Mô tả:
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Triển khai hệ thống phát hiện
và ngăn ngừa xâm nhập (IDS/IPS)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Tăng tính sẵn sàng cho IPS
(High availability)
Tăng tính sẵn sàng cho IPS là hướng tiếp
cận trong thiết kế hệ thống để giới hạn và tránh
sự gián đoạn cung cấp dịch vụ.
2 phương pháp tiếp cận để xử lý khi cảm
biến IPS bị lỗi:
- Sử dụng các đặc tính Cisco IPS bypass
- Sử dụng các kỹ thuật dự phòng khác nhau
(sử dụng nhiều cảm biến dự phòng).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Inline (software) Bypass
- Đặc điểm Bypass được hỗ trợ bởi tất cả các
cảm biến Cisco IPS. Với đặc tính này, lưu
lượng vẫn được chuyển đi nếu có một engine
phân tích (analysis engine) bị lỗi.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Inline (software) Bypass (tt)
3 chế độ hoạt động của Bypass, mặc định là
“auto”:
- Auto: nếu “engine phân tích” (analysis engine)
bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm
biến nhưng sẽ không còn được giám sát.
- Off: nếu “engine phân tích” bị lỗi, bộ cảm biến
sẽ ngưng lưu lượng đi qua nó.
- On: lưu lượng sẽ bỏ qua “engine phân tích” và
sẽ không được giám sát.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Inline (software) Bypass (tt)
- Cisco IPS 4260 và 4270 hỗ trợ Hardware
bypass bằng cách dùng card GigabitEthernet
4- port.
- Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa
2 và 3.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Inline (software) Bypass (tt)
Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp
các cổng không được hỗ trợ HW bypass với nhau.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên EtherChannel:
nhiều bộ cảm biến được kết nối cùng một switch
trong một “bó” EtherChannel. Lên đến 8 bộ cảm
biến IPS có thể bó lại cùng nhau.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm
biến được kết nối đến nhiều switch và nhiều đường
dự phòng được tạo ra. Trong trường hợp này,
Spanning tree protocol (STP) sẽ kiểm tra những
đường này và chuyển hướng lưu lượng khi có lỗi
xảy ra.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên STP
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Routing-based sensor High
availability
Phương pháp này được thực hiện bằng cách chạy
các giao thức định tuyến trên các đường (paths) nơi
mà các bộ cảm biến IPS được cài đặt. Phương pháp
này hỗ trợ cả active-acitve và active-standby HA.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Routing-based sensor High
availability (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco ASA-based sensor
High Availability
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
High Availability với sản phẩm Mcafee
1 cảm biến sẽ ở trạng thái
“active”, trong khi cái kia
sẽ ở trạng thái “standby”
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hướng dẫn thực hiện Network IPS
Enterprise or provider Internet edge
Wide-area networks (WAN)
Data center
Centralized campus
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hướng dẫn thực hiện Network IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Enterprise or provider Internet edge
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Wide-Area Network
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Wide-Area Network (tt)
Các mối nguy hiểm phổ biến trong WAN:
- Tấn công vào cơ sở hạ tầng như là truy cập trái
phép, leo thang đặc quyền (privilege escalation),
và tấn công DoS.
- Các hành động nguy hiểm được tạo ra bởi
client, ví dụ như sử dụng các phần mềm độc hại.
- Các lỗ hổng tại nơi “quá cảnh” của mạng
WAN, như là đánh hơi (sniffing) và tấn công
Man-in-the-midle.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Wide-Area Network (tt)
2 Hướng triển khai NIPS với WAN là:
- Triển khai tập trung (centrally)
- Triển khai phân tán
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Wide-Area Network (tt)
Triển khai tập trung (centrally):
- Hiệu quả về chi phí
- Dễ dàng quản lý
- Cần ít cảm biến hơn triển khai phân tán.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
- Xem thêm -