1. Trang chủ
  2. Sản phẩm
  3. Redwall - NIPS

Redwall - NIPS

Redwall - NIPS

    Liên hệ : (024) 3 556 9083

     

    Phần mềm Redwall - NIPS

    Phần mềm Redwall (NIPS) một hệ thống Phát hiện xâm nhập mạng (NIPS - Network Intrusion Prevention System), được thiết kế để giám sát và bảo vệ các mạng máy tính khỏi các cuộc tấn công hoặc xâm nhập. NIPS là một phần của nhóm các giải pháp bảo mật mạng, giúp phát hiện và ngăn chặn các hoạt động xâm nhập bất hợp pháp vào hệ thống mạng.

     

     

    CÁC CHỨC NĂNG CHÍNH:

    1.Quản trị hệ thống

    2. Quản lý vận hành:

    • Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP;
    • Cho phép thay đổi thời gian hệ thống;
    • Cho phép thay đổi thời gian duy trì phiên kết nối;
    • Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa
    • Cho phép đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực;
    • Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại;
    • Cho phép xóa log;
    • Cho phép xem thời gian hệ thống chạy tính từ lần khởi động gần nhất

    3.Quản trị từ xa

    • Sử dụng giao thức có mã hóa như TLS
    • Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối

    4.Quản lý xác thực và phân quyền

    • Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu;
    • Hỗ trợ phân nhóm tài khoản theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể với từng nhóm

    5. Quản lý các giao diện mạng

    • Cho phép thiết lập một hoặc một số giao diện giám sát ở chế độ giám sát chủ động và chế độ giám sát thụ động;
    • Cho phép thiết lập tối thiểu một giao diện quản trị để thực hiện: quản trị hệ thống và tương tác với các thiết bị mạng khác

     6. Quản lý báo cáo

    • Cho phép tạo mới, xem lại và xóa báo cáo đã được tạo;
    • Cho phép tạo báo cáo mới theo mẫu báo cáo đã được định nghĩa trước;
    • Cho phép áp dụng các quy tắc tìm kiếm thông tin, dữ liệu log để thêm, lọc, tinh chỉnh nội dung cho báo cáo;
    • Cho phép lựa chọn định dạng tệp tin báo cáo xuất theo các định dạng sau: word, html, xml;
    • Cho phép tải về tệp tin báo cáo đã được xuất ra.

     7.Quản lý tập luật bảo vệ

    • Thêm luật mới;
    • Tinh chỉnh luật
    • Tìm kiếm luật;
    • Xóa luật;
    • Kích hoạt/ vô hiệu hóa luật;
    • Xuất tập luật ra tệp tin
    • Khôi phục tập luật từ tệp tin;
    • Cập nhật tập luật được phát hành bởi nhà sản xuất.

    8. Cập nhật tập luật bảo vệ

    • Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên;
    • Cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.

    9. Quản lý danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP

    • Thêm, xóa, sửa địa chỉ/dải địa chỉ IP;
    • Tìm kiếm theo địa chỉ/dải địa chỉ IP;
    • Thiết lập hành động kiểm soát lưu lượng mạng với địa chỉ/dải địa chỉ IP.
    • Kích hoạt/vô hiệu hóa hành động kiểm soát lưu lượng mạng đang được áp dụng đối với địa chỉ/dải địa chỉ IP;
    • Xuất danh sách địa chỉ dải địa chỉ IP ra tệp tin;
    • Khôi phục danh sách địa chỉ/dải địa chỉ IP từ tệp tin.

    10. Quản lý tập các địa chỉ IP đang bị chặn kết nối

    • Tìm kiếm các địa chỉ IP đang bị chặn kết nối theo địa chỉ IP, từ khóa;
    • Xem các thông tin về địa chỉ IP bị chặn kết nối (bao gồm: thời điểm bắt đầu chặn kết nối, khoảng thời gian chặn kết nối có hiệu lực tỉnh từ thời điểm bắt đầu, số hiệu định danh của luật gây ra việc chặn kết nối);
    • Hủy chặn kết nối đối với một hoặc nhiều địa chỉ IP cùng lúc đang bị chặn kết nối.

