Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Điều chỉnh cảm biến
Điều chỉnh là quá trình cấu
hình bộ cảm biến để làm cho
nó có thể giám sát và bảo vệ
mạng một cách hiệu quả.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Điều chỉnh cảm biến (tt)
- Để điều chỉnh cảm biến thành công, cần phải có
sự hiểu biết tốt về:
+ Hệ thống mạng và các thiết bị độc lập
đang được bảo vệ.
+ Các giao thức được giám sát bởi các dấu
hiệu (signature) mà đang được điều chỉnh.
- Kiến thức này giúp người quản trị nhận ra các
hoạt động mạng bất bình thường so với bình
thường.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Những cân nhắc khi điều chỉnh

Các thông tin quan trọng cần thu thập trước
khi điều chỉnh:
- Cấu trúc hệ thống mạng (network topology)
- Phần địa chỉ mạng cần được quan sát và bảo vệ.
- Địa chỉ của các server bên trong mạng và các
địa chỉ được cấp bởi DHCP.
- Hệ điều hành đang chạy trên các server.
- Các ứng dụng đang chạy trên server.
- Chính sách bảo mật.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Vị trí của cảm biến
Vị trị của cảm biến rất quan trọng cho việc điều chỉnh vì
những lý do sau:
- Bản chất của lưu lượng mà bộ cảm biến đang giám sát sẽ
thay đổi.
- Chính sách bảo mật mà cảm biến đang tương tác sẽ thay
đổi tại khác thời điểm triển khai khác nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Các giai đoạn điều chỉnh
Các giai đoạn điều chỉnh được liệt kê ở đây
tương ứng với chiều dài thời gian mà bộ cảm
biến đã được hoạt động tại vị trí hiện tại:

- Giai đoạn triển khai (deployment phase)
- Giai đoạn điều chỉnh (Tuning phase)
- Giai đoạn bảo trì (Maintenance phase)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Các giai đoạn điều chỉnh (tt)
Giai đoạn triển khai (deployment phase):
Giai đoạn này được hoàn tất trong quá trình
triển khai và thiết lập ban đầu. Trong suốt giai
đoạn này, bộ cảm biến đang hoạt động ở cấu
hình mặc định, cái mà có thể đã được điều chỉnh
cho việc triển khai ở mức trung bình. Tùy thuộc
vào chính sách bảo mật và vị trí đặt bộ cảm biến,
các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt
động cần được giám sát.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Các giai đoạn điều chỉnh (tt)
Giai đoạn điều chỉnh (Tuning phase)
Hầu hết các hoạt động và công việc đều xảy
ra ở giai đoạn điều chỉnh. Trước khi bắt đầu giai
đoạn điều chỉnh, bộ cảm biến nên được hoạt
động liên tục để mà nó có thể “thấy” được các
mẫu bình thường (normal sampling) của hoạt

động mạng. Trong thời gian này, bộ cảm biến có
thể phát ra một số lượng đáng kể các sự kiện cái
mà có thể được sử dụng trong quá trình điều
chỉnh.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Các giai đoạn điều chỉnh (tt)
Giai đoạn bảo trì (Maintenance phase)
Giai đoạn này được hoàn thành định kỳ
khi việc điều chỉnh chở nên cần thiết, như là
mỗi lần dấu hiệu được cập nhật cho cảm
biến. Bởi vì việc cập nhật dấu hiệu không chỉ
là thêm các dấu hiệu mới mà còn điều chỉnh
cách mà nó bật lên cảnh báo.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Các phương pháp điều chỉnh
Trên bộ cảm biến:
- Bật hoặc tắt các dấu hiệu.
- Thay đổi mức độ cảnh báo.
- Thay đổi các tham số của dấu hiệu.
- Tạo các chính sách để ghi đè lên các hành động của
sự kiện.
- Tạo ra các bộ lọc hành động sự kiện.

