Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Inline (software) Bypass - Đặc điểm Bypass được hỗ trợ bởi tất cả các cảm biến Cisco IPS. Với đặc tính này, lưu lượng vẫn được chuyển đi nếu có một engine phân tích (analysis engine) bị lỗi. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Inline (software) Bypass (tt) 3 chế độ hoạt động của Bypass, mặc định là “auto”: - Auto: nếu “engine phân tích” (analysis engine) bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm biến nhưng sẽ không còn được giám sát. - Off: nếu “engine phân tích” bị lỗi, bộ cảm biến sẽ ngưng lưu lượng đi qua nó. - On: lưu lượng sẽ bỏ qua “engine phân tích” và sẽ không được giám sát. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Inline (software) Bypass (tt) - Cisco IPS 4260 và 4270 hỗ trợ Hardware bypass bằng cách dùng card GigabitEthernet 4- port. - Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa 2 và 3. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Inline (software) Bypass (tt) Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp các cổng không được hỗ trợ HW bypass với nhau. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên EtherChannel: nhiều bộ cảm biến được kết nối cùng một switch trong một “bó” EtherChannel. Lên đến 8 bộ cảm biến IPS có thể bó lại cùng nhau. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm biến được kết nối đến nhiều switch và nhiều đường dự phòng được tạo ra. Trong trường hợp này, Spanning tree protocol (STP) sẽ kiểm tra những đường này và chuyển hướng lưu lượng khi có lỗi xảy ra. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Routing-based sensor High availability Phương pháp này được thực hiện bằng cách chạy các giao thức định tuyến trên các đường (paths) nơi mà các bộ cảm biến IPS được cài đặt. Phương pháp này hỗ trợ cả active-acitve và active-stand by HA. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Routing-based sensor High availability (tt) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Cisco ASA-based sensor High Availability [...]... Mạng máy tính và truyền thông NIPS trong Data Center Lưu ý: - Data center được thiết kế để đáp ứng tốc độ cao, tính kết nối sẵn sàng cao Do đó, phải đảm bảo rằng NIPS không tác động các yếu tố này của Data center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 24 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Lưu ý: - Data center được thiết kế để đáp... Do đó, phải đảm bảo rằng NIPS không tác động các yếu tố này của Data center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 25 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Lưu ý: - Data center được thiết kế để đáp ứng tốc độ cao, tính kết nối sẵn sàng cao Do đó, phải đảm bảo rằng NIPS không tác động các yếu tố này của Data center Hệ thống tìm kiếm,... tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 27 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 28 Đại học Công nghệ thông tin Khoa Mạng máy tính... Availability với sản phẩm Mcafee 1 cảm biến sẽ ở trạng thái “active”, trong khi cái kia sẽ ở trạng thái “standby” Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hướng dẫn thực hiện Network IPS Enterprise or provider Internet edge Wide-area networks (WAN) Data center Centralized campus Hệ thống tìm kiếm, phát hiện và ngăn ngừa... (sniffing) và tấn công Man-in-the-midle Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) 2 Hướng triển khai NIPS với WAN là: - Triển khai tập trung (centrally) - Triển khai phân tán Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông... thông Wide-Area Network Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Các mối nguy hiểm phổ biến trong WAN: - Tấn công vào cơ sở hạ tầng như là truy cập trái phép, leo thang đặc quyền (privilege escalation), và tấn công DoS - Các hành động nguy hiểm được tạo ra bởi client, ví dụ như sử dụng các phần . nhập 12 Hướng dẫn thực hiện Network IPS Enterprise or provider Internet edge Wide-area networks (WAN) Data center Centralized campus Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS trên STP: nhiều bộ cảm biến được kết nối đến nhiều switch và nhiều đường dự phòng được tạo ra. Trong trường hợp này, Spanning tree protocol (STP) sẽ kiểm tra những đường này và chuyển hướng lưu. ngăn ngừa xâm nhập 11 High Availability với sản phẩm Mcafee 1 cảm biến sẽ ở trạng thái “active”, trong khi cái kia sẽ ở trạng thái “standby” Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền