Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 24-07-2010, 10:28 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Hệ thống tự động ngăn chặn các tấn công có tính nguy hại
Hệ thống tự động ngăn chặn các tấn công có tính nguy hại




Thiết bị IDS/IPS chuyên dụng Proventia G1000

Dựa trên công nghệ Internet Security Systems’ Proventia™ G là một hệ thống ngăn chặn xâm nhập nội tuyến (IPS), nó tự động ngăn chặn các tấn công có tính nguy hại trong khi vẫn đảm bảo băngthông cho đường truyền.

Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử dụng các chip xử lý của Intel
như Intel Xeon và một hệ điều hành sử dụng nhân Linux được cứng hoá, Proventia G giúp giảm chi phí cho những phát triển, tối ưu hoá việc quản lý và bảo vệ tối đa cho hệ thống với một tốc độ cao tới100 Mbps.

Là hệ thống ngăn chặn xâm nhập nội tuyến (Inline) cao cấp, Proventia G Series ngăn chặn các tấn công đã biết và chưa biết trong thời gian thực, bao gồm các tấn công từ chối dịch vụ phân tán (DDoS),BackDoors, và các mối đe doạ Hybird, giảm bớt công việc cho người quản trị. Cùng với các thành phần bảo vệ mạng, máy chủ, máy trạm khác, Proventia G Series được quản lý tập trung bởi RealSecureSiteProtector ™. Việc quản trị tập trung bao gồm các thao tác cập nhật, thiết lập chính sách an ninh,và báo cáo giúp giảm bớt thời gian cho người quản trị.
Proventia G hoạt động Inline từ lớp data link trên 1 segment mạng với các steal interface không có địa chỉ IP nhằm hạn chế các tấn công vào nó và trong suốt từ với mạng từ lớp IP.
Thiết bị bảo vệ hệ thống mạng bằng phương pháp đón đầu (Preemptive), phát hiện nhanh các lỗ hổng bảo mật bị khai thác và thực hiện chặn các hành vi khai thác lỗ hổng này ngay khi nó được công bố. Vớiphương pháp như vậy, Proventia G dựa trên một đội nghiên cứu an ninh có uy tín X-Force, một đội nghiên cứu đã phát hiện ra hơn 50% trên tổng số các lỗ hổng bảo mật được phát hiện trong năm 2003.
1. Một số đặc điểm của Proventia G1000
- Hoạt động Inline với tốc độ 1Gbps trên 1 đường mạng chuẩn cáp đồng
- Việc phân tích sâu khả năng của các giao thức làm tăng độ chính xác của các quá trình bảo vệ trước các tấn công không rõ nguồn gốc
- Phân tích trên 100 giao thức mạng và bao gồm trên 2,500 kiểm tra
- Thiết lập một ngăn chặn ngay lập tức và đáng tin cậy, đáp trả các giao thông mạng không mong muốn.
- Chính sách ngăn chặn mặc định bao gồm trên 200 luật ngăn chặn lại các mối đe doạ hybrid, bao gồm cả MS Blaster, SQL Slammer, Nimda, và Code-Red.
- Có 3 chế độ hoạt động: Active , Passive và Simulation
- Dễ dàng chuyển đổi giữa các trạng thái hoạt động : IDS/IPS
2. Phần mềm phát hiện và ngăn chặn xâm nhập cho máy chủ
Trong một hệ thống mạng, các máy chủ thường là mục tiêu chính trong các cuộc tấn công. Do vậy dựa trên công nghệ IDS/IPS, Module phần mềm RealSecure Server Sensor do ISS (Internet Secure System) pháttriển làm nhiệm vụ dò tìm, kiểm soát, bảo vệ các Server khỏi các tấn công, xâm nhập trái phép. Sản phẩm RealSecure ServerSensor được cài đặt trên mỗi máy Sever, bảo vệ Server dựa trên việc phântích các sự kiện, log file và những luồng thông tin đi tới và đi ra khỏi Server, theo dõi các tiến trình hoạt động của các user trên hệ thống. RealSecure ServerSensor được xây dựng trên hơn 500 giaothức phức tạp cùng với những bảng chính sách cho phép tự động chống lại các tấn công đã biết và chưa biết. Cũng như các sản phẩm khác của ISS, việc quản lý các ServerSensor là tập trung bởiRealSecure SiteProtector .Với phương thức hoạt động như vậy, Server Sensor có những đặc điểm sau:
- Chống lại các tấn công vào hệ điều hành của server
- Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra backdoor...
- Chặn các tấn công không theo giao thức IP
- Chống các tấn công dạng DoS, DDoS
- Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp.
- Các hình thức đáp trả tấn công:
- Ngắt session gây ra tấn công
- Cấm user hoạt động
- Thực hiện các chương trình được định nghĩa trước để chống tấn công
Block các gói tin bị nghi là dùng để tấn công, trinh sát

