Từ đó kết hợp với IPS/IDS để tự động cấu hình, tinh chỉnh Rules Yêu cầu tính năng cụ thể về hệ thống IPS tại KHÁCH HÀNGAAA Hà Nội 1 Tính năng IPS bảo vệ các vùng mạng - Phát hiện các cuộ
Trang 1TÀI LIỆU THIẾT KẾ, CẤU HÌNH QUẢN TRỊ VÀ GIẢI QUYẾT SỰ CỐ KHI TRIỂN KHAI SOURCEFIRE IPS
Trang 2BẢNG THEO DÕI THAY ĐỔI
Trang 3Nội dung chính của tài liệu
I MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7
II THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8
III TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22
IV QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53
V PHÂN TÍCH EVENTS 72
VI THIẾT KẾ VÀ TẠO REPORT 86
VII GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101
VIII KẾT LUẬN 104
Trang 4Mục lục
I MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7
1 Mục đích của tài liệu 7
2 Phạm vi tài liệu 7
II THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8
1 Tính năng thiết kế 9
2 Mô hình triển khai điển hình của Sourcefire 11
3 Nguyên lý hoạt động của hệ thống IDS/IPS Sourcefire 12
4 Nguyên tắc quản trị 17
5 Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động 18
6 Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội 19
a Mô hình tổng thể 19
b Mô hình chi tiết các vùng 19
III TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22
1 Thiết lập các thông số quản trị cho các thiết bị Sourcefire 23
2 Active License cho các thiết bị Sourcefire 25
3 Upgrade cho các thiết bị Sourcefire 27
4 Cấu hình các thiết lập hệ thống (System settings) 29
a Information 30
b License 30
c Network 31
d Network Interface 31
e Process 32
f Remote Management 32
g Time 32
Trang 58 Thiết lập quản lý Users 41
9 Giám sát hệ thống 42
10 Bộ công cụ hỗ trợ 46
11 Cấu hình Interface Sets và Detection Engine 50
IV QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53
1 Quản trị IPS 54
2 Quản trị RNA 64
3 Quản trị chính sách bảo mật 69
V PHÂN TÍCH EVENTS 72
1 Event Summary 72
2 Phân tích Event về IPS 78
3 Phân tích Event về RNA 81
VI THIẾT KẾ VÀ TẠO REPORT 86
1 Các bước thực hiện tạo Report profile 86
a Tạo Report profile theo đúng tài liệu thiết kế 86
c Tạo các Report Profile từ Search Query 92
2 Gửi report tự động 93
a Cấu hình Email Notification 93
b Tạo Task tự động gửi mail 94
3 Gửi cảnh báo các cuộc tấn công nguy hiểm tự động 96
a Tạo Policy Compliance 96
b Tạo Responses 99
VII GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101
VIII KẾT LUẬN 104
Trang 6Bảng các thuật ngữ sử dụng trong tài liệu
trung các thiết bị Sourcefire khác Cung cấp các tính năng khác cho giải pháp Sourcefire
Monitoring và thực thi các chính sách IPS/IDS
3 IDS Intrusion Detection System Tính năng trên thiết bị 3D Sensor cho phép phát
hiện các cuộc tấn công mạng
4 IPS Intrusion Prevention System Tính năng trên thiết bị 3D Sensor chop phép
phát hiện và ngăn chặn các cuộc tấn công mạng
5 RNA Real-Time Network Awareness Là một tính năng của giải pháp Sourcefire:
- Network profile
- Kết hợp với IPS/IDS tối ưu bảo vệ hệ thống mạng
6 RUA Real-time Users Awareness Cho phép lưu các sự kiện với yếu tố người dùng
Switch/router cho phép monitoring traffic các VLAN Thiết bị Sourcefire khi hoạt động chế
độ IDS sẽ cần sử dụng Span Port
Interface
Management Interface Cổng quản trị của thiết bị
Trang 7I MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU
1 Mục đích của tài liệu
- Là tài liệu chi tiết về nguyên lý hoạt động cấu hình, giám sát và giải quyết sự cố liên quan tới việc triển khai thiết bị IPS Sourcefire tại KHÁCH HÀNGAAA HN Đây là tài liệu với mục đích viết ra cho người triển khai, quản trị và giám sát hệ thống IPS/IDS sử dụng
- Cung cấp cho người quản trị hiểu bản chất và nguyên lý hoạt động của thiết bị IPS Sourcefire
- Mô hình tích hợp hệ thống phù hợp để người quản trị của KHÁCH HÀNGAAA HN có thể tích hợp vào mô hình thực tế Cấu hình phù hợp và đầy đủ các tính năng của thiết bị
- Giám sát hoạt động của thiết bị và giải quyết các sự cố liên quan
2 Phạm vi tài liệu
- Tài liệu áp dụng cho việc vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho vùng DMZ, ServerFarm
Trang 8II THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI
1 Tính năng thiết kế
2 Mô hình triển khai IPS/IDS điển hình của Sourcefire
3 Nguyên lý hoạt động của hệ thống IPS Sourcefire
4 Nguyên tắc quản trị
5 Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động
6 Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội
Trang 91 Tính năng thiết kế
- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn công, các nguy cơ tiềm
ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc Server Frame của KHÁCH HÀNGAAA Hà Nội
- Tính năng RNA bổ xung cho IPS/IDS cung cấp tính năng Network profile (OS, Services, Open Ports, Vulnerability, Host static) Từ đó kết hợp với IPS/IDS để tự động cấu hình, tinh chỉnh Rules
Yêu cầu tính năng cụ thể về hệ thống IPS tại KHÁCH HÀNGAAA Hà Nội
1
Tính năng IPS bảo vệ các vùng mạng
- Phát hiện các cuộc tấn công từ bên ngoài như Worms, Trojans, Buffer overflows, DoS attacks, Backdoor attacks, Spyware, Port scans, VoIP attacks, IPv6 attacks, Statistical anomalies, Protocol anomalies, P2P attacks, Blended threats, Zero-day attacks… vào các server dịch vụ
- Có thể xác lập các qui tắc ngăn chặn các cuộc tấn công hoặc xác lập chế độ tự động tinh chỉnh tùy theo các dịch vụ
- Đưa ra các báo cáo về các cuộc tấn công, các lỗ hổng bảo mật
2
Tính năng IDS phát hiện các cuộc tấn công cho các VLAN thiết lập giám sát
- Phát hiện và đưa ra các báo cáo về các cuộc tấn công, các nguy cơ bảo mật, lỗ hổng an ninh… của các server, dịch vụ của các VLAN giám sát
- Phát hiện các cuộc tấn công, các nguy cơ bảo mật…
từ người dùng
- Trong trường hợp xảy ra tấn công từ ngoài vào các host trong vùng giám sát thì có thể thiết lập tính năng IPS trên thiết bị để bảo vệ các host ngăn chặn tấn công từ bên ngoài vào các vùng đó
3
Tính năng giám sát cảnh báo tức thời (Real time Network
- RNA giúp phát hiện các nguy cơ an ninh mạng: Network profile (OS, Services, Open Ports, Vulnerability, Host static) RNA kết hợp với IPS, IDS để tự động active/disable các rules cần thiết để bảo vệ hệ thống mạng
Trang 10STT Tính năng Mô tả
- Tính năng Passive Scan cho phép RNA phát hiện nguy cơ an ninh hệ thống mạng mà không ảnh hưởng tới năng lực hệ thống mạng
complicance
- Đưa ra những cảnh báo những vi phạm về chính sách bảo mật Những vi phạm này có thể là: một cuộc tấn công nguy hiểm xảy ra, một sự cố liên quan tới một máy chủ hay một dịch vụ
- Cảnh báo có thể thực hiện qua Email, SNMP hay SYSLOG
Trang 112 Mô hình triển khai điển hình của Sourcefire
Phân tích mô hình điển hình của Sourcefire
