1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Điện - Điện Tử - Viễn Thông

Luận văn Hệ thống phát hiện xâm nhập mạng

Download
BGIÁO DC VÀ ĐÀO TO  
TRƯỜNG ĐẠI HC BÁCH KHOA HÀ NI  
---------------------------------------  
LUN VĂN THC SĨ KHOA HC  
NGÀNH: XLÝ THÔNG TIN VÀ TRUYN THÔNG  
HTHNG  
PHÁT HIN XÂM NHP MNG  
NGUYN ĐỨC CƯỜNG  
Hà Ni  
2008  
HÀ NI 2008  
Master of Sience  
Thesis title: “Warning and Protection System of Network Attacks”  
Student: Nguyen Duc Cuong  
Supervisor: Professor Dang Van Chuyet  
Department of Information Technology  
Hanoi University of Technoloogy  
Email: [email protected]ut.edu.vn  
Year: 2008  
Summary  
During the last decade, the Internet has developed rapidly in terms of scale as well  
as diversity. As a consequence, the network security has become more and more  
urgent issues. Therefore, network administration has been incrementally  
complicated and manually error handling is no longer sufficient. Due to that, the  
automatic warning system of attacks is aimed to necessarily establish.  
This thesis consists of the two parts as follows:  
Part 1: Principle, structure of Intrusion Detection System(IDS), and the strongly  
developing products in the market.  
Part 2: The first step for installing IDS into the HUT Network, using SNORT  
opensource, in order to improve the high perforamance of use of this network.  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
1
LI NÓI ĐẦU .................................................................................................. 3  
CHƯƠNG I - TNG QUAN VIDS ............................................................. 6  
1.1 Khái nim................................................................................................ 6  
1.2. Chc năng .............................................................................................. 6  
1.3 Cu trúc chung ........................................................................................ 7  
1.4. Phân bit các mô hình IDS................................................................... 11  
NIDS........................................................................................................ 11  
HIDS........................................................................................................ 12  
1.5. Các phương pháp nhn biết tn công................................................... 12  
1.6 Các sn phm IDS trên thtrường......................................................... 14  
Intrust ...................................................................................................... 14  
ELM ........................................................................................................ 15  
GFI LANGUARD S.E.L.M .................................................................... 16  
SNORT.................................................................................................... 17  
Cisco IDS ................................................................................................ 18  
Dragon..................................................................................................... 19  
CHƯƠNG II – KT NI MÁY PHÂN TÍCH VÀO HTHNG SWITCH  
CISCO ............................................................................................................. 20  
2.1 Các kiến thc cơ sca kthut phân tích thng kê cng - SPAN.... 20  
2.1.1 Khái nim SPAN............................................................................ 20  
2.1.2 Các thut ng................................................................................. 22  
2.1.3 Các đặc đim ca cng ngun........................................................ 24  
2.1.4 Lc VLAN ..................................................................................... 24  
2.1.5 Các đặc đim ca ngun VLAN .................................................... 25  
2.1.6 Các đặc đim ca cng đích........................................................... 26  
2.1.7 Các đặc đim ca cng phn hi.................................................... 27  
2.2. SPAN trên các dòng Switch Cisco....................................................... 28  
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000  
Series chy CatOS................................................................................... 28  
2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550,  
3560, 3560-E, 3750 and 3750-E Series .................................................. 52  
2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chy  
phn mm hthng Cisco IOS ............................................................... 55  
2.3 Hiu năng tác động ca SPAN trên các nn Switch Catalyst khác nhau  
..................................................................................................................... 58  
Các dòng Switch dưới Catalyst 4000 Series........................................... 58  
Catalyst 4500/4000 Series....................................................................... 59  
Catalyst 5500/5000 and 6500/6000 Series.............................................. 59  
2.4 Các li thường gp khi cu hình ........................................................... 59  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
2
CHƯƠNG III – TRIN KHAI TÍCH HP HTHNG IDS MM - SNORT  
VÀO HTHNG........................................................................................... 69  
3.1. Các đặc đim chính.............................................................................. 69  
3.1.1 Hthng detection engine: ............................................................ 70  
3.1.2 Hthng Logging & alerting:........................................................ 70  
3.1.3 Tp lut(RULES) ........................................................................... 71  
3.2 Các bước cài đặt Snort trên hệ điu hành Debian................................. 72  
3.2.1 Cài hệ điu hành Debian ................................................................ 72  
3.2.2 Cài các phn mm cn thiết ........................................................... 73  
3.2.3 Cài đặt và cu hình IPTABLES-BASED FIREWALL ................. 75  
3.2.4 Cài đặt Snort................................................................................... 75  
3.2.5 Cu hình MySQL Server................................................................ 77  
3.2.6 Cu hình để SNORT bn alert vào MySQL .................................. 78  
3.2.7 Cài đặt Apache-ssl Web Server ..................................................... 78  
3.2.8 Cài đặt và cu hình Basic Analysis và Sercurity Engine (Base) ... 79  
3.2.9 Cp nht Rules vi Oinkmaster ..................................................... 81  
3.2.10 Startup Script................................................................................ 82  
3.2.11 To Acc truy cp vào Base .......................................................... 83  
3.2.12 Cu hình SNMP Server................................................................ 83  
3.2.13 To file index.php để định hướng trình duyt ............................. 84  
3.2.14 Cài đặt phn mm qun trWebmin ............................................ 84  
3.3 Giao din hthng sau cài đặt .............................................................. 85  
3.3.1 Các thông tin cu hình cơ bn........................................................ 85  
3.3.2 Hướng dn sdng SNORT.......................................................... 86  
3.3.3. Hướng dn sdng công cphân tích (Base).............................. 89  
3.3.4 Hướng dn sdng Webmin ....................................................... 101  
KT LUN................................................................................................... 108  
DANH MC TÀI LIU THAM KHO...................................................... 109  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
LI NÓI ĐẦU  
Nguyn Đức Cường  
3
Khái nim phát hin xâm nhp đã xut hin qua mt bài báo ca James Anderson  
cách đây khong 25 năm. Khi đó người ta cn hthng phát hin xâm nhp - IDS  
(Intrusion Detection System) vi mc đích là dò tìm và nghiên cu các hành vi bt  
thường và thái độ ca người sdng trong mng, phát hin ra các vic lm dng  
đặc quyn để giám sát tài sn hthng mng. Các nghiên cu vhthng phát hin  
xâm nhp được nghiên cu chính thc tnăm 1983 đến năm 1988 trước khi được  
sdng ti mng máy tính ca không lc Hoa K. Cho đến tn năm 1996, các khái  
nim IDS vn chưa phbiến, mt shthng IDS chỉ được xut hin trong các  
phòng thí nghim và vin nghiên cu. Tuy nhiên trong thi gian này, mt scông  
nghIDS bt đầu phát trin da trên sbùng nca công nghthông tin. Đến năm  
1997 IDS mi được biết đến rng rãi và thc sự đem li li nhun vi sự đi đầu ca  
công ty ISS, mt năm sau đó, Cisco nhn ra tm quan trng ca IDS và đã mua li  
mt công ty cung cp gii pháp IDS tên là Wheel.  
