Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Intrusion Dectection I. Giới thiệu: Hệ thống tự phát hiện các đợt tấn công Bài Lab sử dụng công cụ Supper Scan, để tiến hành scan port, giả lập 1 trong những bước của đợt tấn công ISA sẽ báo động bằng cách gửi mail cho Administrator hoặc chạy 1 ứng dụng định trước: II. Chuẩn bị - Cấu hình hệ thống Mail Server, tạo Mailbox cho Administrator và các user - Cấu hình Outlook Express cho tất cả các user (Tham khảo bài Public Mail Server) III. Thực hiện 1. Cấu hình Intrusion Detection B1: Trong giao diện quản lý ISA Vào Configuration General Chọn Enable Intrusion and DNS Attack Detection Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 80 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: Trong cửa sổ Intrusion Detection Đánh dấu chọn vào ô Port scan Apply OK B3: Trong giao diện quản lý ISA Vào mục Monitoring Chọn tab Alert Trong cửa sổ thứ 3 chọn Confiugre Alert Definition Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 81 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Trong cửa sổ Alert Properties Chọn Intrusion detected Edit B4: Trong cửa sổ Intrusion detected Properties Vào tab Actions Đánh dấu chọn vào ô Send e-mail và khai báo như sau: SMTP Server: <địa chỉ mail server> From: ISAServer To: <đia chỉ mail của Administrator> Apply OK Tham khảo trong hình bên Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 82 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B5: Trong giao diện quản lý ISA bấm Apply để hoàn tất quá trình cấu hình Intrusion Detection 2. Kiểm tra kết quả bằng chương trình SupperScan - Dùng 1 máy đang kết nối tới ISA bằng card LAN (Giả lập là máy bên ngoài Internet) scan hệ thống ISA B1: Chạy chương trình Supperscan4 Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 83 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: Trong của sổ Super Scan4 Chọn tab Host and Service Discovery , bỏ dấu chọn Host discovery B3: Vào tab Scan nhập địa chỉ mặt ngoài của ISA Server (địa chỉ card LAN) Chọn Start để tiến hành Scan 3. Kiểm tra trên máy DC nhận đựơc email thông báo từ hệ thống Intrusion detection của ISA Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 84 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: Mở Outlook Express của Administrator B2: Xem trong Inbox thấy có email được gửi tự động từ hệ thống Intrusion detection của ISA, nội dung mail ghi rõ bi tấn công dạng nào, và từ đâu. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 85 . 1. Cấu hình Intrusion Detection B1: Trong giao diện quản lý ISA Vào Configuration General Chọn Enable Intrusion and DNS Attack Detection Phiên Bản. 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: Trong cửa sổ Intrusion Detection Đánh dấu chọn vào ô Port scan Apply OK B3: Trong giao diện quản