3. Phần mềm phân tích và đánh giá tương quan SecurityFusion Module

Được nghiên cứu, phát triển bởi nhóm các chuyên gia bảo mật hàng đầu thế giới X Force, SiteProtector SecurityFusion sử dụng các dữ liệu thu thập được để nhanh chóng và tự động đưa racác mẫu của các hành vi tấn công và xuất phát từ các tấn công thành công trước đó, đưa ra đánh giá về điểm yếu và các thông tin về tấn công. Các tín hiệu trực quan trên SiteProtector mô tả các tấncông với khả năng thành công của cuộc tấn công, tự động đưa ra các cảnh báo đối với các sự kiện có tác động lớn tới bảo mật hệ thống. VD, module này có thể tạo ra các tác động nhằm theo dõi tất cảcác sự kiện liên quan và sau đó tập trung vào các sự kiện quan trọng bằng cách đưa ra các phản ứng kèm theo như email hoặc SMTP, hoặc có thể giảm sự quan tâm với các sự kiện kém quan trọng hơn bằngcách giảm độ ưu tiên hoặc bằng các phòng chống có thể lựa chọn sẽ được hiện ra hoặc ghi lại vào log.
SecurityFusion hoạt động với 2 tính năng chính:

Phân tích ảnh hưởng của tấn công

Một trong các hành động của người quản trị phải làm sau khi nhận được các cảnh báo bảo mật là xác định xem tấn công đó có khả năng thành công hay không.
SecurityFusion Module có thể ngay lập tức liên hệ các thông tin thu thập được từ các thành phần IDS/IPS trong mạng, xác định ảnh hưởng của mỗi tấn công và ngay lập tức đưa ra các ước lượng này trongcảnh báo của IDS. Ngay khi người quản lý nhận được các cảnh báo của IDS, người quản lý cũng đồng thời biết được tấn công này có thành công hay không. Fusion tự động liên hệ giữa các sự kiện bảo mật,giảm số sự kiện cần phải chú ý.
Nhận dạng các tấn công
Kỹ thuật này cho phép thực hiện quá trình tự động điều tra, nó sẽ liên hệ các hành động tấn công theo thời gian để liên kết tới các sự kiện có vẻ khác biệt nhau hoặc các tác động, sự cố hiện tại hoặcđã xảy ra trước đó thành một tác động. VD, các cố gắng truy nhập không thành công vào các máy khác nhau, hoặc các thông tin thu thập để tấn công trong đó bao gồm sử dụng các kỹ thuật né tránh, có thểđược ký hiệu thành dấu hiệu tấn công " first strike". SecurityFusion tiếp tục so sánh các sự kiện này, tìm kiếm các dấu hiệu ẩn dấu bên trong hành động.
Các hành động tấn công được SecurityFusion nhận dạng:
• Attack_From_Compromised_Host
• Attacking_DDoS_Agent
• Internet_Scanner_Scan
• Logon_Failures_Against_Multiple_Hosts
• Logon_From_Compromised_Host
• Logon_From_Spoofed_Source
• Logon_To_Compromised_Host
• Network_Break_In_Attempt
• Network_Probing
• Remote_Telnet_Exploit
• Targeted_Break_In_Attempt
• Targeted_Break_In_Attempt_And_Evasion
• Targeted_Break_In_Then_Program_Shutdown
• Targeted_Break_In_Then_Program_Startup
• Targeted_DoS_Successful
• Targeted_DoS
• Targeted_Probing
• Targeted_Probing_And_Evasion
• Targeted_Probing_Then_Break_In_Attempt
• Whisker_Scan
• Worm_Compromised_Host

