Tweet
Các tính năng chính của IDS/IPS
Những kẻ tấn công mạng ngày càng tinh vi trong việc ngụy trang lưu lượng độc hại để trông giống như lưu lượng hợp lệ, giúp chúng vượt qua các cơ chế bảo mật cơ bản. Các mối đe dọa này thường được ẩn bên trong những luồng dữ liệu có vẻ bình thường, khiến các firewall truyền thống ở Layer 3 khó có thể phát hiện.
Trong nhiều trường hợp, kẻ tấn công còn giả mạo nguồn gửi (IP Spoofing) để lưu lượng trông như xuất phát từ một thiết bị hoặc hệ thống đáng tin cậy, làm tăng thêm độ khó cho việc phát hiện.
Để đối phó với những kỹ thuật này, doanh nghiệp cần các giải pháp có khả năng kiểm tra sâu hơn tiêu đề (header) của gói tin. Đó chính là vai trò của Intrusion Detection System (IDS) và Intrusion Prevention System (IPS). Hai hệ thống này sử dụng Deep Packet Inspection (DPI) để phân tích phần payload ở tầng ứng dụng, từ đó phát hiện mã độc, hành vi bất thường, vi phạm chính sách và các mẫu tấn công mà firewall truyền thống không thể nhận biết.
Vì sao chỉ dựa vào địa chỉ IP là chưa đủ?
Hãy tưởng tượng bạn là một Security Architect nhận được cảnh báo về hoạt động bất thường trong mạng doanh nghiệp.
Hiện tại, hệ thống chỉ sử dụng:
Đây đều là những lớp bảo vệ quan trọng, nhưng nhóm bảo mật nhận thấy chúng không đủ để phát hiện các cuộc tấn công hiện đại.
Lý do là địa chỉ IP chỉ cho biết nguồn và đích của gói tin, chứ không phản ánh nội dung thực sự bên trong gói tin.
Một firewall Layer 3 có thể cho phép lưu lượng đi qua vì IP nguồn được phép, nhưng hoàn toàn không biết rằng payload chứa:
Nói cách khác, Layer 3 chỉ trả lời câu hỏi "gói tin đến từ đâu và đi đến đâu", chứ không trả lời "gói tin đang mang nội dung gì".
Địa chỉ IP không đồng nghĩa với sự tin cậy
Nhiều người cho rằng nếu một thiết bị đã được cấp địa chỉ IP sau khi xác thực thì lưu lượng từ thiết bị đó có thể được tin cậy.
Đây là một giả định không an toàn.
Trong thực tế:
Điều đó có nghĩa là một gói tin mang địa chỉ IP "đáng tin cậy" vẫn có thể chứa nội dung độc hại.
Chính vì vậy, doanh nghiệp cần các cơ chế kiểm tra sâu hơn thay vì chỉ dựa vào thông tin địa chỉ IP.
Deep Packet Inspection (DPI)
IDS và IPS sử dụng Deep Packet Inspection (DPI) để phân tích nội dung thực tế của gói tin.
Thay vì chỉ đọc:
DPI tiếp tục kiểm tra:
Qua đó, hệ thống có thể xác định liệu lưu lượng có thực sự hợp lệ hay đang chứa mã độc được ngụy trang.
IDS và IPS hoạt động như thế nào?
IDS và IPS liên tục phân tích lưu lượng mạng nhằm phát hiện:
Để nhận diện các mối đe dọa, hệ thống sử dụng Signature.
Signature là tập hợp các mẫu nhận dạng (pattern) đại diện cho một kiểu tấn công hoặc hành vi cụ thể. Khi lưu lượng khớp với một signature đã biết, IDS/IPS sẽ phát hiện và đưa ra phản ứng phù hợp.
Ngoài việc dựa trên signature, nhiều giải pháp IDS/IPS hiện đại còn kết hợp các kỹ thuật như phân tích hành vi (Behavior Analysis) và phát hiện bất thường (Anomaly Detection) để nhận diện các mối đe dọa mới.
Ba mô hình triển khai IDS/IPS
IDS/IPS có thể được triển khai theo nhiều mô hình khác nhau, tùy thuộc vào yêu cầu giám sát hoặc ngăn chặn của hệ thống. Mặc dù tài liệu đề cập đến ba cách triển khai, điểm quan trọng nhất là sự khác biệt trong cách phản ứng với các mối đe dọa.
Sự khác biệt giữa IDS và IPS
IDS (Intrusion Detection System)
IDS hoạt động ở chế độ giám sát.
Khi phát hiện lưu lượng đáng ngờ, IDS sẽ:
Tuy nhiên, IDS không can thiệp vào luồng lưu lượng, vì vậy gói tin vẫn tiếp tục được chuyển đến đích.
IPS (Intrusion Prevention System)
IPS hoạt động Inline, nằm trực tiếp trên đường đi của lưu lượng.
Khi phát hiện lưu lượng độc hại, IPS có thể:
Nhờ đó, mối đe dọa được xử lý ngay trước khi đến máy chủ hoặc người dùng.
Tại sao không phải lúc nào cũng nên chặn?
Đây là câu hỏi rất phổ biến khi triển khai IPS.
Về lý thuyết, chặn lưu lượng độc hại luôn là lựa chọn tốt nhất.
Tuy nhiên, trong thực tế, IPS có thể gặp False Positive — tức là nhận diện nhầm lưu lượng hợp lệ thành lưu lượng tấn công.
Nếu IPS chặn nhầm các gói tin của một ứng dụng quan trọng, hậu quả có thể là:
Ngay cả khi TCP thực hiện truyền lại (Retransmission), chính sách IPS vẫn có thể tiếp tục chặn các gói tin đó.
Do đó, việc triển khai IPS luôn cần cân bằng giữa mức độ bảo mật và tính sẵn sàng của dịch vụ.
Kết hợp bảo vệ Endpoint
Trong một số hệ thống quan trọng, doanh nghiệp có thể lựa chọn:
Giải pháp thường được sử dụng là:
Cách tiếp cận nhiều lớp này giúp giảm rủi ro do false positive trên mạng, đồng thời vẫn duy trì khả năng phát hiện và ngăn chặn mối đe dọa tại thiết bị đầu cuối.
Kết luận
IDS và IPS là những thành phần quan trọng trong kiến trúc phòng thủ nhiều lớp (Defense in Depth). Trong khi firewall chủ yếu kiểm soát lưu lượng dựa trên địa chỉ IP và cổng dịch vụ, IDS/IPS sử dụng Deep Packet Inspection (DPI) để phân tích nội dung thực tế của gói tin, phát hiện các mối đe dọa ẩn trong payload. IDS tập trung vào giám sát và cảnh báo, còn IPS có khả năng ngăn chặn tấn công theo thời gian thực. Khi triển khai IPS, doanh nghiệp cần cân nhắc giữa khả năng bảo vệ và nguy cơ gây gián đoạn dịch vụ do các trường hợp false positive, đồng thời kết hợp với các giải pháp bảo vệ endpoint như HIPS, Antivirus và EDR để xây dựng một hệ thống phòng thủ toàn diện.
Câu hỏi ôn tập
Yếu tố nào là cân nhắc quan trọng khi quyết định triển khai IPS để chủ động chặn các mối đe dọa?
Đáp án đúng: The potential for unintended disruptions to critical applications due to false positives.
Giải thích: IPS có khả năng chặn lưu lượng theo thời gian thực, nhưng nếu xảy ra false positive, hệ thống có thể chặn nhầm lưu lượng hợp lệ của các ứng dụng quan trọng, gây gián đoạn dịch vụ hoặc downtime. Vì vậy, trước khi triển khai IPS ở chế độ chặn (prevention mode), cần đánh giá kỹ chính sách phát hiện, hiệu chỉnh chữ ký (signature) và thử nghiệm trong môi trường phù hợp để giảm thiểu tác động đến hoạt động của doanh nghiệp.
Những kẻ tấn công mạng ngày càng tinh vi trong việc ngụy trang lưu lượng độc hại để trông giống như lưu lượng hợp lệ, giúp chúng vượt qua các cơ chế bảo mật cơ bản. Các mối đe dọa này thường được ẩn bên trong những luồng dữ liệu có vẻ bình thường, khiến các firewall truyền thống ở Layer 3 khó có thể phát hiện.
Trong nhiều trường hợp, kẻ tấn công còn giả mạo nguồn gửi (IP Spoofing) để lưu lượng trông như xuất phát từ một thiết bị hoặc hệ thống đáng tin cậy, làm tăng thêm độ khó cho việc phát hiện.
Để đối phó với những kỹ thuật này, doanh nghiệp cần các giải pháp có khả năng kiểm tra sâu hơn tiêu đề (header) của gói tin. Đó chính là vai trò của Intrusion Detection System (IDS) và Intrusion Prevention System (IPS). Hai hệ thống này sử dụng Deep Packet Inspection (DPI) để phân tích phần payload ở tầng ứng dụng, từ đó phát hiện mã độc, hành vi bất thường, vi phạm chính sách và các mẫu tấn công mà firewall truyền thống không thể nhận biết.
Vì sao chỉ dựa vào địa chỉ IP là chưa đủ?
Hãy tưởng tượng bạn là một Security Architect nhận được cảnh báo về hoạt động bất thường trong mạng doanh nghiệp.
Hiện tại, hệ thống chỉ sử dụng:
- Cơ chế xác thực người dùng.
- Firewall kiểm soát lưu lượng dựa trên địa chỉ IP.
Đây đều là những lớp bảo vệ quan trọng, nhưng nhóm bảo mật nhận thấy chúng không đủ để phát hiện các cuộc tấn công hiện đại.
Lý do là địa chỉ IP chỉ cho biết nguồn và đích của gói tin, chứ không phản ánh nội dung thực sự bên trong gói tin.
Một firewall Layer 3 có thể cho phép lưu lượng đi qua vì IP nguồn được phép, nhưng hoàn toàn không biết rằng payload chứa:
- Mã khai thác lỗ hổng (Exploit)
- Malware
- Ransomware
- Shellcode
- Lệnh Command & Control (C2)
Nói cách khác, Layer 3 chỉ trả lời câu hỏi "gói tin đến từ đâu và đi đến đâu", chứ không trả lời "gói tin đang mang nội dung gì".
Địa chỉ IP không đồng nghĩa với sự tin cậy
Nhiều người cho rằng nếu một thiết bị đã được cấp địa chỉ IP sau khi xác thực thì lưu lượng từ thiết bị đó có thể được tin cậy.
Đây là một giả định không an toàn.
Trong thực tế:
- Người dùng có thể tự gán địa chỉ IP tĩnh.
- Kẻ tấn công có thể giả mạo địa chỉ IP (IP Spoofing).
- Nếu Network Admission Control (NAC) yếu hoặc không được triển khai, thiết bị trái phép vẫn có thể tham gia vào mạng.
Điều đó có nghĩa là một gói tin mang địa chỉ IP "đáng tin cậy" vẫn có thể chứa nội dung độc hại.
Chính vì vậy, doanh nghiệp cần các cơ chế kiểm tra sâu hơn thay vì chỉ dựa vào thông tin địa chỉ IP.
Deep Packet Inspection (DPI)
IDS và IPS sử dụng Deep Packet Inspection (DPI) để phân tích nội dung thực tế của gói tin.
Thay vì chỉ đọc:
- IP Source
- IP Destination
- TCP/UDP Port
DPI tiếp tục kiểm tra:
- Payload của tầng ứng dụng.
- Định dạng giao thức.
- Chuỗi dữ liệu đặc trưng của malware.
- Dấu hiệu khai thác lỗ hổng.
- Vi phạm chính sách bảo mật.
Qua đó, hệ thống có thể xác định liệu lưu lượng có thực sự hợp lệ hay đang chứa mã độc được ngụy trang.
IDS và IPS hoạt động như thế nào?
IDS và IPS liên tục phân tích lưu lượng mạng nhằm phát hiện:
- Hành vi bất thường (Anomalies)
- Mẫu tấn công đã biết
- Vi phạm chính sách bảo mật
Để nhận diện các mối đe dọa, hệ thống sử dụng Signature.
Signature là tập hợp các mẫu nhận dạng (pattern) đại diện cho một kiểu tấn công hoặc hành vi cụ thể. Khi lưu lượng khớp với một signature đã biết, IDS/IPS sẽ phát hiện và đưa ra phản ứng phù hợp.
Ngoài việc dựa trên signature, nhiều giải pháp IDS/IPS hiện đại còn kết hợp các kỹ thuật như phân tích hành vi (Behavior Analysis) và phát hiện bất thường (Anomaly Detection) để nhận diện các mối đe dọa mới.
Ba mô hình triển khai IDS/IPS
IDS/IPS có thể được triển khai theo nhiều mô hình khác nhau, tùy thuộc vào yêu cầu giám sát hoặc ngăn chặn của hệ thống. Mặc dù tài liệu đề cập đến ba cách triển khai, điểm quan trọng nhất là sự khác biệt trong cách phản ứng với các mối đe dọa.
Sự khác biệt giữa IDS và IPS
IDS (Intrusion Detection System)
IDS hoạt động ở chế độ giám sát.
Khi phát hiện lưu lượng đáng ngờ, IDS sẽ:
- Ghi log.
- Sinh cảnh báo.
- Thông báo cho quản trị viên.
Tuy nhiên, IDS không can thiệp vào luồng lưu lượng, vì vậy gói tin vẫn tiếp tục được chuyển đến đích.
IPS (Intrusion Prevention System)
IPS hoạt động Inline, nằm trực tiếp trên đường đi của lưu lượng.
Khi phát hiện lưu lượng độc hại, IPS có thể:
- Chặn gói tin.
- Hủy phiên kết nối.
- Reset TCP Session.
- Ngăn chặn cuộc tấn công theo thời gian thực.
Nhờ đó, mối đe dọa được xử lý ngay trước khi đến máy chủ hoặc người dùng.
Tại sao không phải lúc nào cũng nên chặn?
Đây là câu hỏi rất phổ biến khi triển khai IPS.
Về lý thuyết, chặn lưu lượng độc hại luôn là lựa chọn tốt nhất.
Tuy nhiên, trong thực tế, IPS có thể gặp False Positive — tức là nhận diện nhầm lưu lượng hợp lệ thành lưu lượng tấn công.
Nếu IPS chặn nhầm các gói tin của một ứng dụng quan trọng, hậu quả có thể là:
- Gián đoạn dịch vụ.
- Mất kết nối giữa các hệ thống.
- Ứng dụng ngừng hoạt động.
- Downtime ảnh hưởng đến hoạt động kinh doanh.
Ngay cả khi TCP thực hiện truyền lại (Retransmission), chính sách IPS vẫn có thể tiếp tục chặn các gói tin đó.
Do đó, việc triển khai IPS luôn cần cân bằng giữa mức độ bảo mật và tính sẵn sàng của dịch vụ.
Kết hợp bảo vệ Endpoint
Trong một số hệ thống quan trọng, doanh nghiệp có thể lựa chọn:
- Cho phép lưu lượng đi qua sau khi được kiểm tra.
- Không chặn ngay trên mạng.
- Tăng cường bảo vệ tại Endpoint.
Giải pháp thường được sử dụng là:
- Host-Based Intrusion Prevention System (HIPS)
- Antivirus
- Antispyware
- Endpoint Detection and Response (EDR)
Cách tiếp cận nhiều lớp này giúp giảm rủi ro do false positive trên mạng, đồng thời vẫn duy trì khả năng phát hiện và ngăn chặn mối đe dọa tại thiết bị đầu cuối.
Kết luận
IDS và IPS là những thành phần quan trọng trong kiến trúc phòng thủ nhiều lớp (Defense in Depth). Trong khi firewall chủ yếu kiểm soát lưu lượng dựa trên địa chỉ IP và cổng dịch vụ, IDS/IPS sử dụng Deep Packet Inspection (DPI) để phân tích nội dung thực tế của gói tin, phát hiện các mối đe dọa ẩn trong payload. IDS tập trung vào giám sát và cảnh báo, còn IPS có khả năng ngăn chặn tấn công theo thời gian thực. Khi triển khai IPS, doanh nghiệp cần cân nhắc giữa khả năng bảo vệ và nguy cơ gây gián đoạn dịch vụ do các trường hợp false positive, đồng thời kết hợp với các giải pháp bảo vệ endpoint như HIPS, Antivirus và EDR để xây dựng một hệ thống phòng thủ toàn diện.
Câu hỏi ôn tập
Yếu tố nào là cân nhắc quan trọng khi quyết định triển khai IPS để chủ động chặn các mối đe dọa?
- ❌ The availability of up-to-date threat intelligence feeds for the IPS.
- ❌ The cost of implementing and maintaining the IPS.
- ✅ The potential for unintended disruptions to critical applications due to false positives.
- ❌ The complexity of configuring the IPS to integrate with existing network infrastructure.
Đáp án đúng: The potential for unintended disruptions to critical applications due to false positives.
Giải thích: IPS có khả năng chặn lưu lượng theo thời gian thực, nhưng nếu xảy ra false positive, hệ thống có thể chặn nhầm lưu lượng hợp lệ của các ứng dụng quan trọng, gây gián đoạn dịch vụ hoặc downtime. Vì vậy, trước khi triển khai IPS ở chế độ chặn (prevention mode), cần đánh giá kỹ chính sách phát hiện, hiệu chỉnh chữ ký (signature) và thử nghiệm trong môi trường phù hợp để giảm thiểu tác động đến hoạt động của doanh nghiệp.
Attached Files