Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 34 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
34
Dung lượng
582,32 KB
Nội dung
Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Điều chỉnh cảm biến và cấu hình ngăn chặn (blocking) trên thiết bị Cisco Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Phần 1 Điều chỉnh cảm biến Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Điều chỉnh cảm biến Điều chỉnh là quá trình cấu hình bộ cảm biến để làm cho nó có thể giám sát và bảo vệ mạng một cách hiệu quả. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Điều chỉnh cảm biến (tt) - Để điều chỉnh cảm biến thành công, cần phải có sự hiểu biết tốt về: + Hệ thống mạng và các thiết bị độc lập đang được bảo vệ. + Các giao thức được giám sát bởi các dấu hiệu (signature) mà đang được điều chỉnh. - Kiến thức này giúp người quản trị nhận ra các hoạt động mạng bất bình thường so với bình thường. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Những cân nhắc khi điều chỉnh Các thông tin quan trọng cần thu thập trước khi điều chỉnh: - Cấu trúc hệ thống mạng (network topology) - Phần địa chỉ mạng cần được quan sát và bảo vệ. - Địa chỉ của các server bên trong mạng và các địa chỉ được cấp bởi DHCP. - Hệ điều hành đang chạy trên các server. - Các ứng dụng đang chạy trên server. - Chính sách bảo mật. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Vị trí của cảm biến Vị trị của cảm biến rất quan trọng cho việc điều chỉnh vì những lý do sau: - Bản chất của lưu lượng mà bộ cảm biến đang giám sát sẽ thay đổi. - Chính sách bảo mật mà cảm biến đang tương tác sẽ thay đổi tại khác thời điểm triển khai khác nhau. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Các giai đoạn điều chỉnh Các giai đoạn điều chỉnh được liệt kê ở đây tương ứng với chiều dài thời gian mà bộ cảm biến đã được hoạt động tại vị trí hiện tại: - Giai đoạn triển khai (deployment phase) - Giai đoạn điều chỉnh (Tuning phase) - Giai đoạn bảo trì (Maintenance phase) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Các giai đoạn điều chỉnh (tt) Giai đoạn triển khai (deployment phase): Giai đoạn này được hoàn tất trong quá trình triển khai và thiết lập ban đầu. Trong suốt giai đoạn này, bộ cảm biến đang hoạt động ở cấu hình mặc định, cái mà có thể đã được điều chỉnh cho việc triển khai ở mức trung bình. Tùy thuộc vào chính sách bảo mật và vị trí đặt bộ cảm biến, các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt động cần được giám sát. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Các giai đoạn điều chỉnh (tt) Giai đoạn điều chỉnh (Tuning phase) Hầu hết các hoạt động và công việc đều xảy ra ở giai đoạn điều chỉnh. Trước khi bắt đầu giai đoạn điều chỉnh, bộ cảm biến nên được hoạt động liên tục để mà nó có thể “thấy” được các mẫu bình thường (normal sampling) của hoạt động mạng. Trong thời gian này, bộ cảm biến có thể phát ra một số lượng đáng kể các sự kiện cái mà có thể được sử dụng trong quá trình điều chỉnh. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Các giai đoạn điều chỉnh (tt) Giai đoạn bảo trì (Maintenance phase) Giai đoạn này được hoàn thành định kỳ khi việc điều chỉnh chở nên cần thiết, như là mỗi lần dấu hiệu được cập nhật cho cảm biến. Bởi vì việc cập nhật dấu hiệu không chỉ là thêm các dấu hiệu mới mà còn điều chỉnh cách mà nó bật lên cảnh báo. [...]... biến ngăn chặn Master (MBS) - Một MBS có thể là bất cứ cảm biến nào mà điều khiển ngăn chặn trên một thiết bị - Một cảm biến chuyển yêu cầu ngăn chặn là một cảm biến gửi các yêu cầu ngăn chặn tới MBS - Bất kì cảm biến 5.0 nào cũng có thể là MBS cho các cảm biến 5.0 khác - Một cảm biến có thể chuyển tối đa 10 yêu cầu ngăn chặn MBS - Một MBS có thể quản lý các yêu cầu ngăn chặn được gửi từ nhiều cảm biến. .. thiết bị của Cisco và tự động cấu hình lại thiết bị Cisco để ngưng cuộc tấn công Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 22 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm (tt) Thiết bị ngăn chặn (Blocking device): đây là thiết bị Cisco dùng để trực tiếp ngăn chặn cuộc tấn công; còn được gọi là thiết bị bị quản lý (the managed device) Cảm biến ngăn chặn. .. tính và truyền thông Các khái niệm Ngăn chặn (Blocking): đặc tính của cảm biến Cisco IPS Đặc tính ngăn chặn các gói tin đi tới được đích của chúng Ngăn chặn được khởi tạo bởi bộ cảm biến và được thực hiện bởi một thiết bị Cisco khác tại thời điểm yêu cầu của bộ cảm biến NAC: Ứng dụng ngăn chặn (the blocking application) trên bộ cảm biến Device management: Khả năng của bộ cảm biến để tương tác với thiết. .. kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 25 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các yêu cầu cho thiết bị ngăn chặn - Bộ cảm biến phải có khả năng kết nối với thiết bị ngăn chặn thông qua IP - Bộ cảm biến phải được phép truy cập từ xa tới thiết bị bị quản lý (managed device) thông qua một trong các kiểu sau: Telnet, ssh - Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợ... Cảm biến ngăn chặn (Blocking sensor): Cảm biến Cisco IPS được cấu hình để điều khiển thiết bị bị quản lý Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 23 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm (tt) Giao diện (managed interface) hoặc VLAN bị quản lý : giao diện hoặc VLAN trên thiết bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ áp dụng ACLs hoặc VACLs... connection: ngăn chặn lưu lượng từ một địa chỉ IP nguồn được cho trước đến một địa chỉ và cổng đích được cho trước - Ngăn chặn bằng tay (manual blocking): NAC được cấu hình bằng tay để ngăn chặn một host một địa chỉ mạng cụ thể Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 27 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ngữ cảnh ngăn chặn Hệ thống tìm kiếm, phát hiện và ngăn. .. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các hành động ngăn chặn của NAC 2 sự kiện sẽ làm cho NAC khởi tạo việc ngăn chặn: - Tự động ngăn chặn (automatic blocking): dấu hiệu phát ra cảnh báo Dấu hiệu đó được cấu hình với một trong những hành động ngăn chặn sau: + Request block host: ngăn chặn tất cả lưu lượng từ một... báo Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Đánh giá giá trị mục tiêu (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Phần 2 Cấu hình khả năng Ngăn chặn (Blocking) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 21... đổi mức độ cảnh báo Kỹ thuật điều chỉnh này liên quan đến vị trí của bộ cảm biến hoặc chính sách đang được áp dụng tại vị trí của bộ cảm biến đó Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan tới web cần được hạ thấp xuống trên bộ cảm biến đang giám sát lưu lượng từ bên ngoài tường lửa Điều này phụ thuộc vào lưu lượng truy cập web tại nơi đó Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải... version 5.0, bộ cảm biến có thể thực hiện hành động mà không cần phát ra cảnh báo, cũng như là các hành động phụ thuộc vào các chính sách được cấu hình cụ thể Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Xác định các sự kiện mà người quản trị muốn xem Kỹ thuật này là một phần cấu hình ứng dụng . tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Điều chỉnh cảm biến và cấu hình ngăn chặn (blocking) trên thiết bị Cisco Đại học Công nghệ. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Điều chỉnh cảm biến Điều chỉnh là quá trình cấu hình bộ cảm biến để làm cho nó có thể giám sát và bảo vệ mạng một cách hiệu quả. Đại. nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Điều chỉnh cảm biến (tt) - Để điều chỉnh cảm biến thành công, cần phải có sự hiểu