Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Điều chỉnh cảm biến và
cấu hình ngăn chặn (blocking)
trên thiết bị Cisco
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Phần 1
Điều chỉnh cảm biến
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Điều chỉnh cảm biến
Điều chỉnh là quá trình cấu
hình bộ cảm biến để làm cho
nó có thể giám sát và bảo vệ
mạng một cách hiệu quả.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Điều chỉnh cảm biến (tt)

Vị trị của cảm biến rất quan trọng cho việc điều chỉnh vì
những lý do sau:
- Bản chất của lưu lượng mà bộ cảm biến đang giám sát sẽ
thay đổi.
- Chính sách bảo mật mà cảm biến đang tương tác sẽ thay
đổi tại khác thời điểm triển khai khác nhau.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Các giai đoạn điều chỉnh
Các giai đoạn điều chỉnh được liệt kê ở đây
tương ứng với chiều dài thời gian mà bộ cảm
biến đã được hoạt động tại vị trí hiện tại:
- Giai đoạn triển khai (deployment phase)
- Giai đoạn điều chỉnh (Tuning phase)
- Giai đoạn bảo trì (Maintenance phase)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Các giai đoạn điều chỉnh (tt)
Giai đoạn triển khai (deployment phase):
Giai đoạn này được hoàn tất trong quá trình
triển khai và thiết lập ban đầu. Trong suốt giai
đoạn này, bộ cảm biến đang hoạt động ở cấu
hình mặc định, cái mà có thể đã được điều chỉnh
cho việc triển khai ở mức trung bình. Tùy thuộc

là thêm các dấu hiệu mới mà còn điều chỉnh
cách mà nó bật lên cảnh báo.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Các phương pháp điều chỉnh
Trên bộ cảm biến:
- Bật hoặc tắt các dấu hiệu.
- Thay đổi mức độ cảnh báo.
- Thay đổi các tham số của dấu hiệu.
- Tạo các chính sách để ghi đè lên các hành động của
sự kiện.
- Tạo ra các bộ lọc hành động sự kiện.
Trên Ứng dụng giám sát:
- Xác định các sự kiện mà người quản trị muốn xem
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12
Các phương pháp điều chỉnh (tt)
Ví dụ: Bật hoặc tắt các dấu hiệu.
Kích hoạt dấu hiệu mà bị vô hiệu hóa
(disable) ở chế độ mặc định. Việc bật lên này
nhằm đáp ứng tình huống cụ thể trong hệ
thống mạng.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện
Kỹ thuật điều chỉnh này thường được dùng
để giảm “sự phát hiện nguy hiểm sai”. Các
bộ lọc hành động của sự kiện (event action
filter) được dùng để ngăn chặn bộ cảm biến
thực hiện một hành động đặc biệt nào đó (bao
gồm cả phát ra cảnh báo).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 4.x
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Các phương pháp điều chỉnh (tt)
Tạo các chính sách để ghi đè lên các hành
động của sự kiện: IDS version 5.0
Với IPS version 5.0, bộ cảm biến có thể
thực hiện hành động mà không cần phát ra

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20
Đánh giá giá trị mục tiêu (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Phần 2
Cấu hình khả năng Ngăn chặn
(Blocking)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Các khái niệm
Ngăn chặn (Blocking): đặc tính của cảm biến Cisco
IPS. Đặc tính ngăn chặn các gói tin đi tới được đích
của chúng. Ngăn chặn được khởi tạo bởi bộ cảm
biến và được thực hiện bởi một thiết bị Cisco khác
tại thời điểm yêu cầu của bộ cảm biến.
NAC: Ứng dụng ngăn chặn (the blocking
application) trên bộ cảm biến.
Device management: Khả năng của bộ cảm biến để
tương tác với thiết bị của Cisco và tự động cấu hình
lại thiết bị Cisco để ngưng cuộc tấn công.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

• Cisco routers
• PIX Security Appliances
• Firewall Services Modules
• Catalyst 5000 family switches
• Catalyst 6000 family switches