Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Snort
Snort là chương trình bảo mật mã nguồn mở
với 3 chức năng chính:
- A packet sniffer
- A packet logger
- Hệ thống phát hiện xâm nhập triển khai trên
mạng (A Network-based Intrusion Detection
System)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Ưu điểm của Snort
- Mã nguồn mở.
- Thực hiện trong suốt với người dùng.
- Chạy trên nhiều hệ điều hành: Linux,
Windows, MacOS X
- Có đầy đủ tính năng của 1 IDS/IPS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Các thành phần cơ bản của Snort
Packet Decoder: bộ giải mã gói
Preprocessors: Bộ tiền xử lý.
Detection Engine: bộ máy phát hiện
Logging and Alerting System: hệ thống ghi

và cảnh báo.
Output Modules: các mô đun xuất.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Cơ chế hoạt động của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Chọn lựa sản phẩm
1. Các yêu cầu tổng quan.
2. Các yêu cầu khả năng bảo mật.
3. Các yêu cầu về năng suất vận hành.
4. Các yêu cầu về quản lý
5. Đánh giá sản phẩm
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Yêu cầu tổng quan
- Đánh giá môi trường hệ thống mạng
- Mục tiêu
- Chính sách bảo mật
- Hạn chế nguồn tài nguyên
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7

Đánh giá môi trường hệ thống mạng
Trước tiên cần hiểu về các đặc điểm của
môi trường mạng và hệ thống của tổ chức:
- Các đặc điểm kỹ thuật của môi trường IT
- Các đặc điểm kỹ thuật của hệ thống an ninh
hiện tại.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Đánh giá môi trường hệ thống mạng (tt)
Các đặc điểm kỹ thuật của môi trường IT:
- Sơ đồ mạng, bao gồm tất cả các kết nối, số
lượng và vị trí của các host.
- Hệ điều hành, các dịch vụ mạng, và các ứng
dụng chạy bởi mỗi host.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Đánh giá môi trường hệ thống mạng (tt)
Các đặc điểm kỹ thuật của hệ thống an ninh hiện
tại:
- Các IDS/IPS đang tồn tại.
- Các máy chủ logging được tập trung.
- Phần mềm antimalware.
- Phần mềm lọc nội dung. Ví dụ: phần mềm
antispam .
- Các thiết bị firewall, router, proxies.
- Các dịch vụ mã hóa việc truyền thông : VPN, SSL,

TLS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Mục tiêu
Sau khi thu thập về trình trạng hệ thống đang
tồn tại, người quản trị nên trình bày các mục
tiêu (về kinh doanh, hoạt động, kỹ thuật) cần
được bảo vệ bởi IDS/IPS. Các câu hỏi sau sẽ
giúp đạt được vấn đề trên:
- Loại nguy hiểm nào (threats) mà IDS/IPS cần
phải bảo vệ.
- Các hành động vi phạm việc sử dụng mạng
nhưng có thể chấp nhận được.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Chính sách bảo mật
Chính sách bảo mật hiện tại nên được xem
xét trước khi chọn lựa sản phẩm. Các chính
sách này sẽ cung cấp các đặc điểm kỹ thuật
mà IDS/IPS sẽ phải đáp ứng. Bao gồm:
- Các mục tiêu của chính sách.
- Chính sách sử dụng hợp lý hoặc các quy
định khác về quản lý.
- Quy trình xử lý vi phạm chính sách
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12
Chính sách bảo mật (tt)
Các mục tiêu của chính sách: giúp trình bày
các mục tiêu được đề ra trong chính sách
(tính toàn vẹn, tính bí mật và tính sẵn sàng )
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
Chính sách bảo mật (tt)
Chính sách sử dụng hợp lý hoặc các quy
định khác về quản lý: chính sách sử dụng hệ
thống là một phần của chính sách an ninh.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Chính sách bảo mật (tt)
Quy trình xử lý vi phạm chính sách: quy
trình nào bao gồm các hành động mà
IDS/IPS sẽ thực hiện khi phát hiện được sự
bất thường.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Hạn chế nguồn tài nguyên
Xem xét ngân sách mua và “hỗ trợ vòng đời”
cho các sản phẩm phần cứng và phần mềm

