Đề Tài Thực Hành CCNA Lab - CSMars

Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp mộtcách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo vàkiểm tra chặt chẽ mạng lư

I Bố cục

Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương Chương I: Giới thiệu vê CSMars

Chương II: Thực hành Lab

MỤC LỤC

LỜI CẢM ƠN

NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

DẪN NHẬP v

I Lí do chọn đề tài……….……v

II Nội dung nghiên cứu……… vi

III.Mục tiêu nghiên cứu……… vi

IV Phạm vi nghiên cứu……… vi

V Phương pháp nghiên cứu……… vi

VI Bố cục………….……… vii

CHƯƠNG I: GIỚI THIỆU VỀ CSMARS I. Giới thiệu……… 1

1 Phần mở đầu……… 1

2 Quy trình lưu lượng của CSMARS……… 2

3 Lựa chọn các thiết bị để giám sát……… 3

4 Thông tin liên lạc CSMARS……… 5

5 Các tính măng và lợi ích của CSMARS……… 5

6 CSMARS triển khai các tùy chọn……… 6

II. Rules……… 7

1.Khái niệm……… 7

2.Các loại Rules……… 7

2.1 Inspection Rules……… 7

2.1.1 System Rules……… 8

2.1.2 User Define Rules……….…… 8

2.2 Drop Rules……… 8

2.2.1 Liên kết False Positive……… .8

2.2.2 Thủ công……… 9

3 Active và Inactive Rules……… 11

4 Complex và Behavioral Rule Creation……… .12

III. Incident……… .13

1.Khái quát Incident……… …… 13

2.Sử dụng Incident để quan sát dữ liệu……… 16

IV Queries……… 16

1 Khái niệm……… 16

2 Các loại Query……… .17

2.1 Query Type……… 17

2.2 Instant Query……… 18

2.3 On-Demand Queries và Manual Queries……… 20

V.Report……… 21

1 Khái niệm……… 22

2 Các lọai Report……… 22

2.1 Report có sẵn……… … 22

2.1.1 Sử dụng tab report……… 23

2.1.2 Lấy report theo yêu cầu……… 24

2.2 Tạo riêng một Report……….… 24

2.3 Cách nhận Report……… … 26

VI Netflow……….… .28

1 Khái niệm 28

2 Netfow trong CSMars 28

3 Cấu hình Netflow 29

Cấu hình Netflow trên CSMars 32

Router 33

3.2.1 Cấu hình SNMP 33

3.2.2 Cấu hình Netflow trên Router Cisco 34

3.2.3 Cấu hình file Log trên Router Cisco 34

3.3 Switch 35

3.3.1 Cấu hình switch để kích hoạt L2 Discovery 35

3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP… 35

3.3.3 IOS Switches kích hoạt Syslog 36

3.3.4 IOS Switches kích hoạt NetFlow……… 36

3.4 Cấu hình tường lửa……… 36

3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco……… 36

3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco……….… 37

3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco……… 37

3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS ……….…… 37

3.5 Nhận thiết bị Cisco IPS vào CSMARS……… 39

CHƯƠNG II: THỰC HÀNH LAB I MÔ HÌNH VÀ CẤU HÌNH THIẾT BỊ……… … 42

1.Mô hình……… 42

2.Cấu hình thiết bị……… 43

.Router……… … 43

.ASA……… … 44

.Switch……….…… 45

.IDS……… 46

Cấu hình IDS VLAN Pair……… … 46

3 Xem File Log trên IDS……… 47

II NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA HỆ THỐNG MẠNG TRÊN CSMARS……… ……… 50

1 Nhận biết thiết bị……… …… 50

1.1 Nhận kết nối giữa RouterGW với CSMars bằng SNMP………50

1.2 Nhận kết nối firewallASA với CSMars bằng TELNET……….… 51

1.3 Kết nối IDSsensor……… 51

1.4 Cấu hình Netflow trên CSMars……… 52

2.Tình trạng hoạt động của hệ thống mạng trên CSMars……… 53

2.1 Summary……… ………… 53

2.2 Incident……… 61

2.3 Event……… 62

2.4 Queries……… …… .63

2.5 Rule và Report……….……… 64

KẾT LUẬN……… 65

TÀI LIỆU THAM KHẢO 67

CHƯƠNG I:

GIỚI THIỆU VỀ CSMARS

I Giới thiệu về CSMars

1 Phần mở đầu

Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồntại Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựatrên các cuộc tấn công Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặtniềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang đượcngừng lại Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay Tintặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mậthiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ

Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp mộtcách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo vàkiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh đểxác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng

Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an

ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảmthiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới Trong gần như tất cả cáctrường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thayđổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars

 Thuật ngữ: CSMARS phân biệt các event, session and incident

-Phân tích các incident để xác định các mối đe dọa hợp lệ -Phân tích đường dẫn

-Phân tích tính nguy hiểm cho các máy bị nghi ngờ -Quét những tương quan có tính chất nguy hiểm

o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghịgiảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộmạng lưới:

- Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đềnghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng -Thông báo cho người sử dụng về việc thay đổi cấu hình

2 Quy trình lưu lượng của CSMARS

Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ sài,từ đógiảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:

- Bước 1: Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình

của mạng lưới Nó dùng thông tin cấu hình đã hoàn tất từ router và switch,máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị anninh để xây dựng một hình ảnh đầy đủ của mạng lưới

- Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị

mạng (router và switch) và hệ thống cuối (server) gửi logging và mạnglưới thông tin Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOSNetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữliệu sẵn có để hội nhập với các sự kiện dữ liệu Dữ liệu NetFlow có thểxác định các mạng lưới giao thông bất thường - đột ngột thay đổi trongmức độ lưu lượng

- Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để

kết hợp nhiều sự kiện vào end to end session

- Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền

các rule do người sử dụng xác định, tương quan thông tin những sessionvới dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoànthành mạng lưới tấn công, gọi tắt là incident

- Bước 5: CSMARS appliance performs automatic vulnerability

assessment, which uses information about end system to identify falsepositive, building rules to reduce future analysis and processing ofcandidate incidents Thiết bị CSMARS tự động thực hiện các hành độngđược đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kếtthúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớtquá trình phân tích trong tương lai các ứng viên của incident

- Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và

các hướng dẫn để giảm thiểu

- Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive.

Với một quyết định, người dùng có thể phân loại false-positive và nhanhchóng giảm số lượng các báo cáo incident

3 Lựa chọn các thiết bị để giám sát

Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giámsát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS Tất cả các thiết bị trên mạnglưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ

dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh vềincident Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiệnviệc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars khôngthực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa Đăng nhập khôngcần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới

Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đềxuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.

Router Các thiết bị khám phá giao thức được

dùng cho việc truy cập của quản trịviên/giảm

Những dữ liệu sau được lấy từ router:

• Bảng ARP cache Được dùng để sắp

xếp địa chỉ IP với địa chỉ MAC

hay Telnet access

Switch SNMP RO Community strings

Bảng forwarding, được dùng để sắp xếpđịa chỉ IP với địa chỉ MAC

Tình trạng thiết bị và nguồn sử dụng,như bộ nhớ, CPU, và giao diện/cổng sốliệu thống kê

hay Telnet access

• Khởi động NetFlow data

• Quyền truy cập cho quản

trị viên cho việc đẩy mạnhgiảm thiểu

Firewall Cấu hình giao diện Được sử dụng để

xem mô hình và xác định tuyến đường

dự kiến, giúp lọc lưu lượng truy cập quacác tường lửa

NAT và PAT mappings Được sử dụng

để xác định nguồn gốc của bên tấn công

và các mục tiêu và theo dõi chúng

Điều khoản Firewall Khi nhận ASA,

PIX, và FWSM, MARS phân tích ACLs

và các cáp điện (chỉ dùng với PIX)

Firewall logs Nhận và từ chối sessions

logs được sử dụng để xác định các falsepositive và xác định xem tiềm năng tấncông đã được chặn trước khi đến cácmục tiêu

Tình trạng thiết bị và việc sử dụng nguồn thông tin Được sử dụng để xác

định hoạt động mạng bất thường dựatrên bộ nhớ, CPU, cổng giao diện và các

IDS/IPS Thông báo Fired signature Identifiesattacks and threats, which helps

determine mitigation response, identifypotential false positive information, andtarget vulnerability assessment probesconducted by MARS Fired chữ ký củacác thông báo Xác định các tấn công và

đe dọa, trong đó giúp xác định việcgiảm thiểu phản ứng, xác định các tiềmnăng của thông tin false positive, vàmục tiêu mang tính nguy hiểm đượckhảo sát đánh giá bởi Mars

Kích hoạt gói thông tin Cung cấp các

Payload của gói tin mà gây ra các firedsignature

Xác định xem liệu một cuộc tấn công đã

bị chặn tại một thiết bị cụ thể

Tình trạng thiết bị thông tin

4 Thông tin liên lạc CSMARS

Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt độngđiều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông

số tương ứng Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô

 CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP trapsHTTP hay HTTPS và SDEE (cho IPS).

 CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sửdụng những giao thức này: SNMPv1 (read only access được yêu cầu),telnet, SSH hoặc FTP và SDEE, vv

 CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này:telnet, SSH, SNMPv1 (write access được yêu cầu)

 CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức:E-mail, SNMP trap, syslog, pager, SMS

5 Các tính năng và lợi ích của CSMARS

- Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểubiết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ

sơ mạng lưới giao thông

- Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huốngbằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưutiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó

- Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngànnguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảmthiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này Quản lýkhối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nềntảng logging

- Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xácđịnh mối đe dọa, điều tra, xác nhận và giảm thiểu

- Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xácđịnh điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp cácthiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu cácmối đe dọa

- Điều tra thời gian thực và theo đúng báo cáo

- Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó

có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật cácsession và triển khai với mạng lưới và an ninh thông qua các thiết bị đạttiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:

- Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biếncác quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo

cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query andreport.

6 CSMARS triển khai các tùy chọn

CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới Các thiết bị có thể được triển khai như sau

o Chế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an

toàn dựa trên giao diện hỗ trợ rule theo quản trị viên Quản lý của các thiết

bị báo cáo, query, rule và report được thực hiện trên thiết bị này KhiCSMARS trong chế độ standalone liên lạc với các CSMARS GlobalController, các chế độ thiết bị thay đổi thành CSMARS Local Controller

o CSMARS Local Controller: CSMARS Local Controller triển khai tương

tự như với standalone được mở rộng khả năng giao tiếp với các CSMARSGlobal Controller

o CSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc

nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong Mars được phân phối triển khai Điều quan trọng cần lưu ý rằng các GChiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan

CS-Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kếtsnapshots của các dữ liệu vào GC Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC Khibạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn

sẽ xem các dữ liệu trên LC Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LCđược thực hiện thông qua các thông tin liên lạc HTTPS

II Rules

1 Khái niệm

Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hànhđộng Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mailthông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incidentđược tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động.Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặcphức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máyClient thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới

2 Các lại Rules

Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt làchúng có mục đích và kết quả khác nhau Queries là nền tảng cho Rules và Reports.Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một

Report hoặc cho phù hợp với một Rule để có những hành động thiết thực Một hành độngmặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng Để kích hoạtcác hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn củaRules.

hình thành của sự kiện Inspection Rules có 2 dạng: System Rules và User Defined Rules.

Để xem các Inspection Rules: Tab Rules > Inspection Rules

2.1.1 System Rule:

Những Rules đã được xác định trước trong CS-Mars System rules dễ dàng được nhận

ra bởi một quy ước đặt tên duy nhất Tên của System Rules bắt đầu bằng chữ "SystemRule:" và sau đó sẽ được nối với tên Rule Hơn 120 System Rules được xây dựng sẵn vàoCS-Mars Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tínhsau:

2.1.2 User Defined Rules:

Rules do người dùng tạo ra trên CSMARS Những Rules này được gán với tên chínhxác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules

2.2 Drop Rules

Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện.Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu

đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident Possitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định False-Possitive Hành động mặc định cho Rule này là tạo ra một hệ thống xác định FalsePossitive Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > DropRules.

False-Có thể điều chỉnh tùy theo những lý do khác nhau Một số phương pháp chỉnh:

 Thông qua các liên kết False Possitive

 Thủ công

2.2.1 Liên kết False Positive

Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông quaIncident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liênkết False Positive Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False PositiveTuning Wizard

2.2.2 Thủ công

Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules Khi điều hướngđến trang này cho lần đầu tiên, nó là trống

Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần một session được mở thông qua các tường lửa

Bước 1: Nhấp vào nút Add trên trang Drop Rules.

Bước 2: Nhập một tên Drop Rule và mô tả.

Bước 3: Chọn Any như địa chỉ IP Source.

Bước 4: Chọn Any như địa chỉ IP Destiantion.

Bước 5: Chọn Any như là Port dịch vụ và giao thức.

Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải

Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.

Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp

<<== nút Add Built/Teardown/Permitted IP Connection bây giờ xuất hiện ở hộp bên trái Bấm Next.

Bước 9: Chọn loại thiết bị: Cisco Pix

Bước 10: Kiểm tra Pix <<== nút (Add) Lựa chọn bây giờ xuất hiện trong hộp bên trái Bấm Next

Bước 11: Để lại Any nào vào trong các trình đơn Severity drop-down Bấm Next Bước 12: Chọn nút Drop radio Bấm Next

Bước 14: Nhấp vào Submit

Bước 15: Nhấp vào nút Activate để kích hoạt

3 Active và Inactive Rules

Tất cả các Rules trong CS-Mars có hai tình trạng: hoạt động và không hoạt động.Active Rule là những rule đang được sử dụng Inactive rule là những Rule không hoạtđộng có nghĩa là không được sử dụng

Tạo Custom System Inspection Rules

Tạo ra một Custom System Inspection Rule thì tương tự như trong quá trình tạo Drop

Rule bằng thủ công, nhưng với nhiều chi tiết hơn, bao gồm cả khả năng để thêm vào cácRule tính phức tạp với các biểu thức Boolean

Ví dụ: Để tạo các Rules này là của người dùng, các quản trị viên, muốn có một

Incident được tạo ra, và muốn được thông báo qua e-mail khi một máy chủ nội bộ haybên ngoài làm cho 20 kết nối vào bất kỳ máy chủ của bạn thông qua các tường lửa Nettrong 10 giây theo các bước sau:

- Bước 1: Từ Rules > Inspection Rules, bấm vào nút Add

- Bước 2: Nhập các tên Rule và mô tả Bấm Next

- Bước 3: Xác định cụ thể kết nối cho các kết nối máy chủ, xác định nó như là

một mục tiêu để cho CS-Mars biết các kết nối này phải được từ cùng một máy

chủ duy nhất Trong hộp bên phải, đánh dấu vào $ Target01 và nhấn vào nút

<<== để thêm nó vào hộp bên trái Bấm Next

- Bước 4: Xác định đó là mục tiêu đánh dấu vào $ Target02 và nhấn vào nút

<<== để thêm nó vào hộp bên trái Bấm Next

- Bước 5: Trong hộp bên phải, đánh dấu vào Any và nhấn vào nút <<== để thêm

nó vào hộp bên trái

- Bước 6: Trong hộp bên phải, hãy đánh dấu vào Any và nhấn vào nút <<== để

thêm nó vào hộp bên trái

- Bước 7: Bạn xác định tường lửa đang giám sát các kết nối

- Bước 8: Đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái

- Bước 9: Không định nghĩa bất kỳ từ khoá nào trong văn bản, do đó, nó vẫn còn đặt vào Any

- Bước 10: tùy chọn, nhưng truy cập bắt buộc phải được xác định Các Rules

được viết cho 20 kết nối, do vậy cần phải nhập vào vùng Counts là 20

- Bước 11: Nhấp vào Yes

- Bước 12: Một hành động của quản trị e-mail đã được xác định trước

- Bước 13: Các tiêu chí cho Rules này là tất cả các điều kiện phải được đáp ứng

trong một khoảng thời gian 10 giây

- Bước 14: Submit và active.

4 Complex và Behavioral Rule Creation

Complex Rules là những Rulse sử dụng nhiều offsets gắn liền với nhau bởi cácbểu thức Boolean Ba biểu thức Boolean có sẵn để sử dụng trong CS-Mars:

 And: điều kiện của các offset phải được đáp ứng, nhưng không cần phảitheo thứ tự

 Or: chỉ có một trong các điều kiện của những offsets phải được đáp ứng

 Followed-By:một điều kiện của offset phải thực hiện theo các điều kiệntrước

Các offset có thể được nhóm lại bằng cách đặt chúng giữa ngoặc để duy trì trật tự củahoạt động

Hình: Inspection Rule Panel: Complex Rule System Rule

1 Khái quát Incident

 Bản chất: Incident được chia thành tưng phần (mỗi phần riêng biệt là mộtcuộc tấn công đã có sẵn) để dễ dàng hơn trong quá trình phân tích và pháthiện ra các dạng tấn công có sẵn

Có thể truy cập vào các trang Incident bằng cách nhấp vào nút Tab Incident, Tabthứ hai ở góc bên phải từ trái sang

Trang Incident có 3 tab các chức năng:

o Incidents

o False Positives

o Cases

 Tab Incident:

Tab Incident thể hiện trực tiếp một loạt các sự cố gần đây nhất nó sẽ thể hiện qua

sơ đồ ở trang Summary Sự khác biệt chính giữa các trang này là sẽ hiển thị tất cả các sự

cố báo cáo trong vòng 24 giờ và thể hiện cùng một lúc 25 sự cố (Increment) Incrementnày có thể được điều chỉnh để để quan sát các sự cố trên mỗi trang (có thể lên tới 10.000)

Hình: Tab Incident

 Tab False Positive:

Tab này cho phép người dùng xem các báo cáo sai của CS-Mars hoặc drop rule

mà người dụng cấu hình

Hình: Tab False Positive

 Tab Case

Tab này được truy cập vào trong các trường hợp sử dụng CS-Mars như một công

cụ quản lý Mặc dù bạn có thể truy cập cụ thể vào từng vùng trong CS-Mars bằng cáchchọn từng loại trong Select Case nhưng có sự đặc biệt ở đây là Tab này có thể quản lý tất

cả các vùng trong tất cả các trường hợp nếu bạn chọn No Case Select

Hình: Tab Incident Case

2 Sử dụng Incident ID để quan sát dữ liệu

Trong ví dụ này, một báo cáo sử dụng dưới mỗi dạng ID duy nhất gọi là Incident ID

Hình: Chi tiết các dữ liệu của Incident

IV QUERIES

1 Khái niệm:

Truy vấn dữ liệu trên CS-Mars có thể đơn giản như là chọn một Query đã xác định trước và gửi nó, hoặc là phức tạp như định nghĩa các biến hoặc các hành động đểkéo dữ liệu từ nhiều nguồn

Ba loại truy vấn tồn tại cho CS-Mars, và hai trong ba có thể yêu cầu thay đổi cách thức mà bạn muốn xem các dữ liệu đang được truy vấn

Hình: CS-MARS Query Type công cụ cấu hình và vùng Query Type

Công cụ cấu hình Query type có năm thuộc tính phải được cấu hình để có đượckết quả

 Result Format

 Order/Rank By

 Filter by Time

 Use Only Firing Events

 Maximum Rank Returned

Khi đã hoàn thành việc chuyển dữ liệu trong công cụ cấu hình Query type, bấmvào nút Apply ở trên hoặc dưới bên phải của các công cụ Query

Hình: CS-MARS Query Type có thể thay đổi

2.2 Instant Queries

Tất cả những biểu tượng q này sau khi cụ thể các giá trị được hiển thị trong

CS-Mars Biểu tượng này được gọi là các Instant Query Tại bất cứ thời điểm nào khi đangxem dữ liệu, có thể nhấp vào biểu tượng này và yêu cầu tìm kiếm dữ liệu có liên quanđến giá trị là biểu tượng bên cạnh

Hình : Biểu tượng CS-MARS Instant Query

Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị của q trong các bộ

lọc thích hợp

Hình: Trang CS-MARS Query Populated Filter

2.3 On-Demand Queries và Manual Queries

Hai chủ đề sẽ được thảo luận để điều chỉnh kỹ năng truy vấn của CS-Mars:

 On-demand queries: là những query dựa trên tất cả các báo cáo đã được lưubởi nhà phân tích an ninh và các quản trị viên hoặc đã được cung cấp

"canned" với các dụng cụ điện

 Manual queries: là những Query ngay từ đầu đã được hoàn thành Manual Queries có thể được lưu lại như là các báo cáo để chúng có thể được tái sử dụng trong tương lai để tránh lặp lại kết quả

Hình: CS-MARS Manual Query

giảm thiểu lý do là rất có ích, tuy nhiên thiếu cái cốt lõi không có nghĩa rằng báo cáo dữliệu từ nhiều nguồn khác nhau

Những nhà quản lý mạng muốn nhìn thấy những báo cáo cơ bản mà có thể dễdàng đọc, dòng đầu tiên mà các nhà quản lý mạng muốn xem là dữ liệu và hành động mộtcác chi tiết, nhưng không phải dữ liệu ban đầu Việc phân tích các dạng bảo mật một cáchchi tiết và bình thường hóa dữ liệu, thêm vào đó mô hình đồ thị sẽ giúp dễ hiểu những gìđang xảy ra và cái hướng giải quyết vấn đề đó CS-Mars được tổ chức rất cao trong việcbáo cáo các thông tin có thể được sử dụng phổ biến và hữu ích cho nhiều nguồn

2 Các loại Report

2.1 Sử dụng Reports định sẵn

Reports xác định sẵn thường được gọi là Reports đóng hộp đã được có sẵn trong

dữ liệu CS-MARS chứa khoản 175 Reports loại này Con số này sẽ tăng lên ứng vói mỗi

mã CS-MARS Cisco cung cấp các Reports bằng cách tạo ra dựa trên kiến phản hồi củakhác hàng, của mỗi người sử dụng

Bởi vì có đến 175 Reports có sẵn, trong danh sách CS-MARS sẽ sắp xếp thànhcác nhóm để dễ dàng tìm kiếm và quản lý Có một vài nhóm đã được mặc định sẵn và cóthể tạo nhóm riêng cho người sử dụng Nhớ rằng khi mà tạo một nhóm riêng có một vài

Reports sẽ nằm trong tất cả các nhóm Một vài nhóm được tạo nên bằng cách xácđịnh Reports có sẵn nào ứng với các yêu cầu

Một Report có sẵn thì dễ dàng để điều chỉnh để phù hợp với yêu cầu sử dụng

Để xem các Reports có sẵn, Chọn Query/Reports > Report

Hình: Trang CS-MARS Report

Có thể xem các Report được xác định sẵn theo 2 cách:

Hình: Điều chỉnh Report ở trang CS-MARS Report

2.2.1 Lấy Report theo yêu cầu

Theo các bước trình tự sau:

Bước 1: Chọn dạng report muốn xem Bước 2: Sủ dụng thanh cuốn ở giữa hoặc cuối trang, chọn 1 trong những

nút sau:

- View HTML

- View CSV

Bước 3: Nhấn nút View Report

2.2 Tạo riêng một Reports

CS-MARS cho phép tạo Report bằng các sử dụng công cụ Report Creation Hầuhết CS-MARS cung cấp cho khách hàng những thông tin nếu họ muốn sử dụng công cụQuery để tạo và lưu Report; tuy nhiên, việc thuận lợi nhất khi làm là xem những kết quảcủa Report/query trước khi cấu hình Report Mục đính của mục này là thảo luận phương

pháp sử dụng nút Add trên Tab Reports Việc lưu Report trên trang Query được xem nhưgiống thanh công cụ Report Creation

Để tạo được Report, theo những bước sau:

Bước 1: Tại trang Query/Reports, nhấn nút Report.

Bước 2: Nhấn nút Add.

Bước 3: Đưa tên và mô tả dạng Report, nhấn Next.

Bước 4: Đưa thời gian sử dụng Report và hoàn thành như hình.

Hình: Tạo Report

Bước 5: Thêm người nhận cho Report.

Bước 6: Sử dụng công cụ Query nếu muốn nhập nội dung Bước7: Nhấp Submit để lưu lại.

2.3 Cách nhận Report

Khi mà Report được cấu hình và xem trên CS-MARS, có thể xem Report dướidạng HTML thông qua trình duyệt hoặc có thể chọn xem dạng CSV

Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations)

Nếu chọn xem dạng CSV, một màn hình mới sẽ xuất hiện cung cấp một đường dẫn đểlưu về trên máy Sau khi lưu file về trên máy tính có thể mở bằng ứng dụng MicrosoftExcel

Hình: CS-MARS Report dạng file CSV

VI NETFLOW

1 Khái niệm

Netflow là một công nghệ về mạng lưới giám sát lượng truy cập của Cisco Dựatrên giao thức UDP, các báo cáo sẽ được tìm thấy trên Router hoặc Switch Mỗi luồng(flow) là một gói nhỏ các gói tin chứa đựng các thiết lập, chuyển dữ liệu và thông tinTeardown

Các ứng dụng Netflow cung cấp một cách hiệu quả nhiều dịch vụ cho các ứngdụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới thanh toán, an ninh, hệ thống,khả năng giám sát và thiết lập tấn công DoS Netflow cung cấp những thông tin giá trị vềmạng lưới người sử dụng, các ứng dụng, lưu lượng người truy cập và các gói tin địnhtuyến Netflow được Cisco phát minh và đi đầu trong công nghệ lưu lượng dòng chảy IP Sau khi cấu hình thiết bị IOS hoặc CATOS cho Netflow, các thông tin về dòngchảy và các thông số liên quan sẽ được đóng gói trong một gói UDP và sẽ được gửi tớicác điểm thu được xác định Bởi vì nhiều dòng chảy được đóng gói thành một gói UDP,

do đó Netflow trở thành một hệ thống giám sát hiệu quả và tiện ích bởi Syslog và SNMP

2 Netflow trong Csmars

CSMars sử dụng Netflow phiên bản 5 và 7 để xác định mạng lưới sử dụng, pháthiên hành vi người sử dụng, lưu lượng băng thông và các liên quan đến các hành độngtấn công, các sự kiện và các báo cáo của thiết bị NIDS và tường lửa Mặc dù Netflow cóvài sự khác biệt thông tin giữa hai phiên bản 5 và 7, nhưng CSMars sử dụng cả hai thôngtin trên cả hai phiên bản 5 và 7, vì thế không có sự phân biệt nào trên cả hai phiên bảnnày

Do sự phát triển cao cùng với cơ sở dữ liệu nhiều nên CSMars không lưu trữ thông tinNetflow trong cơ sở dữ liệu, tuy nhiên chúng ta có thể cấu hình dung lượng nếu cần thiết

Sau khi phát hiện hành vi tấn công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflowcho các hoạt động tấn công, quá trình thông minh của hệ thống này sẽ cung cấp tất cảthông tin mà hệ thống phân tích cần

Bởi vì CSMars theo dõi, giám sát, và lưu trữ mạng lưới liên quan đến hoạt động, nó cókhả năng báo cáo sai các hành vi hoạt động từ máy chủ Ví dụ như chúng ta tưởng tượngrằng CSMars biết hầu hết các kết nối đến máy chủ qua các cổng 137, 138,139 nhưng sau

đó đột nhiên nhiều máy trạm sẽ làm 25 cổng kết nối khác qua các cổng mặc định, Csmars

sẽ kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi của các thiết bị, Ngoài ra,CSMars sử dụng thông tin Netflow để đua ra các cấp độ hoạt động của hệ thống mạngbằng cách đưa ra một đồ thị kết nối theo thời gian

Hình: Biểu đồ thể hiện các sự kiện và Netflow

Chúng ta có thể thấy qua biểu đồ, CSMars báo cáo sai hoạt động ở cổng 80 và 445,đây là ví dụ về trạng thái hoạt động của cổng Đây là một khả năng phát hiển ra sâu vàvirus trên hệ thống mạng Thông thường các chương trình độc hại thì không có, chưa tênhoặc không có những thông tin gì về chữ ký của tổ chức, bạn chỉ phát hiện và phòngchống bằng cách sử dụng CSMars Dữ liệu tường lửa và thông tin Netflow sẽ giúp chúng

ta làm được

3 Cấu hình Netflow

 Xác minh thông báo thực và quét những nơi mang tính nguy hiểm

Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên một giây là một sự chịu đựng khó chống cự Quá trình lấy các log sự kiện một cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh đểtìm kiếm một haystack cho một needle

CS-Mars giống như một hệ thống Sự thông minh được xây dựng vào hệ thống một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công

cụ xác nhận Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực tế,những incident chính đáng.

 Sự am hiểu về False Positive

Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuấtSIM( security information management) phải nỗ lực liên tục Hệ thống log của IDSphải được xem xét và phân tích để xác định giá trị của chúng và các giải pháp củaSIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báođộng, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng Dù bằng cách nào, sựđiều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thựchiện được gì nhiều

CS-Mars có thể phân loại một false positive thành hai loại:

 Không được xác nhận

CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệuthực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm.Trên trang Summary, điều này sẽ được hiển thị như là "To be confirmed," đó chỉ đơngiản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars.Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Droprule có 2 loại:

o Chặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừngviệc log các sự kiện

o Đăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sựkiện vào cơ sở dữ liệu của CSMARS

Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules >Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ Cả haiphương pháp đều cho kết quả o tab Drop Rule

Hình: Đường dẫn CS-MARS False Positive

 Sự hiểu biết về những phân tích mang tính nguy hiểm

Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mànhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành cônghay không CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp

nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lạimục tiêu dữ liệu event và session cho các hệ thống cụ thể Quá trình này cho phépCS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là mộtincident Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm

có thể không được xem trong CS-Mars

CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từhai nguồn:

 Built-in Nessus utility

 Third-party VA tool

 Hiểu biết về Access IP, Reporting IP

Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web,Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP Sự hiểu biếtmục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả cácthiết bị mà bạn muốn theo dõi và quản lý Đó cũng là điều quan trọng để hiểu mốiquan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra Nếu một thiết bị cómột giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access vàreporting IP có địa chỉ giống nhau được gán cho giao diện Mars thu thập thông tinnày một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ

IP liên kết với một giao diện, hoặc cả hai

o Access IP

Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên sessioncủa quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tinlưu giữ các cấu hình của thiết bị này Những giá trị được xác định bằng cách truy cậpcác loại mà bạn chọn Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng cácđịa chỉ IP của máy cho phép quản lý chúng

o Reporting IP

Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps

mà bắt nguồn từ thiết bị Mars sử dụng các địa chỉ này để nhận được các văn bản kết

hợp với đúng thiết bị Đối với thiết bị dùng ở nhà riêng lẻ, các địa chỉ reporting IPtương tự như access IP;đối với thiết bị dùng ở nhà đôi hoặc nhiều, địa chỉ này phảiđược liên kết rõ ràng với các syslog, NetFlow, các dịch vụ SNMP đang chạy trên cácthiết bị báo cáo Hầu hết các thiết bị cũng đòi hỏi, cho mỗi loại văn bản, rõ ràng làbạn xác định được địa chỉ IP của máy mà văn bản sẽ được hiển thị Các máy thườngđược gọi là mục tiêu đăng nhập vào các máy chủ Các thiết bị Mars phải được liệt kêtrong số các máy như là một phần của các thiết bị đã chuẩn bị

Vai trò của reporting IP trong MARS khác với accessIP là các reporting IP được xem

là những địa chỉ thụ động từ MARS Mars hiện không yêu cầu tìm kiếm trên thiết bịdùng địa chỉ này Những hoạt động được thực hiện dùng access IP truy cập và loạiaccess

Mars chỉ chấp nhận một địa chỉ reporting IP cho mỗi thiết bị Đối với các thiết bị hỗtrợ hai định dạng văn bản, chẳng hạn như NetFlow và syslog, bạn phải đảm bảo rằng

cả hai định dạng văn bản bị buộc vào cùng một địa chỉ IP nguồn (reporting IP) Trongcác thiết bị IOS của Cisco, điều phổ biến này không phải là mặc định, do đó bạn phảithay đổi reporting IP syslog hay NetFlow để phù hợp với địa chỉ IP khác Nếu cácloại văn bản không bắt nguồn từ một địa chỉ IP chung, một trong số chúng được xem

là bắt nguồn từ một thiêt bị không báo cáo và Mars hiện không phân tích những sựkiện này một cách chính xác

3.1 Cấu hình Netflow trên CSMars

Việc kích hoạt netflow trên CSmars thực sự đơn giản:

Bước 1: Admin > System Setup > Device Configuration and Discover

Information > NetFlow Config Info

Bước 2: Nhập cổng của Port dữ liệu NetFlow Mặc định UDP 2055.

Bước 3: Tiếp theo là bật lên hoặc tắt chế đọ đó bằng enable/disable

Bước 4: Tùy chọn để lưu dữ liệu Netflow.

Bước 5: Lựa chọn để xác định các mạng mà bạn muốn đánh giá.

Bước 6: Nhấn Submit.

Bước 7: Nhấn Active ở góc trái trên CSMars.