Hin ti, các thng kê cho thy IDS đang là mt trong các công nghan ninh được  
sdng nhiu nht và vn còn phát trin.  
Vào năm 2003, Gartner- mt công ty hàng đầu trong lĩnh vc nghiên cu và phân  
tích thtrường công nghthông tin trên toàn cu- đã đưa ra mt dự đoán gây chn  
động trong lĩnh vc an toàn thông tin : “Hthng phát hin xâm nhp (IDS) sẽ  
không còn na vào năm 2005”. Phát biu này xut phát tmt skết quphân tích  
đánh giá cho thy hthng IDS khi đó đang đối mt vi vn đề là IDS thường  
xuyên đưa ra rt nhiu báo động gi( False Positives). Hthng IDS còn có vlà  
gánh nng cho qun tran ninh hthng bi nó cn được theo dõi liên tc (24 giờ  
trong sut c365 ngày ca năm). Kèm theo các cnh báo tn công ca IDS còn là  
mt quy trình xlý an ninh rt vt v. Các IDS lúc này không có khnăng theo dõi  
các lung dliu được truyn vi tc độ ln hơn 600 Megabit trên giây. Nhìn  
chung Gartner đưa ra nhn xét này da trên nhiu phn ánh ca nhng khách hàng  
đang sdng IDS rng qun trvà vn hành hthng IDS là rt khó khăn, tn kém  
và không đem li hiu qutương xng so vi đầu tư.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
4
Sau khi phát biu này được đưa ra, mt sý kiến phn đối cho rng, vic hthng  
IDS không đem li hiu qunhư mong mun là do các vn đề còn tn ti trong vic  
qun lý và vn hành chkhông phi do bn cht công nghkim soát và phân tích  
gói tin ca IDS. Cth, để cho mt hthng IDS hot động hiu qu, vai trò ca  
các công c, con người qun trlà rt quan trng, cn phi đáp ng được các tiêu  
chí sau:  
- Thu thp và đánh giá tương quan tt ccác skin an ninh được phát hin bi các  
IDS, tường la để tránh các báo động gi.  
- Các thành phn qun trphi tự động hot động và phân tích.  
- Kết hp vi các bin pháp ngăn chn tự động.  
Kết qulà ti năm 2005, thế hsau ca IDS-hthng tự động phát hin và ngăn  
chn xâm nhp IPS- đã dn khc phc được các mt còn hn chế ca IDS và hot  
động hiu quhơn nhiu so vi thế htrước đó.  
Vy IPS là gì. IPS là mt hthng chng xâm nhp ( Intrusion Prevention System –  
IPS) được định nghĩa là mt phn mm hoc mt thiết bchuyên dng có khnăng  
phát hin xâm nhp và có thngăn chn các nguy cơ gây mt an ninh. IDS và IPS  
có rt nhiu đim chung, do đó hthng IDS và IPS có thể được gi chung là hệ  
thng IDP - Intrusion Detection and Prevention.  
Trước các hn chế ca hthng IDS, nht là sau khi xut hin các cuc tn công ồ  
t trên quy mô ln như các cuc tn công ca Code Red, NIMDA, SQL Slammer,  
mt vn đề được đặt ra là làm sao có thtự động ngăn chn được các tn công chứ  
không chỉ đưa ra các cnh báo nhm gim thiu công vic ca người qun trhệ  
thng. Hthng IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được  
phbiến rng rãi.  
Kết hp vi vic nâng cp các thành phn qun tr, hthng IPS xut hin đã dn  
thay thế cho IDS bi nó gim bt được các yêu cu tác động ca con người trong  
vic đáp trli các nguy cơ phát hin được, cũng như gim bt được phn nào gánh  
nng ca vic vn hành. Hơn na trong mt strường hp đặc bit, mt IPS có thể  
hot động như mt IDS bng vic ngt btính năng ngăn chn xâm nhp.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
5
Ngày nay các hthng mng đều hướng ti sdng các gii pháp IPS thay vì hệ  
thng IDS cũ. Tuy nhiên để ngăn chn xâm nhp thì trước hết cn phi phát hin  
nó. Vì vy khi nói đến mt hthng IDS, trong thi đim hin ti, ta có thhiu đó  
là mt hthng tích hp gm c2 hai chc năng IPS/IDS.  
Cơ shtng CNTT càng phát trin, thì vn đề phát trin mng li càng quan trng,  
mà trong vic phát trin mng thì vic đảm bo an ninh mng là mt vn đề ti quan  
trng. Sau hơn chc năm phát trin, vn đề an ninh mng ti Vit Nam đã dn được  
quan tâm đúng mc hơn. Trước khi có mt gii pháp toàn din thì mi mt mng  
phi tthiết lp mt hthng tích hp IDS ca riêng mình. Trong lun văn này,  
chúng ta stìm hiu vcu trúc mt hthng IDS, và đi sâu tìm hiu phát trin hệ  
thng IDS mm sdng mã ngun mở để có tháp dng trong hthng mng ca  
mình thay thế cho các IDS cng đắt tin.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
6
CHƯƠNG I - TNG QUAN VIDS  
1.1 Khái nim  
Hthng phát hin xâm nhp (Intrusion Detection System - IDS) là mt hthng  
giám sát lưu thông mng, các hot động khnghi và cnh báo cho hthng, nhà  
qun tr.  
