Tài liệu Các loại phần cứng và phần mềm hỗ trợ ids ips

Các loại phần cứng và phần mềm hỗ trợ IDS/IPS Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 c thiết bị Cisco hỗ trợ twork IPS Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông BỘ CẢM BIẾN CISCO IPS ĐƯỢC TÍCH HỢP TRONG NHIỀU LOẠI THIẾT BỊ CỦA CISCO: - THIẾT BỊ IPS ĐỘC LẬP (CHUYÊN DỤNG): CÁC BỘ CẢM BIẾN DÒNG CISCO IPS 4200. - CISCO AIM-IPS, NME-IPS ĐƯỢC TÍCH HỢP TRONG CÁC BỘ ĐỊNH TUYẾN CISCO (ROUTER) - DÒNG SẢN PHẨM ASA 5500 ĐƯỢC TÍCH HỢP IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 trợ network IPS (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Các dòng cảm biến Cisco IPS 4200 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ĐÂY LÀ CÁC BỘ CẢM BIẾN IPS ĐỘC LẬP VÀ CHUYÊN DỤNG. CÁC THIẾT BỊ NÀY CÓ THỂ VẬN CHUYỂN THÔNG LƯỢNG LÊN TỚI 4GBPS. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Các dòng cảm biến Cisco IPS 4200 (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Đặc điểm Cảm biến Cisco IPS 4240 Cảm biến Cisco IPS 4255 Cảm biến Cisco IPS 4260 Cảm biến Cisco IPS 4270 Thông lượng 300 Mbps 600 Mbps 2 Gbps 4Gbps 4 4 1 4 10/1001000 Base-TX 10/1001000 Base-TX Tùy chọn có Số lượng cổng cảm biến Cổng điều khiển Năng lượng nguồn dự phòng 10/100Base-TX 10/100Base-TX không Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập không 5 Bộ cảm biến Cisco IPS 4255 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Bộ cảm biến Cisco IPS 4260 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Cisco ASA AIP SSM và AIP SSC Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông CÁC MÔ-ĐUN AIP SSM VÀ AIP SSC ĐƯỢC TÍCH HỢP VÀO CÁC DÒNG CISCO ASA 5500 ĐỂ CUNG CẤP TÍNH NĂNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP MẠNG. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Cisco ASA AIP SSM và AIP SSC (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco ASA Cisco ASA Cisco ASA Cisco ASA AIP SSC-5 AIP SSCAIP SSCAIP SSC10 15 20 Thiết bị được hỗ trợ Thông lượng ASA 5505 75 Mbps ASA 5510 ASA 5520 225 Mbps ASA 5520 ASA 5540 500 Mbps ASA 5520 ASA5540 650 Mbps Phát hiện bất thường Không Có Có Có Hỗ trợ tự điều chỉnh dấu hiệu Không Có Có có 1 4 4 4 Cảm biến ảo (Virtual Sensors) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco ASA 5505 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Vị trí của ASA trong hệ thống mạng Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông VỚI BỘ ĐỊNH TUYẾN BÊN TRONG MẠNG Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 11 Vị trí của ASA trong hệ thống mạng (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông KHÔNG CÓ BỘ ĐỊNH TUYẾN BÊN TRONG MẠNG Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 12 NME-IPS trên Cisco ISR routers Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông AIM: CISCO IPS ADVANCED INTEGRATION MODULE NME: NETWORK MODULE ENHANCED CÁC DÒNG ROUTER HỖ TRỢ AIM: CISCO ROUTER 1841, 2801, 2811, 2821, 2851, 3825, 3845 CÁC DÒNG ROUTER HỖ TRỢ NME: CISCO ROUTER 2811, 2821, 2851, 2911, 2921, 2951, 3825, 3845, 3925, 3945. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông IBM Security Network Intrusion Prevention System Virtual Appliance Model GX400 GX400 GX500 GX510 GX520 GX741 GX741 GX741 4-200 4 8 8 8 2-5 2-10 2 GX780 0 Băng thông được kiểm tra Up to 200 Mbps Up to 800 Mbps Up to 1.5 Gbps Up to 2.5 Gbps Up to 4 Gbps Up to 5 Gbps Up to 10 Gbps Up to 15 Gbps Up to 20 Gbps+ Độ trễ <150 μs <150 μs <150 μs <150 μs <150 μs <75 μs <75 μs <75 μs <50 μs kết nối /s 35,000 35,000 37,000 42,500 50,000 525,000 525,000 525,000 650,000 SL phiên 1,300,0 00 1,300,0 00 1,500,0 00 1,800,0 00 2,200,0 00 12,500, 000 12,500, 000 12,500, 000 21,000, 000 Cổng quản lý 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) 10/100/ 1000 (IPv6 supported) (4) 1 GbE (4) 1 GbE (2) 10/1 GbE + (6) 1 GbE (2) 10/1 GbE + (6) 1 GbE (2) 10/1 GbE + (6) 1 GbE (4) 10/1 GbE Phân (2) 1 (2) 1 (4) 1 khúc GbE GbE GbE bảo vệ nội Hệ thống tuyếntìm kiếm, phát hiện và ngăn ngừa xâm nhập 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông IBM Security Network Intrusion Prevention System Virtual Appliance Model GX400 4-200 GX400 4 GX500 8 GX510 8 GX520 8 GX741 2-5 GX741 2-10 GX741 2 GX780 0 Cổng giám sát 4×1 GbE 4×1 GbE 8×1 GbE 8×1 GbE 8×1 GbE 4×10 GbE (SFP+) + 12×1 GbE (SFP) 4×10 GbE (SFP+) + 12×1 GbE (SFP) 4×10 GbE (SFP+) + 12×1 GbE (SFP) 8×10 GbE (SFP+) Nguồn dự phòng Không Không Có Có Có Có Có Có Có Lưu trữ dự phòng Không Không Có Có Có Có Có Có Có Bypass Bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level bypass 15 Active/ac tive; active/pa ssive; geodisperse d HA; external hardware -level Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm bypass nhập Tính sẳn sàng cao Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông IBM Security Network Intrusion Prevention System Virtual Appliance Một số hình ảnh về IBM IPS GX404 up to 800M and 1.300.000 session GX5208 up to 4Gbs and 2.200.000 Session Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập GX7412 up to 12Gbs and 12.500.000 session GX7800 up to 20Gbs and 21.000.000 session 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort SNORT LÀ CHƯƠNG TRÌNH BẢO MẬT MÃ NGUỒN MỞ VỚI 3 CHỨC NĂNG CHÍNH: - A PACKET SNIFFER - A PACKET LOGGER - HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRIỂN KHAI TRÊN MẠNG (A NETWORKBASED INTRUSION DETECTION SYSTEM) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ưu điểm của Snort - MÃ NGUỒN MỞ. - THỰC HIỆN TRONG SUỐT VỚI NGƯỜI DÙNG. - CHẠY TRÊN NHIỀU HỆ ĐIỀU HÀNH: LINUX, WINDOWS, MACOS X... - CÓ ĐẦY ĐỦ TÍNH NĂNG CỦA 1 IDS/IPS. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 18 Các thành phần cơ bản của Snort Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông PACKET DECODER: BỘ GIẢI MÃ GÓI PREPROCESSORS: BỘ TIỀN XỬ LÝ. DETECTION ENGINE: BỘ MÁY PHÁT HIỆN LOGGING AND ALERTING SYSTEM: HỆ THỐNG GHI VÀ CẢNH BÁO. OUTPUT MODULES: CÁC MÔ ĐUN XUẤT. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 19 Cơ chế hoạt động của Snort Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 20