I. GIẢI PHÁP VSEC VADAR NETWORK SECURITY MANAGEMENT (VADAR NSM)
VSEC Vadar Network Security Management (tên thương hiệu là VSEC Vadar NSM) là hệ thống quản trị mạng, để phát hiện và ngăn chặn các hành vi nguy hại ở lớp mạng. Ngoài ra nó còn liên tục theo dõi thu thập ghi lại cũng như lưu trữ và phân tích chuyên sâu để sớm phát hiện ra các hành vi đáng nghi trong hệ thống..
II. TÍNH NĂNG CHÍNH
VSEC Vadar NSM cho phép thiết lập cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ; cho phép thay đổi thời gian hệ thống; quản lý các phiên làm việc, giới hạn phiên kết nối, đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực.
VSEC Vadar NSM sử dụng giao thức mã hóa như TLS cho phép quản trị từ xa một cách an toàn.
Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu; phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.
VSEC Vadar NSM cho phép thiết lập giao diện giám sát ở chế độ thụ động, chủ động hoặc cả hai.
Cho phép quản lý các báo cáo, tạo mới các báo cáo theo template báo cáo, cho phép xuất các báo cáo theo định dạng WORD, EXCEL hoặc PDF
VSEC Vadar NSM cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau: thêm luật mới, chỉnh sửa luật, tìm kiếm luật, xóa luật, kích hoạt/vô hiệu hóa luật, xuất tập luật ra tệp tin, khôi phục tập luật từ tệp tin, cập nhật tập luật được phát hành bởi nhà sản xuất. Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên, cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.
VSEC Vadar NSM cho phép quản lý danh sách trắng và đen của địa chỉ IP giúp thiết lập, khiểm soát lưu lượng mạng với địa chỉ/dải địa chỉ IP; ngoài ra, cũng quản lý tập các địa chỉ IP đang bị chặng kết nối
VSEC Vadar NSM cho phép kết nối với các loại hệ thống khác như VSEC Vadar SIEM để chia sẻ dữ liệu
Trong trường hợp VSEC Vadar NSM phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VSEC Vadar NSM đảm bảo dữ liệu log và các loại cấu hình được lưu lại và không bị thay đổi trong lần khởi động kế tiếp. Đồng thời cũng đảm bảo thời gian hệ thống được đồng bộ tự động đến thời điểm hiện tại
VSEC Vadar NSM cho phép chuẩn hóa log theo định dạng JSON để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.
Quản lý log: VSEC Vadar NSM cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log. Cho phép phân nhóm log thành các nhóm sự kiện theo các tiêu chí khác nhau. Cho phép truy xuất dữ liệu thô của log thông qua kết quả tìm kiếm và cảnh báo. Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào VSEC Vadar SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.
Hiệu năng xử lý
- Đối với lưu lượng sạch: Đạt tối thiểu 70% băng thông khi phát hiện có lưu lượng tấn công; đạt tối thiểu 80% băng thông khi không phát hiện có lưu lượng tấn công.
- Đối với độ trễ truyền tin một chiều: cho phép độ trễ tối đa đối với gói tin được truyền một chiều qua các giao diện giám sát không vượt quá 100 μs.
VSEC Vadar NSM có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau: SQL Injection, OS Command Injection, XPath Injection, Remote File Inclusion (RFI), Local File Inclusion (LFI), Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF).
VSEC Vadar NSM có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.
Phát hiện và ngăn chặn xâm nhập mạng
- VSEC Vadar NSM đảm bảo thực hiện quá trình phân tích thông tin trên lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu hình, trong đó tối thiểu một thứ tự đã được cấu hình mặc định trước bởi nhà sản xuất..
- Hỗ trợ các giao thức mạng
-
- Giao thức IPv4 (RFC 791);
- Giao thức IPv6 (RFC 2460);
- Giao thức ICMPv4 (RFC 792);
- Giao thức ICMPv6 (RFC 2463);
- Giao thức TCP (RFC 793)
- Giao thức UDP (RFC 768)
- Phân tích thông tin trong phần dữ liệu gói tin:
-
- Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu sau 4 byte đầu tiên của phần tiêu đề
- Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte của phần tiêu đề (kiểm tra với các thông tin sau:
- Đối với giao thức FTP: help, noop, stat, syst, user, abort, acct, allo, appe, cdup, cwd, dele, list, mkd, mode, nist, pass, pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, rnto, site, smnt, stor, stou, stru và type;
- Đối với giao thức HTTP: phương thức GET, phương thức POST, so khớp nội dung trên URL/URI và nội dung trang web;
- Đối với giao thức SMTP: start state, commands state, mail header state, mail body state, abort state).
- Cho phép phát hiện các dạng tấn công mạng
-
- Tấn công IP Fragments Overlap (ví dụ: Teardrop, Bonk/Boink)
- Tấn công có địa chỉ IP nguồn và đích trùng nhau (ví dụ: Land)
- Tấn công Fragmented ICMP Traffic (ví dụ: Nuke)
- Tấn công Large ICMP Traffic (ví dụ: Ping of Death)
- Tấn công TCP NULL flags
- Tấn công TCP SYN+FIN flags
- Tấn công TCP FIN flags
- Tấn công TCP SYN+RST flags
- Tấn công UDP Bomb
- Tấn công UDP Chargen DoS
- Tấn công Flooding a host (ví dụ: Smurf, Ping Flood, SYN Flood)
- Tấn công Flooding a network
- Tấn công IP protocol scanning
- Tấn công TCP port scanning
- Tấn công UDP port scanning
- Tấn công ICMP scanning.
- Cho phép phát hiện hành vi xâm nhập mạng dựa trên phân tích dấu hiệu đối với các phần dữ liệu (payload) của nhiều gói tin không bị phân mảnh.
- Cho phép thiết lập hành động kiểm soát lưu lượng mạng và khoảng thời gian hiệu lực của hành động đó
- Trong trường hợp NIPS vận hành theo chế độ giám sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật bảo vệ đáp ứng các yêu cầu sau:
-
- Cho phép chặn kết nối theo địa chỉ IP nguồn phát sinh sự kiện;
- Cho phép chặn kết nối theo địa chỉ IP đích phát sinh sự kiện.