ĐẠI HỌC QUỐC GIA TPHCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH và TRUYỀN THÔNG
o0o
Báo cáo Lab3 nhóm 22:
Cisco IDS/IPS
Bộ môn: Xây dựng chuẩn chính sách An toàn Thông tin
GVHD: Nguyễn Duy
SV thực hiện: Lê Huy Tiên Hội MSSV:07520143
Trần Hưng Quốc Anh 07520009
Nguyễn Trí Dũng 07520069
Nguyễn Quốc Anh 07520013
Đặng Đức Hiệp 07520537
Lớp: MMT-TT02
Tp. Hồ Chí Minh - Tháng 04 Năm 2012
1
MỤC LỤC
Chương 1:Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS 3
Chương 2: Tổng quan IDS 4
2.1. Giới thiệu tổng quan về hệ thống IDS 4
2.1.1. Khái niệm về IDS/IPS 4
2.1.2 Chức năng 4
2.1.2.1. Các ứng dụng cơ bản 4
2.1.2.2. Các tính năng 5
2.1.2.3. Cấu trúc và kiến trúc 5
2.2. Phân loại 6
2.2.1. Network based IDS – NIDS 6
2.2.2. Host based IDS – HIDS 7
2.2.3. Wireless IDS/IPS 8
2.2.4. Network Behavior Analysis system (NBAS) 10
2.2.5. Honeypot IDS 10

2.2.6. Sự khác nhau 10
2.3. Cơ chế hoạt động 11
Chương 3. Tổng Quan IPS 11
3.1. Định nghĩa IPS 11
3.2. Chức năng của IPS 11
3.3. Kiến trúc chung của các hệ thống IPS 12
3.3.1 Module phân tích luồng dữ liệu 12
3.3.2 Modul phát hiện tấn công 12
3.3.3 Modul phản ứng 13
3.4. Phân loại hệ thống IPS 14
3.4.1 IPS ngoài luồng(Promiscuous Mode IPS) 14
3.4.2 IPS trong luồng (In-line IPS) 14
4. Mô Hình Triển Khai Thực Tế 15
Chương 1:Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
2
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong
mọi hoạt động của xã hội. . Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối
quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ
thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống
an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ
thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an
ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ
thống. Trước các nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công ty,doanh
nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống IDS(Intrusion Detection System ) ra đời để phát hiện
sự xâm nhập trái phép của kẻ tấn công thông qua việc kiểm soát lưu lượng giao thông của hệ thống mạng.
IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với một định nghĩa mà người dùng
đặt ra cho hệ thống , IDS không thể thực hiện việc ngăn chặn ngay khi phát hiện xâm nhập xảy ra để thực
hiện an ninh cho hệ thống mạng thì IPS ra đời.
Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợp các ưu điểm của kỹ thuật
tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiện các cuộc tấn công và tự động ngǎn

chặn các cuộc tấn công đó.
Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến cho phép quyết định vị trí
tốt nhất để giám sát hoạt động xâm nhập cho hệ thống. Cisco cung cấp các nền tảng cảm biến sau đây:
* Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống dịch vụ bảo vệ Module (ASA
AIP SSM): Cisco ASA AIP SSM sử dụng công nghệ tiên tiến và kiểm tra công tác phòng chống để cung
cấp dịch vụ hiệu năng bảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm nhập và chống
tiên tiến-x dịch vụ, được xác định như chống virus và spyware. Cisco ASA AIP SSM sản phẩm bao gồm
một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộ nhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB
bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun.
* Cisco IPS 4.200 loạt các cảm biến: Cisco IPS 4.200 loạt các cảm biến đáng kể để bảo vệ mạng của bạn
bằng cách giúp phát hiện, phân loại, và ngăn chặn các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và
phần mềm quảng cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software Version 5.1,
Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống xâm nhập nội tuyến với các công nghệ tiên
tiến để cải thiện tính chính xác. Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có nguy
cơ giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả năng phát hiện tăng cường
khả năng mở rộng và nâng cao, khả năng phục hồi, và vv.
* Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2): 6.500 Catalyst Series IDSM-
2 là một phần của giải pháp của Cisco IPS. Nó hoạt động kết hợp với các thành phần khác để bảo vệ dữ
liệu của bạn có hiệu quả cơ sở hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt được
các giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì một mức độ cao của bảo vệ.
thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảm thiểu các hoạt động tốn kém cho việc phát hiện
xâm nhập.
* Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các giải pháp IPS; Cisco IPS
AIM cho Cisco 1841 Integrated Services Router và Cisco 2800 và 3.800 Series Integrated Services
Routers được làm cho nhỏ và vừa kinh doanh( small and medium-sized business (SMB) ) và các môi
trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy trên Cisco IPS AIM cung cấp nâng cao,
3
doanh nghiệp-class IPS chức năng và đáp ứng ngày càng tăng nhu cầu bảo mật của các văn phòng chi
nhánh. Cisco IPS AIM có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ thống mạng

WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là chạy trên dành riêng
cho CPU của nó, vì thế không chiếm CPU của router. Đồng thời, sự tích hợp của IPS lên một Integrated
Services Router Cisco giữ chi phí thấp và giải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ.
Chương 2: Tổng quan IDS
2.1. Giới thiệu tổng quan về hệ thống IDS
Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25
năm. Khi đó người ta cần hệ thống phát hiện xâm nhập – IDS (Intrusion Detection System) với mục đích
là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các
việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng.
Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988
trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm
IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện
nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ
của công nghệ thông tin.
Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS,
một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS
tên là Wheel.
2.1.1. Khái niệm về IDS/IPS
Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệ thống mạng và phân tích để
tìm ra các dấu hiệu vi phạm đến các quy định bảo mật máy tính, chính sách sử dụng và các tiêu chuẩn an
toàn thông tin. Các dấu hiệu này xuất phát từ rất nhiều nguyên nhân khác nhau, như lây nhiễm Malwares,
Hackers xâm nhập trái phép, người dùng cuối truy nhập vào các tài nguyên không được phép truy cập,
Tìm hiểu thêm về IDS:
Intrusion Prevention System (IPS) là một hệ thống bao gồm cả chức năng phát hiện xâm nhập (Intrusion
Detection – ID) và khả năng ngăn chặn các xâm nhập trái phép dựa trên sự kết hợp với các thành phần
khác như Antivirus, Firewall hoặc sử dụng các tính năng ngăn chặn tích hợp.
Tìm hiểu thêm về IPS:
2.1.2 Chức năng
2.1.2.1. Các ứng dụng cơ bản
Nhận diện các nguy cơ có thể xảy ra.

Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.
Nhận diện các hoạt động để thăm dò hệ thống.
Nhận diện các khuyết điểm của chính sách bảo mật.
Ngăn chặn vi phạm chính sách bảo mật.
2.1.2.2. Các tính năng
4
Lưu trư thông tin liên quan đến các đối tượng giám sát.
Cảnh báo các sự kiện quan trọng liên quan đến đối tượng giám sát.
Ngăn chặn các tấn công.
Xuất báo cáo.
2.1.2.3. Cấu trúc và kiến trúc
a. Cấu trúc
Có 4 thành phần cơ bản:
Sensor / Agent
Giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong
khi “Agent” thường được dùng cho dạng Host-base IDS/IPS
Management Server
Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng. Một số
Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor /
Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện.
Database Server
Dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server.
Console
Là 1 chương trình cung cấp giao diện cho IDS/IPS Users / Admins. Có thể cài đăt trên một máy tính bình
thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.
b. Kiến trúc
Sensor là yếu tố cốt lõi trong một hệ thống IDS/IPS, nó có trách nhiệm phát hiện các xâm nhập nhờ chứa
những cơ cấu ra quyết định đối với sự xâm nhập.
Sensor nhận dữ liệu thô từ ba nguồn thông tin chính: Kiến thức cơ bản (knowledge base) của IDS, Syslog
và Audit Trail. Các thông tin này tạo cơ sở cho quá trình ra quyết định sau này.

Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu - một Event Generator (EG).
Dựa vào các chính sách tạo sự kiện nó xác định chế độ lọc thông tin thông báo sự kiện.
Các EG (hệ điều hành, mạng, ứng dụng) tạo ra một chính sách nhất quán tập các sự kiện có thể là Log
hoặc Audit của các sự kiện của hệ thống, hoặc các gói tin. Điều này, thiết lập cùng với các thông tin chính
sách có thể được lưu trữ hoặc là trong hệ thống bảo vệ hoặc bên ngoài. Trong những trường hợp nhất định,
dữ liệu không được lưu trữ mà được chuyển trực tiếp đến các phân tích (thông thường áp dụng với các gói
packet).
Các hệ thống IDS/IPS có thể được triển khai theo 2 hướng là tập trung và phân tán. Một ví dụ cụ thể cho
hướng triển khai tập trung là tích hợp IDS/IPS cùng với các thành phần an ninh khác như firewall. Triển
5
khai phân tán (Distributed IDS) bao gồm nhiều hệ IDS/IPS trong 1 hệ thống mạng lớn, được kết nối với
nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp.
2.2. Phân loại
2.2.1. Network based IDS – NIDS
Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1 segment, phân tích mạng, các giao
thức ứng dụng từ đó nhận diện các hoạt động khả nghi. Thường được triển khai ở các biên mạng (Network
Border).
Hệ thống NIDS/IPS thường được triển khai trong 1 đoạn / mạng con riêng phục vụ cho mục đích quản trị
hệ thống, trong trường hợp không có mạng quản trị riêng thì 1 mạng riêng ảo (VLAN) là cần thiết để bảo
vệ các kết nối giữa các hệ NIDS/IPS.
Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS, lựa chọn vị trí phù hợp
cho các Sensor cũng là 1 vấn đề quan trọng ảnh hưởng đến khả năng detection của hệ NIDS/IPS.
Trong hệ NIDS/IPS, Sensors thường gặp ở 2 dạng là tích hợp phần cứng và phần mềm.
a. Các kiểu triển khai NIDS
Có hai kiểu thường sử dụng:
a1. Thẳng hàng (Inline)
Một Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên 8 qua nó giống
như trong trường hợp cùa firewall.
Thực tế là 1 số Sensor thẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS/IPS, một số khác là
NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công

bằng việc chặn lưu lượng mạng.
Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác, ranh
giới giữa các mạng.
Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các
thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này.
a2. Thụ động (Passive)
Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bản sao của các lưu lượng trên mạng.
Thường được triển khai giám sát các vị trí quan trọng trong mạng hư, ranh giới giữa các mạng, các đoạn
mạng quan trọng (Vd: Server Farm hoặc DMZs).
Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning Port hoặc Mirror Port,
Network Tap hoặc IDS Loadbalancer.
b. Khả năng bảo mật của hệ thống NIDS/IPS
- Khả năng thu thập thông tin:
6
Nhận dạng host.
Nhận dạng hệ điều hành.
Nhận dạng ứng dụng.
Nhận dạng đặc điểm mạng.
- Khả năng ghi log
- Khả năng nhận diện:
Hoạt động thăm dò và tấn công trên các lớp ứng dụng (L7), lớp vận chuyển (L4),
Các dịch vụ ứng dụng không mong đợi.
Vi phạm chính sách.
- Khả năng ngăn chặn:
Kiểu thụ động: Ngắt phiên TCP hiện tại.
Kiểu thẳng hàng: Thực hiện tác vụ firewall thẳng hàng, điều tiết băng thông sử dụng, loại bỏ các nội dung
gây hại.
Ngoài ra chức năng ngăn chặn còn có thể thay đổi cấu hình của 1 số thiết bị bảo mật cũng như thực thi các
ứng dụng thứ 3 hoặc Scripts.
Lưu ý:

Khi triển khai NIDS/IPS, cần lưu ý là phải triển khai các Sensor ở dạng ẩn (Stealth mode). Trong dạng
này, các interface của Sensor không được gán địa chỉ IP (trừ interface quản lý) để tránh việc khởi tạo kết
nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của kẻ tấn công.
Điểm yếu của hệ thống NIDS/IPS chính là việc nó rất dễ bị ảnh hưởng bởi nhiều loại tấn công liên quan
đến khối lượng lưu lượng mạng lớn (large volume of network traffic) và kiến trúc Single-point of Failure
khi triển khai Sensor kiểu thẳng hàng.
Trong thực tế, NIDS/IPS thường được sử dụng tại biên mạng nhằm phát hiện các dấu hiệu tấn công và hạn
chế các tấn công này ở mức network. Đối với những máy chủ hoặc máy client quan trọng, việc bổ sung
HIDS cho các máy này là cần thiết để tăng cường khả năng bảo mật khi kết hợp với các hệ NIDS trong
cùng hệ thống.
c. Các sản phẩm đại diện

