/hvaonline/posts/list/8.html JForum - http://www.jforum.net IPS đôi điều cần biết -------------------------------------------------------------------------------- Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố IPS - Intrusion Prevention System Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập: - Cung cấp khả năng điều khiển truy cập mạng - Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện) - Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng: + Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu). + Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng. Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống... Tác giả: Five - Consultant avnol ]]> /hvaonline/posts/list/994.html#3977 /hvaonline/posts/list/994.html#3977 GMT là loại packet tấn công ==> cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. - Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch thế nào cho phải) thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). ]]> /hvaonline/posts/list/994.html#3978 /hvaonline/posts/list/994.html#3978 GMT /hvaonline/posts/list/994.html#3980 /hvaonline/posts/list/994.html#3980 GMT Vấn đề IDS/IPS trong wireless Vấn đề bảo mật cho Wireless hiện nay đã được nói rất nhiều. Hiện tại hầu hết các mô hình đang ứng dụng công nghệ WEP. Một giải pháp được đưa ra mới hơn đó là giải pháp Radius. - Giải pháp WEP được đưa ra để có thể khống chế các truy cập không được phép do đòi hỏi các user muốn đăng nhập phải cung cấp Key cho AP nhằm xác thực việc truy cập của User. Độ dài của Key là do bạn quy định 64 bit, 128 bit. Việc Crack WEP tương đối khó. Bạn có thể tham khảo thêm các bài viết trên diễn đàn tại BOX Wireless. Nhưng WEP lại gặp một khó khăn đó là nếu có một người trong công ty bạn nắm được Key, nếu người đó tiết lộ ra ngoài sẽ gây ảnh hưởng đến vấn đề truy cập của hệ thống.TUy cung cấp đến 4 key để truy cập, tuy nhiên tại mỗi thời điểm, bạn chỉ có thể sử dụng 1 Key duy nhất cho mạng mà thôi. Một cách cũng được sử dụng để khống chế vấn đề truy cập mạng Wireless đó là sử dụng Access Control List trên chính AP. - Đối với Radius, mỗi máy sẽ được cấp 1 Key và công nghệ này đang được ứng dụng để triển khai các mạng Wireless lớn. Radius hiện nay đã hỗ trợ trên các thiết bị mới và đang được đặt rất nhiều hy vọng. Bạn có thể thao khảo qua mô hình bên dưới. Việc triển khai Radius có thể giúp cho các ISP thực hiện việc tính cước khi các máy tham gia truy cập. Chẳng hạn như bán thẻ trả trước như các thẻ VNN hiện nay.

]]> /hvaonline/posts/list/994.html#3990 /hvaonline/posts/list/994.html#3990 GMT