Bài giảng Xây dựng hệ thống Firewall: Bài 3 - Cao đẳng Nghề CNTT iSPACE - Trường Đại Học Quốc Tế Hồng Bàng

Sensor là các thiết bị mạng được dùng để phân tích các phát hiện xâm nhập:. o Hệ điều hành được gia cố[r]

MON HOC: XAY DUNG HE THONG AN NINH FIREWALL

3

_ Trường Cao đẳng Nghề CWTT ¡SPACE Khoa Mang Va An Ninh Théng Tin

FIREWALL

Bai 1: CAC NGUYEN TAC BAO MAT MANG

Bai 2: BAO MAT MANG SU DUNG CISCO IOS FIREWALL Bai 3: BAO MAT MANG SU DUNG CISCO IPS

Bai 4: BAO MAT LAYER 2

BÀI 3: TRIỂN KHAI HỆ THỐNG IPS/IDS

+ Giới thiệu Cisco IOS IPS (Intrusion Prevention System)

* Cau hinh Cisco IOS IDS (Intrusion Detection System)

+ Câu hỏi ôn tập

MỤC TIỂU BÀI HỌC

+ Trình bày được đặc điểm và tính năng của Cisco IOS IPS + Trình bày được các loại hệ thống IDS và IPS

+ Cấu hình được Cisco IOS IPS

+ Triển khai được hệ thống phát hiện và ngăn chặn xâm nhập

Giới thiệu Cisco IOS IPS

Cisco IOS [PS (Intrusion Prevention System ') a2 hé thong ngan chan xam nhập, có thể duoc tich hop voi IOS cua router Cisco

4 TOng quan vé Cisco IOS IPS

# Cisco IOS IPS cung cap cho router kha nang xem xét cac goi khi cac goi nay chay qua router

# Tim kiếm bất ky traffic nao có dấu hiệu giống như các traffic tan công hệ thống

% Loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống

Cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần

cứng, cho phép bạn có thể bồ sung và chỉnh sửa hoặc co the tạo những dấu hiệu riêng

Giới thiệu Cisco IOS IPS

+ Giới thiệu Cisco IOS IDS và IPS

# Hé thong phat hién xam nhap (Intrusion Detection System) # Hé thong ngan chan xam nhap (Intrusion Protection

System)

# Hé thong ket hop IDS va IPS

T1|1,I|N:

Giới thiệu Cisco IOS IPS

+ Gidi thiéu Cisco IOS IDS va IPS

$ Hệ thống phát hiện xâm nhập

(Intrusion Detection System)

*IDS la 1 thiét bi bi dong:

o Traffic khong di qua IDS truc tiép

o Chỉ sử dung 1 interface dé nhận

dạng các loại dữ liệu

+ TDS là thiết bị phản ứng:

o IDS dua ra cảnh báo để thông báo

cho người quản trị biết những

traffic nguy hiểm

+ Tùy chọn phản ứng chủ động:

o Những traffic nguy hiểm có thể vi |

được ngăn cấm với luật qui định sf s

cua router ;

o Lệnh TCP reset có thể được gửi Corporate

Giới thiệu Cisco IOS IPS

+ Giới thiệu Cisco IOS IDS va IPS Hệ thống ngăn chặn xâm nhập (Intrusion Protection System) + PS là thiết bị chủ động: o Tat ca traffic phải đi qua IPS o IPS su dung nhiều

interface để xử lý các loại

nguy hiém

o IPS gửi cảnh báo đến các sẾ =f

tram q uan ly Corporate

Network

ig Internet

7

Giới thiệu Cisco IOS IPS

+ Giới thiệu Cisco IOS IDS và IPS ® Hệ thống kết hop IDS va IPS

+ IPS chủ động khóa traffic vi phạm:

o Không khóa dữ liệu hợp lệ

o Chỉ tắt traffic được xem là nguy hiểm

o Yêu cầu phối hợp tập trung để tránh phá hủy kết nối

* IDS bd sung thém vao IPS cac tính năng:

o Kiểm tra IPS vẫn còn hoạt động

o Cảnh báo về bất ky dữ liệu đáng ngờ nào ngoài dữ liệu được xem là hợp lệ

Giới thiệu Cisco IOS IPS

& Cisco IOS IPS su dung két hgp tinh nang cua Cisco IDS va

IPS:

