SLIDE XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP DỰA TRÊN SURICATA
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.07 MB, 18 trang )
Xây dựng hệ thống phát hiện và chống xâm nhập trái
phép cho mạng cơ sở 1, dựa trên Suricata
PHẦN 1
TỔNG QUAN VỀ HỆ THỐNG
PHÁT HIỆN XÂM NHẬP IDS/IPS
PHẦN 2
PHẦN 3
TỔNG QUAN VỀ
SURICATA
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
VÀ CHỐNG XÂM NHẬP TRÁI PHÉP
2
TỔNG QUAN VỀ HỆ
THỐNG PHÁT HIỆN XÂM
NHẬP IDS/IPS
Your Company Name
3
Chức năng của hệ thống phát hiện xâm nhập IDS
Your Company Name
4
Chức năng mở rộng của
IDS
Phân biệt các cuộc tấn công
từ trong hoặc từ bên ngoài:
nó có thể phân biệt được
đâu là những truy cập hợp
lệ (hoặc không hợp lệ) từ
bên trong và đâu là cuộc
tấn công từ bên ngoài
Your Company Name
Phát hiện: dựa vào so sánh
lưu lượng mạng hiện tại với
baseline, IDS có thể phát
hiện ra những dấu hiệu bất
thường và đưa ra các cảnh
báo và bảo vệ ban đầu cho
hệ thống
5
Phân Loại IDS
Network-based IDS (NIDS)
Sử dụng dữ liệu trên toàn bộ lưu
thông mạng cùng dữ liệu kiểm tra từ
một hoặc một vài máy trạm để phát
hiện xâm nhập
Host-based IDS (HIDS)
Sử dụng dữ liệu kiểm tra tự một máy
trạm đơn để phát hiện xâm nhập
Your Company Name
6
Chức năng của hệ thống phát hiện xâm nhập IPS
Chức năng chính của IPS là
xác định các hoạt động nguy
hại, lưu giữ các thông tin này.
Sau đó kết hợp với firewall để
dừng ngay các hoạt động này,
và cuối cùng đưa ra các báo
cáo chi tiết về các hoạt động
xâm nhập trái phép trên.
Your Company Name
Hệ thống IPS được xem là trường
hợp mở rộng của hệ thống
IDS, cách thức hoạt động cũng
như đặc điểm của 2 hệ thống này
tương tự nhau. Điểm khác nhau
duy nhất là hệ thống IPS ngoài
khả năng theo dõi, giám sát thì
còn có chức năng ngăn chặn kịp
thời các hoạt động nguy hại đối
với hệ thống. Hệ thống IPS sử
dụng tập luật tương tự như hệ
thống IDS.
7
NIPS – Network-based Intrusion
Prevention
- Hệ thống ngăn ngừa xâm nhập
mạng thường được triển khai trước
hoặc sau firewall.
- Khi triển khai IPS trước firewall là có
thể bảo vệ được toàn bộ hệ thống bên
trong kể cả firewall, vùng DMZ. Có thể
giảm thiểu nguy cơ bị tấn công từ chối
dịch vụ đồi với firewall.
- Khi triển khai IPS sau firewall có thể
phòng tránh được một số kiểu tấn công
thông qua khai thác điểm yếu trên các
thiết bị di động sử dụng VPN để kết nối
vào bên trong.
Your Company Name
Phân Loại IPS
HIPS – Host-based Intrusion
Prevention
- Hệ thống ngăn ngừa xâm nhập
host thường được triển khai với mục
đích phát hiện và ngăn chặn kịp thời
các hoạt động thâm nhập trên các host.
- Để có thể ngăn chặn ngay các tấn
công, HIPS sử dụng công nghệ tương
tự như các giải pháp antivirus.
- Ngoài khả năng phát hiện ngăn ngừa
các hoạt động thâm nhập, HIPS còn có
khả năng phát hiện sự thay đổi các tập
tin cấu hình.
