Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Triển khai hệ thống phát hiện
và ngăn ngừa xâm nhập (IDS/IPS)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Tăng tính sẵn sàng cho IPS
(High availability)
Tăng tính sẵn sàng cho IPS là hướng tiếp
cận trong thiết kế hệ thống để giới hạn và tránh
sự gián đoạn cung cấp dịch vụ.
2 phương pháp tiếp cận để xử lý khi cảm
biến IPS bị lỗi:
- Sử dụng các đặc tính Cisco IPS bypass
- Sử dụng các kỹ thuật dự phòng khác nhau
(sử dụng nhiều cảm biến dự phòng).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Inline (software) Bypass
- Đặc điểm Bypass được hỗ trợ bởi tất cả các
cảm biến Cisco IPS. Với đặc tính này, lưu
lượng vẫn được chuyển đi nếu có một engine

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Inline (software) Bypass (tt)
Cách để vô hiệu hóa (disable) Hardware Bypass: kết hợp
các cổng không được hỗ trợ HW bypass với nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên EtherChannel:
nhiều bộ cảm biến được kết nối cùng một switch
trong một “bó” EtherChannel. Lên đến 8 bộ cảm
biến IPS có thể bó lại cùng nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Switching-based Sensor
High availability (tt)
Tăng tính sẵn sàng dựa trên STP: nhiều bộ cảm
biến được kết nối đến nhiều switch và nhiều đường
dự phòng được tạo ra. Trong trường hợp này,
Spanning tree protocol (STP) sẽ kiểm tra những
đường này và chuyển hướng lưu lượng khi có lỗi
xảy ra.
Đại học Công nghệ thông tin

Cisco ASA-based sensor
High Availability
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
High Availability với sản phẩm Mcafee
1 cảm biến sẽ ở trạng thái
“active”, trong khi cái kia
sẽ ở trạng thái “standby”
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Hướng dẫn thực hiện Network IPS
Enterprise or provider Internet edge
Wide-area networks (WAN)
Data center
Centralized ca mpus
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Hướng dẫn thực hiện Network IPS
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

2 Hướng triển khai NIPS với WAN là:
- Triển khai tập trung (centrally)
- Triển khai phân tán
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20
Wide-Area Network (tt)
Triển khai tập trung (centrally):
- Hiệu quả về chi phí
- Dễ dàng quản lý
- Cần ít cảm biến hơn triển khai phân tán.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Wide-Area Network (tt)
Triển khai tập trung (centrally)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Wide-Area Network (tt)
Triển khai phân tán: được triển khai tại các chi
nhánh (branch). Khi cần bảo vệ các tài nguyên
WAN như là các đường kết nối WAN khỏi
“flooding”. Phương pháp này có ưu điểm: