• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Hiểu về IDS/IPS (P1)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Hiểu về IDS/IPS (P1)

    Thuật ngữ

    IDS (Intrusion Detection System)
    Detect: phát hiện tấn công, có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công.
    Nhận ra tấn công bằng cách phân tích bản sao của lưu lượng mạng.

    IPS (Intrusion Prevention System)
    Prevent: chặn đứng trước khi tấn công đến mạng bên trong.
    Cung cấp khả năng bảo vệ mạng dựa vào định danh, phận loại và ngăn chặn mối đe dọa được biết hoặc chưa biết như worm, virus, đe dọa đến ứng dụng, …


    Anomaly Signature
    Một signature được kích hoạt (trigger) khi mức thông thường bị vượt mức
    Vd: lưu lượng ICMP vượt mức số lượng được định nghĩa trong mạng.

    Automic signature
    Một signature được kích hoạt dựa vào nội dung của gói, automic signature không yêu cầu thiết bị IDS/IPS phải duy trì trạng thái kết nối.

    Block signature Action
    Hành động IDS khởi tạo ACL trên thiết bị khác để ngăn chặn lưu lượng vi phạm. Để làm được điều này thì thường ta sẽ cấu hình để IDS login vào router hay ASA qua SSH.
    vd: IDS khởi tạo ACL trên router, dùng shun trên ASA để ngăn chặn các lưu lượng vi phạm đã bị IDS phát hiện.

    Denial of Service (DoS)
    Kẻ tấn công làm tràn ngập hệ thống, chiếm tài nguyên của thiết bị, làm thiết bị không còn khả năng xử lí các yếu cầu hợp lệ thật sự của người dùng khác.

    Deny Packet Inline
    Loại bỏ gói vi phạm.

    Deny Attacker Inline
    Tất cả các gói từ địa chỉ của kẻ tấn công sẽ bị loại bỏ.

    Deny Connection Inline
    Kết nối vi phạm sẽ bị kết thúc. (khi IDS/IPS phát hiện ra một gói vi phạm thì flow đó sẽ kết thúc).

    Inline mode
    Thiết bị giám sát hoạt động với chức năng của IPS.

    Yêu cầu ít nhất 2 cổng giám sát trên IPS. (Interface pair)


    Chỉ cần một cổng giám sát. (vlan pair)

    Promicuous mode (outline mode)
    Thiết bị giám sát chỉ hoạt động với chức năng của IDS. Khi hoạt động ở chế độ này cảm bộ cảm biến (sensor) trên IDS sẽ nhận một bản sao của lưu lượng mạng được chọn.

    Chỉ cần một cổng giám sát (interface)

    ByPass mode



    Produce Verbose Alert
    Tạo ra cảnh báo khi có vi phạm.

    Regex (Regular Expression)


    Signature
    Các mô tả cho IDS/IPS dùng phân biệt, nhận diện tấn công.

    Signature Action
    Hành động từ IDS/IPS khi phát hiện ra tấn công.

    Signature Difinition File (SDF)
    Một cơ sở dự liệu định nghĩa dấu hiệu vi phạm được dùng để nhận diện dự liệu chứa mã độc.
    Những router hiện đại thường được trang bị với SDF được cài trong bộ nhớ. Tuy nhiên, người quản trị cần cập nhật thường xuyên để nhận diện được những mối đe dọa mới.


    Switch port analyzer
    Port của switch có thể nhận bản sao của những gói tin từ cổng hoặc vlan khác.

    TCP Reset Signature Action
    Cố gắng thiết lập lại phiên TCP khi vi phạm được nhận diện trong kết nối TCP.

    Vulnerability
    Lỗ hổng của hệ thống mà kẻ tấn công có thể khai thác để truy cập, làm hại đến hệ thống

    Worm
    Có khả năng tự tạo ra sự sống (trong RAM). Thường worm sẽ gửi bản sao của nó tới những máy khác trong mạng.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

  • #2
    hi thanks. Mình cũng đang tìm hiểu phần này :)

    Comment

    • Working...
      X