1. Trang chủ
  2. » Công Nghệ Thông Tin

Cisco security agent (CSA)

41 281 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 41
Dung lượng 1,23 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Hồ HảiVirtual Operating Systems: trước khi các hành động được cho phép, quyền được thực thi hành động đó được thực hiện trong bản sao ảo của hệ điều hành... Hồ HảiDữ liệu được thu thập c

Trang 1

ThS Hồ Hải

Hệ thống phát hiện và ngăn ngừa xâm nhập được triển khai trên

thiết bị đầu cuối (Host-based IDS/IPS)

Trang 2

- Phải có khả năng ngăn chặn các hoạt động của mã độc hại.

- Không được làm gián đoạn các hoạt động bình thường.

- Phải có khả năng biết được sự khác nhau giữa các

sự kiện tấn công và sự kiện bình thường.

- Phải có khả năng ngăn chặn được các cuộc tấn công chưa từng được biết tới.

- Phải bảo vệ được các lỗ hỏng trong các ứng dụng.

Trang 3

ThS Hồ Hải

- Ngăn chặn tấn công (attack prevention)

-Ngăn chặn phát tán tấn công nội bộ (internal attack propagation prevention)

- Thực thi chính sách (Policy enforcement)

- Thực thi chính sách sử dụng có thể chấp nhận được (Acceptable Use Policy Enforcement)

Trang 4

- Can thiêp người dùng cuối (Subject to End User Tampering)

- Thiếu sự bao quát toàn mạng (Lack of Complete Coverage)

- Các cuộc tấn công không nhằm vào mục tiêu là các máy tính.

Trang 5

ThS Hồ Hải

Một số phương pháp can thiệp có thể gây hại đến HIPS.

Trang 6

HIPS chỉ có thể bảo vệ các

máy tính (host) mà nó được cài đặt lên đó.

Trang 7

ThS Hồ Hải

Trang 8

Các sản phẩm HIPS thường có 2 thành phần thiết yếu:

- Phần mềm được cài đặt trên thiết bị đầu cuối để bảo vệ thiết bị đầu cuối đó Được

gọi Endpoint Agents.

- Cơ sở hạ tầng quản lý để quản lý các

agent.

Trang 9

ThS Hồ Hải

Trang 10

Bước đầu tiên trong tiến trình điều khiển truy

cập là “Xác định nguồn tài nguyên đang

được truy cập” Xác định này sẽ kích hoạt

bước “Thu thập dữ liệu” và thay đổi loại hay

số lượng dữ liệu được thu thập.

Hỏi: Cách để xác định nguồn tài nguyên là quan trọng?

Trang 11

ThS Hồ Hải

Vòng đời của cuộc tấn công

Trang 12

Nhận biết các nguồn tài nguyên mà cuộc tấn công cần cho mỗi giai đoạn:

Trang 13

ThS Hồ Hải

4 phương pháp phổ biến dể thu thập dữ liệu:

- Kernel modification

- System call Interception

- Virtual Operation Systems

- Network traffic Analysis

Trang 14

Kernel modification

Trang 15

ThS Hồ Hải

System call Interception

Trang 16

System call Interception (tt): Ví dụ trong Windows

- CSATdi (transport driver interface)

- CSAFile

- CSAReg

- CSACenter

Trang 17

ThS Hồ Hải

Virtual Operating Systems: trước khi các hành động được

cho phép, quyền được thực thi hành động đó được thực hiện trong bản sao ảo của hệ điều hành.

Trang 18

Network Traffic Analysis

Trang 19

ThS Hồ Hải

Dữ liệu được thu thập cho mỗi loại tài nguyên

Loại tài nguyên Dữ liệu thu thập

Tất cả Thời gian, xác định đầu cuối, access token, credential

Giám sát mạng Địa chỉ IP nguồn, đích ; cổng nguồn, đích

Yêu cầu kết nối mạng Tên tiến trình, địa chỉ IP, cổng, hành động (chấp nhận, từ chối) Truy cập file Tên tiến trình, đường dẫn file, tên file, hành động (đọc, viết) Truy cập registry Tên tiến trình, đường dẫn key, tên key, giá trị, loại

Sự thực thi ứng dụng Tên tiến trình, đường dẫn tiến trình, tên tiến trình mục tiêu,

đường dẫn tiến trình mục tiêu Bảo vệ kernel Tên mô-dun kernel, hash mô-dun, code pattarn

Bộ nhớ (memory) Tên tiến trình, fuction call, buffer return address, buffer

contents

Trang 20

Tất cả dữ liệu liên quan đã được thu thập, tuy nhiên tình trạng hệ thống có thể thay đổi kết quả của việc yêu cầu này.

