1. Trang chủ
  2. » Tất cả

Quy trình cài đặt và kiểm tra sourcefire3d

13 628 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 13
Dung lượng 474,69 KB

Nội dung

Phạm vi Sourcefire: - Vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho vùng DMZ, ServerFarm, hệ thống cần giám sát - Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc t

Trang 1

Quy trình cài đặt và kiểm tra Sourcefire3D

Mục Lục

1. Các yêu cầu cần thiết trước khi cài Sourcefire3D

1 1.1 Yêu cầu thiết bị

- Chuẩn bị 01 thiết bị cài được vmware esxi

- Có 03 card mạng với chế độ IPS và 02 card mạng với IDS

- RAM yêu cầu 8Gb

- CPU 3.0 trở lên

- Bộ nhớ ngoài (HDD): tối thiểu 160GB

- Nguồn điện hỗ trợ: 100-240V

- Dây mạng theo chuẩn có bấm đầu mạng

2 1.2 Đánh giá và chuẩn bị môi trường cài đặt

- Môi trường phù hợp vmware esxi

- Phải đủ các điều kiện phần cứng như trên

- Đánh giá yêu cầu đặt thiết bị Sensor

3 1.3 Chuẩn bị phần mềm

- Chuẩn bị phần mềm Sourcefie3D sensor

- Phần mềm có bản quyền

2. Thông tin cơ bản về Sourcefire3D Sensor

1 2.1 Phạm vi Sourcefire:

- Vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho vùng

DMZ, ServerFarm, hệ thống cần giám sát

- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn

công, các nguy cơ tiềm ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc Server Frame

- Phát hiện và đưa ra các báo cáo về các cuộc tấn công, các

nguy cơ bảo mật, lỗ hổng an ninh… của các server, dịch vụ của các VLAN giám sát

Trang 2

- Phát hiện các cuộc tấn công, các nguy cơ bảo mật.Từ người dùng đưa ra những cảnh báo những vi phạm về chính sách bảo mật Những vi phạm này có thể là: một cuộc tấn công nguy hiểm xảy ra, một sự cố liên quan tới một máy chủ hay một dịch vụ

2 2.2 Mô hình điển hình của Sourcefire:

- Sourcefire Khi triển khai vào hệ thống có thể hoạt động Inline (IPS) hoặc Passive (IDS), để có thể phát hiện và ngăn chặn các cuộc tấn

công hay các nguy cơ an ninh mạng

- Các Event của các Sensor sẽ được chuyển về thiết bị quản lý tập trung

3 2.3 Nguyên lý hoạt động của Sourcefire:

a. Nguyên lý chung:

- Interface Sets: Interface Sets được tạo ra có ở hai mode Passive và

Inline

- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface

Sets (như những người gác cổng)

- Policy: Là chính sách áp dụng cho các loại Detection Engine.

b. Giải thích:

- Step 1: Các port sensing trên thiết bị Sourcefire 3D Sensor được nhóm lại thành: Interface Sets Mô hình trên là tạo ra Interface Sets

ở dạng Inline mode

- Step 2: Trên các interface sets này tạo ra các Detection Engine với chức năng giám sát

- Step 3: Để các Detection Engine hoạt động cần phải xây dựng chính sách thiết lập để áp dụng cho các Detection Engine này

- Step 4: Khi Detection Engine có các hành động block traffic hay phát hiện ra các nguy cơ an ninh sẽ đưa ra các Event

c. Nguyên lý phân tích gói tin

- Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được: + Decode bởi thành phần Decoders của Sourcefire

+ Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors + Gói tin sẽ được so sánh với tập Rules được sử dụng + Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event + Các Event đó có thể được lọc ra thành các dạng Event khác nhau

- Nội dung của event:

+ Time: Thời gian chính xác của event + Priority: Mức độ ưu tiên(High, Normal, Low) + Detection Engine: Tên của Detection Engine sinh ra Event + Protocol: Giao thức được sử dụng event

+ Source IP: Địa chỉ IP nguồn của gói tin + Destination IP: Địa chỉ IP đích của gói tin + Source User: Source User sinh ra Event + Destination User: Destination User sinh ra Event

Trang 3

+ Message: Tên của Event + Classification: Event được sinh ra với các Rule thuộc nhóm nào + Count: Số lượng Event xảy ra

4 2.4 Nguyên tắc quản trị

- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng

thái, log, report

- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire

- User admin: là user có quyền cao nhất trong giao diện Web, có đầy

đủ các quyền để cấu hình Sourcefire hỗ trợ trên nền Web

- User khác: có thể gán vào các group để phân quyền

- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và

Admin

- Những người quản lý một vùng mạng muốn xem các Report và

trạng thái thiết bị sử

- dụng User bình thường được tạo ra khi cấu hình thiết bị

5 2.5 Nguyên tắc tích hợp IPS/IDS

- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng

mạng Management tạo ra một VLAN mới cho phép ra Internet, cắm các port management của thiết bị Sourcefire vào các port đã được phân hoạch

