1. Trang chủ
  2. Công Nghệ Thông Tin

Cisco security agent (CSA)

41 281 0
Cisco security agent (CSA)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Hệ thống phát hiện và ngăn ngừa xâm nhập được triển khai trên thiết bị đầu cuối (Host-based IDS/IPS) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Khả năng của HIPS - Phải có khả năng ngăn chặn các hoạt động của mã độc hại. - Không được làm gián đoạn các hoạt động bình thường. - Phải có khả năng biết được sự khác nhau giữa các sự kiện tấn công và sự kiện bình thường. - Phải có khả năng ngăn chặn được các cuộc tấn công chưa từng được biết tới. - Phải bảo vệ được các lỗ hỏng trong các ứng dụng. - Nên được quản lý tập trung. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Các lợi ích của HIPS - Ngăn chặn tấn công (attack prevention) -Ngăn chặn phát tán tấn công nội bộ (internal attack propagation prevention) - Thực thi chính sách (Policy enforcement) - Thực thi chính sách sử dụng có thể chấp nhận được (Acceptable Use Policy Enforcement) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Các giới hạn của HIPS - Can thiêp người dùng cuối (Subject to End User Tampering) - Thiếu sự bao quát toàn mạng (Lack of Complete Coverage) - Các cuộc tấn công không nhằm vào mục tiêu là các máy tính. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Các giới hạn của HIPS: Can thiệp người dùng cuối Một số phương pháp can thiệp có thể gây hại đến HIPS. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Các giới hạn của HIPS: Thiếu sự bao quát toàn mạng HIPS chỉ có thể bảo vệ các máy tính (host) mà nó được cài đặt lên đó. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Mục tiêu không phải là máy tính Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Các thành phần của HIPS Các sản phẩm HIPS thường có 2 thành phần thiết yếu: - Phần mềm được cài đặt trên thiết bị đầu cuối để bảo vệ thiết bị đầu cuối đó. Được gọi Endpoint Agents. - Cơ sở hạ tầng quản lý để quản lý các agent. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Endpoint Agents: tiến trình điều khiển truy cập Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp Bước đầu tiên trong tiến trình điều khiển truy cập là “Xác định nguồn tài nguyên đang được truy cập”. Xác định này sẽ kích hoạt bước “Thu thập dữ liệu” và thay đổi loại hay số lượng dữ liệu được thu thập. Hỏi: Cách để xác định nguồn tài nguyên là quan trọng? [...]... thông Cisco Security Agent (CSA) CSA MC: dùng CSA MC, các máy tính có thể được nhóm lại cùng chung 1 nhóm và được áp dụng cùng chung chính sách bảo mật Tất cả các cấu hình được thực hiện thông qua Giao diện người dùng dựa trên web và sau đó được triển khai tới CSA Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 35 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco Security. .. thông tin Khoa Mạng máy tính và truyền thông Kiến trúc Quản lý Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 32 33 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco Security Agent (CSA) - CSA là một hệ thống ngăn ngừa xâm nhập mạng được triển khai ở máy tính đầu cuối (HIPS) - CSA bao gồm: + CSA MC: được cài đặt trên hệ thống Windows 2003 và bao gồm máy chủ CSDL và giao... xâm nhập ThS Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động System call Interception Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động System call Interception (tt): Ví dụ trong Windows... máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động Virtual Operating Systems: trước khi các hành động được cho phép, quyền được thực thi hành động đó được thực hiện trong bản sao ảo của hệ điều hành Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan... hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Tham khảo chính sách bảo mật Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 21 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Đưa ra quyết định hành động Các hành động: - Permit: cho phép hành động xảy ra - Deny: không cho phép hành... tầng quản lý (Management Infrastruture) Trung tâm quản lý (Management Center): Quản lý chính sách (Policy Management): các mô hình Push: thay đổi chính sách được đưa tới các agent bởi Trung tâm quản lý (Management Center) Pull: các agent định kỳ kiểm tra Trung tâm quản lý để xem có sự thay đổi chính sách nào không Push/Pull Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 30 Đại học Công...Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp(tt) Vòng đời của cuộc tấn công Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp(tt) Nhận biết các nguồn tài nguyên mà... máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động 4 phương pháp phổ biến dể thu thập dữ liệu: - Kernel modification - System call Interception - Virtual Operation Systems - Network traffic Analysis Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan... người dùng dựa trên web và sau đó được triển khai tới CSA Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 35 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco Security Agent (CSA) CSA MC Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 36 ... tiến trình, fuction call, buffer return address, buffer contents Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định tình trạng hệ thống Tất cả dữ liệu liên quan đã được thu thập, tuy nhiên tình trạng hệ thống có thể thay đổi kết quả của việc yêu cầu này Có 3 loại sau: - Tình trạng vị trí (location state) . trên thiết bị đầu cuối để bảo vệ thiết bị đầu cuối đó. Được gọi Endpoint Agents. - Cơ sở hạ tầng quản lý để quản lý các agent. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS nhập 9 Endpoint Agents: tiến trình điều khiển truy cập Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Endpoint Agents: Xác. tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 11 Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp(tt) Vòng đời của cuộc tấn công Đại học Công

Ngày đăng: 14/08/2015, 20:17

Xem thêm: Cisco security agent (CSA)

Tài liệu cùng người dùng

Tài liệu liên quan