|
BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1591/QĐ-BTTTT
|
Hà Nội, ngày 13
tháng 10 năm 2021
|
QUYẾT ĐỊNH
BAN
HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng
02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ
chức của Bộ Thông tin và Truyền thông;
Theo đề nghị của Cục trưởng Cục An toàn thông
tin.
QUYẾT ĐỊNH
Điều 1. Ban hành kèm theo
Quyết định này Yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống xâm nhập lớp
mạng (NIPS).
Điều 2. Khuyến nghị cơ
quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm NIPS đáp ứng
các yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.
Điều 3. Cục An toàn thông
tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng
các yêu cầu trong Yêu cầu kỹ thuật cơ bản đối với sản phẩm NIPS tại Điều 1 Quyết
định này.
Điều 4. Quyết định này có
hiệu lực thi hành kể từ ngày ký.
Điều 5. Chánh Văn phòng, Cục
trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá
nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 5;
- Bộ trưởng (để b/c);
- Các Thứ trưởng;
- Cổng Thông tin điện tử của Bộ;
- Lưu: VT, CATTT.
|
KT. BỘ TRƯỞNG
THỨ TRƯỞNG
Nguyễn Huy Dũng
|
YÊU
CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG
(Kèm theo Quyết định số 1591/QĐ-BTTTT ngày 13 tháng 10 năm 2021 của Bộ trưởng
Bộ Thông tin và Truyền thông)
I. THÔNG TIN CHUNG
1. Phạm vi áp dụng
Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản để
đánh giá chất lượng sản phẩm Phòng, chống xâm nhập lớp mạng (NIPS). Tài liệu
bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống,
Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về
chức năng tự bảo vệ, Yêu cầu về chức năng phát hiện và ngăn chặn xâm nhập mạng.
2. Đối tượng áp dụng
Các cơ quan, tổ chức có liên quan đến hoạt động
nghiên cứu, phát triển; đánh giá, lựa chọn sản phẩm NIPS khi đưa vào sử dụng
trong các hệ thống thông tin.
3. Khái niệm và thuật ngữ
Trong tài liệu này, các khái niệm và thuật ngữ được
hiểu như sau:
3.1. Tập luật bảo vệ
Danh sách các luật bao gồm các tham số, quy tắc được
định nghĩa và thiết lập bởi quản trị viên, cho phép sản phẩm NIPS phát hiện các
hành vi xâm nhập mạng thông qua việc phân tích lưu lượng mạng tại giao diện
giám sát.
3.2. Hành động kiểm soát lưu lượng mạng
Hành động được thiết lập cho mỗi luật bảo vệ cho
phép NIPS thực hiện chức năng cảnh báo, ngăn chặn hành vi xâm nhập mạng phát hiện
được.
3.3. Nhật ký hệ thống (log)
Sự kiện an toàn thông tin được hệ thống ghi lại,
liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công
và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).
3.4. Thời gian duy trì phiên kết nối (session
timeout)
Khoảng thời gian được thiết lập để cho phép hệ thống
hủy phiên kết nối đối với một máy khách, nếu trong khoảng thời gian này mà hệ
thống không nhận được yêu cầu mới từ máy khách đó.
3.5. Giao diện giám sát (monitoring interface)
Giao diện mạng của NIPS được sử dụng để thu thập và
phân tích lưu lượng mạng phục vụ việc thực thi tập luật bảo vệ nhằm phát hiện
và ngăn chặn hành vi xâm nhập mạng.
3.6. Chế độ giám sát (monitoring mode)
Chế độ hoạt động của NIPS áp dụng trên giao diện
giám sát nhằm quyết định hành động của NIPS trong việc cảnh báo, ngăn chặn hành
vi xâm nhập mạng phát hiện được. Chế độ hoạt động của NIPS bao gồm chế độ giám
sát chủ động (inline mode) và chế độ giám sát thụ động (promiscuous mode).
3.7. Chế độ giám sát chủ động (inline mode)
Chế độ giám sát cho phép NIPS kiểm soát chủ động
lưu lượng mạng được giám sát để trực tiếp thực hiện ngăn chặn nếu phát hiện
hành vi xâm nhập mạng.
3.8. Chế độ giám sát thụ động (promiscuous mode)
Chế độ giám sát chỉ cho phép NIPS thu thập thụ động
lưu lượng mạng được giám sát để phân tích và đưa ra cảnh báo nếu phát hiện có
hành vi xâm nhập mạng. Tuy nhiên, NIPS vẫn có thể tương tác với các thiết bị mạng
khác để ngăn chặn các hành vi đó.
3.9. Lưu lượng sạch (clean traffic)
Lưu lượng mạng được giám sát bởi hệ thống mà không
bị phát hiện có hành vi xâm nhập mạng.
3.10. Lưu lượng tấn công (attack traffic)
Lưu lượng mạng được giám sát bởi hệ thống mà bị
phát hiện có hành vi xâm nhập mạng.
3.11. Danh sách trắng địa chỉ IP (IP address
whitelist)
Danh sách địa chỉ/dải địa chỉ IP được thiết lập để
bỏ qua việc kiểm tra, phân tích, xử lý của NIPS.
3.12. Danh sách đen địa chỉ IP (IP address
blacklist)
Danh sách địa chỉ/dải địa chỉ IP được thiết lập để
NIPS thực hiện những hành động kiểm soát lưu lượng mạng cụ thể đối với các địa
chỉ IP nằm trong danh sách này.
3.13. Môi trường kiểm thử
Môi trường bao gồm sản phẩm và các thiết bị mạng có
liên quan được triển khai có kết nối mạng với nhau để phục vụ cho hoạt động kiểm
thử, đánh giá sản phẩm.
3.14. Chức năng bỏ qua kiểm soát (fail open)
Chức năng cho phép NIPS bỏ qua các biện pháp kiểm
soát theo tập luật bảo vệ khi có sự cố xảy ra.
II. YÊU CẦU CƠ BẢN
1. Yêu cầu về tài liệu
NIPS có tài liệu bao gồm các nội dung sau:
a) Hướng dẫn triển khai và thiết lập cấu hình;
b) Hướng dẫn sử dụng và quản trị.
2. Yêu cầu về quản trị hệ thống
2.1. Quản lý vận hành
NIPS cho phép quản lý, vận hành đáp ứng các yêu cầu
sau:
a) Cho phép thiết lập, thay đổi, áp dụng và hoàn
tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài
khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ, danh sách trắng
địa chỉ IP, danh sách đen địa chỉ IP;
b) Cho phép thay đổi thời gian hệ thống;
c) Cho phép thay đổi thời gian duy trì phiên kết nối;
d) Cho phép thiết lập, thay đổi các tham số giới hạn
đối với kết nối quản trị từ xa (ví dụ: giới hạn địa chỉ IP, giới hạn số phiên kết
nối quản trị từ xa đồng thời, ...);
đ) Cho phép đăng xuất tài khoản người dùng có phiên
kết nối còn hiệu lực;
e) Cho phép tìm kiếm dữ liệu log bằng từ khóa để
xem lại;
g) Cho phép xóa log;
h) Cho phép xem thời gian hệ thống chạy tính từ lần
khởi động gần nhất.
2.2. Quản trị từ xa
NIPS cho phép quản trị từ xa an toàn đáp ứng các
yêu cầu sau:
a) Sử dụng giao thức có mã hóa như TLS hoặc tương
đương;
b) Tự động đăng xuất tài khoản và hủy bỏ phiên kết
nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.
2.3. Quản lý xác thực và phân quyền
NIPS cho phép quản lý cấu hình tài khoản xác thực
và phân quyền người dùng đáp ứng các yêu cầu sau:
a) Hỗ trợ phương thức xác thực bằng tài khoản - mật
khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của
mật khẩu;
b) Hỗ trợ phân nhóm tài khoản tối thiểu theo 02
nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng
nhóm.
2.4. Quản lý các giao diện mạng
NIPS cho phép quản lý cấu hình hệ thống về các giao
diện mạng đáp ứng các yêu cầu sau:
a) Cho phép thiết lập một hoặc một số giao diện
giám sát ở chế độ giám sát chủ động hoặc chế độ giám sát thụ động hoặc kết hợp
cả hai chế độ;
b) Cho phép thiết lập tối thiểu một giao diện quản
trị (khác với giao diện giám sát) để thực hiện:
i) Quản trị hệ thống;
ii) Tương tác với các thiết bị mạng khác (nếu có).
2.5. Quản lý báo cáo
NIPS cho phép quản lý báo cáo thông qua giao diện đồ
họa đáp ứng các yêu cầu sau:
a) Cho phép tạo mới, xem lại và xóa báo cáo đã được
tạo;
b) Cho phép tạo báo cáo mới theo các mẫu báo cáo đã
được định nghĩa trước;
c) Cho phép áp dụng các quy tắc tìm kiếm thông tin,
dữ liệu log để thêm, lọc, tinh chỉnh nội dung cho báo cáo;
d) Cho phép lựa chọn định dạng tệp tin báo cáo xuất
ra đáp ứng tối thiểu 02 trong các định dạng sau: WORD, EXCEL, PDF, HTML, XML;
đ) Cho phép tải về tệp tin báo cáo đã được xuất ra.
2.6. Quản lý tập luật bảo vệ
NIPS cho phép quản lý tập luật bảo vệ bao gồm các
thao tác sau:
a) Thêm luật mới;
b) Tinh chỉnh luật;
c) Tìm kiếm luật;
d) Xóa luật;
đ) Kích hoạt/vô hiệu hóa luật;
e) Xuất tập luật ra tệp tin;
g) Khôi phục tập luật từ tệp tin;
h) Cập nhật tập luật được phát hành bởi nhà sản xuất.
2.7. Cập nhật tập luật bảo vệ
NIPS cho phép cập nhật tập luật bảo vệ đáp ứng các
yêu cầu sau:
a) Cho phép tự động thông báo có bản cập nhật mới
cho quản trị viên;
b) Cho phép tải về trực tuyến và áp dụng thủ công bản
cập nhật mới.
2.8. Quản lý danh sách trắng địa chỉ IP và danh
sách đen địa chỉ IP
NIPS cho phép thực hiện các thao tác sau để quản lý
các danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP:
a) Thêm, xóa, sửa địa chỉ/dải địa chỉ IP;
b) Tìm kiếm theo địa chỉ/dải địa chỉ IP;
c) Thiết lập hành động kiểm soát lưu lượng mạng với
địa chỉ/dải địa chỉ IP;
d) Kích hoạt/vô hiệu hóa hành động kiểm soát lưu lượng
mạng đang được áp dụng đối với địa chỉ/dải địa chỉ IP;
đ) Xuất danh sách địa chỉ/dải địa chỉ IP ra tệp
tin;
e) Khôi phục danh sách địa chỉ/dải địa chỉ IP từ tệp
tin.
2.9. Quản lý tập các địa chỉ IP đang bị chặn kết
nối
NIPS cho phép thực hiện các thao tác sau để quản lý
tập các địa chỉ IP đang bị chặn kết nối:
a) Tìm kiếm các địa chỉ IP đang bị chặn kết nối
theo địa chỉ IP, từ khóa;
b) Xem các thông tin về một địa chỉ IP đang bị chặn
kết nối (tối thiểu bao gồm: thời điểm bắt đầu chặn kết nối, khoảng thời gian chặn
chặn kết nối có hiệu lực tính từ thời điểm bắt đầu, số hiệu định danh của luật
gây ra việc chặn chặn kết nối);
c) Hủy chặn kết nối đối với một hoặc nhiều địa chỉ
IP cùng lúc đang bị chặn kết nối.
2.10. Chia sẻ dữ liệu
NIPS cho phép kết nối với các loại hệ thống SIEM để
chia sẻ dữ liệu.
3. Yêu cầu về kiểm soát lỗi
3.1. Bảo vệ cấu hình
Trong trường hợp NIPS phải khởi động lại do có lỗi
phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo các loại cấu hình sau mà đang
được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:
a) Cấu hình hệ thống;
b) Cấu hình quản trị từ xa;
c) Cấu hình tài khoản xác thực và phân quyền người
dùng;
d) Cấu hình tập luật bảo vệ;
đ) Danh sách trắng địa chỉ IP;
e) Danh sách đen địa chỉ IP;
g) Danh sách các địa chỉ IP đang bị chặn kết nối.
3.2. Bảo vệ dữ liệu log
Trong trường hợp NIPS phải khởi động lại do có lỗi
phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo dữ liệu log đã được lưu lại
phải không bị thay đổi trong lần khởi động kế tiếp.
3.3. Đồng bộ thời gian hệ thống
Trong trường hợp NIPS phải khởi động lại do có lỗi
phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo thời gian hệ thống phải được
đồng bộ tự động đến thời điểm hiện tại.
3.4. Khả năng chịu lỗi vận hành
Trong trường hợp NIPS gặp lỗi trong quá trình vận
hành ở chế độ giám sát chủ động, NIPS phải cho phép tự động kích hoạt chức năng
bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.
4. Yêu cầu về log
4.1. Log quản trị hệ thống
a) NIPS cho phép ghi log quản trị hệ thống về các
loại sự kiện sau:
i) Đăng nhập, đăng xuất tài khoản;
ii) Xác thực trước khi cho phép truy cập vào tài
nguyên, sử dụng chức năng của hệ thống;
iii) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ
thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người
dùng, cấu hình tập luật bảo vệ;
iv) Kích hoạt lệnh khởi động lại, tắt hệ thống;
v) Thay đổi thủ công thời gian hệ thống;
vi) Có sự thay đổi trạng thái liên kết
(link-status) của giao diện giám sát.
b) NIPS cho phép ghi log quản trị hệ thống có các
trường thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ,
phút và giây);
ii) Địa chỉ IP hoặc định danh của máy trạm;
iii) Định danh của tác nhân (ví dụ: tài khoản người
dùng, tên hệ thống, ...);
iv) Thông tin về hành vi thực hiện (ví dụ: đăng nhập,
đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác, ...);
v) Kết quả thực hiện hành vi (thành công hoặc thất
bại);
vi) Lý do giải trình đối với hành vi thất bại (ví dụ:
không tìm thấy tài nguyên, không đủ quyền truy cập, ...).
4.2. Log chức năng phát hiện và ngăn chặn xâm nhập
mạng
a) NIPS cho phép ghi log tất cả các sự kiện về hành
vi xâm nhập mạng phát hiện được.
b) NIPS cho phép ghi log chức năng phát hiện và
ngăn chặn xâm nhập mạng có các trường thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ,
phút và giây);
ii) Địa chỉ IP của máy nguồn;
iii) Địa chỉ IP của máy đích;
iv) Số hiệu cổng nguồn;
v) Số hiệu cổng đích;
vi) Tên giao thức;
vii) Mô tả của hành vi xâm nhập mạng phát hiện được;
viii) Phân nhóm của hành vi xâm nhập mạng phát hiện
được;
ix) Số hiệu định danh của luật bảo vệ sinh cảnh
báo;
x) Hành động kiểm soát lưu lượng mạng đã được áp dụng
(nếu có).
4.3. Định dạng log
NIPS cho phép chuẩn hóa log theo tối thiểu 01 định
dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân
tích, điều tra log.
4.4. Quản lý log
NIPS cho phép quản lý log đáp ứng các yêu cầu sau:
a) Cho phép thiết lập và cấu hình các cài đặt liên
quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng
thời gian lưu trữ,...).
b) Cho phép tìm kiếm log theo từ khóa trên tất cả
các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);
c) Cho phép xuất dữ liệu log ra để phục vụ cho việc
tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều
tra log.
5. Yêu cầu về hiệu năng xử lý
NIPS được triển khai thỏa mãn cấu hình tối thiểu
theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng
các yêu cầu sau:
5.1. Đối với lưu lượng sạch
Xét trong môi trường kiểm thử và với tập luật bảo vệ
đáp ứng yêu cầu tại mục 7.1, NIPS cho phép lưu lượng sạch được truyền qua các
giao diện giám sát đáp ứng các yêu cầu sau:
a) Đạt tối thiểu 70% băng thông khi phát hiện có
lưu lượng tấn công;
b) Đạt tối thiểu 80% băng thông khi không phát hiện
có lưu lượng tấn công.
5.2. Đối với độ trễ truyền tin một chiều
Xét trong môi trường kiểm thử. đáp ứng môi trường
theo yêu cầu của nhà sản xuất và với tập luật bảo vệ đáp ứng yêu cầu tại mục
7.1, NIPS cho phép độ trễ tối đa đối với gói tin được truyền một chiều qua các
giao diện giám sát không vượt quá 100 μs.
6. Yêu cầu về chức năng tự bảo
vệ
6.1. Phát hiện và ngăn chặn tấn công hệ thống
NIPS có khả năng tự bảo vệ, ngăn chặn các dạng tấn công
phổ biến sau vào giao diện ra bên ngoài của hệ thống, bao gồm tối thiểu các dạng
sau:
a) SQL Injection;
b) OS Command Injection;
c) XPath Injection;
d) Remote File Inclusion (RFI);
d) Local File Inclusion (LFI);
e) Cross-Site Scripting (XSS);
g) Cross-Site Request Forgery (CSRF).
6.2. Cập nhật bản và hệ thống
NIPS có chức năng cho phép cập nhật bản vá để xử lý
các điểm yếu, lỗ hổng bảo mật.
7. Yêu cầu về chức năng phát hiện
và ngăn chặn xâm nhập mạng
7.1. Cơ chế thực thi bảo vệ
NIPS đảm bảo thực hiện quá trình phân tích thông
tin trên lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập
luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu
hình, trong đó tối thiểu một thứ tự đã được cấu hình mặc định trước bởi nhà sản
xuất.
7.2. Hỗ trợ các giao thức mạng
NIPS cho phép phân tích thông tin trên lưu lượng mạng
được giám sát đối với các giao thức mạng sau:
a) Giao thức IPv4 (RFC 791);
b) Giao thức IPv6 (RFC 2460);
c) Giao thức ICMPv4 (RFC 792);
d) Giao thức ICMPv6 (RFC 2463);
đ) Giao thức TCP (RFC 793);
e) Giao thức UDP (RFC 768).
