NIPS trong data center

Hồ HảiInline software Bypass - Đặc điểm Bypass được hỗ trợ bởi tất cả các cảm biến Cisco IPS.. Hồ HảiInline software Bypass tt 3 chế độ hoạt động của Bypass, mặc định là “auto”: - Auto:

Trang 1

ThS Hồ Hải

Inline (software) Bypass

- Đặc điểm Bypass được hỗ trợ bởi tất cả các

cảm biến Cisco IPS Với đặc tính này, lưu lượng vẫn được chuyển đi nếu có một engine phân tích (analysis engine) bị lỗi.

Trang 2

ThS Hồ Hải

Inline (software) Bypass (tt)

3 chế độ hoạt động của Bypass, mặc định là

“auto”:

- Auto: nếu “engine phân tích” (analysis engine)

bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảmbiến nhưng sẽ không còn được giám sát

- Off: nếu “engine phân tích” bị lỗi, bộ cảm biến

sẽ ngưng lưu lượng đi qua nó

- On: lưu lượng sẽ bỏ qua “engine phân tích” và

sẽ không được giám sát

Trang 3

ThS Hồ Hải

- Cisco IPS 4260 và 4270 hỗ trợ Hardware

bypass bằng cách dùng card GigabitEthernet 4- port.

- Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa

2 và 3.

Trang 4

ThS Hồ Hải

Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp các cổng không được hỗ trợ HW bypass với nhau.

Trang 5

ThS Hồ Hải

Switching-based Sensor High availability (tt)

Tăng tính sẵn sàng dựa trên EtherChannel:

nhiều bộ cảm biến được kết nối cùng một switchtrong một “bó” EtherChannel Lên đến 8 bộ cảmbiến IPS có thể bó lại cùng nhau

Trang 6

ThS Hồ Hải

Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm

biến được kết nối đến nhiều switch và nhiều đường

dự phòng được tạo ra Trong trường hợp này,Spanning tree protocol (STP) sẽ kiểm tra nhữngđường này và chuyển hướng lưu lượng khi có lỗixảy ra

Trang 7

ThS Hồ Hải

Tăng tính sẵn sàng dựa trên STP

Trang 8

ThS Hồ Hải

Routing-based sensor High

Trang 9

ThS Hồ Hải

Routing-based sensor High

availability (tt)

Trang 10

ThS Hồ Hải

Cisco ASA-based sensor

High Availability

Trang 11

ThS Hồ Hải

High Availability với sản phẩm Mcafee

1 cảm biến sẽ ở trạng thái

“active”, trong khi cái kia

sẽ ở trạng thái “standby”

Trang 12

ThS Hồ Hải

Hướng dẫn thực hiện Network IPS

Enterprise or provider Internet edge

Wide-area networks (WAN)

Data center

Centralized campus

Trang 13

ThS Hồ Hải

Hướng dẫn thực hiện Network IPS

Trang 14

ThS Hồ Hải

Enterprise or provider Internet edge

Trang 15

ThS Hồ Hải

Wide-Area Network

Trang 16

ThS Hồ Hải

Wide-Area Network (tt)

Các mối nguy hiểm phổ biến trong WAN:

- Tấn công vào cơ sở hạ tầng như là truy cập trái

phép, leo thang đặc quyền (privilege escalation),

và tấn công DoS

- Các hành động nguy hiểm được tạo ra bởi

client, ví dụ như sử dụng các phần mềm độc hại

- Các lỗ hổng tại nơi “quá cảnh” của mạng

WAN, như là đánh hơi (sniffing) và tấn công

Man-in-the-midle

Trang 17

ThS Hồ Hải

2 Hướng triển khai NIPS với WAN là:

- Triển khai tập trung (centrally)

- Triển khai phân tán

Trang 18

ThS Hồ Hải

Triển khai tập trung (centrally):

- Hiệu quả về chi phí

- Dễ dàng quản lý

- Cần ít cảm biến hơn triển khai phân tán

Trang 20

ThS Hồ Hải

Triển khai phân tán: được triển khai tại các chi

nhánh (branch) Khi cần bảo vệ các tài nguyên

WAN như là các đường kết nối WAN khỏi

“flooding” Phương pháp này có ưu điểm:

- Lưu lượng giữa các branch được giám sát tại

tất cả các thời điểm Do đó, tất cả các lưu lượng

sẽ được giám sát bất kể nó có đi tới central site

hay không

Trang 24

ThS Hồ Hải

NIPS trong Data Center

Lưu ý:

- Data center được thiết kế để đáp ứng tốc độ

cao, tính kết nối sẵn sàng cao Do đó, phải đảm

bảo rằng NIPS không tác động các yếu tố này

của Data center

Trang 25

ThS Hồ Hải

Lưu ý:

của Data center

Trang 26

ThS Hồ Hải

Lưu ý:

của Data center

Trang 27

ThS Hồ Hải

Trang 28

ThS Hồ Hải

Trang 29

ThS Hồ Hải

Centralized Campus

Định dạng
Số trang	29
Dung lượng	844,3 KB