Ngoài ra IDS cũng đảm nhn vic phn ng li vi các lưu thông bt thường hay có  
hi bng cách thc hin các hành động đã được thiết lp trước như khóa người dùng  
hay địa chIP ngun đó không cho truy cp hthng mng,….  
IDS cũng có thphân bit gia nhng tn công tbên trong hay tn công tbên  
ngoài. IDS phát hin tn công da trên các du hiu đặc bit vcác nguy cơ đã biết  
(ging như cách các phn mm dit virus da vào các du hiu đặc bit để phát hin  
và dit virus) hay da trên so sánh lưu thông mng hin ti vi baseline (thông số  
đo đạc chun ca hthng) để tìm ra các du hiu khác thường.  
1.2. Chc năng  
Ta có thhiu tóm tt vhthng phát hin xâm nhp mng – IDS như sau :  
Chc năng quan trng nht : giám sát - cnh báo - bo vệ  
Giám sát: lưu lượng mng và các hot động khnghi.  
Cnh báo: báo cáo vtình trng mng cho nhà qun tr.  
Bo v: Dùng nhng thiết lp mc định và scu hình tnhà qun trmà có nhng  
hành động thiết thc chng li kxâm nhp và phá hoi.  
+ Chc năng mrng  
Phân bit: các tn công trong và ngoài mng  
Phát hin: nhng du hiu bt thường da trên nhng gì đã biết hoc nhvào sso  
sánh thông lượng mng hin ti vi baseline  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
1.3 Cu trúc chung  
Nguyn Đức Cường  
7
Cu trúc hthng IDS phthuc vào kiu phương pháp được sdng để phát hin  
xâm nhp, các cơ chế xlý khác nhau được sdng đối vi mt IDS. Mô hình cu  
trúc chung cho các hIDS là:  
Hình 1.1 : Mô hình chung hthng IDS  
Nhim vchính ca các hthng phát hin xâm phm là phòng chng cho mt hệ  
thng máy tính bng cách phát hin các du hiu tn công và có thể đẩy lùi nó. Vic  
phát hin các tn công phthuc vào slượng và kiu hành động thích hp. Để  
ngăn chn xâm phm tt cn phi kết hp tt gia “bvà by” được sdng để xác  
định các mi đe da. Vic làm lnh hướng stp trung ca kxâm nhp vào tài  
nguyên được bo vcũng là mt nhim vquan trng. Chthng thc và hệ  
thng by cn phi được kim tra mt cách liên tc. Dliu được to ra bng các hệ  
thng phát hin xâm nhp được kim tra mt cách cn thn (đây là nhim vchính  
cho mi IDS) để phát hin các du hiu tn công.  
Khi mt sxâm nhp được phát hin, IDS đưa ra các cnh báo đến các qun trviên  
hthng vsvic này. Bước tiếp theo được thc hin bi các qun trviên hoc  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
8
có thlà bn thân IDS bng cách li dng các tham số đo bsung (các chc năng  
khóa để gii hn các session, backup hthng, định tuyến các kết ni đến by hệ  
thng, cơ shtng hp l,…) – theo các chính sách bo mt ca các tchc. Mt  
IDS là mt thành phn nm trong chính sách bo mt.  
Gia các nhim vIDS khác nhau, vic nhn ra kxâm nhp là mt trong nhng  
nhim vcơ bn. Nó cũng hu dng trong vic nghiên cu mang tính pháp lý các  
tình tiết và vic cài đặt các bn vá thích hp để cho phép phát hin các tn công  
trong tương lai nhm vào các cá nhân cthhoc tài nguyên hthng.  
Phát hin xâm nhp đôi khi có thể đưa ra các báo cnh sai, ví dnhng vn đề xy  
ra do trc trc vgiao din mng hoc vic gi phn mô tcác tn công hoc các  
chký thông qua email.  
Cu trúc ca mt hthng phát hin xâm phm dng tp trung :  
Hình 1.2 : Cu trúc tp trung.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
9
Bcm biến được tích hp vi thành phn sưu tp dliu – mt bto skin.  
Cách sưu tp này được xác định bi chính sách to skin để định nghĩa chế độ lc  
thông tin skin. Bto skin (hệ điu hành, mng, ng dng) cung cp mt số  
chính sách thích hp cho các skin, có thlà mt bn ghi các skin ca hthng  
hoc các gói mng. Schính sách này cùng vi thông tin chính sách có thể được lưu  
trong hthng được bo vhoc bên ngoài. Trong trường hp nào đó, ví d, khi  
lung dliu skin được truyn ti trc tiếp đến bphân tích mà không có slưu  
dliu nào được thc hin. Điu này cũng liên quan mt chút nào đó đến các gói  
mng.  
Vai trò ca bcm biến là dùng để lc thông tin và loi bdliu không tương  
thích đạt được tcác skin liên quan vi hthng bo v, vì vy có thphát hin  
được các hành động nghi ng. Bphân tích sdng cơ sdliu chính sách phát  
hin cho mc này. Ngoài ra còn có các thành phn: du hiu tn công, profile hành  
vi thông thường, các tham scn thiết (ví d: các ngưỡng). Thêm vào đó, cơ sdữ  
liu gicác tham scu hình, gm có các chế độ truyn thông vi module đáp tr.  
Bcm biến cũng có cơ sdliu ca riêng nó, gm dliu lưu vcác xâm phm  
phc tp tim n (to ra tnhiu hành động khác nhau).  