7.3. Phân tích thông tin trong phần tiêu đề gói
tin
NIPS cho phép phân tích các trường thông tin sau
trong phần tiêu đề (header) của các gói tin thuộc lưu lượng mạng được giám sát:
a) Đối với giao thức IPv4: Version, Header Length,
Packet Length, ID, Flags, Fragment Offset, Time to Live, Protocol, Header
Checksum, Source Address, Destination Address, Options;
b) Đối với giao thức IPv6: Version, Payload Length,
Next Header, Hop Limit, Source Address, Destination Address, Routing Header;
c) Đối với giao thức ICMPv4 và ICMPv6: Type, Code,
Header Checksum;
d) Đối với giao thức TCP: Source Port, Destination
Port, Sequence Number, Acknowledgment Number, Data Offset, Reserved, Flags,
Window, Packet Checksum, Urgent Pointer, Options;
đ) Đối với giao thức UDP: Source Port, Destination
Port, Payload Length, Packet Checksum.
7.4. Phân tích thông tin trong phần dữ liệu gói
tin
NIPS cho phép phân tích các trường thông tin sau trong
phần dữ liệu (payload) của các gói tin thuộc lưu lượng mạng được giám sát:
a) Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu
sau 4 byte đầu tiên của phần tiêu đề;
b) Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte
của phần tiêu đề (kiểm tra với các thông tin sau:
i) Đối với giao thức FTP: help, noop, stat, syst,
user, abort, acct, alio, appe, cdup, cwd, dele, list, mkd, mode, nist, pass,
pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, rnto, site, smnt, stor,
stou, stru và type;
ii) Đối với giao thức HTTP: phương thức GET, phương
thức POST, so khớp nội dung trên URL/URI và nội dung trang web;
iii) Đối với giao thức SMTP: start State, commands
State, mail header State, mail body State, abort State).
7.5. Phát hiện các dạng tấn công mạng
Xét trong môi trường kiểm thử, NIPS có khả năng
phát hiện tối thiểu các dạng tấn công mạng phổ biến sau:
a) Tấn công IP Fragments Overlap (ví dụ: Teardrop,
Bonk/Boink);
b) Tấn công có địa chỉ IP nguồn và đích trùng nhau
(ví dụ: Land);
c) Tấn công Fragmented ICMP Traffic (ví dụ: Nuke);
d) Tấn công Large ICMP Traffic (ví dụ: Ping of
Death); đ) Tấn công TCP NULL flags;
e) Tấn công TCP SYN+FIN flags;
g) Tấn công TCP FIN flags;
h) Tấn công TCP SYN+RST flags;
i) Tấn công UDP Bomb;
k) Tấn công UDP Chargen DoS;
l) Tấn công Flooding a host (ví dụ: Smurf, Ping
Flood, SYN Flood);
m) Tấn công Flooding a network;
n) Tấn công IP protocol scanning;
o) Tấn công TCP port scanning;
p) Tấn công UDP port scanning;
q) Tấn công ICMP scanning.
7.6. Phát hiện tấn công trên phần dữ liệu
NIPS cho phép phát hiện hành vi xâm nhập mạng dựa
trên phân tích dấu hiệu đối với các phần dữ liệu (payload) của nhiều gói tin
không bị phân mảnh.
7.7. Kiểm soát lưu lượng mạng
a) NIPS cho phép thiết lập hành động kiểm soát lưu
lượng mạng và khoảng thời gian hiệu lực của hành động đó (nếu có thể) đối với từng
luật bảo vệ tối thiểu thuộc 01 trong các hành động sau:
i) Cho phép tiếp tục kết nối;
ii) Gửi gói tin TCP RST về phía địa chỉ nguồn;
iii) Gửi gói tin TCP RST về phía địa chỉ đích;
iv) Gửi gói tin phản hồi ICMP Destination
Unreachable;
v) Gửi lệnh tương tác tới thiết bị mạng khác để
ngăn chặn kết nối (NIPS đảm bảo có cơ chế giao tiếp an toàn đối với các thiết bị
đó).
b) Trong trường hợp NIPS vận hành theo chế độ giám
sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật
bảo vệ đáp ứng các yêu cầu sau:
i) Cho phép chặn kết nối theo địa chỉ IP nguồn phát
sinh sự kiện;
ii) Cho phép chặn kết nối theo địa chỉ IP đích phát
sinh sự kiện.
