Hỏi về Network traffic bình thường, sự khác nhau Firewall và IDS

**tindecken** · 21-04-2008, 03:04 PM

không ai trả lời dùm mình hết àh, buồn quá :((

**tranmyphuc** · 21-04-2008, 04:03 PM

Originally posted by tindecken View Post

tình hình là em học trên trường có 2 câu hỏi xin được giải đáp:

1. Thế nào là "network traffic bình thường"?
2. Sự khác nhau giữa Firewall và IDS (hệ thống phát hiện xâm nhập)?

Xin được giải đáp, cám ơn.

Chào !!!

network traffic bình thường là lưu lượng mạng ổn định , không bị gián đoạn trong quá trình truyền.

Để phân biệt Firewall và IDS

Đầu tiên bạn cần có khái niệm về IDS
Đọc tại đây :

http://wimaxpro.org/forum/showthread.php?t=333

Và về firewall

Quantrimang.com: Kiến Thức Công Nghệ Khoa Học và Cuộc sống

http://www.quantrimang.com/view.asp?Cat_ID=11&Cat_Sub_ID=0&news_id=12859

Trang web về thủ thuật điện thoại, máy tính, mạng, học lập trình, sửa lỗi máy tính, cách dùng các phần mềm, phần mềm chuyên dụng, công nghệ khoa học và cuộc sống

Và 15 câu hỏi về FireWall

1. Firewall là gì?

Firewall là một công cụ phần cứng hoặc phần mềm giúp bạn tránh được sự tấn công của các hacker, sâu máy tính, virus... khi truy cập vào mạng Internet. Nếu bạn sử dụng máy tính cá nhân tại nhà hoặc bạn là một doanh nghiệp nhỏ, thì sử dụng firewall là cách quan trọng và hiệu quả nhất để bảo vệ máy tính của bạn.

2. Tại sao người sử dụng máy tính lại cần đến firewall?

- Nếu không có firewall, khi truy cập vào Internet, các hacker sẽ dễ dàng đột nhập và ăn cắp thông tin cá nhân của bạn. Chúng có thể cài đặt những mật mã phá hủy các file hoặc gây ra sự cố cho máy tính. Chúng cũng có thể sử dụng máy tính của bạn để lan truyền virus ra các máy khác trong cùng hệ thống. Sử dụng firewall sẽ giúp bạn tránh được những phiền toái trên, dù bạn truy cập Internet bằng phương pháp nào - qua modem, cáp, hoặc thuê bao kỹ thuật số (DSL hoặc ADSL).

3. Nếu đã có sẵn chương trình firewall trong máy, tôi phải khởi động như thế nào?

- Nếu bạn sử dụng Windows Vista hay Windows XP, trong máy đã cài đặt sẵn chương trình Sevirce Pack 2 (SP2):
+ Click Start, sau đó click Control Panel
+ Vào phần Security Center, kích hoạt Windows Firewall
- Nếu hệ Windows XP của bạn chưa cài đặt sẵn SP2, bạn có thể download chương trình này tại địa chỉ www.microsoftupdate.com.
- Nếu bạn sử dụng 1 hệ Window khác như Win2000, Win 98..., bạn nên mua phần mềm hoặc phần cứng firewall ở ngòai và cài vào máy tính.
- Nếu bạn chưa chắc chắn là máy tính của mình đã có firewall hay chưa, bạn có thể vào Folder All Program để kiểm tra. Click Start, sau đó vào All Program, tìm xem chương trình firewall đã được cài đặt hay chưa. Các phần mềm firewall thường có những tên gọi như McAfee, Symantec, Tiny Personal Firewall...

4. Hệ điều hành Window của tôi không có sẵn chương trình firewall. Tôi nên làm gì?

- Những hệ điều hành Window cũ như Win 2000, Win Millennium Edition (Me), Win 98 đều không cài đặt sẵn chương trình firewall. Nếu muốn sử dụng chương trình này, bạn có thể mua ngoài để cài đặt vào máy.

5. Windows Firewall có những tác dụng gì?

- Windows Firewall có tác dụng bảo vệ các chương trình và thông tin trên máy tính cá nhân khỏi sự xâm nhập từ bên ngoài, đặc biệt là khi người sử dụng truy cập Internet. Firewall theo dõi tất cả những thông tin xuất phát từ máy tính của bạn và tự động bảo vệ chúng khỏi virus.

Khi cần thiết, chương trình firewall sẽ mở những cửa sổ bảo vệ và cho phép máy tính của bạn nhận các thông tin theo yêu cầu, ví dụ như một trang web mà bạn đã kích vào address. Còn những thông tin tự động gửi đến máy tính không theo yêu cầu sẽ bị firewall chặn lại.

6. Ngoài firewall, còn cần phải có những biện pháp bảo vệ nào khác không?

- Chương trình firewall không thể đảm bảo 100% an toàn cho máy tính của bạn tuy đây đang là biện pháp được đánh giá là có hiệu quả nhất hiện nay. Ngoài firewall, bạn nên sử dụng thêm một số phương pháp bảo vệ khác, như update hệ điều hành, cài đặt các phần mềm chống virus như Windows Live OneCare, Antispyware...

7. Tôi có nên sử dụng firewall không nếu tôi có nhiều hơn 1 chiếc máy tính ở nhà và công sở?

- Nên. Vì virus có thể lây lan từ một sang nhiều máy khác trên cùng một hệ thống.

8. Nếu máy tính của tôi thuộc hệ điều hành chủ của công ty, tôi có nên bật chương trình firewall lên không?

- Trong trường hợp này, bạn nên tuân theo các yêu cầu của bộ phận điều hành máy chủ. Trong một số trường hợp, bộ phận điều hành sẽ mặc định tất cả các máy trong hệ thống không thể sử dụng được chương trình firewall. Nếu máy tính cá nhân của bạn thực sự cần thiết phải có chương trình firewall, hãy thảo luận với bộ phận kỹ thuật để cài đặt riêng chương trình.

9. Tôi có nên sử dụng chương trình firewall cả phần cứng và phần mềm trên hệ điều hành Windows XP hay không?

- Không nên. Các chương trình phần mềm firewall phức tạp không thích hợp cho máy tính cá nhân tại nhà hay doanh nghiệp nhỏ mà chỉ thích hợp với hệ điều hành của các công ty lớn. Sử dụng cả 2 chương trình firewall phần cứng và phần mềm sẽ gây khó khăn khi truy cập Internet và các sự cố không mong đợi khác.

10. Tôi hiện đang sử dụng Windows XP Home Edition. Hệ điều hành này có sẵn chương trình Internet Connection Firewall hay không?

- Có. Cả 2 hệ điều hành Windows XP Home Edition và Windows XP Professional đều có cài đặt sẵn chương trình Internet Connection Firewall.

11. Windows Firewall có thể chống lại những gì?

- Windows Firewall hoạt động như một chương trình chống lại các loại sâu máy tính. Sâu máy tính cũng tương tự như virus, nhưng nó hoạt động độc lập hơn và có thể tự động lây nhiễm mà không cần sự trợ giúp của các chương trình khác.

12. Windows Firewall không thể chống lại những gì?

- Windows Firewall trong hệ điều hành Windows XP không thể chống lại 3 loại virus sau:

+ Các loại virus lan truyền qua email, như virus Trojan, thường giả dạng các phần mềm tiện ích và máy tính sẽ bị nhiễm virus ngay khi người sử dụng mở hoặc cài đặt các file này.

+ Thư rác hoặc các chương trình bị pop-up

+ Đường dẫn tới các hệ thống không dây kém an toàn khác.

13. Chương trình firewall có bảo vệ được hệ thống không dây hay không?

- Chương trình firewall chỉ có thể bảo vệ được một máy tính trên 1 hệ điều hành không dây, chứ không thể bảo vệ được cả một hệ thống. Nếu muốn bảo vệ cả hệ thống, bạn nên sử dụng thêm các chương trình mật mã như WPA hoặc WEP.

14. Tôi sử dụng máy laptop kết nối với hệ thống máy chủ của công ty có cài đặt chương trình firewall. Tôi nên làm gì khi đi du lịch?

- Bạn nên luôn luôn bật chương trình Internet Connection Firewall lên khi bạn truy cập vào Internet qua modem hoặc bất cứ một phương pháp nào khác khi bạn đi du lịch để tránh virus lây lan ra toàn bộ hệ thống máy của công ty.

15. Tôi có thể tìm hiểu những thông tin chi tiết về Windows Firewall và Firewall nói chung ở đâu?

- Hiện nay website cung cấp đầy đủ các thông tin về firewall nhất là Microsoft. Bạn có thể truy cập vào địa chỉ www.microsoft.com, sau đó vào mục Protect your PC Support hoặc Use the Internet Connection Firewall để tìm kiếm các thông tin cần thiết.

Nói chung sự khác nhau giữa chúng đó là IDS là bảo mật tốt hơn FireWall về vấn đề phát hiện hacker/trojan. Tuy nhiên, khi phát hiện xong nó sẽ thông báo để FireWall tiêu diệt.

Hiện nay có một số Firewall có tích hợp IDS trở thành IPS. Một số để IDS và Firewall độc lập như các thiết bị của Cisco.

Bạn xem bài về IPS tại đây :

Originally posted by dangquangminh View Post

Cisco IOS IPS

Các đặc tính của Cisco IOS IPS

Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router. Nó cũng tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống. Nếu tìm thấy có dấu hiệu tấn công từ các traffic đi vào hệ thống, Cisco IOS IPS sẽ nhanh chóng tương tác và loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống.

Cisco IOS IPS có thể được cấu hình thông báo một server syslog hay server quản lý bằng các cảnh báo, bằng loại bỏ những gói được so trùng đúng với dấu hiệu tấn công hoặc reset lại kết nối TCP, hoặc kết hợp tất cả các hành động. Chú ý rằng, mặc dù những tính năng này luôn được tích hợp trong hệ điều hành Cisco IOS bằng đặc tính Cisco IOS Firewall, các tính năng mới dựa vào IPS có những đặc điểm nâng cao sau:

· Khả năng lưu trữ các dấu hiệu tấn công mở rộng của Cisco IOS IPS cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng của mình. Các dấu hiệu mới này có thể được áp dụng mà không cần phải nâng cấp hệ điều hành Cisco IOS.
· Khả năng quét các dấu hiệu song song : tất cả các dấu hiệu tđược quét theo kiểu song song chứ không tuần tự.
· Khả năng hỗ trợ ACL extended : hỗ trợ cả các ACL extended đánh số hay đánh theo tên.

Các tấn công nhận dạng bởi các dấu hiệu trong Cisco IOS IPS được chia làm 4 loại:

·Khai thác : một hành động nắm quyền truy xuất vào hệ thống hay các tài nguyên mạng
·Từ chối dịch vụ (DoS) : Hành động gửi một lượng lớn các yêu cầu đến một hệ thống hay các tài nguyên mạng với ý định gây ngưng trệ / làm tổn hại đến các hoạt động bình thường.
·Dò thám : hành động thu nhập thông tin để tập họp dữ liệu trên hệ thống và các tài nguyên mạng và biến chúng thành các mục tiêu cho các tấn công sau này
·Sử dụng không đúng : một hành động làm vi phạm đến chính sách của hệ thống

Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau:
· Đơn lẻ: các dấu hiệu đơn lẻ kích hoạt IPS với các mẫu đơn giản luôn là một gói đến một máy nào đó. Những dấu hiệu loại này có xu hướng sử dụng ít bộ nhớ vì IPS không cần thu thấp một lượng lớn dữ liệu.
·Kết hợp: các dấu hiệu kết hợp đòi hỏi IPS thu thập và so sánh nhiều và với số lượng lớn các dữ liệu phức tạp sau đó mới kích hoạt một sự kiện, đây luôn là một tấn công trên nhiều máy, qua một thời gian mở rộng và với nhiều packet được xem xét.

Các chức năng có trong Cisco IOS IPS:

Cisco IOS IPS có 2 thành phần chính: signature definition files (SDF) và signature micro-engines (SME).