Có 3 loại sau:

- Tình trạng vị trí (location state)

- Tình trạng người dùng (user state)

- Tình trạng hệ thống (system state)

Trang 21

ThS Hồ Hải

Trang 22

Các hành động:

- Permit: cho phép hành động xảy ra

- Deny: không cho phép hành động xảy ra

- Log event: hành động này được kết hợp với Permit hoặc deny.

Ví dụ, hành động này nên được cho phép nhưng phải được ghi lại

- Drop packet: loại bỏ gói (packet) mà đã kích hoạt các dấu hiệu.

- Shun host: loại bỏ tất cả các lưu lượng mạng, không chấp nhận

kết nối đến, hoặc tạo kết nối đi từ một máy cụ thể hoặc một nhóm máy.

Trang 23

ThS Hồ Hải

Bao gồm:

- Trung tâm quản lý (Management Center)

- Giao diện quản lý (Management Interface)

Trang 24

Trung tâm quản lý (Management Center):

cơ sở dữ liệu (database), khả năng quản lý sự kiện (event handing capability), và quản lý chính sách (policy management).

Lưu ý: 3 thành phần trên mang tính chất luận

lý Nhưng tùy vào mô hình quản lý, mỗi thành phần trên có thể được cài đặt trên các máy tính

Trang 25

ThS Hồ Hải

Trung tâm quản lý (Management Center)

Trang 26

Trung tâm quản lý (Management Center): database

Database là thành phần quan trong nhất của

Trung tâm quản lý, vì nó là kho lưu trữ các thông tin

về chính sách Nó phải đủ mạnh để hỗ trợ số lượng các agent sử dụng nó mà không bị đổ vỡ và chống lại được các cuộc tấn công.

Các database thông dụng: Microsoft SQL

Trang 27

ThS Hồ Hải

Trung tâm quản lý (Management Center):

Quản lý sự diện và cảnh báo (Event and alert handle)

Bao gồm cung cấp sự kiện (event) và phát ra cảnh báo (alert).

Sự kiện chỉ đơn giản là các bit thông tin (có thể quan trọng hoặc không quan trọng) Cảnh báo là những sự kiện được đánh dấu, thường bởi người quản trị mạng

Trang 28

Trung tâm quản lý (Management Center):

Quản lý sự diện và cảnh báo (Event and alert handle)

Trang 29

ThS Hồ Hải

Trung tâm quản lý (Management Center):

Quản lý chính sách (Policy Management):

đây là trình soạn thảo chính sách (policy editor) dùng để thay đổi và phân phối các chính sách tới các agents.

Kênh truyền thông được dùng để phân phối sự thay đổi chính sách phải tin cậy và bảo mật

Trang 30

Trung tâm quản lý (Management Center):

Quản lý chính sách (Policy Management): các mô

hình

Push: thay đổi chính sách được đưa tới các agent bởi

Trung tâm quản lý (Management Center)

Pull: các agent định kỳ kiểm tra Trung tâm quản lý để

xem có sự thay đổi chính sách nào không.

Push/Pull

Trang 31

ThS Hồ Hải

Giao diện quản lý (Management Interface)

Đây là công cụ mà người quản trị dùng để tương tác với Trung tâm quản lý (Management Center)

Trang 34

- CSA là một hệ thống ngăn ngừa xâm nhập mạng

được triển khai ở máy tính đầu cuối (HIPS).

- CSA bao gồm:

+ CSA MC: được cài đặt trên hệ thống

Windows 2003 và bao gồm máy chủ CSDL và giao diện người dùng dựa trên nền web.

+ CSA: được cài lên máy chủ hoặc máy con.

Trang 35

ThS Hồ Hải

CSA MC: dùng CSA MC, các máy tính có

thể được nhóm lại cùng chung 1 nhóm và được áp dụng cùng chung chính sách bảo

mật Tất cả các cấu hình được thực hiện thông qua Giao diện người dùng dựa trên web và sau đó được triển khai tới CSA.

Trang 36

CSA MC

Trang 37

ThS Hồ Hải

Kiến trúc CSA MC bao gồm một trung tâm

quản lý tập trung (database), và các máy con

mà được cài đặt phần mềm CSA.

Các agent đăng ký với CSA MC CSA MC

kiểm tra CSDL của nó cho hệ thống đó Khi

hệ thống được tìm thấy và được chứng thực, CSA MC sẽ triển khai chính sách cho hệ thống đó

Trang 38

Kiến trúc CSA MC bao gồm một trung tâm

quản lý tập trung (database), và các máy con

mà được cài đặt phần mềm CSA.

Các agent đăng ký với CSA MC CSA MC

kiểm tra CSDL của nó cho hệ thống đó Khi

hệ thống được tìm thấy và được chứng thực, CSA MC sẽ triển khai chính sách cho hệ thống đó

Trang 39

ThS Hồ Hải

Trang 41

ThS Hồ Hải

Ngày đăng: 14/08/2015, 20:17

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w