Khóa luận Nghiên cứu triển khai hệ thống IDS/IPS

giám sát mạng mà không ảnh hưởng đến lưu thông. Ngoài những luật ngăn chặn phổ thông, nó còn có thể cách ly đối tượng. Không loại bỏ gói tin khi có phản ứng và thiết bị không thiết lập lại kết nối TCP. Hình thái này sử dụng cho việc thử nghiệm những luật an ninh mà không ảnh hưởng đến lưu thông mạng. Passive Monitoring Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sát mạng mà không điều khiển. Thường nó phản ứng với thâm nhập bằng những luật ngăn chặn phổ thông. Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặn kết nối TCP. Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thống mạng hiện tại cần. SITEPROTECTOR SYSTEM [2] SiteProtector System là gì? SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh, điều khiển và giám sát cho tất cả các sản phẩm IBM ISS. Các thành phần của hệ thống SiteProtector Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có đều có chức năng riêng. Giao diện hệ thống SiteProtector xem các thành phần như là các agent. Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật và quản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như: X-Press Update Server Desktop Protection agents Proventia G appliances Proventia Network IPS Proventia Network MFS Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm: Cấu hình, cập nhật và quản lý hệ thống SiteProtector. Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agent Desktop Protector, máy quét, thiết bị và bộ cảm ứng. Tạo và quản lý các chính sách an ninh và các phản ứng. Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thống SiteProtector giám sát. Thiết lập người dùng và phân quyền. Giám sát các vấn đề an ninh và các tổn hại đến mạng. Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm, và bảo trì cơ sở dữ liệu. Phát sinh các báo cáo Phát sinh các ticket. Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảo mật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba. Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệ thống SiteProtector và các sản phẩm ISS khác từ một vị trí trung tâm trên mạng. Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa. Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS và gửi chúng tới Site Database để xử lý. Sau khi xử lý, dữ liệu có thể được hiển thị trong SiteProtector Console. Event Collector cũng gửi dữ liệu chưa được xử lý đến EventViewer. Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật. Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector. Giao diện này được sử dụng chủ yếu để sửa lỗi. ISS khuyến cáo sử dụng Console cho các tác vụ quản lý an ninh. Site Databasse: lưu trữ các thông tin sau Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS Thống kê các sự kiện bảo mật Thông tin nhóm Dữ liệu điều khiển và lệnh Trạng thái XPU của tất cả các agent Tài khoản người dùng hệ thống SiteProtector và phân quyền Các ticket Tùy chỉnh hiển thị, báo cáo và các thiết lập khác. SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console và các agent khác trở lên dễ dàng hơn. Application Server giúp cho nhiều Console có thể cùng thực hiện các chức năng sau: Giao tiếp với SiteProtector Database Giám sát và quản lý cùng một tập các Event Collection và agent Chú ý: Application Server chứa các Sensor Controller và X-Press Update Server. Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính. Ba thành phần này được tích hợp toàn bộ và không thể tách rời. Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent khác trở lên dễ dàng. X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc. Nó thực hiện các việc sau: Kết nối tới trung tâm download ISS Download các bản cập nhật. Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán. Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector được giới hạn. Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sự kiện bảo mật của hệ thống. Quá trình thiết lập hệ thống SiteProtector Các giai đoạn thiết lập Cấu hình và cập nhật hệ thống: Cấu hình các thành phần. Cập nhật các thành phần. Thiết lập tài khoản và phân quyền. Thiết lập nhóm: Lập kế hoạch tổ chức tài nguyên mạng và các agent thành các nhóm. Tạo các nhóm và nhóm con. Cấu hình các thuộc tính cho các nhóm. Cấu hình agent: Cài đặt, cập nhật và cấu hình các sản phẩm ISS khác mà ta muốn sử dụng với SiteProtector như các thiết bị, máy quét… Kiểm tra việc đăng ký và cấu hình các sản phẩm để làm việc được với hệ thống SiteProtector. Cấu hình chính sách: Cấu hình chính sách an ninh và phản ứng cho các agent. Cấu hình các phản ứng chính. Cấu hình ticket. Thiết lập tài nguyên: Thêm các phân công tài nguyên quan trọng đối với hệ thống SiteProtector mà sẽ được giám sát bởi các agent. Điều chỉnh nhóm phân công tài nguyên. Sau khi thiết lập xong hệ thống SiteProtector, ta có thể cài đặt và cấu hình thêm các module. Cấu hình giao diện tương tác Thiết lập tùy chọn chung Chúng ta có thể thiết lập các tùy chọn chung trong hệ thống SiteProtector để điều khiển hành vi của giao diện, như hiển thị mặc định khi khởi động, thời gian… Để thiết lập các tùy chọn chung, trong giao diện tương tác chọn Tools -> Options. Trong cửa sổ Options có chứa các loại tùy chọn: General Chứa các tùy chọn khởi động, tùy chọn thời gian… Dưới General là tab Table có các tùy chọn hiển thị bảng. Logging Điều khiển cách thức SiteProtector kiểm soát việc ghi log. Documentation Chọn lựa nguồn tài liệu tham khảo. Browser Tùy chọn cho trình duyệt tích hợp trên SiteProtector. Global Summary Chọn nội dung sẽ hiển thị sau khi khởi động giao diện (tương tự như homepage). Notifications Sử dụng để chỉ định loại và mức độ của thông báo hiển thị trên giao diện và cấu hình cảnh báo bằng email cho các thông báo mức cao và nguy hiểm. Report Sử dụng để chèn logo công ty vào báo cáo. Authentication Sử dụng khi Site yêu cầu chứng nhận người dùng để đăng nhập vào hệ thông SiteProtector. Chứng nhận có thể chứa sẵn trong Windows hoặc từ một smart card. Summary Chọn nội dung được hiển thị trong mục summary Asset Chứa một số tùy chọn về hiển thị của mục Asset Ticket Thay đổi hiển thị mặc định của mục Ticket Agent Thay đổi hiển thị mặc định của mục Agent. Analysis Chọn nội dung để hiển thị trong mục Analysis SiteProtector được sử dụng trong khóa luận này chỉ với mục đích điều khiển và cấu hình thiết bị IPS một cách dễ dàng hơn. Tuy nhiên trong tương lai, các thiết bị giám sát mạng được nâng cấp về số lượng và chất lượng thì siteProtector sẽ trở thành hệ thống không thể thiếu trong việc đảm bảo an ninh cho hệ thống mạng đại học quốc gia. CÀI ĐẶT VÀ CẤU HÌNH IPS [5] Cài đặt Hệ điều hành sử dụng trong IPS Proventia G200 là một hệ điều hành riêng của IBM dựa trên Linux, phiên bản G-Series.1.7_2008.1105_15.57.25. Về cơ bản cài đặt hệ điều hành này cũng giống như cài đặt một hệ điều hành Linux thông thường. Trong khi cài đặt, hệ điều hành sẽ yêu cầu nhập địa chỉ mạng cho cổng manager của IPS. Sau khi cài đặt hệ điều hành, các cấu hình cơ bản của thiết bị như ngày giờ, tên thiết bị, tên miền hay địa chỉ IP của thiết bị được cấu hình trực tiếp trong giao diện dòng lệnh của thiết bị. Giao diện web được truy cập thông qua địa chỉ vừa đặt. Cấu hình các luật tường lửa và sự kiện an ninh, phản hồi được thiết lập tại giao diện này. Một công việc quan trọng khác trong giao diện web này là đăng kí địa chỉ máy cài đặt phần mềm quản lý SiteProtector với IPS. Sử dụng SiteProtector ta có thể điều khiển và cấu hình IPS một cách dễ dàng hơn. Ngoài ra khi sử dụng phần mềm này, ta có thể đặt thêm signature để nhận biết dễ dàng hơn các tấn công và thâm nhập. Cấu hình hình thái hoạt động Thiết bị IPS có 3 hình thái hoạt động như đã nói ở trên : passive monitoring inline simulation inline protection Thiết bị yêu cầu chọn một trong 3 hình thái này khi mới cài đặt phần mềm cho thiết bị. Chú ý : cấu hình tắc nghẽn mạng, những đại lý không phản hồi và những tùy chọn cập nhật đại lý chỉ có ở trong hình thái inline protection. Chúng không được sử dụng trong hình thái passive. Có thể chọn lại hình thái hoạt động đã sử dụng khi cài đặt thiết bị bằng cách sau. 1. Thiết lập một giao diện cấu hình nội bộ (cổng console) và đăng nhập vào. 2. Trong thực đơn cấu hình, chọn Agent Mode và ấn ENTER. Màn hình cấu hình hình thái sẽ xuất hiện. 3. Chọn hình thái hoạt động bằng cách bấm phím SPACE BAR. Những hình thái có thể chọn là : Inline Protection Inline Simulation Passive Monitoring 4. Ấn ENTER. Màn hình cấu hình hình thái sẽ xuất hiện trở lại. Chúng ta cũng có thể cấu hình các hình thái hoạt động trong site protector. Để thay đổi hình thái, làm theo các bước sau đây : 1. Trong SiteProtector Site Manager, chọn thiết bị. 2. Trong cửa sổ Inline Appliance Properties, chọn thẻ General. 