HANU UNIVERSITY FACULTY OF INFORMATION TECHNOLOGY INDUSTRY PRACTICE REPORT Teacher: Tran Quang Anh Organization: Mi2 JointStock Company Student: Vuong Thi Nhung Class: 4c05 ID: 0501040071 Hanoi, 20th October 2009 i Acknowledgement I would like to express my gratitude to all those who gave me the possibility to complete this industry practice I want to thank the Faculty of Information Technology of Hanoi University for giving me permission to commence this industry practice I have furthermore to thank the Dr Tran Quan Anh- the instructor of this course -who gave and confirmed this permission and encouraged me to go ahead with my industry practice Especially I am obliged to Mr Nguyen Anh Vu, the general director of Mi2 Jointstock Company I want to thank him for all their help, support, and interest I am deeply indebted to my supervisor Vuong Trung Thang, the technical manager from Mi2 Jointstock Company, whose help, stimulating suggestions and encouragement helped me in all the time of pratice and writing of this industry practice My former colleagues, Nguyen Ngoc Son from Mi2 and Nguyen Viet Ha, supported me in my work Especially, I would like to give my special thanks to my parents whose patient love enabled me to complete this work ii Table of Content I.Introduction to Mi2 Jointstock Company 1.Introduction to Mi2…………………………………………………………………………….1 2.Its products and services……………………………………………………………………….1 II Aims and Objectives………………………………………………………………………………….1 III Completed Tasks…………………………………………………………………………………… 2 IV.Brief Content Description A Week 1’s Work 1 Criteria for a good IPS……………………………………………………………… 3 2 Introduction to InstruShield IPS series……………………………………………… 3 3 IntruShield Essential functions……………………………………………………… 4 4.Operation Modes of IntruShield IPS………………………………………………… 4 B Week 2’s Work 1.Steps to deploy IPS…………………………………………………………………….6 2 Configuration theory and practice…………………………………………………….6 3.English-Vietnamese Translation………………………………………………………8 C Week 3’s Work 1 Cisco IPS fundamentals……………………………………………………………….9 2 Command line interface and practice……………………………………………… 11 3 Cisco IPS Device Manager (IDM) ………………………………………………… 17 V Problem & Solution 1 Problem………………………………………………………………………………………18 2 Solution………………………………………………………………………………………19 VI.Self-Assessment…………………………………………………………………………………… 19 VII References………………………………………………………………………………………………20 VIII Appendices A McAfee Email Gateway…………………………………………………………………… 21 B.McAfee Web Gateway……………………………………………………………………….24 iii I.Introduction to Mi2 JointstockCompany and its products and services 1 Introduction to Mi2 Mi2 is a product distributor of McAfee, which was founded in 2006, formerly as a part of Misoft The company has two branches in Hanoi and Ho Chi Minh.It provides McAfee security products that secure all kinds of network infrastructures from network core, network perimeters to workstations McAfee IPSs and FoundStone are main products of Mi2 jointstock company.McAfee Comprehensive, Best Solution is the best-built strategy for both hardware and software, the combination of McAfee Systems Protection Solutions and McAfee Network Protection Solutions These are two main products that Mi2 offers apart from FoundStone, a top-ranked vunerability assessment device 2 Its products and services McAfee System Protection Solution McAfee System Protection Solution is the comprehensive security solution for all servers, workstations and applications.This solution is composed of : 1 McAfee VirusScan: an anti-virus system 2 McAfee Anti-Spyware Enterprise: an anti-spyware system for enterprises 3 McAfee Host Intrusion Prevention: 4 McAfee Secure Content Management: a system that filters content at gateways 5 McAfee SpamKiller: a system against unsolicited emails McAfee Network Protection Solution This is the prevention solution for both small and large network, which is composed of: McAfee FoundStone- incident prevention system- and McAfee IntruShield, a system that prevents network attacks II Aims and Objectives My purpose was to make research on Intrusion Prevention System (IPS) and to build an IPS system Therefore, I asked