Quyết định 1591/QĐ-BTTTT 2021 Yêu cầu kỹ thuật cơ bản sản phẩm Phòng chống xâm nhập lớp mạng

Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Số hiệu:	1591/QĐ-BTTTT	Loại văn bản:	Quyết định
Nơi ban hành:	Bộ Thông tin và Truyền thông	Người ký:	Nguyễn Huy Dũng
Ngày ban hành:	13/10/2021	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đang cập nhật	Số công báo:	Đang cập nhật
		Tình trạng:	Đã biết

BỘ THÔNG TIN VÀ TRUYỀN THÔNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 1591/QĐ-BTTTT	Hà Nội, ngày 13 tháng 10 năm 2021

QUYẾT ĐỊNH

BAN HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục An toàn thông tin.

QUYẾT ĐỊNH

Điều 1. Ban hành kèm theo Quyết định này Yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống xâm nhập lớp mạng (NIPS).

Điều 2. Khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm NIPS đáp ứng các yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.

Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu trong Yêu cầu kỹ thuật cơ bản đối với sản phẩm NIPS tại Điều 1 Quyết định này.

Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 5;
- Bộ trưởng (để b/c);
- Các Thứ trưởng;
- Cổng Thông tin điện tử của Bộ;
- Lưu: VT, CATTT.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG

Nguyễn Huy Dũng

YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG
(Kèm theo Quyết định số 1591/QĐ-BTTTT ngày 13 tháng 10 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền thông)

I. THÔNG TIN CHUNG

1. Phạm vi áp dụng

Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản để đánh giá chất lượng sản phẩm Phòng, chống xâm nhập lớp mạng (NIPS). Tài liệu bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phát hiện và ngăn chặn xâm nhập mạng.

2. Đối tượng áp dụng

Các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển; đánh giá, lựa chọn sản phẩm NIPS khi đưa vào sử dụng trong các hệ thống thông tin.

3. Khái niệm và thuật ngữ

Trong tài liệu này, các khái niệm và thuật ngữ được hiểu như sau:

3.1. Tập luật bảo vệ

Danh sách các luật bao gồm các tham số, quy tắc được định nghĩa và thiết lập bởi quản trị viên, cho phép sản phẩm NIPS phát hiện các hành vi xâm nhập mạng thông qua việc phân tích lưu lượng mạng tại giao diện giám sát.

3.2. Hành động kiểm soát lưu lượng mạng

Hành động được thiết lập cho mỗi luật bảo vệ cho phép NIPS thực hiện chức năng cảnh báo, ngăn chặn hành vi xâm nhập mạng phát hiện được.

3.3. Nhật ký hệ thống (log)

Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).

3.4. Thời gian duy trì phiên kết nối (session timeout)

Khoảng thời gian được thiết lập để cho phép hệ thống hủy phiên kết nối đối với một máy khách, nếu trong khoảng thời gian này mà hệ thống không nhận được yêu cầu mới từ máy khách đó.

3.5. Giao diện giám sát (monitoring interface)

Giao diện mạng của NIPS được sử dụng để thu thập và phân tích lưu lượng mạng phục vụ việc thực thi tập luật bảo vệ nhằm phát hiện và ngăn chặn hành vi xâm nhập mạng.

3.6. Chế độ giám sát (monitoring mode)

Chế độ hoạt động của NIPS áp dụng trên giao diện giám sát nhằm quyết định hành động của NIPS trong việc cảnh báo, ngăn chặn hành vi xâm nhập mạng phát hiện được. Chế độ hoạt động của NIPS bao gồm chế độ giám sát chủ động (inline mode) và chế độ giám sát thụ động (promiscuous mode).

3.7. Chế độ giám sát chủ động (inline mode)

Chế độ giám sát cho phép NIPS kiểm soát chủ động lưu lượng mạng được giám sát để trực tiếp thực hiện ngăn chặn nếu phát hiện hành vi xâm nhập mạng.

