Các loại phần cứng
và phần mềm hỗ
trợ IDS/IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
1
c thiết bị Cisco hỗ trợ
twork IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
BỘ CẢM BIẾN CISCO IPS ĐƯỢC TÍCH HỢP
TRONG NHIỀU LOẠI THIẾT BỊ CỦA CISCO:
- THIẾT BỊ IPS ĐỘC LẬP (CHUYÊN DỤNG):
CÁC BỘ CẢM BIẾN DÒNG CISCO IPS 4200.
- CISCO AIM-IPS, NME-IPS ĐƯỢC TÍCH HỢP
TRONG CÁC BỘ ĐỊNH TUYẾN CISCO
(ROUTER)
- DÒNG SẢN PHẨM ASA 5500 ĐƯỢC TÍCH
HỢP IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
2
trợ
network IPS (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
3
Các dòng cảm biến
Cisco IPS 4200
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ĐÂY LÀ CÁC BỘ CẢM BIẾN IPS ĐỘC LẬP
VÀ CHUYÊN DỤNG.
CÁC THIẾT BỊ NÀY CÓ THỂ VẬN CHUYỂN
THÔNG LƯỢNG LÊN TỚI 4GBPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
4
Các dòng cảm biến
Cisco IPS 4200 (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Đặc điểm
Cảm biến
Cisco IPS
4240
Cảm biến
Cisco IPS
4255
Cảm biến
Cisco IPS
4260
Cảm biến
Cisco IPS
4270
Thông lượng
300 Mbps
600 Mbps
2 Gbps
4Gbps
4
4
1
4
10/1001000
Base-TX
10/1001000
Base-TX
Tùy chọn
có
Số lượng cổng
cảm biến
Cổng điều
khiển
Năng lượng
nguồn dự
phòng
10/100Base-TX 10/100Base-TX
không
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
không
5
Bộ cảm biến Cisco
IPS 4255
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
6
Bộ cảm biến Cisco
IPS 4260
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
7
Cisco ASA AIP SSM
và AIP SSC
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
CÁC MÔ-ĐUN AIP SSM VÀ AIP SSC
ĐƯỢC TÍCH HỢP VÀO CÁC DÒNG CISCO
ASA 5500 ĐỂ CUNG CẤP TÍNH NĂNG
PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP
MẠNG.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
8
Cisco ASA AIP SSM và
AIP SSC (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco ASA Cisco ASA Cisco ASA Cisco ASA
AIP SSC-5 AIP SSCAIP SSCAIP SSC10
15
20
Thiết bị được
hỗ trợ
Thông lượng
ASA 5505
75 Mbps
ASA 5510
ASA 5520
225 Mbps
ASA 5520
ASA 5540
500 Mbps
ASA 5520
ASA5540
650 Mbps
Phát hiện bất
thường
Không
Có
Có
Có
Hỗ trợ tự điều
chỉnh dấu hiệu
Không
Có
Có
có
1
4
4
4
Cảm biến ảo
(Virtual
Sensors)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco ASA 5505
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
10
Vị trí của ASA trong hệ
thống mạng
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
VỚI BỘ ĐỊNH TUYẾN BÊN TRONG
MẠNG
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
11
Vị trí của ASA trong hệ
thống mạng (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
KHÔNG CÓ BỘ ĐỊNH TUYẾN BÊN
TRONG MẠNG
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
12
NME-IPS trên Cisco
ISR routers
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
AIM: CISCO IPS ADVANCED INTEGRATION
MODULE
NME: NETWORK MODULE ENHANCED
CÁC DÒNG ROUTER HỖ TRỢ AIM: CISCO
ROUTER 1841, 2801, 2811, 2821, 2851, 3825,
3845
CÁC DÒNG ROUTER HỖ TRỢ NME: CISCO
ROUTER 2811, 2821, 2851, 2911, 2921, 2951,
