Tweet
Thuật ngữ
IDS (Intrusion Detection System)
Detect: phát hiện tấn công, có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công.
Nhận ra tấn công bằng cách phân tích bản sao của lưu lượng mạng.
IPS (Intrusion Prevention System)
Prevent: chặn đứng trước khi tấn công đến mạng bên trong.
Cung cấp khả năng bảo vệ mạng dựa vào định danh, phận loại và ngăn chặn mối đe dọa được biết hoặc chưa biết như worm, virus, đe dọa đến ứng dụng, …
Anomaly Signature
Một signature được kích hoạt (trigger) khi mức thông thường bị vượt mức
Vd: lưu lượng ICMP vượt mức số lượng được định nghĩa trong mạng.
Automic signature
Một signature được kích hoạt dựa vào nội dung của gói, automic signature không yêu cầu thiết bị IDS/IPS phải duy trì trạng thái kết nối.
Block signature Action
Hành động IDS khởi tạo ACL trên thiết bị khác để ngăn chặn lưu lượng vi phạm. Để làm được điều này thì thường ta sẽ cấu hình để IDS login vào router hay ASA qua SSH.
vd: IDS khởi tạo ACL trên router, dùng shun trên ASA để ngăn chặn các lưu lượng vi phạm đã bị IDS phát hiện.
Denial of Service (DoS)
Kẻ tấn công làm tràn ngập hệ thống, chiếm tài nguyên của thiết bị, làm thiết bị không còn khả năng xử lí các yếu cầu hợp lệ thật sự của người dùng khác.
Deny Packet Inline
Loại bỏ gói vi phạm.
Deny Attacker Inline
Tất cả các gói từ địa chỉ của kẻ tấn công sẽ bị loại bỏ.
Deny Connection Inline
Kết nối vi phạm sẽ bị kết thúc. (khi IDS/IPS phát hiện ra một gói vi phạm thì flow đó sẽ kết thúc).
Inline mode
Thiết bị giám sát hoạt động với chức năng của IPS.
Yêu cầu ít nhất 2 cổng giám sát trên IPS. (Interface pair)
Chỉ cần một cổng giám sát. (vlan pair)
Promicuous mode (outline mode)
Thiết bị giám sát chỉ hoạt động với chức năng của IDS. Khi hoạt động ở chế độ này cảm bộ cảm biến (sensor) trên IDS sẽ nhận một bản sao của lưu lượng mạng được chọn.
Chỉ cần một cổng giám sát (interface)
ByPass mode
Produce Verbose Alert
Tạo ra cảnh báo khi có vi phạm.
Regex (Regular Expression)
Signature
Các mô tả cho IDS/IPS dùng phân biệt, nhận diện tấn công.
Signature Action
Hành động từ IDS/IPS khi phát hiện ra tấn công.
Signature Difinition File (SDF)
Một cơ sở dự liệu định nghĩa dấu hiệu vi phạm được dùng để nhận diện dự liệu chứa mã độc.
Những router hiện đại thường được trang bị với SDF được cài trong bộ nhớ. Tuy nhiên, người quản trị cần cập nhật thường xuyên để nhận diện được những mối đe dọa mới.
Switch port analyzer
Port của switch có thể nhận bản sao của những gói tin từ cổng hoặc vlan khác.
TCP Reset Signature Action
Cố gắng thiết lập lại phiên TCP khi vi phạm được nhận diện trong kết nối TCP.
Vulnerability
Lỗ hổng của hệ thống mà kẻ tấn công có thể khai thác để truy cập, làm hại đến hệ thống
Worm
Có khả năng tự tạo ra sự sống (trong RAM). Thường worm sẽ gửi bản sao của nó tới những máy khác trong mạng.
IDS (Intrusion Detection System)
Detect: phát hiện tấn công, có thể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công.
Nhận ra tấn công bằng cách phân tích bản sao của lưu lượng mạng.
IPS (Intrusion Prevention System)
Prevent: chặn đứng trước khi tấn công đến mạng bên trong.
Cung cấp khả năng bảo vệ mạng dựa vào định danh, phận loại và ngăn chặn mối đe dọa được biết hoặc chưa biết như worm, virus, đe dọa đến ứng dụng, …
Anomaly Signature
Một signature được kích hoạt (trigger) khi mức thông thường bị vượt mức
Vd: lưu lượng ICMP vượt mức số lượng được định nghĩa trong mạng.
Automic signature
Một signature được kích hoạt dựa vào nội dung của gói, automic signature không yêu cầu thiết bị IDS/IPS phải duy trì trạng thái kết nối.
Block signature Action
Hành động IDS khởi tạo ACL trên thiết bị khác để ngăn chặn lưu lượng vi phạm. Để làm được điều này thì thường ta sẽ cấu hình để IDS login vào router hay ASA qua SSH.
vd: IDS khởi tạo ACL trên router, dùng shun trên ASA để ngăn chặn các lưu lượng vi phạm đã bị IDS phát hiện.
Denial of Service (DoS)
Kẻ tấn công làm tràn ngập hệ thống, chiếm tài nguyên của thiết bị, làm thiết bị không còn khả năng xử lí các yếu cầu hợp lệ thật sự của người dùng khác.
Deny Packet Inline
Loại bỏ gói vi phạm.
Deny Attacker Inline
Tất cả các gói từ địa chỉ của kẻ tấn công sẽ bị loại bỏ.
Deny Connection Inline
Kết nối vi phạm sẽ bị kết thúc. (khi IDS/IPS phát hiện ra một gói vi phạm thì flow đó sẽ kết thúc).
Inline mode
Thiết bị giám sát hoạt động với chức năng của IPS.
Yêu cầu ít nhất 2 cổng giám sát trên IPS. (Interface pair)
Chỉ cần một cổng giám sát. (vlan pair)
Promicuous mode (outline mode)
Thiết bị giám sát chỉ hoạt động với chức năng của IDS. Khi hoạt động ở chế độ này cảm bộ cảm biến (sensor) trên IDS sẽ nhận một bản sao của lưu lượng mạng được chọn.
Chỉ cần một cổng giám sát (interface)
ByPass mode
Produce Verbose Alert
Tạo ra cảnh báo khi có vi phạm.
Regex (Regular Expression)
Signature
Các mô tả cho IDS/IPS dùng phân biệt, nhận diện tấn công.
Signature Action
Hành động từ IDS/IPS khi phát hiện ra tấn công.
Signature Difinition File (SDF)
Một cơ sở dự liệu định nghĩa dấu hiệu vi phạm được dùng để nhận diện dự liệu chứa mã độc.
Những router hiện đại thường được trang bị với SDF được cài trong bộ nhớ. Tuy nhiên, người quản trị cần cập nhật thường xuyên để nhận diện được những mối đe dọa mới.
Switch port analyzer
Port của switch có thể nhận bản sao của những gói tin từ cổng hoặc vlan khác.
TCP Reset Signature Action
Cố gắng thiết lập lại phiên TCP khi vi phạm được nhận diện trong kết nối TCP.
Vulnerability
Lỗ hổng của hệ thống mà kẻ tấn công có thể khai thác để truy cập, làm hại đến hệ thống
Worm
Có khả năng tự tạo ra sự sống (trong RAM). Thường worm sẽ gửi bản sao của nó tới những máy khác trong mạng.
Comment