Mục lục
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT 1
DANH SÁCH BẢNG 1
DANH SÁCH HÌNH MINH HỌA 2
MỞ ĐẦU 4
CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 5
1.1. AN NINH MẠNG 5
1.2. HỆ THỐNG MẠNG VNUNET 5
1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet 5
1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet 6
CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP 8
2.1. KIẾN THỨC CƠ SỞ 8
2.1.1. Thâm nhập 8
2.1.2. Tấn công từ chối dịch vụ 9
2.1.3. Lỗ hổng bảo mật 11
2.1.4. Virus, Sâu và Trojan 13
2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG 14
2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP 18
2.3.1. Thu thập thông tin 18
2.3.2. Tấn công từ chối dịch vụ 18
2.3.3. Thâm nhập qua Trojan 19
2.3.4. Thâm nhập qua lỗ hổng bảo mật 20
CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP 23
3.1. CÁC KHÁI NIỆM CƠ BẢN 23
3.2. THIẾT BỊ IPS PROVENTIA G200 26
3.3. SITEPROTECTOR SYSTEM 28
3.3.1. SiteProtector System là gì? 28
3.3.2. Quá trình thiết lập hệ thống SiteProtector 30
3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS 32
3.4.1. Cài đặt 32
3.4.2. Cấu hình hình thái hoạt động 32
3.4.3. Cấu hình sự kiện an ninh 33
3.4.4. Cấu hình phản hồi 36
3.4.5. Cấu hình tường lửa 39
3.4.6. Cấu hình protection domain 39
3.4.7. Cấu hình cảnh báo 39
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 39
3.5.1. Ngăn chặn các hình thức thu thập thông tin 39
3.5.2. Ngăn chặn tấn công DoS 39
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan 39
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật 39
3.6. TRIỂN KHAI THỰC TẾ 39
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 39
4.1. KẾT QUẢ ĐẠT ĐƯỢC 39
4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 39
PHỤ LỤC A 39
PHỤ LỤC B 39
PHỤ LỤC C 39
PHỤ LỤC D 39
PHỤ LỤC E 39
85 trang |
Chia sẻ: netpro | Lượt xem: 3963 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu triển khai hệ thống IDS/IPS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
giám sát mạng mà không ảnh hưởng đến lưu thông. Ngoài những luật ngăn chặn phổ thông, nó còn có thể cách ly đối tượng. Không loại bỏ gói tin khi có phản ứng và thiết bị không thiết lập lại kết nối TCP. Hình thái này sử dụng cho việc thử nghiệm những luật an ninh mà không ảnh hưởng đến lưu thông mạng.
Passive Monitoring
Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sát mạng mà không điều khiển. Thường nó phản ứng với thâm nhập bằng những luật ngăn chặn phổ thông. Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặn kết nối TCP. Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thống mạng hiện tại cần.
SITEPROTECTOR SYSTEM [2]
SiteProtector System là gì?
SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh, điều khiển và giám sát cho tất cả các sản phẩm IBM ISS.
Các thành phần của hệ thống SiteProtector
Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có đều có chức năng riêng. Giao diện hệ thống SiteProtector xem các thành phần như là các agent.
Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật và quản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như:
X-Press Update Server
Desktop Protection agents
Proventia G appliances
Proventia Network IPS
Proventia Network MFS
Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm:
Cấu hình, cập nhật và quản lý hệ thống SiteProtector.
Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agent Desktop Protector, máy quét, thiết bị và bộ cảm ứng.
Tạo và quản lý các chính sách an ninh và các phản ứng.
Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thống SiteProtector giám sát.
Thiết lập người dùng và phân quyền.
Giám sát các vấn đề an ninh và các tổn hại đến mạng.
Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm, và bảo trì cơ sở dữ liệu.
Phát sinh các báo cáo
Phát sinh các ticket.
Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảo mật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba.
Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệ thống SiteProtector và các sản phẩm ISS khác từ một vị trí trung tâm trên mạng.
Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa.
Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS và gửi chúng tới Site Database để xử lý. Sau khi xử lý, dữ liệu có thể được hiển thị trong SiteProtector Console. Event Collector cũng gửi dữ liệu chưa được xử lý đến EventViewer.
Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật. Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector. Giao diện này được sử dụng chủ yếu để sửa lỗi. ISS khuyến cáo sử dụng Console cho các tác vụ quản lý an ninh.
