Biết tạo tài khoản với những quyền khác nhau
Quản lý được tài khoản người dùng
Thiết lập được tường lửa để ngăn chặn những kết nối ngoài ý
muốn
Thiết lập chế độ tự động update của Windows
Biết các chế độ bảo mật của mạng không dây và cấu hình
được trên access point.
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module. Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng. Snort có thểchạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS. Bên cạnh việc có thể hoạt động nhưmột ứng dụng thu bắt gói tin thông thường, Snort còn có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
Biết tạo tài khoản với những quyền khác nhau
Quản lý được tài khoản người dùng
Thiết lập được tường lửa để ngăn chặn những kết nối ngoài ý
muốn
Thiết lập chế độ tự động update của Windows
Biết các chế độ bảo mật của mạng không dây và cấu hình
được trên access point.
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module. Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng. Snort có thểchạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS. Bên cạnh việc có thể hoạt động nhưmột ứng dụng thu bắt gói tin thông thường, Snort còn có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
Liệt kê các bước để bảo mật cho máy chủ
Định nghĩa bảo mật cho ứng dụng
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Bài 4-Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử
dụng những thiết bị đó
Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng
Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng
Bao cao giam sat moi truong dinh ky, bao cao giam sat, bao cao moi truong, cong ty moi truong, tu van moi truong, dich vu moi truong, cong ty tu van moi truong, xu ly nuoc thai, xu ly khi thai
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
Liệt kê các bước để bảo mật cho máy chủ
Định nghĩa bảo mật cho ứng dụng
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Bài 4-Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử
dụng những thiết bị đó
Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng
Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng
Bao cao giam sat moi truong dinh ky, bao cao giam sat, bao cao moi truong, cong ty moi truong, tu van moi truong, dich vu moi truong, cong ty tu van moi truong, xu ly nuoc thai, xu ly khi thai
Similar to slide-xay-dung-he-thong-phat-hien-va-chong-xam-nhap-trai-phep-dua-tren-suricata.pptx (20)
Smartbiz_He thong MES nganh may mac_2024juneSmartBiz
Cách Hệ thống MES giúp tối ưu Quản lý Sản xuất trong ngành May mặc như thế nào?
Ngành may mặc, với đặc thù luôn thay đổi theo xu hướng thị trường và đòi hỏi cao về chất lượng, đang ngày càng cần những giải pháp công nghệ tiên tiến để duy trì sự cạnh tranh. Bạn đã bao giờ tự hỏi làm thế nào mà những thương hiệu hàng đầu có thể sản xuất hàng triệu sản phẩm với độ chính xác gần như tuyệt đối và thời gian giao hàng nhanh chóng? Bí mật nằm ở hệ thống Quản lý Sản xuất (MES - Manufacturing Execution System).
Hãy cùng khám phá cách hệ thống MES đang cách mạng hóa ngành may mặc và mang lại những lợi ích vượt trội như thế nào.
1. Xây dựng hệ thống phát hiện và chống xâm nhập trái
phép cho mạng cơ sở 1, dựa trên Suricata
2. PHẦN 2 PHẦN 3
TỔNG QUAN VỀ
SURICATA
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
VÀ CHỐNG XÂM NHẬP TRÁI PHÉP
2
PHẦN 1
TỔNG QUAN VỀ HỆ THỐNG
PHÁT HIỆN XÂM NHẬP IDS/IPS
5. Your Company Name 5
Chức năng mở rộng của
IDS
Phân biệt các cuộc tấn công từ
trong hoặc từ bên ngoài: nó có
thể phân biệt được đâu là
những truy cập hợp lệ (hoặc
không hợp lệ) từ bên trong và
đâu là cuộc tấn công từ bên
ngoài
Phát hiện: dựa vào so sánh lưu
lượng mạng hiện tại với
baseline, IDS có thể phát hiện
ra những dấu hiệu bất thường
và đưa ra các cảnh báo và bảo
vệ ban đầu cho hệ thống
6. Your Company Name 6
Phân Loại IDS
Sử dụng dữ liệu trên toàn bộ lưu
thông mạng cùng dữ liệu kiểm tra
từ một hoặc một vài máy trạm để
phát hiện xâm nhập
Sử dụng dữ liệu kiểm tra tự một
máy trạm đơn để phát hiện xâm
nhập
Network-based IDS (NIDS)
Host-based IDS (HIDS)
7. Your Company Name 7
Chức năng chính của IPS là
xác định các hoạt động nguy
hại, lưu giữ các thông tin này.