- Sourcefire có hai dòng sản phẩm, Sourcefire Defense Center là thiết bị quản lý tập trung,
Sourcefire 3D Sensor là dòng thiết bị Sensor cung cấp các tính năng IPS/IDS
- Sourcefire Khi triển khai vào hệ thống có thể hoạt động Inline (IPS) hoặc Passive (IDS),
để có thể phát hiện và ngăn chặn các cuộc tấn công hay các nguy cơ an ninh mạng
- Các Event của các Sensor sẽ được chuyển về thiết bị quản lý tập trung
Trang 123 Nguyên lý hoạt động của hệ thống IDS/IPS Sourcefire
+ Các cổng này được nhóm vào các Interface Sets khác nhau Trên hình với 3
Interface Sets được tạo
+ Interface Sets được tạo ra có ở hai mode Passive và Inline (Inline và Inline with
Fail Open)
- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface Sets (như những
Trang 13Sơ đồ giải thích nguyên lý hoạt động của IDS/IPS Sourcefire
Trang 14Step 1: Các port sensing trên thiết bị Sourcefire 3D Sensor được nhóm lại thành:
Interface Sets Mô hình trên là tạo ra Interface Sets ở dạng Inline mode
Step 2: Trên các interface sets này tạo ra các Detection Engine với chức năng giám
sát
Step 3: Để các Detection Engine hoạt động cần phải xây dựng chính sách thiết lập để
áp dụng cho các Detection Engine này
Step 4: Khi Detection Engine có các hành động block traffic hay phát hiện ra các
nguy cơ an ninh sẽ đưa ra các Event
b Nguyên lý phân tích gói tin
Khi gói tin đi vào thiết bị Sourcefire sẽ được xử lý qua các bước:
Trang 15- Gói tin sẽ được so sánh với tập Rules được sử dụng
- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event
- Các Event đó có thể được lọc ra thành các dạng Event khác nhau Từ các Event được phát sinh sẽ được thực hiện để làm một số tác vụ khác
Hiểu về quá trình phân tích traffic network
Event sẽ có nội dung:
Trang 16Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi
ro của cuộc tấn công Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro nhất là mức độ Flag 1
Quá trình xử lý gói tin và Decoding
Quá trình này sẽ Decode gói tin từ Layer 2
Trang 17Các Event sẽ được tạo ra từ các quá trình
4 Nguyên tắc quản trị
- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng thái, log, report
- Quản trị qua giao diện Console (SSH) cho phép giải quyết một số sự cố và các thiết
lập sâu trong OS của Sourcefire
- Hỗ trợ SNMP
- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire chỉ cho phép
Console để giải quyết một số lỗi hệ thống
- User admin: là user có quyền cao nhất trong giao diện Web, có đầy đủ các quyền để
cấu hình Sourcefire hỗ trợ trên nền Web
- User khác: có thể gán vào các group để phân quyền
- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và Admin
- Những người quản lý một vùng mạng muốn xem các Report và trạng thái thiết bị sử
Trang 185 Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động
- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng mạng
Management tạo ra một VLAN mới cho phép ra Internet, cắm các port management của thiết bị Sourcefire vào các port đã được phân hoạch
- Tích hợp tính năng IDS vào vùng chỉ cần tính năng giám sát: Do tính năng IDS không gây dán đoạn đối với hệ thống khi triển khai nên có thể triển khai vào thời gian sau
giờ làm việc Cắm các port Sensing của thiết bị Sourcefire 3D Sensor vào các port đã được phân hoạch trên các thiết bị Cisco Thiết lập Span port cho các port đó trên thiết
bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này
- Tích hợp tính năng IPS: Do tính năng IPS có gây ra sự gián đoạn trong hệ thống nên khi tích hợp hệ thống cần phải làm theo các bước:
+ Cấu hình thiết bị trước
+ Bật thiết bị và vận hành thử nghiệm trong hệ thống
+ Gửi công văn yêu cầu hệ thống có thể sẽ gián đoạn trong thời gian 30” (30 giây) để tích hợp thiết bị vào hệ thống và kiểm tra các lỗi trong quá trình vận hành
Trang 196 Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội
Cty Viễn thông TT ĐHTT Cty Điện
Server Farm Zone
IPS/IDS IPS/IDS
SW7606
SW2960G SW2960
SW2960
SW6509 GW-HNI
- Cấu hình thiết bị ở chế độ IPS (Inline mode) để bảo vệ cho các server cung cấp dịch
vụ đặt trong vùng DMZ và vùng server Fram
- Cấu hình thiết bị ở chế độ IDS (passive mode) để giám sát vùng mạng Internal
b Mô hình chi tiết các vùng
- Mô hình triển khai IPS để bảo vệ vùng server farm
- Cấu hình 2 cặp cổng quang trên 1 thiết bị Sensor 3D3500 hoạt động ở chế độ IPS (Inline fail-open mode) và đấu nối 2 cặp cổng này xen giữa vào 2 kết nối quang hiện tại giữa Firewall ASA và Switch 2960G (switch cung cấp kết nối cho các server trong vùng Server farm) nhằm mục đích bảo vệ các server trong vùng server farm
Trang 20E-Office Server Applications Server Database Server
Server Farm Zone
ASA5580
SW2960G Sourcefire
3D3500 Inline fail open mode
- Mô hình triển khai IPS để bảo vệ vùng DMZ
Cấu hình 1 cặp cổng quang trên thiết bị Sensor 3D3500 còn lại hoạt động ở chế độ IPS (Inline fail-open mode) và đấu nối cặp cổng này xen giữa vào kết nối quang hiện tại giữa Firewall ASA và Switch 2960 (switch cung cấp kết nối cho các server trong vùng DMZ) nhằm mục đích bảo vệ các server trong vùng DMZ
Mail Web Epay App DMZ Zone
ASA5580
Sourcefire 3D3500 Inline fail open mode SW2960
- Mô hình triển khai IDS để giám sát vùng Inside
Web Epay App
DMZ Zone
Cty Viễn
Cty Điện thoại
ASA5580
E-Office Server Applications Server Database Server
Server Farm Zone
SW7606
Sourcefire 3D3500 Sourcefire
Trang 21- Mô hình quản lý tập trung
Sourcefire 3D3500 Sensor
Sourcefire DC1500
Management
VLAN
Thiết lập mạng quản lý cho các thiết bị IPS/IDS: Kết nối các cổng mangement trên các thiết bị Sensor 3D3500 và Sourcefire DC1500 một VLAN quản lý trên mạng Từ đây, thiết bị Sourcefire DC1500 có thể quản lý tất cả các thiết bị Sensor 3D3500
Trang 22III TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG
1 Thiết lập các thông số quản trị cho các thiết bị Sourcefire
2 Active License cho các thiết bị Sourcefire
3 Upgrade cho các thiết bị Sourcefire
4 Cấu hình các thiết lập hệ thống (system settings)
5 Thiết lập quản trị tập trung cho các thiết bị Sourcefire
6 Thiết lập System Policy áp dụng cho các thiết bị
7 Thiết lập Health Policy cho các thiết bị
8 Thiết lập quản lý User
9 Giám sát hệ thống
10 Bộ công cụ hỗ trợ
11 Cấu hình Interface Sets và Detection Engine
Trang 231 Thiết lập các thông số quản trị cho các thiết bị Sourcefire
a Cắm cable quản trị cho các thiết bị
- Trên các thiết bị Sourcefire Sensor 3D cổng quản trị là cổng Eth1 nằm phía sau thiết bị
- Trên thiết bị Sourcefire DC cổng quản trị là cổng Eth1 nằm phía sau thiết bị
- Cable quản trị được đánh dấu rõ ràng và cần phải chuẩn bị trước khi tiến hành lắp đặt
thiết bị
