Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 70 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
70
Dung lượng
8,24 MB
Nội dung
I.
Bố cục
Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương
Chương I: Giới thiệu vê CSMars
Chương II: Thực hành Lab
MỤC LỤC
LỜI CẢM ƠN
NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
DẪN NHẬP.........................................................................................................................v
I. Lí do chọn đề tài……………………………………………………………….……v
II. Nội dung nghiên cứu…………………………………………………………….... vi
III.Mục tiêu nghiên cứu…………………………………………………………….... vi
IV. Phạm vi nghiên cứu…………………………………………………………….... vi
V. Phương pháp nghiên cứu…………………………………………………………. vi
VI. Bố cục………….………………………………………………………………...vii
CHƯƠNG I: GIỚI THIỆU VỀ CSMARS
Giới thiệu……………………………………………………………………….....1
1. Phần mở đầu…………………………………………………………………….......1
2. Quy trình lưu lượng của CSMARS……………………………………………........2
3. Lựa chọn các thiết bị để giám sát……………………………………………….......3
4. Thông tin liên lạc CSMARS……………………………………………………......5
5. Các tính măng và lợi ích của CSMARS…………………………………………....5
6. CSMARS triển khai các tùy chọn………………………………………………......6
II. Rules…………………………………………………………………………….. . .7
1. Khái niệm……………………………………………………………………….....7
2. Các loại Rules…………………………………………………………………......7
2.1. Inspection Rules……………………………………………………………....7
2.1.1 System Rules………………………………………………………......8
2.1.2 User Define Rules…………………………………………….…….....8
2.2. Drop Rules…………………………………………………………………....8
2.2.1. Liên kết False Positive………………………………………………. .8
2.2.2. Thủ công……………………………………………………………...9
3. Active và Inactive Rules………………………………………………………... .11
4. Complex và Behavioral Rule Creation…………………………………………. .12
III. Incident…………………………………………………………………………. .13
1. Khái quát Incident………………………………………………………..……....13
2. Sử dụng Incident để quan sát dữ liệu………………………………………….....16
I.
IV. Queries…………………………………………………………………………...16
1. Khái niệm………………………………………………………………………..16
2. Các loại Query…………………………………………………………………. .17
2.1 Query Type………………………………………………………………......17
2.2 Instant Query………………………………………………………………....18
2.3 On-Demand Queries và Manual Queries………………………………….....20
V.Report……………………………………………………………………………...21
1. Khái niệm………………………………………………………………………..22
2. Các lọai Report…………………………………………………………………. 22
2.1 Report có sẵn……………………………………………………………..…..22
2.1.1 Sử dụng tab report……………………………………………………......23
2.1.2 Lấy report theo yêu cầu…………………………………………………..24
2.2 Tạo riêng một Report…………………………………………………….…...24
2.3 Cách nhận Report………………………………………………………..…...26
VI. Netflow……………………………………………………………………….…. .28
1.
Khái niệm.............................................................................................................28
2.
Netfow trong CSMars..........................................................................................28
3.
Cấu hình Netflow................................................................................................29
Cấu hình Netflow trên CSMars..........................................................................................32
Router.................................................................................................................................33
3.2.1 Cấu hình SNMP...................................................................................33
3.2.2 Cấu hình Netflow trên Router Cisco....................................................34
3.2.3 Cấu hình file Log trên Router Cisco....................................................34
3.3. Switch.............................................................................................................35
3.3.1 Cấu hình switch để kích hoạt L2 Discovery........................................35
3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP…...............35
3.3.3 IOS Switches kích hoạt Syslog............................................................36
3.3.4 IOS Switches kích hoạt NetFlow………………………………….....36
3.4 Cấu hình tường lửa……………………………………………………….......36
3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco………………….... ....36
3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco…………………….…....37
3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco………………….........37
3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS ……….……....37
3.5 Nhận thiết bị Cisco IPS vào CSMARS……………………………………....39
CHƯƠNG II: THỰC HÀNH LAB
I. MÔ HÌNH VÀ CẤU HÌNH THIẾT BỊ……………………………………..…......42
1. Mô hình………………………………………………………………………......42
2. Cấu hình thiết bị……………………………………………………………….....43
.Router…………………………………………………………………..…......................43
.ASA…………………………………………………………………..….........................44
.Switch……………………………………………………………….……......................45
.IDS………………………………………………………………………........................46
2
Cấu hình IDS VLAN Pair……………………………………………..…........................46
3. Xem File Log trên IDS……………………………………………………….....47
II. NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA
HỆ THỐNG MẠNG TRÊN CSMARS………………………………..………...............50
1. Nhận biết thiết bị………………………………………………………..…….....50
1.1 .Nhận kết nối giữa RouterGW với CSMars bằng SNMP……………………50
1.2 .Nhận kết nối firewallASA với CSMars bằng TELNET………………….… 51
1.3 .Kết nối IDSsensor…………………………………………………………. 51
1.4 .Cấu hình Netflow trên CSMars……………………………………………..52
2. Tình trạng hoạt động của hệ thống mạng trên CSMars…………………………. 53
2.1 .Summary………………………………………………………....…………. 53
2.2 .Incident…………………………………………………………………….. .61
2.3 .Event……………………………………………………………………….. .62
2.4. Queries………………………………………………………………..……. .63
2.5 .Rule và Report…………………………………………………….………...64
.
KẾT LUẬN……………………………………………………………………………....65
TÀI LIỆU THAM KHẢO.................................................................................................67
CHƯƠNG I:
GIỚI THIỆU VỀ CSMARS
3
I. Giới thiệu về CSMars
1. Phần mở đầu
Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồn
tại. Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa
trên các cuộc tấn công. Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặt
niềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang được
ngừng lại. Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay. Tin
tặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mật
hiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ.
Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp một
cách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo và
kiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh để
xác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng.
Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security
Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an
ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảm
thiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới. Trong gần như tất cả các
trường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thay
đổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars.
Thuật ngữ: CSMARS phân biệt các event, session and incident.
o
Event: những thông điệp còn sơ sài (ví dụ: IDS, firewalls logs) gửi đến
thiết bị bởi các thiết bị báo cáo
o
Session: hàng loạt các event mà chia sẻ những thông tin thông thường
end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn và giao thức)
o
Incident: hàng loạt các session mà phù hợp với một rule được xác định
Công nghệ: có ba công nghệ chính:
o Correlation: hiệu suất cao trong việc thống nhất giữa hai giai đoạn tương
quan và những rule linh hoạt cho các phân tích incident và giảm thiểu:
-Hồ sơ của mạng lưới giao thông (lưu lượng net) và phát hiện những gì bất
thường
-Tương quan các event với session
-Áp dụng các tương quan của rule vào session để xác định incident
o
Phân tích Vector: thực hiện các loại hình phân tích:
1
-Phân tích các incident để xác định các mối đe dọa hợp lệ
-Phân tích đường dẫn
-Phân tích tính nguy hiểm cho các máy bị nghi ngờ
-Quét những tương quan có tính chất nguy hiểm
o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghị
giảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộ
mạng lưới:
- Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đề
nghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng
-Thông báo cho người sử dụng về việc thay đổi cấu hình
2. Quy trình lưu lượng của CSMARS
Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ sài,từ đó
giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:
2
-
Bước 1: Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình
của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch,
máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an
ninh để xây dựng một hình ảnh đầy đủ của mạng lưới.
-
Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị
mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng
lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS
NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ
liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể
xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong
mức độ lưu lượng.
-
Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để
kết hợp nhiều sự kiện vào end to end session.
-
Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền
các rule do người sử dụng xác định, tương quan thông tin những session
với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn
thành mạng lưới tấn công, gọi tắt là incident
-
Bước 5: CSMARS appliance performs automatic vulnerability
assessment, which uses information about end system to identify false
positive, building rules to reduce future analysis and processing of
candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động
được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết
thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt
quá trình phân tích trong tương lai các ứng viên của incident.
-
Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và
các hướng dẫn để giảm thiểu.
-
Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive.
Với một quyết định, người dùng có thể phân loại false-positive và nhanh
chóng giảm số lượng các báo cáo incident.
3. Lựa chọn các thiết bị để giám sát
Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám
sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng
lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ
dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về
incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện
việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không
thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không
cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới.
3
Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề
xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.
Loại thiết bị
Router
Switch
Dữ liệu sẵn có
Các thiết bị khám phá giao thức được
dùng cho việc truy cập của quản trị
viên/giảm.
Những dữ liệu sau được lấy từ router:
• hostname
• static routes
• ACL rules
• static NAT rules
• traffic flows
• SNMP RO Community strings
• NetFlow data
• Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
• Bảng ARP cache. Được dùng để sắp
xếp địa chỉ IP với địa chỉ MAC.
SNMP RO Community strings
Bảng forwarding, được dùng để sắp xếp
địa chỉ IP với địa chỉ MAC.
Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
NetFlow data
4
Cấu hình khuyên dùng
Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access
Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access
• Khởi động NetFlow data
• Quyền truy cập cho quản
trị viên cho việc đẩy mạnh
giảm thiểu
Firewall
Network
IDS/IPS
Cấu hình giao diện. Được sử dụng để
xem mô hình và xác định tuyến đường
dự kiến, giúp lọc lưu lượng truy cập qua
các tường lửa
NAT và PAT mappings. Được sử dụng
để xác định nguồn gốc của bên tấn công
và các mục tiêu và theo dõi chúng
Điều khoản Firewall. Khi nhận ASA,
PIX, và FWSM, MARS phân tích ACLs
và các cáp điện (chỉ dùng với PIX).
Firewall logs. Nhận và từ chối sessions
logs được sử dụng để xác định các false
positive và xác định xem tiềm năng tấn
công đã được chặn trước khi đến các
mục tiêu.
Tình trạng thiết bị và việc sử dụng
nguồn thông tin. Được sử dụng để xác
định hoạt động mạng bất thường dựa
trên bộ nhớ, CPU, cổng giao diện và các
số liệu thống kê.
Thông báo Fired signature. Identifies
attacks and threats, which helps
determine mitigation response, identify
potential false positive information, and
target vulnerability assessment probes
conducted by MARS. Fired chữ ký của
các thông báo. Xác định các tấn công và
đe dọa, trong đó giúp xác định việc
giảm thiểu phản ứng, xác định các tiềm
năng của thông tin false positive, và
mục tiêu mang tính nguy hiểm được
khảo sát đánh giá bởi Mars
Khởi động:
• SNMP RO community
strings
• Syslog messages
• Nhận thiết bị
Kích hoạt gói thông tin. Cung cấp các
Payload của gói tin mà gây ra các fired
signature.
Xác định xem liệu một cuộc tấn công đã
bị chặn tại một thiết bị cụ thể.
Tình trạng thiết bị thông tin
4. Thông tin liên lạc CSMARS
Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động
điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông
số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô
hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên.
5
CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps
HTTP hay HTTPS và SDEE (cho IPS).
CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử
dụng những giao thức này: SNMPv1 (read only access được yêu cầu),
telnet, SSH hoặc FTP và SDEE, vv.
CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này:
telnet, SSH, SNMPv1 (write access được yêu cầu).
CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức:
E-mail, SNMP trap, syslog, pager, SMS
5. Các tính năng và lợi ích của CSMARS
-
Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu
biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ
sơ mạng lưới giao thông
-
Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống
bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu
tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó
-
Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn
nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm
thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý
khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền
tảng logging.
-
Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác
định mối đe dọa, điều tra, xác nhận và giảm thiểu
-
Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác
định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các
thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các
mối đe dọa
-
Điều tra thời gian thực và theo đúng báo cáo
-
Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó
có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các
session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt
tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:
-
Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến
các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo
6
cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and
report.
6. CSMARS triển khai các tùy chọn
CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới.
Các thiết bị có thể được triển khai như sau
o Chế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an
toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết
bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi
CSMARS trong chế độ standalone liên lạc với các CSMARS Global
Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller
o CSMARS Local Controller: CSMARS Local Controller triển khai tương
tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS
Global Controller.
o CSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc
nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CSMars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC
hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan.
Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết
snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi
bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn
sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC
được thực hiện thông qua các thông tin liên lạc HTTPS.
II. Rules
1.
Khái niệm
Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành
động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail
thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident
được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động.
Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc
phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy
Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới.
2.
Các lại Rules
Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là
chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports.
Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một
7
Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động
mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt
các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của
Rules.
Có 2 loại Rules:
Inspection rules
Drop rules
2.1 Inspection Rules:
Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho
một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là
tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở
đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự
hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User Defined Rules.
Để xem các Inspection Rules: Tab Rules > Inspection Rules
2.1.1 System Rule:
Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận
ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System
Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào
CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính
sau:
Action
IP Source
IP Destination
Thiết bị
Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các
thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính
trong những Rules mới được sao chép.
2.1.2 User Defined Rules:
Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính
xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules
2.2 Drop Rules
Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện.
Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu
8
đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. FalsePossitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định FalsePossitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False
Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop
Rules.
Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:
Thông qua các liên kết False Possitive
Thủ công
2.2.1. Liên kết False Positive
Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua
Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên
kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive
Tuning Wizard.
2.2.2. Thủ công
Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng
đến trang này cho lần đầu tiên, nó là trống.
9
Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện
Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần
một session được mở thông qua các tường lửa
Bước 1: Nhấp vào nút Add trên trang Drop Rules.
Bước 2: Nhập một tên Drop Rule và mô tả.
Bước 3: Chọn Any như địa chỉ IP Source.
Bước 4: Chọn Any như địa chỉ IP Destiantion.
Bước 5: Chọn Any như là Port dịch vụ và giao thức.
Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải
Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.
Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp
System Setup > NetFlow Config
Info
52
Hình: Cấu hình nhận Netflow trên CSMars
2. Tình trạng hoạt động của hệ thống mạng CSMars
2.1. Summary
Sau khi hoàn thành cấu hình CSMars sẽ cho ta thấy mô hình kết nối, sơ đồ tấn công,
các rules, các events, netflow…
Chúng ta sẽ thấy trong tab Summary page và Network Status:
53
Hình: Sơ đồ về hệ thống mạng
54
Hình: Sơ đồ về hệ thống mạng bị tấn công
55
Hình: Số liệu các từng loại Incident
56
Hình: Sơ đồ các Rule sử dụng
57
Hình: Sơ đồ IP của tấn công và mục tiêu
58
Hình: Sơ đồ Events, Session, Netflow
59
Hình: Sơ đồ False Positive
60
2.2. Incident
Chọn tab Incident, Ta thấy được các loại tấn công ở đây: ICMP và Nmap OS, IP Source,
IP Destination, và thiết bị nào gửi về
Ngoài ra còn thấy được Rules ứng với mỗi Incident
Hình: Incident và Rule tưong ứng
61
2.3. Event
Hình trên mô tả một loạt các sự kiện xảy ra trên hệ thống mạng, mà IDSSensor gửi về,
loại sự kiện là TCP SYN Port Sweep, ICMP Echo Reqest
Path information: Mô hình miêu tả đường tấn công của hacker:
62
2.4. Queries
Queries dạng lọc các Events
Hình: Queries dạng Rule Rank
63
2.5. Rules and Reports
Rule được người dùng sử dụng với Rule Name: rule Denied Ping được mô tả để phát hiện
gói tin dạng ICMP
Rules rank
64
User Rules:
Reports đựoc xem dạng HTML
65
KẾT LUẬN
CS-Mars là cơ chế bảo mật tiên tiến của Cisco, nó có nhiều ứng dụng để kiểm tra
giám sát và theo dõi các vấn đề về tấn công và bảo mật trên mạng dựa trên việc kiểm
tra cấu hình các thiết bị của bộ định tuyến hay còn gọi là Router và bộ chuyển mạch
được gọi là Switch. Đồng thời, ứng dụng này cũng cho phép các doanh nghiệp có thể
kiểm tra mức độ an toàn và bảo mật của hệ thống, của cơ sở hạ tầng với một danh
sách các lỗi bảo mật đã được phát hiện để chống lại các tấn công tiêu cực đến hệ
thống mạng của công ty
Những vấn đề mà chúng tôi đã nghiên cứu và tìm hiểu trong bài viết báo cáo về các
chơ chế tấn công, cơ chế bảo mật đã được trình bày ở trên không phải nhằm các mục
đích cá nhân: tấn công hoặc gây tổn hại các hạ tầng mạng ở ngoài, mà nhằm muốn
hiểu biết tìm tòi thêm, nâng cao những kiến thức về mạng để phục vụ cho công việc
trong tương lai sau này
Các cuộc tấn công của các hacker nhằm vào hệ thống mạng của các công ty với
nhiều mục đích khác nhau: tìm kiếm thông tin cá nhân, thông tin tài khoản ngân
hàng... hầu hết là những hành vi tiêu cực. Do đó việc nghiên cứu về các vấn đề bảo
mật để ngăn chặn các hành vi tấn công là rất quan trọng và thực tiễn. Đó là lý do tại
sao chúng tôi chọn đề tài tìm hiểu về cơ chế, phân tích, và chống lại cuộc tấn công
dựa trên ứng dụng trên các thiết bị của Cisco điển hình là CSMars trong suốt quá
trình thực tập, đó là điển hình để thực hiện việc nghiên cứu và thực hành những kiến
thức thu thập được tại nhà trường. Trong bài luận này chúng tôi đã đạt được:
Hệ thống hóa, sắp xếp các kiến thức làm cơ sở nền tảng cho quá trình nghiên cứu
các cấu tạo, cơ chế hoạt động của mỗi thiết bị, các ứng dụng, cách thực hiện trong
từng trường hợp với từng loại thiết bị đặc biệt CSMars và IDS
Nghiên cứu các cách tấn công, phạm vi tấn công, mục đích tấn công của các
hacker, và dựa trên đó để tìm cách phòng chống, chống lai những tấn công đó
tránh gây ra những thiệt hại.
Tìm hiểu và xây dựng mô hình hệ thống mạng, hạ tầng mạng cơ bản bao gồm tất
cả các thiết bị như Router, Switch, ID, và CSMars ...
Nghiên cứu về cấu hình cơ bản cũng như những câu lệnh cấu hình cần thiết, trên
từng thiết bị ... và những phương pháp làm thế nào để nhận biết các thiết bị với
CSMars để thực hiện mô hình một cách có hiệu quả nhất
Kiểm tra, quan sát hoạt động của CSMars bằng những phương pháp tấn công cơ
bản như gửi các gói tin ICMP hoặc TCP SYN Port và đã phát hiện, tìm thấy các
loại tấn công, các cảnh báo mà các thiết bị gửi về CSMars
Thu thập, sắp xếp và phân tích các thông tin dữ liệu mà CSMars gửi đến, biết các nguồn tấn công
thông qua địa chỉ Ip source và mục tiêu bị tấn công thông qua địa chỉ Ip đích và chi tiết của các
66
cuộc tấn công, các loại tấn công từ đó đưa ra những giải pháp phù hợp để phát hiện và ngăn
chặn…
67
[...]... những hành động thiết thực Một hành động mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng Để kích hoạt các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của Rules Có 2 loại Rules: Inspection rules Drop rules 2.1 Inspection Rules: Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho một Incident được tạo ra và xử lý chúng Hành. .. nút