Snort, ISS, Juniper IDS, Tipping Point IDS, Trustware ipAgent, Cisco IPS, Reflex Security,
2.2.2. Host based IDS – HIDS
Được triển khai trên từng host,thông thường là 1 software hoặc 1 agent, mục tiêu là giám sát các tính chất
cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện các hoạt động khả nghi. Host-based
IDS/IPS thường được triển khai trên các host có tính chất quan trọng (public servers, sensitive data
servers), hoặc 1 dịch vụ quan trọng (trường hợp đặc biệt này được gọi là application-based IDS/IPS).
Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần mềm được cài đặt trực
tiếp lên host. Application-based agent thường được triển khai thẳng hàng ngay phía trước host mà chúng
bảo vệ.
7
Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc
cài đặt agent lên host hay sử dụng agent-based appliances.
Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lên host được khuyến khích vì
agent tương tác trực tiếp với các đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả
hơn. Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường hợp này
người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết bị là việc cài đặt agent lên host có thể ảnh hưởng
đến performance của host.
a. Khả năng bảo mật của hệ thống HIDS/IPS

- Khả năng ghi log.
- Khả năng phát hiện:
Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh
sách ứng dụng và hàm thư viện).
Phân tích và lọc lưu lượng mạng.
Giám sát filesystem (kiểm tra tính toàn vẹn,thuộc tính, truy cập của file)
Phân tích log.
Giám sát cấu hình mạng.
- Khả năng ngăn chặn:
Phân tích mã: ngăn chặn thực thi mã độc.
Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặn các dịch vụ hoặc giao thức không
được phép.
Giám sát filesystem: ngăn chặn việc truy cập, thay đổi filesystem.
- Các khả năng bảo vệ khác: Ngăn chặn truy cập đến các removeable-media, củng cố bảo mật cho host,
giám sát trạng thái các tiến trình,
b. Các sản phẩm đại diện
Tripware, OSSEC, BroIDS, ISS, Samhain, Prelude - LML,Snort,
2.2.3. Wireless IDS/IPS
Thường được triển khai trong tầm phủ sóng wireless của hệ thống nhằm giám sát, phân tích các protocol
wireess để nhận diện các hoạt động khả nghi.
Sự khác biệt lớn nhất giữa NIDS/IPS và Wireless IDS/IPS nằm ở việc NIDS/IPS có thể giám sát tất cả các
packet trong mạng thì Wireless IDS/IPS giám sát bằng cách lấy mẫu lưu lượng mạng.
Sensor trong hệ thống Wireless IDS/IPS sử dụng 1 kỹ thuật gọi là quét kênh (channel scanning), nghĩa là
thường xuyên đổi kênh giám sát. Để hỗ trợ cho việc giám sát hiệu quả, các Sensor có thể được trang bị
nhiều antenna thu phát công suất cao.
a. Các kiểu thường gặp của Wireless Sensor
Chúng ta thường bắt gặp WS dưới dạng 3 hình thức chính sau:
* Chuyên biệt (Dedicated)
8
Thường ở dạng thụ động, được vận hành dưới dạng giám sát tần số phát (radio requency monitoring

