I. Bố cục Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương Chương I: Giới thiệu vê CSMars Chương II: Thực hành Lab MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN DẪN NHẬP.........................................................................................................................v I. Lí do chọn đề tài……………………………………………………………….……v II. Nội dung nghiên cứu…………………………………………………………….... vi III.Mục tiêu nghiên cứu…………………………………………………………….... vi IV. Phạm vi nghiên cứu…………………………………………………………….... vi V. Phương pháp nghiên cứu…………………………………………………………. vi VI. Bố cục………….………………………………………………………………...vii CHƯƠNG I: GIỚI THIỆU VỀ CSMARS Giới thiệu……………………………………………………………………….....1 1. Phần mở đầu…………………………………………………………………….......1 2. Quy trình lưu lượng của CSMARS……………………………………………........2 3. Lựa chọn các thiết bị để giám sát……………………………………………….......3 4. Thông tin liên lạc CSMARS……………………………………………………......5 5. Các tính măng và lợi ích của CSMARS…………………………………………....5 6. CSMARS triển khai các tùy chọn………………………………………………......6 II. Rules…………………………………………………………………………….. . .7 1. Khái niệm……………………………………………………………………….....7 2. Các loại Rules…………………………………………………………………......7 2.1. Inspection Rules……………………………………………………………....7 2.1.1 System Rules………………………………………………………......8 2.1.2 User Define Rules…………………………………………….…….....8 2.2. Drop Rules…………………………………………………………………....8 2.2.1. Liên kết False Positive………………………………………………. .8 2.2.2. Thủ công……………………………………………………………...9 3. Active và Inactive Rules………………………………………………………... .11 4. Complex và Behavioral Rule Creation…………………………………………. .12 III. Incident…………………………………………………………………………. .13 1. Khái quát Incident………………………………………………………..……....13 2. Sử dụng Incident để quan sát dữ liệu………………………………………….....16 I. IV. Queries…………………………………………………………………………...16 1. Khái niệm………………………………………………………………………..16 2. Các loại Query…………………………………………………………………. .17 2.1 Query Type………………………………………………………………......17 2.2 Instant Query………………………………………………………………....18 2.3 On-Demand Queries và Manual Queries………………………………….....20 V.Report……………………………………………………………………………...21 1. Khái niệm………………………………………………………………………..22 2. Các lọai Report…………………………………………………………………. 22 2.1 Report có sẵn……………………………………………………………..…..22 2.1.1 Sử dụng tab report……………………………………………………......23 2.1.2 Lấy report theo yêu cầu…………………………………………………..24 2.2 Tạo riêng một Report…………………………………………………….…...24 2.3 Cách nhận Report………………………………………………………..…...26 VI. Netflow……………………………………………………………………….…. .28 1. Khái niệm.............................................................................................................28 2. Netfow trong CSMars..........................................................................................28 3. Cấu hình Netflow................................................................................................29 Cấu hình Netflow trên CSMars..........................................................................................32 Router.................................................................................................................................33 3.2.1 Cấu hình SNMP...................................................................................33 3.2.2 Cấu hình Netflow trên Router Cisco....................................................34 3.2.3 Cấu hình file Log trên Router Cisco....................................................34 3.3. Switch.............................................................................................................35 3.3.1 Cấu hình switch để kích hoạt L2 Discovery........................................35 3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP…...............35 3.3.3 IOS Switches kích hoạt Syslog............................................................36 3.3.4 IOS Switches kích hoạt NetFlow………………………………….....36 3.4 Cấu hình tường lửa……………………………………………………….......36 3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco………………….... ....36 3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco…………………….…....37 3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco………………….........37 3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS ……….……....37 3.5 Nhận thiết bị Cisco IPS vào CSMARS……………………………………....39 CHƯƠNG II: THỰC HÀNH LAB I. MÔ HÌNH VÀ CẤU HÌNH THIẾT BỊ……………………………………..…......42 1. Mô hình………………………………………………………………………......42 2. Cấu hình thiết bị……………………………………………………………….....43 .Router…………………………………………………………………..…......................43 .ASA…………………………………………………………………..….........................44 .Switch……………………………………………………………….……......................45 .IDS………………………………………………………………………........................46 2 Cấu hình IDS VLAN Pair……………………………………………..…........................46 3. Xem File Log trên IDS……………………………………………………….....47 II. NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA HỆ THỐNG MẠNG TRÊN CSMARS………………………………..………...............50 1. Nhận biết thiết bị………………………………………………………..