1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài giảng Xây dựng hệ thống Firewall: Bài 3 - Cao đẳng Nghề CNTT iSPACE

54 76 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 54
Dung lượng 2,56 MB

Nội dung

Bài 3 trang bị cho người học những hiểu biết về bảo mật mạng sử dụng Cisco IPS, giúp sinh viên hiểu về các tính năng của các hệ thống IPS/IDS, biết ứng dụng bài học vào thực tiễn xây dựng hệ thống phát hiện và ngăn chặn tấn công cho hệ thống mạng doanh nghiệp.

Trang 1

MÔN HỌC: XÂY DỰNG HỆ THỐNG AN

NINH FIREWALL

Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin

fit@ispace.edu.vn

Trang 2

Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG

Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL

Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS

Bài 4: BẢO MẬT LAYER 2

Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IPS

Trang 3

Giới thiệu Cisco IOS IPS (Intrusion Prevention System)

Cấu hình Cisco IOS IDS (Intrusion Detection System)

Câu hỏi ôn tập

Giới thiệu IPS/IDS và cách thức triển khai trên hệ thống mạng

Trang 4

Trình bày được các loại hệ thống IDS và IPS.

Cấu hình được Cisco IOS IPS.

Triển khai được hệ thống phát hiện và ngăn chặn xâm nhập

cho doanh nghiệp.

Trang 5

Tổng quan về Cisco IOS IPS

Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router

Tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống

Loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống

Cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng.

nhập , có thể được tích hợp với IOS của router Cisco

Trang 6

Giới thiệu Cisco IOS IDS và IPS

Hệ thống phát hiện xâm nhập (Intrusion Detection System)

Hệ thống ngăn chặn xâm nhập (Intrusion Protection System)

Hệ thống kết hợp IDS và IPS

Trang 8

Hệ thống ngăn chặn xâm nhập (Intrusion Protection System)

IPS là thiết bị chủ động:

o Tất cả traffic phải đi qua IPS.

o IPS sử dụng nhiều interface để xử lý các loại

Trang 9

Hệ thống kết hợp IDS và IPS

IPS chủ động khóa traffic vi phạm:

o Không khóa dữ liệu hợp lệ

o Chỉ tắt traffic được xem là nguy hiểm.

o Yêu cầu phối hợp tập trung để tránh phá hủy kết nối.

IDS bổ sung thêm vào IPS các tính năng:

o Kiểm tra IPS vẫn còn hoạt động.

o Cảnh báo về bất kỳ dữ liệu đáng ngờ nào ngoài dữ liệu được xem là hợp lệ

o Đánh dấu vùng màu xám của traffic có thể gây nguy hiểm

mà IPS đã không ngăn chặn

Trang 10

Cisco IOS IPS sử dụng kết hợp tính năng của Cisco IDS và IPS:

Cisco IDS Series appliances Cisco Catalyst Series IDS services modules Cisco network module hardware IDS appliances

Cisco IOS IPS sử dụng kết hợp các kỹ thuật:

Phát hiện xâm nhập dựa vào profile (Profile-based intrusion detection).

Phát hiện xâm nhập dựa vào signature (Signature-based intrusion detection).

Phát hiện xâm nhập dựa vào phân tích giao thức (Protocol analysis-based intrusion detection).

Trang 11

Tiêu chuẩn Loại Mô tả

Tùy chọn

triển khai

Network-based Kỹ thuật scan traffic gửi đến nhiều host.

Host-based Host agent giám sát tất cả thao tác trong hệ điều hành.

Tiếp xúc để

xác định

traffic nguy

hiểm

Signature-based Vendor cung cấp cơ sở dữ liệu các signature.

Policy-based Định nghĩa policy và mô tả được tạo ra.

Anomaly-based Traffic bình thường và khả nghi bị ngăn cấm.

Trang 12

Signature-Based IDS và IPS Policy-Based IDS và IPS

Anomaly-Based IDS và IPS Honeypot

Network-Based và Host-Based IPS

So sánh Network-Based và Host-Based IPS Các tính năng của NIPS

Triển khai NIDS và NIPS

Trang 13

Signature-Based IDS và IPS

Theo dõi để khóa hoặc cảnh báo nếu nhận diện được traffic nguy hiểm:

o Yêu cầu cơ sở dữ liệu mẫu các traffic nguy hiểm.

o Cơ sở dữ liệu phải được cập nhật liên tục.

Trang 14

Policy-Based IDS và IPS

Theo dõi để khóa hoặc cảnh báo nếu sự kiện ở bên ngoài của cấu hình policy được phát hiện.

