Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Snort Snort là chương trình bảo mật mã nguồn mở với 3 chức năng chính: - A packet sniffer - A packet logger - Hệ thống phát hiện xâm nhập triển khai trên mạng (A Network-based Intrusion Detection System) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Ưu điểm của Snort - Mã nguồn mở. - Thực hiện trong suốt với người dùng. - Chạy trên nhiều hệ điều hành: Linux, Windows, MacOS X - Có đầy đủ tính năng của 1 IDS/IPS. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Các thành phần cơ bản của Snort Packet Decoder: bộ giải mã gói Preprocessors: Bộ tiền xử lý. Detection Engine: bộ máy phát hiện Logging and Alerting System: hệ thống ghi và cảnh báo. Output Modules: các mô đun xuất. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 Cơ chế hoạt động của Snort Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 Chọn lựa sản phẩm 1. Các yêu cầu tổng quan. 2. Các yêu cầu khả năng bảo mật. 3. Các yêu cầu về năng suất vận hành. 4. Các yêu cầu về quản lý 5. Đánh giá sản phẩm Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Yêu cầu tổng quan - Đánh giá môi trường hệ thống mạng - Mục tiêu - Chính sách bảo mật - Hạn chế nguồn tài nguyên Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Đánh giá môi trường hệ thống mạng Trước tiên cần hiểu về các đặc điểm của môi trường mạng và hệ thống của tổ chức: - Các đặc điểm kỹ thuật của môi trường IT - Các đặc điểm kỹ thuật của hệ thống an ninh hiện tại. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Đánh giá môi trường hệ thống mạng (tt) Các đặc điểm kỹ thuật của môi trường IT: - Sơ đồ mạng, bao gồm tất cả các kết nối, số lượng và vị trí của các host. - Hệ điều hành, các dịch vụ mạng, và các ứng dụng chạy bởi mỗi host. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Đánh giá môi trường hệ thống mạng (tt) Các đặc điểm kỹ thuật của hệ thống an ninh hiện tại: - Các IDS/IPS đang tồn tại. - Các máy chủ logging được tập trung. - Phần mềm antimalware. - Phần mềm lọc nội dung. Ví dụ: phần mềm antispam . - Các thiết bị firewall, router, proxies. - Các dịch vụ mã hóa việc truyền thông : VPN, SSL, TLS. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Mục tiêu Sau khi thu thập về trình trạng hệ thống đang tồn tại, người quản trị nên trình bày các mục tiêu (về kinh doanh, hoạt động, kỹ thuật) cần được bảo vệ bởi IDS/IPS. Các câu hỏi sau sẽ giúp đạt được vấn đề trên: - Loại nguy hiểm nào (threats) mà IDS/IPS cần phải bảo vệ. - Các hành động vi phạm việc sử dụng mạng nhưng có thể chấp nhận được. [...]... thông Chính sách bảo mật (tt) Các mục tiêu của chính sách: giúp trình bày các mục tiêu được đề ra trong chính sách (tính toàn vẹn, tính bí mật và tính sẵn sàng) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chính sách bảo mật (tt) Chính sách sử dụng hợp lý hoặc các quy định khác về quản lý: chính sách sử dụng hệ thống là một phần của... Bao gồm cách mà chia sẽ băng thông được thực hiện - Khả năng lưu trữ có thể mở rộng được bao nhiêu - Chi phí mở rộng là bao nhiêu Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 22 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bảo mật - Dữ liệu được lưu trữ và truyền thông giữa các thành phần IDS/IPS được bảo vệ như thế nào - Chứng thực, access control, và các đặc tính giám sát cho... học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chính sách bảo mật (tt) Quy trình xử lý vi phạm chính sách: quy trình nào bao gồm các hành động mà IDS/IPS sẽ thực hiện khi phát hiện được sự bất thường Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hạn chế nguồn tài nguyên Xem xét ngân sách mua và “hỗ trợ vòng đời” cho các... bảo mật Các khả năng bảo mật sau đây cần được đánh giá và xem xét trước khi chọn lựa sản phẩm: - Các khả năng thu thập thông tin - Các khả năng ghi log - Các khả năng phát hiện - Các khả năng ngăn chặn Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Yêu cầu về năng suất vận hành So sánh về năng suất vận hành các sản phẩm IDS/IPS là. .. Công nghệ thông tin Khoa Mạng máy tính và truyền thông Chính sách bảo mật Chính sách bảo mật hiện tại nên được xem xét trước khi chọn lựa sản phẩm Các chính sách này sẽ cung cấp các đặc điểm kỹ thuật mà IDS/IPS sẽ phải đáp ứng Bao gồm: - Các mục tiêu của chính sách - Chính sách sử dụng hợp lý hoặc các quy định khác về quản lý - Quy trình xử lý vi phạm chính sách Hệ thống tìm kiếm, phát hiện và ngăn... Với đánh giá này, tổ chức nên xem xét các tiêu chí tổng quan liên quan tới: - Độ tin cậy - Khả năng tương tác - Khả năng mở rộng Bảo mật Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Độ tin cậy -Khả năng dự phòng (nguồn dự trữ, nhiều card mạng, các thiết bị lưu trữ ), - Khả năng triển khai nhiều cảm biến hay không? - Sản phẩm có thể... truyền thông Khả năng tương tác - Có khả năng tương tác với các nguồn dữ liệu đi vào - Có khả năng cấu hình blocking trên firewall, router hay không Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 21 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng mở rộng - Số lượng cảm biến, server quản lý, consoles được cấu hình như là 1 thành phần luận lý đơn - Số lượng cảm biến mà 1 server... bố công khai Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Yêu cầu về quản lý Đánh giá khả năng quản lý của mỗi sản phẩm IDS/IPS là rất quan trọng Bởi vì nếu 1 sản phẩm khó quản lý sẽ không được sử dụng hiệu quả Khả năng quản lý được xem xét ở 3 yếu tố sau: - Thiết kế và thực thi - Hoạt động và duy trì - Đào tạo, ghi chép, và hỗ . tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 Snort Snort là chương trình bảo mật mã nguồn mở với 3 chức năng chính: - A packet sniffer - A packet logger - Hệ thống. máy tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 Ưu điểm của Snort - Mã nguồn mở. - Thực hiện trong suốt với người dùng. - Chạy trên nhiều hệ điều hành: Linux, Windows,. tính và truyền thông Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 11 Chính sách bảo mật Chính sách bảo mật hiện tại nên được xem xét trước khi chọn lựa sản phẩm. Các chính sách này sẽ cung