Tải bản đầy đủ (.pdf) (42 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Các loại phần cứng và phần mềm hỗ trợ IDS IPS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.69 MB, 42 trang )

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
1
Gi

i thi

u
Các loại phần cứng
và phần mềm hỗ
trợ IDS/IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
2
Các thiết bị Cisco hỗ trợ
network IPS
BỘ CẢM BIẾN CISCO IPS ĐƯỢC TÍCH HỢP
TRONG NHIỀU LOẠI THIẾT BỊ CỦA CISCO:
- THIẾT BỊ IPS ĐỘC LẬP (CHUYÊN DỤNG):
CÁC BỘ CẢM BIẾN DÒNG CISCO IPS 4200.
- CISCO AIM-IPS, NME-IPS ĐƯỢC TÍCH HỢP
TRONG CÁC BỘ ĐỊNH TUYẾN CISCO
(ROUTER)
- DÒNG SẢN PHẨM ASA 5500 ĐƯỢC TÍCH
HỢP IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông


Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
3
Các thi t b Cisco h
trợ
network IPS (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
4
Các dòng cảm biến
Cisco IPS 4200
ĐÂY LÀ CÁC BỘ CẢM BIẾN IPS ĐỘC LẬP
VÀ CHUYÊN DỤNG.
CÁC THIẾT BỊ NÀY CÓ THỂ VẬN CHUYỂN
THÔNG LƯỢNG LÊN TỚI 4GBPS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
5
Các dòng cảm biến
Cisco IPS 4200 (tt)
Đặc điểm Cảm biến
Cisco IPS
4240
Cảm biến
Cisco IPS
4255

Cảm biến
Cisco IPS
4260
Cảm biến
Cisco IPS
4270
Thông
lượng
300 Mbps 600 Mbps 2 Gbps 4Gbps
S
ố lượng cổng
c
ảm biến
4 4 1 4
C
ổng điều
khi
ển
10/100Base
-
TX
10/100Base
-
TX
10/1001000
Base-TX
10/1001000
Base-TX
N
ăng lượng

ngu
ồn dự
phòng
không không
Tùy chọn

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
6
Bộ cảm biến Cisco
IPS 4255
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
7
Bộ cảm biến Cisco
IPS 4260
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
8
Cisco ASA AIP SSM
và AIP SSC
CÁC MÔ-ĐUN AIP SSM VÀ AIP SSC
ĐƯỢC TÍCH HỢP VÀO CÁC DÒNG CISCO
ASA 5500 ĐỂ CUNG CẤP TÍNH NĂNG

PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP
MẠNG.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
9
Cisco ASA AIP SSM và
AIP SSC (tt)
Cisco ASA
AIP SSC
-5
Cisco ASA
AIP SSC
-
10
Cisco ASA
AIP SSC
-
15
Cisco ASA
AIP SSC
-
20
Thi
ết bị được
h
ỗ trợ
ASA 5505 ASA 5510
ASA 5520

ASA 5520
ASA 5540
ASA 5520
ASA5540
Thông
lượng
75 Mbps
225
Mbps
500 Mbps
650 Mbps
Phát
hiện bất
th
ường
Không Có Có Có
H
ỗ trợ tự điều
ch
ỉnh dấu hiệu
Không Có Có có
C
ảm biến ảo
(Virtual
Sensors)
1 4 4 4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập

10
Cisco ASA 5505
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
11
Vị trí của ASA trong hệ
thống mạng
VỚI BỘ ĐỊNH TUYẾN BÊN TRONG
MẠNG
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
12
Vị trí của ASA trong hệ
thống mạng (tt)
KHÔNG CÓ BỘ ĐỊNH TUYẾN BÊN
TRONG MẠNG
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
13
Cisco AIM-IPS và
NME-IPS trên Cisco
ISR routers
AIM: CISCO IPS ADVANCED INTEGRATION
MODULE

NME: NETWORK MODULE ENHANCED
CÁC DÒNG ROUTER HỖ TRỢ AIM: CISCO
ROUTER 1841, 2801, 2811, 2821, 2851, 3825,
3845
CÁC DÒNG ROUTER HỖ TRỢ NME: CISCO
ROUTER 2811, 2821, 2851, 2911, 2921, 2951,
3825, 3845, 3925, 3945.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
14
IBM Security Network Intrusion
Prevention System Virtual Appliance
Model
GX400
4
-200
GX400
4
GX500
8
GX510
8
GX520
8
GX741
2
-5
GX741

2
-10
GX741
2
GX780
0
B
ăng
thông
đượ
c
ki
ểm
tra
Up to
200
Mbps
Up to
800
Mbps
Up to
1.5
Gbps
Up to
2.5
Gbps
Up to 4
Gbps
Up to 5
Gbps

Up to
10
Gbps
Up to
15
Gbps
Up to
20
Gbps
+
Độ
trễ
<150
μ
s
<150
μ
s
<150
μ
s
<150
μ
s
<150
μ
s
<75
μs
<75

μs
<75
μs
<50
μs
k
ết nối
/s
35,000
35,000
37,000
42,500
50,000
525,000
525,000
525,000
650,000
SL
phiên
1,300,0
00
1,300,0
00
1,500,0
00
1,800,0
00
2,200,0
00
12,500,

000
12,500,
000
12,500,
000
21,000,
000
C
ổng
qu
ản lý
10/100/
1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/

1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/
1000
(IPv6
sup
-
ported)
10/100/

1000
(IPv6
sup
-
ported)
Phân
khúc
b
ảo vệ
n
ội
tuy
ến
(2) 1
GbE
(2) 1
GbE
(4) 1
GbE
(4) 1
GbE
(4) 1
GbE
(2) 10/1
GbE
+
(6) 1
GbE
(2) 10/1
GbE

