Mô tả:
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giai đoạn điều chỉnh
Các giai đoạn điều chỉnh được liệt kê ở đây
tương ứng với chiều dài thời gian mà bộ cảm
biến đã được hoạt động tại vị trí hiện tại:
- Giai đoạn triển khai (deployment phase)
- Giai đoạn điều chỉnh (Tuning phase)
- Giai đoạn bảo trì (Maintenance phase)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giai đoạn điều chỉnh (tt)
Giai đoạn triển khai (deployment phase):
Giai đoạn này được hoàn tất trong quá trình
triển khai và thiết lập ban đầu. Trong suốt giai
đoạn này, bộ cảm biến đang hoạt động ở cấu
hình mặc định, cái mà có thể đã được điều chỉnh
cho việc triển khai ở mức trung bình. Tùy thuộc
vào chính sách bảo mật và vị trí đặt bộ cảm biến,
các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt
động cần được giám sát.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giai đoạn điều chỉnh (tt)
Giai đoạn điều chỉnh (Tuning phase)
Hầu hết các hoạt động và công việc đều xảy
ra ở giai đoạn điều chỉnh. Trước khi bắt đầu giai
đoạn điều chỉnh, bộ cảm biến nên được hoạt
động liên tục để mà nó có thể “thấy” được các
mẫu bình thường (normal sampling) của hoạt
động mạng. Trong thời gian này, bộ cảm biến có
thể phát ra một số lượng đáng kể các sự kiện cái
mà có thể được sử dụng trong quá trình điều
chỉnh.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giai đoạn điều chỉnh (tt)
Giai đoạn bảo trì (Maintenance phase)
Giai đoạn này được hoàn thành định kỳ
khi việc điều chỉnh chở nên cần thiết, như là
mỗi lần dấu hiệu được cập nhật cho cảm
biến. Bởi vì việc cập nhật dấu hiệu không chỉ
là thêm các dấu hiệu mới mà còn điều chỉnh
cách mà nó bật lên cảnh báo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh
Trên bộ cảm biến:
- Bật hoặc tắt các dấu hiệu.
- Thay đổi mức độ cảnh báo.
- Thay đổi các tham số của dấu hiệu.
- Tạo các chính sách để ghi đè lên các hành động của
sự kiện.
- Tạo ra các bộ lọc hành động sự kiện.
Trên Ứng dụng giám sát:
- Xác định các sự kiện mà người quản trị muốn xem
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Ví dụ: Bật hoặc tắt các dấu hiệu.
Kích hoạt dấu hiệu mà bị vô hiệu hóa
(disable) ở chế độ mặc định. Việc bật lên này
nhằm đáp ứng tình huống cụ thể trong hệ
thống mạng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Thay đổi mức độ cảnh báo
Kỹ thuật điều chỉnh này liên quan đến vị trí
của bộ cảm biến hoặc chính sách đang được áp
dụng tại vị trí của bộ cảm biến đó.
Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan
tới web cần được hạ thấp xuống trên bộ cảm biến
đang giám sát lưu lượng từ bên ngoài tường lửa.
Điều này phụ thuộc vào lưu lượng truy cập web
tại nơi đó.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Thay đổi các tham số của dấu hiệu
Kỹ thuật điều chỉnh này thường được sử
dụng để điều khiển ngưỡng khởi phát của dấu
hiệu (the firing of signature).
Ví dụ: một công ty nhỏ thiết lập dấu hiệu quét
ICMP với dấu hiệu Echo sẽ được khởi phát nếu
có 5 máy nhận gói echo request trong vòng 15
giây. Một công ty lớn hơn có thể thiết lập 10 máy
trong vòng 15 giây.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện
Kỹ thuật điều chỉnh này thường được dùng
để giảm “sự phát hiện nguy hiểm sai”. Các
bộ lọc hành động của sự kiện (event action
filter) được dùng để ngăn chặn bộ cảm biến
thực hiện một hành động đặc biệt nào đó (bao
gồm cả phát ra cảnh báo).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 4.x
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 5.0
Với IPS version 5.0, bộ cảm biến có thể
thực hiện hành động mà không cần phát ra
cảnh báo, cũng như là các hành động phụ
thuộc vào các chính sách được cấu hình cụ
thể.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các phương pháp điều chỉnh (tt)
Xác định các sự kiện mà người quản trị
muốn xem
Kỹ thuật này là một phần cấu hình ứng dụng
giám sát.
Ví dụ: IDM có thể được cấu hình để yêu cầu
các cảnh báo tại một mức độ cụ thể nào đó
của cảnh báo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Đánh giá giá trị mục tiêu
Đánh giá giá trị của mục tiêu có thể được gán
cho các tài nguyên mạng. Đánh giá giá trị
mục tiêu là một trong các yếu tố được sử
dụng để tính toán giá trị mức độ nguy hiểm
cho mỗi cảnh báo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Đánh giá giá trị mục tiêu (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Phần 2
Cấu hình khả năng Ngăn chặn
(Blocking)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các khái niệm
Ngăn chặn (Blocking): đặc tính của cảm biến Cisco
IPS. Đặc tính ngăn chặn các gói tin đi tới được đích
của chúng. Ngăn chặn được khởi tạo bởi bộ cảm
biến và được thực hiện bởi một thiết bị Cisco khác
tại thời điểm yêu cầu của bộ cảm biến.
NAC: Ứng dụng ngăn chặn (the blocking
application) trên bộ cảm biến.
Device management: Khả năng của bộ cảm biến để
tương tác với thiết bị của Cisco và tự động cấu hình
lại thiết bị Cisco để ngưng cuộc tấn công.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các khái niệm (tt)
Thiết bị ngăn chặn (Blocking device): đây
là thiết bị Cisco dùng để trực tiếp ngăn chặn
cuộc tấn công; còn được gọi là thiết bị bị
quản lý (the managed device)
Cảm biến ngăn chặn (Blocking sensor):
Cảm biến Cisco IPS được cấu hình để điều
khiển thiết bị bị quản lý.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các khái niệm (tt)
Giao diện (managed interface) hoặc VLAN
bị quản lý : giao diện hoặc VLAN trên thiết
bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ
áp dụng ACLs hoặc VACLs.
Active ACL hoặc VACL: ACL hoặc VACL
được tạo và được áp dụng cho các giao diện
hoặc VLANs bị quản lý bởi bộ cảm biến
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các thiết bị ngăn chặn
(Blocking devices)
• Cisco routers
• PIX Security Appliances
• Firewall Services Modules
• Catalyst 5000 family switches
• Catalyst 6000 family switches
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các yêu cầu cho thiết bị ngăn chặn
- Bộ cảm biến phải có khả năng kết nối với
thiết bị ngăn chặn thông qua IP.
- Bộ cảm biến phải được phép truy cập từ xa
tới thiết bị bị quản lý (managed device) thông
qua một trong các kiểu sau: Telnet, ssh.
- Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợ
cho việc mã hóa DES hoặc 3DES.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
- Xem thêm -