Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.

[Question] Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	05/03/2008 00:36:35 (+0700) \| #1 \| 117874

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

Mình Tin rằng đây là vấn đề sẽ được rất nhiều người quan tâm, Do vậy mình xin mở topic này để trao đổi với các bạn về các IDS/IDP.

Có bạn nào sử dụng qua các IDS xin chia sẻ ít recommend, xin bàn luận sâu về các chức năng cũng như features và performances.

Current Certified Products:
Fortigate-800
Broadweb NetKeeper NK-3256T v3.6
Cisco IPS-4240
Cisco IPS-4255
ISS Proventia NIPS GX4004
ISS Proventia NIPS GX5108
Juniper IDP 600F
McAfee IntruShield 4010
SecureWorks iSensor 850
Check point FW-1
IIS Real Secure IDS
..,

Rất mong các Anh, Chi Mod làm một cái Tut về một IDS/IDP simple . Để em và các bạn khác có cơ hội học hỏi.

Trân trọng
V.T.A

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Question] Re: Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	05/03/2008 10:03:03 (+0700) \| #2 \| 117985

lamer
Elite Member

Joined: 26/02/2008 13:28:49
Messages: 215
Offline

IDS = Intrusion Detection System
IPS = Intrusion Prevention System
IDP = ???

Xin nói về IDS trước. IDS là một hệ thống theo dõi thụ động, và mang tính chất "phát hiện" thay vì "phòng chống". Có hai loại IDS: IDS mạng và IDS máy đơn. IDS mạng theo dõi các gói tin được gửi trong mạng, IDS máy đơn theo dõi hoạt các tác vụ trên máy đơn. IDS bao gồm ba thành phần chính:

- Nguồn thông tin (các bộ cảm ứng)
- Bộ xử lý
- Các luật phản ứng

Vì IDS mạng theo dõi các gói tin trong mạng nên thiết bị này phải được sử dụng trong cùng một collision domain với các máy mà nó bảo vệ. Nói chính xác hơn, là chỉ cần bộ cảm ứng đặt trong mạng cần bảo vệ thôi. Các bộ cảm ứng này bắt lấy các gói tin, gửi chúng về máy xử lý để phân tích. Nếu gói tin này là có hại, các luật phản ứng sẽ được thực thi. Tùy vào tính năng của các luật phản ứng này mà có hai loại IDS: passive và active. Active IDS có thể chuyển kết nối đến máy khác (honey pot chẳng hạn), ngắt kết nối, gửi SMS tới quản trị, v.v... Passive IDS chỉ log lại sai phạm phát hiện ra.

IDS máy đơn theo dõi các hoạt động của máy thí dụ như việc đăng nhập, đăng xuất của người dùng, việc trả lời các yêu cầu web của máy chủ, các mẩu log của hệ thống, v.v...

IDS máy đơn hiểu rõ về hệ điều hành của chính máy đó và có thể đọc được các gói tin đã bị mã hóa (và giải mã ở trên máy). IDS mạng không giải mã được các gói tin đã bị mã hóa và cũng không thể biết được các hoạt động riêng của một máy trong mạng.

Có hai loại phân tích: phân thích dùng sai (misuse) và khác thường (anomaly). Các hệ misuse IDS có một cơ sở dữ liệu các kiểu dùng sai thí dụ như các gói tin chứa toàn 0x90. Các hệ anomaly IDS phải trải qua một quá trình học để biết được những gì là bình thường, những gì là khác thường (ví dụ như người dùng đăng nhập lúc 9h tới 17h là bình thường, nhưng 21h là không bình thường). Hệ misuse dễ cài đặt, dễ dùng, và cần được cập nhật thường xuyên. Các hệ anomaly không cần cập nhật thường xuyên nhưng cần được huấn luyện.

IPS là IDS nhưng chúng không theo mõi một cách thụ động mà chúng phải được đặt ở vị trí mà gói tin phải thông qua chúng trước khi được truyền tới máy tính cần bảo vệ. Nếu IPS nhận thấy gói tin đó có hại, nó sẽ không chuyển gói tin đó tới máy đích.

Việc lựa chọn mua IDS/IPS (cũng như mọi lựa chọn mua hàng khác) phụ thuộc rất nhiều vào yêu cầu của người mua. Bên cạnh đó, tỷ lệ báo sai sai (false negative), và báo đúng sai (false positive) cũng rất quan trọng. Bạn có biết bạn cần gì không?

