Bài 3 trang bị cho người học những hiểu biết về bảo mật mạng sử dụng Cisco IPS, giúp sinh viên hiểu về các tính năng của các hệ thống IPS/IDS, biết ứng dụng bài học vào thực tiễn xây dựng hệ thống phát hiện và ngăn chặn tấn công cho hệ thống mạng doanh nghiệp.
Trang 1MÔN HỌC: XÂY DỰNG HỆ THỐNG AN
NINH FIREWALL
Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
Trang 2Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IPS
Trang 3Giới thiệu Cisco IOS IPS (Intrusion Prevention System)
Cấu hình Cisco IOS IDS (Intrusion Detection System)
Câu hỏi ôn tập
Giới thiệu IPS/IDS và cách thức triển khai trên hệ thống mạng
Trang 4Trình bày được các loại hệ thống IDS và IPS.
Cấu hình được Cisco IOS IPS.
Triển khai được hệ thống phát hiện và ngăn chặn xâm nhập
cho doanh nghiệp.
Trang 5Tổng quan về Cisco IOS IPS
Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router
Tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống
Loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống
Cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng.
nhập , có thể được tích hợp với IOS của router Cisco
Trang 6Giới thiệu Cisco IOS IDS và IPS
Hệ thống phát hiện xâm nhập (Intrusion Detection System)
Hệ thống ngăn chặn xâm nhập (Intrusion Protection System)
Hệ thống kết hợp IDS và IPS
Trang 8Hệ thống ngăn chặn xâm nhập (Intrusion Protection System)
IPS là thiết bị chủ động:
o Tất cả traffic phải đi qua IPS.
o IPS sử dụng nhiều interface để xử lý các loại
Trang 9Hệ thống kết hợp IDS và IPS
IPS chủ động khóa traffic vi phạm:
o Không khóa dữ liệu hợp lệ
o Chỉ tắt traffic được xem là nguy hiểm.
o Yêu cầu phối hợp tập trung để tránh phá hủy kết nối.
IDS bổ sung thêm vào IPS các tính năng:
o Kiểm tra IPS vẫn còn hoạt động.
o Cảnh báo về bất kỳ dữ liệu đáng ngờ nào ngoài dữ liệu được xem là hợp lệ
o Đánh dấu vùng màu xám của traffic có thể gây nguy hiểm
mà IPS đã không ngăn chặn
Trang 10Cisco IOS IPS sử dụng kết hợp tính năng của Cisco IDS và IPS:
Cisco IDS Series appliances Cisco Catalyst Series IDS services modules Cisco network module hardware IDS appliances
Cisco IOS IPS sử dụng kết hợp các kỹ thuật:
Phát hiện xâm nhập dựa vào profile (Profile-based intrusion detection).
Phát hiện xâm nhập dựa vào signature (Signature-based intrusion detection).
Phát hiện xâm nhập dựa vào phân tích giao thức (Protocol analysis-based intrusion detection).
Trang 11Tiêu chuẩn Loại Mô tả
Tùy chọn
triển khai
Network-based Kỹ thuật scan traffic gửi đến nhiều host.
Host-based Host agent giám sát tất cả thao tác trong hệ điều hành.
Tiếp xúc để
xác định
traffic nguy
hiểm
Signature-based Vendor cung cấp cơ sở dữ liệu các signature.
Policy-based Định nghĩa policy và mô tả được tạo ra.
Anomaly-based Traffic bình thường và khả nghi bị ngăn cấm.
Trang 12Signature-Based IDS và IPS Policy-Based IDS và IPS
Anomaly-Based IDS và IPS Honeypot
Network-Based và Host-Based IPS
So sánh Network-Based và Host-Based IPS Các tính năng của NIPS
Triển khai NIDS và NIPS
Trang 13Signature-Based IDS và IPS
Theo dõi để khóa hoặc cảnh báo nếu nhận diện được traffic nguy hiểm:
o Yêu cầu cơ sở dữ liệu mẫu các traffic nguy hiểm.
o Cơ sở dữ liệu phải được cập nhật liên tục.
Trang 14Policy-Based IDS và IPS
Theo dõi để khóa hoặc cảnh báo nếu sự kiện ở bên ngoài của cấu hình policy được phát hiện.
Yêu cầu có 1 cơ sở dữ liệu policy.
Trang 15Anomaly-Based IDS và IPS
Theo dõi để khóa hoặc cảnh báo nếu sự kiện không bình thường được phát hiện:
o Yêu cầu các definition “normal”.
Trang 17Network-Based và Host-Based IPS
NIPS: Sensor appliances được kết nối đến nhánh mạng để giám sát các host.
HIPS: phần mềm đại lý quản lý các host được cài đặt trên mỗi host.
o CSAs bảo vệ các host và thông báo đến
hệ thống quản lý trung tâm.
o HIPS cung cấp cơ chế phát hiện host
cá nhân và cơ chế bảo vệ
o HIPS không yêu cầu về loại phần cứng đặc biệt.
Trang 18So sánh Network-Based và Host-Based IPS
Cơ chế bảo vệ mã hóa theo ứng dụng (Application-level encryption protection)
Policy nâng cao (Policy enhancement)(resource control)
Bảo vệ ứng dụng web (Web application protection)
Ngăn chặn tràn bộ đệm (Buffer overflow)
Ngăn chặn sự tấn công mạng và do thám
Ngăn chặn sự tấn công DoS.
Trang 19Các tính năng của NIPS
Sensor là các thiết bị mạng được dùng để phân tích các phát hiện xâm nhập:
o Hệ điều hành được gia cố.
o Phần cứng được dành riêng để phân tích các phát hiện xâm nhập.
Sensor được kết nối vào nhánh mạng và có thể giám sát bất kỳ host nào.
Hệ thống mạng đang mở rộng cũng dễ dàng được bảo vệ:
o Những host mới và thiết bị có thể được thêm vào mà không cần dùng thêm sensor.
o Các sensor mới có thể dễ dàng được kết nối thêm vào hệ
Trang 20Triển khai NIDS và NIPS
Trang 21Exploit Signatures Signature Examples Cisco IOS IPS Signature Definition Files
Trang 22Exploit Signatures
Có 4 loại signature:
o Exploit signature so sánh với các loại tấn công xác định.
o Connection signatures so sánh với các traffic giao thức riêng biệt.
o String signatures so sánh với thứ tự các chuỗi trong dữ liệu.
o DoS signatures so sánh với sự tấn công bằng DoS.
Sự lựa chọn các signature được dựa trên:
o Loại giao thức mạng.
o Loại hệ điều hành.
o Loại dịch vụ.
o Loại tấn công.
Trang 23Exploit Signatures
Sử dụng các signature
Application Presentation Session Transport Network
Thăm dò DNS reconnaissance and DoS
Worms, viruses, Trojan horses,
Trang 24Script Bug
Loại signature này xảy ra khi có 1 sự cố gắng thử xem file trên thư mục gốc của HTML.
Trang 25Cisco IOS IPS Signature Definition Files
Cisco IOS router hoạt động như 1 thiết bị ngăn chặn xâm nhập bên trong.
Cơ sở dữ liệu của signature:
o Có sẵn (100 signature được nhúng trong phần mềm Cisco IOS)
o File SDF (có thể download từ Cisco.com):
Static (attack-drop.sdf)
Dynamic (128MB.sdf, 256MB.sdf)—dựa trên RAM được cài đặt.
Cấu hình linh hoạt:
o Load cơ sở dữ liệu signature có sẵn, file SDF, hoặc ngay cả việc kết hợp các signature để mở rộng phạm vi.
o Kết hợp hoặc vô hiệu các ignature cá nhân.
Trang 26Cisco IOS IPS Signature Definition Files
attack-drop.sdf
signature có độ tin cậy cao để hỗ trợ phát hiện các vấn đề
về bảo mật.
Khi được load, những signature này có thể Tải signature từ Cisco.com
Trang 27Sự lưu ý cảnh báo của Cisco IOS IPS
Gửi cảnh báo đến syslog server hoặc giao diện quản lý trung tâm.
Hủy bỏ gói tin.
Khởi tạo lại kết nối.
Khóa traffic từ địa chỉ IP nguồn của kẻ tấn công trong thời gian xác định.
Khóa traffic trên kết nối mà signature đã nhận ra trong thời gian xác định.
Trang 28Cấu hình Cisco IOS IPS
Các bước cấu hình Cisco IOS IPS Cấu hình cơ bản IOS IPS
Cấu hình nâng cao Cisco IOS IPS Kiểm tra cấu hình IOS IPS
Giới thiệu cấu hình IPS trên router Cisco sử dụng IOS IPS
Trang 29Các bước cấu hình Cisco IOS IPS
Bước 1: Thiết lập cấu hình IPS cơ bản:
o Xác định vị trí của SDF.
o Cấu hình thông số failure.
o Tạo IPS rule, các tùy chọn, kết hợp rule với filter.
o Áp đặt IPS rule lên cổng xác định.
Bước 2: Thiết lập cấu hình IPS nâng cao:
o Kết hợp các SDF.
o Vô hiệu, xóa, và lọc các signature được chọn.
o Áp đặt lại IPS rule lên cổng xác định.
Bước 3: Kiểm tra cấu hình IPS.
Trang 30Cấu hình cơ bản IOS IPS
Router# show running-config | begin ips
! Drop all packets until IPS is ready for scanning
ip ips fail closed
! IPS rule definition
ip ips name SECURIPS list 100
Trang 31Cấu hình nâng cao Cisco IOS IPS
! Merge built-in SDF with attack-drop.sdf, and copy to flash
Router# copy flash:attack-drop.sdf ips-sdf
Router# copy ips-sdf flash:my-signatures.sdf
Router# show runnning-config | begin ips
! Specify the IPS SDF location
ip ips sdf location flash:my-signatures.sdf
ip ips fail-closed
! Disable sig 1107, delete sig 5037, filter sig 6190 with ACL 101
ip ips signature 1107 0 disable
ip ips signature 5037 0 delete
ip ips signature 6190 0 list 101
ip ips name SECURIPS list 100
interface Serial0/0
Trang 32Kiểm tra cấu hình IOS IPS
Router# show ip ips configuration
Configured SDF Locations:
flash: my-signatures.sdf
Builtin signatures are enabled but not loaded
Last successful SDF load time: 13:45:38 UTC Jan 1 2006
IPS fail closed is enabled
Total Active Signatures: 183
Total Inactive Signatures: 0
Signature 6190:0 list 101
Signature 1107:0 disable
IPS Rule Configuration
IPS name SECURIPS
acl list 100
Interface Configuration
Interface Serial0/0
Trang 33Các nhiệm vụ được bao gồm trong IPS Policies wizard:
o Lựa chọn nhanh cổng để triển khai rule.
o Phát hiện hướng dòng dữ liệu.
o Cập nhật signature tự động.
o Triển khai nhanh các signature mặc định.
o Kiểm tra hiệu lực của các tài nguyên của router trước khi triển khai signature.
Các tùy chỉnh signature có giá trị trong Menu Edit củaSDM IPS:
o Disable
o Delete
o Modify parameters
Trang 34Tổng quan về IPS Policies Wizard Xác định Interfaces và Flow Direction Lựa chọn SDF Location
Trang 35Tổng quan về IPS Policies Wizard
Trang 36Tổng quan về IPS Policies Wizard
Trang 37Xác định Interfaces và Flow Direction
Trang 38Lựa chọn SDF Location
Trang 39Lựa chọn SDF Location
Trang 40Lựa chọn SDF Location
Trang 41Kiểm tra việc triển khai IPS
Trang 42Kiểm tra việc triển khai IPS
Trang 43Global Settings
Trang 44Xem SDEE Status Messages Xem SDEE Alerts
Trang 45Xem SDEE Status Messages
Status messages report the engine states.
Trang 46Xem SDEE Alerts
Signatures fire SDEE alerts.
Trang 47Chỉnh sửa Signature Tắt Signature Group Kiểm tra Tuned Signatures
Trang 48Chỉnh sửa Signature
Trang 49Chỉnh sửa Signature
Trang 51Kiểm tra Tuned Signatures
Trang 52Trình bày các loại hệ thống IDS và IPS.
Các bước cấu hình Cisco IOS IPS.
Triển khai hệ thống phát hiện và ngăn chặn xâm nhập cho
doanh nghiệp.
Trang 53Các tính năng của IDS/IPS
Các loại hệ thống IDS/IPS
Triển khai hệ thống IDS/IPS với Cisco IOS IPS
Kết luận:
Bài học này rất hay giúp SV hiểu về các tính năng của các hệ
thống IPS/IDS.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống phát hiện
và ngăn chặn tấn công cho hệ thống mạng DN.