Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lựa chọn chế độ hoạt động phù hợp cho IDS/IPS

    Lựa chọn chế độ hoạt động phù hợp cho IDS/IPS


    Một trong những quyết định quan trọng nhất khi triển khai IDS/IPS không phải là chọn hãng sản xuất hay model thiết bị, mà là lựa chọn đúng chế độ hoạt động (Operating Mode).

    Trong các hệ thống doanh nghiệp lớn, rất hiếm khi chỉ có một IDS/IPS duy nhất. Thay vào đó, nhiều cảm biến (sensor) được triển khai ở các vị trí khác nhau và hoạt động ở những chế độ khác nhau để cân bằng giữa khả năng bảo vệ, hiệu năngtính sẵn sàng của dịch vụ.

    Điều quan trọng là hiểu lưu lượng nào đang được phân tíchIDS/IPS có quyền can thiệp vào lưu lượng đó hay không.
    1. Inline Mode (IPS Mode) – Chủ động ngăn chặn


    Trong Inline Mode, còn gọi là IPS Mode, thiết bị được đặt trực tiếp trên đường đi của lưu lượng (inline).

    Điều đó có nghĩa là mọi gói tin thực tế (real traffic) đều phải đi qua IDS/IPS trước khi đến đích.

    Nhờ nằm ngay trên đường truyền, IPS có thể thực hiện các hành động theo thời gian thực như:
    • Chặn gói tin độc hại.
    • Hủy phiên TCP (TCP Reset).
    • Loại bỏ phiên kết nối.
    • Ngăn chặn khai thác lỗ hổng.
    • Thực thi chính sách bảo mật ngay lập tức.

    Đây là chế độ phù hợp cho:
    • Data Center
    • Hệ thống tài chính
    • Mạng chính phủ
    • Hạ tầng quan trọng (Critical Infrastructure)
    • Các môi trường yêu cầu mức độ bảo mật cao

    Tuy nhiên, Inline Mode cũng đặt ra yêu cầu rất cao về việc tinh chỉnh chính sách (Policy Tuning).

    Nếu IPS xảy ra False Positive, lưu lượng hợp lệ có thể bị chặn, gây gián đoạn dịch vụ hoặc ảnh hưởng đến các ứng dụng quan trọng.
    2. Passive Mode (IDS Mode) – Quan sát nhưng không can thiệp


    Trong Passive Mode, còn gọi là IDS Mode, thiết bị không nằm trên đường đi của lưu lượng.

    Thay vào đó, IDS chỉ nhận bản sao (copy) của lưu lượng để phân tích.

    Điều này mang lại một lợi thế rất lớn:

    👉 Không có nguy cơ làm gián đoạn dịch vụ, vì lưu lượng thật vẫn đi trực tiếp đến đích mà không bị IDS can thiệp.

    Khi phát hiện dấu hiệu bất thường, IDS sẽ:
    • Ghi log.
    • Sinh cảnh báo.
    • Gửi sự kiện về SOC hoặc SIEM.

    Nhưng không chặn lưu lượng.

    Passive Mode đặc biệt phù hợp với:
    • Môi trường Production yêu cầu độ ổn định cao.
    • Hệ thống chưa sẵn sàng triển khai IPS.
    • Giai đoạn đánh giá và xây dựng chính sách phát hiện.

    3. Hybrid Approach – Cách triển khai được nhiều doanh nghiệp lựa chọn


    Trong thực tế, rất ít tổ chức chuyển ngay sang chế độ Protect Mode.

    Một phương pháp phổ biến là:

    Bước 1: Triển khai IDS ở chế độ Detect (Passive Mode).



    Bước 2: Theo dõi các cảnh báo trong một khoảng thời gian.



    Bước 3: Điều chỉnh signature và chính sách để giảm false positive.



    Bước 4: Chuyển dần sang IPS (Protect Mode) đối với các lưu lượng hoặc vùng mạng đã được kiểm chứng.

    Cách tiếp cận này giúp doanh nghiệp:
    • Hiểu rõ hành vi lưu lượng bình thường.
    • Giảm nguy cơ chặn nhầm.
    • Tăng mức độ tin cậy của hệ thống trước khi kích hoạt chức năng ngăn chặn.

    SPAN – "Mắt thần" của IDS


    Một câu hỏi thường gặp là:
    Nếu IDS không nằm trên đường truyền thì nó lấy lưu lượng ở đâu?

    Câu trả lời là SPAN (Switch Port Analyzer).

    Đây là tính năng trên Cisco Catalyst Switch cho phép sao chép toàn bộ lưu lượng từ:
    • Một cổng (Port)
    • Một VLAN
    • Hoặc nhiều nguồn khác

    đến một cổng đích để IDS phân tích.

    Điểm quan trọng là:
    • Thiết bị người dùng vẫn giao tiếp bình thường.
    • IDS chỉ nhận bản sao của lưu lượng.
    • Không ảnh hưởng đến hiệu năng hay đường đi của gói tin.