IDS có thể được sp đặt tp trung (ví dnhư được tích hp vào trong tường la)  
hoc phân tán. Mt IDS phân tán gm nhiu IDS khác nhau trên mt mng ln, tt  
cchúng truyn thông vi nhau. Nhiu hthng tinh vi đi theo nguyên lý cu trúc  
mt tác nhân, nơi các module nhỏ được tchc trên mt host trong mng được bo  
v.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
10  
Hình 1.3 : Cu trúc đa tác nhân  
Vai trò ca tác nhân là để kim tra và lc tt ccác hành động bên trong vùng được  
bo vvà phthuc vào phương pháp được đưa ra – to phân tích bước đầu và  
thm chí đảm trách chành động đáp tr. Mng các tác nhân hp tác báo cáo đến  
máy chphân tích trung tâm là mt trong nhng thành phn quan trng ca IDS.  
IDS có thsdng nhiu công cphân tích tinh vi hơn, đặc bit được trang bsự  
phát hin các tn công phân tán. Các vai trò khác ca tác nhân liên quan đến khả  
năng lưu động và tính roaming ca nó trong các vtrí vt lý. Thêm vào đó, các tác  
nhân có thể đặc bit dành cho vic phát hin du hiu tn công đã biết nào đó. Đây  
là mt hsquyết định khi nói đến ý nghĩa bo vliên quan đến các kiu tn công  
mi. Các gii pháp da trên tác nhân IDS to cơ chế ít phc tp hơn cho vic nâng  
cp chính sách đáp tr.  
Gii pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân ttrị  
cho vic phát hin xâm phm). Nó sdng các tác nhân để kim tra mt khía cnh  
nào đó vcác hành vi hthng mt thi đim nào đó. Ví d: mt tác nhân có thể  
cho biết mt skhông bình thường các telnet session bên trong hthng nó kim  
tra. Tác nhân có khnăng đưa ra mt cnh báo khi phát hin mt skin khnghi.  
Các tác nhân có thể được nhái và thay đổi bên trong các hthng khác (tính năng tự  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
11  
tr). Mt phn trong các tác nhân, hthng có thcó các bphn thu phát để kim  
tra tt ccác hành động được kim soát bi các tác nhân mt host cthnào đó.  
Các bthu nhn luôn luôn gi các kết quhot động ca chúng đến bkim tra duy  
nht..  
1.4. Phân bit các mô hình IDS  
Có 2 mô hình IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)  
NIDS  
Được đặt gia kết ni hthng mng bên trong và mng bên ngoài để giám sát toàn  
blưu lượng vào ra. Có thlà mt thiết bphn cng riêng bit được thiết lp sn  
hay phn mm cài đặt trên máy tính. Chyếu dùng để đo lưu lượng mng được sử  
dng. Tuy nhiên có thxy ra hin tượng nghn cchai khi lưu lượng mng hot  
động mc cao.  
Hình 1.4 : Mô hình NIDS  
Mt ssn phm NIDS :  
-Cisco IDS  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
12  
-Dragon® IDS/IPS  
HIDS  
Được cài đặt cc btrên mt máy tính làm cho nó trnên linh hot hơn nhiu so  
vi NIDS. Kim soát lưu lượng vào ra trên mt máy tính, có thể được trin khai trên  
nhiu máy tính trong hthng mng. HIDS có thể được cài đặt trên nhiu dng máy  
tính khác nhau cthnhư các máy ch, máy trm, máy tính xách tay. HIDS cho  
phép bn thc hin mt cách linh hot trong các đon mng mà NIDS không thể  
thc hin được. Lưu lượng đã gi ti máy tính HIDS được phân tích và chuyn qua  
nếu chúng không cha mã nguy him. HIDS được thiết kế hot động chyếu trên  
hệ điu hành Windows , mc dù vy vn có các sn phm hot động trong nn ng  
dng UNIX và nhiu hệ điu hành khác.  
Hình 1.5 : Mô hình HIDS  
1.5. Các phương pháp nhn biết tn công  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nhn biết qua tp skin  
Nguyn Đức Cường  
13  
Hthng này làm vic trên mt tp các nguyên tc đã được định nghĩa ttrước để  
miêu tcác tn công. Tt ccác skin có liên quan đến bo mt đều được kết hp  
vào cuc kim định và được dch dưới dng nguyên tc if-then-else. Ly ví dụ  
Wisdom & Sense và ComputerWatch (được phát trin ti AT&T  
Phát hin xâm nhp da trên tp lut (Rule-Based Intrusion Detection):  
Ging như phương pháp hthng Expert, phương pháp này da trên nhng hiu  
biết vtn công. Chúng biến đổi smô tca mi tn công thành định dng kim  
định thích hp. Như vy, du hiu tn công có thể được tìm thy trong các bn ghi  
(record). Mt kch bn tn công có thể được mô t, ví dnhư mt chui skin  
kim định đối vi các tn công hoc mu dliu có thtìm kiếm đã ly được trong  
cuc kim định. Phương pháp này sdng các ttương đương tru tượng ca dữ  
liu kim định. Sphát hin được thc hin bng cách sdng chui văn bn  
chung hp vi các cơ chế. Đin hình, nó là mt kthut rt mnh và thường được  
sdng trong các hthng thương mi (ví dnhư: Cisco Secure IDS, Emerald  
eXpert-BSM(Solaris).  
Phân bit ý định người dùng (User intention identification):  
Kthut này mô hình hóa các hành vi thông thường ca người dùng bng mt tp  
nhim vmc cao mà hcó ththc hin được trên hthng (liên quan đến chc  
năng người dùng). Các nhim vụ đó thường cn đến mt shot động được điu  
chnh sao cho hp vi dliu kim định thích hp. Bphân tích gimt tp hp  
nhim vcó thchp nhn cho mi người dùng. Bt ckhi nào mt skhông hp  
lệ được phát hin thì mt cnh báo sẽ được sinh ra.  
Phân tích trng thái phiên (State-transition analysis):  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
14  
Mt tn công được miêu tbng mt tp các mc tiêu và phiên cn được thc hin  
bi mt kxâm nhp để gây tn hi hthng. Các phiên được trình bày trong sơ đồ  
trng thái phiên. Nếu phát hin được mt tp phiên vi phm stiến hành cnh báo  
hay đáp trtheo các hành động đã được định trước.  
Phương pháp phân tích thng kê (Statistical analysis approach):  
Đây là phương pháp thường được sdng.  
Hành vi người dùng hay hthng (tp các thuc tính) được tính theo mt sbiến  
thi gian. Ví d, các biến như là: đăng nhp người dùng, đăng xut, stp tin truy  
nhp trong mt khong thi gian, hiu sut sdng không gian đĩa, bnh, CPU,…  
Chu knâng cp có ththay đổi tmt vài phút đến mt tháng. Hthng lưu giá trị  
có nghĩa cho mi biến được sdng để phát hin svượt quá ngưỡng được định  
nghĩa ttrước. Ngay cphương pháp đơn gin này cũng không thế hp được vi  
mô hình hành vi người dùng đin hình. Các phương pháp da vào vic làm tương  
quan thông tin vngười dùng riêng lvi các biến nhóm đã được gp li cũng ít có  
hiu qu.  
Vì vy, mt mô hình tinh vi hơn vhành vi người dùng đã được phát trin bng  
cách sdng thông tin người dùng ngn hn hoc dài hn. Các thông tin này  
thường xuyên được nâng cp để bt kp vi thay đổi trong hành vi người dùng. Các  
phương pháp thng kê thường được sdng trong vic bsung  
1.6 Các sn phm IDS trên thtrường  
Intrust  
Sn phm này có nhiu tính năng giúp nó tn ti được trong môi trường hot động  
kinh doanh. Vi khnăng tương thích vi Unix, nó có mt khnăng linh hot tuyt  
vi. Đưa ra vi mt giao din báo cáo vi hơn 1. 000 báo cáo khác nhau, giúp kim  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
15  
soát được Nhp phc tp. Ngoài ra nó cũng htrmt gii pháp cnh báo toàn din  
cho phép cnh báo trên các thiết bdi động và nhiu công nghkhác.  
1. Tính năng cnh báo toàn din  
2. Tính năng báo cáo toàn din  
3. Hp nht và thm định hiu sut dliu ttrên các nn tng  
4. Trli shtrtính năng mng tvic ghi chép phía trình khách mt cách tmỉ  
5. Lc dliu cho phép xem li mt cách ddàng  
6. Kim tra thi gian thc  
7. Phân tích dliu đã được capture  
8. Tuân ththeo các chun công nghip  
9. Sbt buc theo mt nguyên tc  
ELM  
Phn mm TNT là mt phn mm htrcác chc năng HIDS, đây là mt sn phm  
được phân tích so sánh da trên ELM Enterprise Manager. Nó htrvic kim tra  
thi gian thc, khnăng hot động toàn din và phương pháp báo cáo tm. Cơ sở  
dliu được bsung thêm để bo đảm csdliu ca phn mm được an toàn.  
Điu này có nghĩa là nếu csdliu chính ELM offline thì ELM Server stự  
động to mt csdliu tm thi để lưu dliu cho đến khi csdliu chính  
online trli. Dưới đây là mt smô tvn tt vELM Enterprise Manager 3. 0  
1. ELM htrgiao din mô đun phn mm MMC linh hot  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
16  
2. Htrvic kim tra tt ccác máy chMicrosoft. NET bng cách kim tra các  
bn ghi skin và bộ đếm hiu sut.  
3. Htrbáo cáo wizard vi phiên bn mi có thlp lch trình, ngoài ra còn htrợ  
các báo cáo HTML và ASCII  
4. Quan sát tp trung các bn ghi skin trên nhiu máy chủ  
5. Client được chỉ được kích hot Web trên trình duyt htrJavaScript và XML  
6. Htrgiao din kiến thc cơ sở  
7. Htrthông báo có ththc thi wscripts, cscripts và các file CMD/BAT.  
8. Htrcsdliu SQL Server và Oracle.  
9. Các truy vn tương thích WMI cho mc đích so sánh  
10. Đưa ra hành động sa li khi phát hin xâm nhp  
GFI LANGUARD S.E.L.M  
Sn phm này có nhiu tính năng và chyêu cu các kiến thc đơn gin cho vic cài  
đặt. Dưới đây là nhng thông tin vn tt vGFI LANguard S.E.L.M.  
1. Phân tích bo mt tự động và rng rãi trong toàn mng đối vi các bn ghi sự  
kin  
2. Qun lý bn ghi skin mng  
3. Phát hin nâng cao các tn công bên trong  
4. Gim TOC  
5. Không cn đến phn mm client hoc các tác nhân  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
17  
6. Không nh hưởng đến lưu lượng mng  
7. Dci tiến, thích hp vi các mng hot động kinh doanh hoc các mng nhỏ  
8. Bkim tra file mt  
9. Kim tra bn ghi toàn din  
10. Phát hin tn công nếu tài khon người dùng cc bbsdng  
SNORT  
Snort là mt sn phm tuyt vi và nó đã chiến thng khi đưa vào hot động trong  
môi trường UNIX. Sn phm mi nht được đưa ra gn đây được htrnn  
Windows nhưng vn còn mt schn lc tinh tế. Thtt nht có trong sn phm  
này đó là mã ngun mvà không tn kém mt chút chi phí nào ngoi trthi gian  
và băng tn cn thiết để ti nó. Gii pháp này đã được phát trin bi nhiu người và  
nó hot động rt tt trên các phn cng rtin, điu đó đã làm cho nó có thtn ti  
được trong bt ktchc nào.  
Dưới đây là nhng thông tin vn tt vsn phm này:  
1. Htrcu hình hiu sut cao trong phn mm  
2. Htrtt cho UNIX  
3. Htrmã ngun mlinh hot  
4. Htrtt SNMP  
5. Htrđun qun lý tp trung  
6. Htrvic cnh báo và phát hin xâm phm  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
18  
7. Có các gói bn ghi  
8. Phát hin tn công toàn din  
9. Các mô đun đầu ra tinh vi cung cp khnăng ghi chép toàn din  
10. Htrngười dùng trên các danh sách mail và qua stương tác email  
Cisco IDS  
Gii pháp này là ca Cisco, vi gii pháp này bn thy được cht lượng, cm nhn  
cũng như danh tiếng truyn thng ca nó.  
Dưới đây là nhng thông tin vn tt vthiết bnày:  
1. Các tính năng phát hin chính xác làm gim đáng kết các cnh báo sai.  
2. Khnăng nâng cp hot động kinh doanh ging như các sn phm ca Cisco .  
3. Hthng phát hin xâm phm thi gian thc, báo cáo và ngăn chn các hành  
động trái phép  
4. Vic phân tích mu dùng để phát hin được thc hin nhiu mc khác nhau  
5. Cho hiu sut mng cao  
6. Qun lý danh sách truy cp định tuyến động thích nghi kp thi vi hành vi ca  
kxâm nhp  
7. Qun lý GUI tp trung  
8. Qun lý txa  
9. Email thông báo skin.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
19  
Dragon  
Mt gii pháp toàn din cho hot động kinh doanh. Sn phm này rt đa năng và có  
các yêu cu bo mt cn thiết trong môi trường hot động kinh doanh. Nó cũng hỗ  
trNIDS, qun lý máy ch, qun lý skin, kim tra tn công. Đây là mt gii phát  
IDS hoàn tt, được thiết kế hoàn ho cùng vi vic kim tra tích hp. Tuy nhiên  
đim yếu ca sn phm này là chgiá cca nó. Dưới đây là nhng thông tin vn  
tt vDragon (Phiên bn hot động kinh doanh).  
1. Dragon htrcNIDS và HIDS  
2. Htrtrên mt lot nn tng Windows, Linux, Solaris và AIX  
3. Được mô đun hóa và có thmrng  
4. Kim tra qun lý tp trung  
5. Phân tích và báo cáo toàn din  
6. Khnăng tương thích cao vi các chi tiết kthut trong hot động kinh doanh  
7. Kim tra bo mt hiu qu, tích hp các switche, firewall và router.  
8. Qun lý biên dch báo cáo  
9. Có chu kcp nht chkhoàn ho.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
20  
CHƯƠNG II – KT NI MÁY PHÂN TÍCH VÀO HTHNG  
SWITCH CISCO  
Trong chương này chúng ta skho sát kthut cho phép kết ni hthng IDS váo  
hthng switch ca Cisco. Đó là kthut phân tích thng kê cng switch. Kthut  
phân tích thng kê cng Switch (SPAN – The Switched Port Analyzer), đôi khi  
được gi là kthut tham chiếu cng (port mirroring) hoc giám sát cng(port  
monitoring), cho phép kết ni máy phân tích vào Switch Cisco. Máy phân tích có  
thlà mt Cisco SwitchProbe hoc mt thiết btheo dõi kho sát txa Remote  
Monitoring (RMON). Trước đây, SPAN là mt tính năng kthut tương đối cơ bn  
trên dòng Switch Cisco Catalysts. Tuy nhiên, các phiên bn mi ca Catalyst OS  
(CatOS) gii thiu các tính năng nâng cao và nhiu khnăng mi đối vi người sử  
dng. Ta sẽ đim qua các đặc đim ca SPAN. Đó là:  
- SPAN là gì , cách cu hình.  
- Skhác nhau gia các đặc đim hin ti (đặc bit là đa tiến trình, các phiên SPAN  
xy ra đồng thi), và yêu cu hthng để chy chúng.  
- SPAN nh hưởng thế nào đến khnăng thc thi ca Switch  
2.1 Các kiến thc cơ sca kthut phân tích thng kê cng - SPAN  
2.1.1 Khái nim SPAN  
Đặc đim ca SPAN được gii thiu khi phân biêt chc năng cơ bn khác bit gia  
switch vi hub. Khi mt hub nhn mt gói tin trên mt cng, hub sgi mt bn  
sao ca gói tin đó đến tt ccác port còn li trport mà hub nhn gói tin đến. Khi  
mt switch khi động, nó bt đầu to nên mt bng chuyn tiếp (forwarding table )  
Layer 2 da trên cơ sở địa chMAC ngun ca các gói tin khác nhau mà switch  
nhn được. Sau khi bng chuyn tiếp này được xây dng xong, Switch schuyn  
tiếp lung dliu đến đúng cng thích hp có địa chMAC trong bng.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
21  
Ví d, nếu bn mun lưu li lung dliu Ethernet được gi bi máy A sang máy B  
và chai được ni đến mt hub, ta sni máy phân tích (sniffer) vào hub. Các cng  
khác s“xem” được lưu lượng tmáy A đến máy B  
Hình 2.1 : Máy cn theo dõi gn vào hub  
Trên Switch, sau khi địa chMAC máy B được hc, lung dliu đơn nht (traffic  
unicast) tmáy A đến máy B được chuyn tiếp duy nht đến cng (port switch) mà  
máy B ni đến. Bi vy, máy phân tích skhông nhìn thy lung dliu cn phân  
tích.  
Hình 2.2 : Máy cn theo dõi gn vào Switch  
Trong mô hình này, máy phân tích chnhn được các lung dliu được gi đến tt  
ccác cng, như là :  
- Lung thông tin qung bá (broadcast traffic)  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
22  
- Lung thông tin multicast vi CGMP hoc Internet Group Management Protocol  
(IGMP)  
- Các lung dliu đơn nht (unicast traffic) không rõ ràng  
Lung thông tin đơn nht được chuyn tiếp ra các cng (flooding) khi switch không  
địa chMAC đích trong bng nhni dung địa ch(CAM – Content-addressable  
memory). Switch không biết địa chcng chính xác để gi lung dliu đó. Đơn  
gin là nó sẽ đẩy các gói tin đến tt cmi cng còn li.  