Các tiện ích của SecurityFusion
Khả năng tự động liên hệ cung cấp bởi SiteProtector với SecurityFusion cho phép một công ty lớn có khả năng mở rộng khả năng phòng chống lại các xâm nhập cho các vùng mạng rộng. Khả năng liên hệ nângcao cũng cho phép các công ty nhỏ có thể xác định các mối đe doạ mà không cần phải có một đội ngũ lớn nhân viên chuyên nghiệp.
4. Phần mềm thu thập thông tin Firewall Data Module
Phần mềm Firewall Data Module cho phép tự động thu thập các thông tin về các tấn công, xâm nhập do các thiết bị Firewall phát hiện được. Các thông tin này sẽ được chuyển đến phần quản lýSiteProtector để thực hiện các phân tích chi tiết hơn. Với SiteProtector, cho phép người quản trị hệ thống có thể theo dõi, đánh giá và thực hiện giải pháp bảo vệ.
Firewall Data Module có thể thu thập các thông tin trực tiếp từ các Firewall của CheckPoint và Cisco Pix, như các tấn công Spoofing,các hoạt động dò quét, Denial of Service…Module này cho phép tíchhợp các thông tin về các sự kiện, hành động xâm nhập trực tiếp trên SiteProtector, từ đó có khả năng quan sát tổng thể tình hình an ninh của mạng.
Khả năng tích hợp trực tiếp với CheckPoint firewall: Sử dụng chuẩn OPSEC để tích hợp, sử dụng cơ chế này để thu thập các bản log của firewall.
Khả năng tích hợp với Cisco Pix firewall: tích hợp trực tiếp với log của firewall Cisco Pix.
5. Thành phần quản lý an ninh tập trung Site Protector
Ứng dụng Internet Security Systems' RealSecure® SiteProtector™ cung cấp quản lý an toàn bảo mật trung tâm, có khả năng mở rộng và khả năng phân tích dữ liệu của RealSecure đối với các giảipháp bảo vệ mạng máy tính, máy chủ và máy trạm. SiteProtector đơn giản hoá việc triển khai RealSecure quy mô lớn với giá thành hấp dẫn, lệnh thống nhất, điều khiển và kiểm tra, do đó giảm các đòi hỏicấp bách về quản lý bảo mật đối với các nhân viên, đối với giao thông mạng và tài nguyên khác. Ưu tiên hoá sự kiện và hiệu chỉnh cho phép tấn công thời gian thực theo dõi việc dùng sai mục đích. Giaodiện của SiteProtector giúp người quản trị làm việc hiệu quả hơn thông qua cách nhìn mềm dẻo xây dựng xung quanh nhóm tài sản và tạp sự kiện. Chức năng lọc mạnh giúp bảo vệ những sự kiện ngoại lệ vànhững cảnh báo sai. Thêm nữa, SiteProtector tự động triển khai hệ thống bảo vệ RealSecure và cho phép quản lý nhiều nơi qua việc quản trị từ xa an toàn.
Cấu trúc của Site Protector được phân thành nhiều lớp khác nhau:
· Lớp nhân: bao gồm cơ sở dữ liệu (Site Protector Database), các thành phần thu thập sự kiện (Events Collector)
· Lớp điều hành: bao gồm thành phần điều khiển (Sensor Controller) và thành phần ứng dụng (Application server)
· Lớp giao diện người sử dụng (Console): là một phần mềm kết nối giữa các lớp nêu ở trên với người sử dụng qua giao diện đồ hoạ.
Các sự kiện an ninh được phát hiện được bởi các thành phần IDS/IPS được đưa về Events Collector, từ đây thông tin được đưa đến cơ sở dữ liệu.
Các kết nối giữa các lớp của Site Protector đều là các kết nối an toàn sử dụng các thuật toán mã hoá mạnh như 3DES, các thuật toán xác thực với độ dài khoá hơn 1000 bit.
Ngoài ra, SiteProtector cho phép quản trị tại nhiều nơi thông qua việc quản trị từ xa an toàn.
Sau đây là sơ đồ cấu trúc của Site Protector và màn hình quản trị của SiteProtector
Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử

Cấu trúc



Nguồn: Internet

  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 12:18 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.