Có ai biết về cơ chế hoạt động của IDS, cũng như IDP ko? giúp tôi với!

Tôi ko hiểu cơ chế phát hiện xâm nhập của chúng như thế nào? Theo tôi hiểu IDS/IDP có 1 Database nó lưu các mẫu, giựa vào các mẫu này mà nó sẽ phát hiên kẻ xâm nhập.
Nhưng tôi ko hiểu các mẫu này nó sẽ chỉ tự học hay nó cũng đcj update, và các mẫu này là gì?(là 1 tr][ngf nào đấy, hay là data)?

Xin chân thành cảm ơn!

help

Chào bạn ,

IDS là một hệ thống có khả năng "dò" các kiểu tấn công vào mạng. Chúng ta có thể hình dung hoạt động của IDS như một camera đặt trong mạng nhằm theo dõi tất cả các gói tin trong mạng. Tuy nhiên , nó hơn camera thông thường ở chỗ nó có thể phản ứng lại các kiểu tấn công bằng cách tạo ra các alarm message , gửi đến network administrator thông qua một "console" gọi là CSPM ( nếu của Cisco ) hoặc báo cho các thiết bị mạng như PIX firewall , router để các thiết bị này chặn các session đó lại . IDS có khả năng dò ra những kiểu tấn công như reconnaissance attack , access attack và denial of service attack.

Hoạt động của IDS dựa trên hai kiểu : profile-based và signature-based. Đối với kiểu profile-based , ta cần cấu hình một profile để chỉ những họat động bình thường của user. Nếu IDS phát hiện những hoạt động khác với profile thì nó xem như mạng bị tấn công và lập tức phản ứng lại. Đối với kiểu signature-based thì cần có một số signature được cấu hình cho IDS , (các signature này có thể tìm trên trang web của cisco. ).Mỗi signature sẽ đặc trưng cho một kiểu tấn công nào đó. Nếu IDS phát hiện một số packet có signature trùng với các signature nó biết thì nó xem như mạng đang bị tấn công.

Hoạt động của IDS bạn có thể tìm đọc thêm ở các giáo trình CCSP : http://www.net130.com/attestation/ccip/ccsp.html

chúc vui ,

Cảm ơn PPP về bài trà lời
Tui muấn hỏi PPP: Thế Signature chính xác là cái gì? Khi IDS ỏ IDP đọc gói tin thì nó sẽ đọc đến đâu?

chào bạn ,

Khi IDS dọc một packet , nó đọc cả phần payload của packet. Ví dụ một số packet dạng worm thì IDS phải kiểm tra cả phần payload để biết được worm signature.

Signature là một mã đại diện cho mẫu traffiic của một kiểu tấn công nào đó. Lấy ví dụ kiểu tấn công từ chối dịch vụ sử dụng TRibe Flood Network 2000 ( TFN2K ). Tool này sẽ flood các target host với các packet UDP , TCP và ICMP , sử dụng giá trị giống nhau trong trường header length và mỗi packet sẽ kết thúc bằng một chuỗi ký tự A. Những đặc điểm này có thể khiến IDS nhận dạng được và tạo signature cho kiểu tấn công này.

Chào bạn ,

IDS là một hệ thống có khả năng "dò" các kiểu tấn công vào mạng. Chúng ta có thể hình dung hoạt động của IDS như một camera đặt trong mạng nhằm theo dõi tất cả các gói tin trong mạng. Tuy nhiên , nó hơn camera thông thường ở chỗ nó có thể phản ứng lại các kiểu tấn công bằng cách tạo ra các alarm message , gửi đến network administrator thông qua một "console" gọi là CSPM ( nếu của Cisco ) hoặc báo cho các thiết bị mạng như PIX firewall , router để các thiết bị này chặn các session đó lại . IDS có khả năng dò ra những kiểu tấn công như reconnaissance attack , access attack và denial of service attack.

Hoạt động của IDS dựa trên hai kiểu : profile-based và signature-based. Đối với kiểu profile-based , ta cần cấu hình một profile để chỉ những họat động bình thường của user. Nếu IDS phát hiện những hoạt động khác với profile thì nó xem như mạng bị tấn công và lập tức phản ứng lại. Đối với kiểu signature-based thì cần có một số signature được cấu hình cho IDS , (các signature này có thể tìm trên trang web của cisco. ).Mỗi signature sẽ đặc trưng cho một kiểu tấn công nào đó. Nếu IDS phát hiện một số packet có signature trùng với các signature nó biết thì nó xem như mạng đang bị tấn công.