Mt đặc đim mrng cn thiết là to mt bn sao gito các gói tin đơn nht  
(unicast packets) để đưa đến cng Switch gn máy phân tích dliu  
Hình 2.3 : Dliu được to bn sao Switch  
cu trúc trên, máy phân tích được gn vào cng được cu hình để nhn mt bn  
sao ca mi gi tin mà máy A gi, cng này được gi là cng SPAN.  
2.1.2 Các thut ngữ  
- Ingress traffic : lung dliu chy vào switch  
- Egress traffic : lung dliu đi ra khi switch  
- Source (SPAN) port : cng được theo dõi (monitor) bng vic sdng kthut  
SPAN  
- Source (SPAN) VLAN : VLAN được theo dõi  
- Destination (SPAN) port : t cng theo dõi cng ngun (Source port), thường là khi  
ở đây có mt máy phân tích được gn vào  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
23  
- Reflector Port : cng đẩy các bn sao gói tin đến mt RSPAN VLAN  
- Monitor port : mt cng theo dõi cũng đồng thi là mt cng đích SPAN trong  
Catalyst 2900XL/3500XL/2950  
Hình 2.4 : Các thut ngữ  
- Local SPAN : đặc đim SPAN này là cc bkhi cng được theo dõi là được đặt  
trên cùng Switch như cng đích. Đặc đim này là tương phn vi Remote SPAN  
(RSPAN)  
- Remote SPAN (RSPAN) : Mt scng ngun không trên cùng Switch vi cng  
đích. RSPAN là mt đặc đim nâng cao, nó yêu cu mt VLAN đặc bit nhm  
mang lung thông tin được theo dõi bi SPAN gia các Switch. RSPAN không hỗ  
trtrên tt ccác Switch. Kim tra ghi chú phát hành tương ng hoc hướng dn  
cu hình để xem bn có thsdng RSPAN trên Switch mà bn trin khai.  
- Port-based SPAN (PSPAN) : Người sdng chrõ mt hoc mt vài cng ngun  
trên Switch và mt cng đích.  
- VLAN-based SPAN (VSPAN) : Trên mt Switch, người sdng có thchn theo  
dõi tt ccác cng thuc vmt VLAN bng 1 dòng lnh.  
- Administrative source : Mt tp các cng ngun hoc các VLAN được cu hình để  
theo dõi.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
24  
- Operational source : Mt tp các cng được qun lý thc s. Tp các cng này có  
thkhác nhau tngun qun tr. Ví d, mt cng trong chế độ tt có thhin thti  
ngun qun tr, nhưng nó không thc sự được theo dõi.  
2.1.3 Các đặc đim ca cng ngun  
Mt cng ngun, còn được gi là cng được theo dõi (monitored port), là mt cng  
được chuyn mch hoc được định tuyến cho phép bn theo dõi lung dliu trên  
mng. Trong mt phiên cc bSPAN hoc phiên ngun RSPAN, bn có ththeo  
dõi lưu lượng cng ngun, như lưu lượngn nhn (Rx), gi (Tx), hoc chai hướng  
(bidirectional). Switch htrmi cng (trên switch) và mi VLAN tn ti trên đó  
có thlà ngun.  
Mt cng ngun có các đặc đim :  
Nó có thlà bt kkiu cng nào, chng hn như EtherChannel, Fast  
Ethernet, Gigabit Ethernet, ….  
Nó có thể được theo dõi trong nhiu phiên Span.  
Nó không thlà mt cng đích.  
Mi cng ngun có thể được cu hình vi mt hướng (đi vào, đi ra, hoc cả  
hai) để theo dõi. Vi ngun EtherChannel, theo dõi và giám sát các hướng áp  
dng cho tt ccác cng vt lý trong nhóm.  
Cng ngun có thtrong cùng mt hoc nhiu VLANs khác nhau.  
Vi các VLAN Span ngun, tt ccác cng hot động trong các VLAN  
ngun được bao gm như cng ngun.  
2.1.4 Lc VLAN  
Khi bn theo dõi đường trunk như là mt cng ngun, tt ccác VLANs đang hot  
động trên đường trunk được giám sát theo mc định. Bn có thsdng lc VLAN  
để gii hn lưu lượng SPAN giám sát trên đường trunk cng ngun để chrõ các  
VLANs.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
25  
VLAN lc cháp dng cho các đường trunk hoc cng voice VLAN.  
VLAN lc cháp dng cho các cng ngun da trên phiên và không được  
cho phép trong phiên vi VLAN ngun.  
Khi mt danh sách VLAN lc được xác định, chcó nhng VLANs trong  
danh sách được theo dõi và giám sát trên các cng trunk hoc trên cng, truy  
nhp voice VLAN .  
Lưư lượng Span truy cp đến tcác kiu cng khác không bị ảnh hưởng bi  
VLAN lc, điu đó có nghĩa là tt ccác VLANs đều được phép qua các  
cng khác.  
VLAN lc chỉ ảnh hưởng đến lưu lượng chuyn tiếp đến cng đích Span và  
không nh hưởng ti vic chuyn mch ca lưu lượng truy cp bình thường.  
Bn không thlàm vic vi các VLAN ngun và lc cácVLAN trong mt  
phiên. Bn có thcó các VLAN ngun hoc các VLAN lc, nhưng không  
làm chai cùng mt lúc được  
2.1.5 Các đặc đim ca ngun VLAN  
VSPAN là giám sát lưu lượng mng mt hoc nhiu VLANs. Span hay RSPAN  
ngun giao din trong VSPAN là mt VLAN ID, và lưu lượng được theo dõi trên  
tt ccác cng thuc vVLAN đó.  
VSPAN có nhng đặc đim:  
Tt ccác cng hot động trong VLAN ngun được bao gm như cng  
ngun và có thể được theo dõi mt hoc chai hướng.  
Trên mt cng, chlưu lượng trên VLAN được theo dõi được gi đến cng  
đích.  
Nếu mt cng đích thuc vào mt VLAN ngun, nó bloi trkhi danh  
sách ngun và không được theo dõi và giám sát.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
26  
Nếu các cng được thêm hoc xoá btcác VLANs ngun, lưu lượng trên  
các VLAN ngun nhn được bi các cng được thêm vào hoc xoá btừ  
ngun đang theo dõi và giám sát.  
