- Nhúm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đỳng như cỏc thao tỏc mà cỏc hacker đĩ làm, kiểm tra cỏc dấu vết cỏc hacker đĩ để lại trờn hệ thống ) và gửi phỳc đỏp tớ
4.7.2 Cỏch thức triển khai Cisco IDS trong cuộc thi bugsearch:
cấu hỡnh: CPU Celeron 566MHz, 256MB Ram, OS Unix.
Việc sử dụng hệ thống Cisco IDS cú lợi hơn so với cỏc hệ thống khỏc vỡ cỏc lý do sau:
- Database dựng để nhận dạng cỏc cuộc tấn cụng thường xuyờn được Cisco cập nhật
- Sản phẩm cú độổn định cao.
- Dễ triển khai.
Tuy nhiờn, việc sử dụng Cisco IDS cú bất lợi là giỏ thành cao, cỏc phần mềm
điều khiển đũi hỏi phải mua bản quyền.
4.7.2 Cỏch thức triển khai Cisco IDS trong cuộc thi bugsearch: bugsearch:
IDS được đặt sau router 26xx, kết nối vào cựng hub với server đớch. (theo như
sơđồ)
IDS được cấu hỡnh với dịch vụ lắng nghe cỏc gúi tin truyền đến IDS. Dựng phần mềm IDS Event Viewer để phõn loại kết quảđạt được. Chi tiết việc cài đặt bằng lệnh gỡ, hỡnh minh họa ta cú thể xem ởđõy:
54
- Cấu hỡnh IDS: nối monitor, keyboard, mouse vào Cisco IDS sensor để đặt IP cho IDS sensor. Sau đú ta cú thể telnet đến IDS sensor thụng qua interface int1 (dựng để command và control), hoặc ta cú thể vào địa chỉ
https://IDS_IP_add để config IDS sensor qua web
- Nối IDS vào mạng: trờn IDS cú 2 interface RJ45: int0 dựng để quan sỏt tất cả
dữ liệu được truyền qua mạng, int1 dựng để điều khiển và cấu hỡnh IDS. Ta nối dõy dẫn từ hub (nối đến mỏy chủ cần được bảo vệ) đến int0. Cần nhớ
phải dựng hub để dữ liệu cú thể truyền đến IDS sensor, khụng được dựng switch. Sau đú nối int1 đến mỏy ta dựng đểđiều khiển IDS sensor.
- Theo dừi cỏc cuộc tấn cụng: Cisco IDS được cung cấp kốm theo phần mềm Cisco IDS Event Viewer miễn phớ. Sau khi cài đặt IEV (IDS Event Viewer) lờn host chạy Windows (đối với Win2000/XP cần phải cú SP1) ta cần cung cấp thụng tin về sensor cho IEV bằng chức năng New Device. Bờn cạnh đú ta cũng cần cung cấp thụng tin cho IDS sensor về host dựng để điều khiển IDS sensor vỡ lý do 1 host cú thể điều khiển nhiều IDS sensor, nhưng 1 IDS sensor chỉ cú thể được điều khiển bởi 1 host. (Xem thờm phần help của IEV
để biết cỏch sử dụng phần mềm IEV)