SDF chứa các định nghĩa các dấu hiệu tấn công và các hành động tương ứng cho mỗi dấu hiệu. File này thường có dạng XML. Cisco IOS IPS tải và dịch các file này trong các cấu trúc dữ liệu bên trong thiết bị với các thông tin cần thiết để có thể nhận dạng mỗi dấu hiệu tấn công. Vị trí của file SDF được định nghĩa trước, có thể nằm trong vùng nhớ Flash của router hoặc trên các server từ xa có khả năng chạy TFTP, FTP, SCP (Secure Copy Protocol), hoặc RCP (Remote Copy Protocol). Các router với phiên bản IOS từ 12.3(8)T trở lên có chứa một file SDF được cấu hình trước tên là Attack-drop.sdf trong hệ thống file Flash, chứa các thông tin mới nhất về các dấu hiệu tấn công và worm phổ biến.

Một SME sẽ tải file SDF và quét các dấu hiệu dưới các điều kiện khác nhau trùng khớp với một mẫu đã định nghĩa sẵn. Cơ cấu SME sẽ lấy các giá trị từ các gói dữ liệu và chuyển sang thành phần regular-expression để xem xét. Cơ cấu này có thể tìm kiếm và so trùng nhiều mẫu đồng thời với nhau. Các phiên bản hiện tại của Cisco IOS IPS 12.3(11)T chứa Atomic.IP, Atomic.ICMP, Atomic.IPOPTIONS, Atomic.UDP, Atomic.TCP, Service.DNS, Service.RPC, Service.SMTP, Service.HTTP, and Service.FTP SMEs. File SDF thông thường chứa các định nghĩa các dấu hiệu tấn công từ một vài lựa chọn trên.

Chú ý:
Cisco IOS phiên bản 12.3(14)T cung cấp nhiều khả năng điều khiển và xem xét, như các tính năng bảo mật ứng dụng cao cấp cho việc sử dụng không đúng port 80 và trong các môi trường sử dụng VoIP.

Các hạn chế của Cisco IOS IPS:
Trước khi cài đặt và cấu hình Cisco IOS IPS, nên xem xét một vài nhân tố:

Bộ nhớ của hệ thốngMột trong những vấn đề chính liên quan đến số lượng các dấu hiệu có thể tải lên Cisco router đó là lượng bộ nhớ của router dành cho các dấu hiệu này. Một router với 128MB bộ nhớ RAM có thể hỗ trợ 563 dấu hiệu, nếu router này có 256MB RAM, số lượng dấu hiệu tấn công có thể có là 737 dấu hiệu.

(Theo tài liệu ISCW - Lê Trường Sơn)

Và câu trả lời nôm na cho vấn đề trên nằm ở đây :

Originally posted by caonguyen View Post

Tai sao phai can IDS?

Khi he thong da co firewall tai sao lai phai co IDS, Chung ta hinh dung neu xem firewall la mot nhan vien gat cong thi IDS giong nhu mot camera xem xet tat ca hanh vi de nhan dien tan cong, hanh dong xam nhap bat hop phap,
No se phan tich cac goi tin(co the la goi tin da ma hoa)tuy nhien khong lam mat tinh toan ven cua goi tin do, phan tich nhung dau hieu tan cong o muc ung dung,nhan dien nhung tan cong da qua he thong firewall tren co so do se canh bao nguoi quan tri hoac tac dong len firewall de bao ve he thong mang khoi nhung tan cong nay.

(Tai sao lai nhu vay? Firewall chi kiem tra duoc Header trong TCP/IP no khong kiem soat duoc noi dung)

Su dung IDS nhu the nao de hieu qua nhat?

Neu voi mot he thong mang voi nhieu segment mang con phai trien khai IDS tren cac segment mang do, ket hop voi cac giai phap ve IPS( Instrusion Prevetion System)

Ket hop giai phap IDS,IPS cho server, cho desktop trong he thong do
....
Dieu quan trong Nguoi quan tri phai hieu ro va quan tri hieu qua he thong IDS qua trinh dieu khien tap trung cua he thong

Neu ban quan tam hon ve he thong IDS,IPS cua network, server, destop hay cac giai phap ve do tim ve lo hong tren mang cua Internet security System co the tham khao them tren www.iss.net.

chúc bạn vui !!!

**tindecken** · 21-04-2008, 04:20 PM

ok, đầy đủ và chi tiết thật. Xin cám ơn nhiều.

Hỏi về Network traffic bình thường, sự khác nhau Firewall và IDS

Comment

Comment

Comment