for permission to take industry practice in Mi2 company, which is specialized in distrubiting IPS products Luckily, I was approved to stay there for 3 weeks with a lot of support from the techninical staff 1 III Completed Task Week Task Got to know the company and introduction Tue Participated in Mi2 Security Trainning Investigated the structure of company and its products and services Wed Investigated the criteria of a good IPS Did research on IntruShield products and the series of IntruShield Thur Fri Sat family Essential functions of IntruShield products Operation Modes of an IPS device Prepared for presentation for next Mi2 Security Trainning Mon Tue Wed Thur Fri 1 Day Mon Note Participated in Mi2 Security Trainning Steps to deploy IPS Inline Mode configuration theory Configure –M 1200 with Inline Mode English-Vietnames translation for the company: McAfee Email Gateway English-Vietnames translation for the company: McAfee Web Gateway Prepared for Mi2 trainning presentation Participated in Mi2 Security Trainning Tue 3 Sat Mon 2 Got to know other IPS devices of Cisco Collected materials and configuration guide Wed Thur Fri Sat Dowloaded, Installed and Built virtual machine of IPS cisco Cisco IPS command line interface Using the Cisco IDS Module (IDSM) and Cisco IDS Network Module Practice some basic commands in IPS Cisco Farewell and Got Evaluation from the instructor IV Brief Content Description A Week 1’s Content 1 Criteria for a good IPS - Confidentiality: protects data confidentiality, preventing any copies which is not authenticated, including Trojan, backdoor or programs designed to allow users to access without authentication - Integrity: protects data integrity, preventing data modification by network worm or programs designed to modify or delete information 2 - Availability: ensure the resources available to legal users, preventing malicious programs such as Trojan, worm, backdoors to Ddos attacks to consume bandwidth Preventing attacks accurately: prevent and detect attacks with high accuracy - Bandwidth guarantee: is the ability of preventing unauthenticated connect, malicious code, making the bandwidth stable - Limit user’ intervention: IPS is built without the need of many manipulations or user’s intervention - Alternative solution to management patch: the system has an ability of patching the system vulnerable holes, struggling against sniffing of attackers although the system is not updated - Total Solution: not only prevents known and unknown attacks over time such as DDos, backdoor, but also ensures the system bandwidth - Management: it should have the ability of integrating with workstation IPS, firewalls and can be managed centrally 2 Introduction to InstruShield IPS series - IntruShield is a comprehensive system, a network device that prevents and detects attacks timely at muti-gagagit speed - Protects against known or unknown attacks and DoS - Soft is programmed in chip ASIC, improves hardware performance, Sensors has many ports that makes easy to use and manage the system using web browsers + IntruShied M includes: - IntruShield M-8000 Device IntruShield M-6050 Device IntruShield M-4050 Device IntruShield M-3050 Device IntruShield M-2750 Device IntruShield M-1450 Device IntruShield M-1250 Device IntruShield Security Management System (ISM) Software IntruShield Signature and Software Update Service 3 IntruShield Essential functions - Automatic Prevention: The system automatically prevents some kinds of attacks such as: worms through established policy - Attack Detection and Prevention: has been effectively proven in reality The solution includes both prevention and detection capability 3 - Plug-and-Play: When the system is plugged, it runs immediately without user configuration In doing so, IPS must be pre-configured so that it can prevent attacks such as worms, viruses, etc… - High efficiency and stability: To ensure the high reliability, it needs high availability (HA) mode: HA of power or store - Many flexible deployment options: the system must support many deployment options such as: inline, monitor, analysis - Works at layer 2: The IPS must work at layer 3 in OSI model - Fast security update: - Focal management: Use the web interface to manage all the network 4 Operation Modes of IntruShield IPS a SPAN and TAP mode Figure 1: Span Mode In Span mode, the IntruShield device connects to the SPAN port of the switch/hub, working in monitor mode It must put behind firewall and connect to the switch or hub through SPAN port Span and Tap Modes: The sensor can monitor hubs or the span ports of mutilple switches and then inject several response actions In tap mode, full-duplex monitoring allows a complete direction-view of network traffic, enabling stateful analysis of traffic Dedicated response ports enable indirect response actions, such as initiating TCP resets to terminate malicious connections 4 Figure 2: Span and Tap Mode b Inline Mode In inline mode, the box sits between the router and main network.So, it's recommended that you use the appliance's high-availability mode in case of crash Figure 3: Inline Mode B Week 2’s Content 1 Steps to Deploy IPS 1 Install Intrushield Manager 2 Put license file into c:\Intrushield\config\ 5 3 4 5 6 7 8 a.License file should be change the name into In Intrushield 5.0 C:\Program Files\McAfee\Network Security Manager\App\config Setup Intrushield Sensor to talk with Intrushield Manager For 10/100 port, you must configure all equipment which will attached to IPS for port speed to 100 Mbps Full duplex or 10 Mbps Full duplex only Setup policy to deploy in the segment to “All Inclusive without audit” or “All Inclusive with audit” first These policies will not block any attack If customer would like to see block attack then you can use policy “Default Inline IPS” for use recommend blocking If you want to use span mode, you need to use “dongle” connect between LAN cable and detection port Every time you change policy in manger you need to do update to sensors also 2 Configuration theory and practice - Log in the IPS using putty with IP: 192.168.16.188 username: admin pass: admin123 Learning some command lines to verify, debug or configure the IPS - Examples of some commands in pratice Show arp spoof status : show if arp spoof is enabled or not Arp spoof enable : to enable arp spoof mode Arp spoof disable: : to disable arp spoof mode command: show all commands in this mode for you 6 downloadstatus: show status of download IntruShell@Intrushield1200> downloadstatus [Download Status] -Signatures Downloaded :0 Certificates Downloaded :0 Software Upgrades :0 DoS Profile Downloads from Manager :0 DoS Profile Uploads to Manager :0 Diagnostic Trace Requests :0 Guest Portal SSL Cert Downloads from Manager : 0 Guest Portal SSL CSR Uploads to Manager :0 IBAC AD file Downloads from Manager :0 IBAC AD file Uploads to Manager :0 set tcpudpchecksumerror drop: if tcp/udp checksum finds errors, drop this packet intruShell@Intrushield1200> set tcpudpchecksumerror drop intruShell@Intrushield1200> show tcpudpchecksumerror tcpudpchecksumerror: Drop show tcpudpchecksumerror forward: if tcp/udp checksum finds errors, forward this packet 7 f Configure Promiscuous Mode Step 1 Log in to the CLI using an account with Administrator privileges Step 2 Enter interface submode sensor# configure terminal sensor(config)# service interface Step 3 Display the list of available interfaces sensor(config-int)# physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface GigabitEthernet0/1 GigabitEthernet0/1 physical interface GigabitEthernet0/2 GigabitEthernet0/2 physical interface GigabitEthernet0/3 GigabitEthernet0/3 physical interface Management0/0 Management0/0 physical interface sensor(config-int)# physical-interfaces Step 4 Specify the interface for promiscuous mode sensor(config-int)# physical-interfaces GigabitEthernet0/1 Step 5 Enable the interface 14 sensor(config-int-phy)# admin-state enabled You must assigned the interface to a virtual sensor and enable it before it can monitor traffic Step 6 Add a description of this interface sensor(config-int-phy)# description INT1 Step 7 Specify the duplex settings sensor(config-int-phy)# duplex full This option is not available on modules Step 8 Specify