* Cisco IDS Series appliances

* Cisco Catalyst Series IDS services modules

* Cisco network module hardware IDS appliances

# Cisco IOS IPS sử dụng kết hợp các kỹ thuật:

+ Phát hiện xâm nhập dựa vào profile (Profile-based intrusion

detection)

Phát hiện xâm nhập dựa vào signature (Signature-based

intrusion detection)

Phát hiện xâm nhập dựa vào phần tích giao thức (Protocol

Giới thiệu Cisco IOS IPS

Tiêu chuẩn Loại Mô tả

` Network-based [Kỹ thuật scan traffic gửi đến nhiều host Tuy chon triển khai Host-based Host agent giam sat tat ca thao tac trong hệ diéu hanh

xác đỉnh Policy-based Định nghĩa policy và mö tả được tạo ra

Giới thiệu Cisco IOS IPS

+ Các loại hé thong IDS va IPS

đâ Signature-Based IDS va IPS + Policy-Based IDS va IPS

* Anomaly-Based IDS va IPS

# Honeypot

# Network-Based va Host-Based IPS

# So sanh Network-Based va Host-Based IPS

Giới thiệu Cisco IOS IPS

+ Các loại hé thong IDS va IPS

# Signature-Based IDS va IPS

+ Theo dõi để khóa hoặc cảnh báo nếu nhận diện được traffic

nguy hiểm:

o Yêu cầu cơ sở dữ liệu mẫu các traffic nguy hiểm

Giới thiệu Cisco IOS IPS

+ Các loai hé thong IDS va IPS # Policy-Based IDS va IPS

+ Theo dõi để khóa hoặc cảnh báo nếu sự kiện ở bên ngoài của

cầu hình policy được phát hiện

+ Yêu cầu có 1 cơ sở dữ liệu policy ALARMI Only DECNET trafic is allowed Here! ALARM!

Someone has connected

Giới thiệu Cisco IOS IPS

# Anomaly-Based IDS va IPS

+ Theo dõi để khóa hoặc cảnh báo nếu sự kiện không bình thường được phát hiện: o Yéu cau cac definition “normal” ALARM! ALARM!

Giới thiệu Cisco IOS IPS

+ Cac loai hé thong IDS va IPS # Honeypot

* Theo doi hé thong dac biét va canh bao néu co bat ky hoat

động nào ảnh hưởng trực tiếp đến hệ thống:

o Hệ thống đặc biệt là 1 cạm bẫy để dẫn dụ kẻ tấn công đi

ALARM honeypot account!

A connection to the A honeypot file was accessed!

Giới thiệu Cisco IOS IPS

+ Network-Based va Host-Based IPS

* NIPS: Sensor appliances được kết nối đến

nhanh mang dé giam sat cac host

* HIPS: phan mem dai ly quan ly cac host

dudc cai dat trén mdi host

o CSAs bao vé cac host va thong bao dén hé thong quan ly trung tam

o HIPS cung cap co ché phat hién host

ca nhân và cơ chế bảo vệ

o HIPS không yêu cầu về loại phần cứng

Giới thiệu Cisco IOS IPS

+ So sanh Network-Based va Host-Based IPS

HIPS

"Cơ chế bảo vệ mã hóa theo ứng dụng

(Application-level encryption protection) "Policy nang cao (Policy

enhancement)(resource control)

=Bao vệ ứng dụng web (Web application

protection)

“Ngăn chặn tràn bộ đệm (Buffer overflow)

“Ngăn chặn sự tân công mạng và do thám “Ngăn chặn sự tân công DoS

Giới thiệu Cisco IOS IPS

+ Các loại hệ thống IDS và IPS # Cac tính năng cua NIPS

+ Sensor là các thiết bị mạng được dùng để phân tích các phát

hiện xâm nhập:

o Hệ điêu hành được gia cố

o Phần cứng được dành riêng để phân tích các phát hiện xâm

nhập

+ Sensor được kết nối vào nhánh mạng và có thể giám sát bất kỳ

+ Hệ thống mạng đang mở rộng cũng dễ dàng được bảo vệ:

o Những host mới và thiết bị có thể được thêm vào mà không

cần dùng thêm sensor

o Các sensor mới có thể dễ dàng được kết nối thêm vào hệ

Giới thiệu Cisco IOS IPS