Hoạt động của IDS bạn có thể tìm đọc thêm ở các giáo trình CCSP : http://www.net130.com/attestation/ccip/ccsp.html

chúc vui ,
Hi anh PPPư
Kiểu profile-based có phải là anomaly detection không? Profile-based sẽ dựa trên cái gì để phát hiện ra mạng đang bị tấn công?

Kiểu profile-based chính là abnomaly detection , khác nhau theo mình nghĩ chẳng qua là cách dùng từ của tài liệu thôi. Nếu so sánh abnomaly detection thì người ta so sánh với misuse detection.

Ở chế độ abnomaly detection , thường ta sẽ tạo một số baseline chẳng hạn : trạng thái thông thường của network load , kích cỡ thông thường của gói tin , các protocol thường dùng trong mạng ,v..v. Ở chế độ này , IDS sẽ giám sát hoạt động của mạng và so sánh với các baseline mà mình đặt ra , và nếu phát hiện những điểm không bình thường thì nó xem như mạng bị tấn công.

Hi anh PPP
Anh có thể so sánh một số sản phẩm IDS/IPS được coi là hiệu quả nhất hiện nay không?

So sánh hiệu quả của IDS thì ta dựa vào rất nhiều yếu tố như: giá cả , số lượng signatures mà IDS có thể dò được , IDS có cho bạn tạo các signatures hay không , IDS có khả năng bị bypass bằng một số kỹ thuật của hacker không ( vd : IP fragment attack ) , khả năng report của IDS , v..v.

Nếu so sánh về giá , rẻ nhất là các loại open source như ( Snort , Shadow ) nhưng dùng mấy loại này thì đương nhiên sẽ gặp những hạn chế nhất định. Còn mấy loại khác , bạn có thể lên website của nó để tham khảo nhé.

So sánh về số lượng signatures thì có một con số trung bình khoảng 200-300. Netranger chỉ dò được khoảng 110 , Real Secure dò được khoảng 400 , Network Flight Recorder ( khoảng 400 ) , Dragon (hơn 400 ).

So sánh về khả năng bị bypass thì Dragon , hoặc Network Flight Recorder có vẻ tốt hơn Netranger và Real Secure. Nhưng phiên bản mới của Real Secure thì đã được nâng cấp nên có thể chống lại một số kiểu tấn công nhằm bypass IDS.

So sánh về khả năng report thì ISS Real Secure khá tốt , Cisco IDS thì cho report khó hiểu hơn Real Secure.

Nói tóm lại có rất nhiều yếu tố để bạn so sánh , lựa chọn IDS thể nào cho phù hợp còn tùy thuộc vào mô hình mạng , và ngân sách của công ty. Còn sử dụng hiệu quả thì đương nhiên là phụ thuộc vào yếu tố con người nữa .

Các bạn khác bổ sung thêm nhé ,

So sánh hiệu quả của IDS thì ta dựa vào rất nhiều yếu tố như: giá cả , số lượng signatures mà IDS có thể dò được , IDS có cho bạn tạo các signatures hay không , IDS có khả năng bị bypass bằng một số kỹ thuật của hacker không ( vd : IP fragment attack ) , khả năng report của IDS , v..v.

,
Hi anh PPP,
Anh có thể nói rõ về cách phòng chống bypass bằng IP fragment attack không?
Trong các IDS soft, thằng nào phòng chống cách tấn công kiểu IP fragment này có hiệu quả?
Thanks anh

So sánh hiệu quả của IDS thì ta dựa vào rất nhiều yếu tố như: giá cả , số lượng signatures mà IDS có thể dò được , IDS có cho bạn tạo các signatures hay không , IDS có khả năng bị bypass bằng một số kỹ thuật của hacker không ( vd : IP fragment attack ) , khả năng report của IDS , v..v.

,
Hi anh PPP,
Anh có thể nói rõ về cách phòng chống bypass bằng IP fragment attack không?
Trong các IDS soft, thằng nào phòng chống cách tấn công kiểu IP fragment này có hiệu quả?
Thanks anh

Câu hỏi này của bạn có vẻ tricky quá đấy , :D . Tuy nhiên mình cũng có một số ý kiến :

Trước hết ta hãy phân tích vì sao phải fragment một packet. Nguyên nhân là do sự khác nhau giữa MTU của nhiều loại network media. Do đó khi gặp trường hợp này một số thiết bị mạng sẽ chia nhỏ IP packet ra và khi đến thiết bị cuối cùng , những mảnh nhỏ này sẽ được ghép lại.

