản trị bảo mật có thể có thể bật những
dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo
nào không.
Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những
khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.
Những hạn chế của Signature-Based IPS
Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn
chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn
này trở thành cái giá phải trả cho sự mất mát những chức năng
và overhead. Đây là những hạn chế:
Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống
IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể
nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được biết hay khám
phá trước đây thường sẽ không bị phát hiện.
Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những
file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa
trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện
cuộc xâm nhập mà không bị phát hiện(false negative).
Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật
là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời
gian cũng như khó khăn.
Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ cảm
biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin
trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn.
4.3.2 Anomaly-Based IPS (Nhận diện bất thường)
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng
máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường,
một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi
khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm
những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu
lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường
bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group
profiles). Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động
cũng như những lưu lượng mạng trên một nhóm người dùng cho trước.
Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiện
những chức năng công việc chung. Một cách điển hình , những nhóm sử dụng nên được
chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử
dụng. Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự
như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web
server của mình cũng như không muốn lưu lượng SSH đến với mail server của bạn . Chính vì
lý
do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên
mạng của bạn.
Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người dùng
và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile
của chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm người
dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc và những
mạng neural. Mỗi profile được sử dụng như là định nghĩa cho người sử dụng
thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì
họ đã định nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.
Lợi ích của việc dùng Anomaly-Based IPS:
Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát
sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện
những cuộc tấn công.
Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi khi
mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm nhập có thể
kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh báo.
File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử
dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh
báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại
hệ IPS.
Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng
trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo.
Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử
dụng tài khoản người dùng bị thỏa hiệp (compromised user account).
Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi
hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh báo miễn
là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình
thường.
Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên
một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile
có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt
động bình
thường.
Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù
hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây
miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử
dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không
phát hiện được.
Hạn chế của việc dùng Anomaly-Based IPS:
Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc
sáng tạo những profile nhóm người dùng , cũng như chất lượng của những profile này.
Thời gian chuẩn bị ban đầu cao.
Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.
Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự tốt
được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những
hoạt
động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công việc của
người dùng hay những trách nhiệm thay đổi thường xuyên.
Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false
positive bởi vì chúng thường tìm những điều khác thường.
Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường
là sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những
phương cách nhằm tạo profile mà thật khó hiểu và giải thích.
4.3.3 Policy-Based IPS
Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của
một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một
hoặc nhiều phương thức được ưu chuộng để ngăn chặn.
Lợi ích của việc dùng Policy-Based IPS
Ta có thể policy cho từng thiết bị một trong hệ thống mạng.
Một trong những tính năng quan trọng của Policy-Based là xác thực và phản
ứng nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận
được bởi vì người quản trị hệ thống đưa các security policy tới IPS một cách
chính xác
nó là gì và nó có được cho phép hay không
Hạn chế của việc dùng Policy-Based IPS.
Khi đó công việc của người quản trị cực kỳ là vất vả.
Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.
Khó khăn khi quản trị từ xa.
4.3.4 Protocol Analysis-Based IPS
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì
cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các
giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương
trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu
giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol
Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.
Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không.
Kiểm tra nội dung trong Payload (pattern matching).
Thực hiện những cảnh cáo không bình thường.
PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC
HOA SEN
MÔ HÌNH CẤU TRÚC DNS:
HÌNH – DNS TRƯỜNG ĐẠI HỌC HOA SEN
Mô hình đề nghị đóng góp thiết lập có hỗ trợ của Firewall Checkpoint cho
trường Đại Học Hoa Sen
Hình – Mô hình đề nghị cho trường Đại Học Hoa Sen
Đặc điểm về sơ đồ mạng kiến nghị
1. Có hai cách thiết lập vùng DMZ:
+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra
các luồng thông tin vào mạng cục bộ.
+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời
với mạng cục bộ.
Mục đích khi thiết lập một vùng DMZ để tránh sự tấn công từ bên ngoài và từ
trong mạng nội bộ.
2. Cấu hình Firewall bên ngòai (External)
+ Trong trường hợp này, chúng ta có thể sử dụng 2 loại Firewall của 2 hãng khác nhau.
External là Firewall Checkpoint, Internal là Firewall của 1 hãng khác.
+ Trên Firewall External, nên dùng 1 NIC nối với Switch, qua Switch kết nối với 2
line của 2 nhà cung cấp khác nhau để thiết lập cơ chế cân bằng tải, tăng sự linh hoạt và
đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, giữa các cơ sở Trường Hoa
Sen, và người dùng có thể truy xuất Web của trường.
