- Đây là phần rất quan trọng trong việc quản trị và vận hành thiết bị Sourcefire IPS. Toàn bộ việc thiết lập chính sách cho Detection Engine đều được thực hiện tại mục này. - Người quản trị có thể tạo ra các chính sách bảo mật, khi có một vi phạm bảo mật sẽ
đưa ra những hành động phù hợp với vi phạm này.
- Trong phần quản trị các thiết lập về chính sách có các mục chính sau: 1. Quản trị IPS
2. Quản trị RNA
1. Quản trị IPS
- Quản trị IPS bao gồm việc thiết lập chính sách cho các Detection Engine, quản lý các Rules, quản lý update SEU và một số tính năng khác
a. Quản trị Intrusion Policy
- Intrusion Policy là chính sách được áp dụng cho một hoặc nhiều Detection Engine. Intrusion policy thiết lập các thông số:
+ Tên của Policy
+ Base Policy được áp dụng (có 3 mức độ: ưu tiên kết nối hơn bảo mật, cân bằng kết nối và bảo mật, ưu tiên bảo mật hơn kết nối). Tại KHÁCH HÀNGAAA Hà Nội khuyến cáo sử dụng mức độ bảo mật cân bằng.
+ Policy này được áp dụng cho thiết bị Sensor nào hay Detection Engine nào chịu ảnh hưởng trực tiếp từ chính sách nay.
+ Tại Policy này với bao nhiêu Rule cấu hình Enable và có bao nhiêu Rule ở chế độ: Chỉ cảnh báo (Generate Events) và ngăn chặn/cảnh báo (Drop and generate event). - Dưới đây là thông tin chung của một Intrusion Policy áp dụng cho Detection Engine
- Người quản trị có thể quản lý mức độ bảo mật dựa trên các khuyến cáo từ hãng với ba mức độ:
+ (High) Security over connectivity; (Lower) Connectivity over security; và (Normal) balanced security and connectivity
- Người quản trị có thể xem và thay đổi các Detection Engine chịu chính sách này. Với hình dưới thể hiện Policy này áp dụng cho một Detection Engine là vùng DMZ của KHÁCH HÀNGAAA Hà Nội
- Người quản trị có thể tinh chính các biến cho các rules hoạt động một cách hiệu quả nhất từ các thay đổi va định nghĩa mới Variable:
- Ví như nếu dịch vụ HTTP sử dụng thêm cổng 443 chúng ta sẽ thêm cổng 443 vào mục HTTP_PORTS
- Toàn bộ rule của Sourcefire là khoảng trên 20.000 Rules đuợc update thường xuyên qua việc Import SEU tự động từ Sourcefire.
- Mỗi Policy Intrusion áp dụng cho mỗi Detection Engine chúng ta có thể áp dụng những Rules được Enable/Disable khác nhau.
- Ngoài các rule được enable và disable mặc định người quản trị cần phân tích tình hình để có thể bật tắt các rule sao cho đáp ứng yêu cầu về bảo mật của hệ thống.
- Khi sử dụng tính năng RNA để phát hiện hệ thống mạng (Host active, OS, Service, IP, MAC, Vulnerability). Thì thiết bị Sourcefire có thể sử dụng kết quả này để thay đổi trạng thái các Rules để nâng cao hiệu năng xử lý thiết bị, giảm thiểu các Event không quan trọng.
- Policy Layers cho phép một hệ thống có nhiều Layer: + Layer mặc định được khuyến cáo từ hãng
+ Layer được thay đổi bởi người dùng
- Sau khi lưu Intrusion Policy người quản trị cần phải Apply policy đó cho các Detection Engines, sau khi apply cần phải kiểm tra quá trình đó có thực hiện thành công hay không
b. SEU
- Đây là giao diện giám sát SEU được áp dụng vào Intrusion Policy
- Ngoài ra người quản trị có thể Update SEU cho thiết bị Sourcefire bằng cách download SEU từ trang web Sourcefire rồi Import vào thiết bị
c. Rule Editor
- Mặc định Sourcefire có khoảng trên 20.000 Rules nhưng người quản trị hoàn toàn có thể thêm các Rule mới vào đảm bảo các chính sách bảo mật cho hệ thống của mình. Trong giao diện quản trị Rule Editor người quản trị có thểm xem nội dung, sửa nội dụng của rule với các thiết lập cụ thể, cho phép quản lý Rule.
- Ví dụ tại KHÁCH HÀNGAAA Hà Nội thêm một rule không cho Ping gói tin lớn hơn 800 Byte, bởi những gói Ping lớn có thể gây ảnh hưởng tới hệ thống mạng
d. Email alert
- Khi những rule được match thì thì thiết bị Sourcefire sẽ gửi cảnh báo tới người quản trị. - Người quản trị có thể sử dụng tính năng Email Alert hoặc sử dụng chính sách
2. Quản trị RNA
- RNA là một tính năng cao cấp của Sourcefire cho phép phát hiện hệ thống mạng bằng phương thức Passive Scan thực hiện 24/7.
- Quản trị RNA chúng ta cần thiết lập các mục dưới đây:
a. Detection Policy
- Detection Policy là chính sách được áp dụng cho các RNA Detection Engine. Người quản trị cần phai tạo ra chính sách này để áp dụng cho các RNA Detection Engin nhằm phát hiện hệ thống mạng.
b. Host Atributes
- Đặt cho một vùng mạng
- Tại KHÁCH HÀNGAAA Hà Nội đặt tên là “KHÁCH HÀNGAAA Ha Noi” và kết hợp với Network Map một tính năng của RNA
c. Network Map
- Netowrk Map cho phép người quản trị biết được hệ thống mạng với các thông tin: + Host Active: Được phân theo các giải mạng khác nhau
+ Các dịch vụ hoạt động trên Host đó + Các ứng dụng
+ Các giao thức sử dụng
+ Và lỗ hổng bảo mật của hệ thống đó
- Đây là giao diện quản trị Sourcefire với tính năng RNA Netowrk Map với địa chỉ IP 172.29.1.18
d. RNA Detector
- Người quản trị có thể cấu hình RNA Detector để enable hay Disable các thiết lập của RNA
e. Services hoạt động trong hệ thống mạng
- Người quản trị có thể vào RNA Services để phát hiện xem hệ thống đang chạy những Services gì và những Services đó đang hoạt động trên máy nào
- Thông tin quản trị các ứng dụng trong hệ thống
3. Quản trị chính sách bảo mật
- Chính sách bảo mật hay Policy Compliance được áp dụng cho hệ thống Sourcefire nhằm phát hiện và cảnh báo các vi phạm về bảo mật trong hệ thống mạng.
- Ví dụ như khi có một cuộc tấn công mạng nguy hiểm (tấn công DoS). - Dưới đây là giao diện quản trị chính sách bảo mật
a. Rule Management
- Người quản trị sử dụng Rule management để quản lý các Rule để phát hiện các vi phạm chính sách bảo mật cũng như các nguy cơ cần cảnh báo.
- Từ đây người quản trị có thể tạo mới chỉnh sửa, xóa các rule
- Policy Management cho phép tạo ra một chính sách sử dụng một số rule có sẵn hoặc do người quản trị tạo ra áp dụng cho thiết bị Sourcefire phát hiện ra các vi phạm về bảo mật. Policy sử dụng Response để đưa ra các cảnh báo khi có vi phạm về bảo mật - Người quản trị có thể xem các policy, kiểm tra hay thay đổi cấu hình của các policy
này.
- Edit một Policy
c. Responses
- Người quản trị có thể sử dụng Response để cảnh báo các vi phạm về bảo mật như qua Email, Syslog, SNMP