IDS giống như 1 người quản trị mạng, nó có khả năng phân tích dòng traffic lưu chuyển trong mạng và phát hiện ra những sự "bất thường" trong những traffic đó, còn IPS có thể hiểu đơn giản = IDS + FW

Cisco IOS IPS

Các đặc tính của Cisco IOS IPS

Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router. Nó cũng tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống. Nếu tìm thấy có dấu hiệu tấn công từ các traffic đi vào hệ thống, Cisco IOS IPS sẽ nhanh chóng tương tác và loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống.

Cisco IOS IPS có thể được cấu hình thông báo một server syslog hay server quản lý bằng các cảnh báo, bằng loại bỏ những gói được so trùng đúng với dấu hiệu tấn công hoặc reset lại kết nối TCP, hoặc kết hợp tất cả các hành động. Chú ý rằng, mặc dù những tính năng này luôn được tích hợp trong hệ điều hành Cisco IOS bằng đặc tính Cisco IOS Firewall, các tính năng mới dựa vào IPS có những đặc điểm nâng cao sau:

· Khả năng lưu trữ các dấu hiệu tấn công mở rộng của Cisco IOS IPS cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng của mình. Các dấu hiệu mới này có thể được áp dụng mà không cần phải nâng cấp hệ điều hành Cisco IOS.
· Khả năng quét các dấu hiệu song song : tất cả các dấu hiệu tđược quét theo kiểu song song chứ không tuần tự.
· Khả năng hỗ trợ ACL extended : hỗ trợ cả các ACL extended đánh số hay đánh theo tên.


Các tấn công nhận dạng bởi các dấu hiệu trong Cisco IOS IPS được chia làm 4 loại:

·Khai thác : một hành động nắm quyền truy xuất vào hệ thống hay các tài nguyên mạng
·Từ chối dịch vụ (DoS) : Hành động gửi một lượng lớn các yêu cầu đến một hệ thống hay các tài nguyên mạng với ý định gây ngưng trệ / làm tổn hại đến các hoạt động bình thường.
·Dò thám : hành động thu nhập thông tin để tập họp dữ liệu trên hệ thống và các tài nguyên mạng và biến chúng thành các mục tiêu cho các tấn công sau này
·Sử dụng không đúng : một hành động làm vi phạm đến chính sách của hệ thống

Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau:
· Đơn lẻ: các dấu hiệu đơn lẻ kích hoạt IPS với các mẫu đơn giản luôn là một gói đến một máy nào đó. Những dấu hiệu loại này có xu hướng sử dụng ít bộ nhớ vì IPS không cần thu thấp một lượng lớn dữ liệu.
·Kết hợp: các dấu hiệu kết hợp đòi hỏi IPS thu thập và so sánh nhiều và với số lượng lớn các dữ liệu phức tạp sau đó mới kích hoạt một sự kiện, đây luôn là một tấn công trên nhiều máy, qua một thời gian mở rộng và với nhiều packet được xem xét.

Các chức năng có trong Cisco IOS IPS:

Cisco IOS IPS có 2 thành phần chính: signature definition files (SDF) và signature micro-engines (SME).

SDF chứa các định nghĩa các dấu hiệu tấn công và các hành động tương ứng cho mỗi dấu hiệu. File này thường có dạng XML. Cisco IOS IPS tải và dịch các file này trong các cấu trúc dữ liệu bên trong thiết bị với các thông tin cần thiết để có thể nhận dạng mỗi dấu hiệu tấn công. Vị trí của file SDF được định nghĩa trước, có thể nằm trong vùng nhớ Flash của router hoặc trên các server từ xa có khả năng chạy TFTP, FTP, SCP (Secure Copy Protocol), hoặc RCP (Remote Copy Protocol). Các router với phiên bản IOS từ 12.3(8)T trở lên có chứa một file SDF được cấu hình trước tên là Attack-drop.sdf trong hệ thống file Flash, chứa các thông tin mới nhất về các dấu hiệu tấn công và worm phổ biến.

Một SME sẽ tải file SDF và quét các dấu hiệu dưới các điều kiện khác nhau trùng khớp với một mẫu đã định nghĩa sẵn. Cơ cấu SME sẽ lấy các giá trị từ các gói dữ liệu và chuyển sang thành phần regular-expression để xem xét. Cơ cấu này có thể tìm kiếm và so trùng nhiều mẫu đồng thời với nhau. Các phiên bản hiện tại của Cisco IOS IPS 12.3(11)T chứa Atomic.IP, Atomic.ICMP, Atomic.IPOPTIONS, Atomic.UDP, Atomic.TCP, Service.DNS, Service.RPC, Service.SMTP, Service.HTTP, and Service.FTP SMEs. File SDF thông thường chứa các định nghĩa các dấu hiệu tấn công từ một vài lựa chọn trên.

Chú ý:
Cisco IOS phiên bản 12.3(14)T cung cấp nhiều khả năng điều khiển và xem xét, như các tính năng bảo mật ứng dụng cao cấp cho việc sử dụng không đúng port 80 và trong các môi trường sử dụng VoIP.

Các hạn chế của Cisco IOS IPS:
Trước khi cài đặt và cấu hình Cisco IOS IPS, nên xem xét một vài nhân tố:

Bộ nhớ của hệ thốngMột trong những vấn đề chính liên quan đến số lượng các dấu hiệu có thể tải lên Cisco router đó là lượng bộ nhớ của router dành cho các dấu hiệu này. Một router với 128MB bộ nhớ RAM có thể hỗ trợ 563 dấu hiệu, nếu router này có 256MB RAM, số lượng dấu hiệu tấn công có thể có là 737 dấu hiệu.

(Theo tài liệu ISCW - Lê Trường Sơn)

Thanx bác DQM, bài viết khá chi tiết nhưng mình nghĩ giúp 1 người phân biệt được "bản chất" của IDS/IPS/FW thì sẽ tốt hơn là chỉ giúp người bít về IPS của dòng Cisco, bởi vì khi đã biết được nguyên lý của chúng thì khi "đụng" các sản phẩm của các hãng khác nhau thì họ hoàn toàn có thể dễ dàng control nó :)

Theo mình các hãng đều dựa vào "bản chất" để tạo ra dòng sản phẩm cho riêng hãng. Nên cách nói cụ IPS của một hãng nào đó giúp cho chúng ta hai lợi điểm chính:
1. Hiểu được bản chất
2. Hiểu được cách ứng dụng cụ thể.

Dĩ nhiên là nó dựa vào bản chất nhưng nó sẽ (hầu như) ko bao giờ có đầy đủ tính chất của 1 IPS, vd khi học về FW thì sẽ có Static, Stateful, Inspection, Proxy ... nhưng khi học về sp thường sp chỉ có 1 hoặc 2 trong các tính năng đó,