+
(6) 1
GbE
(2) 10/1
GbE
+
(6) 1
GbE
(4) 10/1
GbE
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
15
IBM Security Network Intrusion
Prevention System Virtual Appliance
Model
GX400
4
-200
GX400
4
GX500
8
GX510
8
GX520
8
GX741

2
-5
GX741
2
-10
GX741
2
GX780
0
Cổng
giám sát
4×1 GbE 4×1 GbE 8×1 GbE 8×1 GbE 8×1 GbE 4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
4×10
GbE
(SFP+) +
12×1
GbE
(SFP)
8×10

GbE
(SFP+)
Nguồn
dự
phòng
Không Không Có Có Có Có Có Có Có
Lưu trữ
dự
phòng
Không Không Có Có Có Có Có Có Có
Tính sẳn
sàng cao
Bypass Bypass Active/ac
tive;
active/pa
ssive;
geo-
disperse
d HA;
external
hardware
-level
bypass
(optional
Active/ac
tive;
active/pa
ssive;
geo-
disperse

d HA;
external
hardware
-level
bypass
(optional
Active/ac
tive;
active/pa
ssive;
geo-
disperse
d HA;
external
hardware
-level
bypass
(optional
Active/ac
tive;
active/pa
ssive;
geo-
disperse
d HA;
external
hardware
-level
bypass
(optional

Active/ac
tive;
active/pa
ssive;
geo-
disperse
d HA;
external
hardware
-level
bypass
(optional
Active/ac
tive;
active/pa
ssive;
geo-
disperse
d HA;
external
hardware
-level
bypass
(optional
Active/ac
tive;
active/pa
ssive;
geo-
disperse

d HA;
external
hardware
-level
bypass
(optional
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
16
IBM Security Network Intrusion
Prevention System Virtual Appliance
Một số hình ảnh về IBM IPS
GX404 up to 800M and
1.300.000 session
GX5208 up to 4Gbs and
2.200.000 Session
GX7412 up to 12Gbs
and 12.500.000 session
GX7800 up to 20Gbs
and 21.000.000 session
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
17
Snort
SNORT LÀ CHƯƠNG TRÌNH BẢO MẬT
MÃ NGUỒN MỞ VỚI 3 CHỨC NĂNG

CHÍNH:
- A PACKET SNIFFER
- A PACKET LOGGER
- HỆ THỐNG PHÁT HIỆN XÂM NHẬP
TRIỂN KHAI TRÊN MẠNG (A NETWORK-
BASED INTRUSION DETECTION SYSTEM)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
18
Ưu điểm của Snort
- MÃ NGUỒN MỞ.
- THỰC HIỆN TRONG SUỐT VỚI NGƯỜI
DÙNG.
- CHẠY TRÊN NHIỀU HỆ ĐIỀU HÀNH:
LINUX, WINDOWS, MACOS X
- CÓ ĐẦY ĐỦ TÍNH NĂNG CỦA 1 IDS/IPS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
19
Các thành phần cơ
bản của Snort
PACKET DECODER: BỘ GIẢI MÃ GÓI
PREPROCESSORS: BỘ TIỀN XỬ LÝ.
DETECTION ENGINE: BỘ MÁY PHÁT HIỆN
LOGGING AND ALERTING SYSTEM: HỆ
THỐNG GHI VÀ CẢNH BÁO.

OUTPUT MODULES: CÁC MÔ ĐUN XUẤT.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
20
Cơ chế hoạt động
của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
21
Chọn lựa sản phẩm
1. Các yêu cầu tổng quan.
2. Các yêu cầu khả năng bảo mật.
3. Các yêu cầu về năng suất vận hành.
4. Các yêu cầu về quản lý
5. Đánh giá sản phẩm
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
22
Yêu cầu tổng quan
- Đánh giá môi trường hệ thống mạng
- Mục tiêu
- Chính sách bảo mật
- Hạn chế nguồn tài nguyên
Đại học Công nghệ thông tin

Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
23
Đánh giá môi trường
hệ thống mạng
TRƯỚC TIÊN CẦN HIỂU VỀ CÁC ĐẶC
ĐIỂM CỦA MÔI TRƯỜNG MẠNG VÀ HỆ
THỐNG CỦA TỔ CHỨC:
- CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA MÔI
TRƯỜNG IT
- CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA HỆ
THỐNG AN NINH HIỆN TẠI.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
24
Đánh giá môi trường hệ
thống mạng (tt)
CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA MÔI
TRƯỜNG IT:
- SƠ ĐỒ MẠNG, BAO GỒM TẤT CẢ CÁC
KẾT NỐI, SỐ LƯỢNG VÀ VỊ TRÍ CỦA CÁC
HOST.
- HỆ ĐIỀU HÀNH, CÁC DỊCH VỤ MẠNG,
VÀ CÁC ỨNG DỤNG CHẠY BỞI MỖI
HOST.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm
nhập
25
Đánh giá môi trường hệ
thống mạng (tt)
CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA HỆ THỐNG AN
NINH HIỆN TẠI:
- CÁC IDS/IPS ĐANG TỒN TẠI.
- CÁC MÁY CHỦ LOGGING ĐƯỢC TẬP TRUNG.
- PHẦN MỀM ANTIMALWARE.
- PHẦN MỀM LỌC NỘI DUNG. VÍ DỤ: PHẦN
MỀM ANTISPAM .
- CÁC THIẾT BỊ FIREWALL, ROUTER, PROXIES.
- CÁC DỊCH VỤ MÃ HÓA VIỆC TRUYỀN THÔNG:
VPN, SSL, TLS.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×