Tài liệu Triển khai hệ thống phát hiện và ngăn ngừa xâm nhập (ids ips)

  • Số trang: 31 |
  • Loại file: PDF |
  • Lượt xem: 272 |
  • Lượt tải: 0
tranphuong

Đã đăng 59174 tài liệu

Mô tả:

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Triển khai hệ thống phát hiện và ngăn ngừa xâm nhập (IDS/IPS) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tăng tính sẵn sàng cho IPS (High availability) Tăng tính sẵn sàng cho IPS là hướng tiếp cận trong thiết kế hệ thống để giới hạn và tránh sự gián đoạn cung cấp dịch vụ. 2 phương pháp tiếp cận để xử lý khi cảm biến IPS bị lỗi: - Sử dụng các đặc tính Cisco IPS bypass - Sử dụng các kỹ thuật dự phòng khác nhau (sử dụng nhiều cảm biến dự phòng). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Inline (software) Bypass - Đặc điểm Bypass được hỗ trợ bởi tất cả các cảm biến Cisco IPS. Với đặc tính này, lưu lượng vẫn được chuyển đi nếu có một engine phân tích (analysis engine) bị lỗi. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Inline (software) Bypass (tt) 3 chế độ hoạt động của Bypass, mặc định là “auto”: - Auto: nếu “engine phân tích” (analysis engine) bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm biến nhưng sẽ không còn được giám sát. - Off: nếu “engine phân tích” bị lỗi, bộ cảm biến sẽ ngưng lưu lượng đi qua nó. - On: lưu lượng sẽ bỏ qua “engine phân tích” và sẽ không được giám sát. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Inline (software) Bypass (tt) - Cisco IPS 4260 và 4270 hỗ trợ Hardware bypass bằng cách dùng card GigabitEthernet 4- port. - Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa 2 và 3. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Inline (software) Bypass (tt) Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp các cổng không được hỗ trợ HW bypass với nhau. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên EtherChannel: nhiều bộ cảm biến được kết nối cùng một switch trong một “bó” EtherChannel. Lên đến 8 bộ cảm biến IPS có thể bó lại cùng nhau. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm biến được kết nối đến nhiều switch và nhiều đường dự phòng được tạo ra. Trong trường hợp này, Spanning tree protocol (STP) sẽ kiểm tra những đường này và chuyển hướng lưu lượng khi có lỗi xảy ra. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Routing-based sensor High availability Phương pháp này được thực hiện bằng cách chạy các giao thức định tuyến trên các đường (paths) nơi mà các bộ cảm biến IPS được cài đặt. Phương pháp này hỗ trợ cả active-acitve và active-standby HA. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Routing-based sensor High availability (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco ASA-based sensor High Availability Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông High Availability với sản phẩm Mcafee 1 cảm biến sẽ ở trạng thái “active”, trong khi cái kia sẽ ở trạng thái “standby” Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hướng dẫn thực hiện Network IPS Enterprise or provider Internet edge Wide-area networks (WAN) Data center Centralized campus Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hướng dẫn thực hiện Network IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Enterprise or provider Internet edge Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Các mối nguy hiểm phổ biến trong WAN: - Tấn công vào cơ sở hạ tầng như là truy cập trái phép, leo thang đặc quyền (privilege escalation), và tấn công DoS. - Các hành động nguy hiểm được tạo ra bởi client, ví dụ như sử dụng các phần mềm độc hại. - Các lỗ hổng tại nơi “quá cảnh” của mạng WAN, như là đánh hơi (sniffing) và tấn công Man-in-the-midle. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) 2 Hướng triển khai NIPS với WAN là: - Triển khai tập trung (centrally) - Triển khai phân tán Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Triển khai tập trung (centrally): - Hiệu quả về chi phí - Dễ dàng quản lý - Cần ít cảm biến hơn triển khai phân tán. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20
- Xem thêm -