Hệ thống phòng và chống xâm nhập (Intrusion prevention system, viết tắt là IPS) chính là một số biện pháp an ninh mạng rất quan trọng để mà nhà mạng có thể có. IPS được biết đến như là một hệ thống kiểm soát. Vì nó sẽ không chỉ phát hiện ra các mối đe dọa tiềm ẩn và đối với các hệ thống mạng cũng như cơ sở hạ tầng của nó. Mà còn tìm ra cách để chủ động chặn bất kỳ kết nối nào mà nó có thể là mối đe dọa. Điều này khác hẳn với các biện pháp bảo vệ thụ động của hệ thống phát hiện xâm nhập.
Giới thiệu về công nghệ IPS
Hệ thống phòng chống xâm nhập liên tục giám sát lưu lượng mạng, đặc biệt là ở các gói riêng lẻ, để tìm kiếm bất kỳ cuộc tấn công nguy hiểm nào có thể xảy ra. Nó thu thập thông tin về các gói tin này và báo cáo cho quản trị viên hệ thống, nhưng nó cũng thực hiện những động thái phòng ngừa của riêng mình. Nếu phát hiện phần mềm độc hại tiềm ẩn hoặc loại tấn công khác, IPS sẽ chặn các gói đó truy cập vào mạng.
IPS cũng có thể thực hiện các bước khác, chẳng hạn như đóng những lỗ hổng bảo mật của hệ thống có thể bị khai thác liên tục. IPS có thể đóng các điểm truy cập vào mạng, cũng như cấu hình tường lửa thứ cấp để phát hiện những loại tấn công này trong tương lai, bổ sung thêm các lớp bảo mật cho hệ thống phòng thủ của mạng.
Lý do cần triển khai IPS
Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:
- Theo dõi các hoạt động bất thường đối với hệ thống.
- Xác định ai đang tác động đến hệ thống và cách thức như thế nào, các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.
- Tương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động thâm nhập hệ thống.
Các hệ thống phòng chống xâm nhập có thể tìm kiếm và bảo vệ chống lại nhiều loại tấn công nguy hiểm tiềm ẩn. Chúng có khả năng phát hiện và chặn các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit, worm, virus máy tính và những loại phần mềm độc hại khác.
Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập
Ưu điểm:
- Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.
- Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.
Hạn chế:
- Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể không cho phép các truy cập hợp lệ tới hệ thống.
Xem thêm các bài viết về Bảo mật máy tính tại đây.
Điều mà IPS sẽ làm khi phát hiện ra một cuộc tấn công
Một hệ thống ngăn chặn xâm nhập có thể phát hiện nhiều cuộc tấn công khác nhau; bằng cách phân tích các gói và tìm kiếm những chữ ký phần mềm độc hại cụ thể. Mặc dù nó cũng có thể tận dụng khả năng theo dõi hành vi để tìm kiếm hoạt động bất thường trên mạng. Cũng như giám sát bất kỳ giao thức; và chính sách bảo mật cấp quản trị nào, cũng như liệu chúng có bị vi phạm hay không.
Nếu bất kỳ phương pháp nào trong số này phát hiện ra một cuộc tấn công tiềm ẩn; IPS có thể ngay lập tức chấm dứt kết nối đến. Địa chỉ IP vi phạm sau đó có thể bị chặn nếu IPS được cấu hình; để làm như vậy hoặc người dùng liên kết với nó bị cấm truy cập lại vào mạng; và bất kỳ tài nguyên nào được kết nối.
IPS cũng có thể thay đổi cài đặt tường lửa cục bộ để phát hiện lại các cuộc tấn công như vậy; và thậm chí có thể loại bỏ mọi tàn tích của cuộc tấn công bằng cách loại bỏ những header bị ảnh hưởng bởi phần mềm độc hại, file đính kèm bị nhiễm virus; cũng như những liên kết độc hại khỏi file và email server.
Sự khác nhau giữa IDS và IPS
Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS); đều có thể liên quan đến bảo mật, nhưng chúng có các mục tiêu và phương tiện hoàn toàn khác nhau.
Có nhiều loại IDS cũng như IPS và tất cả chúng đều hoạt động hơi khác nhau một chút. Đối với IDS, có các hệ thống phát hiện xâm nhập mạng (NIDS); đặt tại các điểm chiến lược trong mạng để phát hiện những cuộc tấn công tiềm ẩn khi chúng đang diễn ra trong mạng. HIDS hay hệ thống phát hiện xâm nhập máy chủ chạy trên các hệ thống và thiết bị riêng lẻ; chỉ giám sát hoạt động trên mạng đi và đến hệ thống cụ thể đó.
Trong cả hai trường hợp, IDS phát hiện ra một cuộc tấn công tiềm ẩn sẽ thông báo cho quản trị viên hệ thống.
Hệ thống IPS sẽ đóng một vai trò tương tự như IDS; và có thể được sử dụng kết hợp để giám sát mạng tốt hơn; nhưng sẽ đóng vai trò tích cực hơn trong việc bảo vệ mạng. IPS cũng sẽ thông báo cho quản trị viên nếu phát hiện các cuộc tấn công. Nhưng chúng cũng sẽ thực hiện những hành động trừng phạt đối với bất kỳ hệ thống; tài khoản cá nhân hoặc lỗ hổng tường lửa nào; để đảm bảo rằng cuộc tấn công đã bị chặn; và mọi file liên quan bị xóa khỏi mạng.
Kết luận
Như tên gọi cho thấy, các hệ thống phát hiện xâm nhập được thiết kế; để cho bạn biết liệu có khả năng và khi nào một cuộc tấn công xảy ra. Để bạn có thể xử lý vấn đề theo cách thủ công. Hệ thống ngăn chặn xâm nhập được thiết kế để chủ động bảo vệ hệ thống của bạn khỏi các cuộc tấn công. Và ngăn chặn những cuộc tấn công trong tương lai thông qua việc điều chỉnh các thông số mạng.