the speed sensor(config-int-phy)# speed 1000 This option is not available on modules Step 9 Enable TCP resets for this interface if desired sensor(config-int-phy)# alt-tcp-reset-interface interface-name GigabitEthernet0/1 Step 10 Repeat Steps 4 through 9 for any other interfaces you want to designate as promiscuous interfaces Step 11 Verify the settings g Show users h Show configuration 15 k Configure Inline Vlan Pair Mode 16 Step 1 Log in to the CLI using an account with Administrator privileges Step 2 Enter interface submode sensor# configure terminal sensor(config)# service interface sensor(config-int)# Step 3 Verify that the subinterface mode is “none” for both of the physical interfaces you are pairing in the inline interface sensor(config-int)# show settings Step 4 Name the inline pair sensor(config-int)# inline-interfaces PAIR1 Step 5 Display the available interfaces sensor(config-int)# interface1 ? Step 6 Configure two interfaces into a pair sensor(config-int-inl)# interface1 GigabitEthernet0/0 sensor(config-int-inl)# interface2 GigabitEthernet0/1 You must assign the interface to a virtual sensor and enable it before it can monitor traffic (see Step 10) Step 7 Add a description of the interface pair sensor(config-int-inl)# description PAIR1 Gig0/0 and Gig0/1 Step 8 Repeat Steps 4 through 7 for any other interfaces that you want to configure into inline interface pairs Step 9 Verify the settings sensor(config-int-inl)# show settings name: PAIR1 description: PAIR1 Gig0/0 & Gig0/1 default: interface1: GigabitEthernet0/0 interface2: GigabitEthernet0/1 17 Step 10 Enable the interfaces assigned to the interface pair sensor(config-int)# exit sensor(config-int)# physical-interfaces GigabitEthernet0/0 sensor(config-int-phy)# admin-state enabled sensor(config-int-phy)# exit sensor(config-int)# physical-interfaces GigabitEthernet0/1 sensor(config-int-phy)# admin-state enabled sensor(config-int-phy)# exit sensor(config-int)# Step 11 Verify that the interfaces are enabled sensor(config-int)# show settings Step 12 To delete an inline interface pair and return the interfaces to promiscuous mode sensor(config-int)# no inline-interfaces PAIR1 Step13 Verify the information sensor(config-int)# show settings 3 Cisco IPS Device Manager (IDM) The Cisco IDM is a Java-based web interface that enables you to configure and manipulate the operation of your Cisco network sensors Each IPS appliance running on your network has its own web server that provides access to the IDM application on the sensor The web server uses Transport Layer Security (TLS) to encrypt the traffic to and from the sensor to prevent an attacker from viewing sensitive management traffic The web server is also hardened to minimize an attacker's ability to disrupt or compromise its operation Following is the management interface: 18 As can be seen clearly from this picture, you can do any management tasks using Cisco IDM V Problem and Solution 1 Problem At first, my aim is to study the theory of IPS and then try to config the real IPS device And finally, I wanted to make a demo, in which I tried to attack the system and found out how this IPS worked, blocked or alerted However, it is the IPS that is working in the real enviroment, I mean, the network of Mi2 company I was really grateful to them when they made permission for me to “touch” it But if I made a demo, it may affect the system Furthermore, I could just practice some very basic commands, which just show or verify the system, because if I changed some critical configurations, the network of Mi2 company would be changed or crashed Therefore, I thought I couldn’t master and understand it deeply 19 2 Solution After searching and googling, I found out that Cisco IPS can be installed in a virtual machine In so doing, I could practice more As a result, I downloaded and installed a virtual machine for Cisco IPS 4215 I practiced with my joy, however, I found out that I couldn’t make a real demo, because, in reality, Cisco IPS acts as a “transperant” device with no IP address and it needs to be plugged in the switch port or sits between the router and the