- Tích hợp tính năng IDS vào vùng chỉ cần tính năng giám sát: Do

tính năng IDS không gây dán đoạn đối với hệ thống khi triển khai nên có thể triển khai vào thời gian sau giờ làm việc Cắm các port Sensing của thiết bị Sourcefire 3D Sensor vào các port đã được phân hoạch trên các thiết bị Cisco Thiết lập Span port cho các port đó trên thiết bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này

3. Triển khai và quản trị các thiết lập hệ thống

1 3.1 Thiết lập các thông số quản trị cho các thiết bị Sourcefire

- Cắm cable quản trị cho các thiết bị

 Trên các thiết bị Sourcefire Sensor 3D cổng quản trị là cổng Eth1 nằm phía sau thiết bị

 Trên thiết bị Sourcefire cổng quản trị là cổng Eth0 nằm phía sau thiết bị

 Cable quản trị được đánh dấu rõ ràng và cần phải chuẩn bị trước khi tiến hành lắp đặt thiết bị

 Chuẩn bị các Cable cắm vào các port sensing như trong mô hình triển khai ở phần trên

Trang 4

- Thiết lập các thông số cơ bản cho thiết bị Sourcefire

 Đặt tên cho thiết bị theo đúng quy hoạch

 Địa chỉ IP

 Password quản trị

 truy cập thiết bị qua giao diện web: bằng cách https://IP

User:admin và Password: Sourcefire

 Sau khi triển khai hoàn tất người quản trị thiết bị Sourcefire phải

thay đổi password mặc định của thiết bị.

2 3.2 Active License cho các thiết bị Sourcefire

- License Certificate

 Trong License Certifcate này bao gồm:

+ Model sản phẩm + Serial Number + License Key + Activation Key + Tên License

- Active License cho các thiết bị

 Truy cập vào các thiết bị thông qua https://ip rồi đăng nhập vào thiết bị Copy License từ file mà Sourcefire gửi vào mail rồi Paste vào cửa sổ License (Operations> System Settings > License)

Nhấn Submit License để active License cho thiết bị

 Có thể active license từ lần đầu tiên Login vào hệ thống

3 3.3 Upgrade cho các thiết bị Sourcefire

- Sourcefire cho phép Update tự động hoặc do người quản trị upload gói update download từ trang support của Sourcefire (Người quản trị có thể yêu cầu nhà phân phối cung cấp các bản cập nhật này, Account đăng nhập vào trang support chỉ cung cấp khi khách hàng đã tham gia và có chứng chỉ về khóa học do hãng Sourcefire cung cấp)

- Toàn bộ quá trình update này được thực hiện tự động 1 lần/ngày Nên thực hiện vào khoảng thời gian từ 0-5 giờ sáng

- Thiết lập Update tự động cho các thiết bị:

Vào thiết bị Sourcefire Operations > Tools > Scheduling >Add Task

 Lựa chọn chạy tự động hàng ngày, thời điểm chạy

4 3.4 Thiết lập System Policy áp dụng cho các thiết bị

- System Policy có thể được thực hiện giám sát và thay đổi các thông số tại phần System Policy

- Mức độ ảnh hưởng của System policy tùy thuộc vào các cấu hình và

áp dụng cho các thiết bị

- Người quản trị cần phải giám sát các chính sách được thiết lập đã

Trang 5

đúng chưa và áp dụng cho các thiết bị có phù hợp hay không.

- Tạo ra một System Policy mới

- Sau khi tạo ra một System Policy người quản trị có thể apply policy

đó cho toàn bộ các thiết bị Sourcefire

5 3.5 Thiết lập quản lý Users

- Người quản trị hệ thống Sourcefire IDS/IPS có thể tạo ra nhiều User với những vai trò khác nhau cho từng User

- Tránh việc gán quyền dư thừa không cần thiết cho User gây ảnh hưởng về công tác bảo mật cho hệ thống

- Người quản trị cần tạo ra các User chỉ có khả năng xem các Event và không có quyền thay đổi hệ thống để cho người phân tích các Event

có thể truy cập

6 3.6 Giám sát hệ thống

- Giám sát chung

 Hiệu năng của thiết bị có thể được giám sát Real-time tại giao diện giám sát chung hoặc được giám sát theo tuần, theo ngày hoặc theo giờ đã đã qua

 Từ kết quả này nếu Performance gần chạm tới tới hạn của thiết bị người quản trị vận hành cần phải nghĩ tới việc nâng cấp thiết bị hoặc giảm thiểu các truy cập bằng các thiết lập mạng khác

Vào thiết bị SourceFire >Operations > Monitoring >

Performance rồi lựa chọn thiết bị muốn xem.