+ 1 NIC kết nối với vùng DMZ. Địa chỉ mạng IP của DMZ nên khác với mạng LAN, có
thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.
Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp
bảo vệ lưu lượng Internet được thực hiện tốt hơn.
Ngoài ra, việc quan trọng không thể thiếu là cấu hình IPS để phát hiện và ngăn
chặn những đợt tấn công từ bên ngoài. Kích hoạt tính năng bảo vệ hệ thống bằng những
rule
và tính năng được định nghĩa trong giao diện cấu hình tại Smart Console.
Kích hoạt những tính năng đã được đề cập trong phần IPS của đề án. Chúng ta có thể
phát triển thêm nếu áp dụng vào mô hình thực tế.
Chú ý : Trên Firewall Checkpoint được đặt ở biên hệ thống là Firewall
cứng. Trên Firewall Checkpoint chúng ta chỉ nên cấu hình những giao thức được cho
phép ra vào mạng. Những vấn đề liên quan đến user sẽ do Firewall ISA đảm nhiệm.
3. Cấu hình Firewall bên trong (Internal)
- Cho phép DMZ truy cập mạng cục bộ. Chúng ta có thể cấu hình rule cho phép chỉ
có Server Smart Console có quyền kết nối và cấu hình các server vùng DMZ. Trong
trường hợp có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Chúng
ta nên
tạo range Client gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client
được thiết lập truy cập.
Hình – Cấu hình rule trên Firewall Internal
- Chúng ta cấu hình để các Client trong mạng chứng thực bằng Radius Server
Lưu ý : Tôi xin phép được đề xuất 2 trường hợp chứng thực user
- Máy Firewall không join domain, nhiệm vụ chứng thực sẽ được gửi yêu cầu đến
cho RADIUS Server đảm nhiệm.
- Máy Firewall join domain, dùng cơ sở dữ liệu trên domain để chứng thực user. Khi
đó chúng ta không cần dựng thêm 1 Radius Server.
Ở mô hình này chúng tôi đề xuất phương án dựng thêm 1 Radius Serer để tăng tính bảo
mật vì Firewall được đặt ở biên hệ thống Internal, dù hacker có truy xuất đến được ISA
nhưng vẫn không tìm được toàn vẹn cơ sở dữ liệu bên trong vì cơ sở dữ liệu user
được đặt ở máy Domain Controller.
.
Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của
Firewall Checkpoint cho hệ thống mạng:
1) Thiết lập các Rule, Security Policy quản lý các mạng con trong hệ thống của trường.
Bảo mật hơn cho mạng wifi bằng các tính năng ngăn chặn tru nhập những website độc,
và giới hạn thời gian, quyền truy nhập của Users…
2) Tính năng đáng kể IPS (Instrusion prevention systems) cần được sử dụng bảo vệ các
Server hệ thống, nhằm phát hiện và ngăn chặn sự tấn công của tội phạm an ninh mạng,
những tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũng như lợi dụng
Website Hoa Sen để phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước
WebSever, MailServer và một Module đặt tại biên hệ thống.
3) Sử dụng chức năng ISP Redundancy để đảm bảo tính sẵn sàng của hệ thống
cũng như đảm bảo điều kiện kết nối Internet cho sinh viên và giảng viên nhằm tăng chất
lượng dạy và học của trường.
4) Cơ chế Load Balancing cũng không kém phần quan trọng, cần được áp dụng triệt để
để tăng năng suất làm việc cho các Server, đặt trưng là Server đăng ký môn học trực
tuyến. Tránh tình trạng tắt nghẽn và quá tải lượng truy cập mạng.
5) Web nội bộ trường Đại Học Hoa Sen chỉ có thể được truy cập đối với những cá nhân
có chức trách. Sử dụng tính năng bảo mật của Firewall Checkpoint để luôn đảm bảo sự
nghiêm ngặt trong mỗi lần truy cập.
PHẦN 6: TÀI LIỆU THAM KHẢO
1. CheckPoint_R70_ReleaseNotes, August 27, 2009.
2. CP_R70_Firewall_AdminGuide, March 5, 2009.
3. CP_R70_IPS_AdminGuide, 701682 March 8, 2009.
4. CP_R70_PerformancePack_AdminGuide, March 8, 2009.
5. CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009.
6. CP_R70_UserAuthority_AdminGuide, March 8, 2009.
Công cụ hỗ trợ:
1. Check_Point_SmartConsole_R75_Windows
Các file đính kèm theo tài liệu này:
- 08_xaydungfirewallipatrencheckpoint_0156.pdf