Monday , 20 February 2017
Home » Bảo Mật » Hệ thống chống xâm nhập

Hệ thống chống xâm nhập

Xem thêm:

Reset mật khẩu CENTOS

Cài đặt Snort trên CENTOS

Hệ thống chống xâm nhập

  Một trong những giải pháp bảo vệ hệ thống mạng của bạn là triển khai hệ thống dò tìm xâm nhập trái phép – Instruction Detect System (IDS). Với IDS các nhà Quản trị mạng hay Chuyên gia bảo mật hệ thống sẽ nâng cao hơn khả năng an toàn thông tin cho mạng máy tính của mình, biết được khi nào hệ thống đang bị tấn công hay có kẻ xấu đang tiến hành các hoạt động khả nghi để đưa ra được giải pháp hiệu quả, nhanh chóng.

1.1) IDS là gì ?IDS topology

 

-IDS (intrusion detection system) là  hệ thống phát hiện xâm nhập nhằm phát hiện các cuộc tấn công vào máy tính hoặc các máy tính trong mạng.

Hệ thống luôn lắng nghe thông tin trên đường truyền nhằm phát hiện gói tin dựa vào các dấu hiệu trong nội dung gói tin, hoặc sự bất thường trong traffic của mạng. Khi phát hiện hệ thống sẽ cảnh báo tới người quản trị hoặc ra hiệu cho hệ thống khác xử lý tiếp.

-Những hiểu lầm về IDS:

Có rất nhiều hiểu lầm một hệ thống IDS với một số thiết bị bảo mật mật khác ,IDS không phải là :

+Hệ thống kiểm tra lưu lượng mạng thường được sử dụng để phát hiện các cuộc tấn công DOS.

+Các bộ quét bảo mật nhằm tìm ra các lỗ hổng bảo mật trong mạng

+Tường lửa.

1.3) Nhiệm vụ của hệ thống IDS

-Nhiệm vụ chính của nó là phát hiện các cuộc tán công

+Để phát hiện các cuộc tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp.

+Ngăn chặn xâm phạm tốt cần kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mỗi đe doạ.

+Làm lệch hướng sự tập trung của kẻ xâm nhập vào các tài nguyên trên mạng cũng là một nhiệm vụ quan trọng.

1.4). Quá trình hoạt động của IDS

+Sau khi phát hiện xâm nhập IDS đưa ra cảnh báo đến quản trị viên

+Tuỳ vào mức độ IDS có thể tự động đưa ra các hành động đối với các xâm phạm trái phép.

1.5) Phân loại hệ thống phát hiện xâm nhập

IDS sử dụng hai kĩ thuật để phát hiện xâm nhập đó là phát hiện hành vi và phát hiện dấu hiệu để xác nhận các cuộc tấn công.Từ đó có các loại IDS sau:

-HIDS (Host intrusion detection system): dùng trên các máy riêng lẻ

hids

-NIDS(Network intrusion detection system):Không chỉ cài trên máy mà nó hỗ trợ nhiều thiết bị trong mạng.

NIDS

-NNIDS (Network node Intrusion detection system): Kết hợp giữa HIDS và NIDS.

II. Giới thiệu IDS mã nguồn mở Snort (https://www.snort.org)

Có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và SNORT có thể đáp ứng rất tốt cả hai yêu cầu này. Đó là một phần mềm mà ta có thể tải về và sử dụng miễn phí theo các quy tắc GPL, cho nên yếu tố về chi phí hoàn toàn có thể yên tâm.  Ngoài ra SNORT còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật Snort Rules một cách nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu cầu của mình. Vì vậy SNORT là phần mềm IDS mạnh mẽ và được yêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm nhập.

Snort có 4 chế độ họat dộng khác nhau đó là:

+ Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị.

+Packet Logger mode : lưu trữ các gói tin trong các tập tin log.

+ Network instruction detect system (NIDS) : đây là chế  hoạt động mạnh mẽ và được áp dụng nhiều nhất, khi hoạt động ở NIDS mode Snort sẽ phân tích các gói tin luân chuyển trên mạng và so sánh với các thông tin được định nghĩa của người dùng để từ đó có những hành động tương ứng như thông báo cho quản trị mạng khi xảy ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh báo virus..

+ Inline mode: khi triển khai snort trên linux thì chúng ta có thể cấu hình snort để phân tích các gói tin từ iptables thay vì Libpcap do đó Iptable có thể drop hoặc pass các gói tin theo snort rule.

Phần tới sẽ giới thiệu đầy đủ các thành phần của SNORT

Lượt xem (4672)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

ma-doc-hack-facebook-01-1

Cảnh báo bị hack nick bằng tag tên trên Facebook và cách khắc phục

Theo ghi nhận thì trong hôm nay 15/11 có một số bạn đã báo cáo …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *