[Question] Ứng dụng thực tế của hệ thống IDS/IPS |
18/07/2013 14:41:15 (+0700) | #1 | 277562 |
sorrylife
Member
|
0 |
|
|
Joined: 06/01/2011 08:42:36
Messages: 3
Offline
|
|
Có lẽ trong diễn đàn có khá nhiều bài viết liên quan đến IDS và IPS, tuy nhiên đa số là liên quan đến việc cài đặt. Vậy bây giờ mình muốn hỏi về việc ứng dụng thực tế của 2 hệ thống này, nên muốn hỏi các anh chị đã có kinh nghiệm triển khai thực tế.
Cụ thể:
- Đối với hệ thống phát hiện xâm nhập IDS: Hiện tại mình đang thực tập về việc triển khai hệ thống IDS cho một trường đại học, mình định sử dụng Snort để cài đặt và ứng dụng cho việc phát hiện xâm nhập vào hệ thống mạng của trường, với quy mô hệ thống trường có 5 Server đặt tại 5 khu vực khác nhau. Mình đã cài đặt được snort nhưng chỉ mới test trên máy thật và máy áo, chưa test trên hệ thống có server (nếu mọi người đưa ra các lưu ý cần thiết thì càng tốt ạ). ở đây hệ thống mình thử nghiệm snort là chạy trên Ubuntu. Vậy nếu bây giờ triển khai mình cài đặt Snort trên một máy client thì nó vẫn phát hiện được chứ ạ?
- Đối với hệ thống ngăn chặn xâm nhập IPS: Đối với hệ thống lớn như trường Đại học thì phát hiện thôi là chưa đủ, mình muốn kết hợp cùng lúc giữa IDS và IPS có được không? và có cần lưu ý vấn đề gì không? qua tìm hiểu thì mình thấy dùng iptable firewall có sẵn trong linux cũng là một IPS mạnh liệu có ổn không?
Với giả thiết mình đưa ra như vậy mình mong được các anh chị có kinh nghiệm cài đặt và ứng dụng hệ thống này trong thực tế cho vài lời khuyên và một số gợi ý cụ thể!
Cảm ơn mọi người đã quan tâm đến bài viết của mình! |
|
|
|
|
[Question] Ứng dụng thực tế của hệ thống IDS/IPS |
18/07/2013 23:28:20 (+0700) | #2 | 277579 |
sorrylife
Member
|
0 |
|
|
Joined: 06/01/2011 08:42:36
Messages: 3
Offline
|
|
Không ai có kinh nghiệm gì sao ạ? |
|
|
[Question] Ứng dụng thực tế của hệ thống IDS/IPS |
19/07/2013 12:10:36 (+0700) | #3 | 277587 |
vd_
Member
|
0 |
|
|
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
|
|
- IPS chạy ở chỗ nào bắt được traffic. Bạn phải sử dụng các kỹ thuật port mirror, network tap v.v.. hoặc đặt ips ở chỗ nào nhòm được dữ liệu vào/ra mạng.
- IDS đặt ở chỗ nào chặn được luồng dữ liệu.
- snort có thể làm IPS nếu sử dụng mode inline, tức là snort sẽ dùng 1 đôi port mạng, 1 cho luồng dữ liệu vào, 1 để đưa dữ liệu ra.
- snort kết hợp với các tool khác để làm IPS theo mô hình snort phát hiện -> ghi log -> 1 process khác đọc log rồi chạy script/program để cập nhật firewall rule.
Các câu hỏi của bạn còn rộng và chung chung quá nên cũng khó cho anh em. |
|
|
|