Điều chỉnh cảm biến và cấu hình ngăn chặn (blocking) trên thiết bị cisco

Điều chỉnh cảm biến và cấu hình ngăn chặn blocking trên thiết bị Cisco... Điều chỉnh cảm biến tt- Để điều chỉnh cảm biến thành công, cần phải có sự hiểu biết tốt về: + Hệ thống mạng và c

Điều chỉnh cảm biến và cấu hình ngăn chặn (blocking)

trên thiết bị Cisco

Phần 1

Điều chỉnh cảm biến

Điều chỉnh cảm biến (tt)

- Để điều chỉnh cảm biến thành công, cần phải có

sự hiểu biết tốt về:

+ Hệ thống mạng và các thiết bị độc lập đang được bảo vệ.

+ Các giao thức được giám sát bởi các dấu hiệu (signature) mà đang được điều chỉnh.

- Kiến thức này giúp người quản trị nhận ra các hoạt động mạng bất bình thường so với bình thường.

Những cân nhắc khi điều chỉnh

Các thông tin quan trọng cần thu thập trước khi điều chỉnh:

- Cấu trúc hệ thống mạng (network topology)

- Phần địa chỉ mạng cần được quan sát và bảo vệ.

- Địa chỉ của các server bên trong mạng và các địa chỉ được cấp bởi DHCP.

- Hệ điều hành đang chạy trên các server.

- Các ứng dụng đang chạy trên server.

- Chính sách bảo mật.

Các giai đoạn điều chỉnh

Các giai đoạn điều chỉnh được liệt kê ở đâytương ứng với chiều dài thời gian mà bộ cảmbiến đã được hoạt động tại vị trí hiện tại:

- Giai đoạn triển khai (deployment phase)

- Giai đoạn điều chỉnh (Tuning phase)

- Giai đoạn bảo trì (Maintenance phase)

Các giai đoạn điều chỉnh (tt)

Giai đoạn triển khai (deployment phase):

Giai đoạn này được hoàn tất trong quá trình triển khai và thiết lập ban đầu Trong suốt giai

đoạn này, bộ cảm biến đang hoạt động ở cấu

hình mặc định, cái mà có thể đã được điều chỉnh

cho việc triển khai ở mức trung bình Tùy thuộc vào chính sách bảo mật và vị trí đặt bộ cảm biến, các dấu hiệu cụ thể sẽ được “bật lên” cho hoạt động cần được giám sát.

Các giai đoạn điều chỉnh (tt)

Giai đoạn điều chỉnh (Tuning phase)

Hầu hết các hoạt động và công việc đều xảy

ra ở giai đoạn điều chỉnh Trước khi bắt đầu giai

đoạn điều chỉnh, bộ cảm biến nên được hoạt

động liên tục để mà nó có thể “thấy” được các

mẫu bình thường (normal sampling) của hoạt động mạng Trong thời gian này, bộ cảm biến có thể phát ra một số lượng đáng kể các sự kiện cái

mà có thể được sử dụng trong quá trình điều chỉnh.

Các giai đoạn điều chỉnh (tt)

Giai đoạn bảo trì (Maintenance phase)

Giai đoạn này được hoàn thành định kỳkhi việc điều chỉnh chở nên cần thiết, như làmỗi lần dấu hiệu được cập nhật cho cảmbiến Bởi vì việc cập nhật dấu hiệu không chỉ

là thêm các dấu hiệu mới mà còn điều chỉnhcách mà nó bật lên cảnh báo

Các phương pháp điều chỉnh

Trên bộ cảm biến:

- Bật hoặc tắt các dấu hiệu.

- Thay đổi mức độ cảnh báo.

- Thay đổi các tham số của dấu hiệu.

- Tạo các chính sách để ghi đè lên các hành động của

Các phương pháp điều chỉnh (tt)

Ví dụ: Bật hoặc tắt các dấu hiệu.

Kích hoạt dấu hiệu mà bị vô hiệu hóa(disable) ở chế độ mặc định Việc bật lên nàynhằm đáp ứng tình huống cụ thể trong hệthống mạng

Các phương pháp điều chỉnh (tt)

Thay đổi mức độ cảnh báo

Kỹ thuật điều chỉnh này liên quan đến vị trí của bộ cảm biến hoặc chính sách đang được áp dụng tại vị trí của bộ cảm biến đó.

Ví dụ: Mức độ cảnh báo của dấu hiệu liên quan

tới web cần được hạ thấp xuống trên bộ cảm biến đang giám sát lưu lượng từ bên ngoài tường lửa Điều này phụ thuộc vào lưu lượng truy cập web tại nơi đó.

Các phương pháp điều chỉnh (tt)

Thay đổi các tham số của dấu hiệu

Kỹ thuật điều chỉnh này thường được sử dụng để điều khiển ngưỡng khởi phát của dấu hiệu (the firing of signature).

Ví dụ: một công ty nhỏ thiết lập dấu hiệu quét

ICMP với dấu hiệu Echo sẽ được khởi phát nếu

có 5 máy nhận gói echo request trong vòng 15 giây Một công ty lớn hơn có thể thiết lập 10 máy trong vòng 15 giây.

Các phương pháp điều chỉnh (tt)

Tạo các chính sách để ghi đè lên các hành động của sự kiện

Kỹ thuật điều chỉnh này thường được dùng

để giảm “sự phát hiện nguy hiểm sai” Các

bộ lọc hành động của sự kiện (event actionfilter) được dùng để ngăn chặn bộ cảm biếnthực hiện một hành động đặc biệt nào đó (baogồm cả phát ra cảnh báo)

Tạo các chính sách để ghi đè lên các hành động của sự kiện: IDS version 4.x

Ví dụ: IDM có thể được cấu hình để yêu cầu

các cảnh báo tại một mức độ cụ thể nào đócủa cảnh báo

Đánh giá giá trị mục tiêu

Đánh giá giá trị của mục tiêu có thể được gáncho các tài nguyên mạng Đánh giá giá trịmục tiêu là một trong các yếu tố được sửdụng để tính toán giá trị mức độ nguy hiểmcho mỗi cảnh báo

Đánh giá giá trị mục tiêu (tt)

Phần 2

Cấu hình khả năng Ngăn chặn

(Blocking)

Các khái niệm

Ngăn chặn (Blocking): đặc tính của cảm biến Cisco

IPS Đặc tính ngăn chặn các gói tin đi tới được đích của chúng Ngăn chặn được khởi tạo bởi bộ cảm biến và được thực hiện bởi một thiết bị Cisco khác tại thời điểm yêu cầu của bộ cảm biến.

NAC: Ứng dụng ngăn chặn (the blocking application) trên bộ cảm biến.

Device management: Khả năng của bộ cảm biến để

tương tác với thiết bị của Cisco và tự động cấu hình

Các khái niệm (tt)

Thiết bị ngăn chặn (Blocking device): đây

là thiết bị Cisco dùng để trực tiếp ngăn chặncuộc tấn công; còn được gọi là thiết bị bịquản lý (the managed device)

Cảm biến ngăn chặn (Blocking sensor):

Cảm biến Cisco IPS được cấu hình để điềukhiển thiết bị bị quản lý

Các khái niệm (tt)

Giao diện (managed interface) hoặc VLAN

bị quản lý : giao diện hoặc VLAN trên thiết

bị bị quản lý, nơi mà cảm biến Cisco IPS sẽ

áp dụng ACLs hoặc VACLs

Active ACL hoặc VACL: ACL hoặc VACL

được tạo và được áp dụng cho các giao diệnhoặc VLANs bị quản lý bởi bộ cảm biến

(Blocking devices)

• Cisco routers

• PIX Security Appliances

• Firewall Services Modules

• Catalyst 5000 family switches

• Catalyst 6000 family switches

Các yêu cầu cho thiết bị ngăn chặn

- Bộ cảm biến phải có khả năng kết nối vớithiết bị ngăn chặn thông qua IP

- Bộ cảm biến phải được phép truy cập từ xatới thiết bị bị quản lý (managed device) thôngqua một trong các kiểu sau: Telnet, ssh

- Nếu dùng ssh, thiết bị ngăn chặn phải hỗ trợcho việc mã hóa DES hoặc 3DES

Các hành động ngăn chặn của NAC

2 sự kiện sẽ làm cho NAC khởi tạo việc ngăn chặn:

- Tự động ngăn chặn (automatic blocking): dấu hiệu

phát ra cảnh báo Dấu hiệu đó được cấu hình với một trong những hành động ngăn chặn sau:

+ Request block host: ngăn chặn tất cả lưu lượng

từ một địa chỉ IP được cho trước.

+ Request block connection: ngăn chặn lưu lượng

từ một địa chỉ IP nguồn được cho trước đến một địa chỉ và cổng đích được cho trước.

- Ngăn chặn bằng tay (manual blocking): NAC được

cấu hình bằng tay để ngăn chặn một host một địa chỉ mạng

cụ thể.

Ngữ cảnh ngăn chặn

Nơi áp dụng ACLs

- Khi bộ cảm biến có toàn quyền

kiểm soát, thì việc cấu hình các

ACLs bằng tay sẽ không được

phép.

- Với giao diện bên ngoài, thích

hợp với hướng lưu lượng

inbound.

- Với giao diện bên trong, thích

hợp với hướng lưu lương

outbounđ.

Nơi áp dụng ACLs

- Khi bộ cảm biến có toàn quyền

kiểm soát, thì việc cấu hình các

ACLs bằng tay sẽ không được

phép.

- Với giao diện bên ngoài, thích

hợp với hướng lưu lượng

inbound.

- Với giao diện bên trong, thích

hợp với hướng lưu lương

outbounđ.

ngoài hay trong

Giao diện bên ngoài với hướng lưu lương inbound:

- Từ chối (deny) gói dữ liệu từ hosttrước khi chúng tới được router

- Cung cấp sự bảo vệ tốt nhất để chốnglại kẻ tấn công

ngoài hay trong

Giao diện bên ngoài với hướng lưu lương inbound:

- Từ chối (deny) gói dữ liệu từ hosttrước khi chúng tới được router

- Cung cấp sự bảo vệ tốt nhất để chốnglại kẻ tấn công

ngoài hay trong (tt)

Giao diện bên trong với hướng lưu lượng outbound:

- Từ chối (deny) gói dữ liệu từ hosttrước khi chúng đi vào mạng được bảo vệ

- Không áp dụng được cho bản thânrouter (router không được bảo vệ)

Cảm biến ngăn chặn Master (MBS)

- Một MBS có thể là bất cứ cảm biến nào mà điều khiển ngăn chặn trên một thiết bị.

- Một cảm biến chuyển yêu cầu ngăn chặn là một cảm biến gửi các yêu cầu ngăn chặn tới MBS.

- Bất kì cảm biến 5.0 nào cũng có thể là MBS cho các cảm biến 5.0 khác.

- Một cảm biến có thể chuyển tối đa 10 yêu cầu ngăn chặn MBS.

- Một MBS có thể quản lý các yêu cầu ngăn chặn được gửi từ nhiều cảm biến chuyển đến.

- Một MBS có thể sử dụng các MBS khác để điều khiển