Sau đó kết hợp với firewall để
dừng ngay các hoạt động này,
và cuối cùng đưa ra các báo
cáo chi tiết về các hoạt động
xâm nhập trái phép trên.
Hệ thống IPS được xem là trường
hợp mở rộng của hệ thống
IDS, cách thức hoạt động cũng
như đặc điểm của 2 hệ thống này
tương tự nhau. Điểm khác nhau
duy nhất là hệ thống IPS ngoài
khả năng theo dõi, giám sát thì còn
có chức năng ngăn chặn kịp thời
các hoạt động nguy hại đối với hệ
thống. Hệ thống IPS sử dụng tập
luật tương tự như hệ thống IDS.
Chức năng của hệ thống phát hiện xâm nhập IPS
8. Your Company Name 8
Phân Loại IPS
- Hệ thống ngăn ngừa xâm nhập
mạng thường được triển khai trước
hoặc sau firewall.
- Khi triển khai IPS trước firewall là
có thể bảo vệ được toàn bộ hệ thống
bên trong kể cả firewall, vùng DMZ.
Có thể giảm thiểu nguy cơ bị tấn
công từ chối dịch vụ đồi với
firewall.
- Khi triển khai IPS sau firewall có
thể phòng tránh được một số kiểu
tấn công thông qua khai thác điểm
yếu trên các thiết bị di động sử dụng
VPN để kết nối vào bên trong.
- Hệ thống ngăn ngừa xâm nhập
host thường được triển khai với
mục đích phát hiện và ngăn chặn
kịp thời các hoạt động thâm
nhập trên các host.
- Để có thể ngăn chặn ngay các
tấn công, HIPS sử dụng công
nghệ tương tự như các giải pháp
antivirus.
- Ngoài khả năng phát hiện ngăn
ngừa các hoạt động thâm nhập,
HIPS còn có khả năng phát hiện
sự thay đổi các tập tin cấu hình.
NIPS – Network-based Intrusion
Prevention
HIPS – Host-based Intrusion
Prevention
10. Your Company Name
Khả năng xử lý đa
luồng
Khả năng định danh
giao thức
Khả năng định danh
tập tin bằng MD5 và
trích xuất tập tin
10
Tính năng chính của suricata
11. Your Company Name 11
Khả năng xử lý đa luồng
Khả năng xử lý đa luồng (Multi threading)
là một tính năng mới đối với IDS, một
hoặc nhiều luồng gói tin cũng được xử lý.
Luồng sử dụng một hoặc nhiều mô-đun
thread để xử lý các công việc trên. Luồng
có hàng đợi xử lý đầu vào và hàng đợi xử
lý đầu ra. Chúng được sử dụng để lấy gói
tin từ luồng khác hoặc từ một bộ nhớ
chung. Một luồng có thể được đặt ở trong
một nhân của CPU. Mô-đun thread được
lưu trữ trong kiến trúc Threadvars
12. Your Company Name
Điều này làm giảm sự phức tạp của
các luật trong quá trình viết và gia
tăng sự phát hiện các dấu hiệu của
mã độc và điều khiển lưu lượng dễ
dàng hơn.
12
Khả năng định danh giao thức
Suricata có khả năng tự động nhận
dạng các đặc trưng của các giao thức
phổ biến, từ đó giúp người viết luật
phát hiện linh động hơn khi tạo luật
dựa trên lưu lượng của mạng hơn là
đặc tính cổng của giao thức.
13. Your Company Name
Suricata có thể định danh hàng
nghìn loại tệp tin trong quá trình
truyền qua mạng mà nó giám sát.
Nếu muốn tìm hiểu sâu hơn một tệp
tin nào đó người quản trị có thể đánh
dasu để trích xuất xuống máy tính
dưới dạng sieeu dữ liệu được miêu
tả trong hoàn cảnh chặn bắt.
