1.22.2.1 Cisco IOS 12.2:
Ở đây ta sẽ cấu hình mẫu một thiết bị chạy IOS 12.2 của Cisco là Dalat- CoreSW-1 như sau:
Config IOS:
Bật telnet. Bật ssh.
Gửi syslog đến CS-MARS.
Router(config)# logging trap Router(config)# logging 10.0.5.10
Cấu hình SNMP RO:
Router(config)# snmp-server community <community string> RO <ACL name if required>
Cấu hình CS-MARS:
Chọn Admin Security and Monitor Devices Add Chọn Cisco IOS 12.2
Hình 5-42: Thông tin cầu cấu hình cho Cisco IOS 12.2
Nhập thông tin Device Name, Access IP, Reporting IP Chọn Access type:
SNMP:Login( to access the reporting device) Enable password(to get into Cisco enable mode)> enter its SNMP RO community.
Chọn discover
Chọn submit
Chọn activate.
1.22.2.2 Cisco Switch-IOS 12.2:
Ở đây ta sẽ cấu hình mẫu 1 thiết bị là Switch Dalat-A4-3750 như sau:
Config IOS:
Bật telnet. Bật ssh.
Gửi syslog đến CS-MARS.
Router(config)# logging trap Router(config)# logging 10.0.5.10
Cấu hình SNMP RO:
Router(config)# snmp-server community <community name> RO <ACL name if required>
Cấu hình CS-MARS:
Chọn Admin Security and Monitor Devices Add Chọn Cisco Switch-IOS 12.2
Nhập thông tin Device Name, Access IP, Reporting IP Chọn Access type:
SNMP:Login( to access the reporting device) Enable password(to get into Cisco enable mode)> enter its SNMP RO community.
Chọn Discover
Hình 5-43: Thông tin cầu cấu hình cho Cisco Switch IOS 12.2
1.22.2.3 Cisco IPS 5.0 . Cấu hình IPS:
Hình 5-44: Cấu hình cho IPS bật TLS và HTTP
Bật HTTP.
Tạo access cho phép CS-MARS.
Hình 5-45: Cấu hình cho IPS cho phép CS-MARS
Cấu hình CS-MARS:
Chọn Admin Security and Monitor Devices Add. Chọn Cisco IPS 5.x
Thêm tên của thiết bị và địa chỉ.
Thêm username và password, port mặc định là 443. Thêm vùng giám sát của IPS vào.
Hình 5-46: Cấu hình cho IPS
1.22.2.4 ASA 7.0:
Ta cấu hình giám sát Dalat-Internet-FW như sau:
Cấu hình ASA: Bật Telnet:
Đăng nhập vào ASA với quyền Administrator
telnet 10.0.5.10 255.255.255.0 inside
Bật SSH:
Đăng nhập vào ASA với quyền Administrator.
ssh 10.0.5.10 255.255.255.0 inside
Đăng nhập vào ASA với quyền Administrator.
logging host inside 10.0.5.10
Nếu Cisco ASA có gắn thêm module AIP (Advanced Inspection and Prevention) thì ta cấu hình giống như IPS 5.x
Cấu hình CS-MARS:
Chọn Admin Security and monitor devices Add. Chọn ASA 7.0
Hình 5-47: Cấu hình cho ASA 7.0
Thêm tên Cisco ASA, địa chỉ IP
Nếu có thêm phần Access IP thì chọn thêm FTP, SSH hoặc TELNET Nhập thông tin chuỗi SNMP RO
Chọn Discover.
1.22.2.5 Cấu hình CS-MARS giám sát máy Windows
Ta cấu hình giám sát một Client mẫu là Backup Server
Cấu hình Windows:
Hình 5-48: Cấu hình Snare
Thêm IP Add hoặc DNS name của local host vào vùng Enter the local host name. Thêm IP Add hoặc DNS name của CS-MARS vào vùng Enter the remote ip or dns add.
Kiểm tra lại :
Enable SYSLOG header. Automatically set audit config
Automatically set file system audit config Chọn OK
Đối máy Windows là domain:
Trên Domain Controller, chọn Administrator Tools Default Domain Security Policy Security Setting Local Policies User Rights Management
Manage auditing and security log. Cấu hình Audit Policy.
Đối với Windows 2003
Administratoive Tools Local Security Policy Local Policies.
User Rights Assignment, kiểm tra rằng Manage Auditing and Security log được cấp cho user account để lấy bảng event log
Cấu hình CS-MARS: Thêm thiết bị:
Chọn Admin Sercurity and Monitor Devices Add
Chọn Add SW Secrity apps on a new host hoặc Add SW Secrity apps on existing host
Nhập Device Name và IP Add cho host mới. Chọn hệ điều hành.
Thêm NetBIOS name
Hình 5-51: Cấu hình cho máy Windows
Chọn Logging Info để cấu hình thông tin đăng nhập. Windows Operating System 2000/2003/Generic/NT Thêm vào Domain name, host login và password. Chọn Submit
Hình 5-52: Cấu hình thông tin đăng nhập cho máy Windows
Chọn Submit
Thêm Interface IP Add, Netmask, chọn Apply Active.
1.22.2.6 Cấu hình giám sát Web Server Windows
Cấu hình SnareIIS
Hình 5-53: Cấu hình SnareIIS
Chọn Start Programs Administrative Tools Internet Services Manager. Trên cây thư mục trên trái, right-click vào Default Web Site.
Chọn Properties.
Chọn Enable Loggin
Từ danh sách Active log format, chọn W3C Extended Log Format. Chọn Properties.
Hình 5-55: Cấu hình thông tin cho log
Trong Tab General Properties, chọn giá trị của New Log Time Period là Daily Ở phần cấu hình CS-MARS sau khi thêm thiết bị là máy windows ta thêm phần sau: Chọn Reporting Applications.
Từ danh sách Select Application, chọn Generic Web Server Generic. Chọn Add
Chọn Web log format là W3C_EXTENDED_LOG Chọn Submit.