3.8. Chế độ giám sát thụ động (promiscuous mode)

Chế độ giám sát chỉ cho phép NIPS thu thập thụ động lưu lượng mạng được giám sát để phân tích và đưa ra cảnh báo nếu phát hiện có hành vi xâm nhập mạng. Tuy nhiên, NIPS vẫn có thể tương tác với các thiết bị mạng khác để ngăn chặn các hành vi đó.

3.9. Lưu lượng sạch (clean traffic)

Lưu lượng mạng được giám sát bởi hệ thống mà không bị phát hiện có hành vi xâm nhập mạng.

3.10. Lưu lượng tấn công (attack traffic)

Lưu lượng mạng được giám sát bởi hệ thống mà bị phát hiện có hành vi xâm nhập mạng.

3.11. Danh sách trắng địa chỉ IP (IP address whitelist)

Danh sách địa chỉ/dải địa chỉ IP được thiết lập để bỏ qua việc kiểm tra, phân tích, xử lý của NIPS.

3.12. Danh sách đen địa chỉ IP (IP address blacklist)

Danh sách địa chỉ/dải địa chỉ IP được thiết lập để NIPS thực hiện những hành động kiểm soát lưu lượng mạng cụ thể đối với các địa chỉ IP nằm trong danh sách này.

3.13. Môi trường kiểm thử

Môi trường bao gồm sản phẩm và các thiết bị mạng có liên quan được triển khai có kết nối mạng với nhau để phục vụ cho hoạt động kiểm thử, đánh giá sản phẩm.

3.14. Chức năng bỏ qua kiểm soát (fail open)

Chức năng cho phép NIPS bỏ qua các biện pháp kiểm soát theo tập luật bảo vệ khi có sự cố xảy ra.

II. YÊU CẦU CƠ BẢN

1. Yêu cầu về tài liệu

NIPS có tài liệu bao gồm các nội dung sau:

a) Hướng dẫn triển khai và thiết lập cấu hình;

b) Hướng dẫn sử dụng và quản trị.

2. Yêu cầu về quản trị hệ thống

2.1. Quản lý vận hành

NIPS cho phép quản lý, vận hành đáp ứng các yêu cầu sau:

a) Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP;

b) Cho phép thay đổi thời gian hệ thống;

c) Cho phép thay đổi thời gian duy trì phiên kết nối;

d) Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa (ví dụ: giới hạn địa chỉ IP, giới hạn số phiên kết nối quản trị từ xa đồng thời, ...);

đ) Cho phép đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực;

e) Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại;

g) Cho phép xóa log;

h) Cho phép xem thời gian hệ thống chạy tính từ lần khởi động gần nhất.

2.2. Quản trị từ xa

NIPS cho phép quản trị từ xa an toàn đáp ứng các yêu cầu sau:

a) Sử dụng giao thức có mã hóa như TLS hoặc tương đương;

b) Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.

2.3. Quản lý xác thực và phân quyền

NIPS cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng các yêu cầu sau:

a) Hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu;

b) Hỗ trợ phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

2.4. Quản lý các giao diện mạng

NIPS cho phép quản lý cấu hình hệ thống về các giao diện mạng đáp ứng các yêu cầu sau:

a) Cho phép thiết lập một hoặc một số giao diện giám sát ở chế độ giám sát chủ động hoặc chế độ giám sát thụ động hoặc kết hợp cả hai chế độ;

b) Cho phép thiết lập tối thiểu một giao diện quản trị (khác với giao diện giám sát) để thực hiện:

i) Quản trị hệ thống;

ii) Tương tác với các thiết bị mạng khác (nếu có).

2.5. Quản lý báo cáo

NIPS cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép tạo mới, xem lại và xóa báo cáo đã được tạo;

b) Cho phép tạo báo cáo mới theo các mẫu báo cáo đã được định nghĩa trước;

c) Cho phép áp dụng các quy tắc tìm kiếm thông tin, dữ liệu log để thêm, lọc, tinh chỉnh nội dung cho báo cáo;

d) Cho phép lựa chọn định dạng tệp tin báo cáo xuất ra đáp ứng tối thiểu 02 trong các định dạng sau: WORD, EXCEL, PDF, HTML, XML;

đ) Cho phép tải về tệp tin báo cáo đã được xuất ra.

2.6. Quản lý tập luật bảo vệ

NIPS cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau:

a) Thêm luật mới;

b) Tinh chỉnh luật;

c) Tìm kiếm luật;

d) Xóa luật;

đ) Kích hoạt/vô hiệu hóa luật;

e) Xuất tập luật ra tệp tin;

g) Khôi phục tập luật từ tệp tin;

h) Cập nhật tập luật được phát hành bởi nhà sản xuất.

2.7. Cập nhật tập luật bảo vệ

NIPS cho phép cập nhật tập luật bảo vệ đáp ứng các yêu cầu sau:

a) Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên;

b) Cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.

2.8. Quản lý danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP

NIPS cho phép thực hiện các thao tác sau để quản lý các danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP:

a) Thêm, xóa, sửa địa chỉ/dải địa chỉ IP;

b) Tìm kiếm theo địa chỉ/dải địa chỉ IP;

c) Thiết lập hành động kiểm soát lưu lượng mạng với địa chỉ/dải địa chỉ IP;

d) Kích hoạt/vô hiệu hóa hành động kiểm soát lưu lượng mạng đang được áp dụng đối với địa chỉ/dải địa chỉ IP;

đ) Xuất danh sách địa chỉ/dải địa chỉ IP ra tệp tin;

e) Khôi phục danh sách địa chỉ/dải địa chỉ IP từ tệp tin.

2.9. Quản lý tập các địa chỉ IP đang bị chặn kết nối

NIPS cho phép thực hiện các thao tác sau để quản lý tập các địa chỉ IP đang bị chặn kết nối:

a) Tìm kiếm các địa chỉ IP đang bị chặn kết nối theo địa chỉ IP, từ khóa;

b) Xem các thông tin về một địa chỉ IP đang bị chặn kết nối (tối thiểu bao gồm: thời điểm bắt đầu chặn kết nối, khoảng thời gian chặn chặn kết nối có hiệu lực tính từ thời điểm bắt đầu, số hiệu định danh của luật gây ra việc chặn chặn kết nối);

c) Hủy chặn kết nối đối với một hoặc nhiều địa chỉ IP cùng lúc đang bị chặn kết nối.

2.10. Chia sẻ dữ liệu

NIPS cho phép kết nối với các loại hệ thống SIEM để chia sẻ dữ liệu.

3. Yêu cầu về kiểm soát lỗi

3.1. Bảo vệ cấu hình

Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:

a) Cấu hình hệ thống;

b) Cấu hình quản trị từ xa;

c) Cấu hình tài khoản xác thực và phân quyền người dùng;

d) Cấu hình tập luật bảo vệ;

đ) Danh sách trắng địa chỉ IP;

e) Danh sách đen địa chỉ IP;

g) Danh sách các địa chỉ IP đang bị chặn kết nối.

3.2. Bảo vệ dữ liệu log

Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.

3.3. Đồng bộ thời gian hệ thống

Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.

3.4. Khả năng chịu lỗi vận hành

Trong trường hợp NIPS gặp lỗi trong quá trình vận hành ở chế độ giám sát chủ động, NIPS phải cho phép tự động kích hoạt chức năng bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.

4. Yêu cầu về log

4.1. Log quản trị hệ thống

a) NIPS cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

i) Đăng nhập, đăng xuất tài khoản;

ii) Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;

iii) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ;

iv) Kích hoạt lệnh khởi động lại, tắt hệ thống;

v) Thay đổi thủ công thời gian hệ thống;

vi) Có sự thay đổi trạng thái liên kết (link-status) của giao diện giám sát.

b) NIPS cho phép ghi log quản trị hệ thống có các trường thông tin sau:

i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

ii) Địa chỉ IP hoặc định danh của máy trạm;

iii) Định danh của tác nhân (ví dụ: tài khoản người dùng, tên hệ thống, ...);

iv) Thông tin về hành vi thực hiện (ví dụ: đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác, ...);

v) Kết quả thực hiện hành vi (thành công hoặc thất bại);

vi) Lý do giải trình đối với hành vi thất bại (ví dụ: không tìm thấy tài nguyên, không đủ quyền truy cập, ...).

4.2. Log chức năng phát hiện và ngăn chặn xâm nhập mạng

a) NIPS cho phép ghi log tất cả các sự kiện về hành vi xâm nhập mạng phát hiện được.

b) NIPS cho phép ghi log chức năng phát hiện và ngăn chặn xâm nhập mạng có các trường thông tin sau:

i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

ii) Địa chỉ IP của máy nguồn;

iii) Địa chỉ IP của máy đích;

iv) Số hiệu cổng nguồn;

v) Số hiệu cổng đích;

vi) Tên giao thức;

vii) Mô tả của hành vi xâm nhập mạng phát hiện được;

viii) Phân nhóm của hành vi xâm nhập mạng phát hiện được;

ix) Số hiệu định danh của luật bảo vệ sinh cảnh báo;

x) Hành động kiểm soát lưu lượng mạng đã được áp dụng (nếu có).

4.3. Định dạng log

NIPS cho phép chuẩn hóa log theo tối thiểu 01 định dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.

4.4. Quản lý log

NIPS cho phép quản lý log đáp ứng các yêu cầu sau:

a) Cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng thời gian lưu trữ,...).

b) Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

c) Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

5. Yêu cầu về hiệu năng xử lý

NIPS được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:

5.1. Đối với lưu lượng sạch

Xét trong môi trường kiểm thử và với tập luật bảo vệ đáp ứng yêu cầu tại mục 7.1, NIPS cho phép lưu lượng sạch được truyền qua các giao diện giám sát đáp ứng các yêu cầu sau:

a) Đạt tối thiểu 70% băng thông khi phát hiện có lưu lượng tấn công;

b) Đạt tối thiểu 80% băng thông khi không phát hiện có lưu lượng tấn công.

5.2. Đối với độ trễ truyền tin một chiều

Xét trong môi trường kiểm thử. đáp ứng môi trường theo yêu cầu của nhà sản xuất và với tập luật bảo vệ đáp ứng yêu cầu tại mục 7.1, NIPS cho phép độ trễ tối đa đối với gói tin được truyền một chiều qua các giao diện giám sát không vượt quá 100 μs.

6. Yêu cầu về chức năng tự bảo vệ

6.1. Phát hiện và ngăn chặn tấn công hệ thống

NIPS có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau vào giao diện ra bên ngoài của hệ thống, bao gồm tối thiểu các dạng sau:

a) SQL Injection;

b) OS Command Injection;

c) XPath Injection;

d) Remote File Inclusion (RFI);

d) Local File Inclusion (LFI);

e) Cross-Site Scripting (XSS);

g) Cross-Site Request Forgery (CSRF).

6.2. Cập nhật bản và hệ thống

NIPS có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.

7. Yêu cầu về chức năng phát hiện và ngăn chặn xâm nhập mạng

7.1. Cơ chế thực thi bảo vệ

NIPS đảm bảo thực hiện quá trình phân tích thông tin trên lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu hình, trong đó tối thiểu một thứ tự đã được cấu hình mặc định trước bởi nhà sản xuất.

7.2. Hỗ trợ các giao thức mạng

NIPS cho phép phân tích thông tin trên lưu lượng mạng được giám sát đối với các giao thức mạng sau:

a) Giao thức IPv4 (RFC 791);

b) Giao thức IPv6 (RFC 2460);

c) Giao thức ICMPv4 (RFC 792);

d) Giao thức ICMPv6 (RFC 2463);

đ) Giao thức TCP (RFC 793);

e) Giao thức UDP (RFC 768).