local network In a virtual machine, it was nearly impossible And the industry practice ended with no answer to this problem.I hoped that in the future, I had a chance to make a real-time demo VI Self Assessment At the end of industry practice, what I achieved was just superficial knowledge of IPS and a few configurations for this device However, I could have any overview of IPS products in general from McAfee IPS products to Cisco IPS products Installation and configuration was not difficult for me but I still had a desire to make a real demo that had not been conducted yet Apart from knowledge, I had a chance to understand the real working enviroment in an IT organization I hoped it could help me much in the future 20 VI References Earl C 2005.CCSP IPS Exam Certification Guide Cisco Press: 1-58720-146-1 21 VII Appendices A McAfee Email Gateway Source:http://www.mcafee.com/us/enterprise/products/email_and_web_security/email/email_gat eway.html (Tiền thân là Ironmail) Bảo vệ toàn diện email cho doanh nghiệp Quy mô và tính đa dạng của những đe dọa bảo mật liên quan đến email vẫn tiếp tục gia tăng Sản phẩm McAfee Email Gateway tích hợp bảo vệ toàn diện tấn công bên trong cùng với ngăn cản dữ liệu bên ngoài bị mất, quy chuẩn cao, báo cáo chi tiết và quản trị được đơn giản hóa Bạn có thể có được những tính năng và hiệu suất dành cho doanh nghiệp mà đáp ứng những yêu cầu công việc có tính đòi hỏi khắt khe- và tất cả những cái đó tạo ra ít gánh nặng về quản trị 1 Lợi ích và tính năng • Lợi ích - Bảo vệ trước những đe dọa bên trong: Chỉ ra và ngăn chặn những thư rác đến với độ chính xác đến 90%, đồng thời chống lại virus, malware, phishing, directory harvest attack, tấn công từ chối dịch vụ, bounceback attack, zero-hour attack và làn sóng thư rác, TrustedSouceTM có thể đảm nhiệm hết những khả năng trên Ngăn chặn mất dữ liệu bên ngoài: Ngăn chặn rò rỉ thông tin bằng nhận dạng dấu vân tay, phân tích từ vựng và kỹ thuật tổng hợp mà bổ trợ cùng sự kết hợp giữa từ khóa và mẫu để phát hiện ra cả dữ liệu có cấu trúc và dữ liệu không có cấu trúc; quản lý thư tín dựa trên chính sách sau đó bảo vệ mất dữ liệu bên ngoài Đơn giản hóa quá trình quản lý bảo mật thư điện tử: Tận dụng khả năng khởi tạo và gia cố những chính sách 1 cách linh hoạt và khả năng ghi chép và báo cáo để đơn giản hóa quá trình quản trị và quy chuẩn công việc- và giảm chi phí 1 cách đáng kể Ngoài ra thì GLBA, HIPAA, và SOX đều được hỗ trợ - - • Tính năng: - TrustedSource global reputation intelligence Dựa trên hệ thống máy chủ internet có tiếng đắt giá và toàn diện của thế giới, TrustedSource liên tục giám sát và miêu tả đặc tính của những người gửi mail trên internet thông qua mạng lưới toàn cầu gồm hơn 10,000 thành phần cảm biến (sensors) ở 82 quốc gia - McAfee Email Anti-virus: Bảo vệ tích hợp trước virus và malware xuất phát từ email 22 - Tích hợp mã hóa Có khả năng mã hóa email dựa trên chính sách mà sử dụng sự kết hợp của công nghệ B2B (TLS, S/MIME, và OpenPGP) và công nghệ B2C (push and pull) để đảm bảo rằng ngay cả khi người nhận không có mã hóa thì vẫn có thể nhận và trả lời thư an toàn - Bảo vệ Webmail: Mở rộng khả năng bảo mật tích hợp với Outlook Web Access, iNotes và những ứng dụng webmail phổ biến khác - Phân tích hình ảnh: Phát hiện và gia cố chính sách đối với những hình ảnh đồi trụy ở cả thư tín bên trong và ngoài - Bảo vệ tấn công tán xạ ngược (Backscatter Protection): Chỉ ra và ngăn chặn những báo cáo về việc không gửi được mail sai lệch được gây ra bởi virus và spammers - Nhiều từ điển dựng sẵn và công cụ tư liệu đào tạo: Nỗ lực ngăn chặn mất dữ liệu bằng cách giúp gateway học 1 cách tự động loại dữ liệu và tư liệu nào nhạy cảm và loại nào không 2 Mô tả Thư điện tử là 1 phương tiện liên lạc không thể thiếu nhất và là 1 trong những dịch vụ quan trọng nhất của thương mại Nó đồng thời ngăn chặn những thách thức bảo mật khó có thể tin được để bảo vệ doanh nghiệp trước những tấn công bên ngoài và mất dữ liệu nội bộ qua thư điện tử McAfee Email Gateway tích hợp bảo vệ toàn diện tấn công bên trong cùng với ngăn cản dữ liệu bên ngoài bị mất, quy chuẩn cao, báo cáo chi tiết và quản trị được đơn giản hóa McAfee Email Gateway bao gồm: • TrustedSource™ global reputation intelligence là dịch vụ mấu chốt trong tất cả các giải pháp bảo vệ gateway của McAfee TrustedSource liên tục giám sát và miêu tả đặc tính của những người gửi mail trên internet qua mạng lưới toàn cầu gồm hơn 10,000 thành phần cảm biến (sensors) ở 82 quốc gia • McAfee Email Gateway appliances kết hợp bảo vệ đe dọa từ bên trong, mất dữ liệu bên ngoài, quy chuẩn cao và tạo ra chính sách nhỏ lẻ trong 1 cương lĩnh chắc chắn, chặt chẽ mà để dễ dàng triển khai và duy trì Ứng dụng quy mô toàn doanh nghiệp (E-class) và ứng dụng quy mô vừa (S-class) đủ khả năng bảo vệ và khả năng mở rộng cho những môi trường thư tín doanh nghiệp đòi hỏi khắt khe nhất Những sản phẩm đi kèm với bộ sản phẩm McAfee Email Gateway bao gồm: • McAfee Email Gateway Encryption Cung cấp mã hóa mail dựa trên chính sách để tự động hóa mã hóa mail ở gateway, đảm bảo rằng những dữ liệu nhạy cảm được an toàn và ngay cả là khi người nhận không có chức năng năng mã hóa thì vẫn có thể nhận và trả lời thư an toàn • McAfee Email Edge Gateway appliances Được đặt ở ngoại biên của hệ thống mail để chỉ ra vấn đề của khối lượng thư rác tăng nhanh, giảm tải gánh nặng trong quá trình xử lý downstream và giảm tải những yêu cẩu về lưu trữ 23 • • 3 McAfee Email Gateway Control Center appliance có thể được sử dụng để quản lý tập trung nhiều thiết bị đa gateway (multiple gateway appliances) McAfee Email Gateway Quarantine Server appliance : cung cấp dịch vụ cách ly chặt chẽ cho những ứng dụng đa gateway Yêu cầu về hệ thống McAfee Email Gateway được cung cấp như 1 thiết bị vững chắc được đặt ở trước hệ thống mail server, cung cấp sự bảo vệ trước những nguy cơ đe dọa từ bên trong và rò rỉ thông tin ra bên ngoài 24 B McAfee Web Gateway Source:http://www.mcafee.com/us/enterprise/products/email_and_web_security/web/web_gateway.h tml McAfee Web Gateway (Tiền thân là Webwasher) Chủ động bảo mật web để đánh bại những đe dọa của công nghệ web 2.0 Khi việc sử dụng web tiếp tục tăng nhanh và phát triển thành web 2.0, những tấn công mã độc cho ứng dụng web cũng tiếp tục gia tăng và phát triển Sản phẩm McAfee Web Gateway (tiền thân là Webwasher) cho phép doanh nghiệp của bạn tận dụng khả năng của web 2.0 trong khi vẫn tiếp tục kiếm soát bảo mật được cho doanh nghiệp Web Gateway cung cấp khả năng bảo vệ mạnh mẽ, chủ động trước những tấn công tổng hợp, phần mềm gián điệp, và tấn công có chủ đích 1 Lợi ích và tính năng: a Lợi ích • Bảo vệ chắc chắn, tức thời trước những đe dọa Có khả năng chống lại những malware 1 cách thường trực và sản phẩm TrustedSource™ global reputation intelligence được cập nhật có thể ngăn chặn ngay cả những đe dọa tấn công web 2.0 mới nhất trước khi chúng có thể xâm nhập vào mạng lưới của bạn • Cho phép sử dụng năng suất công nghệ web 2.0 Cho phép tự tin sử dụng công nghệ web 2.0 trong tổ chức của bạn bằng cách nâng cao khả năng lọc bên trong lẫn bên ngoài cho nhiều web protocols, bao gồm khả năng đào sâu phát hiện những luồng dữ liệu được mã hóa • Ngăn chặn việc mất dữ liệu Quét nội dung do người dùng tạo ra trên tất cả những web protocols quan trọng và chống lại việc rò rỉ thông tin mật của tổ chức thông qua blogs, wikis hay những trang và ứng dụng web 2.0 khác • Đơn giản hóa quản lý Ngăn chặn việc triển khai và quản lý nhiểu sản phẩm web riêng lẻ, McAfee Web Gateway tích hợp nhiều khả năng bảo vệ, việc thăm dò được quản trị 1 cách đơn giản nghĩa là một chính sách bảo mật 25 duy nhất có thể được chia sẻ, tiết kiệm chi phí và thời gian • Có khả năng mở rộng và hiệu suất cao Dựa trên hiệu suất cao này, thiết bị proxy cho doanh nghiệp cung cấp khả năng caching, xác thực, quản trị, quản lý truy cập có quyền hạn mà được yêu cầu bởi những doanh nghiệp đòi hỏi khắt khe nhất hiện nay b Tính năng • Bảo vệ web tốt nhất cho ngành công nghiệp Chống lại những hiểm họa của web 2.0 với khả năng chống lại malware được đánh giá là bậc nhất, McAfee Web Gateway sử dụng cơ chế phân tích mục đích chủ động để lọc những dữ liệu có thể loại bỏ từ luồng dữ liệu web theo thời gian, chống lại cả những đe dọa đã được biết đến và chưa được biết đến • Lọc theo danh mục Tận dụng khả năng phân loại bao quát và nhỏ lẻ, sản phẩm McAfee TrustedSource Web Database đã được chứng minh là lưu trữ khoảng hơn 25 triệu những website bị cấm xuyên suốt hơn 90 danh mục • Lọc dữ liệu theo danh tiếng (Reputation-based Filtering) Nâng cao việc lọc dựa theo danh mục với chỉ số điểm thực được cung cấp bởi TrustedSource, phát hiện chủ động và đáng tin cậy những spyware, phishing, malware và nhiều hiểm họa bảo mật khác trong môi trường web 2.0 hiện nay • Những công cụ báo cáo mạnh và những màn hình quản trị có thể tùy chỉnh Học tổ chức của bạn sử dụng web như thế nào, chỉ ra những xu hướng sử dụng, tách riêng từng vấn đề, thu thập dữ liệu về nhứng hành vi sử dụng web không hợp lý, kết hợp cùng với nội quy và sử dụng thông tin này để thay đổi những cài đặt cho việc lọc dữ liệu để nâng cao chính sách sử dụng web 1 cách tốt nhất • Bảo vệ dữ liệu bị mã hóa Đóng những backdoor mới thông qua hàng rào bảo mật mà được tích hợp hoàn hảo với khả năng phát hiện malware, thăm dò SSL và hợp lệ hóa chứng thực trực tiếp trên thiết bị 26 McAfee Web Gateway 2 Mô tả Với sự xuất hiện của blogs, wikis, mạng xã hội, RSS feeds và những ứng dụng tương tác khác, Internet đã phát triển thành web 2.0 Và nhiều doanh nghiệp đã tận dụng những phát kiến tiềm năng này để kinh doanh 1 cách hiệu quả và hợp tác Nhưng cùng thời điểm đó, những nguy cơ đe dọa cũng tăng gấp bội trong lĩnh vực web 2.0 Cái gì sẽ xảy ra một khi mà những con virut đơn giản được biến hóa thành những mối hiểm họa hỗn hợp, hay spyware và những tấn công có chủ đích mà những giải pháp bảo mật phản kháng hoạt động đơn lẻchẳng hạn như lọc URL chỉ dựa trên danh mục và phòng chống virut dựa trên dấu hiệu- không thể ngăn chặn được? Hãy xem xét sản phẩm McAfee Web Gateway- giải pháp phòng chống malware hạng nhất cho công nghệ web 2.0 và những mối hiểm họa chưa được công bố (zero-day threates) Đối với những yêu cầu web khởi tạo từ phía người dùng, Web Gateway đầu tiên củng cố chính sách sử dụng Internet cho tổ chức Đối với tất cả những luồng dữ liệu được cho phép, thì sử dụng những kỹ thuật cục bộ và tổng thể để phân tích bản chất và mục đích của tất cả nội dung và những đoạn mã hoạt động đi vào mạng lưới thông qua những trang web được yêu cầu, cung cấp khả năng bảo vệ ngay lập tức trước malware và những hiểm họa được che giấu khác Và không giống như các kỹ thuật kiếm tra gói tin cơ bản, McAfee Web Gateway thậm chí có thể thực hiện những kiểm tra kỹ càng những luồng dữ liệu SSL để bảo vệ trước những mã đọc mà được che đậy dưới dạng mã hóa Giải pháp toàn diện McAfee Web Gateway bao gồm: Proxy/cache Category and reputation-based web filtering Anti-malware McAfee Anti-Virus Anti-spyware SSL scanning Data leakage protection Reporting 3 Yêu cầu về hệ thống: Đối với: a Model name: WW500E Form factor: 1U rack mount RAM: 2GB Processor: Single 27 Processor cache: 512KB Disk: 160GB SATA RAID: N/A Power supply: Single Interfaces: 2 x 10/100/1000 b Model name: WW1100E Form factor: 1U rack mount RAM: 2GB Processor: Dual core Processor cache: 2 x 2 MB Disk: 2 x 160GB SATA RAID: RAID 1 Power supply: Single Interfaces: 4 x 10/100/1000 c Model name: WW1900E Form factor: 1U rack mount RAM: 4GB Processor: 2 dual core Processor cache: 4 MB Disk: 2 x 300GB SAS RAID: RAID 1 Power supply: Redundant Interfaces: 4 x 10/100/1000 d Model name: WW2900E Form factor: 2U rack mount RAM: 4GB Processor: 2 quad core Processor cache: 2 x 4 MB Disk: 2 x 146GB SAS + 4 x 300 GB SAS RAID: RAID 1/RAID 5 Power supply: Redundant Interfaces 4 x 10/100/1000 28 ... possibility to complete this industry practice I want to thank the Faculty of Information Technology of Hanoi University for giving me permission to commence this industry practice I have furthermore... commands in pratice Show arp spoof status : show if arp spoof is enabled or not Arp spoof enable : to enable arp spoof mode Arp spoof disable: : to disable arp spoof mode command: show all commands... impossible And the industry practice ended with no answer to this problem.I hoped that in the future, I had a chance to make a real-time demo VI Self Assessment At the end of industry practice, what