Sự khác biệt giữa IDS và IPS và firewall
Shared at SinhVienIT.Net Thanks For hocLinux.Net LỜI NÓI ĐẦU CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 2.3.2.2 Các tùy chọn 2.4 Chế độ ngăn chặn của Snort : Snort – Inline Shared at SinhVienIT.Net Thanks For hocLinux.Net LỜI NÓI ĐẦU An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được giúp đỡ tận tâm của thầy, chúng em mới có thể hoàn thành được đồ án này. CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu về
IDS/IPS Hình : Các vị trí đặt IDS trong mạng 1.1.2 Sự khác nhau giữa IDS và IPS 1.2 phân loại IDS/IPS mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát Hình I : Mô hình NIDS Shared at SinhVienIT.Net Thanks For hocLinux.Net buộc tội kẻ đột nhập. Để khắc phục người ta thường sử dụng các tiến trình giảm dữ liệu linh • Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát Shared at SinhVienIT.Net Thanks For hocLinux.Net • 1.3.1 phát hiện sự lạm dụng Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô • 1.3.2 phát hiện sự bất thường 1.3.2.1 Phát hiện tĩnh 1.3.2.2 Phát hiện động Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior). Hành vi của hành vi được mong đợi (chính là dữ liệu cơ sở),
để tìm ra sự khác nhau. Khi • 1.3.3 So sánh giữa hai mô
hình Phát hiện sự bất thường Bao gồm: Bao gồm: thông thường. dạng tấn công mới mà một hệ thống Dễ cấu hình hơn do đòi hỏi ít hơn Khó cấu hình hơn vì đưa ra nhiều Đưa ra kết luận dựa vào phép so Đưa ra kết quả dựa vào tương của hệ thống (hay chính là dựa vào Có thể kích hoạt một thông điệp Có thể hỗ trợ việc tự sinh thông Bảng So sánh 2 mô hình phát hiện Hình I : Hệ thống kết hợp 2 mô hình phát hiện • 1.4 Một số sản phẩm của IDS/IPS Cisco IDS-4235 dõi toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện các dấu hiệu Shared at SinhVienIT.Net Thanks For hocLinux.Net NFR NID-310 NFR là sản phẩm của NFR Security Inc. Cũng giống như Proventia, NFR SNORT CHƯƠNG II : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông 2.2 Kiến trúc của snort Shared at SinhVienIT.Net
Thanks For hocLinux.Net Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói 2.2.1 Modun giải mã gói tin Hình V: Xử lý một gói tin Ethernet Một gói tin sau khi được giải mã sẽ được đưa tiếp vào môđun tiền xử lý. 2.2.2 Mô đun tiền xử lý thể vượt qua được bằng cách tùy biến các yêu cấu gửi đến web server như sau: 2.2.3 Môđun phát hiện trước để so sánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy 2.2.4 Môđun log và cảnh báo 2.2.5 Mô đun kết xuất thong tin 2.3 Bộ luật của snort xuất hiện trong phần header của các gói tin hoặc nằm trong phần nội dung của 2.3.2 Cấu trúc luật của Snort Hình VI : Cấu trúc luật của Snort Hình VII : Header luật của Snort • Action: là phần qui định loại hành động nào được thực thi khi các dấu hiệu của gói tin được nhận dạng chính xác bằng luật đó. Thông thường, • Activate. Protocols Nếu là IP thì Snort sẽ kiểm tra header của lớp liên kết để xác định loại gói tin. Address các gói tin ngoại trừ các gói có nguồn xuất phát từ mạng lớp C 192.168.2.0. |