    SPAN là phương pháp phổ biến nhất để triển khai IDS trong các mạng doanh nghiệp.
    RSPAN và ERSPAN


    Trong nhiều hệ thống lớn, IDS không đặt cùng switch với lưu lượng cần giám sát.

    Cisco cung cấp hai cơ chế mở rộng:

    RSPAN (Remote SPAN)


    Cho phép truyền lưu lượng SPAN qua một VLAN chuyên dụng đến switch khác trong cùng mạng Layer 2.

    ERSPAN (Encapsulated Remote SPAN)


    Đóng gói lưu lượng SPAN trong gói GRE để truyền qua mạng IP.

    Nhờ ERSPAN, lưu lượng có thể được gửi đến:
    • Trung tâm SOC.
    • Data Center khác.
    • Máy ảo IDS đặt trên Cloud.
    • Hệ thống phân tích tập trung.

    Đây là giải pháp rất phổ biến trong các doanh nghiệp có nhiều chi nhánh hoặc hạ tầng phân tán.
    Đừng quên "đường đến" của IDS


    Một sai sót thường gặp khi triển khai IDS dưới dạng Virtual Machine hoặc trong môi trường Cloud là chỉ quan tâm đến IDS mà quên mất đường truyền đưa lưu lượng đến cảm biến.

    Nếu bản sao lưu lượng không đến được IDS hoặc bị gián đoạn, hệ thống sẽ không thể quan sát đầy đủ các sự kiện an ninh.

    Vì vậy, khi triển khai IDS/IPS dưới dạng VM (on-premises hoặc cloud), cần thiết kế:
    • Đường định tuyến dự phòng (Resilient Routing Paths).
    • Kết nối ổn định cho SPAN, RSPAN hoặc ERSPAN.
    • Hạ tầng mạng đủ băng thông để truyền lưu lượng giám sát.

    Một cảm biến không nhận được dữ liệu cũng giống như một camera an ninh bị mất tín hiệu: thiết bị vẫn hoạt động, nhưng không còn giá trị giám sát.
    Góc nhìn của một Security Architect


    Nhiều doanh nghiệp nghĩ rằng IPS luôn tốt hơn IDS vì có khả năng chặn tấn công. Thực tế, không có chế độ nào là "tốt nhất" cho mọi tình huống.
    • IDS (Passive Mode) phù hợp khi ưu tiên tính sẵn sàng, cần quan sát lưu lượng hoặc đang trong giai đoạn tinh chỉnh chính sách.
    • IPS (Inline Mode) phù hợp khi doanh nghiệp đã hiểu rõ hành vi lưu lượng và sẵn sàng chủ động ngăn chặn các mối đe dọa theo thời gian thực.
    • Hybrid Approach là lựa chọn phổ biến nhất hiện nay, cho phép chuyển đổi từng bước từ giám sát sang bảo vệ chủ động sau khi đã tối ưu chính sách.

    Một kiến trúc bảo mật trưởng thành thường kết hợp cả ba cách tiếp cận này, tùy theo mức độ quan trọng của từng vùng mạng và yêu cầu vận hành.
    Câu hỏi ôn tập


    Bốn chiến lược nào sau đây là các vị trí triển khai IDS/IPS hiệu quả để tối đa hóa phạm vi bảo vệ và khả năng phát hiện mối đe dọa? (Chọn bốn)
    • ✅ Place IDS/IPS at aggregation points.
    • ✅ Deploy IDS/IPS at perimeter defense.
    • ❌ Install IDS/IPS on user devices.
    • ✅ Position IDS/IPS in internal segments.
    • ❌ Exclude IDS/IPS from cloud environments.
    • ✅ Utilize cloud & hybrid environments.
    • ❌ Place the IDS/IPS on the outside network after the firewall between the service provider router.

    Đáp án đúng:
    • Place IDS/IPS at aggregation points
    • Deploy IDS/IPS at perimeter defense
    • Position IDS/IPS in internal segments
    • Utilize cloud & hybrid environments

    Giải thích: Để xây dựng kiến trúc Defense in Depth, IDS/IPS nên được triển khai ở nhiều lớp của hệ thống: tại các điểm hội tụ lưu lượng (Aggregation Points) để thu thập thông tin ngữ cảnh, tại Perimeter để ngăn chặn các mối đe dọa từ Internet, trước các Internal Segments nhằm phát hiện và ngăn chặn Lateral Movement, và trong Cloud & Hybrid Cloud để bảo vệ các workload và lưu lượng East-West. Việc đặt IDS/IPS bên ngoài firewall, phía mạng của nhà cung cấp dịch vụ, thường không được khuyến nghị vì thiết bị sẽ phải xử lý lượng lớn lưu lượng chưa được firewall lọc và không phản ánh đúng mục tiêu bảo vệ của mạng doanh nghiệp.​
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X