- Chuẩn bị các Cable cắm vào các port sensing như trong mô hình triển khai ở phần trên
b Thiết lập các thông số cơ bản cho thiết bị Sourcefire
+ Đặt tên cho thiết bị theo đúng quy hoạch của KHÁCH HÀNGAAA HN
+ Địa chỉ IP
+ Password quản trị
- Địa chỉ IP mặc định của thiết bị là: 192.168.45.45, truy cập thiết bị qua giao diện web: bằng cách https://192.168.45.45 User:admin và Password: Sourcefire
Giao diện lần đầu tiên đăng nhập cho phép chúng ta thiết lập lại các thông số cơ bản
cho thiết bị Sourcefire
Trang 24- Toàn bộ các thiết bị Sourcefire tại KHÁCH HÀNGAAA Hà Nội được thiết lập các
thông số như trong tài liệu đi kèm về: tên thiết bị, IP, port, user/password đăng nhập
thiết bị cùng một số thông số phụ của thiết bị
- Sau khi triển khai hoàn tất người quản trị thiết bị Sourcefire của KHÁCH HÀNGAAA
Hà Nội phải thay đổi password mặc định của thiết bị
Trang 252 Active License cho các thiết bị Sourcefire
a License Certificate bàn giao cho KHÁCH HÀNGAAA
- Trong License Certifcate này chưa đầy đủ các thông tin cần thiết để Active License cho các thiết bị Sourcefire tại KHÁCH HÀNGAAA Hà Nội bao gồm:
Bảng các License cần Active cho các thiết bị
b Lấy License từ hãng Sourcefire
Truy cập vào website: https://keyserver.sourcefire.com/
Lấy các văn bản License đi kèm với thiết bị để lấy Activation Key rồi điền vào form dưới đây tại Website Sourcefire.com sẽ tự động gửi License Key là một file.txt vào mail
c Active License cho các thiết bị
Khi có được toàn bộ các File License của các thiết bị, ta tiến hành active license cho các thiết bị Sourcefire
Truy cập vào các thiết bị thông qua https://ip rồi đăng nhập vào thiết bị Copy License từ file mà Sourcefire gửi vào mail rồi Paste vào cửa sổ License (Operations System
Settings License) Nhấn Submit License để active License cho thiết bị
Note: Có thể active license từ lần đầu tiên Login vào hệ thống Toàn bộ các thiết bị tại
KHÁCH HÀNGAAA Hà Nội đã được Active License Tài liệu này cho phép active
license khi cài lại thiết bị
Trang 26Sau khi thiết bị được Active License thiết bị sẽ có thêm một Tab “Policy & Response)
Trang 27Riêng đối với thiết bị Sourcefire DC1500 cần phải active nhiều license: RNA, còn lại các thiết bị Sourcefire 3D Sensor 3D3500 chỉ cần Base License IPS là đủ
3 Upgrade cho các thiết bị Sourcefire
- Sourcefire cho phép Update tự động hoặc do người quản trị upload gói update download từ trang support của Sourcefire (Người quản trị có thể yêu cầu nhà phân phối cung cấp các bản cập nhật này, Account đăng nhập vào trang support chỉ cung cấp khi khách hàng đã tham gia và có chứng chỉ về khóa học do hãng Sourcefire cung cấp)
a Các Update cần thực hiện
- Update Lastest patch cho các thiết bị cho hệ điều hành của các thiết bị (Khi triển khai lần đầu đã update lên phiên bản 4.10.2.4 mới nhất Khuyến cáo phần upgrade này thực hiện do người quản trị không để tự động do khi hoàn tất thiết bị sẽ khởi động lại
có thể ảnh hưởng tới các dịch vụ online)
- Update Vulnerability Database cho các thiết bị
- Update SEU cho các thiết bị 3D Sensor
Trang 28- Push SEU cho các thiết bị 3D Sensor
- Apply SEU cho các thiết bị 3D Sensor
- Toàn bộ quá trình update được thực hiện trên thiết bị Sourcefire DC1500 Các bản
update cho thiết bị Sourcefire 3D Sensor sẽ được download về và cung cấp từ thiết bị Sourcefire DC1500
- Toàn bộ quá trình update này được thực hiện tự động 1 lần/ngày Nên thực hiện vào
khoảng thời gian từ 0-5 giờ sáng
b Thiết lập Update tự động cho các thiết bị
- Vào thiết bị Sourcefire DC1000 Operations Tools Scheduling Add Task
+ Lựa chọn Job type: download update
+ Lựa chọn chạy tự động hàng ngày, thời điểm chạy
+ Download các gói update
Trang 29- Với cách làm tương tự cần phải tạo ra các Task tự động đáp ứng yêu cầu update Kết quả tạo ra các task tự động Update
+ Tạo task update Download SEU
+ Tạo task update PUSH SEU tới các thiết bị 3D Sensor và DC
+ Tạo task update về Vulnerability
4 Cấu hình các thiết lập hệ thống (System settings)
- Đây là phần thiết lập chung nhất về hệ thống cho thiết bị Sourcefire như cấu hình: địa chỉ IP, Time, License, shutdown/restart…
Trang 30- Để vận hành và quản trị hệ thống Sourcefire IPS cần phải biết kiểm tra các thông tin
hệ thống cho đúng với thiết kế, thay đổi các thiết lập hệ thống cho phù hợp với yêu
cầu đặt ra
- Người quản trị và vận hành hệ thống Sourcefire IPS cần phải giám sát và có thể thay đổi một số thông tin hệ thống dưới đây:
a Information
Là thông tin chung nhất về thiết bị Sourcefire
Tên thiết bị, Model, Version, địa chỉ IP Quan trọng là cho biết các Policy được áp dụng cho thiết bị
- Cho phép người quản trị thay đổi tên của thiết bị
b License
Là mục xem và quản lý License cho thiết bị Sourcefire
Trang 31c Network
- Cho phép người quản trị xem và thiết lập IP, DNS, Proxy, Hostname cho thiết bị
Sourcefire
- Mỗi thiết bị Sourcefire triển khai tại KHÁCH HÀNGAAA Hà Nội sẽ được đặt địa chỉ
IP, Tên thiết bị
d Network Interface
Cho phép người quản trị thiết lập cổng quản trị
Trang 32e Process
Người quản trị có thể truy cập vào mục process để đưa ra các lệnh như: Shutdown,
Reboot hoặc Restart thiết bị Sourcefire
f Remote Management
Người quản trị có thể thực hiện việc quản lý tập trung các thiết bị của Sourcefire theo
đúng như tài liệu thiết kế: Thiết bị DC1500 quản lý 2 thiết bị Sensor 3D3500
- Các thiết bị làm việc với nhau thông qua
+ IP
+ Port (Người quản trị cấu hình)
+ Key (người quản trị thiết lập dạng Preshare key)
- Các bước cấu hình chi tiết người quản trị có thể xem tại tài liệu triển khai
g Time
Cho phép thiết lập thời gian cho thiết bị
g Ngoài ra còn có một số thiết lập khác như
netflow device, Storage, Heath blacklist
Trang 335 Thiết lập quản trị tập trung cho các thiết bị Sourcefire
- Giải pháp Sourcefire sử dụng thiết bị Sourcefire DC quản lý các thiết bị Sourcefire 3D Sensor Toàn bộ mọi thiết lập trên Sourcefire 3D Sensor đều có thể thực hiện trên thiết bị Sourcefire DC
- Tại KHÁCH HÀNGAAA Hà Nội sau khi thực hiện thiết lập quản lý tập trung cho các thiết bị Sourcefire, mọi cấu hình sẽ được thực hiện trên thiết bị Sourcefire DC1500
a Mô hình quản trị tập trung của Sourcefire tại KHÁCH HÀNGAAA Hà Nội
Sourcefire 3D3500 Sensor
Sourcefire DC1500
Management
VLAN
- Thiết bị Sourcefire DC1500 làm vai trò quản lý các thiết bị Sourcefire trong hệ thống
- Thiết bị Sourcefire 3D Sensor làm nhiệm vụ Sensing và chịu sự quản lý bởi thiết bị Sourcefire DC1500
b Các bước tiến hành cấu hình
Việc cấu hình quản trị tập trung trên các thiết bị Sourcefire cần phải thực hiện trên cả hai thiết bị Sourcefire DC và Sourcefire 3D Sensor
- Trên Sourcefire 3D Sensor phải thiết lập chịu sự quản lý của thiết bị DC nào dựa vào (IP, Port, Registration Key)
- Trên thiết bị Sourcefire DC phải thiết lập thêm Sensor dựa vào (IP, Port, Registration Key)
- Thực hiện trên thiết bị 3D Sensor
+ Truy cập vào các thiết bị Sourcefire 3D Sensor Operations System Settings
Trang 34+ Thiết lập địa chỉ IP của thiết bị quản trị là DC1500: 10.10.42.120
+ Thiết lập Registration Key (key bảo mật giữa các thiết bị): Khách hàngAAA123
+ Nhấn Save Thực hiện tương tự trên cả 3 thiết bị Sourcefire 3D Sensor
- Thực hiện trên thiết bị Sourcefire DC1000
Truy cập vào thiết bị DC1000 Operations Sensor
Nhập địa chỉ IP của thiết bị 3D Sensor vào mục Host, registration key là: Khách
hàngAAA123 rồi nhấn add
Trang 35Sau khi hoàn tất quá trình thiết lập quản lý các thiết bị có thể vào thiết bị DC1500
Operations Sensor để xem các thiết bị được quản lý (ở đây ví dụ là một thiết bị DC quản lý 3 thiết bị 3D Sensor)
6 Thiết lập System policy áp dụng cho các thiết bị Sourcefire
- Chính sách về hệ thống áp dụng cho thiết bị Sourcefire cần được tạo ra trên thiết bị Sourcefire DC1500 và áp dụng cho các thiết bị 3D Sensor System Policy có thể được thực hiện giám sát và thay đổi các thông số tại phần System Policy
- Người quản trị có thể thiết lập các tính năng cũng như một số thiết lập hệ thống cho thiết bị Sourcefire tại phần System Policy Mức độ ảnh hưởng của System policy tùy thuộc vào các cấu hình và áp dụng cho các thiết bị Người quản trị phải hết sức cẩn
Trang 36trọng trong vấn đề giám sát, thay đổi và áp dụng System policy cho các thiết bị Sourcefire
- Người quản trị cần phải giám sát các chính sách được thiết lập đã đúng chưa và áp dụng cho các thiết bị có phù hợp hay không
- Ví dụ: trong hình dưới đây là System Policy tại thiết bị DC1000 bao gồm tên chính
sách, áp dụng cho mấy thiết bị
c Tạo ra một System Policy mới
Người dùng có thể tạo ra một System policy mới để áp dụng cho các thiết bị sao cho phù hợp với yêu cầu đặt ra
Trang 37d Các thiết lập chính trong System Policy
console tới thiết bị chúng ta lại thay đổi Policy
Database
- Là dữ liệu có thể chứa trên mỗi thiết bị Sourcefire, người quản trị cần giám sát số
lượng Event lưu trên các thiết bị tránh vượt quá khả năng lưu trữ của thiết bị
- Khi gần vượt khả năng lưu trữ của thiết bị đề nghị người quản trị cần phải xóa các
Event cũ không quan trọng đi hoặc Export các Event đó ra rồi xóa trong hệ thống
Trang 38Lưu ý tối đa số lượng Event mà thiết bị Sourcefire hỗ trợ
- Người quản trị có thể thay đổi các thông số mặc định về lưu trữ Event trên các thiết bị chịu áp dụng chính sách này
Trang 39RNA Settings
Người quản trị có thể thiết lập cho RNA với một số thông tin
e Apply System Policy
Sau khi tạo ra một System Policy người quản trị có thể apply policy đó cho toàn bộ các thiết bị
Sourcefire được quản lý trên thiết DC1500
Giám sát việc apply policy
Trang 407 Thiết lập Health Policy cho các thiết bị
- Health Policy là chính sách áp dụng cho phép cảnh báo khi thiết bị hoạt động có vấn đề
gì đó Ví như (CPU hoạt động quá mức, RAM, Network, Nhiệt độ… )
- Cần thiết lập Health Policy mặc định và áp dụng cho toàn bộ các thiết bị để theo dõi
tình trạng hoạt động trên thiết bị Sourcefire DC1500
- Trên thiết bị DC1500 nhấn vào biểu tượng Health
- Lựa chọn Health Policy
