Triển khai hệ thống phát hiện xâm nhập IDSIPS

Hồ HảiInline software Bypass - Đặc điểm Bypass được hỗ trợ bởi tất cả các cảm biến Cisco IPS.. Hồ HảiInline software Bypass tt 3 chế độ hoạt động của Bypass, mặc định là “auto”: - Auto:

ThS Hồ Hải

Triển khai hệ thống phát hiện

và ngăn ngừa xâm nhập (IDS/IPS)

ThS Hồ Hải

Tăng tính sẵn sàng cho IPS

(High availability)

Tăng tính sẵn sàng cho IPS là hướng tiếp

cận trong thiết kế hệ thống để giới hạn và tránh

sự gián đoạn cung cấp dịch vụ.

2 phương pháp tiếp cận để xử lý khi cảm biến IPS bị lỗi:

- Sử dụng các đặc tính Cisco IPS bypass

- Sử dụng các kỹ thuật dự phòng khác nhau (sử dụng nhiều cảm biến dự phòng).

ThS Hồ Hải

Inline (software) Bypass

- Đặc điểm Bypass được hỗ trợ bởi tất cả các

cảm biến Cisco IPS Với đặc tính này, lưu lượng vẫn được chuyển đi nếu có một engine phân tích (analysis engine) bị lỗi.

ThS Hồ Hải

Inline (software) Bypass (tt)

3 chế độ hoạt động của Bypass, mặc định là

“auto”:

- Auto: nếu “engine phân tích” (analysis engine)

bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm biến nhưng sẽ không còn được giám sát.

- Off: nếu “engine phân tích” bị lỗi, bộ cảm biến

sẽ ngưng lưu lượng đi qua nó.

- On: lưu lượng sẽ bỏ qua “engine phân tích” và

sẽ không được giám sát.

ThS Hồ Hải

Inline (software) Bypass (tt)

- Cisco IPS 4260 và 4270 hỗ trợ Hardware

bypass bằng cách dùng card GigabitEthernet 4- port.

- Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa

2 và 3.

ThS Hồ Hải

Inline (software) Bypass (tt)

Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp các cổng không được hỗ trợ HW bypass với nhau.

ThS Hồ Hải

Switching-based Sensor High availability (tt)

Tăng tính sẵn sàng dựa trên EtherChannel:

nhiều bộ cảm biến được kết nối cùng một switch trong một “bó” EtherChannel Lên đến 8 bộ cảm biến IPS có thể bó lại cùng nhau.

ThS Hồ Hải

Switching-based Sensor High availability (tt)

Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm

biến được kết nối đến nhiều switch và nhiều đường

dự phòng được tạo ra Trong trường hợp này, Spanning tree protocol (STP) sẽ kiểm tra những đường này và chuyển hướng lưu lượng khi có lỗi xảy ra.

ThS Hồ Hải

Switching-based Sensor High availability (tt)

Tăng tính sẵn sàng dựa trên STP

ThS Hồ Hải

Routing-based sensor High

ThS Hồ Hải

Routing-based sensor High

availability (tt)

ThS Hồ Hải

Cisco ASA-based sensor

High Availability

ThS Hồ Hải

High Availability với sản phẩm Mcafee

1 cảm biến sẽ ở trạng thái

“active”, trong khi cái kia

sẽ ở trạng thái “standby”

ThS Hồ Hải

Hướng dẫn thực hiện Network IPS

Enterprise or provider Internet edge

Wide-area networks (WAN)

Data center

Centralized campus

ThS Hồ Hải

Hướng dẫn thực hiện Network IPS

ThS Hồ Hải

Enterprise or provider Internet edge

ThS Hồ Hải

Wide-Area Network

ThS Hồ Hải

Wide-Area Network (tt)

Các mối nguy hiểm phổ biến trong WAN:

- Tấn công vào cơ sở hạ tầng như là truy cập trái

phép, leo thang đặc quyền (privilege escalation),

và tấn công DoS.

- Các hành động nguy hiểm được tạo ra bởi

client, ví dụ như sử dụng các phần mềm độc hại.

- Các lỗ hổng tại nơi “quá cảnh” của mạng

WAN, như là đánh hơi (sniffing) và tấn công

Man-in-the-midle.

ThS Hồ Hải

Wide-Area Network (tt)

2 Hướng triển khai NIPS với WAN là:

- Triển khai tập trung (centrally)

- Triển khai phân tán

ThS Hồ Hải

Wide-Area Network (tt)

Triển khai tập trung (centrally):

- Hiệu quả về chi phí

- Dễ dàng quản lý

- Cần ít cảm biến hơn triển khai phân tán.

ThS Hồ Hải

Wide-Area Network (tt)

Triển khai phân tán: được triển khai tại các chi

nhánh (branch) Khi cần bảo vệ các tài nguyên

WAN như là các đường kết nối WAN khỏi

“flooding” Phương pháp này có ưu điểm:

- Lưu lượng giữa các branch được giám sát tại

tất cả các thời điểm Do đó, tất cả các lưu lượng

sẽ được giám sát bất kể nó có đi tới central site

hay không.

ThS Hồ Hải

NIPS trong Data Center

Lưu ý:

- Data center được thiết kế để đáp ứng tốc độ

cao, tính kết nối sẵn sàng cao Do đó, phải đảm

bảo rằng NIPS không tác động các yếu tố này

của Data center.

ThS Hồ Hải

NIPS trong Data Center

ThS Hồ Hải

Centralized Campus