8
TỔNG QUAN VỀ SURICATA
Your Company Name
9
Tính năng chính của suricata
Khả năng xử lý đa
luồng
Your Company Name
Khả năng định danh
giao thức
Khả năng định danh
tập tin bằng MD5 và
trích xuất tập tin
10
Khả năng xử lý đa luồng
Khả năng xử lý đa luồng (Multi threading)
là một tính năng mới đối với IDS, một
hoặc nhiều luồng gói tin cũng được xử lý.
Luồng sử dụng một hoặc nhiều mô-đun
thread để xử lý các công việc trên. Luồng
có hàng đợi xử lý đầu vào và hàng đợi xử
lý đầu ra. Chúng được sử dụng để lấy gói
tin từ luồng khác hoặc từ một bộ nhớ
chung. Một luồng có thể được đặt ở trong
một nhân của CPU. Mô-đun thread được
lưu trữ trong kiến trúc Threadvars
Your Company Name
11
Khả năng định danh giao thức
Suricata có khả năng tự động nhận
dạng các đặc trưng của các giao thức
phổ biến, từ đó giúp người viết luật
phát hiện linh động hơn khi tạo luật
dựa trên lưu lượng của mạng hơn là
đặc tính cổng của giao thức.
Your Company Name
Điều này làm giảm sự phức tạp của
các luật trong quá trình viết và gia
tăng sự phát hiện các dấu hiệu của
mã độc và điều khiển lưu lượng dễ
dàng hơn.
12
Khả năng định danh tập tin bằng MD5 và trích xuất
tập tin
Suricata có thể định danh hàng
nghìn loại tệp tin trong quá trình
truyền qua mạng mà nó giám sát.
Nếu muốn tìm hiểu sâu hơn một tệp
tin nào đó người quản trị có thể đánh
dasu để trích xuất xuống máy tính
dưới dạng sieeu dữ liệu được miêu
tả trong hoàn cảnh chặn bắt.
Your Company Name
Ngoài ra Suricata còn có khả năng
tính toán giá trị kiểm tra MD5 của
tệp tin trong quá trình nó giám sát.
Tính năng này giúp hệ thống có thể
kiểm tra tính toàn vẹn của tệp tin
nào đó bằng các so sánh giá trị băm
với danh sách bản băm MD5 cung
cấp trước.
13
Kiến trúc của Suricata
Your Company Name
14
Tập luật trong Suricata
Phần Header chứa
thông tin về hành
động mà luật đó sẽ
thực hiện khi phát
hiện ra có xâm nhập
nằm trong gói tin và
nó cũng chứa các tiêu
chuẩn để áp dụng
luật với gói tin đó.
Your Company Name
Phần Option chứa một thông điệp cảnh
báo và các thông tin về các phần của gói
tin dùng để tạo nên cảnh báo. Phần Option
chứa các tiêu chuẩn phụ thêm để đối sánh
luật với gói tin. Một luật có thể phát hiện
được một hay nhiều hoạt động thăm dò
hay tấn công. Các phát hiện được một hay
nhiều hoạt động thăm dò hay tấn công.
Các luật thông minh có khả năng áp dụng
cho nhiều dấu hiệu xâm nhập.
15
Rule Header
Là phần
quy định
loại hành
động nào
được thực
thi khi các
dấu hiệu
của gói tin
được nhận
dạng chính
xác bằng
luật đó
Là phần quy
định việc áp
dụng luật
cho các gói
tin chỉ thuộc
một giao
thức cụ thể
nào đó. Ví
dụ như IP,
TCP, UDP,
…
Your Company Name
Là phần địa chỉ ngưồn
định các
và địa chỉ đích. Xác
Các địa
chỉ có thể là mộtcổng
máy nguồn
đơn, nhiều máy và
hoặcđích của
của một mạng nào
mộtđó.gói tin
Trong hai phần mà
địa chỉ
trên đó
trên thì một sẽ là địa
luật được áp
chỉ nguồn, một sẽ là
dụng.
địa chỉ đích và địa
chỉ
Phần này sẽ
chỉ ra đâu là
địa chỉ nguồn,
đâu là địa chỉ
đích.
nào thuộc loại nào sẽ
do phần Direction quy
định.
16
So sánh Suricata và Snort
Your Company Name
17
XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP
Your Company Name
18
