VI. Netflow
3. Cấu hình Netflow
Xác minh thông báo thực và quét những nơi mang tính nguy hiểm
Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên một giây là một sự chịu đựng khó chống cự. Quá trình lấy các log sự kiện một cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh để tìm kiếm một haystack cho một needle.
CS-Mars giống như một hệ thống. Sự thông minh được xây dựng vào hệ thống một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công
cụ xác nhận. Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực tế,những incident chính đáng.
Sự am hiểu về False Positive
Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuất SIM( security information management) phải nỗ lực liên tục. Hệ thống log của IDS phải được xem xét và phân tích để xác định giá trị của chúng và các giải pháp của SIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báo động, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng. Dù bằng cách nào, sự điều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thực hiện được gì nhiều.
CS-Mars có thể phân loại một false positive thành hai loại:
o Hệ thống xác định
o Không được xác nhận Hệ thống xác định
CS-Mars đã xác định rằng incident là không thành công. Điều này là có thể vì một thiết bị ngăn ngừa incident từ sự kiện hoặc dữ liệu được cung cấp nói với CS-Mars rằng những hệ thống đích không phải là dễ bị nguy hiểm đến các loại hình tấn công. Không được xác nhận
CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệu thực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm. Trên trang Summary, điều này sẽ được hiển thị như là "To be confirmed," đó chỉ đơn giản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars. Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Drop rule có 2 loại:
o Chặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừng việc log các sự kiện
o Đăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sự kiện vào cơ sở dữ liệu của CSMARS
Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules > Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ. Cả hai phương pháp đều cho kết quả o tab Drop Rule.
Hình: Đường dẫn CS-MARS False Positive
Sự hiểu biết về những phân tích mang tính nguy hiểm
Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mà nhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành công hay không. CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lại mục tiêu dữ liệu event và session cho các hệ thống cụ thể. Quá trình này cho phép CS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là một incident. Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm có thể không được xem trong CS-Mars.
CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từ hai nguồn:
Built-in Nessus utility
Third-party VA tool
Hiểu biết về Access IP, Reporting IP
Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web, Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP. Sự hiểu biết mục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả các thiết bị mà bạn muốn theo dõi và quản lý. Đó cũng là điều quan trọng để hiểu mối quan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra. Nếu một thiết bị có một giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access và reporting IP có địa chỉ giống nhau được gán cho giao diện. Mars thu thập thông tin này một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ IP liên kết với một giao diện, hoặc cả hai.
o Access IP
Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên session của quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tin lưu giữ các cấu hình của thiết bị này. Những giá trị được xác định bằng cách truy cập các loại mà bạn chọn. Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng các địa chỉ IP của máy cho phép quản lý chúng.
o Reporting IP
Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps mà bắt nguồn từ thiết bị. Mars sử dụng các địa chỉ này để nhận được các văn bản kết
hợp với đúng thiết bị. Đối với thiết bị dùng ở nhà riêng lẻ, các địa chỉ reporting IP tương tự như access IP;đối với thiết bị dùng ở nhà đôi hoặc nhiều, địa chỉ này phải được liên kết rõ ràng với các syslog, NetFlow, các dịch vụ SNMP đang chạy trên các thiết bị báo cáo. Hầu hết các thiết bị cũng đòi hỏi, cho mỗi loại văn bản, rõ ràng là bạn xác định được địa chỉ IP của máy mà văn bản sẽ được hiển thị. Các máy thường được gọi là mục tiêu đăng nhập vào các máy chủ. Các thiết bị Mars phải được liệt kê trong số các máy như là một phần của các thiết bị đã chuẩn bị.
Vai trò của reporting IP trong MARS khác với accessIP là các reporting IP được xem là những địa chỉ thụ động từ MARS. Mars hiện không yêu cầu tìm kiếm trên thiết bị dùng địa chỉ này. Những hoạt động được thực hiện dùng access IP truy cập và loại access.
Mars chỉ chấp nhận một địa chỉ reporting IP cho mỗi thiết bị. Đối với các thiết bị hỗ trợ hai định dạng văn bản, chẳng hạn như NetFlow và syslog, bạn phải đảm bảo rằng cả hai định dạng văn bản bị buộc vào cùng một địa chỉ IP nguồn (reporting IP). Trong các thiết bị IOS của Cisco, điều phổ biến này không phải là mặc định, do đó bạn phải thay đổi reporting IP syslog hay NetFlow để phù hợp với địa chỉ IP khác. Nếu các loại văn bản không bắt nguồn từ một địa chỉ IP chung, một trong số chúng được xem là bắt nguồn từ một thiêt bị không báo cáo và Mars hiện không phân tích những sự kiện này một cách chính xác.
3.1 Cấu hình Netflow trên CSMars
Việc kích hoạt netflow trên CSmars thực sự đơn giản:
Bước 1: Admin > System Setup > Device Configuration and Discover
Information > NetFlow Config Info
Bước 2: Nhập cổng của Port dữ liệu NetFlow. Mặc định UDP 2055. Bước 3: Tiếp theo là bật lên hoặc tắt chế đọ đó bằng enable/disable Bước 4: Tùy chọn để lưu dữ liệu Netflow.