…….....50 1.1 .Nhận kết nối giữa RouterGW với CSMars bằng SNMP……………………50 1.2 .Nhận kết nối firewallASA với CSMars bằng TELNET………………….… 51 1.3 .Kết nối IDSsensor…………………………………………………………. 51 1.4 .Cấu hình Netflow trên CSMars……………………………………………..52 2. Tình trạng hoạt động của hệ thống mạng trên CSMars…………………………. 53 2.1 .Summary………………………………………………………....…………. 53 2.2 .Incident…………………………………………………………………….. .61 2.3 .Event……………………………………………………………………….. .62 2.4. Queries………………………………………………………………..……. .63 2.5 .Rule và Report…………………………………………………….………...64 . KẾT LUẬN……………………………………………………………………………....65 TÀI LIỆU THAM KHẢO.................................................................................................67 CHƯƠNG I: GIỚI THIỆU VỀ CSMARS 3 I. Giới thiệu về CSMars 1. Phần mở đầu Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồn tại. Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa trên các cuộc tấn công. Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặt niềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang được ngừng lại. Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay. Tin tặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mật hiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ. Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp một cách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo và kiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh để xác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng. Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảm thiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới. Trong gần như tất cả các trường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thay đổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars.  Thuật ngữ: CSMARS phân biệt các event, session and incident. o Event: những thông điệp còn sơ sài (ví dụ: IDS, firewalls logs) gửi đến thiết bị bởi các thiết bị báo cáo o Session: hàng loạt các event mà chia sẻ những thông tin thông thường end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn và giao thức) o Incident: hàng loạt các session mà phù hợp với một rule được xác định  Công nghệ: có ba công nghệ chính: o Correlation: hiệu suất cao trong việc thống nhất giữa hai giai đoạn tương quan và những rule linh hoạt cho các phân tích incident và giảm thiểu: -Hồ sơ của mạng lưới giao thông (lưu lượng net) và phát hiện những gì bất thường -Tương quan các event với session -Áp dụng các tương quan của rule vào session để xác định incident o Phân tích Vector: thực hiện các loại hình phân tích: 1 -Phân tích các incident để xác định các mối đe dọa hợp lệ -Phân tích đường dẫn -Phân tích tính nguy hiểm cho các máy bị nghi ngờ -Quét những tương quan có tính chất nguy hiểm o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghị giảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộ mạng lưới: - Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đề nghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng -Thông báo cho người sử dụng về việc thay đổi cấu hình 2. Quy trình lưu lượng của CSMARS Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ sài,từ đó giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau: 2 - Bước 1: Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch, máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an ninh để xây dựng một hình ảnh đầy đủ của mạng lưới. - Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong mức độ lưu lượng. - Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để kết hợp nhiều sự kiện vào end to end session. - Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền các rule do người sử dụng xác định, tương quan thông tin những session với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn thành mạng lưới tấn công, gọi tắt là incident - Bước 5: CSMARS appliance performs automatic vulnerability assessment, which uses information about end system to identify false positive, building rules to reduce future analysis and processing of candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt quá trình phân tích trong tương lai các ứng viên của incident. - Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và các hướng dẫn để giảm thiểu. - Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive. Với một quyết định, người dùng có thể phân loại false-positive và nhanh chóng giảm số lượng các báo cáo incident. 