    11. Chia sẻ dữ liệu: NIPS cho phép kết nối với các loại hệ thống SIEM để chia sẻ dữ liệu.

    12. Kiểm soát lỗi

    13. Bảo vệ cấu hình: Trong trường hợp NIPS hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS phần mềm đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:

    • Cấu hình hệ thống;
    • Cấu hình quản trị từ xa;
    • Cấu hình tài khoản xác thực và phân quyền người dùng;
    • Cấu hình tập luật bảo vệ;
    • Danh sách trắng địa chỉ IP;
    • Danh sách đen địa chỉ IP;
    • Danh sách các địa chỉ IP đang bị chặn kết nối.

    14. Bảo vệ dữ liệu log: Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoài trừ lỗi phần cứng), NIPS đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.

    15. Đồng bộ thời gian hệ thống: Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoài trừ lỗi phần cứng), NIPS đảm bảo thời gian đồng bộ tự động đến thời điểm hiện tại.

    16. Khả năng chịu lỗi vận hành: Trong trường hợp NIPS gặp lỗi trong quá trình vận hành ở chế độ giám sát chủ động, NIPS phải cho phép tự động kích hoạt chức năng bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.

    17. Đáp ứng về log

    Log quản trị hệ thống:

    NIPS choCho phép ghi log quản trị hệ thống về các loại sự kiện sau:

    • Đăng nhập, đăng xuất tài khoản;
    • Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;
    • Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ;
    • Kích hoạt lệnh khởi động lại, tất hệ thống;
    • Thay đổi thủ công thời gian hệ thống;
    • Có sự thay đổi trạng thái liên kết (link-status) của giao diện giám sát.

    NIPS cho phép ghi log quản trị hệ thống có các trưởng thông tin sau:

    • Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
    • Địa chỉ IP hoặc định danh của máy trạm;
    • Định danh của tác nhân (tài khoản người dùng, tên hệ thống, ...);
    • Thông tin về hành vi thực hiện (đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác, ...);
    • Kết quả thực hiện hành vi;
    • Lý do giải trình đối với hành vi thất bại

    Log chức năng phát hiện và ngăn chặn xâm nhập mạng

    • NIPS cho phép ghi log tất cả các sự kiện về hành vi xâm nhập mạng phát hiện được.
    • NIPS cho phép ghi log chức năng phát hiện và ngăn chặn xâm nhập mạng có các trường thông tin sau:
      • Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
      • Địa chỉ IP của máy nguồn;
      • Địa chỉ IP của máy đích;
      • Số hiệu cổng nguồn;
      • Số hiệu cổng đích;
      • Tên giao thức;
      • Mô tả của hành vi xâm nhập mạng phát hiện được;
      • Phân nhóm của hành vi xâm nhập mạng phát hiện được;
      • Số hiệu định danh của luật bảo vệ sinh cảnh báo;
      • Hành động kiểm soát lưu lượng mạng đã được áp dụng (nếu có).

    Định dạng log: NIPS cho phép chuẩn hóa log theo 01 định dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích.

    Quản lý log

    • Cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng thời gian lưu trữ,...).
    • Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);
    • Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

    Hiệu năng xử lý

    • Đối với lưu lượng sạch: NIPS cho phép lưu lượng sạch được truyền qua các giao diện giám sát đáp ứng các yêu cầu sau:
      • Đạt tối thiểu 70% băng thông khi phát hiện có lưu lượng tấn công;
      • Đạt tối thiểu 80% băng thông khi không phát hiện có lưu lượng tấn công.
    • Đối với độ trễ truyền tin một chiều
      • NIPS cho phép trễ tối đa đới với gói tin được truyền một chiều qua các giao diện giám sát không vượt quá 100µs.

    Chức năng tự bảo vệ

    • Phát hiện và ngăn chặn tấn công hệ thống
    • SQL Injection;
    • OS Command Injection;
    • XPath Injection;
    • Remote File Inclusion (RFI);
    • Local File Inclution (LFI);
    • Cross-Site Request Forgery (CSRF).

