Snort là chương trình bảo mật mã nguồn mở

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6Yêu cầu tổng quan - Đánh giá môi trường hệ thống mạng - Mục tiêu - Chính sách bảo mật - Hạn chế nguồn tài nguyên... Hệ thống tìm kiếm,

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2

Ưu điểm của Snort

- Mã nguồn mở

- Thực hiện trong suốt với người dùng

- Chạy trên nhiều hệ điều hành: Linux,Windows, MacOS X

- Có đầy đủ tính năng của 1 IDS/IPS

Các thành phần cơ bản của Snort

Packet Decoder: bộ giải mã gói

Preprocessors: Bộ tiền xử lý.

Detection Engine: bộ máy phát hiện

Logging and Alerting System: hệ thống ghi

và cảnh báo

Output Modules: các mô đun xuất.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4

Cơ chế hoạt động của Snort

Chọn lựa sản phẩm

1 Các yêu cầu tổng quan.

2 Các yêu cầu khả năng bảo mật.

3 Các yêu cầu về năng suất vận hành.

4 Các yêu cầu về quản lý

5 Đánh giá sản phẩm

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6

Yêu cầu tổng quan

- Đánh giá môi trường hệ thống mạng

- Mục tiêu

- Chính sách bảo mật

- Hạn chế nguồn tài nguyên

Đánh giá môi trường hệ thống mạng

Trước tiên cần hiểu về các đặc điểm của môi trường mạng và hệ thống của tổ chức:

- Các đặc điểm kỹ thuật của môi trường IT

- Các đặc điểm kỹ thuật của hệ thống an ninhhiện tại

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8

Đánh giá môi trường hệ thống mạng (tt)

Các đặc điểm kỹ thuật của môi trường IT:

- Sơ đồ mạng, bao gồm tất cả các kết nối, sốlượng và vị trí của các host

- Hệ điều hành, các dịch vụ mạng, và các ứngdụng chạy bởi mỗi host

Đánh giá môi trường hệ thống mạng (tt)

Các đặc điểm kỹ thuật của hệ thống an ninh hiện tại:

- Các IDS/IPS đang tồn tại.

- Các máy chủ logging được tập trung.

- Phần mềm antimalware.

- Phần mềm lọc nội dung Ví dụ: phần mềm antispam

- Các thiết bị firewall, router, proxies.

- Các dịch vụ mã hóa việc truyền thông: VPN, SSL, TLS.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10

Mục tiêu

Sau khi thu thập về trình trạng hệ thống đang tồn tại, người quản trị nên trình bày các mục tiêu (về kinh doanh, hoạt động, kỹ thuật) cần được bảo vệ bởi IDS/IPS Các câu hỏi sau sẽ giúp đạt được vấn đề trên:

- Loại nguy hiểm nào (threats) mà IDS/IPS cần phải bảo vệ.

- Các hành động vi phạm việc sử dụng mạng nhưng có thể chấp nhận được.

Chính sách bảo mật

Chính sách bảo mật hiện tại nên được xemxét trước khi chọn lựa sản phẩm Các chínhsách này sẽ cung cấp các đặc điểm kỹ thuật

mà IDS/IPS sẽ phải đáp ứng Bao gồm:

- Các mục tiêu của chính sách

- Chính sách sử dụng hợp lý hoặc các quyđịnh khác về quản lý

- Quy trình xử lý vi phạm chính sách

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 12

Chính sách bảo mật (tt)

Các mục tiêu của chính sách: giúp trình bày

các mục tiêu được đề ra trong chính sách(tính toàn vẹn, tính bí mật và tính sẵn sàng)

Chính sách bảo mật (tt)

Chính sách sử dụng hợp lý hoặc các quy định khác về quản lý: chính sách sử dụng hệ

thống là một phần của chính sách an ninh

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 14

Chính sách bảo mật (tt)

Quy trình xử lý vi phạm chính sách: quy

trình nào bao gồm các hành động màIDS/IPS sẽ thực hiện khi phát hiện được sựbất thường

Hạn chế nguồn tài nguyên

Xem xét ngân sách mua và “hỗ trợ vòng đời”cho các sản phẩm phần cứng và phần mềmIDS/IPS

Nhân viên để giám sát và duy trì IDS/IPS

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 16

Yêu cầu khả năng bảo mật

Các khả năng bảo mật sau đây cần được đánh giá và xem xét trước khi chọn lựa sản phẩm:

- Các khả năng thu thập thông tin

- Các khả năng ghi log

- Các khả năng phát hiện

- Các khả năng ngăn chặn

Yêu cầu về năng suất vận hành.

So sánh về năng suất vận hành các sản phẩm IDS/IPS

- Nhiều thành phần IDS/IPS không dựa trên thiết bị phần cứng chuyên dụng Do vậy, hiệu suất còn phụ thuộc vào hệ điều hành.

- Không có tiêu chuẩn chung để kiểm tra năng suất vận hành, và cũng không được công bố công khai.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 18

Yêu cầu về quản lý

Đánh giá khả năng quản lý của mỗi sản phẩm IDS/IPS là rất quan trọng Bởi vì nếu 1 sản phẩm khó quản lý sẽ không được sử dụng hiệu quả Khả năng quản lý được xem xét ở 3 yếu tố sau:

- Thiết kế và thực thi

- Hoạt động và duy trì

- Đào tạo, ghi chép, và hỗ trợ kỹ thuật

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 20

Độ tin cậy

-Khả năng dự phòng (nguồn dự trữ, nhiều card mạng, các thiết bị lưu trữ ),

- Khả năng triển khai nhiều cảm biến hay không?

- Sản phẩm có thể sử dụng nhiều server quản lý hay không?

- Nếu 1 cảm biến hư thì có thể dễ dàng chuyển cấu hình sang 1 cảm biến khác hay không?

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 22

- Khả năng lưu trữ có thể mở rộng được bao nhiêu.

- Chi phí mở rộng là bao nhiêu.

Bảo mật

- Dữ liệu được lưu trữ và truyền thông giữacác thành phần IDS/IPS được bảo vệ như thếnào

- Chứng thực, access control, và các đặc tínhgiám sát cho việc sử dụng và quản trịIDS/IPS

- Khả năng tự chống tấn công DoS củaIDS/IPS

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 24

Đánh giá sản phẩm

Sau khi đã chọn lựa các yêu cầu và tiêu chí, người quản trị cần tìm ra các thông tin về các sản phẩm cần được đánh giá Bao gồm:

- Kiểm tra sản phẩm trong môi trường lab và thật.

- Kinh nghiệm sử dụng và sự tin cậy trước đó từ