3. Trong vùng Inline Appliance Mode, chọn hình thái từ danh sách. 4. Nhấn OK. Cấu hình sự kiện an ninh Trang security event liệt kê hàng trăm sự kiện tấn công và bảo mật. Một sự kiện tấn công và bảo mật là các lưu lượng mạng mang nội dung tấn công hoặc một hành động đáng ngờ. Các sự kiện này được xảy ra khi mà lưu lượng mạng trùng với một trong các sự kiện trong chính sách bảo mật được kích hoạt. Chú ý là tất cả các sự kiện đều được liệt kê dưới miền bảo mật toàn cục. Thiết bị luôn luôn sử dụng một chính sách bảo mật toàn cục, điều này có nghĩa là nó sử dụng các sử kiện bảo mật theo cùng một kiểu cho tất cả các vùng của mạng. Nên cấu hình các sự kiện ở cấp độ toàn cục. Nếu muốn cấu hình các chính sách bảo mật cho một segment đặc biệt trên mạng, cần tạo ra các protection domain cho mỗi segment Để thêm các sự kiện bảo mật : 1. Chọn Security Events. 2. Trên tab Security Events, click Add. 3. Hoàn thành hoặc thay đổi các thiết lập được chỉ ra sau : Enabled : chọn ô này để cho phép sự kiện này thành một phần của chính sách bảo mật Protection Domain : nếu các protection domain đã được cấu hình, chọn một từ danh sách. Chỉ có thể đặt một sự kiện cho một miền vào một thời điểm , để cấu hình sự kiện này cho một miền khác , phải sao chép và đổi tên sự kiện sau đó gán nó cho miền khác . Chú ý : Protection domain sẽ là “Global” trong danh sách nếu không cấu hình hoặc không sử dụng các protection domain Attack/Audit: Nếu tạo ra một sự kiện tùy chọn thì ô này sẽ không sử dụng. Nếu chỉnh sửa một sự kiện trong danh sách , vùng này sẽ hiển thị là audit hoặc attack Sự kiện audit là sự kiện về tìm kiếm các thông tin trên mạng Sự kiện attack là sự kiện tìm kiếm để làm hỏng mạng . Tag Name : điền miêu tả cho sự kiện (không thể thay đổi khi chỉnh sửa) Severity: Chọn mức độ nghiêm trọng cho sự kiện Protocol : Gõ giao thức (nếu đã có thì nó sẽ ở chế độ read-only) Ignore Events : Chọn nếu muốn thiết bị bỏ qua khi sự kiện này xảy ra Display: Chọn chế độ hiển thị No Display: không hiển thị khi phát hiện ra sự kiện WithoutRaw. Ghi lại tóm tắt sự kiện WithRaw. Ghi lại và kết hợp với bắt gói Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss Responses : cho phép phản hồi với các tùy chọn sau Email : chọn email phản hồi Quarantine : chọn kiểu cách ly SNMP . Chọn phản hồi SNMP từ danh sách User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa XPU : Chỉ cho các sự kiện đã tồn tại, hiển thị phiên bản XPU(read-only) Event Throttling : Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này . Mặc định là 0 (không cho phép) Check Date : hiển thị ngày tháng mà sự kiện được tạo ra (read-only) Default Protection : hiển thị protection mặc định được thiết lập cho sự kiện , như “Block”(read-only) User Overridden : nếu tạo mới một sự kiện , mặc định ô này là custom event và sự kiện đã sửa . 4. click Ok và lưu lại thay đổi Hình 9 – Security Events Chỉnh sửa nhiều sự kiện Để chỉnh sửa nhiều sự kiện : Chọn các Security Event Trên tab Security Event , làm một trong các việc sau : Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng Click Edit Mỗi mục được chỉnh sửa sẽ thay đổi cho toàn bộ sự kiện . Có một hình chữ nhật màu xanh xuất hiện bên cạnh mỗi mục khi giá trị trong mục đó của mỗi sự kiện là khác nhau. Nếu thay đổi giá trị ở mục này , giá trị sẽ được thiết lập cho toàn bộ các sự kiện được chọn và hình chữ nhật màu xanh không xuất hiện nữa. Ví dụ , nếu chỉnh sửa 2 sự kiện và một sự kiện cho phép block còn một sự kiện không, một hình chữ nhật xanh xuất hiện bên cạnh Block. Nếu cho phép block thì cả hai sự kiện sẽ cho phép block và hình chữ nhật xanh sẽ không xuất hiện . Click OK và lưu thay đổi Gán một protection domain cho nhiều sự kiện Khi có các protection domain đã được cấu hình, có thể gán cho chúng nhiều sự kiện bảo mật. Để gán một protection domain cho nhiều sự kiện bảo mật : Chọn các Security Event Trên