Page | 1 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn TÀI LIỆU THIẾT KẾ, CẤU HÌNH QUẢN TRỊ VÀ GIẢI QUYẾT SỰ CỐ KHI TRIỂN KHAI SOURCEFIRE IPS [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 2 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn BẢNG THEO DÕI THAY ĐỔI Phiên bản Ngày cập nhật Người cập nhật Chú thích 2.0 6/2012 Hoàng Tuấn Đạt First Release [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 3 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn Nội dung chính của tài liệu I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7 II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8 III. TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22 IV. QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53 V. PHÂN TÍCH EVENTS 72 VI. THIẾT KẾ VÀ TẠO REPORT 86 VII. GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101 VIII. KẾT LUẬN 104 [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 4 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn Mục lục I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7 1. Mục đích của tài liệu 7 2. Phạm vi tài liệu 7 II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8 1. Tính năng thiết kế 9 2. Mô hình triển khai điển hình của Sourcefire 11 3. Nguyên lý hoạt động của hệ thống IDS/IPS Sourcefire 12 4. Nguyên tắc quản trị 17 5. Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động 18 6. Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội. 19 a. Mô hình tổng thể. 19 b. Mô hình chi tiết các vùng 19 III. TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22 1. Thiết lập các thông số quản trị cho các thiết bị Sourcefire 23 2. Active License cho các thiết bị Sourcefire 25 3. Upgrade cho các thiết bị Sourcefire 27 4. Cấu hình các thiết lập hệ thống (System settings) 29 a. Information 30 b. License 30 c. Network 31 d. Network Interface 31 e. Process 32 f. Remote Management 32 g. Time 32 g. Ngoài ra còn có một số thiết lập khác như 32 5. Thiết lập quản trị tập trung cho các thiết bị Sourcefire 33 6. Thiết lập System policy áp dụng cho các thiết bị Sourcefire 35 7. Thiết lập Health Policy cho các thiết bị 40 [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 5 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn 8. Thiết lập quản lý Users 41 9. Giám sát hệ thống 42 10. Bộ công cụ hỗ trợ 46 11. Cấu hình Interface Sets và Detection Engine. 50 IV. QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53 1. Quản trị IPS 54 2. Quản trị RNA 64 3. Quản trị chính sách bảo mật 69 V. PHÂN TÍCH EVENTS 72 1. Event Summary 72 2. Phân tích Event về IPS 78 3. Phân tích Event về RNA 81 VI. THIẾT KẾ VÀ TẠO REPORT 86 1. Các bước thực hiện tạo Report profile. 86 a. Tạo Report profile theo đúng tài liệu thiết kế 86 c. Tạo các Report Profile từ Search Query. 92 2. Gửi report tự động 93 a. Cấu hình Email Notification 93 b. Tạo Task tự động gửi mail 94 3. Gửi cảnh báo các cuộc tấn công nguy hiểm tự động 96 a. Tạo Policy Compliance 96 b. Tạo Responses 99 VII. GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101 VIII. KẾT LUẬN 104 [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 6 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn Bảng các thuật ngữ sử dụng trong tài liệu STT Thuật ngữ Viết đầy đủ Một vài thông tin 1 DC Defense Center Thiết bị Sourcefire DC cho phép quản lý tập trung các thiết bị Sourcefire khác. Cung cấp các tính năng khác cho giải pháp Sourcefire 2 3D Sensor 3D Sensor Thiết bị Sourcefire 3D Sensor làm nhiệm vụ Monitoring và thực thi các chính sách IPS/IDS 3 IDS Intrusion Detection System Tính năng trên thiết bị 3D Sensor cho phép phát hiện các cuộc tấn công mạng. 4 IPS Intrusion Prevention System Tính năng trên thiết bị 3D Sensor chop phép phát hiện và ngăn chặn các cuộc tấn công mạng. 5 RNA Real-Time Network Awareness Là một tính năng của giải pháp Sourcefire: - Network profile - Kết hợp với IPS/IDS tối ưu bảo vệ hệ thống mạng 6 RUA Real-time Users Awareness Cho phép lưu các sự kiện với yếu tố người dùng 7 Event Event Một sự kiện về bảo mật 8 Span Port Span Port Span Port là port sử dụng trên các thiết bị Switch/router cho phép monitoring traffic các VLAN. Thiết bị Sourcefire khi hoạt động chế độ IDS sẽ cần sử dụng Span Port 9 Interface Interface Interface trên thiết bị 10 Management Interface Management Interface Cổng quản trị của thiết bị 11 Interface Sets Interface Sets Nhóm các Interface 12 Detection Engine Detection Engine Engine phát hiện các cuộc tấn công trên các Interface Sets 13 Intrusion Policy Intrusion Policy Policy áp dụng cho các Detection Engine 14 NOTE NOTE Các chú ý phụ khác 15 SEU Security Enhancement Update Update rule cho thiết bị Sourcefire [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 7 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 1. Mục đích của tài liệu - Là tài liệu chi tiết về nguyên lý hoạt động cấu hình, giám sát và giải quyết sự cố liên quan tới việc triển khai thiết bị IPS Sourcefire tại KHÁCH HÀNGAAA HN. Đây là tài liệu với mục đích viết ra cho người triển khai, quản trị và giám sát hệ thống IPS/IDS sử dụng. - Cung cấp cho người quản trị hiểu bản chất và nguyên lý hoạt động của thiết bị IPS Sourcefire. - Mô hình tích hợp hệ thống phù hợp để người quản trị của KHÁCH HÀNGAAA HN có thể tích hợp vào mô hình thực tế. Cấu hình phù hợp và đầy đủ các tính năng của thiết bị. - Giám sát hoạt động của thiết bị và giải quyết các sự cố liên quan. 2. Phạm vi tài liệu - Tài liệu áp dụng cho việc vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho vùng DMZ, ServerFarm. [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 8 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 1. Tính năng thiết kế 2. Mô hình triển khai IPS/IDS điển hình của Sourcefire 3. Nguyên lý hoạt động của hệ thống IPS Sourcefire 4. Nguyên tắc quản trị 5. Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động 6. Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 9 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn 1. Tính năng thiết kế - Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn công, các nguy cơ tiềm ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc Server Frame của KHÁCH HÀNGAAA Hà Nội - Tính năng RNA bổ xung cho IPS/IDS cung cấp tính năng Network profile (OS, Services, Open Ports, Vulnerability, Host static). Từ đó kết hợp với IPS/IDS để tự động cấu hình, tinh chỉnh Rules Yêu cầu tính năng cụ thể về hệ thống IPS tại KHÁCH HÀNGAAA Hà Nội STT Tính năng Mô tả 1 Tính năng IPS bảo vệ các vùng mạng - Phát hiện các cuộc tấn công từ bên ngoài như Worms, Trojans, Buffer overflows, DoS attacks, Backdoor attacks, Spyware, Port scans, VoIP attacks, IPv6 attacks, Statistical anomalies, Protocol anomalies, P2P attacks, Blended threats, Zero-day attacks… vào các server dịch vụ - Có thể xác lập các qui tắc ngăn chặn các cuộc tấn công hoặc xác lập chế độ tự động tinh chỉnh tùy theo các dịch vụ - Đưa ra các báo cáo về các cuộc tấn công, các lỗ hổng bảo mật 2 Tính năng IDS phát hiện các cuộc tấn công cho các VLAN thiết lập giám sát. - Phát hiện và đưa ra các báo cáo về các cuộc tấn công, các nguy cơ bảo mật, lỗ hổng an ninh… của các server, dịch vụ của các VLAN giám sát. - Phát hiện các cuộc tấn công, các nguy cơ bảo mật… từ người dùng - Trong trường hợp xảy ra tấn công từ ngoài vào các host trong vùng giám sát thì có thể thiết lập tính năng IPS trên thiết bị để bảo vệ các host ngăn chặn tấn công từ bên ngoài vào các vùng đó 3 Tính năng giám sát cảnh báo tức thời (Real time Network Awarreness - RNA) - RNA giúp phát hiện các nguy cơ an ninh mạng: Network profile (OS, Services, Open Ports, Vulnerability, Host static). RNA kết hợp với IPS, IDS để tự động active/disable các rules cần thiết để bảo vệ hệ thống mạng. [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page | 10 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn STT Tính năng Mô tả - Tính năng Passive Scan cho phép RNA phát hiện nguy cơ an ninh hệ thống mạng mà không ảnh hưởng tới năng lực hệ thống mạng 4 IT Policy complicance - Đưa ra những cảnh báo những vi phạm về chính sách bảo mật. Những vi phạm này có thể là: một cuộc tấn công nguy hiểm xảy ra, một sự cố liên quan tới một máy chủ hay một dịch vụ. - Cảnh báo có thể thực hiện qua Email, SNMP hay SYSLOG. [...]... cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 2 Mô hình triển khai điển hình của Sourcefire Phân tích mô hình điển hình của Sourcefire - Sourcefire có hai dòng sản phẩm, Sourcefire Defense Center là thiết bị quản lý tập trung, Sourcefire 3D Sensor là dòng thiết bị Sensor cung cấp các tính năng IPS/ IDS - Sourcefire Khi triển khai vào hệ thống có thể hoạt động Inline (IPS) ... kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] - 6, 2012 Mô hình quản lý tập trung Management VLAN Mgt_port Sourcefire 3D3500 Sensor Mgt_port Sourcefire DC1500 Switch Mgt_port Sourcefire 3D3500 Sensor Thiết lập mạng quản lý cho các thiết bị IPS/ IDS: Kết nối các cổng mangement trên các thiết bị Sensor 3D3500 và Sourcefire DC1500 một VLAN quản lý trên mạng Từ đây, thiết bị Sourcefire. .. Sensing và chịu sự quản lý bởi thiết bị Sourcefire DC1500 b Các bước tiến hành cấu hình Việc cấu hình quản trị tập trung trên các thiết bị Sourcefire cần phải thực hiện trên cả hai thiết bị Sourcefire DC và Sourcefire 3D Sensor - Trên Sourcefire 3D Sensor phải thiết lập chịu sự quản lý của thiết bị DC nào dựa vào (IP, Port, Registration Key) - Trên thiết bị Sourcefire DC phải thiết lập thêm Sensor dựa vào... Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 5 Thiết lập quản trị tập trung cho các thiết bị Sourcefire - Giải pháp Sourcefire sử dụng thiết bị Sourcefire DC quản lý các thiết bị Sourcefire 3D Sensor Toàn bộ mọi thiết lập trên Sourcefire 3D Sensor đều có thể thực hiện trên thiết bị Sourcefire DC - Tại KHÁCH HÀNGAAA Hà Nội sau khi thực hiện thiết lập quản lý tập... Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 6 Mô hình triển khai Sourcefire IDS /IPS tại KHÁCH HÀNGAAA Hà Nội a Mô hình tổng thể Mô hình tổng thể tích hợp IPS Sourcefire vào hệ thống mạng KHÁCH HÀNGAAA Hà Nội Extranet Zone GPC VNPT-Net VDC Đại lý Internet SW6509 GW-HNI SW2960 Mail E-Office Server Web Applications Server Epay App SW2960 IPS/ IDS ASA5580 IPS/ IDS... kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Riêng đối với thiết bị Sourcefire DC1500 cần phải active nhiều license: RNA, còn lại các thiết bị Sourcefire 3D Sensor 3D3500 chỉ cần Base License IPS là đủ 3 Upgrade cho các thiết bị Sourcefire - Sourcefire cho phép Update tự động hoặc do người quản trị upload gói update download từ trang support của Sourcefire (Người quản. .. www.i-train.vn [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] e 6, 2012 Process Người quản trị có thể truy cập vào mục process để đưa ra các lệnh như: Shutdown, Reboot hoặc Restart thiết bị Sourcefire f Remote Management Người quản trị có thể thực hiện việc quản lý tập trung các thiết bị của Sourcefire theo đúng như tài liệu thiết kế: Thiết bị DC1500 quản lý 2 thiết bị Sensor... trung cho các thiết bị Sourcefire, mọi cấu hình sẽ được thực hiện trên thiết bị Sourcefire DC1500 a Mô hình quản trị tập trung của Sourcefire tại KHÁCH HÀNGAAA Hà Nội Management VLAN Mgt_port Sourcefire 3D3500 Sensor Mgt_port Sourcefire DC1500 Switch Mgt_port Sourcefire 3D3500 Sensor - Thiết bị Sourcefire DC1500 làm vai trò quản lý các thiết bị Sourcefire trong hệ thống - Thiết bị Sourcefire 3D Sensor... Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 E-Office Server Applications Server ASA5580 Sourcefire 3D3500 Inline fail open mode Database Server SW2960G Server Farm Zone - Mô hình triển khai IPS để bảo vệ vùng DMZ Cấu hình 1 cặp cổng quang trên thiết bị Sensor 3D3500 còn lại hoạt động ở chế độ IPS (Inline fail-open mode) và đấu nối cặp cổng này xen giữa vào kết... cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Sơ đồ giải thích nguyên lý hoạt động của IDS /IPS Sourcefire Page | 13 Copyright by Tocbatdat Research Manager of I-Train CÔNG TY TNHH I-TRAIN Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn [TL: Thiết kế, cấu hình quản trị và . TÀI LIỆU THIẾT KẾ, CẤU HÌNH QUẢN TRỊ VÀ GIẢI QUYẾT SỰ CỐ KHI TRIỂN KHAI SOURCEFIRE IPS [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page. thống IDS /IPS vào hệ thống đang hoạt động 6. Mô hình triển khai Sourcefire IDS /IPS tại KHÁCH HÀNGAAA Hà Nội [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] . cho việc vận hành và quản trị đối với hệ thống IPS/ IDS áp dụng cho vùng DMZ, ServerFarm. [TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS] 6, 2012 Page