Yêu cầu có 1 cơ sở dữ liệu policy.

Trang 15

Anomaly-Based IDS và IPS

Theo dõi để khóa hoặc cảnh báo nếu sự kiện không bình thường được phát hiện:

o Yêu cầu các definition “normal”.

Trang 17

Network-Based và Host-Based IPS

NIPS: Sensor appliances được kết nối đến nhánh mạng để giám sát các host.

HIPS: phần mềm đại lý quản lý các host được cài đặt trên mỗi host.

o CSAs bảo vệ các host và thông báo đến

hệ thống quản lý trung tâm.

o HIPS cung cấp cơ chế phát hiện host

cá nhân và cơ chế bảo vệ

o HIPS không yêu cầu về loại phần cứng đặc biệt.

Trang 18

So sánh Network-Based và Host-Based IPS

Cơ chế bảo vệ mã hóa theo ứng dụng (Application-level encryption protection)

Policy nâng cao (Policy enhancement)(resource control)

Bảo vệ ứng dụng web (Web application protection)

Ngăn chặn tràn bộ đệm (Buffer overflow)

Ngăn chặn sự tấn công mạng và do thám

Ngăn chặn sự tấn công DoS.

Trang 19

Các tính năng của NIPS

Sensor là các thiết bị mạng được dùng để phân tích các phát hiện xâm nhập:

o Hệ điều hành được gia cố.

o Phần cứng được dành riêng để phân tích các phát hiện xâm nhập.

Sensor được kết nối vào nhánh mạng và có thể giám sát bất kỳ host nào.

Hệ thống mạng đang mở rộng cũng dễ dàng được bảo vệ:

o Những host mới và thiết bị có thể được thêm vào mà không cần dùng thêm sensor.

o Các sensor mới có thể dễ dàng được kết nối thêm vào hệ

Trang 20

Triển khai NIDS và NIPS

Trang 21

Exploit Signatures Signature Examples Cisco IOS IPS Signature Definition Files

Trang 22

Exploit Signatures

Có 4 loại signature:

o Exploit signature so sánh với các loại tấn công xác định.

o Connection signatures so sánh với các traffic giao thức riêng biệt.

o String signatures so sánh với thứ tự các chuỗi trong dữ liệu.

o DoS signatures so sánh với sự tấn công bằng DoS.

Sự lựa chọn các signature được dựa trên:

o Loại giao thức mạng.

o Loại hệ điều hành.

o Loại dịch vụ.

o Loại tấn công.

Trang 23

Exploit Signatures

Sử dụng các signature

Application Presentation Session Transport Network

Thăm dò DNS reconnaissance and DoS

Worms, viruses, Trojan horses,

Trang 24

Script Bug

Loại signature này xảy ra khi có 1 sự cố gắng thử xem file trên thư mục gốc của HTML.

Trang 25

Cisco IOS IPS Signature Definition Files

Cisco IOS router hoạt động như 1 thiết bị ngăn chặn xâm nhập bên trong.

Cơ sở dữ liệu của signature:

o Có sẵn (100 signature được nhúng trong phần mềm Cisco IOS)

o File SDF (có thể download từ Cisco.com):

 Static (attack-drop.sdf)

 Dynamic (128MB.sdf, 256MB.sdf)—dựa trên RAM được cài đặt.

Cấu hình linh hoạt:

o Load cơ sở dữ liệu signature có sẵn, file SDF, hoặc ngay cả việc kết hợp các signature để mở rộng phạm vi.

o Kết hợp hoặc vô hiệu các ignature cá nhân.

Trang 26

Cisco IOS IPS Signature Definition Files

attack-drop.sdf

signature có độ tin cậy cao để hỗ trợ phát hiện các vấn đề

về bảo mật.

Khi được load, những signature này có thể Tải signature từ Cisco.com

Trang 27

Sự lưu ý cảnh báo của Cisco IOS IPS

Gửi cảnh báo đến syslog server hoặc giao diện quản lý trung tâm.

Hủy bỏ gói tin.

Khởi tạo lại kết nối.

Khóa traffic từ địa chỉ IP nguồn của kẻ tấn công trong thời gian xác định.

Khóa traffic trên kết nối mà signature đã nhận ra trong thời gian xác định.