Trên Ứng dụng giám sát:
- Xác định các sự kiện mà người quản trị muốn xem
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Các phương pháp điều chỉnh (tt)
Ví dụ: Bật hoặc tắt các dấu hiệu.
Kích hoạt dấu hiệu mà bị vô hiệu hóa
(disable) ở chế độ mặc định. Việc bật lên này
nhằm đáp ứng tình huống cụ thể trong hệ
thống mạng.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Các phương pháp điều chỉnh (tt)
Thay đổi mức độ cảnh báo
Kỹ thuật điều chỉnh này liên quan đến vị trí
của bộ cảm biến hoặc chính sách đang được áp
dụng tại vị trí của bộ cảm biến đó.
Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan
tới web cần được hạ thấp xuống trên bộ cảm biến
đang giám sát lưu lượng từ bên ngoài tường lửa.
Điều này phụ thuộc vào lưu lượng truy cập web
tại nơi đó.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12
Các phương pháp điều chỉnh (tt)
Thay đổi các tham số của dấu hiệu
Kỹ thuật điều chỉnh này thường được sử
dụng để điều khiển ngưỡng khởi phát của dấu
hiệu (the firing of signature).
Ví dụ: một công ty nhỏ thiết lập dấu hiệu quét
ICMP với dấu hiệu Echo sẽ được khởi phát nếu
có 5 máy nhận gói echo request trong vòng 15
giây. Một công ty lớn hơn có thể thiết lập 10 máy
trong vòng 15 giây.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện
Kỹ thuật điều chỉnh này thường được dùng
để giảm “sự phát hiện nguy hiểm sai”. Các
bộ lọc hành động của sự kiện (event action
filter) được dùng để ngăn chặn bộ cảm biến
thực hiện một hành động đặc biệt nào đó (bao
gồm cả phát ra cảnh báo).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 4.x
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 5.0
Với IPS version 5.0, bộ cảm biến có thể
thực hiện hành động mà không cần phát ra
cảnh báo, cũng như là các hành động phụ
thuộc vào các chính sách được cấu hình cụ
thể.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Các phương pháp điều chỉnh (tt)
Xác định các sự kiện mà người quản trị
muốn xem
Kỹ thuật này là một phần cấu hình ứng dụng
giám sát.
Ví dụ: IDM có thể được cấu hình để yêu cầu
các cảnh báo tại một mức độ cụ thể nào đó

của cảnh báo.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Đánh giá giá trị mục tiêu
Đánh giá giá trị của mục tiêu có thể được gán
cho các tài nguyên mạng. Đánh giá giá trị
mục tiêu là một trong các yếu tố được sử
dụng để tính toán giá trị mức độ nguy hiểm
cho mỗi cảnh báo.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Đánh giá giá trị mục tiêu (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Phần 2
Cấu hình khả năng Ngăn chặn
(Blocking)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

20
Các khái niệm
Ngăn chặn (Blocking): đặc tính của cảm biến Cisco
IPS. Đặc tính ngăn chặn các gói tin đi tới được đích
của chúng. Ngăn chặn được khởi tạo bởi bộ cảm
biến và được thực hiện bởi một thiết bị Cisco khác
tại thời điểm yêu cầu của bộ cảm biến.
NAC: Ứng dụng ngăn chặn (the blocking
application) trên bộ cảm biến.
Device management: Khả năng của bộ cảm biến để
tương tác với thiết bị của Cisco và tự động cấu hình
lại thiết bị Cisco để ngưng cuộc tấn công.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Các khái niệm (tt)
Thiết bị ngăn chặn (Blocking device): đây
là thiết bị Cisco dùng để trực tiếp ngăn chặn
cuộc tấn công; còn được gọi là thiết bị bị
quản lý (the managed device)
Cảm biến ngăn chặn (Blocking sensor):
Cảm biến Cisco IPS được cấu hình để điều
khiển thiết bị bị quản lý.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22

Các khái niệm (tt)
Giao diện (managed interface) hoặc VLAN
bị quản lý : giao diện hoặc VLAN trên thiết
bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ
áp dụng ACLs hoặc VACLs.
Active ACL hoặc VACL: ACL hoặc VACL
được tạo và được áp dụng cho các giao diện
hoặc VLANs bị quản lý bởi bộ cảm biến
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
23
Các thiết bị ngăn chặn
(Blocking devices)
• Cisco routers
• PIX Security Appliances
• Firewall Services Modules
• Catalyst 5000 family switches
• Catalyst 6000 family switches
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
24
Các yêu cầu cho thiết bị ngăn chặn
- Bộ cảm biến phải có khả năng kết nối với
thiết bị ngăn chặn thông qua IP.
- Bộ cảm biến phải được phép truy cập từ xa
tới thiết bị bị quản lý (managed device) thông

qua một trong các kiểu sau: Telnet, ssh.
- Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợ
cho việc mã hóa DES hoặc 3DES.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
25
Các hành động ngăn chặn của NAC
2 sự kiện sẽ làm cho NAC khởi tạo việc ngăn chặn:
- Tự động ngăn chặn (automatic blocking): dấu hiệu
phát ra cảnh báo. Dấu hiệu đó được cấu hình với một
trong những hành động ngăn chặn sau:
+ Request block host: ngăn chặn tất cả lưu lượng
từ một địa chỉ IP được cho trước.
+ Request block connection: ngăn chặn lưu lượng
từ một địa chỉ IP nguồn được cho trước đến một địa chỉ và
cổng đích được cho trước.
- Ngăn chặn bằng tay (manual blocking): NAC được
cấu hì nh bằng tay để ngăn chặn một host một địa chỉ mạng
cụ thể.