[Question] Re: Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	06/03/2008 04:38:58 (+0700) \| #3 \| 118045

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

lamer wrote:

IDS = Intrusion Detection System
Việc lựa chọn mua IDS/IPS (cũng như mọi lựa chọn mua hàng khác) phụ thuộc rất nhiều vào yêu cầu của người mua. Bên cạnh đó, tỷ lệ báo sai sai (false negative), và báo đúng sai (false positive) cũng rất quan trọng. Bạn có biết bạn cần gì không?

Em xin nói thật đến giời em vẫn chưa rõ nữa anh ạ. Em đang cố gắng để hiểu ý khách hàng anh ạ. có thể sau vài lần gặp trực tiếp em mới trả lời anh được.

Rất cám ơn anh đã trả lời.

Sẵn tiện anh cho em hỏi luôn. Khóa đào tạo về IDS như thế nào. thời gian và địa điểm ạ. Em sẽ cố gắng thu xếp công việc để có thời gian hợp lý nhất. Trong trường hợp không có thời gian anh có thể dạy trực tuyến không ? Về mặt lý thuyết . Thực hành thì nhờ anh hướng dẫn thực hành 1 trong những server bên em ạ.
Mong nhận được hồi âm của anh.

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Question] Re: Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	06/03/2008 11:14:33 (+0700) \| #4 \| 118100

lamer
Elite Member

Joined: 26/02/2008 13:28:49
Messages: 215
Offline

Thật ra sau khi đã có yêu cầu cụ thể thì việc mua thiết bị trở nên dễ dàng thôi. Bạn không cần học chi cả đâu smilie

[Question] Re: Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	06/03/2008 19:06:32 (+0700) \| #5 \| 118143

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Nếu bồ không chuyên sâu hoặc không có ý định chuyên sâu với mảng IDS/IPS thì chỉ cần:

1) Thu thập tất cả các chi tiết về nhu cầu của khách hàng.

2) Gặp công ty cung cấp IDS/IPS và tham khảo chức năng của sản phẩm và nhu cầu của khách hàng. Nếu sản phẩm nào không đạt được ít nhất 90% nhu cầu thì loại bỏ.

Đây là công việc mất thời gian và đòi hỏi kiến thức căn bản về IDS/IPS.

Mỗi sản phẩm đều có technical papers / technical features của chúng. Nên tải tài liệu về nghiên cứu hoặc liên hệ trực tiếp với công ty mình có ý định mua sản phẩm để họ giúp đỡ. Chẳng có mấy ai dùng hết tất cả các sản phẩm bồ đưa ra để mà phân tích sâu theo ý bồ được đâu. Vả lại, nếu bồ chưa nắm khái quát chức năng đặc thù của từng sản phẩm trên thì có bàn sâu cũng không để làm gì cả.

Thân mến.

What bringing us together is stronger than what pulling us apart.

[Question] Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	24/10/2010 21:49:26 (+0700) \| #6 \| 223595

khanhbkvn1
Member

Joined: 11/01/2010 10:13:09
Messages: 4
Offline

trong này anh có nhắc đến CSDL của các IDS đó là các signature,em đang tìm hiểu một IDS viết bằng java http://code.google.com/p/issjavaids/ (mã nguồn nằm ở phần source ),em có đọc tới đọc lui các link của project ấy,có phần signature,em thấy trong đó là các packet,mỗi packet có 41 trường là các số dạng double,(VD 0, 0, 0.05, 0.07, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0.002, 0.001, 0.05, 0.1,...) mà trong documentation của project không chú thích nên em không hiểu các trường đó là gì hết,em search trên mạng nhưng vẫn chưa tìm dc ,trên này có ai biết xin chỉ dùm cho em biét hoặc tài liệu nào nói về cái này để em tự đọc
//phần signature mọi người có thể xem format ở đây ạ http://issjavaids.googlecode.com/svn/wiki/Part3HowToGenerateTrainingFiles.wiki

[Question] Xin mở topic : Thảo luận và các recommend sử dụng bot IDS/IDP.	25/10/2010 13:35:18 (+0700) \| #7 \| 223642

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Có lẽ bây giờ các sản phẩm thiên về IPS hơn là IDS.

Có lẽ chẳng ai trên HVA từng test hoặc sử dụng qua tất cả các sản phẩm bạn đưa ra. Khi sử dụng IPS bạn cần chú ý phần LATENCY. Bên cạnh đó, tỷ lệ báo sai sai (false negative), và báo đúng sai (false positive) cũng rất quan trọng. Phần signature của từng IPS không phải cứ nhiều là tốt, ví dụ: Tipping Point của Hp cần 10 là đủ fix lỗi MS08-067, trong khi đó sourcefire cần tới 25 ...

Bạn thử tìm hiểu Tipping Point của Hp xem thế nào, con xịn nhất của nó tầm 1,5 triệu USD smilie

Go to:

Users currently in here
1 Anonymous