Trang 28

Cấu hình Cisco IOS IPS

Các bước cấu hình Cisco IOS IPS Cấu hình cơ bản IOS IPS

Cấu hình nâng cao Cisco IOS IPS Kiểm tra cấu hình IOS IPS

Giới thiệu cấu hình IPS trên router Cisco sử dụng IOS IPS

Trang 29

Các bước cấu hình Cisco IOS IPS

Bước 1: Thiết lập cấu hình IPS cơ bản:

o Xác định vị trí của SDF.

o Cấu hình thông số failure.

o Tạo IPS rule, các tùy chọn, kết hợp rule với filter.

o Áp đặt IPS rule lên cổng xác định.

Bước 2: Thiết lập cấu hình IPS nâng cao:

o Kết hợp các SDF.

o Vô hiệu, xóa, và lọc các signature được chọn.

o Áp đặt lại IPS rule lên cổng xác định.

Bước 3: Kiểm tra cấu hình IPS.

Trang 30

Cấu hình cơ bản IOS IPS

Router# show running-config | begin ips

! Drop all packets until IPS is ready for scanning

ip ips fail closed

! IPS rule definition

ip ips name SECURIPS list 100

Trang 31

Cấu hình nâng cao Cisco IOS IPS

! Merge built-in SDF with attack-drop.sdf, and copy to flash

Router# copy flash:attack-drop.sdf ips-sdf

Router# copy ips-sdf flash:my-signatures.sdf

Router# show runnning-config | begin ips

! Specify the IPS SDF location

ip ips sdf location flash:my-signatures.sdf

ip ips fail-closed

! Disable sig 1107, delete sig 5037, filter sig 6190 with ACL 101

ip ips signature 1107 0 disable

ip ips signature 5037 0 delete

ip ips signature 6190 0 list 101

ip ips name SECURIPS list 100

interface Serial0/0

Trang 32

Kiểm tra cấu hình IOS IPS

Router# show ip ips configuration

Configured SDF Locations:

flash: my-signatures.sdf

Builtin signatures are enabled but not loaded

Last successful SDF load time: 13:45:38 UTC Jan 1 2006

IPS fail closed is enabled

Total Active Signatures: 183

Total Inactive Signatures: 0

Signature 6190:0 list 101

Signature 1107:0 disable

IPS Rule Configuration

IPS name SECURIPS

acl list 100

Interface Configuration

Interface Serial0/0

Trang 33

Các nhiệm vụ được bao gồm trong IPS Policies wizard:

o Lựa chọn nhanh cổng để triển khai rule.

o Phát hiện hướng dòng dữ liệu.

o Cập nhật signature tự động.

o Triển khai nhanh các signature mặc định.

o Kiểm tra hiệu lực của các tài nguyên của router trước khi triển khai signature.

Các tùy chỉnh signature có giá trị trong Menu Edit củaSDM IPS:

o Disable

o Delete

o Modify parameters

Trang 34

Tổng quan về IPS Policies Wizard Xác định Interfaces và Flow Direction Lựa chọn SDF Location

Trang 35

Tổng quan về IPS Policies Wizard

Trang 36

Tổng quan về IPS Policies Wizard

Trang 37

Xác định Interfaces và Flow Direction

Trang 38

Lựa chọn SDF Location

Trang 39

Lựa chọn SDF Location

Trang 40

Lựa chọn SDF Location

Trang 41

Kiểm tra việc triển khai IPS

Trang 42

Kiểm tra việc triển khai IPS

Trang 43

Global Settings

Trang 44

Xem SDEE Status Messages Xem SDEE Alerts

Trang 45

Xem SDEE Status Messages

Status messages report the engine states.

Trang 46

Xem SDEE Alerts

Signatures fire SDEE alerts.

Trang 47

Chỉnh sửa Signature Tắt Signature Group Kiểm tra Tuned Signatures

Trang 48

Chỉnh sửa Signature

Trang 49

Chỉnh sửa Signature

Trang 51

Kiểm tra Tuned Signatures

Trang 52

Trình bày các loại hệ thống IDS và IPS.

Các bước cấu hình Cisco IOS IPS.

Triển khai hệ thống phát hiện và ngăn chặn xâm nhập cho

doanh nghiệp.

Trang 53

Các tính năng của IDS/IPS

Các loại hệ thống IDS/IPS

Triển khai hệ thống IDS/IPS với Cisco IOS IPS

Kết luận:

Bài học này rất hay giúp SV hiểu về các tính năng của các hệ

thống IPS/IDS.

Ứng dụng bài học vào thực tiễn xây dựng hệ thống phát hiện

và ngăn chặn tấn công cho hệ thống mạng DN.

Ngày đăng: 30/01/2020, 12:53

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w