Trong hệ thống an ninh mạng hiện đại, Intrusion Prevention System (IPS) không chỉ đơn thuần là thiết bị phát hiện tấn công, mà còn đóng vai trò là “lá chắn” chủ động, sẵn sàng ngăn chặn lưu lượng độc hại theo thời gian thực. Khác với IDS (Intrusion Detection System), vốn chỉ phát hiện và cảnh báo, IPS được triển khai inline – trực tiếp nằm trên đường đi của lưu lượng mạng – để phân tích, xử lý và chặn lại các gói tin không tuân thủ chính sách bảo mật.
Cách triển khai IPS: Monitoring Mode vs Inline Mode
Khi triển khai ban đầu, IPS có thể được đặt ở promiscuous mode (chế độ giám sát), tức hoạt động giống như IDS để phân tích và đánh giá tác động đến hạ tầng mạng. Sau giai đoạn quan sát này, IPS sẽ được đưa vào inline mode, chính thức trở thành “người gác cổng”, chặn đứng mọi lưu lượng bất hợp pháp và gửi cảnh báo tới hệ thống giám sát tập trung (SIEM, Syslog...).
Ví dụ kinh điển: Một gói tin bất thường từ máy lạ gửi tới máy chủ nội bộ. IPS phát hiện chuỗi dữ liệu phù hợp với mẫu tấn công đã biết (signature), ngay lập tức drop gói tin đó và ghi log cảnh báo.
Các loại IPS phổ biến
Network-based IPS (NIPS) – kiểu truyền thống, giám sát toàn bộ lưu lượng mạng. Ví dụ: Cisco IPS 4200, Catalyst 6500 IPS Module (đã End-of-Life).
Next-Generation IPS (NGIPS) – tích hợp thêm nhiều tính năng nâng cao như nhận diện ứng dụng, bối cảnh người dùng, threat intelligence. Ví dụ: Cisco Firepower IPS, Cisco FTD.
Host-based IPS (HIPS) – triển khai trực tiếp trên từng máy chủ hoặc thiết bị đầu cuối để giám sát hành vi nội bộ.
Cơ chế phát hiện tấn công của IPS
Các hệ thống IDS/IPS hiện đại như Firepower sử dụng nhiều kỹ thuật kết hợp để phát hiện và ngăn chặn mối đe dọa:
Pattern Matching: So khớp chuỗi byte đặc trưng với các gói tin – chính là cách hoạt động của các chữ ký (signature).
Stateful Pattern Matching: Phân tích trạng thái của luồng TCP – kiểm tra theo thứ tự và mối liên hệ giữa các gói tin.
Protocol Analysis: Phân tích và kiểm tra tính hợp lệ của giao thức ở Layer 7.
Heuristic Analysis: Dựa trên quy tắc logic/phán đoán (if-then) để nhận biết hành vi bất thường.
Anomaly Detection: Phát hiện những hành vi khác biệt so với baseline đã học.
Global Threat Intelligence Correlation: So sánh lưu lượng hiện tại với các mối đe dọa toàn cầu (thường dùng các feed như Cisco Talos).
Hiểu rõ Pattern Matching vs Stateful Pattern Matching
Pattern Matching (khớp mẫu tĩnh):
Ví dụ: Nếu một gói TCP gửi đến port 1234 và chứa chuỗi ff11ff22 → hệ thống sinh cảnh báo.
Lợi điểm:
Phân tích nhanh, ít tốn tài nguyên.
Có thể áp dụng trên nhiều giao thức phổ biến (HTTP, FTP...).
Hạn chế:
Dễ bị bypass nếu hacker thay đổi nhỏ chuỗi dữ liệu.
Tỷ lệ false positive cao.
Không phát hiện tốt các giao thức không có port rõ ràng như ESP, GRE.
Stateful Pattern Matching (khớp mẫu có trạng thái):
Phân tích dòng TCP theo thứ tự thời gian, giữ trạng thái từng luồng kết nối.
Lợi điểm:
Theo dõi được mẫu tấn công trải dài nhiều gói tin (multi-packet attack).
Phát hiện chính xác hơn trong môi trường nhiều luồng.
Hạn chế:
Tốn nhiều tài nguyên CPU/RAM.
Vẫn tồn tại false positive/false negative nếu signature kém tối ưu.
Một số ví dụ tấn công mà IPS có thể ngăn chặn
Tấn công buffer overflow từ một client gửi payload độc hại đến web server.
Các nỗ lực quét cổng, dò mật khẩu SSH.
Malware command-and-control traffic ẩn trong HTTP, DNS.
Các lỗ hổng đã có chữ ký như CVE-2021-44228 (Log4Shell) hoặc EternalBlue (SMBv1).
Tích hợp IPS trong hạ tầng bảo mật tổng thể
Ngày nay, các hệ thống IPS không còn đứng một mình mà thường được tích hợp vào nền tảng Next-Gen Firewall (NGFW) như Cisco FTD. Chúng phối hợp với các thành phần khác trong kiến trúc Zero Trust, SASE, SIEM để cung cấp bảo mật end-to-end:
Firewall + IPS: Lọc theo rule kết hợp phát hiện tấn công.
SIEM + IPS: Phân tích sự kiện, gửi alert, kích hoạt playbook tự động.
SDN + IPS: Triển khai IPS linh hoạt theo dịch chuyển máy ảo (VM mobility).
Tổng kết dành cho kỹ sư mạng và bảo mật
Việc hiểu rõ cách hoạt động của IPS, đặc biệt là kỹ thuật stateful detection và signature matching, là nền tảng để xây dựng và vận hành hệ thống phòng thủ mạng mạnh mẽ. Không chỉ cấu hình đúng IPS, bạn còn cần hiểu các kịch bản tấn công, chiến thuật vượt qua IPS (evasion techniques), và liên tục cập nhật threat intelligence.
TIP chuyên sâu: Trong môi trường mạng tốc độ cao hoặc đòi hỏi thấp latency (Data Center, SD-WAN), bạn nên triển khai IPS với hardware acceleration, hoặc kết hợp với Sensor Mode + Offload để đạt hiệu năng tối ưu.
