Có thể bạn đã biết Hệ thống IPS (Intrusion Prevention System) là một hệ thống ngăn chặn xâm nhập, nhưng thực sự để hiểu sâu về nó thì hãy theo dõi bài viết dưới đây của mình để biết được IPS phát hiện và ngăn chặn các tấn công, xâm nhập từ bên ngoài như thế nào nhé!
Hệ thống IPS là gì?
Về cơ bản, hệ thống IPS có thể là phần mềm (software), phần cứng (hardware) hoặc cả hai. Nó có khả năng phát hiện xâm nhập, ngăn chặn nguy cơ gây mất an toàn cho mạng hoặc một hệ thống mạng. Cụ thể nó có khả năng chụp lại (capture) sau đó phân tích (analyze) lưu lượng mạng để phát hiện và ngăn chặn các tấn công.
Phân loại IPS
- Host IPS
- Network IPS
Host IPS (HIPS)
Host-based intrusion Prevention system (HIPS) là một phần mềm được cài trên máy chủ hoặc máy trạm. Trong các tổ chức, người quản trị chỉ cài HIPS trên các máy cần thiết.
VD: Nếu tổ chức lo ngại về một vài server mà chứa dữ liệu mật có nguy cơ cao bị tấn công, thì có thể cài HIPS như một lớp bảo vệ thêm cho máy chủ song hành cùng các giải pháp khác, giúp phát hiện được các mối đe dọa trong mạng LAN của tổ chức.
Network IPS (NIPS)
Network-based intrusion prevention system (NIPS) giám sát (monitor) và chặn (block) các hành động (activity) bất thường trên mạng. Người quản trị cài đặt các NIDS sensor hoặc collectors trên các trên hoặc ở giữa các thiết bị mạng như routers (thiết bị định tuyến) và firewalls (tường lửa).
NIPS không thể phát hiện bất thường trên các hệ thống riêng lẻ hay máy trạm trừ khi sự bất thường này gây ra những thay đổi đáng kể trong traffic mạng. NIPS cũng không thể giải mã các traffic được mã hóa. Nói cách khác thì nó chỉ có thể theo dõi và chặn với các mối đe dọa trên mạng từ các traffic không bị mã hóa hay dạng clear text.
So sánh HIPS và NIPS
| Đặc điểm | HIPS | NIPS |
| Triển khai | Cài đặt trên Server & Máy chủ | Nằm trên hệ thống mạng hoặc span traffic từ các thiết bị mạng như Router, Switch |
| Khả năng | Monitor and block trên từng server & máy chủ | Không thể monitor các traffic bị mã hóa |
Phương pháp phát hiện mối đe dọa của IPS
Phát hiện dựa vào Signature: là một database về các mối đe dọa
- Phát hiện các mối đe dọa đã biết
Phát hiện dựa vào sự bất thường: Thiết lập một baseline, các action khác baseline này được coi là bất thường
- Phát hiện các bất thường chưa biết trước đó.
Ví dụ: SYN Flood Attack (steal attack) – Attacker chỉ gửi gói SYN và không gửi lại gói tin ACK làm server tốn tài nguyên để duy trì kết nối. Khi kết nối quá nhiêu dẫn đến server bị cash do quá tải hoặc chặn các kết nối.
False Positive & False Negative
False Positive:
- Phát hiện nhầm mối đe dọa
- Cảnh báo hoặc block một event vô hại
False Negative
- Không phát hiện được mối đe dọa
Mô hình triển khai IPS
Có 3 mô hình có thể triển khai một hệ thống IPS: Span port mode, TAP mode, Inline mode
Span port mode: Cấu hình trên thiết bị chuyển mạch lõi (switch) để thu được lưu lượng trong mạng.
Ưu điểm: Không tác động vào hạ tầng mạng hiện tại của tổ chức.
Nhược điểm:
- SPAN là half-duplex
- Bị giới hạn số SPAN ports
- SPAN Port không thể xủ lý traffic vượt quá khả năng của SPAN Port
Tap mode: sử dụng thiết bị chuyên dụng (TAP) để thu thập traffic trong mạng.
Ưu điểm:
- Monitor Uplinks passively
- Không có độ trễ
- Không cần SPAN Ports
Inline mode: lắp đặt ngay trên đường truyền để thu thập traffic
Nhược điểm: Làm thay đổi cấu trúc mạng của tổ chức
Như vậy là mình đã trả lời rõ hơn về cầu hỏi Hệ thống IPS là gì cho các bạn một cách dễ hiểu, tường minh nhất. Hi vọng thông qua bài viết này các bạn sẽ hiểu rõ hơn về hệ thống phát hiện và ngăn chặn xâm nhập IPS nhé!
Đọc thêm: Snort – Phần mềm IDS, hệ thống phát hiện, phòng ngừa xâm nhập