tab Security Event , làm một trong các việc sau : Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng Click Copy Click Paste Chọn tất cả các mục bằng cách đánh dấu và chọn Edit Chon protection domain cần gán cho các sự kiện được chọn Chỉnh sửa thêm các thiết lập khác nếu cần Click Ok và lưu lại thay đổi Cấu hình phản hồi Phản hồi Phản hồi là các hành động của thiết bị khi có một sự kiện quan trọng trong mạng hoặc một đột nhập. Công việc của chúng ta là tạo ra các phản hồi và áp dụng nó vào các sự kiện. Chúng ta có thể cấu hình các loại phản hồi sau : Email. Gửi mail cảnh báo tới một nhóm hoặc một cá nhân. Thông tin chứng thực. ghi lại những thông tin cần thiết vào file log. Cách ly. Cách ly mạng với các tấn công. SNMP. Gửi SNMP trap tới một SNMP server. Đặc tả người dùng. Gửi cảnh báo dựa trên những yêu cầu đặc biệt người quản trị tạo ra để giám sát mạng. Một loại phản hồi mặc định của PG là phản hồi ngăn chặn (Block response), nó ngăn chặn tấn công bằng cách ngăn các gói tin và thiết lập lại kết nối TCP. Hoạt động của nó ở các hình thái khác nhau như sau : Bảng 2 – Hình thái hoạt động Ở hình thái... Thiết bị... Passive Monitoring Tắt Block response Inline Simulation Giám sát mạng và tạo cảnh báo những không ngăn các tấn công Inline Protection Ngăn chặn tấn công bằng cách loại bỏ gói tin và thiết lập lại kết nối TCP Một loại khác là phản hồi chối bỏ (Ignore response), được thiết lập cho các sự kiện an ninh, có tác dụng loại bỏ các gói tin phù hợp với những đặc tả trong sự kiện. Phản hồi này cũng có thể được thiết lập trong bộ lọc phản hồi (response filters) hay trong sự kiện an ninh (security events). Thông thường, phản hồi này được sử dụng khi muốn lọc những sự kiện an ninh mà không gây hại tới mạng. Email Để cấu hình phản hồi Email, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Email. Bấm Add Hoàn thành cấu hình chỉ ra trong bảng sau. Bảng 3 – Phản hồi email Setting Miêu tả Name Gõ tên cho phản hồi – nên có liên quan tới loại phản hồi SMTP Host Gõ domain name hay địa chỉ IP của mail server. (Chú ý rằng mail server phải truy cập được từ thiết bị) From Gõ địa chỉ mail, ngăn cách bởi dấu phẩy To Gõ địa chỉ mail, ngăn cách bởi dấu phẩy Sensor Parameters Gõ chủ đề và nội dung thông điệp, các tham biến cho nội dung mail Nhấn OK, save và thoát. Log Evidence Để cấu hình phản hồi lưu thông tin, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Log Evidence Ghi các thông tin cần thiết trong bảng sau Bảng 4 – Phản hồi Log Evidence Setting Miêu tả Maximum Files Gõ số file tối đa mà có thể chứa trong file log. Mặc định là 10 file, nếu quá số file tối đa thì file cũ nhất sẽ bị xóa Maximum File Size (KB) Gõ dung lượng tối đa của file lưu trữ, mặc định là 10000 Log File Prefix Gõ tiền tố của log file, mặc định là “evidence” Log File Suffix Gõ hậu tố, mặc định là “.enc” Lưu lại cấu hình. Quarantince Phản hồi này dùng để ngăn chặn thâm nhập khi phát hiện sự kiện an ninh hay kết nối. Nó cũng có thể chặn cả worm và trojan. Phản hồi này chỉ hoạt động ở hình thái Inline Protection. Có 3 loại cách ly trong PG Bảng 5 – Phân loại cách ly Đối tượng cách ly Miêu tả Quarantine Intruder Ngăn chặn hoàn toàn những máy liên quan tới tấn công Quarantine Trojan Cách ly những máy là nạn nhân của tấn công Quarantine Worm Cách ly những thứ worm đang tìm kiếm ví dụ như một cổng SQL Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau Bảng 6 – Phản hồi cách ly Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Victim Address Ngăn chặn gói tin dựa trên địa chỉ IP nạn nhân Victim Port Ngăn gói tin dựa trên cổng nạn nhân Intruder Address Ngăn chặn gói tin dựa trên địa chỉ IP kẻ đột nhập Intruder Port Ngăn gói tin dựa trên cổng kẻ đột nhập ICMP Code Ngăn gói tin dựa trên số mã ICMP ICMP Type Ngăn gói tin dựa trên số phân loại ICMP Nhấn OK và lưu lại. SNMP Phản hồi này lấy các thông tin từ các MIB của SNMP agent và gửi nó tới cho các server. Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau Bảng 7 – Phản hồi SNMP Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Manager Địa chỉ IP của SNMP server Community Tên dùng để chứng thực với các SNMP agent Nhấn OK và lưu lại. User Specified Chúng ta có thể sử dụng các file mã máy của linux hay file shell để làm file chạy cho phản hồi này. File chạy này cần được sao chép vào thiết bị để chạy. Mỗi sự kiện xác định chỉ chạy một file duy nhất nên nếu muốn chạy nhiều thao tác, cần đặt một tập hợp lệnh vào file đó. Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau. Bảng 8 – Phản hồi User Specified Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Command Gõ lệnh chạy của phản hồi Sensor Parameters Mở rộng danh sách ra và chọn add để lấy những tham số cần dùng Nhấn OK và lưu lại. Cấu hình bộ lọc phản hồi Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý. Có thể sử dụng theo các cách sau : Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc Giảm bớt số lượng sự kiện bảo mật mà thiết bị báo cáo tới máy quản lý Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép. Các thuộc tính của bộ lọc sự kiện adapter virtual LAN (VLAN) địa chỉ IP nguồn hay đích Số hiệu cổng nguồn hoặc đích hoặc mã ICMP Filters and other events Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện. Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới. Để thêm bộ lọc phản hồi: 1. Chọn Security Events. 2. Chọn tab Response Filters 3. Click Add. 4. Hoàn thành các thiết lập sau Enabled: mặc định là cho phép Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này. Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi Chỉ có thể chọn một sự kiện Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc) Comment: Điền miêu tả bộ lọc sự kiện Severity: Chọn mức độ nghiêm trọng của sự kiện Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc. Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc VLAN: điền dải VLAN mà bộ lọc áp dụng Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này. Mặc định là 0 (không cho phép) Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện Display: Chọn chế độ hiển thị No Display: không hiển thị khi phát hiện ra sự kiện WithoutRaw. Ghi lại tóm tắt sự kiện WithRaw. Ghi lại và kết hợp với bắt gói Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP ICMP Type/Code : điền loại hoặc mã ICMP Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss Responses : cho phép phản hồi với các tùy chọn sau Email : chọn email phản hồi Quarantine : chọn kiểu cách ly SNMP . Chọn phản hồi SNMP từ danh sách User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc 5. Hoàn thành các thiết lập về cổng và địa chỉ IP Address : Not : Loại những địa chỉ người cấu hình chỉ ra Any: chọn tất cả các địa chỉ Single Address : Lọc một địa chỉ và gõ địa chỉ Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . Không sử dụng 0.0.0.0-255.255.255.255. Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP và mask. Ví dụ 128.8.27.18 / 16. Port : Not : Loại những cổng người cấu hình chỉ ra Any: chọn tất cả các cổng Single Port : Lọc một địa chỉ và gõ địa chỉ Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . 6.Click Ok và lưu thay đổi Hình 10 – Response Filters Cấu hình tường lửa Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ. Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và đích của gói tin. Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó. Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau Adapter Tầm VLAN Giao thức (TCP, UDP, hay ICMP) Khoảng IP và cổng nguồn, đích Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra như sau : Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay phản hồi nào sau đó. Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi). Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1). Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out. Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới nguồn để bên nguồn ngắt kết nối nhanh hơn. Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây : Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80 (Action = “ignore”) adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255 (Action = “drop”) Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80. Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái inline. Để tắt hay bật tính năng tường lửa 1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Muốn bật tính năng tường lửa hay không? Nếu có, chọn Firewall Rules check