Để cho những mảnh nhỏ này có thể ghép lại ở bên nhận , chúng phải tuân thủ một số quy định ví dụ : có cùng chung một ID , mỗi fragment packet phải chỉ rõ offset của nó so với packet ban đầu,...

Một kiểu tấn công đã ra đời dựa trên ý tưởng khai thác sự ràng buộc nghiêm ngặt này như : Ping of Death Fragmentation attack , Tiny Fragment attack , Tear drop attack , Overlapping fragment attack , v...v.

Một số firewall và IDS có những lỗ hổng mà hacker có thể khai thác những kĩ thuật nêu trên như : Check point FW-1 , IIS Real Secure IDS ,
Chi tiết như thế nào thì bạn đọc ở đây nhé :
http://www.checkpoint.com/techsupport/alerts/ipfrag_dos.html
http://www.checkpoint.com/techsupport/alerts/one_way.html
http://neworder.box.sk/showme.php3?id=2622
http://xforce.iss.net/static/5133.php
http://www.securityfocus.com/archive/1/77548

so sánh về khả năng phòng chống bypass của nhiều loại IDS khác nhau thì bạn nên hỏi những IDS expert thôi , :D

Hi anh PPP
Anh có thể so sánh một số sản phẩm IDS/IPS được coi là hiệu quả nhất hiện nay không?

Mình thấy trang web của tổ NSS có các kết quả testing và so sánh giữa các sản phẩm IDS/ISP khác nhạu Trên đó mô tả phương thức test, kết quả đạt được và nhận xét rất là chi tiết, chỉ có điều là đọc..hơi bị mỏi mắt vì chi tiết quá mà không có bảng so sánh.

So sánh về IPS:
http://www.nss.co.uk/ips/edition2/index.htm
==> Trong so sánh này, mình thấy Fortigate-800 được đánh giá rất cao về features và performances.

So sánh về IDS:
http://www.nss.co.uk/gigabitids/edition3/index.htm
http://www.nss.co.uk/ids/edition4/index.htm

Cheers,
Happy Man

Hi all,
ai da tung config con IDS 4215 thi giup toi voi, vi cong viec nen toi phai config con IDS 4215 nay, thoi gian thi gap ma tai lieu thi khong co,hix (toi chi kiem duoc 1 it slide tren net thoi).
Moi nguoi ai da tung config con IDS4215 thi giup do toi voi nhe, cac recommend,....cang nhieu cang tot.
Theo moi nguoi thi dung ciscowork va dung IDS Device Manager (truy cap vao IDS qua https hoac http) de monitor và admin con IDS có khác nhau gì không ?, co bat buoc phai dung ciscowork voi con IDS khong vay.
Trui ui, khách hàng thì giục, ma toi thì chi moi bắt đầu với con IDS này, mọi nguoi có gì giúp nấy, cang nhieu cang tot, xin chan thanh cam on va hau ta (se hau ta rat lon).
moi thong tin xin gui ve : nqtuan80bk@yahoo.com, hoac tuannqfit@yahoo.com
nick IM : nqtuan80bk
mobile : 0989.356.358
Thanks alot

Sơ đồ mạng kết nối con IDS của tôi như sau : trên con IDS 4215 co 2 interface : INT0 va INT1.
- Int0 la interface sensing, được kết nối tới một con switch dùng cho vùng DMZ để phát hiện các xâm nhập trái phép vào các server. Con switch này đã được cấu hình SPAN port cho các port nối vào servers.
- Int1 la command-control intterface được nối vào một con switch kết nối với mạng nội bộ, int1 có ip và được dùng để client truy cập vào IDS.
Vậy tôi còn phải giải quyết những vấn đề gì nữa, rất mong mọi người giúp đỡ.
có nhất thiết phải dùng ciscowork để quản lý và theo dõi con IDS không ?, hay chi can dung IDS Device Manager của con IDS là đủ, rồi access vào IDS qua webbrowser client.
Mọi người dành chút thời gian giúp tôi nhé
moi thong tin xin gui ve : nqtuan80bk@yahoo.com, hoac tuannqfit@yahoo.com
nick IM : nqtuan80bk
mobile : 0989.356.358
NQTuan

xin hoi a co giao trinh or tai lieu ve Ineternet security,các cách thâm nhập,IPS,IDS,firewall cho e xin voi.e dang lam do an mon nay nhug chua tim dc tai lieu.goi wa mail cho em nhe.thank nh nha
tulekhuong@gmail.com

Thanks pác ppp em đang cần tìm hiểu nó!!!!!