Latest posts for the topic "Ứng dụng thực tế của hệ thống IDS/IPS"

Ứng dụng thực tế của hệ thống IDS/IPS

sorrylife — GMT

Có lẽ trong diễn đàn có khá nhiều bài viết liên quan đến IDS và IPS, tuy nhiên đa số là liên quan đến việc cài đặt. Vậy bây giờ mình muốn hỏi về việc ứng dụng thực tế của 2 hệ thống này, nên muốn hỏi các anh chị đã có kinh nghiệm triển khai thực tế. Cụ thể: - Đối với hệ thống phát hiện xâm nhập IDS: Hiện tại mình đang thực tập về việc triển khai hệ thống IDS cho một trường đại học, mình định sử dụng Snort để cài đặt và ứng dụng cho việc phát hiện xâm nhập vào hệ thống mạng của trường, với quy mô hệ thống trường có 5 Server đặt tại 5 khu vực khác nhau. Mình đã cài đặt được snort nhưng chỉ mới test trên máy thật và máy áo, chưa test trên hệ thống có server (nếu mọi người đưa ra các lưu ý cần thiết thì càng tốt ạ). ở đây hệ thống mình thử nghiệm snort là chạy trên Ubuntu. Vậy nếu bây giờ triển khai mình cài đặt Snort trên một máy client thì nó vẫn phát hiện được chứ ạ? - Đối với hệ thống ngăn chặn xâm nhập IPS: Đối với hệ thống lớn như trường Đại học thì phát hiện thôi là chưa đủ, mình muốn kết hợp cùng lúc giữa IDS và IPS có được không? và có cần lưu ý vấn đề gì không? qua tìm hiểu thì mình thấy dùng iptable firewall có sẵn trong linux cũng là một IPS mạnh liệu có ổn không? Với giả thiết mình đưa ra như vậy mình mong được các anh chị có kinh nghiệm cài đặt và ứng dụng hệ thống này trong thực tế cho vài lời khuyên và một số gợi ý cụ thể! Cảm ơn mọi người đã quan tâm đến bài viết của mình!

Ứng dụng thực tế của hệ thống IDS/IPS

sorrylife — GMT

Không ai có kinh nghiệm gì sao ạ? :)

Ứng dụng thực tế của hệ thống IDS/IPS

vd_ — GMT

- IPS chạy ở chỗ nào bắt được traffic. Bạn phải sử dụng các kỹ thuật port mirror, network tap v.v.. hoặc đặt ips ở chỗ nào nhòm được dữ liệu vào/ra mạng. - IDS đặt ở chỗ nào chặn được luồng dữ liệu. - snort có thể làm IPS nếu sử dụng mode inline, tức là snort sẽ dùng 1 đôi port mạng, 1 cho luồng dữ liệu vào, 1 để đưa dữ liệu ra. - snort kết hợp với các tool khác để làm IPS theo mô hình snort phát hiện -> ghi log -> 1 process khác đọc log rồi chạy script/program để cập nhật firewall rule. Các câu hỏi của bạn còn rộng và chung chung quá nên cũng khó cho anh em.

Ứng dụng thực tế của hệ thống IDS/IPS

sorrylife — GMT

vd_ wrote:

- IPS chạy ở chỗ nào bắt được traffic. Bạn phải sử dụng các kỹ thuật port mirror, network tap v.v.. hoặc đặt ips ở chỗ nào nhòm được dữ liệu vào/ra mạng. - IDS đặt ở chỗ nào chặn được luồng dữ liệu. - snort có thể làm IPS nếu sử dụng mode inline, tức là snort sẽ dùng 1 đôi port mạng, 1 cho luồng dữ liệu vào, 1 để đưa dữ liệu ra. - snort kết hợp với các tool khác để làm IPS theo mô hình snort phát hiện -> ghi log -> 1 process khác đọc log rồi chạy script/program để cập nhật firewall rule. Các câu hỏi của bạn còn rộng và chung chung quá nên cũng khó cho anh em.

Vậy mình hỏi cụ thể hơn nhé: Với mô hình 5 server của trường đại học, đặt tại 5 phòng khác nhau nhưng chạy chung 1 router thì mình cần xây dựng 1 máy cài Ubuntu (vì mình mới thử cài snort trên Ubuntu thôi), chạy cùng router đấy để phát hiện được chứ? bản snort hiện tại có mode inline rồi đúng không? (theo mình thấy ở một số cmt trong topic liên quan đến snort)

Ứng dụng thực tế của hệ thống IDS/IPS

vd_ — GMT

- Chỗ nào thấy traffic đến 5 server thì chỗ đó phát hiện được. - Chỗ nào traffic phải đi qua trước khi đến server thì chỗ đó chặn được. - snort có mode inline