IDS/IPS.
Nhân viên để giám sát và duy trì IDS/IPS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Yêu cầu khả năng bảo mật
Các khả năng bảo mật sau đây cần được
đánh giá và xem xét trước khi chọn lựa
sản phẩm:
- Các khả năng thu thập thông tin
- Các khả năng ghi log
- Các khả năng phát hiện
- Các khả năng ngăn chặn
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Yêu cầu về năng suất vận hành.
So sánh về năng suất vận hành các sản phẩm IDS/IPS
là một thách thức, vì:
- Năng suất vận hành phụ thuộc vào việc cấu hình và điều
chỉnh của mỗi sản phẩm.
-Hiệu suất và khả năng phát hiện thường tỷ lệ nghịch với
nhau. Vì khả năng phát hiện phức tạp yêu cầu nhiều khả
năng xử lý và bộ nhớ.
- Nhiều thành phần IDS/IPS không dựa trên thiết bị phần
cứng chuyên dụng. Do vậy, hiệu suất còn phụ thuộc vào hệ
điều hành.
- Không có tiêu chuẩn chung để kiểm tra năng suất vận

hành, và cũng không được công bố công khai.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Yêu cầu về quản lý
Đánh giá khả năng quản lý của mỗi sản
phẩm IDS/IPS là rất quan trọng. Bởi vì
nếu 1 sản phẩm khó quản lý sẽ không
được sử dụng hiệu quả. Khả năng quản lý
được xem xét ở 3 yếu tố sau:
- Thiết kế và thực thi
- Hoạt động và duy trì
- Đào tạo, ghi chép, và hỗ trợ kỹ thuật.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Thiết kế và thực thi
Với đánh giá này, tổ chức nên xem xét các
tiêu chí tổng quan liên quan tới:
- Độ tin cậy
- Khả năng tương tác
- Khả năng mở rộng Bảo mật
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20
Độ tin cậy
-Khả năng dự phòng (nguồn dự trữ, nhiều card

mạng, các thiết bị lưu trữ ),
- Khả năng triển khai nhiều cảm biến hay không?
- Sản phẩm có thể sử dụng nhiều server quản lý
hay không?
- Nếu 1 cảm biến hư thì có thể dễ dàng chuyển
cấu hình sang 1 cảm biến khác hay không?
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Khả năng tương tác
- Có khả năng tương tác với các nguồn dữ
liệu đi vào.
- Có khả năng cấu hình blocking trên
firewall, router hay không
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Khả năng mở rộng
- Số lượng cảm biến, server quản lý, consoles
được cấu hình như là 1 thành phần luận lý đơn.
- Số lượng cảm biến mà 1 server quản lý có thể
hỗ trợ.
- Bao nhiêu cảm biến có thể chia sẽ khả năng
giám sát mạng. Bao gồm cách mà chia sẽ băng
thông được thực hiện.
- Khả năng lưu trữ có thể mở rộng được bao
nhiêu.
- Chi phí mở rộng là bao nhiêu.

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
23
Bảo mật
- Dữ liệu được lưu trữ và truyền thông giữa
các thành phần IDS/IPS được bảo vệ như thế
nào.
- Chứng thực, access control, và các đặc tính
giám sát cho việc sử dụng và quản trị
IDS/IPS.
- Khả năng tự chống tấn công DoS của
IDS/IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
24
Đánh giá sản phẩm
Sau khi đã chọn lựa các yêu cầu và tiêu chí,
người quản trị cần tìm ra các thông tin về các sản
phẩm cần được đánh giá. Bao gồm:
- Kiểm tra sản phẩm trong môi trường lab và thật.
- Kinh nghiệm sử dụng và sự tin cậy trước đó từ
cá nhân hoặc tổ chức.
- Thông tin về nhà sản xuất: manuals, datasheet,
whitepapers
- Bình luận về đánh giá sản phẩm của các bên thứ
3.