    Cập nhật bản vá hệ thống: Có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.

    Chức năng phát hiện và ngăn chặn xâm nhập mạng

    • Cơ chế thực thi bảo vệ: Đảm bảo quá trình phân tích thông tin lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu hình mặc định.

    Hỗ trợ các giao thức mạng

    • Giao thức IPv4 (RFC 791)
    • Giao thức IPv6 (RFC 2460)
    • Giao thức ICMPv4 (RFC 792)
    • Giao thức ICMPv6 (RFC 2463)
    • Giao thức TCP (RFC 793)
    • Giao thức UDP (RFC 768)

    Phân tích thông tin trong phần tiêu đề gói tin

    • Đối với giao thức IPv4: Version, Header Length, Packet Length, ID, Flags, Fragment Offset, Time to Live, Protocol, Header Checksum, Source Address, Destination Address, Options;
    • Đối với giao thức IPv6: Version, Payload Length, Next Header, Hop Limit, Source Address, Destination Address, Routing Header;
    • Đối với giao thức ICMPv4 và ICMPv6: Type, Code, Header Checksum;
    • Đối với giao thức TCP: Source Port, Destination Port, Sequence Number, Acknowledgment Number, Data Offset, Reserved, Flags, Window, Packet Checksum, Urgent Pointer, Options;
    • Đối với giao thức UDP: Source Port, Destination Port, Payload Length, Packet Checksum.

    Phân tích thông tin trong phần dữ liệu gói tin

    • Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu sau 4 byte đầu tiên của phần tiêu đề;
    • Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte của phần tiêu đề
    • Đối với giao thức FTP: help, noop, stat, syst, user, abort, acct, allo, appe, cdup, cwd, dele, list, mkd, mode, nist, pass, pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, mto, site, smnt, stor, stou, stru và type;
    • Đối với giao thức HTTP: phương thức GET, phương thức POST, so khớp nội dung trên URL/URI và nội dung trang web;
    • Đối với giao thức SMTP: start state, commands state, mail header state, mail body state, abort state).

    Phát hiện các dạng tấn công mạng

    • Tấn công IP Fragments Overlap
    • Tấn công có địa chỉ IP nguồn và đích trùng nhau;
    • Tấn công Fragmented ICMP Traffic
    • Tấn công Large ICMP Traffic
    • Tấn công TCP NULL flags;
    • Tấn công TCP SYN+FIN flags;
    • Tấn công TCP FIN flags;
    • Tấn công TCP SYN+RST flags;
    • Tấn công UDP Bomb;
    • Tấn công UDP Chargen DoS;
    • Tấn công Flooding a host;
    • Tấn công Flooding a network;
    • Tấn công IP protocol scanning;
    • Tấn công TCP port scanning;
    • Tấn công UDP port scanning;
    • Tấn công ICMP scanning;

    Phát hiện tấn công trên phần dữ liệu: Cho phép phát hiện hành vi xâm nhập mạng dựa trên phân tích dấu hiệu đối với các phần dữ liệu của nhiều gói tin không bị phân mảnh

    Kiểm soát lưu lượng mạng

    Cho phép thiết lập hành động kiểm soát lưu lượng mạng và khoảng thời gian hiệu lực của hành động đó (nếu có thể) đối với từng luật bảo vệ trong hành động sau:

    • Cho phép tiếp tục kết nối;
    • Gửi gói tin TCP RST về phía địa chỉ nguồn;
    • Gửi gói tin TCP RST về phía địa chỉ đích;
    • Gửi gói tin phản hồi ICMP Destination Unreachable;
    • Gửi lệnh tương tác tới thiết bị mạng khác để ngăn chặn kết nối (NIPS đảm bảo có cơ chế giáo tiếp an toàn đối với các thiết bị đó).

    Trong trường hợp NIPS vận hành theo chế độ giám sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật bảo vệ đáp ứng các yêu cầu sau:

    • Cho phép chặn kết nối theo địa chỉ IP nguồn phát sinh sự kiện;
    • Cho phép chặn kết nối theo địa chỉ IP địch phát sinh sự kiện.