Tiêu đề luật

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 32 - 33)

Tiêu đề luật luôn luôn là phần đầu tiên của luật và nó là phần bắt buộc của luật. Tiêu đề có nhiệm vụ xác định "ai" có liên quan tới mẫu lưu lượng. Tất cả mọi thứ được định nghĩa trong tiêu đề luật có thể được tìm thấy trong tiêu đề của gói tin. Chúng rất quan trọng trong việc phân tích các luật này. Các thành phần trong tiêu đề luật được thể hiện trong Hình 3.20.

Hình 3.20 Phần tiêu đề luật IDS

Tiêu đề luật thường bao gồm các thành phần tương tự nhau: hành động của luật, giao thức, máy tính nguồn/đích, cổng nguồn/đích, và hướng lưu lượng.

Hành động của luật. Phần đầu tiên của bất kỳ luật nào là khai báo hành động để báo cho IDS engine phải làm gì khi có cảnh báo. Có ba hành động có thể có:

 Cảnh báo: Báo cho IDS engine ghi log các luật tìm thấy kết quả phù hợp, và các dữ liệu gói tin liên quan kết quả. Đây là hành động luật phổ biến nhất.

 Ghi log: Báo cho IDS engine ghi log các luật tìm thấy kết quả phù hợp, nhưng không log lại dữ liệu gói tin liên quan.

 Bỏ qua: Báo cho IDS engine không xử lý các gói tin.

Giao thức. Trường này báo cho IDS engine về giao thức luật sẽ áp dụng cho. Các lựa chọn hợp lệ bao gồm tcp, idp, icmp, ip, và any. Lưu ý rằng chỉ có một trong những lựa chọn đó được sử dụng, vì vậy nếu muốn viết một luật áp dụng cho cả hai giao thức TCP và UDP, hãy sử dụng tùy chọn giao thức IP trong tiêu đề luật.

Máy tính nguồn và đích. Để tạo ra một luật, có thể chỉ định các máy tính nguồn và đích cho các mẫu lưu lượng đang cần so sánh. Các máy tính này phải được xác định bằng địa chỉ IP. Có thể dùng any để chỉ địa chỉ IP bất kỳ.

Cổng nguồn và đích. Cùng với xác định các máy tính, cũng có thể chỉ định cụ thể cổng ở tầng bốn. Hãy nhớ rằng, chúng có thể được quy định như các cổng riêng lẻ, theo danh sách, hoặc theo phạm vi. Trong trường hợp khi không có cổng cụ thể được chỉ ra, từ khóa "any" có thể được sử dụng để phù hợp với bất kỳ cổng nào.

Hướng lưu lượng. Cuối cùng là xác định đích đến của lưu lượng. Chỉ có hai tùy chọn ở đây:

 ->: Xác định lưu lượng đơn hướng từ nguồn tới đích

 <>: Xác định lưu lượng hai chiều

Vì chỉ có hai lựa chọn ở đây, khi viết các luật cần phải xem xem liệu hướng của lưu lượng có phải là vấn đề hay không. Nếu hướng của lưu lượng không quan trọng thì thứ tự của máy tính nguồn và đích cùng với số hiệu cổng trong tiêu đề là không quan trọng. Tuy nhiên, nếu hướng là cần thiết thì máy tính và số hiệu cổng nguồn nên được liệt kê đầu tiên.

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 32 - 33)

Tải bản đầy đủ (PDF)

(103 trang)