Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Triển khai hệ thống phát hiện
và ngăn ngừa xâm nhập (IDS/IPS)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Tăng tính sẵn sàng cho IPS
(High availability)
Tăng tính sẵn sàng cho IPS là hướng tiếp
cận trong thiết kế hệ thống để giới hạn và tránh
sự gián đoạn cung cấp dịch vụ.
2 phương pháp tiếp cận để xử lý khi cảm
biến IPS bị lỗi:
- Sử dụng các đặc tính Cisco IPS bypass
- Sử dụng các kỹ thuật dự phòng khác nhau
(sử dụng nhiều cảm biến dự phòng).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Inline (software) Bypass
- Đặc điểm Bypass được hỗ trợ bởi tất cả các
cảm biến Cisco IPS. Với đặc tính này, lưu
lượng vẫn được chuyển đi nếu có một engine

phân tích (analysis engine) bị lỗi.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Inline (software) Bypass (tt)
3 chế độ hoạt động của Bypass, mặc định là
“auto”:
- Auto: nếu “engine phân tích” (analysis engine)
bị lỗi, lưu lượng vẫn tiếp tục được đi qua bộ cảm
biến nhưng sẽ không còn được giám sát.
- Off: nếu “engine phân tích” bị lỗi, bộ cảm biến
sẽ ngưng lưu lượng đi qua nó.
- On: lưu lượng sẽ bỏ qua “engine phân tích” và
sẽ không được giám sát.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Inline (software) Bypass (tt)
- Cisco IPS 4260 và 4270 hỗ trợ Hardware
bypass bằng cách dùng card GigabitEthernet
4- port.
- Bypass được chỉ hỗ trợ giữa 0 và 1, và giữa
2 và 3.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Inline (software) Bypass (tt)
Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp
các cổng không được hỗ trợ HW bypass với nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên EtherChannel:
nhiều bộ cảm biến được kết nối cùng một switch
trong một “bó” EtherChannel. Lên đến 8 bộ cảm
biến IPS có thể bó lại cùng nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm
biến được kết nối đến nhiều switch và nhiều đường
dự phòng được tạo ra. Trong trường hợp này,
Spanning tree protocol (STP) sẽ kiểm tra những
đường này và chuyển hướng lưu lượng khi có lỗi
xảy ra.
Đại học Công nghệ thông tin

Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên STP
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Routing-based sensor High
availability
Phương pháp này được thực hiện bằng cách chạy
các giao thức định tuyến trên các đường (paths) nơi
mà các bộ cảm biến IPS được cài đặt. Phương pháp
này hỗ trợ cả active-acitve và active-standby HA.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Routing-based sensor High
availability (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12

Cisco ASA-based sensor
High Availability
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
High Availability với sản phẩm Mcafee
1 cảm biến sẽ ở trạng thái
“active”, trong khi cái kia
sẽ ở trạng thái “standby”
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Hướng dẫn thực hiện Network IPS
Enterprise or provider Internet edge
Wide-area networks (WAN)
Data center
Centralized ca mpus
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Hướng dẫn thực hiện Network IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Enterprise or provider Internet edge
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Wide-Area Network
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Wide-Area Network (tt)
Các mối nguy hiểm phổ biến trong WAN:
- Tấn công vào cơ sở hạ tầng như là truy cập trái
phép, leo thang đặc quyền (privilege escalation),
và tấn công DoS.
- Các hành động nguy hiểm được tạo ra bởi
client, ví dụ như sử dụng các phần mềm độc hại.
- Các lỗ hổng tại nơi “quá cảnh” của mạng
WAN, như là đánh hơi (sniffing) và tấn công
Man-in-the-midle.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Wide-Area Network (tt)

2 Hướng triển khai NIPS với WAN là:
- Triển khai tập trung (centrally)
- Triển khai phân tán
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20
Wide-Area Network (tt)
Triển khai tập trung (centrally):
- Hiệu quả về chi phí
- Dễ dàng quản lý
- Cần ít cảm biến hơn triển khai phân tán.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Wide-Area Network (tt)
Triển khai tập trung (centrally)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Wide-Area Network (tt)
Triển khai phân tán: được triển khai tại các chi
nhánh (branch). Khi cần bảo vệ các tài nguyên
WAN như là các đường kết nối WAN khỏi
“flooding”. Phương pháp này có ưu điểm:

- Lưu lượng giữa các branch được giám sát tại
tất cả các thời điểm. Do đó, tất cả các lưu lượng
sẽ được giám sát bất kể nó có đi tới central site
hay không.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
23
Wide-Area Network (tt)
Triển khai phân tán
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
24
NIPS trong Data Center
Lưu ý:
- Data center được thiết kế để đáp ứng tốc độ
cao, tính kết nối sẵn sàng cao. Do đó, phải đảm
bảo rằng NIPS không tác động các yếu tố này
của Data center.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
25
NIPS trong Data Center