mode), được triển khai theo 2 dạng là cố định (thiết bị) và di động (phần mềm hoặc thiết bị).
* Tích hợp trong Access Point
* Tích hợp trong Wireless switch
Vấn đề vị trí triển khai Wireless IDS/IPS là 1 vấn đề cơ bản, khác biệt hoàn toàn so với các loại Sensor
trong các hệ thống NIDS/IPS hay HIDS/IPS do đặc thù của mạng Wireless. Thông thường các Wireless
IDS/IPS thường được triển khai ở các khu vực mở của hệ thống mạng (khu vực khách, công cộng, ), ở
các vị trí có thể giám sát toàn bộ vùng sóng của mạng Wireless, hay được triển khai để giám sát trên 1 số
băng tần và kênh xác định.
b. Hệ thống NIDS/IPS cung cấp các khả năng về bảo mật sau:
- Khả năng bảo mật
- Khả năng thu thập thông tin:
Nhận diện thiết bị Wireless
Nhận diện mạng Wireless
- Khả năng ghi log
- Khả năng nhận diện:
Nhận diện các mạng và thiết bị Wireless trái phép.
Nhận diện các thiết bị Wireless kém bảo mật.
Nhận diện các mẫu sử dụng bất thường.
Nhận diện các hoạt động của wireless scanner.
Nhận diện các tấn công từ chối dịch vụ DoS qua cơ chế phân tích trạng thái giao thức (Stateful protocol
analysis) và nhận diện bất thường (Abnormaly detection)
Nhận diện các tấn công đóng giả và Man-in-the-Middle.
Hệ thống Wireless IDS/IPS có khả năng xác định vị trí vật lý của mối đe dọa được nhận diện bằng phương
pháp đo tam giác ( triangulation ) dựa vào mức tín hiệu từ mối đe dọa đến Sensor và từ đó tính ra được vị
trí tương đối của mối đe dọa đối với mỗi Sensor.
- Khả năng ngăn chặn:
Ngắt kết nối wireless.
Tác động đến switch để chặn kết nối từ Access Point hoặc Station nghi ngờ là nguồn tấn công,
Tuy nhiên, cũng như mạng Wireless, Wireless IDS/IPS cũng rất nhạy cảm với các dạng tấn công từ chối
dịch vụ cũng như các tấn công sử dụng kỹ thuật lẩn tránh ( evasion techniques ).

c. Các sản phẩm đại diện
WIDZ, AirMagnet, AirDefense, Snort-Wireless,
2.2.4. Network Behavior Analysis system (NBAS)
Là 1 dạng NIDS/IPS được triển khai trong hệ thống mạng nhằm nhận diện các threats tạo ra các luồng
9
traffic bất thường trong hệ thống ( DDoS, Malwares… ). Thường được dùng để giám sát luồng traffic
trong hệ thống nội bộ cũng như có thể giám sát luồng traffic giữa hệ thống trong và các hệ thống ngoài.
Khác biệt giữa NBAS và NIDS/IPS ở chỗ NBAS phân tích lưu lượng mạng hoặc các thống kê trên lưu
lượng mạng để nhận diện các luồng lưu lượng bất thường.
Hệ thống NBAS có thể được triển khai dưới 2 dạng là thụ động và thẳng hàng. Với kiểu triển khai thụ
động, được triển khai tại các vị trí cần giám sát như ranh giới mạng, các đoạn mạng quan trọng. Với kiểu
thẳng hàng, tương tự như NIDS/IPS, có thể triển khai sát với firewall biên, thường là phía trước để giảm
thiểu số lượng các tấn công đến có thể làm quá tải firewall biên.
2.2.5. Honeypot IDS
Là 1 dạng IDS dựa trên phương pháp “mồi” & “bẫy”, tạo ra các hệ thống giả lập tương tự các hệ thống
chính nhằm chuyển hướng tấn công của đối tượng vào hệ thống giả lập này từ đó quan sát dấu vết và truy
vết tấn công.
2.2.6. Sự khác nhau
Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể
xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn
công. Dĩ nhiên ta có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà
thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị.
Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi
vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người
quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm
thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có
dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn.
IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công. Vì mỗi cuộc tấn công lại có các cơ
chế khác nhau của nó. Vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít
nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn

đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế
của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của
nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ
chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm
đó, độ chính xác của IPS là cao hơn so với IDS.
Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn
công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để
xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đên tường lửa ( Firewall) để
tường lửa thực hiện chức năng của nó. Tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống.
Ví dụ như nếu Đối tượng giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn
công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ
nhưng nó cũng sẽ Block luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và
coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS
thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng
mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.
2.3. Cơ chế hoạt động
10
- IDS hoạt động dựa trên cơ chế monitor traffic lưu thông trên hệ thống, việc monitor có thể thực hiện
bằng nhiều phương pháp:
a. Mirror LAN traffic vào cổng monitoring của IDS.
b. Sử dụng Inline IDS (IOS IDS, PIX IDS như đối với Cisco ; IDP như đối với Netscreen; một số còn gọi
là IPS).
- IDS dựa trên các signatures để phân tích traffic, qua đó đưa ra các cảnh báo về các loại tấn công có thể
đang diễn ra.
Tuỳ theo đặc tính từng thiết bị cụ thể, IDS có thể ra lệnh cho 1 thiết bị khác ( router, firewall) block loại
traffic naò đó, hoặc có thể reset TCP connection, Đối với loại inline IDS thì việc reset, block traffic nào
đó đơn gian hơn vì IDS kiểu đó nằm trên đường đi của traffic.
Chương 3. Tổng Quan IPS
3.1. Định nghĩa IPS
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật

firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm
nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các
cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần
lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng.
3.2. Chức năng của IPS
Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP-
segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Một IPS hoạt động
giống như một người bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở
các uỷ nhiệm và tập quy tắc nội quy nào đó.
Các giải pháp IPS“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ
làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong
khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo – không có
những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi
ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện
theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập”
được đặt vào đúng vị trí để phục vụ với:
- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các
ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập
(access control lists).
- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng các bộ lọc gói tốc
độ cao.
11
- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như
Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh.
- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc sử dụng các
thuật toán lọc dựa trên cơ sở ngưỡng.
- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và chưa biết chống lại
HTTP, FTP, DNS, SMTP .v.v. – qua việc sử dụng những quy tắc giao thức ứng dụng và chữ ký.
- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn tiêu thụ tài nguyên

dựa trên cơ sở ngưỡng.
Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra đều được chứng minh
bằng tài liệu. Ngoài ra, những khác thường trong các giao thức truyền thông từ mạng qua lớp ứng dụng
không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ
cảnh xác định.
3.3. Kiến trúc chung của các hệ thống IPS
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác,
đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công
và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul
phát hiện tấn công, modul phản ứng.
3.3.1 Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các gói tin có địa chỉ
không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ
thu nhận tất cả. Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông
tin. Bộ phân tích đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ
gì Các thông tin này được chuyển đến modul phát hiện tấn công.
3.3.2 Modul phát hiện tấn công:
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Có hai phương
pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự
kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn
công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có
ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả
nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của
mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có
trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không
12
bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt
động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống.

Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận
dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các
mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với
số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt
quá mức thì hệ thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện
tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình
thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt
động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song
với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học
phải dừng lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức,
các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của
sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng
để thu thập thông tin của các tin tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công
kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp
các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường
tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là
hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ
thống chạy chuẩn xác hơn.
3.3.3 Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự
tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện
chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các
cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới
đây là một số kỹ thuật ngǎn chặn:
- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị

nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn so
với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương
13
pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp
phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn
công xảy ra nhanh thì rất khó thực hiện được phương pháp này.
- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một
phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược
điểm là dễ nhầm với các gói tin hợp lệ.
- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo
mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi
người dùng đặc biệt trong khi cảnh báo tới người quản trị.
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các
cuộc tấn công, các đặc điểm và thông tin về chúng.
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Mục đích để
các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn
công hoạt động.
3.4. Phân loại hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
3.4.1 IPS ngoài luồng(Promiscuous Mode IPS)
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào hệ thống mạng
sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu
hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các
hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.
3.4.2 IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa. Điểm khác
chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông (traffic-blocking). Điều đó làm cho IPS
có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng(Promiscuous Mode IPS).
Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực. Tốc độ họat

động của hệ thống là một yếu tố rất quan trọng. Qua trình phát hiện xâm nhập phải đủ nhanh để có thể
ngăn chặn các cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn công đã
được thực hiện xong và hệ thống IPS là vô nghĩa.
4. Mô Hình Triển Khai Thực Tế
14
( Hình 3.1: Mô hình giả lập triển khai IPS của Cisco )
Địa chỉ IP các thiết bị :
Thiết bị Cổng IP/ Subnet Mask
R3 ( IPS ) f0/0
f1/0
10.0.0.1 / 255.255.255.0
10.0.1.1 / 255.255.255.0
C2 ( PC ) Looback 10.0.0.2 / 255.255.255.0
R4 ( Router ) f0/0 10.0.1.2 / 255.255.255.0
1. Công cụ cần thiết để thực hiện mô phỏng
Phần mềm giả lập GNS3
Tool SDM của cisco
Máy PC phải cài gói java để hộ trợ cho SDM
2. Các bước mô phỏng
Dựng mô hình với gns3 như mô hình
Đặt ip cho các các thiết bị như mô hình
Cấu hình Router 3 thành IPS:
R3(config)# ip http server
R3(config)# ip http secure-server
R3(config)# ip http authentication local
R3(config)# username ccna privilege 15 password 0 ccna
R3(config)# enable password 123
R3(config)# line vty 0 4
R3(config-line)# privilege level 15
R3(config-line)# login local

15
R3(config-line)# transport input telnet
R3(config-line)# transport input telnet ssh
R3(config-line)# exit
R3#show run
Building configuration
Current configuration : 3207 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
enable password 123
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3

ip ips notify SDEE
ip ips name sdm_ips_rule
!
!
!
crypto pki trustpoint TP-self-signed-4279256517
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4279256517
revocation-check none
rsakeypair TP-self-signed-4279256517
!
!
crypto pki certificate chain TP-self-signed-4279256517
certificate self-signed 01
3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323739 32353635 3137301E 170D3032 30333031 30303036
30305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 32373932
35363531 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C7FD 5B679264 C341F6BD 16E0C8BC 7FCB06C6 DF82BD60 D076B485 5888E0EB
B0C30759 DEC13720 B211D43E 1EE22511 48033124 6FE9A5E4 A8A52545 8BCAA946
7838E164 F379296F B346C962 17EA11EC 864EA6D8 78B8A04B B0B51BFA 40A32862
5672BDF5 129A4312 5889947A 9ABAE24B 702F73CC 0E7C002D 0B5245B7 15CA8E01
92370203 010001A3 62306030 0F060355 1D130101 FF040530 030101FF 300D0603
551D1104 06300482 02523330 1F060355 1D230418 30168014 A7AC3706 AC67B238
6BAF0754 632A6801 F07F8DCA 301D0603 551D0E04 160414A7 AC3706AC 67B2386B
16
AF075463 2A6801F0 7F8DCA30 0D06092A 864886F7 0D010104 05000381 81002A6F
A444F680 A3B109AA A2068E06 99AEA9A2 81360644 BC555654 0A743720 D29B37A1

1F15A306 A02C2470 3D84FDDF B06AFB75 90FA8585 FD6C6466 5785E121 70DD12DF
7599107D 754700E9 7034A7D2 5F8F61D5 01A2B76E 216F45F1 CD189E07 DB4BE7B4
12B6755E 4752A381 4430DCEE 93690FE3 DBA3D78A AB0295F8 36C01EDC 8C78
quit
!
!
username ccna privilege 15 password 0 ccna
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
ip ips sdm_ips_rule in
ip ips sdm_ips_rule out
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 10.0.1.1 255.255.255.0
ip ips sdm_ips_rule in
ip ips sdm_ips_rule out
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
no ip address
!
router rip
network 10.0.0.0

!
ip http server
ip http authentication local
ip http secure-server
!
ip forward-protocol nd
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
!
end
Sau đó sử dụng SDM để khởi tạo IPS bằng cách tạo kết nối tới Router IPS (IP:10.0.0.1)
17
(Hình 3.2: Giao diện đăng nhập để sử dụng SDM)
Màn hình chính sau khi kết nối tới Router IPS có dạng như sau:
18
(Hình 3.3: Giao diện sau khi đăng nhập thành công)
Chọn “Launch IPS Rule Wizard…” để khởi tạo IPS và đổ dữ liệu xuống Router IPS ban đầu.
(Hình 3.4: Giao diện khởi tạo IPS bằng SDM)

Tiếp theo Import các file cảnh báo dấu hiệu và xử lý các cảnh báo đó dành cho IPS.Các file có
dạng *.sdf
19
(Hình 3.5: Import các rule vào hệ thống IPS)
Thư viện các dấu hiệu sau khi Import và đổ dữ liệu vào Router IPS có dạng:
(Hình 3.6: Giao diện chỉnh sửa các rule IPS )
Như vậy,ta đã cấu hình xong IPS 1 cách đơn giản với tool SDM và các file dấu hiêu *.sdf.
Sử dụng thủ thuật Ping Of Death Dos bằng lệnh trong CMD: ping <IP> -t –l 65000.
20
(Hình 3.7: Giao diện sử dụng cách tấn công Ping Of Death)
Và kết quả đạt được sau khi cấu hình IPS:
(Hình 3.8: Giao diện cảnh báo và xử lý của IPS)
Router 3 làm nhiệm vụ IPS đã cảnh báo và ngăn chặn PC ping gửi gói tin lớn đến mục tiêu là router
4 với địa chỉ IP là 10.0.1.2
21