13
Khả năng định danh tập tin bằng MD5 và trích xuất
tập tin
Ngoài ra Suricata còn có khả năng
tính toán giá trị kiểm tra MD5 của
tệp tin trong quá trình nó giám sát.
Tính năng này giúp hệ thống có thể
kiểm tra tính toàn vẹn của tệp tin nào
đó bằng các so sánh giá trị băm với
danh sách bản băm MD5 cung cấp
trước.
15. Your Company Name 15
Tập luật trong Suricata
Phần Header chứa
thông tin về hành
động mà luật đó sẽ
thực hiện khi phát
hiện ra có xâm nhập
nằm trong gói tin và
nó cũng chứa các tiêu
chuẩn để áp dụng
luật với gói tin đó.
Phần Option chứa một thông điệp cảnh
báo và các thông tin về các phần của gói
tin dùng để tạo nên cảnh báo. Phần Option
chứa các tiêu chuẩn phụ thêm để đối sánh
luật với gói tin. Một luật có thể phát hiện
được một hay nhiều hoạt động thăm dò
hay tấn công. Các phát hiện được một hay
nhiều hoạt động thăm dò hay tấn công.
Các luật thông minh có khả năng áp dụng
cho nhiều dấu hiệu xâm nhập.
16. Your Company Name 16
Rule Header
Là phần
quy định
loại hành
động nào
được thực
thi khi các
dấu hiệu
của gói tin
được nhận
dạng chính
xác bằng
luật đó
Là phần quy
định việc áp
dụng luật
cho các gói
tin chỉ thuộc
một giao
thức cụ thể
nào đó. Ví
dụ như IP,
TCP,
UDP,…
Là phần địa chỉ ngưồn
và địa chỉ đích. Các địa
chỉ có thể là một máy
đơn, nhiều máy hoặc
của một mạng nào đó.
Trong hai phần địa chỉ
trên thì một sẽ là địa
chỉ nguồn, một sẽ là
địa chỉ đích và địa chỉ
nào thuộc loại nào sẽ
do phần Direction quy
định.
Xác định các
cổng nguồn
và đích của
một gói tin
mà trên đó
luật được áp
dụng.
Phần này sẽ
chỉ ra đâu là
địa chỉ nguồn,
đâu là địa chỉ
đích.
18. Your Company Name 18
XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP
Editor's Notes
\
\
Suricata là hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở. Nó được phát triển bởi Open Information Security Foundation (OISF). Một phiên bản thử nghiệm được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiên được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực này. Phiên bản mới hiện nay là 4.0.4 được phát hành vào ngày 14 tháng 2 năm 2018.
Suricata là sản phẩm IDPS phát hiện dựa trên luật để theo dõi lưu lượng mạng và cung cấp cảnh báo đến người quản trị hệ thống khi có sự kiện đáng ngờ xảy ra. Nó được thiết kế để tương thích với các thành phần an toàn hiện có. Bản phát hành đầu tiên chạy trên nền tảng Linux 2.6 có hỗ trợ ội tuyến (Inline) và cấu hình giám sát lưu lượng thụ động có khả năng xử lý lưu lượng lên đến gigabit. Suricata là sản phẩm IDPS miễn phí trong khi nó vẫn cung cấp sự lựa chọn khả năng mở rộng cho các kiến trúc an toàn mạng phức tạp nhất.
Suricata là một công cụ đa luồng, cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng. Ngoài việc tăng hiệu quả phần cứng (với phần cứng và giao diện mạng giới hạn), sản phẩm này được xây dựng để tận dụng khả năng xử lý cao được cung cấp chip CPU đa lõi mới nhất.
Các thành phần chính là:
Mô-đun giải mã gói tin
Mô-đun tiền xử lý
Mô-đun phát hiện
Mô-đun phản ứng
Khi Suricata hoạt động, nó sẽ thực hiện lắng nghe và thu bắt tất cả gói tin nào di chuyển qua nó. Tiếp theo gói tin sẽ được đưa vào mô-đun tiền xử lý, rồi đưa vào mô-đun phát hiện. Tại đây, tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được lưu thông tiếp hay được đưa vào mô-đun bản ghi và cảnh báo để xử lý. Khi các cảnh báo được xác định, mô-đun kiết xuất thông tin sẽ thực hiện việc đưa cảnh báo theo đúng định dạng mong muốn.
Chi tiết và các mô-đun này như sau:
Mô-đun giải mã gói tin (Packet Decoder)
Suricata sử dụng thư viện Pcap để bắt các gói tin lưu thông qua hệ thống. Mỗi gói tin sau khi được giải mã sẽ được đưa tiếp vào mô-đun tiền xử lý.
Mô-đun tiền xử lý (Preprocessors)
Mô-đun tiền xử lý là một mô-đun rất quan trọng đối với bất kỳ một hệ thống IDS/IPS nào để có thể chuẩn bị gói dữ liệu đưa vào cho mô-đun phát hiện phân tích.
Ba nhiệm vụ chính của các mô-đun loại này là:
- Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia gói tin ban đầu thành nhiều gói tin mới gửi đi. Khi Suricata nhận được các gói tin này nó phải thực hiện việc ghép nối lại để được dữ liệu nguyên dạng ban đầu, từ đó mới thực hiện được các công việc xử lý tiếp. Khi một phiên làm việc của hệ thống diễn ra, sẽ có rất nhiều gói tin được trao đổi trong phiên đó. Một gói tin riêng lẻ sẽ không có trạng tháu và nếu công việc phát hiện xâm nhập chỉ dựa hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao.
Mô-đun tiền xử lý theo luồng giúp Suricata có thể hiểu được các phiên làm việc khác nhau (nói cách khác đem lại tính có trạng thái cho vác gói tin) từ đó giúp đạt được hiệu quả cao hơn trong việc phát hiện xâm nhập.
- Giải mã và chuẩn hóa giao thức (decode/normalize): công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao thức có dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau. Ví dụ: một máy chủ web có thể chấp nhận nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URL chấp nhận cả dấu “\” hay “/” hoặc nhiều ký tự này liên tiếp cùng lúc. Chẳng hạn ta có dấu hiệu nhận dạng “scripts/iisadmin”, kẻ tấn công có thể vượt qua bằng cách tùy biến các yêu cầu gửi đến Web Server như sau:
“scripts/iisadmin”
“scripts/examples/../iisadmin”
“scripts\iisadmin”
“scripts/.\iisadmin”
Hoặc thực hiện việc mã hóa các chuỗi này dưới dạng khác. Nếu Suricata chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót các hành vi xâm nhập. Do vậy, một số mô-đun tiền xử lý của Suricata phải có trách nhiệm giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào này để thông tin khi được đưa đến mô-đun phát hiện có thể phát hiện được mà không bỏ sót.
- Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin tiền xử lý dạng này thường dùng để đối phó với các xâm nhập không thể hoặc rất khó phát hiện được bằng các luật thông thường hoặc các dấu hiệu bất thường trong giao thức. Các mô-đun tiền xử lý dạng này có thể thực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra từ đó tăng cường tính năng cho Suricata.
Ví dụ, một plugin tiền xử lý có nhiệm vụ thống kê thông lượng mạng tại thời điểm bình thường để rồi khi có thông lượng mạng bất thường xảy ra nó có thể tính toán, phát hiện và đưa ra cảnh báo (phát hiện xâm nhập theo mô hình thống kê).
Mô-đun phát hiện (Detection engine)
Đây là mô-đun quan trọng nhất của Suricata. Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập. Mô-đun phát hiện sử dụng các luật được định nghĩa trước các dấu hiệu xâm nhập. Mô-đun phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được từ đó xác định xem có hành vi tấn công hay không. Rồi tiếp theo mới có thể thực hiện một số công việc như ghi log, tạo thông báo và kết xuất thông tin.
Một vấn đề quan trọng trong mô-đun phát hiện là vấn đề thời gian xử lý các gói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rất nhiều các luật xử lý. Có thể mất những khoảng thời gian khác nhau cho việc xử lý các gói tin khác nhau. Và khi thông lượng mạng quá lớn có thể xảy ra việc bỏ sót hoặc không phản hồi được đúng lúc. Khả năng xử lý của mô-đun phát hiện dựa trên một số yếu tố như: số lượng các luật, tốc độ của hệ thống đang chạy, tải trên mạng. Một số thử nghiệm cho biết, phiên bản hiện tại của Suricata khi được tối ưu hóa chạy trên hệ thống có nhiều bộ xử lý và cấu hình máy tính tương đối mạnh thì có thể hoạt động tốt trên cả mạng cỡ Gigabit.
Một mô-đun phát hiện cũng có khả năng tách các phần của gói tin ra và áp dụng các luật lên từng phần nào của gói tin đó. Các phần đó có thể là:
IP header
Header tầng giao thức TCP, UDP
Header tầng ứng dụng: FNS header, HTTP header, FTP header, …
Phần tải của gói tin (có thể áp dụng các luật lên các phần dữ liệu được truyền đi của gói tin)
Một vấn đề nữa trong mô-đun phát hiện đó là việc xử lý thế nào khi một gói tin bị phát hiện bởi nhiều luật. Do các luật trong Suricata được đánh số thứ tự ưu tiên, nên một gói tin khi bị phát hiện bởi nhiều luật khác nhau, cảnh báo được đưa ra sẽ là cảnh báo ứng với luật có mức ưu tiên cao nhất.
Mô-đun log và cảnh báo (Alert generation)
Tùy thuộc vào việc mô-đun phát hiện có nhận dạng được xâm nhập hay không mà gói tin có thể bị ghi log hoặc đưa ra cảnh báo. Các tệp tin log là các tệp dữ liệu trong đó có thể được ghi dưới nhiều định dạng khác nhau. Trong Suricata hỗ trợ các định dạnh log như sau:
eve.json
fast.log
http.log
stats.log
unified2.alert
Ví dụ sau trong tệp tin cấu hình suricata.yaml:
# outputs.yaml
- fast
enabled: yes
filename: fast.log
append: yes
- unified-alert:
enabled: yes
filename: unified2.alert
limit: 32
Trên đây là thông tin cấu hình để Suricata trích xuất các định dạng ghi log. Với log định dạng fast thông tin được hiển thị dưới dạng văn bản, người quản trị có thể đọc được. Log định dạng unified2 được sử dụng bởi chương trình barnyard2.
Snort là một hệ thống phát hiện xâm nhập mạng,
có nhiều công cụ hệ thống phát hiện xâm nhập có sẵn để tự động hóa và đơn giản hóa quá trình phát hiện xâm nhập và Snort là một trong những lựa chọn tốt nhất. Mặc dù phát triển sau so với Snort nhưng Suricata đã chứng tỏ được sự cần thiết của mình trong bối cảnh các cuộc tấn công ngày càng tinh vi hơn, đặc biệt với khả năng đa luồng của nó. Cả hai đã được chứng minh thành công trong hệ thống phát hiện xâm nhập được sử dụng rộng rãi. Dưới đây là bảng so sánh giữa Snot và Suricat
Qua khảo sát, Mạng cơ sở 1 của học viện có các phòng ban ngành và một vùng DMZ chứa các máy chủ Web đang chạy dịch vụ. Vùng máy chủ DMZ được chia dải mạng riêng với các phòng ban ngành, nằm độc tại phòng máy chủ của nhà trường. Vì vùng mạng DMZ cung cấp dịch vụ ra Internet, do đó chứa nhiều tiềm ẩn nguy cơ có thể bị tấn công từ mạng Internet, cũng như từ mạng nội bộ. Tuy nhiên hiện tại trong sơ đồ mạng, chỉ có giải pháp tường lừa được cài đặt và bảo vệ chung cho toàn bộ mạng nội bộ của Học viện. Vì vậy, đòi hỏi phải có các giải pháp phát hiện và chống xâm nhập, đặc biệt cho các máy chủ cung cấp dịch vụ trong vùng mạng DMZ.
Trong bài báo cáo này, nhóm thực hiện việc cài đặt suricata trên một máy chủ đặt cùng vùng mạng với DMZ. Suricata sẽ sniffing các lưu lượng mạng trên vùng mạng DMZ, tiến hành phân tích và đưa ra cảnh báo.