Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Triển khai hệ thống phát hiện và ngăn ngừa xâm nhập (IDS/IPS) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Tăng tính sẵn sàng cho IPS (High availability) Tăng tính sẵn sàng cho IPS là hướng tiếp cận trong thiết kế hệ thống để giới hạn và tránh sự gián đoạn cung cấp dịch vụ. 2 phương pháp tiếp cận để xử lý khi cảm biến IPS bị lỗi: - Sử dụng các đặc tính Cisco IPS bypass - Sử dụng các kỹ thuật dự phòng khác nhau (sử dụng nhiều cảm biến dự phòng). Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Inline (software) Bypass - Đặc điểm Bypass được hỗ trợ bởi tất cả các cảm biến Cisco IPS. Với đặc tính này, lưu lượng vẫn được chuyển đi nếu có một engine phân tích (analysis engine) bị lỗi. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Inline (software) Bypass (tt) 3 chế độ hoạt động của Bypass, mặc định là “auto”: - Auto: nếu “engine phân tích” (analysis engine) bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm biến nhưng sẽ không còn được giám sát. - Off: nếu “engine phân tích” bị lỗi, bộ cảm biến sẽ ngưng lưu lượng đi qua nó. - On: lưu lượng sẽ bỏ qua “engine phân tích” và sẽ không được giám sát. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Inline (software) Bypass (tt) - Cisco IPS 4260 và 4270 hỗ trợ Hardware bypass bằng cách dùng card GigabitEthernet 4- port. - Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa 2 và 3. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Inline (software) Bypass (tt) Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp các cổng không được hỗ trợ HW bypass với nhau. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên EtherChannel: nhiều bộ cảm biến được kết nối cùng một switch trong một “bó” EtherChannel. Lên đến 8 bộ cảm biến IPS có thể bó lại cùng nhau. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm biến được kết nối đến nhiều switch và nhiều đường dự phòng được tạo ra. Trong trường hợp này, Spanning tree protocol (STP) sẽ kiểm tra những đường này và chuyển hướng lưu lượng khi có lỗi xảy ra. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên STP Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Routing-based sensor High availability Phương pháp này được thực hiện bằng cách chạy các giao thức định tuyến trên các đường (paths) nơi mà các bộ cảm biến IPS được cài đặt. Phương pháp này hỗ trợ cả active-acitve và active-standby HA. [...]... Network IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Enterprise or provider Internet edge Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 17 Đại học Công nghệ thông... Man-in-the-midle Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) 2 Hướng triển khai NIPS với WAN là: - Triển khai tập trung (centrally) - Triển khai phân tán Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Triển. .. các yếu tố này của Data center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 24 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 25 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Centralized Campus Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 ... Network (tt) Triển khai tập trung (centrally): - Hiệu quả về chi phí - Dễ dàng quản lý - Cần ít cảm biến hơn triển khai phân tán Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 20 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Triển khai tập trung (centrally) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 21 Đại học Công nghệ thông tin Khoa... “standby” Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hướng dẫn thực hiện Network IPS Enterprise or provider Internet edge Wide-area networks (WAN) Data center Centralized campus Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hướng dẫn thực hiện. ..Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Routing-based sensor High availability (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco ASA-based sensor High Availability Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính... nó có đi tới central site hay không Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 22 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Wide-Area Network (tt) Triển khai phân tán Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 23 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông NIPS trong Data Center Lưu ý: - Data center được thiết kế để đáp ứng... Wide-Area Network (tt) Triển khai phân tán: được triển khai tại các chi nhánh (branch) Khi cần bảo vệ các tài nguyên WAN như là các đường kết nối WAN khỏi “flooding” Phương pháp này có ưu điểm: - Lưu lượng giữa các branch được giám sát tại tất cả các thời điểm Do đó, tất cả các lưu lượng sẽ được giám sát bất kể nó có đi tới central site hay không Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải . tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Inline (software) Bypass (tt) - Cisco IPS 4260 và 4 270 hỗ trợ Hardware bypass bằng cách dùng card GigabitEthernet 4- port. - Bypass được chỉ hỗ trợ. tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Switching-based Sensor High availability (tt) Tăng tính sẵn sàng dựa trên EtherChannel: nhiều. tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 17 Wide-Area Network Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