Đăng ký Đăng nhập
Trang chủ Công nghệ thông tin An ninh bảo mật Áp dụng acls lên giao diện ngoài hay trong...

Tài liệu Áp dụng acls lên giao diện ngoài hay trong

.PDF
28
410
56

Mô tả:

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giai đoạn điều chỉnh Các giai đoạn điều chỉnh được liệt kê ở đây tương ứng với chiều dài thời gian mà bộ cảm biến đã được hoạt động tại vị trí hiện tại: - Giai đoạn triển khai (deployment phase) - Giai đoạn điều chỉnh (Tuning phase) - Giai đoạn bảo trì (Maintenance phase) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giai đoạn điều chỉnh (tt) Giai đoạn triển khai (deployment phase): Giai đoạn này được hoàn tất trong quá trình triển khai và thiết lập ban đầu. Trong suốt giai đoạn này, bộ cảm biến đang hoạt động ở cấu hình mặc định, cái mà có thể đã được điều chỉnh cho việc triển khai ở mức trung bình. Tùy thuộc vào chính sách bảo mật và vị trí đặt bộ cảm biến, các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt động cần được giám sát. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giai đoạn điều chỉnh (tt) Giai đoạn điều chỉnh (Tuning phase) Hầu hết các hoạt động và công việc đều xảy ra ở giai đoạn điều chỉnh. Trước khi bắt đầu giai đoạn điều chỉnh, bộ cảm biến nên được hoạt động liên tục để mà nó có thể “thấy” được các mẫu bình thường (normal sampling) của hoạt động mạng. Trong thời gian này, bộ cảm biến có thể phát ra một số lượng đáng kể các sự kiện cái mà có thể được sử dụng trong quá trình điều chỉnh. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giai đoạn điều chỉnh (tt) Giai đoạn bảo trì (Maintenance phase) Giai đoạn này được hoàn thành định kỳ khi việc điều chỉnh chở nên cần thiết, như là mỗi lần dấu hiệu được cập nhật cho cảm biến. Bởi vì việc cập nhật dấu hiệu không chỉ là thêm các dấu hiệu mới mà còn điều chỉnh cách mà nó bật lên cảnh báo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh Trên bộ cảm biến: - Bật hoặc tắt các dấu hiệu. - Thay đổi mức độ cảnh báo. - Thay đổi các tham số của dấu hiệu. - Tạo các chính sách để ghi đè lên các hành động của sự kiện. - Tạo ra các bộ lọc hành động sự kiện. Trên Ứng dụng giám sát: - Xác định các sự kiện mà người quản trị muốn xem Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Ví dụ: Bật hoặc tắt các dấu hiệu. Kích hoạt dấu hiệu mà bị vô hiệu hóa (disable) ở chế độ mặc định. Việc bật lên này nhằm đáp ứng tình huống cụ thể trong hệ thống mạng. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Thay đổi mức độ cảnh báo Kỹ thuật điều chỉnh này liên quan đến vị trí của bộ cảm biến hoặc chính sách đang được áp dụng tại vị trí của bộ cảm biến đó. Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan tới web cần được hạ thấp xuống trên bộ cảm biến đang giám sát lưu lượng từ bên ngoài tường lửa. Điều này phụ thuộc vào lưu lượng truy cập web tại nơi đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Thay đổi các tham số của dấu hiệu Kỹ thuật điều chỉnh này thường được sử dụng để điều khiển ngưỡng khởi phát của dấu hiệu (the firing of signature). Ví dụ: một công ty nhỏ thiết lập dấu hiệu quét ICMP với dấu hiệu Echo sẽ được khởi phát nếu có 5 máy nhận gói echo request trong vòng 15 giây. Một công ty lớn hơn có thể thiết lập 10 máy trong vòng 15 giây. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện Kỹ thuật điều chỉnh này thường được dùng để giảm “sự phát hiện nguy hiểm sai”. Các bộ lọc hành động của sự kiện (event action filter) được dùng để ngăn chặn bộ cảm biến thực hiện một hành động đặc biệt nào đó (bao gồm cả phát ra cảnh báo). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện: IDS version 4.x Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện: IDS version 5.0 Với IPS version 5.0, bộ cảm biến có thể thực hiện hành động mà không cần phát ra cảnh báo, cũng như là các hành động phụ thuộc vào các chính sách được cấu hình cụ thể. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Xác định các sự kiện mà người quản trị muốn xem Kỹ thuật này là một phần cấu hình ứng dụng giám sát. Ví dụ: IDM có thể được cấu hình để yêu cầu các cảnh báo tại một mức độ cụ thể nào đó của cảnh báo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Đánh giá giá trị mục tiêu Đánh giá giá trị của mục tiêu có thể được gán cho các tài nguyên mạng. Đánh giá giá trị mục tiêu là một trong các yếu tố được sử dụng để tính toán giá trị mức độ nguy hiểm cho mỗi cảnh báo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Đánh giá giá trị mục tiêu (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phần 2 Cấu hình khả năng Ngăn chặn (Blocking) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm Ngăn chặn (Blocking): đặc tính của cảm biến Cisco IPS. Đặc tính ngăn chặn các gói tin đi tới được đích của chúng. Ngăn chặn được khởi tạo bởi bộ cảm biến và được thực hiện bởi một thiết bị Cisco khác tại thời điểm yêu cầu của bộ cảm biến. NAC: Ứng dụng ngăn chặn (the blocking application) trên bộ cảm biến. Device management: Khả năng của bộ cảm biến để tương tác với thiết bị của Cisco và tự động cấu hình lại thiết bị Cisco để ngưng cuộc tấn công. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm (tt) Thiết bị ngăn chặn (Blocking device): đây là thiết bị Cisco dùng để trực tiếp ngăn chặn cuộc tấn công; còn được gọi là thiết bị bị quản lý (the managed device) Cảm biến ngăn chặn (Blocking sensor): Cảm biến Cisco IPS được cấu hình để điều khiển thiết bị bị quản lý. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm (tt) Giao diện (managed interface) hoặc VLAN bị quản lý : giao diện hoặc VLAN trên thiết bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ áp dụng ACLs hoặc VACLs. Active ACL hoặc VACL: ACL hoặc VACL được tạo và được áp dụng cho các giao diện hoặc VLANs bị quản lý bởi bộ cảm biến Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các thiết bị ngăn chặn (Blocking devices) • Cisco routers • PIX Security Appliances • Firewall Services Modules • Catalyst 5000 family switches • Catalyst 6000 family switches Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các yêu cầu cho thiết bị ngăn chặn - Bộ cảm biến phải có khả năng kết nối với thiết bị ngăn chặn thông qua IP. - Bộ cảm biến phải được phép truy cập từ xa tới thiết bị bị quản lý (managed device) thông qua một trong các kiểu sau: Telnet, ssh. - Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợ cho việc mã hóa DES hoặc 3DES. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20
- Xem thêm -

Tài liệu liên quan