Bước 5: Lựa chọn để xác định các mạng mà bạn muốn đánh giá. Bước 6: Nhấn Submit.
Hình: Cấu hình Netflow trên Csmars 3.2 Router
3.2.1 Cấu hình SNMP
Khi bạn đã thêm Router vào cơ sở dữ liệu của database, nếu bạn chọn loại SNMP, Csmars sử dụng SNMP cho 4 mục đích:
Đọc cấu hình
Đưa ra được sơ đồ mạng Báo cáo
Báo cáo từ các thiết bị kết nối
Để xác định đầy đủ SNMP, cần cung cấp community dạng rw hoặc ro, kích hoạt các traps, xác định SNMP server, trong trường hợp này là thiết bị Csmars
Ví dụ trong trường hợp này community là marstring và Ip kết nối thiệt bị CSMars là 192.168.0.100
IOS Router (config)# snmp-server community marstring RO <ACL name if required> IOS Router (config)# snmp-server community marstring RW
IOS Router (config)# snmp-server enable traps
Chúng ta có thể giới hạn địa chỉ IP được sử dụng bởi SNMP bằng cách kết hợp tên trong danh sách với lệnh snmp-sever community
3.2.2 Cấu hình Netflow trên Router Cisco
Ví dụ như địa chỉ IP cuả thiết bị CSMars 192.168.0.100 và cổng kết nối giữa router và Csmars là fastethernet0/1, lệnh ip flow-export để chắc chắn rằng địa chỉ IP của source của dữ liệu Netflow giống với reporting IP khi cấu hình trên CSMars
IOS Router (config)# ip flow-export version 5
IOS Router (config)# ip flow-export destination 192.168.0.100 2055 IOS Router (config)# ip flow-export source interface FastEthernet 0/1 IOS Router (config)# interface FastEthernet 0/1
IOS Router (config-int)# ip route-cache flow
CSMars chỉ chấp nhận 1 IP reporting trên 1 thiết bị, điều quan trọng là reporting IP Netflow phải giống reporting IP của file log trên router. Syslog và Netflow sử dụng khác reporting IP trên cùng 1 thiết bị
3.2.3 Cấu hình file Log trên Router Cisco:
IOS Router(config)#logging on
IOS Router(config)#logging source-interface FastEthernet 0/1 IOS Router(config)#logging trap
IOS Router(config)#logging 192.168.0.100
Bước 1: Nhập tên thiết bị.
Bước 2: Nhập địa chỉ IP quản lý, hay gọi là access IP.
Bước 3: Nhập IP thiết bị gởi file log và SNMP hay còn gọi reporting IP Bước 4: Nhấn nút Discover.
Bước 5: Nhấn nút Submit. Bước 6: Nhấn nút Active.
Hình: Cấu hình thiết bị Router
3.3. Switch
Các switch của Cisco báo cáo các sự kiện cho CSMARS bằng cách sử dụng giao thức khác nhau, nhưng chủ yếu syslog hoặc SNMP.
3.3.1. Cấu hình switch để kích hoạt L2 Discovery
Một thiết bị Layer 2 Discovery là một trong những tính năng quan trọng nhất của CSMARS. Tính năng này cho phép CSMARS xác định nguồn và đích đến con đường của việc tấn công một cách chính xác. Tính năng này sẽ trở thành đặc biệt quan trọng khi việc tấn công sử dụng IP giả được đưa ra trong mạng của bạn.
Switch sử dụng sự kết hợp của các bản forwarding tables và ARP để kết nối với source switching port của bên tấn công. CSMARS có thể sử dụng thông tin này, cùng với các thiết bị định tuyến (Router) và các mạng lưới thông tin mô hình được phát hiện từ lớp 3 như: các thiết bị định tuyến và tường lửa, để xác định chính xác mã nguồn hoặc đích của bên tấn công. CSMARS truy xuất switch bằng cách sử dụng SNMP để quét các bảng forwarding và gửi kết quả thông tin lại cho CS-Mars cho việc báo cáo về mô hình. Kết quả của quá trình này là CSMARS có thể xác định nguồn của sự tấn công trong mạng lưới của bạn ngay cả khi phương pháp IP giả đã được sử dụng.
3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP
Để kích hoạt tính năng Layer 2 Discovery của switch Cisco, bạn phải kích hoạt tính năng SNMP. Trên switch, SNMP được kích hoạt bằng cách sử dụng cùng một bước IOS như là một router.
3.3.3 IOS Switches kích hoạt Syslog
Quá trình cấu hình syslog bằng cách sử dụng IOS của Cisco trên một router thì chính xác giống như các cấu hình syslog trên một switch.
3.3.4. IOS Switches kích hoạt NetFlow
NetFlow trên IOS switches được cấu hình chính xác giống như Netflow trên IOS routers.
3.4. Cấu hình tường lửa
CSMARS cho phép thông tin liên lạc giữa rất nhiều loại khác nhau và thương hiệu sản phẩm của tường lửa. Ngoài các nhãn hiệu của tường lửa Cisco, CSMARS làm việc với tường lửa NetScreen Juniper, Check Point tường lửa, và thiết bị Check Point Nokia tường lửa cũng bằng nhau. CSMARS cũng hoạt động bên trong với các trang web lưu trữ từ thiết bị mạng và NetCache.
Công việc sau đây phải được thực hiện trên các thiết bị của tường lửa Cisco để cho phép truy cập từ thiết bị CSMARS:
Cấu hình Administrative Access SSH. (Telnet access không được khuyến cáo.) Cấu hình syslog để được gửi cho CSMARS.
3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco
Việc đầu tiên cần phải làm để cho phép CSMARS truy cập vào thiết bị tường lửa ASA là để cho phép một giao thức mà có thể truy cập vào command-line interface (CLI)của tường lửa.
Telnet là một giao thức truy cập của tường lửa Cisco, nhưng không được khuyến khích bởi vì tên người dùng, mật khẩu và cấu hình tường lửa được hiển thị rõ ràng trong văn bản như thông tin trong mạng. Những tác động này là nếu một hacker có quyền truy cập vào mạng và đang chạy mạng sniffer, hacker có thể nhìn thấy tất cả các thông tin bảo mật quan trọng, bao gồm cả tài liệu đăng nhập vào tường lửa.
telnet 192.168.0.100 255.255.255.255 management password cisco
3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco
được phép truy cập thông qua. Nó không nên sử dụng giao diện bên ngoài, vì ngay cả khi SSH được mã hóa, nó sẽ mở bức tường lửa để có thể tấn công mật khẩu.
domain-name internetworkexpert.com
crypto key generate rsa general-keys modulus 512 ssh 192.168.0.100 255.255.255.255 management password cisco
Tiếp theo bạn cần phải cấu hình tường lửa gởi các văn bản syslog để CS-Mars có thể hiểu những thông báo này và tương quan chúng với các mạng lưới khác và sự kiện an ninh.
Để cấu hình tường lửa Cisco cho đúng để gởi các văn bản syslog, cần phải kích hoạt tính năng đăng nhập và chọn đăng nhập thiết bị mà bạn muốn sử dụng.
logging enable
logging host management 192.168.0.100 logging trap debugging
logging rate-limit <event per second rate desired> 1
3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco
CSMARS sử dụng SNMP trên tường lửa để có được thông tin từ các tường lửa, giúp CSMARS nhận ra một thiết bị có thể bị tấn công.Việc giảm thiểu các lệnh trên tường lửa Cisco là không thể vì SNMP không có sẵn trên các thiết bị Firewall của Cisco.
snmp-server host inside 192.168.0.100 community cisco123 snmp-server community cisco123
Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device >
Add panel
Bước 2: Chọn loại thiết bị mà bạn muốn thêm vào cơ sở dữ liệu CSMARS. Bước 3: Nhập tên thiết bị cho Cisco firewall.
Bước 4: Nhập địa chỉ IP truy cập của quản lý tường lửa(firewall-management). Bước 5: Nhập địa chỉ IP đó sẽ là nguồn gốc của báo cáo SNMP và syslog. Bước 6: Chọn SSH như là loại truy cập.
Bước 7: Nhập chuỗi SNMP community. Trong trường hợp này, chúng tôi được sử
dụng cisco123.
Bước 8: Chọn Yes để kích hoạt các kiểm tra thiết bị này.
Bước 9: Click vào Khám phá để đảm bảo rằng CSMARS có thể liên hệ với tường
Bước 10: Nhấp vào Submit để thêm thiết bị tường lửa vào cơ sở dữ liệu của thiết
bị CSMARS
Bước 11: Click vào Activate để kích hoạt thông tin liên lạc giữa tường lửa và
thiết bị CSMARS
3.5 Nhận thiết bị Cisco IPS vào CSMARS
Cấu hình thiết bị IPS và thêm chúng vào CS-Mars là rất quan trọng ,giúp bạn thành công trong việc bảo vệ mạng. CSMARS tán thành việc sử dụng các SDEE cho thiết bị IPS, nó sẽ chạy qua giao thức SSL. Khi đăng ký, các thiết bị IPS gửi CSMARS các sự kiện về an ninh trong thời gian thực.
Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device >
Add panel
Bước 2: Chọn loại thiết bị bạn muốn thêm vào cơ sở dữ liệu của CS-Mars . Bước 3: Nhập tên cho thiết bị Cisco IPS.
Bước 5: Nhập địa chỉ IP và đó sẽ là nguồn của những sự kiện trên SDEE IPS. IP
này sẽ có cùng IP với giao diện quản lý cuả thiết bị Cisco IPS.
Bước 6: Các loại hình truy cập mặc định là SSL và có thể không thay đổi.
Bước 7: Nhập tên người dùng và mật khẩu vào thiết bị Cisco IPS.
Bước 8: Chọn Yes để kích hoạt sử dụng nguồn lực giám sát.
Bước 9: Chọn Yes để lấy IP log từ thiết bị.