3. Lựa chọn các thiết bị để giám sát Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới. 3 Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn. Loại thiết bị Router Switch Dữ liệu sẵn có Các thiết bị khám phá giao thức được dùng cho việc truy cập của quản trị viên/giảm. Những dữ liệu sau được lấy từ router: • hostname • static routes • ACL rules • static NAT rules • traffic flows • SNMP RO Community strings • NetFlow data • Tình trạng thiết bị và nguồn sử dụng, như bộ nhớ, CPU, và giao diện/cổng số liệu thống kê. • Bảng ARP cache. Được dùng để sắp xếp địa chỉ IP với địa chỉ MAC. SNMP RO Community strings Bảng forwarding, được dùng để sắp xếp địa chỉ IP với địa chỉ MAC. Tình trạng thiết bị và nguồn sử dụng, như bộ nhớ, CPU, và giao diện/cổng số liệu thống kê. NetFlow data 4 Cấu hình khuyên dùng Khởi động: • SNMP RO community strings • Syslog traffic • Nhận thiết bị qua SSH hay Telnet access Khởi động: • SNMP RO community strings • Syslog traffic • Nhận thiết bị qua SSH hay Telnet access • Khởi động NetFlow data • Quyền truy cập cho quản trị viên cho việc đẩy mạnh giảm thiểu Firewall Network IDS/IPS Cấu hình giao diện. Được sử dụng để xem mô hình và xác định tuyến đường dự kiến, giúp lọc lưu lượng truy cập qua các tường lửa NAT và PAT mappings. Được sử dụng để xác định nguồn gốc của bên tấn công và các mục tiêu và theo dõi chúng Điều khoản Firewall. Khi nhận ASA, PIX, và FWSM, MARS phân tích ACLs và các cáp điện (chỉ dùng với PIX). Firewall logs. Nhận và từ chối sessions logs được sử dụng để xác định các false positive và xác định xem tiềm năng tấn công đã được chặn trước khi đến các mục tiêu. Tình trạng thiết bị và việc sử dụng nguồn thông tin. Được sử dụng để xác định hoạt động mạng bất thường dựa trên bộ nhớ, CPU, cổng giao diện và các số liệu thống kê. Thông báo Fired signature. Identifies attacks and threats, which helps determine mitigation response, identify potential false positive information, and target vulnerability assessment probes conducted by MARS. Fired chữ ký của các thông báo. Xác định các tấn công và đe dọa, trong đó giúp xác định việc giảm thiểu phản ứng, xác định các tiềm năng của thông tin false positive, và mục tiêu mang tính nguy hiểm được khảo sát đánh giá bởi Mars Khởi động: • SNMP RO community strings • Syslog messages • Nhận thiết bị Kích hoạt gói thông tin. Cung cấp các Payload của gói tin mà gây ra các fired signature. Xác định xem liệu một cuộc tấn công đã bị chặn tại một thiết bị cụ thể. Tình trạng thiết bị thông tin 4. Thông tin liên lạc CSMARS Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên. 5  CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps HTTP hay HTTPS và SDEE (cho IPS).  CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử dụng những giao thức này: SNMPv1 (read only access được yêu cầu), telnet, SSH hoặc FTP và SDEE, vv.  CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này: telnet, SSH, SNMPv1 (write access được yêu cầu).  CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức: E-mail, SNMP trap, syslog, pager, SMS 5. Các tính năng và lợi ích của CSMARS - Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ sơ mạng lưới giao thông - Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó - Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền tảng logging. - Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác định mối đe dọa, điều tra, xác nhận và giảm thiểu - Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các mối đe dọa - Điều tra thời gian thực và theo đúng báo cáo - Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể: - Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo 6 cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and report. 6. CSMARS triển khai các tùy chọn CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới. Các thiết bị có thể được triển khai như sau o Chế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi CSMARS trong chế độ standalone liên lạc với các CSMARS Global Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller o CSMARS Local Controller: CSMARS Local Controller triển khai tương tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS Global Controller. o CSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CSMars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan. Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC được thực hiện thông qua các thông tin liên lạc HTTPS. II. Rules 1. Khái niệm Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động. Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới. 2. Các lại Rules Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports. Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một 7 Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của Rules. Có 2 loại Rules: Inspection rules Drop rules 2.1 Inspection Rules: Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User Defined Rules. Để xem các Inspection Rules: Tab Rules > Inspection Rules 2.1.1 System Rule: Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính sau:   Action IP Source  IP Destination  Thiết bị Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính trong những Rules mới được sao chép. 2.1.2 User Defined Rules: Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules 2.2 Drop Rules Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện. Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu 8 đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. FalsePossitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định FalsePossitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop Rules. Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:  Thông qua các liên kết False Possitive  Thủ công 2.2.1. Liên kết False Positive Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive Tuning Wizard. 2.2.2. Thủ công Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng đến trang này cho lần đầu tiên, nó là trống. 9 Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần một session được mở thông qua các tường lửa Bước 1: Nhấp vào nút Add trên trang Drop Rules. Bước 2: Nhập một tên Drop Rule và mô tả. Bước 3: Chọn Any như địa chỉ IP Source. Bước 4: Chọn Any như địa chỉ IP Destiantion. Bước 5: Chọn Any như là Port dịch vụ và giao thức. Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search. Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp System Setup > NetFlow Config Info 52 Hình: Cấu hình nhận Netflow trên CSMars 2. Tình trạng hoạt động của hệ thống mạng CSMars 2.1. Summary Sau khi hoàn thành cấu hình CSMars sẽ cho ta thấy mô hình kết nối, sơ đồ tấn công, các rules, các events, netflow… Chúng ta sẽ thấy trong tab Summary page và Network Status: 53 Hình: Sơ đồ về hệ thống mạng 54 Hình: Sơ đồ về hệ thống mạng bị tấn công 55 Hình: Số liệu các từng loại Incident 56 Hình: Sơ đồ các Rule sử dụng 57 Hình: Sơ đồ IP của tấn công và mục tiêu 58 Hình: Sơ đồ Events, Session, Netflow 59 Hình: Sơ đồ False Positive 60 2.2. Incident Chọn tab Incident, Ta thấy được các loại tấn công ở đây: ICMP và Nmap OS, IP Source, IP Destination, và thiết bị nào gửi về Ngoài ra còn thấy được Rules ứng với mỗi Incident Hình: Incident và Rule tưong ứng 61 2.3. Event Hình trên mô tả một loạt các sự kiện xảy ra trên hệ thống mạng, mà IDSSensor gửi về, loại sự kiện là TCP SYN Port Sweep, ICMP Echo Reqest Path information: Mô hình miêu tả đường tấn công của hacker: 62 2.4. Queries Queries dạng lọc các Events Hình: Queries dạng Rule Rank 63 2.5. Rules and Reports Rule được người dùng sử dụng với Rule Name: rule Denied Ping được mô tả để phát hiện gói tin dạng ICMP Rules rank 64 User Rules: Reports đựoc xem dạng HTML 65 KẾT LUẬN CS-Mars là cơ chế bảo mật tiên tiến của Cisco, nó có nhiều ứng dụng để kiểm tra giám sát và theo dõi các vấn đề về tấn công và bảo mật trên mạng dựa trên việc kiểm tra cấu hình các thiết bị của bộ định tuyến hay còn gọi là Router và bộ chuyển mạch được gọi là Switch. Đồng thời, ứng dụng này cũng cho phép các doanh nghiệp có thể kiểm tra mức độ an toàn và bảo mật của hệ thống, của cơ sở hạ tầng với một danh sách các lỗi bảo mật đã được phát hiện để chống lại các tấn công tiêu cực đến hệ thống mạng của công ty Những vấn đề mà chúng tôi đã nghiên cứu và tìm hiểu trong bài viết báo cáo về các chơ chế tấn công, cơ chế bảo mật đã được trình bày ở trên không phải nhằm các mục đích cá nhân: tấn công hoặc gây tổn hại các hạ tầng mạng ở ngoài, mà nhằm muốn hiểu biết tìm tòi thêm, nâng cao những kiến thức về mạng để phục vụ cho công việc trong tương lai sau này Các cuộc tấn công của các hacker nhằm vào hệ thống mạng của các công ty với nhiều mục đích khác nhau: tìm kiếm thông tin cá nhân, thông tin tài khoản ngân hàng... hầu hết là những hành vi tiêu cực. Do đó việc nghiên cứu về các vấn đề bảo mật để ngăn chặn các hành vi tấn công là rất quan trọng và thực tiễn. Đó là lý do tại sao chúng tôi chọn đề tài tìm hiểu về cơ chế, phân tích, và chống lại cuộc tấn công dựa trên ứng dụng trên các thiết bị của Cisco điển hình là CSMars trong suốt quá trình thực tập, đó là điển hình để thực hiện việc nghiên cứu và thực hành những kiến thức thu thập được tại nhà trường. Trong bài luận này chúng tôi đã đạt được:  Hệ thống hóa, sắp xếp các kiến thức làm cơ sở nền tảng cho quá trình nghiên cứu các cấu tạo, cơ chế hoạt động của mỗi thiết bị, các ứng dụng, cách thực hiện trong từng trường hợp với từng loại thiết bị đặc biệt CSMars và IDS  Nghiên cứu các cách tấn công, phạm vi tấn công, mục đích tấn công của các hacker, và dựa trên đó để tìm cách phòng chống, chống lai những tấn công đó tránh gây ra những thiệt hại.  Tìm hiểu và xây dựng mô hình hệ thống mạng, hạ tầng mạng cơ bản bao gồm tất cả các thiết bị như Router, Switch, ID, và CSMars ...  Nghiên cứu về cấu hình cơ bản cũng như những câu lệnh cấu hình cần thiết, trên từng thiết bị ... và những phương pháp làm thế nào để nhận biết các thiết bị với CSMars để thực hiện mô hình một cách có hiệu quả nhất  Kiểm tra, quan sát hoạt động của CSMars bằng những phương pháp tấn công cơ bản như gửi các gói tin ICMP hoặc TCP SYN Port và đã phát hiện, tìm thấy các loại tấn công, các cảnh báo mà các thiết bị gửi về CSMars  Thu thập, sắp xếp và phân tích các thông tin dữ liệu mà CSMars gửi đến, biết các nguồn tấn công thông qua địa chỉ Ip source và mục tiêu bị tấn công thông qua địa chỉ Ip đích và chi tiết của các 66 cuộc tấn công, các loại tấn công từ đó đưa ra những giải pháp phù hợp để phát hiện và ngăn chặn… 67 [...]... những hành động thiết thực Một hành động mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng Để kích hoạt các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của Rules Có 2 loại Rules: Inspection rules Drop rules 2.1 Inspection Rules: Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho một Incident được tạo ra và xử lý chúng Hành. .. nút