Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

Áp dụng ACLs lên giao diện ngoài hay trong

28 280 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Các giai đoạn điều chỉnh Các giai đoạn điều chỉnh được liệt kê ở đây tương ứng với chiều dài thời gian mà bộ cảm biến đã được hoạt động tại vị trí hiện tại: - Giai đoạn triển khai (deployment phase) - Giai đoạn điều chỉnh (Tuning phase) - Giai đoạn bảo trì (Maintenance phase) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Các giai đoạn điều chỉnh (tt) Giai đoạn triển khai (deployment phase): Giai đoạn này được hoàn tất trong quá trình triển khai và thiết lập ban đầu. Trong suốt giai đoạn này, bộ cảm biến đang hoạt động ở cấu hình mặc định, cái mà có thể đã được điều chỉnh cho việc triển khai ở mức trung bình. Tùy thuộc vào chính sách bảo mật và vị trí đặt bộ cảm biến, các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt động cần được giám sát. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Các giai đoạn điều chỉnh (tt) Giai đoạn điều chỉnh (Tuning phase) Hầu hết các hoạt động và công việc đều xảy ra ở giai đoạn điều chỉnh. Trước khi bắt đầu giai đoạn điều chỉnh, bộ cảm biến nên được hoạt động liên tục để mà nó có thể “thấy” được các mẫu bình thường (normal sampling) của hoạt động mạng. Trong thời gian này, bộ cảm biến có thể phát ra một số lượng đáng kể các sự kiện cái mà có thể được sử dụng trong quá trình điều chỉnh. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Các giai đoạn điều chỉnh (tt) Giai đoạn bảo trì (Maintenance phase) Giai đoạn này được hoàn thành định kỳ khi việc điều chỉnh chở nên cần thiết, như là mỗi lần dấu hiệu được cập nhật cho cảm biến. Bởi vì việc cập nhật dấu hiệu không chỉ là thêm các dấu hiệu mới mà còn điều chỉnh cách mà nó bật lên cảnh báo. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Các phương pháp điều chỉnh Trên bộ cảm biến: - Bật hoặc tắt các dấu hiệu. - Thay đổi mức độ cảnh báo. - Thay đổi các tham số của dấu hiệu. - Tạo các chính sách để ghi đè lên các hành động của sự kiện. - Tạo ra các bộ lọc hành động sự kiện. Trên Ứng dụng giám sát: - Xác định các sự kiện mà người quản trị muốn xem Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Các phương pháp điều chỉnh (tt) Ví dụ: Bật hoặc tắt các dấu hiệu. Kích hoạt dấu hiệu mà bị vô hiệu hóa (disable) ở chế độ mặc định. Việc bật lên này nhằm đáp ứng tình huống cụ thể trong hệ thống mạng. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Các phương pháp điều chỉnh (tt) Thay đổi mức độ cảnh báo Kỹ thuật điều chỉnh này liên quan đến vị trí của bộ cảm biến hoặc chính sách đang được áp dụng tại vị trí của bộ cảm biến đó. Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan tới web cần được hạ thấp xuống trên bộ cảm biến đang giám sát lưu lượng từ bên ngoài tường lửa. Điều này phụ thuộc vào lưu lượng truy cập web tại nơi đó. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Các phương pháp điều chỉnh (tt) Thay đổi các tham số của dấu hiệu Kỹ thuật điều chỉnh này thường được sử dụng để điều khiển ngưỡng khởi phát của dấu hiệu (the firing of signature). Ví dụ: một công ty nhỏ thiết lập dấu hiệu quét ICMP với dấu hiệu Echo sẽ được khởi phát nếu có 5 máy nhận gói echo request trong vòng 15 giây. Một công ty lớn hơn có thể thiết lập 10 máy trong vòng 15 giây. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện Kỹ thuật điều chỉnh này thường được dùng để giảm “sự phát hiện nguy hiểm sai”. Các bộ lọc hành động của sự kiện (event action filter) được dùng để ngăn chặn bộ cảm biến thực hiện một hành động đặc biệt nào đó (bao gồm cả phát ra cảnh báo). Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện: IDS version 4.x [...]... thông Áp dụng ACLs lên giao diện ngoài hay trong Giao diện bên ngoài với hướng lưu lương inbound: - Từ chối (deny) gói dữ liệu từ host trước khi chúng tới được router - Cung cấp sự bảo vệ tốt nhất để chống lại kẻ tấn công Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Áp dụng ACLs lên giao diện ngoài hay trong (tt) Giao diện. .. soát, thì việc cấu hình các ACLs bằng tay sẽ không được phép - Với giao diện bên ngoài, thích hợp với hướng lưu lượng inbound - Với giao diện bên trong, thích hợp với hướng lưu lương outbounđ Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 24 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Áp dụng ACLs lên giao diện ngoài hay trong Giao diện bên ngoài với hướng lưu lương... thông Nơi áp dụng ACLs - Khi bộ cảm biến có toàn quyền kiểm soát, thì việc cấu hình các ACLs bằng tay sẽ không được phép - Với giao diện bên ngoài, thích hợp với hướng lưu lượng inbound - Với giao diện bên trong, thích hợp với hướng lưu lương outbounđ Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 23 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Nơi áp dụng ACLs - Khi... Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các khái niệm (tt) Giao diện (managed interface) hoặc VLAN bị quản lý : giao diện hoặc VLAN trên thiết bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ áp dụng ACLs hoặc VACLs Active ACL hoặc VACL: ACL hoặc VACL được tạo và được áp dụng cho các giao diện hoặc VLANs bị quản lý bởi bộ cảm biến Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm... ThS Hồ Hải 26 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Áp dụng ACLs lên giao diện ngoài hay trong (tt) Giao diện bên trong với hướng lưu lượng outbound: - Từ chối (deny) gói dữ liệu từ host trước khi chúng đi vào mạng được bảo vệ - Không áp dụng được cho bản thân router (router không được bảo vệ) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 27 Đại học Công nghệ... học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Đánh giá giá trị mục tiêu Đánh giá giá trị của mục tiêu có thể được gán cho các tài nguyên mạng Đánh giá giá trị mục tiêu là một trong các yếu tố được sử dụng để tính toán giá trị mức độ nguy hiểm cho mỗi cảnh báo Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông...Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Tạo các chính sách để ghi đè lên các hành động của sự kiện: IDS version 5.0 Với IPS version 5.0, bộ cảm biến có thể thực hiện hành động mà không cần phát ra cảnh báo, cũng như là các hành động phụ thuộc vào... cụ thể Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các phương pháp điều chỉnh (tt) Xác định các sự kiện mà người quản trị muốn xem Kỹ thuật này là một phần cấu hình ứng dụng giám sát Ví dụ: IDM có thể được cấu hình để yêu cầu các cảnh báo tại một mức độ cụ thể nào đó của cảnh báo Hệ thống tìm kiếm, phát hiện và ngăn... cầu cho thiết bị ngăn chặn - Bộ cảm biến phải có khả năng kết nối với thiết bị ngăn chặn thông qua IP - Bộ cảm biến phải được phép truy cập từ xa tới thiết bị bị quản lý (managed device) thông qua một trong các kiểu sau: Telnet, ssh - Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợ cho việc mã hóa DES hoặc 3DES Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 Đại học Công nghệ thông tin... và truyền thông Các hành động ngăn chặn của NAC 2 sự kiện sẽ làm cho NAC khởi tạo việc ngăn chặn: - Tự động ngăn chặn (automatic blocking): dấu hiệu phát ra cảnh báo Dấu hiệu đó được cấu hình với một trong những hành động ngăn chặn sau: + Request block host: ngăn chặn tất cả lưu lượng từ một địa chỉ IP được cho trước + Request block connection: ngăn chặn lưu lượng từ một địa chỉ IP nguồn được cho trước . nhập 18 Các khái niệm (tt) Giao diện (managed interface) hoặc VLAN bị quản lý : giao diện hoặc VLAN trên thiết bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ áp dụng ACLs hoặc VACLs. Active ACL hoặc. nhập 6 Các phương pháp điều chỉnh (tt) Ví dụ: Bật hoặc tắt các dấu hiệu. Kích hoạt dấu hiệu mà bị vô hiệu hóa (disable) ở chế độ mặc định. Việc bật lên này nhằm áp ứng tình huống cụ thể trong hệ thống. ngừa xâm nhập 7 Các phương pháp điều chỉnh (tt) Thay đổi mức độ cảnh báo Kỹ thuật điều chỉnh này liên quan đến vị trí của bộ cảm biến hoặc chính sách đang được áp dụng tại vị trí của bộ cảm biến

Ngày đăng: 14/08/2015, 20:39

Xem thêm: Áp dụng ACLs lên giao diện ngoài hay trong

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w