Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Chương 5: Triển khai phòng chống xâm nhập Mục tiêu: • Mơ tả công nghệ IDS IPS nhúng giải pháp IDS IPS dựa mạng lưu trữ máy chủ Cisco • Định cấu hình Cisco IOS IPS CLI CCP • Kiểm chứng Cisco IOS CLI CCP Đặc điểm IDS IPS Iron Port Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Hệ thống phát xâm nhập (IDS) Một công khởi chạy mạng có cảm biến triển khai promiscuous IDS mode; tất gói gửi đến cảm biến IDS để phân tích gói Tuy nhiên, máy mục tiêu bị công độc hại Cảm biến IDS, khớp với lưu lượng truy cập độc hại tới signature gửi lệnh chuyển đổi để từ chối quyền truy cập vào nguồn lưu lượng truy cập độc hại IDS gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký mục đích quản lý khác Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Hệ thống phòng chống xâm nhập (IPS) Một cơng khởi chạy mạng có cảm biến triển khai chế độ IPS (chế độ nội tuyến) Cảm biến IPS phân tích gói chúng vào giao diện cảm biến IPS Cảm biến IPS khớp với lưu lượng truy cập độc hại đến signature công bị dừng Cảm biến IPS gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký mục đích quản lý khác Lưu lượng truy cập vi phạm sách bị cảm biến IPS giảm xuống Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc So sánh giải pháp IDS IPS Đặc điểm chung IDS IPS • Cả hai công nghệ triển khai dạng cảm biến • Cả hai cơng nghệ sử dụng signature để phát mẫu lạm dụng lưu lượng mạng • Cả hai phát mẫu nguyên tử (gói đơn) mẫu tổng hợp (nhiều gói) IDS Chế độ promiscuous Ưu điểm • Khơng ảnh hưởng đến mạng (độ trễ, jitter) • Khơng có tác động mạng có lỗi cảm biến • Khơng có tác động mạng có tải cảm biến • • • • Nhược điểm Hành động phản hồi khơng thể dừng gói kích hoạt Điều chỉnh u cầu cho hành động phản hồi Phải có sách bảo mật tốt Dễ bị tổn thương với kỹ thuật trốn mạng Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc So sánh giải pháp IDS IPS I P S Ưu điểm • Dừng gói kích hoạt • Có thể sử dụng kỹ thuật bình thường hóa luồng Triển khai dựa mạng Triển khai dựa máy chủ Nhược điểm • Các cố cảm biến ảnh hưởng đến lưu lượng mạng • Quá tải cảm biến tác động đến mạng • Phải có sách bảo mật tốt • Một số tác động mạng (độ trễ, jitter) Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Cisco Security Agent Cisco Security Agent Screens Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Một thông điệp cảnh báo xuất CSA phát vấn đề Cờ vẫy khay hệ thống cho biết cố bảo mật tiềm ẩn Cisco Trust Agent CSA trì tệp nhật ký cho phép người dùng xác minh vấn đề tìm hiểu thêm thơng tin Đinh Hữu Hồng – Nguyễn Thị Thu Cúc Giải pháp dựa máy chủ Ưu điểm nhược điểm HIPS Ưu điểm • Sự thành cơng hay thất bại cơng dễ dàng xác định • HIPS khơng phải lo lắng công phân mảnh cơng Time to Live (TTL) thay đổi • HIPS có quyền truy cập vào lưu lượng truy cập dạng khơng mã hóa Giải pháp dựa mạng Nhược điểm • HIPS khơng cung cấp hình ảnh mạng hồn chỉnh • HIPS có u cầu hỗ trợ nhiều hệ điều hành Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Mạng lưới công ty Một IPS mạng thực cách sử dụng thiết bị IPS chuyên dụng, chẳng hạn loạt IPS 4200 thêm vào định tuyến ISR, thiết bị tường lửa ASA công tắc Catalyst 6500 Giải pháp Cisco IPS - Mô đun AIM Mạng nâng cao (IPS NME) • Tích hợp IPS vào định tuyến Cisco 1841 (chỉ IP IPS), định tuyến 2800 