Site Databasse: lưu trữ các thông tin sau
Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS
Thống kê các sự kiện bảo mật
Thông tin nhóm
Dữ liệu điều khiển và lệnh
Trạng thái XPU của tất cả các agent
Tài khoản người dùng hệ thống SiteProtector và phân quyền
Các ticket
Tùy chỉnh hiển thị, báo cáo và các thiết lập khác.
SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console và các agent khác trở lên dễ dàng hơn. Application Server giúp cho nhiều Console có thể cùng thực hiện các chức năng sau:
Giao tiếp với SiteProtector Database
Giám sát và quản lý cùng một tập các Event Collection và agent
Chú ý: Application Server chứa các Sensor Controller và X-Press Update Server. Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính. Ba thành phần này được tích hợp toàn bộ và không thể tách rời.
Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent khác trở lên dễ dàng.
X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc. Nó thực hiện các việc sau:
Kết nối tới trung tâm download ISS
Download các bản cập nhật.
Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán.
Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector được giới hạn. Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sự kiện bảo mật của hệ thống.
Quá trình thiết lập hệ thống SiteProtector
Các giai đoạn thiết lập
Cấu hình và cập nhật hệ thống:
Cấu hình các thành phần.
Cập nhật các thành phần.
Thiết lập tài khoản và phân quyền.
Thiết lập nhóm:
Lập kế hoạch tổ chức tài nguyên mạng và các agent thành các nhóm.
Tạo các nhóm và nhóm con.
Cấu hình các thuộc tính cho các nhóm.
Cấu hình agent:
Cài đặt, cập nhật và cấu hình các sản phẩm ISS khác mà ta muốn sử dụng với SiteProtector như các thiết bị, máy quét…
Kiểm tra việc đăng ký và cấu hình các sản phẩm để làm việc được với hệ thống SiteProtector.
Cấu hình chính sách:
Cấu hình chính sách an ninh và phản ứng cho các agent.
Cấu hình các phản ứng chính.
Cấu hình ticket.
Thiết lập tài nguyên:
Thêm các phân công tài nguyên quan trọng đối với hệ thống SiteProtector mà sẽ được giám sát bởi các agent.
Điều chỉnh nhóm phân công tài nguyên.
Sau khi thiết lập xong hệ thống SiteProtector, ta có thể cài đặt và cấu hình thêm các module.
Cấu hình giao diện tương tác
Thiết lập tùy chọn chung
Chúng ta có thể thiết lập các tùy chọn chung trong hệ thống SiteProtector để điều khiển hành vi của giao diện, như hiển thị mặc định khi khởi động, thời gian…
Để thiết lập các tùy chọn chung, trong giao diện tương tác chọn Tools -> Options. Trong cửa sổ Options có chứa các loại tùy chọn:
General
Chứa các tùy chọn khởi động, tùy chọn thời gian…
Dưới General là tab Table có các tùy chọn hiển thị bảng.
Logging
Điều khiển cách thức SiteProtector kiểm soát việc ghi log.
Documentation
Chọn lựa nguồn tài liệu tham khảo.
Browser
Tùy chọn cho trình duyệt tích hợp trên SiteProtector.
Global Summary
Chọn nội dung sẽ hiển thị sau khi khởi động giao diện (tương tự như homepage).
Notifications
Sử dụng để chỉ định loại và mức độ của thông báo hiển thị trên giao diện và cấu hình cảnh báo bằng email cho các thông báo mức cao và nguy hiểm.
Report
Sử dụng để chèn logo công ty vào báo cáo.
Authentication
Sử dụng khi Site yêu cầu chứng nhận người dùng để đăng nhập vào hệ thông SiteProtector. Chứng nhận có thể chứa sẵn trong Windows hoặc từ một smart card.
Summary
Chọn nội dung được hiển thị trong mục summary
Asset
Chứa một số tùy chọn về hiển thị của mục Asset
Ticket
Thay đổi hiển thị mặc định của mục Ticket
Agent
Thay đổi hiển thị mặc định của mục Agent.
Analysis
Chọn nội dung để hiển thị trong mục Analysis
SiteProtector được sử dụng trong khóa luận này chỉ với mục đích điều khiển và cấu hình thiết bị IPS một cách dễ dàng hơn. Tuy nhiên trong tương lai, các thiết bị giám sát mạng được nâng cấp về số lượng và chất lượng thì siteProtector sẽ trở thành hệ thống không thể thiếu trong việc đảm bảo an ninh cho hệ thống mạng đại học quốc gia.
CÀI ĐẶT VÀ CẤU HÌNH IPS [5]
Cài đặt
Hệ điều hành sử dụng trong IPS Proventia G200 là một hệ điều hành riêng của IBM dựa trên Linux, phiên bản G-Series.1.7_2008.1105_15.57.25. Về cơ bản cài đặt hệ điều hành này cũng giống như cài đặt một hệ điều hành Linux thông thường.
Trong khi cài đặt, hệ điều hành sẽ yêu cầu nhập địa chỉ mạng cho cổng manager của IPS.
Sau khi cài đặt hệ điều hành, các cấu hình cơ bản của thiết bị như ngày giờ, tên thiết bị, tên miền hay địa chỉ IP của thiết bị được cấu hình trực tiếp trong giao diện dòng lệnh của thiết bị. Giao diện web được truy cập thông qua địa chỉ vừa đặt. Cấu hình các luật tường lửa và sự kiện an ninh, phản hồi được thiết lập tại giao diện này. Một công việc quan trọng khác trong giao diện web này là đăng kí địa chỉ máy cài đặt phần mềm quản lý SiteProtector với IPS.
Sử dụng SiteProtector ta có thể điều khiển và cấu hình IPS một cách dễ dàng hơn. Ngoài ra khi sử dụng phần mềm này, ta có thể đặt thêm signature để nhận biết dễ dàng hơn các tấn công và thâm nhập.
Cấu hình hình thái hoạt động
Thiết bị IPS có 3 hình thái hoạt động như đã nói ở trên :
passive monitoring
inline simulation
inline protection
Thiết bị yêu cầu chọn một trong 3 hình thái này khi mới cài đặt phần mềm cho thiết bị.
Chú ý : cấu hình tắc nghẽn mạng, những đại lý không phản hồi và những tùy chọn cập nhật đại lý chỉ có ở trong hình thái inline protection. Chúng không được sử dụng trong hình thái passive.
Có thể chọn lại hình thái hoạt động đã sử dụng khi cài đặt thiết bị bằng cách sau.
1. Thiết lập một giao diện cấu hình nội bộ (cổng console) và đăng nhập vào.
2. Trong thực đơn cấu hình, chọn Agent Mode và ấn ENTER. Màn hình cấu hình hình thái sẽ xuất hiện.
3. Chọn hình thái hoạt động bằng cách bấm phím SPACE BAR. Những hình thái có thể chọn là :
Inline Protection
Inline Simulation
Passive Monitoring
4. Ấn ENTER.
Màn hình cấu hình hình thái sẽ xuất hiện trở lại.
Chúng ta cũng có thể cấu hình các hình thái hoạt động trong site protector. Để thay đổi hình thái, làm theo các bước sau đây :
1. Trong SiteProtector Site Manager, chọn thiết bị.
2. Trong cửa sổ Inline Appliance Properties, chọn thẻ General.
3. Trong vùng Inline Appliance Mode, chọn hình thái từ danh sách.
4. Nhấn OK.
Cấu hình sự kiện an ninh
Trang security event liệt kê hàng trăm sự kiện tấn công và bảo mật. Một sự kiện tấn công và bảo mật là các lưu lượng mạng mang nội dung tấn công hoặc một hành động đáng ngờ. Các sự kiện này được xảy ra khi mà lưu lượng mạng trùng với một trong các sự kiện trong chính sách bảo mật được kích hoạt.
Chú ý là tất cả các sự kiện đều được liệt kê dưới miền bảo mật toàn cục. Thiết bị luôn luôn sử dụng một chính sách bảo mật toàn cục, điều này có nghĩa là nó sử dụng các sử kiện bảo mật theo cùng một kiểu cho tất cả các vùng của mạng. Nên cấu hình các sự kiện ở cấp độ toàn cục. Nếu muốn cấu hình các chính sách bảo mật cho một segment đặc biệt trên mạng, cần tạo ra các protection domain cho mỗi segment
Để thêm các sự kiện bảo mật :
1. Chọn Security Events.
2. Trên tab Security Events, click Add.
3. Hoàn thành hoặc thay đổi các thiết lập được chỉ ra sau :
Enabled : chọn ô này để cho phép sự kiện này thành một phần của chính sách bảo mật
Protection Domain : nếu các protection domain đã được cấu hình, chọn một từ danh sách. Chỉ có thể đặt một sự kiện cho một miền vào một thời điểm , để cấu hình sự kiện này cho một miền khác , phải sao chép và đổi tên sự kiện sau đó gán nó cho miền khác .
Chú ý : Protection domain sẽ là “Global” trong danh sách nếu không cấu hình hoặc không sử dụng các protection domain
Attack/Audit: Nếu tạo ra một sự kiện tùy chọn thì ô này sẽ không sử dụng.
Nếu chỉnh sửa một sự kiện trong danh sách , vùng này sẽ hiển thị là audit hoặc attack
Sự kiện audit là sự kiện về tìm kiếm các thông tin trên mạng
Sự kiện attack là sự kiện tìm kiếm để làm hỏng mạng .
Tag Name : điền miêu tả cho sự kiện (không thể thay đổi khi chỉnh sửa)
Severity: Chọn mức độ nghiêm trọng cho sự kiện
Protocol : Gõ giao thức (nếu đã có thì nó sẽ ở chế độ read-only)
Ignore Events : Chọn nếu muốn thiết bị bỏ qua khi sự kiện này xảy ra
Display: Chọn chế độ hiển thị
No Display: không hiển thị khi phát hiện ra sự kiện
WithoutRaw. Ghi lại tóm tắt sự kiện
WithRaw. Ghi lại và kết hợp với bắt gói
Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP
Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss
Responses : cho phép phản hồi với các tùy chọn sau
Email : chọn email phản hồi
Quarantine : chọn kiểu cách ly
SNMP . Chọn phản hồi SNMP từ danh sách
User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa
XPU : Chỉ cho các sự kiện đã tồn tại, hiển thị phiên bản XPU(read-only)
Event Throttling : Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này . Mặc định là 0 (không cho phép)
Check Date : hiển thị ngày tháng mà sự kiện được tạo ra (read-only)
Default Protection : hiển thị protection mặc định được thiết lập cho sự kiện , như “Block”(read-only)
User Overridden : nếu tạo mới một sự kiện , mặc định ô này là custom event và sự kiện đã sửa .
4. click Ok và lưu lại thay đổi
Hình 9 – Security Events
Chỉnh sửa nhiều sự kiện
Để chỉnh sửa nhiều sự kiện :
Chọn các Security Event
Trên tab Security Event , làm một trong các việc sau :
Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện
Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng
Click Edit
Mỗi mục được chỉnh sửa sẽ thay đổi cho toàn bộ sự kiện . Có một hình chữ nhật màu xanh xuất hiện bên cạnh mỗi mục khi giá trị trong mục đó của mỗi sự kiện là khác nhau. Nếu thay đổi giá trị ở mục này , giá trị sẽ được thiết lập cho toàn bộ các sự kiện được chọn và hình chữ nhật màu xanh không xuất hiện nữa.
Ví dụ , nếu chỉnh sửa 2 sự kiện và một sự kiện cho phép block còn một sự kiện không, một hình chữ nhật xanh xuất hiện bên cạnh Block. Nếu cho phép block thì cả hai sự kiện sẽ cho phép block và hình chữ nhật xanh sẽ không xuất hiện .
Click OK và lưu thay đổi
Gán một protection domain cho nhiều sự kiện
Khi có các protection domain đã được cấu hình, có thể gán cho chúng nhiều sự kiện bảo mật.
Để gán một protection domain cho nhiều sự kiện bảo mật :
Chọn các Security Event
Trên tab Security Event , làm một trong các việc sau :
Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện
Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng
Click Copy
Click Paste
Chọn tất cả các mục bằng cách đánh dấu và chọn Edit
Chon protection domain cần gán cho các sự kiện được chọn
Chỉnh sửa thêm các thiết lập khác nếu cần
Click Ok và lưu lại thay đổi
Cấu hình phản hồi
Phản hồi
Phản hồi là các hành động của thiết bị khi có một sự kiện quan trọng trong mạng hoặc một đột nhập. Công việc của chúng ta là tạo ra các phản hồi và áp dụng nó vào các sự kiện. Chúng ta có thể cấu hình các loại phản hồi sau :
Email. Gửi mail cảnh báo tới một nhóm hoặc một cá nhân.
Thông tin chứng thực. ghi lại những thông tin cần thiết vào file log.
Cách ly. Cách ly mạng với các tấn công.