3825, 3845, 3925, 3945.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
IBM Security Network Intrusion
Prevention
System
Virtual
Appliance
Model GX400 GX400 GX500 GX510 GX520 GX741 GX741 GX741
4-200
4
8
8
8
2-5
2-10
2
GX780
0
Băng
thông
được
kiểm tra
Up to
200
Mbps
Up to
800
Mbps
Up to
1.5
Gbps
Up to
2.5
Gbps
Up to 4
Gbps
Up to 5
Gbps
Up to
10
Gbps
Up to
15
Gbps
Up to
20
Gbps+
Độ trễ
<150 μs
<150 μs
<150 μs
<150 μs
<150 μs
<75 μs
<75 μs
<75 μs
<50 μs
kết nối
/s
35,000
35,000
37,000
42,500
50,000
525,000
525,000
525,000
650,000
SL
phiên
1,300,0
00
1,300,0
00
1,500,0
00
1,800,0
00
2,200,0
00
12,500,
000
12,500,
000
12,500,
000
21,000,
000
Cổng
quản lý
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
10/100/
1000
(IPv6
supported)
(4) 1
GbE
(4) 1
GbE
(2) 10/1
GbE +
(6) 1
GbE
(2) 10/1
GbE +
(6) 1
GbE
(2) 10/1
GbE +
(6) 1
GbE
(4) 10/1
GbE
Phân
(2) 1
(2) 1
(4) 1
khúc
GbE
GbE
GbE
bảo vệ
nội
Hệ thống
tuyếntìm kiếm, phát hiện và ngăn ngừa xâm
nhập
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
IBM Security Network Intrusion
Prevention System Virtual Appliance
Model
GX400
4-200
GX400
4
GX500
8
GX510
8
GX520
8
GX741
2-5
GX741
2-10
GX741
2
GX780
0
Cổng
giám sát
4×1 GbE
4×1 GbE
8×1 GbE
8×1 GbE
8×1 GbE
4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
8×10
GbE
(SFP+)
Nguồn
dự
phòng
Không
Không
Có
Có
Có
Có
Có
Có
Có
Lưu trữ
dự
phòng
Không
Không
Có
Có
Có
Có
Có
Có
Có
Bypass
Bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
bypass 15
Active/ac
tive;
active/pa
ssive;
geodisperse
d HA;
external
hardware
-level
Hệ thống tìm kiếm, phát hiện và ngăn ngừa
xâm
bypass
nhập
Tính sẳn
sàng cao
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
IBM Security Network Intrusion
Prevention System Virtual Appliance
Một số hình ảnh về IBM IPS
GX404 up to 800M and
1.300.000 session
GX5208 up to 4Gbs and
2.200.000 Session
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
GX7412 up to 12Gbs
and 12.500.000 session
GX7800 up to 20Gbs
and 21.000.000 session
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort
SNORT LÀ CHƯƠNG TRÌNH BẢO MẬT
MÃ NGUỒN MỞ VỚI 3 CHỨC NĂNG
CHÍNH:
- A PACKET SNIFFER
- A PACKET LOGGER
- HỆ THỐNG PHÁT HIỆN XÂM NHẬP
TRIỂN KHAI TRÊN MẠNG (A NETWORKBASED INTRUSION DETECTION SYSTEM)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ưu điểm của Snort
- MÃ NGUỒN MỞ.
- THỰC HIỆN TRONG SUỐT VỚI NGƯỜI
DÙNG.
- CHẠY TRÊN NHIỀU HỆ ĐIỀU HÀNH:
LINUX, WINDOWS, MACOS X...
- CÓ ĐẦY ĐỦ TÍNH NĂNG CỦA 1 IDS/IPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
18
Các thành phần cơ
bản của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
PACKET DECODER: BỘ GIẢI MÃ GÓI
PREPROCESSORS: BỘ TIỀN XỬ LÝ.
DETECTION ENGINE: BỘ MÁY PHÁT HIỆN
LOGGING AND ALERTING SYSTEM: HỆ
THỐNG GHI VÀ CẢNH BÁO.
OUTPUT MODULES: CÁC MÔ ĐUN XUẤT.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
19
Cơ chế hoạt động
của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
20
- Xem thêm -