7.3. Phân tích thông tin trong phần tiêu đề gói tin

NIPS cho phép phân tích các trường thông tin sau trong phần tiêu đề (header) của các gói tin thuộc lưu lượng mạng được giám sát:

a) Đối với giao thức IPv4: Version, Header Length, Packet Length, ID, Flags, Fragment Offset, Time to Live, Protocol, Header Checksum, Source Address, Destination Address, Options;

b) Đối với giao thức IPv6: Version, Payload Length, Next Header, Hop Limit, Source Address, Destination Address, Routing Header;

c) Đối với giao thức ICMPv4 và ICMPv6: Type, Code, Header Checksum;

d) Đối với giao thức TCP: Source Port, Destination Port, Sequence Number, Acknowledgment Number, Data Offset, Reserved, Flags, Window, Packet Checksum, Urgent Pointer, Options;

đ) Đối với giao thức UDP: Source Port, Destination Port, Payload Length, Packet Checksum.

7.4. Phân tích thông tin trong phần dữ liệu gói tin

NIPS cho phép phân tích các trường thông tin sau trong phần dữ liệu (payload) của các gói tin thuộc lưu lượng mạng được giám sát:

a) Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu sau 4 byte đầu tiên của phần tiêu đề;

b) Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte của phần tiêu đề (kiểm tra với các thông tin sau:

i) Đối với giao thức FTP: help, noop, stat, syst, user, abort, acct, alio, appe, cdup, cwd, dele, list, mkd, mode, nist, pass, pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, rnto, site, smnt, stor, stou, stru và type;

ii) Đối với giao thức HTTP: phương thức GET, phương thức POST, so khớp nội dung trên URL/URI và nội dung trang web;

iii) Đối với giao thức SMTP: start State, commands State, mail header State, mail body State, abort State).

7.5. Phát hiện các dạng tấn công mạng

Xét trong môi trường kiểm thử, NIPS có khả năng phát hiện tối thiểu các dạng tấn công mạng phổ biến sau:

a) Tấn công IP Fragments Overlap (ví dụ: Teardrop, Bonk/Boink);

b) Tấn công có địa chỉ IP nguồn và đích trùng nhau (ví dụ: Land);

c) Tấn công Fragmented ICMP Traffic (ví dụ: Nuke);

d) Tấn công Large ICMP Traffic (ví dụ: Ping of Death); đ) Tấn công TCP NULL flags;

e) Tấn công TCP SYN+FIN flags;

g) Tấn công TCP FIN flags;

h) Tấn công TCP SYN+RST flags;

i) Tấn công UDP Bomb;

k) Tấn công UDP Chargen DoS;

l) Tấn công Flooding a host (ví dụ: Smurf, Ping Flood, SYN Flood);

m) Tấn công Flooding a network;

n) Tấn công IP protocol scanning;

o) Tấn công TCP port scanning;

p) Tấn công UDP port scanning;

q) Tấn công ICMP scanning.

7.6. Phát hiện tấn công trên phần dữ liệu

NIPS cho phép phát hiện hành vi xâm nhập mạng dựa trên phân tích dấu hiệu đối với các phần dữ liệu (payload) của nhiều gói tin không bị phân mảnh.

7.7. Kiểm soát lưu lượng mạng

a) NIPS cho phép thiết lập hành động kiểm soát lưu lượng mạng và khoảng thời gian hiệu lực của hành động đó (nếu có thể) đối với từng luật bảo vệ tối thiểu thuộc 01 trong các hành động sau:

i) Cho phép tiếp tục kết nối;

ii) Gửi gói tin TCP RST về phía địa chỉ nguồn;

iii) Gửi gói tin TCP RST về phía địa chỉ đích;

iv) Gửi gói tin phản hồi ICMP Destination Unreachable;

v) Gửi lệnh tương tác tới thiết bị mạng khác để ngăn chặn kết nối (NIPS đảm bảo có cơ chế giao tiếp an toàn đối với các thiết bị đó).

b) Trong trường hợp NIPS vận hành theo chế độ giám sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật bảo vệ đáp ứng các yêu cầu sau:

i) Cho phép chặn kết nối theo địa chỉ IP nguồn phát sinh sự kiện;

ii) Cho phép chặn kết nối theo địa chỉ IP đích phát sinh sự kiện.