Phần mềm phát hiện xâm nhập Redwall - NIPS

Phần mềm phát hiện xâm nhập Redwall - NIPS

    Liên hệ : (024) 3 556 9083

    Giám sát và bảo vệ các mạng máy tính

    Phát hiện và ngăn chặn các hoạt động xâm nhập

    Ghi log tất cả các sự kiện về hành vi xâm nhập mạng được phát hiện

    Kiểm soát lưu lượng mạng

    THÔNG SỐ KỸ THUẬT SẢN PHẨM

    Phần mềm

    Hình ảnhMô tả

    Redwall NGX 100

    Bộ vi xử lý (CPU): Intel Atom 1.6GHz(2C)

    Bộ nhớ trong (RAM): 4GB

    Ổ cứng: System (SSD 16GB), Log (None)

    Interface: 1GC*4pt(BP)+4pt(Switch)

    Kích thước {WxDxH}: 220x255x44

    Trọng lượng: 3.47Kg / 1.71Kg

    Kích thước / Nguồn: Desktop / Adapter

    Công suất  tiêu thụ: 60W / 21.4W

    Thông số nhiệt: 73.04 BTU/hr

    Thông lượng: Firewall (2 Gbps), NGFW (App-Ctrl) (300 Mbps), IPS (200 Mbps), IPSec VPN (1.6 Gbps)

    Phiên đồng thời (CC): 1.000.000

    Kết nối đồng thời/giây (CPS): 4.300

    Gói tin đồng thời/giây (PPS): 197.000

    Kiểm soát ứng dụng: 3,300+

    IPS – mẫu nhận diện: 3,000+

    Số chính sách tối đa: 2.000

    IPSecVPN Tunnel: 1.500

    SSL VPN Max User: 100/300

    Kiểm soát thiết bị: 300
    Redwall NGX 310

    Bộ vi xử lý (CPU): Intel Atom 2.4GHz(4C)

    Bộ nhớ trong (RAM): 8GB

    Ổ cứng: System (SSD 64GB), Log (SSD 1TB)

    Interface: 1GC*8pt(BP)

    Kích thước {WxDxH}: 431x381x44

    Trọng lượng: 10.1Kg / 6.9Kg

    Kích thước / Nguồn: 1U / Single

    Công suất  tiêu thụ: 150W / 33.8W

    Thông số nhiệt: 115.36 BTU/hr

    Thông lượng: Firewall (8 Gbps), NGFW (App-Ctrl) (1 Gbps), IPS (800 Mbps), IPSec VPN (1.9 Gbps)

    Phiên đồng thời (CC): 2.000.000

    Kết nối đồng thời/giây (CPS): 15.000

    Gói tin đồng thời/giây (PPS): 671.000

    Kiểm soát ứng dụng: 3,300+

    IPS – mẫu nhận diện: 7,500+

    Số chính sách tối đa: 5.000

    IPSecVPN Tunnel: 15.000

    SSL VPN Max User: 500/1,500

    Kiểm soát thiết bị: 1.500
    Redwall NGX 1100

    Bộ vi xử lý (CPU): Intel Core 3.2GHz(4C)

    Bộ nhớ trong (RAM): 8GB

    Ổ cứng: System (SSD 128GB), Log (SSD 1TB)

    Interface: 1GC*8pt(BP), 1GF*4pt

    Kích thước {WxDxH}: 438x481x44

    Trọng lượng: 13.38Kg / 8.2Kg

    Kích thước / Nguồn: 1U / Single

    Công suất  tiêu thụ: 300W / 52W

    Thông số nhiệt: 177.48 BTU/hr

    Thông lượng: Firewall (16 Gbps), NGFW (App-Ctrl) (5 Gbps), IPS (2 Gbps), IPSec VPN (4 Gbps)

    Phiên đồng thời (CC): 5.000.000

    Kết nối đồng thời/giây (CPS): 45.000

    Gói tin đồng thời/giây (PPS): 1.895.000

    Kiểm soát ứng dụng: 3,300+

    IPS – mẫu nhận diện: 7,500+

    Số chính sách tối đa: 15.000

    IPSecVPN Tunnel: 30.000

    SSL VPN Max User: 1,000/3,000

    Kiểm soát thiết bị: 3.000
    Redwall NGX 2100

    Bộ vi xử lý (CPU): Intel Xeon 2.4GHz(10C)*2

    Bộ nhớ trong (RAM): 64GB

    Ổ cứng: System (SSD 256GB), Log (SSD 1.92TB*2 (RAID-1))

    Interface: 1GC*8pt(BP), 1GF*8pt, 10GF*4pt

    Kích thước {WxDxH}: 438x685x88

    Trọng lượng: 28.43Kg / 25.43Kg

    Kích thước / Nguồn: 2U / Dual

    Công suất  tiêu thụ: 850W / 453W

    Thông số nhiệt: 1546.09 BTU/hr

    Thông lượng: Firewall (80 Gbps), NGFW (App-Ctrl) (15 Gbps), IPS (15 Gbps), IPSec VPN (125 Gbps)

    Phiên đồng thời (CC): 15.000.000

    Kết nối đồng thời/giây (CPS): 180.000

    Gói tin đồng thời/giây (PPS): 7.635.000

    Kiểm soát ứng dụng: 3,300+

    IPS – mẫu nhận diện: 7,500+

    Số chính sách tối đa: 100.000

    IPSecVPN Tunnel: 50.000

    SSL VPN Max User: 5,000/15,000

    Kiểm soát thiết bị: 6.000

     

    CÁC CHỨC NĂNG CHÍNH:

    I. Quản trị hệ thống

    1. Quản lý vận hành

    • Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP
    • Cho phép thay đổi thời gian hệ thống;
    • Cho phép thay đổi thời gian duy trì phiên kết nối;
    • Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa (ví dụ: Giới hạn địa chỉ IP, giới hạn phiên kết nối quản trị từ xa đồng thời,..);
    • Cho phép đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực;
    • Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại;
    • Cho phép xóa log;
    • Cho phép xem thời gian hệ thống chạy tính từ lần khởi động gần nhất.

    2. Quản trị từ xa

    • Sử dụng giao thức có mã hóa như TLS
    • Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối

    3. Quản lý xác thực và phân quyền

    • Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu;
    • Hỗ trợ phân nhóm tài khoản theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể với từng nhóm

    4. Quản lý các giao diện mạng: Cho phép quản lý cấu hình hệ thống về các giao diện mạng đáp ứng các yêu cầu sau:

    • Cho phép thiết lập một hoặc một số giao diện giám sát ở chế độ giám sát chủ động hoặc chế độ giám sát thụ động hoặc kết hợp cả hai chế độ;
    • Cho phép thiết lập tối thiểu một giao diện quản trị (khác với giao diện giám sát) để thực hiện
    • Quản trị hệ thống
    • Tương tác với các thiết bị mạng khác (nếu có)

    5. Quản lý báo cáo

    • Cho phép tạo mới, xem lại và xóa báo cáo đã được tạo;
    • Cho phép tạo báo cáo mới theo mẫu báo cáo đã được định nghĩa trước;
    • Cho phép áp dụng các quy tắc tìm kiếm thông tin, dữ liệu log để thêm, lọc, tinh chỉnh nội dung cho báo cáo;
    • Cho phép lựa chọn định dạng tệp tin báo cáo xuất theo các định dạng sau: word, excel, PDF, html, xml;
    • Cho phép tải về tệp tin báo cáo đã được xuất ra.

    6. Quản lý tập luật bảo vệ

    • Thêm luật mới;
    • Tinh chỉnh luật
    • Tìm kiếm luật;
    • Xóa luật;
    • Kích hoạt/ vô hiệu hóa luật;
    • Xuất tập luật ra tệp tin
    • Khôi phục tập luật từ tệp tin;
    • Cập nhật tập luật được phát hành bởi nhà sản xuất.

    7. Cập nhật tập luật bảo vệ

    • Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên;
    • Cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.

    8. Quản lý danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP

    • Thêm, xóa, sửa địa chỉ/dải địa chỉ IP;
    • Tìm kiếm theo địa chỉ/dải địa chỉ IP;
    • Thiết lập hành động kiểm soát lưu lượng mạng với địa chỉ/dải địa chỉ IP.
    • Kích hoạt/vô hiệu hóa hành động kiểm soát lưu lượng mạng đang được áp dụng đối với địa chỉ/dải địa chỉ IP;
    • Xuất danh sách địa chỉ dải địa chỉ IP ra tệp tin;
    • Khôi phục danh sách địa chỉ/dải địa chỉ IP từ tệp tin.

    9. Quản lý tập các địa chỉ IP đang bị chặn kết nối: 

    • Tìm kiếm các địa chỉ IP đang bị chặn kết nối theo địa chỉ IP, từ khóa;
    • Xem các thông tin về địa chỉ IP bị chặn kết nối (bao gồm: thời điểm bắt đầu chặn kết nối, khoảng thời gian chặn kết nối có hiệu lực tỉnh từ thời điểm bắt đầu, số hiệu định danh của luật gây ra việc chặn kết nối);
    • Hủy chặn kết nối đối với một hoặc nhiều địa chỉ IP cùng lúc đang bị chặn kết nối.