- Giám sát trạng thái của các thiết bị

 Người quản trị cũng cần thường xuyên giám sát các tác vụ đang thực thi, để kiểm tra xem có tác vụ nào bị Fails không thực hiện được hay không để từ đó đưa ra các quá trình Troubleshooting cho phù hợp

- Giám sát Health của hệ thống

 Người quản trị hàng ngày cần phải kiểm tra tình trạng hoạt động của các thiết bị Sourcefire Giám sát Health của hệ thống đảm bảo các thiết bị đều hoạt động và ở mức độ cho phép (theo thiết lập default của hãng)

 Health policy mặc định được áp dụng cho tất cả các thiết bị, ngoài

ra người quản trị có khả năng thay đổi các thông số sao cho phù hợp (Ví như khi thiết bị Sourcefire hoạt động hơn 90% CPU thì cảnh báo)

7 3.7 Cấu hình Interface Sets và Detection Engine

a. Cấu hình Interface Sets

- Interface Sets là nhóm các Port Sensing trên thiết bị Sourcefire 3D Sensor Người quản trị có thể nhóm các Interface lại thành một Interface Sets

- Interface Sets có các dạng như:

Trang 6

+ Passive – thực hiện hoạt động IDS + Inline – Thực hiện hoạt động như IPS

- Trên SourceFire thực hiện: Operations > Detection Engine >Interface Sets Lựa chọn tên, loại và tạo ra trên thiết bị Sourcefire 3D Sensor nào

b. Cấu hình Detection Engine

- IPS Detection Engine cho phép phát hiện và ngăn chặn các cuộc tấn công mạng

- Mỗi Interface Sets có thể tạo ra nhiều loại Detection Engine giám sát

- Detection Engine là các engine có chức năng giám sát trên Interface Sets, người quản trị có thể giám sát xem các Detection Engine được

áp dụng đúng trên các Interface Sets hay chưa

- Detection Engine có thể được người quản trị thay đổi

8 3.8 Quản trị các thiết lập về chính sách

a. Quản trị IPS

- Quản trị Intrusion Policy

 Intrusion Policy là chính sách được áp dụng cho một hoặc nhiều Detection Engine Intrusion policy thiết lập các thông số:

+ Tên của Policy + Policy này được áp dụng cho thiết bị Sensor nào hay Detection Engine nào chịu ảnh hưởng trực tiếp từ chính sách nay

+ Tại Policy này với bao nhiêu Rule cấu hình Enable và có bao nhiêu Rule ở chế độ: Chỉ cảnh báo (Generate Events) và ngăn chặn/cảnh báo (Drop and generate event)

 Có sẵn 3 mức độ cho người quản tri lựa chon khi cấu hình chính sách (High) Security over connectivity; (Lower) Connectivity over security; và (Normal) balanced security and connectivity

 Người quản trị có thể xem và thay đổi các Detection Engine chịu chính sách này

 Người quản trị có thể tinh chính các biến cho các rules hoạt động một cách hiệu quả nhất từ các thay đổi va định nghĩa mới Variable

 Toàn bộ rule của Sourcefire là khoảng trên 20.000 Rules đuợc update thường xuyên qua đặt tự động

 Mỗi Policy Intrusion áp dụng cho mỗi Detection Engine chúng ta

có thể áp dụng những Rules được Enable/Disable khác nhau

 Ngoài các rule được enable và disable mặc định người quản trị cần phân tích tình hình để có thể bật tắt các rule sao cho đáp ứng yêu cầu về bảo mật của hệ thống

 Sau một loạt các thiết lập người quản trị cần phải “Commit Changes” để đồng ý và lưu cấu hình cho Intrusion policy

b. Rule Editor

- Mặc định Sourcefire có khoảng trên 20.000 Rules nhưng người quản trị hoàn toàn có thể thêm các Rule mới vào đảm bảo các chính sách bảo mật cho hệ thống của mình

c. Quản trị chính sách bảo mật

Trang 7

- Chính sách bảo mật hay Policy Compliance được áp dụng cho hệ

thống Sourcefire nhằm phát hiện và cảnh báo các vi phạm về bảo mật trong hệ thống mạng

d. Rule Management

- Người quản trị sử dụng Rule management để quản lý các Rule để phát

hiện các vi phạm chính sách bảo mật cũng như các nguy cơ cần cảnh báo

- Từ đây người quản trị có thể tạo mới chỉnh sửa, xóa các rule

e. Policy Management

- Policy Management cho phép tạo ra một chính sách sử dụng một số

rule có sẵn hoặc do người quản trị tạo ra áp dụng cho thiết bị Sourcefire phát hiện ra các vi phạm về bảo mật Policy sử dụng Response để đưa ra các cảnh báo khi có vi phạm về bảo mật

- Người quản trị có thể xem các policy, kiểm tra hay thay đổi cấu hình

của các policy này

9 3.9 Phân tích events

- Phân tích và tạo ra report là một trong các công việc quan trọng nhất

của người vận hành và quản trị hệ thống IDS/IPS

- Các report tạo ra mặc định và thường xuyên được theo dõi đã được tạo

ra bởi report vềbáo cáo

- Event Summary:

 Event Summary là tổng hợp các Event liên quan tới hệ thống Sourcefire như:

+ Intrusion Event + Event được phân tích dựa trên bảng biểu + Event được theo dõi theo trình tự

 Người quản trị hàng ngày cần theo dõi Event Summary này để giám sát hoạt động của hệ thống

- Drashboard:

 Người quản trị có thể theo dõi các thông tin chung nhất về hệ thống qua Drashboard

- Phân tích Event về IPS:

 Intrusion Event được thiết kế và thực hiện chi tiết tại tài liệu thiết

kế Report

 Intrusion Event liên quan toàn bộ các Event về IPS, người quản trị

có thể kiểm tra theo dõi số lượng Event theo:

+ Theo thời gian + Theo Detection Engine + Có thể lọc theo nhiều lựa chọn khác nhau

4. Hướng dẫn cài đặt sourcefire 3D và cấu hình kết nối

ST

T

Trang 8

1 4.1 Thông tin lưu ý trước khi cài đặt

- Thay đổi địa chỉ MAC quản tri: 00:50:56:00:25:01

- Chuẩn bị gói cài Sourcefire 3D

- Network connection: Bridged

- Nên đặt 3 card mạng trở lên

 Card 01: monitoring

 Card 02: sensing

 Card 03: sensing

2 4.2 Quá trình cài đặt và cấu hình

1. Chọn “yes” bước đầu tiên

2. Chọn lựa chọn “no”

3. Bước 3

4. Hoàn thành quá trình cài đặt

5. Đăng nhập user, password mặc định của hãng Sourcefire

- Khi đăng nhập với quyền admin

 User: admin

 Pass: Sourcefire

- Khi đăng nhập với quyền admin mới có thể nâng quyền lên root

 User: root

 Pass: Sourcefire

6. Đăng nhập vào giao diện https://IP

Trang 9

7. Cấu hình interface set

8. Cấu hình detection Engine

9. Tạo policy

Trang 10

3 4.3 Áp đặt luật lên Policy

- Trong Policy có rất nhiều rule với các thành phần và chức năng khác nhau tùy vào mục đích của người quản trị cần giám sát hệ thống:

- Rule có 3 mức :

Generate event: bật rule với tính năng này phục vụ cho IDS là

chính

Drop and Generate event: bật tính năng này nhằm ngăn chặn và

phát hiện sự kiện phục vụ chính khi sử dụng ở chế độ Inline cua IPS

Disable: Tắt rule khi không cần rule này nưa

Hình ành minh họa

4 4.4 Cấu hình kết nối Sourcefire3D Sensor với Sourcefire DC

- Cấu hình trên Sensor: hai bên để giao tiếp được nhau phải cấu hình thông nhau

- Cấu hình trên DC

Trang 11

5 4.5 Cấu hình kết nối SourcefireDC với Arcsight

- Cấu hình trên SourcefireDC

 Hostname: địa chi IP Arcsight

 Password: mật khẩu

- Cấu hình trên Arcsight

Bước 1:

Bước 2:

Trang 12

Bước 3:

5. Giải quyết sự cố

ST

T

1 Khi triển khai IPS dạng Inline đôi khi có thể xảy ra một vài sự cố liên quan tới

việc chặn nhầm các dịch vụ đang hoạt động

Khi có sự cố xảy ra người quản trị cần làm theo các bước sau:

Bước 1: Tìm các Event liên quan tới dịch vụ bị block

Bước 2: Xác định rule block

Bước 3: Thiết lập lại rules trong Intrusion Policy.

- Edit Intrusion Policy

- Tìm rules name trong mục filter

Bước 4: Phân tích nguy cơ khi disable rule đó trong Intrusion Policy.

2 Trong quá trình cài đặt cần kiểm tra những thông tin sau:

- Dùng dây mạng đảm bảo chất lượng

- Interface đã được map đúng chưa

- Dùng wireshark bắt gói tin thử xem traffic đã có chưa nếu xác định rõ

là có rồi mới khoanh vùng xử lý đến sourcefire

- Đặt những luật đơn giản kiểm tra hoạt động của Sourcefire như rule

bắt gói tin lệnh Ping ICMP, bắt truy cập gói tin thông qua giao diện

Ngày đăng: 14/12/2021, 17:41

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w