3800 ISR • IPS AIM chiếm khe AIM bên router có CPU riêng DRAM • Theo dõi lưu lượng truy cập lên đến 45 Mb / s • Cung cấp bảo vệ xâm nhập đầy đủ tính • Có thể giám sát lưu lượng từ tất giao diện định tuyến • Có thể kiểm tra lưu lượng truy cập GRE IPsec giải mã định tuyến từ mạng cơng ty • Chạy hình ảnh phần mềm Cisco IPS Sensor Appliances Giải pháp IPS Cisco - ASA AIP-SSM Đinh Hữu Hồng – Nguyễn Thị Thu Cúc • • • • • Mô-đun hiệu cao thiết kế để cung cấp dịch vụ bảo mật bổ sung cho Thiết bị bảo mật thích ứng Cisco ASA 5500 Series Thiết kế không đĩa để cải thiện độ tin cậy Giao diện Ethernet 10/100/1000 bên để quản lý tải xuống phần mềm Khả phòng chống xâm nhập Chạy hình ảnh phần mềm thiết bị cảm biến Cisco IPS Bộ cảm biến Cisco IPS 4200 Series • Giải pháp thiết bị tập trung vào việc bảo vệ thiết bị mạng, dịch vụ ứng dụng • Phát công tinh vi cung cấp Giải pháp Cisco IPS - Dòng sản phẩm Cisco Catalyst 6500 IDSM-2 • Mơ-đun bảo vệ xâm nhập chuyển mạch tích hợp cung cấp dịch vụ bảo mật giá trị cao thiết bị mạng lõi mạng • Hỗ trợ số lượng VLAN khơng hạn chế • Khả phòng chống xâm nhập • Chạy hình ảnh phần mềm Thiết bị cảm biến Cisco IPS Đinh Hữu Hồng – Nguyễn Thị Thu Cúc • • • Giải pháp trọn gói, dựa thiết bị cho phép mạng mạng bảo mật quản trị viên bảo mật giám sát, xác định, cách ly chống lại mối đe dọa bảo mật Cho phép tổ chức sử dụng hiệu tài nguyên mạng bảo mật họ Hoạt động với Cisco CSM Secure Device Event Exchange Định dạng SDEE phát triển để cải thiện việc truyền thông kiện tạo thiết bị bảo mật • Cho phép loại kiện bổ sung đưa vào chúng xác định Best Practices • Tham khảo 5.2.5.5 • Nhu cầu nâng cấp cảm biến với gói chữ ký phải cân với thời gian ngừng hoạt động tạm thời • Khi thiết lập triển khai lớn cảm biến, tự động cập nhật gói chữ ký thay tự nâng cấp cảm biến • Khi có sẵn gói chữ ký mới, tải xuống chữ ký • Đinh Hữu Hồng – Nguyễn Thị Thu Cúc Khi có gói chữ ký mới, tải xuống gói chữ ký đến máy chủ bảo mật mạng quản lý Sử dụng IPS khác để bảo vệ máy chủ khỏi bị cơng bên ngồi • Đặt gói chữ ký máy chủ FTP chun dụng mạng quản lý Nếu khơng có cập nhật chữ ký, tạo chữ ký tùy chỉnh để phát giảm thiểu cơng cụ thể • Cấu hình máy chủ FTP phép truy cập đọc vào tệp thư mục mà gói chữ ký đặt từ tài khoản mà cảm biến sử dụng • Định cấu hình cảm biến để tự động cập nhật chữ ký cách kiểm tra máy chủ FTP cho gói chữ ký định kỳ Hãy bỏ qua thời gian ngày cảm biến kiểm tra máy chủ FTP cho gói chữ ký • Các mức chữ ký hỗ trợ bảng điều khiển quản lý phải đồng hóa với gói chữ ký cảm biến IPS Global Correlation • Tổng quan triển khai iOS IPS Tải xuống tệp iOS IPS Tạo thư mục cấu hình IOS IPS Flash Cấu hình khóa crytpo IPS iOS Enable IOS IPS tải gói IOS IPS Signature vào router Tham khảo 5.3.1 Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Tôi muốn sử dụng CLI để quản lý tập tin chữ ký cho IPS Tôi tải xuống tệp iOS IPS Tải tập tin Signature Tải xuống tệp gói Signature IOS IPS khóa mật mã cơng khai Đinh Hữu Hồng – Nguyễn Thị Thu Cúc Tạo thư mục Để đổi tên thư mục: Định cấu hình Khóa mật mã - Đánh dấu chép văn có tập tin khóa cơng cộng - Dán vào chế độ cấu hình chung Xác nhận Khóa mật mã Đinh Hữu Hồng – Nguyễn Thị Thu Cúc Kích hoạt iOS IPS - Quy tắc IPS tạo - Vị trí IPS flash xác định - Thông báo SDEE Syslog bật Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc - IPS tất loại nghỉ - Danh mục IPS không tiết lộ - Quy tắc IPS áp dụng theo hướng đến - Quy tắc IPS áp dụng theo hướng đến Tải gói Signature - Sao chép Signature từ máy chủ FTP – Việc biên dịch Signature bắt đầu sau gói Signature nạp vào định tuyến Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Xác minh Signature Configuring Cisco IOS IPS with CCP Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Lệnh CLI tạo Sử dụng lệnh CLI Ví dụ cho thấy làm để nghỉ hưu chữ ký cá nhân Trong trường hợp này, chữ ký 6130 với ID phụ 10 Ví dụ cho thấy làm để unretire tất chữ ký thuộc thể loại IOS IPS Basic Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Sử dụng lệnh CLI cho thay đổi Ví dụ cho thấy làm để thay đổi hành động signature để cảnh báo, thả đặt lại cho signature 6130 với ID subsig 10 Xem signature cấu hình Configure > Security > Intrusion Prevention > Edit IPS > Signatures Để thay đổi mức độ nghiêm trọng signature, chọn Set Severity To Sửa đổi Signature Actions Để điều chỉnh Signature, chọn Configure > Security > Intrusion Prevention > Edit IPS > Signatures Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Chỉnh sửa thơng số Signature Đinh Hữu Hồng – Nguyễn Thị Thu Cúc Xác minh Cisco IPS IOS cách sử dụng lệnh CLI Lệnh EXEC show ip ips đặc quyền sử dụng với số tham số khác để cung cấp thông tin IPS cụ thể Lệnh show ip ips all hiển thị tất liệu cấu hình IPS Lệnh cấu hình show ip ips hiển thị liệu cấu hình bổ sung không hiển thị với lệnh show running-config Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Lệnh show ip ips interfaces hiển thị liệu cấu hình giao diện Đầu từ lệnh cho thấy quy tắc áp dụng cho giao diện cụ thể Show ip ips signature xác minh cấu hình chữ ký Lệnh sử dụng với từ khóa detail để cung cấp đầu rõ ràng Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc Lệnh show ip ips statistics hiển thị số lượng gói kiểm tra số lượng báo thức gửi Từ khóa reset tùy chọn đặt lại đầu để phản ánh thống kê Xác minh Cisco IPS IOS cách sử dụng CCP Chọn Configure > Security > Intrusion Prevention > Edit IPS Báo cáo Cảnh báo xâm nhập IPS Để định phương thức thông báo kiện, sử dụng lệnh cấu hình chung ip ips notify [log | sdee] • Từ khóa log gửi thư định dạng nhật ký hệ thống • Từ khóa sdee gửi tin nhắn theo định dạng SDEE Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc SDEE on an IOS IPS Router • Bật SDEE định tuyến IOS IPS lệnh sau: Bật HTTP HTTPS định tuyến SDEE sử dụng chế pull Các lệnh bổ sung: - ip sdee events events - Clear ip ips sdee {events|subscription} - ip ips notify Using SDM to View Messages Để xem tin nhắn cảnh báo SDEE CCP, chọn Monitor > Router > Logging • • • Summary • IPS dựa mạng thực nội tuyến IDS triển khai ngoại tuyến Đinh Hữu Hoàng – Nguyễn Thị Thu Cúc • • • • • • • • Triển khai IPS dựa mạng IPS dựa máy chủ để bảo vệ mạng khỏi sâu Internet di chuyển nhanh vi-rút virus Chữ ký tương tự tệp dat chống vi-rút chúng cung cấp IPS với danh sách vấn đề xác định Các chữ ký ISP cấu hình để sử dụng trình kích hoạt hành động khác Signatures cần phải điều chỉnh để netwok specifc Liên tục theo dõi giải pháp IPS để đảm bảo cung cấp mức bảo vệ thích hợp Triển khai Cisco IOS IPS CLI SDM Sửa đổi chữ ký IPS CLI SDM Sử dụng nhiều CLI khác để xác minh giám sát cấu hình Cisco IOS IPS