    10. Chia sẻ dữ liệu: NIPS cho phép kết nối với các loại hệ thống SIEM để chia sẻ dữ liệu. Có khả năng chia sẻ dữ liệu về hệ thống Giám sát không gian mạng quốc gia

    II. Kiểm soát lỗi

    1. Bảo vệ cấu hình: Trong trường hợp NIPS hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS phần mềm đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:

    • Cấu hình hệ thống;
    • Cấu hình quản trị từ xa;
    • Cấu hình tài khoản xác thực và phân quyền người dùng;
    • Cấu hình tập luật bảo vệ;
    • Danh sách trắng địa chỉ IP;
    • Danh sách đen địa chỉ IP;
    • Danh sách các địa chỉ IP đang bị chặn kết nối.

    2. Bảo vệ dữ liệu log: Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoài trừ lỗi phần cứng), NIPS đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.

    3. Đồng bộ thời gian hệ thống: Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoài trừ lỗi phần cứng), NIPS đảm bảo thời gian đồng bộ tự động đến thời điểm hiện tại.

    4. Khả năng chịu lỗi vận hành: Trong trường hợp NIPS gặp lỗi trong quá trình vận hành ở chế độ giám sát chủ động, NIPS phải cho phép tự động kích hoạt chức năng bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.

    III. Đáp ứng về log

    1. Log quản trị hệ thống:

    NIPS cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

    • Đăng nhập, đăng xuất tài khoản;
    • Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;
    • Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ;
    • Kích hoạt lệnh khởi động lại, tất hệ thống;
    • Thay đổi thủ công thời gian hệ thống;
    • Có sự thay đổi trạng thái liên kết (link-status) của giao diện giám sát.

    NIPS cho phép ghi log quản trị hệ thống có các trưởng thông tin sau:

    • Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
    • Địa chỉ IP hoặc định danh của máy trạm;
    • Định danh của tác nhân (tài khoản người dùng, tên hệ thống, ...);
    • Thông tin về hành vi thực hiện (đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác, ...);
    • Kết quả thực hiện hành vi (thành công hay thất bại);
    • Lý do giải trình đối với hành vi thất bại (ví dụ như không tìm thấy tài nguyên, không đủ quyền truy cập,...)

    2. Log chức năng phát hiện và ngăn chặn xâm nhập mạng

    • NIPS cho phép ghi log tất cả các sự kiện về hành vi xâm nhập mạng phát hiện được.
    • NIPS cho phép ghi log chức năng phát hiện và ngăn chặn xâm nhập mạng có các trường thông tin sau:
      • Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
      • Địa chỉ IP của máy nguồn;
      • Địa chỉ IP của máy đích;
      • Số hiệu cổng nguồn;
      • Số hiệu cổng đích;
      • Tên giao thức;
      • Mô tả của hành vi xâm nhập mạng phát hiện được;
      • Phân nhóm của hành vi xâm nhập mạng phát hiện được;
      • Số hiệu định danh của luật bảo vệ sinh cảnh báo;
      • Hành động kiểm soát lưu lượng mạng đã được áp dụng (nếu có).

    3. Định dạng log: NIPS cho phép chuẩn hóa log theo 01 định dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.

    4. Quản lý log

    • Cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng thời gian lưu trữ,...).
    • Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);
    • Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

    IV. Hiệu năng xử lý

    1. Đối với lưu lượng sạch: cho phép lưu lượng sạch được truyền qua các giao diện giám sát đáp ứng các yêu cầu sau:

      • Đạt tối thiểu 70% băng thông khi phát hiện có lưu lượng tấn công;
      • Đạt tối thiểu 80% băng thông khi không phát hiện có lưu lượng tấn công.

    2. Đối với độ trễ truyền tin một chiều

      • NIPS cho phép trễ tối đa đới với gói tin được truyền một chiều qua các giao diện giám sát không vượt quá 100µs.

    V. Chức năng tự bảo vệ:

    1. Phát hiện và ngăn chặn tấn công hệ thống: NIPS có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau vào giao diện ra bên ngoài hệ thống, bao gồm các dạng sau:

    • SQL Injection;
    • OS Command Injection;
    • XPath Injection;
    • Remote File Inclusion (RFI);
    • Local File Inclution (LFI);
    • Cross-Site Request Forgery (CSRF).

    2.Cập nhật bản vá hệ thống: Có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.

    VI.Chức năng phát hiện và ngăn chặn xâm nhập mạng

    1.Cơ chế thực thi bảo vệ: Đảm bảo quá trình phân tích thông tin lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu hình mặc định trước bởi nhà sản xuất.

    2. Hỗ trợ các giao thức mạng: Cho phép phân tích thông tin trên lưu lượng mạng được giám sát đối với các giao thức mạng sau:

    • Giao thức IPv4 (RFC 791)
    • Giao thức IPv6 (RFC 2460)
    • Giao thức ICMPv4 (RFC 792)
    • Giao thức ICMPv6 (RFC 2463)
    • Giao thức TCP (RFC 793)
    • Giao thức UDP (RFC 768)

    3.Phân tích thông tin trong phần tiêu đề gói tin: Cho phép phân tích các trường thông tin sau trong phần tiêu đề (header) của các gói tin thuộc lưu lượng mạng được giám sát:

    • Đối với giao thức IPv4: Version, Header Length, Packet Length, ID, Flags, Fragment Offset, Time to Live, Protocol, Header Checksum, Source Address, Destination Address, Options;
    • Đối với giao thức IPv6: Version, Payload Length, Next Header, Hop Limit, Source Address, Destination Address, Routing Header;
    • Đối với giao thức ICMPv4 và ICMPv6: Type, Code, Header Checksum;
    • Đối với giao thức TCP: Source Port, Destination Port, Sequence Number, Acknowledgment Number, Data Offset, Reserved, Flags, Window, Packet Checksum, Urgent Pointer, Options;
    • Đối với giao thức UDP: Source Port, Destination Port, Payload Length, Packet Checksum.

    4.Phân tích thông tin trong phần dữ liệu gói tin: Cho phép phân tích các trường thông tin sau trong phần dữ liệu (payload) của các gói tin thuộc lưu lượng mạng được giám sát: 

    • Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu sau 4 byte đầu tiên của phần tiêu đề;
    • Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte của phần tiêu đề kiểm tra với các thông tin sau:
      • Đối với giao thức FTP: help, noop, stat, syst, user, abort, acct, allo, appe, cdup, cwd, dele, list, mkd, mode, nist, pass, pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, mto, site, smnt, stor, stou, stru và type;
      • Đối với giao thức HTTP: phương thức GET, phương thức POST, so khớp nội dung trên URL/URI và nội dung trang web;
      • Đối với giao thức SMTP: start state, commands state, mail header state, mail body state, abort state).
    • Phát hiện tấn công mạng thông qua cơ chế phân tích tệp tin PCAP
    • Chức năng bắt và thu nhập gói tin theo thời gian thực.

    5. Phát hiện các dạng tấn công mạng

    • Tấn công IP Fragments Overlap
    • Tấn công có địa chỉ IP nguồn và đích trùng nhau;
    • Tấn công Fragmented ICMP Traffic
    • Tấn công Large ICMP Traffic
    • Tấn công TCP NULL flags;
    • Tấn công TCP SYN+FIN flags;
    • Tấn công TCP FIN flags;
    • Tấn công TCP SYN+RST flags;
    • Tấn công UDP Bomb;
    • Tấn công UDP Chargen DoS;
    • Tấn công Flooding a host;
    • Tấn công Flooding a network;
    • Tấn công IP protocol scanning;
    • Tấn công TCP port scanning;
    • Tấn công UDP port scanning;
    • Tấn công ICMP scanning;
    • Chức năng Behavior Detection cho phép phát hiện các hành vi dị thường để phát hiện chính xác đối tượng tấn công và bị tấn công dựa vào khả năng tự động phân tích các cảnh báo nhận được từ hệ thống

    6. Phát hiện tấn công trên phần dữ liệu: Cho phép phát hiện hành vi xâm nhập mạng dựa trên phân tích dấu hiệu đối với các phần dữ liệu của nhiều gói tin không bị phân mảnh

    7. Kiểm soát lưu lượng mạng

    Cho phép thiết lập hành động kiểm soát lưu lượng mạng và khoảng thời gian hiệu lực của hành động đó (nếu có thể) đối với từng luật bảo vệ trong hành động sau:

    • Cho phép tiếp tục kết nối;
    • Gửi gói tin TCP RST về phía địa chỉ nguồn;
    • Gửi gói tin TCP RST về phía địa chỉ đích;
    • Gửi gói tin phản hồi ICMP Destination Unreachable;
    • Gửi lệnh tương tác tới thiết bị mạng khác để ngăn chặn kết nối (NIPS đảm bảo có cơ chế giáo tiếp an toàn đối với các thiết bị đó).

    Trong trường hợp NIPS vận hành theo chế độ giám sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật bảo vệ đáp ứng các yêu cầu sau:

    • Cho phép chặn kết nối theo địa chỉ IP nguồn phát sinh sự kiện;
    • Cho phép chặn kết nối theo địa chỉ IP địch phát sinh sự kiện.