Tổng quan về hệ thống ngăn chặn xâm nhập IPS

Thảo luận trong 'Infrastructure security' bắt đầu bởi whf, 14/09/21, 11:09 PM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,175
    Đã được thích: 762
    Điểm thành tích:
    113
    Chắc hẳn các bạn đã từng nghe qua IPS, một công nghệ được sử dụng trên màn hình các thiết bị điện tử. Tuy nhiên đây là WhiteHat và chúng ta sẽ tìm hiểu IPS trong lĩnh vực an ninh mạng nhé.

    upload_2021-9-15_2-49-57.png

    IPS trong lĩnh vực an ninh mạng là gì?

    IPS (viết tắt của Intrusion Prevention System) hiểu đơn giản là hệ thống được sử dụng để phát hiện và ngăn chặn các hoạt động xâm nhập. IPS thực hiện giám sát hệ thống liên tục nhằm phát hiện các hoạt động bất thường, lưu lại các thông tin này, báo cáo cho quản trị hệ thống và thực hiện hoạt động ngăn chặn như đóng kết nối và đưa ra thiết lập tường lửa để ngăn các cuộc tấn công trong tương lai.

    Các giải pháp IPS cũng có thể được dùng để phát hiện, ngăn chặn các vấn đề liên quan đến chính sách bảo mật của công ty, như ngăn chặn nhân viên và khách hàng trong mạng vi phạm các quy tắc bảo mật của công ty mà IPS được thiết lập.

    Sự khác nhau giữa IPS và IDS

    Một khái niệm khác hay thấy khi tìm hiểu về IPS đó là IDS (Intrusion Detection System). Vậy sự khác nhau là như thế nào?

    Sự khác biệt chính giữa IPS và IDS là hành động được thực hiện khi một mối đe dọa được phát hiện:
    • IPS kiểm soát việc truy cập vào mạng và bảo vệ mạng đó khỏi bị tấn công. Các hệ thống này được thiết kế để giám sát hoạt động xâm nhập và thực hiện các hành động cần thiết để ngăn chặn các cuộc tấn công.
    • IDS không được thiết kế để ngăn chặn các cuộc tấn công mà chỉ đơn giản là giám sát mạng và gửi cảnh báo cho quản trị hệ thống nếu phát hiện thấy các hoạt động xâm nhập.
    Hệ thống ngăn chặn xâm nhập (IPS) hoạt động như thế nào?

    IPS hoạt động bằng cách giám sát, quét tất cả lưu lượng mạng. IPS được thiết kế để có thể ngăn chặn nhiều mối đe dọa khác nhau, bao gồm:
    • Khai thác lỗ hổng
    • Mã độc
    • Tấn công từ chối dịch vụ (DoS)
    • Tấn công từ chối dịch vụ phân tán (DDoS)
    • ..
    IPS thực hiện kiểm tra tất cả gói tin truyền qua mạng theo thời gian thực. Nếu phát hiện thấy bất kỳ gói tin độc hại hoặc hoạt động đáng ngờ nào, IPS sẽ thực hiện một trong các hành động sau:
    • Đóng kết nối và chặn địa chỉ IP nguồn vi phạm chính sách hoặc tài khoản người dùng truy cập không hợp pháp vào bất kỳ ứng dụng, máy chủ đích hoặc các tài nguyên mạng.
    • Đưa ra cấu hình tường lửa để ngăn chặn các cuộc tấn công tương tự xảy ra trong tương lai.
    Các cơ chế ngăn chặn của IPS

    IPS được cấu hình để nhằm bảo vệ hệ thống khỏi bị truy cập trái phép sử dụng một số cơ chế tiếp cận khác nhau:
    • Chữ ký: cơ chế này dựa trên chữ ký đã được xác định của các mối đe dọa đã được phát hiện trước đó. Khi một cuộc tấn công được phát hiện khớp với một trong các chữ ký hoặc mẫu này, hệ thống sẽ thực hiện hành động cần thiết.
    • Sự bất thường: hệ thống sẽ giám sát mọi hành vi bất thường trên hệ thống. Nếu phát hiện sự bất thường, hệ thống sẽ chặn quyền truy cập vào hệ thống mục tiêu ngay lập tức.
    • Chính sách: cơ chế này yêu cầu quản trị hệ thống thiết lập cấu hình các chính sách bảo mật theo chính sách bảo mật của tổ chức đưa ra và cơ sở hạ tầng mạng trên thực tế. Khi một hoạt động xảy ra vi phạm chính sách bảo mật, cảnh báo sẽ được kích hoạt và gửi đến quản trị viên hệ thống.


     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: