Các thành phần cơ bản của snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort
SNORT LÀ CHƯƠNG TRÌNH BẢO MẬT MÃ
NGUỒN MỞ VỚI 3 CHỨC NĂNG CHÍNH:
- A PACKET SNIFFER
- A PACKET LOGGER
- HỆ THỐNG PHÁT HIỆN XÂM NHẬP
TRIỂN KHAI TRÊN MẠNG (A NETWORKBASED INTRUSION DETECTION SYSTEM)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ưu điểm của Snort
- MÃ NGUỒN MỞ.
- THỰC HIỆN TRONG SUỐT VỚI NGƯỜI
DÙNG.
- CHẠY TRÊN NHIỀU HỆ ĐIỀU HÀNH:
LINUX, WINDOWS, MACOS X...
- CÓ ĐẦY ĐỦ TÍNH NĂNG CỦA 1 IDS/IPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Các thành phần cơ
bản của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
PACKET DECODER: BỘ GIẢI MÃ GÓI
PREPROCESSORS: BỘ TIỀN XỬ LÝ.
DETECTION ENGINE: BỘ MÁY PHÁT HIỆN
LOGGING AND ALERTING SYSTEM: HỆ
THỐNG GHI VÀ CẢNH BÁO.
OUTPUT MODULES: CÁC MÔ ĐUN XUẤT.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Cơ chế hoạt động
của Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Chọn lựa sản phẩm
1.
2.
3.
4.
5.
Các yêu cầu tổng quan.
Các yêu cầu khả năng bảo mật.
Các yêu cầu về năng suất vận hành.
Các yêu cầu về quản lý
Đánh giá sản phẩm
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Yêu cầu tổng quan
- Đánh giá môi trường hệ thống mạng
- Mục tiêu
- Chính sách bảo mật
- Hạn chế nguồn tài nguyên
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Đánh giá môi trường
hệ thống mạng
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
TRƯỚC TIÊN CẦN HIỂU VỀ CÁC ĐẶC ĐIỂM
CỦA MÔI TRƯỜNG MẠNG VÀ HỆ THỐNG
CỦA TỔ CHỨC:
- CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA MÔI
TRƯỜNG IT
- CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA HỆ
THỐNG AN NINH HIỆN TẠI.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Đánh giá môi trường hệ
thống mạng (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA MÔI
TRƯỜNG IT:
- SƠ ĐỒ MẠNG, BAO GỒM TẤT CẢ CÁC
KẾT NỐI, SỐ LƯỢNG VÀ VỊ TRÍ CỦA CÁC
HOST.
- HỆ ĐIỀU HÀNH, CÁC DỊCH VỤ MẠNG,
VÀ CÁC ỨNG DỤNG CHẠY BỞI MỖI
HOST.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Đánh giá môi trường hệ
thống mạng (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
CÁC ĐẶC ĐIỂM KỸ THUẬT CỦA HỆ THỐNG AN
NINH HIỆN TẠI:
- CÁC IDS/IPS ĐANG TỒN TẠI.
- CÁC MÁY CHỦ LOGGING ĐƯỢC TẬP TRUNG.
- PHẦN MỀM ANTIMALWARE.
- PHẦN MỀM LỌC NỘI DUNG. VÍ DỤ: PHẦN
MỀM ANTISPAM .
- CÁC THIẾT BỊ FIREWALL, ROUTER, PROXIES.
- CÁC DỊCH VỤ MÃ HÓA VIỆC TRUYỀN THÔNG:
VPN, SSL, TLS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Mục tiêu
SAU KHI THU THẬP VỀ TRÌNH TRẠNG HỆ
THỐNG ĐANG TỒN TẠI, NGƯỜI QUẢN TRỊ
NÊN TRÌNH BÀY CÁC MỤC TIÊU (VỀ KINH
DOANH, HOẠT ĐỘNG, KỸ THUẬT) CẦN ĐƯỢC
BẢO VỆ BỞI IDS/IPS. CÁC CÂU HỎI SAU SẼ
GIÚP ĐẠT ĐƯỢC VẤN ĐỀ TRÊN:
- LOẠI NGUY HIỂM NÀO (THREATS) MÀ
IDS/IPS CẦN PHẢI BẢO VỆ.
- CÁC HÀNH ĐỘNG VI PHẠM VIỆC SỬ DỤNG
MẠNG NHƯNG CÓ THỂ CHẤP NHẬN ĐƯỢC.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Chính sách bảo mật
CHÍNH SÁCH BẢO MẬT HIỆN TẠI NÊN ĐƯỢC
XEM XÉT TRƯỚC KHI CHỌN LỰA SẢN PHẨM.
CÁC CHÍNH SÁCH NÀY SẼ CUNG CẤP CÁC
ĐẶC ĐIỂM KỸ THUẬT MÀ IDS/IPS SẼ PHẢI
ĐÁP ỨNG. BAO GỒM:
- CÁC MỤC TIÊU CỦA CHÍNH SÁCH.
- CHÍNH SÁCH SỬ DỤNG HỢP LÝ HOẶC CÁC
QUY ĐỊNH KHÁC VỀ QUẢN LÝ.
- QUY TRÌNH XỬ LÝ VI PHẠM CHÍNH SÁCH
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Chính sách bảo mật (tt)
CÁC MỤC TIÊU CỦA CHÍNH SÁCH: GIÚP
TRÌNH BÀY CÁC MỤC TIÊU ĐƯỢC ĐỀ RA
TRONG CHÍNH SÁCH (TÍNH TOÀN VẸN,
TÍNH BÍ MẬT VÀ TÍNH SẴN SÀNG)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Chính sách bảo mật (tt)
CHÍNH SÁCH SỬ DỤNG HỢP LÝ HOẶC CÁC
QUY ĐỊNH KHÁC VỀ QUẢN LÝ: CHÍNH
SÁCH SỬ DỤNG HỆ THỐNG LÀ MỘT
PHẦN CỦA CHÍNH SÁCH AN NINH.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Chính sách bảo mật (tt)
QUY TRÌNH XỬ LÝ VI PHẠM CHÍNH SÁCH:
QUY TRÌNH NÀO BAO GỒM CÁC HÀNH
ĐỘNG MÀ IDS/IPS SẼ THỰC HIỆN KHI
PHÁT HIỆN ĐƯỢC SỰ BẤT THƯỜNG.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Hạn chế nguồn tài
nguyên
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
XEM XÉT NGÂN SÁCH MUA VÀ “HỖ TRỢ
VÒNG ĐỜI” CHO CÁC SẢN PHẨM PHẦN
CỨNG VÀ PHẦN MỀM IDS/IPS.
NHÂN VIÊN ĐỂ GIÁM SÁT VÀ DUY TRÌ
IDS/IPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Hạn chế nguồn tài
nguyên
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
XEM XÉT NGÂN SÁCH MUA VÀ “HỖ TRỢ
VÒNG ĐỜI” CHO CÁC SẢN PHẨM PHẦN
CỨNG VÀ PHẦN MỀM IDS/IPS.
NHÂN VIÊN ĐỂ GIÁM SÁT VÀ DUY TRÌ
IDS/IPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Yêu cầu khả năng bảo
mật
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
CÁC KHẢ NĂNG BẢO MẬT SAU ĐÂY CẦN
ĐƯỢC ĐÁNH GIÁ VÀ XEM XÉT TRƯỚC KHI
CHỌN LỰA SẢN PHẨM:
- CÁC KHẢ NĂNG THU THẬP THÔNG TIN
- CÁC KHẢ NĂNG GHI LOG
- CÁC KHẢ NĂNG PHÁT HIỆN
- CÁC KHẢ NĂNG NGĂN CHẶN
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Yêu cầu về năng suất
vận hành.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
SO SÁNH VỀ NĂNG SUẤT VẬN HÀNH CÁC SẢN PHẨM
IDS/IPS LÀ MỘT THÁCH THỨC, VÌ:
- NĂNG SUẤT VẬN HÀNH PHỤ THUỘC VÀO VIỆC CẤU
HÌNH VÀ ĐIỀU CHỈNH CỦA MỖI SẢN PHẨM.
-HIỆU SUẤT VÀ KHẢ NĂNG PHÁT HIỆN THƯỜNG TỶ LỆ
NGHỊCH VỚI NHAU. VÌ KHẢ NĂNG PHÁT HIỆN PHỨC TẠP
YÊU CẦU NHIỀU KHẢ NĂNG XỬ LÝ VÀ BỘ NHỚ.
- NHIỀU THÀNH PHẦN IDS/IPS KHÔNG DỰA TRÊN THIẾT
BỊ PHẦN CỨNG CHUYÊN DỤNG. DO VẬY, HIỆU SUẤT
CÒN PHỤ THUỘC VÀO HỆ ĐIỀU HÀNH.
- KHÔNG CÓ TIÊU CHUẨN CHUNG ĐỂ KIỂM TRA NĂNG
SUẤT VẬN HÀNH, VÀ CŨNG KHÔNG ĐƯỢC CÔNG BỐ
CÔNG KHAI.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Yêu cầu về quản lý
ĐÁNH GIÁ KHẢ NĂNG QUẢN LÝ CỦA MỖI
SẢN PHẨM IDS/IPS LÀ RẤT QUAN TRỌNG.
BỞI VÌ NẾU 1 SẢN PHẨM KHÓ QUẢN LÝ SẼ
KHÔNG ĐƯỢC SỬ DỤNG HIỆU QUẢ. KHẢ
NĂNG QUẢN LÝ ĐƯỢC XEM XÉT Ở 3 YẾU TỐ
SAU:
- THIẾT KẾ VÀ THỰC THI
- HOẠT ĐỘNG VÀ DUY TRÌ
- ĐÀO TẠO, GHI CHÉP, VÀ HỖ TRỢ KỸ
THUẬT.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Thiết kế và thực thi
VỚI ĐÁNH GIÁ NÀY, TỔ CHỨC NÊN XEM
XÉT CÁC TIÊU CHÍ TỔNG QUAN LIÊN
QUAN TỚI:
- ĐỘ TIN CẬY
- KHẢ NĂNG TƯƠNG TÁC
- KHẢ NĂNG MỞ RỘNG BẢO MẬT
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20