SNMP. Gửi SNMP trap tới một SNMP server.
Đặc tả người dùng. Gửi cảnh báo dựa trên những yêu cầu đặc biệt người quản trị tạo ra để giám sát mạng.
Một loại phản hồi mặc định của PG là phản hồi ngăn chặn (Block response), nó ngăn chặn tấn công bằng cách ngăn các gói tin và thiết lập lại kết nối TCP. Hoạt động của nó ở các hình thái khác nhau như sau :
Bảng 2 – Hình thái hoạt động
Ở hình thái...
Thiết bị...
Passive Monitoring
Tắt Block response
Inline Simulation
Giám sát mạng và tạo cảnh báo những không ngăn các tấn công
Inline Protection
Ngăn chặn tấn công bằng cách loại bỏ gói tin và thiết lập lại kết nối TCP
Một loại khác là phản hồi chối bỏ (Ignore response), được thiết lập cho các sự kiện an ninh, có tác dụng loại bỏ các gói tin phù hợp với những đặc tả trong sự kiện. Phản hồi này cũng có thể được thiết lập trong bộ lọc phản hồi (response filters) hay trong sự kiện an ninh (security events). Thông thường, phản hồi này được sử dụng khi muốn lọc những sự kiện an ninh mà không gây hại tới mạng.
Email
Để cấu hình phản hồi Email, vào các mục sau :
a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects.
Chọn thẻ Email.
Bấm Add
Hoàn thành cấu hình chỉ ra trong bảng sau.
Bảng 3 – Phản hồi email
Setting
Miêu tả
Name
Gõ tên cho phản hồi – nên có liên quan tới loại phản hồi
SMTP Host
Gõ domain name hay địa chỉ IP của mail server.
(Chú ý rằng mail server phải truy cập được từ thiết bị)
From
Gõ địa chỉ mail, ngăn cách bởi dấu phẩy
To
Gõ địa chỉ mail, ngăn cách bởi dấu phẩy
Sensor Parameters
Gõ chủ đề và nội dung thông điệp, các tham biến cho nội dung mail
Nhấn OK, save và thoát.
Log Evidence
Để cấu hình phản hồi lưu thông tin, vào các mục sau :
a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects.
Chọn thẻ Log Evidence
Ghi các thông tin cần thiết trong bảng sau
Bảng 4 – Phản hồi Log Evidence
Setting
Miêu tả
Maximum Files
Gõ số file tối đa mà có thể chứa trong file log. Mặc định là 10 file, nếu quá số file tối đa thì file cũ nhất sẽ bị xóa
Maximum File Size (KB)
Gõ dung lượng tối đa của file lưu trữ, mặc định là 10000
Log File Prefix
Gõ tiền tố của log file, mặc định là “evidence”
Log File Suffix
Gõ hậu tố, mặc định là “.enc”
Lưu lại cấu hình.
Quarantince
Phản hồi này dùng để ngăn chặn thâm nhập khi phát hiện sự kiện an ninh hay kết nối. Nó cũng có thể chặn cả worm và trojan. Phản hồi này chỉ hoạt động ở hình thái Inline Protection.
Có 3 loại cách ly trong PG
Bảng 5 – Phân loại cách ly
Đối tượng cách ly
Miêu tả
Quarantine Intruder
Ngăn chặn hoàn toàn những máy liên quan tới tấn công
Quarantine Trojan
Cách ly những máy là nạn nhân của tấn công
Quarantine Worm
Cách ly những thứ worm đang tìm kiếm ví dụ như một cổng SQL
Để cấu hình phản hồi, vào các mục sau :
a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects.
Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.
Hoàn thành thông tin ghi trong bảng sau
Bảng 6 – Phản hồi cách ly
Setting
Miêu tả
Name
Gõ tên cho phản hồi, nên có ý nghĩa
Victim Address
Ngăn chặn gói tin dựa trên địa chỉ IP nạn nhân
Victim Port
Ngăn gói tin dựa trên cổng nạn nhân
Intruder Address
Ngăn chặn gói tin dựa trên địa chỉ IP kẻ đột nhập
Intruder Port
Ngăn gói tin dựa trên cổng kẻ đột nhập
ICMP Code
Ngăn gói tin dựa trên số mã ICMP
ICMP Type
Ngăn gói tin dựa trên số phân loại ICMP
Nhấn OK và lưu lại.
SNMP
Phản hồi này lấy các thông tin từ các MIB của SNMP agent và gửi nó tới cho các server.
Để cấu hình phản hồi, vào các mục sau :
a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects.
Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.
Hoàn thành thông tin ghi trong bảng sau
Bảng 7 – Phản hồi SNMP
Setting
Miêu tả
Name
Gõ tên cho phản hồi, nên có ý nghĩa
Manager
Địa chỉ IP của SNMP server
Community
Tên dùng để chứng thực với các SNMP agent
Nhấn OK và lưu lại.
User Specified
Chúng ta có thể sử dụng các file mã máy của linux hay file shell để làm file chạy cho phản hồi này. File chạy này cần được sao chép vào thiết bị để chạy. Mỗi sự kiện xác định chỉ chạy một file duy nhất nên nếu muốn chạy nhiều thao tác, cần đặt một tập hợp lệnh vào file đó.
Để cấu hình phản hồi, vào các mục sau :
a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects.
Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.
Hoàn thành thông tin ghi trong bảng sau.
Bảng 8 – Phản hồi User Specified
Setting
Miêu tả
Name
Gõ tên cho phản hồi, nên có ý nghĩa
Command
Gõ lệnh chạy của phản hồi
Sensor Parameters
Mở rộng danh sách ra và chọn add để lấy những tham số cần dùng
Nhấn OK và lưu lại.
Cấu hình bộ lọc phản hồi
Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý.
Có thể sử dụng theo các cách sau :
Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc
Giảm bớt số lượng sự kiện bảo mật mà thiết bị báo cáo tới máy quản lý
Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép.
Các thuộc tính của bộ lọc sự kiện
adapter
virtual LAN (VLAN)
địa chỉ IP nguồn hay đích
Số hiệu cổng nguồn hoặc đích hoặc mã ICMP
Filters and other events
Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện.
Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới.
Để thêm bộ lọc phản hồi:
1. Chọn Security Events.
2. Chọn tab Response Filters
3. Click Add.
4. Hoàn thành các thiết lập sau
Enabled: mặc định là cho phép
Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này.
Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi
Chỉ có thể chọn một sự kiện
Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc)
Comment: Điền miêu tả bộ lọc sự kiện
Severity: Chọn mức độ nghiêm trọng của sự kiện
Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc.
Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc
VLAN: điền dải VLAN mà bộ lọc áp dụng
Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này. Mặc định là 0 (không cho phép)
Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện
Display: Chọn chế độ hiển thị
No Display: không hiển thị khi phát hiện ra sự kiện
WithoutRaw. Ghi lại tóm tắt sự kiện
WithRaw. Ghi lại và kết hợp với bắt gói
Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP
ICMP Type/Code : điền loại hoặc mã ICMP
Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss
Responses : cho phép phản hồi với các tùy chọn sau
Email : chọn email phản hồi
Quarantine : chọn kiểu cách ly
SNMP . Chọn phản hồi SNMP từ danh sách
User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa
IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc
5. Hoàn thành các thiết lập về cổng và địa chỉ IP
Address :
Not : Loại những địa chỉ người cấu hình chỉ ra
Any: chọn tất cả các địa chỉ
Single Address : Lọc một địa chỉ và gõ địa chỉ
Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .
Không sử dụng 0.0.0.0-255.255.255.255.
Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP và mask. Ví dụ 128.8.27.18 / 16.
Port :
Not : Loại những cổng người cấu hình chỉ ra
Any: chọn tất cả các cổng
Single Port : Lọc một địa chỉ và gõ địa chỉ
Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .
6.Click Ok và lưu thay đổi
Hình 10 – Response Filters
Cấu hình tường lửa
Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ.
Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và đích của gói tin.
Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó.
Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau
Adapter
Tầm VLAN
Giao thức (TCP, UDP, hay ICMP)
Khoảng IP và cổng nguồn, đích
Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra như sau :
Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay phản hồi nào sau đó.
Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi).
Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1).
Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out.
Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới nguồn để bên nguồn ngắt kết nối nhanh hơn.
Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây :
Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80
(Action = “ignore”)
adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255
(Action = “drop”)
Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80.
Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái inline.
Để tắt hay bật tính năng tường lửa
1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules.
2. Muốn bật tính năng tường lửa hay không?
Nếu có, chọn Firewall Rules check
Các file đính kèm theo tài liệu này:
- Nghiên cứu triển khai hệ thống ids-ips.doc