Secure Device Event Exchange• Định dạng SDEE được phát triển để cải thiện việc truyền thông các sự kiện được tạo ra bởi các thiết bị bảo mật • Cho phép các loại sự kiện bổ sung được đưa
Trang 1Secure Device Event Exchange
• Định dạng SDEE được phát triển để cải thiện việc truyền thông các sự kiện được tạo ra bởi các thiết bị bảo mật
• Cho phép các loại sự kiện bổ sung được đưa vào khi chúng được xác định
Best Practices
• Tham khảo 5.2.5.5
• Nhu cầu nâng cấp cảm biến với các gói chữ ký mới nhất phải được cân bằng với thời gian ngừng hoạt động tạm thời
• Khi thiết lập một triển khai lớn các cảm biến, tự động cập nhật các gói chữ ký thay
vì tự nâng cấp mọi cảm biến
• Khi có sẵn các gói chữ ký mới, hãy tải xuống chữ ký mới
• Khi có các gói chữ ký mới, hãy tải xuống các gói chữ ký mới đến một máy chủ bảo mật trong mạng quản lý Sử dụng IPS khác để bảo vệ máy chủ này khỏi bị tấn công bởi bên ngoài
• Đặt các gói chữ ký trên một máy chủ FTP chuyên dụng trong mạng quản lý Nếu không có bản cập nhật chữ ký, có thể tạo chữ ký tùy chỉnh để phát hiện và giảm thiểu một cuộc tấn công cụ thể
• Cấu hình máy chủ FTP để cho phép truy cập chỉ đọc vào các tệp trong thư mục mà các gói chữ ký chỉ được đặt từ tài khoản mà bộ cảm biến sẽ sử dụng
• Định cấu hình các cảm biến để tự động cập nhật chữ ký bằng cách kiểm tra máy chủ FTP cho các gói chữ ký mới định kỳ Hãy bỏ qua thời gian trong ngày khi các cảm biến kiểm tra máy chủ FTP cho các gói chữ ký mới
• Các mức chữ ký được hỗ trợ trên bảng điều khiển quản lý phải được đồng bộ hóa với các gói chữ ký trên chính các cảm biến
IPS Global Correlation
Trang 2Tổng quan về triển khai iOS IPS
1. Tải xuống các tệp iOS IPS
2. Tạo một thư mục cấu hình IOS IPS trên Flash
3. Cấu hình khóa crytpo IPS của iOS
4. Enable IOS IPS
5. tải gói IOS IPS Signature vào router
Tham khảo 5.3.1
Trang 31. Tải tập tin Signature
Tôi muốn sử dụng CLI để quản lý các tập
tin chữ ký của tôi cho IPS Tôi đã tải
xuống các tệp iOS IPS
Tải xuống các tệp gói Signature IOS IPS và khóa mật mã công khai
Trang 42. Tạo thư mục
Để đổi tên thư mục:
3. Định cấu hình Khóa mật mã
1 - Đánh dấu và sao chép văn bản có trong tập tin khóa công cộng
2 - Dán nó vào chế độ cấu hình chung
Xác nhận Khóa mật mã
Trang 54. Kích hoạt iOS IPS
1 - Quy tắc IPS được tạo
2 - Vị trí IPS trong flash được xác định
3 - Thông báo SDEE và Syslog được bật
Trang 65. Tải gói Signature
2 - Danh mục cơ bản của IPS không được tiết lộ
4 - Quy tắc IPS được áp dụng theo hướng đến và đi
1 - IPS tất cả các loại được nghỉ
3 - Quy tắc IPS được áp dụng theo hướng đến
2 – Việc biên dịch Signature bắt đầu ngay lập tức sau khi gói Signature được nạp vào bộ định tuyến
1 - Sao chép Signature từ máy chủ FTP
Trang 7Xác minh Signature
Configuring Cisco IOS IPS with CCP
Trang 8Lệnh CLI đã tạo
Sử dụng lệnh CLI
Ví dụ này cho thấy làm thế nào
để unretire tất cả chữ ký thuộc
về thể loại IOS IPS Basic
Ví dụ này cho thấy làm thế nào
để nghỉ hưu chữ ký cá nhân Trong trường hợp này, chữ ký
6130 với ID phụ của 10
Trang 9Sử dụng lệnh CLI cho các thay đổi
Xem signature được cấu hình
Configure > Security > Intrusion Prevention > Edit IPS > Signatures
Để thay đổi mức độ nghiêm trọng của signature, chọn Set Severity To
Sửa đổi Signature Actions
Để điều chỉnh Signature, hãy chọn Configure > Security > Intrusion Prevention > Edit IPS > Signatures
Ví dụ này cho thấy làm thế nào để thay đổi hành động signature để cảnh báo, thả và đặt lại cho signature 6130 với ID subsig là 10
Trang 10Chỉnh sửa thông số Signature
Trang 11Xác minh Cisco IPS IOS bằng cách sử dụng lệnh CLI
Lệnh EXEC show ip ips đặc quyền có thể được sử dụng với một số tham số khác để cung
cấp thông tin IPS cụ thể
Lệnh show ip ips all hiển thị tất cả dữ liệu cấu hình IPS.
Lệnh cấu hình show ip ips hiển thị dữ liệu cấu hình bổ sung không được hiển thị với lệnh
show running-config.
Trang 12Lệnh show ip ips interfaces hiển thị dữ liệu cấu hình giao diện Đầu ra từ lệnh này cho thấy các quy tắc trong và ngoài được áp dụng cho các giao diện cụ thể
Show ip ips signature xác minh cấu hình chữ ký Lệnh này cũng có thể được sử dụng với
từ khóa detail để cung cấp đầu ra rõ ràng hơn.
Trang 13Lệnh show ip ips statistics hiển thị số lượng gói được kiểm tra và số lượng báo thức được
gửi Từ khóa reset tùy chọn đặt lại đầu ra để phản ánh thống kê mới nhất.
Xác minh Cisco IPS IOS bằng cách sử dụng CCP
Chọn Configure > Security > Intrusion Prevention > Edit IPS.
Báo cáo Cảnh báo xâm nhập IPS
Để chỉ định phương thức thông báo sự kiện, hãy sử dụng lệnh cấu hình chung ip
ips notify [log | sdee]
• Từ khóa log gửi thư trong định dạng nhật ký hệ thống
• Từ khóa sdee gửi tin nhắn theo định dạng SDEE
Trang 14SDEE on an IOS IPS Router
• Bật SDEE trên bộ định tuyến IOS IPS bằng lệnh sau:
• Bật HTTP hoặc HTTPS trên bộ định tuyến
• SDEE sử dụng một cơ chế pull
• Các lệnh bổ sung:
- ip sdee events events
- Clear ip ips sdee {events|subscription}
- ip ips notify
Using SDM to View Messages
Để xem tin nhắn cảnh báo SDEE trong CCP, hãy chọn Monitor > Router > Logging
Summary
• IPS dựa trên mạng được thực hiện nội tuyến trong khi IDS được triển khai ngoại tuyến
Trang 15• Triển khai IPS dựa trên mạng và IPS dựa trên máy chủ để bảo vệ mạng khỏi sâu Internet di chuyển nhanh và vi-rút và virus
• Chữ ký tương tự như các tệp dat chống vi-rút vì chúng cung cấp một IPS với một danh sách các vấn đề đã được xác định
• Các chữ ký ISP được cấu hình để sử dụng các trình kích hoạt và hành động khác nhau
• Signatures có thể cần phải được điều chỉnh để một netwok specifc
• Liên tục theo dõi một giải pháp IPS để đảm bảo rằng nó đang cung cấp mức bảo vệ thích hợp
• Triển khai Cisco IOS IPS bằng CLI hoặc SDM
• Sửa đổi chữ ký IPS bằng CLI hoặc SDM
• Sử dụng nhiều CLI khác nhau để xác minh và giám sát cấu hình Cisco IOS IPS