Phản hồi
Phản hồi là các hành động của thiết bị khi có một sự kiện quan trọng trong mạng hoặc một đột nhập. Công việc của chúng ta là tạo ra các phản hồi và áp dụng nó vào các sự kiện. Chúng ta có thể cấu hình các loại phản hồi sau :
Email. Gửi mail cảnh báo tới một nhóm hoặc một cá nhân.
Thông tin chứng thực. ghi lại những thông tin cần thiết vào file log. Cách ly. Cách ly mạng với các tấn công.
SNMP. Gửi SNMP trap tới một SNMP server.
Đặc tả người dùng. Gửi cảnh báo dựa trên những yêu cầu đặc biệt người quản trị tạo ra để giám sát mạng.
Một loại phản hồi mặc định của PG là phản hồi ngăn chặn (Block response), nó ngăn chặn tấn công bằng cách ngăn các gói tin và thiết lập lại kết nối TCP. Hoạt động của nó ở các hình thái khác nhau như sau :
Bảng 2 – Hình thái hoạt động
Ở hình thái... Thiết bị...
Passive Monitoring Tắt Block response
Inline Simulation Giám sát mạng và tạo cảnh báo những không ngăn các tấn công
Inline Protection Ngăn chặn tấn công bằng cách loại bỏ gói tin và thiết lập lại kết nối TCP
Một loại khác là phản hồi chối bỏ (Ignore response), được thiết lập cho các sự kiện an ninh, có tác dụng loại bỏ các gói tin phù hợp với những đặc tả trong sự kiện. Phản hồi này cũng có thể được thiết lập trong bộ lọc phản hồi (response filters) hay trong sự kiện an ninh (security events). Thông thường, phản hồi này được sử dụng khi muốn lọc những sự kiện an ninh mà không gây hại tới mạng.
Để cấu hình phản hồi Email, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Email.
Bấm Add
Hoàn thành cấu hình chỉ ra trong bảng sau.
Bảng 3 – Phản hồi email
Setting Miêu tả
Name Gõ tên cho phản hồi – nên có liên quan tới loại phản hồi
SMTP Host Gõ domain name hay địa chỉ IP của mail server. (Chú ý rằng mail server phải truy cập được từ thiết bị)
From Gõ địa chỉ mail, ngăn cách bởi dấu phẩy To Gõ địa chỉ mail, ngăn cách bởi dấu phẩy
Sensor Parameters Gõ chủ đề và nội dung thông điệp, các tham biến cho nội dung mail
Nhấn OK, save và thoát.
Log Evidence
Để cấu hình phản hồi lưu thông tin, vào các mục sau : a. Ở Proventia Manager, chọn Responses.
b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Log Evidence
Ghi các thông tin cần thiết trong bảng sau
Bảng 4 – Phản hồi Log Evidence
Setting Miêu tả
Maximum Files Gõ số file tối đa mà có thể chứa trong file log. Mặc định là 10 file, nếu quá số file tối đa thì file cũ nhất sẽ bị xóa
Maximum File Size (KB) Gõ dung lượng tối đa của file lưu trữ, mặc định là 10000
Log File Prefix Gõ tiền tố của log file, mặc định là “evidence” Log File Suffix Gõ hậu tố, mặc định là “.enc”
Lưu lại cấu hình.
Quarantince
Phản hồi này dùng để ngăn chặn thâm nhập khi phát hiện sự kiện an ninh hay kết nối. Nó cũng có thể chặn cả worm và trojan. Phản hồi này chỉ hoạt động ở hình thái Inline Protection.
Có 3 loại cách ly trong PG
Bảng 5 – Phân loại cách ly
Đối tượng cách ly Miêu tả
Quarantine Intruder Ngăn chặn hoàn toàn những máy liên quan tới tấn công Quarantine Trojan Cách ly những máy là nạn nhân của tấn công
Quarantine Worm Cách ly những thứ worm đang tìm kiếm ví dụ như một cổng SQL
Để cấu hình phản hồi, vào các mục sau :
a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau
Bảng 6 – Phản hồi cách ly
Setting Miêu tả
Name Gõ tên cho phản hồi, nên có ý nghĩa
Victim Address Ngăn chặn gói tin dựa trên địa chỉ IP nạn nhân Victim Port Ngăn gói tin dựa trên cổng nạn nhân
Intruder Address Ngăn chặn gói tin dựa trên địa chỉ IP kẻ đột nhập Intruder Port Ngăn gói tin dựa trên cổng kẻ đột nhập
ICMP Code Ngăn gói tin dựa trên số mã ICMP ICMP Type Ngăn gói tin dựa trên số phân loại ICMP
Nhấn OK và lưu lại.
SNMP
Phản hồi này lấy các thông tin từ các MIB của SNMP agent và gửi nó tới cho các server.
Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau
Setting Miêu tả
Name Gõ tên cho phản hồi, nên có ý nghĩa Manager Địa chỉ IP của SNMP server
Community Tên dùng để chứng thực với các SNMP agent Nhấn OK và lưu lại.
User Specified
Chúng ta có thể sử dụng các file mã máy của linux hay file shell để làm file chạy cho phản hồi này. File chạy này cần được sao chép vào thiết bị để chạy. Mỗi sự kiện xác định chỉ chạy một file duy nhất nên nếu muốn chạy nhiều thao tác, cần đặt một tập hợp lệnh vào file đó.
Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine.
Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau.
Bảng 8 – Phản hồi User Specified
Setting Miêu tả
Name Gõ tên cho phản hồi, nên có ý nghĩa Command Gõ lệnh chạy của phản hồi
Sensor Parameters Mở rộng danh sách ra và chọn add để lấy những tham số cần dùng
Nhấn OK và lưu lại.
Cấu hình bộ lọc phản hồi
Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý.
Có thể sử dụng theo các cách sau :
• Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc
Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép.
Các thuộc tính của bộ lọc sự kiện
• adapter
• virtual LAN (VLAN)
• địa chỉ IP nguồn hay đích
• Số hiệu cổng nguồn hoặc đích hoặc mã ICMP Filters and other events
Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện.
Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới.
Để thêm bộ lọc phản hồi: 1. Chọn Security Events. 2. Chọn tab Response Filters 3. Click Add.
4. Hoàn thành các thiết lập sau Enabled: mặc định là cho phép
Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này. Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi
Chỉ có thể chọn một sự kiện
Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc) Comment: Điền miêu tả bộ lọc sự kiện
Severity: Chọn mức độ nghiêm trọng của sự kiện Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc. Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc VLAN: điền dải VLAN mà bộ lọc áp dụng
Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này. Mặc định là 0 (không cho phép)
Display: Chọn chế độ hiển thị
• No Display: không hiển thị khi phát hiện ra sự kiện
• WithoutRaw. Ghi lại tóm tắt sự kiện
• WithRaw. Ghi lại và kết hợp với bắt gói
Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP
ICMP Type/Code : điền loại hoặc mã ICMP
Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss Responses : cho phép phản hồi với các tùy chọn sau
• Email : chọn email phản hồi
• Quarantine : chọn kiểu cách ly
• SNMP . Chọn phản hồi SNMP từ danh sách
• User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc 5. Hoàn thành các thiết lập về cổng và địa chỉ IP
Address :
Not : Loại những địa chỉ người cấu hình chỉ ra Any: chọn tất cả các địa chỉ
Single Address : Lọc một địa chỉ và gõ địa chỉ
Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . Không sử dụng 0.0.0.0-255.255.255.255.
Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP và mask. Ví dụ 128.8.27.18 / 16.
Port :
Not : Loại những cổng người cấu hình chỉ ra Any: chọn tất cả các cổng
Single Port : Lọc một địa chỉ và gõ địa chỉ
Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . 6.Click Ok và lưu thay đổi
Hình 10 – Response Filters