Không có comment gì

1. Xây dựng hệ thống phát hiện và chống xâm nhập trái
phép cho mạng cơ sở 1, dựa trên Suricata

2. PHẦN 2 PHẦN 3
TỔNG QUAN VỀ
SURICATA
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
VÀ CHỐNG XÂM NHẬP TRÁI PHÉP
2
PHẦN 1
TỔNG QUAN VỀ HỆ THỐNG
PHÁT HIỆN XÂM NHẬP IDS/IPS

3. Your Company Name 3
TỔNG QUAN VỀ HỆ
THỐNG PHÁT HIỆN XÂM
NHẬP IDS/IPS

4. Your Company Name 4
Chức năng của hệ thống phát hiện xâm nhập IDS

5. Your Company Name 5
Chức năng mở rộng của
IDS
Phân biệt các cuộc tấn công từ
trong hoặc từ bên ngoài: nó có
thể phân biệt được đâu là
những truy cập hợp lệ (hoặc
không hợp lệ) từ bên trong và
đâu là cuộc tấn công từ bên
ngoài
Phát hiện: dựa vào so sánh lưu
lượng mạng hiện tại với
baseline, IDS có thể phát hiện
ra những dấu hiệu bất thường
và đưa ra các cảnh báo và bảo
vệ ban đầu cho hệ thống

6. Your Company Name 6
Phân Loại IDS
Sử dụng dữ liệu trên toàn bộ lưu
thông mạng cùng dữ liệu kiểm tra
từ một hoặc một vài máy trạm để
phát hiện xâm nhập
Sử dụng dữ liệu kiểm tra tự một
máy trạm đơn để phát hiện xâm
nhập
Network-based IDS (NIDS)
Host-based IDS (HIDS)

7. Your Company Name 7
Chức năng chính của IPS là
xác định các hoạt động nguy
hại, lưu giữ các thông tin này.
Sau đó kết hợp với firewall để
dừng ngay các hoạt động này,
và cuối cùng đưa ra các báo
cáo chi tiết về các hoạt động
xâm nhập trái phép trên.
Hệ thống IPS được xem là trường
hợp mở rộng của hệ thống
IDS, cách thức hoạt động cũng
như đặc điểm của 2 hệ thống này
tương tự nhau. Điểm khác nhau
duy nhất là hệ thống IPS ngoài
khả năng theo dõi, giám sát thì còn
có chức năng ngăn chặn kịp thời
các hoạt động nguy hại đối với hệ
thống. Hệ thống IPS sử dụng tập
luật tương tự như hệ thống IDS.
Chức năng của hệ thống phát hiện xâm nhập IPS

8. Your Company Name 8
Phân Loại IPS
- Hệ thống ngăn ngừa xâm nhập
mạng thường được triển khai trước
hoặc sau firewall.
- Khi triển khai IPS trước firewall là
có thể bảo vệ được toàn bộ hệ thống
bên trong kể cả firewall, vùng DMZ.
Có thể giảm thiểu nguy cơ bị tấn
công từ chối dịch vụ đồi với
firewall.
- Khi triển khai IPS sau firewall có
thể phòng tránh được một số kiểu
tấn công thông qua khai thác điểm
yếu trên các thiết bị di động sử dụng
VPN để kết nối vào bên trong.
- Hệ thống ngăn ngừa xâm nhập
host thường được triển khai với
mục đích phát hiện và ngăn chặn
kịp thời các hoạt động thâm
nhập trên các host.
- Để có thể ngăn chặn ngay các
tấn công, HIPS sử dụng công
nghệ tương tự như các giải pháp
antivirus.
- Ngoài khả năng phát hiện ngăn
ngừa các hoạt động thâm nhập,
HIPS còn có khả năng phát hiện
sự thay đổi các tập tin cấu hình.
NIPS – Network-based Intrusion
Prevention
HIPS – Host-based Intrusion
Prevention

9. Your Company Name 9
TỔNG QUAN VỀ
SURICATA

10. Your Company Name
Khả năng xử lý đa
luồng
Khả năng định danh
giao thức
Khả năng định danh
tập tin bằng MD5 và
trích xuất tập tin
10
Tính năng chính của suricata

11. Your Company Name 11
Khả năng xử lý đa luồng
Khả năng xử lý đa luồng (Multi threading)
là một tính năng mới đối với IDS, một
hoặc nhiều luồng gói tin cũng được xử lý.
Luồng sử dụng một hoặc nhiều mô-đun
thread để xử lý các công việc trên. Luồng
có hàng đợi xử lý đầu vào và hàng đợi xử
lý đầu ra. Chúng được sử dụng để lấy gói
tin từ luồng khác hoặc từ một bộ nhớ
chung. Một luồng có thể được đặt ở trong
một nhân của CPU. Mô-đun thread được
lưu trữ trong kiến trúc Threadvars

12. Your Company Name
Điều này làm giảm sự phức tạp của
các luật trong quá trình viết và gia
tăng sự phát hiện các dấu hiệu của
mã độc và điều khiển lưu lượng dễ
dàng hơn.
12
Khả năng định danh giao thức
Suricata có khả năng tự động nhận
dạng các đặc trưng của các giao thức
phổ biến, từ đó giúp người viết luật
phát hiện linh động hơn khi tạo luật
dựa trên lưu lượng của mạng hơn là
đặc tính cổng của giao thức.

13. Your Company Name
Suricata có thể định danh hàng
nghìn loại tệp tin trong quá trình
truyền qua mạng mà nó giám sát.
Nếu muốn tìm hiểu sâu hơn một tệp
tin nào đó người quản trị có thể đánh
dasu để trích xuất xuống máy tính
dưới dạng sieeu dữ liệu được miêu
tả trong hoàn cảnh chặn bắt.
13
Khả năng định danh tập tin bằng MD5 và trích xuất
tập tin
Ngoài ra Suricata còn có khả năng
tính toán giá trị kiểm tra MD5 của
tệp tin trong quá trình nó giám sát.
Tính năng này giúp hệ thống có thể
kiểm tra tính toàn vẹn của tệp tin nào
đó bằng các so sánh giá trị băm với
danh sách bản băm MD5 cung cấp
trước.

14. Your Company Name 14
Kiến trúc của Suricata

15. Your Company Name 15
Tập luật trong Suricata
Phần Header chứa
thông tin về hành
động mà luật đó sẽ
thực hiện khi phát
hiện ra có xâm nhập
nằm trong gói tin và
nó cũng chứa các tiêu
chuẩn để áp dụng
luật với gói tin đó.
Phần Option chứa một thông điệp cảnh
báo và các thông tin về các phần của gói
tin dùng để tạo nên cảnh báo. Phần Option
chứa các tiêu chuẩn phụ thêm để đối sánh
luật với gói tin. Một luật có thể phát hiện
được một hay nhiều hoạt động thăm dò
hay tấn công. Các phát hiện được một hay
nhiều hoạt động thăm dò hay tấn công.
Các luật thông minh có khả năng áp dụng
cho nhiều dấu hiệu xâm nhập.

16. Your Company Name 16
Rule Header
Là phần
quy định
loại hành
động nào
được thực
thi khi các
dấu hiệu
của gói tin
được nhận
dạng chính
xác bằng
luật đó
Là phần quy
định việc áp
dụng luật
cho các gói
tin chỉ thuộc
một giao
thức cụ thể
nào đó. Ví
dụ như IP,
TCP,
UDP,…
Là phần địa chỉ ngưồn
và địa chỉ đích. Các địa
chỉ có thể là một máy
đơn, nhiều máy hoặc
của một mạng nào đó.
Trong hai phần địa chỉ
trên thì một sẽ là địa
chỉ nguồn, một sẽ là
địa chỉ đích và địa chỉ
nào thuộc loại nào sẽ
do phần Direction quy
định.
Xác định các
cổng nguồn
và đích của
một gói tin
mà trên đó
luật được áp
dụng.
Phần này sẽ
chỉ ra đâu là
địa chỉ nguồn,
đâu là địa chỉ
đích.

17. Your Company Name 17
So sánh Suricata và Snort

18. Your Company Name 18
XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP