G
gamepro
Guest
Giới thiệu module Intrusion Dtection System Testing trong chuẩn OSSTMM.
G
- gamepro
- 2.956 Lượt xem
Giới thiệu module Intrusion Dtection System Testing trong chuẩn OSSTMM.
Các bài trước mình đã giới thiệu một số module đánh giá an ninh của hệ thống hạ tầng thông tin của chuẩn OSSTMM. Các bạn có thể theo dõi tại đây.
Hôm nay mình xin giới thiệu với các bạn module Intrusion Dtection System Testing trong chuẩn kiểm tra an ninh mạng OSSTMM.
1.Giới thiệu module Intrusion Dtection System Testing:
Khái niệm IDS (Intrusion Dtection System) đã khá quen thuộc với các bạn làm quản trị hệ thống, nó là hệ thống phát hiện và cảnh báo tấn công giúp cho các quản trị viên sớm phát hiện và đưa ra biện pháp xử lý các cuộc tấn công mạng.
Đây là hệ thống có khả năng phát hiện các dấu hiệu tấn công vào hệ thống mạng thông qua các luật được định nghĩa sẵn hoặc thông qua phân tích log truy cập.
Để hệ thống IDS hoạt động hiệu quả chúng ra cần update thường xuyên các luật mới cho nó và thực hiện kiểm tra (testing) để đảm bảo hệ thống có khả năng phát hiện và cảnh báo nguy cơ tấn công hiệu quả nhất.
2. Các phương pháp kiểm tra:
2.1 Xác định phạm vi bảo vệ của IDS:
Thiết bị IDS thường được đặt trước Firewall, nó đứng giữa hệ thống mạng internet và mạng nội bộ để theo dõi toàn bộ lưu lượng ra vào hệ thống. Vị trí đặt hệ thống IDS sẽ đảm bảo phát hiện sớm và kịp thời các tấn công vào hệ thống mạng sau IDS.
2.2 Kiểm tra thông tin IDS:
Kiểm tra các tham số của thiết bị để xác định khả năng phát hiện tấn công, khả năng chịu tải của IDS. Qua đó xác định được thiết bị có phù hợp với nhu cầu sử dụng của hệ thống thông tin không.
2.3 Kiểm tra các hình thức cảnh báo tấn công:
Thiết bị IDS thường có chức năng cảnh báo và ghi log lại các dấu hiệu tấn công vào hệ thống mạng được nó bảo vệ. Hình thức cảnh báo tấn công tới quản trị viên là vô cùng quan trọng để quản trị có thể sớm phát hiện và xử lý sự cố kịp thời.
Các hình thức cảnh báo: qua tin nhắn, email, tín hiệu cảnh báo. Trong nội dung cảnh báo như email, tin nhắn cần đưa ra thông tin về nguyên nhân cảnh báo.
2.4 Kiểm tra chức năng update của IDS:
Các hình thức tấn công ngày càng đa dạng và chống lại được sự phát hiện của các thiết bị cảnh báo tấn công IDS.
iệc cập nhật các mẫu tấn công mới nhất sẽ đảm bảo hệ thống hoạt động hiệu quả và phát hiện được các hình thức tấn công mới vào hệ thống mạng. Việc cập nhật mẫu tấn công có thể thực hiện bằng tay hoặc tự động tùy thuộc vào từng loại thiết bị. Ngoài ra người dùng còn có thể tự định nghĩa các luật thông qua các nguyên tắc nhất định của từng loại IDS.
2.5 Kiểm tra hiệu năng của IDS:
Mỗi thiết bị IDS đều có các thông số rõ ràng trên nhãn mác, văn bản ghi các giá trị mà IDS có thể xử lý được như băng thông xử lý, khả năng phát hiện các hình thức tấn công.
Để đảm bảo các thông số trên chính xác chúng ta cần tiến hành các bài kiểm tra hiệu năng với thiết bị IDS như giả lập lưu lượng lớn kèm theo một số kiểu tấn công vào hệ thống mạng để kiểm tra khả năng xử lý và phát hiện tấn công của IDS.
Phương pháp kiểm tra: sử dụng các thiết bị chuyên dụng mô phỏng tấn công vào hệ thống mạng đứng sau IDS, các mẫu tấn công sử dụng quá trình test IDS phải có khả năng phát hiện và lưu log lại.
Cần update hoặc bổ sung các mẫu tấn công IDS không có khả năng phát hiện trong quá trình testing.
2.6 Kiểm tra hệ thống ghi log của IDS.
IDS cảnh báo cho quản trị viên biết khi xảy ra tấn công vào hệ thống mạng để có biện pháp xử lý kịp thời. Ngoài ra thiết bị IDS cần có khả năng ghi lại nhật ký các cuộc tấn công vào hệ thống mạng để phục vụ cho quá trình điều tra, đây là nhu cầu rất cần thiết khi các cuộc tấn công mạng gây thiệt hại ảnh hưởng tới hệ thống thông tin cần các bằng chứng cụ thể về nguồn gốc tấn công.
Ngoài ra việc kiểm tra log sẽ giúp quản trị viên lường trước được các nguy cơ có thể ảnh hưởng tới hệ thống mạng.
Bài viết trên mình đã giới thiệu các phương pháp kiểm tra đánh giá an ninh hệ thống phát hiện và cảnh báo tấn công IDS.
Tài liệu tham khảo:
OSSTMM 2.1. - The Open Source Security Testing Methodology Manual
Các bài trước mình đã giới thiệu một số module đánh giá an ninh của hệ thống hạ tầng thông tin của chuẩn OSSTMM. Các bạn có thể theo dõi tại đây.
Hôm nay mình xin giới thiệu với các bạn module Intrusion Dtection System Testing trong chuẩn kiểm tra an ninh mạng OSSTMM.
1.Giới thiệu module Intrusion Dtection System Testing:
Khái niệm IDS (Intrusion Dtection System) đã khá quen thuộc với các bạn làm quản trị hệ thống, nó là hệ thống phát hiện và cảnh báo tấn công giúp cho các quản trị viên sớm phát hiện và đưa ra biện pháp xử lý các cuộc tấn công mạng.
Đây là hệ thống có khả năng phát hiện các dấu hiệu tấn công vào hệ thống mạng thông qua các luật được định nghĩa sẵn hoặc thông qua phân tích log truy cập.
Để hệ thống IDS hoạt động hiệu quả chúng ra cần update thường xuyên các luật mới cho nó và thực hiện kiểm tra (testing) để đảm bảo hệ thống có khả năng phát hiện và cảnh báo nguy cơ tấn công hiệu quả nhất.
2. Các phương pháp kiểm tra:
2.1 Xác định phạm vi bảo vệ của IDS:
Thiết bị IDS thường được đặt trước Firewall, nó đứng giữa hệ thống mạng internet và mạng nội bộ để theo dõi toàn bộ lưu lượng ra vào hệ thống. Vị trí đặt hệ thống IDS sẽ đảm bảo phát hiện sớm và kịp thời các tấn công vào hệ thống mạng sau IDS.
2.2 Kiểm tra thông tin IDS:
Kiểm tra các tham số của thiết bị để xác định khả năng phát hiện tấn công, khả năng chịu tải của IDS. Qua đó xác định được thiết bị có phù hợp với nhu cầu sử dụng của hệ thống thông tin không.
2.3 Kiểm tra các hình thức cảnh báo tấn công:
Thiết bị IDS thường có chức năng cảnh báo và ghi log lại các dấu hiệu tấn công vào hệ thống mạng được nó bảo vệ. Hình thức cảnh báo tấn công tới quản trị viên là vô cùng quan trọng để quản trị có thể sớm phát hiện và xử lý sự cố kịp thời.
Các hình thức cảnh báo: qua tin nhắn, email, tín hiệu cảnh báo. Trong nội dung cảnh báo như email, tin nhắn cần đưa ra thông tin về nguyên nhân cảnh báo.
2.4 Kiểm tra chức năng update của IDS:
Các hình thức tấn công ngày càng đa dạng và chống lại được sự phát hiện của các thiết bị cảnh báo tấn công IDS.
iệc cập nhật các mẫu tấn công mới nhất sẽ đảm bảo hệ thống hoạt động hiệu quả và phát hiện được các hình thức tấn công mới vào hệ thống mạng. Việc cập nhật mẫu tấn công có thể thực hiện bằng tay hoặc tự động tùy thuộc vào từng loại thiết bị. Ngoài ra người dùng còn có thể tự định nghĩa các luật thông qua các nguyên tắc nhất định của từng loại IDS.
2.5 Kiểm tra hiệu năng của IDS:
Mỗi thiết bị IDS đều có các thông số rõ ràng trên nhãn mác, văn bản ghi các giá trị mà IDS có thể xử lý được như băng thông xử lý, khả năng phát hiện các hình thức tấn công.
Để đảm bảo các thông số trên chính xác chúng ta cần tiến hành các bài kiểm tra hiệu năng với thiết bị IDS như giả lập lưu lượng lớn kèm theo một số kiểu tấn công vào hệ thống mạng để kiểm tra khả năng xử lý và phát hiện tấn công của IDS.
Phương pháp kiểm tra: sử dụng các thiết bị chuyên dụng mô phỏng tấn công vào hệ thống mạng đứng sau IDS, các mẫu tấn công sử dụng quá trình test IDS phải có khả năng phát hiện và lưu log lại.
Cần update hoặc bổ sung các mẫu tấn công IDS không có khả năng phát hiện trong quá trình testing.
2.6 Kiểm tra hệ thống ghi log của IDS.
IDS cảnh báo cho quản trị viên biết khi xảy ra tấn công vào hệ thống mạng để có biện pháp xử lý kịp thời. Ngoài ra thiết bị IDS cần có khả năng ghi lại nhật ký các cuộc tấn công vào hệ thống mạng để phục vụ cho quá trình điều tra, đây là nhu cầu rất cần thiết khi các cuộc tấn công mạng gây thiệt hại ảnh hưởng tới hệ thống thông tin cần các bằng chứng cụ thể về nguồn gốc tấn công.
Ngoài ra việc kiểm tra log sẽ giúp quản trị viên lường trước được các nguy cơ có thể ảnh hưởng tới hệ thống mạng.
Bài viết trên mình đã giới thiệu các phương pháp kiểm tra đánh giá an ninh hệ thống phát hiện và cảnh báo tấn công IDS.
Tài liệu tham khảo:
OSSTMM 2.1. - The Open Source Security Testing Methodology Manual
Chỉnh sửa lần cuối bởi người điều hành: