Secure Device Event Exchange Định dạng SDEE phát triển để cải thiện việc truyền thông kiện tạo thiết bị bảo mật • Cho phép loại kiện bổ sung đưa vào chúng xác định Best Practices • Tham khảo 5.2.5.5 • Nhu cầu nâng cấp cảm biến với gói chữ ký phải cân với thời gian ngừng hoạt động tạm thời • Khi thiết lập triển khai lớn cảm biến, tự động cập nhật gói chữ ký thay tự nâng cấp cảm biến • Khi có sẵn gói chữ ký mới, tải xuống chữ ký • Khi có gói chữ ký mới, tải xuống gói chữ ký đến máy chủ bảo mật mạng quản lý Sử dụng IPS khác để bảo vệ máy chủ khỏi bị công bên ngồi • Đặt gói chữ ký máy chủ FTP chuyên dụng mạng quản lý Nếu khơng có cập nhật chữ ký, tạo chữ ký tùy chỉnh để phát giảm thiểu cơng cụ thể • Cấu hình máy chủ FTP phép truy cập đọc vào tệp thư mục mà gói chữ ký đặt từ tài khoản mà cảm biến sử dụng • Định cấu hình cảm biến để tự động cập nhật chữ ký cách kiểm tra máy chủ FTP cho gói chữ ký định kỳ Hãy bỏ qua thời gian ngày cảm biến kiểm tra máy chủ FTP cho gói chữ ký • Các mức chữ ký hỗ trợ bảng điều khiển quản lý phải đồng hóa với gói chữ ký cảm biến IPS Global Correlation • Tổng quan triển khai iOS IPS Tải xuống tệp iOS IPS Tạo thư mục cấu hình IOS IPS Flash Cấu hình khóa crytpo IPS iOS Enable IOS IPS tải gói IOS IPS Signature vào router Tham khảo 5.3.1 Tôi muốn sử dụng CLI để quản lý tập tin chữ ký cho IPS Tôi tải xuống tệp iOS IPS Tải tập tin Signature Tải xuống tệp gói Signature IOS IPS khóa mật mã cơng khai Tạo thư mục Để đổi tên thư mục: Định cấu hình Khóa mật mã - Đánh dấu chép văn có tập tin khóa cơng cộng - Dán vào chế độ cấu hình chung Xác nhận Khóa mật mã Kích hoạt iOS IPS - Quy tắc IPS tạo - Vị trí IPS flash xác định - Thông báo SDEE Syslog bật - IPS tất loại nghỉ - Danh mục IPS không tiết lộ - Quy tắc IPS áp dụng theo hướng đến - Quy tắc IPS áp dụng theo hướng đến Tải gói Signature - Sao chép Signature từ máy chủ FTP – Việc biên dịch Signature bắt đầu sau gói Signature nạp vào định tuyến Xác minh Signature Configuring Cisco IOS IPS with CCP Lệnh CLI tạo Sử dụng lệnh CLI Ví dụ cho thấy làm để nghỉ hưu chữ ký cá nhân Trong trường hợp này, chữ ký 6130 với ID phụ 10 Ví dụ cho thấy làm để unretire tất chữ ký thuộc thể loại IOS IPS Basic Sử dụng lệnh CLI cho thay đổi Ví dụ cho thấy làm để thay đổi hành động signature để cảnh báo, thả đặt lại cho signature 6130 với ID subsig 10 Xem signature cấu hình Configure > Security > Intrusion Prevention > Edit IPS > Signatures Để thay đổi mức độ nghiêm trọng signature, chọn Set Severity To Sửa đổi Signature Actions Để điều chỉnh Signature, chọn Configure > Security > Intrusion Prevention > Edit IPS > Signatures Chỉnh sửa thông số Signature Xác minh Cisco IPS IOS cách sử dụng lệnh CLI Lệnh EXEC show ip ips đặc quyền sử dụng với số tham số khác để cung cấp thông tin IPS cụ thể Lệnh show ip ips all hiển thị tất liệu cấu hình IPS Lệnh cấu hình show ip ips hiển thị liệu cấu hình bổ sung khơng hiển thị với lệnh show running-config Lệnh show ip ips interfaces hiển thị liệu cấu hình giao diện Đầu từ lệnh cho thấy quy tắc áp dụng cho giao diện cụ thể Show ip ips signature xác minh cấu hình chữ ký Lệnh sử dụng với từ khóa detail để cung cấp đầu rõ ràng Lệnh show ip ips statistics hiển thị số lượng gói kiểm tra số lượng báo thức gửi Từ khóa reset tùy chọn đặt lại đầu để phản ánh thống kê Xác minh Cisco IPS IOS cách sử dụng CCP Chọn Configure > Security > Intrusion Prevention > Edit IPS Báo cáo Cảnh báo xâm nhập IPS Để định phương thức thông báo kiện, sử dụng lệnh cấu hình chung ip ips notify [log | sdee] • Từ khóa log gửi thư định dạng nhật ký hệ thống • Từ khóa sdee gửi tin nhắn theo định dạng SDEE SDEE on an IOS IPS Router • Bật SDEE định tuyến IOS IPS lệnh sau: Bật HTTP HTTPS định tuyến SDEE sử dụng chế pull Các lệnh bổ sung: - ip sdee events events - Clear ip ips sdee {events|subscription} - ip ips notify Using SDM to View Messages Để xem tin nhắn cảnh báo SDEE CCP, chọn Monitor > Router > Logging • • • Summary • IPS dựa mạng thực nội tuyến IDS triển khai ngoại tuyến • • • • • • • • Triển khai IPS dựa mạng IPS dựa máy chủ để bảo vệ mạng khỏi sâu Internet di chuyển nhanh vi-rút virus Chữ ký tương tự tệp dat chống vi-rút chúng cung cấp IPS với danh sách vấn đề xác định Các chữ ký ISP cấu hình để sử dụng trình kích hoạt hành động khác Signatures cần phải điều chỉnh để netwok specifc Liên tục theo dõi giải pháp IPS để đảm bảo cung cấp mức bảo vệ thích hợp Triển khai Cisco IOS IPS CLI SDM Sửa đổi chữ ký IPS CLI SDM Sử dụng nhiều CLI khác để xác minh giám sát cấu hình Cisco IOS IPS  ... cảnh báo SDEE CCP, chọn Monitor > Router > Logging • • • Summary • IPS dựa mạng thực nội tuyến IDS triển khai ngoại tuyến • • • • • • • • Triển khai IPS dựa mạng IPS dựa máy chủ để bảo vệ mạng