Sensor là các thiết bị mạng được dùng để phân tích các phát hiện xâm nhập:. o Hệ điều hành được gia cố[r]
Trang 1TRUGNG CAO DANG NGHE
MON HOC: XAY DUNG HE THONG AN NINH FIREWALL
ằ 3 ⁄ | Gf Ze |
_ Trường Cao đẳng Nghề CWTT ¡SPACE Khoa Mang Va An Ninh Théng Tin
Trang 2
FIREWALL
Bai 1: CAC NGUYEN TAC BAO MAT MANG
Bai 2: BAO MAT MANG SU DUNG CISCO IOS FIREWALL Bai 3: BAO MAT MANG SU DUNG CISCO IPS
Bai 4: BAO MAT LAYER 2
Trang 3BÀI 3: TRIỂN KHAI HỆ THỐNG IPS/IDS : Giới thiệu IPS⁄IDS và cách thúc triển khai trên hệ thống mạng ì
+ Giới thiệu Cisco IOS IPS (Intrusion Prevention System)
* Cau hinh Cisco IOS IDS (Intrusion Detection System)
+ Câu hỏi ôn tập
Trang 4
MỤC TIỂU BÀI HỌC
+ Trình bày được đặc điểm và tính năng của Cisco IOS IPS + Trình bày được các loại hệ thống IDS và IPS
+ Cấu hình được Cisco IOS IPS
+ Triển khai được hệ thống phát hiện và ngăn chặn xâm nhập
Trang 5
Giới thiệu Cisco IOS IPS
Cisco IOS [PS (Intrusion Prevention System ') a2 hé thong ngan chan xam nhập, có thể duoc tich hop voi IOS cua router Cisco
4 TOng quan vé Cisco IOS IPS
# Cisco IOS IPS cung cap cho router kha nang xem xét cac goi khi cac goi nay chay qua router
# Tim kiếm bất ky traffic nao có dấu hiệu giống như các traffic tan công hệ thống
% Loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống
Cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần
cứng, cho phép bạn có thể bồ sung và chỉnh sửa hoặc co the tạo những dấu hiệu riêng
Trang 6
Giới thiệu Cisco IOS IPS
+ Giới thiệu Cisco IOS IDS và IPS
# Hé thong phat hién xam nhap (Intrusion Detection System) # Hé thong ngan chan xam nhap (Intrusion Protection
System)
# Hé thong ket hop IDS va IPS
T1|1,I|N:
Trang 7
Giới thiệu Cisco IOS IPS
+ Gidi thiéu Cisco IOS IDS va IPS
$ Hệ thống phát hiện xâm nhập
(Intrusion Detection System)
*IDS la 1 thiét bi bi dong:
o Traffic khong di qua IDS truc tiép
o Chỉ sử dung 1 interface dé nhận
dạng các loại dữ liệu
+ TDS là thiết bị phản ứng:
o IDS dua ra cảnh báo để thông báo
cho người quản trị biết những
traffic nguy hiểm
+ Tùy chọn phản ứng chủ động:
o Những traffic nguy hiểm có thể vi |
được ngăn cấm với luật qui định sf s
cua router ;
o Lệnh TCP reset có thể được gửi Corporate
Trang 8
Giới thiệu Cisco IOS IPS
+ Giới thiệu Cisco IOS IDS va IPS Hệ thống ngăn chặn xâm nhập (Intrusion Protection System) + PS là thiết bị chủ động: o Tat ca traffic phải đi qua IPS o IPS su dung nhiều interface để xử lý các loại dữ liệu + Chủ động ngăn chấn: o IPS ngan cam tat ca traffic nguy hiém
o IPS gửi cảnh báo đến các sẾ =f
tram q uan ly Corporate
Network
ig Internet
7
Trang 9
Giới thiệu Cisco IOS IPS
+ Giới thiệu Cisco IOS IDS và IPS ® Hệ thống kết hop IDS va IPS
+ IPS chủ động khóa traffic vi phạm:
o Không khóa dữ liệu hợp lệ
o Chỉ tắt traffic được xem là nguy hiểm
o Yêu cầu phối hợp tập trung để tránh phá hủy kết nối
* IDS bd sung thém vao IPS cac tính năng:
o Kiểm tra IPS vẫn còn hoạt động
o Cảnh báo về bất ky dữ liệu đáng ngờ nào ngoài dữ liệu được xem là hợp lệ
Trang 10
Giới thiệu Cisco IOS IPS 4 Cac loai hé thong IDS va IPS
& Cisco IOS IPS su dung két hgp tinh nang cua Cisco IDS va
IPS:
* Cisco IDS Series appliances
* Cisco Catalyst Series IDS services modules
* Cisco network module hardware IDS appliances
# Cisco IOS IPS sử dụng kết hợp các kỹ thuật:
+ Phát hiện xâm nhập dựa vào profile (Profile-based intrusion
detection)
Phát hiện xâm nhập dựa vào signature (Signature-based
intrusion detection)
Phát hiện xâm nhập dựa vào phần tích giao thức (Protocol
Trang 11
Giới thiệu Cisco IOS IPS 4 Cac loai hé thong IDS va IPS
Tiêu chuẩn Loại Mô tả
` Network-based [Kỹ thuật scan traffic gửi đến nhiều host Tuy chon triển khai Host-based Host agent giam sat tat ca thao tac trong hệ diéu hanh Signature-based Vendor cung cấp cơ sở dữ liệu cac signature Tiếp xúc để
xác đỉnh Policy-based Định nghĩa policy và mö tả được tạo ra
Trang 12
Giới thiệu Cisco IOS IPS
+ Các loại hé thong IDS va IPS
đâ Signature-Based IDS va IPS + Policy-Based IDS va IPS
* Anomaly-Based IDS va IPS
# Honeypot
# Network-Based va Host-Based IPS
# So sanh Network-Based va Host-Based IPS
Trang 13
Giới thiệu Cisco IOS IPS
+ Các loại hé thong IDS va IPS
# Signature-Based IDS va IPS
+ Theo dõi để khóa hoặc cảnh báo nếu nhận diện được traffic
nguy hiểm:
o Yêu cầu cơ sở dữ liệu mẫu các traffic nguy hiểm
Trang 14
Giới thiệu Cisco IOS IPS
+ Các loai hé thong IDS va IPS # Policy-Based IDS va IPS
+ Theo dõi để khóa hoặc cảnh báo nếu sự kiện ở bên ngoài của
cầu hình policy được phát hiện
+ Yêu cầu có 1 cơ sở dữ liệu policy ALARMI Only DECNET trafic is allowed Here! ALARM!
Someone has connected
Trang 15
Giới thiệu Cisco IOS IPS 4 Cac loai hé thong IDS va IPS
# Anomaly-Based IDS va IPS
+ Theo dõi để khóa hoặc cảnh báo nếu sự kiện không bình thường được phát hiện: o Yéu cau cac definition “normal” ALARM! ALARM!
Trang 16
Giới thiệu Cisco IOS IPS
+ Cac loai hé thong IDS va IPS # Honeypot
* Theo doi hé thong dac biét va canh bao néu co bat ky hoat
động nào ảnh hưởng trực tiếp đến hệ thống:
o Hệ thống đặc biệt là 1 cạm bẫy để dẫn dụ kẻ tấn công đi vào o Hệ thống đặc biệt được cách ly khỏi mồi trường hệ thống một cách an toản o Hệ thống thường được dùng như IDS, không phải là IPS ALARMI
ALARM honeypot account!
A connection to the A honeypot file was accessed!
Trang 17
Giới thiệu Cisco IOS IPS 4 Cac loai hé thong IDS va IPS
+ Network-Based va Host-Based IPS
* NIPS: Sensor appliances được kết nối đến
nhanh mang dé giam sat cac host
* HIPS: phan mem dai ly quan ly cac host
dudc cai dat trén mdi host
o CSAs bao vé cac host va thong bao dén hé thong quan ly trung tam
o HIPS cung cap co ché phat hién host
ca nhân và cơ chế bảo vệ
o HIPS không yêu cầu về loại phần cứng
Trang 18
Giới thiệu Cisco IOS IPS 4 Cac loai hé thong IDS va IPS
+ So sanh Network-Based va Host-Based IPS
HIPS
"Cơ chế bảo vệ mã hóa theo ứng dụng
(Application-level encryption protection) "Policy nang cao (Policy
enhancement)(resource control)
=Bao vệ ứng dụng web (Web application
protection)
“Ngăn chặn tràn bộ đệm (Buffer overflow)
“Ngăn chặn sự tân công mạng và do thám “Ngăn chặn sự tân công DoS
NIPS
Trang 19
Giới thiệu Cisco IOS IPS
+ Các loại hệ thống IDS và IPS # Cac tính năng cua NIPS
+ Sensor là các thiết bị mạng được dùng để phân tích các phát
hiện xâm nhập:
o Hệ điêu hành được gia cố
o Phần cứng được dành riêng để phân tích các phát hiện xâm
nhập
+ Sensor được kết nối vào nhánh mạng và có thể giám sát bất kỳ host nào
+ Hệ thống mạng đang mở rộng cũng dễ dàng được bảo vệ:
o Những host mới và thiết bị có thể được thêm vào mà không
cần dùng thêm sensor
o Các sensor mới có thể dễ dàng được kết nối thêm vào hệ
Trang 20
Giới thiệu Cisco IOS IPS + Các loai hê thống IDS va IPS