Bn không thsdng các VLANs lc trong cùng mt phiên vi VLAN  
ngun.  
Bn có ththeo dõi duy nht các Ethernet VLANs.  
2.1.6 Các đặc đim ca cng đích  
Mi phiên cc bSPAN hay phiên đích RSPAN phi có mt cng đích(còn gi là  
cng giám sát) nhn được mt bn sao lưu lượng truy cp tcác cng ngun và các  
VLANs.  
Mt cng đích có các đặc đim :  
Mt cng đích phi trên cùng mt Switch như cng ngun (cho mt phiên  
SPAN cc b).  
Mt cng đích có thlà bt kcng Ethernet vt lý nào.  
Mt cng đích có ththam gia vào duy nht mt phiên SPAN ti mt thi  
đim. Mt cng đích trong mt phiên SPAN không thlà mt cng đích cho  
phiên SPAN thhai. Mt cng đích không thlà mt cng ngun.  
Mt cng ngun không thlà mt nhóm EtherChannel.  
Mt cng đích có thlà mt cng vt lý trong mt nhóm EtherChannel,  
ngay ckhi nhóm EtherChannel đã được xác định như là mt ngun SPAN.  
The port is removed from the group while it is configured as a SPAN  
destination port. Cng đó được gbkhi nhóm trong khi nó đã được cu  
hình như mt cng đích SPAN.  
Cng đó không truyn ti bt klưu lượng nào, ngoi trlưu lượng cho các  
phiên SPAN thiết cho bui hc tp, trkhi tiến trình thc được kích hot.  
Nếu tiến trình thc được kích hot, cng đó cũng truyn lưu lượng theo  
hướng đến các máy trm đã được hc trên cng đích.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
27  
Trng thái ca cng đích bt /tt theo chế độ định sn. Giao din hin thị  
cng đó trong trng thái này theo thtrõ ràng các cng hin ti không thích  
hp nhu cng ngun.  
Nếu lưu lượng chuyn tiếp được cho phép cho mt thiết bbo mt mng.  
Các cng đích chuyn tiếp lưu lượng ti lp 2(DataLink).  
Mt cng đích không tham gia vào cây bao trùm trong khi các phiên SPAN  
đang hot động.  
Khi đây là mt cng đích, nó không tham gia vào bt kgiao thc lp 2 (EP,  
VTP, CDP, DTP, PagP).  
Mt cng đíchthuc vmt ngun VLAN ca bt cphiên SPAN bloi trừ  
khi danh sách các ngun và không được giám sát.  
Mt cng đích nhn được các bn sao ca lưu lượng gi và nhn ca cng  
ngun được giám sát. Nếu mt cng đích hết thi gian truy nhp, nó có thể  
dn đến xung đột. Điu này có thể ảnh hưởng đến lưu lượng chuyn tiếp trên  
mt hoc nhiu cng ngun.  
2.1.7 Các đặc đim ca cng phn hi  
Cng phn hi là cơ chế đưa các bn sao các gói lên mt RSPAN VLAN. Cng  
phn hi chuyn tiếp duy nht nhng lưu lượng tphiên RSPAN ngun vi phiên  
mà nó trc thuc. Bt kthiết bnào kết ni đến mt cng đựoc đặt là cng phn  
hi mt kết ni chkhi phiên RSPAN ngun bvô hiu hóa.  
Cng phn hi có nhng đặc đim :  
Là mt cng đặt chế độ loopback.  
Nó có thkhông được là mt nhóm EtherChannel, không phi đường trunk,  
và nó không ththc hin giao thc lc.  
Nó có thlà mt cng vt lý được đặt trong mt nhóm EtherChannel, ngay  
ckhi nhóm EtherChannel được xác định như là mt SPAN ngun. Cng  
được bkhi nhóm trong khi nó đã được cu hình như mt cng phn hi.  
Hthng phát hin xâm nhp mng  
Xlý Thông tin và Truyn Thông  
Nguyn Đức Cường  
28  
Mt cng được sdng như là mt cng phn hi không thlà mt SPAN  
ngun hoc cng đích, cũng không thmt cng là mt cng ohn hi cho  
nhiu hơn mt phiên ti mt thi đim.  
Nó không nhìn thy trong mi VLANs.  
Native VLAN dành cho lưu lượng looped-back trên mt cng phn hi là  
RSPAN VLAN.  
Cng phn hi loops back không đánh du lưu lượng đi đến Switch. Lưu  
lượng đặt trên RSPAN VLAN và đưa đến các cng trunk bt kmang  
RSPAN VLAN đó.  
Thut toán cây bao trùm tự động bvô hiu trên mt cng phn hi.  
Mt cng phn hi nhn các bn sao ca lưu lượng đã gi và nhn cho tt cả  
các ngun đã giám sát..  
2.2. SPAN trên các dòng Switch Cisco  
2.2.1 Span trên Catalyst 2900, 4500/4000, 5500/5000, và 6500/6000 Series  
chy CatOS  
Lưu ý: Phn này chỉ được áp dng cho dòng Switch Cisco Catalyst 2900 Series :  
Cisco Catalyst 2948G-L2  
Cisco Catalyst 2948G-GE-TX  
Cisco Catalyst 2980G-A  
Phn này được áp dng cho dòng Cisco Catalyst 4000 Series bao gm:  
Modular Chassis Switches:  
o Cisco Catalyst 4003  
o Cisco Catalyst 4006  
Fixed Chassis Switch:  
o Cisco Catalyst 4912G  
Hthng phát hin xâm nhp mng  

Tải về để xem bản đầy đủ

pdf 111 trang yennguyen 11/04/2025 2710
Download
Bạn đang xem 30 trang mẫu của tài liệu "Luận văn Hệ thống phát hiện xâm nhập mạng", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfluan_van_he_thong_phat_hien_xam_nhap_mang.pdf
Luận Văn Liên Quan