2.5.4.

Hệ thống phát hiện xâm nhập (IDS)

- Khái niệm: IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập) là
thiết bị hoặc phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đáng ngờ
và cảnh báo cho admin hệ thống.
- Mục đích: Phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống,
hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng. IDS
cũng có thể phân biệt giữa những cuộ tấn công nội bộ (từ chính nhân viên hoặc
khách hàng trong tổ chức) và tấn công bên ngoài (từ hacker). Trong một số trường
hợp, IDS có thể phản ứng lại với các traffic bất thường/độc hại bằng cách chặn
người dùng hoặc địa chỉ IP nguồn truy cập mạng.
- Các thành phần chính: thành phần thu thập gói tin (information collection), thành
phần phân tích gói tin (Detection), thành phần phản hồi (response) nếu gói tin đó
được phát hiện là một cuộc tấn công.
- Chức năng quan trọng nhất của IDS là:
 Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt
động khả nghi
 Cảnh báo: Khi đã biết được các hoạt động bất thường của một truy cập nào
đó, IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị
 Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị
mà có những hành động chống lại kẻ xâm nhập
- Chức năng mở rộng của IDS:
 Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể phân biệt
được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong và đâu
là cuộc tấn công từ bên ngoài
 Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS có thể
phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo vệ
ban đầu cho hệ thống
Quy trình hoạt động của IDS
 Một host tạo ra một gói tin mạng
  Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho
nó có thể đọc tất cả các gói tin).
 Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào
có dấu hiệu vi phạm hay không. Khi có dấu hiệu vi phạm thì một cảnh báo
sẽ được tạo ra và gửi đến giao diện điều khiển.
 Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho
một người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa
sổ popup, trang web v.v…).
 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
 Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ
hoặc trên cơ sở dữ liệu).
 Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
 Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là
cuộc tấn công hay không.
- Hệ thống IDS được chia làm 2 loại cơ bản:
 Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông mạng
cùng dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập
 Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra tự một máy trạm đơn để
phát hiện xâm nhập
2.5.5. VPN
- Khái niệm: VPN là viết tắt của "Virtual Private Network" (Mạng riêng ảo) và mô
tả cơ hội thiết lập kết nối mạng được bảo vệ khi sử dụng mạng công cộng. VPN mã
hóa lưu lượng truy cập internet của bạn và che giấu danh tính trực tuyến của
bạn. Điều này khiến các bên thứ ba khó theo dõi các hoạt động của bạn trực tuyến
và đánh cắp dữ liệu hơn. Quá trình mã hóa diễn ra trong thời gian thực.
- Cách hoạt động:
1. Khi bạn kết nối với một dịch vụ mạng riêng ảo, nó sẽ xác thực máy khách
của bạn bằng máy chủ VPN.
2. Sau đó, máy chủ áp dụng một giao thức mã hóa cho tất cả dữ liệu bạn gửi và
nhận.
 3. Dịch vụ VPN tạo một “đường hầm” được mã hóa trên internet. Điều này bảo
mật dữ liệu di chuyển giữa bạn và điểm đến của bạn.
4. Để đảm bảo mỗi gói dữ liệu luôn an toàn, VPN sẽ gói nó trong một gói bên
ngoài, gói này sau đó được mã hóa thông qua đóng gói. Đây là yếu tố cốt lõi
của đường hầm VPN, giữ cho dữ liệu được an toàn trong quá trình truyền.
5. Khi dữ liệu đến máy chủ, gói bên ngoài sẽ bị loại bỏ thông qua quá trình giải
mã.
-Các loại VPN:
 VPN truy cập từ xa: Cho phép người dùng kết nối với mạng từ xa, thường
bằng cách sử dụng phần mềm đặc biệt. Nếu bạn cần đăng nhập vào mạng
văn phòng của mình, rất có thể bạn cũng đã sử dụng VPN truy cập từ xa. Nó
giúp làm việc xa văn phòng an toàn hơn và dễ dàng hơn, vì nhân viên có thể
truy cập dữ liệu và tài nguyên từ mọi nơi.
 VPN cá nhân: Hầu hết các VPN cấp người tiêu dùng được phân loại là VPN
cá nhân, bao gồm cả NordVPN. Chúng rất giống với VPN truy cập từ xa
đang hoạt động, nhưng thay vì kết nối với mạng hạn chế độc quyền (chẳng
hạn như nơi làm việc của bạn), bạn kết nối với máy chủ của nhà cung cấp
VPN để bảo vệ và quyền riêng tư trong khi khám phá internet.
 VPN site-to-: Hầu hết được sử dụng bởi các doanh nghiệp - đặc biệt là các
tập đoàn lớn. Chúng cho phép người dùng ở các vị trí được chọn truy cập
mạng của nhau một cách an toàn. Đó là một cách tuyệt vời để kết nối tất cả
các văn phòng và cho phép các chi nhánh khác nhau chia sẻ tài nguyên và
thông tin một cách an toàn.
 VPN ẩn:
1. Lịch sử web của bạn
2. Địa chỉ IP và vị trí của bạn
3. Vị trí của bạn để phát trực tiếp
4. Thiết bị của bạn
5. Hoạt động web của bạn
-Mô hình bảo mật VPN cung cấp:
  bảo mật đến mức ngay cả khi lưu lượng mạng được đánh giá ở cấp độ gói
(xem phần kiểm tra mạng và kiểm tra gói sâu ), kẻ tấn công sẽ chỉ thấy dữ
liệu được mã hóa
 xác thực người gửi để ngăn người dùng trái phép truy cập VPN
 tính toàn vẹn của tin nhắn để phát hiện bất kỳ trường hợp nào giả mạo các
tin nhắn đã truyền.
-Lợi ích và ưu điểm của VPN:
 Thay đổi vị trí của bạn
Việc sử dụng VPN sẽ thay đổi địa chỉ IP của bạn , số duy nhất xác định bạn
và vị trí của bạn trên thế giới. Với một địa chỉ IP mới, bạn có thể duyệt
Internet như thể bạn đang ở Vương quốc Anh, Đức, Canada, Nhật Bản
hoặc hầu như bất kỳ quốc gia nào , nếu dịch vụ VPN có máy chủ ở đó.
 Bảo vệ sự riêng tư của bạn
Thay đổi địa chỉ IP của bạn bằng VPN giúp bảo vệ danh tính của bạn khỏi
các trang web, ứng dụng và dịch vụ muốn theo dõi bạn. VPN tốt cũng ngăn
không cho nhà cung cấp internet, nhà cung cấp dịch vụ di động và bất kỳ ai
khác có thể đang nghe thấy hoạt động của bạn, nhờ một lớp mã hóa mạnh .
 Tăng cường bảo mật của bạn
Sử dụng VPN bảo vệ bạn khỏi các vi phạm bảo mật dưới nhiều hình thức,
bao gồm dò tìm gói tin, mạng Wi-Fi giả mạo và các cuộc tấn công trung
gian. Khách du lịch, người làm việc từ xa và tất cả các loại cá nhân di
chuyển sử dụng VPN bất cứ khi nào họ ở trên một mạng không đáng tin cậy
như Wi-Fi công cộng miễn phí .
 Bỏ chặn các trang web
Nếu bạn đang ở một phần của thế giới hạn chế quyền truy
cập vào Google , Wikipedia , YouTube hoặc các trang web và dịch vụ khác,
thì việc sử dụng VPN sẽ cho phép bạn lấy lại quyền truy cập Internet miễn
phí . Bạn cũng có thể sử dụng VPN để vượt qua tường lửa trên mạng trường
học hoặc mạng văn phòng.